Fallbörse - Kommunalbereich

Nachfolgend aufgeführte Fallbeispiele dienen der Unterstützung der behördlichen Datenschutzbeauftragten kommunaler Verwaltungen.

Corona: Weitergabe individueller Testergebnisse durch Gesundheitsämter an Schulen

Sachverhalt

Nach in einzelnen Schulen aufgetretenen Infektionsfällen sind auf Veranlassung der zuständigen Gesundheitsämter mehrfach komplette Lehrerkollegien und Schulklassen auf das Vorliegen einer Corona-Infektion getestet worden. In den Fällen, in denen keine Infektion festgestellt werden konnte, kam es wiederholt zu einer unmittelbaren Übermittlung der  Testergebnisse durch Gesundheitsämter an die jeweiligen Schulleitungen. Eine unmittelbare Unterrichtung der getesteten Personen über das Ergebnis ihrer Testung erfolgte nicht. Hiergegen haben sich betroffene Lehrer und Schüler beschwert.

Datenschutzrechtliche Bewertung

Im Ergebnis verstieß die Weitergabe der negativen Testergebnisse durch die Gesundheitsämter an die Schulleitungen gegen die Vorgaben des Datenschutzes:

Soweit Gesundheitsämter gegenüber Schulleitungen personenbezogene Angaben zum Ergebnis von Infektionstests von Lehrern und Schülern  machen, stellt dies datenschutzrechtlich eine Übermittlung besonderer Kategorien personenbezogener Daten nach Art. 9 Abs. 1 DS-GVO dar. Die Übermittlung dieser Daten ist nach den Vorgaben des Art. 5 Abs. 1 lit. a, Art. 6 Abs. 1 und Art. 9 Abs. 2 DS-GVO nur zulässig, wenn eine Rechtsgrundlage die Datenverarbeitung erlaubt oder der einzelne Betroffene darin eingewilligt hat. Dies war in den dargestellten Sachverhalten nicht der Fall.

Nach den Vorgaben des Art. 6 Abs. 1 lit. e, Abs. 3 DS-GVO in Verbindung mit § 11 Abs. 3 des Landesgesetzes über den Öffentlichen Gesundheitsdienst (ÖGdG) ist die Übermittlung personenbezogener Daten durch ein Gesundheitsamt zulässig, wenn eine der in § 11 Abs. 3 ÖGdG enthaltenen Anforderungen erfüllt ist. Mangels einer von den Betroffenen erteilten Einwilligung in die Datenübermittlung kam es für deren Zulässigkeit auf das Vorliegen einer gesetzlichen Übermittlungsbefugnis an. Diese lag jedoch nicht vor.

Insbesondere war die Weitergabe der negativen Testergebnisse an die Schulleitungen nicht zur rechtmäßigen Aufgabenerfüllung der Gesundheitsämter oder zur Gefahrenabwehr im Sinne von § 11 Abs. 3 Nr. 1 i.V.m. Abs. 2 Nr. 3 ÖGdG erforderlich. Denn mit den negativen Testergebnissen bestand für die Schule im Rahmen des Schulbetriebs trotz einer  möglichen Anwesenheit der Getesteten objektiv keine konkrete Gesundheitsgefährdung. Zwar ist zuzugeben, dass für die weitere Planung des Schulbetriebs regelmäßig detaillierte Informationen über bestehende oder nicht bestehende Infektionsfälle und die damit zusammenhängende Verfügbarkeit von Lehrern und Schülern durchaus von hohem Interesse sein können. Allerdings ist eine darauf bezogene Datenübermittlung durch das Gesundheitsamt an die Schule bei negativen Testergebnissen und damit tatsächlich nicht vorhandenen Infektionsfällen nach den gesetzlichen Vorgaben ohne Einwilligung der Betroffenen nicht zulässig.

Die Rechtslage führt im Ergebnis nicht zu einer unzumutbaren Einschränkung der Organisation des Schulbetriebs. Denn im Falle einer festgestellten Infektion wären die Schulen ohnehin auf der Grundlage infektionsschutzrechtlicher Vorgaben durch das zuständige Gesundheitsamt zu unterrichten gewesen. Soweit bei durchgeführten Testungen dagegen keine Infektionen festgestellt wurden, besteht weder eine konkrete Gefährdungslage noch ein daraus resultierender Bedarf für eine unmittelbare Kommunikation zwischen Gesundheitsamt und Schule über die Testergebnisse. Darüber hinaus  müssen der Schulleitung ohnehin die für die Organisation des Schulbetriebs  erforderlichen Informationen zur Verfügbarkeit des Lehrpersonals auf der Grundlage arbeitsvertraglicher bzw. dienstrechtlicher Mitwirkungspflichten von den einzelnen Lehrern mitgeteilt werden. Alternativ dazu wäre im Falle eines rascheren Informationsbedarfs der Schule die Einholung von Einwilligungen der betroffenen Lehrer in die unmittelbare Mitteilung der Testergebnisse durch das Gesundheitsamt an die Schule im Vorfeld der Testungen denkbar gewesen.

Beanstandungen

Die dem LfDI durch Beschwerden bekannt gewordenen Datenübermittlungen wurden gem. § 17 Abs. 1 Landesdatenschutzgesetz (LDSG) jeweils formell beanstandet. Die betroffenen Kreisverwaltungen haben das datenschutzwidrige Vorgehen umgehend eingestellt.

Corona: Weitergabe von Listen mit infizierten Personen oder Quarantäneanordnungen an Polizei, Integrierte Leitstellen oder sonstige Einsatzkräfte

Sachverhalt

Wiederholt wird die Frage aufgeworfen, ob nicht zum Schutz von Einsatzkräften wie z.B. der Polizei, der Feuerwehr oder Rettungsdiensten Listen von infizierten oder unter Quarantäne gestellten Personen durch das Gesundheitsamt herausgegeben werden dürfen. 

Datenschutzrechtliche Bewertung

Soweit die Gesundheitsämter täglich aktualisierte Listen mit den im eigenen Zuständigkeitsbereich getroffenen Quarantäne-Anordnungen und den jeweiligen Adressaten oder infizierter Personen führen, enthalten diese Listen personenbezogene Daten dar. Deren Weitergabe an externe Stellen wie z.B. Polizei, Feuerwehr oder Integrierte Leitstellen ist datenschutzrechtlich nur dann zulässig, wenn eine Rechtsgrundlage die Übermittlung erlaubt oder die betroffenen Personen darin eingewilligt haben. Mangels einer generell in diesen Fällen anzunehmenden Einwilligung kommt es für die Zulässigkeit der Bereitstellung der Listen auf das Vorliegen einer gesetzlichen Befugnis an.

Nach den Vorgaben des § 11 Abs. 3 Satz 1 Nr. 1 iVm Abs. 2 Satz 2 Nr. 3 Landesgesetz über den öffentlichen Gesundheitsdienst (ÖGdG) ist eine Weitergabe personenbezogener Daten durch rheinland-pfälzische Gesundheitsämter an Dritte zulässig, wenn die Übermittlung erforderlich wäre zur Abwehr gegenwärtiger Gefahren für das Leben, die Gesundheit oder die persönliche Freiheit der betroffenen Person oder einer dritten Person, sofern die genannten Rechtsgüter das Geheimhaltungsinteresse der betroffenen Person erheblich überwiegen. Dies ist aber außerhalb eines konkreten Einsatzszenarios nicht der Fall. Im Einzelnen:

  1. vor einem Einsatzfall

    Die Bereitstellung von Listen infizierter oder unter Quarantäne gestellter Personen an externe Stellen vor einem Einsatzfall ist zum Schutz der Gesundheit der haupt- oder ehrenamtlichen Mitarbeiter der Rettungsdienste, der Feuerwehr, der Polizei oder anderer Stellen grundsätzlich nicht erforderlich. Denn die Einsatzkräfte müssen sich unabhängig von der gegenwärtigen Pandemie-Lage im akuten Einsatzfall vor drohenden Gesundheitsgefahren durch geeignete Maßnahmen schützen. Latent ist es immer denkbar, dass man in einem Einsatz mit erkrankten Personen konfrontiert wird, so dass regelmäßig maximale Vorkehrungen zum Schutz der Gesundheit der Einsatzkräfte getroffen werden müssen. Hinzu kommt, dass die bereit gestellten Listen nur eingeschränkt aussagekräftig und verlässlich wären, da sie lediglich den Kenntnisstand des Gesundheitsamtes zu einem bestimmten Zeitpunkt widerspiegeln und nicht faktisch bestehende, aber der Behörde nicht oder noch nicht gemeldete Infektionen umfassen können. Weiterhin ist zu bedenken, dass die Übermittlung von Listen infizierter oder unter Quarantäne gestellter Personen aus deren Perspektive stigmatisierenden Charakter haben könnte. Im Ergebnis wäre daher die Übermittlung solcher Listen nach geltendem Recht unzulässig.

  2. während eines Einsatzfalls

    Während eines Einsatzfalls wäre unter den o.g. gesetzlichen Bedingungen zur Gefahrenabwehr eine Übermittlung personenbezogener Daten durch die Gesundheitsämter an Dritte grundsätzlich zulässig, wenn eine konkrete Gefährdung für die Gesundheit der Einsatzkräfte vorliegen würde. Denkbar wäre dies bei einem Einsatz mit Personenkontakt wie z.B. dem unmittelbar bevorstehenden Vollzug eines Haftbefehls oder einer Durchsuchung, bei der zu befürchten ist, dass aufgrund konkreter Umstände ein erhöhtes Ansteckungsrisiko der Einsatzkräfte bestehen könnte. Zum Zwecke des Eigenschutzes von Einsatzkräften kommt dann eine entsprechende Anfrage an die Gesundheitsbehörde in Betracht Das Gesundheitsamt seinerseits wäre befugt, personenbezogene Informationen über das Vorliegen einer Infektion oder einer Quarantäne-Anordnung der anfragenden Stelle mitzuteilen.

Corona: Offenlegung der Identität der infizierten Person im Rahmen der Quarantäneanordnung

Sachverhalt

Ein Gesundheitsamt versandte eine Quarantäneanordnung ohne eine Anhörung des Betroffenen und ohne Nennung der näheren Umstände des Kontakts mit einer infizierten Person (Ort und Zeit des Kontaktes, Identität der infizierten Person). Eine von dem Adressaten der Quarantäneanordnung erbetene Auskunft über die näheren Umstände des Kontakts wurde von Seiten des Gesundheitsamtes unter Hinweis auf den Datenschutz verweigert.

Datenschutzrechtliche Bewertung

Bei der Information über eine Infektion mit dem neuartigen Corona-Virus handelt es sich um ein Gesundheitsdatum gemäß Art. 9 Abs. 1 Datenschutz-Grundverordnung (DS-GVO). Ein derartiges Datum weist eine besondere Schutzbedürftigkeit auf, sodass dessen Verarbeitung und insbesondere Weitergabe nur in den engen datenschutzrechtlich vorgesehenen Grenzen zulässig ist. 

  1. Maßstab für den Umgang von Gesundheitsämtern mit personenbezogenen Angaben zu mit dem Corona-Virus infizierten Personen sind vorrangig die Regelungen des Infektionsschutzgesetzes (IfSG) und des Landesgesetzes über den öffentlichen Gesundheitsdienst (ÖGdG). Soweit in diesen Bestimmungen z.B. eine Übermittlungsbefugnis enthalten ist, dürfen Gesundheitsämter derartige Gesundheitsdaten an Dritte weitergeben.

  2. Im Zusammenhang mit dem Erlass von Quarantäneanordnungen besteht zwar rechtlich das Gebot der angemessenen Begründung derartiger Verfügungen. Insofern sollten dem Adressaten zumindest Ort und Zeitpunkt des für die Quarantäneanordnung ursächlichen Kontaktes mit einer infizierten Person mitgeteilt werden. Allerdings sollte die Identität der infizierten Person nicht regelmäßig in dem Bescheid offen gelegt werden, da dies weder in den fachrechtlichen Vorgaben verlangt wird noch verwaltungsrechtlich zur Begründung der Quarantäneanordnung erforderlich ist. Sollte der Adressat der Quarantäneanordnung die Identität der infizierten Person nachfragen, muss im Einzelfall durch das Gesundheitsamt abgewogen werden, ob aufgrund der konkreten Umstände ausnahmsweise das Interesse der infizierten Person an einem vertraulichen Umgang mit seinen Gesundheitsdaten gegenüber dem rechtlichen Interesse des Empfängers des Bescheides zurückstehen muss. Hat die infizierte Person nicht in die Offenlegung ihrer Identität eingewilligt, sollte bei Zweifeln an der Rechtmäßigkeit der Quarantäne-Anordnung regelmäßig der Verwaltungsrechtsweg beschritten und die Entscheidung den Gerichten überlassen werden.

Presserechtliche Auskunftspflicht und Sozialgeheimnis

Sachverhalt

Ein Jugendamt wurde in der Presse wegen der Inobhutnahme eines Kindes angegriffen. Zu der Inobhutnahme wurden der Kommunalverwaltung von Seiten der Presse spezielle Fragen vorgelegt. Die Verwaltung überlegt, ob eine Auskunft nur nach Vorlage einer Einwilligung der Betroffenen gegeben werden kann oder bei entsprechend hohem öffentlichem Interesse eine Auskunftspflicht der Behörde auch ohne Einwilligung besteht.

Datenschutzrechtliche Bewertung

Die Auskunftspflicht von Behörden gegenüber der Presse sowie in diesem Zusammenhang bestehende Auskunftsverweigerungsrechte sind in § 12a Landesmediengesetz (LMG) geregelt. § 12a Abs. 1 LMG normiert die grundsätzliche Verpflichtung zur Äußerung gegenüber der Presse. Aus datenschutzrechtlicher Sicht von besonderer Bedeutung ist § 12a Abs. 2 Nr. 2 LMG: hiernach besteht ein Auskunftsverweigerungsrecht der Behörden, sofern der Auskunft Vorschriften über die Geheimhaltung entgegenstehen. Das Sozialgeheimnis des § 35 Abs. 1 Sozialgesetzbuch Erstes Buch (SGB I) ist beispielsweise als derartige Vorschrift zu qualifizieren. 

Übertragen auf den zugrunde liegenden Fall bedeutet dies Folgendes:

  1. Grundsätzlich kann sich die Verwaltung aus datenschutzrechtlicher Sicht uneingeschränkt gegenüber der Presse äußern, wenn diese Äußerung keine personenbezogenen oder personenbeziehbaren Daten enthält.
  2. Sofern von Seiten der Presse Fragen gestellt werden, die dazu führen, dass die Kommunalverwaltung in ihrer Auskunft personenbezogene Daten aus dem Bereich der Jugendhilfe nennt, benötigt sie für eine datenschutzrechtlich zulässige Antwort eine Übermittlungsbefugnis. Dies war im zu beurteilenden Sachverhalt nicht der Fall. Denn die §§ 67 ff. des Sozialgesetzbuch Zehntes Buch (SGB X) sowie die §§ 61 ff. des Sozialgesetzbuch Achtes Buch (SGB VIII), die auf Grundlage von Art. 6 Abs. 1 lit. e Datenschutz-Grundverordnung (DS-GVO) zur Anwendung kommen, beinhalten keine derartigen Befugnisse. Das Sozialgeheimnis des § 35 SGB I steht dem presserechtlichen Auskunftsanspruch vielmehr entgegen, soweit keine Einwilligung der betroffenen Person vorliegt. Eine Datenübermittlung zur Wahrung von berechtigten Interessen gemäß Art. 6 Abs. 1 lit. f DS-GVO ist Behörden ohnehin verwehrt. 
  3. Die Sachlage beurteilt sich nicht abweichend, sofern die Presse behaupten sollte, Kenntnis über gewisse Umstände zu haben. Eine Äußerung der Stadtverwaltung könnte hier u.U. dazu führen, bloße Vermutungen der Presse zu verifizieren, sodass eine Übermittlungsbefugnis erforderlich wäre. Eine solche existiert, wie oben aufgezeigt, vorliegend nicht.

Zulässigkeit einer Videoüberwachung der Pausenhalleneingänge einer Schule

Sachverhalt

Nach der Darstellung der Verwaltung werde die Pausenhalle häufig von unberechtigten, teilweise mit einem Hausverbot belegten Personen als Abkürzung zwischen zwei Straßen genutzt. Die Überwachung solle gewährleisten, dass nur berechtigte Personen das Schulgelände betreten und sich dort an die Spielregeln halten. Die Bilder würden auf einen Monitor im nicht ständig besetzten Hausmeisterbüro übertragen, weshalb eine unmittelbare Reaktion auf einen Vorfall nicht immer gewährleistet sei.

Datenschutzrechtliche Bewertung

Wenn der Schulträger verantwortliche Stelle für die beabsichtigte Videoüberwachung sein soll, sind die Voraussetzungen von § 21 LDSG zu prüfen. Die Videoüberwachung öffentlich zugänglicher Räume in Form der Videobeobachtung ist nach § 21 Abs. 1 S. 1 Nr. 1 bis 3 LDSG nur zulässig, soweit dies zur Aufgabenerfüllung, zur Wahrnehmung des Hausrechts oder sonst zum Schutz des Eigentums oder Besitzes oder zur Kontrolle von Zugangsberechtigungen erforderlich ist und keine Anhaltspunkte bestehen, dass schutzwürdige Interessen der betroffenen Person überwiegen.

Bei der zur Überwachung vorgesehenen Pausenhalle dürfte es sich um einen solchen öffentlich zugänglichen Raum handeln. Allerdings ist die beabsichtigte Videoüberwachung nicht erforderlich. Erforderlich ist das Erheben von Daten dann, wenn ihre Kenntnis zur Erreichung des Zwecks objektiv geeignet und im Verhältnis zu dem angestrebten Zweck auch als angemessen erscheint. Da eine unmittelbare Reaktion auf einen Vorfall jedoch nicht immer gewährleistet ist, kann der von der Verwaltung angestrebte Zweck mit der geplanten Videoüberwachung nicht erreicht werden. Die beabsichtigte Maßnahme ist somit nicht erforderlich, weshalb datenschutzrechtliche Bedenken gegen die Durchführung einer Videobeobachtung zu diesem Zweck bestehen.

Voraussetzungen für die Verwendung einer Kameraattrappe

Sachverhalt

In einer öffentlichen, an einem Parkplatz gelegenen Toilettenanlage seien zahlreiche Sachbeschädigungen zu verzeichnen gewesen. Um die Schließung der Anlage als Folge dieser Vorgänge zu vermeiden, habe sich der Fachbereich für bauliche Unterhaltung für die Installation von Kameraattrappen auch im Urinalbereich entschieden. Diese Maßnahme habe zu einer deutlichen Verbesserung der Situation vor Ort geführt. Auf die Beschwerde eines Benutzers hin habe man die Attrappen aber vorsorglich abgebaut und den LfDI um Prüfung der Rechtslage gebeten.

Datenschutzrechtliche Bewertung

Eine Kameraattrappe soll bei den betroffenen Personen die Vorstellung einer funktionsfähigen Anlage erzeugen, um sie von einem unerwünschten Verhalten abzuhalten. Somit hat auch der Einsatz einer Attrappe einen Eingriff in das allgemeine Persönlichkeitsrecht zur Folge.

Nach den Vorschriften des Landesdatenschutzgesetzes (LDSG) ist der Einsatz von Kameraattrappen nur unter den in § 21 Abs. 7 LDSG genannten Voraussetzungen  zulässig . Danach sind die Vorschriften des § 21 Abs. 1 und 2 LDSG zu beachten.

Hiernach ist die Videoüberwachung zulässig, soweit dies zur Wahrnehmung einer Aufgabe im öffentlichen Interesse oder in Ausübung öffentlicher Gewalt oder zur Wahrnehmung des Hausrechts erforderlich oder sonst zum Schutz des Eigentums oder Besitzes oder zur Kontrolle von Zugangsberechtigungen erforderlich ist und keine Anhaltspunkte bestehen, dass schutzwürdige Interessen der betroffenen Personen überwiegen.

Die Vorschrift des § 21 LDSG bezieht sich auf öffentlich zugängliche Bereiche. Öffentlich zugänglich ist ein Raum, wenn er frei oder nach allgemein erfüllbaren Voraussetzungen betreten werden kann. Die Installation von Attrappen ist im Rahmen der Wahrnehmung des Hausrechts oder sonst zum Schutz des Eigentums grundsätzlich möglich, um Personen z.B. davon abzuhalten, Sachbeschädigungen und somit Straftaten zu begehen.

Erforderlich wäre eine solche Maßnahme dann, wenn sie zur Erreichung des Zwecks objektiv geeignet und im Verhältnis zu dem angestrebten Zweck auch als angemessen erscheint. Die Verwendung der Kameraattrappen ist in diesem Sinn objektiv geeignet, da sie zu einer deutlichen Verbesserung der Situation vor Ort geführt hat. Eine Videoüberwachung des Innenraumes der Toilettenanlage und somit auch die Installation einer Attrappe ist aber wegen der fehlenden Angemessenheit aufgrund der dort von den Benutzern erwarteten Privatheit grds. unzulässig. Ggf. könnten die Attrappen an der Außenseite des Gebäudes im Türbereich installiert werden.

Für die Kenntlichmachung gelten gem. § 21 Abs. 2 LDSG dieselben Anforderungen wie dies beim Einsatz funktionstüchtiger Kameras der Fall ist. Dies bedeutet, dass die betroffene Person über die Videoüberwachung entsprechend Art. 13 Abs. 1 DS-GVO zu informieren ist.

Zuständigkeit des behördlichen Datenschutzbeauftragten für Eigenbetriebe und Beteiligungsgesellschaften der Kommune

Sachverhalt

Ein behördlicher Datenschutzbeauftragter einer Kommunalverwaltung wirft die Frage auf, ob er auch automatisch für die Bearbeitung von Anfragen mit datenschutzrechtlichem Bezug aus kommunalen Beteiligungsgesellschaften zuständig sei. Es handele sich um eine Grundstücksverwaltungsgesellschaft mit beschränkter Haftung, an der die Kommune zu 100 % beteiligt sei.

Datenschutzrechtliche Bewertung

Aufgrund der oben genannten Beteiligung ist die Gesellschaft öffentliche Stelle i.S.v. § 2 Abs. 1 Satz 2 Landesdatenschutzgesetz (LDSG). Bei einer Grundstücksverwaltungsgesellschaft dürfte es sich weiterhin um ein öffentlich-rechtliches Wettbewerbsunternehmen handeln, sodass gemäß § 2 Abs. 4 LDSG für die Benennung des Beauftragten für den Datenschutz § 38 Bundesdatenschutzgesetz (BDSG) maßgeblich ist.

Das Amt des Datenschutzbeauftragten kann zwar in Personalunion sowohl für den allgemeinen Verwaltungsbereich wie auch für Wettbewerbsunternehmen in öffentlicher Trägerschaft ausgeübt werden. Es sollte jedoch ausdrücklich eine Benennung unter Hinweis auf die nach den unterschiedlichen gesetzlichen Bestimmungen zu erfüllenden Aufgaben erfolgen. Somit wäre der behördliche Datenschutzbeauftragte einer Kommunalverwaltung nicht automatisch auch für die rechtlich eigenständigen Beteiligungsgesellschaften der Kommune zuständig.

Anders verhält es sich bei den kommunalen Eigenbetrieben, da es sich hier um lediglich organisatorisch verselbständigte, aber rechtlich unselbständige Organisationen handelt.

Versteigerung von Fundsachen

Sachverhalt

Ein behördlicher Datenschutzbeauftragter wirft die Frage auf, ob auf Mobiltelefonen, USB-Speicherstiften, Laptops und sonstigen Datenträgern evtl. noch abgespeicherte personenbezogene Daten vor einer Versteigerung vollständig zu löschen sind. Ergänzend stellt er die Frage, ob eine Herausgabe an den Finder von oben genannten Gegenständen unter datenschutzrechtlichen Gesichtspunkten zu verweigern ist, wenn Daten nicht gelöscht werden können oder nicht restlos geklärt werden kann, ob überhaupt Daten abgespeichert sind.

Datenschutzrechtliche Bewertung

Die Abgabe von Mobiltelefonen, USB-Speicherstiften, Laptops und sonstigen Datenträgern, die noch personenbezogene Daten enthalten, an natürliche Personen wäre eine Datenverarbeitung, für die eine Erlaubnis nach Art. 6 Abs. 1 DS-GVO vorliegen muss. . Eine solche Erlaubnis  ist aus Art. 6 Abs. 1 DS-GVO allerdings nicht ersichtlich. Insbesondere wird sich die Behörde nicht auf Art. 6 Abs. 1 S. 1 lit. e), Abs. 2, Abs. 3 DS-GVO i.V.m. § 3 LDSG stützen können, wonach die Verarbeitung für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt. Dies ist nämlich gerade nicht der Fall.

Wenn die zivilrechtlichen Voraussetzungen für eine Versteigerung solcher Fundsachen durch die Kommune erfüllt sind, müssten vor der Übergabe der Gegenstände darauf befindliche personenbezogene Daten gelöscht werden. Dies gilt bei einem Mobiltelefon insbesondere für das Telefonbuch, den SMS- bzw. MMS-Speicher und die Liste der ein- sowie ausgegangenen Anrufe. Sollte ein Löschung nicht möglich bzw. der Aufwand für die Löschung unverhältnismäßig groß sein , oder es kann aufgrund technischer Hindernisse mit angemessenen Aufwand nicht geklärt werden, ob auf dem Gerät noch solche Daten gespeichert sind, ist dieses Gerät datenschutzgerecht zu entsorgen. Der Schutz des Datenschutzgrundrechts des Verlierers wird höher bewertet als der Eigentumserwerb und die daraus folgenden Rechte des Finders nach Ablieferung.

Gleiches gilt auch bei der Herausgabe an den Finder, diese ist zu verweigern beim Bestehen von eben genannten datenschutzrechtlichen Bedenken.

Ein angemessener Aufwand könnte für ein Fundbüro allerdings noch darin gesehen werden, mit einem Fachgeschäft eine Kooperation einzugehen, um nicht eine größere Zahl an Akkus oder Ladegeräten vorhalten zu müssen. Weiterhin besteht die Möglichkeit, dass sich der Finder zur Übernahme der Kosten der Datenlöschung durch eine Fachwerkstatt bereit erklärt. Die Kommune hätte dann einen Vertrag gemäß Art. 28 DS-GVO mit der Werkstatt abzuschließen.

Übermittlung von Lichtbildern aus dem Personalausweisregister

Sachverhalt

Bürgerinnen und Bürger problematisieren immer wieder die Praxis der Bußgeldstelle, im Rahmen der Verfolgung von Straßenverkehrsordnungswidrigkeiten die Pass- und Personalausweisbehörden um Übermittlung von Lichtbildern von Familien- und Haushaltsangehörigen zu ersuchen, wenn der Fahrzeughalter im Laufe der Anhörung nicht zur Ermittlung des Fahrers beiträgt. Der Abgleich mit dem Radarfoto soll dann zur Identifizierung des Verkehrssünders führen.

Datenschutzrechtliche Bewertung

Die Pass- und Personalausweisbehörden dürfen anderen Behörden auf deren Ersuchen Daten aus dem Pass- oder Personalausweisregister übermitteln (§§ 22 Abs. 2, 22a Abs. 2 Passgesetz, §§ 24  Abs. 2,  25 Abs. 2 Personalausweisgesetz). Voraussetzung dafür ist, dass

  • die ersuchende Behörde aufgrund von Gesetzen oder Rechtsverordnungen berechtigt ist, solche Daten zu erhalten,
  • die ersuchende Behörde ohne Kenntnis der Daten nicht in der Lage wäre, eine ihr obliegende Aufgabe zu erfüllen und
  • die Daten bei den Betroffenen nicht oder nur mit unverhältnismäßig hohem Aufwand erhoben werden können oder nach der Art der Aufgabe, zu deren Erfüllung die Daten erforderlich sind, von einer solchen Datenerhebung abgesehen werden muss.

In dem Fall, dass ein Fahrzeughalter im Rahmen der Anhörung nicht zur Ermittlung des Fahrers beiträgt, ist die Verhältnismäßigkeit nur gewahrt, sofern die Verfolgungsbehörde zunächst dem als Fahrer in Betracht kommenden Familienangehörigen bzw. Haushaltsangehörigen die Gelegenheit der Anhörung einräumt. Tragen auch diese nicht zur Fahrerermittlung bei, erachtet der Landesbeauftragte den Abgleich mit dem im Pass- oder Personalausweisregister hinterlegten Fotos beispielsweise der Haushaltsangehörigen für zulässig und verhältnismäßig. Im Vergleich zur Nachbarschaftsbefragung stellt der Abgleich jedenfalls den weniger belastenden Eingriff in das Persönlichkeitsrecht der betroffenen Personen dar. Im Übrigen ist auf das Rundschreiben des Ministeriums des Innern und für Sport vom 10. Juni 1996, MinBl. 1996, Seite 342, zuletzt geändert durch Rundschreiben vom 26. März 2002, MinBl. 2002, Seite 308, zur "Vorlage und Übermittlung von Lichtbildern aus dem Pass- und Personalausweisregister im Rahmen der Verfolgung von Straßenverkehrsordnungswidrigkeiten" Bezug zu nehmen.

Veröffentlichung personenbezogener Daten auf der Homepage einer Kommune

Sachverhalt

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit (LfDI) wurde von einem Bürger darauf aufmerksam gemacht, dass eine Gemeinde auf ihrer Homepage Jubiläumsdaten von Einwohnerinnen und Einwohnern veröffentliche.

Datenschutzrechtliche Bewertung

Die Meldebehörde darf gem. § 50 Abs. 2 Bundesmeldegesetz (BMG) gegenüber Mandatsträgerinnen und Mandatsträgern, der Presse oder dem Rundfunk Auskunft aus dem Melderegister über Alters- und Ehejubiläen von Einwohnerinnen und Einwohnern erteilen und folgende Daten übermitteln: Vor- und Familienname, Doktorgrad, Anschrift sowie Datum und Art des Jubiläums. Altersjubiläen in diesem Sinne sind der 70. Geburtstag, jeder fünfte weitere Geburtstag und ab dem 100. Geburtstag jeder folgende Geburtstag; Ehejubiläen sind das 50. und jedes folgende Ehejubiläum.

Diese Möglichkeit der Datenübermittlung legitimiert aus der Sicht des LfDI jedoch nicht eine Veröffentlichung der Meldedaten im Internet, sondern lediglich in den kommunalen Veröffentlichungsorganen.

Darüber hinaus vertritt der LfDI den Standpunkt, dass grundsätzlich auf eine Veröffentlichung der Anschrift verzichtet werden sollte, um eine Verwendung dieser Informationen für kriminelle Zwecke auszuschließen.

Veröffentlichung der Vorschlagsliste für die Wahl der Schöffen und Hilfsschöffen

Sachverhalt

Von einem Bürger erhielt der Landesbeauftragte für den Datenschutz und die Informationsfreiheit einen Hinweis darauf, dass auf der Homepage einer Kommune im Rahmen des Ratsinformationssystems die Vorschlagsliste für die Wahl der Schöffen und Hilfsschöffen seit längerem abrufbar sei. In dieser Liste seien beispielsweise Name, Anschrift, Telefonnummer oder Angaben zur Begründung der Bewerbung der für die Schöffenwahl vorgeschlagenen Personen enthalten.

Datenschutzrechtliche Bewertung

§ 36 Abs. 2 Satz 2 Gerichtsverfassungsgesetz (GVG) legt fest, dass die Vorschlagsliste für die Wahl der Schöffen Geburtsnamen, Familiennamen, Vornamen, Tag und Ort der Geburt, Wohnanschrift und Beruf der vorgeschlagenen Person enthalten muss.

Im Hinblick auf die Veröffentlichung der Listen über das Ratsinformationssystem bzw. die Homepage der Kommune im Internet ist aber zu beachten, dass gemäß § 36 Abs. 3 Satz 1 GVG lediglich vorgesehen ist, die Vorschlagsliste für die Schöffen in der Gemeinde eine Woche lang zu jedermanns Einsicht aufzulegen ist. Der Zeitpunkt der Auslegung ist vorher öffentlich bekanntzumachen (§ 36 Abs. 3 Satz 2 GVG). Die Veröffentlichung ist durch die Formulierung "in der Gemeinde" lokal begrenzt. Eine Veröffentlichung im Internet ist aufgrund der weltweiten Zugriffsmöglichkeit und des damit zusammenhängenden grundsätzlichen Gefährdungspotentials von dieser Rechtsgrundlage nicht mehr gedeckt und stellt daher einen Verstoß gegen Art. 5 Abs. 1 lit. a DS-GVO in Verbindung mit Art. 6 Abs. 1 lit. e, Abs. 2 und 3 DS-GVO und § 36 Abs. 3 GVG dar.

Eine Veröffentlichung dieser Daten im Internet wäre somit nur über eine Einwilligung der betroffenen Personen zulässig. ine Einwilligung der betroffenen Personen muss auch dafür vorliegen, wenn mit der Vorschlagsliste über die gesetzlichen Vorgaben hinaus zusätzliche Daten, wie z.B. "Begründung der Bewerbung", erhoben und veröffentlicht werden sollen. Vergleichbares gilt für die Veröffentlichung der Vorschlagslisten für die Wahl der ehrenamtlichen Richter in der Verwaltungsgerichtsbarkeit (§ 28 Satz 6 Verwaltungsgerichtsordnung).

Verarbeitung von personenbezogenen Daten im Auftrag durch eine nicht-öffentliche Stelle

Sachverhalt

Eine Behörde möchte die Abrechnung von Krankentransporten im Rahmen des Rettungsdienstes an eine GmbH vergeben. Die Behörde ist in der regionalen Patientenbeförderung tätig und kümmert sich bislang auch um die Abrechnung der Patientenbeförderungskosten mit den Leistungsträgern der Gesundheitskasse.

Der behördliche Datenschutzbeauftragte wirft nun die Frage auf, ob die Verarbeitung dieser Abrechnung im Rahmen eines Auftragsverhältnisses an einen externen Dienstleister bzw. eine nicht-öffentlich Stelle vergeben werden kann.

Datenschutzrechtliche Bewertung

Die Verarbeitung personenbezogener Daten im Auftrag, hier das Abrechnen der angefallenen Beförderungskosten durch einen Dritten, richtet sich nach Art. 28 DS-GVO (Auftragsverarbeiter) und den dort beschriebenen Vorschriften zur Auftragsverarbeitung. Dies bedeutet, dass die Abrechnung der Krankentransporte auf Basis eines Vertrages zu erfolgen hat, der zwischen der Behörde als Verantwortlicher (Art. 4 Nr. 7 DS-GVO) und der GmbH als Auftragsverarbeiter (Art. 4 Nr. 8 DS-GVO) zu schließen ist. Dabei sind insbesondere die zu treffenden Regelungen von Art. 28 Absatz 3 lit. a) bis h) zu beachten. Es bedarf dann keiner Erlaubnis im Sinne von Art. 6 Abs. 1 DS-GVO für die Datenverarbeitung im Verhältnis zwischen Verantwortlicher und Auftragsverarbeiter, da sie rechtlich als einheitliche Stelle behandelt werden.

Formulierungshilfe für einen Vertrag zur Auftragsverarbeitung für den öffentlichen Bereich

Bei der Auftragsvergabe muss darauf geachtet werden, dass der Auftragsverarbeiter hinreichend Garantien dafür bietet, dass die Verarbeitung im Einklang mit den Anforderungen der DS-GVO erfolgt und die Rechte der betroffenen Personen gewährleistet sind (Prüfung der Geeignetheit, Art. 28 Abs. 1 DS-GVO).

Wenn bei der Abrechnung der Patientenbeförderungskosten auch Gesundheitsdaten (Art. 4 Nr. 15 DS-GVO) als besondere Kategorien personenbezogener Daten gem. Art. 9 Abs. 1 DS-GVO verarbeitet werden, sind die hierfür zutreffenden, besonderen Bestimmungen durch den Auftragsverarbeiter zu beachten (§ 19 Abs. 4 LDSG).

Die beauftragten Personen sollten nach dem Gesetz über die förmliche Verpflichtung nichtbeamteter Personen (Verpflichtungsgesetz) verpflichtet werden. Hierdurch werden diese in straf- und haftungsrechtlicher Sicht einem öffentlichen Bediensteten gleichgestellt.

Muster einer Niederschrift zur förmlichen Verpflichtung

Übermittlung von personenbezogenen Daten Bediensteter zur Bildung von Wahlvorständen

Sachverhalt

Ein Bediensteter des Landes wirft die Frage auf, ob die Weitergabe seiner Daten durch seinen Dienstherren an die Stadtverwaltung zur Gewinnung von Wahlvorstandsmitgliedern zulässig ist. Ergänzend stellt er die Frage, ob er einer weiteren Verwendung dieser gewonnenen Daten zum Aufbau einer "Wahlhelferdatei" für zukünftige Wahlen durch die Stadtverwaltung widersprechen kann.

Datenschutzrechtliche Bewertung

Nach § 26 Abs. 5 und Abs. 6 Landesgesetz über die Wahlen zu den kommunalen Vertretungsorganen (Kommunalwahlgesetz, KWG) sind alle juristischen Personen des öffentlichen Rechts, die der Aufsicht des Landes unterstehen, dazu verpflichtet, auf ein Ersuchen der Gemeindeverwaltung ihr all jene Bedienstete mit Name, Anschrift, Geburtsdatum zu nennen, die im Gemeindegebiet wohnen. Die Vorschrift dient der effektiven Durchführung der Wahlen, sie soll den Kommunen die Gewinnung von Wahlvorstandsmitgliedern erleichtern. Eine ähnliche Vorschrift findet sich auch in § 9 Abs. 4 und Abs. 5 Bundeswahlgesetz (BWahlG). Jedoch ist zu beachten, dass die Gemeindeverwaltung vor ihrem Ersuchen grundsätzlich erfolglos versucht haben muss, eine ausreichende Anzahl von Personen zu finden, die freiwillig das Amt als Mitglied eines Wahlvorstandes übernehmen.

Darüber hinaus dient § 26 Abs. 5 und Abs. 7 KWG der Gemeindeverwaltung als rechtliche Grundlage zum Aufbau einer "Wahlhelferdatei". In dieser Sammlung von möglichen Wahlhelfern für zukünftige Wahlen finden sich sowohl Name, Anschrift, und Geburtsdatum von freiwilligen Wahlhelfern, als auch die Daten der Bediensteten, die aus oben genannten Verfahren gewonnen worden sind. Personen die in diese Wahlhelferdatei aufgenommen worden sind, müssen über ihr Widerspruchsrecht nach § 26 Abs. 5 S.3 KWG unterrichtet werden. Dies kann in einem persönlichen Anschreiben oder in einer allgemeinen Information am Wahltag erfolgen.

Bekanntgabe der Tagesordnung einer Sitzung des Stadtrechtsausschusses an die Stadtratsfraktionen

Sachverhalt

Die Geschäftsstelle eines Stadtrechtsausschusses wendet sich an den Landesbeauftragten für den Datenschutz und die Informationsfreiheit mit der Frage, ob die Weitergabe der Tagesordnungen der Ausschusssitzungen an die Stadtratsfraktionen zulässig ist. Eine solche Tagesordnung enthält Zeitpunkt und Ort der Sitzung, Namen der Widerspruchsführer, Bezeichnung des Amtes, dessen Bescheid angefochten wird, Datum des Bescheides, sowie die Namen eventuell geladener Beteiligter.

Datenschutzrechtliche Bewertung

Bei der Stadtratsfraktion handelt es sich um ein Teilorgan des Stadtrates, welcher wiederum ein Organ der Gebietskörperschaft ist. Somit unterliegt die Datenverarbeitung - hier die Bekanntgabe der Tagesordnung an die Stadtratsfraktion - selbstverständlich der Datenschutz-Grundverordnung (DS-GVO) wie auch dem Landesdatenschutzgesetz (LDSG, § 1 Abs. 1). Nach Art. 6 Abs. 1 S. 1 lit. a DS-GVO ist die Verarbeitung personenbezogener Daten  zulässig, soweit die betroffenen Personen - die Widerspruchsführer - eingewilligt haben oder die Verarbeitung, in diesem Falle die Weitergabe, aufgrund eines anderen Tatbestandes  erlaubt ist.

Eine solche Erlaubnis könnte in Art. 6 Abs. 1 S. 1 lit. e, Abs. 2. Abs. 3 DS-GVO i.V.m. § 33 der Gemeindeordnung (GemO) gesehen werden. Diese Vorschrift ist Ausdruck des Unterrichtungs- und Kontrollrechts des Stadtrates gegenüber dem Bürgermeister. Gemäß § 7 Abs. 1 des Landesgesetzes zur Ausführung der Verwaltungsgerichtsordnung (AGVwGO) stellt der Stadtrechtsausschuss jedoch ein weisungsunabhängiges Organ dar und unterliegt somit nicht dem Unterrichtungs- und Kontrollrecht des Stadtrates.

Eine Erlaubnis zur Datenverarbeitung könnte sich aber aus Art. 6 Abs. 1 S. 1 lit e, Abs. 2, Abs. 3 DS-GVO i.V.m § 3 LDSG ergeben. Hiernach ist Datenverarbeitung zulässig, wenn sie für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in der Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde. Beiden Stellen muss der jeweilige Verarbeitungsschritt im Einzelfall erlaubt sein, einer Stelle die Übermittlung, der anderen die Erhebung und weitere Verwendung. .

Weiterhin ist zu beachten, dass der Stadtrechtsausschuss  zwar auch für Widerspruchsverfahren im Sozialgerichtsverfahren zuständig ist, § 4 Landesgesetz zur Ausführung des Sozialgerichtsgesetzes (AGSGG). Diese Widerspruchsverfahren erfolgen auf Grund des in § 35 Abs. 1 Satz 1 des Sozialgesetzbuch I (SGB I) enthaltenen Sozialgeheimnisses aber im nichtöffentlichen Teil der Sitzung. Somit darf die Tagesordnung in einem solchen Verfahren, zum effektiven Schutz der Privatsphäre der betroffenen Person, bei einer Weitergabe nicht den Namen des Widerspruchführers enthalten.

Unterschriftenliste zu einem Bürgerbegehren

Sachverhalt

Ein Bürger warf die Frage auf, welcher Personenkreis die Unterschriftenliste zu einem Bürgerbegehren i.S.v. § 17 a Gemeindeordnung (GemO) RLP einsehen darf und inwieweit eine solche Liste dem Datenschutz unterliegt.

Datenschutzrechtliche Bewertung

Zweck der europäischen Datenschutz-Grundverordnung (DS-GVO) und des Landesdatenschutzgesetzes (LDSG) als allgemeine datenschutzrechtliche Regelungen ist es, das Recht einer jeden Person zu schützen, grundsätzlich selbst über die Preisgabe und Verwendung ihrer personenbezogenen Daten zu bestimmen. Die DS-GVO stellt klar, dass hierdurch die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten geschützt werden soll.

Das LDSG ergänzt die DS-GVO (§ 1 Abs. 1 LDSG). Dieses findet neben der Datenschutz-Grundverordnung Anwendung für Behörden und sonstige öffentliche Stellen des Landes und der Kommunen bei der Verarbeitung personenbezogener Daten von Bürgerinnen und Bürgern. Die öffentlichen Stellen und die dort beschäftigten Mitarbeiterinnen und Mitarbeiter sind an dieses Gesetz sowie an zahlreiche spezialgesetzliche Regelungen gebunden.

Die Verarbeitung, zu der auch die Bekanntgabe durch Einsichtnahme personenbezogener Daten (z.B. Name und Anschrift) zählt, ist zulässig, soweit eine der Erlaubnistatbestände des Art. 6 Abs. 1 DS-GVO zutrifft. Danach ist die Verarbeitung von personenbezogenen Daten u.a. zulässig, wenn dies für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde (Art. 6 Abs. 1 lit. e DS-GVO). 

Eine gesetzliche Verarbeitungserlaubnis im Sinne von Art. 6 Abs. 1 lit. e DS-GVO könnte sich aus der rheinland-pfälzischen Gemeindeordnung (GemO) ergeben. Zunächst regelt § 17 a Abs. 3 S. 1 GemO, dass das Bürgerbegehren schriftlich bei der Gemeindeverwaltung einzureichen ist. Die Gemeindeverwaltung, in Ortsgemeinden die Verbandsgemeindeverwaltung, prüft die Gültigkeit der Eintragungen in die Unterschriftenlisten. Den innerhalb der Verwaltung mit der Erledigung dieser Aufgabe befassten Mitarbeitern muss die Unterschriftenliste somit zugänglich gemacht werden.

Maßgeblich ist weiterhin, dass der Gemeinderat über die Zulässigkeit des Bürgerbegehrens (§ 17 a Abs. 4 S. 2 GemO) entscheidet. Die Beschlüsse des Gemeinderats wiederum werden grundsätzlich von der Bürgermeisterin bzw. dem Bürgermeister vorbereitet (§§ 47 Abs. 1 S. 2 Nr. 1, 68 Abs. 1 S. 3 Nr. 1 GemO). Im Zusammenhang mit einer solchen Entscheidung müsste sowohl der/dem Bürgermeister/in als auch den Ratsmitgliedern die Unterschriftenliste vorliegen. Nr. 6 der Verwaltungsvorschrift (VV) zu § 17 a i.V.m. Nr. 4 der VV zu § 17 GemO sieht ergänzend dazu vor, dass Kopien der Unterschriftenlisten den Ratsmitgliedern nur vorgelegt, nicht jedoch überlassen werden dürfen.

Diesen Personen ist somit die Verarbeitung personenbezogener Daten gemäß Art. 6 Abs. 1 lit. e, Abs. 2, Abs. 3 DS-GVO in Verbindung mit § 3 LDSG erlaubt, soweit die Verarbeitung zu den oben genannten Zwecken erforderlich ist.

Dagegen sieht § 17 a GemO die Einsichtnahme in eine Unterschriftenliste durch Bürgerinnen und Bürger nicht vor. Dies kann ohne Einwilligung der betroffenen Personen allenfalls auf der Grundlage von Art. 6 Abs.1 lit b) bis f) DS-GVO erfolgen. Diese Voraussetzungen sind hier aber nicht gegeben.

Weiterleitung einer Eingabe an eine andere Behörde

Sachverhalt

Ein Bürger wandte sich an eine Behörde und äußerte in seinem Schreiben seine Meinung zum Thema Arbeitslosigkeit. Dabei schilderte er auch seine persönliche Situation. Das Schreiben wurde an die Bundesagentur für Arbeit weitergeleitet. Damit war der Bürger nicht einverstanden, da er nicht um Unterstützung bei der Arbeitsplatzsuche gebeten hatte.

Datenschutzrechtliche Bewertung

§ 5 Landesdatenschutzgesetz (LDSG) legt fest, welche Stelle für die Zulässigkeit der Übermittlung verantwortlich ist. Bei einer Übermittlung ohne vorherige Anfrage durch die empfangende Behörde – in diesem Fall die Arbeitsagentur – trägt die Verantwortung für die Rechtmäßigkeit ausschließlich die übermittelnde Behörde (§ 5 S. 1 LDSG). Sie muss beachten, dass hierfür eine Verarbeitungsgrundlage vorliegt.

Mangels einer speziellen gesetzlichen Regelung könnte sich die Zulässigkeit der Übermittlung aus dem nachrangigen Auffangtatbestand des § 3 LDSG ergeben. Dieser kann dann bejaht werden, wenn die Übermittlung des Schreibens an die Arbeitsagentur zur Erfüllung einer im öffentlichen Interesse liegenden Aufgabe oder in Ausübung öffentlicher Gewalt, die der übermittelnden Stelle übertragen wurde, erforderlich ist. Die Vorschrift wiederholt inhaltsgleich die Regelungen des Art. 6 Abs. 1 lit e) DS-GVO.

Gemäß der Vorschrift des § 12 Abs. 4 Ziffer 6 LDSG-alt war es möglich, Daten an Dritte weiter zu leiten, wenn offensichtlich war, dass die Weitergabe im Interesse des Betroffenen lag und kein Grund zu der Annahme bestand, dass er in Kenntnis des Zwecks seine Einwilligung verweigert hätte. Diese Regelung existiert in diesem Wortlaut nicht mehr.

Gemäß § 7 Abs. 3 Nr. 1 LDSG ist eine Zweckänderung zulässig, wenn die Einholung der Einwilligung der betroffenen Person nicht möglich ist oder mit unverhältnismäßig hohem Aufwand verbunden wäre, aber offensichtlich ist, dass die Datenverarbeitung zu ihrem Schutz erfolgt und sie in Kenntnis des anderen Zwecks ihre Einwilligung erteilen würde.

Von daher wird in einem solchen Fall empfohlen, vor der Weitergabe von personenbezogenen Daten an die eigentlich zuständige Behörde grundsätzlich die Zustimmung der betroffenen Person einzuholen. Es sollte ein Hinweis darauf erfolgen, dass eine abschließende Bearbeitung nicht möglich ist und man beabsichtigt, die Angelegenheit zur Beantwortung an die fachlich zuständige Behörde weiterzuleiten.

Einsichtnahme in Unterlagen zu einem privaten Bauvorhaben

Sachverhalt

Eine Bürgerin verlangt von der unteren Bauaufsichtsbehörde Einsicht in ein Gutachten über die Standsicherheit eines Wohngebäudes, weil sie dessen Inhalt anzweifelt. Sie ist die Eigentümerin des Nachbargrundstücks, ein Genehmigungsverfahren ist anhängig, allerdings ist die Bürgerin nicht Beteiligte.

Fraglich ist, ob und wenn ja auf welcher Rechtsgrundlage Einsicht zu gewähren ist.

Datenschutzrechtliche Bewertung

Geht man aufgrund des weitgefassten Begriffs "Umwelt" im Falle des Gutachtens von einer Umweltinformation aus, dann sind die Vorschriften des Landestransparenzgesetzes (LTranspG) anwendbar, welches die Regelungen des früheren Landesinformationsfreiheitsgesetzes (LIFG) und des ehemaligen Landesumweltinformationsgesetzes (LUIG) zusammengefasst hat. 

Das LTranspG wird auch nicht durch § 1 Landesverwaltungsverfahrensgesetz i.V.m. § 29 Bundesverwaltungsverfahrensgesetz (VwVfG) verdrängt. Dies regelt § 2 Abs. 3 LTranspG. Hiernach gehen andere Rechtsvorschriften mit Anspruch auf Zugang zu Informationen zwar grundsätzlich vor. Ausdrücklich ausgenommen ist jedoch die Regelung des § 29 Bundesverwaltungsverfahrensgesetz. Dieses Fachrecht ist im jeweiligen Anwendungsfall neben dem Landestransparenzgesetz zu beachten. Der Antrag auf Einsicht kann also von der Bürgerin auch als nicht am Baugenehmigungsverfahren Beteiligte grundsätzlich auf das LTranspG gestützt werden.

Das Gutachten kann insgesamt als sachliche Verhältnisse des Grundstückseigentümers bzw. Bauantragstellers gesehen werden. Durch die Gewährung der Einsichtnahme in das Gutachten würden also personenbezogene Daten gegenüber der Bürgerin offenbart.

In diesem Fall ist insbesondere § 16 Absatz 1 Satz 1 Nr. 2 LTranspG zu beachten, wonach der Antrag abzulehnen ist, soweit durch das Bekanntwerden personenbezogene Daten Dritter offenbart würden. Somit ist der Antrag der Bürgerin abzulehnen, es sei denn, die betroffene Person stimmt der Bekanntgabe zu, die Offenbarung ist durch Rechtsvorschrift erlaubt oder das öffentliche Interesse an der Bekanntgabe überwiegt. Ein öffentliches Interesse kann hier aber nicht zu einer Bekanntgabe führen, da es insofern im Rahmen des Genehmigungsverfahrens gewahrt wird, als die Bauaufsichtsbehörde die Aussagekraft des Standsicherheitsgutachtens zu bewerten und in ihre Entscheidung einzubeziehen hat.

Zusatz

Während eines laufenden Verwaltungsverfahrens beantragen

  • Verfahrensbeteiligte
  • Andere

Akteneinsicht gemäß LTranspG zu der dem Verwaltungsverfahren zugrundeliegenden Angelegenheit.

Bewertung

Dem Anspruch nach LTranspG gehen besondere Rechtsvorschriften vor, soweit diese den Zugang zu amtlichen Informationen regeln (vgl. oben). "Soweit" bedeutet, dass jedenfalls nur solche Vorschriften als vorrangig in Betracht zu ziehen sind, die denselben Sachverhalt abschließend regeln. Eine Vorrangigkeit im Sinne einer Ausschließlichkeit ist nur dort anzunehmen, wo die jeweiligen Rechte die gleichen Anliegen verfolgen und/oder identische Zielgruppen erfassen (vgl. Beschluss OVG NRW v. 31.01.05, Urteil OVG RLP v. 12.02.2010). Dies muss im Einzelfall entschieden werden.

Verfahrensrechte nach § 1 LVwVfG i.V.m § 29 VwVfG (o. § 25 SGB X) verdrängen ein allgemeines Zugangsrecht nach LTranspG nicht, da die Regelung des § 29 VwVfG gem. § 2 Abs. 3 LTranspG gerade nicht dem LTranspG vorgeht. Während letzteres allen natürlichen Personen einen allgemeinen Zugangsanspruch einräumt, regelt § 29 VwVfG ein Einsichtsrecht nur für bestimmte Personen und Situationen. Nur für das Einsichtsgesuch eines Beteiligten in die das jeweilige Verwaltungsverfahren betreffenden Akten während des laufenden Verfahrens stellt § 29 VwVfG eine abschließende und damit die Anwendbarkeit des LTranspG ausschließende Regelung dar (vgl. a.a.O.).

Das Begehren von nicht am Verwaltungsverfahren Beteiligten kann auf das LTranspG gestützt werden. § 29 VwVfG stellt hier keine die Anwendbarkeit des LTranspG ausschließende Regelung dar.

Zusammenarbeit kommunaler Kassen mit privaten Inkassounternehmen

Sachverhalt

Eine Verbandsgemeinde möchte ein privates Inkassounternehmen als Verwaltungshelfer beauftragen, im Wege des Forderungsmanagements und der Inkassozession für sie tätig zu werden.

Es wurde darauf hingewiesen, dass keine hoheitlichen Vollstreckungsaufgaben erfasst werden, sondern die Verbandsgemeinde bei der Beitreibung ihrer Forderungen durch das als Verwaltungshelfer eingesetzte Inkassounternehmen unterstützt werden soll. Als Dienstleistung wurden die Nutzung von Vollstreckungsauskünften, die Überwachung niedergeschlagener Forderungen sowie das Inkasso für privatrechtliche und öffentlich-rechtliche Forderungen angeboten.

Datenschutzrechtliche Bewertung

Bei der Nutzung von Vollstreckungsauskünften handelt es sich um eine weisungsgebundene Tätigkeit des Inkassounternehmens, das die in der firmeneigenen Vollstreckungsauskunft enthaltenen Informationen der Verbandsgemeinde bereitstellen soll. Somit ist das Inkassounternehmen als Verwaltungshelfer tätig und dies ist datenschutzrechtlich zulässig.

Dagegen ist die Überwachung niedergeschlagener Forderungen sowie Inkasso für privatrechtliche und öffentlich-rechtliche Forderungen der Verbandsgemeinde unzulässig, weil anzunehmen ist, dass dem Inkassounternehmen zur Durchführung seiner Aufgaben ein Ermessens- und Gestaltungsspielraum zusteht. Das Inkassounternehmen würde diese Leistungen nicht mehr als Verwaltungshelfer, sondern nur noch im Falle einer Aufgabenübertragung ausüben können und dies ist unzulässig.

Das Inkassounternehmen benötigt für die Tätigkeit als Verwaltungshelfer konkrete Informationen über die betroffenen Schuldner, die personenbezogene Daten enthalten. Entsprechende Datenweitergaben durch die Verbandsgemeinde erfolgen im Rahmen eines datenschutzrechtlichen Auftragsverhältnisses gem. Art. 28 DS-GVO. Die darin niedergeschriebenen Bestimmungen, insbesondere der Abschluss eines entsprechenden Vertrages, der den Auftragsverarbeiter in Bezug auf den Verantwortlichen bindet und u.a. den Gegenstand und die Dauer der Verarbeitung, Art und Zweck der Verarbeitung sowie die Art der personenbezogenen Daten festlegt, sind zwingend zu beachten.  

Zu diesem Thema

Datenschutzkonforme Gestaltung eines Solarkatasters

Sachverhalt

Eine Kommune plant, Eignungsdaten zur Solarnutzung von Dachflächen im Internet zu veröffentlichen, indem auf den entsprechenden Internetseiten in einem digitalen Stadtplan und georeferenzierten Luftbildern einzelne Grundstücke ausgewählt werden können. Über diese anschriftenbezogene Information zum Eignungsgrad der Dachfläche für die Installation einer Fotovoltaikanlage (Solareignung) hinaus sollen weitere Angaben beispielsweise zur Modulfläche, zur Leistung einer Anlage, zum potenziellen Stromertrag, der zu erwartenden CO² –Einsparung, zu der Höhe der notwendigen Investitionen und zu den zu erwartenden Einnahmen über das Internet frei abrufbar zur Verfügung gestellt werden.

Die Kommune ist der Ansicht, dass dieses Vorhaben datenschutzrechtlich unproblematisch sei, weil keine personenbezogenen Daten veröffentlicht würden. Mit dem Solarkataster werde ein konkretes öffentliches Interesse verfolgt, nämlich die Förderung einer erneuerbaren Energie. Je mehr Personen Informationen aus dem geplanten Solarkataster in Anspruch nehmen und ggf. auch eine Solaranlage errichten würden, desto größer sei der Beitrag zum Klimaschutz. In der mangelnden Kenntnis der Solareignung eines Daches werde für den Betroffenen eine Hürde gesehen, entsprechende Planungen anzugehen.

Datenschutzrechtliche Bewertung

Bei den Angaben zu Ort, Straße, Hausnummer in Verbindung mit der Solareignung eines Gebäudedaches handelt es sich um personenbeziehbare Daten i.S. des Art. 4 Nr. 1 DS-GVO. Sie können über allgemein zugängliche Informationsquellen, wie z.B. ein Telefonbuch, unmittelbar auf die Bewohner bzw. die Eigentümer bezogen werden. Das Datenschutzrecht ist deshalb anwendbar.

Gemäß Art. 6 Abs. 1 Nr. 1 DS-GVO ist die Verarbeitung personenbezogener Daten zulässig, soweit die Betroffenen eingewilligt haben oder andere Tatbestandsvoraussetzungen des Art. 6 Abs. 1 DS-GVO vorliegen. Da die Einholung einer Einwilligung in diesem Zusammenhang regelmäßig nicht geplant ist und aufgrund der Anzahl der betroffenen Personen auch nicht praktikabel erscheint, hängt die Zulässigkeit der Internetveröffentlichung davon ab, ob sie aus anderem Grund gerechtfertigt ist.

Die Bezeichnung einer Dachfläche als für den Bau einer Photovoltaikanlage gut geeignet, geeignet oder nicht geeignet (Solareignung) wird als Umweltinformation bewertet. Rechtsgrundlage für die Veröffentlichung dieser Information in Verbindung mit Ort, Straße und Hausnummer sowie Orthofotos im Internet war § 10 Abs. 1, Abs. 6 i.V.m. § 9 Abs. 1 Landesumweltinformationsgesetz (LUIG).

Durch den Übergang vom LUIG zum Landestransparenzgesetz (LTranspG) am 1.1.2016 hat sich die Rechtslage geändert, auch wenn gemäß § 26 Abs. 5 LTranspG für die Veröffentlichung von Umweltinformationen § 10 LUIG bis zur vollständigen Funktionsfähigkeit der Transparenz-Plattform am 01.01.2021 anzuwenden war. Denn gemäß § 7 Abs. 4 LTranspG sind insbesondere Gemeinden und Gemeindeverbände von der Veröffentlichungspflicht weitgehend ausgenommen.

Damit entfällt zwar die bei der Veröffentlichung von Umweltinformationen nach §9 Abs. 1 LUIG bzw. § 16 Abs. 1 S. 1 LTranspG vorzunehmende Abwägung zwischen dem öffentlichen Interesse an der Bekanntgabe und dem schutzwürdigen Interesse der betroffenen Personen.

Ab dem 25.Mai 2018 kommt mit der DS-GVO als Verarbeitungsgrundlage für die Veröffentlichung von Solareignungsdaten aber Art. 6 Abs. 1 lit. e, Abs. 2 und Abs. 3 DS-GVO in Verbindung mit § 3 LDSG in Betracht. Personenbezogene Daten müssen nach Art. 5 Abs. 1 lit. c DS-GVO dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt werden (Datenminimierung).Somit muss der Eingriff in das informationelle Selbstbestimmungsrecht weiterhin auf das Unabdingbare reduziert werden. Die Internetveröffentlichung muss sich auf diejenigen Informationen beschränken, die zur Realisierung der Ziele des Solarkatasters – Information der Betroffenen über die Möglichkeit der Errichtung einer Solaranlage und Werbung dafür - unabdingbar sind.

Dies bedeutet, dass im Internet in Verbindung mit Ort, Straße und Hausnummer sowie Orthofotos nur veröffentlicht werden darf, ob eine Dachfläche für eine Photovoltaik-Anlage gut geeignet, geeignet oder nicht geeignet ist. Weitere Angaben beispielsweise zur Modulfläche, zur Leistung einer Anlage, zum potenziellen Stromertrag, der zu erwartenden CO2-Einsparung, zu der Höhe der notwendigen Investitionen und zu den zu erwartenden Einnahmen dürfen in Anwendung dieser Verarbeitungsgrundlage nicht über das Internet frei abrufbar zur Verfügung gestellt werden.

Gem. Art. 13 DS-GVO sind die betroffenen Personen u.a. über ihre Betroffenenrechte nach Art. 13 Abs. 2 lit. b bis d DS-GVO zu informieren.

Veröffentlichung privater Adressdaten kommunaler Mandatsträger auf der Homepage einer Kommune

Sachverhalt

Eine Gemeinde möchte Name, Vorname, Amtsbezeichnung, Erreichbarkeitsangaben (Telefon- und Faxnummer, E-Mail-Anschrift in der Verwaltung), Geburtsdatum, Privatanschrift und Lichtbild ihrer Ratsmitglieder veröffentlichen. Sie ist der Ansicht, dass dafür keine Verarbeitungsgrundlage der betroffenen Personen benötigt werde, weil diese ein Ehrenamt übernommen hätten. Außerdem sei eine Veröffentlichung von Adressdaten im Internet schon deshalb unproblematisch, weil bereits eine Bekanntgabe der Wahlvorschläge einschließlich der Adressdaten in der Print-Ausgabe des Amtsblattes erfolgt sei.

Datenschutzrechtliche Bewertung

Die Übernahme eines Ehrenamtes kann nicht dazu führen, dass sich der Betroffene weitgehend nicht mehr auf sein Recht auf informationelle Selbstbestimmung berufen kann. Mit der Übernahme eines Ehrenamtes wird eine Person in Ausübung ihres Amtes  zum Amtsträger. Angaben, die im Zusammenhang mit einer nach außen gerichteten Tätigkeit als Amtsträger stehen, sind Name, Vorname, Amtsbezeichnung sowie die o.g. Erreichbarkeitsangaben. Diese im engen Zusammenhang mit dem Mandat stehenden Daten können auf der Grundlage von Art. 6 Abs. 1 lit e, Abs. 2, Abs. 3 DS-GVO in Verbindung mit § 3 LDSG veröffentlicht werden.

Bei Informationen, die eher der Privatsphäre des Mandatsträgers zuzurechnen sind, wie beispielsweise Geburtsdatum, Privatanschrift oder Lichtbild, ist eine Einwilligung als Grundlage für eine Veröffentlichung oder Datenübermittlung erforderlich.

Auch die Tatsache, dass die Privatanschrift bereits mit dem Wahlvorschlag in der Print-Ausgabe des Amtsblattes bekanntgegeben wurde, ändert daran nichts. Denn der Verbreitungsgrad der Informationen im Medium Internet erreicht einen deutlich höheren Umfang, als dies bei einer Veröffentlichung in einem Printmedium der Fall ist. Dadurch besteht aufgrund der weltweiten Zugriffsmöglichkeit ein höheres Gefährdungspotential. Denn es wird jedem ermöglicht, mit geringem Aufwand eine ungleich größere Datenmenge abzurufen. Die Speicherung dieser Daten im privaten Bereich ist nicht beherrschbar und die Daten können vielfältig ausgewertet und beispielsweise zur Werbeansprache verwendet werden. Über die Archivfunktion von Suchmaschinen sind die Daten häufig auch dann noch abrufbar, wenn die Angaben aus dem Internet-Angebot der Verwaltung bereits entfernt oder geändert wurden. Eine Einwilligung, beschränkt auf die Bekanntgabe personenbezogener Daten in (regional verbreiteten) Printpublikationen, umfasst daher nicht eine Veröffentlichung im Internet.

Dem wird mittlerweile im Wahlrecht Rechnung getragen. Bei einer Bekanntmachung des Wahlvorschlages im Internet darf statt einer Anschrift nur der Wohnort angegeben werden. Außerdem sind Bekanntmachungen von Wahlkreisvorschlägen oder Landes- und Bezirkslisten im Internet einen Monat nach dem Tag der Wahl zu löschen.

Daten zu Mandatsträgern vergangener Wahlperioden auf der Homepage einer Kommune

Sachverhalt

Ein Bürger und ehemaliges Ratsmitglied verlangte, dass die zu seiner Person im Zusammenhang mit der Kommunalwahl 2009 veröffentlichten Daten (Name, Vorname, Erreichbarkeitsangaben in der Verwaltung) aus dem Internet-Angebot herausgenommen werden, weil er nicht mehr im Gemeinderat vertreten ist.

Datenschutzrechtliche Bewertung

Die Angaben zur Kommunalwahl wurden zulässigerweise im Internet veröffentlicht (Art. 6 Abs. 1 lit e, Abs. 2, Abs. 3 DS-GVO in Verbindung mit § 3 LDSG ). Trotzdem muss dem Anliegen des Bürgers entsprochen werden, da die fragliche Information nach Ablauf der vergangenen Wahlperiode obsolet geworden ist und zumindest in Verbindung mit dem Medium Internet kein Informations- und Dokumentationsbedürfnis mehr gesehen wird. Dies entspricht auch dem Grundsatz des Rechts auf Löschung gem. Art. 17 Abs. 1 lit. a DS-GVO.

Das Internet-Angebot einer Kommune sollte von Zeit zu Zeit auf vergleichbare Sachverhalte hin überprüft werden. Denn § 14 Abs. 2 S. 5 und S. 6 E-Government-Gesetz (EGovGRP) regelt Folgendes:

In einer über öffentlich zugängliche Netze verbreiteten elektronischen Fassung der Veröffentlichung sind jedoch personenbezogene Daten unkenntlich zu machen, wenn der Zweck ihrer Veröffentlichung erledigt ist und eine fortdauernde Veröffentlichung das Recht der betroffenen Person auf informationelle Selbstbestimmung unangemessen beeinträchtigen würde. Diese Änderungen müssen als solche kenntlich gemacht werden und den Zeitpunkt der Änderung erkennen lassen.

Überwachung von Skulpturen und Denkmälern

Sachverhalt

In einer Ortsgemeinde soll ein Gedenkzeichen am Rande des Marktplatzes errichtet werden. Der Ortsbürgermeister macht geltend, dass in Anbetracht des hohen Materialwertes des Gedenkzeichens mit Beschädigungen bzw. einem Diebstahl von Teilen zu rechnen ist. Um dem vorzubeugen, möchte er das Gedenkzeichen mit zwei Kameras in Form der Videoaufzeichnung überwachen.

Datenschutzrechtliche Bewertung

Auf der Grundlage von § 21 Abs. 1 S. 1 Nr. 3  LDSG für die Videoüberwachung öffentlich zugänglicher Räume ist die Verarbeitung personenbezogener Daten zulässig, wenn dies zum Schutz des Eigentums oder Besitzes erforderlich ist und keine Anhaltspunkte bestehen, dass überwiegende schutzwürdige Interessen von betroffenen Personen entgegenstehen.

Videoüberwachung muss im Einzelfall erforderlich, d.h. grundsätzlich anlassabhängig und angemessen sein. Die Erforderlichkeit ist in diesem Zusammenhang zu bejahen, wenn der Zweck bzw. das festgelegte Ziel mit der Videoüberwachung erreicht werden kann – Geeignetheit - und es dafür kein anderes, gleich wirksames, aber weniger eingriffintensives - milderes - Mittel gibt.

Die Interessenabwägung hat zu erfolgen zwischen den sich gegenüberstehenden schutzwürdigen Interessen der betroffenen Personen (Persönlichkeitsrecht) einerseits und den anzuerkennenden Zwecken der bzw. des Verantwortlichen einer Videoüberwachung andererseits.

Im Falle einer lediglich abstrakten Gefahr ist die Videoüberwachung zulässig, wenn besondere Umstände im Einzelfall zu berücksichtigen sind, wie z.B. die Sicherung von Kulturdenkmälern oder wertvoller Kunstwerke. Die geplante Videoüberwachung des Gedenkzeichens konnte unter folgenden Voraussetzungen aus datenschutzrechtlicher Sicht mitgetragen werden:

  • Die Überwachung wird auf das Gedenkzeichen sowie dessen unmittelbares Umfeld fokussiert. Die Kameras sollten dabei nur eine möglichst geringe Grundfläche erfassen.
  • Der Betrieb der Anlage ist auf ein Zeitfenster zu beschränken, innerhalb dessen strafbare Handlungen mit größerer Wahrscheinlichkeit begangen werden. Dabei wird davon ausgegangen, dass der Marktplatz als Mittelpunkt der Ortsgemeinde tagsüber regelmäßig von Besuchern und Einwohnern frequentiert wird, sodass solche Vorfälle in diesem Zeitraum nicht zu erwarten sind.
  • Dem Gebot der Transparenz  zu u.a. der Form der Überwachung oder  dem Verantwortlichen ist durch eine Information gemäß § 21 Abs. 2 LDSG gegenüber den betroffenen Personen nachzukommen.
  • Die aufgezeichneten Daten werden unverzüglich gelöscht, wenn sie zur Erreichung  des ursprünglichen Zwecks nicht mehr erforderlich sind (vgl. § 21 Abs. 5 LDSG). Dies ist regelmäßig zwei bis drei Arbeitstage nach dem Beginn der Aufzeichnung der Fall, es sei denn, durch Feiertage werden längere Speicherzeiten notwendig.
  • Alle mit einer Videoüberwachung zusammenhängenden Fragen und Probleme sind in einer Dienstanweisung zu regeln.

Weitere Informationen

Einsatz von Videoüberwachung bei Stadt- oder Straßenfesten

Sachverhalt

Eine größere Kommune möchte vor dem Hintergrund der Katastrophe in Duisburg 2010 die Besucherströme mit Kameras überwachen. Wird das Besucheraufkommen an verschiedenen neuralgischen Stellen in der Fußgängerzone zu groß, sollen Sicherheitskräfte die Gäste umleiten, um eine Überfüllung von einzelnen Plätzen zu vermeiden. Die Kameras werden in jeweils über 15m Höhe installiert. Die Bildübertragung erfolgt auf einen Monitor in der Einsatzleitstelle ohne Ton- und Bildaufzeichnung, dem sog. Monitoring. Durch die eingestellte Auflösung ist gewährleistet, dass Einzelpersonen nicht erkennbar sind.

Datenschutzrechtliche Bewertung

Personenbezogene Daten im Sinne der DS-GVO und des LDSG werden somit nicht verarbeitet. Besucher, die die Kameras wahrnehmen, werden ihr Verhalten aber möglicherweise an der vermeintlich personenscharfen Überwachung und Aufzeichnung ausrichten und anpassen. Diese Auswirkung ist aus datenschutzrechtlicher Sicht akzeptabel, da die Persönlichkeitsrechte der Festgäste nur gering beeinträchtigt werden und das von der Kommune verfolgte Interesse – Sicherheitsgewinn für die Festgäste - überwiegt. Aus der "Vogelperspektive" der Kameras ist zudem besser zu erkennen als durch Ordnungskräfte vor Ort, wie sich Besucherströme entwickeln. Allerdings wird der Einsatz von Videoüberwachung auf Feste zu beschränken sein, die von mehreren zehntausend Gästen besucht werden.

Weitere Informationen zur Videoüberwachung unter "Videoüberwachung durch Kommunen" im Internetangebot des LfDI.

Dienstliche Nutzung von "doodle"

Sachverhalt

Ein behördlicher Datenschutzbeauftragter wird vom Ordnungsamt und der Abt. Jugendpflege um eine Einschätzung dazu gebeten, ob es bedenklich ist, bei Terminabsprachen für Veranstaltungen mit vielen externen Teilnehmern den Terminplandienst "doodle" zu nutzen.

Datenschutzrechtliche Bewertung

Die bei der Nutzung von "doodle" als einem in der Schweiz ansässigen, werbefinanzierten Online-Dienst sich stellenden Fragen werden im 33. Tätigkeitsbericht des Unabhängigen Datenschutzzentrums Schleswig-Holstein näher behandelt. Sie betreffen in erster Linie den Zugriffsschutz, der gegenüber Dritten nur bedingt gewährleistet ist und damit die Vertraulichkeit der Kalendereinträge.

Da die Nutzung von "doodle" auch ohne Registrierung und unter Pseudonym bzw. anonym möglich ist, wäre auch eine dienstliche Nutzung bei zwingenden Gründen unter folgenden Voraussetzungen zulässig: 

  • Die Terminabstimmung via "doodle" darf nur eine Option darstellen; daneben muss es möglich und jedem Teilnehmer offen bleiben, die Terminabstimmung auch telefonisch oder auf andere Weise vorzunehmen. Hierauf ist hinzuweisen.
  • Über den "Titel" dürfen vertrauliche Interna oder personenbezogene Daten nicht offenbar werden (also z.B. "Familienhilfe in Akutsituationen" statt "Heimunterbringung der Kinder von Familie Schneider"). Für Termine oder Inhalte, die der Verschlusssachenanweisung unterfallen, scheidet eine Nutzung von "doodle" aus.
  • Die mit der Terminanfrage angesprochenen Teilnehmer sind darauf hinzuweisen, dass die "doodle"-Nutzung ohne Registrierung möglich ist, die Angabe des Namens der Teilnehmer freiwillig ist und stattdessen auch ein aussagekräftiges Pseudonym (Initialen, Organisations- oder Dienststellenbezeichnung etc.) verwendet werden kann.
  • Der Versand der Terminanfrage ist ausschließlich über die Mailsoftware des Terminkoordinators und nicht über "doodle" vorzunehmen ("Einladung selber verschicken")
  • Nach Abstimmung des Termins ist die Anfrage durch den Terminkoordinator bei "doodle" zu löschen.

Alternativen zu "doodle":

Rechnungsprüfung im häuslichen Arbeitszimmer

Sachverhalt

Ein Ratsmitglied wirft die Frage auf, ob Mitglieder des Rechnungsprüfungsausschusses die der Jahresrechnung zugrundeliegenden Unterlagen, ggf. in digitalisierter Form, zu Hause prüfen dürfen. Eine Prüfung in Ruhe an mehreren Abenden sei angemessener als eine Belegprüfung unter Zeitdruck in den Räumlichkeiten der Verbandsgemeindeverwaltung. Die Behörde dagegen vertritt die Auffassung, dass die Weitergabe der auch personenbezogenen Daten enthaltenden Unterlagen für eine Prüfung zu Hause nicht zur Aufgabenerfüllung der Mitglieder des Rechnungsprüfungsausschusses erforderlich und daher datenschutzrechtlich unzulässig sei.

Datenschutzrechtliche Bewertung

Diese Datenverarbeitung ist zulässig, soweit sie gemäß Art. 6 Abs. 1 S. 1 lit. e, Abs. 2, Abs. 3 DS-GVO in Verbindung mit § 3 LDSG zur Erfüllung einer im öffentlichen Interesse liegenden Aufgabe oder in Ausübung öffentlicher Gewalt, die dem Verantwortlichen übertragen wurde, erforderlich ist. Die Aufgaben und Befugnisse des Rechnungs-prüfungsausschusses ergeben sich aus § 112 GemO.

Weniger sensibel sind in diesem Zusammenhang Daten sog. Amtsträger. Zu ihnen gehören Personen mit der Übernahme eines Ehrenamtes in Ausübung ihres Amtes, z.B. Ortsbürgermeister oder Ratsmitglieder, sowie auch Mitarbeiter einer Kommunalverwaltung. Hier sind gemeint Angaben, die im Zusammenhang mit einer nach außen gerichteten Tätigkeit als Amtsträger stehen - Name, Vorname, Amtsbezeichnung sowie Erreichbarkeitsangaben.

Im Rahmen der Rechnungsprüfung, die der Kontrolle des gesamten Haushaltsvollzugs dient, ist aber grundsätzlich auch von der notwendigen Kenntnisnahme von Sozial-, Steuer- oder Personaldaten auszugehen, also von Daten, die einem besonderen Amtsgeheimnis unterliegen.

Der Grundsatz der Datenminimierung (Art. 5 Abs. 1 lit. c DS-GVO) kommt in § 112 Abs. 4 GemO zum Ausdruck.

In Anwendung des zur Heim- und Telearbeit vertretenen Standpunktes des LfDI kann dem Anliegen des Ratsmitgliedes aber entsprochen werden, wenn evtl. datenschutz-rechtlichen Bedenken durch restriktive technisch-organisatorische Datensicherungsmaßnahmen gewissermaßen "abgefedert" werden.

Dazu zählen insbesondere, dass 

  • die Datenverarbeitung auf dienstlichen Geräten stattfindet (ohne Datenhaltung)
  • temporärer webgestützter Zugriff auf die erforderlichen Daten
  • eine vorherige Inspektion des Heimarbeitsplatzes stattfindet
  • der Datentransport gegen Zugriffe durch Unbefugte gesichert ist
  • in einer Individualvereinbarung Zutrittsmöglichkeiten für Kontrollzwecke mit Sanktionsmöglichkeiten bei einer Zutrittsverweigerung vereinbart werden und
  • beim Zugriff auf Zentralverfahren eine 100 %-Protokollierung erfolgt.

Die Gründe für diese restriktive Haltung sind die Einschränkung der Kontrollmöglichkeiten durch den LfDI, ein erhöhtes Missbrauchspotenzial aufgrund fehlender sozialer Kontrolle sowie die Erhöhung der Gefahr, dass Unbefugte Daten zur Kenntnis nehmen.

Eine Rechtspflicht der Verwaltung zur Übersendung entsprechender Unterlagen gibt es in Rheinland-Pfalz aber nicht.

Weitere Informationen

Sichere elektronische Übermittlung personenbezogener Daten zwischen öffentlichen Stellen

Sachverhalt

Eine Behörde möchte Lichtbilder aus dem Pass- und Personalausweisregister auf Anfrage einer Bußgeldstelle über öffentlich zugängliche Netze unverschlüsselt versenden.

Datenschutzrechtliche Bewertung

Die unverschlüsselte Übermittlung personenbezogener Daten per E-Mail über das Internet ist rechtswidrig, da eine unbefugte Kenntnisnahme Dritter nicht ausgeschlossen ist.

Mit der vorhandenen Infrastruktur (KNRP, rlp-netz, virtuelle Poststelle, DOI) besteht aber für die öffentlichen Stellen grundsätzlich die Möglichkeit, untereinander datenschutzkonform zu kommunizieren.

Wird diese Infrastruktur nicht genutzt, sind bei der Übermittlung personenbezogener Daten über öffentlich zugängliche Netze passwortgeschützte pdf-Dateien oder Archiv-Container (ZIP-Container) zu verwenden. Dabei ist auf die Verwendung eines dem Stand der Technik entsprechenden Verschlüsselungsverfahrens (min. AES 256) und eine angemessene Passwortgestaltung zu achten. Das Passwort ist der empfangenden Stelle auf einem separaten Weg gesondert mitzuteilen.

Weitere Informationen

Jugendamt und Recherche in sozialen Netzwerken

Sachverhalt

Der Leiter eines Jugendamtes bittet um Beantwortung der Frage, wie eine gezielte dienstliche Recherche in sozialen Netzwerken datenschutzrechtlich zu bewerten ist.

Datenschutzrechtliche Bewertung

Maßgeblich ist in diesem Zusammenhang insbesondere die Entscheidung des Bundesverfassungsgerichts vom 27.02.2008 zur Online-Durchsuchung (Az.: 1 BvR 370/07 und 1 BvR 595/07; BVerfGE 120, 274 ff.).

Nach dem Urteil bewirkt die reine Internetaufklärung als solche grundsätzlich keinen Eingriff in das informationelle Selbstbestimmungsrecht. Darüber hinaus sei selbst bei einer Kommunikationsbeziehung im Internet, die - wie bei sozialen Netzwerken - eine Art elektronische Gemeinschaft gebildet habe, das Vertrauen der Kommunikationsteilnehmer in die Identität und Wahrhaftigkeit der Kommunikationspartner nicht schutzwürdig. Das gezielte Zusammentragen und Speichern der in sozialen Netzwerken allgemein zugänglichen Inhalte könne zwar in einem derartigen Fall einen Eingriff in das Grundrecht auf informationelle Selbstbestimmung darstellen und eine besondere Gefahrenlage für die Persönlichkeit der betroffenen Personen erzeugen. Bei Vorliegen einer Ermächtigungsgrundlage sei dies allerdings zulässig.

Vor diesem Hintergrund sind die Jugendämter zumindest bei Vorliegen der Erhebungsvoraussetzungen des § 62 Abs. 3 SGB VIII oder des § 67a SGB X datenschutzrechtlich befugt, unter ihrer eigenen Identität in sozialen Netzwerken nach den für die Erfüllung ihrer Aufgaben erforderlichen und dort allgemein zugänglichen Informationen zu suchen.

Erkenntnisse, die über private Facebook-Accounts von Verwaltungsmitarbeiterinnen und -mitarbeitern gewonnen wurden, dürfen nicht genutzt werden, weil diese Informationen gerade nicht unter der Identität der Behörde recherchiert wurden.

Eine möglicherweise mit der gezielten dienstlichen Recherche verbundene Verletzung der Allgemeinen Geschäftsbedingungen einzelner Netzwerkanbieter ist dagegen angesichts des bei Vorliegen der o.g. Erhebungsvoraussetzungen bestehenden öffentlichen Interesses an der Aufgabenerfüllung durch das Jugendamt hinzunehmen.

Bloße Internetrecherchen über Suchmaschinen oder in frei zugänglichen Seiten sind datenschutzrechtlich unbedenklich, da es sich regelmäßig um allgemein zugängliche Daten handelt und kein Eingriff in das informationelle Selbstbestimmungsrecht erfolgt.

Bearbeitung des Auskunftsantrages eines Bürgers

Sachverhalt

Ein Bürger wendet sich an die Stadtverwaltung und begehrt, dass ihm Auskunft erteilt wird über die zu seiner Person in automatisierten Verfahren und in Akten gespeicherten Daten (Art. 2 Abs. 1 Datenschutz-Grundverordnung, DS-GVO). Der Bürgermeister bittet den behördlichen Datenschutzbeauftragten (bDSB), die Angelegenheit zu bearbeiten.

Der bDSB teilt dem Bürger mit, dass sein Auskunftsbegehren zu allgemein gehalten sei, und bittet ihn z.B. durch die Angabe von Aktenzeichen, Flurstücks-Nummern oder Fachbereichen um eine Konkretisierung. Eine Bearbeitung des Begehrens aus Art. 15 Abs. 1 DS-GVO werde bis zur Präzisierung nicht erfolgen.

Was ist davon zu halten?

Datenschutzrechtliche Bewertung

Grundsätzlich können Antragsteller gegenüber einer öffentlichen Stelle wie der Gemeindeverwaltung einen Auskunftsanspruch gemäß Art. 15 DS-GVO bzw. § 45 Landesdatenschutzgesetz (LDSG; zur Umsetzung der EU-Richtlinie 2016/680) geltend machen, der auf die zu ihrer Person gespeicherten Datengerichtet ist.

Nur in gesetzlich normierten Beschränkungen (§ 12 LDSG) besteht das Auskunftsrecht einer betroffenen Person aus Art. 15 Abs. 1 DS-GVO nicht. Wenn keine personenbezogenen Daten vorhanden sind oder diese anonymisiert wurden, ist eine Negativauskunft notwendig.

Auch trotz der in Erwägungsgrund 63 der DS-GVO genannten Möglichkeit, die betroffene Person um Präzisierung ihres Auskunftsersuchens zu bitten, hat der Verantwortliche auch auf ein allgemein gehaltenes Auskunftsbegehren hin grundsätzlich tätig zu werden und es ergibt sich kein vollständiger Ausschluss des Auskunftsrechts. Insbesondere führt ein unbestimmter Antrag alleine nicht dazu, dass ein exzessiver Antrag im Sinne des Art. 12 Abs. 5 DS-GVO anzunehmen wäre. Denn beim Auskunftsrecht handelt es sich um eines der grundlegendsten und bedeutsamsten Betroffenenrechte der DS-GVO. Für exzessive Fälle gemäß Art. 12 Abs. 5 DS-GVO bestehen hohe Hürden.

Empfohlen wird derzeit vom LfDI daher ein gestufter Auskunftsprozess. Eine Behörde sollte in einem ersten Schritt zumindest überprüfen, in welchen Fachanwendungen personenbezogene Daten der betroffenen Person vorliegen und diesbezüglich eine erste Übersicht gemeinsam mit den Informationen nach Art. 15 Abs. 1 DS-GVO übermitteln. Darin enthalten sein sollten zumindest Grunddaten wie die gespeicherte Adresse der betroffenen Person, Kommunikationswege (z.B. unter welcher E-Mail-Adresse mit der betroffenen Person kommuniziert wurde und ein Überblick darüber, zu welchen Verwaltungsbereichen Verfahren vorliegen).

Zu der Frage, welcher Sachverhalt eine exzessive Antragstellung begründen kann, liegen mittlerweile erste gerichtliche Entscheidungen vor. So wurde dies in einem Fall angenommen, als die Verantwortliche eine Auskunft erteilte und der betroffenen Person diese nicht ausreichte. Dann könne die Verantwortliche von der betroffenen Person verlangen, dass diese ihr Auskunftsbegehren präzisiert, falls die Verantwortliche eine große Menge personenbezogener Daten über die betroffene Person verarbeitet. Entspreche die betroffene Person dem nicht, liege ein exzessiver Antrag vor.

Auf § 45 LDSG kann der Anspruch gegenüber z.B. einer Ordnungsbehörde nur gestützt werden, soweit diese personenbezogene Daten zum Zwecke der Verhütung, Ermittlung, Aufdeckung, Verfolgung oder Ahndung von Straftaten oder Ordnungswidrigkeiten oder der Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit, verarbeiten (§ 26 Abs. 1 LDSG).

Im Gegensatz zu den Ausführungen oben kann der Verantwortliche gemäß § 45 Abs. 3 LDSG von der betroffenen Person verlangen, dass diese ihr Auskunftsverlangen hinreichend bestimmt. Nach § 45 Abs. 3 LDSG kann von der Auskunftserteilung abgesehen werden, wenn die betroffene Person keine Angaben macht, die das Auffinden der Daten ermöglicht. Wenn also pauschal um eine Auskunft aller verarbeiteten Daten gebeten wird, so kann dies zu einer Ablehnung des Antrages führen. Dies kann insbesondere bei sehr großen Datenmengen der Fall sein und soll verhindern, dass öffentliche Stellen gezielt ausgeforscht werden. 

Weiterhin sind in §§ 45 Abs. 4 i.V.m. § 44 Abs. 2 LDSG Ausnahmen geregelt, bei denen eine Auskunftserteilung unterbleiben kann.

Weitere Informationen finden Sie unter "Informationspflichten und Auskunftsrechte" im Internet-Angebot des LfDI.

Übermittlung von Zählerständen der Wasseruhren an die Stadtwerke

Sachverhalt

Am Jahresende werden Haus- und Grundstückseigentümer bzw. Drittempfänger (z.B. Hausverwalter, Erbengemeinschaften etc.) mit einem Schreiben der Stadtverwaltung aufgefordert, ihre Wasserzähler abzulesen und den Zählerstand an die Stadtwerke zu übermitteln. Die Übermittlung des Zählerstandes kann laut Anschreiben per Internet auf der Homepage der Stadt, per Email, per Fax, per Telefon oder per perforierter Postkarte, welche dem Anschreiben beigefügt ist und vollständig ausgefüllt in den Bürgerbüros/im Rathaus abgegeben oder portofrei über die Post versandt werden kann, erfolgen. Auf der Postkarte sind die Objektnummer, die Objektbezeichnung, der Absender, die Zählernummer, der Verbrauch und der Zählerstand im Vorjahr, das Ablesedatum und der neue Zählerstand anzugeben. Darüber hinaus ist die Ablesekarte zu unterschreiben.

Datenschutzrechtliche Bewertung

Über die Antwort-Postkarte können datenschutzrechtlich schützenswerte personenbezogene Angaben zur Kenntnis genommen werden. Dies gilt grundsätzlich aber auch für die unverschlüsselte Übermittlung personenbezogener Daten per E-Mail über das Internet. Denn eine unverschlüsselte E-Mail ist, was den Schutz des Inhalts vor der Kenntnisnahme und Veränderung durch unbefugte Dritte angeht, mit einer mit Bleistift geschriebenen Postkarte zu vergleichen – sie kann abgefangen, mitgelesen und inhaltlich verändert werden. Jeder Knoten (Server oder Router) im Internet, der zur Auslieferung einer ungesicherten E-Mail verwendet wird, kann den Inhalt der E-Mail lesen.

Sofern  eine Kundin bzw. ein Kunde aber frei unter den angebotenen Übermittlungswegen wählen kann, liegt kein Verstoß gegen datenschutzrechtliche Vorschriften vor.

Es wäre aber datenschutzfreundlicher im Hinblick auf den Grundsatz der Datenminimierung (Art. 5 Abs. 1 lit. c DS-GVO), wenn auf der Antwort-Postkarte auf den Namen der Kundin bzw. des Kunden und die Unterschrift verzichtet würde. Eine Zuordnung der Antwortkarte müsste auch lediglich über die abgedruckte Kunden- und Zählernummer erfolgen können.

Aufbewahrung der Akten während der Büroreinigung

Sachverhalt

Eine Gemeindeverwaltung setzt externe Reinigungskräfte zur Reinigung ihrer Büroräume ein.

Datenschutzrechtliche Bewertung

Auch die Mitarbeiter im Reinigungsdienst haben das Datengeheimnis zu beachten. Bedienstete privater Dienstleister sollten daher spätestens bei Aufnahme der Tätigkeit auf das Datengeheimnis nach den Bestimmungen der Datenschutz-Grundverordnung (DS-GVO) verpflichtet worden sein. Sofern eine Verletzung von Berufs- und Amtsgeheimnissen möglich erscheint, kommt zusätzlich eine Verpflichtung nach dem Gesetz über die förmliche Verpflichtung nichtbeamteter Personen (VerpflichtungsG) in Betracht.

Unabhängig davon, ob internes oder externes Reinigungspersonal eingesetzt wird, kommt es bei den zu treffenden Vorkehrungen entscheidend auf die Anwesenheit oder Abwesenheit des Büroinhabers an. Wird während der Dienstzeiten gereinigt, genügt grundsätzlich die bloße Anwesenheit des jeweiligen Büroinhabers. Wenn die Räumlichkeiten dagegen außerhalb der Dienstzeiten gereinigt werden, sollten die Akten eingeschlossen werden.

Gegebenenfalls sind auch Besucher und Kollegen aus anderen Fachbereichen als Unbefugte anzusehen, sodass das Büro – gerade wenn es um besondere Amtsgeheimnisse wie z.B. das Personalgeheimnis geht – bei Abwesenheit während der Dienstzeit verschlossen werden sollte.

Muster "Verpflichtung zur Vertraulichkeit (Datengeheimnis, §§ 8, 35 LDSG) und zur Einhaltung der datenschutzrechtlichen Anforderungen"

Mailing-Aktion bzw. offene Adressierung

Sachverhalt

Um eine Veranstaltung zu bewerben, versendet eine Verwaltung einen Flyer per E-Mail an gut 200 Bürgerinnen und Bürger. Dabei werden alle Adressen in das „An:“- bzw. „CC:“- Feld geschrieben. Somit sieht jeder Empfänger der E-Mail, wer die Nachricht noch erhalten hat.

Datenschutzrechtliche Bewertung

Mailadressen natürlicher Personen stellen aus datenschutzrechtlicher Sicht schützenswerte personenbezogene Daten dar. Diese personenbezogenen Daten dürfen an Dritte nur dann übermittelt werden, wenn eine Einwilligung vorliegt oder eine Legitimation gegeben ist. 

Werden die Felder „An:“ und „CC:“ mit Adressen gefüllt, können alle Empfänger der E-Mail diese Adressen lesen. Man spricht hier von einer offenen Adressierung (Open Adressing).

Die oben genannte Datenübermittlung war in der gewählten Form nicht erforderlich und damit unzulässig (Art. 6 Abs. 1 i.V.m. Art. 5 Abs. 1 lit. a und lit. c DS-GVO bzw. § 3 LDSG). Ein solcher Vorfall stellt auch eine Verletzung des Schutzes personenbezogener Daten dar und wäre unabhängig von einer Beschwerde nach Bekanntwerden in der Behörde grundsätzlich gemäß Art. 33 Abs. 1 DS-GVO an die Aufsichtsbehörde zu melden.

Der Versand einer E-Mail an einen großen Empfängerkreis ohne Verarbeitungsgrundlage hat per „BCC:“- Feld („Blind Carbon Copy“ oder Blindkopie) zu erfolgen. Dann bleiben die E-Mail-Adressen den jeweils anderen Empfängern der Massenmail unbekannt. In das „An:“- Feld wird die eigene E-Mail-Adresse (ggf. anonymisiert) eingetragen.

Anders kann dies gegebenenfalls beurteilt werden, wenn es um E-Mail-Adressen von Amtsträgern geht, die auch bereits im Internet abrufbar zur Verfügung stehen.

Veröffentlichung von Grabsteinen für Zwecke der Genealogie

Sachverhalt

Das Vorhaben von Genealogen, die Grabsteine auf einem Friedhof fotografisch zu erfassen und auf einer von Familienforschern genutzten Seite im Internet zu veröffentlichen, stößt bei den Mitarbeitern der Gemeindeverwaltung auf Ablehnung.

Datenschutzrechtliche Bewertung

Sowohl das Landesdatenschutzgesetz (LDSG) als auch das Bundesdatenschutzgesetz (BDSG) und auch die Datenschutz-Grundverordnung (DS-GVO, EG 27) schützen nur lebende Einzelpersonen als Inhaber des Rechts auf informationelle Selbstbestimmung.

Eine datenschutzrechtliche Verantwortlichkeit besteht daher im Hinblick auf das o. g. Vorhaben nicht.

Daten bereits Verstorbener werden im Wege des nachwirkenden Grundrechtsschutzes u.a. vom Gebot der Unverletzlichkeit der Menschenwürde, sog. postmortaler Persönlichkeitsschutz, bewahrt. Der Staat ist auch nach dem Tod des Betroffenen an dessen Verfügungen über die eigenen Daten gebunden.

In diesem Zusammenhang könnte man hier außerdem den Standpunkt vertreten, dass der Verstorbene bzw. in dessen Namen die Angehörigen die Daten auf dem Grabstein, wie z.B. Name, Geburts- und Todestag, selbst zur Veröffentlichung bestimmt haben. Deshalb bestehen auch keine Anhaltspunkte dafür, dass lebende Nachkommen durch die beabsichtigte Veröffentlichung solcher Informationen über Verstorbene im Internet in ihrem Grundrecht auf informationelle Selbstbestimmung betroffen sein könnten. Dazu gehört auch der subjektive Eindruck einer auf einem Bild evtl. erkennbaren mangelnden Grabpflege, wobei in dieser Hinsicht vor Ort wohl ein höherer sozialer Druck für die oder den Betroffenen aufgebaut werden dürfte als über das Internet.

Zwar erreicht der Verbreitungsgrad der Informationen im Medium Internet einen deutlich höheren Umfang, als dies über einen Grabstein der Fall ist. Aufgrund der weltweiten Zugriffsmöglichkeit besteht deshalb ein höheres Gefährdungspotential. Denn es wird jedem ermöglicht, mit geringem Aufwand Daten abzurufen, zu speichern und auszuwerten. Diese Möglichkeit der Verbreitung hatte die überwiegende Mehrheit der betroffenen Personen sicherlich auch nicht im Blick.

Bei der Abwägung der Interessen kann aber berücksichtigt werden, dass die Gefahr einer nachteiligen Einwirkung auf das Persönlichkeitsrecht mit zunehmender Zeit nach dem Tode und mit nachlassender Erinnerung an die Person geringer wird. Das Schutzbedürfnis des Betroffenen schwindet in dem Maße, in dem die Erinnerung an den Verstorbenen verblasst (BVerfGE 30, 170, 194).

Deshalb bestehen auch keine Anhaltspunkte dafür, dass lebende Nachkommen durch die beabsichtigte Veröffentlichung solcher Informationen über Verstorbene im Internet in ihrem Grundrecht auf informationelle Selbstbestimmung betroffen sein könnten.

Widersprüche von Angehörigen bzw. sonstigen betroffenen Personen nach Ankündigung des Projekts zu berücksichtigen, wäre eine datenschutzfreundliche Vorgehensweise der Initiatoren.

Dorfentwicklungskonzepte

Sachverhalt

Dorfentwicklung spielt eine wichtige Rolle auf kommunaler Ebene. Angesichts des vielfach immer knapper werdenden Wohnraums werden häufig entsprechende Entwicklungskonzepte erstellt, die u.a. detailliert aufzeigen sollen, an welchen Stellen es aktuell Leerstände gibt bzw. in den kommenden Jahren aufgrund der Bevölkerungsstruktur voraussichtlich geben wird. Problematisch wird es vor allem dann, wenn personenbezogene Daten in Konzepten enthalten sind, die auch der Öffentlichkeit präsentiert werden sollen. 

Ist es zulässig, dass darin Haushalte nach Altersklassen und Anzahl der Bewohner klassifiziert werden?

Datenschutzrechtliche Bewertung

Unzweifelhaft handelt es sich bei den verarbeiteten Daten um personenbezogene Daten, wenn im Konzept Angaben zur Anzahl und zum Alter von Hausbewohnern mit der jeweiligen Straße und Hausnummer bzw. Flurstücknummer gemacht werden. Die Personenbeziehbarkeit dieser Geoinformationen kann meist ohne größere Probleme durch allgemein zugängliche Informationsquellen, wie z.B. durch ein Telefonbuch, hinsichtlich der Bewohnerinnen und Bewohner und gegebenenfalls auch der Eigentümerinnen und Eigentümer hergestellt werden.

Doch ist dadurch die Nennung der genannten Daten im Konzept per se ausgeschlossen?

Die Beantwortung der Frage ergibt sich wie immer aus der der DS-GVO. Nach Art. 6 Abs. 1 S. 1 lit. e, Abs. 2, Abs. 3 DS-GVO in Verbindung mit § 3 Landesdatenschutzgesetz (LDSG) ist die Verarbeitung personenbezogener Daten durch eine öffentliche Stelle zulässig, wenn sie zur Erfüllung einer der Gemeinde übertragenen Aufgabe erforderlich ist oder im öffentlichen Interesse liegt.

Das öffentliche Interesse dürfte hier gegeben sein, da die Meldedaten im Rahmen einer Dorferneuerungsmaßnahme o.ä. Planungsmaßnahme zum Zwecke der kommunalen Daseinsvorsorge im weiteren Sinne verwendet werden.

Darüber hinaus legitimiert § 46 Bundesmeldegesetz (BMG) im Falle des öffentlichen Interesses die Meldeämter im Rahmen einer Gruppenauskunft die Anschrift, die Zahl der pro Anschrift gemeldeten Personen und deren Alter zu übermitteln.

Aus diesem Grund ist es datenschutzrechtlich zulässig, die benötigten Daten abzurufen und auch auszuwerten.

Doch liegt damit auch eine Rechtfertigung für die Veröffentlichung der personenbezogenen Daten vor?

In diesem Fall ist zwingend zwischen verwaltungsinterner Erstellung (Verknüpfung von Datenbeständen), Auswertung bzw. Verwendung eines Konzepts als Grundlage für die Entscheidung kommunaler Gremien über Planungs-, Bau- oder sonstige Maßnahmen und insbesondere einer Veröffentlichung der Ergebnisse zur Information der Bürgerinnen und Bürger auf einer Informationsveranstaltung oder im Internet zu unterscheiden.

Für den letzteren Zweck dürfte die Darstellung des Leerstandes in einer Gemeinde anhand von anonymisierten Daten mit einem Plan genügen, indem z.B. keine Hausnummern mehr angegeben und Einheiten bzw. Cluster aus mehreren Häusern gebildet werden.

Werden diese Vorgaben beachtet, dann spricht nichts dagegen, personenbezogene Daten im zuvor genannten Sinne in ein Leerstandskataster einfließen zu lassen.

Hybrid-Brief

Sachverhalt

Zur Optimierung der Ablauforganisation gehen viele Verwaltungen dazu über, ihre Post mittels Hybrid-Brief zu versenden. Der Vorteil liegt auf der Hand: das Schreiben kann elektronisch erstellt und in den Postversand eingebracht werden. Ausdruck, Kuvertierung, Frankierung und Zustellung übernimmt dann i.d.R. ein Dienstleister. Die Verwaltung selbst wird mit diesen Arbeiten nicht mehr belastet und spart personelle wie auch räumliche Kapazitäten.

Doch was sagt der Datenschutz dazu? Dürfen ggf. sensible Daten ohne weitere Voraussetzungen bei einem Dritten ausgedruckt und auf den Weg gebracht werden? Problematisch wird es vor allem deshalb, weil der externe Dienstleister im Rahmen von Qualitätskontrollen oder zur Behebung von Störungen Einblick in zu versendende Schreiben nehmen kann.

Datenschutzrechtliche Bewertung

Vorweg kann festgestellt werden, dass die Inanspruchnahme eines Dienstleisters und der Versand mittels Hybrid-Brief in allen behördlichen Belangen zulässig ist, auch wenn vor allem die Vorgänge des Ausdrucks und der Kuvertierung nicht unter die Vorschriften des Telekommunikationsgesetzes fallen und hierdurch legitimiert werden könnten.

Die Zulässigkeit der Offenbarung der personenbezogenen Daten gegenüber dem Dienstleister ergibt sich aber aus der Auftragsverarbeitung gem. Art. 28 DS-GVO. Der Auftragsverarbeiter ist dabei verpflichtet, die Bestimmungen der DS-GVO einzuhalten und den Schutz der Rechte der betroffenen Personen zu gewährleisten.

Voraussetzung ist aber in jedem Fall der Abschluss eines entsprechenden Vertrages zur Auftragsverarbeitung gem. Art. 28 Abs. 3 DS-GVO.

Der frühere Standpunkt des LfDI, wonach der Abschluss eines Vertrages über die Verarbeitung personenbezogener Daten im Auftrag (Art. 28 DS-GVO) mit einer privaten Stelle zu dem oben genannten Zweck im Bereich der Steuer- und Kommunalabgabenverwaltung wegen des entgegenstehenden Amtsgeheimnisses als unzulässig zu bewerten ist, wird nach dem Wegfall von § 4 Abs. 4 S. 2 LDSG aF. nicht mehr aufrechterhalten.

Insofern spricht aus datenschutzrechtlicher Sicht nichts dagegen, den Postversand in allen behördlichen Belangen mittels Hybrid-Brief zu organisieren.

Adressierung von Gebühren- und Mahnbescheiden an Erbengemeinschaft

Sachverhalt

Da die eigentliche Steuerschuldnerin verstorben war, wurde durch eine Verbandsgemeindekasse die Erbengemeinschaft herangezogen. Auf der Mahnung wurden, wie bei sämtlichen Aktivitäten und Bescheiden im Zuge des Nachlasses üblich, auch die Adressdaten der einzelnen Beteiligten der Erbengemeinschaft hinterlegt. Dies missfiel einem der Erben, der nicht wollte, dass die anderen Mitglieder der Erbengemeinschaft Kenntnis über seinen Wohnort erhielten.

Datenschutzrechtliche Bewertung

Grundsätzlich müssen Steuer- oder Gebührenbescheide hinreichend bestimmt sein (§§ 3 Abs. 1 Nr. 3 KAG, 119 AO). Es muss also erkennbar sein, wer Steuer- oder Gebührenschuldner ist und Verwechslungen müssen ausgeschlossen sein.

Die Identität des Steuerschuldners muss sich dabei nicht zwangsläufig aus der Adressierung ergeben, sondern der Inhaltsadressat kann auch durch Auslegung des Bescheidtextes ermittelt werden. In der Regel reicht also die Nennung des Namens des Steuer- oder Gebührenschuldners, ggf. müssen weitere Identifizierungsmerkmale genannt werden, wenn es zu Verwechslungen kommen könnte (z.B. Geburtsdatum, Adresse).

Wenn Schuldner die Erbengemeinschaft ist, reicht es in der Regel aus, deren Mitglieder nur namentlich anzuführen und auf die Nennung der Adressdaten zu verzichten, wenn Verwechslungen ausgeschlossen sind. Im Einzelfall, z.B. bei Namensgleichheit, kann ein weiteres identifizierendes Merkmal hinzugefügt werden. 

Auch wenn der Erbengemeinschaft untereinander in der Regel die Adressen der Miterben bekannt sein dürften, wird empfohlen, aus Gründen der Datensparsamkeit auf die Auflistung aller Adressen zu verzichten und nur die Namen der Mitglieder der Erbengemeinschaft aufzuführen. Die Adressierung an jedes einzelne Mitglied der Erbengemeinschaft sollte dann individuell erfolgen.

Weitergabe von Bewerberdaten an den Verbandsgemeinderat / Stadtrat

Sachverhalt

Nach der rheinland-pfälzischen Gemeindeordnung (GemO) ist der Bürgermeister Dienstvorgesetzter und Vorgesetzter der Gemeindebediensteten. Allerdings benötigt er für bestimmte Personalentscheidungen die Zustimmung des Gemeinderats (§ 47 Absatz 2 GemO).

Dies sind insbesondere Ernennungen von Beamten ab dem dritten Einstiegsamt sowie die Einstellung und Eingruppierung vergleichbarer Arbeitnehmer ab Entgeltgruppe 9b der Anlage A zum TVöD.

Dabei stellt sich oftmals die Frage, welche Daten der Rat überhaupt sehen darf? Hat er das Recht, Kenntnis von den vollständigen Bewerbungsunterlagen in ausgedruckter Form oder elektronisch zu erhalten?

Datenschutzrechtliche Bewertung

Das Zustimmungserfordernis des Gemeinderates oder eines Ausschusses kann zunächst als Bestandteil des Auswahlverfahrens betrachtet werden.

Innerhalb dieses Verfahrens sind allerdings die datenschutzrechtlichen Grundsätze der Erforderlichkeit und der Datensparsamkeit zu beachten, welche sich unmittelbar aus den Bestimmungen des Art. 5 Datenschutz-Grundverordnung (DS-GVO) ergeben. Die Zulässigkeit der Weitergabe personenbezogener Bewerbungsunterlagen an den Gemeinderat oder einen Ausschuss beurteilt sich weiterhin nach Maßgabe des § 20 Landesdatenschutzgesetz (LDSG). Hinzu kommt, dass in Bewerbungsunterlagen häufig besonders schutzbedürftige Daten im Sinne des Art. 9 DS-GVO gespeichert sind, welche nur unter besonderen restriktiven Voraussetzungen auch innerhalb einer Kommune weitergegeben werden dürfen, vgl. § 20 Abs. 3 LDSG.

Hieraus kann geschlossen werden, dass Daten aus den Bewerbungsunterlagen nur dann verarbeitet und an den Gemeinderat bzw. einen Ausschuss weitergegeben werden dürfen, insofern diese für die jeweilige Entscheidungsfindung erforderlich sind. Maßgeblich sind dabei das in der Ausschreibung genannte Anforderungsprofil für den zu besetzenden Arbeitsplatz unter Berücksichtigung der Kriterien der Bestenauslese (s. Artikel 33 Abs. 2 Grundgesetz). 

Eine Weitergabe der vollständigen Bewerbungsunterlagen ist hingegen nicht erforderlich und aus datenschutzrechtlicher Sicht auch bedenklich. 

Es wird empfohlen, lediglich die für die Stellenbesetzung relevanten Bewerberdaten weiter zu geben. In der Praxis könnte dies z.B. in einer tabellarischen Auflistung erfolgen, aus der ersichtlich ist, inwiefern der jeweilige Bewerber bzw. die jeweilige Bewerberin die gewünschten Kriterien erfüllt. In Betracht kommt auch, dass  von Seiten der Personalabteilung eine Vorauswahl getroffen wird (z.B. in Form eines Besetzungsberichtes). 

Keine Bedenken bestehen in diesem Zusammenhang, zu Vergleichszwecken die Ergebnisse der nachfolgend platzierten Personen anonymisiert gegenüberzustellen.

Zur Klarstellung wird abschließend darauf hingewiesen, dass die Weitergabe von personenbezogenen Bewerbungsunterlagen an den Gemeinderat oder einen Ausschuss auch nicht auf eine Einwilligungserklärung der betroffenen Personen gestützt werden kann. Denn die Freiwilligkeit einer solchen Entscheidung ist aufgrund des Abhängigkeitsverhältnisses grundsätzlich in Frage zu stellen.

Weitergabe von Meldedaten an Ortsbürgermeister

Sachverhalt

Immer wieder stellt sich in den kommunalen Verwaltungen die Frage, ob Meldedaten an die ehrenamtlichen Ortsbürgermeister/innen herausgegeben werden dürfen. Ist dies nach der DS-GVO überhaupt zulässig? Und falls ja, unter welchen Bedingungen?

Datenschutzrechtliche Bewertung

Bei der datenschutzrechtlichen Beurteilung ist zunächst einmal zu unterscheiden, ob die Daten einmalig oder regelmäßig übermittelt werden sollen.

Liegt eine einmalige, anlassbezogene Übermittlung vor, so kann § 34 Abs. 1 Bundesmeldegesetz (BMG) herangezogen werden. Dies ist dann der Fall, wenn die Datenübermittlung ausschließlich auf Abruf und in unregelmäßigen Abständen erfolgt. Regelmäßige Datenübermittlungen, für die wiederum § 36 BMG und die Bestimmungen in der Meldedatenlandesverordnung (MDLVO) gelten, sind dann gegeben, wenn Datenübermittlungen ohne Ersuchen in allgemein bestimmten Fällen regelmäßig wiederkehrend durchgeführt werden.

Weitergabe von Meldedaten bei besonderen Anlässen

Nach § 34 BMG dürfen Meldebehörden öffentlichen Stellen (zum Begriff siehe § 2 Absatz 1 des Landesdatenschutzgesetzes -LDSG) die in dieser Vorschrift genannten Meldedaten übermitteln. Zu den öffentlichen Stellen gehören auch die Ortsgemeinden, vertreten durch die ehrenamtlichen Ortsbürgermeisterinnen und Ortsbürgermeister (§ 2 Absatz 1 Satz 1 Nr. 4 Landesdatenschutzgesetz, LDSG).

Soweit es zur Erfüllung einer in der Zuständigkeit des Empfängers liegenden öffentlichen Aufgabe erforderlich ist, dürfen also bestimmte personenbezogene Daten aus dem Melderegister u.a. in Form des Namens, der Anschrift und des Geburtsdatums weiter gegeben werden. Schutzwürdige Interessen nach § 8 BMG dürfen dabei allerdings nicht beeinträchtigt werden. Dies wäre etwa dann der Fall, wenn Daten von Personen betroffen wären, für die eine Auskunftssperre eingetragen ist oder die der Übermittlung von Meldedaten für Jubiläumszwecke widersprochen haben.

Aus datenschutzrechtlicher Sicht ist jedenfalls nicht zu beanstanden, wenn den Ortsbürgermeisterinnen und Ortsbürgermeistern Meldedaten zur Verfügung gestellt werden, damit beispielsweise Seniorennachmittage organisiert werden können. Voraussetzung ist jedoch, dass es keine regelmäßigen Übermittlungen sind.

Regelmäßige Datenübermittlung

Für regelmäßige Datenübermittlungen im Sinne des § 36 BMG ist eine gesonderte Rechtsgrundlage notwendig. Diese findet sich in § 10 MDLVO wieder.

In § 10 Abs. 1 MDLVO ist eine abschließende Regelung zur regelmäßigen Übermittlung von Alters- und Ehejubiläumsdaten an die Ortsgemeinden getroffen. Nach § 10 Abs. 3 MDLVO können die Meldeämter regelmäßig auch Daten im Rahmen von Zuzügen (Anmeldungen) an die Ortsgemeinden zu übermitteln. Abmeldungen bzw. Wegzüge sind von dieser Vorschrift allerdings nicht erfasst.

Alternativen prüfen und in Erwägung ziehen

Zusammenfassend ist also festzustellen, dass es datenschutzrechtlich zulässig ist, die in § 34 Abs. 1 BMG genannten Meldedaten auf Anfrage zu übermitteln, wenn dies zur Erfüllung von Aufgaben der Ortsgemeinden notwendig ist. Regelmäßige Listen für den Empfang von Neubürgern können ebenfalls an die Ortsgemeinden herausgegeben werden.

Unabhängig von der Zulässigkeit der erläuterten Datenübermittlungen wäre allerdings zu überlegen, ob im Sinne der Datensparsamkeit und Datenminimierung nicht auch eine alternative, datenschutzfreundlichere Lösung in Frage käme. Dies wäre z.B. der Versand von durch die Ortsgemeinde gefertigten Schreiben durch die örtliche Meldebehörde, die Einladung zum Seniorennachmittag im Rahmen von Pressetexten im öffentlichen Bekanntmachungsorgan oder die Begrüßung von Neubürgern im Rahmen einer turnusmäßig stattfindenden Veranstaltung.

Weitere Infos finden Sie im Tätigkeitsbericht zum Datenschutz 2016/2017 und im Tätigkeitsbericht zum Datenschutz 2019, den Sie hier einsehen können. Unter den Tz. 9.2.2 bzw. 13.1 finden Sie entsprechende Ausführungen zu diesem Thema.