Veränderung der Risikoverteilung durch geteilte Verantwortung für Datenqualität
Die Aufteilung der Verantwortung für Datenqualität zwischen Absender und Empfänger führt zu einer Neuverteilung von Risiken entlang der Prozesskette. Während in traditionellen Modellen oft eine Partei (meist der Empfänger) die Hauptlast der Datenprüfung trägt, entsteht durch die geteilte Verantwortung ein kooperatives Risikomanagement, das jedoch auch neue Herausforderungen mit sich bringt.
1. Risikoverlagerung und neue Abhängigkeiten
Absenderseitige Risiken: Der Absender trägt die primäre Verantwortung für die Korrektheit, Vollständigkeit und Plausibilität der übermittelten Daten. Fehler in diesem Stadium können zu Prozessverzögerungen, Nachbearbeitungskosten oder sogar regulatorischen Sanktionen führen. Da der Empfänger auf die Richtigkeit der Daten vertraut, kann eine fehlerhafte Übermittlung zu Haftungsrisiken führen, insbesondere wenn der Empfänger auf Basis falscher Daten Entscheidungen trifft (z. B. in der Finanzbuchhaltung oder Compliance).
Empfängerseitige Risiken: Der Empfänger ist zwar nicht mehr allein für die Datenprüfung verantwortlich, muss jedoch Kontrollmechanismen implementieren, um offensichtliche Fehler zu erkennen. Versäumt er dies, kann er für Folgefehler (z. B. falsche Buchungen, Compliance-Verstöße) mitverantwortlich gemacht werden. Gleichzeitig entsteht ein Abhängigkeitsrisiko: Wenn der Absender seine Pflichten nicht erfüllt, kann der Empfänger trotz eigener Sorgfalt in operative oder rechtliche Schwierigkeiten geraten.
Prozesskettenrisiko: Die geteilte Verantwortung kann zu Schnittstellenproblemen führen, wenn unklar ist, wer für welche Fehler haftet. Beispielsweise könnte ein Absender syntaktisch korrekte, aber inhaltlich falsche Daten übermitteln, während der Empfänger diese nicht ausreichend prüft. In solchen Fällen ist die Beweislastverteilung entscheidend, um Haftungsfragen zu klären.
2. Regulatorische und vertragliche Absicherungsmechanismen
Um die Einhaltung der Pflichten beider Seiten zu gewährleisten, kommen rechtliche, technische und organisatorische Maßnahmen zum Einsatz:
a) Regulatorische Vorgaben
Datenschutzrecht (DSGVO, BDSG): Die DSGVO verlangt, dass personenbezogene Daten richtig und aktuell sind (Art. 5 Abs. 1 lit. d DSGVO). Sowohl Absender als auch Empfänger müssen sicherstellen, dass Daten nicht fehlerhaft verarbeitet werden. Bei Verstößen drohen Bußgelder (bis zu 20 Mio. € oder 4 % des weltweiten Umsatzes).
Branchenspezifische Vorschriften:
- Finanzsektor (MaRisk, BAIT, PSD2): Banken und Zahlungsdienstleister müssen sicherstellen, dass übermittelte Daten (z. B. Zahlungsaufträge) vollständig und korrekt sind. Die BaFin verlangt klare Verantwortungszuweisungen in internen Prozessen.
- Gesundheitswesen (SGB V, ePA): Bei der elektronischen Patientenakte (ePA) müssen Absender (z. B. Ärzte) und Empfänger (z. B. Krankenkassen) die Integrität und Authentizität der Daten sicherstellen.
- Handelsrecht (HGB, GoBD): Buchhaltungsdaten müssen revisionssicher sein. Fehlerhafte Übermittlungen können zu Steuernachzahlungen oder Ordnungswidrigkeiten führen.
b) Vertragliche Regelungen
Service Level Agreements (SLAs): Verträge zwischen Absender und Empfänger sollten konkrete Qualitätskriterien für Daten definieren (z. B. Fehlerquoten, maximale Bearbeitungszeiten). Bei Nichteinhaltung können Vertragsstrafen oder Schadensersatzansprüche geltend gemacht werden.
Haftungsklauseln: Klare Haftungsregelungen müssen festlegen, wer für welche Fehler aufkommt. Typische Vereinbarungen umfassen:
- Absenderhaftung für inhaltliche und syntaktische Fehler.
- Empfängerhaftung für unterlassene Plausibilitätsprüfungen.
- Freistellungsklauseln, wenn eine Partei nachweislich ihre Pflichten erfüllt hat.
Dokumentationspflichten: Beide Seiten müssen ihre Datenprüfungen dokumentieren, um im Streitfall nachweisen zu können, dass sie ihre Sorgfaltspflichten erfüllt haben. Dies kann durch Logfiles, Prüfprotokolle oder automatisierte Validierungstools erfolgen.
c) Technische und organisatorische Maßnahmen
Automatisierte Validierung: Der Empfänger sollte technische Prüfroutinen einsetzen, die offensichtliche Fehler (z. B. Formatfehler, fehlende Pflichtfelder) erkennen. Dies entbindet ihn jedoch nicht von der Pflicht, inhaltliche Plausibilitätschecks durchzuführen.
Datenqualitätsmanagement (DQM): Unternehmen sollten Datenqualitätsstandards (z. B. ISO 8000) einführen und regelmäßige Audits durchführen, um die Einhaltung der Vorgaben zu überwachen.
Schulungen und Prozesse: Mitarbeiter müssen in Datenqualitätsanforderungen geschult werden. Klare Prozessbeschreibungen (z. B. Checklisten für Absender) helfen, Fehler zu vermeiden.
3. Praktische Umsetzung und Konfliktlösung
Eskalationsmechanismen: Bei Datenfehlern sollten klare Eskalationspfade definiert sein, um schnell reagieren zu können (z. B. Rückmeldung an den Absender, Korrekturverfahren).
Beweissicherung: Im Streitfall sind technische Protokolle (z. B. Zeitstempel, Prüfsummen) entscheidend, um nachzuweisen, wer für einen Fehler verantwortlich ist.
Externe Prüfungen: In sensiblen Bereichen (z. B. Finanzwesen) können unabhängige Audits oder Zertifizierungen (z. B. nach ISO 27001) die Einhaltung der Pflichten bestätigen.
Fazit
Die geteilte Verantwortung für Datenqualität führt zu einer faireren Risikoverteilung, erfordert jedoch klare Regelungen, um Konflikte zu vermeiden. Während der Absender die primäre Verantwortung für korrekte Daten trägt, muss der Empfänger angemessene Kontrollen durchführen. Regulatorische Vorgaben, vertragliche Absicherungen und technische Maßnahmen sind entscheidend, um die Einhaltung der Pflichten zu gewährleisten. Ohne solche Mechanismen besteht das Risiko von Haftungslücken, Compliance-Verstößen und operativen Störungen. Unternehmen sollten daher proaktiv Prozesse etablieren, die beide Seiten in die Pflicht nehmen und gleichzeitig Rechtssicherheit schaffen.