„Vertrauen ist gut, Kontrollen sind wichtiger“, rät Fabian Stößer von GRAEF Rechtsanwälte. Mit ihm plaudere ich über Outsourcing und Recht.

Reicht es nicht zu sagen: „Ich vertraue meinem Dienstleister“? Mit dieser leicht polarisierenden Fragestellungen entlocke ich dem Experten der High-end Beratung GRAEF Rechtsanwälte…

• DSGVO und deine verantwortliche Rolle als Vendor Manager:in, Dienstleistersteuerer:in 
• Haftung im Vendor Management – bevor du als Service Partner Manager:in oder Outsourcing Koordinator:in zur Kasse gebeten wirst
• Verschwiegenheit und Hände reinwaschen – das geht im Vendor Management nicht zusammen – du bleibst verantwortlich

Als knackige Informations-Happen für mehr Kontrolle im Outsourcing

teilten wir das ausführliche Video-Interview für dich in 2 Portionen auf:

• Fabian Stößer modifizierte zusammen mit uns das Transkript, um es für dich noch leserfreundlicher zu machen.
• Inhaltlich fokussiert bekommst du kompakte Informations-Happen.

In dieser Ausgabe für mehr Kontrolle im Outsourcing

Outsourcing und Recht: Vertrauen ist gut, Kontrollen sind wichtiger

Praktisches Transkript: Vertrauen ist gut, Kontrollen sind besser – Outsourcing und Recht Teil 2

Für alle, die lieber lesen oder gerade den Ton nicht einschalten können, gibt es als praktischen Service das Transkript. Gemeinsam mit Fabian Stößer aktualisierten wir es für dich.

Outsourcing-Vertrag – Warum empfiehlt GRAEF Regelungen zur Leistungskontrolle juristisch zu treffen?

Bernhard Gandolf:

Spannend vielen Dank. Wenn wir jetzt über Auslagerung sprechen, warum empfiehlt es sich aus Ihrer Sicht, Regeln zur Leistungskontrolle zu treffen? Sprich juristisch zu treffen? Wozu dient das konkret? Reicht es nicht zu sagen: „Ich vertraue meinem Dienstleister“?

Fabian Stößer:

Ja, also da gibt es einmal die DSGVO Antwort und einmal die allgemeine juristische Antwort. 

Ich fange mal mit der allgemeinen juristischen Antwort an. Eigentlich ist es wie in allen Lebenslagen: Vertrauen ist gut, Kontrolle ist besser. Wenn ich selber gewisse Leistungen outsourcen möchte, habe ich trotzdem meine eigenen Vertragspartner. Ich bin weiterhin Dienstleister, meistens für einen Auftraggeber und bin demgegenüber vertraglich verpflichtet.

So, und wenn jetzt mein Dienstleister, im Rahmen des Outsourcing seine Leistungen nicht entsprechend erfüllt, ich darauf aber kein Einfluss nehmen kann, weil ich das nie kontrolliere oder dergleichen, ist es so, dass letztendlich mein Auftraggeber mich zur Kasse bitten und sagen wird: Hier, du hast deine Leistung nicht richtig erbracht. Mir fehlt in diesen Fällen häufig der Rückgriff, der sogenannte Regress, sodass ich sagen kann: outgesourctes Unternehmen, ihr habt einen Fehler gemacht und deswegen nehme ich euch jetzt in Anspruch und müsst diesen Fehler finanziell ausgleichen.

Regeln, um nicht zur Kasse gebeten zu werden

Das geht natürlich nur, wenn wir Regeln machen, was das andere Unternehmen, der Auftragnehmer in dem Fall zu tätigen hat. Wie in allen anderen Lebensbereichen auch, reicht es nicht, nur einmal einen Vertrag geschlossen zu haben, sondern es ist natürlich auch entscheidend, dass ich auch immer wieder gucke: Wird er auch gelebt? Wenn ich dem Handwerker sage: Bau mir bitte mein Haus, dann würde ich ja auch nicht nur am ersten Tag, als ich den Vertrag unterschreibe, einmal hingehen und das leere Grundstück anschauen und am letzten Tag komme ich dann wieder und sage: Ja, irgendwie gefällt mir das jetzt nicht. Die Fenster sind ganz woanders.

Kontrollen im Outsourcing sind deshalb etwas ganz Natürliches,

was man eigentlich in allen Tätigkeitsbereichen so macht.

Im Datenschutz kommt jetzt noch verschärfend hinzu, dass die DSGVO konkret vorschreibt, in Art. 28 DSGVO, dass man einen solchen Vertrag schließen muss, der auch entsprechende Leistungskontrolle beinhaltet. Die Idee dahinter: Ich bin der Verantwortliche. Ich muss also kontrollieren, was mit den Daten passiert. Kann ich aber nur, wenn ich auch tatsächlich Zugriffsmöglichkeiten habe, bei meinem Subunternehmen entsprechende Kontrollen durchzuführen und dafür muss ich mir natürlich wieder ein vertragliches Gerüst bauen. Nicht, dass mein Subunternehmer sagen kann: Nein, ich mache nichts, du darfst dir gar nichts bei mir anschauen. Ich habe gesagt, ich erbringe dir die Leistung und damit war es das.

Vendor Management – Was für rechtliche Pflichten haben Vendor Manager? Teil 1 Datenschutz – Rechtsgebiete für Outsourcing

Bernhard Gandolf:

Ein sehr anschauliches Beispiel. Vielen Dank, das gefällt mir gut. Apropos gefällt mir gut, wenn ich jetzt so daran denke, ich bin Auftraggeber und Sie sprachen gerade davon. Die DSGVO sagte, ich sollte auch darüber Kontrolle tragen. Was für rechtliche Pflichten habe ich denn im Wesentlichen als Dienstleistersteuerer, als Vendor Manager?

Fabian Stößer:

Die rechtlichen Verpflichtungen sind relativ groß. Wenn wir jetzt im Rahmen der Datenschutzgrundverordnung bleiben, fängt es bereits damit an, dass ich die entsprechenden Verträge mit meinen Dienstleistern, also Auftragsverarbeiten, schließen muss. Da gibt es auch, wie gesagt im Art. 28 DSGVO eine Regelung, die vorschreibt, welche Themen alle geregelt werden müssen. Dazu gehören unter anderem die Möglichkeit der Kontrolle und die Verpflichtung des Auftragsverarbeiters, dass er die Daten nicht für andere Sachen verwendet.

Daneben muss ich, das gehört zu den klaren Pflichten, wenn ich personenbezogene Daten von meinen Kunden verarbeite und ich mich Auftragsverarbeiten bediene, den Kunden auf die Auftragsverarbeitung hinweisen. Das passiert regelmäßig in den klassischen Datenschutzhinweisen, wie wir sie von Webseiten schon lange kennen, die aber nicht nur für Webseiten oder für den digitalen Bereich Anwendung finden, sondern für jeglichen Kontakt , sodass es wichtig ist, die betroffene Person darüber aufzuklären:

Hör mal zu, ich benutze den und den Dienstleister, um meine Leistung dir gegenüber zu erbringen. Ich muss jetzt auch begründen, warum ich das mache, auf welcher rechtlichen Grundlage ich das mache.

Die Erklärung

Natürlich kommen noch mehrere Facetten an rechtlichen Verpflichtungen auf einen zu, aber das sind häufig die großen Themen: Zum einen bedarf es vertraglich klarer Regeln mit den Auftragsverarbeiten und der Transparenz  gegenüber denjenigen, dessen Daten ich verarbeite: Hör mal zu. Ich verarbeite deine Daten aber nicht nur alleine, sondern ich bediene mich dafür Auftragsverarbeiten. An der Transparenzpflicht  hängen häufig auch relativ viele „Nachforschungspflichten“  für mich als Verantwortlichen dran:  Ich muss mich fragen, welchen Dienstleister nehme ich? Wenn ich einen Dienstleister nehme, der vielleicht in den USA ist und die Daten in den USA verarbeitet, aber es gäbe theoretisch auch eine Möglichkeit, diese Daten auch innerhalb Europas zu verarbeiten, dann sollte ich mich für letzteren entscheiden. Da sind die Datenschutz-Aufsichtsbehörden doch recht streng und sagen: Es gibt in den USA nicht die gleichen Garantien, wie sie es in Europa gibt, wie mit Datenschutz umgegangen wird.

Deswegen sollte immer versucht werden,

einen Dienstleister zu finden, der es in Europa macht.

Und natürlich kann es auch zu Haftungsfragen kommen. Wenn es zu einem Datenleck kommt oder ein Betroffener sagt: Hier wird mit meinen Daten nicht sachgemäß umgegangen, kann das bedeuten, , wenn ich die entsprechende Verpflichtung nicht einhalte, dass entweder der Betroffene bei mir an der Tür klopft oder auch die Datenschutzaufsichtsbehörden.

Dass dabei hohe Bußgelder und auch Schadensersatzforderungen entstehen können, kriegt man immer wieder durch die Medien mit.

Vendor Management – Was für rechtliche Pflichten haben Vendor Manager? – Teil 2 weitere Rechtsgebiete

Bernhard Gandolf:

Das ist jetzt der Bereich Datenschutz. Gibt es noch andere Pflichten oder andere Rechtsgebiete, aus denen mir Pflichten entstehen?

Fabian Stößer:

Ja, also natürlich erst mal aus meiner vertraglichen Pflicht gegenüber meinem Auftraggeber. Also der für den, ich gerade einen Prozess tätige Dem gegenüber bin ich verpflichtet. Häufig werde ich mit dem Auftraggeber, gerade im B2B Bereich Verschwiegenheitsvereinbarung vereinbaren. Diese Verschwiegenheitsvereinbarung muss ich dann auch  an meine Auftragsverarbeiter durchreichen. Ich muss also dafür sorgen – dass ist ein sehr plakativer Grundsatz –, dass bei Allem, wozu ich mich verpflichte, dass ich auch die Leute denen ich mich bediene, auch dazu verpflichte, weil ich sonst in die Falle rutschen könnte, dass ich mich selbst gegenüber meinem Vertragspartner vertragsbrüchig mache und ich dann nicht zu meinem Subunternehmer sagen kann: Es war ja, aber gar nicht ich, sondern es war das Unternehmen, die ich damit wiederum subbeauftragt habe, um diese Tätigkeit durchzuführen.

Vendor Management – Lässt sich die Verantwortung outsourcen?

Bernhard Gandolf:

Das heißt, ich bleibe eigentlich immer verantwortlich. Ist es verkürzt zulässig zu sagen: Verantwortung lässt sich nicht outsourcen?

Fabian Stößer:

Ja, wie im wahren Leben. Verantwortung lässt sich nicht outsourcen. Man kann zwar versuchen, mit dem Finger auf jemand anderen zu zeigen, aber letztendlich ist es so: Die Verantwortung trägt man immer selbst. Man selbst ist ja auch derjenige, der aktiv wurde und dann zum Beispiel die Daten oder halt auch den Auftrag von jemand anderem annimmt. Also stehe ich dafür auch ein, oder habe ich dafür auch einzustehen.

DSGVO – Mehr Kontrolle im Outsourcing

Dieser Grundsatz findet sich auch in der DSGVO wieder. Auch dort war dies eine der treibenden Ideen: Wir hatten diese Datenkraken oder wir haben sie auch teilweise immer noch, wo Daten konsumiert werden und konsumiert werden und konsumiert werden. Und irgendwer sagt dann: Ja, aber ich habe da eigentlich nichts mit zu tun, ich konsumiere ja nur das Endergebnis. Und deswegen ist man dort auch so streng und sagt: Nein, wenn du derjenige bist, der hier Daten aufnimmt, verarbeitet in irgendeiner Art, dann trägst du dafür auch die Verantwortlichkeit und die kannst du jetzt auch nicht einfach abdelegieren durch irgendwelche Subunternehmen, derer du dich bedienst, um dir  dadurch die Hände reinzuwaschen. Deswegen: Verantwortlichkeit bleibt immer. Die kann man nicht abgeben und auch nicht outsourcen.

Bernhard Gandolf:

Fantastisch! Lieber Herr Stößer, vielen Dank für Ihre Einblicke und Ihre Perspektive. Ich freue mich auf die nächste Tasse Tee. Ihr Bernhard Gandolf.

Fabian Stößer:

Vielen Dank und auf Wiedersehen.

Kontrollen – Wer hat’s gesagt? – Angeblich Lenin

Hast du dich auch schon einmal gefragt, wer den bekannten Spruch „Vertrauen ist gut, Kontrolle ist besser!“ zuerst sagte?

Wikipedia weiß mehr. Dort steht:

„Vertrauen ist gut, Kontrolle ist besser!“ ist eine Redewendung, die dem russischen Politiker Lenin zugeschrieben wird. Sie will besagen, man soll sich nur auf das verlassen, was man nachgeprüft hat.^[ Der Ausspruch ist in seinen Werken nicht vorhanden und kann deshalb auch nicht belegt werden.

Belegt dagegen ist, dass Lenin sehr häufig das russische Sprichwort „Vertraue, aber prüfe nach“ (russisch Доверяй, но проверяй – Dowerjai, no prowerjai) gebraucht hat. Man nimmt an, dass dieses Sprichwort in manchen Übersetzungen von Lenins Texten leicht abgewandelt wurde, da das russische Wort prowerjai auch mit „kontrollieren“ statt mit „prüfen“ übersetzt werden kann.“

Den kompletten Talk (mit Transkript) siehst du

gleich hier. Er erschien hier im Blog am 13. März 2023.

Falls du übrigens Teil 1: „Outsourcing und Recht – Gemeinsam verantwortlich?“ direkt kucken willst

… klicke hier.

Den Rechts-Experten Fabian Stößer…

… findest du auf der Website von GRAEF Rechtsanwälte in Hamburg. Dort gibt es eine eigene Seite von Fabian Stößer: Fabian Stößer.

Mehr bequeme Videos rund um Outsourcing gibt es auf unserem YouTube Kanal – gleich abonnieren!

Erfolgreicher durch mehr Kontrolle im Outsourcing?

Willst du mehr wissen über deine Möglichkeiten im Outsourcing?

• Besprechen wir dein Thema persönlich, unverbindlich und kostenfrei via Microsoft Teams .
• oder ruf uns an unter +49 541 580543-0.

  

Der Beitrag Outsourcing und Recht: Vertrauen ist gut, Kontrollen sind wichtiger – Teil 2 erschien zuerst auf Vendor-Management.eu.

Hast du dich schon mal gefragt, ob dein Unternehmen oder dein Dienstleister verantwortlich ist? Rechtlich gesehen? Und wann gemeinsam? Rechtsanwalt und Experte Fabian Stößer beantwortet 3 Augen öffnende Fragen zu Recht und Outsourcing.

Das Einhalten von Recht und Gesetz ist die fundamentale Basis. Denn wer sie im Outsourcing nicht einhält, hat bald Ärger am Hals und es kann ganz schön teuer werden. Ob Arbeitsrecht, Datenschutz, Schuldrecht oder Vertragsrecht – sie alle gilt es zu beachten.

Wer zeichnet verantwortlich? Du als Vendor Manager:in, Dienstleistersteuerer:in, oder dein Dienstleister? Und wann spricht Fabian Stößer von gemeinsamer Verantwortung?

Wie ist das mit der Fanpage eines Unternehmens auf Facebook? Wem gehören die personenbezogenen Daten? Wer verarbeitet diese und wer ist eigentlich verantwortlich?

Solche Fragestellung nutzt der Experte im Video-Talk.

Du bevorzugst knackige Informationshappen?

Extra für dich überarbeiten wir das ausführliche Video und teilen es auf:

• mit überarbeitetem und lesefreundlicherem Transkript
  
• aufgeteilt in 2 kleinere Häppchen, für ein angenehmeres Schauen der Videos

Dein Video: Outsourcing und Recht – Teil 1

Transkript: Gemeinsam verantwortlich? Outsourcing und Recht Teil 1

Für alle, die lieber lesen, gibt es als praktischen Service hier das überarbeitete Transkript.

Bernhard Gandolf:

Willkommen auf eine Tasse Tee. Heute genieße, ich Certified Management Consultant und Geschäftsführer von european institute for service quality, Bernhard Gandolf, eine Tasse Tee mit Fabian Stößer. Herr Stößer trägt einen doppelten Master of Laws und arbeitet bei GRAEF Rechtsanwälte in Hamburg. Das Unternehmen bezeichnet sich selbst als Spezialisten für High-End Beratung. Herr Stößer. Schön, dass Sie sich für unser Publikum die Zeit nehmen und Ihre Expertise mit uns teilen.

Fabian Stößer:

Guten Tag, Herr Gandolf. Vielen Dank, dass ich hier mit Ihnen Ihre Tasse Tee gemeinsam verbringen kann und hoffentlich allen, die sich das Video hier anschauen, auch ein paar Neuigkeiten kommunizieren kann und wir gemeinsam schlauer werden.

1. Frage: Outsourcing & Recht – Um welche 3-5 Rechtsgebiete geht es hauptsächlich?

Bernhard Gandolf:

Davon bin ich felsenfest überzeugt. Starten wir gleich. Outsourcing-Projekte allgemein und IT-Outsourcing im Besonderen. Führen regelmäßig zu einer Fülle von rechtlichen Fragen. Um welche 3 bis 5 Rechtsgebiete handelt es sich Ihrer langjährigen Erfahrung nach dabei hauptsächlich?

Fabian Stößer:

Ja. Also eins ist natürlich immer maßgeblich. Das ist das allgemeine Vertragsrecht, insbesondere für den IT-Bereich. Es gibt sehr viele Spezifikationen, die gerade im IT-Bereich zu berücksichtigen sind, bei denen wir dann auch in Bereiche des Urheberrechts oder auch zu anderen Rechtsthematiken kommen. Was gerade auch bei Outsourcing Projekten mit eines der größten Themen ist, – das kann man glaube ich einfach gar nicht genug betonen – ist tatsächlich das Thema Datenschutz. Manchmal ist es bei Unternehmen so, dass sie gar nicht so genau wissen, dass sie gerade personenbezogene Daten verarbeiten. Sie stellen dann auf einmal fest: Wir haben hier gerade einen Vertrag, einen Dienstleister und der kriegt tatsächlich doch irgendwelche Daten von uns, die dann wiederum das Datenschutzrecht Anwendung finden lassen.

Deswegen ist das ein wichtiges Thema, was man immer im Hinterkopf haben sollte.

Und als drittes natürlich, das ist jetzt zwar keine spezifisches IT-Thematik, können die Gefahren des Arbeitsrechts  auch immer mal wieder lauern, wenn es nämlich um Sachen wie Scheinselbständigkeit oder dergleichen geht.

Zu guter Letzt würde ich noch einen Rechtsbereich oder ein Gesetz nennen, was faktisch nicht so wirklich große Anwendung findet: Das Gesetz zum Schutz von Geschäftsgeheimnissen. Faktisch hat natürlich das Thema Schutz von Geschäftsgeheimnissen eine große Relevanz. Bloß das Gesetz selber setzt so welche hohen Hürden, dass es häufig gar nicht so umfassend angewendet wird und man dann eher wieder im Bereich des allgemeinen Schuldrechts versucht, mit den Vertragspartnern entsprechende Verschwiegenheitsvereinbarungen zu regeln, die dann wiederum diese Geschäftsgeheimnisse tatsächlich schützen.

Bernhard Gandolf:

Sehr interessant. Vielen Dank.

2. Frage: DSGVO/GDPR als Kernthema – Worin besteht der Unterschied zwischen einer Auftragsverarbeitung und einer gemeinsamen Verantwortung?

Sie sprachen von Datenschutz, der berühmten Datenschutzgrundverordnung oder GDPR, wie es auf Englisch heißt. Die spielen also immer eine Rolle? In einfachen Worten bitte. Worin besteht der Unterschied zwischen einer Auftragsverarbeitung und einer gemeinsamen Verantwortung? Welche Auswirkungen ergeben sich daraus für auslagernde Unternehmen?

Fabian Stößer:

Also zum Ersten: Verantwortlicher und Auftragsverarbeiter sind zwei Begriffe, die so auch relativ einfach im Gesetz formuliert sind. Verantwortlicher ist der, der über die Zwecke und die Mittel der Verarbeitung der personenbezogenen Daten entscheidet. Also letztendlich der, der final den Hut auf hat und sagt: Hier geht’s lang, das machen wir mit den Mitteln, weil ich diesen Zweck verfolge. Der Auftragsarbeiter hingegen ist der klassische Dienstleister, wie man ihn sich vorstellt.

Er selber hat keinen Anspruch mit den Daten, die er dann bekommt, frei umzugehen. Die Leistung, die er erbringt, erbringt er ausschließlich für den Auftraggeber, in diesem Fall den Verantwortlichen. Er hat selbst kein Eigeninteresse an den Daten, die er da verarbeitet, sondern sein Interesse besteht einfach nur darin, einen Service für jemand anderen anzubieten und dafür ein Entgelt zu bekommen.

Und jetzt haben wir natürlich noch das Thema der gemeinsamen Verantwortlichkeit.

Gemeinsame Verantwortlichkeit haben wir immer dann, wenn wir mehr als einen haben, der den Hut auf hat. In größeren Unternehmensstrukturen hat man es relativ häufig, dass gewisse Bereiche in andere Gesellschaften ausgegliedert sind und dann merkt man häufig erst später, dass das Datenschutzrecht hier Herausforderungen bereiten könnte: Oh, hier sind verschiedene Gesellschaften, die irgendwie alle auf die gleichen Informationen zurückgreifen wollen, aber aus eigenen Bedürfnissen. Die einzelnen Gesellschaften verfolgen eigene Interessen. Aber die Verarbeitung findet für allegemeinsam statt. In diesen Fällen sind wir dann häufig im Bereich der gemeinsamen Verantwortlichkeit.

Und wie der Name schon sagt, da haben dann beide den Hut auf, beide sind verantwortlich. Deswegen und da die Grenzen zwischen gemeinsamer Verantwortlichkeit und Auftragsarbeiter teilweise schwimmend sind, ist es wichtig, in den Verträgen klar zu regeln und in der  Praxis dann wirklich auch klar zu leben, ob hier gerade die eine Entity als Verantwortlicher auftritt oder aber ob sie als Auftragsverarbeiter für eine andere Entity, die Information verarbeitet

3. Frage: DSGVO/GDPR als Kernthema – Was bedeutet das für die fremdvergebenden Firmen konkret?

Bernhard Gandolf:

Und was bedeutet das für die Firmen, die auslagern? Worauf achten die besonders?

Fabian Stößer:

Die Firmen, die auslagern, sind im üblichen Fall die Verantwortlichen. Sie lagern aus, weil sie sich ja selber nicht mit den Themen befassen oder die Verarbeitungsprozesse selber durchführen wollen. Sie werden grundsätzlich Verantwortlicher sein und im Regelfall sind sie auch der alleinige Verantwortliche, weil man als auslagerndes Unternehmen eigentlich nicht möchte, dass jemand anders mit seinen Informationen noch eigene Interessen verfolgt.

Also da hätten wir das klassische Verhältnis Verantwortlicher und Auftragsverarbeiter, da muss ich dann darauf achten, dass ich die entsprechenden Verträge mit Auftragsverarbeitern schließe. Das ist auch zwingend. Das sieht auch die DSGVO so vor. Und da gibt es auch gewisse Kriterien, die eingehalten werden müssen, zu denen wir vielleicht auch noch mal zu sprechen kommen.

Auch gibt es einfach gewisse Fälle, wo man vielleicht auf Anhieb nicht mal an eine Auftragsverarbeitung oder gemeinsame Verarbeitung denkt.

Beispiel ist die Facebook Fanpage, die wir alle kennen. Unternehmen fragen sich: Ja, was sind wir eigentlich jetzt, wenn wir eine Nachricht über diese Fanpages bekommen? Bin ich jetzt Verantwortlicher? Ist Facebook Verantwortlicher? Hier kommen wir in die Bereiche, wo noch keine Einigkeit besteht und selbst zwischen staatlichen Stellen Streitgespräche stattfinden, ob man jetzt als Ministerium eine Fanpage überhaupt betreiben darf.

Wer ist hier Verantwortlicher? Momentan ist man auf der sicheren Seite, wenn man davon ausgeht, dass eine gemeinsame Verantwortlichkeit besteht, da man als Unternehmen einfach nicht kontrollieren kann, was Facebook da noch mit diesen Daten macht.

Das komplette Video findest du

gleich hier.Es erschien vor genau einem Monat am 13. März.

Mehr über den Rechts-Experten Fabian Stößer…

… findest du auf der Website von GRAEF Rechtsanwälte in Hamburg. Dort gibt es eine eigene Seite von Fabian Stößer: Fabian Stößer.

Mehr bequeme Videos rund um Outsourcing gibt es auf unserem YouTube Kanal – gleich abonnieren!

Interesse geweckt?

Teil 2 erscheint nächste Woche hier im Blog – ebenfalls mit überarbeitetem, leichter lesbaren Transkript.

Willst du mehr wissen über deine Möglichkeiten im Outsourcing?

• Besprechen wir dein Thema persönlich, unverbindlich und kostenfrei via Microsoft Teams .
• oder ruf uns an unter +49 541 580543-0.

Der Beitrag Update: Rechtsexperte im Talk – Outsourcing und gemeinsam verantwortlich? – Teil 1 erschien zuerst auf Vendor-Management.eu.

Zwei Begriffe: Outsourcing und Recht. Beide gehören zusammen. Dieses Mal sprechen wir mit dem Experten Fabian Stößer, der bei der High-End Beratung GRAEF Rechtsanwälte arbeitet. Er verrät in 7 Antworten auf 7 Fragen anschaulich, welche Rechtsgebiete wie mit Outsourcing zusammenhängen.

Dir als Service Partner Manager:in, Outsourcing Koordinator:in oder Dienstleistersteurer:in, wie Vendor Manager:innen mit unterschiedlichen Titel firmieren, liefert er u. a.:

• Für diese Themen trägst du die Verantwortung.
• DSGVO, GDPR und der wichtige Unterschied „Auftragsverarbeitung“ vs. „gemeinsame Verantwortung“
• Den wichtigen Tipp, wozu die die Leistungskontrolle vertraglich regelst. Denn:

Man kann zwar gerne versuchen, mit dem Finger auf jemand anderen zu zeigen, aber letztendlich ist es so: Die Verantwortung trägt man immer selbst.
Fabian Stößer, GRAEF Rechtsanwälte

Ton an – Rechts-Experte im Talk Outsourcen ohne Verantwortung?

Schalte deine Lautsprecher ein, schnappe dir eine Tasse Tee oder Kaffee und los geht’s. 

Dein Transkript zur Lektüre „Outsourcen ohne Verantwortung – Rechts-Experte im Talk“

Für alle, die lieber lesen, gibt es als praktischen Service hier das Transkript.

Bernhard Gandolf:

Willkommen auf eine Tasse Tee. Heute genieße, ich Certified Management Consultant und Geschäftsführer von european institute for service quality, Bernhard Gandolf, eine Tasse Tee mit Fabian Stößer. Herr Stößer trägt einen doppelten Master of Laws und arbeitet bei GRAEF Rechtsanwälte in Hamburg. Das Unternehmen bezeichnet sich selbst als Spezialisten für High-End Beratung. Herr Stößer. Schön, dass Sie sich für unser Publikum die Zeit nehmen und Ihre Expertise mit uns teilen.

Fabian Stößer:

Guten Tag, Herr Gandolf. Vielen Dank, dass ich hier mit Ihnen Ihre Tasse Tee gemeinsam verbringen kann und hoffentlich allen, die sich das Video hier anschauen werden, hoffentlich auch ein bisschen Neuigkeiten kommunizieren kann und wir gemeinsam schlauer werden.

1. Frage: Outsourcing & Recht – Um welche 3-5 Rechtsgebiete geht es hauptsächlich?

Bernhard Gandolf:

Davon bin ich felsenfest überzeugt. Starten wir gleich. Outsourcing-Projekte allgemein und IT-Outsourcing im Besonderen. Führen regelmäßig zu einer Fülle von rechtlichen Fragen. Um welche 3 bis 5 Rechtsgebiete handelt es sich Ihrer langjährigen Erfahrung nach dabei hauptsächlich?

Fabian Stößer:

Ja. Also eins ist natürlich immer maßgeblich. Das ist eigentlich immer, wenn es ums Recht geht, das allgemeine Vertragsrecht, insbesondere im IT-Bereich natürlich. Es gibt sehr viele Spezifikationen, die gerade im IT-Bereich zu berücksichtigen sind, wo wir dann auch in Bereiche des Urheberrechts oder auch zu anderen Thematiken kommen. Was gerade aber auch bei Outsourcing Projekten mit eines der größten Themen ist, das kann man glaube ich einfach gar nicht genug betonen. Ist tatsächlich das Thema Datenschutz, insbesondere wenn, was häufig der Fall ist. Manchmal sind es bei Unternehmen so, dass sie gar nicht so genau glauben, dass sie vielleicht sogar gerade personenbezogene Daten verarbeiten. Und dann stellen sie dann auf einmal doch fest urplötzlich: Wir haben hier gerade einen Vertrag, einen Dienstleister und der kriegt tatsächlich doch irgendwelche Daten von uns, die dann wiederum das Datenschutzrecht Anwendung finden lassen.

Deswegen ist das immer ein wichtiges Thema, was man immer im Hinterkopf gedacht haben sollte. Und als drittes natürlich, das ist jetzt keine spezifisches IT-Thematik, aber Gefahren des Arbeitsrechts können auch immer mal wieder lauern, wenn es nämlich um Sachen wie Scheinselbständigkeit oder dergleichen geht. Zu guter Letzt würde ich noch sagen einen Rechtsbereich oder ein Gesetz, was faktisch nicht so wirklich große Anwendung findet.

Aber was trotzdem große Relevanz hat, ist das Gesetz zum Schutz von Geschäftsgeheimnissen. Faktisch hat natürlich das Thema Schutz von Geschäftsgeheimnissen eine große Relevanz. Bloß das Gesetz selber setzt so welche hohen Hürden, dass es häufig gar nicht so umfassend angewendet wird und man dann eher wieder im Bereich des allgemeinen Schuldrechts versucht, mit den Vertragspartnern entsprechende Verschwiegenheitsvereinbarungen zu regeln, die dann wiederum diese Geschäftsgeheimnisse tatsächlich schützen.

Bernhard Gandolf:

Sehr interessant. Vielen Dank.

2. Frage: DSGVO/GDPR als Kernthema – Worin besteht der Unterschied zwischen einer Auftragsverarbeitung und einer gemeinsamen Verantwortung?

Sie sprachen von Datenschutz, der berühmten Datenschutzgrundverordnung oder GDPR, wie es auf Englisch heißt. Die spielen also immer eine Rolle? In einfachen Worten bitte. Worin besteht der Unterschied zwischen einer Auftragsverarbeitung und einer gemeinsamen Verantwortung? Welche Auswirkungen ergeben sich daraus für auslagernde Unternehmen?

Fabian Stößer:

Also zum Ersten Verantwortlicher und Auftragsverarbeiter zwei Begriffe, die so auch Gott sei Dank relativ einfach formuliert sind, auch im Gesetz und Verantwortlicher ist der, der über die Zwecke und die Mittel der Verarbeitung der personenbezogenen Daten entscheidet. Also letztendlich der, der final den Hut auf hat und sagt: Hier geht’s lang, das machen wir mit den Mitteln, weil ich diesen Zweck verfolge. Der Auftragsarbeit hingegen ist natürlich der klassische Dienstleister, wie man ihn sich vorstellt.

Er selber hat keinen Anspruch, sage ich mal mit diesen Daten, die er dann bekommt, oder diese Leistung, die er erbringt, erbringt er ausschließlich für den Auftraggeber, in diesem Fall den Verantwortlichen. Und hat aber selber kein Eigeninteresse an den Daten, die er da verarbeitet, sondern sein Interesse besteht einfach nur darin, ein Service für jemand anderen anzubieten und dafür ein Entgelt zu bekommen.

Und jetzt haben wir natürlich noch das Thema der gemeinsamen Verantwortlichkeit. Gemeinsame Verantwortlichkeit haben wir immer dann, wenn wir mehr als einen haben, der den Hut auf hat. In größeren Unternehmensstrukturen hat man das relativ häufig, dass gewisse Bereiche ausgegliedert sind in andere Gesellschaften und dann merkt man jetzt auf einmal, gerade im Datenschutzrecht: Oh, hier sind verschiedene Gesellschaften, die irgendwie alle auf die gleichen Informationen zurückgreifen wollen, aber aus eigenen Bedürfnissen.

Sie verfolgen eigene Interessen dabei. Aber die Organisation findet alles gemeinsam statt. Und dann sind wir häufig im Bereich der gemeinsamen Verantwortlichkeit. Und wie der Name schon sagt, da haben dann beide den Hut auf, beide sind verantwortlich und deswegen, auch weil die Grenzen zwischen gemeinsamer Verantwortlichkeit und Auftragsarbeit teilweise schwimmend sind, es ist wichtig, in den Verträgen klar zu regeln, aber auch in der gelebten Praxis dann wirklich auch klar zu leben, ob hier gerade die eine Entity als Verantwortlicher auftritt oder aber ob er als Auftragsverarbeiter für eine andere Entity, die Information verarbeitet

3. Frage: DSGVO/GDPR als Kernthema – Was bedeutet das für die fremdvergebenden Firmen konkret?

Bernhard Gandolf:

Und was bedeutet das für die Firmen, die auslagern? Worauf achten die besonders?

Fabian Stößer:

Die Firmen, die auslagern, sind im üblichen Fall die Verantwortlichen, weil sie lagern aus, weil sie ja selber nicht mit den Themen befassen wollen oder die Verarbeitungsprozesse selber durchführen wollen. Sie werden also grundsätzlich Verantwortlicher sein und im Regelfall sind sie auch der alleinige Verantwortliche, weil man als auslagerndes Unternehmen eigentlich nicht möchte, dass jemand anders mit seinen Informationen noch eigene Interessen verfolgt.

Also da hätten wir das klassische Verhältnis Verantwortlicher und Auftragsverarbeiter, da muss ich dann darauf achten, dass ich die entsprechenden Verträge mit Auftragsverarbeitern schließe. Das ist auch zwingend. Das sieht auch die DSGVO so vor. Und da gibt es auch gewisse Kriterien, die eingehalten werden müssen, zu denen wir vielleicht auch noch mal zu sprechen kommen. Und es gibt aber auch einfach gewisse Zonen, wo man es vielleicht auf Anhieb mal gar nicht so denkt.

Beispiel die Facebook Fanpages, die wir alle vielleicht kennen. Unternehmen gehen davon aus: Ja, was sind wir eigentlich jetzt, wenn wir jetzt eine Nachricht über diese Fanpages bekommen sind? Bin ich jetzt Verantwortlicher? Ist Facebook Verantwortlicher? Und da kommen wir in die Bereiche, wo sich selbst der Bund selbst noch nicht so ganz einig ist. Da sind momentan selbst Streitgespräche, ob man jetzt als Unternehmen eine Fanpage überhaupt betreiben kann.

Wer ist Verantwortlicher? Momentan geht man davon aus, das ist eigentlich relativ deutlich, dass eine gemeinsame Verantwortlichkeit besteht, weil man einfach als Unternehmen dann zum Beispiel gar nicht das Gefühl hat oder gar nicht kontrollieren kann, was Facebook da noch mit diesen Daten macht.

4. Frage: Outsourcing-Vertrag – Warum empfiehlt GRAEF  Regelungen zur Leistungskontrolle juristisch zu treffen?

Bernhard Gandolf:

Spannend vielen Dank. Wenn wir jetzt über Auslagerung sprechen, warum empfiehlt es sich aus Ihrer Sicht, Regeln zur Leistungskontrolle zu treffen? Sprich juristisch zu treffen? Wozu dient das konkret? Reicht es nicht zu sagen ich vertraue meinem Dienstleister?

Fabian Stößer:

Ja, also da gibt es einmal die DSGVO Antwort und es gibt einmal die allgemeine juristische Antwort. Ich fange mal mit der allgemeinen juristischen Antwort an. Eigentlich wie in allen Lebenslagen. Vertrauen ist gut, Kontrolle ist besser. Wenn ich selber gewisse Leistungen outsourcen, habe ich ja trotzdem meine eigenen Vertragspartner. Ich bin weiterhin Dienstleister, meistens für einen Auftraggeber und ich bin ja da auch vertraglich verpflichtet.

So, und wenn jetzt mein Dienstleister dem ich mir wieder bediene, im Rahmen des Outsourcing seine Leistungen nicht entsprechend erfüllt, ich aber da einfach gar keine Kontrolle drüber habe, weil ich das nie kontrolliere oder dergleichen, ist es so, dass letztendlich mein Auftraggeber wird mich zur Kasse bitten und sagen: Hier, du hast deine Leistung nicht richtig erbracht und mir fehlt auf einmal der Rückgriff der sogenannte Regress, dass ich dann sagen kann: Hier bitte mein outgesourctes Unternehmen, ihr habt einen Fehler gemacht und deswegen nehme ich euch jetzt hier in Anspruch und ihr müsst diesen Fehler halt finanziell ausgleichen.

Und das geht natürlich nur, wenn wir Regeln machen, was das andere Unternehmen, der Auftragnehmer in dem Fall zu tätigen hat. Und ich muss natürlich, wie in allen anderen Lebensbereichen auch, reicht es nicht, nur einmal ein Vertrag gemacht zu haben, sondern es ist natürlich auch entscheidend, dass ich auch immer wieder gucke: Passiert es wirklich? Ich würde ja meinem Handwerker, wenn ich dem Handwerker sage: Bau mir bitte mein Haus. Würde ich ja auch nicht nur am ersten Tag, als den Vertrag unterschreibe, einmal hingehen, gucke mir das das leere Grundstück an und kommen am letzten Tag raus und sage: Ja, irgendwie gefällt mir das jetzt nicht. Hier sind die Fenster ganz woanders.

Deswegen ist das auch etwas ganz Natürliches, was man eigentlich in allen Tätigkeitsbereichen so macht. Nur noch im Datenschutz kommt jetzt noch verschärfend hinzu, dass die DSGVO konkret uns vorschreibt, in Art. 28 DSGVO, dass man einen solchen Vertrag schließen muss, der auch entsprechende Leistungskontrolle beinhaltet, weil Idee dahinter: Ich bin der Verantwortliche. Ich muss also kontrollieren, was mit den Daten passiert. Kann ich aber nur, wenn ich halt auch tatsächlich Zugriffsmöglichkeiten habe, bei meinem Subunternehmen entsprechende Kontrollen durchzuführen. Und dafür muss ich mir natürlich wieder ein vertragliches Gerüst bauen. Nicht, dass mein Subunternehmer sagen kann: Ja, nein, ich mache nichts, du darfst dir Garnichts bei mir anschauen. Ich habe gesagt, ich erbringe dir die Leistung und damit war es das.

5. Frage: Vendor Management – Was für rechtliche Pflichten haben Vendor Manager?
Teil 1 Datenschutz – Rechtsgebiete für Outsourcing

Bernhard Gandolf:

Ein sehr anschauliches Beispiel. Vielen Dank, das gefällt mir gut. Apropos gefällt mir gut, wenn ich jetzt so daran denke, ich bin Auftraggeber und Sie sprachen gerade davon. Die DSGVO sagte, ich sollte auch darüber Kontrolle tragen. Was für rechtliche Pflichten habe ich denn im Wesentlichen als Dienstleistersteuerer, als Vendor Manager?

Fabian Stößer:

Die rechtlichen Verpflichtungen sind relativ groß. Wenn wir jetzt im Rahmen der Datenschutzgrundverordnung bleiben, fängt es halt alleine erst mal damit an, dass ich die entsprechenden Verträge mit meinen Dienstleistern, also Auftragsverarbeiten, schließen muss. Da gibt es auch, wie gesagt im Art. 28 DSGVO eine Information, was welche Themen alle besprochen werden müssen. Dazu gehören unter anderem halt auch die Möglichkeit der Kontrolle und auch die Verpflichtung des Auftragsverarbeiters, dass die Daten nicht für andere Sachen verwendet.

Daneben muss ich auch, das gehört auch dazu, wenn ich personenbezogene Daten von meinen Kunden verarbeite und ich mich Auftragsverarbeiten bediene, muss ich diese auch darauf hinweisen. Das passiert regelmäßig in den klassischen Datenschutzhinweisen, wie wir sie von Webseiten schon lange kennen, die aber nicht nur für Webseiten oder für den digitalen Bereich Anwendung finden, sondern für jeglichen Kontakt zwischen Unternehmen und das ist also auch immer wichtig, dann zu sagen, dass man die betroffene Person darüber aufklärt:

Hör mal zu, ich benutze den und den Dienstleister, um meine Leistung dir gegenüber zu erbringen. Und ich muss jetzt auch begründen, warum ich das mache, auf welcher rechtlichen Grundlage ich das mache. Also da hat man auch einfach eine Verantwortung gegenüber den Betroffenen. Und natürlich kommen da kommen noch mehrere Facetten an rechtlichen Verpflichtungen auf einen zu.

Aber das sind häufig die großen Themen. Einmal sich absichern gegenüber seinen Auftrags-Verarbeiten, aber dann auch wiederum, die Transparenz zu zeigen gegenüber denjenigen, dessen Daten ich verarbeite: Hör mal zu. Ich verarbeite deine Daten aber nicht nur alleine, sondern ich bediene mich dafür Auftragsverarbeiten. Und da hängen dann auch relativ viele Nachforschungspflichten auch für mich dran. Dass ich mich frage, welchen Dienstleister nehme ich überhaupt? Weil wenn ich nämlich Fehler mache, oder wenn ich einen Dienstleister nehme, der vielleicht in den USA ist und die Daten in den USA verarbeitet, aber es gäbe theoretisch auch eine Möglichkeit, diese Daten auch innerhalb Europas zu verarbeiten. Da sind die Datenschutz-Aufsichtsbehörde in letzter Zeit doch recht streng und sagen: Es gibt in Amerika nicht oder den USA nicht die gleichen Garantien, wie sie es in Europa gibt, wie mit Datenschutz umgegangen wird.

Deswegen sollte es immer versucht werden, einen Dienstleister zu finden, der es in Europa macht. Und das kann dann auch in Haftungsfragen kommen. Wenn nämlich ein Datenleck der kommt oder ein Betroffener sagt: Hier wird mit meinen Daten nicht sachgemäß umgegangen, heißt es halt, wenn ich die entsprechende Verpflichtung nicht einhalte, klopft entweder der Betroffene bei mir an der Tür oder auch die Datenschutzaufsichtsbehörden und klopfen an der Tür.

Und das ist ja vielleicht auch in den Medien relativ groß am Anfang der DSGVO auch allen in den Kopf gestoßen, vor den Kopf gestoßen worden, dass die Bußgelder entsprechend hoch sein können

6. Frage: Vendor Management – Was für rechtliche Pflichten haben Vendor Manager? Teil 2 weitere Rechtsgebiete für Outsourcing

Bernhard Gandolf:

Das ist jetzt der Bereich Datenschutz. Gibt es noch andere Pflichten oder andere Rechtsgebiete, aus denen mir Pflichten entstehen?

Fabian Stößer:

Ja, also natürlich erst mal aus meiner vertraglichen Pflicht gegenüber meinem Auftraggeber. Also der für den, ich gerade einen Prozess tätige. Bin ich häufig verpflichtet. Häufig werde ich mit dem, gerade im B2B Bereich Verschwiegenheitsvereinbarung haben. Und diese Verschwiegenheitsvereinbarung muss ich dann auch durchreichen an meine Auftragsverarbeiter. Ich muss also dafür sorgen, dass auch ein sehr plakativer und gleicher Grundsatz: Alles, wozu ich mich verpflichte, sollte ich tunlichst darauf achten, dass ich dazu auch die Leute denen ich mich bediene, auch dazu verpflichte, weil ich sonst halt häufig in die Fallen rutsche, dass ich mich selbst vertragsbrüchig mache gegenüber meinem Vertragspartner Und ich kann da nicht sagen: Es war ja, aber gar nicht ich, sondern es war das Unternehmen, die ich damit wiederum sub-beauftragt habe, um diese Tätigkeit durchzuführen.

7. Frage: Vendor Management – Lässt sich die Verantwortung outsourcen?

Bernhard Gandolf:

Das heißt, ich bleibe eigentlich immer verantwortlich. Ist es verkürzt zulässig zu sagen: Verantwortung lässt sich nicht outsourcen?

Fabian Stößer:

Ja, wie im wahren Leben. Verantwortung lässt sich nicht outsourcen. Man kann zwar gerne versuchen, mit dem Finger auf jemand anderen zu zeigen, aber letztendlich ist es so: Die Verantwortung trägt man immer selbst. Man selbst ist derjenige ja auch, der aktiv wurde und dann zum Beispiel die Daten oder halt auch den Auftrag von jemand anderem annimmt. Also stehe ich dafür auch ein, oder habe ich dafür auch einzustehen.

Und um das Beispiel der DSGVO noch einmal kurz festzumachen. Da war es auch so, eine der treibenden Ideen war: Wir hatten diese Datenkraken oder wir haben sie auch teilweise immer noch, wo Daten konsumiert werden, konsumiert werden, konsumiert werden und verarbeitet werden. Und irgendwer da sagt: Ja, aber ich habe da eigentlich nichts zu tun, ich konsumiere dann quasi nur das Endergebnis. Und deswegen ist man dort auch so streng und sagt: Nein, wenn du ja derjenige bist, der hier Daten aufnimmt, verarbeitet in irgendeiner Art, dann trägst du dafür auch die Verantwortlichkeit, Und du kannst jetzt auch nicht einfach ab-delegieren durch irgendwelche Subunternehmen, derer du dich bedienst, um dadurch dir sozusagen die Hände reinwaschen zu wollen. Deswegen Verantwortlichkeit bleibt immer. Die kann man nicht abgeben und auch nicht outsourcen.

Bernhard Gandolf:

Fantastisch! Lieber Herr Stößer, vielen Dank für Ihre Einblicke und Ihre Perspektive. Ich freue mich auf die nächste Tasse Tee. Ihr Bernhard Gandolf.

Fabian Stößer:

Vielen Dank und auf Wiedersehen.

Mehr über den Experten Fabian Stößer findest du… 

… zum Beispiel auf der Website von GRAEF Rechtsanwälte in Hamburg. Dort gibt es eine eigene Seite von Fabian Stößer.

Fabian Stößer

Mehr bequeme Videos rund um Outsourcing gibt es auf unserem YouTube Kanal – gleich abonnieren

Kennst du schon den Experten-Talk Nearshore? 

Oder wie steht es um Videos von deiner Outsourcing-Beratung eisq? Hier findest du etwas. Alle Videos laufen über den Schreibtisch vonDennis. 400 km/h, 8 Jahre, Faszination …. klicke einfach in sein Portrait, um mehr über ihn zu erfahren.

Der Beitrag Rechts-Experte im Talk: Outsourcing ohne Verantwortung? 7 Fragen erschien zuerst auf Vendor-Management.eu.