Trotz Wirtschaftskrise: Beim Outsourcing gilt es, den Datenschutz zu beachten!
Das Auslagern von Leistungen jeglicher Art erfreut sich gerade während einer Wirtschaftkrise großer Beliebtheit. Die Unternehmen erhoffen sich nämlich, beim sog „Outsourcing“ insb Kosten einzusparen. Diese Kostenersparnis tritt auch etwa dann ein, wenn ausgelagerte Leistungen von Arbeitskräften in Ländern erbracht werden, in denen weniger Lohn bezahlt wird, oder die Kostenkalkulation durch das Fixieren von Festpreisen für die gesamte Vertragslaufzeit optimiert werden kann. Doch so vielversprechend sich das Outsourcing aus wirtschaftlicher Sicht darstellt, so schnell können sich daraus datenschutzrechtliche Problematiken ergeben: Sieht nämlich der Unternehmer eine effektive und rasche Einsparungsmethode, werden gerne datenschutzrechtliche Grundsätze außer Acht gelassen. Das Außerachtlassen dieser Grundsätze beginnt nach allgemeinen Erfahrungswerten bereits beim Start eines Outsourcing-Vorhabens in Bezug auf die Genehmigungspflicht durch die Datenschutzkommission (DSK) bzw auf die Zulässigkeit der Datenüberlassung. Handelt es sich beim Outsourcing um einen internationalen Datentransfer, sollte der Unternehmer immer prüfen, ob dieser Transfer von der DSK genehmigt werden muss. Weiters können die Daten nur dann beim Dienstleister ausgelagert werden, wenn diesem die Daten zulässigerweise iSd §§ 6, 7 DSG 2000 übermittelt werden dürfen. (FN 1) Beim Outsourcing wäre die Unterlassung dieser Überprüfungen laienhaft, mit schwerwiegenden Konsequenzen bedroht und darf daher keinesfalls verabsäumt werden. Ferner hat der Unternehmer gem dem im Datenschutzrecht verankerten Transparenzgrundsatz die Verpflichtung, dem Betroffenen anschaulich darzustellen, wann, wo, wie und warum er seine personenbezogenen Daten verwendet. Werden die Daten des Betroffenen zur weiteren Be- bzw Verarbeitung ausgelagert, ist dies grds vom Unternehmer offenzulegen. Verliert der Unternehmer beim Auslagern der Leistung den Überblick darüber, wer die Daten faktisch verarbeitet, kann dies falsche oder fehlerhafte Informationen an den Betroffenen und die Einschränkung seines Rechts auf Auskunft iSd § 26 DSG 2000 zur Folge haben.
Auch hat der Unternehmer notwendigerweise mit dem Outsourcing-Dienstleister, selbst wenn dies weitere Kosten oder andere Unannehmlichkeiten für das Unternehmen verursachen kann, einen Dienstleistervertrag iSd §§ 10, 11 DSG 2000 abzuschließen: (FN 2) Ein solcher dient dazu, dem Dienstleister datenschutzrechtliche Verpflichtungen bei der Verwendung von personenbezogenen Daten vertraglich aufzuerlegen, ua die Einhaltung von (technischen) Datensicherheitsbestimmungen. Gem § 14 Abs 2 letzter Satz DSG 2000 müssen die Maßnahmen zur Datensicherheit unter Berücksichtigung des Standes der Technik und der bei der Durchführung erwachsenden Kosten ein Schutzniveau gewährleisten, das den von der Verwendung ausgehenden Risiken und der Art der zu schützenden Daten angemessen ist. Aus technischer Sicht kann sogar das datenschutzrechtliche Auskunftsrecht optimiert werden, wenn iVm den notwendigen technischen Einrichtungen Protokolldateien (ua für die verarbeiteten Daten, die verfügbaren Informationen über ihre Herkunft, allfällige Empfänger oder Empfängerkreise von weiteren Übermittlungen etc) geführt werden. (FN 3) Jedenfalls ist es beim Datentransfer aus datenschutzrechtlicher Sicht von grundlegender Bedeutung, technische (Datensicherheits-)Kriterien einzuhalten, da ein Datentransfer tendenziell die Missbrauchsgefahr erhöht. Eine vertragliche Fixierung zur Einhaltung technischer Sicherheitsstandards ist daher unumgänglich. Außerdem kann vom Auftraggeber vertraglich festgehalten werden, dass der (ausländische) Dienstleister bei der Durchführung der jeweiligen ausgelagerten Leistung den Anforderungen für das Datengeheimnis iSd § 15 DSG 2000 entsprechen muss. In der Praxis werden die datenschutzrechtlichen Anforderungen häufig vernachlässigt, weil – wie bereits erörtert – das Outsourcing während einer Wirtschaftskrise schnelle Einsparungsmöglichkeiten für das Unternehmen bieten kann und zB Datensicherheitsmaßnahmen nach allgemeinen Erfahrungswerten in einem OutsourcingProzess oftmals eine unnötige Verzögerung darstellen. Ungeachtet dessen gilt: Beim Outsourcing muss der Datenschutz beachtet werden.
Fussnote(n) (FN 1) Vgl Knyrim, Datenschutzrecht 192 f. (FN 2) Vgl Knyrim, Achtung, die Welt ist flach! ecolex 2009, 85 f. (FN 3) Vgl DSK v 30. 6. 2005, die in K121.015/0009-DSK/2005 davon ausgeht, dass der Auskunftsanspruch (auch) Protokolldaten iSd § 14 DSG 2000 betreffen wird. Dokument zu/zur ecolex 2009, 845 – Inhalt der RDB Rechtsdatenbank, ein Produkt von MANZ.
