Kernpunkte:
- Grundsteuerreform
- Transparenz für Zeugen im OWi-Verfahren
- Handelsregister im Internet
- Pflicht von Datenschutzbeauftragten in Arztpraxen
- Datenpannen im Medizinbereich
- Datenschutz und Sozialarbeit
4 Datenschutz in der Verwaltung
4.1 Allgemeine Verwaltung
4.1.1 Umgang mit Solarkatastern
Mehrere Kommunen in Schleswig-Holstein veröffentlichen Solarkataster. Über deren Internetauftritte wird mittels einer Adressensuche die Auswahl eines konkreten Grundstücks ermöglicht. Die Darstellung der Dächer erfolgt für die Solarkataster in einer von vier festgelegten Farben, die das Solarpotenzial kennzeichnen (sehr gute, gute, mäßige, schlechte Eignung für Solaranlage). Betroffene Hauseigentümer können der farblichen Darstellung widersprechen, worauf die Kommunen in ihren Internetauftritten hinweisen. Als Rechtsgrundlage für die Veröffentlichung dienen Solarpotenzialkatastersatzungen.
Das ULD erhielt eine Anfrage, ob neben der farblichen Darstellung der Dachflächen auch die Bereitstellung einer technischen Einrichtung mit datenschutzrechtlichen Regelungen vereinbar ist, die sämtlichen Nutzerinnen und Nutzern des Solarkatasters eine Berechnung von Potenzialwerten zu bestimmten Dachflächen ermöglicht.
In der Vergangenheit hat das ULD die Veröffentlichung der farblichen Darstellungen der Dächer in den Solarkatastern nicht beanstandet. Für die Möglichkeit der Berechnung von Potenzialwerten für Solarflächen wurde allerdings eine vorherige Identifikation gefordert, um einen Datenabruf nur für berechtigte Personen (Hauseigentümer) anzubieten.
Vergleichbare Berechnungen von Potenzialwerten für die Errichtung von Solaranlagen unter Einbindung von Dienstleistern, welche die Berechnungsproramme zur Verfügung stellen, gibt es inzwischen auch in anderen Bundesländern. Über verschiedene Webauftritte sind bereits mehrere Solarkataster für ganze Bundesländer abrufbar. Brandenburg, Thüringen, Bremen, NRW und Rheinland-Pfalz ermöglichen etwa für jeden Nutzenden ohne Identifikation eine Berechnung von Potenzialwerten für beliebige Gebäude. Für jedes Gebäude können dort beliebige Parameter eingegeben werden, wie z. B. Anzahl der Personen im Hausstand, Stromverbrauch, private oder gewerbliche Nutzung für einen Schnellcheck oder Angaben zur Ermittlung eines Darlehensangebots. Hamburg veröffentlicht zu allen Gebäuden u. a. nähere Angaben zur Dachfläche, zu dem für Fotovoltaik geeigneten Flächenanteil und zum Wärme- und Stromertrag.
Unter Zugrundelegung der Vorgaben der DSGVO halten wir nunmehr sowohl die Veröffentlichung der farblich markierten Dachflächen als auch die Bereitstellung der Möglichkeit, Berechnungen von Potenzialwerten ohne vorherige Identifikation der Nutzerinnen und Nutzer vorzunehmen, für zulässig, wobei die nachfolgenden Punkte von Bedeutung sind:
- Rechtsgrundlage für die Veröffentlichung der Katasterdaten mit den Umrissen der Gebäude/Dächer ist Art. 6 Abs. 1 Buchst. e DSGVO in Verbindung mit § 3 Abs. 1 LDSG in Verbindung mit der jeweiligen Solarkatastersatzung.
- Betroffenen Personen steht ein Widerspruchsrecht gegen die farbliche Darstellung ihrer Dächer nach Art. 21 Abs. 1 DSGVO zu, worauf die Kommunen deutlich hinweisen müssen.
- Ergebnisse zur Berechnung von Potenzialwerten für Solarflächen bestimmter Dächer sind personenbezogene Daten der jeweiligen Grundstückseigentümer, soweit es sich bei letzteren um natürliche Personen handelt. Ausreichend ist die Zuordnung einer Berechnung zu einem konkreten Grundstück bzw. Dach.
- Öffentliche Stellen, welche Solarkataster veröffentlichen, sind nicht nach den Vorgaben des Art. 32 DSGVO verpflichtet, Nutzende vorab zu identifizieren, die für ein beliebiges Grundstück bzw. Dach eine Berechnung von Potenzialwerten für Solarflächen vornehmen lassen möchten. Maßgeblich ist dabei eine Abwägung der Kriterien gemäß Art. 32 Abs. 1 DSGVO, wobei im Ergebnis nur eine geringe Eintrittswahrscheinlichkeit und eine geringe Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen besteht und die Umstände der Verarbeitung keine andere Bewertung erfordern.
- Die Berechnung ermöglicht zwar einen tieferen Einblick in die Nutzbarkeit der Dachflächen für eine Solaranlage. Konkrete Berechnungsergebnisse sind allerdings individuell, da einzugebende Parameter nicht jedem beliebigen Nutzenden bekannt sein werden und von fremden Personen nur geschätzt werden könnten (z. B. durchschnittlicher Stromverbrauch, Einbeziehung eines Elektrofahrzeugs in die Berechnung, Auswahl der Option, eine Kreditberechnung mit weiteren Parametern durchzuführen, usw.). Die Berechnung erfolgt damit zwar zu einer konkreten Dachfläche, bildet aber nicht die für den Hauseigentümer maßgebliche Situation bzw. gewollte Planung ab, was die Sensibilität des Berechnungsergebnisses schmälert. Der Nutzerin und dem Nutzer wird ein Simulationstool bereitgestellt, um zu einer fremden Person unter Eingabe von frei wählbaren Daten ein beliebiges Berechnungsergebnis zu erstellen. Dabei entsprechen die Größen der Dächer und deren Einfärbungen häufig den Dächern vergleichbarer Gebäude in der Umgebung.
- Für die Einbindung eines Dienstleisters, welcher ein Programm zur Berechnung der Potenzialwerte bereitstellt, kommt eine Auftragsverarbeitung in Betracht. Zur Annahme der Auftragsverarbeitung ist ohne Bedeutung, dass der Auftraggeber keinen Zugang zu den Berechnungsergebnissen erhält.
- Nutzerinnen und Nutzer erheben mit Eingabe der Daten und der Erstellung des Berechnungsergebnisses personenbezogene Daten des Gebäudeeigentümers, selbst wenn diese Daten nicht die tatsächliche Situation des Eigentümers abbilden. Erfolgt durch diesen Nutzerkreis keine Weiterverarbeitung, etwa in Form der Veröffentlichung des Berechnungsergebnisses oder durch eine Verwendung der Daten für wirtschaftliche Zwecke, könnte die Ausnahmeregel nach Art. 2 Abs. 2 Buchst. c DSGVO eingreifen. Demnach würden die Nutzerin und der Nutzer die Berechnungen nur für persönliche Zwecke verarbeiten, was eine Anwendung der DSGVO ausschließt.
Unabhängig davon bliebe auch der Betrieb eines Solarkatasters zulässig, welches Berechnungen von Potenzialwerten zu bestimmten Dachflächen nur einem eingeschränkten Nutzerkreis (z. B. Hauseigentümern) ermöglicht.
Was ist zu tun?
Die Bereitstellung von
Solarkatastern und Berechnungstools für Potenzialwerte bietet Hauseigentümerinnen
und Hauseigentümern ein hilfreiches Informationsangebot zur Prüfung von
Möglichkeiten einer umweltfreundlichen Energiegewinnung. Dabei sind die öffentlichen
Stellen vor allem gehalten, die Grundlagen der Datenverarbeitung zu normieren –
etwa in einer Satzung, betroffene Personen bezüglich eines Widerspruchsrechts
zu informieren und im Falle der Einbindung eines technischen Dienstleisters
weitere technische, organisatorische und vertragliche Vorgaben zu erfüllen.
4.1.2 Grundsteuerreform 2022 und Datenschutz
Der Bund verabschiedete ein Gesetzespaket zur Reform der Grundsteuer. Für den Zeitraum ab dem Kalenderjahr 2025 sind in diesem Zusammenhang neue Bemessungsgrundlagen für die Grundsteuer zu ermitteln.
Nach den Veröffentlichungen des Bundesfinanzministeriums ist eine Feststellungserklärung zur Ermittlung des Grundsteuerwerts auf den 1. Januar 2022 erforderlich, wobei folgende Angaben zu Wohngrundstücken zu erheben sind: Lage des Grundstücks, Grundstücksfläche, Bodenrichtwert, Gebäudeart, Wohnfläche und Baujahr des Gebäudes:
https://www.bundesfinanzministerium.de/Content/DE/Standardartikel/Themen/Steuern/Steuerarten/Grundsteuer-und-Grunderwerbsteuer/reform-der-grundsteuer.html
Kurzlink: https://uldsh.de/tb41-4-1-2a
§ 32h Abs. 1
AO
Die oder der Bundesbeauftragte für
den Datenschutz und die Informationsfreiheit nach § 8 des
Bundesdatenschutzgesetzes ist zuständig für die Aufsicht über die Finanzbehörden
hinsichtlich der Verarbeitung personenbezogener Daten im Anwendungsbereich
dieses Gesetzes. Die §§ 13 bis 16 des Bundesdatenschutzgesetzes gelten
entsprechend.
Sind die Datenerhebungen der Finanzverwaltung rechtmäßig? Werden bei der Datenverarbeitung die Regeln der Datensicherheit eingehalten? All dies waren Fragen, die Bürgerinnen und Bürger auch an das ULD stellten.
Der Vollzug der Steuergesetze erfolgt in erster Linie durch die Länderbehörden, zu denen auch die Finanzämter zählen. Deren datenschutzrechtliche Kontrolle obliegt dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI), soweit die Finanzämter personenbezogene Daten im Anwendungsbereich der Abgabenordnung (AO) verarbeiten (§ 32h Abs. 1 AO).
Die Beantwortung von Fragen in Bezug auf die Grundsteuererklärung obliegt dabei dem BfDI. Näheres hat das ULD unter folgendem Link veröffentlicht:
https://www.datenschutzzentrum.de/artikel/1411-Grundsteuerreform-2022-Zustaendigkeit-des-BfDI.html
Kurzlink: https://uldsh.de/tb41-4-1-2b
Was ist zu tun?
Bürgerinnen und Bürger können sich
bei datenschutzrechtlichen Fragen in Bezug auf die Grundsteuerreform an den
Bundesbeauftragten für den Datenschutz und die Informationsfreiheit wenden.
4.1.3 Keine Verwendung privater E-Mail-Adressen für dienstliche Zwecke
Im Rahmen einer Beschwerde wurde vorgetragen, dass Mitglieder eines Gemeinderates private E-Mail-Adressen für dienstliche Zwecke verwenden würden.
In dem daraufhin eingeleiteten Verfahren ergab sich, dass die privaten E-Mail-Adressen u. a. für den Empfang von Nachrichten und Einladungen zu Sitzungen der Ausschüsse und der Gemeindevertretung genutzt wurden. Eine Nutzung der privaten E-Mail-Adressen für den Empfang bzw. Versand von Protokollen der Sitzungen o. Ä. konnte nicht abschließend ermittelt werden, war jedoch angesichts der Gesamtumstände nicht gänzlich auszuschließen.
Das ULD legte seine rechtliche Einschätzung dar und führte dazu aus, dass personenbezogene Daten nach Art. 5 Abs. 1 Buchst. f DSGVO in einer Weise verarbeitet werden müssen, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung. Ausgehend von diesem Grundsatz sind gemäß Art. 24 Abs. 1, Art. 32 Abs. 1 DSGVO die für die Rechte und Freiheiten natürlicher Personen geeigneten technischen und organisatorischen Maßnahmen zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.
Auf das eingeleitete Verfahren reagierend, wurde von der Nutzung der privaten E-Mail-Adressen Abstand genommen. Zukünftig werden gesonderte, für die Arbeit eines Gemeinderats eingerichtete E-Mail-Adressen verwendet. Für den Einsatz dieser dienstlichen E-Mail-Accounts ist die Gemeinde imstande, einheitliche Sicherheitsvorgaben nicht nur zu fordern, sondern auch durchzusetzen und zu kontrollieren. Dienstliche Kommunikation, welche nicht für die Öffentlichkeit bestimmt ist, kann unter Beachtung der datenschutzrechtlichen Vorgaben dann über die dienstlichen E-Mail-Accounts erfolgen.
Was ist zu tun?
Die Nutzung privater E-Mail-Adressen
durch Gemeinderäte entspricht nicht den zuvor genannten Anforderungen nach Art. 5
Abs. 1 Buchst. f DSGVO. Dies gilt vor allem dann, wenn Daten
verarbeitet werden, die nicht für die Öffentlichkeit bestimmt sind.
Insbesondere bestehen oftmals keine hinreichenden technisch-organisatorischen
Maßnahmen, durch die sichergestellt ist, dass Dritte (z. B.
Familienmitglieder) keine unbefugte Kenntnis von den personenbezogenen Daten
erlangen können, die im Rahmen der E-Mail-Kommunikation verarbeitet werden.
4.1.4 Abfrage und Dokumentation des Impf- und Genesenenstatus auf Grundlage des Hausrechts?
Art. 9
Abs. 2 Buchst. g DSGVO
Die Verarbeitung ist auf der
Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats, das in
angemessenem Verhältnis zu dem verfolgten Ziel steht, den Wesensgehalt des
Rechts auf Datenschutz wahrt und angemessene und spezifische Maßnahmen zur
Wahrung der Grundrechte und Interessen der betroffenen Person vorsieht, aus
Gründen eines erheblichen öffentlichen Interesses erforderlich.
Das ULD erhielt Anfragen und Beschwerden bezüglich des Umstandes, dass einige Behörden in Schleswig-Holstein den Zugang zu ihren Räumlichkeiten für Besucher von einer 3G-Kontrolle abhängig machen. Die Landesvorschriften zur Corona-Bekämpfung in Schleswig-Holstein enthalten keine entsprechende Kontrollobliegenheit. Die Behörden betrachteten das Hausrecht als Grundlage für die Erhebung und Speicherung von Angaben der Besucher zu deren Impf- oder Genesenenstatus im Zusammenhang mit Covid-19. Teilweise seien die Daten durch die Behörden im Rahmen der Kontrollen notiert worden oder es habe eine automatisierte Kontrolle durch Auslesen des QR-Codes aus den Bescheinigungen stattgefunden. In anderen Fällen habe die Behörde eine bloße manuelle Sichtkontrolle bezüglich mitgeführter Dokumente durchgeführt, ohne dass eine automatisierte Verarbeitung oder eine sonstige listenmäßige Erfassung erfolgte.
Bei den Angaben zum Genesenen- und Impfstatus handelt es sich um Gesundheitsdaten. Deren Verarbeitung darf nur auf Grundlage einer Einwilligung der betroffenen Personen oder in bestimmten gesetzlich geregelten Ausnahmefällen erfolgen. Ein hier maßgeblicher Ausnahmefall bestünde etwa dann, wenn die Erhebung und Speicherung der Gesundheitsdaten Gegenstand einer gesetzlichen Vorschrift ist. Die hier zu prüfende Vorgabe nach Art. 9 Abs. 2 Buchst. g DSGVO („Recht eines Mitgliedstaats“) wird bei isolierter Berufung auf das Hausrecht jedoch nicht erfüllt.
§ 10 Abs. 1
der Vierten Verordnung über erforderliche Maßnahmen zum Schutz der Bevölkerung
vor Infektionen mit dem Coronavirus SARS-CoV-2
(1) Der Zugang zu den Dienstgebäuden
des Landes Berlin ist für Besucherinnen und Besucher bzw. Kundinnen und Kunden
nur unter der 3G-Bedingung möglich. Der Nachweis ist beim Betreten der
jeweiligen Behörde unaufgefordert vorzulegen. Die Behörde hat die
Besucherinnen und Besucher in barrierefrei zugänglicher Form über die
behördlichen Zugangsregelungen zu informieren und auf Testangebote nach § 6
hinzuweisen. Die Behörde kann im Einzelfall von der Einhaltung der
3G-Bedingung absehen, sofern das Aufsuchen des Dienstgebäudes durch die Person
zur Verfolgung oder Verhütung von Straftaten oder zur Abwehr einer Gefahr
erforderlich ist oder zur Inanspruchnahme von Beratungsangeboten oder Stellung
von Anträgen erfolgt und ansonsten eine unbillige Härte entstehen würde; in
diesem Fall hat die Person eine FFP2-Maske zu tragen.
[...]
Hinsichtlich des „Rechts eines Mitgliedstaats“ ist zwar kein Parlamentsgesetz notwendig, was sich aus Erwägungsgrund 41 zur DSGVO ergibt. Allerdings müsste das Hausrecht zumindest im Kontext mit einer Befugnisnorm angewendet werden, etwa einer landesrechtlichen Bestimmung zur Corona-Bekämpfung. Unbestritten können Behörden hinsichtlich des Zutritts zu ihren Gebäuden und Räumen im Einzelfall ein Hausrecht ausüben. Möchten diese allerdings darüber hinaus Gesundheitsdaten automatisiert oder in Listen manuell erfassen, benötigen diese nach den Vorgaben der DSGVO eine klare rechtliche Regelung, welche u. a. hinreichend bestimmt den Verarbeitungszweck normiert und eine Verarbeitung der sensiblen Gesundheitsdaten legitimiert.
Eine solche rechtliche Regelung ist in Schleswig-Holstein nicht vorhanden. Das Bundesland Berlin hatte für entsprechende Kontrollen eine Vorschrift geschaffen (§ 10 Abs. 1 Satz 1 und 2 der Vierten SARS-CoV-2-Infektionsschutzmaßnahmenverordnung – für Besucherinnen und Besucher von Dienstgebäuden des Landes Berlin). Im Übrigen haben die Gesetz- und Verordnungsgeber auf Bundes- und Landesebene hinsichtlich normierter Kontrollregelungen abschließende Vorgaben entwickelt.
Die bloße manuelle Sichtkontrolle ohne Dokumentation/ohne beabsichtigte Dokumentation des Ergebnisses der Sichtkontrolle in einer Liste erfüllt nicht den Tatbestand einer nicht automatisierten Verarbeitung in einem Dateisystem, Art. 3 Abs. 1, 4 Nr. 6 DSGVO. Der sachliche Anwendungsbereich der DSGVO ist hingegen eröffnet, wenn die Kontrolle etwa mithilfe einer App (z. B. CovPassCheck-App) erfolgt, da dann bereits eine automatisierte Verarbeitung durchgeführt wird.
Die aktuelle Rechtsprechung zur Thematik bezieht sich
überwiegend auf den Zugang von Mandatsträgern zu kommunalen Sitzungen. Dabei
wird die bloße Berufung auf das Hausrecht als ausreichend betrachtet, um die
Anordnung einer 3G-Kontrolle zu rechtfertigen. Eine weitere
Legitimation, etwa in einer Bestimmung zur Corona-Bekämpfung, wird teilweise als nicht erforderlich erachtet. Leider enthalten die Entscheidungen keinerlei Ausführungen zu den Bestimmungen der DSGVO. Eine auf das Hausrecht gestützte Anordnung muss aber gerade mit höherrangigem Recht und daher auch mit der DSGVO vereinbar sein.
Was ist zu tun?
Eine Sichtkontrolle ohne
Dokumentation des Kontrollergebnisses im Rahmen von Stichproben bei den
Besucherinnen und Besuchern erscheint noch zulässig, da insoweit die Vorgaben
der DSGVO keine Anwendung finden. Hingegen bedarf jede automatisierte Erfassung
oder manuelle Dokumentation von Angaben zum Impf- oder Genesenenstatus einer
spezifischen Rechtsgrundlage, sodass dann allein die Berufung auf ein Hausrecht
nicht ausreicht.
4.1.5 Kurabgabe – Angabe der Mieter
Dem ULD wurde mitgeteilt, dass eine kommunale Einrichtung Vermieter aufgefordert habe, personenbezogene Daten von ihren Mietern, bei denen es sich um Dauermieter handelte, zu erheben und diese der kommunalen Einrichtung zu übermitteln. Hintergrund war eine etwaige Erhebung einer Kurabgabe gegenüber den Mietern. Der betreffende Vermieter fragte das ULD, ob es zulässig sei, dass der Vermieter die personenbezogenen Daten von dem Mieter erhebe und an die Verwaltung übermittele.
Maßgebend ist, ob für diese Verarbeitung personenbezogener Daten eine Rechtsgrundlage vorliegt. Als mögliche Rechtsgrundlage kann im Einzelfall § 10 Abs. 4 des Kommunalabgabengesetzes des Landes Schleswig-Holstein (KAG) in Verbindung mit der betreffenden kommunalen Kursatzung in Betracht kommen.
Dabei sind jedoch die allgemeinen Grundsätze zur Verarbeitung personenbezogener Daten, z. B. die Grundsätze der Erforderlichkeit und der Datensparsamkeit, zu berücksichtigen. Ergeben sich konkrete Anhaltspunkte dafür, dass die Daten nicht auf eine Rechtsgrundlage gestützt werden können, dürfen die Daten nicht übermittelt werden.
§ 10 Abs. 4 Kommunalabgabengesetz
Kurabgabesatzungen können aus sozialen, kulturellen oder sonstigen wichtigen Gründen Ermäßigungen und die teilweise oder vollständige Befreiung für Personen oder Personengruppen von der Kurabgabepflicht vorsehen. Insbesondere kann die Anerkennung von Kurabgaben, die in anderen Gemeinden entrichtet wurden, bestimmt werden.
In dem konkreten Fall verhielt es sich so, dass sich aus der betreffenden Kurabgabensatzung ergab, dass Dauermieter nicht von dem abgabepflichtigen Personenkreis erfasst waren. Die Datenverarbeitung wäre vor diesem Hintergrund aus Sicht des ULD nicht erforderlich und daher nicht zulässig gewesen.
Was
ist zu tun?
Die Verwaltung sollte gegenüber den
Vermietern die konkrete Rechtsgrundlage benennen, auf die die Verarbeitung der
personenbezogenen Daten gestützt werden darf. Sieht die jeweilige, datenschutzkonform
ausgestaltete Kurabgabensatzung die geforderte Verarbeitung nicht vor, ist
davon Abstand zu nehmen.
4.1.6 Auskunftsansprüche nach Artikel 15 DSGVO gegenüber Arbeitgebern
Im Rahmen einer Beschwerde wurde vorgetragen, dass ein nach Art. 15 Abs. 1 DSGVO gegenüber dem ehemaligen Arbeitgeber geltend gemachter Auskunftsanspruch nicht erfüllt worden sei.
Art. 15
Abs. 1 DSGVO
Die betroffene Person hat das Recht,
von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie
betreffende personenbezogene Daten verarbeitet werden; […]
Der Beschwerdeführer vertrat die Auffassung, er habe einen umfassenden Anspruch gegenüber dem ehemaligen Arbeitgeber, der sämtliche personenbezogene Daten von ihm betrifft, die bei diesem noch gespeichert sind. Dies umfasse neben der E-Mail-Korrespondenz, Schriftsätzen und internen Vermerken auch Metadaten, wie etwa Protokolleinträge in informationstechnischen Systemen.
Unter Berücksichtigung der einschlägigen Rechtsprechung kam das ULD im Rahmen des daraufhin eingeleiteten Verfahrens zunächst zu der Einschätzung, dass sich der Auskunftsanspruch gemäß Art. 15 Abs. 1 DSGVO z. B. auch auf Telefonvermerke oder vertragliche Unterlagen bezieht, welche personenbezogene Daten der betroffenen Person enthalten. Nicht erfasst sind hingegen beispielsweise Unterlagen zu separaten rechtlichen Bewertungen oder Analysen.
Zum anderen war zu berücksichtigen, dass ein gegenüber dem ehemaligen Arbeitgeber geltend gemachter Auskunftsanspruch, der explizit auch jeglichen Systemeintrag und jedes digital gespeicherte Protokolldatum umfassen soll, von der Rechtsprechung vielfach u. a. aus dem Grunde abgelehnt wird, dass der damit für den Arbeitgeber verbundene Aufwand unverhältnismäßig sei und sich die Geltendmachung des Anspruchs insoweit als treuwidrig erweise. So wird beispielsweise die Ansicht vertreten, dass der Aufwand, nach personenbezogenen Daten der betroffenen Person in sämtlichen Servern, Datenbanken, Webanwendungen, E-Mail-Postfächern, Verzeichnisstrukturen, Speichermedien und diversen anderen Endgeräten des Verantwortlichen nebst aller Vorgesetzten und Kollegen zu suchen, als in einem groben Missverhältnis zum Leistungsinteresse der betroffenen Person stehend anzusehen ist.
Diese Erwägungen sind insbesondere im Hinblick auf gegebenenfalls von einem Beschwerdeführer erwähnte Mittel der Kommunikation zu prüfen. In diesem Zusammenhang kann im Einzelfall nicht nur ein erheblicher „Suchaufwand“ für den Arbeitgeber bestehen, sondern vor allem aufgrund eines etwaigen Personenbezugs Dritter ein erheblicher Prüf- und Bearbeitungsaufwand (Schwärzen).
Dem Beschwerdeführer wurde mitgeteilt, dass sich das ULD dieser vielfach in der Rechtsprechung geäußerten Ansicht anschließt.
Was ist zu tun?
Soweit es um personenbezogene Daten
geht, die im Kontext zu der Arbeitsleistung des (ehemaligen) Beschäftigten
stehen und die bei dem (ehemaligen) Arbeitgeber gespeichert werden, unterliegen
diese dann nicht dem Auskunftsanspruch, wenn damit für den (ehemaligen)
Arbeitgeber ein unverhältnismäßiger Aufwand abverlangt werden würde. Der
(ehemalige) Arbeitgeber hat diese Gründe im Einzelnen darzulegen.
4.1.7 Elektronische Akteneinsicht im Bußgeldverfahren
Einsicht in die Bußgeldakte wird mittlerweile häufig in elektronischer Form gewährt. Dafür wird die Akte digital für die Auskunftssuchenden in einem Akteneinsichtsportal bereitgestellt. Mit bestimmten Zugangsdaten können die berechtigten Personen dann auf die Daten zugreifen.
In einem Fall wurden wir durch eine Beschwerde darauf aufmerksam gemacht, dass die Datensicherheit bei einem solchen Verfahren der digitalen Akteneinsicht nicht ausreichend gewährleistet war. Die Zugangsdaten für die im Akteneinsichtsportal eingestellte Bußgeldakte waren dem Beschwerdeführer von der Bußgeldbehörde des Kreises per unverschlüsselter E-Mail zugeschickt worden. Für den Zugriff auf die Akte musste der Nutzende im Portal seinen Vornamen, Nachnamen und seine E-Mail-Adresse angeben. Die Richtigkeit der Angaben wurde dabei nicht überprüft. In dem der Beschwerde zugrunde liegenden Fall hat der Beschwerdeführer Fantasienamen eingegeben.
Dieses Verfahren haben wir als unzureichend bewertet. Es öffnet an mehreren Stellen Einfallstore für Zugriffe durch Unbefugte. Dies beginnt bei der Zusendung der Zugangsdaten in einer E-Mail. Wem die E-Mail-Adresse gehört und welche Personen Zugriff auf diese E-Mail-Adresse haben, dürfte der Behörde in der Regel nicht bekannt sein. Damit wäre es möglich, dass sich ein Dritter als Betroffener eines Ordnungswidrigkeitenverfahrens ausgibt, bei der Behörde Akteneinsicht beantragt und sich die Zugangsdaten an eine E-Mail-Adresse schicken lässt, auf die er Zugriff hat. Bei einem Versand per Post hat es die Behörde dagegen in der Hand, das Risiko einer Fehladressierung zu minimieren. Meist ist die Postanschrift ohnehin im Ordnungswidrigkeitenverfahren ermittelt worden. In Zweifelsfällen kann die Richtigkeit durch eine Auskunft aus dem Melderegister geklärt werden. Zudem kann das Schreiben direkt an den Antragsteller adressiert werden. Dadurch kann die Ordnungswidrigkeitenbehörde dem Risiko einer Öffnung durch haushaltsangehörige Personen entgegenwirken.
Eine weitere Sicherheitslücke bestand beim Download der Akte. Hier war es möglich, mit falschen Angaben die Daten abzurufen. Schließlich bestand ein Risiko auch auf dem Übertragungsweg der E-Mail, da die Übertragung nicht Ende-zu-Ende-verschlüsselt erfolgte.
Alle drei genannten Stellen müssen in einer Gesamtschau betrachtet werden. Wenn die Zugangsdaten an eine verifizierte Adresse verschickt werden, ist es nicht mehr zwingend erforderlich, dass vor dem eigentlichen Zugriff auf die Akte eine Identitätsprüfung erfolgt. Ist aber schon beim Versand der Zugangsdaten nicht gesichert, dass der Empfänger tatsächlich der Einsichtsberechtigte ist, wäre eine Identitätsprüfung beim Zugriff immerhin eine Möglichkeit, das Risiko zu verringern.
Es handelt sich dabei nicht nur um geringfügige Risiken. § 32 f Abs. 4 Satz 1 der Strafprozessordnung schreibt vor, dass bei der Einsicht in elektronische Akten durch technische und organisatorische Maßnahmen gewährleistet sein muss, dass Dritte im Rahmen der Akteneinsicht keine Kenntnis vom Akteninhalt nehmen können.
Nachdem wir den Kreis auf die Sicherheitsrisiken hingewiesen haben, hat er das Verfahren der Akteneinsicht geändert. Die Zugangsdaten werden fortan nicht mehr per E-Mail versendet, sondern per Post.
Was ist zu tun?
Personenbezogene Daten sind bei
elektronischer Akteneinsicht in gleicher Weise zu schützen wie bei der Einsicht
in eine Papierakte. Durch technische und organisatorische Maßnahmen muss sichergestellt
werden, dass nur die berechtigten Personen Einsicht erhalten können.
Zurück zum vorherigen Kapitel | Zum Inhaltsverzeichnis | Zum nächsten Kapitel |