Auftragsdatenverarbeitung für Kommunen: Was für rechts­konformes Hosting von Steuer- und Melde­daten gilt

Viele Kommu­nen be­dienen sich bei der Ver­arbeitung ihrer Daten privater Dienst­leister. Doch spe­ziell ums Hosting von Melde­daten und kom­mu­na­len Steuer­daten sowie um das Out­sourcing von Rats­informations­systemen sind Dis­kus­sio­nen ent­brannt. Was also dürfen Kom­munen, und was dürfen sie nicht?

Streit ums Hosting

Con RA Christian A. Mayer, Noerr LLP, München

Die Auftragsdatenverarbeitung ist für die meisten Kommunen in Deutschland gängige Praxis. Doch nicht immer fühlen sich die kommunalen Auftraggeber auf sicherer rechtlicher Basis, zumal dann, wenn es öffentliche Diskussionen um die Weitergabe bestimmter Daten gibt. Dabei bestehen klare gesetzlichen Vorgaben. Sie finden sich, wie im Folgenden erläutert, in den Datenschutzgesetzen und häufig zudem in Spezialgesetzen zu den betreffenden Daten.

Definition Auftragsdatenverarbeitung

Eine Auftragsdatenverarbeitung stellt – dem Grunde nach – ein Outsourcing kommunaler Datenverarbeitungsvorgänge auf private Unternehmen dar. Sie ist dadurch gekennzeichnet, dass sich die eigentlich datenverarbeitende Stelle – hier die Kommune – eines Dienstleistungsunternehmens bedient, dass die Verarbeitung der betreffenden Daten für sie betreibt. Hierbei ist zu berücksichtigen, dass nach der Konzeption der Datenschutzgesetze derjenige, der im Auftrag eines anderen Daten erhebt, verarbeitet oder nutzt, kein „Dritter“ im Sinne der Datenschutzbestimmungen ist, sondern Teil der verantwortlichen Stelle im Sinne einer Delegation von Aufgaben wird. Bildlich ist der private Dritte mithin als „verlängerter Arm“ der beauftragenden, verantwortlichen Stelle – hier also der Kommune – zu betrachten. In formaler Hinsicht bedarf die Auftragsdatenverarbeitung stets eines schriftlichen Auftrags, der einen bestimmten Mindestregelungsinhalt aufweist. Das sind insbesondere Regelungen zur konkreten Datenerhebung, -verarbeitung oder -nutzung und die entsprechenden technischen und organisatorischen Maßnahmen; außerdem müssen im Auftrag etwaige Unterauftragsverhältnisse geregelt werden.

Christian-A-Mayer.jpg

Christian A. Mayer ist Rechtsanwalt/Associated Partner bei Noerr LLP und auf die Beratung und Vertretung nationaler & internationaler Unternehmen bei regulatorischen Fragestellungen in den Bereichen Energie, Umwelt sowie Medien und Glücksspiel spezialisiert. Er ist außerdem Lehrbeauftragter für Umweltrecht und Regulierung im Bereich Elektromobilität und Energieversorgung an der Universität Stuttgart.

In materieller Hinsicht ist eine Auftragsdatenverarbeitung von einer sogenannten Funktionsübertragung abzugrenzen. Die Auftragsdatenverarbeitung erfolgt strikt weisungsgebunden, ohne eigene Wertungs- und Entscheidungsspielräume – sozusagen die unselbstständige Verwaltungshilfe im Bereich der Datenverarbeitung. Demgegenüber wird bei der Funktionsübertragung der Auftragnehmer nicht nur als „verlängerter Arm“ der Behörde tätig. Im Rahmen seiner Beauftragung steht ihm ein eigenständiger Entscheidungsspielraum zu. Der beauftragte private Unternehmer wird deshalb bei der Funktionsübertragung aus Sicht der betroffenen Bürger zu einem „Dritten“ im Sinne der Datenschutzgesetze, weswegen die Weitergabe von Daten an ihn eine grundsätzlich erlaubnispflichtige Übermittlung darstellt.

Rechtliche Einordnung des Hosting

In jüngerer Zeit scheint ein Streit darüber entbrannt zu sein, wie das Hosting von kommunalen Daten rechtlich einzuordnen ist. Hierbei stellt ein privater Dienstleister die Infrastruktur und Services (Update, Wartung, Sicherung Datenbestand) für die Datenverarbeitung der Kommune in seinem privaten Rechenzentrum bereit. Das beauftragte Hosting-Unternehmen ist jedoch ohne jede inhaltliche Bearbeitung der Daten allein mit der technischen Bereitstellung des Rechenzentrums in einem weisungsgebundenen Auftragsverhältnis befasst. Deshalb stellt ein derart ausgestaltetes Hosting von Daten einen klassischen Anwendungsfall der Auftragsdatenverarbeitung dar. Daran ändert auch dem Grunde nach der Umstand nichts, dass der private Unternehmer regelmäßig im Rahmen der Wartung auch Zugriffsrechte hat, die eine Bearbeitung der Daten gestatten würden. Dies entspräche nicht seinem eigentlichen Auftrag, der in Abgrenzung zur Funktionsübertragung zu betrachten ist. Derlei Zugriffsrechte könnten in bestimmten Fällen (etwa Steuerdaten) nicht mit besonderen Verschwiegenheitspflichten vereinbar sein.

Im Bereich kommunaler Datenverarbeitung gibt es einen bunten Strauß an Daten, mit denen jede Kommune täglich umgeht. Nicht in allen Fällen kommt eine Auftragsdatenverarbeitung in Betracht, etwa weil strengere Datenschutzbestimmungen dies nicht zulassen oder eine eigene Datenverarbeitung für die Kommune praktikabler ist. Derzeit sind vor allem drei Bereiche kommunaler Datenverarbeitung in der Diskussion, nämlich die Verarbeitung von Meldedaten und von kommunalen Steuerdaten sowie das Outsourcing des Ratsinformationssystems. Soweit es bundeseinheitliche Regelungen zu den jeweiligen Datenverarbeitungsvorgängen gibt, werden nachstehend zunächst diese dargestellt. Im Übrigen konzentriert sich dieser Beitrag auf die Rechtslage in Bayern.

Kommunale ITK 2017-10.jpg

Schwarz auf Weiß
Dieser Beitrag erschien zuerst in unserer Reihe „Kommunale ITK“ zur CeBIT 2017. Einen Über­blick mit freien Links zu sämt­lichen Einzel­heften bekommen Sie online im Presse­zentrum des MittelstandsWiki.

Hosting von Meldedaten

Seit der Föderalismusreform 2006 hat der Bund die ausschließliche Gesetzgebungskompetenz für das Meldewesen. Aufgrund großer rechtspolitischer Auseinandersetzungen hierzu trat das neue Bundesmeldegesetz jedoch erst zum 1. November 2015 in Kraft. Dort sind alle wesentlichen Grundlagen des Melderechts sowie die Aufgaben und Befugnisse der Meldebehörden im Bundesmeldegesetz geregelt. Regelungen zur Auftragsdatenverarbeitung finden sich darin nicht, sie wird aber vom Gesetz, etwa in § 7 Abs. 1 BMG, vorausgesetzt. Die eigentlichen Rechtsgrundlagen zur Verarbeitung von Meldedaten im Auftrag finden sich nach wie vor in den jeweiligen Landesgesetzen.

Für Bayern ist dies das Bayerische Gesetz zur Ausführung des Bundesmeldegesetzes (BayAGBMG) vom 23. Juni 2015. Dort sind in Art. 2 und Art. 3 die Auftragsdatenverarbeitung sowie der Vorbehalt der Meldedatenverarbeitung, die über eine Auftragsdatenverarbeitung hinausgeht, geregelt. Im Übrigen wird dort für die Zulässigkeit der Meldedatenverarbeitung im Auftrag der Meldebehörden auf das Bayerische Datenschutzgesetz verwiesen. Bereits nach den Buchstaben der geltenden Gesetze in Bayern ist dort eine Auftragsdatenverarbeitung von Meldedaten konkret vorgesehen. Insoweit hat sich die Rechtslage seit vielen Jahren nicht verändert. Wenn bereits die Vorläufergesetze eine Auftragsdatenverarbeitung bei Meldedaten vorgesehen haben, dann erst recht heute, weil sie auch der Bundesgesetzgeber mit ausschließlicher Gesetzgebungskompetenz zum Meldewesen vorsieht (§ 7 Abs. 1 BMG).

Hosting kommunaler Steuerdaten

Ein weiterer Bereich kommunaler Datenverarbeitung, der aktuell Fragen nach seiner Zulässigkeit aufwirft, ist das Hosting kommunaler Steuerdaten sowie die Verarbeitung dieser Daten in einem automatisierten Verfahren. Konkret stellt sich die Frage, ob sich aus dem Steuergeheimnis ein grundsätzliches Verbot der Auftragsdatenverarbeitung von Steuerdaten ergibt, wenn nicht ausdrücklich gesetzlich eine Offenbarung der Steuerdaten zugelassen ist. Wobei unter kommunalen Steuern all jene Steuern und Abgaben zu verstehen sind, die auf der Grundlage der Kommunalabgabengesetze der Länder von den Kommunen selbst erhoben werden. Bereits vor dem heute streitigen Hosting hat sich unter anderem der Bayerische Landesbeauftragte für den Datenschutz (BayLfD) mit diversen weiteren Hilfstätigkeiten befasst. Nach Ansicht des BayLfD handelt es sich beim Versand von Steuerformularen durch eine Privatfirma um Auftragsdatenverarbeitung (17. Tätigkeitsbericht, 1996), mit der Folge, dass die beauftragende Kommune für die Einhaltung der datenschutzrechtlichen Vorschriften verantwortlich bleibt. Der Schutz des Steuergeheimnisses soll dadurch sichergestellt werden, dass die Beschäftigten des Privatunternehmens auf der Grundlage des Verpflichtungsgesetzes zur gewissenhaften Erfüllung ihrer Obliegenheiten verpflichtet werden.

Anders die Einschätzung des BayLfD zum sogenannten E-Post-Verfahren (18. Tätigkeitsbericht, 1998). In diesem Fall soll die Wahrung des Steuergeheimnisses deshalb nicht gewährleistet sein, weil hierbei die Finanzverwaltung die Herrschaft über die von ihr gelieferten Daten verlieren soll. Zuletzt hat sich der BayLfD mit dem Outsourcing im Lohnsteuerverfahren befasst (25. Tätigkeitsbericht, 2012), nämlich mit dem Druck und Versand elektronischer Lohnsteuerbescheinigungen. In den Grenzen der datenschutzrechtlichen Vorschriften handelt es sich dabei (noch) um eine zulässige Auftragsdatenverarbeitung. Allen Stellungnahmen des BayLfD ist gemein, dass die Offenbarung von steuerlichen Daten bei der Einschaltung privater Dritter solange zulässig ist, wie vom beauftragten Unternehmen nur Hilfstätigkeiten ausgeführt werden, die letztlich den Kern der eigentlichen Verwaltungstätigkeiten nicht berühren. Da eben dies, in Abgrenzung zur Funktionsübertragung, ein Wesensmerkmal der Auftragsdatenverarbeitung ist, stellt auch das oben beschriebene Hosting eine zulässige Auftragsdatenverarbeitung bei kommunalen Steuerdaten dar.

Ratsinformationssysteme

Auch zum letzten aktuellen Bereich kommunaler Auftragsdatenverarbeitung, nämlich der Zurverfügungstellung von Niederschriften über nichtöffentliche Sitzungen in Ratsinformationssystemen, hat sich der BayLfD mehrfach geäußert. Im 16. Tätigkeitsbericht (1994) hat er grundlegend geklärt, dass solche Niederschriften in der Regel nicht vervielfältigt und versandt werden dürfen. Hingegen ist ihre Weitergabe an Bedienstete der jeweiligen Gemeinde dann zulässig, wenn die Kenntnis dieser Daten für die Verwaltung zur Erfüllung ihrer Dienstaufgaben erforderlich ist.

Zu elektronischen Ratsinformationssystemen hat der BayLfD in seinem 22. Tätigkeitsbericht (2006) erklärt, dass sie unter Maßgabe konkreter Anforderungen grundsätzlich zulässig sind. Im 25. Tätigkeitsbericht (2012) wurden hiervon jedoch Unterlagen zu nichtöffentlichen Sitzungen ausgenommen. Diese Rückausnahme gilt nicht nur für private Unternehmer, sondern auch für die Kommunen, ihre Gesellschaften und Anstalten. Es wäre mithin auch der Kommune selbst verboten, Unterlagen zu nichtöffentlichen Sitzungen im elektronischen Ratsinformationssystem bereitzustellen.

Datenschutz ist kein Behördenmonopol

Die Auftragsdatenverarbeitung ist und bleibt eine weitverbreitete Form der zulässigen Unterstützung von Kommunen bei ihrer Datenverarbeitung. Dies ist auch im originären Interesse der Kommunen, denn die Praxis zeigt, dass private Unternehmen die betreffenden Datenverarbeitungsvorgänge häufig erheblich effizienter und kostengünstiger ausführen als staatliche oder gar kommunale Stellen. Selbstredend ist ein nicht unerheblicher Teil kommunaler Daten personenbezogen und schon deshalb besonders schützenswert. Eben darum sehen die Datenschutzgesetze entsprechend strenge Regelungen zur Auftragsdatenverarbeitung vor, die sicherstellen, dass die Daten beim beauftragten Unternehmen mindestens ebenso gut geschützt werden, wie dies bei den Behörden selbst der Fall wäre. Staatliche Monopole sind mit den dargestellten gesetzlichen Bestimmungen ebenso wenig vereinbar wie mit wettbewerbsrechtlichen Bestimmungen und Verfassungsrecht.

Nützliche Links