Jahresbericht 1992
|
2.3 Chipkarten - nur Trümpfe für den Datenschutz? |
3. |
GRUNDSATZPROBLEME |
(...)
3.2 |
Privatisierung öffentlicher Aufgaben zu Lasten des Datenschutzes? |
Die drastischen Sparzwänge zwingen auch die öffentlichen Stellen des Landes Berlin zunehmend, ihre Aufgaben kritisch zu sichten und im Zuge einer "Verschlankung" der Verwaltung (Iean administration) ihre Datenverarbeitung ganz oder teilweise auf Private zu verlagern. Dabei spielen in Berlin die seit längerem angestellten Überlegungen für eine Verwaltungsreform ebenso eine Rolle wie bundesweit die Bemühungen, öffentliche Verwaltungen stärker nach betriebswirtschaftlichen Kriterien ("Unternehmen Stadt") zu organisieren. Derartige Bestrebungen sind auch im Ausland zu beobachten. So soll etwa in Großbritannien die Datenverarbeitung sowohl der Polizei als auch der gesamten Steuerverwaltung bereits in diesem Jahr auf Privatunternehmen ausgelagert werden. Ein solcher Schritt wäre in der Bundesrepublik nur nach einer Änderung des Grundgesetzes möglich, weil dieses die Steuerverwaltung den Finanzbehörden des Bundes und der Länder zuweist. Auch die Übertragung hoheitlicher Befugnisse nicht nur der Polizei, sondern der öffentlichen Verwaltung schlechthin auf Private ist nur durch Gesetz oder aufgrund eines Gesetzes durch einen förmlichen Beleihungsakt möglich. Derartige "beliehene Unternehmen" sind etwa die Notare, der Technische Überwachungsverein Berlin-Brandenburg, die Berliner Börse und die Bezirksschornsteinfegermeister. Sie gelten als öffentliche Stellen im Sinne des Berliner Datenschutzgesetzes.
Dem steht die Verlagerung der Datenverarbeitung oder der damit zusammenhängenden Aufgaben auf Private gegenüber. Sie wirft erhebliche datenschutzrechtliche Probleme auf. Sie beruhen darauf, daß in der Bundesrepublik nach geltendem Datenschutzrecht die öffentlichen Datenverarbeiter erheblich strengeren Regeln unterliegen als die nichtöffentlichen Datenverarbeiter. Möglicherweise wird dieses deutliche Datenschutzgefälle durch eine Anhebung des Datenschutzstandards im privaten Bereich ausgeglichen werden müssen, wenn die europäische Datenschutzrichtlinie verabschiedet werden sollte. Solange das Gefalle jedoch vorhanden ist, darf eine völlige oder teilweise Privatisierung der Verarbeitung personenbezogener Daten oder der öffentlichen Aufgaben, zu deren Zweck solche Daten verarbeitet werden müssen, die Stellung des Bürgers nicht verschlechtern.
Um dies sicherzustellen, enthalten sowohl das Berliner Datenschutzgesetz als auch das Bundesdatenschutzgesetz Bestimmungen, die eine "Flucht des öffentlichen Datenverarbeiters ins Privatrecht" verhindern oder jedenfalls negativen Folgen für die betroffenen Bürger vorbeugen sollen. So finden sich in allen Datenschutzgesetzen seit jeher Regeln über die Auftragsdatenverarbeitung, die ursprünglich für das Verhältnis zwischen einer öffentlichen Stelle, der die personenbezogenen Daten zustehen ("Herrin der Daten"), und einem (öffentlichen) Rechenzentrum bestimmt waren: Insbesondere sind die Daten nur nach Maßgabe der Weisungen der speichernden Stelle zu verarbeiten. Die Weitergabe der Daten zwischen Auftraggeber und Auftragnehmer wird nicht als Übermittlung angesehen, Für die besondere Voraussetzungen gelten. Der Auftragnehmer ist kraft gesetzlicher Fiktion Teil der auftraggebenden Stelle. Alles was der Auftragnehmer tut, und mithin auch die datenschutzrechtlichen Mängel, die bei ihm festgestellt werden, werden dem Auftraggeber zugerechnet.
Für den immer häufigeren Fall, daß ein Privater mit der Datenverarbeitung beauftragt werden soll, enthält das Berliner Datenschutzgesetz besondere Regelungen (§3 Abs. 4). Er muß sich gegenüber der Öffentlichen Stelle, der die Daten zustehen, vertraglich verpflichten, daß er selbst die Vorschriften des Berliner Datenschutzgesetzes zusätzlich zu den für ihn ohnehin geltenden Vorschriften des Bundesdatenschutzgesetzes befolgt und sich, sofern er seinen Sitz in Berlin hat, der Kontrolle des Berliner Datenschutzbeauftragten unterwerfen. Wird die Datenverarbeitung in einem anderen Bundesland durchgeführt, muß der Auftraggeber sicherstellen, daß sich der Auftragnehmer der Kontrolle des jeweiligen Landesbeauftragten unterwirft. Der Auftraggeber hat den Datenschutzbeauftragten und die Aufsichtsbehörde nach dem Bundesdatenschutzgesetz über die Beauftragung zu unterrichten.
Diese Regelungen machen das Bestreben des Gesetzgebers deutlich, den hohen Datenschutzstandard für den öffentlichen Bereich auch auf private Auftragnehmer von öffentlichen Stellen des Landes Berlin zu erstrecken. In der Praxis erfolgt dies durch detaillierte vertragliche Bestimmungen, die in die ohnehin abzuschließenden Verträge zwischen dem Auftragnehmer und dem Auftraggeber aufgenommen werden müssen. Die öffentliche Stelle kann sich im Fall der Auftragsdatenverarbeitung allerdings auch durch Abschluß solcher Verträge nicht ihrer datenschutzrechtlichen Verantwortung entledigen. In den Verträgen hat sie ausreichende Möglichkeiten zur Kontrolle des Auftragnehmers anzusehen, die z. B. dem behördlichen Datenschutzbeauftragten des Auftraggebers die Wahrnehmung seiner Aufgaben auch beim Auftragnehmer ermöglichen, u. a. die Kontrolle der Wahrnehmung der Auftragskontrolle gem. § 5 Abs. 3 Nr. 8 BlnDSG durch den Auftragnehmer. Nicht selten erhoffen sich öffentliche Stellen durch die Beauftragung privater Datenverarbeiter starke Einsparungseffekte, ohne dabei zu berücksichtigen, daß die öffentliche Stelle für die Datenverarbeitung rechtlich verantwortlich bleibt und Personal für die Überwachung des privaten Auftragnehmers bereithalten muß.
Nicht jeder Auftrag zur Datenverarbeitung, den eine öffentliche einer nicht-öffentlichen Stelle erteilt, ist jedoch auch datenschutzrechtlich als Datenverarbeitung im Auftrag einzuordnen.
Überträgt nämlich die Verwaltungsbehörde dem Privatunternehmen nicht nur Datenverarbeitungsprozesse (z. B. die Erhebung bestimmter Daten oder das Erfassen und Auswerten von Belegen), sondern eine ihrer Aufgaben vollständig einschließlich der dazu notwendigen Datenverarbeitung, so ist dies - im Gegensatz zur Auftragsdatenverarbeitung - eine Funktionsübertragung. Die Weitergabe von Daten ist in diesem Fall als Datenübermittlung einzuordnen, die nach dem Berliner Datenschutzgesetz nur zulässig ist, wenn eine Rechtsvorschrift dies erlaubt oder der Betroffene eingewilligt hat
(§ 13). Diese strengen Voraussetzungen an eine Datenübermittlung an Stellen außerhalb des öffentlichen Bereiches sind deshalb gerechtfertigt, weil die Daten der Betroffenen nach dieser Übermittlung nur noch den weniger strengen Regeln des 3. Abschnitts des Bundesdatenschutzgesetzes unterliegen, so daß die Rechtsstellung der Betroffenen durch eine solche Übermittlung wesentlich verschlechtert wird. Der private Übermittlungsempfänger unterliegt zudem nicht mehr der Kontrolle durch den Berliner Datenschutzbeauftragten.
Die Abgrenzung zwischen Auftragsdatenverarbeitung und Funktionsübertragung bereitet in der Praxis Schwierigkeiten. Zwei Beispiele mögen dies verdeutlichen:
Die Berliner Verkehrsbetriebe (BVG) haben im vergangenen Jahr ein privates Wachschutzunternehmen mit der Beratung von Fahrgästen, aber auch mit der Fahrscheinkontrolle beauftragt, die bisher ausschließlich von BVG-Mitarbeitern (Schaffnern im Kontrolldienst) durchgeführt wurde. Hintergrund für diese Maßnahme war das Bestreben der DVG, sowohl Kosten im eigenen Bereich einzusparen (vor allem auch die Verarbeitung der Daten von "Schwarzfahrern" auszulagern), als auch die Fahrscheinkontrolle effektiver zu gestalten. Die Mitarbeiter der privaten Wachschutzfirma sollen die Daten von Personen, die ohne Fahrschein angetroffen werden, auf von der BVG zur Verfügung gestellten Blocks erfassen und diese Daten in demselben Umfang wie bisher die BVG nach deren Weisung verarbeiten. Falls der Kunde sich weigert, daß erhöhte Beförderungsentgelt zu zahlen, wird dies der BVG mitgeteilt, die den Kunden daraufhin vor den Zivilgerichten verklagen muß.
Wir haben die Beauftragung des privaten Wachschutzunternehmens als Datenverarbeitung im Auftrag der BVG eingestuft und verlangt, daß der entsprechende Vertrag ergänzt wurde, um die datenschutzrechtliche Verantwortlichkeit der BVG klarzustellen. Diese muß das Recht haben, mit eigenem Personal die Tätigkeit des privaten Wachschutzunternehmens jederzeit und ohne Vorankündigung zu überprüfen. Jedes Fehlverhalten eines Mitarbeiters der Privatfirma wird datenschutzrechtlich unmittelbar der BVG zugerechnet. Schon aus diesem Grund wird der von der BVG beabsichtigte Einsparungseffekt im Personalbereich nur ''zum Teil eintreten, weil das private Wachschutzunternehmen seinerseits überwacht werden muß. Die Daten von "Schwarzfahrern" dürfen von dem privaten Auftragnehmer nicht länger gespeichert werden als dies die BVG darf. Der private Auftragnehmer unterliegt selbst der Kontrolle durch den Berliner Datenschutzbeauftragten.
Inzwischen ist die BVG auch dazu übergegangen, die nächste Phase der Eintreibung der erhöhten Beförderungsentgelte bis zur gerichtlichen Geltendmachung auf ein Privatunternehmen, und zwar ein bundesweit tätiges, in Frankfurt ansässiges Inkasso- und Auskunftei-Büro zu übertragen. Dies kann nicht mehr als Datenverarbeitung im Auftrag angesehen werden, zumal die Datenverarbeitung nicht mehr in Berlin, sondern in Frankfurt stattfindet und sich deshalb schon räumlich einer direkten Kontrolle durch die BVG entzieht. Im übrigen haben die Datenschutzbeauftragten und die Aufsichtsbehörden für den privaten Bereich seit jeher die Weitergabe von Daten an Dritte für Zwecke des Inkassos als echte Datenübermittlung - und nicht als Datenverarbeitung im Auftrag - angesehen. Mithin ist die Weitergabe von Schwarzfahrerdaten an das private Inkasso-Unternehmen durch die BVG nur aufgrund einer Rechtsvorschrift. Das am 1.Januar 1994 in Kraft getretene Berliner Betriebe-Gesetz (BerlBG) enthält eine Befugnis zur Verarbeitung (und damit auch zur Übermittlung) personenbezogener Daten zur Verfolgung von Forderungen, die den Betrieben (u. a. der BVG) zustehen. Die ergänzende Rechtsverordnung, die nach dem früheren Eigenbetriebsgesetz in der Fassung des Artikelgesetzes bis zum 31. Dezember 1993 hätte erlassen werden müssen, steht noch aus.
Die Senatsverwaltung für Verkehr und Betriebe hat nach dem Ende des Berichtszeitraumes allerdings den Entwurf einer entsprechenden Rechtsverordnung vorgelegt, der aufgrund unserer Empfehlung auch regelt, in welchem Umfang personenbezogene Daten von der BVG an ein privates Inkasso-Unternehmen übermittelt werden dürfen. In jedem Fall muß sichergestellt werden, daß das Inkasso-Unternehmen, das gleichzeitig als Auskunftei tätig ist, die von der BVG übermittelten Daten nur zur Eintreibung der erhöhten Beförderungsentgelte verwendet und nicht zugleich auch für ihre Tätigkeit als Auskunftei nutzt. Diese Verpflichtung hat das Inkasso-Unternehmen aufgrund unseres Hinweises gegenüber der BVG vertraglich übernehmen müssen.
Auch das Landesamt zur Regelung offener Vermögens/ragen (LAROV) ist bemüht, Privatfirmen verstärkt bei der Aufgabenerledigung zu beteiligen. Zum einen soll eine private Beratungsgesellschaft zur Beschleunigung der Verfahren im Zusammenhang mit der Behandlung von Mauergrundstücken eine Kartendarstellung anfertigen und zu diesem Zweck Einsicht in die Liegenschaftszeichnungen und Liegenschaftsbücher der Vermessungs- und Liegenschaftsämter nehmen. Zum anderen soll dieselbe Gesellschaft zur beschleunigten Untersuchung der als Standorte für künftige Bundesministerien vorgesehenen Grundstücke das gesamte Rückübertragungsverfahren nach dem Vermögensgesetz bis zur Entscheidungsreife durchführen.
Während das erste Vorhaben als Auftragsdatenverarbeitung anzusehen und bei einer vertraglichen Festlegung der genauen Zugriffsrechte des privaten Unternehmens auf Daten in den Liegenschaftskatastern - ^'^^$8^ zulässig war, soweit nach Abschluß der vertraglichen Leistungen alle im Zusammenhang mit dem Vertrag gespeicherten personenbezogenen Daten dem LAROV übergeben werden, handelt es sich bei dem zweiten "Auftrag" nicht um eine bloße Auftragsdatenverarbeitung. Der privaten Beratungsfirma soll in diesem Fall gerade nicht nur ein Teilbereich der Datenverarbeitung ohne eigene Entscheidungsbefugnis übertragen werden, sie soll vielmehr für bestimmte Grundstücke nahezu das gesamte Verfahren einschließlich bestimmter Amtsermittlungshandlungen für das LAROV durchrühren, das seinerseits nur noch die vorbereiteten Bescheide erlassen soll. Eine Beleihung des privaten Beratungsunternehmens hat nicht stattgefunden. Sie wäre auch nur aufgrund einer gesetzlichen Regelung zulässig, die nicht vorhanden ist. Deshalb dürfen dem Beratungsunternehmen für die Vorbereitung von Rückerstattungsbescheiden personenbezogene Daten erst dann übermittelt werden, wenn das Vermögensgesetz um eine entsprechende Befugnis ergänzt worden ist.
Besondere Probleme ergeben sich, wenn die Verwaltung Privatunternehmen mit der Verarbeitung solcher personenbezogenen Daten betrauen will, die Berufs- oder besonderen Amtsgeheimnissen (z. B. dem Steuer-, Sozial-, Statistik-, Personaldaten- oder Meldegeheimnis oder der ärztlichen Schweigepflicht) unterliegen. Solche besonders sensiblen Daten unterliegen speziellen Gcheimhaltungsvorschriften, die teilweise eine Verarbeitung durch Private völlig ausschließen, teilweise - wie das Sozialgeheimnis - nur unter besonders engen Voraussetzungen zulassen.
Für die Verarbeitung von Patientendaten in öffentlichen Krankenhäusern gilt der Grundsatz, daß sie nur einer anderen medizinischen Einrichtung, nicht aber einer anderen öffentlichen Stelle oder gar einem Privatunternehmen übertragen werden darf. Über das besondere Problem der Verwaltung von Patientenunterlagen der ehemaligen Einrichtungen des ambulanten Gesundheitswesens (Polikliniken) in den östlichen Bezirken haben wir bereits im Vorjahr berichtet61. Dabei mußten beispielsweise in einem Ost-Berliner Bezirk mindestens 2 Millionen Patientenakten gesichtet und erfaßt werden, damit der Bezirk als verantwortliche Stelle seinen gesetzlichen Auskunftspflichten nachkommen konnte. Diese Aufgabe wurde - mit unserer Billigung - in diesem und mehreren anderen östlichen Bezirken einer privaten Beschäftigungs- und Qualifizierungsgesellschaft und einer Beschäftigungsinitiative übertragen, die mit ABM-Mitteln der Arbeitsverwaltung und Vorgaben der Gesundheitsverwaltung unter ärztlicher Leitung die Erfassung und Sichtung der Patientenunterlagen durchzurühren hatten. Die Archivierung der Akten in den ehemaligen Polikliniken wurde von ärztlichem Personal geleitet und beaufsichtigt.
Vergleichbare private Gesellschaften sind auch in großem Umfang im Umweltschutzbereich tätig, um etwa für die bezirklichen Umweltämter Altlastenkataster oder Für die Stadtplanungsämter Planungsdateien zu erstellen. In derartigen Fällen können die privaten Stellen - selbst wenn sie im Auftrag einer öffentlichen Stelle Daten beim Bürger erheben -die Auskunft nicht erzwingen. Soweit gesetzlich nichts anderes bestimmt ist (z. B. in §138 Baugesetzbuch für die Auskunftspflicht bei städtebaulichen Sanierungsmaßnahmen), können private Daten im Auftrag öffentlicher Stellen nur auf freiwilliger Basis erheben und müssen die Betroffenen darauf auch hinweisen. Ebenso müssen sie die Betroffenen auf etwaige Auskunftsverweigerungsrechte hinweisen, die gegenüber der auftraggebenden Stelle bestehen, wenn der Betroffene durch die Auskunft sich oder seine Angehörigen der Gefahr strafgerichtlicher Verfolgung und eines Bußgeldverfahrens aussetzen würde62.
Soweit die Verwaltung erwägt, die Textverarbeitung zur Erstellung amtlicher Schreiben auf private Schreibbüros zu verlagern, sind ihr auch dabei enge Grenzen gesetzt. Dies ist allenfalls zulässig für konkret begrenzte Schreibaufträge, bei denen - z. B. in einem Planfeststellungsverfahren -- massenhaft Schreiben an Bürger nach genauen Weisungen der auftraggebenden öffentlichen Stelle gefertigt werden müssen. Dagegen scheidet eine auftragsweise Textverarbeitung durch private Schreibbüros in all den Verwaltungsbereichen aus, in denen personenbezogene Daten verarbeitet werden, die Berufs- und besonderen Amtsgeheimnissen unterliegen.
Zunehmend bilden öffentliche Stellen des Bundes und der Länder auch privatrechtliche Vereinigungen (z. B. einen Nahverkehrsverbund), die Aufgaben der öffentlichen Verwaltungen wahrnehmen. Auch Für solche Fallgestaltungen hat der Bundesgesetzgeber eine Regelung getroffen, die verhindern soll, daß öffentliche Stellen durch solche Vereinigungen vor dem für sie geltenden strengen Datenschutzrecht "in das Privatrecht fliehen" können. Soweit derartige Vereinigungen nämlich entweder über den Bereich eines Landes hinaus tätig werden (etwa bei einem zukünftigen Nahverkehrsverbund Berlin-Brandenburg) oder dem Bund die absolute Mehrheit der Anteile gehört oder die absolute Mehrheit der Stimmen zusteht, gelten solche Vereinigungen auch dann als öffentliche Stellen des Bundes, wenn Private sich an ihnen beteiligen. Liegt
eine der beiden genannten Voraussetzungen (länderübergreifende Tätigkeit oder Mehrheitsanteile des Bundes) nicht vor, so gelten solche Vereinigungen als öffentliche Stellen der Länder, falls Berlin an ihnen beteiligt ist, also als öffentliche Stelle Berlins, die dem Berliner Datenschutzgesetz unterliegt (§ 2 Abs. 3 BDSG). Im einzelnen wird noch zu prüfen sein, welche Auswirkungen diese Bestimmungen auf die zahlreichen Unternehmen des privaten Rechts hat, an denen das Land Berlin mehrheitlich oder sogar zu 100% beteiligt ist63. Jedenfalls entscheidet nicht die Rechtsform eines Datenverarbeiters darüber, ob er als öffentliche oder als nicht-öffentliche Stelle anzusehen ist. Es kommt vielmehr darauf an, inwieweit er Aufgaben der öffentlichen Verwaltung wahrnimmt und ob der Bund oder das Land Berlin mit beherrschendem Einfluß Anteilseigner oder Stimmberechtigte in den Unternehmensorganen sind.
61.) Jahresbericht 1992, 4.1
62.) vgl. z.B. §52 Abs.5 BImSchG
4.5 Sicherheit |