Deutscher Bundestag – 16. Wahlperiode
– 25 –
die Verarbeitung personenbezogener Daten durch die öffentliche Verwaltung ist von diesem Trend nicht ausgenommen. Das Spektrum reicht dabei von einfachen Hilfstätigkeiten (z. B. Datenerfassung) über die Abwicklung
umfangreicher Datenverarbeitungsprozesse (Rechenzentrum) bis hin zur weitgehend selbständigen Wahrnehmung von Aufgaben durch den Auftragnehmer (Kundenbetreuung bei Krankenkassen, Gehaltsbuchhaltung). Dass
bei der Auslagerung von Aufgaben besonderer Wert auf
den Datenschutz gelegt werden muss, belegen einige
spektakuläre Vorfälle im Berichtszeitraum (vgl. u. a.
Nr. 10.2.1, 10.2.2), in denen technische und organisatorische Schwachstellen bei beauftragten Dritten zu Datenschutzpannen führten.
Die bei der Delegation von Aufgaben zu beachtenden organisations- und datenschutzrechtlichen Rahmenbedingungen habe ich bereits früher thematisiert (21. TB
Nr. 2.5). Inzwischen hat die von mir geleitete Unterarbeitsgruppe des Arbeitskreises „Grundsatzfragen der Verwaltungsmodernisierung“ der Datenschutzbeauftragten des
Bundes und der Länder ein Arbeitspapier zu den datenschutzrechtlichen Grundlagen der Auftragsdatenverarbeitung und des Outsourcing erstellt, das von der 76. Konferenz der Datenschutzbeauftragten von Bund und Ländern
zustimmend zur Kenntnis genommen wurde. Das Arbeitspapier soll den öffentlichen Stellen als Orientierung
und Handlungsempfehlung dienen, um die Einhaltung
des Datenschutzes beim Outsourcing bestimmter Tätigkeiten sicherzustellen (s. Kasten zu Nr. 2.5 – der vollständige Text des Arbeitspapiers ist auf meiner Internet-Seite
unter www.bfdi.bund.de abrufbar).
Outsourcing und die Verlagerung von Aufgaben machen
weder vor den Landes- oder Bundesgrenzen halt, noch
bleiben sie auf die jeweiligen Verwaltungsebenen beschränkt. Gerade bei solchen Konstellationen muss eine
effektive Datenschutzaufsicht durch die Datenschutzkontrollinstanzen in Bund und Ländern gewährleistet werden, da die Datenschutzaufsicht bei unterschiedlichen
Stellen liegen kann. Dies ist insofern eine große Herausforderung, da die Datenschutzgesetze in Bund und Län-
Drucksache 16/12600
dern die Kontrollkompetenzen bei der Auftragsdatenverarbeitung unterschiedlich geregelt haben. Auch wenn
geklärt ist, welche Kontrollinstanz insbesondere für den
Auftragnehmer zuständig ist, müssen sich die jeweiligen
Kontrollbehörden intensiv miteinander abstimmen.
Um auch hier ein bundesweit einheitliches Vorgehen zu
gewährleisten, werden zurzeit durch die Unterarbeitsgruppe Empfehlungen ausgearbeitet, wie auch beim
Outsourcing eine wirksame Datenschutzkontrolle ermöglicht werden kann. Wenn etwa eine Bundesbehörde einen
privaten IT-Dienstleister beauftragt, gilt Folgendes:
Meine datenschutzrechtliche Kontrolle bei der Bundesbehörde erstreckt sich auch darauf, dass die in § 11 BDSG
festgelegten Anforderungen eingehalten werden. Dafür
ist sie mir gegenüber allein verantwortlich. Für die unmittelbare Kontrolle beim IT-Dienstleister, also beim Auftragnehmer, ist primär die Datenschutzaufsichtsbehörde
des Landes zuständig, in dem der Auftragnehmer seinen
Sitz hat.
Zu empfehlen ist deshalb, dass der Auftraggeber den Auftragnehmer vertraglich verpflichtet, sich im Zusammenhang mit dem Auftrag meiner Kontrolle zu unterwerfen.
Damit wird sichergestellt, dass der Auftraggeber seiner
Verantwortung gegenüber den Betroffenen gerecht werden und die Einhaltung des für ihn geltenden Datenschutzrechts wirksam überprüfen kann.
Die Unterwerfung kann sich aus kompetenzrechtlichen
Gründen allerdings nur darauf beziehen, dass sich die für
den Auftraggeber zuständige Kontrollbehörde beim Auftragnehmer Zutrittsrechte zusichern lässt und Feststellungen zum Sachverhalt treffen kann. Eine rechtliche Bewertung kann sie nur gegenüber dem gesetzlich ihrer
Kontrolle unterliegenden Auftraggeber abgeben. Stellt
die für den Auftraggeber zuständige Behörde beim Auftragnehmer Verstöße fest, muss sie die entsprechenden
Empfehlungen oder Beanstandungen ebenfalls beim Auftraggeber anbringen. Hoheitliche Maßnahmen gegenüber
dem Auftragnehmer können nur von der für ihn zuständigen Datenschutzkontrolle vorgenommen werden.
K a s t e n zu Nr. 2.5
Kernaussagen des Arbeitspapiers „Datenschutzrechtliche Grundlagen bei Auftragsdatenverarbeitung/
Outsourcing“:
1. Bedient sich eine öffentliche Stelle einer anderen öffentlichen oder nicht-öffentlichen Stelle zur rein technischen
Abwicklung der Verarbeitung personenbezogener Daten, ist dies ein klassischer Fall der Auftragsdatenverarbeitung i. S. v. § 11 BDSG. Dies bezieht sich ausschließlich auf solche Fälle, bei denen alle Verarbeitungsschritte
nach einem vom Auftraggeber vorgegebenen Algorithmus ablaufen, also z. B.:
– Auslagerung rechentechnischer Vorgänge nach vorgegebenem Algorithmus auf externe Rechenzentren
– Fernwartung
– Entsorgung von Datenträgern
– Technische Abwicklung einer virtuellen Poststelle
Eine über § 11 BDSG hinausgehende materiell-rechtliche Befugnis ist für diese Form des Outsourcings nicht erforderlich.
BfDI 22. Tätigkeitsbericht 2007-2008