Veröffentlicht am Kategorien Kommentar, News, Politik, Praxis, Praxis - Für Betroffene, Praxis - Verarbeitende Stellen, RechtTags , , , , , , , , , , , , ,

Dorn: Drei Wünsche aus Bayern an den Datenschutz-Gesetzgeber

Herr Günther Dorn, Leiter des Bayerischen Landesamts für Datenschutzaufsicht (bayerische Datenschutz-Aufsichtsbehörde für den nicht-öffentlichen Bereich), hat kürzlich bei einer Veranstaltung anlässlich des 10-jährigen Jubiläums der IAPP drei Punkte formuliert, die aus seiner Sicht am Bundesdatenschutzgesetz („BDSG“) dringend verändert werden sollten. Im Einzelnen…

1. Outsourcing und Datenschutz

Hintergrund: Das BDSG privilegiert das Outsourcing nur dann, wenn eine Auftragsdatenverarbeitung im Sinne des § 11 BDSG vorliegt. Soweit das Outsourcing eine Funktionsübertragung darstellt, gelten die allgemeinen Vorschriften, insbesondere der § 28 BDSG.

Die zulässige Weitergabe von personenbezogenen Daten an einen selbständigen Dienstleister ist somit nur möglich, wenn das Outsourcing in den Vertrag mit dem Kunden einbezogen wird, der Kunde in die Datenweitergabe einwilligt oder der Erlaubnistatbestand des § 28 Abs. 1 Satz 1 Nr. 2 BDSG einschlägig ist.

In der Praxis ist damit häufig allein der Erlaubnistatbestand des § 28 Abs. 1 Satz 1 Nr. 2 BDSG die gangbare Lösung. Das dienstleistende Unternehmen muss dabei, ähnlich wie bei der Auftragsdatenverarbeitung nach § 11 BDSG, einzelvertraglich eng an das outsourcende Unternehmen angeschlossen werden.

Dabei ist zu beachten, dass der Erlaubnistatbestand des § 28 Abs. 1 Satz 1 Nr. 2 BDSG per se nicht bei besonderen Arten personenbezogener Daten (z.B. Gesundheitsdaten) einschlägig sein kann.

Diese Regelung entspricht nicht den Erfordernissen der Praxis. Zum einen wäre wünschenswert, auch für die Fälle der funktionsübertragenen Outsourcingmaßnahmen ein klar geregeltes Vertragskonzept ähnlich des § 11 BDSG zu schaffen, um nicht aus § 28 Abs. 1 Satz 1 Nr. 2 BDSG in Verbindung mit § 11 BDSG und allgemeinen datenschutzrechtlichen Grundprinzipien ein für die Rechtsanwender auf den ersten Blick relativ komplexes Regelungsmodell zu schaffen. Zum anderen besteht gerade bei der Verarbeitung von besonderen Arten personenbezogener Daten (insbesondere Gesundheitsdaten) ein praktisches Bedürfnis, diese datenschutzkonform an selbständige Outsourcingpartner weiterzugeben.

Forderung: Es sollte ein zusätzlicher gesetzlicher Zulässigkeitstatbestand für funktionsübertragende Outsourcingmaßnahmen aufgenommen werden, der sich auch auf die besonderen Arten personenbezogener Daten bezieht.

2. Der Missbrauch der Einwilligungserklärung

Hintergrund: In manchen Bereichen unseres Wirtschaftslebens reichen die allgemeinen gesetzlichen Erlaubnistatbestände, insbesondere der § 28 BDSG nicht aus, um eine den berechtigten Interessen der Unternehmen entsprechende und auch erforderliche Verwendung der Kundendaten zu ermöglichen. Dies gilt vor allem für die Versicherungswirtschaft.

Die ersatzweise eingeholten Einwilligungen der Versicherungsnehmer entsprechen nicht dem § 4 a BDSG. Sie beruhen nicht auf einer freien Entscheidung der Versicherungsnehmer und sind deshalb an sich nicht wirksam.

Forderung: An die Stelle dieser unwirksamen Einwilligungen müssen gesetzliche Regelungen für die Erhebungen und Verwendungen der Versichertendaten durch die Versicherungsunternehmen treten.

Der Inhalt dieser Regelungen muss sich an dem informationellen Selbstbestimmungsrecht der Versicherungsnehmer und an den berechtigten Interessen der Versicherungsunternehmen orientieren.

3. Beschäftigtendatenschutz

Hintergrund: Der Beschäftigtendatenschutz ist bislang durch den kürzlich neu geschaffenen § 32 BDSG nur in Teilen gesetzlich geregelt. Durch die neu geschaffene Vorschrift sind in der Praxis viele offene Fragen entstanden – insbesondere in der Abgrenzung von § 32 BDSG zu § 28 BDSG und der Auslegung insbesondere des Begriffs der Erforderlichkeit in § 32 Abs. 1 Satz 1 BDSG.

Auch fehlen Anhaltspunkte dafür, wie die Interessen der Beteiligten (Arbeitgeber und Arbeitnehmer) praxisgerecht gegeneinander abzuwägen sind.

Forderung: Die bereits von der Politik aufgegriffene Forderung nach einer Neuregelung des Beschäftigtendatenschutzes ist zu begrüßen. Es sollte versucht werden die Regelungen dahingehend zu schärfen, dass Arbeitnehmern wie Arbeitgebern klare gesetzliche Grundlagen an die Hand gegeben werden, welche Maßnahmen datenschutzkonform darstellbar sind, um Auslegungsschwierigkeiten (bspws. hinsichtlich der Frage, ob das Outsourcing von Beschäftigtendaten „erforderlich“ ist) zu mindern.


Kontakt:
Rechtsanwalt Dr. Sebastian Kraska, externer Datenschutzbeauftragter
Telefon: 089-1891 7360
E-Mail-Kontaktformular
E-Mail: email@iitr.de


Ein Gedanke zu „Dorn: Drei Wünsche aus Bayern an den Datenschutz-Gesetzgeber“

  1. Zu Punkt 1:

    Die Anforderungen des neuen § 11 BDSG werden in der Praxis teilweise als so formalistisch und aufwändig angesehen, dass eine „Flucht in die Datenübermittlung“ entsteht: Statt einer Auftragsdatenverarbeitung nimmt man eine Übermittlung in Kauf und rechtfertigt diese auf Basis der Interessenabwägungsklausel in § 28 Abs. 1 Nr. 2 BDSG.

    Das Modell stößt bei „besonderen Arten von Daten“ an seine Grenzen; würde § 28 Abs. 1 Nr. 2 BDSG ausgeweitet (was zu begrüßen wäre), so würde sich das Phänomen aber sicherlich verstärken.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *