Freitag, 6. Juli 2012

Auftragsdatenverarbeitung vs. Funktionsübertragung - Teil 3: Verantwortlichkeit und Haftung

Was Auftragsdatenverarbeitung und eine Funktionsübertragung im Datenschutzrecht sind und wie man diese unterscheidet habe ich bereits erläutert.

In diesem Beitrag möchte ich darstellen, warum die Unterscheidung für die Praxis so wichtig ist. Eine ganz wesentliche Auswirkung hat das Ganze nämlich auf die Verantwortlichkeit für den Datenschutz und damit auch die datenschutzrechtliche Haftung.

Verantwortlichkeit bei der Funktionsübertragung
Bei der Funktionsübertragung, welcher ja eine Datenübermittlung im Sinne des § 3 Abs. 4 Nr. 3 BDSG zugrunde liegt, liegen die Verantwortungssphären letztendlich genauso wie bei jeder Übermittlung personenbezogener Daten von einem Unternehmen an ein anderes: Das übermittelnde Unternehmen muss zuerst prüfen, ob eine Datenübermittlung als datenschutzrechtlich relevanter Verarbeitungsvorgang erlaubt ist, z.B. durch § 28 Abs. 1 BDSG oder § 28 Abs. 2 BDSG oder weil eine Einwilligung des Betroffenen nach § 4a BDSG vorliegt.
Ist die Datenübermittlung rechtmäßig, endet mit der vollzogenen Übermittlung die Verantwortung des übermittelnden Unternehmens (also bei der Funktionsübertragung quasi des Auftraggebers). Kommt es mithin beim datenempfangenden Unternehmen (quasi dem Auftragnehmer) zu einer Datenschutzverletzung, so ist hier alleine der Auftragnehmer verantwortlich und nicht etwa der Auftraggeber – auch wenn die Daten ursprünglich von diesem stammen.

Verantwortlichkeit bei der Auftragsdatenverarbeitung
Wie ich in dem ersten Teil der Reihe bereits erläutert habe, liegt bei der Auftragsdatenverarbeitung keine Datenübermittlung gem. § 3 Abs. 4 Nr. 3 BDSG zwischen zwei Unternehmen vor. Die Übertragung der Daten ist weitgehend vergleichbar mit dem Sachverhalt entsprechend Szenario 1, in welchem die personenbezogenen Daten von einer Abteilung einer verarbeitenden Stelle an eine andere Abteilung in demselben Unternehmen übermittelt wird. Dies macht § 11 Abs. 1 BDSG deutlich, wonach der Auftraggeber für die Einhaltung der Vorschriften dieses Gesetzes und anderer Vorschriften über den Datenschutz verantwortlich – obwohl die Daten ja eigentlich vom Auftragnehmer verarbeitet werden. § 11 Abs. 3 BDSG unterstreicht dies nochmals, indem der Gesetzgeber hier deutlich macht, dass der Auftragnehmer die Daten nur im Rahmen der Weisungen des Auftraggebers erheben, verarbeiten oder nutzen dürfe und selbst wenn er der Ansicht sei, dass dies gegen datenschutzrechtliche Bestimmungen verstoße, er den Auftraggeber unverzüglich darauf hinzuweisen habe. „Nur“ hinzuweisen habe – mag man da anfügen. Denn der Auftragnehmer ist ja im Rahmen der Vereinbarung mit dem Auftraggeber vertraglich zur Durchführung der Weisungen des Auftraggebers verpflichtet.
Im Ergebnis bedeutet dies, dass in diesem Fall der Auftragsdatenverarbeitung anders wie bei der Funktionsübertragung der Auftraggeber für die Datenverarbeitung beim Auftragnehmer die volle datenschutzrechtliche Verantwortung trägt. Kommt es zu einer „Datenpanne“ beim Auftragnehmer, haftet hier also grundsätzlich der Auftraggeber.

Das mag auf den ersten Blick etwas „unfair“ klingen, ist aber auf den zweiten Blick nur konsequent. Denn bei der Auftragsdatenverarbeitung ist der Auftragnehmer ja ganz streng an die Weisungen des Auftraggebers gebunden, dem Auftragnehmer verbleibt wie in Teil 2 der Reihe dargestellt ja überhaupt kein Entscheidungsspielraum in der Frage, was er zu tun habe. Verstoßen die vom Auftraggeber vorgegebenen Weisungen daher gegen das Datenschutzrecht, hat der Auftraggeber diesen durch den Auftragnehmer als „ausführendes Werkzeug“ begangenen Verstoß auch in der Regel zu vertreten.

Gleichwohl ist zu beachten, dass der Auftragnehmer nicht ganz pflichtenlos ist: Gem. § 11 Abs. 4 BDSG treffen diesen insbesondere die technischen und organisatorischen Datenschutzpflichten aus § 9 BDSG und Anlage (z.B. bei einem Rechenzentrum als Auftragnehmer die klassischen IT-Sicherheitspflichten wie Schutz gegen Naturgewalten oder unbefugten Datenzugang und –zugriff), die Verpflichtung der Mitarbeiter auf das Datengeheimnis, gewisse Informationspflichten usw.

Konsequenz
Vor diesem Hintergrund ist einem Auftraggeber daher dringend zu raten, sorgsam zu prüfen, ob in jedem Einzelfall eine Auftragsdatenverarbeitung vorliegt oder doch „nur“ (aus haftungsrechtlicher Sicht) eine Funktionsübertragung. Kommt der Auftraggeber zu dem Schluss, dass eine Auftragsdatenverarbeitung gem. § 11 BDSG vorliegt, sollte dieser die Weisungen an und Aufgaben des Auftragnehmers sauber und präzise in einer Vereinbarung zur Auftragsdatenverarbeitung definieren, in welcher im übrigen mindestens auch sämtliche Punkte des Katalogs aus § 11 Abs. 2 BDSG geregelt sein müssen. Wegen der immensen datenschutzrechtlichen Verantwortung sollte der Auftraggeber ferner die vom Gesetz geforderte Überwachungs- und Kontrollpflicht gegenüber dem Auftragnehmer sehr ernst nehmen.

Bestehen auf Seiten des Auftraggebers bei einer Auftragsdatenverarbeitung Unsicherheit dahingehend, was der Auftragnehmer jetzt genau tut oder hat der Auftraggeber das Gefühl, die vom Auftragnehmer durchgeführten Aufgaben nicht „durchschauen“ zu können, so sollte der Auftraggeber von seinem Informationsrecht Gebrauch machen bzw. seiner Kontrollpflicht nachkommen – und sich insbesondere fragen, ob in einem solchen Fall nicht doch eine nicht erkannte Funktionsübertragung vorliegt…

Donnerstag, 5. Juli 2012

Bundesregierung will Datenschutz beim Melderecht aushebeln


In einer Nacht- und Nebelaktion hat der Deutsche Bundestag am 29.06.2012 ein „Gesetz zur Fortentwicklung des Meldewesens“ beschlossen, welches das bisherige Melderecht auf den Kopf stellen würde: Bisher dienen Melderegister vorrangig als Adress- und Datenbeschaffer für die öffentliche Verwaltung, und im Rahmen einer Abwägung auch für private Interessenten, etwa für Gläubiger, die auf der Suche nach Schuldnern sind, die sich einem Forderungseinzug entziehen wollen, oder für Adressbuchverleger, vorausgesetzt der Bürger hat der Eintragung nicht widersprochen. Mit der in zweiter Lesung beschlossenen Gesetzesänderung würden Firmen nun für „Zwecke der Werbung oder des Adresshandels“ Melderegisterauskünfte erhalten, selbst wenn die betroffene Person Widerspruch eingelegt hat, „wenn die Daten ausschließlich zur Bestätigung oder Berichtigung bereits vorhandener Daten verwendet werden“.

Diese unscheinbare Änderung hätte gravierende Konsequenzen für die betroffenen Bürgerinnen und Bürger und die Kommunen mit ihren Meldebehörden. Profitieren würden vor allem Auskunfteien und Adresshändler. Diese können sich bisher und nach dem ursprünglichen Entwurf keine Adressen aus dem Melderegister ohne Einwilligung der Betroffenen beschaffen. Dieses Verbot umgehen viele Adresshändler heute, indem sie für Gläubiger auftragshalber Meldeauskünfte vermitteln und diese danach für eigene Zwecke weiternutzen. Diese illegale Praxis soll nun anscheinend legalisiert und massiv ausgeweitet werden:

Mit der Änderung würde eine nicht aktuelle Adresse genügen, und schon könnten die Firmen sich die behördlich beschafften, geprüften aktuellen Adressen besorgen. Riesige inaktuelle private Datenbestände gibt es zuhauf. Adresshändler könnten sich einfach wertvolle Behördendaten beschaffen und diese danach teuer weiterveräußern. Zugleich würden dadurch den Kommunen wichtige Einnahmequellen, die Gebühren für Melderegisterauskünfte, genommen, weil Interessenten, z. B. Gläubiger, sich bei den Adressenhändlern bedienten und nicht mehr zu den Meldebehörden gehen müssten.

Dazu der Kommentar des Leiters des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein: „Ich bin schockiert über Form und Inhalt der Gesetzgebung. An Kommunen und Datenschützern vorbei werden hier wirtschaftliche Lobbyinteressen bedient. Nach der Beschlussfassung zu einer Stiftung Datenschutz, die in der vorgesehenen Form nur einer Wirtschaft dient, die Datenschutz als Billigware haben möchte, ist dies innerhalb kürzester Zeit ein zweiter Sündenfall und ein weiterer Schlag ins Gesicht all derer, die dem Versprechen der Koalitionsvereinbarung vertraut haben, den Datenschutz der Bürgerinnen und Bürger zu stärken.
Wir können nur hoffen, dass der Bundesrat diesen gefährlichen Unsinn stoppt.“

PRESSEMITTEILUNG vom 04.07.2012 DES:
Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Holstenstr. 98, 24103 Kiel

Mittwoch, 4. Juli 2012

Datenschutz hat für die deutsche Bevölkerung einen anhaltend hohen Stellenwert

Zu diesem Schluss kommt eine aktuelle Unisys-Studie vom Mai 2012 .

Danach fürchten 68% der für die Studie befragten ca. 1000 Teilnehmer einen Diebstahl oder einen Missbrauch ihrer persönlichen Daten.

81% der Befragten befürworten gesetzliche Verpflichtungen für Unternehmen dahingehend, die bestmöglichen Maßnahmen zur Datensicherheit zur Gewährleistung des Schutzes personenbezogener Maßnahmen zu ergreifen. Nach Ansicht von 69% sollten diese Maßnahmen von unabhängigen Institutionen geprüft und zertifiziert werden.

Interessant ist auch die Aussage der Studie zum Anfang des Jahres kontrovers diskutierten Thema "EU-Datenschutzverordnung": Nur 23% der Teilnehmer der Studie sind der Ansicht, dass die deutschen Datenschutzregelungen einer EU-weiten und einheitlichen Datenschutzverordnung weichen sollten.

Unserer Ansicht nach unterstreicht das Ergebnis der Studie, dass Unternehmen das Thema Datenschutz ernst nehmen und in ihrer Unternehmenskultur verankern sollten. Denn neben der gesetzlichen Pflicht zur Beachtung der gesetzlichen Datenschutzregelungen nimmt der Schutz personenbezogener Daten von Kunden und Mitarbeiter generell einen hohen Stellenwert ein.