Jürgen von der Ohe, USD - kassenverwalter.de
Jürgen von der Ohe, USD - kassenverwalter.de
Jürgen von der Ohe, USD - kassenverwalter.de
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
www.datenschutzzentrum.<strong>de</strong><br />
Wesentliche Neuerungen <strong>de</strong>s LDSG<br />
und<br />
Rechtliche Grenzen beim For<strong><strong>de</strong>r</strong>ungsmanagement<br />
LDSG in <strong><strong>de</strong>r</strong> Fassung<br />
vom<br />
11. Januar 2012<br />
<strong>Jürgen</strong> <strong>von</strong> <strong><strong>de</strong>r</strong> <strong>Ohe</strong> 1
www.datenschutzzentrum.<strong>de</strong><br />
LDSG<br />
• zwei Novellen 2011:<br />
• Organisatorische Än<strong><strong>de</strong>r</strong>ungen<br />
• Beschluss <strong>de</strong>s Landtages vom 24.08.2011<br />
• in Kraft getreten 15.09.2011<br />
• Materiellrechtliche Än<strong><strong>de</strong>r</strong>ungen<br />
• Beschluss <strong>de</strong>s Landtages vom 14.12.2011<br />
• in Kraft getreten 27.01.2012<br />
LDSG/IZG - Dr. Carola Drechsler - ULD<br />
<strong>Jürgen</strong> <strong>von</strong> <strong><strong>de</strong>r</strong> <strong>Ohe</strong> 2
www.datenschutzzentrum.<strong>de</strong><br />
LDSG<br />
Gesetzesbegründung Drs. 17/1698:<br />
Die Än<strong><strong>de</strong>r</strong>ungen im Einzelnen:<br />
• Vereinfachung <strong>de</strong>s Anwendungsbereichs (§ 3)<br />
• Anpassung <strong><strong>de</strong>r</strong> allgemeinen Maßnahmen zur Datensicherheit (§ 5)<br />
• Anpassung <strong><strong>de</strong>r</strong> beson<strong><strong>de</strong>r</strong>en Maßnahmen zur Datensicherheit bei Einsatz automatisierter Verfahren (§ 6)<br />
• Veröffentlichung <strong>de</strong>s Verfahrensverzeichnisses im Internet (§ 7)<br />
• Möglichkeit zur Einrichtung einer zentralen Stelle bei gemeinsamen Verfahren/Abrufverfahren(§ 8)<br />
• Konkretisierung <strong><strong>de</strong>r</strong> Form <strong><strong>de</strong>r</strong> Einwilligung (§ 12)<br />
• Protokollierungspflichten bei Datenübermittlungen (§§ 14, 15)<br />
• Folgeän<strong><strong>de</strong>r</strong>ung zur Verantwortung einer zentralen Stelle (§ 8) bei Auftragsdatenverarbeitung (§ 17)<br />
• Anpassung an die Regelungen im BDSG bei Vi<strong>de</strong>o-Überwachung und -Aufzeichnung (§ 20)<br />
• Regelungen zur Veröffentlichung <strong>von</strong> Daten im Internet (§ 21)<br />
• Wegfall <strong><strong>de</strong>r</strong> Regelung zur Dokumentationsstelle für Sekten (§ 25)<br />
• Informationspflicht bei unrechtmäßiger Kenntniserlangung <strong>von</strong> Daten (§ 27a)<br />
• Verlängerung <strong>de</strong>s Zeitraumes für die Vorlage <strong>de</strong>s Tätigkeitsberichts <strong>de</strong>s ULD <strong>von</strong> einem Jahr auf zwei Jahre (§ 39)<br />
• Erhebung <strong>von</strong> Entgelten durch das ULD für die Vorabkontrolle (§ 43)<br />
• Ergänzung <strong><strong>de</strong>r</strong> Ordnungswidrigkeiten bei Unterlassung <strong>von</strong> technisch-organisatorischen Maßnahmen (§ 44)<br />
• Übergangsregelung zum Inkrafttreten (§ 45)<br />
<strong>Jürgen</strong> <strong>von</strong> <strong><strong>de</strong>r</strong> <strong>Ohe</strong> 3
www.datenschutzzentrum.<strong>de</strong><br />
LDSG<br />
§ 3 Anwendungsbereich<br />
(1) Dieses Gesetz gilt für öffentliche Stellen. Öffentliche Stellen im Sinne dieses<br />
Gesetzes sind Behör<strong>de</strong>n und sonstige öffentliche Stellen <strong><strong>de</strong>r</strong> im<br />
Lan<strong>de</strong>sverwaltungsgesetz genannten Träger <strong><strong>de</strong>r</strong> öffentlichen Verwaltung.<br />
(2) Abweichend <strong>von</strong> Absatz 1 gelten nur die Vorschriften <strong><strong>de</strong>r</strong> §§ 23 und 39 bis 43,<br />
soweit<br />
1. wirtschaftliche Unternehmen <strong><strong>de</strong>r</strong> Gemein<strong>de</strong>n o<strong><strong>de</strong>r</strong> Gemein<strong>de</strong>verbän<strong>de</strong> ohne<br />
eigene Rechtspersönlichkeit (Eigenbetriebe),<br />
2. öffentliche Einrichtungen, die entsprechend <strong>de</strong>n Vorschriften über die<br />
Eigenbetriebe geführt wer<strong>de</strong>n,<br />
3. Lan<strong>de</strong>sbetriebe o<strong><strong>de</strong>r</strong><br />
4. <strong><strong>de</strong>r</strong> Aufsicht <strong>de</strong>s Lan<strong>de</strong>s o<strong><strong>de</strong>r</strong> <strong><strong>de</strong>r</strong> Gemein<strong>de</strong>n unterstehen<strong>de</strong> juristische<br />
Personen <strong>de</strong>s öffentlichen Rechts, die am Wettbewerb teilnehmen,<br />
personenbezogene Daten zu wirtschaftlichen Zwecken o<strong><strong>de</strong>r</strong> Zielen verarbeiten.<br />
Im Übrigen sind die für nicht-öffentliche Stellen gelten<strong>de</strong>n Vorschriften <strong>de</strong>s<br />
Bun<strong>de</strong>sdatenschutzgesetzes mit Ausnahme seines § 38 anzuwen<strong>de</strong>n.<br />
(3) Soweit beson<strong><strong>de</strong>r</strong>e Rechtsvorschriften <strong>de</strong>n Umgang mit personenbezogenen<br />
Daten regeln, gehen sie <strong>de</strong>n Vorschriften dieses Gesetzes vor.<br />
<strong>Jürgen</strong> <strong>von</strong> <strong><strong>de</strong>r</strong> <strong>Ohe</strong> 4
www.datenschutzzentrum.<strong>de</strong><br />
• § 3 - Gesetzesbegründung:<br />
• Rechtsvereinfachung<br />
• formal privatisierte Stelle fallen in <strong>de</strong>n Anwendungsbereich <strong>de</strong>s<br />
BDSG, auch wenn sie <strong>von</strong> Trägern <strong><strong>de</strong>r</strong> öffentlichen Verwaltung<br />
beherrscht wer<strong>de</strong>n<br />
• Regelungen <strong>de</strong>s BDSG passen besser auf die Geschäftsprozesse<br />
dieser Stellen<br />
• Folge:<br />
LDSG<br />
• Kun<strong>de</strong>n <strong>von</strong> Krankenhäusern o<strong><strong>de</strong>r</strong> Stadtwerken, die als Eigenbetrieb<br />
o<strong><strong>de</strong>r</strong> als Kommunalunternehmen geführt wer<strong>de</strong>n, wer<strong>de</strong>n<br />
datenschutzrechtlich genauso behan<strong>de</strong>lt wie die Kun<strong>de</strong>n <strong>von</strong><br />
gleichartigen Unternehmen <strong>de</strong>s Privatrechts.<br />
• für die Auftragsdatenverarbeitung <strong><strong>de</strong>r</strong> Eigenbetriebe gilt § 11 BDSG<br />
• allgemeine Instrumentarien <strong><strong>de</strong>r</strong> Aufsicht nach <strong>de</strong>m LDSG gelten<br />
<strong>Jürgen</strong> <strong>von</strong> <strong><strong>de</strong>r</strong> <strong>Ohe</strong> 5
www.datenschutzzentrum.<strong>de</strong><br />
LDSG<br />
§ 6 Beson<strong><strong>de</strong>r</strong>e Maßnahmen zur Datensicherheit bei Einsatz<br />
automatisierter Verfahren<br />
…..<br />
(3) Wer<strong>de</strong>n personenbezogene Daten mit Hilfe informationstechnischer Geräte <strong>von</strong><br />
<strong><strong>de</strong>r</strong> datenverarbeiten<strong>de</strong>n Stelle außerhalb ihrer Räumlichkeiten verarbeitet, sind<br />
die Datenbestän<strong>de</strong> zu verschlüsseln. Die datenverarbeiten<strong>de</strong> Stelle hat<br />
sicherzustellen, dass sie die Daten entschlüsseln kann. In Fällen, in <strong>de</strong>nen eine<br />
Verschlüsselung aus technischen Grün<strong>de</strong>n nicht möglich ist, ist die Verarbeitung<br />
personenbezogener Daten ohne Verschlüsselung nach konkreten, <strong>de</strong>m<br />
Schutzbedarf <strong><strong>de</strong>r</strong> personenbezogenen Daten angemessenen<br />
Verfahrensregelungen zulässig.<br />
(4) Wer<strong>de</strong>n personenbezogene Daten ausschließlich automatisiert gespeichert<br />
wer<strong>de</strong>n, ist zu protokollieren, wann, durch wen und in welcher Weise die Daten<br />
gespeichert wur<strong>de</strong>n. Entsprechen<strong>de</strong>s gilt für die Verän<strong><strong>de</strong>r</strong>ung und Übermittlung<br />
<strong><strong>de</strong>r</strong> Daten. Die Protokolldaten müssen zusammen mit <strong>de</strong>n gespeicherten Daten<br />
sichtbar gemacht wer<strong>de</strong>n können und für <strong>de</strong>n gleichen Zeitraum<br />
aufzubewahren wer<strong>de</strong>n.<br />
…<br />
<strong>Jürgen</strong> <strong>von</strong> <strong><strong>de</strong>r</strong> <strong>Ohe</strong> 6
www.datenschutzzentrum.<strong>de</strong><br />
• § 6 - Gesetzesbegründung:<br />
LDSG<br />
• Beson<strong><strong>de</strong>r</strong>e Ausnahmeregelung in Abs. 3 Satz 3 für Situationen, bei<br />
<strong>de</strong>nen eine Verschlüsselung <strong><strong>de</strong>r</strong> personenbezogenen Daten aus<br />
technischen Grün<strong>de</strong>n nicht möglich ist<br />
• Än<strong><strong>de</strong>r</strong>ung in Abs. 4 soll sicherstellen, dass die Revisionsfähigkeit<br />
<strong>von</strong> ausschließlich elektronisch gespeicherten Daten o<strong><strong>de</strong>r</strong> Akten<br />
nicht hinter <strong><strong>de</strong>r</strong> <strong>von</strong> herkömmlichen Papierakten zurückfällt<br />
• Gebot <strong><strong>de</strong>r</strong> ordnungsgemäßen, lückenlosen Aktenführung verankert<br />
• „Metainformationen“: Angaben darüber, wer Daten gespeichert,<br />
verän<strong><strong>de</strong>r</strong>t o<strong><strong>de</strong>r</strong> übermittelt hat, gehören zu <strong>de</strong>n personenbezogenen<br />
Daten<br />
• Folge:<br />
• gemeinsames speichern <strong><strong>de</strong>r</strong> vorhan<strong>de</strong>nen Informationen<br />
• Gleiche Löschfristen<br />
<strong>Jürgen</strong> <strong>von</strong> <strong><strong>de</strong>r</strong> <strong>Ohe</strong> 7
www.datenschutzzentrum.<strong>de</strong><br />
§ 14 Datenübermittlung an an<strong><strong>de</strong>r</strong>e öffentliche Stellen<br />
LDSG<br />
(1) Die Übermittlung personenbezogener Daten an an<strong><strong>de</strong>r</strong>e öffentliche Stellen ist<br />
zulässig, wenn die Voraussetzungen <strong><strong>de</strong>r</strong> §§ 11 und 13 Abs. 2 bis 6 vorliegen.<br />
(2) Die Verantwortung für die Zulässigkeit <strong><strong>de</strong>r</strong> Übermittlung trägt die<br />
übermitteln<strong>de</strong> Stelle. Soll die Übermittlung auf Ersuchen einer Stelle erfolgen,<br />
so hat diese die hierfür erfor<strong><strong>de</strong>r</strong>lichen Angaben zu machen, insbeson<strong><strong>de</strong>r</strong>e die<br />
Rechtsgrundlage für die Übermittlung anzugeben. Die übermitteln<strong>de</strong> Stelle<br />
prüft die Schlüssigkeit <strong><strong>de</strong>r</strong> Anfrage. Bestehen im Einzelfall Zweifel, so prüft sie<br />
auch die Rechtmäßigkeit <strong>de</strong>s Ersuchens.<br />
(3) Die übermitteln<strong>de</strong> Stelle protokolliert die Empfänger, <strong>de</strong>n Zeitpunkt <strong><strong>de</strong>r</strong><br />
Übermittlung, die jeweils übermittelten Daten und <strong>de</strong>n Zweck <strong><strong>de</strong>r</strong><br />
Übermittlung. Die Protokolldatenbestän<strong>de</strong> sind ein Jahr zu speichern.<br />
<strong>Jürgen</strong> <strong>von</strong> <strong><strong>de</strong>r</strong> <strong>Ohe</strong> 8
www.datenschutzzentrum.<strong>de</strong><br />
§ 15 Datenübermittlung an nichtöffentliche Stellen<br />
LDSG<br />
(1) Die Übermittlung personenbezogener Daten an nichtöffentliche Stellen ist<br />
zulässig, wenn<br />
1. <strong>von</strong> diesen ein rechtliches Interesse an <strong><strong>de</strong>r</strong> Kenntnis <strong><strong>de</strong>r</strong> zu übermitteln<strong>de</strong>n<br />
Daten glaubhaft gemacht wird und schutzwürdige Belange <strong><strong>de</strong>r</strong> o<strong><strong>de</strong>r</strong> <strong>de</strong>s<br />
Betroffenen nicht beeinträchtigt sind o<strong><strong>de</strong>r</strong><br />
2. die Voraussetzungen <strong><strong>de</strong>r</strong> §§ 11 und 13 Abs. 2 bis 6 vorliegen.<br />
(2) Die übermitteln<strong>de</strong> Stelle hat die empfangen<strong>de</strong> Stelle zu verpflichten, die Daten<br />
nur zu <strong>de</strong>m Zweck zu verwen<strong>de</strong>n, zu <strong>de</strong>m sie ihr übermittelt wur<strong>de</strong>n. § 14<br />
Abs. 3 gilt entsprechend, sofern nicht durch Rechtsvorschrift Abweichen<strong>de</strong>s<br />
geregelt ist.<br />
<strong>Jürgen</strong> <strong>von</strong> <strong><strong>de</strong>r</strong> <strong>Ohe</strong> 9
www.datenschutzzentrum.<strong>de</strong><br />
LDSG<br />
• §§ 14 und 15 - Gesetzesbegründung:<br />
• Empfänger <strong>von</strong> Datenübermittlungen sind nach EuGH zu<br />
speichern, damit <strong>de</strong>n Betroffenen auch Auskunft über<br />
die Empfänger erteilt wer<strong>de</strong>n kann<br />
• Protokolldaten sind für ein Jahr zu speichern<br />
• Dokumentationspflicht aus § 14 Abs. 3 LDSG gilt auch<br />
für Übermittlungen an nichtöffentlichen Stellen<br />
• § 6 Abs. 4 LDSG ist zu beachten<br />
<strong>Jürgen</strong> <strong>von</strong> <strong><strong>de</strong>r</strong> <strong>Ohe</strong> 10
www.datenschutzzentrum.<strong>de</strong><br />
LDSG<br />
§ 45 Übergangsregelung<br />
Am 26. Januar 2012 eingesetzte automatisierte Verfahren<br />
müssen bis zum Ablauf <strong>de</strong>s 31. Dezember 2013 <strong>de</strong>n § 6<br />
Abs. 4 Satz 3, § 8 Abs. 4 und §§ 14 und 15 entsprechen.<br />
<strong>Jürgen</strong> <strong>von</strong> <strong><strong>de</strong>r</strong> <strong>Ohe</strong> 11
www.datenschutzzentrum.<strong>de</strong><br />
• § 45 - Gesetzesbegründung:<br />
LDSG<br />
• Übergangsvorschriften für die neuen Regelungen in § 6<br />
Abs. 4 Satz 3 zur Sichtbarmachung <strong>von</strong> Protokolldaten<br />
bei ausschließlich automatisch gespeicherten<br />
personenbezogenen Daten und <strong>de</strong>n §§ 8 Abs. 4, 14 und<br />
15 <strong><strong>de</strong>r</strong> Datenübermittlungen, bei <strong>de</strong>nen künftig<br />
zusätzliche Daten, wie z.B. <strong><strong>de</strong>r</strong> Zweck <strong><strong>de</strong>r</strong> Übermittlung,<br />
protokolliert wer<strong>de</strong>n müssen<br />
• Bis zum En<strong>de</strong> <strong><strong>de</strong>r</strong> Übergangszeit sind die<br />
Protokollierungen <strong><strong>de</strong>r</strong> bisher eingesetzten<br />
automatisierten Verfahren entsprechend anzupassen<br />
<strong>Jürgen</strong> <strong>von</strong> <strong><strong>de</strong>r</strong> <strong>Ohe</strong> 12
www.datenschutzzentrum.<strong>de</strong><br />
LDSG<br />
§ 8 Gemeinsame Verfahren und Abrufverfahren<br />
(1) Ein automatisiertes Verfahren, das mehreren datenverarbeiten<strong>de</strong>n Stellen<br />
gemeinsam die Verarbeitung personenbezogener Daten (gemeinsames<br />
Verfahren) o<strong><strong>de</strong>r</strong> die Übermittlung personenbezogener Daten durch Abruf<br />
(Abrufverfahren) ermöglicht, darf nur eingerichtet wer<strong>de</strong>n, soweit dieses<br />
Verfahren unter Berücksichtigung <strong><strong>de</strong>r</strong> schutzwürdigen Interessen <strong><strong>de</strong>r</strong><br />
Betroffenen und <strong><strong>de</strong>r</strong> Aufgaben <strong><strong>de</strong>r</strong> beteiligten Stellen angemessen ist.<br />
(2) Die beteiligten Stellen haben zu gewährleisten, dass die Zulässigkeit <strong>de</strong>s<br />
Verfahrens kontrolliert wer<strong>de</strong>n kann. Hierzu kann die Verantwortung für die<br />
Gewährleistung <strong><strong>de</strong>r</strong> Ordnungsmäßigkeit <strong>de</strong>s automatisierten Verfahrens<br />
<strong>von</strong> <strong><strong>de</strong>r</strong> Verantwortung für die gespeicherten Daten abgetrennt und auf<br />
eine zentrale Stelle übertragen wer<strong>de</strong>n. Die zentrale Stelle sowie<br />
Einzelheiten über Sicherheit und Ordnungsmäßigkeit <strong><strong>de</strong>r</strong> Datenverarbeitung<br />
wer<strong>de</strong>n durch Verordnung <strong><strong>de</strong>r</strong> für das Verfahren zuständigen obersten<br />
Lan<strong>de</strong>sbehör<strong>de</strong> bestimmt.<br />
…<br />
<strong>Jürgen</strong> <strong>von</strong> <strong><strong>de</strong>r</strong> <strong>Ohe</strong> 13
www.datenschutzzentrum.<strong>de</strong><br />
LDSG<br />
• § 8 - Gesetzesbegründung:<br />
• Verantwortlichkeit für die Datenverarbeitung wird getrennt:<br />
• datenverarbeiten<strong>de</strong> Stellen für die Daten<br />
• zentrale Stelle für das Verfahren<br />
• wenn eine zentrale Stelle eingerichtet wird, brauchen automatisierten<br />
Verfahren, die bei mehreren datenverarbeiten<strong>de</strong>n Stellen zum Einsatz<br />
kommen, nur noch<br />
• eine Verfahrensdokumentation<br />
• einen Test<br />
• ein Freigabeverfahren<br />
• eine Vorabkontrolle<br />
• Regelung durch Rechtsverordnung notwendig, um die Anfor<strong><strong>de</strong>r</strong>ungen <strong>de</strong>s<br />
§ 24 LVwG für eine Funktionsübertragung zu erfüllen<br />
<strong>Jürgen</strong> <strong>von</strong> <strong><strong>de</strong>r</strong> <strong>Ohe</strong> 14
www.datenschutzzentrum.<strong>de</strong><br />
LDSG<br />
§ 17 Verarbeitung personenbezogener Daten im Auftrag, Wartung<br />
(1) Lässt eine datenverarbeiten<strong>de</strong> Stelle personenbezogene Daten in ihrem<br />
Auftrag verarbeiten, bleibt sie für die Einhaltung <strong><strong>de</strong>r</strong> Vorschriften dieses<br />
Gesetzes und an<strong><strong>de</strong>r</strong>er Vorschriften über <strong>de</strong>n Datenschutz verantwortlich.<br />
Rechte <strong><strong>de</strong>r</strong> Betroffenen sind ihr gegenüber geltend zu machen. Die Weitergabe<br />
<strong><strong>de</strong>r</strong> Daten <strong>von</strong> <strong><strong>de</strong>r</strong> datenverarbeiten<strong>de</strong>n Stelle an die Auftragnehmen<strong>de</strong>n gilt<br />
nicht als Übermittlung im Sinne <strong>von</strong> § 2 Abs. 2 Nr. 3.<br />
(2) Wer<strong>de</strong>n bei automatisierter Datenverarbeitung Verantwortlichkeiten auf eine<br />
zentrale Stelle übertragen, gilt § 8 Abs. 2 entsprechend. Die zentrale Stelle<br />
übernimmt für das automatisierte Verfahren die Verantwortung nach Absatz 1<br />
Satz 1.<br />
(3) Die datenverarbeiten<strong>de</strong> Stelle hat dafür Sorge zu tragen, dass<br />
personenbezogene Daten nur im Rahmen ihrer Weisungen verarbeitet wer<strong>de</strong>n.<br />
Sie hat die erfor<strong><strong>de</strong>r</strong>lichen technischen und organisatorischen Maßnahmen zu<br />
treffen, um dies sicherzustellen. Sie hat Auftragnehmen<strong>de</strong> unter beson<strong><strong>de</strong>r</strong>er<br />
Berücksichtigung ihrer Eignung für die Gewährleistung <strong><strong>de</strong>r</strong> nach <strong>de</strong>n §§ 5 und<br />
6 notwendigen technischen und organisatorischen Maßnahmen sorgfältig<br />
auszuwählen. Aufträge, ergänzen<strong>de</strong> Weisungen zu technischen und<br />
organisatorischen Maßnahmen und die etwaige Zulässigkeit <strong>von</strong><br />
Unterauftragsverhältnissen sind schriftlich festzulegen.<br />
…<br />
<strong>Jürgen</strong> <strong>von</strong> <strong><strong>de</strong>r</strong> <strong>Ohe</strong> 15
www.datenschutzzentrum.<strong>de</strong><br />
• § 17 - Gesetzesbegründung:<br />
LDSG<br />
• Folgeän<strong><strong>de</strong>r</strong>ung zu § 8 Abs. 2: zentrale Stelle nimmt die<br />
Verantwortung für das automatisierte Verfahren wahr<br />
<strong>Jürgen</strong> <strong>von</strong> <strong><strong>de</strong>r</strong> <strong>Ohe</strong> 16
www.datenschutzzentrum.<strong>de</strong><br />
Rechtliche Grenzen beim For<strong><strong>de</strong>r</strong>ungsmanagement<br />
Art. 33 Abs. 4 GG:<br />
„Die Ausübung hoheitsrechtlicher Befugnisse ist als ständige Aufgabe in <strong><strong>de</strong>r</strong><br />
Regel Angehörigen <strong>de</strong>s öffentlichen Dienstes zu übertragen, die in einem<br />
öffentlich-rechtlichen Dienst- und Treueverhältnis stehen. „<br />
Folgerungen:<br />
• Eine umfassen<strong>de</strong> Übertragung „hoheitlicher Befugnisse“ auf<br />
Inkassounternehmen, die in <strong>de</strong>n Kernbereich <strong><strong>de</strong>r</strong> Norm eingreift, wäre<br />
selbst auf gesetzlicher Grundlage verfassungswidrig.<br />
• Der Begriff <strong><strong>de</strong>r</strong> Auftragsdatenverarbeitung ist auf <strong><strong>de</strong>r</strong> Grundlage <strong><strong>de</strong>r</strong><br />
Beschränkungen <strong>de</strong>s Art. 33 Abs. 4 GG auszulegen.<br />
<strong>Jürgen</strong> <strong>von</strong> <strong><strong>de</strong>r</strong> <strong>Ohe</strong> 17
www.datenschutzzentrum.<strong>de</strong><br />
§ 24 LVwG:<br />
„Natürlichen und juristischen Personen <strong>de</strong>s Privatrechts sowie<br />
nichtrechtsfähigen Vereinigungen können Aufgaben <strong><strong>de</strong>r</strong> öffentlichen<br />
Verwaltung zur Erledigung in <strong>de</strong>n Handlungsformen <strong>de</strong>s öffentlichen Rechts<br />
nur durch Gesetz o<strong><strong>de</strong>r</strong> aufgrund eines Gesetzes übertragen wer<strong>de</strong>n.“<br />
Folgerungen:<br />
• Da entsprechen<strong>de</strong> gesetzliche Regelungen nur hinsichtlich einer<br />
Auftragsdatenverarbeitung vorhan<strong>de</strong>n sind, ist eine Funktionsübertragung<br />
auf Inkassounternehmen unzulässig.<br />
• § 17 LDSG gilt nicht für beson<strong><strong>de</strong>r</strong>e Berufs- o<strong><strong>de</strong>r</strong> Amtsgeheimnisse, da<br />
diese Bereiche durch Bun<strong>de</strong>srecht abschließend geregelt sind.<br />
• Die AO kennt als sog. Kernbereich hoheitlicher Tätigkeit keine<br />
Auftragsdatenverarbeitung.<br />
• Die Auftragdatenverarbeitung richtet sich bei Sozialdaten nach <strong>de</strong>n<br />
beson<strong><strong>de</strong>r</strong>en Anfor<strong><strong>de</strong>r</strong>ungen <strong>de</strong>s SGB X .<br />
<strong>Jürgen</strong> <strong>von</strong> <strong><strong>de</strong>r</strong> <strong>Ohe</strong> 18
www.datenschutzzentrum.<strong>de</strong><br />
Grenzen <strong><strong>de</strong>r</strong> Auftragsdatenverarbeitung aus § 17 LDSG<br />
• AN han<strong>de</strong>lt unselbständig im Namen <strong>de</strong>s AG (Abs. 1)<br />
• AN han<strong>de</strong>lt nach abschließen<strong>de</strong>n schriftlichen Weisungen <strong>de</strong>s AG<br />
(Abs. 3 Satz 4)<br />
• AG kontrolliert die Arbeitsergebnisse <strong>de</strong>s AN vor <strong><strong>de</strong>r</strong> Verwendung im<br />
Außenverhältnis gegenüber Dritten (Abs. 3 Satz 1)<br />
• AG hat AN unter Eignungsgesichtspunkten sorgfältig auszuwählen<br />
(Abs. 3 Satz 3)<br />
<strong>Jürgen</strong> <strong>von</strong> <strong><strong>de</strong>r</strong> <strong>Ohe</strong> 19
www.datenschutzzentrum.<strong>de</strong><br />
Ziel und Zweck Son<strong><strong>de</strong>r</strong>regelung <strong>de</strong>s § 17 Abs. 6 LDSG<br />
Abs. 6: „Zur Durchführung <strong>von</strong> beraten<strong>de</strong>n o<strong><strong>de</strong>r</strong> begutachten<strong>de</strong>n Tätigkeiten<br />
im Auftrag <strong><strong>de</strong>r</strong> datenverarbeiten<strong>de</strong>n Stelle ist die Übermittlung<br />
personenbezogener Daten zulässig, wenn….“<br />
• Ermächtigung für Grundstücksgutachter, Ärzte o<strong><strong>de</strong>r</strong> Anwälte<br />
• erlaubt „eigene“ Bewertung <strong>von</strong> Sachverhalten durch AN<br />
• Bewertungsergebnisse gehören <strong>de</strong>m AG, sie entfalten keine eigenständige<br />
unmittelbare Außenwirkung<br />
• Inkassobüros können nach dieser Vorschrift allenfalls bei <strong><strong>de</strong>r</strong> internen<br />
Bewertung <strong>von</strong> For<strong><strong>de</strong>r</strong>ungen behilflich sein (z.B. durch Bonitätsauskünfte)<br />
<strong>Jürgen</strong> <strong>von</strong> <strong><strong>de</strong>r</strong> <strong>Ohe</strong> 20
www.datenschutzzentrum.<strong>de</strong><br />
Folgerungen für die Praxis:<br />
• Keine Auftragsdatenverarbeitung mit Steuerdaten<br />
• Ausschluss <strong><strong>de</strong>r</strong> Datenspeicherung beim Inkassounternehmen für eigene<br />
Zwecke<br />
• Begrenzung <strong><strong>de</strong>r</strong> Unterstützungsleistungen auf reine Hilfstätigkeiten<br />
• Keine eigenständige nach außen gerichtete Tätigkeiten durch das<br />
Inkassounternehmen (z. B. keine tel. o<strong><strong>de</strong>r</strong> persönliche Ansprache <strong>de</strong>s<br />
Schuldners)<br />
• Kontrolle <strong><strong>de</strong>r</strong> Unterstützungsleistungen <strong>de</strong>s AN durch <strong>de</strong>n AG vor <strong><strong>de</strong>r</strong><br />
Verwendung gegenüber Dritten<br />
• Umfassen<strong>de</strong> abschießen<strong>de</strong> Verträge bzw. Weisungen <strong>de</strong>s AG<br />
<strong>Jürgen</strong> <strong>von</strong> <strong><strong>de</strong>r</strong> <strong>Ohe</strong> 21
www.datenschutzzentrum.<strong>de</strong><br />
Vielen Dank für Ihre Aufmerksamkeit!<br />
<strong>Jürgen</strong> <strong>von</strong> <strong><strong>de</strong>r</strong> <strong>Ohe</strong> 22