Rechtstipp : Outsourcing: Den Datenschutz im Blick behalten
Aufgaben an Spezialisten auszulagern kann große Effizienz- und Kostenvorteile bringen. Dafür benötigen externe Dienstleister jedoch meist Zugriff auf große Datenmengen. Seit Geltung der Datenschutz-Grundverordnung (DSGVO) drohen Geldbußen in Millionenhöhe, wenn personenbezogene Daten nicht rechtskonform verarbeitet werden.
Insbesondere drei Punkte sollten Sie bei jedem Outsourcing bedenken:
1. Achten Sie bei der Auswahl des Dienstleisters auf dessen Einstellung zum Thema Datenschutz. Dienstleister müssen einer umfassenden vertraglichen Weisungsbindung sowie Kontrollbefugnissen unterliegen. Sie sollten daher etwa Audits zulassen und auch nach Vertragsabschluss erteilte Weisungen befolgen.
2. Besondere Vorsicht ist geboten bei Dienstleistern mit Sitz außerhalb des Europäischen Wirtschaftsraums. Manchen Nicht-EWR-Ländern wurde von der EU-Kommission ein angemessenes Datenschutzniveau bescheinigt, so etwa der Schweiz und Japan. Liegt keine solche Ausnahme vor, müssen die Verträge um von der EU-Kommission veröffentlichte Standardvertragsklauseln ergänzt werden.
3. Jeder Vertrag mit Dienstleistern sollte vorab geprüft werden, um sicherzustellen, dass er alle nach der DSGVO erforderlichen Punkte enthält. Da Unternehmen gegenüber Dritten auch für Datenschutzverstöße haften, die allein der externe Dienstleister verursacht hat, sind zudem entsprechende interne Haftungsregeln essenziell.
Die Autoren, Rechtsanwalt Dr. Lukas Feiler und Rechtsanwaltsanwärter Dr. Thomas Rainer Schmitt, arbeiten bei Baker McKenzie in Wien.