Günther Dorn, Leiter des Bayerischen Landesamts für Datenschutzaufsicht (bayerische Datenschutz-Aufsichtsbehörde für den nicht-öffentlichen Bereich), hat bei einer Veranstaltung anlässlich des zehnjährigen Jubiläums der IAPP drei Punkte formuliert, die aus seiner Sicht am Bundesdatenschutzgesetz ("BDSG") dringend verändert werden sollten. Im Einzelnen:
1. Outsourcing und Datenschutz
Hintergrund: Das BDSG privilegiert das Outsourcing nur dann, wenn eine Auftragsdatenverarbeitung im Sinne des § 11 BDSG vorliegt. Soweit das Outsourcing eine Funktionsübertragung darstellt, gelten die allgemeinen Vorschriften, insbesondere der § 28 BDSG.
Die zulässige Weitergabe von personenbezogenen Daten an einen selbstständigen Dienstleister ist somit nur möglich, wenn das Outsourcing in den Vertrag mit dem Kunden einbezogen wird, der Kunde in die Datenweitergabe einwilligt oder der Erlaubnistatbestand des § 28 Abs. 1 Satz 1 Nr. 2 BDSG einschlägig ist.
In der Praxis ist damit häufig allein der Erlaubnistatbestand des § 28 Abs. 1 Satz 1 Nr. 2 BDSG die gangbare Lösung. Das dienstleistende Unternehmen muss dabei, ähnlich wie bei der Auftragsdatenverarbeitung nach § 11 BDSG, einzelvertraglich eng an das outsourcende Unternehmen angeschlossen werden.
Dabei ist zu beachten, dass der Erlaubnistatbestand des § 28 Abs. 1 Satz 1 Nr. 2 BDSG per se nicht bei besonderen Arten personenbezogener Daten (z.B. Gesundheitsdaten) einschlägig sein kann.
Diese Regelung entspricht nicht den Erfordernissen der Praxis. Zum einen wäre wünschenswert, auch für die Fälle der funktionsübertragenen Outsourcing-Maßnahmen ein klar geregeltes Vertragskonzept ähnlich des § 11 BDSG zu schaffen, um nicht aus § 28 Abs. 1 Satz 1 Nr. 2 BDSG in Verbindung mit § 11 BDSG und allgemeinen datenschutzrechtlichen Grundprinzipien ein für die Rechtsanwender auf den ersten Blick relativ komplexes Regelungsmodell zu schaffen. Zum anderen besteht gerade bei der Verarbeitung von besonderen Arten personenbezogener Daten (insbesondere Gesundheitsdaten) ein praktisches Bedürfnis, diese datenschutzkonform an selbständige Outsourcingpartner weiterzugeben.
Forderung: Es sollte ein zusätzlicher gesetzlicher Zulässigkeitstatbestand für funktionsübertragende Outsourcing-Maßnahmen aufgenommen werden, der sich auch auf die besonderen Arten personenbezogener Daten bezieht.