Hamburgisches - Hamburgische Beauftragte für Datenschutz und
Hamburgisches - Hamburgische Beauftragte für Datenschutz und
Hamburgisches - Hamburgische Beauftragte für Datenschutz und
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
Die wesentliche Folge einer Auftragsdatenverarbeitung in diesem Sinne<br />
ist, dass „der Auftraggeber letztlich die alleinige Verantwortung <strong>für</strong> die Einhaltung<br />
datenschutzrechtlicher Vorschriften trägt“ (Bü-Drs. 13/3282, zu § 3,<br />
2. Abs. ). Nach § 4 Abs. 3 bleibt die öffentliche Stelle selbst „Daten verarbeitende<br />
Stelle“, obwohl die eigentliche Datenverarbeitung ein Dritter vornimmt.<br />
Der Auftraggeber ist auch Adressat der Rechte der Betroffenen. Die<br />
Datenweitergabe an den Auftragnehmer zum Zwecke der Auftragsdatenverarbeitung<br />
ist <strong>für</strong> die auftraggebende öffentliche Stelle eine bloße Nutzung,<br />
keine Übermittlung (siehe § 4 Abs. 2 Nr. 4 in Verbindung mit Abs. 4),<br />
der Auftragnehmer kein Dritter im Sinne des § 4 Abs. 4. Aus diesem Gr<strong>und</strong>e<br />
bedarf es <strong>für</strong> die Weitergabe der Daten an die auftragnehmende Stelle –<br />
z.B. ein Rechenzentrum – auch weder einer gesetzlichen Übermittlungsbefugnis<br />
noch einer Einwilligung.<br />
Eine Ausnahme bildet aufgr<strong>und</strong> der Definition in § 4 Abs. 4 die Auftragsdatenverarbeitung<br />
außerhalb der Europäischen Union. Auftragnehmer<br />
sind in diesen Fällen rechtlich Dritte. Werden personenbezogene Daten<br />
außerhalb der Mitgliedstaaten der EU verarbeitet, sind die Voraussetzungen<br />
nach § 17 einzuhalten. Für die Nutzung von Google Analytics <strong>und</strong> des<br />
Cloud Computing sei darauf hingewiesen, dass es nach § 17 anders als<br />
beim B<strong>und</strong>esdatenschutzgesetz ausschließlich auf den Ort der Verarbeitung<br />
ankommt <strong>und</strong> nicht auf den Sitz des Anbieters. Gr<strong>und</strong>sätzlich kann<br />
auch nicht aus rein fiskalischen Gründen in Länder ohne angemessenes<br />
Schutzniveau ausgewichen werden. Der Auftraggeber bleibt <strong>für</strong> die Einhaltung<br />
des angemessenen Schutzniveaus nach §§ 8, 10 verantwortlich, <strong>und</strong><br />
die Betroffenen können nach herrschender Meinung jedenfalls nicht regelhaft<br />
auf das Schutzniveau, etwa auf die Einhaltung technisch-organisatorischer<br />
Maßnahmen, im Wege der Einwilligung verzichten.<br />
Die Verantwortung <strong>für</strong> den <strong>Datenschutz</strong> kann die auftraggebende öffentliche<br />
Stelle nur wahrnehmen, wenn sie ihrer Sorgfaltspflicht bei der Auswahl<br />
des Auftragnehmers genügt <strong>und</strong> die in Abs. 1 S. 4 <strong>und</strong> Abs. 3 S. 1 gesetzlich<br />
vorgegebenen Vertragsinhalte vereinbart: Festlegung technischer <strong>und</strong><br />
organisatorischer Sicherungsmaßnahmen <strong>und</strong> etwaiger Unterauftragsverhältnisse,<br />
Umschreibung der Zweckbindung der Datenverarbeitung, Bestimmungen<br />
zu Rückgabe / Löschen / Vernichten der übergebenen Daten<br />
nach Auftragsabwicklung, Verpflichtung des Auftragnehmers, die <strong>für</strong> die<br />
auftraggebende Stelle geltenden <strong>Datenschutz</strong>vorschriften zu befolgen<br />
<strong>und</strong> sich – als nicht-öffentliche Stelle in Hamburg – der Überwachung<br />
durch den <strong>Hamburgische</strong>n <strong>Beauftragte</strong>n <strong>für</strong> <strong>Datenschutz</strong> <strong>und</strong> Informationsfreiheit<br />
zu unterwerfen. Zudem stehen der auftraggebenden Stelle<br />
gegenüber dem Auftragnehmer Kontroll- <strong>und</strong> Weisungsrechte zu.<br />
50