SCHLESWIG-HOLSTEINISCHER LANDTAG Drucksache 18/4198 18. Wahlperiode 18.05.2016 Kleine Anfrage des Abgeordneten Wolfgang Kubicki (FDP) und Antwort der Landesregierung - Ministerpräsident Digitalisierung von Personalakten - Nachfrage zu Drucksache 18/3955 Vorbemerkung des Fragestellers: Die Landesbeauftragte für den Datenschutz Niedersachsen hat in ihren datenschutzrechtlichen Hinweisen zur Einführung der elektronischen Personalakte im öffentlichen Dienst in Niedersachsen folgendes ausgeführt: "Das (manipulationssichere) Scannen und Signieren der Personalakten sowie die Digitalisierung neuer Vorgänge ist ausschließlich durch Beschäftigte der Personalstelle oder von mit der Wahrnehmung der Bearbeitung von Personalangelegenheiten beauftragter (öffentlicher) Stellen zulässig (vollständige Sichtprüfung durch Fachpersonal erforderlich, z. B. für die Entscheidung, was zählt zum scan-relevanten Schriftgut ). Ein Outsourcing dieser Aufgabe an private Dritte (nicht öffentlicher Bereich) ist unzulässig (die Regelungen zur Auftragsdatenverarbeitung finden hier keine Anwendung !)." Demgegenüber hat die Landesregierung in Drucksache 18/3955 erklärt, dass die Digitalisierung von Personalakten durch ein externes Dienstleistungsunternehmen eine Auftragsdatenverarbeitung im Sinne des § 17 Schleswig-Holsteinisches Gesetz zum Schutz personenbezogener Informationen (Landesdatenschutzgesetz - LDSG) darstellt. Ich frage die Landesregierung: 1. Wieso hält die Landesregierung die Regelungen zur Auftragsdatenverarbeitung für anwendbar? Bitte begründen. Drucksache 18/4198 Schleswig-Holsteinischer Landtag - 18. Wahlperiode 2 Antwort: Die Landesregierung geht nach umfassender Prüfung davon aus, dass entgegen der Auffassung der Landesbeauftragten für den Datenschutz Niedersachsen – zumindest – in Schleswig-Holstein die Digitalisierung von Personalakten durch einen privaten Dienstleister zulässig ist und die Regelungen zur Auftragsdatenverarbeitung nach § 17 LDSG anwendbar sind. Das Landesbeamtengesetz enthält spezialgesetzliche Regelungen zum Führen von Personalakten und Personalaktendaten. Es ist damit Lex specialis zu allgemeineren Regelungen im Bereich der personenbezogenen Daten. Das allgemeine Landesdatenschutzgesetz kann daher lediglich in den Bereichen (lückenfüllende) Anwendung finden, für die das LBG keine Regelungen trifft. Regelungen zu einer Auftragsdatenverarbeitung im Bereich der Personalaktendaten trifft das LBG jedoch nicht, insoweit ist ein Rückgriff auf die allgemeinen Regelungen des § 17 LDSG notwendig und zulässig . Bei der Auftragsdatenverarbeitung bedient sich der Auftraggeber - als verantwortliche Stelle - eines Dienstleisters, der nach Weisung die Verarbeitung und Nutzung der personenbezogenen Daten für den Auftraggeber betreibt. Der Auftragnehmer handelt in diesem Fall unselbständig und weisungsgebunden und darf keine eigenständige Datenverarbeitung oder Datennutzung betreiben. Der Auftraggeber darf sich des Auftragsnehmers nur zur technischen Durchführung der Verarbeitung bedienen . Es handelt sich dabei nicht um eine Übermittlung nach § 89 LBG bzw. um Zugang nach § 85 Abs. 4 LBG zu Personalaktendaten an einen Dritten, sondern um eine zulässige Auftragsdatenverarbeitung durch einen weisungsgebundenen Verwaltungshelfer nach § 17 LDSG. Der Auftragnehmer ist zwar Empfänger, grundsätzlich aber nicht Dritter im datenschutzrechtlichen Sinne. Die datenverarbeitende Stelle bleibt gemäß § 17 Abs. 1 S. 1 LDSG für die personenbezogenen Daten verantwortlich und muss damit auch die Einhaltung der datenschutzrechtlichen Vorschriften sicherstellen . Auch für besondere personenbezogene Daten nach § 11 Abs. 3 LDSG ist eine Auftragsdatenverarbeitung zulässig. Für § 17 LDSG ergibt sich dies aus der Kommentierung zum Landesdatenschutzgesetz, wonach „§ 17 [schließt] grundsätzlich nicht aus [schließt], dass Daten, die einem besonderen Amts- oder Berufsgeheimnis unterliegen , im Wege der Auftragsdatenverarbeitung auch durch private Auftragnehmer verarbeitet werden. Allerdings muss die private Stelle in der Lage sein, die Anforderungen tatsächlich zu erfüllen, die an die Verarbeitung solcher Daten zu stellen sind.“ (ULD, Hinweise zur Anwendung des neuen Landesdatenschutzgesetzes, § 17 Ziffer 5, S. 83). Dies hat die für die öffentlichen Stellen in Schleswig-Holstein zuständige Aufsichtsbehörde für Datenschutz, das Unabhängige Landeszentrum für Datenschutz (ULD), auch zur Auftragsdatenverarbeitung von Personalakten in seinem 19. Tätigkeitsbericht bestätigt, in dem es feststellt, dass die Auftragsdatenverarbeitung im Bereich der Beihilfebearbeitung zulässig wäre (siehe https://www.datenschutzzentrum.de/tb/tb19/index.html, Ziffer 11.1). Schleswig-Holsteinischer Landtag - 18. Wahlperiode Drucksache 18/4198 3 2. Sieht die Landesregierung vor dem Hintergrund der Rechtsauffassung der Landesbeauftragten für den Datenschutz Niedersachsen Handlungsbedarf in Bezug auf die Digitalisierung von Personalakten durch ein externes Dienstleistungsunternehmen in Schleswig-Holstein? Wenn ja, welchen? Wenn nein, warum nicht? Antwort: Aus Sicht der Landesregierung besteht auch vor dem Hintergrund der Rechtsauffassung der Landesbeauftragten für den Datenschutz Niedersachsen kein ergänzender Handlungsbedarf. Die Rechtsauffassung der Landesbeauftragten für den Datenschutz Niedersachsen war der Landesregierung vor Beginn der Digitalisierung der Personalakten bekannt. Eine Entschließung der Konferenz der Datenschutzbeauftragten gibt es zu diesem Thema nicht, insoweit kann für die datenschutzrechtlich verantwortlichen öffentlichen Stellen des Landes Schleswig-Holstein lediglich die Auffassung der schleswigholsteinischen Aufsichtsbehörde maßgeblich sein. In Abstimmung mit dem Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein (ULD) wurde diese Rechtsfrage vor Beginn der Digitalisierung eingehend geprüft und erörtert. Das ULD hat der Landesregierung gegenüber die Rechtsauffassung der niedersächsischen Datenschutzbeauftragten nicht geteilt. Die Landesbeauftragte für den Datenschutz Niedersachsen unterscheidet bei der Durchführung der Auftragsdatenverarbeitung zwischen „öffentlichen Dienststellen“ und „privaten Dritten“. § 17 LDSG unterscheidet für die Durchführung der Auftragsdatenverarbeitung gerade nicht zwischen „öffentlichen“ und „nicht-öffentlichen“ Stellen im Rahmen der Auftragsdatenverarbeitung. Hinweise darauf, dass eine Auftragsdatenverarbeitung durch private Unternehmen (nicht-öffentliche Stellen) im Bereich der Personalaktendaten ausgeschlossen sein sollte, ergeben sich weder aus dem LBG selbst, noch aus der Gesetzesbegründung oder den Regelungen im Beamtenstatusgesetz . Das ULD hat von der Landesregierung für die Auftragsdatenverarbeitung durch den externen Dienstleister die Darstellung aller nach § 17 LDSG notwendigen technischen und organisatorischen Maßnahmen eingefordert. Aufgrund der Gesetzessystematik konnte für die Definition der Anforderungen an eine Auftragsdatenverarbeitung zusätzlich zu § 17 LDSG auch auf den wesentlich konkreteren Wortlaut des § 11 Bundesdatenschutzgesetz (BDSG) zurückgegriffen werden. Danach muss ein Auftraggeber neben der Eignung des Auftragnehmers auch 10 konkrete Punkte bei einer Auftragsdatenverarbeitung berücksichtigen und schriftlich festschreiben. Durch die Schriftform soll erreicht werden, dass der Auftraggeber auch tatsächlich Weisungen erteilt und der Auftragnehmer nachweisen kann, dass er weisungsgemäß verfahren ist (Gola/Schomerus, BDSG, § 11 Rn. 17). Enthält der Vertrag klare Regelungen in Bezug auf den für die Verarbeitung verantwortlichen und weisungsberechtigten Auftraggeber und gibt es keinen Grund zu bezweifeln, dass diese die Realität korrekt widerspiegeln, ist die datenschutzrechtliche Verantwortlichkeit danach zu beurteilen . Schriftlich festzulegen sind: 1. der Gegenstand und die Dauer des Auftrags, 2. der Umfang, die Art und der Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten, die Art der Daten und der Kreis der Betroffenen, 3. die nach § 9 zu treffenden technischen und organisatorischen Maßnahmen, Drucksache 18/4198 Schleswig-Holsteinischer Landtag - 18. Wahlperiode 4 4. die Berichtigung, Löschung und Sperrung von Daten, 5. die nach Absatz 4 bestehenden Pflichten des Auftragnehmers, insbesondere die von ihm vorzunehmenden Kontrollen, 6. die etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen, 7. die Kontrollrechte des Auftraggebers und die entsprechenden Duldungs- und Mitwirkungspflichten des Auftragnehmers, 8. mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen, 9. der Umfang der Weisungsbefugnisse, die sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält, 10. die Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags. Diese Anforderungen an die Auftragsdatenverarbeitung sind für die bereits in der Digitalisierung befindlichen Personalakten – dies betrifft bisher die Personalakten der Lehrkräfte – erfüllt. Der Vertrag und die Leistungsbeschreibung für die Scandienstleistung untersagen dem Auftragnehmer insbesondere eigene, unautorisierte Eingriffe in Inhalt und Ordnung der zu digitalisierenden Personalakten. Eine Vereinbarung über Datenschutz und Datensicherheit führt die technischen und organisatorischen Maßnahmen für das Verfahren auf. Die Beauftragung der Digitalisierung weiterer Personalakten wird entsprechend fortgesetzt. Diese datenschutzrechtlichen Anforderungen sind ergänzend im Rahmen eines Datenschutzaudits berücksichtigt und vollumfänglich geprüft worden. Vor der ersten Digitalisierung sind die technischen und organisatorischen Maßnahmen des ausgewählten Scandienstleisters vor Ort geprüft worden.