Outsourcing in Nicht-EU-Länder

Nearshoring von Software-Entwicklung? Datenschutz beachten!

Der Fachkräftemangel verstärkt den Bedarf an externen Software-Entwicklern - oftmals im nichteuropäischen Ausland. Das bringt datenschutzrechtliche Implikationen mit sich, denen sich Anwender bewusst sein müssen.

41.000 Software-Entwickler fehlen derzeit in Deutschland - so Berechnungen des Hightech-Branchenverbands BITKOM. Der akute Fachkräftemangel steigert die Nachfrage nach externen Dienstleistern: Eine Techconsult-Studie kommt zu dem Ergebnis, dass bereits jedes dritte deutsche Unternehmen mit Outsourcing-Partnern zusammen arbeitet, von denen viele im nicht-europäischen Ausland sitzen.

Der Fachkräftemangel schlägt immer unmittelbarer auf die Produktivität deutscher Unternehmen durch.
Der Fachkräftemangel schlägt immer unmittelbarer auf die Produktivität deutscher Unternehmen durch.
Foto: techconsult GmbH

Unternehmen, die Dienstleistern Zugriff auf personenbezogene Daten ermöglichen - sei es von Endkunden, Mitarbeitern oder sonstigen Personen -, müssen sich mit den rechtlichen Rahmenbedingungen hinsichtlich des Schutzes dieser Daten auseinandersetzen. In Deutschland greift das Bundesdatenschutzgesetz (BSDG), innerhalb der EU die Europäische Datenschutzrichtlinie. Die Zusammenarbeit mit Dienstleistern und Unterauftragnehmern außerhalb der EU gestaltet sich rechtlich hingegen weitaus komplexer.

Rechtsrahmen

Wenn ein Unternehmen mit Sitz in Deutschland oder einem anderen EU-Staat Kunden-, Mitarbeiter- oder andere personenbezogene Daten von einem Dienstleister speichern, nutzen oder verarbeiten lässt, muss das Unternehmen ein "angemessenes Datenschutzniveau" beim Dienstleister sicherstellen. Dies gilt auch dann, wenn der Dienstleister nur Zugriff auf die Daten des Unternehmens erhält, die eigentlichen Daten aber im Unternehmen verbleiben.

Die Sicherstellung eines "angemessenen Datenschutzniveaus" ist im Bundesdatenschutzgesetz definiert, das die EU-Datenschutzrichtlinie umsetzt. Wenn ein angemessenes Datenschutzniveau nicht sichergestellt werden kann, drohen Maßnahmen der Aufsichtsbehörde und Bußgelder. Die Verarbeitung, Übertragung oder der Zugriff auf Daten durch den Dienstleister ist dann nicht zulässig.

Länder der EU gelten aufgrund der einheitlichen Gesetzgebung per se als "sichere" Länder im Sinne des Datenschutzes. Der Gesetzgeber spricht von einem angemessenen Datenschutzniveau in diesen Ländern und legt lediglich vertragliche Mindestanforderungen zwischen Auftraggeber und Dienstleister hinsichtlich der Auftragsdatenverarbeitung fest.