Viele Unternehmen sind sich nicht bewusst, dass sie beim Outsourcing nicht die Verantwortung für Daten an Dienstleister abgeben. Vielmehr bleiben die Auftraggeber bei Auftragsdatenverarbeitungen für Verfehlungen ihrer Dienstleister vollumfänglich verantwortlich und haftbar.
Laut den Befragungsergebnissen aus dem TÜV SÜD Datenschutzindikator (DSI) sind sich nicht alle Betriebe dieser Verantwortung tatsächlich bewusst sind. Nur 42 Prozent der beim DSI Befragten schließen mit jedem Auftragnehmer, der in ihrem Auftrag personenbezogene Daten verarbeitet oder an den IT-Systemen Wartungen vornimmt, einen entsprechenden Vertrag zur Auftragsdatenverarbeitung.
Das Bundesdatenschutzgesetz (BDSG) verpflichtet Unternehmen jedoch dazu, solche Verträge abzuschließen, da sie als Auftraggeber auch weiterhin für die Sicherheit der Daten verantwortlich sind und Schadenersatzansprüche sowie Bußgelder an sie gerichtet werden.
„Diese Verträge sind für die Firmen eine wichtige Absicherung“, erklärt Rainer Seidlitz, Prokurist bei der TÜV SÜD Sec-IT GmbH. „Darin verpflichten sie ihre Auftragnehmer, entsprechend ihren Vorgaben mit den personenbezogenen Daten umzugehen. Außerdem kann ein Bußgeld von bis zu 50.000 Euro fällig werden, wenn kein Vertrag zur Auftragsdatenverarbeitung vorhanden ist oder dieser nicht richtig, nicht vollständig oder nicht in der vom BDSG vorgeschriebenen Weise abgeschlossen ist.“
Noch gravierender ist, dass mit 23 Prozent nicht einmal ein Drittel der Befragten ihre externen Dienstleister regelmäßig auf die Einhaltung der Datenschutzpflichten überprüft und dies dokumentiert. Ohne diese Prüfung sei nicht einschätzbar, ob die personenbezogenen Daten beim Auftragnehmer tatsächlich gut aufgehoben sind. „Die Auftragsdatenverarbeitung darf ein Unternehmen erst erteilen, wenn der Dienstleister die geforderten technischen und organisatorischen Maßnahmen zum Datenschutz erfüllt und nachhaltig aufrechterhalten kann“, erläutert Seidlitz. „Dies muss natürlich vor der Auftragserteilung und anschließend in regelmäßigen Abständen geprüft werden – entweder vor Ort oder durch eine entsprechend aussagekräftige Dokumentation.“
Unternehmen, die selbst prüfen möchten, wie gut sie in Sachen Datenschutz aufgestellt sind und an welchen Stellen Verbesserungspotenzial besteht, können am TÜV SÜD DSI hier teilnehmen.