CallCenter Profi

Gewusst wie: Auftragsdatenverarbeitung im Call Center

 –  Jenna Eatough

Es verkörpert ein klassisches Revier im Bereich der Auftragsdatenverarbeitung (ADV): Die Rede ist vom Call Center - einer Fachabteilung, welche sich stets gefangen zwischen Datenschutzaspekten und Qualitätsansprüchen positioniert. Was es im Rahmen einer ADV zu beachten gilt und welche Neuerungen unmittelbar bevorstehen, erfahren Sie hier.

Oftmals fehlt es öffentlichen sowie nicht-öffentlichen Institutionen an hinlänglichen Ressourcen, um eine adäquate Verwirklichung einer Verarbeitung von personenbezogenen Daten zu erwirken. In diesen Fällen kann eine Abtretung der entsprechenden Aufgaben an außenstehende Unternehmen erfolgen. Diese Auslagerung der Speicherung, Verarbeitung und Nutzung von personenbezogenen Daten für Interessen eines anderen  Betriebes verkörpert an sich die sogenannte konzern- beziehungsweise behördengebundene ADV. Hierbei werden dem Auftragnehmer die zu verarbeitenden Datensätze zugeleitet, oder aber, er führt eine eigenständige Erhebung durch. Vielfach werden Call Center als Auftragnehmer im Rahmen der ADV betraut.

Zur Gewährleistung eines angemessenen Datenschutzes liefert § 11 Bundesdatenschutzgesetz (BDSG) entsprechende Reglementierungen, welche bei einer Datenweiterleitung zu beachten sind. Zum Schutze des Auftragnehmers legt hierbei Absatz 1 den entsprechenden Haftungsrahmen fest: Die Verantwortung zur Einhaltung des Datenschutzes liegt ausschließlich beim Auftraggeber. Er muss sicherstellen, dass die ADV rechtmäßig vonstattengeht. Die Telefonzentrale als ADV-Beauftragter hat demnach keinen eigenen Ermessensspielraum.

Von der ADV abzugrenzen ist die so genannte Funktionsübertragung, bei welcher ebenfalls eine Abtretung der Datenverarbeitung erfolgt. Der entscheidende Unterschied liegt hierbei in der Übernahme jedweder Direktionsrechte und Planungstätigkeiten, wobei dennoch eine Orientierung an die entsprechende Aufgaben gewährt bleibt. Letztlich ist das designierte ausgelagerte Unternehmen im Rahmen einer Funktionsübertragung deutlich autonomer, muss aber indes auch einem Mehr an Obliegenheiten nachkommen. Allerdings besteht, auf das Call Center bezogen, Dissens darüber, inwiefern noch eine ADV vorliegt, sobald diffizilere Tätigkeiten abgetreten werden. Teilweise wird vertreten, es liege sodann ein Fall der Funktionsübertragung vor. Bestehen in derartigen Grenzfällen Unsicherheiten, sollte der Rat eines Fachmannes eingeholt werden.

Der Zehn-Punkte-Katalog
Bezüglich der inhaltlichen Ausgestaltung eines ADV-Kontraktes sieht das Bundesdatenschutzgesetz (BDSG) einige ausdrückliche Instruktionen vor, welche zumindest der Auftraggeber zwingend beherzigen muss. § 11 Abs. 2 BDSG liefert hierzu einen Zehn-Punkte-Katalog. Die nachfolgende Aufstellung bietet eine Checkliste, mittels derer überprüft werden kann, ob der Auftraggeber den entsprechenden Anforderungen gerecht wird:

 

  1. Enthält der ADV-Kontrakt sowohl Gegenstand als auch Dauer?
  2. Ist eine konkrete Beschreibung von Umfang, Art und Zweck der Daten sowie der von der Datenverarbeitung betroffene Personenkreis gegeben?
  3. Sind gemäß § 9 BDSG sämtliche anzustellenden, planerischen sowie technischen Maßnahmen beschlossen?
  4. Sind die von den §§ 20, 35 BDSG vorgesehenen Bestimmungen, welche die Richtigstellung, Löschung sowie Sperrung von Daten betreffen, vertraglich festgehalten?
  5. Wurden die Obliegenheiten des Beauftragten gemäß § 11 Abs. 4 BDSG inkludiert?
  6. Liegt eine entsprechende Legitimierung zur Übertragung der ADV auch an Subunternehmen vor?
  7. Erfolgte eine Zuweisung der erforderlichen Kontrollbefugnisse an den Auftraggeber? Wurde dem Auftragnehmer dessen Duldungs- und Mitwirkungspflicht zugeteilt?
  8. Sind mitzuteilende Verstöße des Auftragnehmers oder der bei ihm angestellten Personen gegen Bestimmungen zur Behütung personenbezogener Daten bzw. gegen die im Auftrag niedergelegten Vereinbarungen determiniert?
  9. Wurden dem Auftraggeber die benötigten Direktionsbefugnisse zugewiesen?
  10. Enthält der ADV-Vertrag Festlegungen bezüglich der Rückgabe übertragener Datenträger oder der Löschung abgespeicherter Daten?

Änderungen ab Mai 2018
Zu beachten ist zudem, dass ein ADV-Kontrakt aktuell noch die Schriftform benötigt. Ab dem 18. Mai 2018 gilt die neue EU-Datenschutzgrundverordnung verbindlich für alle EU-Mitgliedstaaten, wonach sich die Gegenstände des ADV-Vertrags aus Art. 28 Abs. 3 EU-DSGVO ergeben. In den § 28 ff. EU-DSGVO wird die ADV einer Neuregelung unterworfen. Neben der schriftlichen Fixierung besteht sodann auch die Möglichkeit zur Aufsetzung eines Kontraktes in elektronischer Form.

Leider werden die bisher geltenden Reglementierungen in der Realität immer wieder vernachlässigt. Dies führte bereits im Jahre 2009 zur Revidierung der datenschutzrechtlichen Vorschriften. Die Begründung der entsprechenden Datenschutzreform führt das unrechtmäßige Hantieren mit personenbezogenen Daten im Call Center explizit als Initialzündung des Gesetzes auf. Wird die Auftragszuerkennung nicht korrekt durchgeführt, so können schwerwiegende Geldbußen drohen, welche den Auftraggeber treffen.

Pflichten des Auftragnehmers
In § 11 Abs. 4 BDSG sind die Obliegenheiten des Auftragnehmers – hier des Call Centers – geregelt. Unter anderen wären hier die folgenden Punkte zu nennen:

 

  • Alle Mitarbeiter müssen auf das Datengeheimnis verpflichtet werden (§ 5 BDSG).
  • Es sind angemessene technische und organisatorische Maßnahmen zur Wahrung des Datenschutzes zu treffen (§ 9 BDSG).
  • Die Bestimmungen zur datenschutzbezogenen Kontrolle oder Beaufsichtigung sind zu befolgen, wobei der jeweilige Auftraggeber vertreten wird.
  • Womöglich wird die Bestellung eines Datenschutzbeauftragten notwendig.

Kommt es zu entsprechenden Verstößen, so muss auch der Auftraggeber mit Bußgeldern oder Sanktionen rechnen.

Gemäß Art. 28 Abs. 10 EU-DSGVO wird der Auftragnehmer zukünftig (welcher mit der neuen Datenschutzgrundverordnung als „Auftragsverarbeiter“ bezeichnet wird) selbst zum Verantwortlichen, sofern dieser gegen die Weisung des Auftraggebers (künftig „Verantwortlicher“) im Rahmen der Verarbeitung verstößt – indem er etwa den Zweck Verarbeitung eigenständig definiert. Auch mit der EU-DSGVO gilt grundsätzlich die Verantwortlichkeit des Auftraggebers der Verarbeitung im Rahmen der Befolgung datenschutzrechtlicher Anforderungen.

An dieser Stelle bedarf es der Differenzierung zum „Joint Control“ nach Art. 26 EU-DSGVO (eine im BDSG absente Regelung): Dabei wird mittels Übereinkunft und entsprechender Vereinbarung Zwecke sowie Mittel der Verarbeitung gemeinsam transparent festgelegt. Doch sieht Art. 82 EU-DSGVO eine durchaus verschärfte Haftungspflicht für den Auftragsverarbeiter vor: Während gemäß des BDSG nur gegenüber dem Auftraggeber mögliche Schadensersatzansprüche zu stellen sind, treffen diese zukünftig entweder den für die Verarbeitung Verantwortlichen oder den Auftragsverarbeiter. Es wird grundsätzlich eine gemeinsame Haftung gegenüber dem Beeinträchtigten begründet, wobei sich das Einstehen des Auftragsverarbeiters lediglich auf Zuwiderhandlungen gegen die ihm zukommenden Obliegenheiten begrenzt. Letztlich führt die EU-DSGVO neue Verpflichtungen für den Auftragsverarbeiter ein. Hierzu zählt etwa das Führen eines Verzeichnisses über sämtliche Verarbeitungstätigkeiten (Art. 30 EU-DSGVO).

Pflichten des Auftraggebers
Der Anhang zu § 9 BDSG nennt insgesamt acht Maßregeln, welche von Auftraggebern im Rahmen der ADV unumgänglich umzusetzen sind.

 

  1. Hierzu gehört die Zutrittskontrolle, das heißt, es muss dafür Sorge getragen werden, dass der Zutritt zu den jeweiligen Datenverarbeitungsanlagen für Unbefugte ausgeschlossen ist. Davon umfasst sind sowohl die entsprechenden Server als auch das Arbeitsumfeld des Call Centers: Sobald der eigene Arbeitsplatz die Möglichkeit des Zugreifens auf die Daten bereitstellt, bedarf es einer Zugriffskontrolle.
  2. Nicht zu verwechseln ist dies mit der Zugangskontrolle, welche den Zugang zu den Datenverarbeitungssystemen durch Nichtautorisierte betrifft. Sowohl für hausinterne Mitarbeiter als auch für externe Personen, welche keine Berechtigung besitzen, muss der Zugang zu den Systemen verschlossen bleiben.
  3. Die so genannte Zugriffskontrolle fordert den Zugriff nur berechtigter Personen auf ausschließlich für sie vorgesehene Datensätze - sprich, es darf nur auf solche Daten zugegriffen werden, für die eine entsprechende Legitimierung vorliegt. Andere in der Datenverarbeitungsanlage enthalten, personenbezogene Informationen dürfen in Ermangelung einer jeweiligen Berechtigung nicht abgerufen werden.
  4. Zur Vereitelung einer unbefugten Vervielfältigung, Sichtung, Abänderung oder Entfernung von Daten dient die Weitergabekontrolle. Weiterhin befähigt sie zur Überprüfung und Feststellung, an welche Stellen eine Übertragung personenbezogener Daten erfolgt ist.
  5. Die Eingabekontrolle ermöglicht eine Rekonstruktion dessen, welche Daten eingegeben, verändert oder entfernt wurden und lässt eine Identifikation der verarbeitenden Person zu.
  6. Der Auftragnehmer ist gemäß der Auftragskontrolle zur Wahrung der Anordnungen des Auftraggebers verpflichtet. Die entsprechende Datenverarbeitung hat alleinig der Arbeitsanweisung entsprechend zu erfolgen.
  7. Die Verfügbarkeitskontrolle betrifft die zufällige Zerstörung oder der Verlust der personenbezogenen Daten.  Die jeweiligen Informationen sind auf eine solche Art und Weise zu sichern, dass sie vor – etwa witterungsbedingten - Demolierungen  geschützt werden.

Die Daten müssen ihren unterschiedlichen Zwecken entsprechend separat abgespeichert werden.

Ein Musterbeispiel für einen ADV-Vertrag finden Sie hier ...

Unsere Autorin:
Jenna Eatough studierte an der Universität Regensburg zunächst Rechtswissenschaften mit Abschluss der juristischen Zwischenprüfung und dann Medienwissenschaften (BA). Heute lebt sie in Berlin und ist unter anderem als freie Journalistin für verschiedene Verbände tätig.

Dieser Beitrag entstand in fachlicher Zusammenarbeit mit:
Berufsverband der Rechtsjournalisten e. V.
Greifswalder Straße 208
10405 Berlin

Web: www.datenschutz.org
Mail: info@datenschutz.org
Telefon: +49 (0) 30 31 19 96 98

Ihr Ansprechpartner

Ihr Ansprechpartner

Alexander Jünger

Telefon: +49 611 949147-44
Fax: +49 611 94914747-44

Kontakt aufnehmen

Passende Inhalte

Aktualität