Hast du dich schon mal gefragt, ob dein Unternehmen oder dein Dienstleister verantwortlich ist? Rechtlich gesehen? Und wann gemeinsam? Rechtsanwalt und Experte Fabian Stößer beantwortet 3 Augen öffnende Fragen zu Recht und Outsourcing.
Das Einhalten von Recht und Gesetz ist die fundamentale Basis. Denn wer sie im Outsourcing nicht einhält, hat bald Ärger am Hals und es kann ganz schön teuer werden. Ob Arbeitsrecht, Datenschutz, Schuldrecht oder Vertragsrecht – sie alle gilt es zu beachten.
Wer zeichnet verantwortlich? Du als Vendor Manager:in, Dienstleistersteuerer:in, oder dein Dienstleister? Und wann spricht Fabian Stößer von gemeinsamer Verantwortung?
Wie ist das mit der Fanpage eines Unternehmens auf Facebook? Wem gehören die personenbezogenen Daten? Wer verarbeitet diese und wer ist eigentlich verantwortlich?
Solche Fragestellung nutzt der Experte im Video-Talk.
Du bevorzugst knackige Informationshappen?
Extra für dich überarbeiten wir das ausführliche Video und teilen es auf:
- mit überarbeitetem und lesefreundlicherem Transkript
- aufgeteilt in 2 kleinere Häppchen, für ein angenehmeres Schauen der Videos
Dein Video: Outsourcing und Recht – Teil 1
Mit dem Laden des Videos akzeptieren Sie die Datenschutzerklärung von YouTube.
Mehr erfahren
Transkript: Gemeinsam verantwortlich? Outsourcing und Recht Teil 1
Für alle, die lieber lesen, gibt es als praktischen Service hier das überarbeitete Transkript.
Bernhard Gandolf:
Willkommen auf eine Tasse Tee. Heute genieße, ich Certified Management Consultant und Geschäftsführer von european institute for service quality, Bernhard Gandolf, eine Tasse Tee mit Fabian Stößer. Herr Stößer trägt einen doppelten Master of Laws und arbeitet bei GRAEF Rechtsanwälte in Hamburg. Das Unternehmen bezeichnet sich selbst als Spezialisten für High-End Beratung. Herr Stößer. Schön, dass Sie sich für unser Publikum die Zeit nehmen und Ihre Expertise mit uns teilen.
Fabian Stößer:
Guten Tag, Herr Gandolf. Vielen Dank, dass ich hier mit Ihnen Ihre Tasse Tee gemeinsam verbringen kann und hoffentlich allen, die sich das Video hier anschauen, auch ein paar Neuigkeiten kommunizieren kann und wir gemeinsam schlauer werden.
-
Frage: Outsourcing & Recht – Um welche 3-5 Rechtsgebiete geht es hauptsächlich?
Bernhard Gandolf:
Davon bin ich felsenfest überzeugt. Starten wir gleich. Outsourcing-Projekte allgemein und IT-Outsourcing im Besonderen. Führen regelmäßig zu einer Fülle von rechtlichen Fragen. Um welche 3 bis 5 Rechtsgebiete handelt es sich Ihrer langjährigen Erfahrung nach dabei hauptsächlich?
Fabian Stößer:
Ja. Also eins ist natürlich immer maßgeblich. Das ist das allgemeine Vertragsrecht, insbesondere für den IT-Bereich. Es gibt sehr viele Spezifikationen, die gerade im IT-Bereich zu berücksichtigen sind, bei denen wir dann auch in Bereiche des Urheberrechts oder auch zu anderen Rechtsthematiken kommen. Was gerade auch bei Outsourcing Projekten mit eines der größten Themen ist, – das kann man glaube ich einfach gar nicht genug betonen – ist tatsächlich das Thema Datenschutz. Manchmal ist es bei Unternehmen so, dass sie gar nicht so genau wissen, dass sie gerade personenbezogene Daten verarbeiten. Sie stellen dann auf einmal fest: Wir haben hier gerade einen Vertrag, einen Dienstleister und der kriegt tatsächlich doch irgendwelche Daten von uns, die dann wiederum das Datenschutzrecht Anwendung finden lassen.
Deswegen ist das ein wichtiges Thema, was man immer im Hinterkopf haben sollte.
Und als drittes natürlich, das ist jetzt zwar keine spezifisches IT-Thematik, können die Gefahren des Arbeitsrechts auch immer mal wieder lauern, wenn es nämlich um Sachen wie Scheinselbständigkeit oder dergleichen geht.
Zu guter Letzt würde ich noch einen Rechtsbereich oder ein Gesetz nennen, was faktisch nicht so wirklich große Anwendung findet: Das Gesetz zum Schutz von Geschäftsgeheimnissen. Faktisch hat natürlich das Thema Schutz von Geschäftsgeheimnissen eine große Relevanz. Bloß das Gesetz selber setzt so welche hohen Hürden, dass es häufig gar nicht so umfassend angewendet wird und man dann eher wieder im Bereich des allgemeinen Schuldrechts versucht, mit den Vertragspartnern entsprechende Verschwiegenheitsvereinbarungen zu regeln, die dann wiederum diese Geschäftsgeheimnisse tatsächlich schützen.
Bernhard Gandolf:
Sehr interessant. Vielen Dank.
-
Frage: DSGVO/GDPR als Kernthema – Worin besteht der Unterschied zwischen einer Auftragsverarbeitung und einer gemeinsamen Verantwortung?
Sie sprachen von Datenschutz, der berühmten Datenschutzgrundverordnung oder GDPR, wie es auf Englisch heißt. Die spielen also immer eine Rolle? In einfachen Worten bitte. Worin besteht der Unterschied zwischen einer Auftragsverarbeitung und einer gemeinsamen Verantwortung? Welche Auswirkungen ergeben sich daraus für auslagernde Unternehmen?
Fabian Stößer:
Also zum Ersten: Verantwortlicher und Auftragsverarbeiter sind zwei Begriffe, die so auch relativ einfach im Gesetz formuliert sind. Verantwortlicher ist der, der über die Zwecke und die Mittel der Verarbeitung der personenbezogenen Daten entscheidet. Also letztendlich der, der final den Hut auf hat und sagt: Hier geht’s lang, das machen wir mit den Mitteln, weil ich diesen Zweck verfolge. Der Auftragsarbeiter hingegen ist der klassische Dienstleister, wie man ihn sich vorstellt.
Er selber hat keinen Anspruch mit den Daten, die er dann bekommt, frei umzugehen. Die Leistung, die er erbringt, erbringt er ausschließlich für den Auftraggeber, in diesem Fall den Verantwortlichen. Er hat selbst kein Eigeninteresse an den Daten, die er da verarbeitet, sondern sein Interesse besteht einfach nur darin, einen Service für jemand anderen anzubieten und dafür ein Entgelt zu bekommen.
Und jetzt haben wir natürlich noch das Thema der gemeinsamen Verantwortlichkeit.
Gemeinsame Verantwortlichkeit haben wir immer dann, wenn wir mehr als einen haben, der den Hut auf hat. In größeren Unternehmensstrukturen hat man es relativ häufig, dass gewisse Bereiche in andere Gesellschaften ausgegliedert sind und dann merkt man häufig erst später, dass das Datenschutzrecht hier Herausforderungen bereiten könnte: Oh, hier sind verschiedene Gesellschaften, die irgendwie alle auf die gleichen Informationen zurückgreifen wollen, aber aus eigenen Bedürfnissen. Die einzelnen Gesellschaften verfolgen eigene Interessen. Aber die Verarbeitung findet für allegemeinsam statt. In diesen Fällen sind wir dann häufig im Bereich der gemeinsamen Verantwortlichkeit.
Und wie der Name schon sagt, da haben dann beide den Hut auf, beide sind verantwortlich. Deswegen und da die Grenzen zwischen gemeinsamer Verantwortlichkeit und Auftragsarbeiter teilweise schwimmend sind, ist es wichtig, in den Verträgen klar zu regeln und in der Praxis dann wirklich auch klar zu leben, ob hier gerade die eine Entity als Verantwortlicher auftritt oder aber ob sie als Auftragsverarbeiter für eine andere Entity, die Information verarbeitet
-
Frage: DSGVO/GDPR als Kernthema – Was bedeutet das für die fremdvergebenden Firmen konkret?
Bernhard Gandolf:
Und was bedeutet das für die Firmen, die auslagern? Worauf achten die besonders?
Fabian Stößer:
Die Firmen, die auslagern, sind im üblichen Fall die Verantwortlichen. Sie lagern aus, weil sie sich ja selber nicht mit den Themen befassen oder die Verarbeitungsprozesse selber durchführen wollen. Sie werden grundsätzlich Verantwortlicher sein und im Regelfall sind sie auch der alleinige Verantwortliche, weil man als auslagerndes Unternehmen eigentlich nicht möchte, dass jemand anders mit seinen Informationen noch eigene Interessen verfolgt.
Also da hätten wir das klassische Verhältnis Verantwortlicher und Auftragsverarbeiter, da muss ich dann darauf achten, dass ich die entsprechenden Verträge mit Auftragsverarbeitern schließe. Das ist auch zwingend. Das sieht auch die DSGVO so vor. Und da gibt es auch gewisse Kriterien, die eingehalten werden müssen, zu denen wir vielleicht auch noch mal zu sprechen kommen.
Auch gibt es einfach gewisse Fälle, wo man vielleicht auf Anhieb nicht mal an eine Auftragsverarbeitung oder gemeinsame Verarbeitung denkt.
Beispiel ist die Facebook Fanpage, die wir alle kennen. Unternehmen fragen sich: Ja, was sind wir eigentlich jetzt, wenn wir eine Nachricht über diese Fanpages bekommen? Bin ich jetzt Verantwortlicher? Ist Facebook Verantwortlicher? Hier kommen wir in die Bereiche, wo noch keine Einigkeit besteht und selbst zwischen staatlichen Stellen Streitgespräche stattfinden, ob man jetzt als Ministerium eine Fanpage überhaupt betreiben darf.
Wer ist hier Verantwortlicher? Momentan ist man auf der sicheren Seite, wenn man davon ausgeht, dass eine gemeinsame Verantwortlichkeit besteht, da man als Unternehmen einfach nicht kontrollieren kann, was Facebook da noch mit diesen Daten macht.
Das komplette Video findest du
gleich hier.Es erschien vor genau einem Monat am 13. März.
Mehr über den Rechts-Experten Fabian Stößer…
… findest du auf der Website von GRAEF Rechtsanwälte in Hamburg. Dort gibt es eine eigene Seite von Fabian Stößer: Fabian Stößer.
Mehr bequeme Videos rund um Outsourcing gibt es auf unserem YouTube Kanal – gleich abonnieren!
Interesse geweckt?
Teil 2 erscheint nächste Woche hier im Blog – ebenfalls mit überarbeitetem, leichter lesbaren Transkript.
Willst du mehr wissen über deine Möglichkeiten im Outsourcing?
- Besprechen wir dein Thema persönlich, unverbindlich und kostenfrei via Microsoft Teams .
- oder ruf uns an unter +49 541 580543-0.
