Sie sind hier: > Start > Tätigkeitsberichte > 21. TB 2004 > 4. Allgemeines Datenschutzrecht
Der Bayerische Landesbeauftragte für den Datenschutz; Stand: 27.01.2005
4. Allgemeines Datenschutzrecht
4.1. Freigabepflicht bei der Veröffentlichung von Mitarbeiterdaten im Internet
Der EuGH in Luxemburg hat mit Urteil vom 06.11.2003, Rechtssache C-101/01, entschieden, "dass die Handlung, die darin besteht, auf einer Internetseite auf verschiedene Personen hinzuweisen und diese entweder durch ihren Namen oder auf andere Weise, etwa durch Angabe ihrer Telefonnummer oder durch Informationen über ihr Arbeitsverhältnis oder ihre Freizeitbeschäftigungen, erkennbar zu machen, eine ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten im Sinne von Art. 3 Abs. 1 der EG-Datenschutzrichtlinie darstellt."
Dieses grundlegende Urteil des EuGH hat auch Auswirkungen auf die datenschutzrechtliche Freigabepflicht bei der Veröffentlichung von personenbezogenen Daten im Internet.
Ich habe bisher die Auffassung vertreten, dass das Einstellen eines statischen Datenbestandes
- z.B. in Form einer "starren HTML-Seite" - keine automatisierte Verarbeitung darstellt und damit nicht freigabepflichtig ist. Diese Auffassung halte ich angesichts des obigen Urteils nicht mehr aufrecht.
Nach Art. 26 BayDSG bedarf ein automatisiertes Verfahren, mit dem personenbezogene Daten verarbeitet werden, vor dem erstmaligen Einsatz der schriftlichen Freigabe durch den behördlichen Datenschutzbeauftragten und anschließend gemäß Art. 27 BayDSG der Aufnahme in das Verfahrensverzeichnis. Zur datenschutzrechtlichen Freigabe sowie zum Verfahrensverzeichnis habe ich mich bereits in meinem 20. Tätigkeitsbericht unter Nr. 17.1.6 ausführlich geäußert.
Der Gerichtshof hat zur Frage der automatisierten Verarbeitung ausgeführt, dass es zur Wiedergabe von Informationen auf einer Internetseite nach den gegenwärtig angewandten technischen und EDV-Verfahren eines Hochladens dieser Seite auf einen Server sowie der erforderlichen Vorgänge bedarf, um diese Seite den mit dem Internet verbundenen Personen zugänglich zu machen. Dann hat der Gerichtshof wörtlich festgestellt: "Diese Vorgänge erfolgen zumindest teilweise in automatisierter Form".
In dem vom EuGH beschriebenen Umfang bedarf deshalb das Einstellen von personenbezogenen Daten in das Internet - in der Praxis vor allem relevant in Bezug auf Mitarbeiterdaten - durch bayerische öffentliche Stellen der Freigabe durch den behördlichen Datenschutzbeauftragten gem. Art. 26 BayDSG. Dies gilt auch, wenn lediglich einmalig ein fest vorgegebener Datenbestand - als so genannte "starre HTML-Seite" - ins Internet eingestellt wird, da das Gericht insofern keine Unterscheidung macht. Das EuGH-Urteil führt damit zu einer Stärkung der Stellung der betroffenen Bürgerinnen und Bürger und mittelbar auch des behördlichen Datenschutzbeauftragten.
Eine Freigabepflicht besteht meiner Auffassung nach allerdings dann nicht, wenn eine Homepage nur solche personenbezogenen Daten enthält, die der "Ersteller" der Web-Site in Vollzug seiner teledienstrechtlichen Pflicht zur Anbieterkennzeichnung - hierzu habe ich mich bereits in meinem 20. Tätigkeitsbericht unter Nr. 17.1.7 ausführlich geäußert - aufgenommen hat. Da gem. § 6 TDG lediglich personenbezogene Daten des Diensteanbieters selbst aufzunehmen sind, sehe ich in einer solchen Fallgestaltung keine Gefährdung des Rechtes auf informationelle Selbstbestimmung, so dass ich auf Grund einer zweckorientierten Beschränkung des Art. 26 Abs. 1 Satz 1 BayDSG keine Freigabepflicht sehe.
Die Frage der Freigabe wird sich bei Internet-Auftritten öffentlicher Stellen immer häufiger stellen. Im Rahmen des ständigen Ausbaus von eGovernment-Lösungen werden immer häufiger auch personenbezogene Daten der wichtigsten Ansprechpartner für den Bürger (etwa Name,
akademische Grade, dienstliche Anschrift, dienstliche Telefon- und Faxnummer, dienstliche
E-Mail-Adresse, Aufgabenbereich) in das Internet eingestellt. In diesen Fällen greift nunmehr die Freigabepflicht gem. Art. 26 BayDSG ein.
Schließlich möchte ich noch auf Folgendes hinweisen: Im Rahmen des Freigabeverfahrens,
aber auch unabhängig davon, ist stets zu prüfen, ob die mit einer Einstellung in das Internet verbundene Verarbeitung von personenbezogenen Daten nach dem materiellen Datenschutzrecht inhaltlich zulässig ist.
Für den Bereich der (kommunalen) Verwaltungen habe ich mich zu dieser Frage bereits im 18. Tätigkeitsbericht unter Nr. 12.3 geäußert. Hinweise für Hochschulen finden sich unter Nr. 16.2.1 meines 20. Tätigkeitsberichts. Vorgaben für die Veröffentlichung von Daten über Lehrer-, Schüler und Elternbeiratsmitglieder im Internet sind in Nr. 15.1 des 18. Tätigkeitsberichts und in Nr. 15.1 des 19. Tätigkeitsberichts enthalten.
4.2. Outsourcing von Verwaltungsleistungen ins Nicht-EU-Ausland
In Anbetracht der aktuellen Reformbestrebungen bin ich in letzter Zeit des öfteren mit der Frage konfrontiert worden, was bei einer Auftragsdatenverarbeitung im Nicht-EU-Ausland von bayerischen Behörden zu beachten ist.
Hierzu gebe ich aus datenschutzrechtlicher Sicht folgende Hinweise:
Bei einem Auftragnehmer aus einem Nicht-EU-Land handelt es sich gem. Art. 4 Abs. 10 Satz 1 BayDSG um einen "Dritten". Eine Weitergabe von personenbezogenen Daten durch bayerische öffentliche Stellen an einen Dritten stellt somit gem. Art. 4 Abs. 6 Satz 2 Nr. 3 Buchst. a) BayDSG ein "Übermitteln" dar.
Die Datenübermittlung an Stellen im Ausland ist in Art. 21 BayDSG geregelt. Gemäß den Vorgaben der EG-Datenschutzrichtlinie unterscheidet die Regelung des Art. 21 BayDSG dabei danach, ob das Zielland der EU/dem EWR angehört oder ob es sich um ein sog. "Drittland" handelt. Nach Art. 21 Abs. 2 Satz 1 BayDSG gilt für die Übermittlung personenbezogener Daten an Stellen in einem sog. "Drittland" grundsätzlich die Vorschrift des Art. 19 Abs. 1 und 3 BayDSG. In den Fällen der Auftragsdatenverarbeitung kommt in der Regel die Befugnisnorm des Art. 19 Abs. 1 Nr. 1 BayDSG in Betracht. Im konkreten Einzelfall ist vom Auftraggeber sorgfältig zu prüfen, ob die Übermittlung der personenbezogenen Daten an den Auftragnehmer zur Erfüllung der in der Zuständigkeit der übermittelnden Stelle liegenden Aufgaben erforderlich ist. Ist dies der Fall, so sind die Voraussetzungen des Art. 19 Abs. 1 Nr. 1 BayDSG i.V.m. Art. 17 Abs. 1 Nr. 2 BayDSG erfüllt, da in den Fällen der Auftragsdatenverarbeitung keine Zweckänderung vorliegt.
Nach Art. 21 Abs. 2 Satz 1 BayDSG ist für die Zulässigkeit der Übermittlung personenbezogener Daten an sog. "Drittländer" kumulativ erforderlich, dass das "Drittland" ein angemessenes Datenschutzniveau gewährleistet (vgl. Art. 21 Abs. 2 Sätze 2 bis 5 BayDSG). Ob dies der Fall ist, ist von der übermittelnden Behörde eigenständig zu prüfen. Diese schwierige Prüfung ist allerdings dann entbehrlich, wenn die Europäische Kommission förmlich festgestellt hat, dass ein "Drittland" ein angemessenes Datenschutzniveau gewährleistet (Verfahren gem. Art. 25 Abs. 6 BayDSG i.V.m. Art. 31 Abs. 2 EG-Datenschutzrichtlinie). Eine solche förmliche Feststellung ist bisher beispielsweise in Bezug auf die Schweiz, Ungarn, Guernsey oder Argentinien erfolgt (eine stets aktualisierte Auflistung der "Drittländer" mit angemessenem Datenschutzniveau findet sich unter http://europa.eu.int/comm/internal_market/privacy/adequacy_en.htm#countries (externer Link)).
Allgemein möchte ich noch darauf hinweisen, dass gem. Art. 21 Abs. 3 BayDSG die Verantwortung für die Zulässigkeit der Übermittlung die übermittelnde Stelle trägt. Nach Art. 6 Abs. 1 Satz 1 BayDSG bleibt der Auftraggeber zudem für die Einhaltung der Vorschriften über den Datenschutz verantwortlich. Der Auftraggeber hat des weiteren die Eignung des Auftragnehmers gem. Art. 6 Abs. 2 Satz 1 BayDSG streng zu prüfen und die Einhaltung der Datensicherheit beim Auftragnehmer gem. Art. 6 Abs. 2 Satz 3 BayDSG zu überwachen. Bei einer Auftragsdatenverarbeitung in "Drittländern" sind diese Vorschriften über die Verantwortung des Auftraggebers besonders ernst zu nehmen.
4.3. Archivrechtliche Anbietungspflicht und datenschutz-/ disziplinar- und personalaktenrechtliche Löschungspflicht
Im Berichtszeitraum befasste ich mich mehrfach mit dem Verhältnis zwischen archivrechtlicher Anbietungspflicht und datenschutzrechtlicher bzw. disziplinar- und personalaktenrechtlicher Löschungspflicht.
Hier sind zwei Problemkreise zu unterscheiden:
Archivrechtliche Anbietungspflicht und datenschutzrechtliche Löschungspflicht
Solange ein Vorgang noch zur Aufgabenerfüllung der Behörde benötigt wird, steht die spätere archivrechtliche Anbietungspflicht einer aktuellen datenschutzrechtlichen Pflicht, ein einzelnes Datum zu löschen, nicht entgegen.
Im Einzelnen:
Nach Art. 12 Abs. 8 BayDSG ist eine Löschung von personenbezogenen Daten in anbietungspflichtigen Unterlagen erst dann zulässig, wenn das öffentliche Archiv die Unterlagen nicht als archivwürdig übernommen hat oder über die Übernahme nicht fristgerecht entschieden hat. Die Kollisionsregel des Art. 12 Abs. 8 BayDSG sichert so im Ergebnis den Vorrang der in Art. 6 BayArchivG statuierten Anbietungspflicht.
Allerdings kann der Vorrang der archivrechtlichen Anbietungspflicht nur greifen, soweit diese Pflicht tatsächlich reicht: Alle Behörden, Gerichte und sonstigen öffentlichen Stellen des Freistaates Bayern haben gemäß Art. 6 Abs. 1 Satz 1 BayArchivG dem zuständigen staatlichen Archiv die Unterlagen zur Übernahme anzubieten, die sie zur Erfüllung ihrer Aufgaben nicht mehr benötigen. Gemäß Art. 6 Abs. 1 Satz 2 BayArchivG ist dies in der Regel 30 Jahre nach Entstehung der Unterlagen anzunehmen, soweit durch Rechts- oder Verwaltungsvorschriften der
obersten Staatsbehörden nichts anderes bestimmt ist. Werden also die Unterlagen für die Aufgabenerfüllung der Behörde noch benötigt, ist aber ein einzelnes Datum nach Datenschutzrecht zu löschen, greift die Kollisionsregel des Art. 12 Abs. 8 BayDSG nicht ein, da im Zeitpunkt der Anbietungspflicht das Datum nicht mehr existiert. Die (spätere) archivrechtliche Anbietungspflicht steht der (früheren) Löschung der Daten nach Datenschutzrecht also nicht entgegen.
Festzuhalten ist also: Erhebt sich während der laufenden Bearbeitung des Vorgangs die Frage, ob Einzeldaten zu löschen sind, ist Prüfungsmaßstab allein Art. 12 BayDSG (und zwar ohne die Vorschrift des Abs. 8). Die Frage der Anbietungspflicht stellt sich nicht.
Wird hingegen die Löschung einzelner Daten eines Vorganges beabsichtigt, der zur Aufgabenerfüllung der betreffenden Behörde nicht mehr erforderlich ist, ist zuvor die Frage der Anbietungspflichtigkeit gem. Art. 6 BayArchivG zu prüfen. Besteht diese, ist eine Löschung der Einzeldaten erst unter den Voraussetzungen des Art. 12 Abs. 8 BayDSG zulässig.
Die hier vorgenommene Auslegung wird dem Sinn und Zweck beider Gesetze gerecht: Nur der abgeschlossene Vorgang, nicht aber jedes Einzeldatum soll der Archivverwaltung angeboten werden. An der Anbietung von Einzeldaten besteht seitens der Archivverwaltung auch kein Interesse: diese kann die Archivwürdigkeit nur dann sachgerecht beurteilen, wenn die Unterlagen im Zusammenhang und nach einem gewissen Zeitablauf vorgelegt werden.
Archivrechtliche Anbietungspflicht und disziplinar-/ personalaktenrechtliche Löschungspflicht
Obwohl Disziplinarakten zum Personalakt im materiellen Sinn zählen, weichen u.a. die disziplinarrechtlichen Regelungen des Verwertungsverbots und der Entfernung von Unterlagen vom allgemeinen Personalaktenrecht (Art. 100 ff. BayBG) ab. Demgemäß statuiert Art. 100 f Abs. 1 BayBG den Vorrang der disziplinarrechtlichen Tilgungsvorschrift des Art. 109 BayDO. Nach Art. 109 Abs. 2 Satz 1 BayDO sind die in den Personalakten enthaltenen Eintragungen über die Disziplinarmaßnahmen nach Eintritt des Verwertungsverbots bei Verhängung von Verweis oder Geldbuße auf Antrag des Beamten zu vernichten; in allen anderen Fällen sind sie mit einem entsprechenden Vermerk zu versehen, aus den Personalakten zu entfernen und gesondert aufzubewahren. Diese Vorgänge dürfen nur mit Zustimmung des Beamten eingesehen werden (Art. 109 Abs. 2 Satz 2 BayDO). Disziplinarverfahren, die mit der Verhängung einer schwereren Disziplinarmaßnahme (Versetzung in ein Amt mit geringerem Endgrundgehalt) enden, unterliegen allerdings nicht dem Verwertungsverbot und können auch nicht getilgt werden.
In den Anwendungsbereich des Art. 100 f Abs. 1 BayBG fallen demgegenüber Unterlagen über Beschwerden, Behauptungen und Bewertungen, auf die die Tilgungsvorschriften des Disziplinarrechts keine Anwendung finden, u.a. negative Aussagen über die Leistung oder die Eignung des Beamten. Sie sind nach Nr. 2 dieser Vorschrift auf Antrag des Beamten nach drei Jahren zu entfernen und zu vernichten, falls sie für den Beamten ungünstig sind oder ihm nachteilig werden können. Dies gilt allerdings nicht für dienstliche Beurteilungen.
Nach Art. 11 Abs. 4 Satz 1 BayArchivG sind Unterlagen zu vernichten, wenn sie zum Zeitpunkt der Abgabe an das Archiv von der abgebenden Stelle hätten vernichtet werden müssen. Auf Grund dieser Vorschrift geht die disziplinar-/personalaktenrechtliche Vernichtungspflicht der archivrechtlichen Anbietungspflicht vor.
Die "übrigen" abgeschlossenen - also nicht getilgten - Disziplinarunterlagen, die materiell zum Personalakt gehören, werden gem. Art. 100 g Abs. 4 BayBG nach Ablauf der Aufbewahrungsfrist vernichtet, sofern sie nicht vom zuständigen öffentlichen Archiv nach der in Art. 6 Abs. 1 Satz 1 BayArchivG vorgeschriebenen Anbietung übernommen werden.