Computer & Recht

In dieser Rubrik sollen aktuelle Rechtsprechungen und juristische Grundlagen rund um den Computer vorgestellt werden. Der Autor ist Rechtsanwalt in Frankfurt am Main und arbeitet im Büro auf ATARI ST/ TT-Computern.

Entwicklungen & Tendenzen

Auftragsdatenverarbeitung

In seinem sehr ausführlichen Hinweis Nr. 31 zum Bundesdatenschutzgesetz befaßt sich das baden-württembergische Innenministerium mit den Problemkreisen betrieblicher Datenschutzbeauftragter, Auftragsdatenverarbeitung und Datenträger-Vernichtung, Hierbei ist zur Auftragsdatenverarbeitung zu bemerken, daß es sich um den häufigen Fall handelt, daß Drittunternehmen (häufig auch über Hausfrauen) Dateneingabe und -änderung übernehmen, wobei die Daten beim entsprechenden Sachbearbeiter (u.U. zu Hause) genutzt werden. Auftragsdatenverarbeitung ist aber auch die vor kurzem notwendige Umstellung der Postleitzahlen auf das neue System durch Fremdunternehmen. Zur Auftragsdatenverarbeitung allgemein schreibt das Ministerium:

„Werden personenbezogene Daten im Auftrag durch andere Stellen verarbeitet oder genutzt, ist der Auftraggeber weiterhin für die Einhaltung datenschutzrechtlicher Vorschriften verantwortlich. Insbesondere ist er auch verantwortlich für die Zulässigkeit der Verarbeitung und Nutzung personenbezogener Daten, die Wahrung der Rechte der Betroffenen sowie die Einhaltung der nach dem Bundesdatenschutzgesetz erforderlichen Datensicherungsmaßnahmen.“

Zu den Pflichten des Auftraggebers erinnert das Ministerium an folgende Grundsätze: „Um eine ordnungsgemäße Verarbeitung und Nutzung der Daten zu gewährleisten, ist der Auftraggeber verpflichtet, folgendes zu berücksichtigen:

Der Auftragnehmer muß sorgfältig ausgewählt werden. Wichtiges Auswahlkriterium ist das Datensicherungskonzept des Auftragnehmers. Ein solches schriftlich festgelegtes Datensicherungskonzept erleichtert dem Auftraggeber auch den Vergleich und die Entscheidung zwischen mehreren Anbietern. Die Umsetzung dieses Konzeptes sollte, z.B. durch den Datenschutzbeauftragten des Auftraggebers, vor Ort in Augenschein genommen werden. Dazu gehört auch die Überprüfung, ob der Auftragnehmer seiner Meldepflicht bei der Aufsichtsbehörde iSd. Datenschutzgesetzes (§ 32 I Nr.3 BDSG) nachgekommen ist. Dies kann durch Einsicht in die Unterlagen des meldepflichtigen Dienstleistungsunternehmens (Hierdurch Anfrage bei der zuständigen Aufsichtsbehörde geschehen. Die Eintragung im Register besagt jedoch noch nichts über die Eintragung des Auftragnehmers.“

Besonders wichtig ist dem Ministerium die Ausübung effektiver Kontrollen durch den Auftraggeber. Hierzu wird ausgeführt: „Der Auftraggeber muß die Einhaltung der an den Auftragnehmer erteilten Weisungen überprüfen, um zu gewährleisten, daß die Verarbeitung und Nutzung der Daten durch den Auftragnehmer nur entsprechend seinen Weisungen erfolgt. Kein Auftraggeber darf sich mit der bloßen Erklärung des Auftragnehmers zufriedengeben, daß dieser die Vorschriften des Bundesdatenschutzgesetzes beachten werde. Um diese Überprüfung durchführen zu können, bedarf es der Einräumung einer Kontrollbefugnis für die Beauftragten des Auftraggebers in den Betriebs- und Geschäftsräumen des Auftragnehmers.“ Wenn man bedenkt, welche Punkte hier bei beachtet werden sollten, so stimmt es doch nachdenklich, daß sogar EDV-Unternehmen völlig bedenkenlos mit ihren Daten umgehen, und daß häufig auch mit Daten gehandelt wird, obwohl dadurch gerade dem Mißbrauch von Daten Tür und Tor geöffnet wird. Die Erfahrungen des Ministeriums zeigen nämlich offensichtlich, daß es an der Beachtung der Grundsätze fehlt:

„Bei aufsichtsrechtlichen Überprüfungen von Dienstleistungsunternehmen, die im Auftrag personenbezogene Daten geschäftsmäßig verarbeiten oder nutzen, hat die Aufsichtsbehörde festgestellt, daß bisher ganz überwiegend keine oder keine ausreichenden schriftlichen Weisungen des Auftraggebers erteilt worden sind. Außerdem wurden vom Auftraggeber meist keinerlei Kontrollen der Datenverarbeitung beim Auftragnehmer durchgeführt. Mangels vorhandener schriftlicher Weisungen kann auch die Aufsichtsbehörde nicht überprüfen, ob die Datenverarbeitung oder Nutzung auftragsgemäß erfolgt ist.“

Quelle:

Hinweis Nr. 31 des baden-württembergischen Innenministeriums zum Bundesdatenschutzgesetz für die private Wirtschaft vom 23.12.1992. Staatsanzeiger Baden-Württemberg vom 09.01.1993.

Rechtsprechung

Falsche Setup-Einstellungen

Wie bereits bekannt, fehlt es üblicherweise einem Computer des Industriestandards, daß man ihn einschalten und sofort mit der Arbeit beginnen kann. Hierzu bedarf es, soweit dies der Verkäufer nicht schon übernommen hat, umfangreicher Parametrisierungen und sonstiger Einstellungen, um das Betriebssystem und die Anwendungs-Software auf die mannigfaltigen Hardware-Variationen beim sog. Industriestandard anzupassen. Hierbei kommt es nicht selten zu Fehlern, da auch der Fachmann bei den vielen Möglichkeiten den Über- und Durchblick verlieren kann.

Das Landgericht Karlsruhe entschied jüngst einen Rechtstreit, bei welchem der Verkäufer nachweislich die sog. „shadow -option“ durch die Einstellung „disabled“ beließ, worauf der Festplattenzugriff aus dem langsamen ROM-Speicher anstatt aus dem RAM-Speicher bei der Einstellung „Main BIOS“ erfolgte. Je nach Einstellung verbesserte sich die Transferrate und damit die Geschwindigkeit von 48,8 KB/s auf 353,8 KB/s. Was auch immer damit gemeint war - jedenfalls handelt es sich nach den Ausführungen des LG Karlsruhe bei einer falschen Einstellung des Computer-Setup-Programms seitens des Händlers mit der Folge eines ungewöhnlich langsamen Festplattenzugriffs um einen Computerfehler. Dieser Fehler berechtige ohne noch-malige Nachbesserungsversuche zur Wandelung.

CK


Aus: ST-Computer 11 / 1993, Seite 152
Links
Copyright-Bestimmungen: siehe Über diese Seite