Bereits in einer Kun­den­in­for­ma­ti­on aus 2012 haben wir auf das The­ma inoff­zi­el­les Out­sour­cing durch Mit­ar­bei­ter auf­merk­sam gemacht. Nicht vor­han­de­ne Funk­tio­nen in der IT-Struk­tur wer­den durch gewief­te Mit­ar­bei­ter und exter­ne Tools — oft­mals dann ohne Kennt­nis der IT-Ver­ant­wort­li­chen — ein­ge­führt und genutzt. Sicher­heits­lü­cke, dro­hen­de Buß­gel­der und mög­li­che Daten­pan­nen gleich inklusive.

2009 hat das ame­ri­ka­ni­sche Sati­re Maga­zin The Oni­on einen Video­clip pro­du­ziert, auf­ge­macht wie einen offi­zi­el­len Nach­rich­ten­bei­trag im US Fern­se­hen. Dar­in wird berich­tet, das nun nicht mehr nur Unter­neh­men Out­sour­cing betrei­ben, son­dern auch Mit­ar­bei­ter selbst. Um Arbeits­zeit zu spa­ren und mehr Zeit­res­sour­cen z.B. zum Kaf­fee trin­ken, Ebay-Auk­tio­nen ver­fol­gen oder ein­fach nur rela­xen, heu­ern ame­ri­ka­ni­sche Mit­ar­bei­ter (im Video noch Fakes) preis­wer­te exter­ne Hilfs­kräf­te an. Die­se erle­di­gen dann die Auf­ga­ben des Ange­stell­ten, der sei­ne freie Zeit nun deut­lich sinn­vol­ler nut­zen kann. Was 2009 als Sati­re begann, wur­de mit einer Mel­dung am gest­ri­gen Tage Realität:

Eine Fir­ma wand­te sich an das Sicher­heits­un­ter­neh­men Veri­zon mit der Bit­te, auf­fäl­li­ge Log­files zu über­prü­fen. Die­se wür­den einen kon­ti­nu­ier­li­chen VPN Tun­nel nach Chi­na bele­gen. Die Ver­bin­dung wur­de mit dem eTo­ken (vor­bild­lich) eines Soft­ware­ent­wick­lers auf­ge­baut, der wäh­rend der Log­zei­ten jedoch nicht zu Hau­se, son­dern an sei­nem Schreib­tisch im Büro saß. Wei­ter ergab die Ana­ly­se, das die Ver­bin­dung in den letz­ten 6 Mona­ten fast kon­ti­nu­ier­lich auf­ge­baut war. Die Unter­su­chung des Arbeits­plat­zes brach­te es dann ans Tages­licht: der Ent­wick­ler hat­te sich für ein Fünf­tel sei­nes eige­nen Jah­res­ge­halts einen Dienst­leis­ter aus dem fer­nen Chi­na geleis­tet, der sei­ne Pro­gram­mier­auf­ga­ben pflicht­be­wußt über­nahm. Das not­wen­di­ge eTo­ken schick­te der fin­di­ge Mit­ar­bei­ter auf dem Post­weg ins Land der auf­ge­hen­den Son­ne. Mitt­ler­wei­le arbei­tet der Pro­gram­mie­rer nicht mehr für das Unter­neh­men. Kuri­os jedoch: der ver­meint­lich von ihm gelie­fer­te Pro­gramm-Code war stets so gut, so daß er mehr­fach bes­te Bewer­tun­gen dafür erhielt.

Wie fin­dig sind Ihre Mitarbeiter?

Top Ser­vice, Top Leis­tung, Top Preis © kebox — Fotolia.com

Selbst wenn Sie einen inter­nen betrieb­li­chen Daten­schutz­be­auf­trag­ten bestel­len, pro­fi­tie­ren Sie von unse­ren Leis­tun­gen. Frisch zurück aus dem Daten­schutz-Grund­se­mi­nar wird sich Ihr Mit­ar­bei­ter mög­li­cher­wei­se schwer tun, zwi­schen den umfäng­li­chen Auf­ga­ben und Anfor­de­run­gen an einen Daten­schutz­be­auf­trag­ten einen sinn­vol­len und effi­zi­en­ten Weg zu fin­den. Gleich­zei­tig soll er oder sie sich noch um die eigent­li­chen Auf­ga­ben am Arbeits­platz küm­mern, sofern Sie kei­nen Voll­zeit-Daten­schutz­be­auf­trag­ten bestellt haben. Hier set­zen wir mit den a.s.k. Unter­stüt­zungs­dienst­leis­tun­gen für inter­ne Daten­schutz­be­auf­trag­te an. Nach Wunsch hel­fen wir einen oder meh­re­re Tage in der Ein­stiegs­pha­se Ihres Daten­schutz­be­auf­trag­ten mit Rat und Tat:

[check­list]
  • Iden­ti­fi­ka­ti­on der rele­van­ten Arbeits­schrit­te für die ers­ten 12 Monate
  • Fest­le­gen einer opti­mier­ten Rei­hen­fol­ge und Vorgehensweise
  • Aus­wahl geeig­ne­ter Softwarelösungen
  • Kon­zep­ti­on not­wen­di­ger Doku­men­ta­tio­nen und Richtlinien
  • Auf Wunsch: Über­nah­me der Dokumentation
  • Ent­wick­lung  von Trai­nings­ein­hei­ten zur Mit­ar­bei­ter­sen­si­bi­li­sie­rung und Schulung
  • Auf Wunsch: Über­nah­me der Mitarbeiterschulungen
  • Coach und Spar­ring-Part­ner für Fra­gen und Problemstellungen
Doch selbst wenn Ihr inter­ner Daten­schutz­be­auf­trag­ter bereits seit län­ge­rem aktiv ist, kann eine exter­ne Unter­stüt­zung sinn­voll sein z.B. wenn die­ser auf­grund sai­so­na­ler Auf­ga­ben sei­ne Res­sour­cen ander­wei­tig ein­set­zen muss:
  • Über­nah­me von Schulungsmaßnahmen
  • Ein­füh­ren von Datenschutz-Softwarelösungen
  • Aus­la­gern der Dokumentationstätigkeiten
  • Prü­fung exter­ner Dienst­leis­ter und deren Ver­ein­ba­rung nach § 11 BDSG Auftragsdatenverarbeitung
  • Unter­stüt­zung bei der daten­schutz­recht­li­chen Bewer­tung und Ein­füh­rung kom­ple­xer Soft­ware­lö­sun­gen wie CRM, SAP, Lohn & Gehalt etc.
[/​checklist]
Sie buchen unse­re Unter­stüt­zungs­leis­tun­gen ganz bequem nach Auf­wand. Bei län­ger­fris­ti­ger Zusam­men­ar­beit sind selbst­ver­ständ­lich attrak­ti­ve Pau­scha­len /​ Tari­fe möglich.
Neu­gie­rig? Dann nut­zen Sie doch gleich unser Anfra­ge-For­mu­lar.

2013 soll bei der Alli­anz-Ver­si­che­rung das Jahr des elek­tro­ni­schen Ver­si­che­rungs­ord­ners wer­den. In die­sem sol­len auch hoch­sen­si­ble Ver­si­cher­ten­in­for­ma­tio­nen abge­legt wer­den. Für den Kon­zern noch ein wei­ter Weg und durch die aktu­ell bekannt gewor­de­ne Daten­pan­ne nun noch steiniger.

Der Finan­cial Times Deutsch­land lie­gen ver­trau­li­che Unter­la­gen über Kun­den der Alli­anz Ver­si­che­rung vor. Die­se ent­hal­ten unter ande­rem Straf­an­zei­gen, Ermitt­lungs­ak­ten, Schrei­ben von Ban­ken und Vor­gän­ge über Ver­si­che­rungs­fäl­le. Die Alli­anz weist die Schuld einem Pri­va­ter­mitt­ler zu, des­sen Ver­trag 2011 been­det wur­de. Die Nut­zung sol­cher Detek­tei­en ist in der Bran­che durch­aus üblich.

Der Lan­des­da­ten­schutz­be­auf­trag­te von Schles­wig-Hol­stein, Thi­lo Wei­chert, hält eine sol­che Wei­ter­ga­be nur in Aus­nah­me­fäl­len für zuläs­sig. Hier müs­se dann schon ein sehr kon­kre­ter Ver­dacht auf Ver­si­che­rungs­be­trug vorliegen.

Für den Kon­zern heißt es nun Haus­auf­ga­ben machen. Man pla­ne die Reduk­ti­on der Detek­tei­en, mit denen man zusam­men­ar­bei­te, ver­lau­tet ein Spre­cher der Alli­anz. Qua­li­täts- und Zuver­läs­sig­keits­prü­fun­gen wür­de man heu­te bereits durchführen.

aboutpixel.de / Roter gehts nicht © Rainer Sturm

Warnung, Stopp, Rote LampeDer Gesetz­ge­ber schreibt für das Out­sour­cing von Dienst­leis­tun­gen mit per­so­nen­be­zo­ge­nen Daten oder Zugriffs­mög­lich­keit auf die­se eine Rege­lung zur soge­nann­ten “Auf­trags­da­ten­ver­ar­bei­tung” nach § 11 Bun­des­da­ten­schutz­ge­setz (BDSG) vor.  So wird z.B. eine Prü­fung der tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men (TOM) nach der Anla­ge zu § 9 BDSG erwar­tet zusam­men mit einer ver­trag­li­chen Rege­lung (meist in Form einer Zusatz­ver­ein­ba­rung), die den Umgang mit per­so­nen­be­zo­ge­nen Daten sehr detail­liert kon­kre­ti­siert und die Rech­te und Pflich­ten der Par­tei­en defi­niert. Auch die­se zu regeln­den Inhal­te sind durch den Gesetz­ge­ber in § 11 BDSG festgeschrieben.

Was liegt also nun näher, als sich als kun­den- und ser­vice­ori­en­tier­ter Dienst­leis­ter her­vor­zu­tun und sei­nem poten­ti­el­len Auf­trag­ge­ber die not­wen­di­ge For­mu­lie­rung samt Anla­ge der TOM gleich mit dem Haupt­ver­trag mit­zu­lie­fern? Schließ­lich ist das teil­wei­se noch ein kla­rer Wett­be­werbs­vor­teil und zusätz­lich zeigt man sei­nem Kun­den gleich, wie wich­tig man ihn und sein Anlie­gen nimmt. Neben­bei erspart man sich das Prü­fen und Frei­ge­ben zahl­rei­cher durch Kun­den selbst for­mu­lier­ter Rege­lun­gen zur Auf­trags­da­ten­ver­ar­bei­tung. Und die Anla­ge mit den tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men (TOM) muss intern so oder so in Ver­bin­dung mit dem Ver­fah­rens­ver­zeich­nis (auch dies ist gesetz­li­che Pflicht) geführt werden.

Kurio­ser­wei­se zeich­net sich in der letz­ten Zeit eine Ent­wick­lung ab, die ich für sehr unglück­lich und kurz­fris­tig gedacht hal­te.  So häu­fen sich Vor­gän­ge,  in denen Dienst­leis­ter für das Aus­fer­ti­gen der gesetz­lich vor­ge­schrie­be­nen Ver­ein­ba­rung zur Auf­trags­da­ten­ver­ar­bei­tung (ohne die sie über­haupt kei­nen Auf­trag erhal­ten dürf­ten) eine “Gebühr” ver­lan­gen. Getoppt wird dies noch gele­gent­lich durch den Wunsch nach einer jähr­li­chen “Ver­län­ge­rungs­ge­bühr”. Um die­se For­de­rung nach zusätz­li­chen Hono­ra­ren zu recht­fer­ti­gen, fin­det man dann durch­aus Argu­men­ta­tio­nen wie das gene­rel­le Abstrei­ten des Vor­lie­gens einer Auf­trags­da­ten­ver­ar­bei­tung und den erhöh­ten Auf­wand, den der Auf­trag­neh­mer hät­te, da er die­se Maß­nah­me ja nur unter­stüt­ze, um dem Auf­trag­ge­ber aus einer mög­li­chen Rechts­mi­se­re zu hel­fen (näm­lich dem Buß­gel­dri­si­ko von bis zu 50.000 Euro für eine nicht oder nicht rich­tig umge­setz­te Auftragsdatenverarbeitung).

Selbst­ver­ständ­lich sind Dienst­leis­tun­gen, die sich aus der Zusam­men­ar­beit erge­ben, zu hono­rie­ren. Wie­so jedoch die Ver­trags­an­bah­nung mit den not­wen­di­gen Unter­la­gen — in die­sem Fall der Anla­gen zur Auf­trags­da­ten­ver­ar­bei­tung — bereits hier­durch kos­ten­pflich­tig wer­den soll, ist nicht nachvollziehbar.

Für mich als poten­ti­el­ler Auf­trag­ge­ber ist in einem sol­chen Fall die Ent­schei­dung klar …  Inter­es­sant wäre sicher auch eine Stel­lung­nah­me einer Lan­des­da­ten­schutz­be­hör­de zu solch einem Vor­ge­hen. Doch selbst wenn die­se recht­lich bean­stan­dungs­frei ist, hät­te sich ein sol­cher Anbie­ter aus mei­ner enge­ren Aus­wahl im wahrs­ten Sin­ne des Wor­tes “aus­ge­preist”.