Da das Thema Auftragsdatenverarbeitung auch vor Bereichen, wo Geheimnisträger betroffen sind, nicht Halt macht, beschäftigt sich dieser Beitrag noch einmal mit der Frage der Rechtmäßigkeit der Verarbeitung personenbezogener Daten von Geheimnisträgern durch Dienstleister.
Der Inhalt im Überblick
Urteil des EuGH
Bereits im vergangenen Jahr hat der EuGH im Rahmen eines Vorabentscheidungsersuchens mit Urteil vom 22.11.2012 in der Rechtssache C-119/12 entschieden, dass es nach entsprechender Auslegung des Art. 6 Abs. 2 und 5 der Richtlinie 2002/58/EG (Datenschutzrichtlinie für elektronische Kommunikation) rechtmäßig sei, wenn ein dem Fernmeldegeheimnis gem. § 88 TKG unterliegender Diensteanbieter für Telekommunikationsdienstleistungen Verkehrsdaten an einen Zessionar zum Forderungseinzug weitergäbe – vorausgesetzt, dass die Verarbeitung dieser Daten nur auf Anweisung und unter Kontrolle des Diensteanbieters erfolge.
Vertragliche Vereinbarung
Nach Auffassung des EuGH sei demnach erforderlich, einen klar umrissenen Vertrag ähnlich wie nach § 11 BDSG zu vereinbaren. Dieser müsse insbesondere neben der Verpflichtung des Dritten zur Verschwiegenheit eine konkrete Zweckbestimmung bezüglich der Datenverarbeitung, Weisungsbefugnisse zum Umgang und Schutz der Daten sowie ein jederzeitiges Kontrollrecht des Diensteanbieters hinsichtlich der Einhaltung der Datensicherungs- und Datenschutzbestimmungen beinhalten.
Übertragbarkeit auf andere Geheimnisträger?
Fraglich ist, ob die Entscheidung des EuGH auf andere Geheimnisträger wie Ärzte oder Rechtsanwälte übertragbar ist, so dass beispielsweise die Datenweitergabe an einen externen weisungs- und kontrollgebundenen IT-Dienstleister unabhängig von einer Offenbarungsbefugnis durch Gesetz oder eine Einwilligung des Betroffenen möglich ist.
Hierfür könnte sprechen, dass die Sachlage grundsätzlich vergleichbar ist und das Fernmeldegeheimnis nicht weniger schützenswert als Privatgeheimnisse im Sinne des § 203 StGB z.B. von Patienten oder Mandanten sind. Die Verletzung des Fernmeldegeheimnisses ist gleichermaßen in § 206 StGB unter Strafe gestellt. Zudem sieht § 206 StGB neben der Geldstrafe eine Freiheitsstrafe von bis zu 5 Jahren vor, während sich die Strafandrohung bezüglich der Freiheitsstrafe in § 203 auf bis zu ein Jahr bzw. max. 2 Jahre (wenn gegen Entgelt oder in Bereicherungs- oder Schädigungsabsicht) beschränkt ist.
Vergleichbare Voraussetzungen für Auftragsdatenverarbeitung
Die vom EuGH aufgeführten Voraussetzungen an eine rechtmäßige Weitergabe von Daten durch einen Geheimnisträger entsprechen im Wesentlichen den maßgeblichen Anforderungen des § 11 Abs. 2 BDSG. Insbesondere die Weisungsbefugnis und die Kontrolle der Datenverarbeitung sind die entscheidenden Merkmale der Auftragsdatenverarbeitung zur Klarstellung der Verantwortlichkeiten.
Fazit
Die weiteren Entwicklungen im technischen Bereich – Stichwort Cloud-Computing – werden die Diskussion weiter vorantreiben und hoffentlich einer praktikablen Lösung zuführen.
