≡ Sitemap
Der Bayerische Landesbeauftragte für den Datenschutz (BayLfD)

Sie sind hier: > Start > Tätigkeitsberichte > 29. TB 2019 > 5. Allgemeine Innere Verwaltung

Der Bayerische Landesbeauftragte für den Datenschutz; Stand: 99.01.2020

5. Allgemeine Innere Verwaltung

5.1. Behandlung von Bausachen im Gemeinderat

Im Berichtszeitraum war ich mehrfach mit datenschutzrechtlichen Problemen bei der Behandlung von Bausachen im Gemeinderat befasst. Die zentralen Fragestellungen waren hierbei der Umgang mit Bauanträgen sowie der Umgang mit Einwendungen im Rahmen der kommunalen Bauleitplanung. Im Einzelnen ist zu bemerken:

5.1.1. Umgang mit Bauanträgen

Bauanträge sind häufig in den gemeindlichen Gremien zu behandeln, insbesondere im Gemeinderat oder einem - vorberatenden oder beschließenden - Ausschuss des Gemeinderats.

5.1.1.1. Bekanntgabe personenbezogener Daten in der Tagesordnung

Wie bereits in meinem Beitrag "Bekanntgabe von Bauherrendaten in öffentlicher Gemeinderatssitzung und der Tagesordnung" erläutert, sind Bauanträge grundsätzlich in öffentlicher Gemeinderatssitzung zu behandeln (vgl. Art. 52 Abs. 2 Satz 1 Gemeindeordnung - GO). Zeitpunkt und Ort der öffentlichen Sitzungen des Gemeinderats sind gemäß Art. 52 Abs. 1 Satz 1 GO unter Angabe der Tagesordnung ortsüblich bekannt zu machen. Ziel dieser Bekanntmachung ist unter anderem, das gemeindliche Handeln für die Bürger transparent zu machen.

Dabei enthält die Tagesordnung üblicherweise Bauherreninformationen, insbesondere Name und Adresse der Antragstellerin oder des Antragstellers sowie die Adresse des Baugrundstücks. Diese Angaben stellen - soweit natürliche Personen betroffen sind - personenbezogene Daten dar (vgl. Art. 4 Nr. 1 DSGVO). Eine Verarbeitung dieser personenbezogenen Daten - hier die Offenlegung gegenüber der Allgemeinheit - erfordert eine Rechtsgrundlage (Art. 6 Abs. 1 DSGVO). Bayerische öffentliche Stellen stützen sich insoweit regelmäßig auf gesetzliche Verarbeitungsbefugnisse des nationalen Rechts (vgl. Art. 6 Abs. 1 UAbs. 1 Buchst. e, Abs. 3 UAbs. 1 Buchst. b DSGVO).

Art. 52 Abs. 1 Satz 1 GO stellt nach meiner derzeitigen rechtlichen Einschätzung keine Rechtsgrundlage gemäß Art. 6 Abs. 1 UAbs. 1 Buchst. e, Abs. 3 UAbs. 1 Buchst. b DSGVO dar, weil der Vorschrift der erforderliche datenschutzbezogene Regelungsgehalt fehlt, sie insbesondere weder Übermittlungsvoraussetzungen hinreichend konkret regelt noch eine Übermittlung als Rechtsfolge anordnet, sondern letztlich nur eine Aufgabenzuweisung enthält, die datenschutzrechtlich einer Einbettung bedarf, dieser aber auch zugänglich ist. Art. 52 Abs. 1 Satz 1 GO lautet:

"Zeitpunkt und Ort der öffentlichen Sitzungen des Gemeinderats sind unter Angabe der Tagesordnung, spätestens am dritten Tag vor der Sitzung, ortsüblich bekanntzumachen."

Sofern spezialgesetzliche Vorschriften für eine Übermittlung personenbezogener Daten fehlen, besteht für bayerische öffentliche Stellen grundsätzlich die Möglichkeit, auf Art. 5 Abs. 1 Satz 1 Nr. 1 BayDSG als allgemeine Rechtsgrundlage zurückzugreifen. Danach ist eine Übermittlung personenbezogener Daten insbesondere dann zulässig, wenn sie zur Erfüllung der Aufgaben der übermittelnden öffentlichen Stelle erforderlich ist. Zu den Aufgaben des ersten Bürgermeisters einer Gemeinde gehört es auch, für eine (unter anderem) den Vorgaben in Art. 52 Abs. 1 Satz 1 GO entsprechende Tagesordnung zu sorgen. Die Tagesordnung muss die in der Sitzung zu behandelnden Gegenstände so konkret benennen, dass den Gemeinderatsmitgliedern eine Vorbereitung möglich ist. In diesem Zusammenhang ist allerdings auch der Grundsatz der Datenminimierung (Art. 5 Abs. 1 Buchst. c DSGVO) zu berücksichtigen.

In der Tagesordnung sind vor diesem Hintergrund die zur Bezeichnung des Bauvorhabens erforderlichen Informationen bekanntzugeben. Insoweit ist es aber regelmäßig ausreichend, den Bauort (Straße und Hausnummer oder Flurstücksnummer) und die Art des Bauvorhabens zu nennen. Darüber hinaus kann regelmäßig auch der Name der Bauherrin beziehungsweise des Bauherrn genannt werden, da die mit der Veröffentlichung der Tagesordnung und der Behandlung in öffentlicher Sitzung verbundene Kontrollfunktion - beispielsweise im Hinblick auf eine mögliche Ungleichbehandlung - ansonsten nicht ausgeübt werden kann. Nicht erforderlich ist jedoch die Bekanntgabe eines vom Bauort abweichenden Wohnortes der Bauherrin oder des Bauherrn. Bei Identität von Bau- und Wohnort bleibt die Veröffentlichung des Bauorts zulässig.

Soll die Tagesordnung zusätzlich zur ortsüblichen Bekanntmachung auch im Internet, etwa auf der Homepage der Gemeinde, veröffentlicht werden, ist auch ein für die Ausübung der Kontrollfunktion im obigen Sinne erforderlicher Name wegzulassen beziehungsweise zu anonymisieren, soweit dies für die Information der Öffentlichkeit nicht ausnahmsweise zwingend erforderlich ist. Diese Einschränkung beruht darauf, dass das Kommunalrecht lediglich eine ortübliche Bekanntmachung fordert und der Wirkungskreis der Gemeinde örtlich begrenzt ist.

5.1.1.2. Information der Presse durch Übermittlung von Sitzungsvorlagen

Soll die Presse bereits vor der Sitzung durch Übermittlung von Sitzungsvorlagen über die geplanten Tagesordnungspunkte näher unterrichtet werden, müssen diese durch Kürzen, Schwärzen oder vergleichbare Maßnahmen dergestalt anonymisiert sein, dass nur noch Informationen enthalten sind, die ohne Bedenken der Öffentlichkeit zugänglich gemacht werden dürfen.

5.1.1.3. Behandlung von Nachbareinwendungen in öffentlicher Sitzung

Auch in der öffentlichen Sitzung selbst dürfen nur diejenigen personenbezogenen Informationen bekannt gemacht werden, die für die Behandlung des Tagesordnungspunktes erforderlich sind. Nachbareinwendungen gegen Bauvorhaben sind zwar grundsätzlich in öffentlicher Gemeinderatssitzung zu behandeln, da insoweit kein generelles schutzwürdiges Geheimhaltungsinteresse besteht. Soweit zur sachgerechten Behandlung erforderlich - sind überhaupt nachbarliche Belange berührt? - darf auch die Adresse der Einwenderin oder des Einwenders genannt werden. Die Bekanntgabe des Namens wird dagegen regelmäßig nicht erforderlich sein und kann nur ausnahmsweise erfolgen, wenn im Einzelfall ein besonderes sachliches Interesse besteht.

Auch bezüglich der Form der Behandlung in der Sitzung muss die Kommune den Datenschutz berücksichtigen. Insbesondere ist es nicht erforderlich, Einwendungsschreiben im Original per Beamer an die Wand zu projizieren. Dies gilt selbst dann, wenn im Einzelfall die Nennung des Namens der Einwenderin oder des Einwenders für die sachgerechte Behandlung des Sachverhalts erforderlich ist. Auch dann reicht es regelmäßig aus, die betreffenden Einwendungen inhaltlich wiederzugeben.

5.1.1.4. Veröffentlichung der Sitzungsniederschrift

Häufig werden mittlerweile Niederschriften öffentlicher Gemeinderatssitzungen veröffentlicht. Nach Abs. 54 Abs. 1 und Abs. 2 GO gefertigte Niederschriften sind jedoch offizielle Dokumente der Gemeinde mit dem Charakter öffentlicher Urkunden. Deren Veröffentlichung sieht die Gemeindeordnung nicht vor. Geregelt ist lediglich ein Einsichtsrecht für Gemeinderatsmitglieder und für die Gemeindebürgerinnen und Gemeindebürger (vgl. Art. 54 Abs. 3 GO). In meinem Beitrag "Veröffentlichung von Niederschriften über öffentliche Sitzungen des Gemeinderats im Internet" habe ich die Problematik näher beleuchtet.

Zusammengefasst halte ich die Veröffentlichung von Niederschriften, welche nur den Mindestinhalt des Art. 54 Abs. 1 GO enthalten, im gemeindlichen Mitteilungsblatt und die Weitergabe derartiger Niederschriften an die örtliche Presse für zulässig. Soll die Veröffentlichung darüber hinaus im Internet erfolgen, so muss die Gemeinde das Risiko berücksichtigen, dass die Informationen dann regelmäßig weltweit abgerufen und ausgewertet werden können.

5.1.2. Umgang mit Einwendungen im Rahmen der kommunalen Bauleitplanung

Mehrfach wurde ich mit der Behandlung von Bürgereinwendungen im Rahmen der kommunalen Bauleitplanung befasst. Insoweit habe ich folgende Hinweise gegeben:

5.1.2.1. Bekanntgabe personenbezogener Daten bei der Öffentlichkeitsbeteiligung

Im Rahmen der Bauleitplanung können Bürgerinnen und Bürger Stellungnahmen zum Planungsvorhaben abgeben, dies sowohl bei der frühzeitigen Beteiligung der Öffentlichkeit gemäß § 3 Abs. 1 Baugesetzbuch (BauGB) als auch bei der förmlichen Öffentlichkeitsbeteiligung nach § 3 Abs. 2 BauGB. Teil der förmlichen Öffentlichkeitsbeteiligung ist auch eine Information über die Ergebnisse der frühzeitigen Öffentlichkeitsbeteiligung. Insoweit sind die Entwürfe der Bauleitpläne mit deren Begründung und den nach Einschätzung der Gemeinde wesentlichen, bereits vorliegenden umweltbezogenen Stellungnahmen öffentlich auszulegen. Der Inhalt der ortsüblichen Bekanntmachung und die auszulegenden Unterlagen sind nach § 4a Abs. 4 Satz 1 BauGB zusätzlich in das Internet einzustellen und über ein zentrales Internetportal zugänglich zu machen. Derartige Stellungnahmen sind aber personenbezogene Daten, soweit sie mit Informationen zu natürlichen Personen verknüpft sind. Die Verarbeitung bedarf daher einer Rechtsgrundlage.

Zwar lässt sich zunächst einmal schon bezweifeln, ob jede private Bürgereinwendung tatsächlich eine wesentliche umweltbezogene Stellungnahme im oben erläuterten Sinn ist. Jedenfalls aber sind datenschutzrechtliche Vorgaben zu beachten, wenn private Einwendungen öffentlich ausgelegt und in das Internet eingestellt werden sollen. Aus datenschutzrechtlicher Sicht hat die Gemeinde zwar die ihr durch § 3 Abs. 2 Satz 1 und § 4a Abs. 4 Satz 1 BauGB auferlegten Pflichten zu erfüllen. Diese Vorschriften sehen allerdings nicht vor, dass auch personenbezogene Daten zu übermitteln sind. Deren Übermittlung ist daher regelmäßig nicht erforderlich und nach Art. 5 Abs. 1 Satz 1 Nr. 1 BayDSG nicht zulässig. Sollen private Einwendungen öffentlich ausgelegt und in das Internet eingestellt werden, sind daher personenbezogene Daten zu anonymisieren. Dies betrifft insbesondere Name und Anschrift, aber auch Sachangaben, aus denen Rückschlüsse auf die Identität der Bürgerinnen und Bürger möglich sind.

5.1.2.2. Auftragsverarbeitung bei Einschaltung eines Planungsbüros

Die Einschaltung eines Planungsbüros und insoweit gegebenenfalls auch die Übermittlung personenbezogener Einwendungen an dieses begegnet aus datenschutzrechtlicher Sicht keinen grundsätzlichen Bedenken, solange die Gemeinde weiterhin über Mittel und Zwecke der hiermit verbundenen Datenverarbeitung entscheidet, also Verantwortliche im Sinne von Art. 4 Nr. 7 DSGVO bleibt. In § 4b BauGB hat der Gesetzgeber die Möglichkeit der Übertragung einzelner Verfahrensschritte auf private Dritte sogar explizit vorgesehen. Erforderlich ist jedoch beim Umgang des Planungsbüros mit personenbezogenen Daten der Abschluss eines Auftragsverarbeitungsvertrages gemäß Art. 28 Abs. 3 DSGVO. Zu den Einzelheiten verweise ich auf meine Orientierungshilfe Auftragsverarbeitung.

5.1.2.3. Behandlung von Einwendungen in öffentlicher Sitzung

Entscheidungen in Bauleitplanverfahren werden grundsätzlich in öffentlicher Sitzung getroffen. Dies gilt auch für die planerische Abwägung. In diesem Rahmen werden auch die erhobenen Einwendungen behandelt. Die Öffentlichkeitsbeteiligung gemäß § 3 BauGB ist darauf gerichtet, die von der Planung berührten Belange umfassend ermitteln und bewerten zu können. Sie hat den Zweck, notwendiges Abwägungsmaterial zu beschaffen beziehungsweise zu vervollständigen. Die vorgebrachten Anregungen sind daraufhin zu überprüfen, ob und gegebenenfalls in welcher Weise sie berücksichtigt werden können und sollen. Die Möglichkeit der Bürgerinnen und Bürger im Rahmen der Öffentlichkeitsbeteiligung Einwendungen und Stellungnahmen abzugeben, soll das von der Kommune zusammenzustellende Abwägungsmaterial vervollständigen und so die materielle Rechtmäßigkeit von Bauleitplänen gewährleisten.

Daher ist es regelmäßig nicht erforderlich, Bürgereinwendungen in ihrem gesamten Inhalt bis hin zum letzten Komma zu analysieren. Vielmehr genügt es in der Regel, wenn die anonymisierten Einwendungen in ihren Kernaussagen aufgelistet und jeweils den Ausführungen der Verwaltung gegenüber gestellt werden. Es geht dabei nicht um den Wortlaut der Stellungnahme, sondern um deren Inhalt. Eine öffentliche Beratung von Stellungnahmen in personenbezogener Form ist insoweit grundsätzlich nicht erforderlich. Betroffene Personen müssen zur Gewährleistung der Transparenz der gemeindlichen Verwaltungstätigkeit damit zwar hinnehmen, dass ihre Einwendungen in öffentlicher Gemeinderatssitzung behandelt werden. Dabei kann im Einzelfall die Angabe der Adresse (oder noch seltener des Namens) erforderlich sein, um die Betroffenheit vom Planungsvorhaben festzustellen. Regelmäßig wird es für die öffentliche Erörterung jedoch ausreichen, Einwendungen eine für die Öffentlichkeit anonyme Nummer zuzuweisen und unter dieser das Anliegen in öffentlicher Sitzung zu behandeln.

Selbst bei einer im Einzelfall bestehenden Erforderlichkeit der Bekanntgabe personenbezogener Daten, ist aber wiederum kein Bedürfnis erkennbar, Originaleinwendungen welche mittels Name, Adresse oder weiteren Informationen bestimmten Personen zugeordnet werden können, mittels Beamer an die Wand zu projizieren.

5.1.2.4. Veröffentlichung der Sitzungsniederschrift

Was die Veröffentlichung der Sitzungsniederschrift betrifft, gelten meine Ausführungen unter Nr. 5.1.1.4 entsprechend.

5.2. Live-Übertragung einer Bürgerversammlung ins Internet

Die fortschreitende Digitalisierung eröffnet immer neue Möglichkeiten für Information und Partizipation. Auch viele bayerische Kommunen möchten neue Formate für sich nutzen. Allerdings dürfen bei allem Verständnis für die Chancen der Digitalisierung die hiermit verbundenen datenschutzrechtlichen Risiken nicht ausgeblendet werden. Aus gutem Grund ist nicht alles, was technisch möglich ist auch (datenschutz-)rechtlich erlaubt. Dies gilt auch für den im Berichtszeitraum an mich herangetragenen Wunsch, Bürgerversammlungen live ins Internet zu übertragen, damit interessierte Bürgerinnen und Bürger diese ortsungebunden verfolgen können.

5.2.1. Live-Übertragungen öffentlicher Gemeinderatssitzungen

In meinem 21. Tätigkeitsbericht 2004 unter Nr. 11.2 habe ich mich zu der ähnlich gelagerten Frage geäußert, ob und unter welchen Umständen öffentliche Gemeinderatssitzungen live ins Internet übertragen werden können. Auch unter Geltung der Datenschutz-Grundverordnung halte ich an den im Beitrag getroffenen Aussagen inhaltlich fest. Da eine gesetzliche Rechtsgrundlage weiterhin fehlt, kommt in Bezug auf Sitzungs- und Redebeiträge von Gemeinderatsmitgliedern oder Gemeindebediensteten allenfalls eine Datenverarbeitung aufgrund wirksamer Einwilligung in Betracht (vgl. Art. 4 Nr. 11, Art. 6 Abs. 1 UAbs. 1 Buchst. a, Art. 7 DSGVO). Die Einwilligung zur Übertragung ins Internet muss sich dabei sowohl auf Bild- als auch Tondaten der betroffenen Personen beziehen. Die Entscheidung über die Zustimmung muss ohne psychischen Druck auf der Grundlage ausreichender Informationen über die besonderen Modalitäten einer Interneteinstellung und mit ausreichender Überlegungsfrist erfolgen können. Die Verweigerung der Zustimmung darf nicht in diskriminierender Weise zur Kenntnis gebracht werden. Der Zuschauerraum darf nicht so in die Übertragung einbezogen werden, dass einzelne Zuschauer erkannt werden können. Gegebenenfalls ist statt einer Liveübertragung eine Aufzeichnung ins Internet einzustellen.

5.2.2. Live-Übertragung von Bürgerversammlungen ins Internet

Die eben erläuterten Grundsätze gelten auch für die Live-Übertragung von Bürgerversammlungen ins Internet. Im Ergebnis dürfte diese allerdings kaum einmal datenschutzrechtlich zulässig sein. Im Einzelnen:

5.2.2.1. Bürgerversammlung als Ausdruck einer bürgernahen Selbstverwaltung

Die Bürgerversammlung nach Art. 18 Gemeindeordnung (GO) ist ein "Gremium der kommunalen Selbstverwaltung". Sie dient der Sicherstellung der bürgerschaftlichen Teilhabe an und der Einbeziehung in die gemeindliche Willensbildung und damit einer bürgernahen Selbstverwaltung. In der Bürgerversammlung können Gemeindeangehörige das Wort erhalten (Art. 18 Abs. 3 Satz 1 GO). Der Vorsitzende soll einem Vertreter der Aufsichtsbehörde auf Verlangen das Wort erteilen (Art. 18 Abs. 3 Satz 2 GO).

Art. 18 GO

Mitberatungsrecht (Bürgerversammlung)

(1) 1In jeder Gemeinde hat der erste Bürgermeister mindestens einmal jährlich, auf Verlangen des Gemeinderats auch öfter, eine Bürgerversammlung zur Erörterung gemeindlicher Angelegenheiten einzuberufen. 2In größeren Gemeinden sollen Bürgerversammlungen auf Teile des Gemeindegebiets beschränkt werden.

(2) [...]

(3) 1Das Wort können grundsätzlich nur Gemeindeangehörige erhalten. 2Ausnahmen kann die Bürgerversammlung beschließen; der Vorsitzende soll einem Vertreter der Aufsichtsbehörde auf Verlangen das Wort erteilen. 3Den Vorsitz in der Versammlung führt der erste Bürgermeister oder ein von ihm bestellter Vertreter. 4Stimmberechtigt sind ausschließlich Gemeindebürger.

(4) [...]

Werden durch die Gemeinde Ton- und Filmaufnahmen von Gemeindeangehörigen, Vertreterinnen und Vertretern von Aufsichtsbehörden oder anderen Personen, die auf der Bürgerversammlung das Wort erhalten oder dieser als Zuschauerinnen oder Zuschauer beiwohnen, angefertigt und live ins Internet übertragen, so liegt eine Verarbeitung personenbezogener Daten durch die Gemeinde vor, für die (jeweils) eine Rechtsgrundlage benötigt wird (vgl. Art. 6 Abs. 1 DSGVO). Dies gilt auch in Bezug auf die Daten von Bürgerinnen und Bürgern, deren Angelegenheiten auf der Bürgerversammlung personenbezogen oder personenbeziehbar behandelt werden, wenn eine Übertragung ins Internet beabsichtigt ist.

5.2.2.2. Fehlen einer gesetzlichen Befugnis für die Datenverarbeitung

Öffentliche Stellen sollen sich bei der Erfüllung ihrer öffentlichen Aufgaben vorrangig auf die speziellen fachgesetzlichen Rechtsgrundlagen zur Verarbeitung personenbezogener Daten nachrangig auf die allgemeine Befugnisnorm des Art. 4 Abs. 1 BayDSG, respektive für die Übermittlung von personenbezogenen Daten auf Art. 5 Abs. 1 BayDSG stützen. Eine fachgesetzliche Vorschrift zur Übermittlung von Bild- und Tonaufnahmen bei Bürgerversammlungen ins Internet ist indes nicht ersichtlich. Insbesondere enthält Art. 18 GO keine derartige Regelung.

Nach Art. 5 Abs. 1 Satz 1 BayDSG ist eine Übermittlung personenbezogener Daten zulässig, wenn sie zur Erfüllung einer der übermittelnden oder der empfangenden öffentlichen Stelle obliegenden Aufgaben erforderlich ist (Nr. 1) oder der Empfänger eine nicht öffentliche Stelle ist, diese Stelle ein berechtigtes Interesse an ihrer Kenntnis glaubhaft darlegt und die betroffene Person kein schutzwürdiges Interesse an dem Ausschluss der Übermittlung hat; dies gilt auch, soweit die Daten zu anderen Zwecken als denjenigen, zu denen sie erhoben wurden, übermittelt werden (Nr. 2).

Art. 5 Abs. 1 Satz 1 Nr. 1 BayDSG scheidet als Rechtsgrundlage aber aus, da die Übermittlung von Bild- und Tonaufnahmen bei Bürgerversammlungen gerade nicht zu den gesetzlichen Aufgaben der Gemeinde gehört. Insbesondere kann eine solche Aufgabe nicht Art. 18 GO entnommen werden.

Auch kann ich nicht erkennen, dass die Voraussetzungen des Art. 5 Abs. 1 Satz 1 Nr. 2 BayDSG erfüllbar wären. Die Norm setzt nämlich in Bezug auf die jede fragliche Datenverarbeitung eine konkrete Interessenabwägung und Prüfung der Berechtigung des Interesses der oder des Auskunftsersuchenden durch den Verantwortlichen (also die Gemeinde) voraus. Auf eine pauschale Übermittlung von personenbezogenen Daten an eine nicht näher bekannte oder gar unbegrenzte Anzahl von Empfängern, wie es bei einer Live-Übertragung ins Internet der Fall wäre, ist Art. 5 Abs. 1 Satz 1 Nr. 2 BayDSG ebenso wenig zugeschnitten wie auf eine initiative Übermittlung (siehe Beitrag Nr. 5.3). In diesem Zusammenhang ist bei einer Übertragung im Internet auch zu berücksichtigen, dass damit eine völlig neue Qualität der Veröffentlichung erreicht wird. Die Veröffentlichung im Internet wird weltweit einen ungleich größeren Personenkreis zugänglich als jede auflagenbegrenzte schriftliche Presseveröffentlichung oder die Berichterstattung in einem lokalen Rundfunksender. Bild und Ton können von jedermann abgerufen, aufgezeichnet und ausgewertet werden, und die weitere Verwendung dieser Aufnahme ist nicht abzusehen. Bei der Direktübertragung einer Bürgerversammlung im Internet werden Teilnehmerinnen und Teilnehmer mit ihrer Mimik und Gestik sowie ihren Redebeiträge im Wortlaut weltweit abrufbar. Dies kann dazu führen, dass sich Gemeindeangehörige nicht mehr unbefangen und spontan äußern. Damit besteht durchaus die Gefahr, dass Funktion und Idee der Bürgerversammlung beeinträchtigt werden und damit der Demokratie insgesamt Schaden zugefügt wird.

5.2.2.3. Einwilligung wird regelmäßig an mangelnder Freiwilligkeit scheitern

Damit bleibt nur noch die - allerdings eher theoretische - Möglichkeit, die Verarbeitung auf Einwilligungen im Sinne von Art. 6 Abs. 1 UAbs. 1 Buchst. a DSGVO zu stützen. Allerdings müssten für die Wirksamkeit die gesetzlichen Anforderungen erfüllt sein. Die Einwilligung muss danach insbesondere freiwillig (Art. 4 Nr. 11, Art. 7 Abs. 3 Satz 3 DSGVO), informiert (Art. 4 Nr. 11 DSGVO), auf einen bestimmten Zweck (Art. 6 Abs. 1 UAbs. 1 Buchst. a DSGVO) und auf eine bestimmte Verarbeitung bezogen (Art. 4 Nr. 11 DSGVO) sowie unmissverständlich (Art. 4 Nr. 11 DSGVO) sein. Sie wirkt grundsätzlich bis zu ihrem Widerruf (Art. 7 Abs. 3 Sätze 1 und 2 DSGVO). Indes habe ich erhebliche Zweifel, ob die Gemeinde die erforderliche Freiwilligkeit garantieren kann (zur Nachweispflicht der Gemeinde vgl. Art. 5 Abs. 2, Art. 7 Abs. 1 DSGVO).

Freiwilligkeit setzt voraus, dass der Einwilligende eine echte und freie Wahl hat und in der Lage sein muss, die Einwilligung zu verweigern oder zurückzuziehen, ohne Nachteile zu erleiden (Erwägungsgrund 42 DSGVO). Um sicherzustellen, dass die Einwilligung freiwillig erfolgt ist, sollte diese in besonderen Fällen, wenn zwischen der betroffenen Person und dem Verantwortlichen ein klares Ungleichgewicht besteht, insbesondere wenn es sich bei dem Verantwortlichen um eine Behörde handelt, und es deshalb in Anbetracht aller Umstände in dem speziellen Fall unwahrscheinlich ist, dass die Einwilligung freiwillig gegeben wurde, keine gültige Rechtsgrundlage liefern (Erwägungsgrund 43 DSGVO). Auch wenn die Einholung von Einwilligungen durch Behörden damit nicht völlig ausgeschlossen ist, müssen diese doch speziell bei der geplanten Live-Übertragung vor Bürgerversammlungen ins Internet Folgendes berücksichtigen:

Zunächst müsste die Gemeinde darauf hinweisen, dass bei einer Internet-Übertragung Bild und Ton weltweit von einem unbegrenzten Kreis von Personen abgerufen, aufgezeichnet, unter Umständen verändert und ausgewertet werden können und die weitere Verwendung dieser Aufnahmen nicht abzusehen ist. Vor allem aber dürfen Teilnehmerinnen und Teilnehmer der Bürgerversammlung nicht unter Entscheidungsdruck gesetzt werden. Das wäre etwa der Fall, wenn sie erst während der Veranstaltung, also im Beisein von Anderen und gegebenenfalls der Presse mit dem Wunsch nach einer Übertragung der Bürgerversammlung ins Internet konfrontiert würden. Eine freiwillige Einwilligung könnte in einem solchen Fall nicht angenommen werden. Teilnehmenden muss vielmehr eine angemessene Überlegungsfrist für ihre Entscheidung eingeräumt werden. Da bei Bürgerversammlungen jedoch - anders als etwa bei Gemeinderatssitzungen, bei welchen im Voraus grundsätzlich feststeht, welche Gemeinderatsmitglieder zugegen sind - im Vorfeld nicht absehbar ist, wer anwesend sein und das Wort ergreifen wird, dürfte es kaum möglich sein, die Freiwilligkeit von Einwilligungen zu gewährleisten. Auch auf dieser Rechtsgrundlage wird daher regelmäßig keine Live-Übertragung von Bürgerversammlungen ins Internet möglich sein. Hinzu kommt, dass auch diejenigen Bürgerinnen und Bürger, die die Einwilligung verweigern, nicht vom Besuch der Bürgerversammlung ausgeschlossen werden dürfen. Für diese wäre dann zusätzlich ein erfassungsfreier Bereich vorzusehen und es wäre zusätzlich sicherzustellen, dass deren eventuelle Wortbeiträge nicht in einer Art und Weise erfasst werden, dass diese konkreten Personen zuordenbar sind.

5.3. Informantenschutz bei Datenübermittlungen unter Geltung der Datenschutz-Grundverordnung

Zu der Frage, wie öffentliche Stellen datenschutzkonform mit Hinweisen von Bürgerinnen und Bürger auf (vermeintlich) rechtswidrige Handlungen Dritter umgehen sollen, habe ich mich bereits in meinem 24. Tätigkeitsbericht 2010 unter Nr. 6.10 geäußert. Die Vielzahl von Eingaben, die mich hierzu seit Geltungsbeginn der Datenschutz-Grundverordnung erreicht haben, veranlasst mich jedoch, meine damaligen Ausführungen zu aktualisieren und in einen größeren Zusammenhang einzubetten.

Gleichsam vor die Klammer gezogen möchte ich jedoch schon an dieser Stelle betonen, dass sich die dem Informantenschutz zugrundeliegenden Wertungen mit Geltungsbeginn der Datenschutz-Grundverordnung nicht wesentlich geändert haben und insbesondere ein reflexhaftes In-Kenntnis-Setzen der "Gegenpartei" von erhobenen Vorwürfen weiterhin datenschutzrechtlich unzulässig ist.

Nur hinweisen möchte ich an dieser Stelle auf das verwandte Thema "Informantenschutz bei Auskunftsanträgen". Nach Art. 15 Abs. 1 Halbsatz 2 Buchst. g DSGVO kann eine betroffene Person Informationen über die Herkunft von personenbezogenen Daten verlangen, die der Verantwortliche nicht bei ihr erhoben hat. Dazu können auch "Beschuldigungen" von dritter Seite zählen. Auch insoweit kommt ein Informantenschutz in Betracht. Insofern möchte ich auf meine Orientierungshilfe zu Art. 15 DSGVO sowie auf den Beitrag Nr. 8.2 in diesem Tätigkeitsbericht verweisen.

5.3.1. Datenschutzrechtliche Bewertung anhand Art. 5 Abs. 1 BayDSG

Leitet eine öffentliche Stelle Bürgereingaben wie etwa Beschwerden oder sonstige Hinweise auf (vermeintlich) rechtswidrige Handlungen Dritter an andere öffentliche oder nicht öffentliche Stellen weiter, insbesondere an denjenigen, der Anlass der Beschwerde war, und ist hierbei - etwa über den Namen oder die E-Mail Adresse - ein Rückschluss auf die Person der oder des Eingebenden möglich, liegt eine Verarbeitung personenbezogener Daten vor. Diese Verarbeitung bedarf nach Art. 6 Abs. 1 DSGVO einer Rechtsgrundlage. Soweit - wie regelmäßig der Fall -, weder eine Einwilligung (vgl. Art. 6 Abs. 1 UAbs. 1 Buchst. a DSGVO) noch eine (mitgliedsstaatliche) spezialgesetzliche Befugnisnorm (vgl. Art. 6 Abs. 1 UAbs. 1 Buchst. e in Verbindung mit Abs. 3 UAbs. 1 Buchst. b DSGVO) vorliegt, kann eine personenbezogene Weiterleitung von Bürgereingaben allenfalls auf Art. 5 Abs. 1 BayDSG gestützt werden. Diese Vorschrift lautet:

"1Eine Übermittlung personenbezogener Daten ist zulässig, wenn

  1. sie zur Erfüllung einer der übermittelnden oder der empfangenden öffentlichen Stelle obliegenden Aufgabe erforderlich ist oder
  2. der Empfänger eine nicht öffentliche Stelle ist, diese Stelle ein berechtigtes Interesse an ihrer Kenntnis glaubhaft darlegt und die betroffene Person kein schutzwürdiges Interesse an dem Ausschluss der Übermittlung hat; dies gilt auch, soweit die Daten zu anderen Zwecken als denjenigen, zu denen sie erhoben wurden, übermittelt werden.

2Bei einer Übermittlung nach Satz 1 Nr. 2 darf der Empfänger die übermittelten Daten nur für den Zweck verarbeiten, zu dem sie ihm übermittelt wurden."

Nach Art. 5 Abs. 1 Satz 1 Nr. 1 BayDSG ist die Übermittlung personenbezogener Daten zulässig, wenn sie zur Erfüllung einer der übermittelnden oder der empfangenden öffentlichen Stelle obliegenden Aufgabe erforderlich ist.

An der Erforderlichkeit fehlt es insbesondere dann, wenn der geschilderte Sachverhalt auch ohne Offenlegung der Identität der oder des Eingebenden bewertbar ist und - gegebenenfalls nach weiteren behördlichen Ermittlungen - etwaigen Verwaltungshandlungen zu Grunde gelegt werden kann.

Verdeutlichen möchte ich dies an folgendem Beispielsfall aus dem Berichtszeitraum: Eine öffentliche Stelle wurde von privater Seite über Sicherheitsbedenken hinsichtlich einer geplanten Veranstaltung in einer Einrichtung für Schutzsuchende informiert und hat diese Information personenbezogen an den Veranstalter weitergeleitet. Zur Begründung hierfür wurde angeführt, dass ein sachlicher Hinweis auf die geäußerten Bedenken ohne Übermittlung des vollständigen Schriftverkehrs samt personenbezogener Daten zur Risikoabschätzung des Veranstalters und damit mittelbar auch zur Erfüllung der öffentlichen Aufgabe des Schutzes von Leib und Leben der Bevölkerung, nicht ausgereicht hätte. Dem Sachverhalt ließen sich aber keine Hinweise darauf entnehmen, dass der Veranstalter zu einer anderen Bewertung des Warnhinweises gekommen wäre, hätte er den Namen der eingebenden Person nicht gekannt. Die dargelegten Gründe für die Bedenken ließen vielmehr eine Einschätzung auch ohne weitere personenbezogene Informationen zu. Insbesondere war gerade keine Bedrohungslage durch die eingebende Person selbst erkennbar, welche deren Identifizierung seitens des Veranstalters erfordert hätte. Die Übermittlung des Schriftverkehrs samt Namen der eingebenden Person war damit zur Erfüllung von Aufgaben der öffentlichen Stelle nicht erforderlich. Die bloße Sachinformation oder gegebenenfalls die Übermittlung einer hinsichtlich der personenbezogenen Daten geschwärzten E-Mail hätte vollkommen ausgereicht.

Auch Art. 5 Abs. 1 Nr. 2 BayDSG wird regelmäßig kein anderes Ergebnis rechtfertigen. Nach dieser Norm ist die Übermittlung personenbezogener Daten zulässig, wenn der Empfänger eine nicht öffentliche Stelle ist, diese Stelle ein berechtigtes Interesse an ihrer Kenntnis glaubhaft darlegt und die betroffene Person kein schutzwürdiges Interesse an dem Ausschluss der Übermittlung hat.

Insoweit ist vorneweg klarzustellen, dass Art. 5 Abs. 1 Nr. 2 BayDSG Datenübermittlungen an andere öffentliche Stellen schon vom klaren Wortlaut her nicht umfasst. Gleiches gilt aber grundsätzlich auch für eigeninitiativ erfolgte Datenübermittlungen an nicht öffentliche Stellen, da es dann regelmäßig an der vorherigen glaubhaften Darlegung eines berechtigten Interesses an der Kenntnis fehlen wird. Ein berechtigtes Interesse ist jedes nach vernünftigen Erwägungen unter Berücksichtigung der Besonderheiten des Falles anzuerkennendes, der Rechtsordnung nicht widersprechendes Interesse. Umfasst sind damit nicht nur die im Zusammenhang mit der Verfolgung von Rechten stehenden rechtlichen Interessen, sondern auch ideelle und wirtschaftliche Interessen. Ein berechtigtes Interesse an der Datenkenntnis setzt aber immer voraus, dass die Empfängerin oder der Empfänger die Daten in irgendeiner Form benötigt, wofür schon das Interesse an der Schaffung eines vernünftigerweise zuzubilligenden Informationsstandes an sich ausreichen kann. Unterhaltungsbedürfnis, Neugier und Sensationslust allein bedingen demgegenüber kein berechtigtes Interesse.

Das schutzwürdige Interesse der von einer Datenübermittlung betroffenen Person ist bei der Entscheidung, ob diese zulässig ist, gegenüber dem berechtigten Interesse der Empfängerin oder des Empfängers der Daten abzuwägen, wobei an dieser Stelle das schutzwürdige Interesse der eingebenden Person regelmäßig überwiegt. Insbesondere ist zu berücksichtigen, dass einer Bürgerin oder einem Bürger, die oder der eine Behörde auf tatsächliche oder vermeintliche Gefahren hinweist, dadurch keine Nachteile entstehen sollen. Dies ist letztlich auch im Interesse von Behörden, die zur ordnungsgemäßen Erfüllung ihrer Aufgaben auf derartige Informationen angewiesen sind. Die Bürgerinnen und Bürger vertrauen darauf, dass ihre Hinweise im Bereich der Verwaltung verbleiben. Dies gilt unabhängig davon, ob um vertrauliche Behandlung gebeten wurde. Dem Interesse des potentiellen Informationsempfängers steht das Interesse der eingebenden Person nur dann nicht entgegen, wenn es sich um haltlose, grob unwahre oder gar verleumderische Angaben handelt, gegen die sich eine die Anzeige betreffende Person zur Wehr setzen will.

5.3.2. Parallele Maßstäbe bei (verwaltungsverfahrensrechtlicher) Akteneinsicht

Ein Verwaltungsverfahren ist gemäß Art. 9 Bayerisches Verwaltungsverfahrensgesetz (BayVwVfG) die nach außen wirkende Tätigkeit der Behörden, die auf die Prüfung der Voraussetzungen, die Vorbereitung und den Erlass eines Verwaltungsakts oder auf den Abschluss eines öffentlich-rechtlichen Vertrags gerichtet ist. Nach Art. 29 Abs. 1 BayVwVfG hat die Behörde den Beteiligten Einsicht in die einzelnen Teile der das Verfahren betreffenden Akten zu gestatten, soweit deren Kenntnis zur Geltendmachung oder Verteidigung ihrer rechtlichen Interessen erforderlich ist. Die Norm kann wohl als Ausdruck eines allgemeinen Rechtsgedankens entsprechend für sonstige behördliche Auskünfte herangezogen werden. So kommt wohl neben Zugangsansprüchen nach Art. 39 BayDSG und § 9 Allgemeine Geschäftsordnung für die Behörden des Freistaates Bayern und den insoweit geregelten Anforderungen auch ein Akteneinsichtsrecht im Rahmen einer Ermessensentscheidung in Betracht, wenn die Antragstellerin oder der Antragsteller ein berechtigtes Interesse hieran geltend macht. Zur Gewährung von Akteneinsicht hat eine Behörde ihre Ermessensentscheidung so zu treffen, dass unter Berücksichtigung des Grundprinzips des rechtsstaatlichen und fairen Verfahrens eine beiderseits sachgerechte Interessenwahrung möglich ist. Außerdem muss die Kenntnis des Akteninhalts Voraussetzung für eine wirksame Rechtsverfolgung sein.

Umfasst eine begehrte Akteneinsicht Erkenntnisse mit Personenbezug zu einer Hinweisgeberin oder einem Hinweisgeber, so muss das Zugangsinteresse der die Akteneinsicht begehrenden Person gegen das Vertraulichkeitsinteresse der Hinweisgeberin oder des Hinweisgebers abgewogen werden. Diesen steht auch bei einer Akteneinsicht regelmäßig ein schutzwürdiges Interesse an der Geheimhaltung ihrer Identität zu. Auch insoweit muss berücksichtigt werden, dass Bürgerinnen und Bürger, die eine Behörde auf tatsächliche oder vermeintliche Missstände und Verstöße gegen Rechtsvorschriften aufmerksam machen, dadurch keine Nachteile entstehen sollen. Ich verweise hierzu auf meine Ausführungen unter Nr. 5.3.1. Liegt ein solches schutzwürdiges Interesse vor, so ist darauf zu achten, dass bei der Akteneinsicht die personenbezogenen Daten der eingebenden Person in der Akte nicht enthalten sind. Regelmäßig dürfte insoweit die Schwärzung der entsprechenden Passagen erforderlich sein.

5.3.3. Besonderheiten im Ordnungswidrigkeitenverfahren

Gibt die Eingabe jedoch Anlass zur Einleitung eines Ordnungswidrigkeitenverfahrens, bemisst sich der Informantenschutz nicht an den Vorgaben der Datenschutz-Grundverordnung. Vielmehr fällt die Datenverarbeitung in einem Ordnungswidrigkeitenverfahren in den Anwendungsbereich der Datenschutzrichtlinie für Polizei und Strafjustiz, so dass sich die datenschutzrechtlichen Vorgaben aus dem Gesetz über Ordnungswidrigkeiten (OWiG), der Strafprozessordnung und Art. 28 ff. BayDSG ergeben. Das Recht auf Akteneinsicht bei der Verwaltungsbehörde besteht insoweit nach Maßgabe des § 49 Abs. 1 OWiG. Dort heißt es:

"Die Verwaltungsbehörde gewährt dem Betroffenen auf Antrag Einsicht in die Akten, soweit der Untersuchungszweck, auch in einem anderen Straf- oder Bußgeldverfahren, nicht gefährdet werden kann und nicht überwiegende schutzwürdige Interessen Dritter entgegenstehen. Werden die Akten nicht elektronisch geführt, können an Stelle der Einsichtnahme in die Akten Kopien aus den Akten übermittelt werden."

Gemäß § 49 Abs. 1 Satz 1 OWiG gewährt die Verwaltungsbehörde der Betroffenen oder dem Betroffenen auf Antrag Einsicht in die Akten, soweit der Untersuchungszweck, auch in einem anderen Straf- oder Bußgeldverfahren, nicht gefährdet werden kann und nicht überwiegende schutzwürdige Interessen Dritter entgegenstehen.

Der Informantenschutz wiegt hier allerdings weniger stark als im Verwaltungsverfahren; er muss im Ordnungswidrigkeitenverfahren regelmäßig zurücktreten. Nimmt die anzeigende Person den Status einer Zeugin oder eines Zeugen ein, so ist nur unter sehr engen Voraussetzungen ein Informantenschutz möglich. Hintergrund für die Änderung des Bewertungsmaßstabs ist die Maxime, dass die betroffene Person, gegen die ein Bußgeld erlassen wird, eine angemessene Möglichkeit zur Verteidigung erhalten soll, zu der auch die Kenntnis der Beweismittel gehört.

5.4. Datenschutzkonformität von (staatlichen) Förderungen

Im Berichtszeitraum war ich auch mit der Datenschutzkonformität von (staatlichen) Förderungen befasst. Exemplarisch greife ich die Beantragung von Aufwandsentschädigungen im Rahmen der Tierseuchenprävention heraus. Ein Antragsteller hatte sich an mich gewandt und das Förderverfahren hinterfragt. Meine datenschutzrechtliche Überprüfung ergab insoweit eine Reihe von Mängeln, die nach intensiven Diskussionen mit dem fachlich zuständigen Staatsministerium im Wesentlichen behoben werden konnten. Auf folgende Punkte, welche von generellem Interesse sind, möchte ich hinweisen:

5.4.1. Einwilligung regelmäßig keine Rechtsgrundlage

Gerade bei der staatlichen Leistungsgewährung im Rahmen von Förderverfahren wird von den Verantwortlichen als Rechtsgrundlage für eine Verarbeitung personenbezogener Daten gerne die Einwilligung (vgl. Art. 6 Abs. 1 Uabs. 1 Buchst. a DSGVO) herangezogen. Beispielsweise findet sich in den verwendeten Antragsformularen etwa folgende Formulierung:

"Mit der Verarbeitung meiner mit diesem Antrag erhobenen Daten zur Auszahlung der Aufwandsentschädigung im Zusammenhang mit vorbeugenden Präventionsmaßnahmen gegen [...] besteht Einverständnis."

Hierzu ist aus datenschutzrechtlicher Sicht (siehe näher Beitrag Nr. 5.2.2.3) darauf hinzuweisen, dass öffentliche Stellen Verarbeitungen personenbezogener Daten regelmäßig auf eine gesetzliche Befugnis gemäß Art. 6 Abs. 1 UAbs. 1 Buchst. e, Abs. 3 UAbs. 1 Buchst. b DSGVO stützen sollen. Sie dürfen personenbezogene Daten auf der Grundlage von Einwilligungen nur in Ausnahmefällen verarbeiten.

Daran ändert es auch nichts, dass im Bereich der Leistungsverwaltung in Gestalt von Förderverfahren regelmäßig keine Verpflichtung zur (vollständigen) Antragstellung besteht, die Antragsteller also eigenverantwortlich entscheiden, ob sie eine Leistung in Anspruch nehmen möchten. Wenn sie dies tun, müssen sie nach Maßgabe des Fachrechts vollständige und zutreffende Angaben machen, um die Leistung zu bekommen. Dies ist jedoch nicht originär eine Frage der Rechtsgrundlage für die Datenverarbeitung als solche, sondern vielmehr Gegenstand der Hinweispflicht nach Art. 13 Abs. 2 Buchst. e DSGVO bei der Datenerhebung (dazu näher allgemein sogleich unter Nr. 5.4.4) auf die möglichen Folgen einer Nichtbereitstellung personenbezogener Daten. Auch die Verarbeitung personenbezogener Daten in einem Förderverfahren bedarf gleichwohl regelmäßig einer (parlaments-)gesetzlichen Befugnis und kann nicht auf eine Einwilligung gestützt werden. Sollte es an einer speziellen fachrechtlichen Regelung fehlen, steht bayerischen öffentlichen Stellen regelmäßig die allgemeine Verarbeitungsbefugnis aus Art. 4 Abs. 1 BayDSG zur Verfügung. Entscheidend ist danach, ob und inwieweit die konkrete Datenverarbeitung zur Aufgabenerfüllung erforderlich ist.

5.4.2. Umfang der zulässigen Aufgabenerfüllung ergibt sich aus der jeweiligen Aufgabenzuweisungsnorm

Ob und in welchem Umfang eine Verarbeitung personenbezogener Daten zur Aufgabenerfüllung tatsächlich erforderlich ist, muss anhand der konkreten Aufgabenzuweisung an die das Förderverfahren durchführende Stelle beurteilt werden. Der bloße pauschale Verweis auf eine erfolgte Zuweisung von Haushaltsmitteln durch übergeordnete Stellen genügt insoweit gerade nicht (vgl. Art. 77 Abs. 1 Verfassung des Freistaates Bayern). Sollen im Rahmen des Antragsverfahrens Unterlagen beigefügt werden, welche auch Angaben enthalten können, die für die Zwecke des Förderverfahrens nicht erforderlich sind, ist unmissverständlich darauf hinzuweisen, dass diese überschießenden Angaben unkenntlich gemacht werden dürfen.

5.4.3. Anforderungen bei einer Einbindung von Dritten in das Förderverfahren

Sollen Dritte, insbesondere nicht-öffentliche Stellen wie etwa im jeweiligen Sachbereich tätige private Verbände, in die technisch-organisatorische Abwicklung des Förderverfahrens unter Oberhoheit einer öffentliche Stelle eingebunden werden und kommt es in diesem Rahmen zur Verarbeitung personenbezogener Daten von Antragstellerinnen und Antragstellern, sollte geprüft werden, ob der Abschluss einer Auftragsverarbeitungsvereinbarung nach Art. 28 DSGVO angezeigt ist. Zum erforderlichen Inhalt solcher Auftragsverarbeitungsvereinbarungen verweise ich allgemein auf meine Orientierungshilfe Auftragsvereinbarung.

Insoweit wird es mit der die Auftragsverarbeitung prägenden Rollenverteilung zwischen der das Förderverfahren durchführenden öffentlichen Stelle als Verantwortlicher gemäß Art. 4 Nr. 7 DSGVO und dem zur Abwicklung eingebundenen Dritten als Auftragsverarbeiter gemäß Art. 4 Nr. 8 DSGVO regelmäßig nicht vereinbar sein, wenn das an prominenter Stelle das Logo beziehungsweise Wappen des Dritten zeigende Antragsformular nur bei diesem bezogen werden kann und gleichzeitig im Förderverfahren in keiner Weise auf die eigentliche Verfahrensherrschaft der öffentlichen Stelle hingewiesen wird. Die im Rahmen der Hinweispflicht nach Art. 13 Abs. 1 Buchst. a DSGVO bei der der Datenerhebung (dazu Näher allgemein sogleich unter Nr. 5.4.4) gemachten Angaben zum Verantwortlichen müssen mit dem realen Ablauf des Förderverfahrens übereinstimmen.

5.4.4. Umsetzung der Informationspflichten nach Art. 13 DSGVO

Als Ausfluss der soeben erläuterten Kritikpunkte hat auch die datenschutzkonforme Umsetzung der Informationspflichten nach Art. 13 DSGVO nicht unerhebliche Schwierigkeiten bereitet. Art. 13 DSGVO fordert, dass betroffenen Personen zum Zeitpunkt der Erhebung ihrer personenbezogenen Daten eine Vielzahl von Informationen zur Verfügung gestellt werden.

Art. 13 DSGVO

Informationspflicht bei Erhebung von personenbezogenen Daten

bei der betroffenen Person

(1) Werden personenbezogene Daten bei der betroffenen Person erhoben, so teilt der Verantwortliche der betroffenen Person zum Zeitpunkt der Erhebung dieser Daten Folgendes mit:

  1. den Namen und die Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines Vertreters;
  2. gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten;
  3. die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung;
  4. wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe f beruht, die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden;
  5. gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten und
  6. gegebenenfalls die Absicht des Verantwortlichen, die personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu übermitteln, sowie das Vorhandensein oder das Fehlen eines Angemessenheitsbeschlusses der Kommission oder im Falle von Übermittlungen gemäß Artikel 46 oder Artikel 47 oder Artikel 49 Absatz 1 Unterabsatz 2 einen Verweis auf die geeigneten oder angemessenen Garantien und die Möglichkeit, wie eine Kopie von ihnen zu erhalten ist, oder wo sie verfügbar sind.

(2) Zusätzlich zu den Informationen gemäß Absatz 1 stellt der Verantwortliche der betroffenen Person zum Zeitpunkt der Erhebung dieser Daten folgende weitere Informationen zur Verfügung, die notwendig sind, um eine faire und transparente Verarbeitung zu gewährleisten:

  1. die Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
  2. das Bestehen eines Rechts auf Auskunft seitens des Verantwortlichen über die betreffenden personenbezogenen Daten sowie auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung oder eines Widerspruchsrechts gegen die Verarbeitung sowie des Rechts auf Datenübertragbarkeit;
  3. wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a beruht, das Bestehen eines Rechts, die Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird;
  4. das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
  5. ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche mögliche Folgen die Nichtbereitstellung hätte und
  6. das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und — zumindest in diesen Fällen — aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.

[...]

Wie ich in meiner Orientierungshilfe "Informationspflichten des Verantwortlichen" ausgeführt habe, hat die in Art. 13 DSGVO festgelegte Verpflichtung den Zweck, betroffenen Personen die Möglichkeit zu eröffnen, sich einen Überblick insbesondere über Zweck und Umfang der Verarbeitung ihrer personenbezogenen Daten zu verschaffen. Sie sollen damit auch in die Lage versetzt werden, die Rechtmäßigkeit der Verarbeitung durch den Verantwortlichen einschätzen zu können. Zugleich sollen die betroffenen Person erfahren, welche Rechte ihnen in diesem Zusammenhang zustehen (beispielsweise das Recht auf Auskunft nach Art. 15 DSGVO oder das Recht auf Berichtigung nach Art. 16 DSGVO).

Gerade bei (staatlichen) Förderungen unter technisch-organisatorischer Einbindung von privaten Verbänden in die Durchführung des Verfahrens ist besonderes Augenmerk darauf zu richten, dass Name und Kontaktdaten des (tatsächlich) Verantwortlichen (vgl. Art. 13 Abs. 1 Buchst. a DSGVO), Zwecke und Rechtsgrundlage (regelmäßig nicht Art. 6 Abs. 1 UAbs. 1 Buchst. a DSGVO) für die Verarbeitung (vgl. Art. 13 Abs. 1 Buchst. c DSGVO) sowie die Folgen einer Nichtbereitstellung personenbezogener Daten (vgl. Art. 13 Abs. 2 Buchst. e DSGVO) zutreffend erläutert werden. Daneben sind natürlich wie stets alle sonstigen Anforderungen des Art. 13 Abs. 1 und 2 DSGVO zu erfüllen.

5.5. Datenschutz bei Mobilitätsuntersuchungen auf Landkreisebene

Sowohl der Bau von Kreisstraßen (vgl. Art. 51 Abs. 2 in Verbindung mit Abs. 1 Landkreisordnung - LKrO) als auch Planung, Organisation und Sicherstellung des allgemeinen öffentlichen Personennahverkehrs (vgl. Art. 8 Abs. 1 Gesetz über den öffentlichen Personennahverkehr in Bayern - BayÖPNVG) gehören grundsätzlich zu den Aufgaben der Landkreise.

Wenn etwa Landkreise Konzepte für zukünftige Infrastrukturprojekte entwickeln, kann es sinnvoll sein, vorab sogenannte Mobilitätsuntersuchungen durchzuführen. Diese sehen unter anderem Befragungen vor, anhand welcher der künftige Bedarf an Straßen, Fahrradwegen und öffentlichen Nahverkehrsverbindungen ermittelt werden soll. Ausdrücklich gesetzlich in Art. 13 BayÖPNVG geregelt ist der Nahverkehrsplan, bei dem das künftig zu erwartende Verkehrsaufkommen im motorisierten Individualverkehr und im öffentlichen Personennahverkehr auf Schiene und Straße zu prognostizieren ist (vgl. Art. 13 Abs. 1 Satz 3 Nr. 2 BayÖPNVG). Mobilitätsuntersuchungen auf Landkreisebene sind daher grundsätzlich von der Aufgabenzuweisung an die Landkreise umfasst.

Art. 51 LKrO

Aufgaben des eigenen Wirkungskreises

(1) Im eigenen Wirkungskreis sollen die Landkreise in den Grenzen ihrer Leistungsfähigkeit die öffentlichen Einrichtungen schaffen, die für das wirtschaftliche, soziale und kulturelle Wohl ihrer Einwohner nach den Verhältnissen des Kreisgebiets erforderlich sind; hierbei sind die Belange des Natur- und Umweltschutzes zu berücksichtigen.

(2) Im Rahmen des Absatzes 1 sind die Landkreise, unbeschadet bestehender Verbindlichkeiten Dritter, verpflichtet, nach Maßgabe der gesetzlichen Vorschriften die erforderlichen Maßnahmen auf den Gebieten der Straßenverwaltung, der Feuersicherheit, des Gesundheitswesens sowie der öffentlichen Fürsorge und Wohlfahrtspflege zu treffen oder die nötigen Leistungen für solche Maßnahmen aufzuwenden.

[...]

Art. 8 BayÖPNVG

Aufgabenträger

(1) 1Die Planung, Organisation und Sicherstellung des allgemeinen öffentlichen Personennahverkehrs ist eine freiwillige Aufgabe der Landkreise und kreisfreien Gemeinden im eigenen Wirkungskreis. 2Sie führen diese Aufgaben in den Grenzen ihrer Leistungsfähigkeit durch. 3Sie sollen sich für diese Aufgaben Dritter, insbesondere der privaten Planungsbüros und der privaten Verkehrsunternehmen, bedienen.

[...]

Art. 13 BayÖPNVG

Nahverkehrsplan

(1) 1Die Aufgabenträger des allgemeinen öffentlichen Personennahverkehrs können auf ihrem Gebiet und, sofern nach Art. 6 Abs. 1 Satz 1 ein regionaler Nahverkehrsraum abgegrenzt worden ist, für diesen Nahverkehrsraum Planungen zur Sicherung und zur Verbesserung des öffentlichen Personennahverkehrs gemäß den Anforderungen dieses Gesetzes durchführen. 2Für die vorhandenen Verkehrsunternehmen ist dabei eine angemessene Mitwirkung sicherzustellen. 3Dabei sind insbesondere

  1. die im Nahverkehrsraum vorhandenen Verkehrseinrichtungen zu erfassen,
  2. das künftig zu erwartende Verkehrsaufkommen im motorisierten Individualverkehr und im öffentlichen Personennahverkehr auf Schiene und Straße zu prognostizieren,
  3. Zielvorstellungen über das künftig anzustrebende Verkehrsaufkommen im öffentlichen Personennahverkehr auf Schiene und Straße zu entwickeln und
  4. planerische Maßnahmen vorzusehen, die eine bestmögliche Gestaltung des öffentlichen Personennahverkehrs unter Berücksichtigung der Belange des Gesamtverkehrs zulassen.

(2) 1Der Nahverkehrsplan enthält Ziele und Konzeption des allgemeinen öffentlichen Personennahverkehrs und muß mit den anerkannten Grundsätzen der Nahverkehrsplanung, den Erfordernissen der Raumordnung und Landesplanung, der Städtebauplanung, den Belangen des Umweltschutzes sowie mit den Grundsätzen der Wirtschaftlichkeit und Sparsamkeit übereinstimmen. 2Soweit erforderlich ist die Planung mit anderen Planungsträgern sowie anderen Aufgabenträgern des ÖPNV abzustimmen. 3Der Nahverkehrsplan ist in regelmäßigen Zeitabständen zu überprüfen und bei Bedarf fortzuschreiben.

Im Rahmen meiner Beratungstätigkeit war ich mit folgendem Sachverhalt befasst: Für eine Mobilitätsuntersuchung sollte ein vom Landkreis beauftragtes Unternehmen Bürgerinnen und Bürger des Landkreises zu ihrem Mobilitätsverhalten befragen. Zu diesem Zweck sollten die Gemeinden des Landkreises aus den Meldedaten nach einem vorgegebenen Muster Adressdaten ermitteln und diese an das beauftragte Unternehmen übermitteln. Das Unternehmen sollte dann an die Bürgerinnen und Bürger zur freiwilligen Beantwortung einen anonymen Fragenbogen verschicken. Alternativ konnten die Fragen auch in einem Online-Portal beantwortet werden. Insoweit habe ich die nachfolgenden Hinweise gegeben.

Grundsätzlich kann ein für die Verarbeitung personenbezogener Daten Verantwortlicher unter Beachtung der Anforderungen des Art. 28 DSGVO (vgl. ausführlich hierzu meine Orientierungshilfe Auftragsverarbeitung) externe Dienstleister als Auftragsverarbeiter einbinden. Die Einbeziehung privater Planungsbüros in die Planung, Organisation und Sicherstellung des allgemeinen öffentlichen Personennahverkehrs ist im Übrigen in Art. 8 Abs. 1 Satz 3 BayÖPNVG sogar ausdrücklich vorgesehen.

Da der Landkreis die Adressdaten zur Erfüllung seiner oben erläuterten Aufgaben benötigt, dürfen die Gemeinden als Meldebehörden die in § 34 Abs. 1 Bundesmeldegesetz genannten Daten übermitteln. Diese Befugnis erfasst zwar grundsätzlich nur die Übermittlung an eine andere öffentliche Stelle wie hier den Landkreis. Soweit jedoch eine direkte Übermittlung der Daten durch die Meldebehörde an den externen Dienstleister erfolgt, liegt letztlich nur eine unwesentliche Umsetzungsmodalität vor. Bei Vorliegen eines dem Art. 28 DSGVO genügenden Auftragsverarbeitungsverhältnisses zwischen Landkreis und externem Dienstleister ist eine direkte Datenübermittlung an diesen gleichsam als "verlängerten Arm" des Verantwortlichen zulässig.

Sollten die Gemeinden an der Mobilitätsuntersuchung darüber hinaus dergestalt beteiligt sein, dass sie hierbei eigene Interessen bezüglich des örtlichen Verkehrs verfolgen, mithin auch selbst über den Zweck der Verarbeitung bestimmen, würden diese wohl selbst zu Verantwortlichen für die Datenverarbeitung werden. Sie müssten in diesem Fall mit dem Landkreis eine Vereinbarung nach Art. 26 DSGVO als gemeinsam für die Verarbeitung Verantwortliche abschließen. In dieser Vereinbarung könnte dann unter anderem festgelegt werden, dass mit dem externen Dritten nur ein gemeinsamer Auftragsverarbeitungsvertrag begründet wird (vorzugsweise durch den Landkreis im eigenen Namen und zugleich als Vertreter der übrigen gemeinsam Verantwortlichen).

Ergänzend habe ich in diesem Zusammenhang auch auf die Informationspflichten nach Art. 13 DSGVO hingewiesen. Da keine gesetzliche Pflicht besteht, über das Mobilitätsverhalten Auskunft zu geben, sind die angeschriebenen Personen insbesondere darüber zu informieren, zu welchem Zweck die Daten erhoben und wie diese behandelt werden, sowie dass ihre Mitteilung freiwillig erfolgt. Insbesondere ist in den Hinweisen darauf einzugehen, wie bei der Online-Umfrage die Anonymisierung sichergestellt wird, und dass auch die Angabe weiterer Daten, wie etwa einer Telefonnummer für Rückrufe, freiwillig ist.

Da die Rückantwort in der Regel anonym erfolgen soll, ist der Fragebogen so auszugestalten, dass keine Rückschlüsse auf die betreffende Person möglich sind. Es dürfen daher keine Angaben gefordert werden, welche (auch in Kombination oder unter Zuhilfenahme anderer verfügbarer Datenbestände) eine Identifizierbarkeit ermöglichen. Zur Absicherung, dass die Fragebögen tatsächlich in der Regel anonym zurückgesandt werden, empfiehlt sich der ausdrückliche Hinweis auf dem Rückantwortkuvert, dass Name und Anschrift nicht anzugeben sind.

5.6. Unzulässigkeit einer flächendeckenden Speicherung von Kopien amtlicher Ausweisdokumente durch Kfz-Zulassungsbehörden bei Erteilung von Ausfuhr- und Kurzzeitkennzeichen

Im Berichtszeitraum wurde ich von einer Zulassungsbehörde mit der Frage befasst, ob es datenschutzrechtlich zulässig ist, auf Bitten der Polizei und mit Einwilligung der Antragstellerinnen und Antragsteller bei der Erteilung von Ausfuhr- und Kurzzeitkennzeichen generell Kopien amtlicher Ausweisdokumente anzufertigen und zu den Zulassungsakten zu nehmen. Die Frage war vor folgendem Hintergrund zu sehen:

Das Ausfuhrkennzeichen ist ein amtliches Kraftfahrzeug-Kennzeichen für Kraftfahrzeuge, welche aus Deutschland ausgeführt werden sollen. Näheres dazu regelt § 19 Fahrzeug-Zulassungsverordnung (FZV). Mit dem Kurzzeitkennzeichen - umgangssprachlich auch "Überführungskennzeichen" genannt - darf man Fahrzeuge innerhalb Deutschlands bewegen. Es wird nur für fünf Tage von der Zulassungsstelle ausgestellt. Näheres dazu regelt § 16a FZV.

Seitens der Polizei wird derzeit ein Anstieg von Urkundenfälschungen bei der Zuteilung von derartigen Kennzeichen beobachtet. Die Fälschungen betreffen dabei neben Versicherungsnachweisen gerade auch amtliche Ausweisdokumente. Für polizeiliche Ermittlungen wäre es daher wohl eine Erleichterung, wenn die Zulassungsbehörden bei der Ausstellung von Ausfuhr- und Kurzzeitkennzeichen generell Ausweiskopien der Antragstellerinnen und Antragsteller anfertigen und zu den Zulassungsakten nehmen würden. Rechtswidrigen Zulassungen könnte auf diese Weise unter Umständen besser als bisher Einhalt geboten werden.

Aus datenschutzrechtlicher Sicht habe ich dies wie folgt bewertet:

5.6.1. Fehlen einer gesetzlichen Befugnis für die Datenverarbeitung

Die Anfertigung von Kopien amtlicher Ausweise ist eine Verarbeitung personenbezogener Daten, für deren Rechtmäßigkeit eine Rechtsgrundlage notwendig ist (Art. 6 Abs. 1 DSGVO). Öffentliche Stellen stützen sich bei Datenverarbeitungen regelmäßig auf eine gesetzliche Befugnis. Nach Art. 6 Abs. 1 UAbs. 1 Buchst. e, Abs. 3 UAbs. 1 Buchst. b DSGVO haben die Mitgliedstaaten die Möglichkeit, nationale Rechtsgrundlagen für die Verarbeitung personenbezogener Daten zu schaffen. Da für die erwogene Datenverarbeitung keine (vorrangige) bereichsspezifische Rechtsgrundlage vorhanden ist, kam als Verarbeitungsbefugnis allein Art. 4 Abs. 1 BayDSG in Betracht. Maßgeblich war insbesondere die Frage nach der Erforderlichkeit zur Aufgabenerfüllung.

Art. 4 BayDSG

Rechtmäßigkeit der Verarbeitung

(zu Art. 6 Abs. 1 bis 3 DSGVO)

(1) Die Verarbeitung personenbezogener Daten durch eine öffentliche Stelle ist unbeschadet sonstiger Bestimmungen zulässig, wenn sie zur Erfüllung einer ihr obliegenden Aufgabe erforderlich ist.

[...]

Die für die Aufgabe der Zuteilung von Ausfuhrkennzeichen erforderlichen personenbezogenen Daten von Antragstellerinnen und Antragsstellern richten sich nach § 19 Abs. 2 FZV in Verbindung mit § 6 Abs. 1 Satz 2 Nr. 1 und Abs. 4 Nr. 3 FZV.

§ 19 FZV

Fahrten zur dauerhaften Verbringung eines Fahrzeugs in das Ausland

[...]

(2) Bei der Zuteilung eines Ausfuhrkennzeichens sind der Zulassungsbehörde zur Speicherung in den Fahrzeugregistern neben den in § 6 Absatz 1 Satz 2 bezeichneten Halterdaten die in § 6 Absatz 4 Nummer 3 bezeichneten Daten zur Kraftfahrzeug-Haftpflichtversicherung und das Ende des Versicherungsverhältnisses sowie die zur Ausstellung der Zulassungsbescheinigung erforderlichen Fahrzeugdaten und bei Personenkraftwagen die vom Hersteller aufgebrachte Farbe des Fahrzeugs mitzuteilen und auf Verlangen nachzuweisen.

[...]

§ 6 FZV

Antrag auf Zulassung

(1) Die Zulassung eines Fahrzeugs ist bei der nach § 46 örtlich zuständigen Zulassungsbehörde zu beantragen. Im Antrag sind zur Speicherung in den Fahrzeugregistern folgende Halterdaten nach § 33 Absatz 1 Satz 1 Nummer 2 des Straßenverkehrsgesetzes anzugeben und auf Verlangen nachzuweisen:

  1. bei natürlichen Personen:

Familienname, Geburtsname, Vornamen, vom Halter für die Zuteilung oder die Ausgabe des Kennzeichens angegebener Ordens- oder Künstlername, Datum und Ort der Geburt, Geschlecht und Anschrift des Halters;

[...]

(4) Im Antrag sind zur Speicherung in den Fahrzeugregistern folgende Fahrzeugdaten anzugeben und auf Verlangen nachzuweisen:

[...]

  1. folgende Daten zur Kraftfahrzeug-Haftpflichtversicherung:
  2. Name und Anschrift oder Schlüsselnummer des Versicherers,
  3. Nummer des Versicherungsscheins oder der Versicherungsbestätigung und
  4. Beginn des Versicherungsschutzes oder
  5. die Angabe, dass der Halter von der gesetzlichen Versicherungspflicht befreit ist;

[...]

Die für die Zuteilung von Kurzzeitkennzeichen erforderlichen personenbezogenen Daten von Antragstellerinnen und Antragstellern richten sich nach § 16a Abs. 2 Satz 2 Nr. 1 bis 3 FZV in Verbindung mit § 6 Abs. 1 Satz 2 Nr. 1 FZV.

§ 16a FZV

Probefahrten und Überführungsfahrten mit Kurzzeitkennzeichen

[...]

(2) Auf Antrag hat die örtlich zuständige Zulassungsbehörde oder die für den Standort des Fahrzeugs zuständige Zulassungsbehörde ein Kurzzeitkennzeichen nach den Absätzen 3 und 4 zuzuteilen und einen auf den Antragsteller ausgestellten Fahrzeugschein für Fahrzeuge mit Kurzzeitkennzeichen nach Absatz 5 auszufertigen. Mit dem Antrag auf Zuteilung eines Kurzzeitkennzeichens hat der Antragsteller

  1. die Angaben über den Fahrzeughalter nach § 6 Absatz 1 Satz 2,
  2. die Daten zur Kraftfahrzeug-Haftpflichtversicherung nach § 6 Absatz 4 Nummer 3 sowie das Ende des Versicherungsschutzes,
  3. die Angaben über einen Empfangsbevollmächtigten nach § 6 Absatz 4 Nummer 3,

[...]

zur Speicherung in den Fahrzeugregistern mitzuteilen und auf Verlangen nachzuweisen.

[...]

Zur Erfüllung der danach bestehenden Nachweispflicht hinsichtlich der Identifizierung der Antragstellerinnen und Antragsteller war ein Vermerk - etwa dergestalt: "Personalausweis/Reisepass hat vorgelegen" - völlig ausreichend. Dies fordert bereits der Grundsatz der Datenminimierung (vgl. Art. 5 Abs. 1 Satz 1 Buchst. c DSGVO). Die Anfertigung von Ausweiskopien durch die Zulassungsbehörde war für die Zuteilung von Ausfuhr- und Kurzzeitkennzeichen auch nach dem Vortrag der bei mir anfragenden Zulassungsbehörde gerade nicht erforderlich.

Daran ändert es auch nichts, dass die Beamtinnen und Beamten des Polizeidienstes gemäß § 163 Abs. 1 Strafprozessordnung befugt sind, alle Behörden um Auskunft zu ersuchen. Die Vorschrift bezieht sich nur auf Sachverhalte, bei denen im Ermittlungsverfahren auf bei anderen Stellen bereits vorliegende Informationen und Unterlagen zugegriffen werden kann. Hier sollen diese dagegen erst für eventuelle zukünftige Zugriffe quasi auf Verdacht erhoben werden. Daher greift auch Art. 6 Abs. 1 UAbs. 1 Buchst. c DSGVO nicht und begründet keine Verarbeitungsbefugnis für die Zulassungsbehörde. Daten dürfen nicht auf Vorrat für den Fall erhoben werden, dass sie später einmal (möglicherweise) für die Polizei nützlich sein könnten. Vielmehr ist die Datenerhebung auf konkrete und aktuell zur Bewältigung anstehende eigene Aufgaben zu beschränken.

5.6.2. Einwilligung kein Mittel zur beliebigen Erweiterung des Aufgabenkreises

Soweit der mit einer Datenverarbeitung verbundene Eingriff nicht von gesetzlich festgelegten Befugnissen der Zulassungsbehörde abgedeckt ist, scheidet auch eine "Überbrückung" dieser Limitierung mittels flächendeckend eingeholter Einwilligungen der Antragstellerinnen und Antragsteller (vgl. Art. 6 Abs. 1 UAbs. 1 Buchst. a DSGVO) aus. Der verfassungsrechtliche Gesetzesvorbehalt verlangt, dass Eingriffe in die Grundrechte der Bürgerinnen und Bürger vom (Parlaments-) Gesetzgeber durch hinreichend bestimmte Vorgaben geregelt werden. Lassen diese Vorgaben den "gewünschten" Eingriff nicht zu, dürfen bayerische öffentliche Stellen nicht flächendeckend versuchen, Einwilligungen zu erlangen, um so "doch noch" eine Rechtsgrundlage für die als zweckmäßig erachtete Verarbeitung zu gewinnen.

An diesem Ergebnis ändert auch die generelle Möglichkeit der Anfertigung von Kopien amtlicher Ausweisdokumente mit Zustimmung der Inhaberin oder des Inhabers gemäß § 20 Abs. 2 Personalausweisgesetz (PAuswG, vergleichbar § 18 Abs. 3 Paßgesetz) nichts.

§ 20 PAuswG

Verwendung durch öffentliche und nichtöffentliche Stellen

[...]

(2) Der Ausweis darf nur vom Ausweisinhaber oder von anderen Personen mit Zustimmung des Ausweisinhabers in der Weise abgelichtet werden, dass die Ablichtung eindeutig und dauerhaft als Kopie erkennbar ist. Andere Personen als der Ausweisinhaber dürfen die Kopie nicht an Dritte weitergeben. Werden durch Ablichtung personenbezogene Daten aus dem Personalausweis erhoben oder verarbeitet, so darf die datenerhebende oder -verarbeitende Stelle dies nur mit Einwilligung des Ausweisinhabers tun. Die Vorschriften des allgemeinen Datenschutzrechts über die Erhebung und Verwendung personenbezogener Daten bleiben unberührt.

[...]

Dies folgt schon jeweils aus § 20 Abs. 2 Satz 4 PAuswG, wonach die Vorschriften des allgemeinen Datenschutzrechts über die Erhebung und Verwendung personenbezogener Daten unberührt bleiben. Das damit gerade auch von öffentlichen Stelle zu befolgende Gebot der Datenminimierung nach Art. 5 Abs. 1 Satz 1 Buchst. c DSGVO gilt unverändert, selbst wenn die betroffene Person mit der Kopie einverstanden ist. Mit einer Kopie würden außerdem über die zur Identifizierung einer Ausweisinhaberin oder eines Ausweisinhabers hinausgehende und somit nicht erforderliche Daten erhoben (zum Beispiel die Ausweisnummer oder die sog. Zugangsnummer), was dem Grundsatz der Datenminimierung widerspricht und daher unzulässig ist.

5.6.3. Ergebnis

Die flächendeckende Anfertigung von Kopien amtlicher Ausweisdokumente bei der Zuteilung von Ausfuhr- und Kurzzeitkennzeichen durch die Zulassungsbehörde auf Bitten der Polizei ist auch bei Vorliegen entsprechender Einwilligungen der betroffenen Personen datenschutzrechtlich nicht zulässig. Insbesondere dürfen Antragstellerinnen und Antragsteller nicht unter den abstrakten Generalverdacht einer möglicherweise bevorstehenden Begehung von Straftaten gestellt werden.

  1. Bayerischer Landesbeauftragter für den Datenschutz, Bekanntgabe von Bauherrendaten in öffentlicher Gemeinderatssitzung und der Tagesordnung, Internet: https://www.datenschutz-bayern.de, Rubrik „Themengebiete – Kommunales – Themen“. [Zurück]
  2. Bayerischer Landesbeauftragter für den Datenschutz, Veröffentlichung von Niederschriften über öffentliche Sitzungen des Gemeinderats im Internet, Internet: https://www.datenschutz-bayern.de, Rubrik „Themengebiete – Kommunales – Themen“. [Zurück]
  3. Bayerischer Landesbeauftragter für den Datenschutz, Auftragsverarbeitung, Stand 4/2019, Internet: https://www.datenschutz-bayern.de, Rubrik „Datenschutzreform 2018 – Orientierungs- und Praxishilfen – Auftragsverarbeitung“. [Zurück]
  4. Vgl. Landtags-Drucksache 17/14651, S. 16. [Zurück]
  5. Suerbaum/Retzmann, in: Dietlein/Suerbaum, BeckOK Kommunalrecht Bayern, 3. Edition 8/2019, Art. 18 Rn. 4 m. w. N. [Zurück]
  6. Bayerischer Landesbeauftragter für den Datenschutz, Das Recht auf Auskunft nach der Datenschutz-Grundverordnung, Stand 12/2019, Internet: https://www.datenschutz-bayern.de, Rubrik „Datenschutzreform 2018 – Orientierungs- und Praxishilfen – Recht auf Auskunft über die eigenen personenbezogenen Daten“. [Zurück]
  7. Vgl. Niese, in: Wilde/Ehmann/Niese/Knoblauch, Datenschutz in Bayern, Stand 6/2019, Art. 5 BayDSG Rn. 18. [Zurück]
  8. Vgl. hierzu die weiterhin heranziehbare Kommentierung von Ehmann, in: Wilde/Ehmann/Niese/Knoblauch, Datenschutz in Bayern, Stand 3/2016, Art. 10 BayDSG-alt Rn. 49a–k. [Zurück]
  9. Kritisch aber Herrmann, in: Bader/Ronellenfitsch, BeckOK VwVfG, 45. Edition 10/2019, § 29 VwVfG Rn. 7 f. [Zurück]
  10. Bayerischer Verwaltungsgerichtshof, Urteil vom 17. Februar 1998, 23 B 95.1954, BeckRS 1998, 100012, Rn. 30 ff. [Zurück]
  11. Bayerischer Landesbeauftragter für den Datenschutz, Auftragsverarbeitung, Stand 4/2019, Internet: https://www.datenschutz-bayern.de, Rubrik „Datenschutzreform 2018 – Orientierungs- und Praxishilfen – Auftragsverarbeitung“. [Zurück]
  12. Bayerischer Landesbeauftragter für den Datenschutz, Informationspflichten des Verantwortlichen, Stand 11/2018, Internet: https://www.datenschutz-bayern.de, Rubrik „Datenschutzreform 2018 – Orientierungs- und Praxishilfen – Informationspflichten“. [Zurück]
  13. Bayerischer Landesbeauftragter für den Datenschutz, Auftragsverarbeitung, Stand 4/2019, Internet: https://www.datenschutz-bayern.de, Rubrik „Datenschutzreform 2018 – Orientierungs-und Praxishilfen – Auftragsverarbeitung“. [Zurück]