Krankenhaus

Hessischer Landtag · 15. Wahlperiode · Drucksache 15/357 25

Recht), sind Vertragspartner des vorgelegten Vertragsentwurfs die englische Gesellschaft und die amerikanische Muttergesellschaft.

Es ist beabsichtigt, den Vertrag als Rahmenvertrag zu gestalten, dem sich alle Partner- und Tochterunternehmen unterwerfen oder beitreten, sodass die darin festgelegten Datenschutzstandards letztlich weltweit für alle Datenverarbeitungen in der Unternehmensgruppe gelten.

Internationale Verarbeitung von Kunden- und Mitarbeiterdaten

Eine weltweit tätige Unternehmensgruppe, zu deren Geschäftsgegenstand unter anderem Auftragsdatenverarbeitungen gehören, beabsichtigte, die Verarbeitung personenbezogener Daten von Mitarbeitern und von Kunden bzw. von Personen, deren Daten im Auftrag der Kunden verarbeitet werden, durch einen Vertrag zwischen allen Unternehmen der Gruppe zu regeln. Außerdem sollte eine entsprechende, aber etwas konkreter gefasste Verfahrensvorschrift für alle Mitarbeiter ("code of conduct") erlassen werden.

Die Unternehmensgruppe beabsichtigte ferner, die bestehende, aber sehr allgemein gefasste Konzernbetriebsvereinbarung zum Austausch von Mitarbeiterdaten im Hinblick auf den geplanten Vertragsabschluss, zu kündigen.

Dem Datenschutzbeauftragten eines hier ansässigen Unternehmens der Gruppe, welcher die Aufsichtsbehörde um eine Bewertung des beabsichtigten Vorgehens bat, konnte mitgeteilt werden, dass der Vertragsabschluss grundsätzlich zu begrüßen sei, da er die relevanten Bestimmungen der EGRichtlinie beinhaltete und dieser somit innerhalb des Konzerns Geltung verschaffte. Auch die Verfahrensvorschrift mit den Erläuterungen und praktischen Beispielen war zu begrüßen.

In einem Punkt musste aber auf ein mögliches Missverständnis der EGRichtlinie hingewiesen werden:

Der Vertragsentwurf konnte so interpretiert werden, dass die Übermittlung von Mitarbeiterdaten an Externe oder andere der Gruppe angehörige Unternehmen zu Werbezwecken ohne weiteres zulässig sei, dass der betroffene Mitarbeiter aber - entsprechend Art. 14 der EG-Richtlinie - ein Widerspruchsrecht habe.

Hier vertrat die Aufsichtsbehörde die Auffassung, dass Art. 14 der EGRichtlinie ebenso wie § 28 Abs. 3 BDSG nicht isoliert gesehen werden darf, sondern dass zuvor eine Prüfung zu erfolgen hat, ob die Übermittlung gemäß Art. 7 EG-Richtlinie (vgl. § 28 Abs. 1 und 2 BDSG) zulässig ist. Nach der Prüfpraxis der Aufsichtsbehörde aber kommt § 28 Abs. 1 (u. 2) BDSG nicht als Erlaubnistatbestand in Betracht, soweit es um die Übermittlung von Mitarbeiterdaten für Werbezwecke geht, vielmehr kann dies nur auf der Grundlage einer Einwilligung erfolgen.

Auf ein Widerspruchsrecht kommt es daher nicht an.

Die Aufsichtsbehörde wies außerdem darauf hin, dass der Vertrag eine (Konzern-)Betriebsvereinbarung nicht ersetzen kann, da das Betriebsverfassungsgesetz und etwaige sich daraus ergebende Mitbestimmungsrechte gesondert zu beachten sind.

Einwilligung nach italienischem Datenschutzrecht

Das zur Umsetzung der EG-Datenschutzrichtlinie erlassene italienische Datenschutzgesetz zeigt Auswirkungen auch auf bestehende Vertragsbeziehungen mit deutschen Unternehmen.

So legte die italienische Handelsvertretung eines deutschen Unternehmens dem deutschen Unternehmen nun Informationen über die Datenverarbeitung vor, insbesondere über den Zweck der Datenverarbeitung, die Kategorien von Empfängern der Daten, die für die Datenverarbeitung zuständige und die verantwortliche Person sowie über die Rechte der Betroffenen.

Dabei ging es zum einen um die Personaldaten des deutschen Unternehmens, zum anderen um "die persönlichen Daten der Firma".

Unter Bezugnahme auf diese Informationen und das italienische Datenschutzgesetz bat das italienische Unternehmen das deutsche Unternehmen darum, eine "Zustimmungserklärung" zu einer entsprechenden Datenverarbeitung zu unterzeichnen.

Dem italienischen Unternehmen lagen schon seit langem Daten über Mitarbeiter des deutschen Unternehmens vor, soweit diese für die Abwicklung der Vertragsbeziehung erforderlich waren (Namen, Aufgabenbereich und betriebliche Telefonnummern der Ansprechpartner im deutschen Unternehmen). Es ging offensichtlich darum, die bisherige Praxis formal in Einklang mit der neuen Rechtslage zu bringen.

Der Datenschutzbeauftragte des betroffenen deutschen Unternehmens bat die Aufsichtsbehörde um Stellungnahme, ob Bedenken gegen die Unterzeichnung der Zustimmungserklärung bestünden.

Soweit sich die Zustimmungserklärung auf die "persönlichen Daten der Firma" bezog, waren keine datenschutzrechtlichen Belange i.S.d. BDSG tangiert, sondern nur der Schutz von Betriebsgeheimnissen, denn bei dem Unternehmen handelte es sich um eine juristische Person.

Dass diese Daten gleichwohl in die Klausel einbezogen waren, erklärt sich daraus, dass sich der Regelungsgegenstand des italienischen Datenschutzgesetzes grundsätzlich auch auf Daten juristischer Personen erstreckt.

Eine weitere Besonderheit ist, dass im Allgemeinen Einwilligungen eingeholt werden müssen, was im konkreten Fall auch geschehen sollte. Bezüglich der Mitarbeiterdaten durften die Vertreter des Unternehmens die Zustimmung nur abgeben, soweit sich die Datenverarbeitung im Rahmen des § 28 BDSG hält. Für Datenverarbeitungen, die nach deutschem Recht der Einwilligung der betroffenen Mitarbeiter bedürfen, hätte folglich auch deren Einwilligung eingeholt werden müssen.

Es bestand zwar im konkreten Fall kein Anhaltspunkt dafür, dass eine solche Notwendigkeit bestanden hätte, zur Vermeidung etwaiger Missverständnisse wurde dem Datenschutzbeauftragten aber gleichwohl geraten, in die Zustimmungserklärung eine eindeutige Begrenzung auf die nach § 28 BDSG abgedeckten Verarbeitungszwecke einzufügen.

Kontaktadressen aller Passagiere für Notfälle

In den USA wurde 1998 ein neues Gesetz erlassen, welches die Fluggesellschaften verpflichtet, für den Fall von Flugzeugunglücken Kontaktadressen der US-Bürger zu erheben, die sich auf Flügen in die oder von den USA befinden. Die Fluggesellschaften werden von dieser Verpflichtung nur befreit, wenn nationale Gesetze diese Datenerhebung und -verarbeitung verbieten und die Fluggesellschaften ein Dokument vorlegen können, das dies bestätigt.

Ein etwaiger Konflikt mit nationalen Gesetzen musste vor dem 1. Oktober 1998 angezeigt werden. Spätere Einwände bleiben nach dem Gesetz unbeachtet.

Der Bevollmächtigte einer Fluggesellschaft bat daher die Aufsichtsbehörde kurz vor Fristablauf um eine datenschutzrechtliche Stellungnahme zu dem Gesetz.

Diese kam zu folgender Bewertung:

Die Datenerhebung und -verarbeitung kann nur zulässig sein, wenn die Datenerhebung ausschließlich beim betroffenen Passagier erfolgt und die Freiwilligkeit der Angaben gewährleistet ist.

Der nahe liegende Verwendungszweck, die Information der Kontaktperson nach einem Flugzeugunglück aus humanitären Gründen, rechtfertigt es nicht, die Daten hinter dem Rücken der Passagiere zu erheben (beispielsweise indem aus älteren Passagierlisten die Daten der Begleitpersonen entnommen würden) oder gegen deren freien Willen.

Andernfalls würde die Datenerhebung gegen Treu und Glauben (§ 28 Abs. 1 Satz 2 BDSG) verstoßen bzw. es würde an einer Rechtsgrundlage für die Datenspeicherung und Übermittlung fehlen, da weder eine Einwilligung noch ein berechtigtes Interesse i.S.d. § 28 Abs. 1 Nr. 2 bzw. Abs. 2 Nr. 1a DSG vorhanden wäre.

Soweit es den Schutz der Kontaktperson selbst betrifft, besteht bei dem genannten Verwendungszweck kein Erfordernis, auch diese Person um ihr Hessischer Landtag · 15. Wahlperiode · Drucksache 15/357 27

Einverständnis zu fragen. Bei einer Krankenhausaufnahme etwa sieht das Aufnahmeformular vor, dass der Patient freiwillig Angaben zu einer Kontaktperson machen kann, die im Notfall zu informieren wäre. Dass die angegebene Person selbst nicht um ihre Zustimmung gebeten wird, ist im Hinblick auf den Verwendungszweck nicht zu beanstanden.

Die Situation ist im Grundsatz vergleichbar, sodass die gleiche Beurteilung erfolgen muss.

Da bestimmten Passagen des vorgelegten Gesetzes zu entnehmen ist, dass die Datenerhebung wohl unmittelbar beim Passagier erfolgen sollte und die Angaben freiwillig seien, bestanden also insoweit zunächst keine Bedenken gegen das Gesetz.

Besonders problematisch aber erschien der im Gesetz enthaltene Vorbehalt für andere Behörden oder Regierungen, die Daten anzufordern und zu nutzen. Primär waren die Daten für das Transportministerium bestimmt. Dieser Vorbehalt für andere Stellen ist vor allem bedenklich, weil nach dem Gesetzestext unklar bleibt, ob diese Stellen schon vor einem Unglücksfall Zugriff auf die Daten haben sollen. Nicht geregelt ist auch, ob und wann die Daten gelöscht werden.

Da hier keine genaueren Informationen vorliegen, war insoweit eine abschließende Bewertung nicht möglich.

Andererseits ist in dem Gesetz ausdrücklich "die Information der USRegierung im Falle eines Unglücks" als Gesetzeszweck festgelegt. Daher wäre eine Datenübermittlung zu einem vorherigen Zeitpunkt nicht gerechtfertigt und mit den Interessen der Betroffenen auch nicht zu vereinbaren.

Wenn aber eine Datenübermittlung tatsächlich erst im Unglücksfall erfolgt, ist die Gefahr, dass die erhobenen Daten von anderen Behörden zu ganz anderen Zwecken, die den Interessen der Betroffenen zuwiderlaufen, genutzt werden könnten, vermindert.

Die IATA hatte folgende Vorgehensweise zur Umsetzung des Gesetzes empfohlen:

Die US-Passagiere erhalten einen Handzettel (Vordruck) und werden gebeten, diesen auszufüllen (mit den Angaben zur Kontaktperson) oder unausgefüllt in einen Behälter zu werfen. Dieser bleibt - verschlossen - bei der Fluggesellschaft. Nur im Falle eines Unglücks werden die Angaben übermittelt.

Damit wäre sichergestellt, dass die oben genannten datenschutzrechtlichen Anforderungen (Freiwilligkeit, keine Übermittlung vor einem Unglücksfall) erfüllt werden.

Unter der Voraussetzung, dass tatsächlich entsprechend verfahren wird, konnte die US-Regelung letztlich nicht beanstandet werden.

Auslandsdatenverarbeitung und Meldepflicht nach § 32 BDSG

Zum Betrieb eines weltweiten Servicenetzes verarbeitet ein internationaler Expressdienst- und Transportkonzern auf seinen zentralen DV-Systemen in den USA Millionen Transaktionen je Tag. Zur Erfüllung der Frachtverträge, aber auch zur effektiven Bearbeitung von Anfragen zur globalen Sendungsverfolgung werden auch von der in Südhessen ansässigen deutschen Konzerntochter täglich personenbezogene Daten zur Weiterverarbeitung an die amerikanische Konzernmutter übermittelt.

Im Rahmen der Prüfung dieser Verarbeitungen und Übermittlungen personenbezogener Daten in das außereuropäische Ausland auf die datenschutzrechtliche Konformität dieser Verfahren nach dem BDSG wurde die Aufsichtsbehörde von der deutschen Konzerntochter unter Vorlage entsprechender Unterlagen um datenschutzrechtliche Stellungnahme gebeten. Insbesondere wurde eine Beurteilung gewünscht, ob sich das amerikanische MutterUnternehmen nach § 32 Abs. 1 BDSG zum Register der meldepflichtigen Stellen anmelden muss. Ein ausformulierter Vorschlag mit Vereinbarungen zur Auftragsdatenverarbeitung im Sinne schriftlicher Weisungen nach § 11 BDSG wurde ebenfalls mit der Bitte um Prüfung eingereicht.