Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein

 

4    Datenschutz in der Verwaltung

4.1          Allgemeine Verwaltung

4.1.1       Fahrerlaubnisrecht: Vom Löschen, Tilgen und Verwerten

Zugunsten eines Beschwerdeführers konnte in einem Fall vermittelt werden, in dem diesem der Verlust des Führscheins drohte.

Aufgrund eines Fahrradunfalls unter Alkoholeinfluss im Jahr 2022 ermittelte ursprünglich die Staatsanwaltschaft, stellte das Verfahren jedoch bald ein. Ein Jahr später nahm die örtliche zuständige Führerscheinstelle den Vorfall zum Anlass, die Fahreignung des Beschwerdeführers in Zweifel zu stellen, und ordnete ihm an, sich einer medizinisch-psychologischen Untersuchung (MPU) zu unterziehen – so weit ein „normaler“ Vorgang, den er nicht infrage stellte. In einem solchen Verfahren müssen Betroffene sich eine unabhängige Begutachtungsstelle aussuchen, an die die Behörde ihre Führerscheinakte (oder eine Kopie davon) schickt. Auf Grundlage der darin enthaltenen Vorgeschichte und der Untersuchungen vor Ort geben Gutachterinnen oder Gutachter ihre Stellungnahme zur Fahreignung ab.

Auslöser der Beschwerde waren nun die Aktenvermerke, mit denen der Betroffene im Rahmen der Gutachtenerstellung konfrontiert wurde: Das jüngste Verfahren ging zurück auf die Jahre 2005 und 2006. Selbst eine Trunkenheitsfahrt im Jahr 1992 wurde ihm im Gutachten vorgehalten, das letztlich zu einem negativen Schluss kam. Weswegen die Führerscheinstelle der Begutachtungsstelle so alte Vorgänge mitteilte, war dem Beschwerdeführer unverständlich – zumal er bereits im Jahr 2010 für den Erwerb eines Lkw-Führerscheins zugelassen worden war und dementsprechend von einem „sauberen“ Register ausging, was er auch anhand einer aktuellen Auskunft des Kraftfahrtbundesamtes in Flensburg belegen konnte.

§ 2 Abs. 9 StVG
Die Registerauskünfte, Führungszeugnisse, Gutachten und Gesundheitszeugnisse dürfen nur zur Feststellung oder Überprüfung der Eignung oder Befähigung verwendet werden. Sie sind nach spätestens zehn Jahren zu vernichten, es sei denn, mit ihnen im Zusammenhang stehende Eintragungen im Fahreignungsregister oder im Zentralen Fahrerlaubnisregister sind nach den Bestimmungen für diese Register zu einem früheren oder späteren Zeitpunkt zu tilgen oder zu löschen. […]

Dies war schlüssig, da die meisten Einträge im zentralen Fahreignungsregister, etwa zu Ordnungswidrigkeiten oder Verkehrsstraftaten, nach zweieinhalb oder fünf Jahren getilgt werden. Bei schweren Verstößen kann dies auch zehn Jahre dauern, unter besonderen Umständen sogar 15 Jahre (vgl. § 29 Straßenverkehrsgesetz (StVG)).

Wie ferner die örtlichen Fahrerlaubnisbehörden solche Informationen nutzen dürfen, regelt § 2 StVG. Die Löschung von Inhalten aus der Führerscheinakte hat sich dabei an den Tilgungsfristen für das zentrale Fahreignungsregister (Tz. 4.2.3) auszurichten:

Anstelle einer Vernichtung der Unterlagen ist die Verarbeitung der darin enthaltenen Daten einzuschränken, wenn die Vernichtung wegen der besonderen Art der Führung der Akten nicht oder nur mit unverhältnismäßigem Aufwand möglich ist.

Letzterer Satz stellt eigentlich eine Ausnahme vom Grundsatz der Speicherbegrenzung des Art. 5 Abs. 1 Buchst. e DSGVO dar, die das deutsche Verkehrsrecht den Verwaltungen einräumt. Die Vorschrift zielt auf fortlaufend geführte Papierakten ab, aus denen sich Inhalte mit jeweils unterschiedlich langen Löschfristen eventuell nicht problemlos herausfiltern und entfernen lassen. Nachforschungen bei der zuständigen Führerscheinstelle ergaben, dass man dort teilweise noch mit genau solchen traditionellen Papierakten arbeitete.

§ 11 Abs. 6 Satz 4 FeV
Die Fahrerlaubnisbehörde teilt der untersuchenden Stelle mit, welche Fragen im Hinblick auf die Eignung des Betroffenen zum Führen von Kraftfahrzeugen zu klären sind, und übersendet ihr die vollständigen Unterlagen, soweit sie unter Beachtung der gesetzlichen Verwertungsverbote verwendet werden dürfen.

Zur Durchführung einer MPU kennt die Fahrerlaubnisverordnung (FeV) allerdings für diese besondere Problemstellung eine Lösung:

Spätestens beim Versand der Führerscheinakte an eine Begutachtungsstelle muss diese also bereinigt werden. Letztlich wird dadurch ein Gleichlauf von Tilgungsfristen, Löschregeln und Verwertungsverboten hergestellt. Welche Folgen ein Versäumnis der Verwaltung an dieser Stelle hat, lässt sich der Rechtsprechung entnehmen (siehe Urteil vom 22.05.2013 im Kasten rechts).

Streng genommen hätte demnach nicht nur die Behörde, sondern auch die Begutachtungsstelle eine Verfristung der allermindestens 16 Jahre alten Akteneinträge eigenständig prüfen und beachten müssen.

Oberverwaltungsgericht Greifswald, Urteil vom 22.05.2013 (1 M 123/12)
Bleiben versehentlich nicht verwertbare Unterlagen bei der der Untersuchungsstelle übermittelten Akte, ist dies schlicht rechtswidrig bzw. steht in Widerspruch zu § 11 Abs. 6 Satz 4 FeV. Derartige Fehler gehen grundsätzlich ohne Weiteres zulasten der Behörde, mittelbar dadurch, dass sie – wie vorliegend – die Nichtverwertbarkeit des auf der Grundlage solchermaßen fehlerhafter Unterlagen erstellten Gutachtens nach sich ziehen. […]

Der Beschwerdeführer konnte eine Lösung jedoch mit Verweis auf die dargestellten Rechtsgrundlagen selbsttätig bei der Führerscheinstelle erwirken. Noch bevor der Anhörungsbescheid des ULD die Verwaltung erreichte, hatte man Abhilfe geschaffen: Der Betroffene bekam eine Fristverlängerung für die Absolvierung der MPU und seine Kosten für das erste, unbrauchbare Gutachten wurden ihm erstattet.

Das gesetzliche Verwertungsverbot […] greift auf jeder Stufe des Verfahrens betreffend die Beurteilung der Eignung des Antragstellers: Auch der Gutachter darf die betroffene Tat und Entscheidung dem Betroffenen nicht mehr vorhalten bzw. zu seinem Nachteil verwerten.

Im Nachgang gestand die Behörde den Fehler dem ULD gegenüber unumwunden ein. Aufgrund mangelnder Sorgfalt war in der Sachbearbeitung eine Bereinigung der Unterlagen unterblieben, obwohl die Rechtslage eigentlich bekannt war. Mit der gegenwärtig laufenden Umstellung auf elektronische Akten konnte die Führerscheinstelle aber auch eine positive Perspektive aufzeigen: Durch Hinterlegung von Löschfristen zu jedem einzelnen Dokument werde man eine überlange Aufbewahrung von nicht mehr verwertbaren Bestandteilen der Führerscheinakten in Zukunft technisch ausschließen.

Was ist zu tun?
In bestimmten Rechtsgebieten kann an die Stelle einer Löschung unter Umständen ein Verwertungsverbot treten. Beim Umgang mit solchen Daten ist besondere Vorsicht geboten, da deren Nutzung leicht zu einer unrechtmäßigen Benachteiligung Betroffener führen kann.
Wo immer sich eine vollständige Löschung umsetzen lässt, ist diese grundsätzlich vorzuziehen.

 

4.1.2       Stilllegung eines Fahrzeugs aufgrund einer Verwechslung

Ähnlich dramatisch stellte sich ein weiterer Beschwerdefall mit verkehrsrechtlichem Bezug dar, wenn auch nicht im ersten Moment. Diesmal ging es nicht um eine Fahrerlaubnis, sondern um eine Fahrzeugzulassung. Auch für diesen Zweck greifen die örtlichen Behörden auf ein zentrales Register zurück:

§ 32 Abs. 1 StVG
Die Fahrzeugregister werden geführt zur Speicherung von Daten
1. für die Zulassung und Überwachung von Fahrzeugen nach diesem Gesetz oder den darauf beruhenden Rechtsvorschriften,
2. für Maßnahmen zur Gewährleistung des Versicherungsschutzes im Rahmen der Kraftfahrzeughaftpflichtversicherung,
3. für Maßnahmen zur Durchführung des Kraftfahrzeugsteuerrechts,
4. […]

Die Beschwerdeführerin bemängelte zunächst lediglich, einen falschen Bescheid erhalten zu haben: So war sie zwar Adressatin der förmlichen Zustellung. Inhaltlich richtete sich der Bescheid über die zwangsweise Stilllegung eines Fahrzeugs jedoch an einen völlig Fremden, mit Angaben zu dessen Auto und abgelaufenem Versicherungsschutz. Insoweit hätte es sich – schlimm genug – nur um eine Offenbarung an eine Unbefugte gehandelt, also um eine Verletzung des Schutzes personenbezogener Daten. Auf den Hinweis des Fehlers durch die Adressatin per E‑Mail habe die Zulassungsstelle beim Landkreis nicht reagiert.

Auf telefonische Nachfrage des ULD bei der Meldenden stellte sich heraus: Die Verwechslung hatte für sie noch ganz andere Folgen. Die Zulassungsstelle hatte das Ordnungsamt der Amtsverwaltung vor Ort beauftragt, das Kennzeichen der Beschwerdeführerin zu entsiegeln und somit das Fahrzeug stillzulegen. Grundsätzlich können die Zulassungsstellen zur Durchführung von Maßnahmen auch Daten an örtliche Behörden übermitteln (vgl. § 35 Abs. 1 Nr. 1 StVG). Nur wurden hier anscheinend die völlig falschen Daten übermittelt. Weder von dem fehlerhaften Bescheid noch von einer Bestätigung der Kfz-Versicherung über den weiter bestehenden Versicherungsschutz hätten die Ordnungskräfte sich beirren lassen. Und auch weitere Versuche, beim Landkreis jemanden zu erreichen, blieben erfolglos.

In der Hauptsache waren hier zulassungs-, versicherungs- und vor allem verfahrensrechtliche Probleme maßgebend. Worin bestand also hier der Ansatzpunkt, mit Mitteln des Datenschutzrechts vorzugehen? In Verwechslungsfällen – wie hier geschehen – lässt sich aus der DSGVO der Grundsatz der Richtigkeit heranziehen:

Art. 5 Abs. 1 Buchst. d DSGVO
Personenbezogene Daten müssen sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden („Richtigkeit“).

Um in der verworrenen Situation Abhilfe zu schaffen, konnte kurzerhand auf die Unterstützung des Datenschutzbeauftragten der Kreisverwaltung zurückgegriffen werden: Denn dieser war in der Lage, unkompliziert den Kontakt zum Fachdienstleiter der Zulassungsstelle herzustellen.

Die Behörde erkannte endlich ihren eigenen Fehler und veranlasste die Rückabwicklung der Folgen: Die Beschwerdeführerin sollte umgehend eine neue Zulassungsplakette erhalten. Eine Benachrichtigung des eigentlichen Adressaten des Bescheids über die unbefugte Offenbarung seiner Daten wurde uns ebenfalls zugesagt.

Was ist zu tun?
Der Grundsatz der Richtigkeit wird von Datenschützerinnen und Datenschützern nicht ganz so häufig bemüht wie etwa die Prinzipien der Zweckbindung, der Datenminimierung oder der Vertraulichkeit. Dieser Fall zeigt jedoch: Manchmal sind es gerade unrichtige Daten, die die ärgerlichsten Folgen nach sich ziehen.
Hinweise auf falsche Angaben müssen von Verantwortlichen gegebenenfalls als Anträge auf Berichtigung nach Artikel 16 DSGVO aufgefasst und unverzüglich untersucht werden.

 

4.1.3       Digitalpaten und Datensicherheit

Mit dem Projekt einer Digitalpatenschaft hat ein Kreis sich für die Verbreitung digitaler Kompetenzen eingesetzt und hierfür ehrenamtliches Engagement in der Bevölkerung geweckt. Digitalpaten haben demnach die Aufgabe, Privatpersonen etwa bei der Einrichtung von Apps auf dem Smartphone, der Erläuterung von Programmanwendungen oder der Vornahme von Tablet-Einstellungen zu unterstützen. Hierzu erhielten wir einen Hinweis in Verbindung mit der besorgten Nachfrage eines Bürgers, da es sich bei den ehrenamtlich tätigen Personen auch um solche handeln könne, die unredliche Motive verfolgen. Schnell hat man sich ein fremdes Passwort gemerkt, um dann gerade die fehlende Praxis und die Unkenntnis bei älteren Leuten zu nutzen, um kriminelle Handlungen auszuführen.

Daraufhin hat das ULD bei dem Kreis nähere Auskünfte eingeholt. Zunächst konnte der Kreis klarstellen, dass er für die Datenverarbeitung im Rahmen der Digitalpatenschaft als datenschutzrechtlich Verantwortlicher auftritt. Weiterhin erfolgte die Erarbeitung mehrerer Dokumente, welche die ehrenamtlichen Digitalpaten unterzeichnen und zur Kenntnis nehmen müssen. Im Einzelnen:

• In einem Formular soll der Digitalpate eine Selbstauskunft geben und erläutern, für welche konkreten Endgeräte und Betriebssysteme eine Beratung übernommen wird. Hierzu zählen auch Angaben zur beabsichtigten Einrichtung, Installation und Nutzung von Apps oder Näheres zur Einrichtung eines Internetzugangs. Weiterhin sind in dem Formular etwa die Einrichtung von E-Mail-Konten, die Teilnahme an Videokonferenzen und das Onlinebanking erwähnt. Schließlich sollte der Digitalpate auf dem Formular versichern, dass allgemein keine Vorstrafen bestehen und kein Straf- oder Ermittlungsverfahren anhängig ist.
• Zu unterzeichnen ist eine Verpflichtung auf Vertraulichkeit, Verschwiegenheit und die Einhaltung des Datenschutzes.
• Digitalpaten müssen ferner eine Verpflichtung zur Einhaltung von Datenschutzgrundsätzen unterschreiben. In einem beigefügten Merkblatt wird näher ausgeführt, was Digitalpaten beachten sollen.

Auf unsere Nachfragen und Hinweise hin hat der Kreis im Rahmen der Selbstauskunft Anpassungen vorgenommen. Hinsichtlich laufender Strafverfahren ist zu berücksichtigen, dass zunächst die Unschuldsvermutung gilt. Bezüglich der Vorstrafen wird im Rahmen der Digitalpatenschaft mehr von Bedeutung sein, ob eine Person wegen Vermögens- oder Eigentumsdelikten in Erscheinung getreten und daher für die Beratung ungeeignet ist. Bezüglich der Einrichtung von Konten, etwa einem E-Mail-Konto, und der Unterstützung beim Onlinebanking versicherte der Kreis, dass die Digitalpaten hierzu sensibilisiert werden, dass zum Schutz der Hilfe suchenden Personen als auch zu deren Eigenschutz keine schutzbedürftigen Informationen abgefragt, eingesehen oder eingegeben werden dürfen. Dies gelte gerade bezüglich der Eingabe von Passwörtern, PINs oder sonstigen sensiblen Informationen. Speziell beim Onlinebanking beziehe sich die Hilfestellung durch die Digitalpaten darauf, erforderliche Grundfertigkeiten zu vermitteln und dabei zu erläutern, welche Geräte und welche Informationen für eine Teilnahme und Nutzung erforderlich sind. Auch die Einrichtung soll begleitet werden. Die Dateneingabe müsse aber von den Hilfesuchenden eigenständig und allein bewältigt werden. Den Digitalpaten sei demnach nur eine Moderatorenrolle zugewiesen. Auch die Hilfesuchenden selbst wolle der Kreis im Umgang mit den Digitalpaten sensibilisieren und auf Vorsichtsmaßnahmen, wie etwa den Umgang mit Zugangsdaten, hinweisen.

Dem Kreis wurde insbesondere geraten, die Einrichtung des Onlinebankings nicht durch ehrenamtliche Digitalpaten erledigen zu lassen. Empfohlen wurde auch die Gestaltung von Hinweisblättern für die Digitalpaten und die Hilfesuchenden mit der Auflistung des Leistungs- und Unterstützungsumfangs, um auch eine Abgrenzung zu ermöglich, was im Einzelfall nicht Gegenstand der konkreten Beratung sein soll. Der Kreis hat die Umsetzung der Ratschläge und Empfehlungen zugesagt. Abschließend hat das ULD nochmals darauf hingewiesen, dass der Kreis für eine mögliche Datenverarbeitung der Digitalpaten verantwortlich bleibt. Hierzu zählt vor allem die Einhaltung aller technischen und organisatorischen Maßnahmen zur Einhaltung der Datensicherheitsvorgaben, Artikel 32 DSGVO.

Was ist zu tun?
Ehrenamtliches Engagement bei der Vermittlung digitaler Kompetenzen ist wertvoll. Ebenso ist die Gewährleistung der Datensicherheit ein hohes Gut. Im Rahmen der Projektumsetzung für eine Digitalpatenschaft sind geeignete Vorkehrungen zu treffen, damit Hilfesuchende keine sensiblen personenbezogenen Daten preisgeben und damit keine unbefugte Verarbeitung durch Digitalpaten erfolgt.

 

4.1.4       Dauerhafte Speicherung der Ausleihhistorie in Stadtbücherei

Aufgrund einer Beschwerde prüfte das ULD den Umgang mit Nutzerdaten in einer Bücherei. Im Fokus stand die Speicherung von Ausleihhistorien. Entsprechende Daten geben über das Leseverhalten, die Dauer einer Ausleihe und die über ausgeliehene Werke Auskunft und ermöglichen so einen vertieften Einblick in die Lesegewohnheiten und -interessen. Für die Verarbeitung dieser Daten bedarf es einer spezifischen Rechtsgrundlage, welche die Bücherei im eingeleiteten Prüfverfahren nicht vorweisen konnte.

Im laufenden Verfahren hat die Stadtbücherei zunächst Änderungen im Ausleihprozess vorgenommen. Demnach könne die Ausleihhistorie von Nutzenden nicht mehr von den Beschäftigten der Stadtbücherei eingesehen werden. Nutzende erhielten im persönlichen Onlinebereich eine Meldung zur Speicherung der Ausleihhistorie, wobei sie der Speicherung widersprechen könnten. Weiterhin müssten die Nutzenden aber auch aktiv widersprechen, da anderenfalls eine Speicherung der Ausleihhistorie erfolge. Zu berücksichtigen sei, dass viele Nutzende wollen, dass ihre Ausleihhistorie gespeichert wird. Im letzteren Fall würde eine Datenlöschung im Jahresrhythmus durchgeführt.

Losgelöst hiervon gelang es der Kommune nicht, für die Speicherung der Ausleihhistorie eine rechtliche Basis zu benennen. Das ULD hat daher die Stadtbücherei auf folgende Punkte hingewiesen:

• Es darf keine standardmäßige Speicherung von nutzerbezogenen Ausleihhistorien erfolgen.
• Es dürfen buchbezogen keine Benutzerkennungen und Namen vergangener Ausleihen, mit Ausnahme des Namens des letzten Ausleihers, gespeichert werden. Auf diese Weise kann bei Beschädigung der letzte Ausleihvorgang namentlich nachvollzogen werden. Es dürfen aber für statistische Zwecke Anzahl und Datum der Ausleihvorgänge erfasst werden.
• Eine Ausblendung der Angaben für Nutzer und Bibliothekspersonal reicht nicht aus. Diese Daten dürfen nicht in der Datenbank gespeichert werden.

Abweichungen sind in folgender Form denkbar:

• Daneben können Nutzende einwilligungsbasiert eine Speicherung der Ausleihhistorie aktivieren. Dies kann auch die Sichtbarmachung dem Bibliothekspersonal gegenüber, etwa bei einem Service-Check, beinhalten. Standardmäßig, etwa bei der Anlage neuer Nutzerkonten, muss die Speicherung aber deaktiviert sein.
• Im Fall, bei der eine Ausleihhistorie bisher noch standardmäßig gespeichert wird, ist es ausreichend, prominent (z. B. über ein Banner beim Log-in) auf die Deaktivierungsmöglichkeit hinzuweisen. Dies gilt für jene Personen, die für die Vergangenheit eine Speicherung der Ausleihhistorie wünschten.
• Entscheiden sich die Nutzenden später für einen Widerruf der Einwilligung, müssen die Ausleihhistorien auch für die Vergangenheit gelöscht werden.

Mit den entsprechenden Hinweisen zur Änderung der Systemeinstellungen konnte das Prüfverfahren gegenüber der Stadtbücherei beendet werden.

 

4.1.5       Aufforderung einer Gemeinde zur Einholung einer Finanzierungszusage in der Phase der Interessenbekundung

Das ULD wurde um eine datenschutzrechtliche Einschätzung gebeten, ob das Vorgehen einer Gemeinde, eine Finanzierungszusage in der Phase der Interessenbekundung bzw. unmittelbar nach deren Einholung anzufordern, zulässig sei. Dazu wurde mitgeteilt, dass die Gemeinde ein bestimmtes Gebiet als Bauland plane und Bürger Interessenbekundungen für den Erwerb von Grundstücken haben abgeben können, die in diesem Gebiet lägen. Nach Abgabe dieser Interessenbekundungen habe die Gemeinde die Interessenten aufgefordert, eine Finanzierungszusage vorzulegen. Das Gebiet sei zu diesem Zeitpunkt in der Planung gewesen.

Für das ULD ergaben sich auf der Basis des herangetragenen Sachverhalts in Bezug auf die Frage, ob der Zeitpunkt der Abfrage aus datenschutzrechtlicher Sicht zulässig war, folgende Erwägungen:

Bei der Aufforderung, die Finanzierungszusage einzureichen, handelt es sich um eine beabsichtigte Erhebung von personenbezogenen Daten, die einer Rechtsgrundlage bedarf. Ob die Erhebung zu einem derartigen frühen Zeitpunkt möglicherweise auf eine kommunale Satzung oder aber auf spezialgesetzliche Regelungen aus dem Bauplanungsrecht o. Ä. gestützt werden konnte, war für das ULD mangels weiterer Sachverhaltsangaben nicht ersichtlich. Aus demselben Grunde war nicht abschließend zu bewerten, ob die unmittelbar nach Abgabe der Interessenbekundung geforderte Beibringung der Finanzierungszusage auf allgemeine datenschutzrechtliche Vorschriften § 3 Landesdatenschutzgesetz in Verbindung mit einer aufgabenzuweisenden Norm bzw. Art. 6 Buchst. c bis e DSGVO in Verbindung mit einer aufgabenzuweisenden Norm zu stützen war. Um die in dieser Phase geplante Erhebung auf eine dieser allgemeinen datenschutzrechtlichen Vorschriften stützen zu können, muss diese erforderlich sein. Aus Sicht des ULD war ohne nähere Kenntnis von den tatsächlichen Umständen nicht ersichtlich, ob die Finanzierungszusage konkret zu dem betreffenden Zeitpunkt erforderlich gewesen ist.

Zum einen kann sich die Situation bis zu dem Zeitpunkt des Abschlusses eines Kaufvertrags über ein konkretes Grundstück ändern und von der ehemals abgegebenen Interessenbekundung muss Abstand genommen werden. Gründe dafür können z. B. in geänderten privaten Lebensverhältnissen oder der finanziellen Situation liegen. Zum anderen kann aufgrund geänderter Umstände ein Erwerb zu einem späteren Zeitpunkt möglich sein, der in der frühen Planungsphase noch nicht möglich war, sodass eine Interessenbekundung damals nicht sinnvoll gewesen wäre. Vor diesem Hintergrund erscheint die Forderung nach der Vorlage einer Finanzierungszusage in dem erwähnten Zeitpunkt kein geeignetes Mittel, um die „nicht infrage kommenden“ Interessenten gegebenenfalls aus dem Verfahren auszuschließen.

Hinzu kommt, dass sich die Frage stellt, mit welchem Inhalt eine Finanzierungszusage seitens der Bank zu diesem frühen Zeitpunkt überhaupt erteilt werden kann. Davon ausgehend, dass in dem geschilderten Fall mangels Erschließung noch keinerlei Preisvorstellungen im Raum standen, hätte die Bank insoweit „wenig Anhaltspunkte“ für die Prüfung, ob eine derartige Zusage erteilt werden sollte. In Betracht käme daher allenfalls eine relativ allgemein gehaltene Finanzierungszusage, bei der die Reichweite der rechtlichen Verbindlichkeit angesichts noch ungeklärter Prüfparameter zu klären wäre. Vor diesem Hintergrund stellt sich einmal mehr die Frage nach der Erforderlichkeit, diese Zusage zu dem betreffenden Zeitpunkt abzufordern.

Letztendlich ist auch zu berücksichtigen, dass in ähnlich gelagerten Fallkonstellationen entsprechende Nachweise über die Liquidität erst zu einem wesentlich späteren Zeitpunkt abgefragt werden dürfen. Dies ergibt sich auch aus der Orientierungshilfe der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom 24.01.2024 zur Einholung von Selbstauskünften bei Mietinteressenten (Ziffer A., C. 2., 3.), die unter dem folgenden Link abrufbar ist:

https://www.datenschutzkonferenz-online.de/media/oh/2024-01-24_DSK-OH_Mietinteresse_V1.0.pdf
Kurzlink: https://uldsh.de/tb43-4-1-5a

Was ist zu tun?
Die Verarbeitung von personenbezogenen Daten bedarf einer Rechtsgrundlage. Der Verantwortliche hat zu prüfen, ob die Anforderungen der gegebenenfalls in Betracht kommenden Rechtsgrundlage zu dem Zeitpunkt der Verarbeitung der personenbezogenen Daten auch tatsächlich vorliegen.

 

4.1.6       Vollstreckung einer Kommune für Forderungen des NDR

Das ULD wurde von einem Amt um eine datenschutzrechtliche Einschätzung im Zusammenhang mit der Vollstreckung ausstehender Rundfunkbeiträge gebeten.

Konkret ging es darum, dass der NDR an das Amt mit der Bitte herangetreten war, wegen ausstehender Rundfunkgebühren zu vollstrecken. Die betroffene Person, der Schuldner, hatte gegen dieses geplante Vorgehen eingewandt, die mit der Vollstreckung einhergehende Verarbeitung seiner personenbezogenen Daten bedürfe seiner Einwilligung.

Die Verarbeitung der personenbezogenen Daten von Schuldnerinnen und Schuldnern zum Zwecke der Durchführung der Vollstreckung bedarf einer Rechtsgrundlage. Sofern sich eine öffentlich-rechtliche Rundfunkanstalt, d. h. eine Anstalt des öffentlichen Rechts, gemäß § 10 Abs. 6 Rundfunkbeitragsstaatsvertrag (RBStV) mit einem Vollstreckungsauftrag an die zuständige Vollstreckungsbehörde wendet, führt diese die Vollstreckung in Wahrnehmung eigener Aufgaben durch (vgl. die gemäß § 263 Abs. 1 LVwG i. V. m. § 1 Abs. 1 Ziffer 4 Landesverordnung über die zuständigen Vollstreckungsbehörden übertragene Zuständigkeit), vgl. auch den Sachstandsbericht des Wissenschaftlichen Dienstes des Deutschen Bundestages 2024 „Vollstreckung von Rundfunkbeitragsforderungen“, abrufbar unter dem folgenden Link:

https://www.bundestag.de/resource/blob/994364/f7ab5df9acb5a01c8708b553031d0119/WD-7-001-24-pdf.pdf
Kurzlink: https://uldsh.de/tb43-4-1-6a

Die Rechtsgrundlage für die Verarbeitung der personenbezogenen Daten durch die zuständige Vollstreckungsbehörde ist somit in derartigen Fällen Art. 6 Abs. 1 Buchst. c, e DSGVO i. V. m. § 10 Abs. 6 RBStV i. V. m. § 263 Abs. 1 Nr. 1, 3 bzw. 4 LVwG i. V. m. § 12 LVwG i. V. m. § 1 Abs. 1 Nr. 4 Landesverordnung über die zuständigen Vollstreckungsbehörden i. V. m. §§ 269 ff. LVwG. Die Zulässigkeit der jeweiligen Vollstreckungshandlung unterliegt dabei den gesetzlichen Anforderungen an die konkrete Vollstreckungshandlung gemäß §§ 269 ff. LVwG (vgl. auch die Beschlüsse des Verwaltungsgerichts Schleswig vom 04.02.2019, 4 B 96/18 und vom 05.01.2021, 4 B 45/20, in denen das Gericht feststellt, dass sich die Zulässigkeit der Vollstreckung von Rundfunkbeiträgen (und Säumniszuschlägen) nach den §§ 262 ff. LVwG richtet). Einer Einwilligung der betroffenen Person bedarf es somit nicht.

Was ist zu tun?
Die Vollstreckung ausstehender Rundfunkgebühren durch die zuständige Vollstreckungsbehörde bedarf keiner Einwilligung durch den Schuldner. Die damit einhergehende Verarbeitung personenbezogener Daten beruht auf einer gesetzlichen Rechtsgrundlage.

 

4.1.7       Datenschutzbeauftragte in Kindertagesstätten

Das ULD wurde um die datenschutzrechtliche Einschätzung dahin gehend gebeten, ob für private Kindertagesstätten grundsätzlich eine Verpflichtung besteht, einen Datenschutzbeauftragten zu benennen.

Anders als bei Kindertagesstätten in kommunaler Trägerschaft, für die ausnahmslos gemäß Art. 37 Abs. 1 Buchst. a DSGVO die Pflicht besteht, einen Datenschutzbeauftragten zu benennen, besteht für private Kindertagesstätten nur dann die Verpflichtung, einen Datenschutzbeauftragten zu benennen, wenn

• die Kerntätigkeit des Verantwortlichen (in diesem Fall die Kindertagesstätte) in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche und systematische Überwachung von betroffenen Personen erforderlich machen (Art. 37 Abs. 1 Buchst. b DSGVO), oder
• die Kerntätigkeit des Verantwortlichen in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 besteht (Art. 37 Abs. 1 Buchst. c DSGVO).

Unabhängig von diesen Anforderungen besteht nach § 38 Abs. 1 Satz 1 BDSG für private Kindertagesstätten die Verpflichtung, einen Datenschutzbeauftragten zu benennen, wenn „in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten“ beschäftigt sind.

Was die erste Fallgruppe betrifft („Kerntätigkeit“), vertritt das ULD in Abweichung zu der noch im Jahre 2018 (37. TB, Tz. 5.4.3) dargelegten Einschätzung nunmehr die Auffassung, dass die in Kindertagesstätten über die Kinder ausgeübte Aufsicht in der Regel nicht mit einer umfangreichen, systematischen und regelmäßigen (digitalen) Verarbeitung/Überwachung verbunden ist.

Diese Bewertung trägt den von der (früheren) Artikel-29-Datenschutzgruppe in Bezug auf Datenschutzbeauftragte entwickelten Leitlinien (WP 243) Rechnung: Die in diesen Leitlinien unter Ziffer 2.1.3, 2.1.4 (Seite 9, 10) aufgeführten Beispiele zeigen auf, dass die unter Art. 37 Abs. 1 Buchst. b DSGVO fallende umfangreiche und systematische Verarbeitung/Überwachung eine andere Eingriffstiefe aufweist als die, die mit der üblichen Aufsichtstätigkeit in Kindertagesstätten einhergeht. In Kindertagesstätten werden Kinder beaufsichtigt; gewöhnlich ist damit jedoch keine umfangreiche, regelmäßige und systematische (digitale) Überwachung verbunden. Eine andere Bewertung ergibt sich auch nicht unter Berücksichtigung der frühkindlichen Entwicklung der Kinder (gegebenenfalls durch Heilpädagogen). Erfahrungsgemäß ist auch insoweit in der Regel keine ständige, regelmäßige bzw. umfangreiche Dokumentation der frühkindlichen Entwicklung zu verzeichnen, sondern anlassbezogen (bei „Auffälligkeiten“) und/oder punktuell (z. B. um Entwicklungsfortschritte festzuhalten).

In Übereinstimmung mit anderen Aufsichtsbehörden ist davon auszugehen, dass in privaten Kindertagesstätten, in denen in der Regel unter 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, gewöhnlich kein Datenschutzbeauftragter zu benennen ist.

Die private Kindertagesstätte ist gehalten zu prüfen, ob unter Berücksichtigung der zuvor aufgezeigten Anforderungen ein Datenschutzbeauftragter zu benennen ist. Ferner sollte zur Einhaltung der Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO) Folgendes dokumentiert werden:

• die Tatsache, dass in Anlehnung an die Anforderungen nach Art. 37 Abs. 1 Buchst. b, c DSGVO und § 38 Abs. 1 Satz 1 BDSG geprüft wurde, ob ein Datenschutzbeauftragter benannt werden muss, und
• die Gründe, die in Anlehnung an die Anforderungen nach Art. 37 Abs. 1 (gegebenenfalls) gegen eine Benennungspflicht sprechen (vgl. Art. 5 Abs. 2 DSGVO).

Was ist zu tun?
Für private Kindertagesstätten ist in der Regel kein Datenschutzbeauftragter zu benennen. Zur Einhaltung der Rechenschaftspflicht sollten sowohl die Prüfung, ob ein Datenschutzbeauftragter zu benennen ist, als auch die (gegebenenfalls) dagegensprechenden Gründe dokumentiert werden.

 

4.1.8       Ganztagsbetreuung: Datenverarbeitungen auf Grundlage kommunaler Satzungen

Unmut zog eine Kommune auf sich, die sich im Rahmen der Ganztagsbetreuung von Kindern an ihren städtischen Grundschulen entschloss, die Eltern zur Einholung einer Bescheinigung über ihre Berufstätigkeit von deren Arbeitgebern aufzufordern.

Zum Hintergrund: Der Rechtsanspruch auf Ganztagsbetreuung für Kinder im Grundschulalter wurde bereits zum Ende der letzten Legislaturperiode vom Bundesgesetzgeber beschlossen, wird aber erst ab 2026 schrittweise eingeführt werden (Art. 7 Abs. 4 Ganztagsförderungsgesetz). Zwar können Schulträger in Schleswig-Holstein für entsprechende Betreuungsangebote auch heute schon Fördermittel des Landes beantragen (vgl. Richtlinie „Ganztag und Betreuung“ des Bildungsministeriums), aber die Entscheidung, ob sie diese einrichten oder nicht, liegt gegenwärtig noch bei ihnen selbst.

Zugleich sind die Schulträger mit einer steigenden Nachfrage nach solchen Angeboten konfrontiert, sodass es nicht überall gelingt, allen an einem Betreuungsangebot interessierten Eltern einen Platz zuzusagen. Die betreffende Kommune hatte in der Vergangenheit freie Plätze nach dem Zeitpunkt der Anmeldung vergeben (sogenannte „Windhundverfahren“) und dies auch so in einer Benutzungs- und Gebührensatzung im Sinne von § 4 Abs. 1 Gemeindeordnung festgehalten. Man sah sich nach dieser Verfahrensweise aber zunehmend schlechter in der Lage, dem eigens formulierten Anspruch einer Vereinbarkeit von Beruf und Familie gerecht zu werden. So entschied sich die Stadt, die Platzvergabe fortan von der Berufstätigkeit der Eltern abhängig zu machen (gewissermaßen eine Form der „Sozialauswahl“) und diese auch zu kontrollieren.

Ein betroffener Vater erhob angesichts des weitreichenden Umfangs von Daten, die ihm nunmehr sein Arbeitgeber bestätigen sollte, Beschwerde. Gefordert wurden z. B. Detailangaben zu täglichen Arbeitszeiten oder einer etwaigen Befristung. Es stellte sich die Frage nach der Rechtsgrundlage für diese Erhebungen.

Öffentliche Stellen müssen eine Verarbeitung personenbezogener Daten in den allermeisten Fällen auf ihre spezifischen gesetzlichen Pflichten oder allgemeiner gefasste Ermächtigungen zur Erledigung ihrer Aufgaben (Art. 6 Abs. 1 Buchst. c bzw. Buchst. e DSGVO) stützen können. Die entsprechenden Vorschriften können im europäischen Recht selbst verankert sein, finden sich aber viel häufiger im sogenannten „Recht der Mitgliedstaaten“. Dabei ist Folgendes zu beachten:

Das „Recht der Mitgliedstaaten“ bestimmt sich nach Erwägungsgrund 41 der DSGVO. Demnach genügt eine verbindliche Regelung, die kein von einem Parlament angenommener Gesetzgebungsakt sein muss. Ausreichend sind z. B. auch Rechtsverordnungen und kommunale Satzungen. Die Rechtsgrundlage des Mitgliedstaats muss mit den jeweiligen verfassungsrechtlichen Vorgaben übereinstimmen. Sie muss hinreichend klar, präzise und bestimmt sein, sodass für die betroffene Person die Datenverarbeitung eindeutig vorhersehbar ist.

Auch eine kommunale Benutzungs- und Gebührensatzung kommt damit grundsätzlich als Rechtfertigung für eine sonst nirgends geregelte Erhebung personenbezogener Daten infrage, soweit die Angelegenheit dem Kompetenzbereich der Gemeinde zugeordnet werden kann.

Im vorliegenden Fall erlaubte der Satzungstext dem Schulträger die Verarbeitung der „für die Abwicklung der Betreuung erforderlichen personenbezogenen Daten der Personensorgeberechtigten“. Solche allgemein gefassten Vorschriften können je nach Anwendungsfall durchaus ausreichen. Auch z. B. § 3 Abs. 1 Landesdatenschutzgesetz ist keinesfalls präziser formuliert. Das funktioniert aber nur, solange die betreffenden Datenkategorien eher trivialer Natur sind, wie etwa bei bloßen Stamm- oder Kontaktdaten.

Was die Gemeinde hier forderte, war deutlich konkreter und umfangreicher. Vor allem jedoch sah der übrige Satzungstext in seiner damaligen Form eine Sozialauswahl gar nicht vor. Und damit fehlte es eindeutig an der erforderten Erwartbarkeit bzw. Vorhersehbarkeit für die Betroffenen. Eine solche gebietet u. a. der Grundsatz der Transparenz gemäß Art. 5 Abs. 1 Buchst. a DSGVO. Von diesem rein datenschutzrechtlichen Problem abgesehen hätte man auch aus gemeinderechtlicher Sicht hinterfragen können, ob die Angelegenheit nicht ohnehin eines ordentlichen Beschlusses der Gemeindevertretung bedurfte.

Die Stadtverwaltung konnte in der Anhörung durch das ULD die Beweggründe für die veränderte Verfahrensweise ohne Weiteres ausführlich darlegen, musste aber eingestehen, dass es an der notwendigen Legitimation mangelte.

Die Gemeinde setzte die Verwendung der strittigen Bescheinigungen zunächst aus. In einer Neufassung der Benutzungs- und Gebührensatzung wurde schließlich die bisherige Platzvergabe nach dem Zeitpunkt der Anmeldung durch ein kriterienbasiertes Auswahlverfahren ersetzt.

Auf Anraten des ULD erweiterte die Gemeindevertretung den Passus zur Datenverarbeitung in diesem Zuge um eine Auflistung konkret benannter Datenkategorien: Neben Informationen zur Berufstätigkeit der Kindeseltern tauchen hier nunmehr auch Zahlungsdaten oder Angaben zu einem etwaigen Bezug von Sozialleistungen auf. Für Betroffene bedeutet dies einen deutlichen Gewinn an Rechtsklarheit und für die Verwaltung eine Erleichterung bei der Erfüllung ihrer datenschutzrechtlichen Informationspflichten.

Was ist zu tun?
Die besten und vernünftigsten Absichten stellen per se noch keine Rechtsgrundlage für die Verarbeitung personenbezogener Daten dar, erst recht nicht bei öffentlichen Stellen. Dabei sind Gemeinden oder Kreise aber nicht allein auf das beschränkt, was die Gesetzgeber in Land und Bund regeln. Im Rahmen der Selbstverwaltung können bzw. müssen sie Leerstellen füllen. In jedem Falle müssen die Grundlagen für eine Datenverarbeitung bestimmt genug – also ausreichend konkret geregelt –sein, abhängig von Umfang und Sensibilität der benötigten Datensätze.

 

4.1.9       Ausstellung von Gästekarten und Informationspflichten

Beim ULD ging eine Beschwerde ein, in der vorgetragen wurde, dass eine Gemeinde mittels ausgehändigter „Gästekarten“ in nicht transparenter Weise personenbezogene Daten verarbeiten würde. Die ausgehändigten Gästekarten seien mit einem Barcode versehen und dieser werde bei jeder Nutzung der Karte, z. B. beim Betreten des Strandbereichs, eingescannt. Es sei jedoch nicht ersichtlich, welche Daten beim Einscannen übertragen und gespeichert werden.

In dem daraufhin eingeleiteten Anhörungsverfahren stellte sich u. a. heraus, dass der Gast die Wahl hat, neben einer gedruckten Papiergästekarte auch eine elektronische Gästekarte anzufordern. Die im Zusammenhang mit der digitalen Gästekarte erfolgende Verarbeitung wurde auf eine Einwilligung gestützt, die im Rahmen des online ablaufenden Registrierungsprozesses abgegeben wurde. Die erhobenen Daten wurden in einem „Cardsystem“ verarbeitet.

Die Prüfung der dem ULD zur Verfügung gestellten Unterlagen, vor allem zum Prozess der Registrierung, ergab, dass die abrufbaren Informationen weder den Anforderungen nach Artikel 13 DSGVO noch den Anforderungen nach Artikel 7 DSGVO für die Erteilung einer wirksamen Einwilligung genügten. Auch ergab sich Klärungsbedarf im Hinblick auf eine mögliche Zusammenführung der personenbezogenen Daten des kurabgabepflichtigen Gästekarteninhabers, die im Cardsystem gespeichert sind, mit den pseudonymisiert erfassten Daten zur Kontrolle der Eintrittsberechtigung, die in „begründeten Fällen“ erfolgten, sowie im Hinblick auf die Speicherdauer.

Die insoweit von dem ULD erteilten Hinweise wurden vollständig umgesetzt; die Informationstexte wurden sowohl hinsichtlich der Einwilligung als auch der nach Artikel 13 DSGVO zu erteilenden Informationen nachgebessert. Das Verfahren wurde daraufhin eingestellt.

Was ist zu tun?
Bei der Verarbeitung personenbezogener Daten sind die Informationspflichten nach den Artikeln 13, 14 DSGVO sowie die Anforderungen nach Artikel 7 DSGVO bei der Einholung von Einwilligungen einzuhalten. Der Informationsinhalt nach Artikel 13, 14 DSGVO und nach Artikel 7 DSGVO ist nicht vollkommen identisch. Es kann sich anbieten, die jeweiligen Informationspflichten durch einen gemeinsamen Hinweistext zu erfüllen.
Die Informationen sind gemäß Art. 12 Abs. 1 Satz 1 DSGVO in „präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache“ zu übermitteln.

 

4.1.10    Erhebung von Kundendaten für das neue Gebührenmodell eines Zweckverbandes

Beim ULD ging eine Beschwerde ein, in der vorgetragen wurde, dass ein Zweckverband zur Umsetzung eines neuen Gebührenmodells im Bereich der Abfallwirtschaft personenbezogene Daten von Kunden erheben und weiterverarbeiten würde. Konkret verhielt es sich so, dass die Kunden anlässlich der geplanten Umsetzung des neuen Gebührenmodells von dem Zweckverband angeschrieben und mittels eines beigefügten Rückantwortformulars um grundstücksbezogene Angaben (Straße, Hausnummer, PLZ, Ort, Anzahl der Haushalte sowie Personenzahl zu den jeweiligen Haushalten) und auf die Eigentümer bezogene Angaben (Nachname, Vorname, Straße, Hausnummer, PLZ, Ort) gebeten worden sind.

Die Informationen über die so beabsichtigte Verarbeitung der personenbezogenen Daten nach Artikel 13 bzw. Artikel 14 DSGVO, die dem Schreiben beigefügt waren, enthielten keine Angabe zu der konkreten Rechtsgrundlage.

Da aus Sicht des ULD keine Rechtsgrundlage für die Verarbeitung der abgefragten personenbezogenen Daten für die Umsetzung des neuen Gebührenmodells erkennbar war, wurde ein Beschwerdeverfahren eingeleitet. Der Zweckverband erließ nach dieser Verfahrenseinleitung eine neue Abfallgebührensatzung sowie eine neue Abfallwirtschaftssatzung und stützte die mit der geplanten Umsetzung des Gebührenmodells einhergehende Verarbeitung der personenbezogenen Daten auch auf Regelungen in diesen überarbeiteten Satzungen. Im Laufe des Beschwerdeverfahrens stellte sich heraus, dass der Zweckverband auf sein Anschreiben, mit dem er die Angaben von den Kunden erbeten hatte, über 41.000 Rückmeldungen erhalten hatte.

Rechtlich war aus Sicht des ULD festzustellen, dass sowohl vor der Änderung der Satzungen als auch nach deren Änderung weder eine Rechtsgrundlage für die Erhebung der personenbezogenen Daten der Kunden noch für deren Speicherung vorlag. So war beispielsweise für das ULD nicht ersichtlich, dass die Umstellung eines bestehenden Gebührenmodells von dem sachlichen Anwendungsbereich der maßgebenden Satzung erfasst war. Zusammenfassend war festzustellen, dass die Erforderlichkeit der im Einzelnen mit dem Anschreiben des Zweckverbandes abgefragten personenbezogenen Daten aus Sicht des ULD fehlte.

Nach umfassendem Austausch der unterschiedlichen Rechtsauffassungen, vor allem zur Rechtsgrundlage und Löschverpflichtung, zwischen dem ULD und dem Zweckverband in dem Beschwerdeverfahren löschte der Zweckverband ohne Anerkennung einer Rechtspflicht die mit dem Anschreiben erhobenen personenbezogenen Daten. Die früher von dem Zweckverband erhobenen, etwaig identischen personenbezogenen Daten der Kunden, die im Rahmen der gesetzlichen Aufgabenzuweisung des Zweckverbandes auf der Grundlage entsprechender gesetzlicher Regelungen verarbeitet werden, waren davon zulässigerweise nicht erfasst. Die Löschung umfasste nach Angaben des Zweckverbandes sämtliche in Papierform sowie digital gespeicherte Daten, die aus den Rückmeldungen übernommen worden waren. Dabei handelte es sich den Angaben des Zweckverbandes zufolge um die Angaben, wie viele Haushalte auf dem jeweiligen Grundstück vorhanden waren und wie viele Personen in dem jeweiligen Haushalt lebten. Weitere Angaben seien aus den Rückmeldungen nicht digital gespeichert worden. Der Zweckverband reichte sowohl für die Vernichtung der Papierunterlagen (Rückmeldungen) als auch für die Löschung der digital gespeicherten Daten entsprechende Bescheinigungen ein, sodass die Löschung als belegt anzusehen war.

Gegenüber dem Zweckverband wurde aufgrund des mit der rechtsgrundlosen Erhebung der Daten und deren (bis zur Löschung dauernden) Speicherung einhergehenden Verstoßes gegen die Vorgaben des Art. 5 Abs. 1 Buchst. a i. V. m. Art. 6 Abs. 1 DSGVO eine Verwarnung gemäß Art. 58 Abs. 2 Buchst. b DSGVO ausgesprochen.

In die Abwägung hinsichtlich der Verhängung einer Verwarnung wurde entlastend berücksichtigt, dass das Beschwerdeverfahren zum Anlass für die Neufassung der Satzungen genommen worden war. Ferner wurde ebenfalls entlastend im Hinblick auf die Schwere des Verstoßes berücksichtigt, dass es sich bei den betreffenden Daten nicht um Daten mit besonderem Schutzbedarf (Artikel 9 DSGVO) gehandelt hat. Berücksichtigt wurde auch, dass die betreffenden personenbezogenen Daten sowohl in Papierform als auch die digital gespeicherten Daten den Angaben des Zweckverbandes zufolge vollumfänglich gelöscht und entsprechende Bestätigungen eingereicht worden waren. Im Rahmen der Gesamtabwägung war jedoch maßgebend die Quantität zu berücksichtigen. Mit über 41.000 Rückmeldungen hat es eine entsprechend hohe Anzahl von betroffenen Personen gegeben. Dies begründete eine erhebliche Schwere des Verstoßes.

Was ist zu tun?
Die Verarbeitung von personenbezogenen Daten bedarf einer Rechtsgrundlage. Der Verantwortliche hat zu prüfen, ob der sachliche Anwendungsbereich der in Betracht kommenden Regelungen eröffnet ist und deren Anforderungen (z. B. die Erforderlichkeit, die betroffenen Daten zu verarbeiten) erfüllt sind.

 

4.1.11    Die „gezielte Entgegennahme“ von E-Mails

Einen stets wiederkehrenden Anlass zu Anfragen und Beschwerden beim ULD bildet die Übermittlung personenbezogener Daten per E-Mail. Eine dieser Beschwerden richtete sich gegen eine Behörde, die in größerem Umfang ärztliche Unterlagen von Betroffenen verarbeitet und diese über verschiedene Wege entgegennimmt, u. a. auch per E-Mail. Ein Bürger, der sich um die Sicherheit seiner Dokumente sorgte, entschied sich nun dafür, diese als passwortverschlüsselte PDF-Dokumente im E-Mail-Anhang bei der Verwaltung einzusenden.

Art. 32 Abs. 2 DSGVO
Bei der Beurteilung des angemessenen Schutzniveaus sind insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung verbunden sind, insbesondere durch […] unbefugten Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden.

Das Ansinnen war verständlich, handelte es sich schließlich um Gesundheitsdaten, die dem Begriff der „besonderen Kategorien personenbezogener Daten“ nach Artikel 9 DSGVO unterfallen. Mit Blick auf die Erwägungsgründe 75 und 76 zur DSGVO ist dies stets ein starkes Indiz, dass mit deren Verarbeitung ein „hohes Risiko“ für die Rechte und Freiheiten der betroffenen Person einhergeht. Dem muss die verantwortliche Stelle – hier als Empfängerin – bei der sicheren Ausgestaltung ihrer Verfahren Rechnung tragen:

Stattdessen erhielt der Beschwerdeführer die Antwort, dass verschlüsselte Dateien „aus sicherheitstechnischen Gründen“ nicht angenommen werden könnten, und wurde um erneuten Versand in einem unverschlüsselten Dateiformat gebeten. Ein Hinweis mit ähnlichem Sinngehalt fand sich auch auf dem Webauftritt der Behörde. Der Betroffene fasste dies als direkte Aufforderung, einen unsicheren Kommunikationsweg zu nutzen, auf und wandte sich hiermit an das ULD. Tatsächlich können passwortverschlüsselte Dateien ein Sicherheitsproblem darstellen, da sie etwa die Prüfung von Eingängen durch Virenscanner zumindest erschweren. Jedoch hätte die Verwaltung in dieser Situation eine ausreichend sichere Alternative zur Übermittlung der ärztlichen Nachweise anbieten müssen. In diesem Sinne wurde die Behörde auf die Empfehlungen der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder zu der Thematik aufmerksam gemacht:

DSK-Orientierungshilfe vom 16.06.2021: „Maßnahmen zum Schutz personenbezogener Daten bei der Übermittlung per E‑Mail“

Wer jedoch gezielt personenbezogene Daten per E-Mail entgegennimmt, ist verpflichtet, die Voraussetzungen für den sicheren Empfang von E-Mail-Nachrichten über einen verschlüsselten Kanal zu schaffen. […]
Können die Anforderungen an eine sichere Übermittlung per E-Mail nicht erfüllt werden, so muss ein anderer Kommunikationskanal gewählt werden.

Diese Hinweise stellen klar, dass eine verantwortliche Stelle ihre Schutzmaßnahmen nicht nur beim Versand von E-Mails, sondern auch bei deren Empfang prüfen muss. Als eine „gezielte Entgegennahme“ betrachtet die Datenschutzkonferenz dabei beispielsweise den E-Mail-Empfang aufgrund „expliziter Vereinbarung“ oder „Aufforderung auf der Homepage“. Unschädlich wäre es demgegenüber nur, wenn Bürgerinnen und Bürger auf ein gebotenes Sicherheitsniveau aus freien Stücken und trotz Alternativen verzichten.

Im konkreten Fall konnte uns die Behörde glücklicherweise auf bestehende alternative Kommunikationswege verweisen: nämlich auf einen Ende-zu-Ende-verschlüsselten Datei-Upload oder aber den altmodischen Postversand. Das Problem bestand also lediglich in der missglückten Darstellung nach außen, was die verantwortliche Stelle auch ohne Weiteres einsah.

Entsprechend änderte man die internen Textvorlagen und die Ausführungen auf der Behörden-Webseite ab: Die Einsendung sensibler Unterlagen per einfacher E-Mail wird zwar weiterhin akzeptiert. Aber die Anleitungen hierzu wurden um einen Hinweis auf das geringere Sicherheitsniveau und einen Verweis auf den sichereren Upload ergänzt. Ihren Sorgfaltspflichten kommt die Verwaltung mit dieser Lösung nach Auffassung des ULD ausreichend nach.

Die genannte Orientierungshilfe „Maßnahmen zum Schutz personenbezogener Daten bei der Übermittlung per E-Mail“ der Datenschutzkonferenz ist abrufbar unter dem Link:

https://www.datenschutzkonferenz-online.de/media/oh/20210616_orientierungshilfe_e_mail_verschluesselung.pdf
Kurzlink: https://uldsh.de/tb43-4-1-11a

Das Dokument im Volltext erläutert auch eingehender die technischen Hintergründe, insbesondere welche Anforderungen an eine „obligatorische“ und „qualifizierte“ Transportverschlüsselung einerseits oder an eine Ende-zu-Ende-Verschlüsselung andererseits jeweils zu stellen sind. Werden diese Erfordernisse alle erfüllt, kommt auch mittels E-Mail eine datenschutzrechtlich einwandfreie Übermittlung sensibler personenbezogener Daten in Betracht.

Was ist zu tun?
Beruft sich eine öffentliche Stelle auf die Rechtsmissbräuchlichkeit eines Auskunftsantrags, so hat sie die Gründe hierfür konkret darzulegen und zu beweisen. Im Falle einer Ablehnung des Antrags sind der betroffenen Person die konkreten Gründe detailliert darzulegen, und es ist darauf hinzuweisen, dass die Möglichkeit besteht, bei einer Aufsichtsbehörde eine Beschwerde oder beim Verwaltungsgericht einen Rechtsbehelf einzulegen.

 

4.1.12    Urlaub und Updates

Eine Kommune stellte für ihre eigenen Systeme fest, dass über den Virenscanner auf einem Terminalserver eine Gefahr erkannt wurde. Die zugrunde liegende PowerShell-Aktivität erfolgte dabei durch einen nicht berechtigten Nutzer. Daraufhin deaktivierte die Kommune den Zugang dieses Nutzers. Nach vertiefter Recherche konnte der NetScaler als Schwachstelle identifiziert werden, der umgehend vom Netz genommen wurde. Der externe Angreifer hatte so Zugriff auf das interne Netz der Kommune. Zunächst war der Kommune die Anzahl betroffener Personen unbekannt. Nach einer vorläufigen Prüfung der Kommune seien aber „nur“ Daten von Beschäftigten, im Kern Profil- und Anmeldedaten, zugänglich gewesen.

Etwa einen Monat später stellte die Kommune einen zweiten externen Angriff auf das eigene Verarbeitungssystem fest, wobei das Muster des Angriffsszenarios exakt dem entsprach, was vor einem Monat bereits als Ergebnis der Analyse feststand. Da bestehende Sicherheitsrisiken sich innerhalb kurzer Zeit innerhalb der Kommune wiederholten und auch der analysierte Fehler sich als identisch erwies, leitete das ULD ein Prüfverfahren ein.

Hinweis des BSI: Aktive Ausnutzung einer Schwachstelle in Citrix NetScaler ADC und NetScaler Gateway
Am 10.10.2023 hat der Hersteller Citrix ein Advisory zu Schwachstellen in den Produkten NetScaler Application Delivery Controller und NetScaler Gateway veröffentlicht. Angreifende können mit authentifizierten Sessions weitere Zugangsdaten sammeln und sich somit möglicherweise höhere Rechte verschaffen und im System sowie Netzwerk ausbreiten. Näheres kann nachgelesen werden unter:
https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/
DE/2023/2023-275276-1032.pdf
Kurzlink: https://uldsh.de/tb43-4-1-12a

Im Prüfverfahren zeigte sich, dass die Kommune zwar vier Administratoren beschäftigt. Allerdings waren für diese keine spezifischen Zuständigkeiten festgelegt. Demnach nahm jeder Administrator alle Aufgaben wahr.

Weiterhin konnte die Kommune keine Verfahrensbeschreibung für das Patchmanagement vorlegen. Hierzu existiere bisher nur ein Entwurf. Ferner bestand keine Beschreibung für ein Notfallmanagement. Auch hierzu sei nur ein Entwurf vorhanden. Grundsätzlich sei der Prozess zum Patchen des NetScalers folgendermaßen gestaltet: Ein Administrator informiert sich regelmäßig über mögliche Veröffentlichungen von Patches und Aktualisierungen, lädt diese manuell herunter und spielt sie dann ein. Es wird vonseiten der Kommune eingeräumt, dass die seit August 2023 bereitgestellten Patches (BSI – Schwachstelle in Citrix NetScaler ADC und NetScaler Gateway, Version 1.1 vom 23.11.2023) versehentlich aufgrund der Urlaubszeit nicht eingespielt wurden. Für die Urlaubszeit im August 2023 war allerdings eine Vertretung für die IT-Administration vorgesehen. Ungeklärt blieb, weshalb die Vertretung die Einspielung des Patches nicht vornahm und warum ab September, nach Ende der Urlaubszeit, weiterhin die Einspielung des Patches unterblieb. Offen blieb auch, wann konkret die Einspielung des Patches erfolgte, da nach dem ersten Sicherheitsvorfall die Sicherheitslücke offenbar noch existierte. Zudem bestehe in der Kommune keine zentrale Bereitstellung der Protokolldaten für eingespielte Patches.

Das ULD hat fehlende Unterlagen nachgefordert und geprüft. Die Kommune sagte zu, vorhandene technische und organisatorische Mängel im Zusammenhang mit dem Patchmanagement zu beseitigen. Dies gilt auch für die Überarbeitung und Finalisierung der Konzepte zum Patch- und Notfallmanagement.

Was ist zu tun?
Kommunen müssen dafür Sorge tragen, dass ein angemessenes Patchmanagement besteht. Identifizierte Sicherheitslücken sind umgehend zu schließen. Die Urlaubs- und Vertretungsplanung ist in der Form umzusetzen, dass im Falle von Gefährdungsmeldungen zeitnah reagiert werden kann. Erforderlich ist auch eine klare Verteilung von Zuständigkeiten im Bereich der technischen Administration, ein regelmäßiges Reporting gegenüber der Dienststellenleitung und eine angemessene Protokollierung vorgenommener Maßnahmen zur Gewährleistung der Datensicherheit, wozu auch das Einspielen von Patches zählt.

 

4.1.13    Meldepflicht gegenüber der Aufsichtsbehörde oder Mitarbeiterexzess

An das ULD wurden in der Vergangenheit wiederholt Sachverhalte herangetragen, bei denen zunächst fraglich war, ob der Arbeitgeber oder aber der einzelne Beschäftigte als Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO anzusehen war.

Die Handlungen der Beschäftigten sind dem Arbeitgeber grundsätzlich zuzurechnen, mit der Folge, dass der Arbeitgeber als Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO zu erachten ist. Maßnahmen der Aufsichtsbehörde, etwa die Einleitung eines Anhörungsverfahrens, sind daher regelmäßig gegen den Arbeitgeber als Verantwortlichen der Datenverarbeitung gerichtet. Hat die Handlung der Beschäftigten beispielsweise eine Verletzung des Schutzes personenbezogener Daten zur Folge, begründet diese Handlung für den Arbeitgeber eine Meldepflicht gegenüber der Aufsichtsbehörde nach Artikel 33 DSGVO und gegebenenfalls auch Benachrichtigungspflichten gegenüber den betroffenen Personen nach Artikel 34 DSGVO. Etwas anderes gilt dann, wenn ein Mitarbeiterexzess des Beschäftigten vorliegt. In diesem Fall ist der Beschäftigte selbst Verantwortlicher gemäß des Art. 4 Nr. 7 DSGVO.

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder hat in ihrer Entschließung der 97. Konferenz am 03.04.2019 Mitarbeiterexzesse als Handlungen von Beschäftigten definiert, „die bei verständiger Würdigung nicht dem Kreis der jeweiligen unternehmerischen Tätigkeit zugerechnet werden können“.

Hinsichtlich der Frage, welche konkreten Voraussetzungen für die Annahme eines Mitarbeiterexzesses sprechen, bestehen mehrere Erwägungen.

Ein Ansatz für die Verantwortung des Arbeitgebers könnte darin bestehen, dass dieser verantwortlich ist und bleibt, wenn der Beschäftigte verschuldensunabhängig normative – insbesondere organisatorische – Vorgaben nicht beachtet oder technische Vorkehrungen überwindet, die der Arbeitgeber jeweils nach den Artikeln 5, 24 und 32 DSGVO getroffen hat. Raum für einen Mitarbeiterexzess und damit für die Verantwortung des Beschäftigten bestünde demnach dann, wenn der Beschäftigte bei seiner Handlung die Vorgaben des Arbeitgebers nach den Artikeln 5, 24 und 32 DSGVO außer Acht gelassen hat. Allerdings blieben dann Fragen einer zweckändernden Verarbeitung durch Beschäftigte außer Betracht, die für Mitarbeiterexzesse häufig charakteristisch sind.

Aus Sicht des ULD sollte daher die Frage, ob die Handlung des Beschäftigten einen Mitarbeiterexzess darstellen könnte, insbesondere danach beurteilt werden, ob der Beschäftigte die dienstlich erlangten Daten, gegebenenfalls von seinem Arbeitsplatz aus und unter Einsatz der zur Verfügung stehenden Arbeitsmittel, nicht in Ausübung seiner dienstlichen Tätigkeit, sondern ausschließlich für eigene private Zwecke oder Zwecke eines Dritten verwendet. Bei dieser Betrachtungsweise kommt es für die Beurteilung, wie die Handlung des Beschäftigten zu werten ist, nicht primär darauf an, ob der Beschäftigte subjektiv eigene Interessen verfolgt; maßgebend ist vielmehr, ob die fragliche Handlung objektiv der Zweckbestimmung der ihm zugewiesenen Aufgaben entspricht.

Vor diesem Hintergrund bestehen aus Sicht des ULD Anhaltspunkte für einen Mitarbeiterexzess, wenn sich der Beschäftigte über die dienst- und arbeitsrechtlichen Anweisungen des Arbeitgebers hinwegsetzt und eigenmächtig dienstlich erlangte Daten ausschließlich für eigene private Zwecke oder für Zwecke eines Dritten und damit betriebsfremd verarbeitet. In diesem Fall ist nicht der Arbeitgeber Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO, sondern der betreffende Beschäftigte.

 

Was ist zu tun?
Für die Bewertung, ob ein Mitarbeiterexzess vorliegt, ist insbesondere zu prüfen, ob sich der Beschäftigte über die dienst- und arbeitsrechtlichen Anweisungen des Arbeitgebers hinwegsetzt und eigenmächtig dienstlich erlangte Daten ausschließlich für eigene private Zwecke oder für Zwecke eines Dritten verarbeitet.

 

Zurück zum vorherigen Kapitel

Zum Inhaltsverzeichnis

Zum nächsten Kapitel