Kundendatenschutz

Anforderungen an Dienstleister von Unternehmen/Geschäftskunden Nicht nur im Rahmen des Endkundengeschäfts, sondern auch bei klassischen Dienstleistungen zwischen Unternehmen wird zunehmend die tatsächliche Umsetzung des Datenschutzes beim Dienstleister kritisch hinterfragt. Dies kommt einerseits aus der gestiegenen Sensibilisierung zum Datenschutz und zur Informationssicherheit im Zuge der NSA-Affäre („Sind meine Daten sicher?“). Andererseits ist es aber auch darin begründet, dass der Gesetzgeber explizite Vorgaben zur Gestaltung dieser Zusammenarbeit vorgegeben hat und verschiedene Aufsichtsbehörden nun auch dazu übergehen, dies zu prüfen. So sind entsprechende Anforderungen vertraglich zu fixieren und regelmäßige Audits beim Auftragnehmer durchzuführen; im Zweifel auch bei der Muttergesellschaft. Spätestens seit der Novelle des Bundesdatenschutzgesetzes (BDSG) im Jahre 2009 wurde eine Vielzahl von Unternehmen vor die Herausforderung gestellt, die Compliance-Situation ihrer Dienstleistungsverhältnisse auf Basis des § 11 BDSG neu zu gestalten. So müssen die Verträge gesetzlich vorgegebene Inhalte enthalten (wie z. B. zu Sicherheitsmaßnahmen oder Kontrollrechten); ferner müssen die Outsourcing-Dienstleister im Hinblick auf die Umsetzung der vorgegebenen Sicherheitsmaßnahmen überprüft werden. Diese Prüfung muss nicht nur vorab im Rahmen des Auswahlverfahrens durchgeführt, sondern auch danach regelmäßig wiederholt werden. Auch eine Dokumentation dieser Prüfung ist Pflicht. Diese Vorgaben gelten nicht nur für das Outsourcing der Personalabrechnung, der elektronischen Archivierung und des Lettershops, sondern auch für den IT-Support beispielsweise durch Fernwartung auf dem Kunden-System, wenn dabei „ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann“. Hierbei wird jedoch oftmals vergessen, dass das BDSG keine Privilegierung von Konzerngesellschaften wie Mutter-/Tochter-Unternehmen vorsieht und diese Unternehmen genauso wie externe Auftragnehmer behandelt werden müssen. Auf der anderen Seite sehen sich viele Dienstleister damit konfrontiert, dass sie von einer Vielzahl ihrer Kunden auf das Thema Datenschutz angesprochen werden. Somit müssen diesbezüglich einerseits intern (revisionssichere bzw. prüfbare) Strukturen und Prozesse geschaffen werden, um eine ausreichende Qualität sicherstellen zu können. Ein Qualitätsmanagementsystem ist zwar sehr häufig umgesetzt, eine explizite Berücksichtigung von datenschutzrechtlichen Anforderungen ist nach Erfahrungen der UIMC aber nicht die Regel, sondern vielmehr die Ausnahme. Es müssen jedoch klare Regeln zu den Berechtigungen auf die Kundendaten und -systeme, zur Verpflichtung und Sensibilisierung der Mitarbeiter, aber auch zu weiteren technischen und organisatorischen Maßnahmen getroffen werden. Idealerweise sollte der Datenschutzbeauftragte hierbei eine zentrale Rolle einnehmen. Andererseits werden die Dienstleister durch die Auftraggeber auditiert, ob die vorgenannten Regeln existieren und auch umgesetzt sind. Um nicht gänzlich unvorbereitet zu sein, sollte der Dienstleister neben den verbindlichen Regeln auch selbst einmal ein solches Audit intern durchgeführt haben. Anhand eines etablierten Fragenkatalogs kann die eigene Organisation dahingehend geprüft werden, ob die rechtlichen Anforderungen erfüllt sind oder umfassende Nachbesserungsforderungen durch den Kunden drohen. Wenn das interne Audit durch einen externen Auditor vorgenommen wird, gewinnt dies an Objektivität und Neutralität. Durch die „geliehene Autorität“ können bestimmte Vorhaben zielführender angestoßen und umgesetzt werden, schließlich hat es „der Prophet im eigenen Land“ stets schwerer. Eine solche Auditierung mit externer Unterstützung kann wiederum auch für externe Zwecke genutzt werden, indem die Ergebnisse dem (potenziellen) Kunden zur Verfügung gestellt werden. Auch eine Testierung oder Zertifizierung ist denkbar, wodurch nicht nur zeitintensive Auseinandersetzung mit vielen individuellen Audit-Anfragen entbehrlich werden, sondern auch ein Vertrauensaufbau beim (potenziellen) Kunden stattfinden kann.