Aus den Augen – aus dem Sinn ?

Auslagern lässt sich Vieles, nicht jedoch die Verantwortung. Wer dies beachtet, kann sich Ärger ersparen.

Gesetzgeber und Aufsichtsbehörden haben dieses Grundprinzip verschiedentlich formuliert, wenngleich die entsprechenden Gesetze und Regularien nicht die Überschrift „Outsourcing“ tragen. So ließe sich dieser Artikel denn auch einreihen in die früheren, als „Gut verpackt (Teil 3): Outsourcing“. Denn wenngleich der Begriff „Auslagerung“ als Übersetzung von „Outsourcing“ naheliegend ist, verwenden Gesetze für diesen Sachverhalt beispielsweise auch die Begriffe „Datenverarbeitung im Auftrag“ oder „Funktionsausgliederung“. Nicht immer ist dabei direkt von Verantwortung die Rede. Im Investmentgesetz tritt an die Stelle der Verantwortung sozusagen das Eintreten für das Verschulden des Auslagerungsunternehmens.

Dieses Grundprinzip der Verantwortlichkeit beim Outsourcing zeigt – aus meiner nicht-juristischen Sicht und im Sinne eines „tertium comparationis“ – Analogien zum § 831, Haftung für den Verrichtungsgehilfen des BGB. Demzufolge ist derjenige, der „einen anderen zu einer Verrichtung bestellt, […] zum Ersatz des Schadens verpflichtet, den der andere in Ausführung der Verrichtung einem Dritten widerrechtlich zufügt.“

Branchenübergreifend anwendbar ist das Bundesdatenschutzgesetz (BDSG). Es führt – diesem Grundprinzip der Verantwortlichkeit folgend – in §11 aus: „Werden personenbezogene Daten im Auftrag durch andere Stellen erhoben, verarbeitet oder genutzt, ist der Auftraggeber für die Einhaltung der Vorschriften dieses Gesetzes und anderer Vorschriften über den Datenschutz verantwortlich.“

Das Kreditwesengesetz (KWG) spricht das Thema Outsourcing im Rahmen der besonderen organisatorischen Pflichten von Instituten an. In den diesbezüglichen Mindestanforderungen an das Risikomanagement fordert die BaFin: „Die Auslagerung darf nicht zu einer Delegation der Verantwortung der Geschäftsleitung an das Auslagerungsunternehmen führen.“

Das Versicherungsaufsichtsgesetz (VAG) geht auf das Outsourcing im Rahmen der Geschäftsorganisation unter dem Begriff Funktionsausgliederung ein. In den Mindestanforderungen an das Risikomanagement für Versicherungen führt die BaFin in ähnlicher Form, allerdings in den Erläuterungen aus: „Die Ausgliederung darf nicht zu einer Delegation der Verantwortung der Geschäftsleitung an das Auslagerungsunternehmen führen.“

Das Investmentgesetz (InvG) stellt die Anforderung, dass „die Kapitalanlagegesellschaft […] ein Verschulden des Auslagerungsunternehmens in gleichem Umfang zu vertreten [hat] wie eigenes Verschulden.“

Diesen Ausführungen folgend verbleibt auch die Verantwortung für die Kontinuität, die Sicherheit und den Datenschutz der ausgelagerten Leistungen beim auslagernden Unternehmen. Sicherlich einer der Gründe, warum auslagernde Unternehmen sich auch in dieser Hinsicht – unter Einbezug juristischer und thematischer Expertise – vertraglich absichern, ihre Dienstleister regelmäßig auditieren oder auditieren lassen und – unterstützt von Fachkundigen – gemeinsame Notfallübungen durchführen.

Dies alles zeigt: Die Verantwortung bleibt.

 

Literatur / Quellen:

Gesetze

Bürgerliches Gesetzbuch, 27.7.2011

Investmentgesetz, 9.12.2010

Kreditwesengesetz, 7.12.2011

Versicherungsaufsichtsgesetz, 22.12.2010

Aufsichtsbehördliche Anforderungen

MaRisk, BaFin, 15.12.2010

MaRisk VA, BaFin, Rundschreiben 3/2009