4 Maßnahmen für CIOs

Neues Datenschutzrecht kollidiert mit IT-Outsourcing

25. November 2009
Von Jens  Nebel
Kaum ein Vertrag zum IT-Outsourcing erfüllt die neuen Zehn-Punkte-Vorgaben des gerade novellierten Datenschutzgesetzes. Auch Altverträge sind betroffen Strafen bis zu 300.000 Euro drohen. Richtig umgesetzt bietet das Gesetz aber auch die Chance, Konditionen neu zu verhandeln, meint Rechtsanwalt Jens Nebel von der Kanzlei Kümmerlein, Simon & Partner Rechtsanwälte.
Jens Nebel, Rechtsanwalt in der Essener Kanzlei Kümmerlein, Simon & Partner Rechtsanwälte: "Auch Altverträge müssen angepasst werden – das bietet Chancen für eine Neuverhandlung der Konditionen".
Jens Nebel, Rechtsanwalt in der Essener Kanzlei Kümmerlein, Simon & Partner Rechtsanwälte: "Auch Altverträge müssen angepasst werden – das bietet Chancen für eine Neuverhandlung der Konditionen".

Das deutsche Datenschutzrecht gehört zu den am wenigsten übersichtlichen Rechtsmaterien überhaupt. Seit dem berühmten Volkszählungsurteil des Bundesverfassungsgerichts von 1983 gilt: Jeder Datenverarbeitungsvorgang, der sich auf persönliche Daten eines Menschen bezieht, bedarf einer besonderen Rechtfertigungsvorschrift. Die meisten dieser Erlaubnisvorschriften ordnen eine Interessenabwägung an: Überwiegt das Interesse der Betroffenen, dass keine Verarbeitung erfolgt, ist sie verboten.

Wegen der Unsicherheit dieser Abwägungsentscheidung bei jeder Datenverarbeitung bewegen sich Unternehmen fast immer in einer rechtlichen Grauzone. Nur selten können sie sich für den konkreten Fall auf gesicherte höchstrichterliche Rechtsprechung berufen.

Insbesondere dürfen persönliche Daten nicht ohne Weiteres an Dritte weitergegeben werden. Genau das passiert aber beim OutsourcingOutsourcing: Werden Systeme durch externe IT-Dienstleister betrieben, kann ein Zugriff auf persönliche Daten nicht ausgeschlossen werden. Die Gefahr ist durchaus real: Ende letzten Jahres vermeldete zum Beispiel die Frankfurter Rundschau den "Klau" zehntausender Kreditkartendaten eines Berliner Bankhauses - weil dessen international renommierter IT-Dienstleister die Daten offenbar nicht ausreichend geschützt hatte. Alles zu Outsourcing auf CIO.de

Das Gesetz bietet für das IT-Outsourcing jedoch unter der sperrigen Bezeichnung "Auftragsdatenverarbeitung" einen Ausweg aus dem rechtlichen Graubereich: Treffen Unternehmen und Dienstleister eine besondere Vereinbarung über Auftragsdatenverarbeitung, bilden beide eine datenschutzrechtliche Einheit. Die Daten dürfen dann zwischen den Vertragspartnern leichter hin und her geschoben werden. Mit dieser Konstruktion entfällt daher die Interessenabwägung mit ihren unvermeidlichen rechtlichen Unsicherheiten.

Zur Startseite