Hamburgisches - Hamburgische Beauftragte für Datenschutz und
Hamburgisches - Hamburgische Beauftragte für Datenschutz und
Hamburgisches - Hamburgische Beauftragte für Datenschutz und
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
Anders als bei nicht-öffentlichen Stellen ist der Vertrag zwischen auftraggebender<br />
<strong>und</strong> auftragnehmender Stelle nach dem Wortlaut der Vorschrift<br />
nicht mehr zwingend schriftlich zu erteilen. Schon aus Gründen der Dokumentation<br />
des Verwaltungshandelns ist jedoch angesichts der verschiedenen<br />
vorgegebenen Vertragsinhalte zumindest eine elektronische Speicherung<br />
der Absprachen zu fordern. Für die Dienststellen der Freien <strong>und</strong> Hansestadt<br />
Hamburg (Kernverwaltung) fordert ferner die Freigaberichtlinie der<br />
Finanzbehörde eine schriftliche oder elektronische Form der Auftragserteilung.<br />
Bei einem außer-hamburgischen Auftragnehmer verlangt § 3 Abs. 3<br />
Satz 2, dass die auftraggebende öffentliche Stelle die zuständige <strong>Datenschutz</strong>aufsichtsbehörde<br />
von der Auftragsdurchführung in ihrem Bereich<br />
unterrichtet.<br />
Wegen verschiedener negativer Vorfälle bei der Auftragsdatenverarbeitung<br />
wurde 2010 die Parallelvorschrift § 11 B<strong>und</strong>esdatenschutzgesetz<br />
(BDSG) <strong>für</strong> nicht-öffentliche Auftraggeber stark erweitert <strong>und</strong> verschärft.<br />
Die Anforderungen an eine zulässige Auftragsdatenverarbeitung sind seitdem<br />
im nicht-öffentlichen Bereich strenger als im Hamburger öffentlichen<br />
Bereich. Dies ist jedoch inhaltlich kaum zu begründen. Zumindest bei der<br />
datenschutzrechtlichen Beratung öffentlicher Stellen wird der HmbBfDI<br />
deswegen auch Anregungen aus § 11 BDSG aufnehmen <strong>und</strong> z.B. in die<br />
Auslegung notwendiger organisatorischer Maßnahmen (Abs. 1 Satz 2, 3)<br />
einbeziehen.<br />
Absatz 4<br />
Abs. 4 ist eine landesspezifische Regelung, die sich so in anderen<br />
<strong>Datenschutz</strong>gesetzen nicht findet. Sie stellt die Vergabe beratender <strong>und</strong><br />
begutachtender „oder vergleichbarer unterstützender Tätigkeiten“ sowie<br />
von (Fern-)Wartungsarbeiten <strong>für</strong> EDV-Systeme der Auftragsdatenverarbeitung<br />
gleich. „Diese Tätigkeiten bewegen sich einerseits allenfalls im Randbereich<br />
der Auftragsdatenverarbeitung, da Beratern, Gutachtern <strong>und</strong> vergleichbar<br />
Tätigen wegen ihrer besonderen Sachkenntnis <strong>und</strong> der ihnen zur<br />
Erfüllung ihrer Aufgaben notwendigerweise einzuräumenden Entscheidungsspielräume<br />
die Verarbeitung personenbezogener Daten nach Art <strong>und</strong><br />
Umfang nicht im Einzelnen vorgegeben werden kann. Andererseits fällt es<br />
häufig schwer, in diesen Fällen eine gesetzliche Übermittlungsbefugnis herzuleiten.<br />
Die neue Nr. 1 schließt diese Lücke.“ (Bü-Drs. 16/3995).<br />
Die in Abs. 4 Nr. 1 genannten „begutachtenden Tätigkeiten“ kommen vor<br />
allem Im Sozial- <strong>und</strong> Ges<strong>und</strong>heitsbereich vor. Für die Datenweitergabe z.B.<br />
vom UKE, vom Ges<strong>und</strong>heitsamt oder vom Medizinischen Dienst an externe<br />
Auftragnehmer gehen jedoch die spezialgesetzlichen Vorschriften etwa<br />
im <strong>Hamburgische</strong>n Krankenhausgesetz (§ 9) oder im Sozialgesetzbuch<br />
51