is
io
– 20 –
Es fehlt also nicht am Bedarf für ein solches Audit und an
Ideen und Lösungsmöglichkeiten für seine Umsetzung,
sondern allein am Willen der Bundesregierung, hier einen
Schritt zur Modernisierung des Datenschutzes zu tun.
2.5
„Outsourcing“ in der Verwaltung – auch
ein Problem des Datenschutzes
Auch in der Bundesverwaltung erledigen die einzelnen
Dienststellen schon lange nicht mehr alle ihre Aufgaben
selbst. Zusammenfassungen von Querschnittsaufgaben,
behördenübergreifende
Kooperation,
gemeinsame
eGovernment-Projekte und Verlagerung von Teilaufgaben
auf private Unternehmen nehmen stetig zu. Sind davon
personenbezogene Daten betroffen, wird dies auch zum
Problem für den Datenschutz. Nicht immer hilft
§ 11 BDSG weiter.
Kostendruck, Rationalisierung der Arbeitsabläufe, Effizienzsteigerung und Nutzung moderner Technologien haben zur Konsequenz, dass immer mehr Verwaltungen
dazu übergehen, einen Teil ihrer bisherigen Tätigkeiten
nicht mehr selbst vorzunehmen, sondern auf andere öffentliche Stellen oder auch private Anbieter zu übertragen, was häufig mit dem etwas schillernden Begriff
„Outsourcing“ umschrieben wird. So werden auch in der
Bundesverwaltung z. B. bereits private Callcenter beschäftigt, ganze Poststellen „privatisiert“ oder der
E-Mail-Verkehr mit den Bürgerinnen und Bürgern über
private Anbieter abgewickelt, ohne dass dies nach außen
transparent wäre. Ist hiervon auch das Erheben und Verarbeiten personenbezogener Daten betroffen, sind solche
Vorgänge auch datenschutzrechtlich relevant.
Aus Sicht des Datenschutzes unproblematisch sind in der
Regel die Fälle, in denen bestimmte Aufgaben durch Gesetz oder im Wege der Organisationsgewalt der Bundesregierung oder der einzelnen Ressorts von einer Behörde
auf eine andere übertragen werden, z. B. um die Bearbeitung gleich gelagerter Vorgänge auf eine Stelle zu konzentrieren. Grundsätzlich ist die Zulässigkeit der Datenverarbeitung mit der Erfüllung der zugrunde liegenden
Aufgabe verbunden. Kommt es zu einer Zuständigkeitsverlagerung bei der Aufgabe, verliert die bisherige Stelle
ihre Berechtigung zur entsprechenden Datenverarbeitung
und die neue Stelle erwirbt sie zusammen mit der Zuständigkeit für die Aufgabe. Die entsprechenden Datenbestände bei der bisherigen Stelle sind, soweit für die
künftige Aufgabenerfüllung erforderlich, nach den einschlägigen Vorschriften an die neue Stelle zu übermitteln
und im Übrigen zu löschen.
Problematisch wird es, wenn einer Aufgabenverlagerung
zwischen öffentlichen Stellen keine entsprechenden Organisationsakte zugrunde liegen oder private Anbieter auf
vertraglicher Grundlage bestimmte Aufgaben übernehmen. Hier wird in der Regel dann auf § 11 BDSG verwiesen und der jeweilige Vorgang als Datenverarbeitung im
Auftrag qualifiziert, da dann keine datenschutzrechtlich
relevante Übermittlung der entsprechenden personenbezogenen Daten vorliegt und die gesetzlichen Voraussetzungen hierfür deswegen auch nicht eingehalten werden
müssen. Dies führt zu einer Überstrapazierung des
BfDI 21. Tätigkeitsbericht 2005-2006
§ 11 BDSG weit über seinen tatsächlichen Regelungsgehalt hinaus. Nach Wortlaut, Entstehungsgeschichte und
Zweck regelt diese Norm nur die Fälle, in denen lediglich
die (rein technische) Abwicklung der Datenverarbeitung
auf einen Dritten übertragen wird, die inhaltliche Aufgabenerfüllung aber in vollem Umfang beim Auftraggeber
verbleibt, der deswegen die datenschutzrechtliche Verantwortung auch weiterhin tragen soll. Immer dann, wenn
neben der reinen Datenverarbeitung auch inhaltliche
(Teil-)Aufgaben übertragen werden, etwa Beantwortung
von Bürgeranfragen mit vorgegebenen Textbausteinen,
kann § 11 BDSG allein hierfür keine rechtliche Grundlage sein, da es sich hierbei keinesfalls um eine allgemeine Rechtsgrundlage für Aufgabenübertragungen handelt. In der Fachliteratur wird deswegen zwischen
zulässiger Auftragsdatenverarbeitung und nicht mehr
durch § 11 BDSG gedeckter Funktionsübertragung unterschieden, in der Praxis führt dies aber zu unübersehbaren
Abgrenzungsschwierigkeiten.
Deswegen hat der Arbeitskreis eGovernment der Konferenz der Datenschutzbeauftragten des Bundes und der
Länder eine Arbeitsgruppe unter meiner Leitung eingesetzt, die Lösungsmöglichkeiten erarbeiten soll, da
Outsourcing und behördenübergreifende Projekte im
Zuge der Verwaltungsmodernisierung und des eGovernment immer wichtiger werden. Konkrete Ergebnisse lagen bis Redaktionsschluss noch nicht vor. Ich werde aber
im kommenden Berichtszeitraum diesen Fragen meine
besondere Aufmerksamkeit widmen.
2.6
Zusammenarbeit mit den behördlichen
Datenschutzbeauftragten
Die behördlichen Datenschutzbeauftragten wurden bei
ihrer Tätigkeit durch Beratungen und einen weiteren Erfahrungsaustausch wirkungsvoll unterstützt. Dabei wurde
auch die Umsetzung des Informationsfreiheitsgesetzes erörtert.
Die bei den Dienststellen des Bundes bestellten behördlichen Datenschutzbeauftragten habe ich bei ihrer verantwortungsvollen Aufgabe, sowohl im Interesse der Bürgerinnen und Bürger als auch der Beschäftigten auf die
Einhaltung datenschutzrechtlicher Vorschriften hinzuwirken, vielfach beratend unterstützt. Dies geschah zum einen in zahlreichen Einzelfällen, in denen die behördlichen Datenschutzbeauftragten von der in § 4g Abs. 1
Satz 2 BDSG geregelten Möglichkeit Gebrauch gemacht
haben, sich in Zweifelsfällen an mich als zuständige Datenschutzkontrollinstitution zu wenden. Darüber hinaus
habe ich den Erfahrungsaustausch mit den Datenschutzbeauftragten der obersten Bundesbehörden fortgesetzt,
weil diese Veranstaltung eine geeignete Möglichkeit bietet, Rechtsfragen und praktische Probleme vertieft und
gemeinsam zu erörtern.
Einen Schwerpunkt bildete dabei das Inkrafttreten des Informationsfreiheitsgesetzes (IFG) zum 1. Januar 2006
und dessen Auswirkungen auf die Arbeit der Datenschutzbeauftragten. Auch wenn das IFG das Amt eines
behördlichen Beauftragten für Informationsfreiheit nicht
vorsieht, hatten die meisten obersten Bundesbehörden da-
n