Auftragsdatenverarbeitung im Callcenter

Transkript

1 Auftragsdatenverarbeitung im Callcenter Was Auftraggeber beachten müssen und Dienstleister bieten sollten White Paper März 2012

2 1. Warum Datenschutz wichtig ist Ein Call-Center-Dienstleister kommt meistens zum Einsatz, wenn Unternehmen sich mehr auf eigene Kernkompetenzen konzentrieren, Lastspitzen abfangen oder ihr eigenes Team mit einem Benchmark qualitativ nach vorne bringen wollen. In der Findungsphase für einen geeigneten Dienstleister steht neben den Kosten häufig noch die fachliche Eignung zur Diskussion. Weit weniger Fokus wird bei der Auswahl eines Call-Center-Dienstleisters auf Datenschutz und Datensicherheit gelegt. Der Fokus der Medien auf das Thema Datenschutz nicht zuletzt befördert durch die Datenschutzskandale bei Bahn, Telekom und Co. und ein gesteigertes Bewusstsein in der Bevölkerung führten zu einer sorgfältigeren Auswahl und Prüfung der Dienstleister in Puncto Datenschutz. Die Relevanz des Auswahlkriteriums Datenschutz Immer noch ist die Reihenfolge der Auswahlkriterien aber Preis Qualität Datenschutz. Die Entscheider scheinen noch immer nicht zu erkennen, dass Datenschutz kein Einzelkriterium darstellt, sondern ein Faktor bei Preis und Qualität ist. Qualität kann nicht bemessen werden ohne Aspekte der Datensicherheit einzubeziehen. Vom Dienstleister erfasste Daten sind nutzlos, wenn die Erfassung nicht dokumentiert wird. Ein vermeintlich günstigerer Preis verkehrt sich sofort ins Gegenteil, wenn ein Datenschutz-

3 skandal eintritt. Dieser geht in aller Regel mit einem Imageschaden einher, der schwer monetär zu beziffern ist und in keinem Verhältnis zu den etwaigen Preisvorteilen steht. Dabei sind die gesetzlichen Vorgaben zur Auftragsdatenverarbeitung mit der Novelle des Bundesdatenschutzgesetzes (BDSG) seit dem umfänglich geregelt und eindeutig gehalten. Auftraggeber finden in 11 BDSG detaillierte Vorgaben darüber, was bei der Fremdverarbeitung von personenbezogenen Daten vertraglich zu regeln und bei der Vergabe zu beachten ist. Die Datenschutzskandale der jüngeren Zeit jedoch zeigen, dass diese Vorgaben noch immer nicht ernsthaft berücksichtigt und eingehalten werden. 2. Rechtliche Rahmenbedingungen Vorgaben und Pflichten für den Auftraggeber So stand der Call-Center-Dienstleister einer Krankenversicherung, bei welchem die Daten der Versicherten an Heimarbeitsplätzen abrufbar waren, Anfang 2010 im Fokus der Berichterstattung. Im 23. Tätigkeitsbericht des Bundesbeauftragten für Datenschutz und Informationsfreiheit (BfDI), Peter Schaar, erhielt der Dienstleister eine späte, und in den Medien ungehörte, Rehabilitation. Die Prüfungen, die der Krankenversicherer im Vorfeld der Auftragsvergabe hätte durchführen müssen, die Pflichten die dem Auf-

4 tragnehmer auferlegt hätten müssen und die Kontrollen die durchgeführt hätten müssen, waren allesamt unzureichend bzw. fanden nicht statt. Das Problem war demnach schon beim Start des Projekts immanent und somit eine klare Verfehlung des Auftraggebers und erst in zweiter Linie eine des Auftragnehmers. Auftraggeber müssen, wie in 11 BDSG verpflichtend verankert, vor Auftragserteilung den Auftragnehmer auf dessen Zuverlässigkeit prüfen. Diese Prüfung muss zudem in regelmäßigen Abständen während der Laufzeit wiederholt werden. Daneben sollten sich die Fachverantwortlichen individuelle Fragen zum Datenschutz während des Projektverlaufs stellen. So braucht nicht jeder Auftraggeber einen Dienstleister, den auch eine Bank als sicher genug einstufen würde. Die Maßnahmen dürfen explizit verhältnismäßig gehalten werden. Allerdings darf dies nicht dazu führen, dass keinerlei oder unangemessene Maßnahmen getroffen werden. Die gesetzlichen Vorgaben, zusammen mit den individuellen fachlichen Fragen zur Auftragsvergabe und -abwicklung, könnte man als Hard-Skills also solche Voraussetzungen, die der Dienstleister erfüllen muss bezeichnen. Voraussetzungen, die er darüber hinaus erfüllt, als Soft-Skills. Die acht goldenen Regeln Der Gesetzgeber gibt im Anhang des 9 des BDSG acht Regeln vor, die man einzuhalten hat. Wichtig ist hierbei, zu beachten, je ausführlicher und vertrauter die Daten, desto mehr Maßnahmen müssen unternommen wer-

5 den, um diese Daten sichern zu können. Die Pflicht zur Kontrolle liegt beim Auftraggeber. 1. Zutrittskontrolle Datenverarbeitungsanlagen müssen für Unbefugte abgeschottet sein. Das betrifft einerseits Server-Räume, die Datenbanken beherbergen. Andererseits gilt dies auch für das Callcenter als solches: Solange von einem Arbeitsplatz Zugriff auf die Daten möglich ist, muss hier eine Zutrittskontrolle gewährleistet sein, die dafür sorgt, dass ein körperlicher Zutritt geregelt wird. 2. Zugangskontrolle Der Zugang zu Datenverarbeitungsanlagen darf nur für befugte Personen möglich sein: In der Praxis heißt das, dass eine unbefugte Nutzung einer Datenverarbeitungsanlage ausgeschlossen werden muss. Externe und interne Unbefugte dürfen keinen Zugang zum EDV-System haben, und der Zugang von grundsätzlich befugten Personen muss ebenfalls geregelt kontrolliert werden. 3. Zugriffskontrolle Es muss gewährleistet sein, dass Personen nur auf diejenigen Daten zugreifen können, für die sie befugt sind, und nicht auf andere personenbezogene Daten im gleichen EDV-System. 4. Weitergabekontrolle Die Weitergabekontrolle beschreibt Maßnahmen, die verhindern, dass Daten unbefugt kopiert, ausgelesen, verändert oder auch gelöscht werden können. Sie erlaubt weiterhin eine Überprüfung, an welchen Stellen personenbezogene Daten befugt übertragen werden.

6 5. Eingabekontrolle Es muss jederzeit nachvollzogen werden können, wer wann welche Daten erfasst, verändert oder gelöscht hat. 6. Auftragskontrolle Der Auftragnehmer hat die Daten ausschließlich im Sinne des Auftrags zu verarbeiten. Das Einhalten der Weisungen des Auftraggebers muss dokumentiert werden. 7. Verfügbarkeitskontrolle Die Verfügbarkeitskontrolle zielt auf die zufällige Vernichtung der Daten ab: So müssen die Daten so gespeichert werden, dass sie durch Blitzschlag, Brand oder Wasserschaden nicht vernichtet werden können. 8. Trennungsgebot Es muss sichergestellt werden, dass die zu unterschiedlichen Zwecken erhobenen Daten getrennt und jeweils zweckbestimmt verarbeitet werden können. Damit ist eine mindestens logische Trennung der Daten gemeint. Nur dürftig sind die Richtlinien der Datenschutzvereinbarung. So heißt es in der Gesetzesbegründung: (...) Anlass für das vorliegende Gesetzgebungsverfahren hat vor allem der rechtswidrige Umgang von Call Center Mitarbeitern mit personenbezogenen Daten gegeben. (...) Auszug aus dem 11 des BDSG: (2) Der Auftragnehmer ist unter besonderer Berücksichtigung der Eignung der von ihm getroffenen technischen und organisatorischen Aus der Gesetzesbegründung: (...) In der Praxis ist festzustellen, dass insbesondere 11. Abs. 2 Satz 2 BDSG häufig nicht beachtet wird.

7 Maßnahmen sorgfältig auszuwählen. So wird in vielen Fällen der Auftrag nicht schriftlich erteilt... Der Auftrag ist schriftlich zu erteilen, wobei insbesondere im Einzelnen festzulegen sind: 1. der Gegenstand und die Dauer des Auftrags, 2. der Umfang, die Art und der Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten, die Art der Daten und der Kreis der Betroffenen,...bzw. der schriftliche Auftrag enthält keine schriftlichen Regelungen hinsichtlich der Datenerhebung, -verarbeitung oder -nutzung, der technischen und organisatorischen Maßnahmen 3. die nach 9 zu treffenden technischen und organisatorischen Maßnahmen, oder etwaiger Unterauftragsverhältnisse. (...) 4. die Berichtigung, Löschung und Sperrung von Daten, 5. die nach Absatz 4 bestehenden Pflichten des Auftragnehmers, insbesondere die von ihm vorzunehmenden Kontrollen, 6. die etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen, 7. die Kontrollrechte des Auftraggebers und die entsprechenden Duldungs- und Mitwirkungspflichten des (...) Häufig beschränken sich die,festlegungen auch auf den Satz, die Vorschriften des Bundesdatenschutzgesetzes seien vom Auftragnehmer zu beachten bzw. auf eine Wiedergabe der gesetzlichen Regelungen. Mitunter wird vertraglich vereinbart; nähere Festlegungen erfolgen mündlich, was jedoch regelmäßig nicht geschieht.

8 Auftragnehmers, (...) 8. mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen, 9. der Umfang der Weisungsbefugnisse, die sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält, 10. die Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags. (...) Schriftliche Regelungen zur Löschung der Daten bzw. deren Rückgabe nach Erledigung des Auftrags werden nur selten getroffen. (...)! Er kann bei öffentlichen Stellen auch durch die Fachaufsichtsbehörde erteilt werden. Der Auftraggeber hat sich vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltungen der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen. Das Ergebnis ist zu dokumentieren.

9 Schwerwiegende Folgen für Auftraggeber und -nehmer Wird ein Auftrag nicht vorschriftsmäßig erteilt, und hierfür reichen selbst Formfehler aus, können nach dem neuen Gesetz bis zu Euro an Bußgeld fällig werden. Des Weiteren sei hier vor Vertragsmustern im Internet gewarnt. Diese sind nicht vollständig und können den konkreten Rahmen der Geschäftspartner nicht erfassen. Im 11 Abs.2 Satz 2 BDSG fordert der Gesetzesgeber aber genaue und individuelle Richtlinien. 3. Auftragsdatenverarbeitung Consulting-Leistung Datenschutz In wenigen Bereichen ist das Thema Auftragsdatenverarbeitung von solcher Tragweite und Wichtigkeit wie in Call-Centern. Da sich hier die Datenschutzexperten von Auftraggebern die Klinke in die Hand geben, muss ein kompetenter Call-Center-Dienstleister erfahren bei der Auditierung durch den Kunden sein und das Thema Auftragsdatenverarbeitung routiniert beherrschen. Diese Erfahrung gibt der Call-Center-Dienstleister idealerweise als Consulting-Leistung an den Auftraggeber weiter und berät diese in Sachen Auftragsdatenverarbeitung. Es bietet aktiv sichere Übertragungswege an, klärt

10 Fragen zu Opt-In-Regelungen, weist auf Lücken in Datenschutzkonzepten hin und schlägt rechtskonforme Alternativen vor. Die Dienstleister selbst können sich das Leben durch diese Vorgehensweise erleichtern. 4. Woran erkennt man einen guten Dienstleister? Das Rad für jeden Auftraggeber neu zu erfinden ist mühselig. Fragen und Audits wiederholen sich mit hoher Deckungsgleichheit. Durch eine Zertifizierung lässt sich der Aufwand für diese Phase stark minimieren. Aufgrund der Tatsache allerdings, dass der Gesetzgeber seit Jahren kein Auditgesetz vorlegt, gibt es keine einheitlichen Vorgaben für ein Datenschutzaudit. Das seit 2001 angedachte Auditgesetz hat es mit der letzten Novelle des BDSG im September 2009 auf der Zielgeraden nicht in die Verabschiedung geschafft. Die als Alternative ins Gespräch gebrachte Stiftung Datenschutz lässt ebenfalls weiterhin auf sich warten. Dienstleister mit Datenschutz-Zertifikat Dieser Umstand, in Verbindung mit dem Bedürfnis der Wirtschaft einen externen Nachweis zur Einhaltung geltender Datenschutzregelungen zu haben, hat eine Vielzahl von Eigenzertifikaten auf den Plan gerufen. Damit ein Call-Center auf einem solchen privatwirtschaftlichen Zertifikat aufbauen kann, sollte der gewählte Zertifizierer eine hohe Bekanntheit und einen

11 guten Ruf im Markt genießen. Im Wesentlichen bieten sich hier die Big- Player, wie TÜV und Co. sowie große IT-Systemhäuser an. Im Markt der IT- Rechtskanzleien etablieren sich zudem Häuser mit strengen Anforderungen und integren Prüfsiegeln. Von Zertifikaten externer Datenschützer ist mangels Bekanntheit und eventueller wirtschaftlicher Abhängigkeit abzuraten. Eine Zertifizierung zur IT-Sicherheit hingegen, etwa nach ISO 27001, zeigt zwar an, dass der Dienstleister strukturiert arbeitet und deckt auch viele Aspekte des Datenschutzes ab. Dieser ist aber nicht explizit Kern der ISO Inwieweit Auftraggeber diese als Nachweis akzeptieren, hängt vom Einzelfall ab. Unterzieht sich ein Call-Center-Dienstleister einem externen Audit, entstehen dabei Mehrwerte für Auftraggeber und Auftragnehmer. Auftraggeber können ihren Prüfaufwand minimieren, was zugleich eine Entlastung für das Call-Center darstellt. Der Fokus kann zudem von den Standardanforderungen schneller auf die individuellen Bedürfnisse gelegt werden. Dienstleister hingegen können mit dem Datenschutzsiegel werben. Bei der derzeitigen öffentlichen Wahrnehmung des Datenschutzes ein klarer Wettbewerbsvorteil. Am wichtigsten jedoch ist, dass sich Call-Center durch solche Maßnahmen eindeutig von den Vorurteilen gegenüber der Branche distanzieren und klare Zeichen gegenüber Auftraggebern setzen können. Wenn Call- Center-Dienstleister und Auftraggeber gleichermaßen auf ein Qualitätssiegel achten und der Preis eine dem untergeordnete Rolle spielt, werden die

12 Datenschutzskandale in Verbindung mit Call-Centern der Vergangenheit angehören. Darüber hinaus werden dubiose Call-Center-Betreiber von der Bildfläche verschwinden. Es soll nicht unerwähnt bleiben, dass es auch bei den Call-Centern in der Vergangenheit Versäumnisse gab. Doch bei den rechtlichen Anforderungen zur Auftragsdatenverarbeitung haben diese weit mehr Erfahrung als die meisten Auftraggeber. Dienstleister sollten es als originäre Aufgabe verstehen, diesen Wissens- und Erfahrungsschatz an den Auftraggeber weiterzugeben. Fragen zum Auswahlkriterium Datenschutz Bei der Auswahl eines Call-Center-Dienstleisters sollten sich Auftraggeber folgende Fragen stellen: ü Macht der Dienstleister den Datenschutz in den Verhandlungen eigenständig zum Thema? ü Bietet er, über das Erfüllen der Forderungen des Auftraggebers hinaus, aktive Vorschläge an? ü Sind Datenschutz- und IT-Sicherheitskonzepte in dokumentierter Form bereits vorhanden? ü Sind Datenschutz- und IT-Sicherheitskonzepte gelebte Praxis? ü Ist der Dienstleister in irgendeiner Form in diesem Bereich zertifiziert? All diese Punkte können ein Gefühl dafür vermitteln, ob ein Dienstleister eine eigene Sensibilität in Sachen Datenschutz hat. Im günstigsten Fall ist das Call-Center mehr als nur ein Kopf- und Kapazitätslieferant, nämlich ein Datenschutz- und Prozessberater.

13 Kontakt: Sandra Eckhardt, Telefon ( ) 772-0, davero dialog GmbH, Am Pestalozziring 1-2, Erlangen Die davero dialog GmbH ist auf den empathischen, individuellen Dialog mit den anspruchsvollsten und wertvollsten Kunden ihrer Auftraggeber spezialisiert. Dieser hochwertige, persönliche Dialog ist eine emotionale Komponente im Zeitalter der Digitalisierung, ist prägend für die Marke des Auftraggebers und ist Kern einer eigenen Kundenbindungsmethodik: Wertschätzungsmanagement. Als Schwestergesellschaft der defacto call center GmbH, die über 22 Jahre Erfahrung im Kundendialog hat, ist sie außerdem die Labor- und Forschungseinheit des Customer-Care-Dienstleisters. Die Unternehmensgruppe davero umfasst weitere operative Unternehmen und beschäftigt an den Standorten Erlangen, Nürnberg, Amberg und Istanbul rund 700 Mitarbeiter. Weitere Informationen: www. davero.de