41.000 Software-Entwickler fehlen derzeit in Deutschland - so Berechnungen des Hightech-Branchenverbands BITKOM. Der akute Fachkräftemangel steigert die Nachfrage nach externen Dienstleistern: Eine Techconsult-Studie kommt zu dem Ergebnis, dass bereits jedes dritte deutsche Unternehmen mit Outsourcing-Partnern zusammen arbeitet, von denen viele im nicht-europäischen Ausland sitzen.
Unternehmen, die Dienstleistern Zugriff auf personenbezogene Daten ermöglichen - sei es von Endkunden, Mitarbeitern oder sonstigen Personen -, müssen sich mit den rechtlichen Rahmenbedingungen hinsichtlich des Schutzes dieser Daten auseinandersetzen. In Deutschland greift das Bundesdatenschutzgesetz (BSDG), innerhalb der EU die Europäische Datenschutzrichtlinie. Die Zusammenarbeit mit Dienstleistern und Unterauftragnehmern außerhalb der EU gestaltet sich rechtlich hingegen weitaus komplexer.
Rechtsrahmen
Wenn ein Unternehmen mit Sitz in Deutschland oder einem anderen EU-Staat Kunden-, Mitarbeiter- oder andere personenbezogene Daten von einem Dienstleister speichern, nutzen oder verarbeiten lässt, muss das Unternehmen ein "angemessenes Datenschutzniveau" beim Dienstleister sicherstellen. Dies gilt auch dann, wenn der Dienstleister nur Zugriff auf die Daten des Unternehmens erhält, die eigentlichen Daten aber im Unternehmen verbleiben.
Die Sicherstellung eines "angemessenen Datenschutzniveaus" ist im Bundesdatenschutzgesetz definiert, das die EU-Datenschutzrichtlinie umsetzt. Wenn ein angemessenes Datenschutzniveau nicht sichergestellt werden kann, drohen Maßnahmen der Aufsichtsbehörde und Bußgelder. Die Verarbeitung, Übertragung oder der Zugriff auf Daten durch den Dienstleister ist dann nicht zulässig.
Länder der EU gelten aufgrund der einheitlichen Gesetzgebung per se als "sichere" Länder im Sinne des Datenschutzes. Der Gesetzgeber spricht von einem angemessenen Datenschutzniveau in diesen Ländern und legt lediglich vertragliche Mindestanforderungen zwischen Auftraggeber und Dienstleister hinsichtlich der Auftragsdatenverarbeitung fest.
Außerhalb Europas
Für Dienstleister außerhalb der EU, speziell also auch in den für das Outsourcing von Softwareentwicklung relevanten Nearshore-Regionen, gilt ein "angemessenes Datenschutzniveau" nur dann, wenn zwischen Unternehmen und Dienstleister ein Vertrag mit den "Standardklauseln für Auftragsdatenverarbeitung" der EU-Kommission abgeschlossen wird.
Ist ein Zugriff auf personenbezogene Daten (also Daten von Kunden, Mitarbeitern oder Dritten) durch den Dienstleister definitiv ausgeschlossen (indem beispielsweise Entwicklungs- und Produktionsumgebungen technisch getrennt, in der Testumgebung nur extra angelegte Testdaten verwendet oder im Monitoring lediglich Daten wie Verfügbarkeit, Latenzen, Speicherauslastung etc. überwacht werden), so besteht keine Auftragsdatenverarbeitung und damit im Prinzip keine Notwendigkeit für die beschriebenen Maßnahmen.
Dennoch kann deren Berücksichtigung bei der Vertragsgestaltung zwischen Unternehmen und Dienstleister auch in diesen Fällen sinnvoll sein - um für ein späteres Setup vertraglich bereits vorbereitet zu sein und um den Dienstleister zu sensibilisieren. Zudem müssen der zu Grunde liegende Dienstleistungsvertrag sowie die Vereinbarung zur Auftragsdatenverarbeitung entsprechend abgestimmt werden, damit sich keine Widersprüche ergeben.
Verantwortlich für die Einhaltung der Vorschriften ist in jedem Fall der Auftraggeber. Dem Auftraggeber obliegt eine umfassende Prüf- und Dokumentationspflicht, sowohl vor als auch nach Vertragsabschluss.
Auftragsdatenverarbeitung
Für Dienstleister innerhalb der EU legt §11 BDSG die Mindestanforderungen an die vertragliche Gestaltung der Auftragsdatenverarbeitung fest. Unter Auftragsdatenverarbeitung versteht man die weisungsgebundene Datenverarbeitung durch Externe, bei der die Verantwortung für die ordnungsgemäße Datenverarbeitung beim Auftraggeber verbleibt. Auftragsdatenverarbeitung liegt auch dann vor, wenn ein Unternehmen beispielsweise ein externes Rechenzentrum nutzt oder externe Programmierer Zugriff auf die Daten des Unternehmens haben oder ein solcher Zugriff zumindest nicht ausgeschlossen werden kann.
Die folgende (nicht abschließende) Aufzählung stellt Beispiele für Auftragsdatenverarbeitung dar, wie sie im Rahmen von Softwareentwicklung auftreten können:
Wenn eine erstellte Applikation/Software durch den Dienstleister realitätsnah getestet wird und sich auf der Test- oder Produktionsumgebung "echte" Kundendaten befinden.
Wenn die Entwickler oder Systemadministratoren des Dienstleisters Zugriff auf Datenbanken haben, in denen personenbezogene Daten gespeichert sind, auf die direkt zugegriffen werden kann.
Wenn Anforderungsbeschreibungen oder Dokumentationen Datensätze oder Screenshots, die personenbezogene Daten zeigen, beigefügt werden.
Wenn im Rahmen des IT-Betriebes, des Monitorings oder des Supports Zugriff auf personenbezogene Daten besteht.
Wenn der Dienstleister Administrations- und Supportaufgaben übernimmt und bspw. für bestimmte Tools Mitarbeiter-Zugänge (Logins) verwaltet.
Wenn der Dienstleister über Remote-Login Zugriff auf personenbezogene Daten erhält.
Checkliste für den Vertrag
Vor Beginn der Auftragsdatenvereinbarung ist zwischen dem Unternehmen und dem Dienstleister ein entsprechender Vertrag (Vereinbarung zur Auftragsdatenverarbeitung) zu schließen. Dieser muss nach §11 BDSG mindestens Festlegungen zu diesen zehn Punkten enthalten:
Gegenstand und Dauer des Auftrags;
Umfang, Art und Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten, die Art der Daten und der Kreis der Betroffenen;
die nach §9 BDSG zu treffenden technischen und organisatorischen Maßnahmen;
die Berichtigung, Löschung und Sperrung von Daten;
die nach Absatz 4 bestehenden Pflichten des Auftragnehmers, insbesondere die von ihm vorzunehmenden Kontrollen;
die etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen;
die Kontrollrechte des Auftraggebers und die entsprechenden Duldungs- und Mitwirkungspflichten des Auftragnehmers;
mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen;
der Umfang der Weisungsbefugnisse, die sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält;
die Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags.
In der Regel empfiehlt sich die Verwendung einer Mustervereinbar zur Auftragsdatenverarbeitung.
Standardklauseln für Nicht-EU-Aufträge
Um ein angemessenes Datenschutzniveau auch bei der Zusammenarbeit mit Dienstleistern außerhalb der EU sicherzustellen, hat die EU-Kommission die "Standardklauseln für Auftragsdatenverarbeitung" festgelegt. Die Standardvertragsklauseln werden als gesonderte Vereinbarung neben dem eigentlichen Dienstleistungsvertrag mit Dienstleistern außerhalb der EU geschlossen. Im Anhang zu den Klauseln befinden sich zwei Formulare, in denen Einzelheiten zu den Parteien, den exportierten Daten, der Datenverarbeitung und den Sicherheitsvorkehrungen beim Dienstleister eingetragen werden können.
Diese Vertragsvorgaben ergänzen und präzisieren die Vertragsbedingungen hinsichtlich der datenschutzrechtlich geforderten Mindeststandards. Zu beachten ist, dass sich neben den Standardvertragsklauseln aus dem BDSG noch weitere datenschutzrechtliche Anforderungen ergeben können. Die Klauseln müssen übernommen werden, sind per se aber noch kein datenschutzrechtlicher "Freifahrtschein".
Die Standardvertragsklauseln sehen in Klausel 11 ausdrücklich auch die Einbindung von Unterauftragnehmern durch den beauftragten Dienstleister vor, wenn zwei Voraussetzungen erfüllt sind:
Einwilligung: Der Auftraggeber hat vorher schriftlich in die Unterauftragsvergabe eingewilligt. Die Einwilligung kann auch als Generaleinwilligung erfolgen, also ohne die Unterauftragnehmer individuell zu benennen.
Weiterreichen der Vertragsregelungen: Dienstleister und Unterauftragnehmer schließen einen schriftlichen Vertrag, der dem Unterauftragnehmer die gleichen Pflichten auferlegt, die auch der Dienstleister nach den Standardvertragsklauseln erfüllen muss, die Bedingungen der Auftragsdatenverarbeitung müssen also an den Unterauftragnehmer weitergereicht werden.
Zusammenfassung
Für Nearshore-Softwareentwicklung sind die rechtlichen Rahmenbedingungen klar geregelt. Unternehmen, die Dienstleister aus Nearshore-Ländern wie Armenien, der Ukraine oder Rumänien beauftragen wollen, sind auf der sicheren Seite, wenn sie die folgenden Punkte beachten:
Die Verantwortlichkeit für die Einhaltung der gesetzlichen Vorschriften sowie der erforderlichen Prüf- und Dokumentationspflichten liegt beim Auftraggeber. Verstöße können zu Maßnahmen der Aufsichtsbehörde sowie zu Bußgeldern führen. Insbesondere ist durch das Unternehmen sicherzustellen, dass die vertraglichen Vereinbarungen mit dem Dienstleister nicht nur auf dem Papier stehen, sondern auch in der Praxis erfüllt werden.
Sofern das Unternehmen einen Dienstleister innerhalb der EU beauftragt, gilt die jeweilige Umsetzung der EU-Datenschutzrichtlinie, in Deutschland also §11 BDSG. Zusätzlich zum eigentlichen Dienstleistungsvertrag ist deshalb lediglich eine Vereinbarung zur Auftragsdatenverarbeitung abzuschließen.
Sofern das Unternehmen einen Dienstleister außerhalb der EU beauftragt, sind zusätzlich zum eigentlichen Dienstleistungsvertrag noch die von der EU-Kommission erstellten Standardklauseln in unveränderter Form vertraglich zu vereinbaren, um den Anforderungen an ein "angemessenes Datenschutzniveau" Rechnung zu tragen.
Sofern der beauftragte Dienstleister einen Unterauftragnehmer außerhalb der EU beauftragt,
muss der Auftraggeber zuvor schriftlich der Einbindung von Unterauftragnehmern zugestimmt haben,
müssen die vertraglichen Regelungen zwischen Unternehmen und Dienstleister, insbesondere die der Auftragsdatenverarbeitung, an den Unterauftragnehmer weitergereicht werden,
und müssen zwischen Dienstleister und Unterauftragnehmer die Standardvertragsklauseln in unveränderter Form abgeschlossen werden. (sh)