Datenschutzrechtlich zu unterscheiden sind die Auftragsdatenverarbeitung und die Funktionsübertragung

­ Interessenferne der Auftragnehmer gegenüber den Daten der Betroffenen,

­ Geschäftsinteresse an untadeligem Image und

­ effektive Sicherheitssysteme durch optimale Betriebsgröße.

Datenschutzrechtlich zu unterscheiden sind die Auftragsdatenverarbeitung und die Funktionsübertragung. Bei der Auftragsdatenverarbeitung bleibt die datenschutzrechtliche Verantwortung für die Verarbeitung der personenbezogenen Daten beim Auftraggeber. Er schreibt die technischen und organisatorischen Maßnahmen zur Datensicherung und zur Gewährleistung der Vertraulichkeit beim Auftragnehmer vor. Dem Serviceunternehmen wird nur die tatsächliche Verarbeitung nach Weisung und unter Verantwortung des Auftraggebers übertragen. Bei der Datenverarbeitung im Auftrag wird damit lediglich eine „Hilfsfunktion" der eigentlichen Aufgabe ausgelagert.

Werden dagegen die der Verarbeitung zugrunde liegenden Aufgaben oder Geschäftszwecke ganz oder teilweise abgegeben, erbringt der Auftragnehmer über die technische Durchführung hinaus materielle Leistungen mit Hilfe der überlassenen Daten, dann spricht die Fachliteratur von einer „Funktionsübertragung".

In diesem Fall wird also dem Dienstleister eine Aufgabe übertragen, die er eigenverantwortlich wahrnimmt.

Deutliche Erkennungsmerkmale sind bei Auftragsdatenverarbeitung

­ fehlende Entscheidungsbefugnis des Auftragnehmers,

­ weisungsgebundene Unterstützung,

­ fehlende (vertragliche) Beziehung des Auftragnehmers zum Betroffenen,

­ Umgang nur mit Daten, die der Auftraggeber zur Verfügung stellt, Funktionsübertragung

­ Überlassung von Nutzungsrechten an den Daten,

­ eigenverantwortliche Sicherstellung von Zulässigkeit und Richtigkeit der Daten durch den Dienstleister,

­ Sicherstellen der Rechte von Betroffenen (Benachrichtigungspflicht, Auskunftsanspruch).

Bei einer Auftragsdatenverarbeitung sind die datenschutzrechtlichen Anforderungen für Stellen der Wirtschaft in § 11 BDSG und für öffentliche Stellen des Landes Niedersachsen in § 6 NDSG geregelt. Bereichsspezifische Vorschriften gehen dem allgemeinen Datenschutzrecht vor, so z. B.

­ § 80 SGB X bei der Verarbeitung von Sozialdaten im Auftrage,

­ § 5 NStatG, der bei Vergabe statistischer Auswertungen die Kenntnisnahme von Hilfsmerkmalen untersagt,

­ besondere Berufsgeheimnisse wie z. B. § 203 StGB für Ärzte, Apotheker, Angehörige der privaten Kranken-, Unfall- oder Lebensversicherungen, Rechtsanwälte, Steuerberater u. a.,

­ § 30 Abgabenordnung (Steuergeheimnis).

Die Auftraggeber in Wirtschaft und Verwaltung sind in gleicher Weise verpflichtet, die zu übertragende Datenverarbeitung oder ­nutzung, die vom Auftragnehmer einzuhaltenden technischen und organisatorischen Datensicherungsmaßnahmen sowie etwaige Unterauftragsverhältnisse schriftlich festzuleNiedersächsischer Landtag ­ 14. Wahlperiode Drucksache 14/425 gen. Neben diesen Mindestfestlegungen sollten auch die folgenden Pflichten bestimmt werden:

­ Externe Personen oder Stellen, die mit der Auftragsdatenverarbeitung betraut sind, haben nach den Weisungen des Auftraggebers zu arbeiten.

­ Der Auftraggeber hat vor Beginn der Arbeiten sicherzustellen, dass der Auftragnehmer personenbezogene Daten nur zur Kenntnis nehmen kann, soweit dies unvermeidbar ist.

Meine Orientierungshilfe und Checkliste „Datenschutz bei Auftragsdatenverarbeitung" weist auf Gefahren und Risiken bei der Datenverarbeitung im Auftrag hin und gibt konkrete Empfehlungen für vertragliche Vereinbarungen sowie technische und organisatorische Sicherungsmaßnahmen. Im Hinblick auf die Vielschichtigkeit der Auftragsdatenverarbeitung, von der schlichten Datenerfassung, über das Bereitstellen von Rechnerleistung, die Verarbeitung im Rahmen eines umfassenden Hardware- und Softwarekonzeptes, bis hin zur individuellen Entwicklung und Implementierung komplexer automatisierter Verfahren, ergeben sich im Einzelfall Fragestellungen und Forderungen. Es ist daher sinnvoll, anhand der Checkliste zu prüfen, ob die im Einzelfall bestehenden oder beabsichtigten vertraglichen Vereinbarungen den datenschutzrechtlichen Anforderungen entsprechen. Der regelungsfreie Raum sollte möglichst klein gehalten werden.

4.11 Wartung und Systembetreuung „outgesourct"

Die Abhängigkeit von einer funktionierenden Datenverarbeitung ist in vielen Branchen der Wirtschaft und in der Verwaltung bereits so groß, dass der kurzfristige Ausfall der Datenverarbeitung existenzbedrohend sein kann. Dieses Risiko sowie zunehmende Systemkomplexität und verteilte Systemarchitekturen führen dazu, dass immer mehr Anwender ihre Systeme nicht mehr selbst warten. Als Folge davon werden Verträge für Wartungsarbeiten und Systembetreuung durch externe Personen oder Stellen abgeschlossen ­ häufig mit dem Unternehmen, das das eingesetzte Verfahren entwickelt und vertrieben hat.

Durch externe Wartung und Systembetreuung verliert die datenverarbeitende Stelle sehr schnell das notwendige Wissen über das eingesetzte technische System und ist häufig nicht in der Lage, die Tätigkeit des externen Wartungspersonals nachzuvollziehen. Viele Unternehmen und Behörden machen sich über diese Risiken der externen Wartung keine Gedanken. Dabei tragen die datenverarbeitenden Stellen für externe Wartungs- und Systembetreuungsarbeiten die datenschutzrechtliche Verantwortung. Wartung und Systembetreuung unterliegen den Regelungen der Datenverarbeitung im Auftrag (§ 11 BDSG bzw. § 6 NDSG). Wartung und Systembetreuung durch externe Personen oder Stellen schaffen Gefahren und Risiken, z. B.:

­ Für die Wartung wird ein weiterer Zugang zum Rechner geschaffen, über den sich Personen mit umfassenden Rechten anmelden können oder der als Zugang für „Hacker" mißbraucht wird.

­ Die datenverarbeitende Stelle kann bei der Fernwartung nur begrenzt kontrollieren, welche Person tatsächlich die Wartung vornimmt, welche Daten übertragen werden und welche Sicherungsmaßnahmen beim Auftragnehmer getroffen worden sind.

­ Das Wartungspersonal kann künftig auf den gesamten Datenbestand zugreifen.

­ Der Datenverkehr zwischen Rechner und Wartungsfirma kann abgehört werden.

Eine Wartung der Datenverarbeitungsanlagen durch externe Personen oder Stellen sollte nur dann gewählt werden, wenn eine eigene Wartung nur eingeschränkt oder gar nicht möglich ist. Die Kenntnisnahme personenbezogener Daten durch den Auftragnehmer sollte grundsätzlich ausgeschlossen sein. Wird die Fernwartung aus dem Ausland durchgeführt, ist sicherzustellen, dass die jeweiligen Regelungen über die Übermittlung von personenbezogenen Daten an Stellen außerhalb der Bundesrepublik Deutschland (§ 14 NDSG, §§ 28 ff BDSG) angewendet werden. Als Ergebnis bleibt festzuhalten, dass auf eine Wartung und Systembetreuung durch externe Personen oder Stellen verzichtet werden muß, wenn diese nicht durch ausreichende technische und organisatorische Maßnahmen gesichert werden kann.

Meine Orientierungshilfe, die ich im Rahmen der Beratung des Projektes P 53 „Automatisierte Haushaltsbewirtschaftung" erarbeitet habe, setzt sich detailliert mit den oben beschriebenen Gefahren auseinander. Die Checkliste erfragt die getroffenen Festlegungen und Maßnahmen, gegliedert nach „Allgemeine Anforderungen", „Wartung und Systembetreuung vor Ort", „Wartung und Systembetreuung außer Haus" sowie „Fernwartung".

Technikfolgenabschätzung 4.12.1 Manch einer tut sich schwer

Das Niedersächsische Datenschutzgesetz verpflichtet öffentliche Stellen, vor Einsatz oder wesentlicher Änderung von automatisierten Verfahren die hiermit verbundenen Gefahren und deren Beherrschung durch geeignete Maßnahmen zu untersuchen (§ 7 Abs. 3 NDSG). Mit dieser 1993 erlassenen, inzwischen geänderten Regelung zur Technikfolgenabschätzung hat Niedersachsen früher als andere Länder im allgemeinen Datenschutzrecht ein wichtiges Verfahren eingeführt, um den Gefahren der rasanten Entwicklung neuer Technologien im Informations- und Kommunikationsbereich zu begegnen. Die inzwischen fünfjährigen Erfahrungen in Niedersachsen zeigen, dass dieses Verfahren bei richtigem Einsatz sehr erfolgreich sein kann (siehe 4.12.3).

Die Technikfolgenabschätzungen insgesamt zeigen jedoch auch, dass sich viele betroffenen Stellen schwer mit der Umsetzung dieser Regelung tun. Es gibt große Unsicherheiten, wann die Erstellung einer Technikfolgenabschätzung erforderlich ist. Was ist eigentlich ein automatisiertes Verfahren? Was sind neue Technologien? Was sind wesentliche Änderungen von Verfahren?

Deutlich unterschiedliche Auffassungen bestehen über den Umfang, den eine Technikfolgenabschätzung haben sollte. Ich habe Technikfolgenabschätzungen erhalten, die weniger als eine Seite ausmachten und andere, die sich über mehr als 50 Seiten erstreckten. Das eine ist so falsch wie das andere. Die zu kurz geratenen Versuche haben nur eine Feigenblattfunktion, ohne wirklich auf die vorhandenen Gefahren einzugehen. Die zu lang geratenen verlieren sich in unnötigen Detailbetrachtungen, versuchen für jedermann allgemeinverständlich zu formulieren und sind dann möglicherweise an den Stellen zu kurz geraten, auf die es tatsächlich ankommt.

Probleme gibt es auch bei der zeitlichen Umsetzung der Technikfolgenabschätzung. In der Prioritätenliste des Projektablaufplans befindet sie sich weit hinten.

Auf diese Weise besteht die Gefahr, dass die Einführung des neuen Verfahrens bereits zu weit fortgeschritten ist und die in der Technikfolgenabschätzung getroffenen Empfehlungen nicht mehr oder nur mit sehr hohem finanziellen und