≡ Sitemap
Der Bayerische Landesbeauftragte für den Datenschutz (BayLfD)

Sie sind hier: > Start > Tätigkeitsberichte > 27. TB 2016 > 13. Spezielle datenschutzrechtliche Themen

Der Bayerische Landesbeauftragte für den Datenschutz; Stand: 31.01.2017

13. Spezielle datenschutzrechtliche Themen

13.1. Recht auf Auskunft

Mit dem Gesetz über die elektronische Verwaltung in Bayern wurde ein allgemeines Recht auf Auskunft eingeführt. Dieses Recht ist in Art. 36 BayDSG geregelt. Die Norm ist zum 30. Dezember 2015 in Kraft getreten. Zwar konnte bereits bisher auf Grundlage von § 9 Abs. 1 Satz 1 Allgemeine Geschäftsordnung für die Behörden des Freistaates Bayern (AGO) Auskunft gewährt werden. Nun hat erstmals der Gesetzgeber einen echten allgemeinen, von Verfahrenspositionen unabhängigen Auskunftsanspruch geschaffen. Der Auskunftsanspruch soll die Einbindung der Bürgerinnen und Bürger in Vorgänge der öffentlichen Verwaltung stärken (siehe Landtags-Drucksache 17/7537, S. 48).

Art. 36 BayDSG Recht auf Auskunft

(1) 1Jeder hat das Recht auf Auskunft über den Inhalt von Dateien und Akten öffentlicher Stellen, soweit ein berechtigtes, nicht auf eine entgeltliche Weiterverwendung gerichtetes Interesse glaubhaft dargelegt wird und

  1. bei personenbezogenen Daten eine Übermittlung an nicht-öffentliche Stellen zulässig ist und
  2. Belange der öffentlichen Sicherheit und Ordnung nicht beeinträchtigt werden.

2Die Auskunft kann verweigert werden, soweit

  1. Kontroll- und Aufsichtsaufgaben oder sonstige öffentliche oder private Interessen entgegenstehen,
  2. sich das Auskunftsbegehren auf den Verlauf oder auf vertrauliche Inhalte laufender oder abgeschlossener behördeninterner Beratungen oder auf Inhalte aus nicht abgeschlossenen Unterlagen oder auf noch nicht aufbereitete Daten bezieht oder
  3. ein unverhältnismäßiger Aufwand entsteht.

(2) Abs. 1 findet keine Anwendung auf Auskunftsbegehren, die Gegenstand einer Regelung in anderen Rechtsvorschriften sind.

(3) Ausgenommen von der Auskunft nach Abs. 1 sind

  1. Verschlusssachen,
  2. einem Berufs- oder besonderen Amtsgeheimnis unterliegende Datei- und Akteninhalte sowie
  3. zum persönlichen Lebensbereich gehörende Geheimnisse oder Betriebs- und Geschäftsgeheimnisse, sofern der Betroffene nicht eingewilligt hat.

(4) 1Öffentliche Stellen im Sinn des Abs. 1 sind nicht

  1. der Landtag, der Oberste Rechnungshof und die Staatlichen Rechnungsprüfungsämter, der Bayerische Kommunale Prüfungsverband, der Landesbeauftragte für den Datenschutz und das Landesamt für Datenschutzaufsicht,
  2. die obersten Landesbehörden in Angelegenheiten der Staatsleitung und der Rechtsetzung,
  3. die Gerichte, Strafverfolgungs- und Strafvollstreckungsbehörden, Gerichtsvollzieher, Notare und die Landesanwaltschaft Bayern als Organe der Rechtspflege sowie die Justizvollzugsbehörden, die Disziplinarbehörden und die für Angelegenheiten der Berufsaufsicht zuständigen berufsständischen Kammern und Körperschaften des öffentlichen Rechts,
  4. die Polizei und das Landesamt für Verfassungsschutz einschließlich der für ihre Aufsicht zuständigen Stellen,
  5. Finanzbehörden in Verfahren nach der Abgabenordnung,
  6. Universitätskliniken, Forschungseinrichtungen, Hochschulen, Schulen sowie sonstige öffentliche Stellen im Bereich von Forschung und Lehre, Leistungsbeurteilungen und Prüfungen,
  7. die Landeskartellbehörde und die Regulierungskammer des Freistaates Bayern sowie die Industrie- und Handelskammern und die Handwerkskammern,
  8. die kommunalen Spitzenverbände.

2Datei- und Aktenbestandteile der in Satz 1 genannten oder für Angelegenheiten im Sinn von Art. 2 Abs. 4 zuständigen Stellen sind von der Auskunft nach Abs. 1 auch dann ausgenommen, wenn sie sich in Dateien oder Akten anderer öffentlicher Stellen befinden.

(5) Für die Auskunft werden Kosten nach Maßgabe des Kostengesetzes erhoben.

Zu Art. 36 BayDSG habe ich sowohl Bürgerinnen und Bürger als auch bayerische öffentliche Stellen bei konkreten Vorgängen und allgemeinen Anfragen beraten. Dabei habe ich auch dann auf diese Regelung hingewiesen, wenn sich die Beteiligten selbst nicht auf Art. 36 BayDSG bezogen hatten. Beispielsweise haben sich Auskunftssuchende wiederholt auf das Informationsfreiheitsgesetz (IFG) berufen. Dieses Gesetz regelt einen Anspruch auf Zugang zu amtlichen Informationen jedoch nur gegenüber den Behörden des Bundes, nicht hingegen gegenüber Behörden des Freistaates Bayern oder den Kommunen. Bei Auskunftsbegehren sollten Behörden also nicht ausschließlich eine im Antrag angegebene Vorschrift in den Blick nehmen, sondern auch das erkennbar Gewollte und die möglicherweise in diesem Zusammenhang sonst noch bestehenden Regelungen.

Darüber hinaus habe ich eine erste Handreichung erarbeitet, die auf meiner Homepage https://www.datenschutz-bayern.de abrufbar ist. Diese Handreichung ist nachfolgend auszugsweise wiedergegeben.

Wie Sie das allgemeine Auskunftsrecht geltend machen:

  1. Müssen Sie Ihren Auskunftsantrag begründen?

Zur Begründung Ihres Auskunftsanspruchs müssen Sie ein "berechtigtes, nicht auf eine entgeltliche Weiterverwendung gerichtetes Interesse" glaubhaft darlegen. Ein berechtigtes Interesse kann im Grundsatz "jedes von der Rechtsordnung gebilligte Interesse" sein, das über reine Neugierde hinausgeht. Berechtigte Interessen können rechtlich, wirtschaftlich oder ideell begründet werden. Das berechtigte Interesse ist also weit zu verstehen.

Beispiel:

Ein kleiner Sportverein bemüht sich um finanzielle Förderung. Ein Mitglied des Vereins will von seiner Gemeindeverwaltung wissen, ob und welche bislang nicht veröffentlichten Kriterien es für die Förderung von Vereinen gibt. Ein berechtigtes Interesse liegt vor.

Sie müssen Ihr berechtigtes Interesse glaubhaft darlegen; gemeint ist, dass Sie Ihr Auskunftsinteresse nachvollziehbar schildern müssen. Hieran darf die Verwaltung keine überzogenen Anforderungen stellen, insbesondere müssen Sie Ihr berechtigtes Interesse nicht beweisen.

Der allgemeine Auskunftsanspruch soll allerdings keine kommerzielle Verwertung, insbesondere keinen Handel mit den Verwaltungsdaten ermöglichen. Deshalb darf das Interesse nicht auf die entgeltliche Weiterverwendung gerichtet sein.

  1. Ist die Auskunft kostenpflichtig?

Für die Auskunftserteilung sieht Art. 36 Abs. 5 BayDSG die Erhebung von Kosten nach dem Kostengesetz vor. Insbesondere bei umfangreicheren Auskunftsbegehren und der Bitte um Zusendung von Kopien kann es empfehlenswert sein, sich vorher bei der Verwaltung über den möglichen Umfang der Kosten zu erkundigen.

Auskünfte einfacher Art sind nicht kostenpflichtig (Art. 3 Abs. 1 Satz 1 Nr. 3 Kostengesetz).

  1. Welche Informationen können Sie mithilfe des allgemeinen Auskunftsrechts erhalten?

Im Grundsatz können Sie Inhalte von Dateien und von Akten bayerischer öffentlicher Stellen erfragen. Steht Ihnen ein Auskunftsanspruch zu, entscheidet die öffentliche Stelle sodann nach pflichtgemäßem Ermessen darüber, in welcher Form der Auskunftsanspruch erfüllt wird, ob durch Gewährung von Akteneinsicht, mündliche Auskunftserteilung, Überlassung von Kopien o.ä.

Beispiel:

Eine Gemeindeverwaltung, die ihre Förderkriterien für Vereine in einem Vermerk zusammengefasst hat, wird in ihrer Antwort diesen Vermerk häufig nicht umschreiben, sondern schlichtweg ausdrucken und dem Antragsteller oder der Antragstellerin zusenden.

Bayerische öffentliche Stellen sind fast alle Behörden des Freistaates Bayern, der Bezirke, Landkreise, Gemeinden und der sonstigen der Aufsicht des Freistaates Bayern unterstehenden juristischen Personen des öffentlichen Rechts. Dazu können auch bestimmte Unternehmen zählen, die öffentliche Aufgaben wahrnehmen (Art. 2 Abs. 2 BayDSG).

Für einige Stellen bzw. Bereiche klammert Art. 36 Abs. 3 und Abs. 4 allerdings von vornherein das allgemeine Auskunftsrecht ausdrücklich aus. Teilweise hängt das damit zusammen, dass diese Stellen ohnehin weitreichende Informationspflichten erfüllen (z.B. Bayerischer Landtag, Bayerischer Oberster Rechnungshof), teilweise will der Gesetzgeber die Effektivität und Funktionsfähigkeit bestimmter Verwaltungszweige schützen (z.B. Polizei, Finanzbehörden, Gerichte), teilweise verwenden diese Stellen in besonders großem Umfang vertrauliche Daten, die nicht beauskunftet werden dürfen (Landesamt für Verfassungsschutz, Bayerischer Landesbeauftragter für den Datenschutz).

  1. Beeinträchtigt das Auskunftsrecht nicht den Datenschutz oder sonstige Geheimnisse?

Das Auskunftsrecht besteht nur, wenn die allgemeinen datenschutzrechtlichen Voraussetzungen für eine Datenübermittlung erfüllt sind. Soweit hiervon konkret bestimmbare Personen in schutzwürdigen Interessen betroffen sind, darf die Verwaltung die begehrte Auskunft also nicht erteilen.

Zudem darf die Auskunft Belange der öffentlichen Sicherheit und Ordnung nicht beeinträchtigen.

In Art. 36 Abs. 1 Satz 2 BayDSG ist auch vorgesehen, dass die Verwaltung eine beantragte Auskunft verweigern kann, soweit bestimmte weitere öffentliche und private Schutzinteressen das individuelle Auskunftsinteresse überwiegen. Dabei muss die Verwaltung die Interessen an der Auskunftserteilung und an der Auskunftsverweigerung unter Berücksichtigung aller wesentlichen Umstände des Einzelfalls abwägen. Überwiegt das Auskunftsinteresse etwaige Auskunftsverweigerungsgründe, muss die Verwaltung den Auskunftsanspruch erfüllen. Das Wort "soweit" verdeutlicht, dass die Verwaltung unter Umständen Auskünfte auch nur teilweise verweigern kann und dann zumindest Teilauskünfte erteilen muss.

  1. In welchem Verhältnis steht das allgemeine Auskunftsrecht zu anderen Informationszugangsrechten?

Der allgemeine Auskunftsanspruch ist gegenüber anderen, speziellen Informationszugangsregelungen nachrangig.

Beispiele:

Die Gesetzesbegründung nennt dazu beispielsweise das Auskunftsrecht der Presse, das Umweltinformationsrecht, die Regelungen der Auskunftsrechte von Mandatsträgerinnen und -trägern sowie die besonderen Auskunftsrechte von Verfahrensbeteiligten eines Verwaltungsverfahrens.

"Nachrangig" heißt: Ist ein besonderes Informationszugangsrecht anwendbar, findet das allgemeine Auskunftsrecht keine Anwendung.

  1. Sind mit dem allgemeinen Recht auf Auskunft jetzt alle gemeindlichen Informationsfreiheitssatzungen außer Kraft getreten?

Nein. Im Grundsatz beeinträchtigt das neue Recht auf Auskunft die Geltung gemeindlicher Informationsfreiheitssatzungen nicht.

  1. Welche Neuerungen ergeben sich für Gemeinden, die bereits eine Informationsfreiheitssatzung erlassen haben?

Das Recht auf Auskunft in Art. 36 BayDSG kann weiter reichen als das in einer gemeindlichen Informationsfreiheitssatzung verankerte Zugangsrecht, aber auch hinter einem solchen Recht zurückbleiben. Die Gemeinde sollte deshalb prüfen, in welchem Verhältnis die beiden Zugangsrechte zueinander stehen. Dann kann sie den Auskunft suchenden Bürger sachgerecht beraten, mit welchem Anspruch er sein Auskunftsanliegen am besten verfolgen kann.

Das gesetzliche Zugangsrecht erfasst anders als das satzungsmäßige auch Akten und Dateien, die bei Erfüllung von Aufgaben im übertragenen Wirkungskreis der Gemeinde entstehen.

  1. Können einem Bürger Auskunftsansprüche aus der gemeindlichen Informationsfreiheitssatzung und aus Art. 36 BayDSG nebeneinander zustehen oder schließt einer dieser Ansprüche den jeweils anderen aus?

Auskunftsansprüche aus einer gemeindlichen Informationsfreiheitssatzung und aus Art. 36 BayDSG können sowohl allein als auch nebeneinander bestehen. Oftmals werden sie ähnliche Wirkungen entfalten.

Steht dem Bürger nach Art. 36 BayDSG ein Auskunftsanspruch zu, nach der gemeindlichen Informationsfreiheitssatzung jedoch nicht, muss die Gemeinde den gesetzlichen Anspruch erfüllen. Sie kann nicht durch Satzungsrecht den gesetzlichen Auskunftsanspruch "aushebeln".

Gemeindliche Informationsfreiheitssatzungen können für den eigenen Wirkungskreis der Gemeinden Auskunftsansprüche regeln, die weiter reichen als Art. 36 BayDSG.

Dabei müssen die gemeindlichen Informationsfreiheitssatzungen aber die gesetzlichen Vorgaben beachten, die schon bisher für die Einräumung solcher Ansprüche maßgeblich waren. Transparenz gibt es nach bayerischem Landesrecht nur "Hand in Hand" mit dem Daten- und Geheimnisschutz, nicht zu dessen Lasten. Art. 36 BayDSG gibt den Gemeinden zwar grundsätzlich kein verbindliches Regelungsmodell vor. Gemeindliche Informationsfreiheitssatzungen werden gleichwohl nicht in einem "rechtsfreien Raum" erlassen. Sie dürfen insbesondere keine Datenflüsse gestatten, die den Anforderungen des Art. 19 BayDSG nicht entsprechen. Die Bedeutung dieser Vorgabe des bayerischen Datenschutzrechts auch für Auskunftsansprüche hat der Gesetzgeber in Art. 36 Abs. 1 Satz 1 Nr. 1 BayDSG ausdrücklich bekräftigt. Zudem verweist Art. 36 Abs. 3 BayDSG darauf, dass bei der Regelung von Informationszugangsrechten bestimmte Geheimnisse nicht zur Disposition stehen. Diese Geheimnisse hat auch der kommunale Satzungsgeber zu respektieren.

Gemeindliche Informationsfreiheitssatzungen können allerdings Fragen regeln, die der Gesetzgeber nicht beantwortet hat. So kann die Gemeinde etwa verfahrensrechtliche Vorgaben festlegen, welche die Effektivität des Rechts auf Auskunft erhöhen.

Beispiele:

Die Gemeinde kann einen festen Ansprechpartner bestimmen oder Bearbeitungsfristen vorgeben.

  1. Steht die allgemeine beamtenrechtliche Verschwiegenheitspflicht einer Auskunftserteilung entgegen?

Nein. Die allgemeine beamtenrechtliche Verschwiegenheitspflicht ist in § 37 Abs. 1 Satz 1 Beamtenstatusgesetz geregelt. Dort heißt es: "Beamtinnen und Beamte haben über die ihnen bei oder bei Gelegenheit ihrer amtlichen Tätigkeit bekannt gewordenen dienstlichen Angelegenheiten Verschwiegenheit zu bewahren." Nach § 37 Abs. 2 Satz 1 Nr. 1 Beamtenstatusgesetz gilt dies allerdings nicht, soweit Mitteilungen im dienstlichen Verkehr geboten sind. Dies ist der Fall, wenn ein Bürger sein Recht auf Auskunft nach Art. 36 BayDSG gegenüber einer öffentlichen Stelle geltend macht und ein dort tätiger Beamter einen bestehenden Auskunftsanspruch erfüllt. Der Beamte muss dafür zuständig sein und darf diejenigen Tatsachen mitteilen, deren Kenntnis der Bürger kraft seines Rechts auf Auskunft verlangen kann.

Besondere Verschwiegenheitspflichten werden einer Auskunft dagegen regelmäßig entgegenstehen. Art. 36 Abs. 3 Nr. 2 BayDSG bestimmt, dass "einem [...] besonderen Amtsgeheimnis unterliegende Datei- und Akteninhalte" dem Recht auf Auskunft nicht unterliegen. Besondere Verschwiegenheitspflichten ergeben sich etwa aus dem Steuergeheimnis, aus dem Sozialgeheimnis sowie im Zusammenhang mit der Vertraulichkeit von Personaldaten."

13.2. Safe Harbor - EU-US Privacy Shield

Die Übermittlung personenbezogener Daten an Empfänger außerhalb der Europäischen Union gehört nicht zum klassischen Aufgabenbereich einer bayerischen öffentlichen Stelle. In Zeiten der Digitalisierung und Globalisierung können solche Datenübermittlungen durch bayerische Behörden dennoch im Raum stehen, beispielsweise wenn sie Dienstleister (Datenverarbeiter) mit Sitz in den USA nutzen wollen.

Die Europäische Kommission hat nach Art. 25 Abs. 6 der Europäischen Datenschutzrichtlinie (RL 95/46/EG) die Befugnis zur Feststellung, dass ein Drittland hinsichtlich des Schutzes der Privatsphäre sowie der Freiheiten und Grundrechte von Personen ein angemessenes Schutzniveau im Sinne des Art. 25 Abs. 2 dieser Richtlinie gewährleistet. Ob ein angemessenes Datenschutzniveau vorliegt, hat Auswirkungen auf die Zulässigkeit von Datenübermittlungen.

Insbesondere in der Folge der Safe Harbor-Entscheidung des Europäischen Gerichtshofs vom 6. Oktober 2015 (C-362/14) ergab sich hier erheblicher Beratungsbedarf. Daher habe ich am 7. Oktober 2015 eine Pressemitteilung und in der Folge entsprechend den Entwicklungen aktualisierte Informationen auf meiner Homepage https://www.datenschutz-bayern.de veröffentlicht. Daneben habe ich konkrete Anfragen von Bürgerinnen und Bürgern sowie von Behörden hierzu beantwortet.

Der Europäische Gerichtshof hat mit seinem Urteil vom 6. Oktober 2015 die Entscheidung der Europäischen Kommission (2000/520/EG) für ungültig erklärt, dass in den USA im Rahmen der Safe Harbor-Regelungen ein angemessenes Datenschutzniveau gewährleistet ist.

Es ist also seither nicht mehr möglich, sich im Zusammenhang mit Datenübermittlungen in die USA auf Safe Harbor zu berufen.

Dabei ist zu beachten, dass Ausgangspunkt einer Zulässigkeitsprüfung nicht die Safe Harbor-Regelungen als solche waren, sondern das für die jeweilige Behörde geltende Datenschutzgesetz. Für bayerische öffentliche Stellen ist dies - soweit keine vorrangigen Regelungen wie etwa im Sozialgesetzbuch anzuwenden sind - das Bayerische Datenschutzgesetz. Dort finden sich neben den Regelungen zur Auftragsdatenverarbeitung auch Vorschriften zu Datenübermittlungen an Stellen außerhalb der Mitgliedstaaten der Europäischen Union beziehungsweise des Europäischen Wirtschaftsraums. Insbesondere in Art. 21 Abs. 2 BayDSG sind Datenübermittlungen (auch) in die USA geregelt.

Im Rahmen der jeweils anzuwendenden Vorschrift spielten dann bei einem Tatbestandsmerkmal "angemessenes Datenschutzniveau" die Safe Harbor-Regelungen eine Rolle.

Nach Aufhebung der Entscheidung der Europäischen Kommission zu Safe Harbor war dies eben nicht mehr der Fall. Bayerische öffentliche Stellen, die sich bislang hierauf bezogen hatten, mussten schon deswegen entsprechende Datenübermittlungen überprüfen.

Nach weiteren Verhandlungen haben sich die Europäische Kommission und die US-Regierung auf (neue) Rahmenbedingungen geeinigt, die gewährleisten sollen, dass beim Empfänger in den USA ein angemessenes Datenschutzniveau besteht. Die Europäische Kommission sah sich veranlasst, am 12. Juli 2016 festzustellen, dass ein angemessenes Datenschutzniveau unter den Rahmenbedingungen des EU-US Privacy Shield besteht (vgl. Durchführungsbeschluss (2016) 1250, veröffentlicht im Amtsblatt EU vom 1. August 2016, L 207/1). Der Privacy Shield ist unter veränderten Bedingungen sozusagen der Nachfolger von Safe Harbor. Diese Angemessenheitsentscheidung gilt jedoch nicht grundlegend im Hinblick auf alle Empfänger in den USA, sondern nur im Hinblick auf Unternehmen, die sich den Privacy Shield-Regelungen unterwerfen und entsprechend vom US-Handelsministerium registriert sind.

Der neue Rechtsakt ist bereits heftig kritisiert worden. Kritiker meinen, die Feststellungen des Europäischen Gerichtshofs seien nicht vollständig umgesetzt worden. Problematisch sei unter anderem, dass die Zusicherungen der US-Regierung nicht gesetzlich abgesichert seien.

Die Artikel 29-Datenschutzgruppe hat zwar Verbesserungen gegenüber Safe Harbor und gegenüber dem vorhergehenden Entwurf des Privacy Shield anerkannt, jedoch ebenfalls eine Reihe von Bedenken geäußert. Diese Gruppe verlangt insbesondere eine Garantie von den US-Behörden, keine ungerichtete Massenüberwachung vorzunehmen. Zudem bleibe abzuwarten, ob der Datenzugriff durch US-Behörden wie zugesichert in einem engen Rahmen bleibt. Die Artikel 29-Datenschutzgruppe hat angekündigt, das Abkommen erst im Jahr 2017 nach Vorliegen erster Vollzugserfahrungen abschließend zu bewerten.

In der unabhängigen Artikel 29-Datenschutzgruppe stimmen sich die Datenschutzaufsichtsbehörden aller Mitgliedstaaten der Europäischen Union untereinander ab und beraten die Europäische Kommission. Diese Arbeitsgruppe beruht auf Art. 29 RL 95/46/EG und ist daher nach diesem Artikel benannt.

Der Privacy Shield ändert - wie zuvor Safe Harbor - nichts daran, dass eine bayerische öffentliche Stelle anhand der für sie geltenden Datenschutzbestimmungen eine eigene Prüfung durchführen muss, ob die beabsichtigte Datenverarbeitung zulässig ist.

Durch die Entscheidung der Europäischen Kommission bin ich bei entsprechenden Eingaben nicht an der Prüfung gehindert, ob das Recht und die Praxis in den USA beziehungsweise beim Empfänger ein angemessenes Datenschutzniveau gewährleisten. Zwar können die Datenschutzaufsichtsbehörden die Entscheidung der Europäischen Kommission nicht aufheben. Gemäß dem Europäischen Gerichtshof ist es allerdings Sache des nationalen Gesetzgebers, Rechtsbehelfe für die Datenschutzaufsichtsbehörden vorzusehen, damit diese die Angelegenheit vor Gericht bringen können und damit die Möglichkeit des Gerichts besteht, den Europäischen Gerichtshof um Vorabentscheidung über die Gültigkeit der Kommissionsentscheidung zu ersuchen.

Daher erging auch folgende

Umlaufentschließung der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder vom 20.04.2016

Klagerecht für Datenschutzbehörden - EU-Kommissionsentscheidungen müssen gerichtlich überprüfbar sein

Die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz) fordert den Gesetzgeber auf, umgehend ein eigenständiges Klagerecht für die unabhängigen Datenschutzbehörden vorzusehen. Wenn die unabhängigen Datenschutzbehörden der Auffassung sein sollten, dass eine Entscheidung der EU-Kommission rechtswidrig ist, wären sie gleichwohl an diese gebunden. Sie müssten daher ggf. gegen den rechtsstaatlichen Grundsatz der Gesetzmäßigkeit der Verwaltung verstoßen. Um dies zu verhindern, sind die prozessualen Voraussetzungen dafür zu schaffen, dass die Datenschutzbehörden selbst bestehende Zweifel an der Rechtmäßigkeit einer Kommissionsentscheidung gerichtlich klären lassen können.

Anlass für die obige Aufforderung der Datenschutzkonferenz ist die zwischenzeitliche Vorlage einer Reihe von Dokumenten unterschiedlicher Repräsentanten der US-Administration durch die EU-Kommission am 29. Februar 2016, die für Unternehmen und Behörden Zusagen für den Umgang mit aus der EU übermittelten personenbezogenen Daten enthalten. Im Rahmen eines so genannten EU-US Privacy Shield sollen diese Dokumente Grundlage für eine künftige EU-Kommissionsentscheidung zur Angemessenheit des Datenschutzniveaus in den USA sein und damit als Nachfolgeregelung für die Safe Harbor-Entscheidung dienen. Letztere wurde bekanntlich am 6. Oktober 2015 durch den Europäischen Gerichtshof aufgehoben.

Die Datenschutzkonferenz begrüßt und unterstützt daher ausdrücklich die Bundesratsinitiative der Freien und Hansestadt Hamburg zur zeitnahen Einräumung eines Klagerechts für die Datenschutzaufsichtsbehörden von Bund und Ländern (BR-Drs. 171/16), in der nochmals deutlich gemacht wird, "dass das vom Europäischen Gerichtshof (EuGH in seinem Urteil vom 6.10.2015 (Rechtssache C-362/14) statuierte Klagerecht für Datenschutzaufsichtsbehörden für die Gewährleistung einer effektiven Datenschutzkontrolle von besonderer Bedeutung ist".

Das Bundesministerium des Innern hat hierzu mit Schreiben vom 11. Juli 2016 mitgeteilt, dass es bereits intensiv an der Anpassung des nationalen Datenschutzrechts an die Datenschutz-Grundverordnung arbeite. Der Gesetzentwurf werde auch Rechtsbehelfe der Aufsichtsbehörden enthalten und dabei die einschlägige Rechtsprechung des Europäischen Gerichtshofs berücksichtigen (siehe Unterrichtung durch die Bundesregierung zu Bundesrats-Drucksache 171/16 vom 15. Juli 2016).

13.3. Cloud Computing

Zum Cloud Computing habe ich mich schon in meinem 24. Tätigkeitsbericht 2010 unter Nr. 2.1.5, in meinem 25. Tätigkeitsbericht 2012 unter Nrn. 1.2 und 2.3.3 und in meinem 26. Tätigkeitsbericht 2014 unter Nr. 13.1 kritisch geäußert.

Im aktuellen Berichtszeitraum habe ich mich intensiv mit den Themen Datenverarbeitung im Auftrag durch nichtöffentliche Dienstleister, mit Outsourcing und mit Cloud-Diensten befasst. Bei deren Bewertung ist unter anderem zu berücksichtigen, ob der Dienstleister seine Leistung im Inland, im europäischen Ausland oder aber in einem Staat außerhalb der Europäischen Union beziehungsweise des Europäischen Wirtschaftsraums (und damit in einem sogenannten Drittland) erbringt. Von besonderem Interesse waren dabei Verträge mit Dienstleistern aus Drittländern, namentlich den USA. Dabei war auch von Bedeutung, nicht allgemeine Werbeaussagen von Anbietern zugrunde zu legen, sondern die tatsächlichen Verträge beziehungsweise Vereinbarungen genau zu lesen und zu hinterfragen.

Auch bayerische öffentliche Stellen wollten Dienstleistungsverträge mit nicht deutschen Unternehmen abschließen oder haben dies bereits getan. Die Unternehmen erbringen beziehungsweise erbrachten dabei ihre vertraglichen Leistungen sowohl im Inland als auch im europäischen Ausland (beispielsweise Irland, Niederlande) aber auch gegebenenfalls in einem Staat außerhalb von Europa (beispielsweise USA).

Auch mit dem nun geltenden EU-US Privacy Shield (siehe Nr. 13.2) kann nicht von einer abschließenden Lösung der Herausforderungen gesprochen werden. Denn zum einen betrifft der Privacy Shield nur bestimmte Fallkonstellationen beziehungsweise Teile davon. Zum anderen steht zu erwarten, dass auch gegen den Privacy Shield vor dem Europäischen Gerichtshof geklagt wird. Der Ausgang eines solchen Verfahrens ist offen.

Ich wiederhole daher meine schon bislang ausgesprochene Empfehlung an bayerische öffentliche Stellen, von der Nutzung von Public-Cloud-Diensten mit (auch nur eventuellen) Datenverarbeitungen in den USA abzusehen und möglichst nach nationalen oder zumindest europäischen Lösungen zu suchen.

Für die zweite Jahreshälfte 2016 wurde die sogenannte "Microsoft Cloud Deutschland" angekündigt. Dabei soll ein Datentreuhändermodell mit einem deutschen Unternehmen angewandt werden, bei dem unter anderem die Datenverarbeitung und -speicherung ausschließlich in zwei, in Deutschland gelegenen Rechenzentren des Treuhänders erfolgen soll. Ein direkter Datenzugriff soll damit dem Dienstleister, also dem vertragsmäßigen Anbieter der Leistung, nämlich Microsoft, unmöglich sein. Inwieweit dies einen möglichen Lösungsansatz für Teile der Herausforderungen darstellt bleibt näheren Untersuchungen vorbehalten.

13.4. Datenübermittlungen durch die Industrie- und Handelskammern

Die Industrie- und Handelskammern haben nach § 1 Industrie- und Handelskammergesetz (IHKG) die Aufgabe, das Gesamtinteresse der ihnen zugehörigen Gewerbetreibenden ihres Bezirkes wahrzunehmen, für die Förderung der gewerblichen Wirtschaft zu wirken und dabei die wirtschaftlichen Interessen einzelner Gewerbezweige oder Betriebe abwägend und ausgleichend zu berücksichtigen.

Zur Erfüllung dieser Aufgaben hat der Gesetzgeber den Kammern in § 9 IHKG bestimmte Möglichkeiten eingeräumt, Daten an andere Industrie- und Handelskammern, aber auch an nichtöffentliche Stellen - also an Dritte oder die Öffentlichkeit - zu übermitteln. Diese rechtlichen Regelungen sind Pflichtmitgliedern vielfach unbekannt, so dass die Rechtmäßigkeit von Datenübermittlungen immer wieder hinterfragt wird.

Ich möchte daher auf folgende Gesetzeslage hinweisen:

13.4.1. Datenübermittlung an andere Industrie- und Handelskammern

Nach § 9 Abs. 3a IHKG dürfen die Industrie- und Handelskammern Name, Firma, Anschrift und Wirtschaftszweig ihrer Kammerzugehörigen sowie die übrigen in § 9 Abs. 1 IHKG genannten Daten (das sind die sonstigen in der Gewerbeanzeige genannten Daten, vgl. § 14 Abs. 1, Abs. 14 Gewerbeordnung (GewO) in Verbindung mit § 3 Abs. 1 Nr. 1 Gewerbeanzeigeverordnung) an andere Industrie- und Handelskammern auf Ersuchen oder durch Abruf im automatisierten Verfahren übermitteln, soweit dies für die Erfüllung der ihnen nach diesem Gesetz übertragenen Aufgaben erforderlich ist. Eine Übermittlung "durch Abruf im automatisierten Verfahren" bedeutet hierbei, dass ein Bereithalten der genannten Daten in einer Datenbank, auf die andere Industrie- und Handelskammern Zugriff haben, erlaubt ist.

13.4.2. Datenübermittlung an nichtöffentliche Stellen

Nach § 9 Abs. 4 Satz 1 IHKG dürfen die Industrie- und Handelskammern Name, Firma, Anschrift und Wirtschaftszweig - sogenannte Grunddaten - von Kammerzugehörigen zur Förderung von Geschäftsabschlüssen und zu anderen dem Wirtschaftsverkehr dienenden Zwecken an nichtöffentliche Stellen übermitteln.

Die übrigen in § 9 Abs. 1 IHKG genannten Daten - also die Daten, die darüber hinaus in einer Gewerbeanzeige nach § 14 Abs. 1, Abs. 14 GewO enthalten sind - dürfen an nichtöffentliche Stellen nur übermittelt werden, sofern das Kammermitglied nicht widersprochen hat.

Eine solche Übermittlung an nichtöffentliche Stellen umfasst auch eine Veröffentlichung im Internet (siehe etwa die Firmendatenbank www.firmen-in-bayern.de (externer Link) der Industrie- und Handelskammern in Bayern). Denn eine Übermittlung ist das Bekanntgeben gespeicherter personenbezogener Daten an Dritte unter anderem in der Weise, dass Daten von der speichernden Stelle - der Industrie- und Handelskammer - zum Abruf bereit gehalten werden, also etwa im Internet durch eine allgemein zugängliche Datenbank jedermann zugänglich gemacht werden. Das Industrie- und Handelskammergesetz beschreibt auch die Zwecke, zu denen eine derartige Veröffentlichung erfolgen darf: Sie darf nur zur Förderung von Geschäftsabschlüssen oder anderen dem Wirtschaftsverkehr dienenden Zwecken erfolgen. Deshalb müssen die Kammern, wenn sie im Internet eine entsprechende Datenbank anbieten, deren Benutzerinnen und Benutzer auf die Einhaltung dieser Zwecke verpflichten (etwa durch entsprechende Allgemeine Geschäftsbedingungen).

Während also eine Veröffentlichung von Grunddaten auch gegen den Willen der Pflichtmitglieder rechtlich möglich ist, hat der Gesetzgeber ihnen bei den darüber hinaus reichenden Daten ein Widerspruchsrecht eingeräumt. Da keine (vorherige) Einwilligung vorgesehen ist, ist eine Datenübermittlung solange zulässig, bis das Kammermitglied dieser widerspricht. Der Widerspruch ist jederzeit und ohne Begründung möglich.

Damit die Betroffenen auch Kenntnis vom Widerspruchsrecht erhalten, muss nach § 9 Abs. 4 Satz 3 IHKG auf die Widerspruchsmöglichkeit vor der ersten Übermittlung durch die Industrie- und Handelskammer schriftlich hingewiesen werden. Beispielsweise weist daher die Industrie- und Handelskammer für München und Oberbayern in ihrem Begrüßungsschreiben bei neuen Gewerbetreibenden, die nach den Vorgaben des § 2 IHKG Pflichtmitglied sind, auf das Widerspruchsrecht ausdrücklich - und nach meiner Einschaltung durch einen Beschwerdeführer seit dem Frühjahr 2015 in verständlicherer Form - hin.

Das Gesetz schreibt allerdings nicht vor, welche Frist zur Ausübung des Widerspruchsrechts vor (!) einer Datenübermittlung der betroffenen Person eingeräumt werden muss. Ich halte eine Frist von mindestens vier Wochen nach Zugang der Belehrung über das Widerspruchsrecht für angemessen. In diesem Zeitraum kann sich jede betroffene Person darüber klar werden, ob sie eine Datenübermittlung an nichtöffentliche Stellen hinsichtlich ihres Betriebs möchte oder nicht.

§ 9 IHKG Datenschutz

(1) 1Zur Erfüllung der ihnen nach diesem Gesetz übertragenen Aufgaben dürfen die Industrie- und Handelskammern die Daten nach § 14 Absatz 8 Satz 1 Nummer 1 und Satz 2 der Gewerbeordnung sowie der Rechtsverordnung nach § 14 Absatz 14 der Gewerbeordnung bei den Kammerzugehörigen erheben, soweit diese Daten ihnen nicht von der zuständigen Behörde übermittelt worden sind. ...

(3a) Die Industrie- und Handelskammern dürfen Name, Firma, Anschrift und Wirtschaftszweig ihrer Kammerzugehörigen sowie die übrigen in Absatz 1 genannten Daten an andere Industrie- und Handelskammern auf Ersuchen oder durch Abruf im automatisierten Verfahren übermitteln, soweit dies für die Erfüllung der ihnen nach diesem Gesetz übertragenen Aufgaben erforderlich ist.

(4) 1Die Industrie- und Handelskammern dürfen Name, Firma, Anschrift und Wirtschaftszweig von Kammerzugehörigen zur Förderung von Geschäftsabschlüssen und zu anderen dem Wirtschaftsverkehr dienenden Zwecken an nichtöffentliche Stellen übermitteln. 2Die übrigen in Absatz 1 genannten Daten dürfen nur zu den in Satz 1 genannten Zwecken an nichtöffentliche Stellen übermittelt werden, sofern der Kammerzugehörige nicht widersprochen hat. 3Auf die Möglichkeit, der Übermittlung der Daten an nichtöffentliche Stellen zu widersprechen, sind die Kammerzugehörigen vor der ersten Übermittlung schriftlich hinzuweisen. ...

13.5. Erhebung von Kundendaten des Antragstellers in einem Genehmigungsverfahren nach § 10 Bundesimmissionsschutzgesetz

In einem Verwaltungsverfahren muss die Behörde den entscheidungserheblichen Sachverhalt aufklären. Manchmal empfinden Bürgerinnen und Bürger die "Neugier" der Behörde als zu aufdringlich, gerade, wenn es um besonders sensible Daten geht.

So wandte sich in einem Fall ein Bürger an mich, der ein Gewerbe im Bereich der Abfallwirtschaft betreibt. Der Bürger plante eine Verlagerung seines Betriebs. Für den neuen Standort war eine immissionsschutzrechtliche Anlagengenehmigung einzuholen. Das zuständige Landratsamt stellte in Aussicht, im Zuge des Genehmigungsverfahrens Angaben zur Herkunft der in dem Betrieb behandelten Abfälle anzufordern. Der Bürger wollte seine Kundendaten nicht offenlegen, da es sich um Geschäftsgeheimnisse handle. Er verzichtete deshalb zunächst darauf, einen Genehmigungsantrag zu stellen.

Ich habe dem Bürger aus datenschutzrechtlicher Sicht einige Hinweise gegeben:

Soweit sich die Genehmigung für den neuen Standort nach § 6 Abs. 1 Gesetz zum Schutz vor schädlichen Umwelteinwirkungen durch Luftverunreinigungen, Geräusche, Erschütterungen und ähnliche Vorgänge (BImSchG) richtet, ist für das Verfahren § 10 BImSchG zu beachten. Dort heißt es:

§ 10 BImSchG Genehmigungsverfahren

(2) Soweit Unterlagen Geschäfts- oder Betriebsgeheimnisse enthalten, sind die Unterlagen zu kennzeichnen und getrennt vorzulegen. Ihr Inhalt muss, soweit es ohne Preisgabe des Geheimnisses geschehen kann, so ausführlich dargestellt sein, dass es Dritten möglich ist, zu beurteilen, ob und in welchem Umfang sie von den Auswirkungen der Anlage betroffen werden können.

Anstelle von Unterlagen mit Geschäfts- oder Betriebsgeheimnissen wird im Rahmen der Öffentlichkeitsbeteiligung eine Inhaltsangabe ausgelegt (§ 10 Abs. 3 Satz 2 BImSchG, § 10 Abs. 3 Satz 1 Neunte Verordnung zur Durchführung des Bundes-Immissionsschutzgesetzes - 9. BImSchV). Beansprucht der Antragsteller für Kundendaten aus Sicht der Genehmigungsbehörde zu Unrecht den Schutz durch ein Geschäfts- oder Betriebsgeheimnis und will die Behörde die Angaben deshalb in die Auslegung einbeziehen, muss sie den Antragsteller vorher anhören (§ 10 Abs. 3 Satz 2 9. BImSchV). Eine auf diese Anhörung getroffene Entscheidung, die Unterlagen auszulegen, ist gerichtlich überprüfbar.

Unabhängig vom Schutz der Kundendaten durch ein Geschäfts- oder Betriebsgeheimnis stellt sich die Frage, ob und inwieweit diese Angaben für die Entscheidung über einen Genehmigungsantrag erforderlich wären. Diese Frage kann die Genehmigungsbehörde beantworten, sobald ein Antrag vorliegt, anhand dessen insbesondere die genaue Anlagenart, das zur Genehmigung erforderliche Verfahren sowie der darin maßgebliche Prüfungsumfang bestimmt werden können. Welche Unterlagen im Genehmigungsverfahren benötigt werden, lässt sich dann aus den einzelnen zum Prüfungsmaßstab gehörenden Vorschriften ableiten. Ein üblicher Verfahrensschritt für die Diskussion dieser Frage ist ein alsbald nach Antragstellung durchgeführter Scoping-Termin.

Das Gesetz stellt sicher, dass Betriebs- und Geschäftsgeheimnisse bei den Genehmigungsbehörden in guten Händen sind. Die Genehmigungsbehörden haben nach Art. 30 Bayerisches Verwaltungsverfahrensgesetz über solche Geheimnisse Verschwiegenheit zu wahren. Die Verpflichtung ist nach Maßgabe von § 353b Abs. 1 Satz 1 Strafgesetzbuch strafbewehrt.

13.6. Übergabe von Ausweisdokumenten an Dritte zum Zwecke der Kfz-Zulassung

Im Berichtszeitraum wurde die Frage an mich herangetragen, ob bei der Fahrzeugzulassung durch Dritte (etwa Autohäuser) diese die Aushändigung des Personalausweises von der zukünftigen Halterin oder vom zukünftigen Halter verlangen dürfen, um die Zulassung bei der Kfz-Zulassungsbehörde stellvertretend vornehmen zu können.

Zweifel an der Rechtmäßigkeit eines solchen Verfahrens werden wegen § 1 Abs. 1 Satz 3 Personalausweisgesetz (PAuswG) geäußert:

§ 1 PAuswG Ausweispflicht; Ausweisrecht

(1)... 3Vom Ausweisinhaber darf nicht verlangt werden, den Personalausweis zu hinterlegen oder in sonstiger Weise den Gewahrsam aufzugeben. 4Dies gilt nicht für zur Identitätsfeststellung berechtigte Behörden sowie in den Fällen der Einziehung und Sicherstellung.

Diese Zweifel teile ich allerdings nicht. Denn durch diese Vorschrift sollte eine freiwillige Hingabe des Personalausweises an Dritte durch den Ausweisinhaber nicht verboten werden (vgl. Möller, in: Hornung/Möller, Passgesetz - Personalausweisgesetz, 2011, § 1 Rn. 8).

Die Freiwilligkeit ist so lange zu bejahen, wie Betroffene ihr Ziel auch erreichen können, ohne den Gewahrsam am Ausweis aufgeben zu müssen. Das fachlich zuständige Staatsministerium des Innern, für Bau und Verkehr ist unter Bezugnahme auf aktuelle Vorgaben des Bundesministeriums des Innern - zutreffend - der Ansicht, dass die Zulassung von Fahrzeugen durch Dritte (Autohändler) nicht alternativlos ist, sondern eine Dienstleistung darstellt, die vom Ausweisinhaber (Fahrzeughalter) auch selbst erledigt werden könnte. Sie wird also vom Ausweisinhaber freiwillig in Anspruch genommen. Insofern stellt die Übergabe des Ausweises an den Autohändler eine freiwillige Herausgabe dar. Ein Verstoß gegen das Personalausweisgesetz besteht daher nicht.

Ist die Fahrzeughalterin oder der Fahrzeughalter bei der Antragstellung zur Fahrzeugzulassung in der Kfz-Zulassungsbehörde persönlich anwesend, kann die Behörde die Vorlage des Ausweises zum Zwecke des Nachweises der Richtigkeit der Halterdaten (vgl. § 33 Abs. 1 Nr. 2 Buchst. a) Straßenverkehrsgesetz in Verbindung mit § 6 Abs. 1 Satz 2 Fahrzeug-Zulassungsverordnung) verlangen.

13.7. Speicherung von durch die Polizei übermittelten Daten durch die Fahrerlaubnisbehörde

Hat die Polizei Informationen über Tatsachen, die auf nicht nur vorübergehende Mängel hinsichtlich der Eignung oder auf Mängel hinsichtlich der Befähigung einer Person zum Führen von Kraftfahrzeugen schließen lassen, so darf sie diese Informationen nach § 2 Abs. 12 Satz 1 Straßenverkehrsgesetz (StVG) den Fahrerlaubnisbehörden grundsätzlich übermitteln. Die Fahrerlaubnisbehörde soll auf diese Weise in die Lage versetzt werden zu prüfen, ob die Einleitung von Überprüfungsmaßnahmen angezeigt ist. Mitgeteilt werden dürfen dabei nur solche Tatsachen, die zur Überprüfung der Eignung oder Befähigung erforderlich sind (siehe auch Nr. 3.8.2).

Im Rahmen meiner Kontrolltätigkeit habe ich erfahren, dass sich bei Fahrerlaubnisbehörden die Praxis entwickelt hat, die von der Polizei übermittelnden Informationen auch dann längerfristig zu speichern, wenn entweder die mitgeteilten Informationen für ein Verfahren zur Klärung von Eignungs- und Befähigungszweifeln nach den §§ 11, 13 Fahrerlaubnisverordnung (FeV) nicht ausgereicht haben oder die betroffene Person überhaupt keine Fahrerlaubnis hat.

Durch die längerfristige Speicherung möchten die Fahrerlaubnisbehörden sicherstellen, dass die übermittelten Informationen noch zur Verfügung stehen, wenn die Betroffenen später einmal eine Fahrerlaubnis beantragen oder die Polizei erneut Auffälligkeiten mitteilen sollte, die sodann - gegebenenfalls im Zusammenhang mit den zunächst nicht ausreichenden Informationen - die Einleitung eines entsprechenden Überprüfungsverfahrens rechtfertigen könnten.

Eine solche langfristige Speicherung ist mit dem Gesetz nicht vereinbar. Nach § 2 Abs. 12 Satz 2 StVG sind die Unterlagen "unverzüglich zu vernichten, soweit die mitgeteilte Information für die Beurteilung der Eignung oder Befähigung nicht erforderlich sind". Die Vorschrift lässt ersichtlich keine Speicherung auf Vorrat zu, sondern ist an individuelle Erforderlichkeitsüberlegungen im konkreten Fall gebunden. Auch wenn es sich bei der Verkehrssicherheit um ein wichtiges und hohes Gut handelt, kann die Aufgabe der Fahrerlaubnisbehörden eine Speicherung teils sehr sensibler (etwa Gesundheits-)Daten über Bürgerinnen und Bürger nicht rechtfertigen.

Ich habe mich daher an das fachlich zuständige Innenministerium gewandt, das meine Feststellungen zum Anlass genommen hat, ein die Rechtslage bereits zutreffend würdigendes Rundschreiben aus dem Jahr 2001 zu aktualisieren und den Fahrerlaubnisbehörden erneut zur Kenntnis zu geben. Hiernach gelten für die gemäß § 2 Abs. 12 Satz 2 StVG notwendigen individuellen Erforderlichkeitsüberlegungen insbesondere folgende Maßstäbe:

  • Wird gegen die Inhaberin oder den Inhaber einer Fahrerlaubnis angesichts der übermittelten Informationen kein Überprüfungsverfahren eingeleitet, so sind die Unterlagen im Grundsatz unverzüglich zu löschen.
  • Besitzt die betroffene Person keine Fahrerlaubnis oder hat sie aktuell keine Erlaubnis beantragt, so sind die Daten ebenfalls grundsätzlich zu löschen.

Eine Speicherung ist jedoch zulässig, wenn und solange mit einer Antragstellung nach den Umständen des Einzelfalls mit hoher Wahrscheinlichkeit und in absehbarer Zeit zu rechnen ist. Dies ist etwa dann der Fall, wenn der betroffenen Person die Fahrerlaubnis entzogen wurde und die Sperrfrist noch nicht abgelaufen ist oder sie das Mindestalter für die Erteilung der Fahrerlaubnis noch nicht erreicht hat. Bei Betroffenen, die noch nicht das 16. Lebensjahr vollendet haben, ist eine Speicherung nur in besonders begründeten Einzelfällen zulässig. Spätestens ab Vollendung des 25. Lebensjahres sind die Unterlagen zu vernichten, wenn bis zu diesem Zeitpunkt kein Antrag auf Erlaubnis gestellt wurde.

  • Für die Speicherung von Informationen, die den Behörden unaufgefordert von anderen öffentlichen Stellen oder Dritten mitgeteilt werden, gelten die Ausführungen grundsätzlich entsprechend.