„Ich möchte meine Buchhaltung nach Indien auslagern!“

Praxisbeispiel: Auslagerung der Lohnbuchhaltung an ein externes Lohnbuchhaltungsbüro in Indien. Ist das überhaupt grundsätzlich möglich?

Beauftrage ich ein Unternehmen, meine personenbezogenen Daten für mich zu verarbeiten, dann spricht man von Auftragsdatenverarbeitung. Sie erlaubt die Verarbeitung der Daten durch einen Dritten. Es handelt sich hierbei um einen gesetzlichen Erlaubnistatbestand. Denn nach §4 Abs. 1 BDSG ist eine Verarbeitung u. a. nur dann zulässig, soweit dies eine gesetzliche Vorschrift erlaubt. Die Auftragsdatenverarbeitung ist eine solche gesetzliche Vorschrift – insoweit ist es dem Dritten, also dem beauftragten Unternehmen erlaubt, die Daten zu verarbeiten.

Die Auftragsdatenverarbeitung ist an besonderen Voraussetzungen geknüpft, die insb. in §11 BDSG geregelt sind. Danach bleibt der Auftraggeber, im Beispielfall also ich, in voller Verantwortung für die Daten. Das beauftragte Unternehmen arbeitet sozusagen so, als ob es organisatorisch in meinen eigenen Geschäftsbetrieb integriert ist. Im Rahmen der Auftragsdatenverarbeitung nach §11 BDSG muss ich also dafür sorgen, dass ich volles Weisungsrecht hinsichtlich der konkreten Verarbeitungsprozesse meiner Daten gegenüber dem beauftragten Unternehmen habe. Ich muss das beauftragte Unternehmen anweisen (können), wie es meine Daten entsprechend zu verarbeiten hat. Das lässt sich entsprechend vertraglich regeln. So wie ich versuche, die Verantwortung für den Schutz der Daten vor Missbrauch auf das beauftragte Unternehmen zu verschieben, verliert das Verhältnis zwischen mir und dem beauftragten Unternehmen den Auftragsdatenverarbeitungscharakter nach §11 BDSG, und die Verarbeitung der Daten durch das beauftragte Unternehmen wäre unzulässig (weil eben dieser gesetzliche Erlaubnistatbestand wegfiele).

Interessant für mich ist die Beauftragung vor allem dann, wenn ich dadurch selbst spürbar Geld spare im Vergleich zu, wenn ich die Verarbeitung selbst durchführen würde. Ein wesentlicher Kostenfaktor ist dabei immer das Personal selbst. Ein auf die konkret erforderliche Datenverarbeitung spezialisiertes Unternehmen im Inland, mag bereits auf Grund seiner Spezialisierung so organisiert sein, dass seine Personalkosten bereits etwas geringer sein werden, als meine. Doch um wie viel günstiger käme mir eine Datenverarbeitung in einem Land bei dem das Lohngefüge insgesamt sehr viel niedriger wäre als das im Inland.

So ist der Gedanke, ein Unternehmen mit Sitz in einem sog. Niedriglohnland mit der Datenverarbeitung zu beauftragen, nicht sehr weit weg.

Das Gesetz zum Schutz vor Missbrauch personenbezogener Daten bei der Datenverarbeitung (Bundesdatenschutzgesetz – BDSG) schließt eine solche Möglichkeit der Auftragsdatenverarbeitung im nicht-europäischen Ausland aus. Würde ich die personenbezogenen Daten zur Weiterverarbeitung an ein Unternehmen weitergeben, welches sein Sitz im nicht-europäischen Ausland hat, dann läge bereits mit der Weitergabe, eine sog. „Übermittlung“ der Daten vor – und damit bereits eine besondere Art der Datenverarbeitung. Diese wäre schon unzulässig (außer es gäbe hierfür eine besondere gesetzliche Regelung beziehungsweise die Einwilligung des Betroffenen läge mir vor).

Damit steht das deutsche Datenschutzrecht konträr zur EU-Datenschutzrichtlinie, die eine Möglichkeit einer Auftragsdatenverarbeitung im nicht-europäischen Ausland unter gewissen Voraussetzungen vorsieht.

Der EUGH hat nun im November vergangenen Jahres (EUGH, Urt. V. 23.11.2011 – AktZ. C 486/10) entschieden, dass die nationale Regelung, die auf Grundlage der vorbenannten EU-Datenschutzrichtlinie erlassen wurde (und das ist in dem Fall das BDSG), nicht einseitig die EU-Datenschutzrichtlinie einschränken dürfe. In einem solchen Fall, entfalte die in der EU-Datenschutzrichtlinie enthaltene Möglichkeit einer zulässigen Auftragsdatenverarbeitung durch ein Unternehmen mit Sitz im nicht-europäischen Ausland, unmittelbare Anwendung („effet utile“).

Danach könnte ich also, sofern ich alle übrigen Voraussetzungen erfülle, meine Lohnbuchhaltung auch nach Indien „auslagern“. Das Verbot aus dem BDSG jedenfalls kann mich nicht mehr daran hindern.