Zwei Begriffe: Outsourcing und Recht. Beide gehören zusammen. Dieses Mal sprechen wir mit dem Experten Fabian Stößer, der bei der High-End Beratung GRAEF Rechtsanwälte arbeitet. Er verrät in 7 Antworten auf 7 Fragen anschaulich, welche Rechtsgebiete wie mit Outsourcing zusammenhängen.
Dir als Service Partner Manager:in, Outsourcing Koordinator:in oder Dienstleistersteurer:in, wie Vendor Manager:innen mit unterschiedlichen Titel firmieren, liefert er u. a.:
- Für diese Themen trägst du die Verantwortung.
- DSGVO, GDPR und der wichtige Unterschied “Auftragsverarbeitung” vs. “gemeinsame Verantwortung”
- Den wichtigen Tipp, wozu die die Leistungskontrolle vertraglich regelst. Denn:
Man kann zwar gerne versuchen, mit dem Finger auf jemand anderen zu zeigen, aber letztendlich ist es so: Die Verantwortung trägt man immer selbst.
Fabian Stößer, GRAEF Rechtsanwälte
Ton an – Rechts-Experte im Talk Outsourcen ohne Verantwortung?
Schalte deine Lautsprecher ein, schnappe dir eine Tasse Tee oder Kaffee und los geht’s.
Dein Transkript zur Lektüre “Outsourcen ohne Verantwortung – Rechts-Experte im Talk”
Für alle, die lieber lesen, gibt es als praktischen Service hier das Transkript.
Bernhard Gandolf:
Willkommen auf eine Tasse Tee. Heute genieße, ich Certified Management Consultant und Geschäftsführer von european institute for service quality, Bernhard Gandolf, eine Tasse Tee mit Fabian Stößer. Herr Stößer trägt einen doppelten Master of Laws und arbeitet bei GRAEF Rechtsanwälte in Hamburg. Das Unternehmen bezeichnet sich selbst als Spezialisten für High-End Beratung. Herr Stößer. Schön, dass Sie sich für unser Publikum die Zeit nehmen und Ihre Expertise mit uns teilen.
Fabian Stößer:
Guten Tag, Herr Gandolf. Vielen Dank, dass ich hier mit Ihnen Ihre Tasse Tee gemeinsam verbringen kann und hoffentlich allen, die sich das Video hier anschauen werden, hoffentlich auch ein bisschen Neuigkeiten kommunizieren kann und wir gemeinsam schlauer werden.
1. Frage: Outsourcing & Recht – Um welche 3-5 Rechtsgebiete geht es hauptsächlich?
Bernhard Gandolf:
Davon bin ich felsenfest überzeugt. Starten wir gleich. Outsourcing-Projekte allgemein und IT-Outsourcing im Besonderen. Führen regelmäßig zu einer Fülle von rechtlichen Fragen. Um welche 3 bis 5 Rechtsgebiete handelt es sich Ihrer langjährigen Erfahrung nach dabei hauptsächlich?
Fabian Stößer:
Ja. Also eins ist natürlich immer maßgeblich. Das ist eigentlich immer, wenn es ums Recht geht, das allgemeine Vertragsrecht, insbesondere im IT-Bereich natürlich. Es gibt sehr viele Spezifikationen, die gerade im IT-Bereich zu berücksichtigen sind, wo wir dann auch in Bereiche des Urheberrechts oder auch zu anderen Thematiken kommen. Was gerade aber auch bei Outsourcing Projekten mit eines der größten Themen ist, das kann man glaube ich einfach gar nicht genug betonen. Ist tatsächlich das Thema Datenschutz, insbesondere wenn, was häufig der Fall ist. Manchmal sind es bei Unternehmen so, dass sie gar nicht so genau glauben, dass sie vielleicht sogar gerade personenbezogene Daten verarbeiten. Und dann stellen sie dann auf einmal doch fest urplötzlich: Wir haben hier gerade einen Vertrag, einen Dienstleister und der kriegt tatsächlich doch irgendwelche Daten von uns, die dann wiederum das Datenschutzrecht Anwendung finden lassen.
Deswegen ist das immer ein wichtiges Thema, was man immer im Hinterkopf gedacht haben sollte. Und als drittes natürlich, das ist jetzt keine spezifisches IT-Thematik, aber Gefahren des Arbeitsrechts können auch immer mal wieder lauern, wenn es nämlich um Sachen wie Scheinselbständigkeit oder dergleichen geht. Zu guter Letzt würde ich noch sagen einen Rechtsbereich oder ein Gesetz, was faktisch nicht so wirklich große Anwendung findet.
Aber was trotzdem große Relevanz hat, ist das Gesetz zum Schutz von Geschäftsgeheimnissen. Faktisch hat natürlich das Thema Schutz von Geschäftsgeheimnissen eine große Relevanz. Bloß das Gesetz selber setzt so welche hohen Hürden, dass es häufig gar nicht so umfassend angewendet wird und man dann eher wieder im Bereich des allgemeinen Schuldrechts versucht, mit den Vertragspartnern entsprechende Verschwiegenheitsvereinbarungen zu regeln, die dann wiederum diese Geschäftsgeheimnisse tatsächlich schützen.
Bernhard Gandolf:
Sehr interessant. Vielen Dank.
2. Frage: DSGVO/GDPR als Kernthema – Worin besteht der Unterschied zwischen einer Auftragsverarbeitung und einer gemeinsamen Verantwortung?
Sie sprachen von Datenschutz, der berühmten Datenschutzgrundverordnung oder GDPR, wie es auf Englisch heißt. Die spielen also immer eine Rolle? In einfachen Worten bitte. Worin besteht der Unterschied zwischen einer Auftragsverarbeitung und einer gemeinsamen Verantwortung? Welche Auswirkungen ergeben sich daraus für auslagernde Unternehmen?
Fabian Stößer:
Also zum Ersten Verantwortlicher und Auftragsverarbeiter zwei Begriffe, die so auch Gott sei Dank relativ einfach formuliert sind, auch im Gesetz und Verantwortlicher ist der, der über die Zwecke und die Mittel der Verarbeitung der personenbezogenen Daten entscheidet. Also letztendlich der, der final den Hut auf hat und sagt: Hier geht’s lang, das machen wir mit den Mitteln, weil ich diesen Zweck verfolge. Der Auftragsarbeit hingegen ist natürlich der klassische Dienstleister, wie man ihn sich vorstellt.
Er selber hat keinen Anspruch, sage ich mal mit diesen Daten, die er dann bekommt, oder diese Leistung, die er erbringt, erbringt er ausschließlich für den Auftraggeber, in diesem Fall den Verantwortlichen. Und hat aber selber kein Eigeninteresse an den Daten, die er da verarbeitet, sondern sein Interesse besteht einfach nur darin, ein Service für jemand anderen anzubieten und dafür ein Entgelt zu bekommen.
Und jetzt haben wir natürlich noch das Thema der gemeinsamen Verantwortlichkeit. Gemeinsame Verantwortlichkeit haben wir immer dann, wenn wir mehr als einen haben, der den Hut auf hat. In größeren Unternehmensstrukturen hat man das relativ häufig, dass gewisse Bereiche ausgegliedert sind in andere Gesellschaften und dann merkt man jetzt auf einmal, gerade im Datenschutzrecht: Oh, hier sind verschiedene Gesellschaften, die irgendwie alle auf die gleichen Informationen zurückgreifen wollen, aber aus eigenen Bedürfnissen.
Sie verfolgen eigene Interessen dabei. Aber die Organisation findet alles gemeinsam statt. Und dann sind wir häufig im Bereich der gemeinsamen Verantwortlichkeit. Und wie der Name schon sagt, da haben dann beide den Hut auf, beide sind verantwortlich und deswegen, auch weil die Grenzen zwischen gemeinsamer Verantwortlichkeit und Auftragsarbeit teilweise schwimmend sind, es ist wichtig, in den Verträgen klar zu regeln, aber auch in der gelebten Praxis dann wirklich auch klar zu leben, ob hier gerade die eine Entity als Verantwortlicher auftritt oder aber ob er als Auftragsverarbeiter für eine andere Entity, die Information verarbeitet
3. Frage: DSGVO/GDPR als Kernthema – Was bedeutet das für die fremdvergebenden Firmen konkret?
Bernhard Gandolf:
Und was bedeutet das für die Firmen, die auslagern? Worauf achten die besonders?
Fabian Stößer:
Die Firmen, die auslagern, sind im üblichen Fall die Verantwortlichen, weil sie lagern aus, weil sie ja selber nicht mit den Themen befassen wollen oder die Verarbeitungsprozesse selber durchführen wollen. Sie werden also grundsätzlich Verantwortlicher sein und im Regelfall sind sie auch der alleinige Verantwortliche, weil man als auslagerndes Unternehmen eigentlich nicht möchte, dass jemand anders mit seinen Informationen noch eigene Interessen verfolgt.
Also da hätten wir das klassische Verhältnis Verantwortlicher und Auftragsverarbeiter, da muss ich dann darauf achten, dass ich die entsprechenden Verträge mit Auftragsverarbeitern schließe. Das ist auch zwingend. Das sieht auch die DSGVO so vor. Und da gibt es auch gewisse Kriterien, die eingehalten werden müssen, zu denen wir vielleicht auch noch mal zu sprechen kommen. Und es gibt aber auch einfach gewisse Zonen, wo man es vielleicht auf Anhieb mal gar nicht so denkt.
Beispiel die Facebook Fanpages, die wir alle vielleicht kennen. Unternehmen gehen davon aus: Ja, was sind wir eigentlich jetzt, wenn wir jetzt eine Nachricht über diese Fanpages bekommen sind? Bin ich jetzt Verantwortlicher? Ist Facebook Verantwortlicher? Und da kommen wir in die Bereiche, wo sich selbst der Bund selbst noch nicht so ganz einig ist. Da sind momentan selbst Streitgespräche, ob man jetzt als Unternehmen eine Fanpage überhaupt betreiben kann.
Wer ist Verantwortlicher? Momentan geht man davon aus, das ist eigentlich relativ deutlich, dass eine gemeinsame Verantwortlichkeit besteht, weil man einfach als Unternehmen dann zum Beispiel gar nicht das Gefühl hat oder gar nicht kontrollieren kann, was Facebook da noch mit diesen Daten macht.
4. Frage: Outsourcing-Vertrag – Warum empfiehlt GRAEF Regelungen zur Leistungskontrolle juristisch zu treffen?
Bernhard Gandolf:
Spannend vielen Dank. Wenn wir jetzt über Auslagerung sprechen, warum empfiehlt es sich aus Ihrer Sicht, Regeln zur Leistungskontrolle zu treffen? Sprich juristisch zu treffen? Wozu dient das konkret? Reicht es nicht zu sagen ich vertraue meinem Dienstleister?
Fabian Stößer:
Ja, also da gibt es einmal die DSGVO Antwort und es gibt einmal die allgemeine juristische Antwort. Ich fange mal mit der allgemeinen juristischen Antwort an. Eigentlich wie in allen Lebenslagen. Vertrauen ist gut, Kontrolle ist besser. Wenn ich selber gewisse Leistungen outsourcen, habe ich ja trotzdem meine eigenen Vertragspartner. Ich bin weiterhin Dienstleister, meistens für einen Auftraggeber und ich bin ja da auch vertraglich verpflichtet.
So, und wenn jetzt mein Dienstleister dem ich mir wieder bediene, im Rahmen des Outsourcing seine Leistungen nicht entsprechend erfüllt, ich aber da einfach gar keine Kontrolle drüber habe, weil ich das nie kontrolliere oder dergleichen, ist es so, dass letztendlich mein Auftraggeber wird mich zur Kasse bitten und sagen: Hier, du hast deine Leistung nicht richtig erbracht und mir fehlt auf einmal der Rückgriff der sogenannte Regress, dass ich dann sagen kann: Hier bitte mein outgesourctes Unternehmen, ihr habt einen Fehler gemacht und deswegen nehme ich euch jetzt hier in Anspruch und ihr müsst diesen Fehler halt finanziell ausgleichen.
Und das geht natürlich nur, wenn wir Regeln machen, was das andere Unternehmen, der Auftragnehmer in dem Fall zu tätigen hat. Und ich muss natürlich, wie in allen anderen Lebensbereichen auch, reicht es nicht, nur einmal ein Vertrag gemacht zu haben, sondern es ist natürlich auch entscheidend, dass ich auch immer wieder gucke: Passiert es wirklich? Ich würde ja meinem Handwerker, wenn ich dem Handwerker sage: Bau mir bitte mein Haus. Würde ich ja auch nicht nur am ersten Tag, als den Vertrag unterschreibe, einmal hingehen, gucke mir das das leere Grundstück an und kommen am letzten Tag raus und sage: Ja, irgendwie gefällt mir das jetzt nicht. Hier sind die Fenster ganz woanders.
Deswegen ist das auch etwas ganz Natürliches, was man eigentlich in allen Tätigkeitsbereichen so macht. Nur noch im Datenschutz kommt jetzt noch verschärfend hinzu, dass die DSGVO konkret uns vorschreibt, in Art. 28 DSGVO, dass man einen solchen Vertrag schließen muss, der auch entsprechende Leistungskontrolle beinhaltet, weil Idee dahinter: Ich bin der Verantwortliche. Ich muss also kontrollieren, was mit den Daten passiert. Kann ich aber nur, wenn ich halt auch tatsächlich Zugriffsmöglichkeiten habe, bei meinem Subunternehmen entsprechende Kontrollen durchzuführen. Und dafür muss ich mir natürlich wieder ein vertragliches Gerüst bauen. Nicht, dass mein Subunternehmer sagen kann: Ja, nein, ich mache nichts, du darfst dir Garnichts bei mir anschauen. Ich habe gesagt, ich erbringe dir die Leistung und damit war es das.
5. Frage: Vendor Management – Was für rechtliche Pflichten haben Vendor Manager?
Teil 1 Datenschutz – Rechtsgebiete für Outsourcing
Bernhard Gandolf:
Ein sehr anschauliches Beispiel. Vielen Dank, das gefällt mir gut. Apropos gefällt mir gut, wenn ich jetzt so daran denke, ich bin Auftraggeber und Sie sprachen gerade davon. Die DSGVO sagte, ich sollte auch darüber Kontrolle tragen. Was für rechtliche Pflichten habe ich denn im Wesentlichen als Dienstleistersteuerer, als Vendor Manager?
Fabian Stößer:
Die rechtlichen Verpflichtungen sind relativ groß. Wenn wir jetzt im Rahmen der Datenschutzgrundverordnung bleiben, fängt es halt alleine erst mal damit an, dass ich die entsprechenden Verträge mit meinen Dienstleistern, also Auftragsverarbeiten, schließen muss. Da gibt es auch, wie gesagt im Art. 28 DSGVO eine Information, was welche Themen alle besprochen werden müssen. Dazu gehören unter anderem halt auch die Möglichkeit der Kontrolle und auch die Verpflichtung des Auftragsverarbeiters, dass die Daten nicht für andere Sachen verwendet.
Daneben muss ich auch, das gehört auch dazu, wenn ich personenbezogene Daten von meinen Kunden verarbeite und ich mich Auftragsverarbeiten bediene, muss ich diese auch darauf hinweisen. Das passiert regelmäßig in den klassischen Datenschutzhinweisen, wie wir sie von Webseiten schon lange kennen, die aber nicht nur für Webseiten oder für den digitalen Bereich Anwendung finden, sondern für jeglichen Kontakt zwischen Unternehmen und das ist also auch immer wichtig, dann zu sagen, dass man die betroffene Person darüber aufklärt:
Hör mal zu, ich benutze den und den Dienstleister, um meine Leistung dir gegenüber zu erbringen. Und ich muss jetzt auch begründen, warum ich das mache, auf welcher rechtlichen Grundlage ich das mache. Also da hat man auch einfach eine Verantwortung gegenüber den Betroffenen. Und natürlich kommen da kommen noch mehrere Facetten an rechtlichen Verpflichtungen auf einen zu.
Aber das sind häufig die großen Themen. Einmal sich absichern gegenüber seinen Auftrags-Verarbeiten, aber dann auch wiederum, die Transparenz zu zeigen gegenüber denjenigen, dessen Daten ich verarbeite: Hör mal zu. Ich verarbeite deine Daten aber nicht nur alleine, sondern ich bediene mich dafür Auftragsverarbeiten. Und da hängen dann auch relativ viele Nachforschungspflichten auch für mich dran. Dass ich mich frage, welchen Dienstleister nehme ich überhaupt? Weil wenn ich nämlich Fehler mache, oder wenn ich einen Dienstleister nehme, der vielleicht in den USA ist und die Daten in den USA verarbeitet, aber es gäbe theoretisch auch eine Möglichkeit, diese Daten auch innerhalb Europas zu verarbeiten. Da sind die Datenschutz-Aufsichtsbehörde in letzter Zeit doch recht streng und sagen: Es gibt in Amerika nicht oder den USA nicht die gleichen Garantien, wie sie es in Europa gibt, wie mit Datenschutz umgegangen wird.
Deswegen sollte es immer versucht werden, einen Dienstleister zu finden, der es in Europa macht. Und das kann dann auch in Haftungsfragen kommen. Wenn nämlich ein Datenleck der kommt oder ein Betroffener sagt: Hier wird mit meinen Daten nicht sachgemäß umgegangen, heißt es halt, wenn ich die entsprechende Verpflichtung nicht einhalte, klopft entweder der Betroffene bei mir an der Tür oder auch die Datenschutzaufsichtsbehörden und klopfen an der Tür.
Und das ist ja vielleicht auch in den Medien relativ groß am Anfang der DSGVO auch allen in den Kopf gestoßen, vor den Kopf gestoßen worden, dass die Bußgelder entsprechend hoch sein können
6. Frage: Vendor Management – Was für rechtliche Pflichten haben Vendor Manager? Teil 2 weitere Rechtsgebiete für Outsourcing
Bernhard Gandolf:
Das ist jetzt der Bereich Datenschutz. Gibt es noch andere Pflichten oder andere Rechtsgebiete, aus denen mir Pflichten entstehen?
Fabian Stößer:
Ja, also natürlich erst mal aus meiner vertraglichen Pflicht gegenüber meinem Auftraggeber. Also der für den, ich gerade einen Prozess tätige. Bin ich häufig verpflichtet. Häufig werde ich mit dem, gerade im B2B Bereich Verschwiegenheitsvereinbarung haben. Und diese Verschwiegenheitsvereinbarung muss ich dann auch durchreichen an meine Auftragsverarbeiter. Ich muss also dafür sorgen, dass auch ein sehr plakativer und gleicher Grundsatz: Alles, wozu ich mich verpflichte, sollte ich tunlichst darauf achten, dass ich dazu auch die Leute denen ich mich bediene, auch dazu verpflichte, weil ich sonst halt häufig in die Fallen rutsche, dass ich mich selbst vertragsbrüchig mache gegenüber meinem Vertragspartner Und ich kann da nicht sagen: Es war ja, aber gar nicht ich, sondern es war das Unternehmen, die ich damit wiederum sub-beauftragt habe, um diese Tätigkeit durchzuführen.
7. Frage: Vendor Management – Lässt sich die Verantwortung outsourcen?
Bernhard Gandolf:
Das heißt, ich bleibe eigentlich immer verantwortlich. Ist es verkürzt zulässig zu sagen: Verantwortung lässt sich nicht outsourcen?
Fabian Stößer:
Ja, wie im wahren Leben. Verantwortung lässt sich nicht outsourcen. Man kann zwar gerne versuchen, mit dem Finger auf jemand anderen zu zeigen, aber letztendlich ist es so: Die Verantwortung trägt man immer selbst. Man selbst ist derjenige ja auch, der aktiv wurde und dann zum Beispiel die Daten oder halt auch den Auftrag von jemand anderem annimmt. Also stehe ich dafür auch ein, oder habe ich dafür auch einzustehen.
Und um das Beispiel der DSGVO noch einmal kurz festzumachen. Da war es auch so, eine der treibenden Ideen war: Wir hatten diese Datenkraken oder wir haben sie auch teilweise immer noch, wo Daten konsumiert werden, konsumiert werden, konsumiert werden und verarbeitet werden. Und irgendwer da sagt: Ja, aber ich habe da eigentlich nichts zu tun, ich konsumiere dann quasi nur das Endergebnis. Und deswegen ist man dort auch so streng und sagt: Nein, wenn du ja derjenige bist, der hier Daten aufnimmt, verarbeitet in irgendeiner Art, dann trägst du dafür auch die Verantwortlichkeit, Und du kannst jetzt auch nicht einfach ab-delegieren durch irgendwelche Subunternehmen, derer du dich bedienst, um dadurch dir sozusagen die Hände reinwaschen zu wollen. Deswegen Verantwortlichkeit bleibt immer. Die kann man nicht abgeben und auch nicht outsourcen.
Bernhard Gandolf:
Fantastisch! Lieber Herr Stößer, vielen Dank für Ihre Einblicke und Ihre Perspektive. Ich freue mich auf die nächste Tasse Tee. Ihr Bernhard Gandolf.
Fabian Stößer:
Vielen Dank und auf Wiedersehen.
Mehr über den Experten Fabian Stößer findest du…
… zum Beispiel auf der Website von GRAEF Rechtsanwälte in Hamburg. Dort gibt es eine eigene Seite von Fabian Stößer.
Mehr bequeme Videos rund um Outsourcing gibt es auf unserem YouTube Kanal – gleich abonnieren
Kennst du schon den Experten-Talk Nearshore?
Oder wie steht es um Videos von deiner Outsourcing-Beratung eisq? Hier findest du etwas. Alle Videos laufen über den Schreibtisch vonDennis. 400 km/h, 8 Jahre, Faszination …. klicke einfach in sein Portrait, um mehr über ihn zu erfahren.