Outsourcing, § 11 BDSG und das Gräuel mit den Referenzen

MISSION 100 e.V. ist im Zusammenhang mit Outsourcing auch damit beschäftigt, Softwareunternehmen z.B. im Umfeld von Personal- oder Finanzdienstleistungen zu auditieren. Bei Auftragsdatenverarbeitung dieser Art stellt sich oft heraus, dass die Ausgestaltung der Dienstleistung zwar inhaltlich – insbesondere für Personalchefs oder CFOs – sehr ergiebig sein kann, datenschutzrechtlich diese Systeme aber mehr als mängelbehaftet sind.

Es wird dennoch seitens der Anbieter gerne damit argumentiert, dass deren wiederum beauftragte Rechenzentrumsdienstleister nach DIN 27001 (ISO/IEC 27001 Information security management systems – Requirements) zertifiziert seien. Audtis dieser Anbieter bringen dann hervor, dass dies unzutreffend ist. Neben einer Reihe anderer Unzulänglichkeiten stand z.B. in einem dieser Fälle der Backupserver eines Anbieters in einer Zweitniederlassung unter der Kaffeemaschine und nicht in einem zertifizierten Rechenzentrum. Auf die – aus den Kontrollpflichten des Auftraggebers gem. § 11 Bundesdatenschutzgesetz – folgende Anforderung an den Anbieter, dass dieser Missstand behoben werden müsse, kam als Antwort ein Anwaltsschreiben, aus dem hervorging, dass sich die Küche, in dem der Backupserver stehe, in einem abschließbaren Bürogebäude befinde, und damit das System konform zum Grundschutzhandbuch des BSI …und deshalb datenschutzgerecht sei.
Häh, wie, was? DIN, ISO, BSI Grundschutz, Anwalt? Zu verwirrend?

Liebe Leser, wir reden hier über Datenschutz. Und der ist gesetzlich geregelt. Die Anforderungen des Gesetzes sind einzuhalten und verantwortlich für eine Auftragsdatenverarbeitung ist – gem. § 11 Bundesdatenschutzgesetz – immer der Auftraggeber. Normen, technische und organisatorische Richtlinien, Zertifizierungen und dergleichen sind Hilfsmittel, anhand derer die sogenannte verantwortliche Stelle ihren gesetzlichen Pflichten nachkommen kann. Alleine eine Zusicherung des Anbieters auf eine Zeritifzierung, ein Handbuch für technisch-organisatorische Ausgestaltung oder eine in den DIN – Katalog übernommene internationale Norm sind nicht ausreichend, um konform zum Gesetz zu sein.

Die Regelwerke sind durchweg sinnvoll und nützlich, werden aber leider oft als Blendwerk missbraucht. Diverse Anbieter stellen gerne darauf ab, im Wissen, dass die Welt, in der wir heute leben, sehr komplex ist und der fragende Auftraggeber es sich mitunter einfach machen möchte. Ja, zugegeben, es kann schwierig sein, sich durch solche Regelwerke zu wühlen und allzu gerne vertraut man deshalb auf das, was Anbieter zusichern. Insbesondere dann, wenn der Anbieter auf eine Norm verweist. Ganz abgesehen von den gesetzlichen Vorgaben befreit dies einen Auftraggeber aber nicht davon, die Einhaltung der zugesicherten Norm auch zu überprüfen.

Und wer macht das?
In der anfänglichen Fragestellung, welcher Dienstleister für welche Aufgabe in Betracht gezogen werden kann, wird unternehmensseitig nicht zuletzt aufgrund der negativen Presseberichterstattung zum Datenschutz schon eher ein Auge auf diese Dinge geworfen, als in der Vergangenheit. Wer liest seinen Firmennamen schone gerne in einer negativen Pressemeldung. Aber Datenschutz kostet Geld und bringt keinen Umsatz. Also wird das Ganze möglichst einfach gestaltet. Weshalb es in der Praxis sehr beliebt ist, sich nach dem Motto „Wenn die das so machen, wird das schon richtig sein“, auf Referenzen zu beziehen. EIn Gräuel für jeden Datenschützer, der sich damit befassen muss.
Lassen Sie mich kurz skizzieren, wie das in der Praxis aussieht. Ein IT-Mensch hat eine gute Idee und baut ein System, das in der heutigen Geschäftswelt durchaus von Nutzen sein kann. Er bietet dieses System einem großen, allseits bekannten Unternehmen an und deren Fachabteilung sowie der Einkauf entscheiden, das System einzusetzen. Nachdem die kaufmännischen und fachlichen Fragen geklärt sind und das System in den Testbetrieb geht, fällt doch noch irgendwem auf, dass das Thema Datenschutz betrachtet werden muss. Also legt man dem (internen) Datenschutzbeauftragten das Konzept zur Unterschrift vor.
Sie werden jetzt vielleicht fragen, warum intern hervorgehoben ist. Nun, in Fachkreisen wird oft die Ansicht vertreten, dass interne Datenschutzbeauftragte nicht unabhängig sind, weil sie im Angestelltenverhältnis stehen. Und der Logik dieses Gedankens kann ich mich nicht entziehen.
In unserem Fallbeispiel hat nun der interne DSB das Problem, dass das Unternehmen, das ihn bezahlt, Investitionen getätigt hat und von ihm erwartet, dass er diese Investitionen auch unterstützt. Also lässt sich der DSB eine „vertretbare“ Lösung einfallen, die  oftmals – und damit schließt sich der Kreis – auf einer vom Anbieter zugesicherten Zertifizierung basiert. Für eine Auditierung des Anbieters hat ein interner DSB aber oft nicht genug Erfahrung. Er ist ja auch nicht DSB, weil er es aus Überzeugung wollte, sondern weil er auf die Rente zusteuert und ein ruhiges Pöstchen angeboten bekommen hat. Für externe Unterstützung bekommt er weiterhin keine Mittel; also wird das System alleinig unter dem Verweis auf eine Zertifizierung genehmigt. Der Anbieter freut sich und setzt den neuen Kunden auf eine Referenzliste auf seiner Webseite. Was den nächsten Kunden veranlasst, weniger genau hinzuschauen, denn es kann ja nicht sein, dass ein großes und bekanntes Unternehmen sich nicht an die gesetzlichen Vorschriften hält. Dieses System setzt sich fort, bis ein paar Dutzend Referenzen auf der Webseite zu finden sind. Jeder verweist auf den nächsten. Und keiner ist verantwortlich?

Falsch. Verantwortlich ist jeder einzelne Auftraggeber. Werden datenschutzrechtliche Unzulänglichkeiten beim Dienstleister öffentlich, ist es nicht der Dienstleister, der dafür belangt wird, sondern gem. § 11 BDSG der Auftraggeber. Und dies trifft jeden einzelnen, der sich auf eine Referenzliste verlassen hat. Da hilft auch kein Schriftsatz eines Anwaltes, der vom Thema offensichtlich soviel Ahnung hat, wie eine Kuh vom Eierlegen und eine Verteidigungsstrategie auszugsweise auf einen einzelnen Baustein des GSHB vom BSI (Grundschutzhandbuchs des Bundesamtes für Sicherheit in der Informationstechnologie) bezieht. Aber der Anwalt ist ja auch nicht die speichernde, d.h., verantwortliche Stelle…

In diesem Sinne mein Ratschlag: Schauen Sie hinter die Kulissen und lassen Sie sich nicht von Normen oder Zeritifizierungen, und schon gar nicht von Referenzen blenden.