Kernpunkte:
- Luftbilder zur Gebührenberechnung
- Veröffentlichung von Namen auf Websites der Verwaltung
- Filmen von Polizeibeamten im Einsatz
- Datenpannen in der Justiz
- Patientendaten außer Kontrolle
- Schülerakten auf dem Schulhof
4 Datenschutz in der Verwaltung
In diesem Kapitel werden Einzelfälle und sonstige Themen von herausgehobener Bedeutung im Jahr 2023 dargestellt, die den Bereichen „Allgemeine Verwaltung“ (Tz. 4.1), „Polizei“ (Tz. 4.2), „Justiz“ (Tz. 4.3), „Soziales“ (Tz. 4.4), „Schutz des Patientengeheimnisses“ (Tz. 4.5), „Datenpannen im Medizinbereich“ (Tz. 4.6), „Bildung“ (Tz. 4.7) sowie „Datenschutz- und Medienkompetenz“ (Tz. 4.8) zuzurechnen sind.
4.1 Allgemeine Verwaltung
4.1.1 Luftbilder zur Gebührenberechnung für die Niederschlagswasserentsorgung
Kommunen erheben für die Beseitigung von Niederschlagswasser Gebühren. Gebührenmaßstab für laufende Benutzungsgebühren ist die Größe überbauter und befestigter Grundstücksflächen, etwa bituminöse Decken, Betondecken oder Pflasterungen, von welchen das Niederschlagswasser in die öffentliche Abwasseranlage gelangt. Bei der Ermittlung der Größe von entsprechend versiegelten und abflussarmen Flächen berücksichtigen die Kommunen z. B. vorhandene Bauzeichnungen. Fehlen belastbare Angaben, so erwägen die Gemeinden zunehmend eine Beauftragung von Dienstleistern, welche eine Befliegung des Gemeindegebietes vornehmen und dabei Luftaufnahmen der maßgeblichen Grundstücke anfertigen.
Wir erhielten in diesem Kontext Beratungsanfragen, ob und unter welchen Voraussetzungen die Anfertigung und Weiterverarbeitung solcher Luftaufnahmen nach datenschutzrechtlichen Gesichtspunkten zulässig sind. Im Ergebnis sind insbesondere folgende Punkte zu beachten:
- Bei den Aufnahmen zu den Grundstücken, bei welchen die Eigentümer natürliche Personen sind, handelt es sich um personenbezogene Daten. Eine Identifizierung der Grundstückseigentümer ist auch gewollt, um die Beitragsschuldner zu ermitteln.
Art. 6 Abs. 3 Satz 2 und 3 DSGVO
²Der Zweck der Verarbeitung muss in dieser Rechtsgrundlage festgelegt oder hinsichtlich der Verarbeitung gemäß Abs. 1 Buchst. e für die Erfüllung einer Aufgabe erforderlich sein, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde. ³Diese Rechtsgrundlage kann spezifische Bestimmungen zur Anpassung der Anwendung der Vorschriften dieser Verordnung enthalten, u. a. Bestimmungen darüber, welche allgemeinen Bedingungen für die Regelung der Rechtmäßigkeit der Verarbeitung durch den Verantwortlichen gelten, welche Arten von Daten verarbeitet werden, welche Personen betroffen sind, an welche Einrichtungen und für welche Zwecke die personenbezogenen Daten offengelegt werden dürfen, welcher Zweckbindung sie unterliegen, wie lange sie gespeichert werden dürfen und welche Verarbeitungsvorgänge und -verfahren angewandt werden dürfen, einschließlich Maßnahmen zur Gewährleistung einer rechtmäßig und nach Treu und Glauben erfolgenden Verarbeitung, wie solche für sonstige besondere Verarbeitungssituationen gemäß Kapitel IX der DSGVO.
- Eine gesetzliche Rechtsnorm im Sinne einer rechtlichen Verpflichtung, personenbezogene Daten als Luftaufnahmen zum Zweck der Beseitigung von Niederschlagswasser zu erheben und weiterzuverarbeiten, ist nicht ersichtlich. Insbesondere fehlen damit Anhaltspunkte für eine Anwendung von Art. 6 Abs. 1 Buchst. c DSGVO, wonach die Datenverarbeitung zur Erfüllung einer rechtlichen Verpflichtung erforderlich sein müsste, welcher die verantwortliche Kommune unterliegt.
- Als Rechtsgrundlage könnte gegebenenfalls Art. 6 Abs. 1 Buchst. e DSGVO in Verbindung mit § 4 Abs. 1 der Gemeindeordnung Schleswig-Holstein in Verbindung mit einer kommunalen Satzung in Betracht kommen. Die Satzung müsste die Anforderungen nach Art. 6 Abs. 3 DSGVO erfüllen, einschließlich einer konkreten Bezeichnung des Verarbeitungszwecks, der Art der Daten, der Speicherdauer und gegebenenfalls auch Hinweisen zum Widerspruchsrecht betroffener Personen. Es sollte darin u. a. festgelegt werden, welche Auflösung die Aufnahmen zur Erreichung des verfolgten Zwecks haben sollen und welche weiteren organisatorischen Maßnahmen veranlasst werden.
- Wir gehen davon aus, dass es sich bei der Anfertigung der Luftaufnahmen um eine Erhebung bei den betroffenen Personen handelt, sodass die Erfüllung der Informationspflichten nach Artikel 13 DSGVO sicherzustellen wäre. Dabei würde das Anliegen des Verordnungsgebers auch dann beachtet, wenn die betroffenen Personen im Vorfeld einer Befliegung angemessen unterrichtet würden, etwa durch parallele Veröffentlichungen im Webauftritt der Kommune und in geeigneten Zeitungen, Anzeigern, anderen Medien oder durch Postwurfsendungen. Die Pflichtinformationen müssen vor allem einen Hinweis auf das Widerspruchsrecht und Angaben dazu, unter welchen Kontaktdaten man dieses Recht ausüben kann, aufweisen, Art. 13 Abs. 1 Buchst. a, Abs. 2 Buchst. b DSGVO.
Art. 28 Abs. 3 Satz 1 DSGVO
Die Verarbeitung durch einen Auftragsverarbeiter erfolgt auf der Grundlage eines Vertrags oder eines anderen Rechtsinstruments nach dem Unionsrecht oder dem Recht der Mitgliedstaaten, der bzw. das den Auftragsverarbeiter in Bezug auf den Verantwortlichen bindet und in dem Gegenstand und Dauer der Verarbeitung, Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten, die Kategorien betroffener Personen und die Pflichten und Rechte des Verantwortlichen festgelegt sind.
- Im Falle der Durchführung der Befliegung und der Anfertigung der Aufnahmen durch einen Dienstleister kommt der Abschluss eines Vertrags nach Art. 28 Abs. 3 DSGVO zur Verarbeitung im Auftrag in Betracht. Die Kommune bleibt infolge der Hoheit über die Zwecksetzung für die Datenverarbeitung die allein Verantwortliche. Der Dienstleister muss die sonstigen Anforderungen nach Artikel 28 und 29 DSGVO erfüllen.
- Die Erstellung eines Verzeichnisses von Verarbeitungstätigkeiten ist sowohl von der Kommune (Art. 30 Abs. 1 DSGVO) als auch von dem Dienstleister (Art. 30 Abs. 2 DSGVO) zu erfüllen.
Vor allem hinsichtlich der Vermeidung von vertieften Eingriffen in die Privatsphäre betroffener Personen müssten Regelungen getroffen werden, die auch der Dienstleister einzuhalten hat. Dazu gehören z. B. Festlegungen zur Auflösung der Aufnahmen und der Flughöhe für die Überfliegung und der Ausschluss einer Erfassung von identifizierbaren Personen sowie des Abfilmens von Privatbereichen wie Sonnenterrassen.
Was ist zu tun?
Die Anfertigung von Luftaufnahmen von Grundstücksflächen in einer Kommune zur Bemessung der Gebühren für die Beseitigung von Niederschlagswasser bedarf einer Rechtsgrundlage. Näheres kann dabei in einer kommunalen Satzung geregelt werden.
4.1.2 Fragebogenaktion für Projektzwecke
Bei dem ULD ging eine Beschwerde ein, in der vorgetragen wurde, dass eine Kommune „zusammen“ mit einer universitären Einrichtung personenbezogene Daten der Bürgerinnen und Bürger dieser Kommune im Rahmen einer Sportstättenentwicklungsplanung verarbeite.
Konkret verhielt es sich so, dass die Adressaten angeschrieben und auf freiwilliger Basis um die Beantwortung eines beigefügten Fragebogens gebeten wurden. Neben Alter, Geschlecht und betreffendem Ortsteil wurden auch Angaben zum Sportverhalten, zur Art der Sportstätte, in der der Sport ausgeübt wird, zum Namen der Sportstätte und zur Mitgliedschaft in einem Sportverein erbeten. Den Schreiben war nicht eindeutig zu entnehmen, ob diese von der kommunalen oder der universitären Einrichtung an die Bürgerinnen und Bürger übersandt und aus welcher Quelle Vor- und Nachnamen sowie Anschriften zum Zwecke des Anschreibens bezogen worden sind. Eine Information über die Verarbeitung der personenbezogenen Daten nach Artikel 13 bzw. Artikel 14 DSGVO war den Schreiben nicht beigefügt.
Die im aufsichtsbehördlichen Verfahren von uns um Stellungnahme gebetene Kommune erläuterte, dass sie mit Beschlüssen der entsprechenden kommunalen Fachausschüsse beauftragt worden sei, eine Sportstättenentwicklungsplanung zu initiieren. Die universitäre Einrichtung sei mit der Umsetzung des Projekts beauftragt worden. Im Rahmen einer Gruppenauskunft gemäß § 46 Bundesmeldegesetz (BMG) seien der universitären Einrichtung die personenbezogenen Daten der Adressaten übermittelt worden, um von dort aus das Anschreiben und den Fragebogen versenden zu können. Die mittels der Fragebögen erhobenen Daten würden von der universitären Einrichtung statistisch ausgewertet und das Ergebnis der Auswertung an die Kommune übermittelt werden. Bei der Erhebung der Angaben mittels des Fragebogens sei davon ausgegangen worden, dass es sich bei den erbetenen Angaben nicht um personenbezogene Daten handele; die Fragebögen würden alle gleich aussehen und anonym gestaltet sein.
Rechtlich war zunächst festzustellen, dass die Übermittlung der personenbezogenen Daten der Bürgerinnen und Bürger im Rahmen der Gruppenauskunft nach § 46 BMG datenschutzrechtlich nicht zu beanstanden war. § 46 BMG stellte für diese Übermittlung die Rechtsgrundlage dar. Nach § 46 Abs. 1 Nr. 4, Abs. 2 Nr. 1 und 2 BMG sind davon auch der Vor- und Nachname sowie die derzeitige Anschrift erfasst. Die Gruppenauskunft gemäß § 46 Abs. 1 BMG darf jedoch nur erteilt werden, wenn sie im öffentlichen Interesse liegt. Für die Annahme eines öffentlichen Interesses sprach die Beschlussfassung der kommunalen Fachausschüsse.
Was die Verarbeitung der Antworten aus den Fragebögen betraf, bestand hinsichtlich der Auffassung der verantwortlichen Kommune Klärungsbedarf, es handele sich gänzlich um die Erhebung anonymer Angaben. Zumindest für einen Teil der Angaben bestanden Anhaltspunkte für einen möglichen Personenbezug. Gemäß der in Art. 4 Nr. 1 DSGVO enthaltenen Definition handelt es sich bei personenbezogenen Daten um alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. In dem Fragebogen wurden zwar weder die Namen noch die Anschriften der Adressaten abgefragt. Allerdings war zu prüfen, ob die betreffenden Personen im Einzelfall aufgrund der erbetenen Antworten identifizierbar waren. Die Kommune musste etwa prüfen, ob eine derartige Rückschlussmöglichkeit bei einer kumulativen Betrachtung der Antworten in Bezug auf das Geschlecht, das Alter, Fragen nach dem Ortsteil, nach der Mitgliedschaft in einem konkret zu benennenden Sportverein und nach dem Austritt aus dem Verein besteht.
Das ULD hat vor diesem Hintergrund zunächst einen Hinweis in Bezug auf die Reichweite des Personenbezugs erteilt. In diesem Kontext hat das ULD ausdrücklich darauf hingewiesen, dass sich ein Personenbezug insbesondere auch aus der kumulativen Betrachtung von bestimmten Einzelangaben ergeben kann.
Ferner wurde auf das Erfordernis einer Rechtsgrundlage bei der Verarbeitung von personenbezogenen Daten hingewiesen, sollte sich ein Personenbezug aus den Antworten des Fragebogens ergeben. In diesem Zusammenhang erfolgte der Hinweis, dass in dem Fall, in dem keine gesetzliche Rechtsgrundlage vorliegt, die Verarbeitung nur auf eine den Anforderungen des Artikels 7 DSGVO entsprechende, freiwillig, in informierter Weise und unmissverständlich erteilte Einwilligung der betroffenen Personen gestützt werden kann.
Abschließend hat das ULD darauf hingewiesen, dass die betroffenen Personen im Falle der Erhebung personenbezogener Daten gemäß Artikel 13 bzw. Artikel 14 DSGVO zu informieren sind und dass im Falle der Verarbeitung personenbezogener Daten im Auftrag des Verantwortlichen die für einen Auftragsverarbeiter bestehenden Anforderungen nach Artikel 28 DSGVO einzuhalten sind.
Was ist zu tun?
Bei der Erhebung von Daten für Projektzwecke auf Grundlage eines Fragebogens ist von der öffentlichen Stelle für die einzelnen erbetenen Angaben genau zu prüfen, ob diese einen Personenbezug aufweisen. Ist das der Fall, sind die Vorgaben der DSGVO bei der Verarbeitung der Angaben einzuhalten.
4.1.3 Nachweis der Elternschaft – Adoptionsurkunden gibt es nicht
§ 55 Abs. 3a SGB XI
Die Elterneigenschaft sowie die Anzahl der Kinder unter 25 Jahren müssen gegenüber der beitragsabführenden Stelle, bei Selbstzahlern gegenüber der Pflegekasse, nachgewiesen sein, sofern diesen die Angaben nicht bereits bekannt sind. Der Spitzenverband Bund der Pflegekassen gibt Empfehlungen darüber, welche Nachweise geeignet sind. Die beitragsabführenden Stellen und die Pflegekassen sind berechtigt, entsprechende Nachweise anzufordern.
Mit dem Gesetz zur Unterstützung und Entlastung in der Pflege (PUEG) erhöhten sich im Sommer 2023 die Beitragssätze für die gesetzliche Pflegeversicherung. Zur Umsetzung des Beschlusses des Bundesverfassungsgerichts vom 7. April 2022 (1 BvL 3/18) anlässlich der Benachteiligung von Eltern war es zudem notwendig geworden, eine Differenzierung der Beitragssätze nach der Anzahl der Kinder der Versicherten in das Gesetz aufzunehmen.
Den Pflegekassen war die Information hierüber jedoch bislang nicht in allen Fällen bekannt. Ein vorgesehenes digitales Verfahren zum Nachweis der berücksichtigungsfähigen Kinder muss zunächst noch entwickelt werden, spätestens bis zum 31. März 2025. Bis dahin müssen Arbeitgeber und Kassen die Daten gegebenenfalls auf andere Weise erheben.
Klärungsbedarf entstand in einem dem ULD vorgetragenen Fall eines Elternpaares mit adoptiertem Kind. Unterlagen zur Adoption sollten einem Arbeitgeber vorgelegt werden, was den betroffenen Personen unnötig und allzu sensibel erschien. Auf dem verwendeten Vordruck wurde namentlich eine „Adoptionsurkunde“ als möglicher Nachweis aufgeführt. Tatsächlich existiert eine solche Urkunde nach deutschem Recht gar nicht. Adoptionen lassen sich zwar im Geburtenregister des Standesamts nachvollziehen. Auf neu ausgestellten Geburtsurkunden werden jedoch ausschließlich die Adoptiveltern aufgeführt.
§ 63 Abs. 1 Satz 1 PStG
Ist ein Kind angenommen, so darf abweichend von § 62 ein beglaubigter Registerausdruck aus dem Geburtseintrag nur den Annehmenden, deren Eltern, dem gesetzlichen Vertreter des Kindes und dem über 16 Jahre alten Kind selbst erteilt werden.
Daneben schränkt das Personenstandsrecht den Zugriff auf das Geburtenregister in solchen Konstellationen besonders ein.
§ 56 Abs. 3 SGB I
Als Eltern im Sinne des Abs. 1 Satz 1 Nr. 3 gelten auch
[…]
2. Stiefeltern,
3. Pflegeeltern (Personen, die den Berechtigten als Pflegekind aufgenommen haben).
Das Versicherungsrecht macht hier dementsprechend keinen Unterschied. Für den Begriff der Elternschaft verweist § 55 Abs. 3 Satz 3 SGB XI auf den Allgemeinen Teil des Sozialgesetzbuches.
Während auch Stief- und Pflegeeltern ausdrücklich von den verminderten Beitragssätzen erfasst sind, führt das Gesetz die Kategorie der Adoptiveltern gar nicht erst ausdrücklich auf. Sinngemäß haben sie ganz selbstverständlich als „Eltern“ zu gelten.
Den betroffenen Personen im konkreten Fall wurde geraten, sich auf die Geburtsurkunde als Nachweis zu beschränken. Um die Elterneigenschaft in der beschriebenen Situation rechtlich nachvollziehbar zu machen, reicht diese aus. Gegebenenfalls könnte der Grundsatz der Datenminimierung nach Art. 5 Abs. 1 Buchst. c DSGVO herangezogen werden.
Die Vorlage einer „Adoptionsurkunde“ – im Sinne eines Nachweises einer Adoption – könnte in anders gelagerten, sehr speziellen Fällen mit Auslandsbezug notwendig sein, in diesem Fall jedoch nicht.
4.1.4 Datenverarbeitung bei Schuleingangsuntersuchungen – standardisiertes Verfahren
Im Berichtszeitraum war die Landesbeauftragte für Datenschutz im Rahmen einer Beratung des Ministeriums für Justiz und Gesundheit und einiger Gesundheitsämter mit Fragen der Datenverarbeitung im Zusammenhang mit Schuleingangsuntersuchungen befasst. Ferner erhielten wir auch Anfragen von Eltern, die in Erfahrung bringen wollten, ob bestimmte Fragen zum Gesundheitszustand, zur Ermittlung etwaiger Förderbedarfe und Angaben zu Impfnachweisen bei einer schulärztlichen Untersuchung erhoben werden dürfen.
Das ULD ließ sich im Folgenden die Datenverarbeitung bei Schuleingangsuntersuchungen in einem Gesundheitsamt vor Ort erläutern und erörterte mit den beteiligten Behörden den Sachverhalt. Das Beratungsverfahren, das von Vertretern des Ministeriums für Gesundheit und Justiz sowie von einigen Schulärztinnen der Kreise und kreisfreien Städte sehr konstruktiv begleitet wurde, konnte mit der abgestimmten Überarbeitung eines standardisierten Einladungsschreibens für schulärztliche Eingangsuntersuchungen und erforderlicher Pflichtinformationen nach der DSGVO zügig zum Abschluss gebracht werden. Einige Punkte aus dem Einladungsschreiben werden im Folgenden genannt:
- Vor Beginn des Grundschulbesuchs ist eine schulärztliche Untersuchung gesetzlich vorgesehen. Diese Untersuchung entscheidet nicht darüber, ob das Kind die Schule besuchen darf oder nicht. Es geht darum, den Entwicklungsstand des Kindes besser einordnen und gegebenenfalls eine individuelle Förderung einleiten zu können. Die Schule erhält nur das Ergebnis dieser Untersuchung. Sollten bei der Untersuchung Entwicklungsauffälligkeiten und/
oder gesundheitliche Störungen festgestellt werden, die Auswirkungen auf den Schulbesuch haben können, werden diese Informationen ebenfalls an die Schule übermittelt. - Bezüglich der im beigefügten Fragebogen mit einem (*) gekennzeichneten Angaben besteht eine gesetzliche Auskunftspflicht nach § 27 Abs. 3 des Schulgesetzes. Die Übermittlung des Ergebnisses der Untersuchung sowie etwaiger Entwicklungsauffälligkeiten und gesundheitlicher Beeinträchtigungen, die im Einzelfall für die Beschulung von Bedeutung sind, einschließlich Förderbedarfe an die Schule, beruht auf § 27 Abs. 4 des Schulgesetzes.
- Weiterhin ist die Vorlage des Vorsorgeheftes zur Durchführung der schulärztlichen Untersuchung des Kindes erforderlich. Die übrigen Angaben im Fragebogen sind freiwillig.
- Beim Untersuchungstermin erhalten die Eltern einen zusätzlichen Erhebungsbogen (Fragebogen zu Stärken und Schwächen – SDQ). Die Angaben in diesem Erhebungsbogen sind freiwillig. Die Erhebung der Angaben im Fragebogen zu Stärken und Schwächen dient der Beurteilung des Sozial- und Emotionsverhaltens des Kindes im Alltag und der Ermittlung von Förderbedarfen sowie der Gesundheitsberichterstattung. Rechtsgrundlage für die Erhebung und Anonymisierung zwecks Weitergabe zur Gesundheitsberichterstattung ist die Einwilligung der Eltern.
- Die Vorlage des Impfausweises ist freiwillig. Jedoch ist der Kinder- und Jugendgesundheitsdienst gesetzlich verpflichtet, den Impfstatus zu erheben. Die Eltern werden daher gebeten, diesen ebenfalls vorzulegen. Die Daten werden in anonymisierter Form an das Robert-Koch-Institut übermittelt. Die Erhebung des Impfstatus beruht auf § 34 Abs. 11 des Infektionsschutzgesetzes. Gemäß § 20 Abs. 9 des Infektionsschutzgesetzes sind die Eltern gesetzlich verpflichtet, gegenüber der Schule Nachweise zum Masernschutz vorzulegen. Zusätzlich ist es auch möglich, den Impfnachweis im Rahmen der ärztlichen Untersuchung vorzulegen. Die Information über ausreichenden Impfschutz wird dann an die Schule übermittelt. Rechtsgrundlage hierfür ist die Einwilligung der Eltern. Die Teilnahme an diesem alternativen Verfahren ist für die Eltern freiwillig.
- Seit 1999 wird in Schleswig-Holstein jährlich ein Kinder- und Jugendgesundheitsbericht erstellt (Gesundheitsberichterstattung). Er verschafft Gesundheitsbehörden und Parlament einen Überblick über den Gesundheitszustand der Einschulungskinder. Zum Zweck der Gesundheitsberichterstattung werden die im Rahmen der schulärztlichen Untersuchung erhobenen Angaben zusammen mit den bei der Untersuchung festgestellten Befunden sowie den empfohlenen ärztlichen Maßnahmen anonymisiert an das Universitätsklinikum Schleswig-Holstein Campus Lübeck und das Ministerium für Justiz und Gesundheit zur zentralen Auswertung auf Grundlage von § 6 und § 7 des Gesundheitsdienst-Gesetzes und § 5 der Landesverordnung über die schulärztlichen Aufgaben weitergeleitet.
Das Ministerium für Gesundheit und Justiz hat darüber hinaus weitere sachdienliche Informationen zur schulärztlichen Eingangsuntersuchung veröffentlicht. Die Informationen, einschließlich eines Videos dazu, wie eine Schuleingangsuntersuchung abläuft, sind unter den folgenden Links abrufbar:
www.schleswig-holstein.de/DE/fachinhalte/S/schuleingangsuntersuchungen/Ablauf.html
Kurzlink: https://uldsh.de/tb42-4-1-4a
www.schleswig-holstein.de/DE/landesregierung/themen/bildung-hochschulen/schuleingangsuntersuchungen/schuleingangsuntersuchungen_node.html
Kurzlink: https://uldsh.de/tb42-4-1-4b
4.1.5 Aufbewahrungsfristen für abgeschlossene Personalakten im öffentlichen Dienst
Anlässlich einer Beschwerde leitete das ULD ein Anhörungsverfahren gegen den ehemaligen Dienstherrn des Beschwerdeführers als datenschutzrechtlich Verantwortlichen ein. In diesem Verfahren stellten sich Fragen zur Aufbewahrungsfrist für Personalaktendokumente.
Die Aufbewahrungsfristen für die abgeschlossenen Personalakten von Beschäftigten des öffentlichen Dienstes in Schleswig-Holstein richten sich grundsätzlich nach § 15 Landesdatenschutzgesetz (LDSG) in Verbindung mit § 91 Abs. 1 Landesbeamtengesetz (LBG). Demnach sind für die Beamtinnen und Beamten Personalakten nach ihrem Abschluss von der personalaktenführenden Behörde fünf Jahre lang aufzubewahren. Das LBG bestimmt explizit, wann eine Personalakte als abgeschlossen gilt, und setzt damit einen Zeitpunkt fest, ab welchem die fünfjährige Frist beginnt. Als solche Zeitpunkte gelten z. B. das Ausscheiden der Beamtin oder des Beamten aus dem Beamtenverhältnis auf Widerruf nach Ablauf des Vorbereitungsdienstes oder der Ablauf des Todesjahres, wenn die Beamtin oder der Beamte ohne versorgungsberechtigte Hinterbliebene verstorben ist.
Abweichungen von der genannten Regelfrist ergeben sich aus § 91 Abs. 2 und 3 LBG für Unterlagen über Beihilfen, Heilfürsorge, Heilverfahren, Unterstützungen, Erholungsurlaub, Erkrankungen, Umzugs- und Reisekosten sowie Versorgungs-, Altersgeld- und Hinterbliebenenaltersgeldakten.
Ausgehend von § 91 Abs. 1 LBG bestehen dem Wortlaut nach für die Personalakten von im öffentlichen Dienst Tarifbeschäftigten keine klaren Vorgaben, aus denen sich ein Zeitpunkt ableiten lässt, ab welchem eine fünfjährige Aufbewahrungsfrist laufen soll. Anwendbar sind für die Tarifbeschäftigten im öffentlichen Dienst hingegen Vorgaben nach § 91 Abs. 2 LBG, die sich auf Unterlagen zu Erholungsurlaub, Erkrankungen und Reisekosten beziehen.
Im Übrigen wird für die Grundakte und Teilakten der Personalakten von im öffentlichen Dienst Tarifbeschäftigten gesondert zu entscheiden sein, welche spezifischen Aufbewahrungsvorgaben – etwa nach anderen gesetzlichen Vorschriften – gelten oder ob sich die Erforderlichkeit einer Aufbewahrung nachvollziehbar begründen lässt. Entfalten Unterlagen in bestimmten Teilakten steuerrechtliche Relevanz, so richtet sich speziell deren Aufbewahrung nach steuerrechtlichen Vorgaben der Abgabenordnung und anderen fachgesetzlichen Bestimmungen des Steuerrechts. Weiterhin kann sich die Erforderlichkeit der Aufbewahrung für bestimmte Teile der Personalakte aus den Vorgaben zur regelmäßigen Verjährung ergeben, sofern noch Ansprüche aus dem Beschäftigtenverhältnis bestehen können, §§ 195, 199 des Bürgerlichen Gesetzbuches (BGB).
Im eingeleiteten aufsichtsbehördlichen Verfahren passte der Verantwortliche die Aufbewahrungsfristen für die von ihm vorgehaltenen Personalakten der im öffentlichen Dienst Tarifbeschäftigten an.
Was ist zu tun?
Öffentliche Stellen haben gemäß den geltenden Regelungen für die jeweiligen Dokumente aus der geschlossenen Personalakte einzelfallbezogen zu prüfen, wie lange diese aufzubewahren sind. Für die Tarifbeschäftigten im öffentlichen Dienst können auch Vorgaben außerhalb des Landesbeamtengesetzes von Bedeutung sein.
4.1.6 Fragen zur Veröffentlichung dienstlicher Kontaktdaten von Beschäftigten des öffentlichen Dienstes
Das ULD wurde um eine rechtliche Einschätzung zu der Frage gebeten, ob dienstliche Kontaktdaten auf der Homepage des Dienstherrn, bei dem es sich um eine öffentliche Stelle handelte, veröffentlicht werden dürfen. Konkret ging es um die namentliche Nennung der Beschäftigten auf der Homepage.
Dabei ergibt sich für die Bewertung der Veröffentlichung der dienstlichen Kontaktdaten der Beschäftigten, einschließlich des Namens, auf der Homepage des Dienstherrn Folgendes:
- Die Veröffentlichung der dienstlichen Kontaktdaten, bei denen es sich um personenbezogene Daten handelt, bedarf wie jede Verarbeitung personenbezogener Daten einer Rechtsgrundlage.
- Die Verarbeitung der personenbezogenen Daten der Beschäftigten für öffentliche Stellen in Schleswig-Holstein richtet sich nach § 15 des Landesdatenschutzgesetzes (LDSG) in Verbindung mit § 85 des Landesbeamtengesetzes (LBG). Danach darf der Dienstherr diese Daten verarbeiten, soweit dies zur Durchführung organisatorischer, personeller und sozialer Maßnahmen erforderlich ist oder eine Vereinbarung nach dem Mitbestimmungsgesetz Schleswig-Holstein dies erlaubt.
- Die Veröffentlichung der dienstlichen Kontaktdaten der Beschäftigten des öffentlichen Dienstes im Internet, im Engeren: Name, Vorname, dienstliche E‑Mail-Adresse und dienstliche Telefonnummer, ist zulässig, wenn sie zur Durchführung organisatorischer Maßnahmen und in diesem Zusammenhang zur ordnungsgemäßen Aufgabenerfüllung der öffentlichen Stelle erforderlich ist. Im Einzelfall kann dies zu bejahen sein, um den Bürger darüber zu informieren, welche der Beschäftigten die richtigen Ansprechpartner für die jeweiligen Anliegen sind. Zu berücksichtigen ist jedoch, dass dies lediglich für Beschäftigte gilt, die eine Funktion mit Außenwirkung innehaben und daher im regelmäßigen Kontakt mit Bürgerinnen und Bürgern stehen.
- Vorzunehmen ist daher eine umfassende Interessenabwägung. In die Entscheidung über die Veröffentlichung ist auch einzubeziehen, ob nur einzelne der dienstlichen Kontaktdaten veröffentlicht werden sollten. Eine andere Bewertung kann sich im Einzelfall etwa ergeben, wenn sich für die Beschäftigten durch die Veröffentlichung dienstlicher Kontaktdaten generell eine Gefährdungslage ergeben könnte oder wenn in bestimmten Arbeitsbereichen eine sinnvolle Aufgabenerledigung durch die Veröffentlichung der Daten, etwa durch permanentes Klingeln des Telefons, nicht mehr möglich erscheint.
Was ist zu tun?
Bei der Veröffentlichung der Kontaktdaten der Beschäftigten (beispielsweise auf der Homepage) hat der Dienstherr im Einzelfall zu prüfen, ob dies für die ordnungsgemäße Aufgabenerfüllung erforderlich ist. Durch die Veröffentlichung darf keine Gefährdungslage für die Beschäftigten entstehen.
4.1.7 Veröffentlichung von Spendernamen im Bürgerinformationssystem
Die Veröffentlichung von personenbezogenen Daten in kommunalen Bürger- oder Ratsinformationssystemen führt immer wieder zu Anfragen oder Beschwerden beim ULD.
§ 76 Abs. 4 Satz 5 GO
Über die Annahme oder Vermittlung von Spenden, Schenkungen oder ähnlichen Zuwendungen, die über 50 Euro hinausgehen, erstellt die Bürgermeisterin oder der Bürgermeister jährlich einen Bericht, in welchem die Geber, die Zuwendungen und die Zuwendungszwecke anzugeben sind, und leitet diesen der Gemeindevertretung zu.
In einem konkreten Fall bat eine Privatperson um unsere Unterstützung, die sich mit 100 Euro an einer gemeindlichen Spendenaktion beteiligt hatte. Damit tauchte sie anlässlich der Sitzungsvorlage zur jährlichen Annahme von Spenden, Schenkungen und Zuwendungen der Gemeinde namentlich in einer Spenderliste auf. Das Bürgerinformationssystem der betreffenden Kommune ist über deren Webauftritt für alle frei zugänglich.
In der Tat schreibt die Gemeindeordnung die Aufstellung solcher Listen ausdrücklich vor.
§ 41 Abs. 3 GO
Die Einsichtnahme in die Niederschriften über die öffentlichen Sitzungen ist den Einwohnerinnen und Einwohnern zu gestatten.
Unstrittig ist ferner der Grundsatz der Öffentlichkeit von Sitzungen der Gemeindevertretung nach § 35 Abs. 1 GO. Was Art und Ausmaß der Verfügbarkeit von Unterlagen zu Sitzungen der Gemeindevertretung angeht, regelt die Gemeindeordnung lediglich Folgendes:
Aus Sicht des ULD reichen die benannten Vorschriften nicht so aus, als dass sie als Rechtsgrundlage im Sinne von Art. 6 Abs. 1 Buchst. c oder Buchst. e DSGVO für eine Veröffentlichung der Spender im Internet herangezogen werden könnten. Eine Möglichkeit zur Einsichtnahme über das Internet durch jede beliebige Person erscheint zu weitreichend. Da spezifischere Vorschriften zur Veröffentlichungspraxis oder gar zu Bürgerinformationssystemen im Internet fehlen, bleibt das Verhältnis zwischen Sitzungsöffentlichkeit, Gemeindeöffentlichkeit und Internetöffentlichkeit allerdings zugegebenermaßen vage.
Die betreffende Kommune betonte im Rahmen des Anhörungsverfahrens die Bedeutung der Transparenz und der Korruptionsprävention, denen die Berichte ohne Zweifel dienen. Auf die Veröffentlichung von Spenderlisten zu verzichten, stünde diesen Zwecken entgegen. Als vorläufige Lösung des Konflikts hat die Gemeinde den offenen Zugriff auf diese Anlagen letztlich gesperrt, mit Wirkung für die bisherigen Berichtsjahre. Für zukünftige Berichte wolle man eine Widerspruchslösung einführen. Insbesondere beabsichtigte die Kommune, eine grundsätzliche Klärung der Problematik auf Landesebene anzuregen.
Was ist zu tun?
Eine Diskussion der Möglichkeiten und Grenzen der Veröffentlichungspraxis in kommunalen Bürger- oder Ratsinformationssystemen auf übergeordneter Ebene wäre zu begrüßen. Letzten Endes wäre auch zu beleuchten, inwieweit die aktuelle Vorschriftenlage noch geeignet ist, angesichts der Erfordernisse der Zeit und der technologischen Entwicklung rechtlich Klarheit zu gewährleisten.
4.1.8 Veröffentlichung der Adressen von Gemeindevertreterinnen und -vertretern
Während das Gemeinderecht im Hinblick auf die Veröffentlichung personenbezogener Daten von Privatpersonen Lücken aufweist (Tz. 4.1.7), lässt sich die Situation von Gemeindevertreterinnen und -vertretern genauer umreißen (39. TB, Tz. 4.1.4 zum Veröffentlichungsort bzw. -medium und der Veröffentlichung von Angaben zu privaten Anschriften, Telefonnummern und E‑Mail-Adressen). Gelegentliche Nachfragen beim ULD betreffen dabei erneut die Angaben von Straße und Hausnummer. Auch hier geht es meist um frei zugängliche Bürger- oder Ratsinformationssysteme auf den Webauftritten der Kommunen.
§ 32 Abs. 4 Satz 2 GO
Die Mitglieder der Gemeindevertretung, der Ortsbeiräte und der Ausschüsse haben der oder dem Vorsitzenden der Gemeindevertretung ihren Beruf sowie andere vergütete oder ehrenamtliche Tätigkeiten mitzuteilen, soweit dies für die Ausübung ihres Mandats von Bedeutung sein kann. Die Angaben sind zu veröffentlichen. Das Nähere regelt die Geschäftsordnung.
Die einschlägige Vorschrift ist unabhängig vom Medium der Veröffentlichung anwendbar:
§ 31 Abs. 1 Satz 3 GKWO
Die Bekanntmachung enthält die [im Wahlvorschlag] bezeichneten Angaben; statt des Geburtsdatums ist jeweils nur das Geburtsjahr der Bewerberin oder des Bewerbers, statt der Anschrift ist nur die Postleitzahl und der Wohnort anzugeben.
Der Begriff der „ehrenamtlichen Tätigkeit“ kann dabei auch eine Parteizugehörigkeit einschließen. Was Ortsangaben angeht, ist zusätzlich das Wahlrecht heranzuziehen, und zwar vor allem die Vorschrift zur Bekanntmachung von Wahlvorschlägen:
Im Übrigen kann eine bloße Angabe des Wohnorts schon deswegen als unschädlich angesehen werden, da bereits die Wählbarkeit vom Sitz der Hauptwohnung abhängt. Ausdrücklich ausgenommen ist aber die genaue Anschrift: Darf diese schon nicht in der zeitweise öffentlichen Wahlbekanntmachung aufgeführt sein, kommt eine dauerhafte Verfügbarmachung ohne expliziten Rechtsgrund erst recht nicht infrage.
Allerdings ist es denkbar, dass Gemeindevertreterinnen oder -vertreter von sich aus wünschen, für andere Bürgerinnen und Bürger unter ihrer privaten Anschrift erreichbar zu sein. In diesem Fall handelt es sich jedoch um eine freiwillige Angabe. Das Mittel der Wahl im Datenschutzrecht ist hierfür die Einwilligung nach Art. 6 Abs. 1 Buchst. a DSGVO. Angesichts der leider bestehenden Risiken von Missbrauch oder Belästigung darf die freie Entscheidung der betroffenen Person nicht übergangen werden. Dies dient letztlich auch dazu, Interessierte nicht dadurch von einem Einstieg in die Kommunalpolitik abzuhalten, dass die Privatadresse des eigenen Haushalts veröffentlicht werden muss.
Was ist zu tun?
Kommunen sollten prüfen, ob ihre bisherige Verwaltungspraxis die Veröffentlichung von Anschriften der Gemeindevertreterinnen oder -vertreter vorsieht, insbesondere wenn dies über frei zugängliche Bürgerinformationssysteme erfolgt. Zulässig ist dies nur auf freiwilliger Basis.
4.1.9 Behördliche Entscheidungen über die Offenlegung von Identität en
§ 30 Abs. 1 Satz 1 GO
Einzelnen Gemeindevertreterinnen oder -vertretern hat die Bürgermeisterin oder der Bürgermeister in allen Selbstverwaltungsangelegenheiten und zu allen Aufgaben zur Erfüllung nach Weisung auf Verlangen Auskunft zu erteilen und Akteneinsicht zu gewähren.
§ 30 Abs. 2 Satz 1 GO
Auskunft und Akteneinsicht dürfen nicht gewährt werden, wenn die Vorgänge nach einem Gesetz geheim zu halten sind oder das Bekanntwerden des Inhalts die berechtigten Interessen Einzelner beeinträchtigen kann.
In verschiedensten Situationen stehen Behörden vor der Herausforderung, dass sie gesetzlich gewährte Auskunftsansprüche erfüllen müssen, eine etwaige Offenlegung der Identität dritter Personen dem aber entgegensteht. Eine Beratungsanfrage an das ULD beschäftigte sich beispielsweise mit dem Kontrollrecht der Mitglieder der Gemeindevertretung gegenüber der Verwaltung:
Vergleichbare Ansprüche gibt es beispielsweise im Verwaltungsverfahrensrecht gegenüber Beteiligten (§ 88 Abs. 1 LVwG) oder im Arbeits- oder Beamtenrecht gegenüber den Mitarbeitenden (§ 3 Abs. 6 TV-L bzw. § 88 Abs. 1 LBG). Nicht zuletzt besteht im Datenschutzrecht der allgemeine Auskunftsanspruch des Art. 15 Abs. 1 DSGVO, der jedoch gemäß Abs. 4 „die Rechte und Freiheiten anderer Personen nicht beeinträchtigen“ darf.
In vielen Fällen können die Belange Dritter durch eine Schwärzung ihrer Namen in den offengelegten Unterlagen gewahrt werden. Manchmal reicht dies aber nicht aus, weil die Person beispielsweise anhand der Lage eines Grundstücks oder anhand einer protokollierten Äußerung identifiziert werden kann. In bestimmten Situationen kann es vorkommen, dass ein Antrag auf Auskunft einzig darauf gerichtet ist, Klarheit über die Urheberin oder den Urheber etwa einer Beschwerde zu erlangen.
Bundesverwaltungsgericht, Beschluss vom 22.07.2010 (20 F 11.10)
Sind Behörden bei der Erfüllung ihrer öffentlichen Aufgaben auf Angaben Dritter angewiesen, dürfen sie zum Schutz des Informanten dessen Identität geheim halten. Denn Behörden werden die für eine effektive Aufgabenerfüllung unentbehrlichen Informationen vonseiten Dritter in der Regel nur erhalten, wenn sie dem Informanten Vertraulichkeit der personenbezogenen Daten zusichern. Nicht jede öffentliche Aufgabe rechtfertigt indes die Annahme, Informationen vonseiten Dritter seien zur Erfüllung einer öffentlichen Aufgabe unerlässlich.
Behörden kommen dann nicht umhin, die Auskunftsinteressen von Antragstellenden und die Geheimhaltungsinteressen von betroffenen Personen gegeneinander abzuwägen. Ob eine Offenlegung die Rechte Dritter verletzt, muss im Einzelfall im eigenen Ermessen entschieden werden. Eine Anhörung einer Seite oder beider Seiten kann dazu notwendig sein.
Einen Sonderfall stellen Behörden dar, die in ihrer Arbeit auf Hinweisgeberinnen oder Hinweisgeber angewiesen sind. Den Schutz von Informantinnen und Informanten erkennt die langjährige Rechtsprechung unter Umständen sogar als eigenes Interesse solcher Stellen an:
Aber auch die Vereinbarung von Vertraulichkeit schützt nicht jede Hinweisgeberin oder jeden Hinweisgeber. Typischerweise nicht schützenwert sind etwa Angaben, die wider besseres Wissen oder leichtfertig falsch gemacht worden sind.
Landesarbeitsgericht Berlin, Urteil vom 30.03.2023 (5 Sa 1046/22)
Der Verantwortliche hat vorzutragen, welche konkreten personenbezogenen Daten nicht herausgegeben werden können, ohne dass schützenswerte Interessen Dritter tangiert werden. Zu dieser Darlegung müssen nicht schon die personenbezogenen Daten als solche preisgegeben werden.
Mit ähnlichen Problemen sind regelmäßig auch Arbeitsgerichte befasst, vor allem wenn anonyme Beschwerden zu arbeitsrechtlichen Maßnahmen gegen Beschäftigte führen. An diesem Beispiel wird besonders deutlich, dass Verantwortliche nicht nur eine eigene Entscheidung für oder gegen die Offenlegung personenbezogener Daten treffen müssen. Sie müssen auch in der Lage sein, ihre Entscheidung zu erklären:
Entscheidungen über Auskunft und Akteneinsicht in konfliktträchtigen Situationen müssen daher nicht nur bewusst und sorgsam vorgenommen werden. Sie müssen auch nachvollziehbar dokumentiert werden. So kommt es eventuell dazu, dass Auskunftsberechtigte oder von einer Offenlegung betroffene Personen Beschwerde beim ULD einreichen oder sogar vor Gericht ziehen.
Eine ordentliche Dokumentation dient Verantwortlichen dann dazu, den Nachweis erbringen zu können, die Interessen sowohl der einen wie auch der anderen Seite angemessen berücksichtigt zu haben.
4.1.10 Ein Personalausweis halb auf Abwegen
Eine ungewöhnliche Beschwerde erreichte das ULD wegen eines offenbar unsachgemäß entsorgten Personalausweises: Die Inhaberin hatte beim örtlichen Bürgerbüro ganz regulär einen neuen Ausweis beantragt und das abgelaufene Exemplar zur Entsorgung dort abgegeben. Wenige Wochen später tauchte eine Hälfte des abgelaufenen Ausweises an unerwarteter Stelle wieder auf. Ein völlig Fremder meldete sich über Social Media bei der betroffenen Person: Er habe das Teil der Karte beim Besuch eines Festivals in den Niederlanden entdeckt, und zwar auf dem Campingplatz des Festivalgeländes.
Vermutlich gelang die Identifizierung anhand der gut leserlichen und in Gänze erhaltenen Unterschrift. Glücklicherweise war der Finder bereit, den halben Ausweis zurückzuschicken.
Art. 5 Abs. 1 Buchst. f DSGVO
Personenbezogene Daten müssen in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, […]
Auch die Entsorgung amtlicher Dokumente unterliegt datenschutzrechtlichen Bestimmungen. Denn bei der „Vernichtung“handelt es sich um eine Verarbeitung von personenbezogenen Daten im Sinne von Art. 4 Nr. 2 DSGVO. Vor allem zu beachten ist hierbei einer der allgemeinen Grundsätze des Datenschutzrechts:
Im folgenden aufsichtsbehördlichen Anhörungsverfahren musste die zuständige Kommune sich auf Fehlersuche begeben. Ob ein menschliches Fehlverhalten oder eine besondere Unachtsamkeit zu dem Vorfall führte, war letzten Endes unmöglich nachzuvollziehen. Wenig wahrscheinlich erschien ein Problem bei dem eingesetzten Dienstleister für die Aktenvernichtung: Dessen Maßgaben etwa zum Transport oder zum abschließenden Schreddern von Dokumenten waren sorgsam ausgearbeitet. Vor allem befand sich das Gelände der Firma innerhalb Schleswig-Holsteins.
Als möglicher Schwachpunkt fiel aber der Umgang mit entwerteten Ausweisen innerhalb des Einwohnermeldeamts auf. Nach Halbierung der eingezogenen Dokumente wurden diese zunächst in einfachen Kartons in den Büroräumlichkeiten zwischengelagert. Ein Umfüllen in den speziellen Datenmüllcontainer des Entsorgungsunternehmens im Keller des Bürogebäudes sollte dabei „regelmäßig“ erfolgen.
Nr. 6.3.4 PassVwV
Bei Vernichtung von Pässen in der Passbehörde ist ein späterer Zugriff auf die Daten im Speichermedium durch weitestgehende Zerstörung des Passes, am besten in einem geeigneten Schredder, zu verhindern.
[…]
Zum Zwecke der Vernichtung können entwertete Pässe auch in einem besonders gesicherten Verfahren an den Passhersteller oder einen geeigneten Dienstleister übersendet werden. […]
Als spezielle Regelung für die ordnungsgemäße Vernichtung von Personalausweisen und Pässen gleichermaßen ist die Allgemeine Verwaltungsvorschrift zur Durchführung des Passgesetzes heranzuziehen:
Während es demnach zulässig ist, die Dokumente von Externen schreddern zu lassen, ist damit nicht explizit festgelegt, wie eine etwaige Zwischenverwahrung bis dahin aussehen kann oder darf.
Eine abschließende Aufklärung des Hergangs, insbesondere des Weges des halben Ausweises bis in die Niederlande, gelang nicht. So blieb der Kommune schließlich nur, die Gefahr einer Wiederholung möglichst auszuschließen. Hierzu wurde ein spezieller Ausweisschredder für den Einsatz im unmittelbaren Arbeitsplatzbereich angeschafft. Die personenbezogenen Daten auf den eingezogenen Dokumenten können damit sofort unkenntlich gemacht werden. Einem Abhandenkommen lesbarer Teile sollte so für die Zukunft vorgebeugt sein, unabhängig davon, wer oder was den konkreten Vorfall verursacht hatte.
Was ist zu tun?
Das Vernichten von Ausweisen ist ein gutes Beispiel für einen Verarbeitungsvorgang, der in mehreren Schritten erfolgt. Zu erkennen ist, dass der gesamte Prozess letztlich nur so sicher sein kann wie das schwächste Glied in dieser Kette. An ebendieser Stelle ist anzusetzen, wenn Sicherheitsrisiken bewertet und behandelt werden sollen.
4.1.11 Rechtsmissbräuchlichkeit eines Auskunftsantrags ?
Bei dem ULD ging eine Beschwerde ein, in der dargelegt wurde, dass der Verantwortliche die Erfüllung von Auskunftsanträgen des Beschwerdeführers nach Artikel 15 DSGVO für die Zukunft verweigere, da diese von ihm als rechtsmissbräuchlich angesehen werden würden. In dem daraufhin gegen den Verantwortlichen eingeleiteten Anhörungsverfahren teilte dieser dem ULD mit, dass er diese Einschätzung u. a. darauf stütze, dass der Beschwerdeführer Anträge gestellt habe, deren Anzahl weit über das übliche Maß hinausgehe.
Im Ergebnis war zunächst festzustellen, dass eine auf die Zukunft ausgerichtete Bewertung der Anträge nicht zulässig ist. Der Prüfung, ob Rechtsmissbräuchlichkeit vorliegt, unterliegen jeweils die konkret gestellten Anträge, wobei die in der Vergangenheit gestellten Anträge durchaus herangezogen werden können.
Art. 12 Abs. 4 DSGVO
Wird der Verantwortliche auf den Antrag der betroffenen Person hin nicht tätig, so unterrichtet er die betroffene Person ohne Verzögerung, spätestens aber innerhalb eines Monats nach Eingang des Antrags über die Gründe hierfür und über die Möglichkeit, bei einer Aufsichtsbehörde Beschwerde einzulegen oder einen gerichtlichen Rechtsbehelf einzulegen.
Ferner ergab die Prüfung, dass dem Beschwerdeführer die Gründe für die Ablehnung der Auskunftserteilung, d. h. für die angenommene Rechtsmissbräuchlichkeit, nicht hinreichend konkret dargelegt worden sind. Eine solche Verpflichtung ist in Art. 12 Abs. 4 DSGVO aber gerade vorgesehen.
Wird ein Auskunftsantrag gemäß Artikel 15 DSGVO abgelehnt, ist zu berücksichtigen, dass eine Ablehnung des Antrags aus Gründen der Rechtsmissbräuchlichkeit nur unter den in Art. 12 Abs. 5 Satz 2 DSGVO genannten Voraussetzungen zulässig ist. Diese Regelung, die eng auszulegen ist, sieht zwei Fallkonstellationen vor, in denen eine rechtsmissbräuchliche Antragstellung möglich sein kann: zum einen den offensichtlich unbegründeten Antrag, zum anderen exzessive Anträge.
Ein Antrag ist nicht schon deshalb exzessiv, weil er einen hohen Bearbeitungsaufwand auslöst. Erforderlich ist vielmehr ein rechtsmissbräuchliches Verhalten des Antragstellers. Art. 12 Abs. 5 Satz 2, 2. Alt. DSGVO nennt als Beispiel hierfür die häufige Wiederholung eines Antrags. Insoweit ist jedoch zu berücksichtigen, dass die bloßen Wiederholungen für sich genommen noch keine Rechtsmissbräuchlichkeit begründen. Hierfür bestehen nur dann Anhaltspunkte, wenn die Anträge ohne stichhaltigen Grund in so kurz hintereinander geschalteten Zeitintervallen gestellt werden, dass sich die Umstände sowie die rechtlichen Gegebenheiten unmöglich geändert haben können und ein anderer Ausgang daher fernliegend ist. Dann kann die Prüfung im Einzelfall ergeben, dass die Antragstellung lediglich der Behinderung des Verantwortlichen und nicht der Geltendmachung der eigenen Rechte dient.
Aus dem Wortlaut des Art. 12 Abs. 5 Satz 2 DSGVO „insbesondere“ lässt sich jedoch folgern, dass der Verordnungsgeber abgesehen von der wiederholten Antragstellung auch weitere Formen von exzessiven Anträgen erfasst sehen möchte. Die einschlägige Rechtsprechung wertet Anträge nach Artikel 15 DSGVO einheitlich dann als rechtsmissbräuchlich, wenn der Antragsteller mit seinem Begehren von der Rechtsordnung missbilligte Ziele verfolgt, arglistig oder schikanös handelt. Die bloße hohe Anzahl von Anträgen begründet grundsätzlich aus sich heraus nicht bereits eine Rechtsmissbräuchlichkeit. Es bedarf vielmehr klarer Belege, die darauf schließen lassen, dass die Anzahl der Anträge aus einer bestimmten Motivation heraus – z. B. für eine Bindung von Arbeitskapazitäten – genutzt wird.
Die Angaben des Verantwortlichen im zugrunde liegenden aufsichtsbehördlichen Prüfverfahren des ULD waren nicht hinreichend konkret, um eine Rechtsmissbräuchlichkeit der Anträge nachweisbar und begründet darzulegen.
Das ULD hat entsprechende Hinweise gegenüber dem Verantwortlichen erteilt sowie erläutert, dass es gegenüber dem Beschwerdeführer einer Darlegung der konkreten Gründe bedarf, wenn der Verantwortliche an der Einschätzung, die bereits gestellten und noch nicht beantworteten Anträge seien als rechtsmissbräuchlich zu bewerten, festhält – einschließlich der Aufklärung über die Möglichkeit, einen gerichtlichen Rechtsbehelf einlegen zu können.
Was ist zu tun?
Beruft sich eine öffentliche Stelle auf die Rechtsmissbräuchlichkeit eines Auskunftsantrags, so hat sie die Gründe hierfür konkret darzulegen und zu beweisen. Im Falle einer Ablehnung des Antrags sind der betroffenen Person die konkreten Gründe detailliert darzulegen, und es ist darauf hinzuweisen, dass die Möglichkeit besteht, bei einer Aufsichtsbehörde eine Beschwerde oder beim Verwaltungsgericht einen Rechtsbehelf einzulegen.
4.1.12 Verwendung einer Personalausweiskopie zur Identitätsprüfung bei Auskunftsanträgen gemäß Artikel 15 DSGVO?
Im Rahmen eines Anhörungsverfahrens war das ULD mit der rechtlichen Bewertung befasst, ob Personalausweiskopien für die Identitätsprüfung bei Auskunftsanträgen gemäß Artikel 15 DSVO von den Antragstellern angefordert werden dürfen.
Bei Eingang eines Auskunftsbegehrens gemäß Artikel 15 DSGVO ist zu prüfen, ob ein Identitätsnachweis erforderlich ist. Für die Fälle, in denen „begründete Zweifel an der Identität der natürlichen Person“ bestehen, die den Auskunftsantrag stellt, kann der Verantwortliche gemäß Art. 12 Abs. 6 DSGVO zusätzliche Informationen anfordern, die zur Bestätigung der Identität erforderlich sind. Zweifel an der Identität setzen voraus, dass die vorhandenen Daten auf eine bestimmte Identität zwar hindeuten und somit eine Identifizierung grundsätzlich möglich ist, aber nach den Umständen Zweifel daran bestehen, ob der Antragsteller tatsächlich die identifizierte Person ist. Die Tatsache, dass begründete Zweifel bestehen, ist einerseits gegenüber dem Antragsteller im Einzelfall darzulegen und andererseits für den internen Verfahrensablauf zu dokumentieren.
Für den Identitätsnachweis sind gemäß Art. 12 Abs. 6 DSGVO die erforderlichen Angaben zu erheben. Art. 12 Abs. 6 DSGVO rechtfertigt dagegen keine routinemäßige Identitätsprüfung.
Sollte sich im Einzelfall ergeben, dass der Personalausweis zum Identitätsnachweis erforderlich ist, ist zu beachten, dass das Anfertigen bzw. Einholen einer Kopie eines Personalausweises grundsätzlich der Einwilligung des Ausweisinhabers bedarf, § 20 Abs. 2 Personalausweisgesetz. In diesem Zusammenhang sind die Anforderungen an eine wirksame Einwilligung nach Artikel 7 DSGVO zu berücksichtigen.
Ferner ist der Grundsatz der Datenminimierung zu berücksichtigen. Angaben aus dem Personalausweis, die nicht benötigt werden, dürfen nicht erhoben werden. Bei Abfrage der Kopie ist daher gegenüber dem Antragsteller darauf hinzuweisen, welche Angaben benötigt werden und dass die weiteren Angaben auf der Kopie von dem Antragsteller zu schwärzen sind. Etwa Augenfarbe, Körpergröße auf der Ausweisrückseite und die sechsstellige Zugangsnummer auf der Ausweisvorderseite sind dabei zur Identifikation regelmäßig nicht erforderlich. Anderes gilt z. B. für die Angaben zu Name und Vorname, zur ausstellenden Behörde, zum Gültigkeitsdatum für den Ausweis und gegebenenfalls zur Anschrift.
Sofern eine Kopie des Personalausweises per E-Mail erbeten bzw. eine Übermittlung per E‑Mail den Umständen nach erwartet werden kann, ist zu berücksichtigen, dass auch bei der elektronischen Kommunikation sichergestellt sein muss, dass Dritte keine Kenntnis von den personenbezogenen Daten bekommen können. Zur Gewährleistung der Datensicherheit sind dann effektive Maßnahmen, insbesondere eine angemessene Ende-zu-Ende-Verschlüsselung, vorzusehen. Eine bloße Transportverschlüsselung wäre nicht ausreichend.
Werden personenbezogene Daten unverschlüsselt per E-Mail übermittelt, ist nicht sichergestellt, dass Dritte keine Kenntnis nehmen können, da die unverschlüsselte E-Mail-Kommunikation ein unsicheres Kommunikationsmedium ist. Im Bedarfsfall ist daher die Möglichkeit anzubieten, dass die Übersendung per E‑Mail verschlüsselt erfolgen kann.
Was ist zu tun?
Öffentliche Stellen haben im Einzelfall zu prüfen, welche Daten bei begründeten Zweifeln an der Identität des Antragstellers zu erheben sind. In Betracht kommen auch geschwärzte Kopien von Ausweisdokumenten. Im Falle einer digitalen Kommunikation sind zur Wahrung der Datensicherheit angemessene Verschlüsselungsverfahren einzusetzen.
4.1.13 Verletzung des Schutzes personenbezogener Daten: Risikoprognose unerlässlich
Bei der Prüfung von Meldungen gemäß Artikel 33 DSGVO, die von Verantwortlichen bei Verletzungen des Schutzes personenbezogener Daten beim ULD eingegangen sind, war vereinzelt festzustellen, dass keine Risikoprognose von den Verantwortlichen durchgeführt worden ist.
Die Durchführung einer Risikoprognose ist unerlässlich, um beurteilen zu können, ob für den Verantwortlichen eine Meldepflicht gegenüber der Aufsichtsbehörde gemäß Art. 33 Abs. 1 DSGVO und gegebenenfalls eine Benachrichtigungspflicht gegenüber den betroffenen Personen nach Art. 34 Abs. 1 DSGVO besteht.
Im Falle der Verletzung des Schutzes personenbezogener Daten meldet der Verantwortliche unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, sie der zuständigen Aufsichtsbehörde, es sei denn, dass die Verletzung voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Hinsichtlich der Schwere des Risikos wird in Art. 33 Abs. 1 DSGVO ausdrücklich nicht auf ein hohes Risiko abgestellt.
Die Risikobeurteilung hat nach den Leitlinien der Artikel-29-Datenschutzgruppe zwei wichtige Gründe: Einerseits kann der Verantwortliche leichter wirksame Maßnahmen zur Eindämmung und Behebung der Datenschutzverletzung ergreifen, wenn ihm die Eintrittswahrscheinlichkeit und mögliche Schwere der Folgen für die betroffenen Personen bekannt sind. Andererseits kann er so besser beurteilen, ob die Meldung an die Aufsichtsbehörde erforderlich ist und ob die betroffenen Personen gegebenenfalls von der Datenschutzverletzung benachrichtigt werden müssen (Leitlinien für die Meldung von Verletzungen des Schutzes personenbezogener Daten gemäß der Verordnung (EU) 2016/679, WP 250 Rev. vom 06.02.2018, Seite 27).
Die Leitlinien der Artikel-29-Datenschutzgruppe sind unter folgendem Link abrufbar:
www.datenschutzkonferenz-online.de/wp29-leitlinien.html
Kurzlink: https://uldsh.de/tb42-4-1-13a
Diese Leitlinien sind vom Europäischen Datenschutzausschuss aufgenommen und im Rahmen der „Leitlinien 01/2021 zu Beispielen für die Meldung von Verletzungen des Schutzes personenbezogener Daten“ ergänzt worden. Jene Leitlinien aus dem Jahr 2021 sind unter folgendem Link abrufbar:
https://edpb.europa.eu/system/files/2022-09/edpb_guidelines_012021_pdbnotification_adopted_de.pdf
Kurzlink: https://uldsh.de/tb42-4-1-13b
Demgegenüber besteht eine Benachrichtigungspflicht gegenüber den betroffenen Personen dann, wenn die Verletzung des Schutzes personenbezogener Daten voraussichtlich zu einem hohen Risiko für die Rechte und Freiheiten der betroffenen Personen führt, Art. 34 Abs. 1 DSGVO, und kein Ausschlussgrund greift, Art. 34 Abs. 3 DSGVO. Bei der Bewertung, ob ein hohes Risiko für die betroffenen Personen anzunehmen ist, ist sowohl die Eintrittswahrscheinlichkeit als auch die Schwere des Schadens zu berücksichtigen. Das Risiko ist anhand einer objektiven Bewertung zu beurteilen, wobei die Erwägungsgründe 75 und 76 der DSGVO heranzuziehen sind.
Sowohl die konkreten Bewertungskriterien, anhand derer die Risikoprognose durchgeführt wird, als auch das Ergebnis müssen zur Erfüllung der Rechenschaftspflicht dokumentiert werden, Art. 5 Abs. 2 DSGVO. Darüber hinaus sind Verletzungen des Schutzes personenbezogener Daten einschließlich aller im Zusammenhang mit der Verletzung stehenden Fakten, deren Auswirkungen und der ergriffenen Abhilfemaßnahmen nach Art. 33 Abs. 5 DSGVO auch unabhängig von dem Bestehen eines Risikos zu dokumentieren.
Was ist zu tun?
Im Falle einer Verletzung des Schutzes personenbezogener Daten ist u. a. eine Risikoprognose gemäß den Leitlinien der Artikel-29-Datenschutzgruppe für die Meldung und Benachrichtigung bei Verletzungen des Schutzes personenbezogener Daten gemäß der Verordnung (EU) 2016/679 durchzuführen. Diese darauf beruhende Bewertung sowie das Ergebnis sind zur Erfüllung der Rechenschaftspflicht zu dokumentieren.
Zurück zum vorherigen Kapitel | Zum Inhaltsverzeichnis | Zum nächsten Kapitel |