Bereits in einer Kun­den­in­for­ma­ti­on aus 2012 haben wir auf das The­ma inoff­zi­el­les Out­sour­cing durch Mit­ar­bei­ter auf­merk­sam gemacht. Nicht vor­han­de­ne Funk­tio­nen in der IT-Struk­tur wer­den durch gewief­te Mit­ar­bei­ter und exter­ne Tools — oft­mals dann ohne Kennt­nis der IT-Ver­ant­wort­li­chen — ein­ge­führt und genutzt. Sicher­heits­lü­cke, dro­hen­de Buß­gel­der und mög­li­che Daten­pan­nen gleich inklusive.

2009 hat das ame­ri­ka­ni­sche Sati­re Maga­zin The Oni­on einen Video­clip pro­du­ziert, auf­ge­macht wie einen offi­zi­el­len Nach­rich­ten­bei­trag im US Fern­se­hen. Dar­in wird berich­tet, das nun nicht mehr nur Unter­neh­men Out­sour­cing betrei­ben, son­dern auch Mit­ar­bei­ter selbst. Um Arbeits­zeit zu spa­ren und mehr Zeit­res­sour­cen z.B. zum Kaf­fee trin­ken, Ebay-Auk­tio­nen ver­fol­gen oder ein­fach nur rela­xen, heu­ern ame­ri­ka­ni­sche Mit­ar­bei­ter (im Video noch Fakes) preis­wer­te exter­ne Hilfs­kräf­te an. Die­se erle­di­gen dann die Auf­ga­ben des Ange­stell­ten, der sei­ne freie Zeit nun deut­lich sinn­vol­ler nut­zen kann. Was 2009 als Sati­re begann, wur­de mit einer Mel­dung am gest­ri­gen Tage Realität:

Eine Fir­ma wand­te sich an das Sicher­heits­un­ter­neh­men Veri­zon mit der Bit­te, auf­fäl­li­ge Log­files zu über­prü­fen. Die­se wür­den einen kon­ti­nu­ier­li­chen VPN Tun­nel nach Chi­na bele­gen. Die Ver­bin­dung wur­de mit dem eTo­ken (vor­bild­lich) eines Soft­ware­ent­wick­lers auf­ge­baut, der wäh­rend der Log­zei­ten jedoch nicht zu Hau­se, son­dern an sei­nem Schreib­tisch im Büro saß. Wei­ter ergab die Ana­ly­se, das die Ver­bin­dung in den letz­ten 6 Mona­ten fast kon­ti­nu­ier­lich auf­ge­baut war. Die Unter­su­chung des Arbeits­plat­zes brach­te es dann ans Tages­licht: der Ent­wick­ler hat­te sich für ein Fünf­tel sei­nes eige­nen Jah­res­ge­halts einen Dienst­leis­ter aus dem fer­nen Chi­na geleis­tet, der sei­ne Pro­gram­mier­auf­ga­ben pflicht­be­wußt über­nahm. Das not­wen­di­ge eTo­ken schick­te der fin­di­ge Mit­ar­bei­ter auf dem Post­weg ins Land der auf­ge­hen­den Son­ne. Mitt­ler­wei­le arbei­tet der Pro­gram­mie­rer nicht mehr für das Unter­neh­men. Kuri­os jedoch: der ver­meint­lich von ihm gelie­fer­te Pro­gramm-Code war stets so gut, so daß er mehr­fach bes­te Bewer­tun­gen dafür erhielt.

Wie fin­dig sind Ihre Mitarbeiter?

aboutpixel.de / Roter gehts nicht © Rainer Sturm

Warnung, Stopp, Rote LampeDer Gesetz­ge­ber schreibt für das Out­sour­cing von Dienst­leis­tun­gen mit per­so­nen­be­zo­ge­nen Daten oder Zugriffs­mög­lich­keit auf die­se eine Rege­lung zur soge­nann­ten “Auf­trags­da­ten­ver­ar­bei­tung” nach § 11 Bun­des­da­ten­schutz­ge­setz (BDSG) vor.  So wird z.B. eine Prü­fung der tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men (TOM) nach der Anla­ge zu § 9 BDSG erwar­tet zusam­men mit einer ver­trag­li­chen Rege­lung (meist in Form einer Zusatz­ver­ein­ba­rung), die den Umgang mit per­so­nen­be­zo­ge­nen Daten sehr detail­liert kon­kre­ti­siert und die Rech­te und Pflich­ten der Par­tei­en defi­niert. Auch die­se zu regeln­den Inhal­te sind durch den Gesetz­ge­ber in § 11 BDSG festgeschrieben.

Was liegt also nun näher, als sich als kun­den- und ser­vice­ori­en­tier­ter Dienst­leis­ter her­vor­zu­tun und sei­nem poten­ti­el­len Auf­trag­ge­ber die not­wen­di­ge For­mu­lie­rung samt Anla­ge der TOM gleich mit dem Haupt­ver­trag mit­zu­lie­fern? Schließ­lich ist das teil­wei­se noch ein kla­rer Wett­be­werbs­vor­teil und zusätz­lich zeigt man sei­nem Kun­den gleich, wie wich­tig man ihn und sein Anlie­gen nimmt. Neben­bei erspart man sich das Prü­fen und Frei­ge­ben zahl­rei­cher durch Kun­den selbst for­mu­lier­ter Rege­lun­gen zur Auf­trags­da­ten­ver­ar­bei­tung. Und die Anla­ge mit den tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men (TOM) muss intern so oder so in Ver­bin­dung mit dem Ver­fah­rens­ver­zeich­nis (auch dies ist gesetz­li­che Pflicht) geführt werden.

Kurio­ser­wei­se zeich­net sich in der letz­ten Zeit eine Ent­wick­lung ab, die ich für sehr unglück­lich und kurz­fris­tig gedacht hal­te.  So häu­fen sich Vor­gän­ge,  in denen Dienst­leis­ter für das Aus­fer­ti­gen der gesetz­lich vor­ge­schrie­be­nen Ver­ein­ba­rung zur Auf­trags­da­ten­ver­ar­bei­tung (ohne die sie über­haupt kei­nen Auf­trag erhal­ten dürf­ten) eine “Gebühr” ver­lan­gen. Getoppt wird dies noch gele­gent­lich durch den Wunsch nach einer jähr­li­chen “Ver­län­ge­rungs­ge­bühr”. Um die­se For­de­rung nach zusätz­li­chen Hono­ra­ren zu recht­fer­ti­gen, fin­det man dann durch­aus Argu­men­ta­tio­nen wie das gene­rel­le Abstrei­ten des Vor­lie­gens einer Auf­trags­da­ten­ver­ar­bei­tung und den erhöh­ten Auf­wand, den der Auf­trag­neh­mer hät­te, da er die­se Maß­nah­me ja nur unter­stüt­ze, um dem Auf­trag­ge­ber aus einer mög­li­chen Rechts­mi­se­re zu hel­fen (näm­lich dem Buß­gel­dri­si­ko von bis zu 50.000 Euro für eine nicht oder nicht rich­tig umge­setz­te Auftragsdatenverarbeitung).

Selbst­ver­ständ­lich sind Dienst­leis­tun­gen, die sich aus der Zusam­men­ar­beit erge­ben, zu hono­rie­ren. Wie­so jedoch die Ver­trags­an­bah­nung mit den not­wen­di­gen Unter­la­gen — in die­sem Fall der Anla­gen zur Auf­trags­da­ten­ver­ar­bei­tung — bereits hier­durch kos­ten­pflich­tig wer­den soll, ist nicht nachvollziehbar.

Für mich als poten­ti­el­ler Auf­trag­ge­ber ist in einem sol­chen Fall die Ent­schei­dung klar …  Inter­es­sant wäre sicher auch eine Stel­lung­nah­me einer Lan­des­da­ten­schutz­be­hör­de zu solch einem Vor­ge­hen. Doch selbst wenn die­se recht­lich bean­stan­dungs­frei ist, hät­te sich ein sol­cher Anbie­ter aus mei­ner enge­ren Aus­wahl im wahrs­ten Sin­ne des Wor­tes “aus­ge­preist”.