4.8.1 Datenverarbeitung im Auftrag oder FunktionsübertragungObgleich wir mehrfach Hinweise und Beispiele zur Abgrenzung der Datenverarbeitung im Auftrag von der Funktionsübertragung gegeben haben (vgl. JB 1993, 3.2; JB 1994, 3.3), stößt sie immer wieder auf Schwierigkeiten, die jedoch ausgeräumt werden müssen, weil von der richtigen rechtlichen Einordnung der Tätigkeiten ihre datenschutzrechtliche Zulässigkeit abhängt. Für öffentliche Stellen sollen folgende Abgrenzungshilfe gegeben werden: Bei der Datenverarbeitung im Auftrag unterstützt der Auftragnehmer den Auftraggeber in einer oder mehreren Phasen der Datenverarbeitung und betreibt in vollständiger Abhängigkeit von ihm die Datenverarbeitung entsprechend seinen Weisungen bezüglich Art und Umfang. Für eine Auftragsdatenverarbeitung sprechen
Nimmt der Auftragnehmer dagegen mehr als diese "Hilfsfunktion" wahr, weil ihm neben der Datenverarbeitung für den Auftraggeber weitere Aufgaben oder Funktionen zur eigenständigen Erfüllung übertragen werden, ändert sich der datenschutzrechtliche Charakter der Rechtsbeziehung. Die dabei übermittelten Daten dienen dann nicht mehr dem Geschäftszweck, diese im Auftrag für den Auftraggeber gemäß seinen Weisungen zu verarbeiten, sondern dazu, daß der Auftragnehmer eine gewisse vertraglich geschuldete Leistung in eigener Verantwortlichkeit erarbeiten und erbringen möchte, zu deren Erfüllung er die übermittelten Daten benötigt. In diesem Fall wird dem Auftragnehmer eine ganze Aufgabe übertragen, die er eigenverantwortlich wahrnimmt, so daß hier ein Fall der Funktionsübertragung vorliegt. Daran ändert auch die Tatsache nichts, daß die Beteiligten weiterhin von "Auftragsverhältnis, Beauftragung" o.ä. sprechen. Der Begriff der Datenverarbeitung im Auftrag ist enger als der des Auftrags und nicht mit diesem zu verwechseln. Eine Funktionsübertragung kann wiederum im Wege einer Delegation oder der Erteilung eines Mandats erfolgen: Im Falle eines Mandats ändert sich die originäre Zuständigkeit nicht. Die beauftragte Stelle wird lediglich ermächtigt, im Namen des Auftraggebers für diesen nach außen zu handeln, etwa indem der Auftragnehmer unter dem Briefkopf des Auftraggebers tätig wird. Widerspruch und Klage sind unverändert gegen den Mandatsgeber zu richten. Zwar erfolgt hier de facto ein Wechsel in der (gesetzlich festgelegten) Zuständigkeit. Für die Erteilung eines Mandats ist jedoch eine gesetzliche Grundlage nicht erforderlich. Im Fall der Delegation wird die Zuständigkeit für die gesamte Aufgabe auf eine andere Stelle übertragen, die nicht nur selbständig tätig wird, sondern auch im eigenen Namen entscheidet. Widerspruch und Klage richten sich gegen den "Delegationsempfänger", also diejenige Stelle, die im Rahmen der Delegation die neue Zuständigkeit erhalten hat. Da gesetzlich geregelte Zuständigkeiten nur durch Gesetz geändert werden können, bedarf die Delegation einer gesetzlichen Ermächtigung. Wird zum Beispiel einer anderen Stelle nicht nur die Erstellung der Lohn- und Gehaltsabrechnung auf Grund der übergebenen Daten übertragen, sondern darüber hinaus die Aufgabe, in eigener Verantwortung die Errechnung der Löhne und Gehälter entsprechend den Tarifverträgen zu ermitteln, die erforderlichen Steuererklärungen zu erstellen oder die Löhne und Gehälter auszuzahlen, so handelt es sich um eine Funktionsübertragung. Entscheidet diese Stelle nach außen im eigenen Namen, so liegt der Unterfall der Delegation vor. Wird sie dagegen lediglich ermächtigt, im Namen der Lohn- und Gehaltsstelle für diese (unter deren Briefkopf) nach außen zu handeln, so hat eine Mandatsübertragung stattgefunden. Für eine Funktionsübertragung in der einen oder anderen Form sprechen
Ergibt die Abgrenzung, daß die Tätigkeit der für die Erfüllung der Aufgabe eingeschalteten Stelle als Auftragsdatenverarbeitung anzusehen ist, so folgt daraus für den Auftraggeber, daß er "Herr der Daten" bleibt und für die Datenverarbeitung verantwortlich ist. Er gilt als datenverarbeitende Stelle im Sinne des § 4 Abs.3 Nr.1, 2 BlnDSG. Seine Pflichten ergeben sich aus § 3 Abs.1, 4 BlnDSG (vgl. auch § 11 Abs.1, 2 BDSG). Der Auftragnehmer darf die Daten nur im Rahmen der Weisungen des Auftraggebers verarbeiten, d.h. die zur Datenverarbeitung überlassenen Daten nicht anderweitig verwenden und nicht länger aufbewahren, als der Auftraggeber bestimmt. Auch wenn die Auftragsdatenverarbeitung für Auftraggeber und -nehmer eine Reihe von zusätzlichen Verpflichtungen (z.B. die vertragliche Ausgestaltung sowie die Unterrichtung nach § 3 Abs.4 BlnDSG) mit sich bringt, so hat diese rechtliche Einordnung auch erhebliche Vorteile. Durch die Bindung des Auftragnehmers an die Weisungen des Auftraggebers wird er quasi als rechtliche Einheit mit der speichernden Stelle betrachtet. Dies hat die Konsequenz, daß die Übertragung der personenbezogenen Daten an den Auftragnehmer zur Durchführung der weisungsgemäßen Aufgabe und die Rückführung an den Auftraggeber nicht als Datenübermittlung zu bewerten sind. Auch die übrigen Datenverarbeitungsschritte (§ 4 Abs.2 BlnDSG) werden datenschutzrechtlich aus der Sicht des Auftraggebers beurteilt, auch wenn sie tatsächlich durch den Auftragnehmer wahrgenommen werden.
Ergibt die Abgrenzung nach den genannten Kriterien, daß
die öffentliche Stelle mehr als bloße Datenverarbeitungsschritte,
nämlich eine gesamte Funktion übertragen hat, hängen
die rechtlichen Konsequenzen davon ab, welcher der beiden Unterfälle
einschlägig ist: Demgegenüber sind bei der Delegation Datentransfers zwischen Auftraggeber und Auftragnehmer als Datenübermittlungen anzusehen. Der Auftragnehmer ist nicht Teil der datenverarbeitenden Stelle, sondern Dritter. Er hat alle Anforderungen, die die datenschutzrechtlichen Bestimmungen an die Verarbeitung personenbezogener Daten stellen, selbst zu erfüllen. Die bei der Funktionsübertragung in Betracht kommenden Fallkonstellationen können wiederum relativ leicht voneinander abgegrenzt werden je nach dem, ob es sich um öffentliche, hoheitliche Aufgaben oder um öffentliche, nicht-hoheitliche Aufgaben oder um nicht-öffentliche Aufgaben (z.B. fiskalischer Art) handelt, und je nach dem, ob es hierbei jeweils um die Übertragung auf öffentliche oder aber auf nicht-öffentliche Stellen geht:
4.8.2 Defekte Speichermedien
Ein bezirkliches Krankenhaus teilte uns mit, daß eine voll bespielte optische Speicherplatte (WORM) seines elektronischen Krankengeschichtenarchivs wegen eines Defekts nicht mehr lesbar sei. Die Lieferfirma, die das System technisch auch betreute, hatte erklärt, daß die defekte WORM nur beim Hersteller in den USA wieder lesbar gemacht werden kann.Eine Auslieferung der optischen Platte an die US-amerikanische Herstellerfirma würde bedeuten, daß zumindest nach der Reparatur die in den Krankenakten archivierten personenbezogenen Patientendaten den Mitarbeitern des Unternehmens im Klartext offenbart werden würden. Dies würde eine Verletzung der ärztlichen Schweigepflicht bedeuten, die u.U. auch strafrechtlich relevant wäre, denn eine solche Offenbarung ist von § 26 Abs.3 Berliner Krankenhausgesetz nicht abgedeckt. Eine Lesbarmachung der defekten WORM beim Hersteller in den USA wäre daher nur zulässig, wenn die WORM durch einen der ärztlichen Schweigepflicht unterliegenden Mitarbeiter des Krankenhauses (das kann auch ein IT-Fachmann sein, der als ärztlicher Erfüllungsgehilfe gelten kann) in die USA transportiert wird, dort die Reparatur oder Datenrekonstruktion der WORM unter Kontrolle dieses Mitarbeiters erfolgt und dann von ihm wieder nach Berlin gebracht wird. Diese Lösung setzt voraus, daß die realen Kontrollmöglichkeiten vorab auf Wirksamkeit geprüft und mit dem Hersteller abgestimmt werden. Eine solche Lösung ist natürlich wenig praktikabel und zu aufwendig. Wir haben daher empfohlen, die defekte WORM physisch zu zerstören und den Datenbestand auf einer neuen WORM erneut aufzubauen. Dieses war möglich, weil die gescannten Daten auf anderen Datenträgern gesichert worden waren. Anderenfalls wäre ein erneutes Einscannen der in Papierform noch vorliegenden Krankengeschichten erforderlich gewesen.
Ein anderes Bezirksamt sah berechtigterweise die Gefahr, daß Computerhardware, die personenbezogene Daten enthält, an Firmen unter Umständen zwecks Fehlersuche oder Fehlerbehebung herausgegeben werden müsse, und erarbeitete eine Mustervereinbarung zur Einhaltung der datenschutzrechtlichen Vorschriften in solchen Fällen.Das Bezirksamt wollte sich zunächst von den Unternehmen bestätigen lassen, daß die Fehlersuche bzw. -behebung nicht vor Ort, sondern nur in der Firma möglich ist und daß die Mitnahme der Hardware zur Auftragserfüllung unabdingbar ist. Ein solcher Fall tritt nach unserer Kenntnis bei heutigen Standardsystemen (PCs und Server) nur in zwei seltenen Fällen auf:
Ansonsten gehen wir von folgendem aus:
Der Anwendungsfall für den vorgelegten Muster-Vereinbarungsentwurf ist daher auf die Fehlerursachenforschung bei Festplatten im Garantiefall beschränkt. Auf jeden Fall hat die Firma ausführlich die Gründe darzustellen, weshalb die Fehlersuche und -behebung nicht vor Ort erfolgen kann und weshalb eine Mitnahme der Hardware und der Datenbestände zur Auftragserfüllung unabdingbar ist. Damit nicht aus Bequemlichkeit oder aus der Fehleinschätzung des Begehrens der Firma eine unnötige Gefährdung der Vertraulichkeit der gespeicherten Daten möglich ist, haben wir dem Bezirksamt empfohlen, uns von jedem Einzelfall, in dem die Herausgabe von Hardware mit personenbezogenen Daten erfolgen soll, einschließlich dieser Begründung zu unterrichten. Diese Empfehlung erstreckt sich auch auf alle anderen privaten und öffentlichen datenverarbeitenden Stellen des Landes, wenn Unsicherheit darüber besteht, wie man sich in solchen Fällen verhalten sollte. Die externe Fehlersuche und -behebung ist Auftragsdatenverarbeitung, für die im öffentlichen Bereich des Landes § 3 Abs.1 und 4 BlnDSG anzuwenden sind. Dies bedeutet, daß für die Tätigkeiten das Berliner Datenschutzgesetz vertraglich auch auf den privaten Auftragnehmer zu erstrecken ist, die Kontrollkompetenz des Berliner Datenschutzbeauftragten mit seinen Befugnissen für die öffentlichen Stellen des Landes vertraglich abgesichert und bestimmte Meldepflichten erfüllt werden müssen. Soweit für die Daten sogar Offenbarungsverbote vorliegen und Datenverarbeitung im Auftrag nicht spezialrechtlich geregelt ist, ist die Herausgabe von Festplatten mit personenbezogenen Daten gänzlich unzulässig (z.B. im Geltungsbereich der ärztlichen Schweigepflicht). Ein anderes Bezirksamt lieferte eine Woche später einen konkreten Anwendungsfall:
Der behördliche Datenschutzbeauftragte bat uns um Rat, weil die Festplatte eines Personal Computers, der den vollständigen Datenbestand eines Amtes in der Abteilung Sozialwesen enthielt, beschädigt war. Die Wartungsfirma hatte eine neue Festplatte eingebaut, der Sicherungsbestand war eingespielt worden, die defekte Festplatte mit den Sozialdaten sollte jedoch zum Nachweis des Garantiefalls an die Herstellerfirma geschickt werden.Der behördliche Datenschutzbeauftragte war diesen Plänen entgegengetreten und erhielt von uns mit folgenden Hinweisen Schützenhilfe, da es sich um Sozialdaten handelte, die einer besonderen Geheimhaltung unterliegen:
Wir konnten also nur empfehlen, in Zukunft Wartungsverträge zu schließen bzw. Garantiebedingungen mit den Vertragspartnern abzusprechen, die einen datenschutzgerechteren Weg zur Inanspruchnahme der Gewährleistung zulassen. In diesem Falle empfehlen wir, die defekte Festplatte unter Verzicht auf die Gewährleistung zu vernichten, was angesichts heutiger Hardwarepreise für Zubehör von Standard-PCs im Verhältnis zu den Risiken für die Vertraulichkeit der Sozialdaten auch angemessen ist.
Eine Petentin suchte uns auf und übergab uns vier etikettierte und beschriebene Disketten, die sie bei einem Technikdiscounter als Leerdisketten erstanden hatte. Die Disketten enthielten sensible personenbezogene Daten und weitere als Betriebsgeheimnisse einer Baufirma anzusehende Informationen.Die Petentin hatte zwei Packungen mit je zehn Leerdisketten bei dem Discounter besonders günstig gekauft und zu Hause festgestellt, daß vier Disketten gebraucht und gefüllt waren. Die Packungen waren nicht in Folie eingeschweißt, sondern enthielten ihr Preisschild auf der Pappschachtel. Die vier Disketten wurden uns zur Prüfung übergeben. Sie enthielten u.a. den Namen des früheren Besitzers, des Inhabers einer Baufirma. Es stellte sich heraus, daß dieser bei dem Discounter einige Zeit zuvor einen PC gekauft hatte, der bald darauf einen möglicherweise durch Virenbefall bewirkten Defekt aufwies, so daß die Festplatte nicht mehr gelesen werden konnte. Der Computerbesitzer reklamierte den Defekt beim Discounter, der dem besonders guten Kunden einen Gefallen tun wollte, indem er den Computer nicht wie üblich an die Service-Zentrale sandte, sondern versuchte, den Schaden sofort zu beheben. Der Kunde erhielt im Rahmen des Garantieaustausches einen neuen Rechner. Die Festplatte des defekten PCs konnte aktiviert und die sicherzustellenden Daten auf den neuen Rechner übertragen werden. Außerdem sollten die Daten auf Sicherungsdisketten überspielt werden und diese dem Kunden zusätzlich ausgehändigt werden, was versehentlich allerdings nicht geschah. Als dieses beanstandet wurde, waren die bespielten Disketten beim Discounter trotz intensiver Nachforschungen auch nicht mehr auffindbar. Wie dann die Disketten in die für den Verkauf bestimmten Schachteln gekommen sind, war nicht mehr nachvollziehbar. Der Fall zeigt, daß beim Umgang mit bespielten Disketten besondere Sorgfalt geboten ist. Zu empfehlen ist, daß man grundsätzlich bespielte Disketten nicht mehr in den Originalverpackungen aufbewahren sollte. Dies gilt nicht nur in diesem Sonderfall. Auch sonst empfiehlt es sich, dafür zu sorgen, daß Neudisketten und bespielte Disketten nicht durcheinandergebracht werden. |
||||
|
|