Drucksache 16/12600
– 26 –
Deutscher Bundestag – 16. Wahlperiode
2. Anders ist dies jedoch, wenn darüber hinausgehenden Aufgaben ganz oder teilweise auf eine andere Stelle übertragen werden sollen. In diesen F��llen bedarf es für die Übertragung immer einer rechtlichen Grundlage außerhalb
des Datenschutzrechts. Solche organisationsrechtlichen Entscheidungen können nicht auf die rein datenschutzrechtliche Vorschrift des § 11 BDSG gestützt werden, da dieser nur die Auslagerung der Datenverarbeitung als
Hilfsfunktion der Aufgabenerfüllung ermöglicht. Je nach Konstellation und (staats-)organisationsrechtlichen Anforderungen kommen hierfür Gesetze, Satzungen, Verwaltungsvereinbarungen, vertragliche Regelungen oder Organisationsentscheidungen in Betracht. Folgende Konstellationen sind denkbar:
a) Die vollständige Verlagerung von Aufgaben auf eine andere öffentliche Stelle ist aufgrund Gesetzes oder eines
Organisationserlasses möglich. Eine Übertragung auf eine nicht-öffentliche Stelle kann auf der Grundlage einer gesetzlichen Beleihung vorgenommen werden. Die damit einhergehende Übertragung der Datenverarbeitung ist als Datenübermittlung anzusehen; es handelt sich nicht um einen Fall der Datenverarbeitung im Auftrag. Beispiel:
–
Abrechnung von Reisekosten oder Festsetzung von Dienstbezügen durch eine zentrale Stelle für Beschäftigte mehrerer Dienststellen
b) Bleibt die öffentliche Stelle Träger der Aufgabe und bedient sich lediglich für Teilaufgaben Dritter, muss zuerst
die Zulässigkeit dieser teilweisen Aufgabenverlagerung geprüft werden. Bei der Ausgliederung hoheitlicher
Aufgaben bedarf es eines gesetzlichen Übertragungsaktes. Beispiele:
–
Bearbeitung von Beihilfeangelegenheiten
– Privatisierung des Maßregelvollzugs
Bei sonstigen öffentlichen Aufgaben ist eine Übertragung auch auf vertraglicher Basis oder eine Unterstützung
durch Verwaltungshelfer denkbar. Beispiele:
–
Call-Center mit bloßer Weiterleitungsfunktion
–
Inhaltliche Bearbeitung bei virtueller Poststelle
Bei der Verlagerung rein fiskalischer Tätigkeiten genügt in der Regel eine vertragliche Vereinbarung mit dem
Auftragnehmer. Beispiel:
–
Verwaltung von Liegenschaften
Ist die Übertragung der (Teil-)aufgabe als solcher organisations- und verfassungsrechtlich zulässig, ist es möglich, die damit einhergehende Erhebung, Verarbeitung und Nutzung personenbezogener Daten im Rahmen einer Auftragsdatenverarbeitung nach § 11 BDSG durchzuführen. Dies setzt voraus, dass die formellen Anforderungen der Vorschrift, wie z. B. strikte Weisungsgebundenheit, schriftliche Vereinbarung und Einhaltung des
technisch-organisatorischen Datenschutzes erfüllt werden. Für den Betroffenen hat dies den Vorteil, dass unabhängig von der Einbindung Dritter ihm gegenüber nur eine Stelle dafür verantwortlich ist, dass mit seinen personenbezogenen Daten rechtmäßig umgegangen wird.
2.6
Outsourcing bei Trägern von
Berufsgeheimnissen
Die von Ärzten, Rechtsanwälten, Steuerberatern oder anderen Berufsgeheimnisträgern eingesetzte Informationsund Kommunikationstechnik wird immer komplexer und
aufwändiger. Eine Übertragung auf externe Dienstleister
stößt auf datenschutz- und strafrechtliche Probleme.
Ein Fall, der sich so oder ähnlich in einer ärztlichen Praxis zutragen könnte: Ein diagnostisches Großgerät, z. B.
ein MRT-Gerät, ist defekt. Der Radiologe kann den Defekt mangels Sachkenntnis nicht beheben und bestellt einen Techniker der Herstellerfirma. Um das Gerät zu reparieren, muss der Techniker auf die gespeicherten Bilder
und die dazugehörigen Patientendaten zugreifen. Es erscheint auf den ersten Blick selbstverständlich, dass dies
möglich sein muss. Ebenso wie in vielen vergleichbaren
BfDI 22. Tätigkeitsbericht 2007-2008
Fällen, bei denen Rechtsanwälte, Steuerberater oder andere Träger von Berufsgeheimnissen IT-Dienstleistungen
auslagern wollen, trifft dies jedoch auf rechtliche Hindernisse.
Datenschutzrechtlich würde es genügen, die Auslagerung
der rein technischen Vorgänge der Datenverarbeitung als
klassische Form der Datenverarbeitung im Auftrag auf
§ 11 BDSG zu stützen (s. o. Nr. 2.5). Dies wird allerdings
der besonderen rechtlichen Stellung der durch das Strafgesetzbuch (§ 203 StGB – s. Kasten zu Nr. 2.6) gesondert
geschützten Berufsgeheimnisse, wie z. B. der ärztlichen
Schweigepflicht, nicht gerecht. Anders als die datenschutzrechtlichen Anforderungen verpflichten die Berufsgeheimnisse nicht die für die Verarbeitung personenbezogener Daten verantwortliche Stelle, sondern den Träger
des Berufsgeheimnisses persönlich, also beispielsweise