Datenschutzkonformes Outsourcing in Drittstaaten am Beispiel Indien

Fachbeitrag

Während man, insbesondere nach der Safe Harbor Entscheidung, viel über die Zulässigkeit von Datenverarbeitungen in den USA lesen konnte, findet man über die Zulässigkeit dieser in anderen Drittstaaten nahezu nichts. Der nachstehende Artikel zeigt auf, unter welchen Voraussetzungen Outsourcing nach Indien möglich sein kann.

Warum Outsourcing?

Für Unternehmen ist es sehr ressourcen- und kostenintensiv alle Tätigkeiten, die in einem Unternehmen anfallen, selbst zu stemmen. Neben dem Produkt oder der Dienstleistung, mit der Geld verdient wird, müssen auch andere Tätigkeiten, wie die Lohnbuchhaltung, IT-Administration, Hardware und Softwarepflege übernommen und dafür Personal bereitgehalten werden. Mit Hilfe von Outsourcing können einzelne Tätigkeiten an Dienstleister abgegeben werden. Diese zeichnen sich durch ihre Spezialisierung und der damit verbundenen Expertise aus. Zumeist sind sie auch kostengünstiger als eigene Angestellte.

Warum Indien?

Indien ist das bevölkerungsreichste Land der Welt und das Lohnniveau weit niedriger als in Europa. Nichts desto trotz bieten indische Universitäten hervorragende Ausbildungen an und sind indische Ingenieure und Programmierer weltweit gefragt. Da verwundert es nicht, dass Indien als Standort interessant für das Outsourcing ist, zumal die Kostenersparnis mit einer der Hauptbeweggründe dafür ist.

Datenschutz in Indien

In Indien existieren zwar keine Regelungen, welche vergleichbar wären mit Regelungen der EU-Datenschutzrichtlinie 95/46/EG oder des BDSG und gibt es auch keine Datenschutzbehörden. Jedoch hat Indien bereits im Jahre 2000 ein Gesetz zur Informationstechnologie (IT Act) erlassen, welches in Abschnitt 43A und Abschnitt 72A bereits das Recht auf Schadensersatz bei unzulässiger Verwendung von persönliche Informationen einräumte.

Auf Grundlage von Abschnitt 32A und den damit verbundenen Fragen, wurden 2011 schließlich datenschutzrechtliche Bestimmungen geschaffen, die den Umgang mit personenbezogenen Daten regeln und durchaus auch Ähnlichkeit mit den Regelungen der EU-Datenschutzrichtlinie haben und auch die Benennung von Datenschutzbeauftragten vorsieht. Darüber hinaus hat auch das Verfassungsgericht in Indien das Recht auf Informationelle Selbstbestimmung unter Artikel 21 Verfassungsrang zugesprochen.

Voraussetzungen für die Datenverarbeitung

Grundsätzlich unterscheidet sich die Prüfung der Zulässigkeit der Datenverarbeitung in Indien nicht von den allgemein aufgestellten Voraussetzungen für die Datenverarbeitung in Drittländern, wie beispielsweise den USA.

Danach sind zwei Voraussetzungen für eine rechtmäßige Datenverarbeitung zu beachten.

  • Erste Stufe: Für die Datenverarbeitung der Daten muss ein Erlaubnistatbestand bestehen.
  • Zweite Stufe: Beim Datenempfänger muss ein angemessenes Datenschutzniveau sichergestellt sein.

Erste Stufe: Erlaubnistatbestand

Die Anforderung der ersten Stufe ergeben sich aus § 4 Abs. 1 und 2, §§ 11, 27 ff BDSG niedergelegt.

Gemäß § 4 Abs. 1 BDSG ist die “Erhebung, Verarbeitung und Nutzung personenbezogener Daten (…) nur zulässig, soweit dieses Gesetz oder eine andere Rechtsvorschrift dies erlaubt oder anordnet oder der Betroffene eingewilligt hat”. Folglich bedarf es eines rechtfertigenden Erlaubnistatbestandes.

Ob eine Datenübermittlung im Einzelfall zulässig ist, muss abhängig von den Daten, der Verarbeitung und Nutzung durch den Empfänger im jeweiligen Einzelfall geprüft werden. Im Falle des Outsourcing, wird es sich in den meisten Fällen um eine Auftragsdatenverarbeitung gemäß §11 BDSG handeln, so dass die Voraussetzungen des §11 BDSG erfüllt werden müssen.

Vorsicht ist bei der Verarbeitung von besonderen personenbezogenen Daten gemäß §3 Abs. 9 BDSG (insb. Religionszugehörigkeit und Gesundheitsdaten) geboten, diese kann nach Ansicht einiger Datenschutzbehörden nicht auf §11 BDSG gestützt werden und bleibt bei Übermittlung dieser Daten allein der Rückgriff auf die Einwilligung des Betroffenen gemäß §4a BDSG.

Zweite Stufe: Datenschutzniveau

Auf der zweiten Stufe geht es um die Sicherstellung eines angemessenen Datenschutzniveaus beim Datenempfänger, vgl. § 4b BDSG.

Hat der Datenempfänger seinen Sitz in einem Mitgliedstaat der Europäischen Union (EU) oder einem Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum (EWR) so ist automatisch ein ausreichendes Datenschutzniveau sichergestellt. Daneben hat die EU-Kommission für einige nicht-EU/EWR Länder entschieden, dass deren Rechtsordnung insgesamt ein angemessenes Datenschutzniveau sicherstellt. Bei Datenempfängern in diesen Ländern ist Stufe zwei unproblematisch.

Indien befindet sich hingegen in einem sog. Drittstaat, das sind Staaten, die sich weder innerhalb der EU/ des EWR befinden, noch denen die EU-Kommission ein ausreichendes Datenschutzniveau bescheinigt hat. Bei diesen Ländern müssen besondere Maßnahmen getroffen werden, um ein angemessenes Datenschutzniveau sicherzustellen. Dies kann derzeit rechtssicher nur durch Abschluss eines Vertrags zwischen Datenexporteur und -importeur mit bestimmten EU-Standardklauseln erreicht werden. Dabei ist darauf zu achten, dass die EU-Standardklauseln nicht zum Nachteil der Betroffenen abgeändert werden dürfen, weshalb die von der EU-Kommission zur Verfügung gestellten Dokumente verwendet werden sollten.

Wichtige, zusätzlich zu beachtende, Punkte

Die zwei Stufen schaffen den Rechtsrahmen für eine zulässige Datenübermittlung in das Drittland und müssen daher beide erfüllt sein. Dabei ist insbesondere darauf zu achten, dass die EU-Standardvertragsklauseln nicht den Abschluss einer Vereinbarung zur Auftragsdatenverarbeitung gemäß §11 BDSG ersetzen, weshalb dieser gesondert zu schließen ist.

Des Weiteren ist es dringend notwendig, dass der Auftraggeber den Dienstleister anhand der vom indischen Dienstleister getroffenen technischen und organisatorischen Maßnahmen nach §9 Satz 1 BDSG in Verbindung mit der Anlage zu §9 Satz 1 BDSG überprüft, bzw. künftig eine Risikoeinschätzung vornimmt. Da eine Vor-Ort-Kontrolle in vielen Fällen nicht möglich sein wird, sollten die getroffenen Maßnahmen konkret beschrieben worden sein und am besten anhand von Zertifizierungen oder unter Vorlage anderer geeigneter Dokumente nachgewiesen werden.

Fazit

Outsourcing ist unter Beachtung der vorgenannten Punkte auch nach Indien oder in andere Drittstaaten möglich. Die Entscheidung sollte man jedoch nicht nur auf monetärer Basis treffen, sondern alle Faktoren beachten.

6 Kommentare zu diesem Beitrag

  1. Es ist nach der Ansicht vieler Aufsichtsbehörden allerdings möglich den EU Standardvertrag zu ergänzen und damit sowohl den 11er als auch den EU Standardvertrag zu erfüllen (Bsp. LDA Bayern).

    Herr Tezel, was würden Sie denn dann bei einer Konzernstruktur empfehlen; insbesondere in Bezug auf 3 (9) BDSG? Vielen Dank und weiter so

    • Zunächst vielen Dank für Ihren Kommentar. Es ist richtig, dass man EU-Standardvertrag ergänzen kann, die noch zu ergänzenden Regelungen des §11 BDSG kann beispielsweise als gesonderten Anhang Teil des EU-Standardvertragswerk werden lassen.

      Hinsichtlich der Verarbeitung von personenbezogenen Daten, insbesondere besonderer personenbezogener Daten, im Konzern ist häufig auf erster Stufe ein Rückgriff auf §11 BDSG nicht möglich, da die „ausländische“ Konzernmutter nicht nur die Daten im Auftrag, sondern für eigene Zwecke, verarbeitet. In diesem Fall handelt es sich um eine Funktionsübertragung. Solche Funktionsübertragungen können, auch für besondere personenbezogene Daten zulässig sein, sofern diese im Rahmen des §32 Abs. 1 Satz 1 BDSG zulässig sind oder man nach Abwägung anhand von §28 Abs.1 Nr. 2 zu dem Ergebnis kommt, dass das Interesse des Betroffenen an der Verarbeitung nicht überwiegt. Dies ist jeweils für den Einzelfall zu betrachten. Auf der zweiten Stufe ist ebenfalls eine EU-Standardvertrag zu schließen, in diesem Fall jedoch Controller-Controller Set II, welcher hinsichtlich der Mitarbeiterrechte noch zu ergänzen ist.

  2. Vielen Dank Herr Tezel! Allerdings gibt es doch auch hinsichtlich der Anwendbarkeit von § 11 BDSG im internationalen Kontext unterschiedliche Ansichten, da § 3 (8) eine Verschlechterung zur Richtlinie darstellt. Meiner Ansicht nach wäre daher wohl beides vertretbar, man sollte in Bezug auf besondere personenbezogene Daten jedoch auf jeden Fall das Sicherheitsniveau hoch halten und vorher überlegen, ob es unbedingt zwingend notwendig ist, dass diese Daten ins Ausland kommen.
    Könnte man die Problematik hinsichtlich der Argumentation bei §32/28 nach Ihrer Ansicht nicht auch dadurch für ein Unternehmen positiv argumentieren, wenn man die Mitarbeiter entsprechend umfassend informiert – als einen Konzernbezug herstellt, bspw. im Arbeitsvertrag oder durch eine Art Infoblatt, das von den Mitarbeitern unterschrieben wird?

    • Die von Ihnen vorgeschlagenen Punkte sind durchaus geeignet eine transparente Datenverarbeitung zu ermöglichen und können sie im Einzelfall auch dazu beitragen, dass bei einer gebotenen Interessenabwägung, dieses zu Gunsten des Unternehmens ausfällt. Es ist dringend zu empfehlen in solchen Fällen eine vollständige datenschutzrechtliche Bewertung vorzunehmen und diese zu dokumentieren.

  3. “Daneben hat die EU-Kommission für einige nicht-EU/EWR Länder entschieden, dass deren Rechtsordnung insgesamt ein angemessenes Datenschutzniveau sicherstellt.”

    Welche Länder gehören hierzu? Gibt es eine Zusammenstellung und/oder Übersicht?

    Vielen Dank

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.