Drucksache 17/5200
– 186 –
Deutscher Bundestag – 17. Wahlperiode
n o c h Anlage 6
Konferenz der Datenschutzbeauftragten des Bundes und der Länder
„Ein modernes Datenschutzrecht für das 21. Jahrhundert“
•
Verpflichtung, sowohl das anwendbare Datenschutzrecht als auch die zuständigen Datenschutzkontrollbehörden zu regeln.
•
Sicherstellung, dass die Betroffenen gegenüber jeder beteiligten Stelle ihre
Rechte geltend machen können.
Die Neufassung des Begriffs der verantwortlichen Stelle sowie die Einführung
des Prinzips der nachhaltigen Verantwortlichkeit („Accountability“) ermöglichen vor allem bei der Beteiligung mehrerer Stellen an der Datenverarbeitung
eine interessengerechte Verteilung der Verantwortlichkeit. Jede Stelle ist verantwortlich, wenn und soweit sie in tatsächlicher Hinsicht über Mittel und
Zwecke der Datenverarbeitung verantwortlich bestimmen kann. Die Betroffenen können ihre Rechte gegenüber jeder verantwortlichen Stelle geltend machen.
2.4
Datenverarbeitung im Auftrag
Bei der Einbeziehung Dritter im Rahmen der Auftragsdatenverarbeitung hat
der Gesetzgeber durch die letzten Änderungen des § 11 BDSG Präzisierungen
und Klarstellungen vorgenommen, deren Auswirkungen zunächst abzuwarten
sein werden. Ungelöst ist allerdings nach wie vor die Frage der zulässigen
Auftragsdatenverarbeitung, wenn die Daten bei der Auftraggeberin/beim Auftraggeber durch Berufsgeheimnisse i. S. v. § 203 StGB geschützt sind. Da die
Weitergabe der Daten an die Auftragnehmerin/den Auftragnehmer zwar keine
datenschutzrechtliche Übermittlung, wohl aber eine Offenbarung des Geheimnisses darstellt, gibt es hierfür keine Rechtsgrundlage. So kann die Inanspruchnahme von IT-Dienstleistungen durch Ärztinnen und Ärzte, Rechtsanwältinnen
und Rechtsanwälte und Steuerberaterinnen und Steuerberater, aber auch durch
Versicherungen in vielen Fällen nur auf die Einwilligung der Betroffenen gestützt werden. Gleiches gilt z.B. für die externe Archivierung von Patientenakten in Krankenhäusern, sofern das Landeskrankenhausrecht hier keine ausdrückliche Befugnis enthält.
Ein weiteres Problem ist die Auftragsdatenverarbeitung bei besonders sensitiven Daten (§ 3 Abs. 9 BDSG), wenn die Auftragnehmerin/der Auftragnehmer
ihren/seinen Sitz in einem Drittland außerhalb der EU hat. Da hierfür die Übermittlungsvorschriften zu beachten sind (vgl. § 3 Abs. 8 Satz 3 BDSG), ist
eine Auftragsdatenverarbeitung unter diesen Umständen – anders als in anderen Mitgliedstaaten der EU – kaum möglich.
Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder hält
folgende Schritte für notwendig:
16
BfDI 23. Tätigkeitsbericht 2009-2010