≡ Sitemap
Der Bayerische Landesbeauftragte für den Datenschutz (BayLfD)

Sie sind hier: > Start > Datenschutzreform 2018 > AKI 41: Datennutzungssatzungen bei bayerischen Kommunen?

Der Bayerische Landesbeauftragte für den Datenschutz; Stand: 24.01.2022

Aktuelle Kurz-Information 41: Datennutzungssatzungen bei bayerischen Kommunen?

Stichwörter: Aufgabe, freiwillige - Aufgabenkonkretisierung - Datennutzungssatzung - Ermächtigung, gesetzliche - Kommune - Pflichtaufgabe - Satzungsautonomie - Wesentlichkeitstheorie | Stand: 15. Januar 2022

Was sind die Kernaussagen dieser Aktuellen Kurz-Information?

  • Das deutsche Verfassungsrecht fordert eine parlamentsgesetzliche Ermächtigung zur Schaffung der für die Verarbeitung personenbezogener Daten erforderlichen Rechtsgrundlage. Eine in einer kommunalen Satzung verankerte Verarbeitungsbefugnis reicht hierfür nicht aus.

  • Eine kommunale Satzung kann allerdings der Aufgabenkonkretisierung dienen.

1

Im Rahmen meiner Prüftätigkeit habe ich erfahren, dass einige bayerische Kommunen mit dem Gedanken spielen, sogenannte Datennutzungssatzungen zu erlassen. In diesen Satzungen sollen Datenverarbeitungsbefugnisse im Sinne von Art. 6 Abs. 1 UAbs. 1 Buchst. e Datenschutz-Grundverordnung (DSGVO) für freiwillig von den Kommunen übernommene Aufgaben geschaffen werden (Beispiel aus der Praxis: "Im Rahmen der Ausübung ihrer Planungsaufträge dürfen nach Maßgabe dieser Satzung seitens der Sozial-, Jugendhilfe- und Bildungsplanung bei der Gemeinde X. gesetzlich geschützte Daten aus unterschiedlichen Quellen für planerische Auswertungszwecke erhoben und verarbeitet werden").

2

Aus datenschutzrechtlicher Sicht sind solche Datennutzungssatzungen kritisch zu bewerten. Denn die Kommunen können nur in einem engen Rahmen und bei geringer Grundrechtsrelevanz durch Satzung Regelungen treffen, in denen gesetzliche Datenverarbeitungsbefugnisse (etwa aus Art. 4 Abs. 1 Bayerisches Datenschutzgesetz - BayDSG - oder § 37 Bundesmeldegesetz - BMG) "aktiviert" werden. Dies beruht auf folgenden Erwägungen:

1. Erforderlichkeit einer Rechtsgrundlage für die Verarbeitung personenbezogener Daten

3

Öffentliche Stellen, wie sie auch Kommunen bilden, benötigen für die Verarbeitung personenbezogener Daten eine Rechtsgrundlage (vgl. Art. 6 Abs. 1 DSGVO).

4

Öffentliche Stellen sollen sich bei der Erfüllung ihrer öffentlichen Aufgaben primär auf die speziellen fachgesetzlichen Befugnisse zur Verarbeitung personenbezogener Daten beziehungsweise auf die allgemeine Befugnisnorm des Art. 4 Abs. 1 BayDSG stützen (vgl. Art. 6 Abs. 1 UAbs. 1 Buchst. e DSGVO).

5

Nach Art. 4 Abs. 1 BayDSG ist die Verarbeitung personenbezogener Daten durch eine öffentliche Stelle unbeschadet sonstiger Bestimmungen zulässig, wenn sie zur Erfüllung einer ihr obliegenden Aufgabe erforderlich ist. Bei Berufung auf die allgemeine Befugnisnorm des Art. 4 Abs. 1 BayDSG hat die öffentliche Stelle grundsätzlich genau zu benennen, welche öffentliche - durch Gesetz auferlegte oder auf Grund gesetzlicher Zulassung ergriffene - Aufgabe sie mit der Datenverarbeitung erfüllt und inwiefern die Datenverarbeitung hierfür erforderlich ist.

6

Es ist einzuräumen, dass Art. 4 Abs. 1 BayDSG als "allgemeine (Auffang-)Verarbeitungsbefugnis" wenige Tatbestandsmerkmale enthält. Die Vorschrift bezieht die Erforderlichkeit auf eine der betroffenen öffentlichen Stelle obliegende Aufgabe. Gleiches gilt hinsichtlich der allgemeinen Übermittlungsbefugnis in Art. 5 Abs. 1 Satz 1 Nr. 1 Var. 1 BayDSG und für die Übermittlungs- oder Weitergabebefugnis in Bezug auf Melderegisterdaten in § 34 Abs. 1 BMG und § 37 Abs. 1 in Verbindung mit § 34 Abs. 1 BMG. Auch insoweit wird auf eine der Kommune als der regelmäßigen Meldebehörde obliegende (öffentliche) Aufgabe abgestellt.

2. Notwendigkeit einer parlamentsgesetzlichen Ermächtigung für die Schaffung einer Rechtsgrundlage/ Befugnis

7

Kommunen haben gesetzliche Pflichtaufgaben und freiwillige Aufgaben zu erfüllen (vgl. Art. 57 Abs. 1, Abs. 2 Gemeindeordnung - GO, Art. 83 Abs. 1 Verfassung des Freistaates Bayern - BV). Allerdings können die Kommunen im Rahmen ihres Selbstverwaltungsrechts (Art. 28 Abs. 2 Grundgesetz - GG, Art. 11 Abs. 2 Satz 2 BV) auch freiwillige öffentliche Aufgaben übernehmen.

8

Gleichwohl ist die Gemeinde nicht befugt, ohne parlamentsgesetzliche Ermächtigung in einer Satzung eine Befugnis zur Verarbeitung personenbezogener Daten zu schaffen. Dies folgt weniger aus dem Unionsrecht als vielmehr aus dem deutschen Verfassungsrecht. Der Rückgriff auf deutsche Grundrechte ist möglich, weil das Unionsrecht den Mitgliedstaaten im Bereich der datenschutzrechtlichen Normen zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt, oder zur Ausübung öffentlicher Gewalt einen Regelungsspielraum gewährt (vgl. Art. 6 Abs. 1 UAbs. 1 Buchst. e, Abs. 3 UAbs. 1 Buchst. b DSGVO). Es handelt sich bei dem hier in Rede stehenden Bereich um unionsrechtlich nicht vollständig determiniertes innerstaatliches Recht, das an den deutschen Grundrechten zu messen ist.

9

Art. 6 Abs. 2, Abs. 3 UAbs. 1 Buchst. b DSGVO sieht für die Mitgliedstaaten eine Konkretisierungsbefugnis zur Schaffung nationaler Rechtsgrundlagen für die Datenverarbeitung zur Erfüllung öffentlicher Aufgaben vor (Art. 6 Abs. 1 UAbs. 1 Buchst. e DSGVO). Bereits das unionsrechtliche Subsidiaritätsprinzip (Art. 4 Abs. 2, Art. 5 Vertrag über die Europäische Union - EUV) streitet dafür, den Mitgliedstaaten bei der Frage des "Wie" der Ausübung dieser Konkretisierungsbefugnis einen Gestaltungsspielraum zuzugestehen, zumal Art. 6 Abs. 2, Abs. 3 UAbs. 1 Buchst. b DSGVO in Bezug auf die Frage des Rangs der nationalen Konkretisierungsgesetze keine Vorgabe macht. Deutlich in diese Richtung ist auch Erwägungsgrund 41 zur Datenschutz-Grundverordnung formuliert:

"Wenn in dieser Verordnung auf eine Rechtsgrundlage oder eine Gesetzgebungsmaßnahme Bezug genommen wird, erfordert dies nicht notwendigerweise einen von einem Parlament angenommenen Gesetzgebungsakt; davon unberührt bleiben Anforderungen gemäß der Verfassungsordnung des betreffenden Mitgliedstaats."

10

Allerdings stellt die Verarbeitung von personenbezogenen Daten durch öffentliche Stellen einen Eingriff in das Grundrecht auf informationelle Selbstbestimmung (Art. 2 Abs. 1 in Verbindung mit Art. 1 Abs. 1 GG) der hiervon betroffenen Personen dar. Auf Grund des verfassungsrechtlichen Vorbehalts des Gesetzes bedarf es hierfür einer gesetzlichen Grundlage. Nach der sogenannten Wesentlichkeitstheorie ist "der Gesetzgeber verpflichtet […], - losgelöst vom Merkmal des 'Eingriffs' - in grundlegenden normativen Bereichen, zumal im Bereich der Grundrechtsausübung, soweit diese staatlicher Regelung zugänglich ist, alle wesentlichen Entscheidungen selbst zu treffen". Das Bundesverfassungsgericht konkretisiert dabei die Wesentlichkeitstheorie insoweit, dass wesentlich (gerade) diejenigen Entscheidungen sind, die für die Verwirklichung von Grundrechten wesentlich sind. Dies hat auch Auswirkungen auf die Frage, ob und wie mit Satzungsautonomie ausgestattete öffentliche Stellen durch eine Bestimmung in einer Satzung in Grundrechte eingreifen dürfen. Auch Kommunen benötigen daher für Grundrechtseingriffe im Rahmen ihres Satzungsrechts eine parlamentsgesetzliche Ermächtigung.

11

Somit bedarf die Kommune einer gesetzlichen Ermächtigung, wenn sie mit einer Datennutzungssatzung in das Recht auf informationelle Selbstbestimmung eingreifen will.

12

Art. 23 Satz 1 GO stellt eine solche Ermächtigung jedoch nicht bereit, weil diese Vorschrift nur zu Regelungen ermächtigt, die nicht in Rechte Dritter eingreifen. Zwar enthält Art. 24 GO gesetzliche Ermächtigungen zum Erlass von Satzungen, die in Grundrechte Dritter eingreifen. Für die Regelung von allgemeinen Datenverarbeitungsbefugnissen im Bereich freiwilliger Aufgaben lässt sich allerdings aus Art. 24 GO keine besondere gesetzliche Ermächtigung ableiten.

13

Daher können Kommunen in Satzungen - auch im Bereich von freiwilligen kommunalen Aufgaben - keine eigenständigen Datenverarbeitungsbefugnisse schaffen.

3. Satzungen nur zur Aufgabenkonkretisierung bei unwesentlichen Eingriffen

14

Denkbar ist vor diesem Hintergrund nur, dass die Kommune in einer Satzung eine freiwillige öffentliche Aufgabe festlegt und sich dann bei der Datenverarbeitung auf daran knüpfende gesetzliche Verarbeitungsbefugnisse wie in Art. 4 Abs. 1 BayDSG, in Art. 5 Abs. 1 Nr. 1 Var. 1 BayDSG sowie - bei Melderegisterdaten - in § 34 Abs. 1 BMG oder in § 37 Abs. 1 BMG beruft. Auch dadurch wird es den Kommunen aber nicht möglich, quantitativ oder qualitativ in wesentlichem Ausmaß in das Grundrecht auf informationelle Selbstbestimmung einzugreifen. Vielmehr können insbesondere die allgemeinen Verarbeitungsbefugnisse aus dem Bayerischen Datenschutzgesetz auch auf Grund satzungsrechtlicher Aufgabenkonkretisierungen nur unwesentliche Eingriffe legitimieren. Denkbar sind insbesondere die folgenden, bereits in Aktuellen Kurz-Informationen des Bayerischen Landesbeauftragten für den Datenschutz erläuterten Konstellationen:

  • 15

    Aktuelle Kurz-Information 10: Einladungen zu Veranstaltungen durch bayerische Kommunen:

    "Vor diesem Hintergrund kann der Versand von Einladungen zu Veranstaltungen repräsentativer Art - Festveranstaltung eines Stadtjubiläums, Neujahrs- oder Neubürgerempfang, Sportlerehrung - auf die Befugnis des Art. 4 Abs. 1 Bayerisches Datenschutzgesetz (BayDSG) gestützt werden. Um der Gefahr vorzubeugen, dass der Kreis dieser Veranstaltungen in der Verwaltungspraxis mit der Zeit ausufert, sollte der Gemeinderat in einem Beschluss diese Veranstaltungen näher konkretisieren. Hierdurch wird auch den Grundsätzen der Zweckbindung (Art. 5 Abs. 1 Buchst. b DSGVO) und der Datenminimierung (Art. 5 Abs. 1 Buchst. c DSGVO) Rechnung getragen. Der Gemeinderat konkretisiert dabei die gemeindliche Aufgabe der örtlichen Repräsentation; kommerzielle Veranstaltungen bleiben von vornherein außer Betracht."

  • 16

    Aktuelle Kurz-Information 16: Fotografien in der Öffentlichkeitsarbeit bayerischer Kommunen:

    "Sowohl in Art. 4 Abs. 1 als auch in Art. 5 Abs. 1 Satz 1 Nr. 1 BayDSG kommt dem Erforderlichkeitsmaßstab eine wesentliche eingriffsbegrenzende Bedeutung zu. (Längst) nicht jede Fertigung oder Publikation von Fotografien ist in Bezug auf die Erfüllung der kommunalen Aufgabe 'Öffentlichkeitsarbeit' als erforderlich zu bewerten.

    Die Aufgabe 'Öffentlichkeitsarbeit' umschreibt ein Spektrum von Verwaltungstätigkeiten, das von der unabdingbaren Eigendarstellung der Kommune bis hin zur alltäglichen Informationsarbeit reicht. Erscheint im einen Fall eine 'Bebilderung' als sachlich geboten, kann sie im anderen ein nur willkommenes Beiwerk sein. Öffentlichkeitsarbeit 'mit' personenbezogenen Daten, wie sie durch Aufnahme und Verbreitung von Personenfotografien betrieben wird, sollte stets auf Anlässe von einigem Rang beschränkt sein. In aller Regel wird es sich dabei um Repräsentationsveranstaltungen handeln. Daher ist es ratsam, diese Veranstaltungen durch (einmaligen) Gemeindesratsbeschluss der Kategorie nach festzulegen und auf diese Weise die Aufgabe 'Öffentlichkeitsarbeit' zu konkretisieren. Ich habe diese Vorgehensweise bereits für Einladungen zu kommunalen Veranstaltungen empfohlen."

  • 17

    Aktuelle Kurz-Information 5: Melderegisterdaten und Gratulationen:

    "Für die Weitergabe von Melderegisterdaten an den ersten Bürgermeister zu Gratulationszwecken ist § 37 Abs. 1 BMG maßgeblich. Danach dürfen innerhalb der Verwaltungseinheit, der die Meldebehörde angehört, unter den in § 34 Abs. 1 BMG genannten Voraussetzungen sämtliche der in § 3 Abs. 1 BMG aufgeführten Daten und Hinweise weitergegeben werden. § 34 Abs. 1 BMG fordert hier, dass dies zur Erfüllung der in der eigenen Zuständigkeit liegenden öffentlichen Aufgaben erforderlich ist. Aus datenschutzrechtlicher Sicht ist es vertretbar, eine Gratulation zu den in § 50 Abs. 2 Satz 2 BMG erwähnten Alters- oder Ehejubiläen als gemeindliche Aufgabe anzusehen. Jedenfalls entspricht dies einer bayernweit gängigen Praxis in kreisangehörigen Gemeinden.

    Die in vielen Gemeinden übliche Gratulation zum 18. Geburtstag sowie zur Geburt eines Kindes ist von § 50 Abs. 2 Satz 2 BMG dagegen nicht erfasst. Der entstehenden Spannungslage mit dem Gebot der Datenminimierung (Art. 5 Abs. 1 Buchst. c DSGVO) kann dadurch entgegengewirkt werden, dass der Gemeinderat in einer Richtlinie nach Art. 37 Abs. 1 Satz 2 Gemeindeordnung oder in einer Satzung die örtlich maßgeblichen Gratulationsanlässe festlegt."

  1. Vgl. auch Albers/Veit, in: Wolff/Brink, Beck’scher Online-Kommentar Datenschutzrecht, Stand 11/2019, Art. 6 DSGVO Rn. 58. [Zurück]
  2. Siehe Bundesverfassungsgericht, Beschluss vom 6. November 2019, 1 BvR 16/13, NJW 2020, 300. [Zurück]
  3. Vgl. Bundesverfassungsgericht, Urteil vom 6. Juli 1999, 2 BvF 3/90, BVerfGE 101, 1 (34). [Zurück]
  4. Bundesverfassungsgericht, Beschluss vom 8. August 1978, 2 BvL 8/77, BVerfGE 49, 89 (126). [Zurück]
  5. Bundesverfassungsgericht, Beschluss vom 6. Juni 1989,1 BvR 727/84, BVerfGE 80, 124 (132). [Zurück]
  6. Vgl. Bundesverfassungsgericht, Beschluss vom 13. Juli 2004, 1 BvR 1298/94, BVerfGE 111, 191 Rn. 147 ff.; Oberverwaltungsgericht Rheinland-Pfalz, Urteil vom 8. März 1994, 7 C 11302/93, juris Rn. 22; Burghart in: Leibholz/Rinck, Grundgesetz, Stand 10/2019, Art. 20 GG Rn. 236; siehe auch für Kommunen: Bayerischer Verwaltungsgerichtshof, Urteil vom 14. Juli 2011, 4 N 10.2660, juris Rn. 29; Bayerischer Verwaltungsgerichtshof, Beschluss vom 27. Februar 2017, 4 N 16.461, ZD 2017, 487 Rn. 19 ff. [Zurück]
  7. Bayerischer Verwaltungsgerichtshof, Beschluss vom 27. Februar 2017, 4 N 16.461, ZD 2017, 487 Rn. 19 f. [Zurück]
  8. Bayerischer Landesbeauftragter für den Datenschutz, Einladungen zu Veranstaltungen durch bayerische Kommunen, Aktuelle Kurz-Information 10, Stand 10/2018, Internet: https://www.datenschutz-bayern.de, Rubrik „Datenschutzreform 2018 – Aktuelle Kurz-Informationen“. [Zurück]
  9. Bayerischer Landesbeauftragter für den Datenschutz, Fotografien in der Öffentlichkeitsarbeit bayerischer Kommunen, Aktuelle Kurz-Information 16, Stand 12/2018, Internet: siehe Endnote 8. [Zurück]
  10. Bayerischer Landesbeauftragter für den Datenschutz, Melderegisterdaten und Gratulationen, Stand 1/2022, Aktuelle Kurz-Information 5, Internet: siehe Endnote 8. [Zurück]