Geheimnisträger und Auftragsdatenverarbeitung

urteil 24
Urteil

Da das Thema Auftragsdatenverarbeitung auch vor Bereichen, wo Geheimnisträger betroffen sind, nicht Halt macht, beschäftigt sich dieser Beitrag noch einmal mit der Frage der Rechtmäßigkeit der Verarbeitung personenbezogener Daten von Geheimnisträgern durch Dienstleister.

Urteil des EuGH

Bereits im vergangenen Jahr hat der EuGH im Rahmen eines Vorabentscheidungsersuchens mit Urteil vom 22.11.2012 in der Rechtssache C-119/12 entschieden, dass es nach entsprechender Auslegung des Art. 6 Abs. 2 und 5 der Richtlinie 2002/58/EG (Datenschutzrichtlinie für elektronische Kommunikation) rechtmäßig sei, wenn ein dem Fernmeldegeheimnis gem. § 88 TKG unterliegender Diensteanbieter für Telekommunikationsdienstleistungen Verkehrsdaten an einen Zessionar zum Forderungseinzug weitergäbe – vorausgesetzt, dass die Verarbeitung dieser Daten nur auf Anweisung und unter Kontrolle des Diensteanbieters erfolge.

Vertragliche Vereinbarung

Nach Auffassung des EuGH sei demnach erforderlich, einen klar umrissenen Vertrag ähnlich wie nach § 11 BDSG zu vereinbaren. Dieser müsse insbesondere neben der Verpflichtung des Dritten zur Verschwiegenheit eine konkrete Zweckbestimmung bezüglich der Datenverarbeitung, Weisungsbefugnisse zum Umgang und Schutz der Daten sowie ein jederzeitiges Kontrollrecht des Diensteanbieters hinsichtlich der Einhaltung der Datensicherungs- und Datenschutzbestimmungen beinhalten.

Übertragbarkeit auf andere Geheimnisträger?

Fraglich ist, ob die Entscheidung des EuGH auf andere Geheimnisträger wie Ärzte oder Rechtsanwälte übertragbar ist, so dass beispielsweise die Datenweitergabe an einen externen weisungs- und kontrollgebundenen IT-Dienstleister unabhängig von einer Offenbarungsbefugnis durch Gesetz oder eine Einwilligung des Betroffenen möglich ist.

Hierfür könnte sprechen, dass die Sachlage grundsätzlich vergleichbar ist und das Fernmeldegeheimnis nicht weniger schützenswert als Privatgeheimnisse im Sinne des § 203 StGB z.B. von Patienten oder Mandanten sind. Die Verletzung des Fernmeldegeheimnisses ist gleichermaßen in § 206 StGB unter Strafe gestellt. Zudem sieht § 206 StGB neben der Geldstrafe eine Freiheitsstrafe von bis zu 5 Jahren vor, während sich die Strafandrohung bezüglich der Freiheitsstrafe in § 203 auf bis zu ein Jahr bzw. max. 2 Jahre (wenn gegen Entgelt oder in Bereicherungs- oder Schädigungsabsicht) beschränkt ist.

Vergleichbare Voraussetzungen für Auftragsdatenverarbeitung

Die vom EuGH aufgeführten Voraussetzungen an eine rechtmäßige Weitergabe von Daten durch einen Geheimnisträger entsprechen im Wesentlichen den maßgeblichen Anforderungen des § 11 Abs. 2 BDSG. Insbesondere die Weisungsbefugnis und die Kontrolle der Datenverarbeitung sind die entscheidenden Merkmale der Auftragsdatenverarbeitung zur Klarstellung der Verantwortlichkeiten.

Fazit

Die weiteren Entwicklungen im technischen Bereich – Stichwort Cloud-Computing – werden die Diskussion weiter vorantreiben und hoffentlich einer praktikablen Lösung zuführen.

Sie haben Fragen?

Unsere Berater helfen Ihnen dabei, den Umgang mit personenbezogenen Daten in Ihrem Unternehmen rechtssicher und praxisgerecht zu gestalten. Dabei unterstützen wir Sie u.a. bei folgenden Themen:

  • Erstellung von Verträgen zur Auftragsdatenverarbeitung
  • Durchführung der gesetzlich vorgeschriebenen Dienstleisterkontrolle
  • Dokumentation des laufenden Prozesses, sowie regelmäßige Folgeprüfungen

Informieren Sie sich hier über unser Leistungsspektrum: Auftragsdatenverarbeitung

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.