Aktuell 2015

 IFDIS - Statement zur geplanten EU-DAS VO und noch geltendem BDSG
nach der Einigung der Justizminister am 15. Juni 2015
und dem jetzt laufenden TRILOG- Verfahren:

 

 

Europäische Datenschutz-Verordnung und Bundesdatenschutzgesetz: Überlegungen insbesondere zur Problematik “Datenverarbeitung im Auftrag - DViA” sowie ähnliche Aufgabenübernahmen in einem Konzern oder einem Unternehmensverbund



AUSGANGSPUNKT UND PROBLEMATIK

Die gesetzlichen Regelungen des BDSG sehen in § 11 die Vorschriften zur sog. „Datenverarbeitung im Auftrag“ (DViA) vor. In der Frühphase der BDSG-Regelungen (BDSG von 1976) gab es den dritten und den vierten Abschnitt mit der Intention “Eigen-“ und “Fremd-Daten-Verarbeitung” zu unterscheiden, der dritte Abschnitt der ursprünglichen BDSG-Vorgaben enthielt daher die Anforderungen an die sog. “Eigen DV”, der vierte die so bezeichnete “Fremd-DV”, Vorläufer der DViA iSd § 11 BDSG in unserem heutigen BDSG. Insofern ist bei korrekter Auslegung des Gedankens der “Fremd-DV” auch zu unterstreichen, dass es sich bei einer die Aufgabe ausführenden Stelle tatsächlich auch um eine andere unabhängige Institution handelt, die dann auch sowohl rechtlich wie wirtschaftlich unabhängig ist. Ferner ergibt sich aus historischer Sicht heraus - so die Intention des Gesetzgebers in den 7oger Jahren - dass es sich bei der klassischen sog. „Datenverarbeitung im Auftrag“ um eine Stelle handelt bzw. handeln muss, deren Aufgabe es primär ist, „Dienstleistungen“ zu erbringen (siehe die Historie mit dem 4. Abschnitt des BDSG 1976) und nicht ggf. im „Nebenjob“ eine Aufgabe mit zu übernehmen, insbesondere gerade dann, wenn es sich um Stellen in ein und demselben Unternehmensumfeld (Unternehmensgruppe bzw. „Konzern“) handelt.

Dies ist bei der Übertragung einer Aufgabe in einem Konzern bzw. einem Unternehmensverbund ausdrücklich nicht der Fall, insofern handelt es sich bei diesen Situationen um ein “aliud” zur klassischen DViA. Diese ist damit als “unechte DViA” oder auch als einfache „Aufgabenübernahme“ zu qualifizieren. Als vereinfachte Form der “Funktionsübertragung” ist die dann so zu nennende “Aufgabenübernahme” eben als Sonderform einer “Art” Funktionsübertragung in einem Unternehmensverbund bzw. Konzern zu definieren. Damit würde dann auch den tatsächlichen bzw. unternehmensmäßig ordnungspolitischen und gemäß den bei dieser Stelle wirtschaftlich beherrschenden Belangen entsprechend Rechnung getragen. In Bezug auf gemeinsam verwendete Verfahren bzw. Systeme sollte man von „shared services“ sprechen, die ja auch beileibe keine eigentliche und ursprüngliche DViA darstellen (können). In einem Konzern Verbund ergibt sich dabei weitere Problematik, die unten diskutiert wird.

FOLGERUNG

Der klassische Fall einer DViA iSd § 11 BDSG ist immer nur und auch nur dann gegeben, wenn eine oder mehrere Aufgaben (und eben nicht die gesamte Funktion oder auch ein Teil davon, wie z.B. die zur Verfügung-Stellung von IT-Landschaften – Servern – oder Netzen) an eine andere definitiv externe (!) Stelle übertragen werden, deren Hauptaufgabe die Dienstleistung IT ist. Wird oder werden die Aufgabe bzw. die Funktion von einer anderen hier insbesondere “internen” Stelle in entsprechender Eigenverantwortung des dann als „Gesamt-Unternehmen“ zu betrachtenden „EINHEIT“ übernommen - aber eben auch im Interesse der die Aufgabe bzw. Funktion ja übertragen habenden Stelle - dann handelt es sich um eine Funktions-Übertragung ganz allgemein bzw. insbesondere in dem Fall einer einzelnen Aufgabenübertragung in einem Konzern oder einem Unternehmensverbund (bzw. für Teilbereiche) dann um eine einfache “Aufgabenwahrnehmung”, die nicht den Regelungen des § 11 unterfällt.

Dasselbe gilt dann auch für § 11 Abs. 5 bei Wartungsarbeiten innerhalb eines Konzerns oder eines Unternehmensverbundes, also wenn ein Systemverantwortlicher beispielsweise ein und desselben Unternehmensverbundes bzw. eines Unternehmens(teiles) für einen anderen tätig wird, ist es unsinnig, umfangreiche “Vertrags-Konvolute” zu erstellen, zumal die Interessen des Unternehmens insgesamt bei den jeweiligen Stellen in der Regel bereits auch durch gemeinsam geltende Unternehmensvorgaben, die prinzipiell auch die gesetzlichen Vorgaben mit umfassen, gewahrt werden.

ERGEBNIS FÜR DIE PRAXIS

Dies würde rechtstechnisch und insbesondere auch rechtsdogmatisch eine vernünftigere Differenzierung erlauben, zumindest auch, wenn man daran denkt, dass es de facto und auch materiell-rechtlich keinen Sinn macht, dass z.B. die Einlagerung von Datenträgern eines Unternehmens in demselben Gebäude, ggf. sogar in demselben Raum neben denen des den „Auftrag“ ausführenden Unternehmens, nur weil es sich formal-rechtlich um eine „andere juristische Person“ handelt, ein vielseitiges Vertragswerk erfordern sollte, das dann diese „DATENVERARBEITUNG IM AUFTRAG“ regelt. Ähnliches gilt z.B. im Falle der Bereitstellung eines „FAX-Servers“ (Z.B. wird die Nutzung „angemietet“), auch hier kann schlechterdings kaum mehr von einer „Datenverarbeitung im Auftrag“ gesprochen werden.

Ein anderes Beispiel ist die Übertragung der Aufgabe z.B. einer Personalabrechnung an ein Schwester-Unternehmen, bei dem dieselben Grundsätze für eine gesicherte DV vorliegen und auch idR dieselben Bedingungen für die Erfüllung der technischen und organisatorischen Maßnahmen vorhanden sind. Hier – ggf. sogar auch wechselseitig – mehrere Vertragswerke allein zur Thematik „Datenschutz“ aufwändig zu erstellen, erscheint doch als absolut abstrus und unsinnig. Es ist unnötige die Wirtschaftskraft eines Unternehmens schmälernde Bürokratie. Daher wird man diese Art der Aufgabenwahrnehmung auch am besten unter das Konstrukt „Funktions-Übertragung“ bzw. in einfacheren Fällen als gesonderte „ Aufgabenwahrnehmung” (siehe oben) oder ggf. auch als „gemeinsamen Betrieb“ eines Systems, insbesondere wenn die Kosten entsprechend aufgeteilt werden, subsumieren müssen, falls man hier überhaupt die Notwendigkeit einer besonderen Behandlung betont.

Allein diese 3 Beispiele bereits zeigen deutlich die Unsinnigkeit der überholten Regelungen des antiquierten BDSG mit überbordender und unsinniger Bürokratie. Betreffend der Frage verbundener Unternehmen sei nur kurz darauf verwiesen, dass in anderen Rechtsgebieten, z.B. dem Kartell-Recht bereits von einer Unternehmenseinheit ausgegangen wird z.B. für Haftungsfragen), was auch sinnvoll erscheint (hier: Haftung der Muttergesellschaft für Kartellverstöße ihrer Tochtergesellschaften, Urteil des EuGH aus EUZW 2009, 816, fort gesetzt in 2013, ebenfalls zur Konzernhaftung, EuZW 2013, 547).

WICHTIG

Dies wird auch durch Artikel 26 Nr. 5 des Kommissions-Entwurfs der EU-VO zum Datenschutz unterstrichen, der vorsieht, dass die Kommission ermächtigt wird, delegierte Rechtsakte nach Maßgabe von Artikel 86 zu erlassen, um die Kriterien und Anforderungen für die Verantwortlichkeiten, Pflichten und Aufgaben des „ Auftragsverarbeiters“ in Übereinstimmung mit Absatz 1 festzulegen sowie die Bedingungen nennt, durch die die Verarbeitung personenbezogener Daten in Unternehmensgruppen speziell zu Kontroll- und Berichterstattungs-Zwecken vereinfacht werden kann. D.h. es wird hier bereits durchaus berücksichtigt, dass es in Unternehmensverbünden bzw. Konzernen eben doch sowohl ordnungspolitisch wie auch materiell-rechtlich eine andere Situation der Verantwortung gegeben ist als bei “echten” externen “Auftragnehmern”. (Vgl. dazu auch den Vorschlag des EP mit Art. 22 Abs. 3a, der eine Datenübertragung im Konzern innerhalb der EU ausdrücklich erlaubt)

VERFAHRENSBESCHREIBUNGEN

Auch diesbezüglich stellt sich die Frage, welchen Zweck bzw. Sinn solche „bürokratisch“ anmutende „Dokumentationen“ haben und welchen Zweck sie heute verfolgen. Ursprünglich im Zeitalter der analogen DV in den 70ger Jahren etabliert, sollte diese Dokumentation dem Ziel dienen, zu wissen was wo läuft! Dahin zurück geht auch noch der Begriff der „speichernden Stelle“. Diese speichernde Stelle ist eine Stelle, in der dann die DV auch physikalisch abläuft“. Das ist längst Vergangenheit und heutzutage “existiert“ DV (IT) digital „etabliert“ de facto „überall“, insbesondere wenn man an die sog. Cloud-Verfahren denkt. Ferner zeigen die mobilen Geräte -insbesondere auch und gerade die Smartphones - was heutzutage „IT“ bzw. „DV“ heißt, nämlich permanente digitale Realität im Cyber-Raum und kein „Verfahren“ mehr im klassischen Sinne. Im Prinzip laufen permanent „Verfahren“ ggf. auch parallel und hier zeugt sich ebenfalls wie überholt solche gesetzliche Vorgaben eigentlich sind. Hierauf hat auch schon der Deutsche Juristentag in seinen Beschlüssen von 2012 in der Abteilung für IT- und Kommunikationsrecht hingewiesen unter I. Grundfragen heißt es (I.3:) „Die Orientierung des geltenden Datenschutzrechts am Leitbild einer Datenspeicherung und –Verarbeitung in Großrechneranlagen ist ebenso zu überdenken wie die überkommene Dreiteilung in BDSG, TMG und TKG.“, angenommen 28:0:2. Insofern sin d die Verfahrensbeschreibungen in heutiger Form als obsolet anzusehen. Viel sinnvoller wäre es, entsprechende allgemeiner gehaltene Regelungen zu etablieren, z.B. iS einer sog. „System-Verantwortung“.

BETRIEBLICHER DSB

Betreffend betrieblichem Datenschutz-Beauftragten ist anzumerken, dass dieser sich in der jetzigen Form überlebt hat, da es sicherlich – man denke an die Enthüllungen von E. Snowden und auch die permanenten Angriffe auf die Netze im öffentlichen Bereich wie auch in der Wirtschaft gleich welcher Art – wichtigere Dinge gibt als den herkömmlichen betrieblichen bzw. behördlichen rein auf natürliche Personen abgestimmten Datenschutz. Daher sollte der nicht mehr zeitgemäße bdSB durch einen sog. „Information- und Cyber Security Commissioner“ abgelöst werden, der sich insgesamt um die Belange der Netz-Sicherheit kümmert und damit zeitgemäß die Anforderungen aus Cyber-Sicherheit und überkommenem Datenschutz abdecken würde. Hierzu bedarf es einer dezidierten Aufzählung von ausbildungsmäßigen Anforderungen an eine entsprechende Qualifizierung.

ABSCHLUSSBEMERKUNG

Um einer „Pervertierung“ und insbesondere „Verbürokratisierung“ des Datenschutzgedankens vorzubeugen ist es durchaus sinnvoll – so die Forderung für einen vernunftbegabten realen Datenschutz mit Augenmaß - zu unterscheiden in solche Bereiche, in denen die personenbezogenen Daten als Geschäftszweck dienen bzw. diese in ihren Ausprägungen auch als brisant anzusehen sind, z.B. gerade im Umfeld der sog. „social media“ und solchen, bei denen diese „Personenbezüge“ lediglich der Zuordnung dienen bzw. eben gerade nicht Geschäftszweck sind und dem Ablauf des eigentlichen Geschäftszweckes (z.B. bei Produktionsunternehmen, im Handwerk etc.) eben nur zugeordnet sind. Eine solcher Art „vereinfachte“ Zweiteilung würde auch der Akzeptanz des Datenschutz-Gedankens dienen und nicht – wie leider derzeit immer wieder gerade in Produktionsunternehmen feststellbar - dazu führen, in den derzeit gesetzlich geltenden Datenschutzregelungen nur noch Bürokratie“ zu sehen und der Gedanke eines wirklichen „Datenschutzes“, wie er den Begründern des „informationellen Selbstbestimmungsrechtes“ vor Augen stand, dann außen vor bleibt. Dabei sei kurz auch daran erinnert, dass die Ursprünge des Kataloges der „technischen und organisatorischen Maßnahmen“ iSd § 9 BDSG zurück gehen auf die Datensicherungsvorgaben bei der IBM in den 60ger und frühen 70ger Jahren, entwickelt damals als Maßstab für „IT-Sicherheit“ in der „Groß-Datenverarbeitung“. Diese wurden dann auch adaptiert und weiter entwickelt durch das BSI.

FAZIT

gefordert wird insbesondere ergänzend zu den obigen Ausführungen:

  • ein von der Volkszählung bis zur Digitalisierung hin gesellschaftlicher und wirtschaftlicher Fortschritt benötigt einen modern angepassten Datenschutz,

  • eine praxisorientierte Gestaltung von IT-SiG und EU-Datenschutz-Grundverordnung mit/unter Einbeziehung von und Ausrichtung auf Insourcing, Outtasking und Outsourcing-Themen,

  • die Notwendigkeit eines Updates betr. bDSB: notwendig ist ein sog. Information-and Cyber Security Commissioner (ICSC) statt des herkömmlichen bdSB bzw. dieser ist entsprechend weiter zu entwickeln !