In meinem letzten Lehrgang zum Datenschutzbeauftragten wurde natürlich auch das Thema externe Dienstleister behandelt. In diesem Beitrag werde ich deswegen einmal darüber berichten, was man meiner Meinung nach beachten sollte, wenn man mit externen Dienstleistern zusammen arbeitet, wie zum Beispiel einer Reinigungsfirma oder einem Bürodienstleister.
Was sind externe Dienstleister?
Unter einem externen Dienstleister versteht man ein Unternehmen, eine Firma oder einen Selbständigen welche für das eigene Unternehmen tätig werden. Dies fängt an beim Steuerbüro, über die Putzfrau bis zum Anbieter des Webspaces, auf dem die eigene Webseite gehostet wurde.
Weisungsgebundene und nichtweisungsgebundene Dienstleister
Bei externen Dienstleistern muss man zuerst einmal unterscheiden, ob sie Weisungsgebunden oder Nichtweisungsgebunden sind. Weisungsgebundene Unternehmen sind zum Beispiel der Reinigungsdienst, der Bürodienstleister oder der EDV Service. Nichtweisungsgebunden sind dagegen zum Beispiel die Bank, der Rechtsanwalt oder der Steuerberater.
Der weisungsgebundene Dienstleister
1. Dienstleistungsvertrag abschließen
Bei weisungegbundenen Unternehmen sollte man immer einen Dienstleistungsvertrag abschließen. In diesem ist geklärt, welche Arbeiten der Dienstleister zu verrichten hat. Zudem empfiehlt es sich, den Dienstleister in Teile der Unternehmensprozesse einzuweisen oder diese im Dienstleistungsvertrag mit zu hinterlegen.
2. Prozesse im Unternehmen mit Dienstleister abstimmen
Kennt der Dienstleister bestimmte Prozesse nicht, kann es zu ersten Unstimmigkeiten kommen. Dies kann zum Beispiel sein, wenn ein externer EDV Dienstleister den Auftrag hat regelmäßig Backups von den Datenbeständen anzulegen. Wenn durch die Backups die Arbeit der Mitarbeiter unterbrochen werden müsste, sollten diese Backups natürlich zu anderen Zeiten durchgeführt werden, wie zum Beispiel Nachts oder am Wochenenden, wenn im Unternehmen niemand arbeitet.
3. Vertrag zur Auftragsdatenvereinbarung und Verschwiegenheitsverpflichtung
Zum Dienstleistungsvertrag kann noch ein Vertrag zur Auftragsdatenvereinbarung oder eine Verschwiegenheitsverpflichtung hinzukommen. Dies hängt davon ab, inwieweit der Dienstleister mit personbezogenen Daten des Unternehmens in Kontakt kommt.
Mit einem Bürodienstleister, welcher Zugriff auf Kundendaten hat und diese verwendet, um zum Beispiel Rechnungen zu stellen, sollte man einen Vertrag zur Auftragsdatenvereinbarung abschließen. Dasselbe gilt auch für den EDV Dienstleister, wenn dieser Kundendaten sichert oder archiviert.
Mit dem Putzdienst reicht es meistens aus eine Verschwiegenheitsverpflichtung zu unterzeichnen. Dies ist aber nur dann der Fall, wenn der Putzdienst wirklich nur reinigt und keine personenbezogenen Daten vernichten muss.
Die Frage ist halt immer, arbeitet der Dienstleister mit den Daten oder kann er nur Kenntnis von diesen Daten erlangen.
Der nichtweisungsgebundene Dienstleister
Nichtweisungsgebunde Unternehmen, wie zum Beispiel der Steuerberater, erhalten von einem Unternehmen zwar auch Aufträge, können diese aber unter Einhaltung der eigenen Rechtsvorschriften ausführen oder ablehnen.
Wenn zum Beispiel ein Unternehmen meint, Steuern sparen zu können, in dem es Einnahmen verschleiert und dafür ein Steuerbüro beauftragt, wird das Steuerbüro mit großer Wahrscheinlichkeit diesen Auftrag nicht ausführen.
Mit nichtweisungsgebundenen Dienstleistern schließt man keinen Dienstleistungsvertrag ab. Hier entfällt auch ein Vertrag zur Auftragsdatenverarbeitung oder eine Verschwiegenheitsverpflichtung. Denn in dem Moment in dem der nichtweisungsgebundene Dienstleister tätig wird, ist dieser selber für das Einhalten alle Rechtsvorschriften verantwortlich.
Dies entbindet aber nicht das eigene Unternehmen davon, darauf zu achten, welche Daten an den nichtweisungsgebundenen Dienstleister übermittelt werden. Dies sollten auch weiterhin nur die Daten sein, welche der Dienstleister benötigt, um seinen Aufgaben zu erfüllen.