12.1    Auftragsdatenverarbeitung - mit bekannten Problemen

Im Rahmen seiner planmäßigen Kontrollen bei öffentlichen Stellen des Landes Sachsen-Anhalt hat der Landesbeauftragte Ende des Jahres 2006 im Bereich der Justiz die Überprüfung der Auftragsdatenverarbeitung in einer zentralen Servicestelle zur Betreuung der Informationstechnik vorgenommen.
Zuvor hatte sich der Landesbeauftragte, wie üblich, wenn "Neuland" in einem Prüfbereich betreten wird, im Rahmen eines Informationsgespräches über die Aufgaben dieser zentralen Servicestelle informiert. In diesem Zusammenhang war für den Landesbeauftragten von besonderem Interesse, dass diese Stelle für den gesamten Justizbereich die Entsorgung von Personalcomputern vornahm und die Vernichtung der Festplatten dieser Personalcomputer einem privaten Unternehmen in einem anderen Bundesland übertragen hatte.

Die allerdings bei der Kontrolle vorgefundene Ablauforganisation bei der Entgegennahme und Lagerung dieser auszusondernden Computertechnik und die Vertragsgestaltung gaben dem Landesbeauftragten doch Anlass zur Kritik.
Zur Kontrolle selbst konnte ein schriftlicher Vertrag mit dem Unternehmen nicht vorgelegt werden. Eine Kontrolle des Auftraggebers beim Auftragnehmer zur Überprüfung dessen Eignung, insbesondere im Hinblick auf die vom Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen, war nicht erfolgt und eine Unterrichtung des Landesbeauftragten für den Datenschutz über die Auftragsdatenverarbeitung lag ebenfalls nicht vor.
Nur die umgehende Erfüllung der im Prüfbericht des Landesbeauftragten festgelegten, auch zeitlichen, Auflagen bewahrte diese öffentliche Stelle vor einer formellen Beanstandung gem. § 24 Abs. 1 DSG-LSA.

Eigentlich sollten die gesetzlichen Regelungen zur Auftragsdatenverarbeitung (§ 8 DSG-LSA) und die damit verbundenen Verpflichtungen für eine öffentliche Stelle mittlerweile ausreichend bekannt sein, denn in fast allen bisherigen Tätigkeitsberichten wurde auf die Problematik der Auftragsdatenverarbeitung eingegangen. Bereits in seinem II. Tätigkeitsbericht 1995, Ziff. 13.2, also vor fast 12 Jahren, hat der Landesbeauftragte ausführlich hierzu berichtet!

Trotzdem nochmals die nachfolgenden Hinweise zu den Pflichten des öffentlichen Auftraggebers bei der Beauftragung eines privaten (nicht öffentlichen) Auftragnehmers:
Bei der Datenverarbeitung im Auftrag bleibt der Auftraggeber die rechtlich verantwortliche Stelle (§ 8 Abs. 1 Satz 1 DSG-LSA). Der Auftrag ist gem. § 8 Abs. 2 Satz 2 DSG-LSA schriftlich zu erteilen. Gemäß § 8 Abs. 2 Satz 4 DSG-LSA hat sich der Auftraggeber von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen. Diese Maßnahmen müssen den für den Auftraggeber geltenden Bestimmungen des § 6 DSG-LSA entsprechen.
Bei einem privaten (nicht öffentlichen) Auftragnehmer, auf den die Vorschriften des DSG-LSA nicht anwendbar sind, ist gem. § 8 Abs. 6 DSG-LSA vertraglich sicherzustellen, dass dieser die Bestimmungen des DSG-LSA befolgt und sich der Kontrolle (§§ 22 bis 24 DSG-LSA) durch den Landesbeauftragten für den Datenschutz unterwirft. Der Landesbeauftragte ist über die Beauftragung zu unterrichten.
Der § 8 Abs. 7 des DSG-LSA berücksichtigt noch den Sonderfall der Wartung von Datenverarbeitungsanlagen oder -verfahren durch Dritte. Er ist durch Art. 1 des Gesetzes zur Änderung datenschutzrechtlicher Vorschriften vom 21. August 2001 (GVBl. LSA S. 348) in § 8 eingefügt worden.

Der Landesbeauftragte fordert die öffentlichen Stellen, insbesondere aber die Beauftragten für den Datenschutz in den Landesbehörden und auch im kommunalen Bereich auf, in ihrem Verantwortungsbereich zu prüfen, ob eine Auftragsdatenverarbeitung durch private Dritte erfolgt, inwieweit bei vorliegenden Verträgen die Bestimmungen des § 8 DSG-LSA berücksichtigt sind und ob eine Unterrichtung des Landesbeauftragten erfolgt ist. Denn auch die beim Landesbeauftragten geführte Übersicht zu Unterrichtungen über eine Auftragsverarbeitung enthält in den letzten zwei Jahren Eingänge im einstelligen Bereich.