Wie sich Unternehmen und insbesondere Callcenter datenschutzrechtlich schützen können.
Viele Unternehmen arbeiten als verlängerter Arm für andere Unternehmen, um bestimmte Prozesse zu übernehmen. Diese Unternehmen haben sich auf diese bestimmten Tätigkeiten derart spezialisiert, dass sie mit ihrer Dienstleistung kaum noch zu überbieten sind. Werden diesen sogenannten Outsourcern personenbezogene Daten übergeben, um damit zu arbeiten, handelt es sich meist um eine Auftragsverarbeitung nach Artikel 28 EU-DSGVO. Die beteiligten Unternehmen heissen dann Auftraggeber und Auftragnehmer.
Um Datenschutzskandale zu verhindern ist es nicht nur absolut notwendig, sich an geltende Datenschutzgesetze zu halten. Gut beraten sind Unternehmen, die das Thema Datenschutz mit weiteren Managementsystemen verbinden können. Hierzu ist jedoch Fachwissen gefragt. Experten können beispielsweise vorhandene Dokumentationen nach der ISO 9001 oder der ISO 14001 um die benötigten Prozesse zum Datenschutz erweitern. Dies gilt jedoch nicht nur für ein vorhandenes Qualitätsmanagementsystem oder ein Umweltmanagementsystem. Auch ein Informationssicherheitsmanagementsystem nach der ISO 27001 lässt sich hervorragend mit Datenschutzprozessen verbinden und integrieren. Wobei es keine Rolle spielt, ob es sich um das Bundesdatenschutzgesetz handelt, oder zukünftige Gesetzgebungen wie zum Beispiel die EU-Datenschutzgrundverordnung.
Viele Callcenter und auch andere Outsourcer können sich datenschutzrechtlich vorbereiten, indem Sie sich vorab von einem Datenschutzauditoren prüfen lassen. Dieser kann aufgrund der technisch und organisatorischen Massnahmen einen Prüfbericht erstellen. Mögliche gefundene Abweichungen oder Feststellungen können dann vor einem Kundenaudit geklärt werden.
Unternehmen, die sich bereits jetzt schon auf die anstehende EU-Datenschutzgrundverordnung freuen, in der Hoffnung, dass sich die Art der Auftragsdatenverarbeitung vereinfachen wird oder sogar entfällt, freuen sich vermutlich zu früh. Unabhängig davon, in welchem Rahmen eine EU-Datenschutzgrundverordnung oder eine EU-Datenschutz-Richtlinie erlassen wird: Auftraggeber werden weiterhin prüfen wollen, wie die Auftragnehmer mit den ihnen überlassenen personenbezogenen Daten umgehen.
Zusammenfassend ist die Auftragsdatenverarbeitung für beide Parteien, dem Auftraggeber und dem Auftragnehmer, als wichtiges Vertragswerk zu sehen, weil dadurch die Rechte der Betroffenen gewahrt werden können. Durch diese extra abzuschließende Verarbeitung im Auftrag bekommt das Thema Datenschutz den richtigen und notwendigen Stellenwert.