Outsourcing kommunaler Datenverarbeitung

Die Kommunen bedienen sich heute bundesweit regelmäßig privater Dienstleister bei der Verarbeitung ihrer Daten. Diese Datenverarbeitung erfolgt oft im Rahmen einer sog. Auftragsdatenverarbeitung. Hierfür gibt es klare gesetzliche Vorgaben, die sich neben den Datenschutzgesetzen häufig noch in den jeweiligen Spezialgesetzen zu den betreffenden Daten finden. Dieser Beitrag beleuchtet zunächst abstrakt die Auftragsdatenverarbeitung für Kommunen, um sodann anhand einzelner aktueller Beispiele die konkreten Voraussetzungen hierfür in Deutschland vorzustellen.

Zur Auftragsdatenverarbeitung

Eine Auftragsdatenverarbeitung stellt – dem Grunde nach – ein Outsourcing kommunaler Datenverarbeitungsvorgänge auf private Unternehmen dar. Sie ist dadurch gekennzeichnet, dass sich die eigentlich datenverarbeitende Stelle – hier die Kommune – eines Dienstleistungsunternehmens bedient, das die Verarbeitung der betreffenden Daten für sie betreibt. Hierbei ist zu berücksichtigen, dass nach der Konzeption der Datenschutzgesetze derjenige, der im Auftrag eines Anderen Daten erhebt, verarbeitet oder nutzt, kein »Dritter« im Sinne der Datenschutzbestimmungen ist, sondern Teil der verantwortlichen Stelle im Sinne einer Delegation von Aufgaben wird. Bildlich ist der private Dritte mithin als »verlängerter Arm« der beauftragenden, verantwortlichen Stelle – hier der Kommune – zu betrachten.

In formaler Hinsicht bedarf die Auftragsdatenverarbeitung stets eines schriftlichen Auftrags, der einen bestimmten Mindestregelungsinhalt aufweist – nämlich insbesondere Regelungen zur konkreten Datenerhebung, -verarbeitung oder -nutzung sowie technische und organisatorische Maßnahmen hierzu, nebst etwaigen Unterauftragsverhältnissen. In materieller Hinsicht ist eine Auftragsdatenverarbeitung von einer sog. Funktionsübertragung abzugrenzen. Die Auftragsdatenverarbeitung erfolgt strikt weisungsgebunden ohne eigene Wertungs- und Entscheidungsspielräume – sozusagen als unselbstständige Verwaltungshilfe im Bereich der Datenverarbeitung.

Die Funktionsübertragung

Demgegenüber wird bei der Funktionsübertragung der Auftragnehmer nicht mehr nur als »verlängerter Arm« der Behörde tätig. Im Rahmen seiner Beauftragung steht ihm ein eigenständiger Entscheidungsspielraum zu. In Abgrenzung zur oben erwähnten unselbstständigen Verwaltungshilfe im Bereich der Datenverarbeitung stellt die Funktionsübertragung eine »Beleihung zur Datenverarbeitung« dar. Der beauftragte private Unternehmer wird deshalb bei der Funktionsübertragung aus Sicht der betroffenen Bürger zu einem »Dritten« im Sinne der Datenschutzgesetze, weswegen die Weitergabe von Daten an ihn eine grundsätzlich erlaubnispflichtige Übermittlung darstellt. Obendrein ist zu berücksichtigen, dass im Bereich kommunaler Datenverarbeitung eine Funktionsübertragung stets am Maßstab des Funktionsvorbehalts gem. Art. 33 Abs. 4 GG zu messen ist.

Streit über »Hosting«

In jüngerer Zeit scheint ein Streit darüber entbrannt zu sein, wie das sog. »Hosting« von kommunalen Daten rechtlich einzuordnen ist. Hierbei stellt ein privater Dienstleister die Infrastruktur und Services (Update, Wartung, Sicherung Datenbestand) für die Datenverarbeitung der Kommune in seinem privaten Rechenzentrum bereit. Das beauftragte Hosting-Unternehmen ist jedoch ohne jede inhaltliche Bearbeitung der Daten alleine mit der technischen Bereitstellung des Rechenzentrums in einem weisungsgebundenen Auftragsverhältnis befasst. Deshalb stellt ein derart ausgestaltetes Hosting von Daten einen klassischen Anwendungsfall der Auftragsdatenverarbeitung dar. Daran ändert auch dem Grunde nach der Umstand nichts, dass der private Unternehmer regelmäßig im Rahmen der Wartung auch Zugriffsrechte hat, die eine Bearbeitung der Daten gestatten würden. Dies entspräche nicht seinem eigentlichen Auftrag, der in Abgrenzung zur Funktionsübertragung zu betrachten ist. Derlei Zugriffsrechte könnten aber in bestimmten Fällen (etwa Steuerdaten) nicht mit besonderen Verschwiegenheitspflichten vereinbar sein.

Einzelne Vorgaben zu kommunalen Daten

Im Bereich kommunaler Datenverarbeitung gibt es einen bunten Strauß an Daten, mit denen jede Kommune täglich umgeht. Nicht in allen Fällen kommt eine Auftragsdatenverarbeitung in Betracht, etwa deshalb, weil strengere Datenschutzbestimmungen dies nicht zulassen oder eine eigene Datenverarbeitung für die Kommune praktikabler ist. Derzeit sind vor allem drei Bereiche kommunaler Datenverarbeitung in der Diskussion, nämlich die Verarbeitung von Meldedaten und von kommunalen Steuerdaten sowie das Outsourcing des Ratsinformationssystems. Soweit es bundeseinheitliche Regelungen zu den jeweiligen Datenverarbeitungsvorgängen gibt, werden nachstehend zunächst diese dargestellt. Im Übrigen aber konzentriert sich dieser Beitrag auf die Rechtslage in Bayern.

Seit der Föderalismusreform 2006 hat der Bund die ausschließliche Gesetzgebungskompetenz für das Meldewesen. Aufgrund großer rechtspolitischer Auseinandersetzungen hierzu trat das neue Bundesmeldegesetz jedoch erst zum 01.11.2015 in Kraft. Dort sind alle wesentlichen Grundlagen des Melderechts sowie die Aufgaben und Befugnisse der Meldebehörden im Bundesmeldegesetz geregelt. Regelungen zur Auftragsdatenverarbeitung finden sich darin nicht; diese werden aber vom Gesetz, etwa in § 7 Abs. 1 BMG, vorausgesetzt. Die eigentlichen Rechtsgrundlagen zur Verarbeitung von Meldedaten im Auftrag finden sich – nach wie vor – in den jeweiligen Landesgesetzen.

Zulässigkeit der Meldedatenverarbeitung im Auftrag

Für Bayern ist dies das Bayerische Gesetz zur Ausführung des Bundesmeldegesetzes vom 23.06.2015. Dort ist in Art. 2 und Art. 3 BayAGBMG die Auftragsdatenverarbeitung sowie der Vorbehalt der Meldedatenverarbeitung, die über eine Auftragsdatenverarbeitung hinausgeht, geregelt. Im Übrigen wird dort für die Zulässigkeit der Meldedatenverarbeitung im Auftrag der Meldebehörden auf das Bayerische Datenschutzgesetz verwiesen. Bereits nach den Buchstaben der geltenden Gesetze in Bayern ist dort eine Auftragsdatenverarbeitung von Meldedaten konkret vorgesehen. Insoweit hat sich die Rechtslage auch seit vielen Jahren nicht verändert. Wenn aber bereits die Vorläufergesetze eine Auftragsdatenverarbeitung bei Meldedaten vorgesehen haben, dann erst recht heute, wenn sie der Bundesgesetzgeber mit ausschließlicher Gesetzgebungskompetenz zum Meldewesen so vorsieht (§ 7 Abs. 1 BMG).

Auftragsdatenverarbeitung von Steuerdaten

Ein weiterer Bereich kommunaler Datenverarbeitung, der aktuelle Fragen nach seiner Zulässigkeit aufwirft, ist das Hosting kommunaler Steuerdaten sowie die Verarbeitung dieser Daten in einem automatisierten Verfahren. Konkret stellt sich die Frage, ob sich aus dem Steuergeheimnis ein grundsätzliches Verbot der Auftragsdatenverarbeitung von Steuerdaten ergibt, wenn nicht ausdrücklich gesetzlich eine Offenbarung der Steuerdaten zugelassen ist. Wobei unter kommunalen Steuern all jene Steuern und Abgaben zu verstehen sind, die auf der Grundlage der Kommunalabgabengesetze der Länder von den Kommunen selbst erhoben werden.

Bereits vor dem heute streitigen Hosting hat sich unter anderem der Bayerische Landesbeauftragte für den Datenschutz (BayLfD) mit diversen weiteren Hilfstätigkeiten befasst. Nach Ansicht des BayLfD handelt es sich beim Versand von Steuerformularen durch eine Privatfirma um Auftragsdatenverarbeitung (17. Tätigkeitsbericht, 1996) mit der Folge, dass die beauftragende Kommune für die Einhaltung der datenschutzrechtlichen Vorschriften verantwortlich bleibt. Der Schutz des Steuergeheimnisses soll dadurch sichergestellt werden, dass die Beschäftigten des Privatunternehmens auf der Grundlage des Verpflichtungsgesetzes zur gewissenhaften Erfüllung ihrer Obliegenheiten verpflichtet werden.

Anders die Einschätzung des BayKLfD zum sog. »ePost-Verfahren« (18. Tätigkeitsbericht, 1998): In diesem Fall soll die Wahrung des Steuergeheimnisses deshalb nicht gewährleistet sein, weil hierbei die Finanzverwaltung die Herrschaft über die von ihr gelieferten Daten verlieren soll. Zuletzt hat sich der BayLfD mit dem Outsourcing im Lohnsteuerverfahren befasst (25. Tätigkeitsbericht, 2012), nämlich mit dem Druck und Versand elektronischer Lohnsteuerbescheinigungen. In den Grenzen der datenschutzrechtlichen Vorschriften handelt es sich dabei (noch) um eine zulässige Auftragsdatenverarbeitung.

Allen Stellungnahmen des BayLfD ist gemein, dass die Offenbarung von steuerlichen Daten bei der Einschaltung privater Dritter solange zulässig ist, wie vom beauftragten Unternehmen nur Hilfstätigkeiten, die letztlich den Kern der eigentlichen Verwaltungstätigkeiten nicht berühren, ausgeführt werden. Da eben dies, in Abgrenzung zur Funktionsübertragung, ein Wesensmerkmal der Auftragsdatenverarbeitung ist, stellt auch das oben beschriebene Hosting eine zulässige Auftragsdatenverarbeitung bei kommunalen Steuerdaten dar.

Niederschriften über nichtöffentliche Sitzungen in Ratsinformationssystemen

Auch zum letzten aktuellen Bereich kommunaler Auftragsdatenverarbeitung, nämlich der Zurverfügungstellung von Niederschriften über nichtöffentliche Sitzungen in Ratsinformationssystemen, hat sich der BayLfD bereits mehrfach in seinen Tätigkeitsberichten geäußert. Im 16. Tätigkeitsbericht (1994) hat er grundlegend geklärt, dass Niederschriften über nichtöffentliche Sitzungen in der Regel nicht vervielfältigt und versandt werden dürfen. Neben den besonderen Regelungen der Gemeindeordnung stehen solchen Veröffentlichungen die Privatgeheimnisse und personenbezogenen Daten entgegen, sofern die Niederschriften, wovon regelmäßig auszugehen ist, diese enthalten. Die Weitergabe von Niederschriften über nichtöffentliche Sitzungen an Bedienstete der jeweiligen Gemeinde ist demgegenüber dann zulässig, wenn die Kenntnis dieser Daten für die Verwaltung zur Erfüllung ihrer Dienstaufgaben erforderlich ist.

Unter der gleichen Voraussetzung ist die Weitergabe von anderen Daten, die der Geheimhaltung unterliegen, z. B. von Betriebs- und/oder Geschäftsgeheimnisse, zulässig. Mit der grundsätzlichen Einrichtung eines elektronischen Ratsinformationssystems hat sich der BayLfD in seinem 22. Tätigkeitsbericht (2006) befasst und erklärt, dass elektronische Ratsinformationssysteme unter Maßgabe konkreter Anforderungen grundsätzlich zulässig sind. Im 25. Tätigkeitsbericht (2012) wurden hiervon jedoch Unterlagen zu nichtöffentlichen Sitzungen – auch unter den genannten Anforderungen – ausgenommen. Diese Rückausnahme gilt aber nicht nur für private Unternehmer, sondern auch für die Kommunen, ihre Gesellschaften und Anstalten. Es wäre mithin auch der Kommune selbst verboten, Unterlagen zu nichtöffentlichen Sitzungen im elektronischen Ratsinformationssystem bereitzustellen. Bei allen übrigen, zulässigerweise in einem Ratsinformationssystem bereitgestellten Unterlagen können auch private Dritte im Rahmen einer Auftragsdatenverarbeitung eingebunden werden.

Fazit

Im Ergebnis kann festgehalten werden, dass die Auftragsdatenverarbeitung eine weit verbreitete Form der zulässigen Unterstützung von Kommunen bei ihrer Datenverarbeitung bleibt. Dies ist auch im originären Interesse der Kommunen, denn die Praxis zeigt, dass private Unternehmen häufig erheblich effizienter und kostengünstiger die betreffenden Datenverarbeitungsvorgänge ausführen können als staatliche oder gar kommunale Stellen. Selbstredend ist ein nicht unerheblicher Teil kommunaler Daten personenbezogen und schon deshalb besonders schützenswert. Eben darum stellen die Datenschutzgesetze aber auch entsprechend strenge Regelungen zur Auftragsdatenverarbeitung sicher, dass die Daten beim beauftragten Unternehmen mindestens ebenso gut geschützt werden, wie dies bei einer Datenverarbeitung der Behörden selbst der Fall wäre. Staatliche Monopole, wie sie bspw. in Bayern protegiert werden sollen, sind mit den dargestellten gesetzlichen Bestimmungen ebenso wenig vereinbar wie mit wettbewerbsrechtlichen Bestimmungen und Verfassungsrecht.