Der Bayerische Landesbeauftragte für den Datenschutz; Stand: 1.2.2007

Um diese Seite zu drucken, benutzen Sie bitte die "Drucken"-Funktion Ihres Browsers (etwa im Menü Datei->Drucken). Danach dieses Fenster bitte wieder schließen.

22. Spezielle datenschutzrechtliche Themen

22.1. Datenschutz bei Verwendungsnachweisen

Öffentliche Stellen, die Fördermittel aus öffentlichen Haushalten erhalten, müssen regelmäßig die zweckentsprechende und sparsame Verwendung der ihnen zur Verfügung gestellten Mittel gegenüber dem Zuwendungsgeber mittels sog. Verwendungsnachweise belegen. Datenschutzrechtliche Probleme können sich insbesondere dann ergeben, wenn nach den Förderbedingungen vom Zuwendungsempfänger zum Nachweis von Personalkosten auch Personaldaten, vor allem Gehaltsdaten, erhoben und übermittelt werden sollen.

Den folgenden Fall habe ich zum Anlass genommen, mich eingehend mit dieser Problematik auseinanderzusetzen:

Zur Durchführung verschiedener Forschungsvorhaben erhielt ein Lehrstuhl einer bayerischen Universität im Rahmen der Forschungsförderung von einer Einrichtung des Bundes öffentliche Mittel. Als Fördervoraussetzung war dabei im jeweiligen Zuwendungsbescheid u.a. festgelegt, welcher Eigenanteil vom Zuwendungsempfänger - in Form von Arbeitsleistung - erbracht werden musste. Zur genauen Überprüfung dieser Fördervoraussetzung forderte die Mittel gewährende Einrichtung vom Lehrstuhl nun, die in den jeweiligen Verwendungsnachweisen abgerechneten Personalkosten durch Beifügung der Gehaltsmitteilungen der am jeweils geförderten Projekt beteiligten Bediensteten zu belegen. Ohne den Nachweis des Eigenanteils, d.h. also ohne die Einwilligung der betroffenen Mitarbeiter in die Erhebung und Übermittlung ihrer Gehaltsdaten, würden die Zuwendungen zurückgezogen, so dass den über die fördernde Einrichtung finanzierten wissenschaftlichen Mitarbeitern des Lehrstuhls unverzüglich gekündigt werden müsste. Ein betroffener (nicht-wissenschaftlicher) Lehrstuhlmitarbeiter, dessen Gehalt - wie bei Hochschulmitarbeitern üblich - von der damaligen Bezirksfinanzdirektion abgerechnet wurde, war nun einerseits trotz Aufforderung nicht geneigt, seine - auch zahlreiche persönliche, sensible Daten enthaltende - Gehaltsmitteilung zu diesem Zweck dem Lehrstuhl auszuhändigen. Da er andererseits aber auch die Zuwendung der Fördermittel und damit letztlich den Arbeitsplatz seiner Kollegen nicht gefährden wollte, sah er sich einer "Nötigungssituation" ausgesetzt und wandte sich im Rahmen einer Eingabe an mich.

Meiner Auffassung nach ist eine Beifügung der Gehaltsmitteilungen der am jeweiligen Projekt beteiligten Mitarbeiter zu den Verwendungsnachweisen aus datenschutzrechtlicher Sicht nicht hinnehmbar.

In den Gehaltsmitteilungen sind nämlich neben den Angaben über Besoldungsgruppe, Alter und Familienstand beispielsweise auch Angaben über Lohnsteuerklasse, Religions(nicht)zugehörigkeit, Lohn- und Kirchensteuerbeträge und u.U. auch Angaben über den Arbeitgeberanteil zur Sozialversicherung, über Freibeträge und vermögenswirksame Leistungen, aber ggf. auch über Lohnpfändungen enthalten. Bei all diesen Gehaltsdaten handelt es sich somit um sensible Personalaktendaten, die nach den gesetzlichen Bestimmungen der Art. 100 ff. BayBG besonderen Schutz genießen. Diese Bestimmungen sind meiner Auffassung nach analog auch auf die nicht verbeamteten Beschäftigten des öffentlichen Dienstes anzuwenden, da sie allgemein gültige Schutzprinzipien für Arbeitnehmer enthalten.

Soweit der Zuwendungsempfänger nun - wie hier - in Bezug auf die Gehaltsabrechnungen seiner Mitarbeiter nicht speichernde Stelle im Sinne des Art. 4 Abs. 9 BayDSG ist, stellt das Einfordern der Gehaltsmitteilungen eine Erhebung von Personalaktendaten dar. Nach Art. 100 Satz 1 BayBG darf der Dienstherr personenbezogene Daten über Beamte jedoch nur erheben, soweit dies zur Begründung, Durchführung, Beendigung oder Abwicklung des Dienstverhältnisses oder zur Durchführung organisatorischer, personeller und sozialer Maßnahmen, insbesondere auch zu Zwecken der Personalplanung und des Personaleinsatzes, erforderlich ist oder eine Rechtsvorschrift dies erlaubt. Eine Erhebung sämtlicher in den Gehaltsmitteilungen enthaltenen Personalaktendaten durch den Dienstherrn zum Nachweis der Fördervoraussetzungen gegenüber einer dritten Stelle ist danach jedenfalls nicht zulässig.

Aber auch falls der Zuwendungsempfänger die Gehälter der bei ihm beschäftigten Mitarbeiter selbst abrechnet, ist jedenfalls die ihm angesonnene Übermittlung der Gehaltsmitteilungen an den Zuwendungsgeber unzulässig:


Die vorgesehenen Übermittlungen sind als (Sammel-)auskünfte aus den Personalakten der betroffenen Bediensteten zu werten. Abgesehen von seltenen, hier nicht einschlägigen Ausnahmefällen dürfen solche Auskünfte an Dritte nach Art. 100 e Abs. 2 Satz 1 BayBG nur mit Einwilligung der Beamten erteilt werden. Da bei einer Verweigerung der Einwilligung jedoch die Gefahr der Streichung von Fördermitteln und damit letztlich u.U. auch des Wegfalls von Arbeitsplätzen besteht, unterliegen in Fallgestaltungen wie der vorliegenden die um Erteilung der Einwilligung angegangenen Mitarbeiter einem erheblichen faktischen Zwang. Eine in dieser Situation den Beschäftigten abverlangte Einwilligung ist aber rechtlich nicht wirksam, da die vom Gesetz vorausgesetzte, im Dienst- oder Arbeitsverhältnis ohnehin problematische Freiwilligkeit der Einwilligung (Art. 15 Abs. 2 BayDSG) gerade nicht vorliegt.

Darüber hinaus sei noch darauf hingewiesen, dass die fördernde Einrichtung in dem zu Grunde liegenden Fall vor dem Hintergrund vielfach fehlerhafter Gehaltsabrechnungen in der Vergangenheit darauf bestand, auch die Höhe der in Ansatz gebrachten Gehaltszahlungen an die betroffenen Lehrstuhlmitarbeiter im Einzelnen zu überprüfen. Die von mir üblicherweise bevorzugte Heranziehung aktueller Personalkostendurchschnittswerte (vgl. nur Nr. 12.2 meines 18. Tätigkeitsberichtes 1998) kam daher zur Lösung der vorliegenden Problematik nicht in Betracht.

In Verhandlungen mit dem Staatsministerium der Finanzen, der fördernden Einrichtung und dem Datenschutzbeauftragten der betreffenden Universität konnte mittlerweile ein neues Verfahren entwickelt werden, das den Schutz der personenbezogenen Daten der Mitarbeiter gewährleistet; es wird gleichzeitig den Belangen der Forschung und der Forschungsförderung einerseits und dem berechtigten Interesse an einer effektiven Überprüfung der Fördervoraussetzungen andererseits in bestmöglichem Umfang gerecht. Im Einzelnen gestaltet sich das Verfahren wie folgt:

Bereits bisher werden - im staatlichen Bereich - von der Bezügestelle die jeweils aufgelaufenen Beträge der Bezüge-Haushaltsbelastung der "Haushalt führenden Stelle" im Wege eines HÜL-Auszuges (Haushaltsüberwachungsliste; Art. 34 BayHO und Nr. 7, 7.1.1, 7.1.2 und 7.2.2 VV-BayHO) in Papierform bereitgestellt. Diese Daten sind bestimmten Beschäftigten (Name, Geburtsdatum) zuordnenbar und enthalten - neben der Buchungsstelle - den Gesamtbetrag der Haushaltsbelastung, unterteilt nach Bruttobezügen sowie ggf. Arbeitgeber-Sozialversicherungsanteilen und Arbeitgeber-Aufwendungen für die Zusatzversorgung. Angaben über die konkrete Nettoberechnung (Steuerbeträge usw.) sowie zusätzliche persönliche Angaben (Lohnsteuerklasse usw.) sind in diesen Unterlagen nicht enthalten.


Die routinemäßige Übermittlung eines HÜL-Auszuges durch die Bezügestelle an die "Haushalt führende Stelle" ist datenschutzrechtlich gemäß Art. 18 Abs. 1 i.V.m. Art. 17 Abs. 1 Nr. 2 BayDSG zulässig. Denn die damit verbundene Übermittlung personenbezogener Daten ist zur Erfüllung der gesetzlichen Verpflichtung der "Haushalt führenden Stelle" zur Überwachung des Haushalts (Art. 34 Abs. 2 BayHO) in Bezug auf die Personalausgaben erforderlich und die personenbezogenen Daten sind (auch) für diesen Zweck zuvor durch die Bezügestelle gespeichert worden.

Die "Haushalt führende Stelle" - im wissenschaftlichen Bereich sind Teile der Haushaltsführung den Lehrstühlen übertragen (Projektmittelfinanzierung) - bittet nun künftig in einem ersten Schritt die zuständige Bezügestelle um Auskunft über die in konkreten Zeiträumen (z.B. April bis Juni 2006) aufgelaufene Haushaltsbelastung bezüglich der Mitarbeiter, die für das jeweils geförderte Projekt Arbeitsleistungen erbracht haben. In einem zweiten Schritt bildet sie - etwa nach den dort vorliegenden Stundenaufschreibungen - die dem jeweiligen Arbeitsanteil entsprechenden anteiligen Summen und leitet diese sodann in einem dritten Schritt pseudonymisiert dem Mittelgeber zur Rechungslegung zu.


Im Rahmen der Pseudonymbildung durch die betreffende öffentliche Stelle ist darauf zu achten, dass die Verwendung von Pseudonymen, die personenbezogene Bestandteile enthalten, unterbleibt. So ist insbesondere die Verwendung der Organisations- und Stammnummer des jeweiligen Beschäftigten als Pseudonym datenschutzrechtlich unzulässig, da die Stammnummer das Geburtsdatum des Beschäftigten enthält.

Die Übermittlung der Auskünfte über die in konkreten Zeiträumen aufgelaufenene Haushaltsbelastung bezüglich der für das geförderte Projekt tätigen Mitarbeiter durch die Bezügestelle an die Lehrstuhlverwaltung zum Nachweis der ordnungsgemäßen Verwendung der Fördermittel ist gemäß Art. 18 Abs. 1 i.V.m. Art. 17 Abs. 3 Satz 1 Fall 3 BayDSG zulässig, da diese Datenübermittlung für Zwecke der Rechnungsprüfung erfolgt. Ebenfalls aufgrund dieser Rechtsgrundlage ist die Übermittlung der pseudonymisierten Daten durch die Lehrstuhlverwaltung an die betreffende Einrichtung der Forschungsförderung zum Nachweis des Eingenanteils zulässig.

Ich habe den Datenschutzbeauftragten der betreffenden Hochschule gebeten, dieses neue Verfahren allen mit der Erstellung von Verwendungsnachweisen befassten Lehrstühlen zur Kenntnis zu bringen und dafür Sorge zu tragen, dass umgehend von einer ggf. bisher abweichenden Verfahrenspraxis Abstand genommen wird. Zudem habe ich gebeten, dieses Verfahren den Datenschutzbeauftragten der bayerischen Universitäten und Fachhochschulen vorzustellen. Der betroffene universitäre Datenschutzbeauftragte hat mir beides zugesagt.

Schließlich möchte ich noch darauf hinweisen, dass dieses Verfahren auch in vergleichbaren Fallgestaltungen außerhalb des Hochschulbereichs, in denen eine öffentliche Stelle die ordnungsgemäße Erbringung des Eigenanteils zur Erlangung von Fördermitteln oder die ordnungsgemäße Verwendung von Fördermitteln (insbesondere Personalkostenzuschüssen) gegenüber dem Zuwendungsgeber mitarbeiterbezogen und Euro-genau nachzuweisen hat, Anwendung finden sollte. So kann dieses Verfahren sinngemäß auch im kommunalen Bereich angewandt werden, da die Inanspruchnahme der Ausgabemittel dort gem. § 26 Abs. 2 Satz 1 der Kommunalhaushaltsverordnung ebenfalls in Haushaltsüberwachungslisten oder auf andere geeignete Weise zu überwachen ist.

22.2. Referentendatenbanken bei Erwachsenenbildungseinrichtungen

Eine betroffene Referentin machte mich darauf aufmerksam, dass das Bildungswerk eines meiner Kontrollkompetenz unterliegenden, bayernweit tätigen Berufsverbandes gerade im Begriff war, eine zentrale, landesweite Datenbank über die mehr als 300 für das Bildungswerk nebenberuflich tätigen Referenten einzurichten. Ziel des Bildungswerks war es, die bereits bisher sowohl in der Zentrale als auch in den Außenstellen vorgehaltenen Referentenvorschlagslisten mit sehr uneinheitlichen Datenbeständen in einer einzigen, einheitlichen Referentendatenbank zusammenzuführen. Damit sollte auch eine der Voraussetzungen für die Zertifizierung des Bildungswerkes erfüllt werden, die das Staatsministerium für Unterricht und Kultus im Jahr 2003 allen Trägern von Erwachsenenbildungseinrichtungen in Bayern empfohlen hatte.

Vor diesem Hintergrund hatte das Bildungswerk seine Referenten darum gebeten, einen "Lebenslauf" mit Angaben zu Schul- und Weiterbildung und Berufs- und sonstiger Tätigkeit sowie mit einem Foto und Kopien von Qualifikationsnachweisen (Zeugnisse, Zertifikate u.ä.) einzureichen. Weiter war ein "Datenblatt" von den Referenten auszufüllen und zu unterschreiben, worin u.a. um Angabe von Geburtstag, Bankverbindung und regionalem Einsatzgebiet gebeten worden war. Durch Unterzeichnung einer "Erklärung zum Datenschutz" sollten die Referenten ihr Einverständnis mit der Speicherung, Nutzung und Weitergabe - auch an nicht näher bezeichnete außenstehende Dritte - ihrer persönlichen Daten einschließlich ihres Fotos erklären. Zudem war von ihnen ein "Fragebogen über Beziehungen zur Scientology-Organisation" auszufüllen. In dem zugehörigen Anschreiben hatte das Bildungswerk schließlich erklärt, dass auch die Referenten, die nicht in die Datenbank aufgenommen werden wollten, alle Unterlagen zurücksenden müssten.

Die betroffene Referentin verweigerte die Rücksendung der Unterlagen und bat mich um datenschutzrechtliche Überprüfung der Angelegenheit.

In seiner ausführlichen Stellungnahme wies der Berufsverband zunächst darauf hin, dass die Angabe der persönlichen Daten nur mit Einwilligung der Referenten erfolge. Aufgrund der angestrebten Zertifizierung setze allerdings die weitere Ausübung ebenso wie die Neubegründung einer Referententätigkeit voraus, dass dem Bildungswerk die notwendigen, in den Vordrucken als Pflichtangaben bezeichneten Daten mitgeteilt würden. Zudem sei nach Art. 10 Abs. 2 Erwachsenenbildungsförderungsgesetz (EBFöG) der Einsatz geeigneter Lehrkräfte Voraussetzung für die Gewährung von staatlichen Fördermitteln. Sodann begründete der Berufsverband die durch die versandten Unterlagen beabsichtigten Datenerhebungen im einzelnen: So sei es, um die Qualifikation der Referenten feststellen zu können, erforderlich, einen Lebenslauf einschließlich Qualifikationsnachweisen zu erhalten. Die Angabe des Geburtsdatums diene als Unterscheidungsmerkmal bei Namensgleichheit. Die Angabe der Kontoverbindung sei für die Honorarzahlung notwendig; eine andere Zahlungsart scheide künftig aus. Schließlich sollten aufgrund der Angabe des regionalen Einsatzgebietes zukünftig unnötige Anfragen bei den Referenten vermieden werden.

Im Verlaufe eines umfangreichen Schriftwechsels habe ich den Aufbau der gegenständlichen Referentendatenbank gegenüber dem Berufsverband aus datenschutzrechtlicher Sicht wie folgt bewertet:

Eine Einwilligung ist nur dann datenschutzrechtlich wirksam, wenn sie den in Art. 15 Abs. 2 bis 4 BayDSG aufgestellten Anforderungen entspricht. Dabei räumt der bayerische Gesetzgeber insbesondere der Freiwilligkeit der Einwilligung einen hohen Stellenwert ein.

Im Hinblick auf die formalen Datenschutzanforderungen an Einwilligungen wies die den Referenten zugesandte "Erklärung zum Datenschutz" zahlreiche Mängel auf:

Das Schriftformerfordernis des Art. 15 Abs. 3 Satz 1 BayDSG war zwar erfüllt. Auch kam der Berufsverband der Anforderung des Art. 15 Abs. 4 BayDSG nach, die Einwilligungserklärung im äußeren Erscheinungsbild hervorzuheben. Der in Art. 15 Abs. 2 BayDSG aufgestellten Verpflichtung, die Betroffenen auf den Zweck der Erhebung, Verarbeitung oder Nutzung hinzuweisen, wurde aber nur im Anschreiben entsprochen. Aus Transparenzgründen hätte dieser Hinweis jedoch unmittelbar in die zu unterzeichnende "Erklärung zum Datenschutz" aufgenommen werden müssen; zumindest hätte in der "Erklärung zum Datenschutz" insoweit ausdrücklich auf das Anschreiben Bezug genommen werden müssen. Des weiteren enthielt die "Erklärung zum Datenschutz" keinen ausdrücklichen Hinweis auf die Freiwilligkeit; diese ergab sich nur mittelbar aus dem Gesamtzusammenhang der Unterlagen. Um der gesetzlichen Verpflichtung des Art. 15 Abs. 2 BayDSG zum Hinweis auf die Empfänger vorgesehener Datenübermittlungen nachzukommen, genügte es auch nicht, in der "Erklärung zum Datenschutz" lediglich pauschal auf "Dritte" zu verweisen. Nicht nur aus Gründen einer vermutlich erhöhten Akzeptanz bei den betroffenen Referenten wäre zumindest der Kreis der in Betracht kommenden Dritten genau zu bezeichnen gewesen. Schließlich wies zwar der Berufsverband in der "Erklärung zum Datenschutz" darauf hin, dass die Referenten die Einwilligung jederzeit widerrufen können. Im Gegensatz zu der gesetzlichen Verpflichtung des Art. 15 Abs. 2 BayDSG wurden die Referenten aber nicht ausdrücklich unter Darlegung der Rechtsfolgen darauf aufmerksam gemacht, dass sie die Einwilligung verweigern können. Da jedoch im Falle der Verweigerung oder des Widerrufs der Einwilligung eine Aufnahme oder Fortsetzung der Referententätigkeit nicht möglich war, hätte diese Rechtsfolge den Betroffenen klar vor Augen geführt werden müssen.

Ich habe den Berufsverband daher aufgefordert, die "Erklärung zum Datenschutz" unverzüglich in einen datenschutzkonformen Zustand zu bringen.

Bereits nach einer Woche sandte mir der Berufsverband eine entsprechend meinen Forderungen überarbeitete "Erklärung zum Datenschutz" zu. Diese Überarbeitung enthielt nun einen deutlichen Hinweis auf die Freiwilligkeit der Einwilligung. In einem eigenen Absatz wurde nun auch in der "Erklärung zum Datenschutz" auf den Zweck der Datenerhebung, -verarbeitung und -nutzung ausdrücklich hingewiesen. Auf die Weitergabe von Daten an Dritte wurde erfreulicherweise ganz verzichtet; nach Aussage des Berufsverbands würden in Zukunft die Referenten über entsprechende Anfragen von Interessenten informiert, sodass sie selbst entscheiden könnten, ob sie sich mit den Interessenten in Verbindung setzen wollten oder nicht. Zusätzlich wurde in einen weiteren Absatz der Hinweis aufgenommen, dass bei Verweigerung oder Widerruf der Einwilligung die personenbezogenen Daten des Betroffenen nicht in der zentralen Referentendatenbank erfasst oder wieder gelöscht werden.

Diese erheblich überarbeitete "Erklärung zum Datenschutz" habe ich akzeptiert, von dem Berufsverband aber gefordert, die neue "Erklärung zum Datenschutz" auch all den Referenten, die die ursprüngliche Fassung bereits unterzeichnet hatten, erneut vorzulegen. Dies sagte der Berufsverband zu.

Bezüglich des Anschreibens habe ich den Berufsverband darauf hingewiesen, dass im Falle der Verweigerung der Einwilligung gerade keine Pflicht besteht, die zugesandten Unterlagen auszufüllen und an das Bildungswerk zurückzusenden. Der Berufsverband sagte zu, diese Passage künftig zu streichen.

Um die Voraussetzungen sowohl für die vom Kultusministerium empfohlene Zertifizierung als auch für die weitere Förderung gem. Art. 10 Abs. 2 EBFöG zu erfüllen, aber zum Teil auch aus praktischen Erwägungen habe ich die mit den Vordrucken "Lebenslauf" und "Datenblatt" erfolgende Erhebung der als "Pflichtangaben" gekennzeichneten Daten in Anbetracht der eingehenden Erläuterungen des Berufsverbands als erforderlich angesehen. Maßstab meiner Prüfung war dabei der Grundsatz, dass eine bayerische öffentliche Stelle auch auf der Grundlage einer Einwilligung nur diejenigen personenbezogenen Daten erheben, verarbeiten oder nutzen darf, die sie zur ordnungsgemäßen Erfüllung ihrer gesetzlichen
- d.h. auch satzungsgemäßen - Aufgaben tatsächlich benötigt. So verzichtete der Berufsverband schließlich auch auf die Einreichung von Fotos.

Da zahlreiche bayerische Beamte eine dem "Fragebogen über Beziehungen zur Scientology-Organisation" entsprechende Erklärung bereits im Rahmen ihrer Einstellung unterzeichnet haben, habe ich die erneute Abgabe einer solchen Erklärung bei diesen Personen als datenschutzrechtlich bedenklich angesehen. Der Berufsverband erklärte sich insofern dazu bereit, in solchen Fällen auf die Unterzeichnung des Fragebogens zu verzichten. Ein entsprechender Hinweis wurde daraufhin in diesen Vordruck aufgenommen.

Zuletzt möchte ich ausdrücklich festhalten, dass die von mir hier allgemein aufgestellten Datenschutzanforderungen an Referentendatenbanken selbstverständlich auch von sämtlichen Erwachsenenbildungseinrichtungen anderer bayerischer öffentlicher Träger zu beachten sind.