Pflege
Bei diesen Entscheidungsstrukturen passen die gängigen Zuständigkeitsbegriffe nur schwer. Datenschutzrechtlich muss die entscheidende Stelle die Verantwortung soweit tragen wie die Entscheidung die Datenverarbeitung vorbestimmt. Da in den Begriffsbestimmungen in § 2 HDSG nach wie vor nur die Daten verarbeitende Stelle definiert ist, bietet es sich an, künftig hier auch den Begriff der verantwortlichen Stelle zu erläutern.
5.1.1.1.2 Auftragsdatenverarbeitung Probleme bereiten die Fälle, in denen eine übergeordnete Stelle, z. B. das Ressort für die ihm nachgeordneten Stellen oder gar das Kabinett für die gesamte Landesverwaltung nicht nur die Entscheidung über den Einsatz eines Verfahrens getroffen hat, sondern die einzelnen Dienststellen auch zur Nutzung zentraler Stellen oder Auftragnehmer verpflichtet.
Adressat der Pflichten bei der Datenverarbeitung im Auftrag nach § 4 HDSG ist nämlich nicht die verantwortliche oder wie bei der Vorabkontrolle oder dem Verfahrensverzeichnis die zuständige, sondern nach wie vor die Daten verarbeitende Stelle. Nach § 2 Abs. 3 HDSG ist dies diejenige Stelle, die Daten für sich selbst verarbeitet oder durch andere verarbeiten lässt, also die jeweilige Dienststelle, die ihre Aufgaben mit Hilfe dieser Verarbeitung erledigt.
§ 4 Abs. 1 und 2 HDSG
(1) Die Daten verarbeitende Stelle bleibt für die Einhaltung der Vorschriften dieses Gesetzes und anderer Vorschriften über den Datenschutz sowie für die Erfüllung ihrer sich aus § 8 ergebenden Pflichten auch dann verantwortlich, wenn personenbezogene Daten in ihrem Auftrag durch andere Personen oder Stellen verarbeitet werden. Der Auftragnehmer darf personenbezogene Daten nur im Rahmen der Weisungen des Auftraggebers verarbeiten. Ist der Auftragnehmer der Ansicht, dass eine Weisung des Auftraggebers gegen dieses Gesetz oder andere Vorschriften über den Datenschutz verstößt, hat er den Auftraggeber unverzüglich darauf hinzuweisen.
(2) Der Auftragnehmer ist unter besonderer Berücksichtigung der Zuverlässigkeit und der Eignung der von ihm getroffenen technischen und organisatorischen Maßnahmen sorgfältig auszuwählen. Der Auftrag ist schriftlich zu erteilen; dabei sind der Gegenstand und der Umfang der Datenverarbeitung, die technischen und organisatorischen Maßnahmen sowie etwaige Unterauftragsverhältnisse festzulegen. Für ergänzende Weisungen gilt Satz 2 entsprechend. Der Auftraggeber hat zu prüfen, ob beim Auftragnehmer die nach § 10 erforderlichen Maßnahmen getroffen und die erhöhten Anforderungen bei der Verarbeitung von Daten, die besonderen Amts- oder Berufsgeheimnissen unterliegen sowie der in § 7 Abs. 4 genannten Daten eingehalten werden. An nicht-öffentliche Stellen darf ein Auftrag nur vergeben werden, wenn weder gesetzliche Regelungen über Berufs- oder besondere Amtsgeheimnisse noch überwiegende schutzwürdige Belange entgegenstehen.
Die im April 2007 in Kraft getretene Änderung des DV-VerbundG eröffnet nunmehr die Möglichkeit für die Landesregierung oder die jeweils zuständige Landesbehörde, der HZD für zentrale oder gemeinsame Verfahren Aufträge nach § 4 HDSG zu erteilen.
§ 1 Abs. 1 und 2 DV-VerbundG
(1) Die Hessische Zentrale für Datenverarbeitung ist zentraler Dienstleister für Informations- und Kommunikationstechnik für alle Behörden, Gerichte und sonstigen öffentlichen Stellen des Landes Hessen. Sie arbeitet mit den Kommunalen Gebietsrechenzentren zusammen.
(2) Die Hessische Zentrale für Datenverarbeitung kann durch die Landesregierung oder die jeweils zuständige Landesbehörde bei zentralen oder sonstigen gemeinsamen Verfahren beauftragt werden, verbindlich für alle beteiligten Stellen des Landes den Betrieb des Verfahrens zur automatisierten Datenverarbeitung als Auftragnehmerin im Sinne des § 4 des Hessischen Datenschutzgesetzes durchzuführen.
Die amtliche Begründung zu § 1 Abs. 2 DV-VerbundG (LTDrucks. 16/6058, S. 7) führt aus: "Bei landeseinheitlichen dienststellenübergreifenden IT-Verfahren (z.B. SAP, DOMEA), welche zentral konzipiert, entwickelt und gepflegt und in mehreren beteiligten Stellen eingesetzt werden, sind diese Stellen als Daten verarbeitende Stellen im Sinne des § 2 Abs. 3 des Hessischen Datenschutzgesetzes (HDSG) durch Organisationsanweisungen und Standardisierungsvorgaben der verantwortlichen Behörden zum Einsatz und zur Anwendung der entsprechenden Verfahren verpflichtet.
Zur Gewährleistung eines einheitlichen und qualitätsgesicherten Verfahrenseinsatzes ist in der Regel der Betrieb der Verfahren durch einen für alle beteiligten Stellen tätigen Auftragnehmer vorzusehen. Durch die vorgeschlagene Regelung wird diese Aufgabe typischerweise der HZD als dem zentralen IT-Dienstleiter des Landes Hessen bei entsprechender Beauftragung durch die Landesregierung oder die jeweils zuständige Landesbehörde übertragen." Findet eine solche Beauftragung statt, so ist damit nicht mehr die einzelne Daten verarbeitende Stelle Auftraggeber, sondern der jeweilige zentrale Auftraggeber (Landesregierung oder zuständige Landesbehörde). Damit treffen die Pflichten (Auswahl des Auftragnehmers, Vertragsabschluss, Prüfung der technischen und organisatorischen Maßnahmen beim Auftragnehmer) nach § 4 HDSG diesen zentralen Auftraggeber. Er muss z. B. die Weisungen für die Datenverarbeitung erteilen, und der Auftragnehmer hat Hinweise nach § 4 Abs. 1 Satz 3 HDSG an ihn zu richten. Durch den Wortlaut des § 4 Abs. 1 Satz 1 HDSG verbleibt gleichwohl die Verantwortung für die Einhaltung des Datenschutzes bei der Daten verarbeitenden Stelle, in deren Hand allerdings die Vereinbarungen mit dem Auftragnehmer nicht liegen. Auch hier wäre es sinnvoll, diese Pflicht der jeweils verantwortlichen Stelle aufzuerlegen.
Eine solche Änderung im HDSG würde auch die Fälle lösen, in denen nicht die HZD - nur dieser Fall konnte mit dem DVVerbundgesetz geregelt werden -, sondern auch z. B. dem HCC zentrale Aufgaben wie bei Buchungen im SAP-System ohne Einflussmöglichkeiten der Daten verarbeitenden Stelle übertragen wurden.
Da die Landesregierung nur für ihr angehörende Behörden Entscheidungen treffen kann, sind mit den Regelungen im DVVerbundG außerhalb stehende Daten verarbeitende Stellen wie der Hessische Landtag, der Hessische Rechnungshof, der Staatsgerichtshof und meine Behörde nicht einbezogen.
Verantwortung, Rollen und Kontrollrechte bei gemeinsamen Verfahren
Die Besonderheiten von Verfahren, die der Erledigung von Aufgaben verschiedener Stellen dienen, sind in § 15 HDSG geregelt. Gemeinsame Verfahren umfassen Verfahren mit einer (teilweise) gemeinsamen Datenbasis einschließlich Abrufverfahren. Für Außenstehende sind diese Verfahren nicht transparent, insbesondere im Hinblick auf die Verantwortungsbereiche für die einzelnen Datenverarbeitungen. Da auch beim Einsatz gemeinsamer Verfahren sichergestellt sein muss, dass nur die für die Aufgabenerledigung der Daten verarbeitenden Stelle jeweils erforderlichen Daten von dieser verarbeitet werden, sind solche Verfahren regelmäßig komplex. Es bedarf daher einer Vielzahl von Festlegungen. Wichtig ist dabei, dass die Verantwortungsbereiche geregelt und abgegrenzt sind und klar ist, wer die Federführung hat.
§ 15 Abs. 1 und 2 HDSG
(1) Die Einrichtung eines automatisierten Verfahrens, das mehreren Daten verarbeitenden Stellen gemeinsam die Verarbeitung personenbezogener Daten ermöglicht, ist nur zulässig, wenn dies unter Berücksichtigung der schutzwürdigen Belange der Betroffenen und der Aufgaben der beteiligten Stellen angemessen ist. Die Benutzung des Verfahrens ist im Einzelfall nur erlaubt, wenn hierfür die Zulässigkeit der Datenverarbeitung gegeben ist. Vor der Einrichtung oder Änderung eines gemeinsamen Verfahrens ist der Hessische Datenschutzbeauftragte zu hören. Ihm sind die Festlegungen nach Abs. 2 Satz 1, das Verfahrensverzeichnis nach § 6 Abs. 1 und das Ergebnis der Untersuchung nach § 7 Abs. 6 Satz 3 vorzulegen.
(2) Die beteiligten Stellen bestimmen eine Stelle, der die Planung, Einrichtung und Durchführung des gemeinsamen Verfahrens obliegt und legen schriftlich fest
1. die Bezeichnung und die Aufgaben jeder beteiligten Daten verarbeitenden Stelle sowie den Bereich der Datenverarbeitung, für deren Rechtmäßigkeit sie im Einzelfall verantwortlich ist und
2. die für die Durchführung des gemeinsamen Verfahrens nach § 10 Abs. 2 getroffenen technischen und organisatorischen Maßnahmen.
Die mit der Durchführung des gemeinsamen Verfahrens betraute Stelle verwahrt ein Doppel des von den beteiligten Stellen nach § 6 Abs. 1 zu erstellenden Verfahrensverzeichnisses und hält es zusammen mit den Angaben nach Satz 1 Nr. 1 zur Einsicht für die Öffentlichkeit bereit; dies gilt auch für die Angaben nach Satz 1 Nr. 2, soweit dadurch die Sicherheit des Verfahrens nicht beeinträchtigt wird. § 6 Abs. 2 gilt entsprechend.
5.1.1.2.1 Beteiligte Stellen § 15 Abs. 2 HDSG geht dabei davon aus, dass die "beteiligten Stellen" eine Stelle bestimmen, der die Planung, Einrichtung und Durchführung des Verfahrens obliegt (Federführer) und dass sie die Verantwortungsbereiche der einzelnen Stellen schriftlich festlegen. Aus der Gesetzesbegründung lässt sich herleiten, dass mit dem Begriff "beteiligte Stellen" die Daten verarbeitenden Stellen gemeint sind, die dem Verfahren angeschlossen sind.
Begründung zu § 15 Abs. 2 HDSG (LTDrucks. 14/3830, S. 23) Abs. 2 legt fest, dass eine Stelle aus Gründen der Praktikabilität die Federführung für die Organisation des gemeinsamen Verfahrens übernehmen soll. Damit ist keinerlei Übertragung der rechtlichen Verantwortlichkeit verbunden, die bei den beteiligten Daten verarbeitenden Stellen verbleibt.
Außerdem standen nur Praktikabilitätsgründe hinter der Regelung, dass ein Federführer für die Organisation des gemeinsamen Verfahrens bestimmt werden muss. Damit ist klar: dem Federführer ist keinerlei rechtliche Verantwortung übertragen; diese verbleibt vielmehr bei den beteiligten Daten verarbeitenden Stellen. Das bedeutet, dass der Federführer nur dann und insoweit die Verantwortung für die Datenverarbeitung und die Datenbestände hat, soweit ihm die beteiligten Stellen nach § 15 Abs. 2 Nr. 1 diese übertragen haben. Grundsätzlich aber bleiben die beteiligten Stellen für die Datenverarbeitung und ihre Daten auch im gemeinsamen Verfahren verantwortlich.
In die Konzeption eines gemeinsamen Verfahrens fließen Anforderungen, Informationen und Erfahrungen der mit dem Verfahren unterstützten Aufgabenbereiche ein. Dies gilt sowohl für die fachlichen wie für die technischen Anforderungen. Häufig übernimmt eine Projektarbeitsgruppe die Planung und Einführung; die Durchführung kann wieder bei einer anderen Stelle liegen.
Über die Konzeption und den Einsatz gemeinsamer Verfahren wird regelmäßig nicht gemeinsam von den Stellen entschieden, bei denen die Datenverarbeitung später stattfindet, sondern wegen der Komplexität solcher Verfahren entscheiden auch hier übergeordnete Stellen. Müssten die beteiligten Stellen die Festlegung treffen, würde das bedeuten, dass z. B. beim Verfahren E-Einbürgerung alle Ausländerämter und die Regierungspräsidien eine schriftliche Vereinbarung über die nach § 15 Abs. 2 Nr. 1 und 2 erforderlichen Festlegungen treffen müssten. Auch hier wäre es hilfreich, den Begriff der "beteiligten Stellen" durch die "verantwortlichen Stellen" zu ersetzen.
5.1.1.2.2 Beteiligung von Stellen, die nicht dem HDSG unterliegen
Der Gesetzgeber hat bei der Konstruktion der Vorschrift bereits vorausgesehen, dass gemeinsame Verfahren auch mit Beteiligung von Stellen vorkommen können, die nicht dem HDSG unterliegen. Im Auge hatte er dabei in erster Linie nichtöffentliche Stellen. Deshalb wurde eine Vorschrift geschaffen, die der Auftragsdatenverarbeitung nachgebildet ist (vgl. § 15 Abs. 3 und § 4 Abs. 3 Satz 1). § 15 Abs. 3 HDSG Stellen, auf die dieses Gesetz keine Anwendung findet, können am gemeinsamen Verfahren beteiligt werden, wenn vertraglich sichergestellt ist, dass sie in diesem Verfahren die Bestimmungen dieses Gesetzes beachten und sich der Kontrolle des Hessischen Datenschutzbeauftragten unterwerfen.
§ 4 Abs. 3 Satz 1 HDSG
Sofern die Vorschriften dieses Gesetzes auf den Auftragnehmer keine Anwendung finden, ist der Auftraggeber verpflichtet, vertraglich sicherzustellen, dass der Auftragnehmer die Bestimmungen dieses Gesetzes befolgt und sich der Kontrolle des Hessischen Datenschutzbeauftragten unterwirft....
Wie sich in der Praxis herausstellt, ist die Sachlage aber nur partiell vergleichbar; auch diese Regelung bedarf deshalb der Überarbeitung. Zur Mitwirkung an dieser Aufgabe bin ich gerne bereit.
5.1.1.2.2.1 Nicht-öffentliche Stellen
Bei nicht-öffentlichen Stellen besteht regelmäßig schon aus Wettbewerbsgründen die Notwendigkeit, nicht nur einer Stelle die Teilnahme zu gewähren. Bei Verfahren mit beschränkten Benutzerkreisen müssen ohnehin die Anforderungen an den Anschluss sowie die Bedingungen der Nutzung festgelegt werden. Deshalb ist z. B. auch mit § 16a Hessisches Vermessungsgesetz für Datenabrufe aus dem Liegenschaftskataster im Wege des automatisierten Abrufs eine spezielle Vorschrift geschaffen worden, die an die Stelle des § 15 Abs. 3 HDSG tritt. Auch in gemeinsamen Verfahren, die für einen unbeschränkten Kreis von Teilnehmern konzipiert sind, wie z. B. das Stiftungsverzeichnis, kann die Vorgehensweise nach dem HDSG nicht praktikabel sein, weshalb § 17a Abs. 4 Hessisches Stiftungsgesetz auch die Anwendung des § 15 Abs. 3 HDSG ausschließt.
5.1.1.2.2.2 Öffentliche Stellen außerhalb Hessens
Sind z. B. Kommunen außerhalb Hessens, andere Bundesländer oder der Bund an gemeinsamen Verfahren beteiligt, so würde § 15 Abs. 3 bedingen, dass jede dieser Stellen sich der Anwendung des Hessischen Datenschutzgesetzes unterwerfen müsste. Regelmäßig sind diese Stellen aber verpflichtet, ein anderes Datenschutzgesetz, nämlich das jeweilige Landesdatenschutzgesetz bzw. für Bundesbehörden das Bundesdatenschutzgesetz anzuwenden. Da die Regelungen nicht immer deckungsgleich sind, kann das zu praktischen Problemen führen. Ähnliches gilt für die Zusage, sich der Kontrolle des Hessischen Datenschutzbeauftragten für das gemeinsame Verfahren zu unterwerfen. Kompetenzkonflikte sind bei dieser Regelung vorprogrammiert.
5.1.1.2.2.3 Öffentlich-rechtliche Religionsgesellschaften Allen Religionsgesellschaften und den Vereinigungen, die sich die gemeinschaftliche Pflege einer Weltanschauung zur Aufgabe machen, ist durch Art. 140 GG i.V.m. Art. 137 Abs. 3 Weimarer Reichsverfassung das Recht garantiert, "ihre Angelegenheiten selbständig, innerhalb des für alle geltenden Gesetzes" zu ordnen und zu verwalten (Kirchenautonomie). Dazu gehört die zur Gewährleistung der Religionsfreiheit unerlässliche Freiheit der Bestimmung über Organisation, Normsetzung und Verwaltung, die für innerkirchliche Maßnahmen jede staatliche Einmischung ausschließt, und zwar unabhängig davon, ob es sich um öffentlich-rechtliche Körperschaften handelt oder nicht. Die beiden großen christlichen Religionsgesellschaften haben in dieser Tradition eigene Rechtswerke zum Datenschutz und eigene Datenschutzkontrollinstanzen geschaffen.
Auch bei anderen Religionsgesellschaften, die dieses nicht haben, dürfen sich staatliche Instanzen aber nicht einmischen.
Jedenfalls ist aus verfassungsrechtlichen Gründen eine Unterwerfung unter die Kontrolle des Hessischen Datenschutzbeauftragten bei Beteiligung solcher Stellen an einem gemeinsamen Verfahren ausgeschlossen.
Dass die Beteiligung von Religionsgesellschaften an gemeinsamen Verfahren durchaus konkret wird, zeigt die Entwicklung im Schulbereich, wo auch von Religionsgesellschaften getragene Schulen, die kirchlichem Datenschutzrecht unterliegen, an dem Verfahren LUSD und dem geplanten Kultus-Data-Warehouse teilnehmen.
Bereitstellung von Daten im Internet
Das Internet wird immer mehr zur Bereitstellung von Informationen genutzt. Suchmaschinen bieten dabei eine bequeme Möglichkeit, Informationen zu finden. Wenn irrtümlich Dokumente in das Internet gestellt werden, sind sie ebenfalls über Suchmaschinen zu finden. Es bereitet jedoch Probleme, die Dokumente dann aus dem Zugriff zu entfernen. Damit sind auch die Datenschutzrechte auf Löschung oder Berichtigung nicht wirksam durchzusetzen.