04

Kernpunkte:


  • Neues Landesdatenschutzgesetz
  • Behördliche Datenschutzbeauftragte
  • Prüfungen in den Bereichen Polizei und Verfassungsschutz
  • Neue Rolle des ULD im Schulbereich

4    Datenschutz in der Verwaltung

4.1          Allgemeine Verwaltung

4.1.1       Neues Landesdatenschutzgesetz

Bis zum 25. Mai 2018 waren die Vorschriften zum Datenschutz für den öffentlichen Bereich im Land Schleswig-Holstein einfach zu verorten: Entweder gab es bereichsspezifisches Recht, das sich in Bundes- oder Landesgesetzen und Verordnungen fand. Oder – soweit dies nicht der Fall war – man griff auf die Vorschriften des Landesdatenschutzgesetzes (LDSG) vom 9. Februar 2000 zurück.

Seit dem 25. Mai 2018 gilt die DSGVO (EU-Verordnung 2016/679) , die in allen Mitgliedstaaten der EU direkt anwendbar ist. Gleichwohl ist im Mai auch ein vom Landtag im April 2018 verabschiedetes neues Landesdatenschutzgesetz in Kraft getreten, das sogar deutlich umfangreicher ist als das alte LDSG. War das nötig?

Das neue LDSG dient zwei Zwecken. Der erste Zweck besteht darin, dass sogenannte Öffnungsklauseln in der DSGVO wahrgenommen werden. Diese erlauben es dem nationalen Gesetzgeber, eigene Regelungen zu treffen, z. B. zur Einschränkung der Rechte der betroffenen Personen. Zum Teil werden die Mitgliedstaaten auch verpflichtet, eigene Vorschriften zu erlassen. Dies betrifft vor allem die Rechtsgrundlagen für die Datenverarbeitung im öffentlichen Bereich. Im Abschnitt 2 des neuen LDSG (§§ 3-19) werden diese Öffnungsklauseln wahrgenommen und entsprechende Regelungen erlassen.

Der weitere Zweck des neuen LDSG steht im Zusammenhang mit der „Richtlinie (EU) 2016/
680 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates“, der sogenannten JI-Richtlinie, die zeitgleich mit der DSGVO im EU-Amtsblatt veröffentlicht wurde. Da es sich um eine Richtlinie handelt, war es erforderlich, dass der nationale Gesetzgeber sie in eine gesetzliche Vollregelung umsetzt. Dies ist für das Land Schleswig-Holstein mit dem Abschnitt 3 des neuen LDSG (§§ 20-68) erfolgt. Offensichtlich gelten diese Vorschriften für den Bereich der Strafverfolgung durch die Polizei und die Justiz sowie der Gefahrenabwehr durch die Polizei. Wegen der Nähe zur Strafverfolgung fällt allerdings auch die Verfolgung von Ordnungswidrigkeiten unter die Richtlinie. Dies ist von Bedeutung für alle Bußgeldverfahren, die von öffentlichen Stellen betrieben werden. Namentlich im Bereich der Verfolgung von Verkehrsordnungswidrigkeiten, wo es in den Fachgesetzen an konkreten Vorgaben zur Verarbeitung personenbezogener Daten fehlt, werden die Vorschriften im Abschnitt 3 des LDSG zur Anwendung kommen. Bei der Gefahrenabwehr, die durch sonstige, z. B. kommunale Ordnungsbehörden betrieben wird, bleibt es bei der Anwendung der DSGVO und der ergänzenden Regelungen im Abschnitt 2 des LDSG.

Der Vollständigkeit halber sei noch erwähnt, dass sich in Abschnitt 1 des LDSG (§§ 1-2) die Vorschriften zum Gesetzeszweck und zum Anwendungsbereich finden. Die Vorschriften zur Organisation des Unabhängigen Landeszentrums für Datenschutz (ULD) als Anstalt öffentlichen Rechts wurden in ein separates Gesetz ausgegliedert. Darin wurde insbesondere die Amtszeit der oder des Landesbeauftragten für Datenschutz auf sechs Jahre ausgedehnt, allerdings die Wiederwahl erneut auf eine weitere Amtsperiode begrenzt. Aufsichtsbehörde ist die oder der Landesbeauftragte für Datenschutz, die oder der zugleich Leiter(in) des ULD ist. Zusammen mit dem Neuerlass des LDSG wurden knapp 40 Landesgesetze geändert. Dabei ging es in erster Linie um begriffliche Anpassungen an die DSGVO.

Das ULD hatte im Vorfeld der Verabschiedung des LDSG ausführliche Stellungnahmen abgegeben. Viele unserer Vorschläge wurden schließlich berücksichtigt. Doch auch einige kritikwürdige Formulierungen fanden ihren Weg in die verabschiedete Fassung, wie z. B. die Vorschrift zur Videoüberwachung, die als Erlaubnis zur Nutzung biometrischer Überwachungssysteme missverstanden werden könnte. Alles in allem liegt mit dem LDSG aber ein brauchbares Gesetz vor, das jetzt durch Anwendung und Auslegung mit Leben gefüllt werden muss. Bereits nach einem Jahr soll das Gesetz evaluiert werden, sodass sich bereits im Jahr 2019 die Gelegenheit zur weiteren Verbesserung des LDSG bietet.


Was ist zu tun?
Um sich mit dem neuen Datenschutzrecht in Schleswig-Holstein vertraut zu machen, sollten die zuständigen Mitarbeiterinnen und Mitarbeiter der öffentlichen Stellen geeignete Veranstaltungen, z. B. der DATENSCHUTZAKADEMIE Schleswig-Holstein, besuchen. Ergeben sich Probleme oder Widersprüche bei der Anwendung des LDSG, sollte dies dem ULD mitgeteilt werden, damit der entsprechende Punkt in den Prozess der Evaluierung eingebracht werden kann.

 

4.1.2       Benennung behördlicher Datenschutzbeauftragter

Unter dem früheren Landesdatenschutzgesetz (LDSG-alt ) vom 9. Februar 2000 bestand zwar die Möglichkeit für öffentliche Stellen, eine oder einen behördliche(n) Datenschutzbeauftragte(n) zu bestellen, aber keine Pflicht. Das hat sich mit dem vollständigen Inkrafttreten der DSGVO geändert. Diese schreibt vor, dass Verantwortliche und Auftragsverarbeiter in jedem Fall eine(n) Datenschutzbeauftragte(n) (DSB) zu benennen haben, wenn die Verarbeitung der Daten von einer Behörde oder öffentlichen Stelle durchgeführt wird. Ausgenommen sind nur Gerichte, die im Rahmen ihrer justiziellen Tätigkeit handeln. An dieser Stelle sei angemerkt, dass das ULD die Begriffe „Benennung“ (wie es die DSGVO bezeichnet) und „Bestellung“ von DSB (Bezeichnung im deutschen Datenschutzrecht vor Geltung der DSGVO) als deckungsgleich ansieht.

Damit trifft die Benennungspflicht alle öffentlichen Stellen, unabhängig von der Größe, namentlich die Landesbehörden und Kommunen und die von den letzteren gegründeten Zweckverbände und gemeinsamen Kommunalunternehmen. Erfasst sind z. B. aber auch kleine, ehrenamtlich arbeitende Wasser- und Bodenverbände, denn diese sind nach § 1 Wasserverbandsgesetz Körperschaften des öffentlichen Rechts. Die Benennungspflicht trifft auch Private, die aufgrund einer Beleihung hoheitliche Tätigkeiten ausüben, wie z. B. bevollmächtigte Bezirksschornsteinfeger.

Eigenbetriebe zählen als Teil der Kommune. Daher geht das ULD davon aus, dass ein von der Kommune bestellter DSB auch für den Eigenbetrieb zuständig ist, soweit nicht der Eigenbetrieb einen eigenen DSB bestellt hat. Entsprechendes gilt für kommunale Kindertagesstätten (Kitas) und für Feuerwehren.

§ 5 Abs. 2 Brandschutzgesetz Schleswig-Holstein
Die öffentlichen Feuerwehren sind gemeindliche Einrichtungen ohne eigene Rechtspersönlichkeit.

Werden Aufgaben auf privatrechtlich konstituierte Träger (z. B. den Kommunen gehörende GmbHs) ausgelagert, so richtet sich die Benennung eines DSB bei diesen Stellen nach dem Bundesdatenschutzgesetz.

Anders als unter dem früheren LDSG ist nicht nur die Benennung von eigenen Beschäftigten als DSB möglich. Die DSGVO lässt es ausdrücklich zu, auch Externe zu benennen. In beiden Fällen ist jedoch die erforderliche Qualifikation sicherzustellen.

Art. 37 Abs. 5 DSGVO
Der Datenschutzbeauftragte wird auf der Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens benannt, das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt, sowie auf der Grundlage seiner Fähigkeit zur Erfüllung der in Artikel 39 genannten Aufgaben.

Aus dem Erwägungsgrund 97 zur DSGVO ergibt sich, dass das Fachwissen umso ausgeprägter sein muss, je umfangreicher die Datenverarbeitung und der damit gebotene Schutz der Daten ausfallen. Insbesondere für die große Zahl der im Zusammenhang mit der DSGVO neu benannten DSB ist es daher entscheidend, an geeigneten Fortbildungsveranstaltungen teilzunehmen, um möglichst schnell eine solide Kenntnis von Datenschutzrecht und -technik zu erwerben.

Dabei ist gerade bei der Benennung eigener Beschäftigter als DSB zu beachten, dass die Stelle angemessen dotiert ist. Eine Vergütung unterhalb E 11/A 12 ist nicht angemessen, da die Aufgabe der behördlichen DSB von einer erheblichen Komplexität ist. Diese ergibt sich z. B. aus einem Urteil des Finanzgerichts München vom 25. Juli 2017 (das allerdings noch auf die alte Rechtslage und den Privatbereich abstellt):

https://uldsh.de/fg-muenchen-dsb

Die DSGVO sieht auch vor, dass mehrere öffentliche Stellen eine(n) gemeinsame(n) DSB benennen können. Gerade bei Kommunen bietet sich dies unter Ausnutzung des Instrumentariums des Gesetzes über die kommunale Zusammenarbeit an. Hierbei ist zu beachten, dass ein realistischer Personalschlüssel zugrunde gelegt wird. Die Bundesbeauftragte für den Datenschutz (BfDI) hatte im Hinblick auf die Bundesverwaltung ein Verhältnis von 1.000 Beschäftigen auf eine Vollzeitstelle einer DSB angemahnt. Nach vollständiger Geltung der DSGVO hat die BfDI den Schlüssel auf eine Stelle je 500 Beschäftige herabgesetzt.

https://uldsh.de/dsgvo-bundesverwaltung
(S. 29 f. der PDF-Datei)

Vor diesem Hintergrund und aufgrund der in der Vergangenheit mit den bereits unter dem früheren LDSG bestellten DSB gemachten Erfahrungen geht das ULD derzeit davon aus, dass auch bei Kommunen eine Obergrenze von 1.000 Beschäftigten pro Vollzeitstelle einer oder eines DSB gilt. Dies ist auch bei der Benennung von gemeinsamen DSB zu beachten. Hat ein Kreis z. B. etwa 700 Beschäftigte, so dürfen die von der oder dem gemeinsam bestellten DSB betreuten Kommunen oder Zweckverbände zusammen nicht mehr als 300 Beschäftigte haben. Wird diese Anzahl überschritten, ist in der Regel die Schaffung einer weiteren (gegebenenfalls anteilsmäßigen) Stelle erforderlich.

Bei kleineren öffentlichen Stellen kann die oder der DSB auch mit anderen Aufgaben betraut werden. Diese dürfen jedoch nicht zu einem Interessenkonflikt führen. Damit scheidet die Benennung von leitenden Mitarbeiterinnen und Mitarbeitern der öffentlichen Stelle oder auch der IT-Abteilung aus.

Die Kontaktdaten der oder des DSB sind zu veröffentlichen. Die Veröffentlichung hat regelmäßig auf der Homepage der öffentlichen Stelle zu erfolgen. Dabei ist es nicht zwingend erforderlich, dass der Name der oder des DSB genannt wird. Es muss mindestens eine postalische und elektronische Kontaktadresse angegeben werden, letztere z. B. nach dem Schema: datenschutz@behoerde.de. Für die ebenfalls verpflichtende Meldung der DSB an die Aufsichtsbehörde hat das ULD ein Meldeportal zur Verfügung gestellt unter:

https://uldsh.de/dsb-meld

Die oder der DSB berichtet unmittelbar der höchsten Managementebene – es handelt sich also um eine Stabsstellenfunktion. Es besteht Weisungsfreiheit bei der Ausübung der Aufgaben als DSB; die Dienststellenleitung darf z. B. nicht anordnen, dass eine bestimmte Kontrolle durch die oder den DSB vorrangig durchzuführen sei. Weiterhin muss die oder der DSB frühzeitig in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen eingebunden werden. Dazu gehört eine Informationspflicht der öffentlichen Stelle gegenüber der oder dem DSB z. B. bei der Einführung neuer IT‑Verfahren. Dies betrifft sowohl die Verarbeitung der personenbezogenen Daten von Bürgerinnen und Bürgern als auch die Verarbeitung von Beschäftigtendaten.

Die DSGVO legt fest, dass die oder der DSB wegen der Erfüllung der gesetzlichen Aufgaben nicht abberufen oder benachteiligt werden darf. Anders als im BDSG finden sich im LDSG keine weiter reichenden Regelungen zum Kündigungsschutz. Daher wäre es z. B. zulässig, wenn die oder der DSB einer öffentlichen Stelle von der Position abberufen wird, weil die Stelle die Aufgabe aus wirtschaftlichen Erwägungen an Externe vergeben will.

Der oder dem DSB müssen alle notwendigen Ressourcen zur Verfügung gestellt werden. Dazu gehört, dass die öffentliche Stelle

  • eine Arbeitsumgebung zur Verfügung stellt, die es der oder dem DSB ermöglicht, seine Aufgaben mit dem jeweils nötigen Grad an Vertraulichkeit zu erfüllen; dazu gehört die Nutzungsmöglichkeit von entsprechenden Räumlichkeiten (z. B. ein Einzelbüro oder ein Besprechungszimmer), ein abgesicherter E-Mail-Zugang oder abschließbare Behältnisse für Dokumente,
  • die Teilnahme an Fortbildungen ermöglicht und Fachliteratur finanziert,
  • die Teilnahme an Sitzungen mit anderen DSB ermöglicht und die erforderlichen Reisekosten übernimmt.

Dabei kann es sinnvoll sein, der oder dem DSB für die Erfüllung der Aufgaben ein angemessenes Budget zur Verfügung zu stellen, sodass die oder der DSB selbst priorisieren kann, wofür die vorhandenen Mittel ausgegeben werden.

Zu den Aufgaben der oder des DSB gehören die Beratung der öffentlichen Stelle und die Schulung der Beschäftigten sowie die Kontrolle der Einhaltung der Vorschriften über den Datenschutz. Für die Aufsichtsbehörde, in Schleswig-Holstein also die Landesbeauftragte für Datenschutz mit ihrer Dienststelle, dem ULD, dient sie oder er als Kontaktperson.

Die betroffenen Personen können sich in allen Fragen der Datenverarbeitung direkt an die oder den DSB wenden. Die oder der DSB ist zum Stillschweigen über die Sachverhalte verpflichtet, die ihr oder ihm in dieser Eigenschaft bekannt werden.

Es ist wichtig zu betonen, dass die oder der DSB keinesfalls selbst die Verantwortung für die Datenverarbeitung trägt. Diese verbleibt bei der Leitung der öffentlichen Stelle.

Für den Anwendungsbereich der JI-Richtlinie (dazu siehe oben unter Tz. 4.1.1) finden sich in den §§ 58-60 LDSG-neu Regelungen zur Benennung von Datenschutzbeauftragten, die im Wesentlichen mit den Artikeln 37-39 der DSGVO übereinstimmen. Diese gelten für Behörden, die ausschließlich oder vornehmlich diesen Teil des LDSG anwenden, also in erster Linie für die Polizei. Das ULD geht insoweit von einer einheitlichen Benennung von DSB bei einer öffentlichen Stelle entweder nach Artikel 37 DSGVO oder nach § 58 LDSG-neu aus. Das bedeutet: Soweit öffentliche Stellen das jeweils andere Rechtsregime anwenden (z. B. Kommunen als Ordnungswidrigkeitenbehörden den Abschnitt 3 des LDSG-neu oder die Polizei in Personalangelegenheiten die DSGVO und den Abschnitt 2 des LDSG-neu), ist insoweit keine erneute oder gesonderte Benennung einer oder eines DSB nach jenem Rechtsregime erforderlich. Die oder der DSB wird immer nach dem Rechtsregime benannt, das vorrangig anwendbar ist, bei den allermeisten öffentlichen Stellen also nach Artikel 37 DSGVO, bei der Polizei nach § 58 LDSG-neu.


Was ist zu tun?
Alle öffentlichen Stellen haben eine oder einen Datenschutzbeauftragten zu benennen. Diesen sind angemessene Ressourcen und die Gelegenheit zur Fortbildung zu gewähren, damit sie ihre Aufgaben erfüllen können.

 

4.1.3       Versand von personenbezogenen Informationen per E-Mail  innerhalb und außerhalb des Landesnetzes

Im Berichtszeitraum traten mehrere öffentliche Stellen des Landes an das ULD heran und baten um Bewertung der Frage, unter welchen Bedingungen personenbezogene Informationen per E-Mail versandt werden dürfen. Von Bedeutung ist dies vor allem in Massenverfahren, in denen große Zahlen von Adressaten erreicht werden müssen. In diesen Verfahren kann der Versand von Informationen per E-Mail zu erheblichen Kosteneinsparungen führen. Gleichwohl sind die Anforderungen des Datenschutzrechts an die erforderliche Datensicherheit zu beachten.

Wenn sich Versender und Adressat im Landesnetz befinden, bestehen insoweit keine Probleme. Das Landesnetz ist vom allgemeinen Internet abgeschottet und gilt aktuell als hinreichend sicher, sodass innerhalb des Landesnetzes auch personenbezogene Daten per E-Mail versandt werden können. Auf diese Weise kann z. B. das Dienstleistungszentrum Personal (DLZP) mit den allermeisten aktiven Beschäftigten kommunizieren, da diese E-Mail-Adressen innerhalb des Landesnetzes haben. Gefahren für die Vertraulichkeit entstehen jedoch dann, wenn E-Mails automatisiert weitergeleitet werden (Urlaub/Vertretung) oder Postfächer für die Einsicht Dritter, etwa innerhalb einer Arbeitsgruppe, geöffnet wurden.

Schwieriger wird die Lage, wenn E-Mails nach außerhalb des Landesnetzes versandt werden sollen. Dies betrifft z. B. die etwa 30.000 Ruhegehaltsempfängerinnen und -empfänger, die vom DLZP ebenfalls betreut werden. Ein anderer Anwendungsfall ist die Kommunikation mit Bewerberinnen und Bewerbern auf Stellen im öffentlichen Dienst, die im Rahmen des Bewerbungsverfahrens bestimmte Nachrichten erhalten sollen.

Nach wie vor gilt, dass das Versenden von E‑Mails im öffentlichen Internet unsicher ist. Zwar wird zum Teil eine sogenannte Transportverschlüsselung verwendet, die die E-Mail bei ihrem Transport zwischen E-Mail-Servern verschlüsselt. Allerdings wird diese Transportverschlüsselung bei der Zwischenspeicherung auf dem E-Mail-Server wieder entfernt, sodass jedenfalls für die Betreiber der Server die E‑Mail-Nachricht und etwaige Anhänge ohne Weiteres lesbar sind. Vorzuziehen wäre eine sogenannte Ende-zu-Ende-Verschlüsselung , wie sie beispielsweise durch den OpenPGP-Standard oder bei der Verwendung von S/MIME sichergestellt werden kann: Hier erfolgen Ver- und Entschlüsselung direkt bei den Absendern bzw. Empfängern auf deren Endgeräten. Allerdings gibt es leider nach wie vor nur eine relativ geringe Zahl von Versendern bzw. Empfängern von E-Mails, die an diesem Verfahren teilnehmen. Um gleichwohl zu einem angemessenen Schutz im Sinne von Artikel 32 DSGVO zu kommen, hält das ULD die folgenden Maßgaben für geeignet:

Die Versendung von personenbezogenen Daten per E-Mail ist ausnahmsweise dann auch außerhalb des Landesnetzes zulässig, wenn die oder der Betroffene ihre oder seine Einwilligung dazu gegeben hat. Dazu muss sie oder er über die Risiken adäquat aufgeklärt worden sein. Die Einwilligung kann auch jederzeit mit Wirkung für die Zukunft widerrufen werden.

Eine solche Einwilligung darf sich jedoch nur auf Daten beziehen, die nicht dem besonderen Schutz des Art. 9 Abs. 1 DSGVO unterliegen. Im Hinblick auf den rechtlich gebotenen Schutz dieser besonders sensiblen Daten kommt eine unverschlüsselte Versendung über offene Netze nicht infrage.

Art. 9 Abs. 1 DSGVO
Die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person ist untersagt.

Konkret wurde dies beispielsweise für das Management von Bewerberdaten im Landesbereich mit dem Finanzministerium abgestimmt, das den Einsatz des dafür vorgesehenen Systems KoPers organisiert. In Massenbewerbungsverfahren, wie z. B. bei der Polizei, können allgemeine Verfahrensnachrichten per E-Mail versandt werden, wenn die Betroffenen darin eingewilligt haben. Dies betrifft beispielsweise die Nachricht, dass die Bewerbung erfolgreich eingegangen ist. Weiterhin dürfen auch Mitteilungen über die Erfolglosigkeit der Bewerbung versendet werden, wenn sie keine Daten im Sinne von Artikel 9 DSGVO oder vergleichbar sensible Daten enthalten. Zu den vergleichbar sensiblen Daten sind beispielsweise auch Daten über die Körpergröße zu zählen, deren Nichterreichen zur Zurückweisung einer Bewerbung führt. In solchen Fällen ist ein Schreiben auf dem Postweg zu versenden.


Was ist zu tun?
Die öffentlichen Stellen im Land Schleswig-Holstein sollten vorrangig darum bemüht sein, mit ihren Kommunikationspartnern verschlüsselte E-Mails auszutauschen, wenn personenbezogene oder andere schutzwürdige Daten enthalten sind. Ohne ausreichenden Schutz dürfen besonders sensible personenbezogene Daten (Artikel 9 DSGVO) nicht per E-Mail versandt werden.

 

4.1.4       E-Mails mit nachgesandtem Passwort führen nicht zu Sicherheit von Meldedaten

Im Berichtszeitraum wandte sich das Ministerium für Inneres, ländliche Räume und Integration an das ULD und bat um datenschutzrechtliche Beratung im Zusammenhang mit der Durchführung einer Befragung. Mit Beschluss vom 4. Oktober 2017 hatte der Schleswig-Holsteinische Landtag die Landesregierung beauftragt, eine wissenschaftlich begleitete Sportentwicklungsplanung für das Land Schleswig-Holstein durchzuführen; Teil davon sollte auch die Befragung der Bevölkerung zu ihren Sportgewohnheiten und zu Anforderungen z. B. im Hinblick auf Vereine und Sportstätten sein. Das Innenministerium bat das ULD insbesondere um Beratung dazu, in welcher Weise auch Minderjährige in datenschutzkonformer Weise in die Befragung einbezogen werden können. Das ULD hat dazu Empfehlungen abgegeben, die – soweit ersichtlich – vom Innenministerium auch umgesetzt wurden.

Bei der Durchführung sorgte dann allerdings die sogenannte Stichprobenziehung für einige Nachfragen beim ULD. Die Befragungsunterlagen sollten an eine möglichst repräsentative Auswahl von Einwohnern des Landes geschickt werden. Dazu hatte das Innenministerium die Meldebehörden in den Kommunen angewiesen, eine bestimmte Anzahl von Datensätzen aus dem jeweiligen Melderegister zu ziehen. Diese Stichprobe sollte sodann als Excel-Tabelle per E-Mail an das Innenministerium übersendet werden. Dazu sollte die Excel-Datei verschlüsselt und mit einem Kennwort gegen unerlaubten Zugriff gesperrt werden, was innerhalb des Programms selbst möglich ist. Sodann sollte die Datei mittels E-Mail an das Innenministerium übersandt werden. Um die Datei auf der Empfängerseite zu entschlüsseln, wurden die Meldebehörden aufgefordert, das Passwort, mit dem die Excel-Datei gesperrt ist, in einer zweiten E-Mail an denselben Empfänger im Innenministerium zu übersenden.

Dieses Vorgehen rief die Kritik einiger kommunaler Datenschutzbeauftragter hervor. Diese wiesen darauf hin, dass die Übersendung des Passworts auf demselben Kanal wie die mit diesem Passwort geschützten Informationen nur unwesentlich zur Erhöhung der Sicherheit beiträgt. Die Datenschutzbeauftragten schlugen vielmehr vor, das Passwort auf einem anderen Kanal, z. B. telefonisch, an den Empfänger im Innenministerium durchzugeben, um so für eine erhöhte Sicherheit zu sorgen.

Das Innenministerium war mit diesem Vorgehen nicht einverstanden. Mit einer E-Mail an alle Meldebehörden erklärte es, dass der getrennte Versand der Excel-Datei und des Passworts jeweils per E-Mail sicher sei und datenschutzrechtlich nicht beanstandet werden könne. Es handele sich hierbei um eine „Zwei-Faktor-Verschlüsselung“ , die den inhaltlichen Vorgaben von Art. 32 Abs. 1 DSGVO (Datensicherheit) entspreche. Soweit sich einige Meldebehörden gleichwohl darum bemühten, das Passwort telefonisch durchzugeben, wurde dieses dem Vernehmen nach aufseiten des Innenministeriums nicht angenommen.

Das ULD sah sich gezwungen, in einer eigenen Mitteilung an die Meldebehörden klarzustellen, dass mit der vom Innenministerium vorgeschlagenen Versandart keine ausreichende Sicherheit hergestellt werden könne. Es handelt sich gerade nicht um ein Zwei-Faktor-Verfahren, wenn die verschlüsselte Datei und das Passwort über dasselbe Medium (E-Mail) versendet werden. Gerade weil der Versand von personenbezogenen Informationen per E-Mail keine ausreichende Sicherheit der Daten gewährleistet, werden diese verschlüsselt. Dann das Passwort über ebenjenen unsicheren Übertragungsweg zu versenden, erhöht die Datensicherheit allenfalls marginal; jedenfalls wird nicht das dem Risiko angemessene Schutzniveau gewährleistet.

Aus Sicht des ULD ist es daher geboten, für die Übermittlung des zugehörigen Passworts einen anderen Kanal zu verwenden. Dabei bietet es sich an, dies per Telefonanruf bei der vom MILI dort bestimmten Person zu erledigen. Dies würde eine geeignete Maßnahme nach Art. 32 Abs. 1 DSGVO darstellen, die neben Art, Umfang, Umständen und Zwecken der Verarbeitung auch die Faktoren des Stands der Technik und der Implementierungskosten berücksichtigt und ein dem Risiko angemessenes Schutzniveau bietet. Alternative Verfahren sind ebenfalls denkbar, beispielsweise wenn vor der E-Mail-Zulieferung die zu verwendenden, ausreichend komplex gestalteten individuellen Passwörter den Zuständigen in den Meldebehörden per Briefpost zugesandt werden oder die Möglichkeit des Hochladens der Daten in einen geschützten Bereich auf einem Server des MILI über eine verschlüsselte Verbindung geschaffen wird.

Es ist festzustellen, dass das Innenministerium einerseits bei der Gestaltung des Befragungsverfahrens sich frühzeitig mit dem ULD in Verbindung setzte und Empfehlungen einholte, aber andererseits bezüglich der Datensicherheit bei der Übersendung der zu verwendeten Meldedaten darauf leider verzichtete.

 

Was ist zu tun?
Die Grundidee der Zwei-Faktor-Sicherheit basiert darauf, dass die beiden Faktoren voneinander unabhängig sind. Ohne ausreichende Sicherheit dürfen personenbezogene Daten nicht übertragen werden – das müssen auch Meldebehörden und Ministerien berücksichtigen. Künftig sollte in vergleichbaren Fällen die Kritik der kommunalen Datenschutzbeauftragten ernst genommen und das Verfahren umgestaltet werden.

 

4.1.5       Unzulässiges Anfertigen und Speichern von Scans oder Kopien der Geburtsurkunde bei Beantragung von Ausweisdokumenten

Im Rahmen einer Beschwerde erhielt das ULD Kenntnis davon, dass im Bürgerbüro einer Stadtverwaltung bei der Beantragung von Ausweisdokumenten Geburtsurkunden eingescannt und gespeichert wurden. Der betroffenen Person wurde mitgeteilt, dass die Anfertigung einer Kopie ihrer Geburtsurkunde und deren Speicherung durch das Bürgerbüro eine Pflichtvoraussetzung für die Beantragung eines neuen Personalausweises sei. Informationen über die Rechtsgrundlage oder sonstige Umstände der Datenverarbeitung wurden der Person nicht erteilt. Im Rahmen der Anhörung durch das ULD erklärte die Stadtverwaltung, dass es sich bei dem Verfahren um ein „Serviceangebot“ des Bürgerbüros handele. Die Bürgerinnen und Bürger hätten durch die Speicherung eines Scans ihrer Geburtsurkunde den Vorteil, dass sie diese bei der Beantragung weiterer Dokumente zukünftig nicht erneut vorlegen müssten.

Es stellt sich bereits die Frage, ob ein solches „Serviceangebot“ überhaupt vom öffentlich-rechtlichen Auftrag eines Bürgerbüros bzw. Einwohnermeldeamtes umfasst sein kann. In jedem Fall setzt eine solche Verarbeitung personenbezogener Daten das Vorliegen einer Rechtsgrundlage voraus.

Dabei ist zu berücksichtigen, dass die Geburtsurkunde einer Person nicht nur die Schreibweise ihres Namens erkennen lässt, sondern in der Regel auch personenbezogene Daten ihrer Eltern beinhaltet. In vielen Fällen enthält die Urkunde auch Angaben über die Zugehörigkeit der Person und ihrer Eltern zu einer Religionsgemeinschaft. Dabei handelt es sich um besondere Kategorien personenbezogener Daten, deren Verarbeitung sich nur nach den strengen Vorgaben des Artikels 9 DSGVO zulässig ist.

Eine Rechtsgrundlage ist jedoch für die Anfertigung und Speicherung von Scans oder Kopien der Geburtsurkunde bei der Beantragung von Ausweisdokumenten nicht gegeben: Weder kann eine Einwilligungserklärung im Sinne von Art. 6 Abs. 1 Buchst. a DSGVO die Datenverarbeitung legitimieren, noch konnte diese auf § 11 LDSG-alt oder auf Art. 6 Abs. 1 Buchst. e DSGVO in Verbindung mit § 3 Abs. 1 LDSG-neu gestützt werden.

Die Verarbeitung besonderer Kategorien personenbezogener Daten erfordert außerdem das Vorliegen eines erheblichen öffentlichen Interesses, das bei einem bloßen „Serviceangebot“ zu verneinen ist. Weitere gesetzliche Ausnahmetatbestände liegen nicht vor, auch ist keine spezialgesetzliche Rechtsgrundlage für die Verarbeitung der besonderen Kategorien personenbezogener Daten über Herkunft und Religionszugehörigkeit gegeben.

Insbesondere stellt § 3 Abs. 1 Bundesmeldegesetz (BMG) keine taugliche Rechtsgrundlage in diesem Sinne dar. Der vom Ministerium für Inneres, ländliche Räume und Integration vertretenen Ansicht, dass die Meldebehörden Scans und Kopien von Geburtsurkunden auf dieser Grundlage fertigen und speichern dürften (Runderlass des Ministeriums vom 27. Juni 2018 über das Verhältnis von Melderegister, Passregister und Personalausweisregister, Speichern von Nachweisen), ist nicht zuzustimmen. Die Verpflichtung der Meldebehörden durch § 3 Abs. 1 BMG beschränkt sich zunächst auf die Speicherung der dort unter Nr. 1-19 genannten Grunddaten. Nur wenn zum Nachweis der Richtigkeit der Grunddaten weitere „Hinweise“ erforderlich sind, können auch diese im Melderegister gespeichert werden. Nach diesem Erforderlichkeitsgrundsatz dürfen nur solche Daten verarbeitet werden, die zur Zweckerreichung absolut notwendig sind. Bloß irgendwie dienliche oder förderliche Angaben sind nicht erforderlich in diesem Sinne. Ihre Speicherung würde auch gegen den Grundsatz der Datenminimierung (Art. 5 Abs. 1 Buchst. c DSGVO, zuvor „Datensparsamkeit“ gemäß § 4 LDSG-alt) verstoßen. Angaben sind erst dann notwendig, wenn zur Erreichung des beabsichtigten Ziels keine sinnvolle oder zumutbare Alternative zur Datenverarbeitung gegeben ist.

Nach Einsichtnahme in die Geburtsurkunde durch eine Mitarbeiterin oder einen Mitarbeiter des Bürgerbüros und lesendem Abgleich der korrekten Schreibweise des Namens ist die Anfertigung und Speicherung einer Kopie der Urkunde nicht mehr notwendig. Ebenso wenig wäre die Speicherung einer Kopie der Promotionsurkunde, des Personalausweises oder des Reisepasses erforderlich. Einwohnermeldeämter bzw. Bürgerbüros müssen von der Anfertigung und Speicherung von Kopien oder Scans von Geburtsurkunden absehen, da es dafür keine Rechtsgrundlage gibt.


Was ist zu tun?
Das Ministerium für Inneres, ländliche Räume und Integration sollte den Runderlass vom 27. Juni 2018 über das Verhältnis von Melderegister, Passregister und Personalausweisregister, Speichern von Nachweisen unter dem Gesichtspunkt der Datenminimierung überprüfen und korrigieren.

 

4.1.6       Veröffentlichung von Daten der Wahlbewerber  bei der Kommunalwahl

Das ULD erreichten zahlreiche Beschwerden darüber, dass im Kontext der Kommunalwahl im Jahr 2018 eine Reihe von persönlichen Daten der Wahlbewerber im Internet veröffentlicht wurde.

Das ULD musste den Beschwerdeführern mitteilen, dass die Veröffentlichung der Daten nicht zu beanstanden war, da sie von der Gemeinde- und Kreiswahlordnung (GKWO) so vorgesehen ist. § 74 Abs. 2 GKWO bestimmt, welche Daten ein Wahlvorschlag enthalten muss, nämlich den Familiennamen, den Vornamen (bei mehreren Vornamen den oder die Rufnamen), den Beruf oder den Stand, das Geburtsdatum, die Staatsangehörigkeit und die Anschrift (Hauptwohnung) der Bewerberin oder des Bewerbers sowie beim Wahlvorschlag einer politischen Partei oder Wählergruppe den Namen der Partei oder Wählergruppe. § 77 GKWO verpflichtet die Gemeindewahlleiterin oder den Gemeindewahlleiter, die zugelassenen Wahlvorschläge bekannt zu geben. Nach § 77 Abs. 1 Satz 2 GKWO hat diese Bekanntmachung die in § 74 Abs. 2 GKWO bezeichneten Angaben zu enthalten. Lediglich das vollständige Geburtsdatum, das bei der Einreichung der Wahlvorschläge anzugeben ist, wird bei der Veröffentlichung auf das Geburtsjahr gekürzt. Nur falls ausnahmsweise für den Wahlbewerbenden eine Auskunftssperre im Melderegister eingetragen ist, entfällt die Angabe zur Anschrift; dann kann stattdessen eine sogenannte Erreichbarkeitsanschrift eingetragen werden.

Die Bekanntmachung der Wahlvorschläge richtet sich nach § 87 GKWO. Aus Abs. 1 Satz 3 der Vorschrift ergibt sich, dass die Veröffentlichung auch im Internet erfolgen kann. Anders als bei der Veröffentlichung durch Aushang ist für die Veröffentlichung im Internet keine Höchstdauer vorgeschrieben. Da die Veröffentlichung der Daten der Wahlbewerbenden auf gesetzlichen Vorschriften beruhte, konnte das ULD diese nicht verhindern.

Allerdings hatte es auf politischer Ebene bereits im Jahr 2016 eine Initiative zur Einschränkung der zu veröffentlichenden Daten gegeben. Seinerzeit hatte die Fraktion der PIRATEN anlässlich einer Änderung der wahlrechtlichen Vorschriften einen Entschließungsantrag eingebracht, wonach der Landtag die Landesregierung auffordern solle, in der Wahlordnung statt der genauen Adresse der Wahlbewerberinnen und Wahlbewerber nur die Postleitzahl der Wohnanschrift und eine Erreichbarkeitsadresse zu verwenden (Drucksache 18/3588, auffindbar über die Mediathek des Landtages).

Diese Position wurde vom ULD in seiner damaligen Stellungnahme vom 29. Januar 2016 zu dem Gesetzentwurf (Umdruck 18/5561) unterstützt und von der Landesbeauftragten für Datenschutz in der Sitzung des Innen- und Rechtsausschusses vom 23. März 2016 bekräftigt (die Niederschrift der 126. Sitzung ist in der Mediathek des Landtages abrufbar). Gleichwohl ist die Mehrheit der Abgeordneten dieser Auffassung nicht gefolgt.

In der laufenden Legislaturperiode hat es im Landtag einen erneuten Versuch gegeben, die Veröffentlichungspflichten der GKWO einzuschränken. Der entsprechende Antrag der AfD-Fraktion (Drucksache 19/692) sowie der Alternativantrag aller anderen im Landtag vertretenen Fraktionen bzw. Parteien (Drucksache 19/715) wurden am 27. April 2018 im Landtag ausführlich diskutiert (Plenarprotokoll 19/30 ab Seite 2124). Dabei kam auch zur Sprache, dass in Berlin und Brandenburg die Veröffentlichung einer Erreichbarkeitsadresse anstelle der Wohnanschrift ausreiche. Schließlich wurde der Antrag der Mehrheitsfraktionen angenommen, wonach die Landesregierung im Innenausschuss über Übergriffe auf Kandidatinnen und Kandidaten sowie Sachbeschädigungen jeder Art zu Wahlen berichten sollte. Dieser Bericht wurde vom Innenminister in der Sitzung vom 30. Mai 2018 abgegeben. Der Ausschuss nahm den Bericht zur Kenntnis; weitere Beschlüsse wurden nicht gefasst.


Was ist zu tun?
Der Gesetzgeber sollte erneut erwägen, zum Schutze der Wahlbewerberinnen und Wahlbewerber die Veröffentlichung einer Erreichbarkeitsanschrift anstelle der Wohnadresse ausreichen zu lassen.

 

4.1.7       Melderegisterdaten  für Seniorenbeiräte?

In vielen Kommunen in Schleswig-Holstein gibt es einen Seniorenbeirat. Dieser vertritt die Interessen der älteren Mitbürgerinnen und Mitbürger in der jeweiligen Kommune. Er kann gegenüber den Organen der Kommune Anregungen, Empfehlungen und Stellungnahmen abgeben. Kommunalrechtlich handelt es sich um einen „sonstigen Beirat“ im Sinne der §§ 47d, 47e der Gemeindeordnung (GO). Eine kommunale Satzung regelt das Nähere, insbesondere das Wahlverfahren.

Von einigen Seniorenbeiräten ist der Wunsch geäußert worden, die Namen und Anschriften aller Einwohner der jeweiligen Kommune, die das 60. Lebensjahr vollendet haben, aus dem Melderegister der Kommune zu erhalten. Dazu hat das ULD festgestellt, dass sich eine Befugnis zur Übermittlung der Daten nicht aus § 34 Abs. 1 Bundesmeldegesetz (BMG) ergibt. Nach dieser Vorschrift darf die Meldebehörde einer anderen öffentlichen Stelle aus dem Melderegister bestimmte Daten, u. a. Namen und Anschriften, übermitteln, soweit dies zur Erfüllung der in der Zuständigkeit des Empfängers liegenden öffentlichen Aufgaben erforderlich ist.

Es kann hier dahinstehen, ob es sich bei einem Seniorenbeirat um eine eigenständige öffentliche Stelle oder um einen Teil der Kommune als öffentliche Stelle handelt. In jedem Fall ist nicht ersichtlich, dass es für den Seniorenbeirat erforderlich ist, die Adressdaten aller über 59-jährigen Einwohner der Gemeinde zu erhalten, um seine gesetzlichen und satzungsmäßigen Aufgaben auszuführen. Nach einer typischen Formulierung in der Satzung über die Bildung eines Seniorenbeirats bestehen die Aufgaben des Beirats vor allem in der Vertretung der Interessen der Senioren und in ihrer Beratung. Aus welchem Grund dazu eine partielle Kopie des Melderegisters erforderlich ist, ist nicht ersichtlich.

Dabei ist weiter zu beachten, dass die einschlägigen Satzungen es den Verwaltungen der Kommunen regelhaft erlauben, Daten aus dem Melderegister zu nutzen, um die Wahl des Seniorenbeirats durchzuführen (dies gilt jedenfalls, wenn der Seniorenbeirat von den über 59‑jährigen Einwohnern direkt gewählt wird). Im Rahmen der Durchführung der Wahl werden alle über 59-Jährigen über das Bestehen eines Seniorenbeirats und dessen Aufgaben informiert. Besteht dann seitens der Senioren Interesse an Beratung usw., können sie sich mit dem Beirat in Verbindung setzen.

Zu dem gleichen Ergebnis kommt man, wenn man das Ansinnen auf Mitteilung der Adressdaten aller über 59-jährigen Einwohner als Antrag auf eine sogenannte Gruppenauskunft über eine Vielzahl nicht namentlich bezeichneter Personen nach § 46 BMG ansieht. Voraussetzung für die Zulässigkeit einer Gruppenauskunft ist das Vorliegen eines öffentlichen Interesses. Gemeint ist damit ein Interesse der Allgemeinheit, das eine deutlich höhere Schwelle darstellt als ein berechtigtes oder rechtliches Interesse. Aus den oben genannten Gründen kann hier auch nicht vom Vorliegen eines öffentlichen Interesses ausgegangen werden.

Datenschutzrechtlich wäre es dagegen unproblematisch, wenn das Meldeamt nur bestimmte statistische Daten über die Zusammensetzung der Gruppe der Senioren übermittelt, solange daraus nicht Rückschlüsse auf einzelne Personen möglich sind.

Jubiläum
Jubiläum im Sinne des Gesetzes sind der 70. Geburtstag, jeder fünfte weitere Geburtstag und ab dem 100. Geburtstag jeder folgende Geburtstag. Ehejubiläen sind das 50. und jedes folgende Ehejubiläum.

Eine weitere häufiger gestellte Frage betrifft die Mitteilung von Alters- oder Ehejubiläen der Einwohner. Nach § 50 Abs. 2 BMG darf die Meldebehörde auf Anfrage von Mandatsträgern, Presse oder Rundfunk Auskunft über Familiennamen, Vornamen, Doktorgrad, Anschrift sowie Datum und Art des Jubiläums erteilen. Dies gilt nicht, wenn der Betroffene gegen diese Art der Auskunft Widerspruch eingelegt hat.

Im Hinblick auf den Seniorenbeirat stellt sich die Frage, ob dessen Mitglieder auch als Mandatsträger im Sinne der Vorschrift anzusehen sind. Allgemein ist Mandatsträger jeder, der in ein Amt gewählt wird und im Rahmen des Aufgabenbereiches aktiv ist, für den er gewählt wurde. Die §§ 47d, 47e GO in Verbindung mit der jeweiligen Satzung legen das Wahlverfahren für die Mitglieder des Seniorenbeirats und dessen Aufgaben fest. Für die Mitglieder des Seniorenbeirates gilt daher, dass sie zum einen in ein Amt gewählt werden und dass sie zum anderen in einem Aufgabenbereich aktiv werden, für den sie gewählt worden sind. Damit handelt es sich bei den Mitgliedern des Seniorenbeirates um Mandatsträger im Sinne von § 50 Abs. 2 Satz 1 BMG. Daher dürfen auch die Mitglieder des Seniorenbeirates Daten über Jubiläen der Einwohner von der Meldebehörde verlangen, und die Meldebehörde muss diese mitteilen, soweit keine Widersprüche der betroffenen Personen nach § 50 Abs. 5 BMG vorliegen.

Entsprechendes gilt auch für die Mitglieder von Ortsbeiräten nach den §§ 47b, 47c GO, die in den Gemeinden teilweise auch Dorfvorstand genannt werden.

Das ULD hat weitere Informationen zu Widerspruchsmöglichkeiten in Bezug auf die Weitergabe der eigenen Meldedaten zusammengestellt:

https://www.datenschutzzentrum.de/uploads/informationsmaterial/melderecht-2017.pdf


4.1.8       Erteilung von Gruppenauskünfte n nach § 46 Bundesmeldegesetz an Stadtwerke, Breitbandausbau im öffentlichen Interesse

Im Zusammenhang mit Werbeveranstaltungen und Informationsschreiben zur Förderung des Breitbandausbaus erreichten das ULD mehrere Anfragen zur Zulässigkeit der Übermittlung von Adressdaten zu diesen Zwecken. In einem Fall beantragten Mitarbeiter der Stadtwerke die Adressdaten von Anwohnern einer bestimmten Region bei einem Einwohnermeldeamt. Die Anfrage wurde als sogenannte Gruppenauskunft gemäß § 46 Bundesmeldegesetz (BMG) formuliert. Danach dürfen u. a. Anschriften und Geburtsdaten zur Bestimmung einer Gruppe von Personen genutzt werden, deren Daten (wie Name und Anschrift) dann von den Meldebehörden an andere Stellen mitgeteilt werden können. Erforderlich ist hierfür das Vorliegen eines öffentlichen Interesses.

Der Rechtsbegriff „öffentliches Interesse“ ist unbestimmt und bedarf der Auslegung. Dabei sind im Rahmen einer Interessenabwägung die Rechte der betroffenen Personen mit denen der Allgemeinheit abzuwägen. Die Förderung des Breitbandausbaus gehört aktuell zu den Spitzenthemen der Europa-, Bundes- und Landespolitik. Im Zentrum steht dabei der gesellschaftliche Nutzen aus der Schaffung gleichwertiger Lebensbedingungen und wirtschaftlicher Wettbewerbsfähigkeit auch in ländlichen Regionen, wobei Ausbau und Finanzierung maßgeblich durch die in den Märkten agierenden Netzbetreiber (zu denen auch die Stadtwerke gehören können) erfolgen sollen. Insofern hält das ULD es für vertretbar, den Breitbandausbau dem allgemeinen Interesse zuzuschreiben.

Da im vorliegenden Fall die Übermittlung der Adressdaten für die Informationsschreiben verschlüsselt erfolgte sowie ausdrücklich an die im Schreiben der Behörde benannten Auflagen geknüpft war und die Löschung zum Zeitpunkt der Überprüfung bestätigt wurde, konnte die Interessenabwägung hier zugunsten der Allgemeinheit entschieden und das öffentliche Interesse für die Durchführung einer Gruppenauskunft im Sinne von § 46 BMG bejaht werden.


Was ist zu tun?
Meldebehörden sollten weiterhin kritisch prüfen, ob die Weitergabe insbesondere von großen Teilen der Meldedaten an andere öffentliche Stellen oder im Wege der Gruppenauskunft zulässig ist.


4.1.9       Einsatz elektronischer Wasserzähler  mit Funkauslesung

Im Berichtszeitraum erhielt das ULD mehrere Anfragen und Eingaben, die den Einbau von elektronischen Wasserzählern mit Funkauslesung betrafen. Das ULD hatte Gelegenheit, sich bei einem Wasserverband einen gängigen Typen eines elektronischen Wasserzählers vorführen und erläutern zu lassen. Die vorgeführten Zähler messen den Wasserdurchfluss nicht mehr mechanisch, sondern per Ultraschall. Gemessen wird standardmäßig nicht nur die Menge des durchfließenden Wassers, sondern auch die Temperatur des Wassers und der Umgebung des Zählers (das kann bei Problemen mit der Wasserqualität von Bedeutung sein). Außerdem werden bestimmte betriebswidrige Zustände über Fehlercodes aufgezeichnet. Zu diesen gehören der kontinuierliche Abfluss größerer Mengen von Wasser (Hinweis auf ein Leck im System), Wasserfluss in der verkehrten Richtung (manche Anwender versuchen den Zähler zu überlisten, indem sie ihn falsch herum einbauen) und das gänzliche Fehlen von Wasser (Betrugsversuch, bei dem das Wasser am Zähler vorbeigeleitet wird). Diese Daten werden in einem Speicher in dem Zähler hinterlegt. Sie können mit einem speziellen Lesegerät ausgelesen werden, das dazu mit dem Zähler unmittelbar in Berührung gebracht oder dicht herangehalten werden muss. Zusätzlich verfügen die Zähler über ein Sendemodul. Über dieses wird etwa alle 16 Sekunden für die Dauer von 0,01 Sekunden ein Satz von Daten versendet, der die Zählernummer, den Zählerstand, die Fehlercodes der letzten vier Wochen, die Temperatur (Wasser und Umgebung) sowie den Zählerstand am letzten Tag des Vormonats enthält. Die ausgesendeten Informationen werden mit einem asymmetrischen Verfahren verschlüsselt, wobei jeder Zähler einen eigenen Schlüssel hat. Die Reichweite des Funksignals beträgt bis zu einem Kilometer, kann aber deutlich darunterliegen, wenn der Zähler z. B. hinter Betonmauern eingebaut ist. Dann wird gegebenenfalls eine Außenantenne montiert.

Laut Hersteller des Gerätes ermöglicht die Technik eine tägliche Ablesung des Wasserverbrauchs und etwaiger Fehler über eine fest installierte Antenne in der Nähe. Damit könnten Anwender dann beispielsweise darauf aufmerksam gemacht werden, dass bei ihnen ein dauerhaft hoher Verbrauch stattfindet, z. B. wenn die Bewässerung im Garten ein Leck hat. Der Wasserverband, der die Zähler nutzen wollte, plante allerdings, die Auslesung der Zähler lediglich einmal im Jahr vorzunehmen. Dazu soll ein mit einem Empfangsgerät und einem Laptop ausgestattetes Fahrzeug durch das Versorgungsgebiet fahren und die Meldungen automatisch entgegennehmen.

Insgesamt ist festzuhalten, dass diese Art von Wasserzähler zwar elektronisch misst, aber nicht wirklich „intelligent“ genannt werden kann. Der Aussagewert des Wasserverbrauchs dürfte auch weit unter dem von elektronischen Stromzählern (Smart Meter ) gespeicherten Daten liegen, aus denen sich personenbezogene Informationen über bestimmte Verhaltensweisen der Nutzer ergeben können. Allerdings kommt es auch bei den elektronischen Wasserzählern zur Aufzeichnung von Daten, deren Erforderlichkeit nicht ohne Weiteres erkennbar ist. So wird insbesondere die Umgebungstemperatur (d. h. in der Regel die Temperatur im Keller des Hauses) regelmäßig für die Abrechnung des Wasserverbrauchs keine Rolle spielen.

Der Wasserverband verbaut Wasserzähler pro Versorgungseinheit, d. h. in der Regel ein Zähler pro Haus. Datenschutzrechtlich folgt daraus, dass es sich bei den aufgezeichneten Daten jedenfalls bei Einfamilienhäusern um personenbezogene Daten der Hausbewohner handelt. Für den oben erwähnten „intelligenten“ Stromzähler hat der Bundesgesetzgeber im Zusammenhang mit dem Erlass des Erneuerbare-Energien-Gesetzes das Messstellenbetriebsgesetz erlassen, das eine detaillierte Regelung zu Datenschutz und Datensicherheit für jene Zähler enthält. Anders sieht es jedoch im Hinblick auf die elektronischen Wasserzähler mit Funkauslesung aus. Hier fehlt es weitgehend an einer gesetzlichen Regelung. Die einzige einschlägige Vorschrift findet sich in § 18 Abs. 1 Satz 1 der Verordnung über Allgemeine Bedingungen für die Versorgung mit Wasser (AVBWasserV). Dort heißt es: „Das Wasserversorgungsunternehmen stellt die vom Kunden verbrauchte Wassermenge durch Messeinrichtungen fest, die den eichrechtlichen Vorschriften entsprechen müssen.“ Diese Vorschrift lässt sich als Befugnis zur Verarbeitung personenbezogener Daten verstehen, aber eben nur im Hinblick auf die verbrauchte Wassermenge. Für die weiteren Daten, insbesondere die Aufzeichnung der Fehlercodes und der Temperatur sowie für die Übertragung der Daten durch Funksignal, fehlt es an einer Rechtsgrundlage. Eine kommunale Satzung wäre im Hinblick auf den bei Grundrechtseingriffen relevanten Gesetzesvorbehalt („Wesentlichkeitstheorie“) nicht ausreichend, da keine vom Parlament verabschiedete gesetzliche Vorschrift den Erlass einer solchen Satzung zulässt.

In Anlehnung an eine Empfehlung des Bayerischen Landesbeauftragten für den Datenschutz sieht es das ULD in dieser Situation für hinnehmbar an, wenn 1. für eine Übergangszeit der Einsatz des elektronischen Funkwasserzählers seine Grundlage in einer Satzung der Kommune bzw. des Verbandes findet und 2. die Betroffenen die Möglichkeit haben, ohne Begründung gegen den Einbau eines Funkwasserzählers Widerspruch einzulegen (Opt-Out-Lösung). Der Widerspruch kann sich dabei gegen die Verwendung des Funkmoduls und/oder gegen die Speicherung weiterer Daten als des bloßen Wasserverbrauchs richten. In diesem Fall sind die entsprechenden Funktionen abzuschalten. Das ULD hat sich davon überzeugt, dass dies jedenfalls für den in Augenschein genommenen Zählertyp möglich ist. Der Wasserversorger hat über die Möglichkeit des Widerspruchs zu unterrichten. Allerdings kann der Betroffene nicht verlangen, dass ein herkömmlicher mechanischer Wasserzähler anstatt des elektronischen verbaut wird. Da die oben genannte Vorschrift technikoffen formuliert ist, können die Wasserversorgungsunternehmen bestimmen, mit welcher Technik der Wasserverbrauch gemessen wird.

Darüber hinaus hält es das ULD in jedem Fall für unzulässig, die Temperaturdaten in den Satz der bei der jährlichen Ablesungsfahrt erhobenen Daten aufzunehmen. Zwar kann die Wasser- und Umgebungstemperatur bei bestimmten Ereignissen von Bedeutung sein, z. B. um bei höheren Temperaturen die dann ansteigende Keimbelastung des Wassers nachvollziehen zu können. Daher werden die Temperaturwerte für bestimmte Zeiträume im Speicher des Zählers abgelegt (wenn kein allgemeiner Widerspruch eingelegt wurde, siehe oben). Dort können die Werte nur mit Zutun des Wasserkunden abgerufen werden. Für die einmal im Jahr zu Abrechnungszwecken erhobenen Verbräuche spielen die Temperaturen allerdings keine Rolle, sodass eine Erhebung in diesem Zusammenhang ausscheidet.

Die vom ULD kontaktierten Wasserversorger haben zugesagt, sich an die oben dargelegten Maßgaben beim Einbau elektronischer Wasserzähler zu halten.


Was ist zu tun?
Die Wasserversorger dürfen elektronische Funkwasserzähler nur einsetzen, wenn dies auf Basis einer rechtlichen Grundlage geschieht. Solange eine nationale gesetzliche Regelung fehlt, kann es für eine Übergangszeit hingenommen werden, wenn dies in einer Satzung der Kommune bzw. des Wasserverbandes geregelt ist und außerdem die Betroffenen dem Einbau und Betrieb eines Funkwasserzählers widersprechen können. Notwendig ist stets eine ausreichende Transparenz über die Datenverarbeitung.


4.1.10    Hundekennzeichnung  mit Namen und Adresse der Hundehalter

Im Berichtszeitraum kam es zu Irritationen bei Hundehaltern in einer großen Stadt im Süden des Landes. Hunde wurden im öffentlichen Raum von den Mitarbeitern des Ordnungsamtes nicht nur daraufhin kontrolliert, ob durch eine Steuermarke die ordnungsgemäße Anmeldung zur Hundesteuer nachgewiesen werden konnte. Es wurde auch verlangt, dass der Name und die vollständige Anschrift der Halter deutlich sichtbar an der „Anleinvorrichtung“ anzubringen sei. Dies war offenbar bei keinem der kontrollierten Hunde der Fall. Für den Fall eines erneuten Verstoßes wurde die Verhängung eines Bußgeldes angedroht.

Einige irritierte Hundehalter und -halterinnen wandten sich an das ULD. Sie machten vor allem geltend, dass eine so weitgehende Pflicht zur öffentlichen Präsentation ihres Namens und ihrer Anschriften ihre Datenschutzrechte verletze. Insbesondere wenn jemand schon einmal Opfer von Stalking gewesen sei, könne es dadurch zu akuten Gefährdungen kommen.

Die Aktivitäten der Ordnungsbehörde gingen auf das neue Hundegesetz des Landes zurück, das am 1. Januar 2016 in Kraft getreten war. Es ersetzte das frühere Gefahrhundegesetz. Wurden nach jenem noch bestimmte Hunderassen zu Gefahrhunden erklärt, so kann nach dem neuen Gesetz jeder Hund – unabhängig von der Rasse – zu einem „gefährlichen Hund“ werden, wenn er sich entsprechend verhält, z. B. einen Menschen beißt. Relativ unbemerkt von der Öffentlichkeit hat dieses Gesetz aber auch weitere Pflichten für die Hundehalter mit sich gebracht. So ist ein Hund, der älter als drei Monate ist, nach § 5 Hundegesetz durch ein elektronisches Kennzeichen (Transponder) mit einer Kennnummer zu kennzeichnen (sogenannter Tasso-Chip). Mittels eines Lesegeräts lässt sich eine Nummer von dem Transponder abfragen. Ist der Hund bei einem entsprechenden Anbieter registriert, kann z. B. bei einem zugelaufenen Hund der Halter festgestellt werden.

Weiterhin hat nach § 3 Abs. 5 des neuen Hundegesetzes derjenige, der einen Hund „außerhalb eines ausbruchsicheren Grundstücks führt oder laufen lässt, (…) diesem ein Halsband, eine Halskette oder eine vergleichbare Anleinvorrichtung mit einer Kennzeichnung anzulegen, aufgrund derer die Hundehalterin oder der Hundehalter ermittelt werden kann“. Die Stadt hatte diese Vorschrift – nach Konsultation mit dem zuständigen Innenministerium – so ausgelegt, dass Name und Anschrift des Halters gut lesbar am Hund angebracht sein müssten. Dagegen würde z. B. die in das Halsband eingestickte Handynummer, auf die sich eine Halterin berief, nicht ausreichen.

Das ULD wandte sich an die Stadt und fragte nach, worauf die dortige Auslegung des Gesetzes gestützt werde. Der Wortlaut (Kennzeichnung, aufgrund derer die Hundehalterin oder der Hundehalter ermittelt werden kann) spricht jedenfalls nicht von öffentlicher, für jeden lesbarer Präsentation von Namen und Adresse. Auf Nachfrage räumte die Stadt dann ein, dass es ausreiche, wenn die Daten sich z. B. in einem verschraubten Adressanhänger an der Anleinvorrichtung befinden.

Angesichts dieser Unklarheiten stellt sich die Frage nach dem Sinn und Zweck der Vorschrift. Soll es darum gehen, einer von einem Hund gebissenen Person schnell Informationen über den schadensersatzpflichtigen Halter zur verschaffen? In diesem Fall würde nur der gut sichtbare Name mit Anschrift dem Geschädigten nutzen, was aber zu unzumutbaren Einschränkungen der Rechte der Halter führt. Die nach der jetzigen Auslegung eingeschränkte Pflicht, zwar den Namen und die Adresse am Hund zu befestigen, dies aber in nicht leicht ablesbarer Form, bringt jedenfalls keinen erkennbaren Nutzen. Es kann wohl kaum erwartet werden, dass eine gerade von einem Hund gebissene Person diesem an die Anleinvorrichtung fasst, um den verschraubten Adressanhänger zu öffnen. Sollte es nur um die Identifizierung des Halters für den Fall gehen, dass der Hund abhandenkommt, so kann die Zuordnung über den Transponder hergestellt werden, der auch verpflichtend ist.

Einen Nebeneffekt hatte das ordnungsgemäße „Chippen“ eines Hundes nach § 5 Hundegesetz für eine Hundehalterin in derselben Stadt. Sie wollte ihren Hund zur Hundesteuer anmelden. Dabei informierte sie die Stadt auch über die Transpondernummer des Hundes. Die Stadt vermutete, dass der Hund schon länger von der Betroffenen gehalten wurde. Um dies herauszufinden, wandte sich die Stadt an das Tasso-Register und fragte nach, ab wann der Hund mit der Transpondernummer bei dem Register gemeldet war. Das Tasso-Register gab der Stadt die gewünschte Auskunft. Dies führte zu einer Nacherhebung der Hundesteuer für sieben Jahre in einer vierstelligen Größenordnung. Die Nachprüfung durch das ULD ergab, dass die Stadt diese Information rechtmäßig vom Tasso-Register erheben durfte. Nach § 93 Abgabenordnung haben auch andere als die Steuerpflichtigen der Finanzbehörde die zur Feststellung eines für die Besteuerung erheblichen Sachverhalts erforderlichen Auskünfte zu erteilen. Die Vorschrift gilt auch bei der Erhebung von kommunalen Steuern nach dem Kommunalabgabengesetz.


Was ist zu tun?
Der Gesetzgeber sollte prüfen, ob die Pflicht nach § 3 Abs. 5 des Hundegesetzes erforderlich ist.

 

4.1.11    Freizeitfischerei  und Datenschutz

Anfang des Jahres 2018 hatte das Ministerium für Energiewende, Landwirtschaft, Umwelt, Natur und Digitalisierung (MELUND) den beteiligten Verbänden einen Gesetzentwurf zur Änderung des Landesfischereigesetzes zugeleitet.

Der Gesetzentwurf sah vor, zur besseren Kontrolle der Tagesfangbeschränkungen in der Freizeitfischerei ein neues Kontrollrecht in § 44 Abs. 1 Satz 1 des Landesfischereigesetzes einzuführen. Den Fischereiaufsichtspersonen sollte die Befugnis gewährt werden, den Fahrtverlauf von Wasserfahrzeugen zu kontrollieren. Dazu sollte die Schiffsführung auf Verlangen den Fahrtverlauf belegen und dabei auch notwendigen Einblick in elektronische Aufzeichnungen wie beispielsweise Seekartenplotter gewähren. Das ULD wies in seiner Stellungnahme gegenüber dem MELUND darauf hin, dass dieses Gesetzesvorhaben auf datenschutzrechtliche Bedenken stieß.

Ausweislich der Gesetzesbegründung zielte die Änderung vor allem darauf ab, den Fischereiaufsichtspersonen Zugang zu den „in der gewerblichen Schifffahrt inzwischen verwendeten und teilweise vorgeschriebenen elektronischen Navigations- und Aufzeichnungsgeräten“ zu ermöglichen. Dies sei insbesondere für die Kontrolle auf Angelkuttern wichtig. Mithin zielte die neue Kontrollbefugnis in erster Linie auf gewerbliche Aktivitäten ab.

Der Gesetzeswortlaut selbst ließ diese Begrenzung jedoch nicht erkennen. Vielmehr erfasst der Begriff „Wasserfahrzeuge“ jede Art von Booten, inklusive kleiner Sportboote, auf denen Privatpersonen der Freizeitfischerei nachgehen. Der Wortlaut der Vorschrift des Gesetzentwurfs hätte es den Fischereiaufsichtspersonen erlaubt, auch von Schiffsführern solcher kleinen Sportboote den Nachweis des Fahrtverlaufes zu verlangen. Erfahrungsgemäß führen solche Sportboote jedoch keine Seekartenplotter oder ähnliche Geräte mit. Dagegen ist es nicht ausgeschlossen und inzwischen sogar eher wahrscheinlich, dass diese Schiffsführer den Fahrtverlauf z. B. über entsprechende Anwendungen auf ihrem privaten Smartphone oder Tablet-Computer aufzeichnen. Die Vorschrift hätte es ihrem Wortlaut nach erlaubt, dass die Fischereiaufsichtsperson die Schiffsführer zur Vorlage ihres privaten Smartphones auffordert und dann versucht, in einer entsprechenden App den Fahrtverlauf nachzuvollziehen.

Bei den auf einem privaten Smartphone oder Tablet-Computer aufgezeichneten Daten über die Fahrtroute handelt es sich um personenbezogene Daten des betroffenen Besitzers des Gerätes. Das Gleiche gilt bei der Verwendung eines Kartenplotters auf einem Sportboot, das einer natürlichen Person gehört. Gerade bei Anwendungen auf mobilen Endgeräten muss davon ausgegangen werden, dass nicht nur die zu überprüfenden Fahrtverläufe gespeichert sind und bei einer Kontrolle erkennbar werden, sondern auch weitere darüber hinausgehende Daten, die der privaten Lebensführung der Betroffenen zuzurechnen sind.

Daher hätte die ursprünglich vorgeschlagene Formulierung zur Änderung des Landesfischereigesetzes einen unverhältnismäßigen Eingriff in das informationelle Selbstbestimmungsrecht der Betroffenen mit sich gebracht. Das ULD hatte dem MELUND daher dringend empfohlen, bereits im Wortlaut deutlich zu machen, dass lediglich eine Kontrolle von gewerblichen Aktivitäten beabsichtigt war. Vorgeschlagen wurde z. B. eine Klarstellung, dass mit dem Begriff „Wasserfahrzeuge“ in der neu geschaffenen Vorschrift nicht Sportboote im Sinne von § 2 Nr. 3 der Sportbootführerscheinverordnung vom 3. Mai 2017 gemeint sind. Von dem Anwendungsbereich wären damit „nicht gewerbsmäßig, für Sport- und Erholungszwecke verwendete Fahrzeuge“ ausgeschlossen.

In der im April dem Landtag zugeleiteten Fassung des Gesetzentwurfs (Drucksache 19/
677) verzichtete das MELUND gänzlich auf die ursprünglich angedachte neue Befugnis, den Fahrtverlauf von Wasserfahrzeugen zu kontrollieren. In dieser „entschärften“ Fassung traten die Änderungen schließlich am 30. November 2018 in Kraft.


Was ist zu tun?
Alle Ressorts sollten bei der Gesetzgebung frühzeitig die Landesbeauftragte für Datenschutz mit ihrer Dienststelle einbeziehen, wenn die Vorhaben Auswirkungen auf das Grundrecht auf Datenschutz haben können. So lässt sich schon zu einem frühen Zeitpunkt in der Regel eine effektive und datenschutzkonforme Lösung finden.

 

4.1.12    Mobile Endgeräte  und Ratsinformationssysteme  für Kommunalpolitiker

Auch in der Kommunalpolitik hält die Digitalisierung Einzug. Erhielten die kommunalen Mandatsträger in der Vergangenheit ihre Sitzungsunterlagen in Papierform, so werden heute in vielen Kommunen elektronische Lösungen verwendet. Diese reichen von Ratsinformationssystemen über die Ausstattung der Mandatsträger mit Tablet-Computern, die teilweise von der Kommune beschafft werden.

Zu den damit einhergehenden Anforderungen an den Datenschutz erreichten das ULD im Berichtszeitraum zahlreiche Fragen. Das ULD hatte bereits im Jahr 2015 eine Ausarbeitung über die Verwendung von Tablets durch Gemeindevertreter online gestellt. Die dortigen Aussagen behalten Gültigkeit, allerdings ist zu beachten, dass anstelle der Vorschriften des alten Landesdatenschutzgesetzes und der mittlerweile aufgehobenen Datenschutzverordnung des Landes die Vorgaben der Datenschutz-Grundverordnung getreten sind:

https://www.datenschutzzentrum.de/artikel/913-.html

Im März 2018 hat das ULD die obigen Ausführungen durch eine neue Veröffentlichung zu Ratsinformationssystemen und mobiler Datenverarbeitung durch kommunale Mandatsträgerinnen und Mandatsträger ergänzt, die sich bereits auf die Vorschriften der DSGVO bezieht:

https://www.datenschutzzentrum.de/uploads/it/2018-03-13-Ratsinformationssysteme.pdf


Was ist zu tun?
Beim Einsatz von Ratsinformationssystemen und der Verwendung von mobilen Datenverarbeitungsgeräten für kommunale Mandatsträger sollten die Hinweise des ULD beachtet werden.

 

4.1.13    Reichsbürgererlass

Das Innenministerium hat im Berichtszeitraum durch Erlass umfangreiche Meldungen von Reichsbürgern angeordnet. Der Erlass schreibt den Melde-, Pass- und Personalausweisbehörden der Kommunen vor, Vorfälle mit sogenannten Reichsbürgern aufzuzeichnen und an die örtliche Polizeidienststelle sowie an das Innenministerium weiterzugeben. Damit soll vor allem eine Entscheidungsgrundlage für die Zuverlässigkeitsüberprüfung bei waffenrechtlichen Entscheidungen geschaffen werden. Für solche Überprüfungen fragt regelmäßig die Waffenbehörde bei der Polizei nach Erkenntnissen. Durch den Erlass soll sichergestellt werden, dass die Polizei über die notwendigen Erkenntnisse verfügt.

So verständlich das Ziel vor dem Hintergrund der tödlichen Schüsse auf einen Polizeibeamten in Bayern im Jahr 2016 auch sein mag: Der Erlass wirft mehr Fragen auf, als er Antworten gibt. Dies beginnt schon mit der Einschätzung, ob eine Person als Reichsbürger anzusehen ist. Diese Entscheidung wird den Kommunen überlassen. Ausreichend klare Bewertungskriterien benennt der Erlass nicht. Noch weniger klar ist, welche Vorfälle zu melden sind. Der Erlass zählt zwar einige Beispiele auf, doch diese bleiben exemplarisch. Eine abstrakte Beschreibung der Ereignisse, die meldepflichtig sind, fehlt.

Der im Erlass beschriebene Informationsaustausch zwischen Melde- und Passbehörden, Waffenbehörden, Polizei und dem Innenministerium funktioniert nur, wenn er durch eine eigene Datenverarbeitung bei allen Stellen flankiert wird. Hierzu trifft der Erlass keine eigenen Regelungen, sondern setzt eine entsprechende Organisation der Datenverarbeitung voraus.

Dies führt zu Fragen, die bis heute nicht in allen Stellen vollständig geklärt sind – z. B.: Wie und wo werden die Informationen bei der übermittelnden Stelle erfasst und für die Meldung zusammengetragen? Dürfen oder müssen sie sogar bei der übermittelnden Stelle gespeichert werden? Wenn ja, wie lange? Dürfen diese Daten dann auch für eigene Informationszwecke der übermittelnden Stelle verwendet werden? Wie werden die Daten bei den Empfängern weiterverarbeitet? Wird dort eine eigene Relevanzprüfung vorgenommen? Wenn ja, werden die übermittelnde Stelle und die anderen Empfänger über das Ergebnis informiert? Wie lange und für welche Zwecke werden die Daten bei den Empfängern gespeichert? Wie wird die Transparenz für die betroffenen Personen sichergestellt? Wer informiert die betroffenen Personen worüber?

Das ULD erreichen hierzu immer wieder Fragen von Verantwortlichen. Durch unsere Beratung konnten einzelne Fragen für einzelne Verantwortliche gelöst werden. Für eine vollständige Klärung aller Fragen ist ein Gesamtkonzept erforderlich, das von den Verantwortlichen erstellt werden muss. Sinnvoll wäre hierfür ein Zusammenwirken aller beteiligten Bereiche unter Koordinierung des Innenministeriums.

 

Was ist zu tun?
Der Reichsbürgererlass wirft viele Fragen auf, ohne sie selbst zu regeln. Dies betrifft die Datenverarbeitung sowohl bei den übermittelnden Stellen als auch bei den Empfängern. Die betroffenen Verantwortlichen – Innenministerium, Kommunen, Polizei – müssen diese Fragen klären und für ihre Datenverarbeitung Festlegungen treffen.


Zurück zum vorherigen Kapitel Zum Inhaltsverzeichnis Zum nächsten Kapitel