Inhaltsübersicht Literaturverzeichnis 1 KaDitel: Einleitung 1 2. Kapitel: Outsourcing und Datenschutz 3 2.1 Begriff und Bedeutung des Outsourcings von Datenverarbeitung 3 2.2 Beispiele für Formen des DV- Outsourcings 11 2.3 Geschichte und Begriff des Datenschutzrechts 14 3. Kapitel: Grundlegende Regelungen zum Outsourcing 23 3.1 Anwendungsbereich 24 3.2 Personenbezogene Daten ( 3 Abs. 1 BDSG) 25 3.3 Besondere Arten personenbezogener Daten gem. 3 Abs. 9 BDSG 27 3.4 Betroffener, verantwortliche Stelle und Dritter 28 3.5 Datenschutzrelevante Handlungen: Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten 29 3.6 Verbot mit Erlaubnisvorbehalt ( 4 Abs. 1 BDSG) 31 3.7 Grundsatz der Verhältnismäßigkeit 32 3.8 Grundsatz der Datenvermeidung und Datensparsamkeit 32 3.9 Grundsatz der Zweckbindung 35 3.10 Rechte des Betroffenen 36 4. Kapitel: Auftragsdatenverarbeitung und Funktionsübertragung... 40 4.1 Auftragsdatenverarbeitung ( 11 BDSG) 40 4.2 Funktionsübertragung 87 4.3 Online-Verbindungen ( 10 BDSG) 121 5. Kapitel: Outsourcing im Konzern...... 127 6. Kapitel: Outsourcing in der öffentlichen Verwaltung...... 134 6.1 Vereinbarkeit des Outsourcings mit Art. 33 Abs. 4 GG 135 6.2 Gesetzliche Regelungen 142 7. Kapitel: Geheimhaltungspflichten und Outsourcing........ 156 7.1 Vorschrift des 203 StGB 156 7.2 Konsequenzen für die Vertragsgestaltung zwischen Outsourcinggeber und -nehmer... 189 7.3 Bedeutung von Geheimhaltungspflichten beim Outsourcing 190 8. Kapitel: Outsourcing ins Ausland 203 8.1 Europäisches Ausland 4 b Abs. 1 BDSG 203 8.2 Nicht-europäisches Ausland 207 9. Kapitel: Schlussbemerkung.................. 263 vi Bibliografische Informationen http://d-nb.info/996015582 digitalisiert durch
Literaturverzeichnis Inhaltsverzeichnis 1. Kapitel: Einleitung 1 2. Kapitel: Outsourcing und Datenschutz 3 2.1 Begriff und Bedeutung des Outsourcings von Datenverarbeitung 3 2.2 Beispiele für Formen des DV- Outsourcings 11 2.3 Geschichte und Begriff des Datenschutzrechts 14 3. Kapitel: Grundlegende Regelungen zum Outsourcing 23 3.1 Anwendungsbereich 24 3.2 Personenbezogene Daten ( 3 Abs. 1 BDSG) 25 3.3 Besondere Arten personenbezogener Daten gem. 3 Abs. 9 BDSG 27 3.4 Betroffener, verantwortliche Stelle und Dritter 28 3.5 Datenschutzrelevante Handlungen: Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten 29 3.6 Verbot mit Erlaubnisvorbehalt ( 4 Abs. 1 BDSG) 31 3.7 Grundsatz der Verhältnismäßigkeit 32 3.8 Grundsatz der Datenvermeidung und Datensparsamkeit 32 3.9 Grundsatz der Zweckbindung 35 3.10 Rechte des Betroffenen 36 4. Kapitel: Auftragsdatenverarbeitung und Funktionsübertragung 40 4.1 Auftragsdatenverarbeitung ( 11 BDSG) 40 (a) Wesen der Auftragsdatenverarbeitung 43 (aa) Theorie der Funktionsübertragung 43 (bb) Vertragstheorie 46 (cc) Stellungnahme 49 (b) Anforderungen im Rahmen der Auftragsdatenverarbeitung nach dem BDSG 57 (aa) Pflichten des Auftragnehmers 57 (i) 11 Abs. 3 S. 1 BDSG - Weisungsbindung 57 (ii) 11 Abs. 3 S. 2 BDSG - Hinweispflicht bei Rechtsverstößen 59 (üi) 11 Abs. 4 i.v.m. 5 BDSG - Verpflichtung der Mitarbeiter auf das Datengeheimnis 62 (iv) 9 BDSG - Datensicherungspflichten 64 (v) 4 d BDSG - Meldepflicht 69 (vi) 4 f BDSG - Bestellung eines Datenschutzbeauftragten 71 (bb) Pflichten des Auftraggebers 75 (i) 11 Abs. 1 S. 1,2 BDSG - Verantwortlichkeit für die Rechtmäßigkeit und gegenüber dem Betroffenen 76 (ii) 11 Abs. 1 S. 1 BDSG - Auswahl des Auftragnehmers 76 (iii) 11 Abs. 2 S. 4 BDSG - Überwachung des Auftragnehmers 78 (iv) 4 d BDSG - Meldepflicht 79 vi
(v) 4 f BDSG - Bestellung eines Datenschutzbeauftragten 79 (vi) 5 BDSG - Verpflichtung der Mitarbeiter auf das Datengeheimnis 79 (vii) 9 BDSG - Treffen der erforderlichen technischen und organisatorischen Maßnahmen 79 (viii) 4 Abs. 2 S. 1 Nr. 3 BDSG - Hinweispflicht gegenüber Betroffenem 80 (c) Konsequenzen für die Vertragsgestaltung zwischen Outsourcinggeber und - nehmer 81 (aa) Form des Vertrags 81 (bb) Inhalt des Vertrags 84 (i) Umfang der Datenerhebung, -Verarbeitung und -nutzung 84 (ii) Technische und organisatorische Maßnahmen 84 (iii) Unterauftragsverhältnisse 85 (iv) Weitere sinnvolle Regelungen 86 (d) Wartung und Femwartung ( 11 Abs. 5 BDSG) 86 4.2 Funktionsübertragung 87 (a) Wesen der Funktionsübertragung 88 (b) Voraussetzungen der Funktionsübertragung nach dem BDSG 89 (aa) Gesetzliche Gestattung gemäß 28 BDSG 91 (i) 28 Abs. 1 S. 1 Nr. 1 BDSG 95 (ii) 28 Abs. 1 S. 1 Nr. 2 BDSG 97 (iii) 28 Abs. 1 S. 1 Nr. 3 BDSG... 102 (bb) Sonderfall: Besondere Daten gemäß 3 Abs. 9 BDSG 104 (cc) Einwilligung des Betroffenen ( 4 a BDSG) 106 (i) Freiwilligkeit 107 (ii) Schriftform 111 (iii) Hinweispflichten 115 (c) Pflichten des Outsourcingnehmers und Outsourcinggebers 118 (d) Konsequenzen für die Vertragsgestaltung zwischen Outsourcinggeber und Outsourcingnehmer 119 (e) Tjpische Outsourcingangebote 120 4.3 Online-Verbindungen ( 10 BDSG) 121 (a) Verhältnis zur Auftragsdatenverarbeitung 122 (b) Verhältnis zur Funktionsübertragung 122 (c) Voraussetzungen für das Outsourcing unter Nutzung von Online-Verbindungen... 123 5. Kapitel: Outsourcing im Konzern.............. 127 6. Kapitel: Outsourcing in der öffentlichen Verwaltung...... 134 6.1 Vereinbarkeit des Outsourcings mit Art. 33 Abs. 4 GG 135 (a) Hoheitliches Handeln - Funktionsvorbehalt 136 (b) Nicht hoheitliches Handeln 140 6.2 Gesetzliche Regelungen 142 (a)bdsg 142
(b) Landesdatenschutzgesetze 144 (c) Ausgewählte bereichsspezifische Regelungen 144 (aa) Outsourcing von Sozialdaten ( 80 Abs. 5 SGB X) 145 (bb) Outsourcing von Patientendaten (Landeskrankenhausgesetze) 150 (i) Schleswig-Holstein, Sachsen-Anhalt, Bayern, Berlin und Hessen 151 (ii) Nordrhein-Westfalen, Mecklenburg-Vorpommern, Saarland, Thüringen und Brandenburg 152 (iii) Bremen, Hamburg, Sachsen und Rheinland-Pfalz 153 (cc) Outsourcingverbote 155 7. Kapitel: Geheimhaltungspflichten und Outsourcing 156 7.1 Vorschrift des 203 StGB 156 (a) Tatobjekt 159 (aa) Tatsache 160 (bb) Beschränkter Personenkreis 161 (cc) Geheimhaltungswille 162 (dd) Geheimhaltungsinteresse 163 (b) Tathandlung 165 (aa) "Offenbaren" im Rahmen einer Auftragsdatenverarbeitung 168 (bb) Outsourcingnehmer als berufsmäßig tätiger Gehilfe 170 (c) Subjektiver Tatbestand 175 (d) Rechtswidrigkeit 176 (aa) Rechtfertigender Notstand ( 34 StGB) 176 (bb) Einwilligung 178 (i) Einwilligungsfähigkeit 179 (ii) Form der Einwilligung 180 (cc) Mutmaßliche Einwilligung 183 (dd) Wahrnehmung berechtigter Interessen 185 (e) Gesetzliche Offenbarungspflichten 187 (f) Qualifikation ( 203 Abs. 5 StGB) 188 (g) Konkurrenzen 188 7.2 Konsequenzen für die Vertragsgestaltung zwischen Outsourcinggeber und -nehmer... 189 7.3 Bedeutung von Geheimhaltungspflichten beim Outsourcing 190 (a) Die Regelung des 1 Abs. 3 S. 2 BDSG 190 (b) Berufsgeheimnisse am Beispiel der anwaltlichen Schweigepflicht 192 (c) Bankgeheimnis 198 8. Kapitel: Outsourcing ins Ausland 203 8.1 Europäisches Ausland 4 b Abs. 1 BDSG 203 (a) Auftragsdatenverarbeitung 206 (b) Funktionsübertragung 206 8.2 Nicht-europäisches Ausland 207 (a) Angemessenes Schutzniveau gem. 4 b Abs. 2 BDSG 208
(b) Datenübermittlung in Drittstaaten ohne angemessenes Schutzniveau 213 (aa) Datenübermittlung zur Erfüllung eines Vertrages gem. 4 c Abs. 1 Nr. 2 BDSG 213 (bb) Einwilligung gem. 4 c Abs. 1 Satz 2 Nr. 1 BDSG 214 (i) "In Kenntnis der Sachlage" 215 (ii) "Ohne Zwang" und "im konkreten Fall ohne jeden Zweifel" 217 (cc) Vertragslösung gem. 4 c Abs. 2 BDSG 218 (i) Vertragsklauseln 218 (ii) Standardvertragsklauseln 222 (dd) Verbindliche Untemehmensregelungen (Code of Conduct) gem. 4 c Abs. 2 BDSG 244 (c) Sonderfall: Outsourcing in die USA - Safe Harbor Principles 248 (aa) Inhalt der Safe Harbor Privacy Principles und der FAQ 250 (bb) Durchsetzungsmechanismen (FAQ 7 und 11) 253 (cc) Besonderheiten bei der Übermittlung von Personaldaten (FAQ 9) 254 (dd) Auftragsdatenverarbeitung in die USA (FAQ 10) 255 (ee) Stellungnahme zu den Safe Harbor Principles 258 9. Kapitel: Schlussbemerkung 263