Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

Personaldaten außer Haus - Alarmstufe für Datenschützer:


16.08.1985 - 

"... bestimmte Pannen trägt der Auftraggeber ..."

In zunehmendem Maße werden DV-Dienstleistungen außer Haus vergeben. Dabei sind naturgemäß auch Personal und andere geschützte personenbezogene Daten Fremdfirmen anvertraut - ein Umstand, der die betrieblichen Datenschutzbeauftragten zu besonderer Aufmerksamkeit und Wachsamkeit verpflichtet.

Hierbei entsteht eine Vielzahl von Risiken. Zunächst ist davon auszugehen, daß praktisch alle Formen der Auftragsdatenverarbeitung datenschutzrechtlich zulässig sind. Dies führt oft zu gesteigerten Mitwirkungs- und Sorgfaltspflichten der Vertragsabteilung und des betrieblichen Datenschutzbeauftragten. Dieser hat alle bestehenden Auftragsverhältnisse, Verträge und Vereinbarungen einschließlich der Nebenabreden im Hinblick auf datenschutzrelevante Tatbestände und die vom BDSG fixierten Verantwortlichkeiten sorgfältig zu überprüfen.

Das Konzept des BDSG, welches die Auftragsdatenverarbeitung (unter anderem in °° 31, 37) grundsätzlich erlaubt, beruht auf der Vorstellung, daß der Auftragnehmer wie ein

Teil der speichernden Stelle angesehen wird. Insoweit, das ergibt sich aus ° 2 Absatz 3 Nummer 2 in Verbindung mit Absatz 2 Nummer 2 BDSG, findet keine "Übermittlung" zwischen Auftraggeber und Auftragnehmer statt. Beide werden als Einheit angesehen.

Diese Fiktion des Gesetzgebers muß in die Praxis umgesetzt werden. Dies geschieht einmal durch lückenlose Überwachung und Kontrolle der technischen Vorgänge. Zum anderen müssen die rechtlichen Voraussetzungen geschaffen werden, die die Kontrolle, die Überwachung und nicht zuletzt die Haftung im Verhältnis zwischen Auftraggeber und Auftragnehmer möglichst eindeutig regeln.

Dabei ist von folgendem auszugehen: Der Auftraggeber bleibt als speichernde Stelle "Herr der Daten", so daß der Auftragnehmer als Erfüllungsgehilfe die Daten nur im Rahmen der Weisungen des Auftraggebers verarbeiten darf. Daraus folgt, daß der Auftraggeber auch bei DV außer Haus verantwortlich bleibt für die Wahrung der Rechte des Betroffenen und für die Zulässigkeit der Datenverarbeitung. Pannen gehen zu Lasten des Auftraggebers.

Die externe Verarbeitung ist kraft Gesetz (° 37 BDSG) nur im Rahmen der Weisungen des Auftraggebers zulässig. Nach Nummer 8 der Anlage zu ° 6 Absatz 1 BDSG hat der Auftragnehmer eine Auftragskontrolle zu gewährleisten. Das bedeutet, daß neben internen Kontrollmaßnahmen beim Auftragnehmer auch Kontrollen des Auftraggebers ermöglicht werden müssen, die dieser selbst oder durch Dritte - zum Beispiel externe Revisoren - ausübt oder ausüben läßt.

Die Weisungen des Auftraggebers müssen im Hinblick auf ° 37 BDSG zwei Bereiche umfassen:

- anwendungsbezogene Verarbeitung und

- technisch bedingte Verarbeitung.

Während die anwendungsbezogene Verarbeitung im einzelnen vom Auftraggeber vorgegeben werden muß (zum Beispiel Änderungen von Programmen, Tabellenänderung, Änderung des Verteilerschlüssels, Abruf von Ausgaben, Veranlassen von Verarbeitungsabläufen) sollte die technisch bedingte Verarbeitung (zum Beispiel Duplizieren von Beständen für die Verlustsicherung, Anlage von Logfiles, Zwischendateien und Arbeitsbereichen) durch eine Generalklausel geregelt werden, damit nicht jeder technisch bedingte Speichervorgang durch Einzelauftrag abgedeckt sein muß.

Dabei darf dem Auftraggeber die Möglichkeit nicht abgeschnitten werden, bestimmte Arten der technisch bedingten Verarbeitung durch Weisung auszuschließen (zum Beispiel Änderung der Dateienorganisation) oder ihre Art zu bestimmen (zum Beispiel Löschung von Zwischendateien und Restinformationen nach der Verarbeitung).

Die Tätigkeit des betrieblichen Datenschutzbeauftragten beginnt bereits bei der Auswahl des Auftragnehmers. Der BDSG ist unter Umständen verpflichtet, die Geschäftsleitung auf etwaige Bedenken nachdrücklich hinzuweisen. Nur nebenbei sei bemerkt, daß eine solche Zuverlässigkeitsüberprüfung angesichts steil ansteigender Computerkriminalität nicht nur dem Datenschutz, sondern auch dem elementaren Sicherungsinteresse des Unternehmens dient.

Auswahlsorgfalt liegt beim Auftraggeber

Der Auftraggeber hat den Auftragnehmer unter besonderer Berücksichtigung der Eignung der vom Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen sorgfältig auszuwählen. In der Praxis sind dabei die Vorschriften des ° 6 I, der Anlage zum ° 6, der ° 5 (Datengeheimnis) sowie die Anforderungen an die Ordnungsmäßigkeit gemäß ° 29 Nummer 2 und ° 45 Nummer 8 BDSG (Verweis auf die vorrangigen Vorschriften der AO des HGB) zu berücksichtigen. Daraus folgt für den Auftragnehmer, daß

- das Personal zu verpflichten ist,

- Grundsätze ordnungsgemäßer Datenverarbeitung zu beachten und ihre Einhaltung zu überwachen sind und

- Datensicherung nach den Vorgaben des ° 6 gewährleistet sein muß.

BDSG kontrolliert Wunsch und Wirklichkeit

Der ° 6 BDSG stellt ab auf das angemessene Verhältnis zwischen Maßnahmen und angestrebtem Schutzzweck. Eine Bestimmung der erforderlichen Sicherungsmaßnahmen kann demnach nur erfolgen durch Schwachstellen-, Risiko- und Nutzwertanalysen, die anwendungsbezogen vom Auftraggeber und Auftragnehmer durchgeführt werden müssen. Das bedeutet, daß ein Rechenzentrum eine allen denkbaren Anwendungen gerechte Datensicherung aus Gründen der Flexibilität und der Wirtschaftlichkeit nicht organisieren kann.

Freilich muß ein Mindestsicherungsgrad gewährleistet sein, bei dem je nach Art der Daten und Anwendungen und der daraus resultierenden Risiken gegebenenfalls zusätzliche Sicherungsvorkehrungen zu vereinbaren sind. Eine solche Lösung gestattet die kundenorientierte Abgrenzung der aus zusätzlichen Sicherungsmaßnahmen resultierenden Kosten.

Welche Elemente sollte ein Vertrag enthalten?

Es muß klargestellt werden, daß der Auftragnehmer nicht verantwortlich ist für die Beurteilung der Zulässigkeit von DV-Anwendungen und für die Wahrung der Rechte von Betroffenen. Diese Pflichten obliegen dem Auftraggeber.

Der Auftragnehmer ist hingegen verpflichtet, personenbezogene Daten ausschließlich gemäß den Weisungen des Auftraggebers zu verarbeiten. Die Weisung bedarf der Schriftform; mündlich durch autorisierte Personen des Auftraggebers erteilte Weisungen bedürfen der unverzüglichen schriftlichen Bestätigung.

Der Auftraggeber beauftragt den Auftragnehmer mit der Durchführung aller technisch erforderlichen Verarbeitungen der Daten, soweit die Verarbeitung nicht zu einer inhaltlichen Umgestaltung führt oder der Bereinigung von technisch bedingten Fehlern dient. Über Fehlerbereinigungen ist der Auftraggeber sofort und entsprechend zu informieren. Sofern der Auftraggeber besondere Anforderungen bei der technisch bedingten Verarbeitung stellt sind diese gesondert schriftlich zu fixieren.

Der Auftraggeber hat das Recht, die Auftragskontrolle (Nummer 8 der Anlage zu ° 6 Absatz 1 BDSG) im Benehmen mit dem Auftragnehmer durchzuführen oder durchführen zu lassen.

Der Auftragnehmer ist verpflichtet, Grundsätze ordnungsgemäßer Datenverarbeitung zu beachten und ihre Einhaltung zu überwachen. Im Rahmen des ° 29 Nummer 2 BDSG werden dem Datenschutzbeauftragten des Auftraggebers oder dessen Bevollmächtigten entsprechende Kontrollmöglichkeiten beim Auftragnehmer eingeräumt, die im Benehmen mit dem Auftragnehmer wahrgenommen werden sollen.

Der Auftragnehmer gewährleistet die im Rahmen der ordnungsgemäßen Abwicklung der Arbeiten erforderlichen Sicherungsmaßnahmen.

Der Auftragnehmer ist zur vollständigen Protokollierung der Systemleistungen verpflichtet, unzulängliche oder fehlende Protokollierung ist bei Auslieferung der Ergebnisse schriftlich zu begründen.

Test- und Ausschußmaterial wird vom Auftragnehmer unter Verschluß aufbewahrt. Es wird entweder dem Auftraggeber zur Verfügung gestellt oder in jederzeit nachprüfbarer Weise vernichtet.

Werden Sub-Unternehmer vom Auftragnehmer eingeschaltet, so hat dieser die vertraglichen Vereinbarungen so zu gestalten, daß sie den Datenschutzbestimmungen im Vertragsverhältnis zwischen Auftraggeber und Auftragnehmer entsprechen.

Im Rahmen des Vertrages sind vom Auftraggeber die anweisungs-, empfangs- und kontrollberechtigten Personen dem Auftragnehmer schriftlich zu bezeichnen. Gleiches gilt im umgekehrten Verhältnis.

Beide Parteien haben einander bei Störungen des Verarbeitungsablaufs, bei Verdacht auf Datenschutzverletzungen und anderen Unregelmäßigkeiten bei der Verarbeitung der Daten unverzüglich zu informieren.

Der Auftragnehmer haftet der speichernden Stelle wie ein Erfüllungsgehilfe. Im Innenverhältnis hat er dem Auftraggeber grundsätzlich alle Schäden zu ersetzen, deren Ursache in des Auftragnehmers Verantwortungsbereich liegen.

Es gilt die Regel, daß alle Abmachungen klar, deutlich und eindeutig getroffen werden müssen. Das gilt vor allem für die Rechte des Auftraggebers, beim Auftragnehmer Kontrollen durchzuführen. Es hat sich in der Praxis bewährt, im Vertrag lediglich eine Generalklausel aufzunehmen, die durch eine besondere Vereinbarung je nach Art der vorgesehenen Dienstleistung ausgefüllt wird.

Mit Hilfe sorgfältiger Auswahl der Auftragnehmer und durch eine dem BDSG angemessene Vertragsgestaltung könnten die Risiken, die sich bei der Auslagerung von EDV-Dienstleistungen ergeben, wirksam angeschlossen werden.

Dr. Ralf Abel, Rechtsanwalt beim Schleswig-Holsteinischen Oberlandesgericht.