Outsourcing und Recht: Vertrauen ist gut, Kontrollen sind wichtiger – Teil 2
- DSGVO und deine verantwortliche Rolle als Vendor Manager:in, Dienstleistersteuerer:in
- Haftung im Vendor Management - bevor du als Service Partner Manager:in oder Outsourcing Koordinator:in zur Kasse gebeten wirst
- Verschwiegenheit und Hände reinwaschen - das geht im Vendor Management nicht zusammen - du bleibst verantwortlich
Als knackige Informations-Happen für mehr Kontrolle im Outsourcing
teilten wir das ausführliche Video-Interview für dich in 2 Portionen auf:- Fabian Stößer modifizierte zusammen mit uns das Transkript, um es für dich noch leserfreundlicher zu machen.
- Inhaltlich fokussiert bekommst du kompakte Informations-Happen.
In dieser Ausgabe für mehr Kontrolle im Outsourcing
Outsourcing und Recht: Vertrauen ist gut, Kontrollen sind wichtiger
Praktisches Transkript: Vertrauen ist gut, Kontrollen sind besser - Outsourcing und Recht Teil 2
Für alle, die lieber lesen oder gerade den Ton nicht einschalten können, gibt es als praktischen Service das Transkript. Gemeinsam mit Fabian Stößer aktualisierten wir es für dich.Outsourcing-Vertrag – Warum empfiehlt GRAEF Regelungen zur Leistungskontrolle juristisch zu treffen?
Bernhard Gandolf: Spannend vielen Dank. Wenn wir jetzt über Auslagerung sprechen, warum empfiehlt es sich aus Ihrer Sicht, Regeln zur Leistungskontrolle zu treffen? Sprich juristisch zu treffen? Wozu dient das konkret? Reicht es nicht zu sagen: "Ich vertraue meinem Dienstleister"? Fabian Stößer: Ja, also da gibt es einmal die DSGVO Antwort und einmal die allgemeine juristische Antwort. Ich fange mal mit der allgemeinen juristischen Antwort an. Eigentlich ist es wie in allen Lebenslagen: Vertrauen ist gut, Kontrolle ist besser. Wenn ich selber gewisse Leistungen outsourcen möchte, habe ich trotzdem meine eigenen Vertragspartner. Ich bin weiterhin Dienstleister, meistens für einen Auftraggeber und bin demgegenüber vertraglich verpflichtet. So, und wenn jetzt mein Dienstleister, im Rahmen des Outsourcing seine Leistungen nicht entsprechend erfüllt, ich darauf aber kein Einfluss nehmen kann, weil ich das nie kontrolliere oder dergleichen, ist es so, dass letztendlich mein Auftraggeber mich zur Kasse bitten und sagen wird: Hier, du hast deine Leistung nicht richtig erbracht. Mir fehlt in diesen Fällen häufig der Rückgriff, der sogenannte Regress, sodass ich sagen kann: outgesourctes Unternehmen, ihr habt einen Fehler gemacht und deswegen nehme ich euch jetzt in Anspruch und müsst diesen Fehler finanziell ausgleichen.Regeln, um nicht zur Kasse gebeten zu werden
Das geht natürlich nur, wenn wir Regeln machen, was das andere Unternehmen, der Auftragnehmer in dem Fall zu tätigen hat. Wie in allen anderen Lebensbereichen auch, reicht es nicht, nur einmal einen Vertrag geschlossen zu haben, sondern es ist natürlich auch entscheidend, dass ich auch immer wieder gucke: Wird er auch gelebt? Wenn ich dem Handwerker sage: Bau mir bitte mein Haus, dann würde ich ja auch nicht nur am ersten Tag, als ich den Vertrag unterschreibe, einmal hingehen und das leere Grundstück anschauen und am letzten Tag komme ich dann wieder und sage: Ja, irgendwie gefällt mir das jetzt nicht. Die Fenster sind ganz woanders.Kontrollen im Outsourcing sind deshalb etwas ganz Natürliches,
was man eigentlich in allen Tätigkeitsbereichen so macht. Im Datenschutz kommt jetzt noch verschärfend hinzu, dass die DSGVO konkret vorschreibt, in Art. 28 DSGVO, dass man einen solchen Vertrag schließen muss, der auch entsprechende Leistungskontrolle beinhaltet. Die Idee dahinter: Ich bin der Verantwortliche. Ich muss also kontrollieren, was mit den Daten passiert. Kann ich aber nur, wenn ich auch tatsächlich Zugriffsmöglichkeiten habe, bei meinem Subunternehmen entsprechende Kontrollen durchzuführen und dafür muss ich mir natürlich wieder ein vertragliches Gerüst bauen. Nicht, dass mein Subunternehmer sagen kann: Nein, ich mache nichts, du darfst dir gar nichts bei mir anschauen. Ich habe gesagt, ich erbringe dir die Leistung und damit war es das.Vendor Management – Was für rechtliche Pflichten haben Vendor Manager? Teil 1 Datenschutz – Rechtsgebiete für Outsourcing
Bernhard Gandolf: Ein sehr anschauliches Beispiel. Vielen Dank, das gefällt mir gut. Apropos gefällt mir gut, wenn ich jetzt so daran denke, ich bin Auftraggeber und Sie sprachen gerade davon. Die DSGVO sagte, ich sollte auch darüber Kontrolle tragen. Was für rechtliche Pflichten habe ich denn im Wesentlichen als Dienstleistersteuerer, als Vendor Manager? Fabian Stößer: Die rechtlichen Verpflichtungen sind relativ groß. Wenn wir jetzt im Rahmen der Datenschutzgrundverordnung bleiben, fängt es bereits damit an, dass ich die entsprechenden Verträge mit meinen Dienstleistern, also Auftragsverarbeiten, schließen muss. Da gibt es auch, wie gesagt im Art. 28 DSGVO eine Regelung, die vorschreibt, welche Themen alle geregelt werden müssen. Dazu gehören unter anderem die Möglichkeit der Kontrolle und die Verpflichtung des Auftragsverarbeiters, dass er die Daten nicht für andere Sachen verwendet. Daneben muss ich, das gehört zu den klaren Pflichten, wenn ich personenbezogene Daten von meinen Kunden verarbeite und ich mich Auftragsverarbeiten bediene, den Kunden auf die Auftragsverarbeitung hinweisen. Das passiert regelmäßig in den klassischen Datenschutzhinweisen, wie wir sie von Webseiten schon lange kennen, die aber nicht nur für Webseiten oder für den digitalen Bereich Anwendung finden, sondern für jeglichen Kontakt , sodass es wichtig ist, die betroffene Person darüber aufzuklären: Hör mal zu, ich benutze den und den Dienstleister, um meine Leistung dir gegenüber zu erbringen. Ich muss jetzt auch begründen, warum ich das mache, auf welcher rechtlichen Grundlage ich das mache.Die Erklärung
Natürlich kommen noch mehrere Facetten an rechtlichen Verpflichtungen auf einen zu, aber das sind häufig die großen Themen: Zum einen bedarf es vertraglich klarer Regeln mit den Auftragsverarbeiten und der Transparenz gegenüber denjenigen, dessen Daten ich verarbeite: Hör mal zu. Ich verarbeite deine Daten aber nicht nur alleine, sondern ich bediene mich dafür Auftragsverarbeiten. An der Transparenzpflicht hängen häufig auch relativ viele „Nachforschungspflichten“ für mich als Verantwortlichen dran: Ich muss mich fragen, welchen Dienstleister nehme ich? Wenn ich einen Dienstleister nehme, der vielleicht in den USA ist und die Daten in den USA verarbeitet, aber es gäbe theoretisch auch eine Möglichkeit, diese Daten auch innerhalb Europas zu verarbeiten, dann sollte ich mich für letzteren entscheiden. Da sind die Datenschutz-Aufsichtsbehörden doch recht streng und sagen: Es gibt in den USA nicht die gleichen Garantien, wie sie es in Europa gibt, wie mit Datenschutz umgegangen wird.Deswegen sollte immer versucht werden,
einen Dienstleister zu finden, der es in Europa macht. Und natürlich kann es auch zu Haftungsfragen kommen. Wenn es zu einem Datenleck kommt oder ein Betroffener sagt: Hier wird mit meinen Daten nicht sachgemäß umgegangen, kann das bedeuten, , wenn ich die entsprechende Verpflichtung nicht einhalte, dass entweder der Betroffene bei mir an der Tür klopft oder auch die Datenschutzaufsichtsbehörden. Dass dabei hohe Bußgelder und auch Schadensersatzforderungen entstehen können, kriegt man immer wieder durch die Medien mit.Vendor Management – Was für rechtliche Pflichten haben Vendor Manager? - Teil 2 weitere Rechtsgebiete
Bernhard Gandolf: Das ist jetzt der Bereich Datenschutz. Gibt es noch andere Pflichten oder andere Rechtsgebiete, aus denen mir Pflichten entstehen? Fabian Stößer: Ja, also natürlich erst mal aus meiner vertraglichen Pflicht gegenüber meinem Auftraggeber. Also der für den, ich gerade einen Prozess tätige Dem gegenüber bin ich verpflichtet. Häufig werde ich mit dem Auftraggeber, gerade im B2B Bereich Verschwiegenheitsvereinbarung vereinbaren. Diese Verschwiegenheitsvereinbarung muss ich dann auch an meine Auftragsverarbeiter durchreichen. Ich muss also dafür sorgen – dass ist ein sehr plakativer Grundsatz –, dass bei Allem, wozu ich mich verpflichte, dass ich auch die Leute denen ich mich bediene, auch dazu verpflichte, weil ich sonst in die Falle rutschen könnte, dass ich mich selbst gegenüber meinem Vertragspartner vertragsbrüchig mache und ich dann nicht zu meinem Subunternehmer sagen kann: Es war ja, aber gar nicht ich, sondern es war das Unternehmen, die ich damit wiederum subbeauftragt habe, um diese Tätigkeit durchzuführen.Vendor Management – Lässt sich die Verantwortung outsourcen?
Bernhard Gandolf: Das heißt, ich bleibe eigentlich immer verantwortlich. Ist es verkürzt zulässig zu sagen: Verantwortung lässt sich nicht outsourcen? Fabian Stößer: Ja, wie im wahren Leben. Verantwortung lässt sich nicht outsourcen. Man kann zwar versuchen, mit dem Finger auf jemand anderen zu zeigen, aber letztendlich ist es so: Die Verantwortung trägt man immer selbst. Man selbst ist ja auch derjenige, der aktiv wurde und dann zum Beispiel die Daten oder halt auch den Auftrag von jemand anderem annimmt. Also stehe ich dafür auch ein, oder habe ich dafür auch einzustehen.DSGVO - Mehr Kontrolle im Outsourcing
Dieser Grundsatz findet sich auch in der DSGVO wieder. Auch dort war dies eine der treibenden Ideen: Wir hatten diese Datenkraken oder wir haben sie auch teilweise immer noch, wo Daten konsumiert werden und konsumiert werden und konsumiert werden. Und irgendwer sagt dann: Ja, aber ich habe da eigentlich nichts mit zu tun, ich konsumiere ja nur das Endergebnis. Und deswegen ist man dort auch so streng und sagt: Nein, wenn du derjenige bist, der hier Daten aufnimmt, verarbeitet in irgendeiner Art, dann trägst du dafür auch die Verantwortlichkeit und die kannst du jetzt auch nicht einfach abdelegieren durch irgendwelche Subunternehmen, derer du dich bedienst, um dir dadurch die Hände reinzuwaschen. Deswegen: Verantwortlichkeit bleibt immer. Die kann man nicht abgeben und auch nicht outsourcen. Bernhard Gandolf: Fantastisch! Lieber Herr Stößer, vielen Dank für Ihre Einblicke und Ihre Perspektive. Ich freue mich auf die nächste Tasse Tee. Ihr Bernhard Gandolf. Fabian Stößer: Vielen Dank und auf Wiedersehen.Kontrollen - Wer hat's gesagt? - Angeblich Lenin
Hast du dich auch schon einmal gefragt, wer den bekannten Spruch "Vertrauen ist gut, Kontrolle ist besser!" zuerst sagte? Wikipedia weiß mehr. Dort steht:„Vertrauen ist gut, Kontrolle ist besser!“ ist eine Redewendung, die dem russischen Politiker Lenin zugeschrieben wird. Sie will besagen, man soll sich nur auf das verlassen, was man nachgeprüft hat.[ Der Ausspruch ist in seinen Werken nicht vorhanden und kann deshalb auch nicht belegt werden. Belegt dagegen ist, dass Lenin sehr häufig das russische Sprichwort „Vertraue, aber prüfe nach“ (russisch Доверяй, но проверяй – Dowerjai, no prowerjai) gebraucht hat. Man nimmt an, dass dieses Sprichwort in manchen Übersetzungen von Lenins Texten leicht abgewandelt wurde, da das russische Wort prowerjai auch mit „kontrollieren“ statt mit „prüfen“ übersetzt werden kann."
Den kompletten Talk (mit Transkript) siehst du
gleich hier. Er erschien hier im Blog am 13. März 2023.Falls du übrigens Teil 1: "Outsourcing und Recht - Gemeinsam verantwortlich?" direkt kucken willst
... klicke hier.Den Rechts-Experten Fabian Stößer...
… findest du auf der Website von GRAEF Rechtsanwälte in Hamburg. Dort gibt es eine eigene Seite von Fabian Stößer: Fabian Stößer.Mehr bequeme Videos rund um Outsourcing gibt es auf unserem YouTube Kanal – gleich abonnieren!
Erfolgreicher durch mehr Kontrolle im Outsourcing?
Willst du mehr wissen über deine Möglichkeiten im Outsourcing?- Besprechen wir dein Thema persönlich, unverbindlich und kostenfrei via Microsoft Teams .
- oder ruf uns an unter +49 541 580543-0.
Leave a Comment