3 HmbDSG - Datenverarbeitung im Auftrag

Transkript

1 Stabsstelle Recht / R Datenschutzbeauftragter Hamburgisches Datenschutzgesetz (HmbDSG) mit Kommentierung des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit (HmbBfDI) ( ) 3 HmbDSG - Datenverarbeitung im Auftrag (1) 1 Die Vorschriften dieses Gesetzes gelten für die in 2 Absatz 1 Satz 1 genannten Stellen auch insoweit, als personenbezogene Daten in deren Auftrag durch andere Stellen verarbeitet werden. 2 In diesen Fällen ist die auftragnehmende Stelle unter besonderer Berücksichtigung der Eignung der von ihr getroffenen technischen und organisatorischen Maßnahmen ( 8) sorgfältig auszuwählen. 3 Bei Erteilung des Auftrags sind, falls erforderlich, ergänzende technische und organisatorische Maßnahmen und etwaige Unterauftragsverhältnisse festzulegen. 4 Die auftragnehmenden Stellen sind zu verpflichten, die Daten nur zu dem Zweck zu verarbeiten, zu dem sie ihnen überlassen worden sind, sowie nach Erledigung des Auftrags die überlassenen Datenträger zurückzugeben, zu löschen oder zu vernichten und bei ihnen gespeicherte personenbezogene Daten zu löschen, soweit nicht besondere Rechtsvorschriften entgegenstehen. (2) 1 Die Vorschriften der 12 bis 20 gelten nicht für die in 2 Absatz 1 Satz 1 genannten Stellen, soweit sie personenbezogene Daten im Auftrag verarbeiten. 2 In diesen Fällen ist die Datenverarbeitung nur im Rahmen der Weisungen der auftraggebenden Stelle zulässig. 3 Ist die auftragnehmende Stelle der Ansicht, dass eine solche Weisung gegen dieses Gesetz oder andere Vorschriften über den Datenschutz verstößt, so hat sie die auftraggebende Stelle unverzüglich darauf hinzuweisen.

2 (3) 1 Sofern die 7 und 8 auf die auftragnehmende Stelle keine Anwendung finden, ist die auftraggebende Stelle verpflichtet, vertraglich sicherzustellen, dass die auftragnehmende Stelle die in diesen Bestimmungen für auftragnehmende Stellen enthaltenen Regelungen befolgt und sich, sofern die Datenverarbeitung im Geltungsbereich dieses Gesetzes durchgeführt wird, der Überwachung der oder des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit unterwirft. 2 Bei einer Auftragsdurchführung außerhalb des Geltungsbereichs dieses Gesetzes ist die zuständige Datenschutzaufsichtsbehörde zu unterrichten. (4) Die Absätze 1 bis 3 gelten entsprechend, soweit Stellen im Auftrag 1. beratende, begutachtende oder vergleichbare unterstützende Tätigkeiten ausführen, 2. Wartungsarbeiten oder Hilfstätigkeiten bei der Datenverarbeitung erledigen und hierbei ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann. Erläuterungen zum Hamburgischen Datenschutzgesetz ( vom 5. Juli 1990, zuletzt geändert am 5. April 2013 Quelle: ) Zu 3 (Auftragsdatenverarbeitung) Absätze 1 3 Hamburger öffentliche Stellen ( 2 Abs. 1) können Dritte mit der Verarbeitung personenbezogener Daten beauftragen. Der Anwendungsbereich einer solchen Auftragsdatenverarbeitung ist nach der Gesetzesbegründung auf die technische Hilfeleistung beschränkt (Bü- Drs. 13/3282, Begründung zu 3, 1. Abs. ). In der Verwaltungspraxis haben sich aber auch nicht-technische Tätigkeiten wie z.b. die Essensverteilung und der Krankentransport im Universitäts-Klinikum Hamburg-Eppendorf (UKE) mit den begleitenden Patientendaten als Auftragsdatenverarbeitungen ergeben.

3 Abzugrenzen ist die Auftragsdatenverarbeitung von einer Funktionsübertragung. Diese liegt dann vor, wenn die öffentliche Stelle die Erfüllung einer ihrer gesetzlichen (Teil-)Aufgaben als ganzer auf einen Dritten überträgt. Abgrenzungskriterien sind insbesondere der Grad der eigenen Entscheidungs-, Ermessens- und Gestaltungsfreiheit des Verarbeiters je größer, desto eher liegt eine Funktionsübertragung vor bzw. umgekehrt die bloße Hilfs- und Unterstützungsfunktion und Unterordnung unter die Vorstellungen des Auftraggebers. Die wesentliche Folge einer Auftragsdatenverarbeitung in diesem Sinne ist, dass der Auftraggeber letztlich die alleinige Verantwortung für die Einhaltung datenschutzrechtlicher Vorschriften trägt (Bü-Drs. 13/3282, zu 3, 2. Abs. ). Nach 4 Abs. 3 bleibt die öffentliche Stelle selbst Daten verarbeitende Stelle, obwohl die eigentliche Datenverarbeitung ein Dritter vornimmt. Der Auftraggeber ist auch Adressat der Rechte der Betroffenen. Die Datenweitergabe an den Auftragnehmer zum Zwecke der Auftragsdatenverarbeitung ist für die auftraggebende öffentliche Stelle eine bloße Nutzung, keine Übermittlung (siehe 4 Abs. 2 Nr. 4 in Verbindung mit Abs. 4), der Auftragnehmer kein Dritter im Sinne des 4 Abs. 4. Aus diesem Grunde bedarf es für die Weitergabe der Daten an die auftragnehmende Stelle z.b. ein Rechenzentrum auch weder einer gesetzlichen Übermittlungsbefugnis noch einer Einwilligung. Eine Ausnahme bildet aufgrund der Definition in 4 Abs. 4 die Auftragsdatenverarbeitung außerhalb der Europäischen Union. Auftragnehmer sind in diesen Fällen rechtlich Dritte. Werden personenbezogene Daten außerhalb der Mitgliedstaaten der EU verarbeitet, sind die Voraussetzungen nach 17 einzuhalten. Für die Nutzung von Google Analytics und des Cloud Computing sei darauf hingewiesen, dass es nach 17 anders als beim Bundesdatenschutzgesetz ausschließlich auf den Ort der Verarbeitung ankommt und nicht auf den Sitz des Anbieters. Grundsätzlich kann auch nicht aus rein fiskalischen Gründen in Länder ohne angemessenes Schutzniveau ausgewichen werden. Der Auftraggeber bleibt für die Einhaltung des angemessenen Schutzniveaus nach 8, 10 verantwortlich, und die Betroffenen können nach herrschender Meinung jedenfalls nicht regelhaft auf das Schutzniveau, etwa auf die Einhaltung technisch-organisatorischer Maßnahmen, im Wege der Einwilligung verzichten. Die Verantwortung für den Datenschutz kann die auftraggebende öffentliche Stelle nur wahrnehmen, wenn sie ihrer Sorgfaltspflicht bei der Auswahl des Auftragnehmers genügt und die in Abs. 1 S. 4 und Abs. 3 S. 1 gesetzlich vorgegebenen Vertragsinhalte vereinbart: Festlegung technischer und organisatorischer Sicherungsmaßnahmen und etwaiger Unterauftragsverhältnisse, Umschreibung der Zweckbindung der Datenverarbeitung, Bestimmungen zu Rückgabe / Löschen / Vernichten der übergebenen Daten nach Auftragsabwicklung,

4 Verpflichtung des Auftragnehmers, die für die auftraggebende Stelle geltenden Datenschutzvorschriften zu befolgen und sich als nicht-öffentliche Stelle in Hamburg der Überwachung durch den Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit zu unterwerfen. Zudem stehen der auftraggebenden Stelle gegenüber dem Auftragnehmer Kontroll- und Weisungsrechte zu. Anders als bei nicht-öffentlichen Stellen ist der Vertrag zwischen auftraggebender und auftragnehmender Stelle nach dem Wortlaut der Vorschrift nicht mehr zwingend schriftlich zu erteilen. Schon aus Gründen der Dokumentation des Verwaltungshandelns ist jedoch angesichts der verschiedenen vorgegebenen Vertragsinhalte zumindest eine elektronische Speicherung der Absprachen zu fordern. Für die Dienststellen der Freien und Hansestadt Hamburg (Kernverwaltung) fordert ferner die Freigaberichtlinie der Finanzbehörde eine schriftliche oder elektronische Form der Auftragserteilung. Bei einem außer-hamburgischen Auftragnehmer verlangt 3 Abs. 3 Satz 2, dass die auftraggebende öffentliche Stelle die zuständige Datenschutzaufsichtsbehörde von der Auftragsdurchführung in ihrem Bereich unterrichtet. Wegen verschiedener negativer Vorfälle bei der Auftragsdatenverarbeitung wurde 2010 die Parallelvorschrift 11 Bundesdatenschutzgesetz (BDSG) für nicht-öffentliche Auftraggeber stark erweitert und verschärft. Die Anforderungen an eine zulässige Auftragsdatenverarbeitung sind seitdem im nicht-öffentlichen Bereich strenger als im Hamburger öffentlichen Bereich. Dies ist jedoch inhaltlich kaum zu begründen. Zumindest bei der datenschutzrechtlichen Beratung öffentlicher Stellen wird der HmbBfDI deswegen auch Anregungen aus 11 BDSG aufnehmen und z.b. in die Auslegung notwendiger organisatorischer Maßnahmen (Abs. 1 Satz 2, 3) einbeziehen. Absatz 4 Abs. 4 ist eine landesspezifische Regelung, die sich so in anderen Datenschutzgesetzen nicht findet. Sie stellt die Vergabe beratender und begutachtender oder vergleichbarer unterstützender Tätigkeiten sowie von (Fern-)Wartungsarbeiten für EDV-Systeme der Auftragsdatenverarbeitung gleich. Diese Tätigkeiten bewegen sich einerseits allenfalls im Randbereich der Auftragsdatenverarbeitung, da Beratern, Gutachtern und vergleichbar Tätigen wegen ihrer besonderen Sachkenntnis und der ihnen zur Erfüllung ihrer Aufgaben notwendigerweise einzuräumenden Entscheidungsspielräume die Verarbeitung personenbezogener Daten nach Art und Umfang nicht im Einzelnen vorgegeben werden kann. Andererseits fällt es häufig schwer, in diesen Fällen eine gesetzliche Übermittlungsbefugnis herzuleiten. Die neue Nr. 1 schließt diese Lücke. (Bü-Drs. 16/3995).

5 Die in Abs. 4 Nr. 1 genannten begutachtenden Tätigkeiten kommen vor allem Im Sozialund Gesundheitsbereich vor. Für die Datenweitergabe z.b. vom UKE, vom Gesundheitsamt oder vom Medizinischen Dienst an externe Auftragnehmer gehen jedoch die spezialgesetzlichen Vorschriften etwa im Hamburgischen Krankenhausgesetz ( 9) oder im Sozialgesetzbuch ( 80 Sozialgesetzbuch X) vor, 2 Abs. 7. Wo diese nicht greifen und Gesundheitsdaten betroffen sind, die der ärztlichen Schweigepflicht unterliegen, kann 3 diese mangels ausdrücklicher Einbeziehung von ärztlichen Daten nicht durchbrechen; 3 ist keine Befugnisnorm im Sinne des 203 Strafgesetzbuch. Vielmehr bedarf die Weitergabe von medizinischen Daten z.b. durch Ärzte des Gesundheitsamtes an eine auftragnehmende Stelle der zusätzlichen Schweigeflichtentbindung durch die betroffene Person Der Vollständigkeit halber füge ich den 11 BDSG (Bundesdatenschutzgesetz) bei, der im Zusammenhang mit dem Vertragsabschluss mit einem privaten, also nicht-öffentlichen Dienstleister von Bedeutung sein kann (z.b. wenn ein Hochschul-RZ als Dienstleister (Auftragnehmer) für eine private Hochschule oder einen Verein tätig wird) 11 BDSG Erhebung, Verarbeitung oder Nutzung personenbezogener Daten im Auftrag (1) Werden personenbezogene Daten im Auftrag durch andere Stellen erhoben, verarbeitet oder genutzt, ist der Auftraggeber für die Einhaltung der Vorschriften dieses Gesetzes und anderer Vorschriften über den Datenschutz verantwortlich. Die in den 6, 7 und 8 genannten Rechte sind ihm gegenüber geltend zu machen. (2) Der Auftragnehmer ist unter besonderer Berücksichtigung der Eignung der von ihm getroffenen technischen und organisatorischen Maßnahmen sorgfältig auszuwählen. Der Auftrag ist schriftlich zu erteilen, wobei insbesondere im Einzelnen festzulegen sind: 1. der Gegenstand und die Dauer des Auftrags, 2. der Umfang, die Art und der Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten, die Art der Daten und der Kreis der Betroffenen, 3. die nach 9 zu treffenden technischen und organisatorischen Maßnahmen, 4. die Berichtigung, Löschung und Sperrung von Daten,

6 5. die nach Absatz 4 bestehenden Pflichten des Auftragnehmers, insbesondere die von ihm vorzunehmenden Kontrollen, 6. die etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen, 7. die Kontrollrechte des Auftraggebers und die entsprechenden Duldungs- und Mitwirkungspflichten des Auftragnehmers, 8. mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen, 9. der Umfang der Weisungsbefugnisse, die sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält, 10. die Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags. Er kann bei öffentlichen Stellen auch durch die Fachaufsichtsbehörde erteilt werden. Der Auftrag-geber hat sich vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen. Das Ergebnis ist zu dokumentieren. (3) Der Auftragnehmer darf die Daten nur im Rahmen der Weisungen des Auftraggebers erhe-ben, verarbeiten oder nutzen. Ist er der Ansicht, dass eine Weisung des Auftraggebers gegen dieses Gesetz oder andere Vorschriften über den Datenschutz verstößt, hat er den Auftraggeber unverzüglich darauf hinzuweisen. (4) Für den Auftragnehmer gelten neben den 5, 9, 43 Abs. 1 Nr. 2, 10 und 11, Abs. 2 Nr. 1 bis 3 und Abs. 3 sowie 44 nur die Vorschriften über die Datenschutzkontrolle oder die Aufsicht, und zwar für 1. a) öffentliche Stellen, b) nicht-öffentliche Stellen, bei denen der öffentlichen Hand die Mehrheit deranteile gehört oder die Mehrheit der Stimmen zusteht und der Auftraggeber eine öffentliche Stelle ist, die 18, 24 bis 26 oder die entsprechenden Vorschriften der Datenschutzgesetze der Länder, 2. die übrigen nicht-öffentlichen Stellen, soweit sie personenbezogene Daten im Auftrag als Dienstleistungsunternehmen geschäftsmäßig erheben, verarbeiten oder nutzen, die 4f, 4g und 38.

7 (5) Die Absätze 1 bis 4 gelten entsprechend, wenn die Prüfung oder Wartung automatisierter Verfahren oder von Datenverarbeitungsanlagen durch andere Stellen im Auftrag vorgenommen wird und dabei ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann. Für Rückfragen und weitere Informationen zum Hochschul-Datenschutz wenden Sie sich bitte an: Bernd Uderstadt Datenschutzbeauftragter der Universität Hamburg sowie der Hamburger Hochschulen HfMT, HFBK, HCU, TUHH und der Staats- und Universitätsbibliothek Hamburg (SUB) - Stabsstelle Recht / R16 - Mittelweg 177 (Rm. N 0051) * D Hamburg datenschutz@verw.uni-hamburg.de / bernd.uderstadt@verw.uni-hamburg.de Dieses Werk bzw. dieser Inhalt steht unter einer Creative Commons Namensnennung - Nicht-kommerziell - Weitergabe unter gleichen Bedingungen 3.0 Deutschland Lizenz.