Bekanntmachung von Hinweisen des Innenministeriums (Nummer 31) zum Bundesdatenschutzgesetz für die private Wirtschaft vom 23. Dezember 1992, Az.: 2- 0552.1/6. Die Veröffentlichung erfolgt im Anschluß an die Hinweise Nr. 30 im Staatsanzeiger für Baden-Württemberg Nr. 101 vom 18. Dezember 1991 Seite 7.
Bei der Verarbeitung und Nutzung personenbezogener Daten durch nicht-öffentliche Stellen ist die Unternehmensleitung für die Einhaltung der datenschutzrechtlichen Anforderungen des Bundesdatenschutzgesetzes und anderer Vorschriften über den Datenschutz verantwortlich. Sie wird dabei vom betrieblichen Datenschutzbeauftragten als einem Organ der Selbstkontrolle unterstützt und beraten.
Nach § 36 Abs. 1 BDSG hat jede nicht-öffentliche Stelle, die personenbezogene Daten verarbeitet, die Pflicht, einen betrieblichen Datenschutzbeauftragten schriftlich zu bestellen, wenn sie in der Regel bei automatisierter Datenverarbeitung mindestens 5, bei Verarbeitung auf andere Weise mindestens 20 Arbeitnehmer ständig beschäftigt.
Der Datenschutzbeauftragte ist innerhalb einer Frist von einem Monat nach Aufnahme der Tätigkeit des Unternehmens zu bestellen. Wird der Datenschutzbeauftragte vorsätzlich oder fahrlässig nicht oder nicht rechtzeitig bestellt, so stellt dies eine Ordnungswidrigkeit dar, die mit einer Geldbuße bis zu 50 000 DM geahndet werden.
Als Datenschutzbeauftragter kann ein Mitarbeiter des Unternehmens (interner Datenschutzbeauftragter) oder eine außenstehende Person (externer Datenschutzbeauftragter) bestellt werden.
Voraussetzung für die Bestellung sind Fachkunde und Zuverlässigkeit. Bei der Fachkunde sind insbesondere datenschutzrechtliche, EDV-technische und organisatorische Kenntnisse von Bedeutung.
Nicht zu Datenschutzbeauftragten können von ihrer Funkion her bestellt werden, der Inhaber sowie Mitglieder der Geschäftsleitung und des Vorstands, da sie für die speichernde Stelle verantwortlich sind und sich nicht wirksam selbst kontrollieren können. Zur Vermeidung von Interessenkonflikten sollten auch keine Personen nebenamtlich zu Datenschutzbeauftragten bestellt werden, die von ihrer Stellung im Betrieb her für die Datenverarbeitung verantwortlich sind (Betriebsleiter, Leiter der EDV). Dagegen kommen als Datenschutzbeauftragte beispielsweise Mitarbeiter der Innen- oder EDV-Revision, Rechtsabteilung, Organisation oder der Sicherheitsbeauftragte in Betracht.
Wenn der betriebliche Datenschutzbeauftragte nicht voll, sondern nur nebenamtlich tätig werden soll, sollte bei der Bestellung darauf geachtet werden, daß er die Aufgaben des Datenschutzbeauftragten zeitlich neben seinen sonstigen Aufgaben auch tatsächlich ausüben kann.
Die unabhängige Stelle des Datenschutzbeauftragten kommt darin zum Ausdruck, daß er weisungsfrei tätig wird und wegen seiner Tätigkeit nicht benachteiligt werden darf. Er ist der Unternehmensleitung direkt zu unterstellen.
Eine Abberufung des Datenschutzbeauftragten kann nur auf Verlangen der Aufsichtsbehörde erfolgen oder wenn entsprechend § 626 BGB ein wichtiger Grund vorliegt, aufgrund dessen dem Betriebsinhaber die weitere Ausübung des Amtes durch den Datenschutzbeauftragten unter Berücksichtigung aller Umstände nicht zugemutet werden kann.
Der Datenschutzbeauftragte hat darauf hinzuwirken, daß bei der Verarbeitung und Nutzung personenbezogener Daten das Bundesdatenschutzgesetz und andere Vorschriften über den Datenschutz beachtet werden. Der Datenschutzbeauftragte hat insbesondere folgende Aufgaben:
Die datenverarbeitende Stelle hat nach § 36 Abs. 5 BDSG die Verpflichtung, den Datenschutzbeauftragten bei der Wahrnehmung seiner Aufgaben zu unterstützen, beispielsweise durch die Gewährung von Zutritt, Auskunft und Einsicht sowie durch Entsendung zu Fortbildungsveranstaltungen. Insbesondere ist der Datenschutzbeauftragte durch folgende Maßnahmen zu unterstützen:
Die Übersicht soll dem Datenschutzbeauftragten die Wahrnehmung seiner Kontrolltätigkeit erleichtern. Um die Aktualität der Übersicht sicherzustellen, ist es erforderlich, daß alle Unternehmensbereiche, die personenbezogene Daten verarbeiten, Änderungen rechtzeitig mitteilen. Die Übersicht muß dem betrieblichen Datenschutzbeauftragten jederzeit zur Verfügung stehen. Dazu reicht es auch aus, wenn der Datenschutzbeauftragte jederzeit Zugriff auf eine von der speichernden Stelle aktuell - ggf. automatisiert - geführte Übersicht hat, die mindestens die Angaben des § 37 Abs. 2 BDSG enthalten muß.
Die Übersicht ist auch dann zu führen, wenn die Datenverarbeitung vollständig außer Haus im Auftrag durch Dienstleistungsunternehmen erledigt wird. Gerade in diesen Fällen kann nicht auf die Übersicht verzichtet werden, damit die vom Auftraggeber vorzunehmende Kontrolle wirksam ausgeübt werden kann. Dabei kann es sich aus Zweckmäßigkeitsgründen anbieten, mit dem Dienstleistungsunternehmen vertraglich zu vereinbaren, daß die Bereitstellung und laufende Ergänzung der Übersicht durch dieses vorgenommen wird.
In Zweifelsfällen kann sich der Datenschutzbeauftragte zur Unterstützung an die Aufsichtsbehörde wenden, um sich dort Rat und Auskunft einzuholen. Ob er die Geschäftsleitung von der Einschaltung der Aufsichtsbehörde unterrichtet, wird von den jeweiligen Umständen des Einzelfalles abhängen, eine Verpflichtung hierzu besteht nicht.
Nach den Erfahrungen der Aufsichtsbehörde besteht Anlaß, darauf hinzuweisen, daß sich die genannten Aufgaben des betrieblichen Datenschutzbeauftragten auch auf die dezentrale Datenverarbeitung beziehen (z.B. beim Einsatz von Personalcomputern). Bei dezentraler Datenverarbeitung muß die Aufsichtsbehörde immer wieder feststellen, daß die gesetzlichen Anforderungen bezüglich der Datenschutz- und Datensicherungsmaßnahmen nicht im erforderlichen Maß beachtet und eingehalten werden. In die Übersicht nach § 37 Abs. 2 BDSG sind auch die dezentralen Datenverarbeitungsanlagen aufzunehmen.
Die dezentrale Datenverarbeitung erfordert betriebsinterne Regelungen, damit der Datenschutzbeauftragte aktuell und vollständig davon unterrichtet ist, wo im Betrieb welche personenbezogenen Daten auf welchem Gerät verarbeitet werden, welche Datenflüsse bestehen und wer fachlich dafür verantwortlich ist.
Werden personenbezogene Daten im Auftrag durch andere Stellen verarbeitet oder genutzt, ist der Auftraggeber weiterhin für die Einhaltung datenschutzrechtlicher Vorschriften verantwortlich (§ 11 Absatz 1 Satz 1 BDSG), insbesondere für die Zulässigkeit der Verarbeitung und Nutzung personenbezogener Daten, die Wahrung der Rechte der Betroffenen, sowie die Einhaltung der nach § 9 BDSG erforderlichen Datensicherungsmaßnahmen.
2.1 | Um eine ordnungsgemäße Verarbeitung und Nutzung der Daten
zu gewährleisten, ist der Auftraggeber verpflichtet, folgendes zu
berücksichtigen:
Der Auftragnehmer muß sorgfältig ausgewählt werden. Wichtiges Auswahlkriterium ist das Datensicherungskonzept des Auftragnehmers. Ein solches schriftlich festgelegten Datensicherungskonzept erleichtert dem Auftraggeber auch den Vergleich und die Entscheidung zwischen mehreren Anbietern. Die Umsetzung dieses Konzeptes sollte, z.B. durch den Datenschutzbeauftragten des Auftraggebers, vor Ort in Augenschein genommen werden (vgl. § 37 Abs. 1 Satz 2 Nr. 1 BDSG). Dazu gehört auch die Überprüfung, ob der Auftragnehmer seiner Meldepflicht bei der Aufsichtsbehörde nach § 32 Absatz 1 Nr. 3 BDSG nachgekommen ist. Dies kann durch Einsicht in die Unterlagen des meldepflichtigen Dienstleistungsunternehmens oder durch Anfrage bei der zuständigen Aufsichtsbehörde geschehen (vgl. auch Hinweis Nr. 8 im Staatsanzeiger vom 6. Oktober 1979 unter Nr. 4). Die Eintragung im Register besagt jedoch noch nichts über die Eignung des Auftragnehmers. |
2.2 | Der Auftrag ist schriftlich zu erteilen, wobei zwingend
festzulegen sind:
Dabei ist insbesondere verantwortlich zu regeln:
|
2.3 | Der Auftraggeber muß die Einhaltung der an den Auftragnehmer erteilten
Weisungen überprüfen, um zu gewährleisten, daß die Verarbeitung und
Nutzung der Daten durch den Auftragnehmer nur entsprechend seinen
Weisungen erfolgt. Kein Auftraggeber darf sich mit der bloßen Erklärung
des Auftragnehmers zufrieden geben, daß dieser die Vorschriften des
Bundesdatenschutzgesetzes beachten werde. Um diese Überprüfung durchführen
zu können, bedarf es der Einräumung einer Kontrollbefugnis für Beauftragte
des Auftraggebers in den Betriebs- oder Geschäftsräumen des Auftragnehmers
(z.B. für den Datenschutzbeauftragten des Auftraggebers). Dieses
Kontrollrecht kann jedoch nur wirksam ausgeübt werden, wenn in der dem
Datenschutzbeauftragten zur Verfügung zu stellenden Übersicht gemäß § 37
Abs. 2 BDSG auch die beim Auftragnehmer verarbeiteten Daten berücksichtigt
sind. |
2.4 | Bei aufsichtsrechtlichen Überprüfungen von Dienstleistungsunternehmen,
die im Auftrag personenbezogene Daten geschäftsmäßig verarbeiten oder
nutzen, hat die Aufsichtsbehörde festgestellt, daß bisher ganz überwiegend
keine oder keine ausreichenden schriftlichen Weisungen des Auftraggeber
erteilt worden sind. Außerdem wurden vom Auftraggeber meist keinerlei
Kontrollen der Datenverarbeitung beim Auftragnehmer durchgeführt. Mangels
vorhandener schriftlicher Weisungen kann auch die Aufsichtsbehörde nicht
überprüfen, ob die Datenverarbeitung oder - nutzung auftragsgemäß erfolgt
ist. |
2.5 | Da der Auftragnehmer seine Leistungen nach Maßgabe der bei ihm
verfügbaren Einrichtungen anbietet und regelmäßig auf einheitliche
Verfahren in seinem Unternehmen angewiesen ist, hat auch der Auftragnehmer
ein Interesse an schriftlichen vertraglichen Regelungen. Auch unter
haftungsrechtlichen Gesichtspunkten empfiehlt es sich für den
Auftragnehmer, die technischen und organisatorischen Vorgaben der
Datenverarbeitung schriftlich festzulegen. Dies kann in Form eines
Rahmenvertrages oder allgemeiner Geschäftsbedingungen des Auftragnehmers
geschehen. Solche generellen Regelungen müssen dann noch durch
Zusatzvereinbarungen dem konkreten Einzelfall angepaßt werden.
Der Auftragnehmer darf die Daten nur im Rahmen der Weisungen des Auftraggebers verarbeiten oder nutzen. Er hat den Auftraggeber jedoch unverzüglich darauf hinzuweisen, wenn er der Ansicht ist, daß eine Weisung gegen datenschutzrechtliche Vorschriften verstößt (§ 11 Absatz 3 BDSG). |
3.1 | Nicht-öffentliche Stellen, die selbst oder im Auftrag personenbezogene
Daten verarbeiten, sind nach § 9 BDSG verpflichtet, die erforderlichen
technischen und organisatorischen Maßnahmen zu treffen, um eine den
Anforderungen des Bundesdatenschutzgesetzes entsprechende
Datenverarbeitung zu gewährleisten. Dies gilt auch für das Löschen, d.h.
das Unkenntlichmachen personenbezogener Daten (§§ 3 Abs. 5, Nr. 5, 35 Abs.
2 BDSG), soweit die Daten geschäftsmäßig oder für berufliche oder
gewerbliche Zwecke in Dateien gespeichert oder offensichtlich aus Dateien
entnommen und in Akten gespeichert worden sind (§ 27 Abs. 2 BDSG).
Die Löschung erfolgt häufig durch Vernichtung von Datenträgern. Welche Maßnahmen dabei erforderlich sind, kann nicht allgemein, sondern nur für den jeweiligen Einzelfall festgelegt werden. Erforderlich sind die Maßnahmen, deren Aufwand in einem angemessenen Verhältnis zur Schutzbedürftigkeit der Daten stehen (§ 9 Abs. 1 Satz 2 BDSG). Ob eine Maßnahme als verhältnismäßig in diesem Sinne anzusehen ist, kann nur anhand der konkreten Umstände des Einzelfalles entschieden werden. Dabei ist zwischen dem vom Gesetz verlangten Schutz der Daten und dem durch die Maßnahme verursachten Aufwand abzuwägen. Als Entscheidungshilfe bei der Angemessenheitsprüfung können neben der Art der Daten und ihrer Schutzbedürftigkeit auch die Menge der verarbeiteten Daten sowie die Art der eingesetzten Verfahren dienen. Personenbezogene Daten, die z.B. dem Personalgeheimnis, Bankgeheimnis, Steuergeheimnis oder einem Berufsgeheimnis unterliegen, erfordern stärkere Datensicherungsmaßnahmen. Daraus ergibt sich, daß die Anforderungen an technische und organisatorische Maßnahmen bei der Vernichtung von Datenträgern um so höher sein müssen, je höher die Sensibilität der Daten ist. Dabei können die Festlegungen zur Informationsträgervernichtung bei unterschiedlichen Sicherheitsstufen in der DIN-Norm 32 757 Teil I und II vom Oktober 1985 als Anhaltswerte herangezogen werden. Die DIN-Norm ist zu beziehen über: Beuth-Verlag GmbH, Burggrafenstr. 6, 1000 Berlin 30. | ||||||
3.2 | Die datenverarbeitende Stelle trägt die Verantwortung für die
Einhaltung der Datenschutzanforderungen bis zum Abschluß der Vernichtung
der Datenträger mit personenbezogenen Daten. Wenn die datenverarbeitende
Stelle die Datenträger selbst vernichtet, empfiehlt es sich, insbesondere
folgende technische und organisatorische Regelungen zu treffen,
| ||||||
3.3 | Die datenverarbeitende Stelle trägt auch dann die Verantwortung für
die Einhaltung der Datenschutzanforderungen bis zum Abschluß der
Vernichtung de Datenträger mit personenbezogenen Daten, wenn sie ein
Dienstleistungsunternehmen mit der Vernichtung der Datenträger beauftragt
(§§ 9, 11 BDSG).
Der Auftraggeber hat den Auftragnehmer unter Berücksichtigung seiner Eignung und der von ihm getroffenen technischen und organisatorischen Maßnahmen sorgfältig auszuwählen. Der Auftraggeber muß sich deshalb anhand geeigneter Unterlagen oder ggf. vor Ort davon überzeugen, daß der Auftragnehmer auch tatsächlich in der Lage ist, die datenschutzgerechte Entsorgung vorzunehmen. Dabei sollte er neben der gerätemäßigen und räumlichen Ausstattung des Auftragnehmers auch darauf achten, ob dieser über zuverlässiges und auf das Datengeheimnis verpflichtetes Personal verfügt. Der Auftraggeber sollte sich auch nachweisen lassen, daß der Auftragnehmer im Datenschutzregister der Aufsichtsbehörde für den Datenschutz im nicht-öffentlichen Bereich eingetragen ist. Dies besagt allerdings noch nichts über die Eignung, sondern bringt nur zum Ausdruck, daß das Dienstleistungsunternehmen seiner Meldepflicht nach § 32 Abs. 1 Nr. 3 BDSG nachgekommen ist. Das Bundesdatenschutzgesetz verlangt zwingen, daß der Auftrag schriftlich zu erteilen ist und dabei die Einzelheiten des Auftrags sowie die technischen und organisatorischen Maßnahmen und etwaige Unterauftragsverhältnisse festzulegen sind. Der Auftraggeber hat darüber hinaus auch die Pflicht, die ordnungsgemäße Durchführung der Vernichtung der Datenträger zu überprüfen. Bei der Vernichtung von Datenträgern mit personenbezogenen Daten sollte der Auftraggeber im Vertrag mit dem Auftragnehmer insbesondere regeln, um welche Art von Datenträgern und Daten es sich handelt (z.B. Rechnungen, Personalunterlagen) und wie die Schutzbedürftigkeit der Daten einzustufen ist;
| ||||||
3.4 | 3.4 Neben dem Auftraggeber ist auch das beauftragte
Dienstleistungsunternehmen selbst verpflichtet, die datenschutzrechtlichen
Anforderungen bei der Vernichtung von Datenträgern mit personenbezogenen
Daten einzuhalten (§ 9 Satz 1 BDSG).
Auch für das beauftragte Dienstleistungsunternehmen gelten die Ausführungen oben in Nr. 3.1, vor allem der Hinweis auf die DIN-Norm 32757. Der Auftragnehmer muß insbesondere folgende Punkte beachten:
Beim Auftragnehmer müssen die technischen und organisatorischen Voraussetzungen für eine datenschutzgerechte Entsorgung der Datenträger vorliegen. Wie oben in Nr. 3.1 näher ausgeführt, verpflichtet § 9 BDSG auch den Auftragnehmer, die erforderlichen technischen und organisatorischen Maßnahmen zu treffen. Bei automatisierten Verfahren sind dabei die Anforderungen der Anlage zu § 9 BDSG zu beachten. Personenbezogene Daten auf Datenträgern sind bis zu ihrer endgültigen Vernichtung unter Aufsicht bzw. Verschluß zu verwahren; dies gilt sowohl für stationäre als auch für mobile Datenträgervernichtung. Die Datenträgervernichtungsunternehmen haben im wesentlichen die nachstehenden Datensicherungsmaßnahmen zu beachten:
|