12.3 Verarbeitung personenbezogener Daten im Auftrag

Dem Landesbeauftragten war von einer öffentlichen Stelle anlässlich einer Kontrolle der Rahmenvertrag eines Ministeriums mit einer nicht-öffentlichen Stelle, einer GmbH, vorgelegt worden, in dem es um die Sammlung, die Vernichtung und das Recycling von Informationsträgern durch die GmbH ging. Die kontrollierte öffentliche Stelle beabsichtigte, auf Basis dieses Rahmenvertrages eigene Vertragsbeziehungen mit der GmbH einzugehen und dabei, wirtschaftlich durchaus sinnvoll, die im Rahmenvertrag abgeschlossenen Konditionen für sich zu nutzen. Allerdings hatte die öffentliche Stelle bemerkt, dass es sich bei der beabsichtigten Vernichtung von Unterlagen mit personenbezogenen Daten um eine Datenverarbeitung im Auftrag im Sinne von § 8 DSG-LSA handelt und sodann Zweifel gehegt, dass der Rahmenvertrag dieser Tatsache ausreichend Rechnung trägt.
Der Landesbeauftragte teilte diese Zweifel bereits nach einer ersten stichprobenhaften Prüfung des vorgelegten Rahmenvertrages. Das verantwortliche Ministerium hatte keinen der Hinweise des Landesbeauftragten zur Datenverarbeitung im Auftrag und zur Aktenvernichtung beachtet, die regelmäßig bei Fortbildungsveranstaltungen, Beratungen und auch in Ziff. 13.4.1 und 13.4.2 des IV. Tätigkeitsberichts gegeben wurden. Rahmenverträge, wie der vorgelegte, wären zur Begründung von Vertragsverhältnissen öffentlicher Stellen mit der GmbH jedenfalls dann völlig untauglich, wenn diese Verträge die Vernichtung von Unterlagen mit personenbezogenen Daten im Sinne des DSG-LSA zum Inhalt hätten.

Beispielsweise

• war eine unzutreffende Rechtsgrundlage angegeben (BDSG statt DSG-LSA)
• hätte der Auftragnehmer (die GmbH) sich nach dem längst nicht mehr existierenden § 32 BDSG bei der zuständigen Aufsichtsbehörde zu melden,
• war eine außerordentliche Kündigungsmöglichkeit des Auftraggebers bei Vertragsverletzungen des Auftragnehmers nicht enthalten,
• war keine Sicherheitsstufe nach DIN 32757 für die Aktenvernichtung vereinbart worden,
• hätte weder der Auftraggeber noch der Landesbeauftragte die Möglichkeit gehabt, die ordnungsgemäße Vertragsdurchführung zu überprüfen.

Das Ministerium, vom Landesbeauftragten auf diese Tatsachen angesprochen, hob kurzerhand den Vertrag auf.

Das Ministerium des Innern hatte sich im Berichtszeitraum ebenfalls intensiv mit Fragen des Outsourcing und der Abgrenzung von Datenverarbeitung im Auftrag und Funktionsübertragung beschäftigt. Ergebnis der Arbeit, bei der zeitweise auch der Landesbeauftragte mitwirkte und dabei seine Erfahrungen aus vielen Kontrollen und Beratungen einbringen konnte, waren

• ein Mustervertrag über die Vernichtung von Datenträgern,
• ein Mustervertrag zur Verarbeitung personenbezogener Daten im Auftrag in den Ausprägungen für öffentliche Stellen (nach § 8 DSG-LSA) und nicht-öffentliche Stellen (nach § 11 BDSG) und
• eine Handreichung zur Auslagerung von Aufgaben (Outsourcing).

Der Landesbeauftragte empfiehlt bei der Vernichtung personenbezogener Daten in Akten mindestens die Sicherheitsstufe 3 der DIN 32757. Bei dieser Sicherheitsstufe 3 ist die Streifenbreite und -länge sowie die Partikelfläche ausreichend gering, sodass eine Reproduktion von Daten nur unter erheblichem Aufwand möglich wäre. Für die Vernichtung sensibler personenbezogener Daten können entsprechend höhere Sicherheitsstufen vertraglich vereinbart werden.
Abschließend weist der Landesbeauftragte auf die Unterrichtungspflicht der öffentlichen Stellen gem. § 8 Abs. 6 DSG-LSA hin, falls auf Auftragnehmer die Bestimmungen des DSG-LSA keine Anwendung finden.

Die meisten der genannten Dokumente hält der Landesbeauftragte auch in seinem Internetangebot im Servicebereich zum Download bereit.