Günther Dorn, Leiter des Bayerischen Landesamts für Datenschutzaufsicht (bayerische Datenschutz-Aufsichtsbehörde für den nicht-öffentlichen Bereich), hat bei einer Veranstaltung anlässlich des zehnjährigen Jubiläums der IAPP drei Punkte formuliert, die aus seiner Sicht am Bundesdatenschutzgesetz ("BDSG") dringend verändert werden sollten. Im Einzelnen:
1. Outsourcing und Datenschutz
Hintergrund: Das BDSG privilegiert das Outsourcing nur dann, wenn eine Auftragsdatenverarbeitung im Sinne des § 11 BDSG vorliegt. Soweit das Outsourcing eine Funktionsübertragung darstellt, gelten die allgemeinen Vorschriften, insbesondere der § 28 BDSG.
Die zulässige Weitergabe von personenbezogenen Daten an einen selbstständigen Dienstleister ist somit nur möglich, wenn das Outsourcing in den Vertrag mit dem Kunden einbezogen wird, der Kunde in die Datenweitergabe einwilligt oder der Erlaubnistatbestand des § 28 Abs. 1 Satz 1 Nr. 2 BDSG einschlägig ist.
In der Praxis ist damit häufig allein der Erlaubnistatbestand des § 28 Abs. 1 Satz 1 Nr. 2 BDSG die gangbare Lösung. Das dienstleistende Unternehmen muss dabei, ähnlich wie bei der Auftragsdatenverarbeitung nach § 11 BDSG, einzelvertraglich eng an das outsourcende Unternehmen angeschlossen werden.
Dabei ist zu beachten, dass der Erlaubnistatbestand des § 28 Abs. 1 Satz 1 Nr. 2 BDSG per se nicht bei besonderen Arten personenbezogener Daten (z.B. Gesundheitsdaten) einschlägig sein kann.
Diese Regelung entspricht nicht den Erfordernissen der Praxis. Zum einen wäre wünschenswert, auch für die Fälle der funktionsübertragenen Outsourcing-Maßnahmen ein klar geregeltes Vertragskonzept ähnlich des § 11 BDSG zu schaffen, um nicht aus § 28 Abs. 1 Satz 1 Nr. 2 BDSG in Verbindung mit § 11 BDSG und allgemeinen datenschutzrechtlichen Grundprinzipien ein für die Rechtsanwender auf den ersten Blick relativ komplexes Regelungsmodell zu schaffen. Zum anderen besteht gerade bei der Verarbeitung von besonderen Arten personenbezogener Daten (insbesondere Gesundheitsdaten) ein praktisches Bedürfnis, diese datenschutzkonform an selbständige Outsourcingpartner weiterzugeben.
Forderung: Es sollte ein zusätzlicher gesetzlicher Zulässigkeitstatbestand für funktionsübertragende Outsourcing-Maßnahmen aufgenommen werden, der sich auch auf die besonderen Arten personenbezogener Daten bezieht.
2. Der Missbrauch der Einwilligungserklärung
Hintergrund: In manchen Bereichen unseres Wirtschaftslebens reichen die allgemeinen gesetzlichen Erlaubnistatbestände, insbesondere der § 28 BDSG nicht aus, um eine den berechtigten Interessen der Unternehmen entsprechende und auch erforderliche Verwendung der Kundendaten zu ermöglichen. Dies gilt vor allem für die Versicherungswirtschaft.
Die ersatzweise eingeholten Einwilligungen der Versicherungsnehmer entsprechen nicht dem § 4 a BDSG. Sie beruhen nicht auf einer freien Entscheidung der Versicherungsnehmer und sind deshalb an sich nicht wirksam.
Forderung: An die Stelle dieser unwirksamen Einwilligungen müssen gesetzliche Regelungen für die Erhebungen und Verwendungen der Versichertendaten durch die Versicherungsunternehmen treten.
Der Inhalt dieser Regelungen muss sich an dem informationellen Selbstbestimmungsrecht der Versicherungsnehmer und an den berechtigten Interessen der Versicherungsunternehmen orientieren.
3. Beschäftigtendatenschutz
Hintergrund: Der Beschäftigtendatenschutz ist bislang durch den kürzlich neu geschaffenen § 32 BDSG nur in Teilen gesetzlich geregelt. Durch die neu geschaffene Vorschrift sind in der Praxis viele offene Fragen entstanden - insbesondere in der Abgrenzung von § 32 BDSG zu § 28 BDSG und der Auslegung insbesondere des Begriffs der Erforderlichkeit in § 32 Abs. 1 Satz 1 BDSG.
Auch fehlen Anhaltspunkte dafür, wie die Interessen der Beteiligten (Arbeitgeber und Arbeitnehmer) praxisgerecht gegeneinander abzuwägen sind.
Forderung: Die bereits von der Politik aufgegriffene Forderung nach einer Neuregelung des Beschäftigtendatenschutzes ist zu begrüßen. Es sollte versucht werden die Regelungen dahingehend zu schärfen, dass Arbeitnehmern wie Arbeitgebern klare gesetzliche Grundlagen an die Hand gegeben werden, welche Maßnahmen datenschutzkonform darstellbar sind, um Auslegungsschwierigkeiten (bspws. hinsichtlich der Frage, ob das Outsourcing von Beschäftigtendaten "erforderlich" ist) zu mindern. (oe)
Der Autor Dr. Sebastian Kraska ist Rechtsanwalt und externer Datenschutzbeauftragter im IITR Institut für IT-Recht - Kraska GmbH. Die Autorin Alma Lena Fritz ist Rechtsassessorin.
Kontakt:
IITR Institut für IT-Recht - Kraska GmbH, Eschenrieder Straße 62c, 82194 Gröbenzell, Tel.: 089 5130392-0, E-Mail: skraska@iitr.de, Internet: www.iitr.de