Sie sind hier: > Start > Tätigkeitsberichte > 29. TB 2019 > 6. E-Government undöffentliche Register
Der Bayerische Landesbeauftragte für den Datenschutz; Stand: 99.01.2020
6. E-Government undöffentliche Register
6.1. Melderegisterauskünfte für (wissenschaftliche) Studien; insbesondere Adressmittlungsverfahren
Im Rahmen meiner Prüftätigkeit habe ich erfahren, dass ein Schaustellerverband durch eine Universität eine Studie zur Attraktivität des in einer Stadt regelmäßig stattfindenden Volksfests durchführen hat lassen. Durch die Online-Studie wollte der Verband ermitteln lassen, welche Bevölkerungsgruppen besonderes Interesse an dem Volksfest haben, welche Teile des Festes besonders geschätzt werden und welche Wünsche für die Zukunft bestehen. Hierzu forderte der Verband von der Stadt eine Gruppenauskunft aus dem Melderegister an. Um die Teilnahmebereitschaft zu fördern, veranstaltete der Verband zudem unter den Studienteilnehmern eine Lotterie.
Vom Einwohnermeldeamt der Stadt wurden aufgrund der Anforderung des Ver-bands zwei Dateien angefertigt: erstens eine personenbezogene Adressdatei, die die Adressen samt einer zufällig generierten Losnummer (diese war zugleich der [Online-]Zugangscode für die Umfrageteilnehmer) enthielt; zweitens eine anonymisierte Analysedatei, die neben der Losnummer/Zugangscode nur das Geschlecht sowie die Staatsangehörigkeit enthielt. Die Adressdatei wurde dann aber nicht dem Verband übermittelt. Auch der Universität wurden keine personenbezogenen Adressdaten übermittelt, sondern nur die anonymisierte Analysedatei mit 6.000 Datensätzen. Stattdessen hat die Stadt, welche die Studie auch finanziell gefördert hat, aufgrund einer mündlichen Absprache mit dem Verband als dessen Dienstleister den Postversand übernommen. Dies umfasste zunächst die Versendung von Anschreiben des Verbands an die von der Gruppenauskunft betroffenen Personen. Ein schriftlicher Vertrag zur Verarbeitung im Auftrag oder ein sonstiger detaillierter Vertrag hinsichtlich der Hintergründe und Abläufe des Vorgehens wurde zwischen dem Verband und der Stadt insoweit jedoch nicht geschlossen.
Nach Durchführung der Studie unter den teilnehmenden Losnummern durch die Universität wurden die Gewinnlosnummern von der Universität der Stadt mitgeteilt. Diese verknüpfte sodann anhand der Zugangscodes die Gewinnlosnummern mit den Namen und Adressen anhand der Adressdatei und teilte diese Daten schließlich dem Verband zur Aushändigung der Gewinne mit. Abgesehen davon erhielt auch der Schaustellerverband keine personenbezogenen Daten. Nach Abschluss der Studie und Lotterie wurden die von der Gruppenauskunft betroffenen Daten von der Stadt gelöscht und die entsprechenden Speichermedien vernichtet.
6.1.2. Datenschutzrechtliche Bewertung
Diesen Vorgang habe ich datenschutzrechtlich wie folgt bewertet:
6.1.2.1. Verarbeitung von Meldedaten
Meldedaten stellen personenbezogene Daten im Sinne des Art. 4 Nr. 1 DSGVO dar. Das Übermitteln von Meldedaten oder die Auskunftserteilung über Meldedaten stellt eine Verarbeitung personenbezogener Daten dar, für deren Rechtmäßigkeit eine Befugnis benötigt wird (Art. 6 Abs. 1 DSGVO). Das Bundesmeldegesetz (BMG) enthält speziell zur Melderegisterauskunft in den §§ 44 ff. BMG entsprechende Befugnisse.
6.1.2.2. Zulässigkeit einer hypothetischen Gruppenauskunft
Die Ziehung von Personenstichproben aus Einwohnermelderegistern stellt rechtlich eine Gruppenauskunft dar. Diese ist in § 46 BMG geregelt, der wie folgt lautet:
"(1) Eine Melderegisterauskunft über eine Vielzahl nicht namentlich bezeichneter Personen (Gruppenauskunft) darf nur erteilt werden, wenn sie im öffentlichen Interesse liegt. Für die Zusammensetzung der Personengruppe dürfen die folgenden Daten herangezogen werden:
- Geburtsdatum,
- Geschlecht,
- derzeitige Staatsangehörigkeit,
- derzeitige Anschriften,
- Einzugsdatum und Auszugsdatum,
- Familienstand mit der Angabe, ob ledig, verheiratet, geschieden, verwitwet, eine Lebenspartnerschaft führend, Lebenspartnerschaft aufgehoben oder Lebenspartner verstorben.
(2) Außer der Tatsache der Zugehörigkeit zu der Gruppe dürfen folgende Daten mitgeteilt werden:
- Familienname,
- Vornamen,
- Doktorgrad,
- Alter,
- Geschlecht,
- Staatsangehörigkeiten,
- derzeitige Anschriften und
- gesetzliche Vertreter mit Familienname und Vornamen sowie Anschrift."
Voraussetzung für die Gruppenauskunft ist danach vor allem, dass ein öffentliches Interesse für die Gruppenauskunft vorliegt. Unter öffentlichem Interesse ist das Interesse der Allgemeinheit zu verstehen, das von dem Interesse einzelner Personen oder Gruppen zu unterscheiden ist (Nr. 46 Allgemeine Verwaltungsvorschrift zur Durchführung des Bundesmeldegesetzes - BMGVwV). Rein kommerzielle Interessen stellen kein öffentliches Interesse dar. Dagegen lässt sich wohl ein Forschungsinteresse als öffentliches Interesse ansehen.
Vorliegend wäre es vor diesem rechtlichen Hintergrund wohl gerade noch vertretbar gewesen, ein öffentliches Interesse für die Gruppenauskunft an den Schaustellerverband anzunehmen. Die Gruppenauskunft diente der Durchführung einer Studie zur Ermittlung des Interesses der lokalen Bevölkerung an dem öffentlichen Volksfest in der Stadt. Der dahinterstehende Zweck war die Steigerung der Attraktivität des Volksfests und damit eines Kulturguts. Indem der Verband durch die Ergebnisse der Studie die Attraktivität des Volksfests möglicherweise verbessern kann, profitiert mittelbar auch die Öffentlichkeit und die Stadt. Somit muss nicht davon ausgegangen werden, dass die Gruppenauskunft allein einem reinen kommerziellen Interesse des Schaustellerverbands als Veranstalter des Festes oder seiner Verbandsmitglieder diente. Noch deutlicher würde dies allerdings zu Tage treten, wenn die Stadt die Ergebnisse der Studie erfährt oder - vorzugswürdiger - diese selbst in Auftrag gegeben hätte. Dies habe ich bei zukünftigen vergleichbaren Fällen zu berücksichtigen gebeten.
Allerdings wurde hier entgegen der ursprünglichen Intention des Verbands und des vom Gesetzgeber vorgesehenen Weges keine Gruppenauskunft von der Meldebehörde der Stadt an den Schaustellerverband erteilt. Vielmehr hat das Einwohneramt der Stadt die von der Gruppenauskunft betroffenen Meldedaten einer anderen Stelle der Stadt zur dortigen weiteren Verarbeitung weitergegeben. Die Stadt hat somit faktisch über die Mittel und Zwecke der weiteren Verarbeitung dieser personenbezogenen Meldedaten entschieden und war somit weiterhin und auch insoweit Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO.
6.1.2.3. Keine Verarbeitung im Auftrag
Theoretisch wäre es zwar auch denkbar, den hier in Rede stehenden Vorgang zwischen der Stadt und dem Schaustellerverband als eine Art Auftragsverarbeitung im Sinne von Art. 4 Nr. 8, Art. 28 DSGVO anzusehen. Unabhängig davon, ob dieses Begeben einer öffentlichen Stelle in die Rolle eines Dienstleisters für einen privaten Verband mit den öffentlichen Aufgaben einer Kommune in Einklang steht - dies stellt keine Frage des Datenschutzes dar -, hätte dann aber auch ein Vertrag zur Auftragsverarbeitung mit dem Inhalt des Art. 28 Abs. 3 DSGVO geschlossen werden müssen, was hier nicht erfolgt war. Im Übrigen bestehen aber auch tiefgreifende Bedenken gegen eine solche Auftragsverhältniskonstruktion, da sie die datenschutzrechtlichen Verantwortlichkeiten zwischen einer öffentlichen Stelle als "Herrin" über die Daten, die sich auf ihre öffentlich-rechtlichen Befugnisse zur Datenverarbeitung stützen kann (Art. 6 Abs. 1 UAbs. 1 Buchst. e, Abs. 2, Abs. 3 DSGVO) und nichtöffentlichen Stellen, mit den für diese in Betracht kommenden eigenen Datenverarbeitungsbefugnissen (vgl. Art. 6 Abs. 1 UAbs. 1 Buchst. f, UAbs. 2 DSGVO) verwischt oder gleichsam umkehrt.
6.1.2.4. Erfordernis einer eigenen Rechtsgrundlage für die Stadt
Somit war die Stadt hier als Verantwortliche für die folgende Datenverarbeitungsvorgänge anzusehen: Weiterleitung der Meldedaten vom Meldeamt an die andere Stelle der Stadt, Verarbeitung der Meldedaten zu zwei Dateien (Versanddatei, Analysedatei), Verwendung der Adressdaten zur Versendung der Anschreiben des Schaustellerverbands, Zusammenfügung der von der Universität an die Stadt übermittelten Gewinnlosnummern mit den entsprechenden Meldedaten und Übermittlung der Gewinnerdaten an den Schaustellerverband.
Für diese Datenverarbeitungsvorgänge benötigte die Stadt jeweils eine eigene Befugnis (Art. 6 Abs. 1 DSGVO). Eine solche Befugnis war hier im Wesentlichen - allenfalls die Übermittlung der Gewinnerdaten an den Schaustellerverband kann auf Art. 5 Abs. 1 Nr. 2 BayDSG gestützt werden - nicht erkennbar.
Insbesondere schien mir Art. 4 Abs. 1 BayDSG nicht vorzuliegen. Danach ist die Verarbeitung personenbezogener Daten durch eine öffentliche Stelle unbeschadet sonstiger Bestimmungen zulässig, wenn sie zur Erfüllung einer ihr obliegenden Aufgabe erforderlich ist. Da die Stadt selbst nicht Veranstalter des in Rede stehenden Volksfests war, nicht die Studie veranlasst hat und wohl auch nicht die Studienergebnisse erhalten hat, sondern vielmehr nur der Schaustellerverband, diente die Datenverarbeitung nicht der Erfüllung einer eigenen öffentlichen Aufgabe der Stadt. In der Sache wurde damit nur die Erfüllung der Studie des Schaustellerverbands ermöglicht. Die mittelbaren Vorteile für die Stadt, wenn der Schaustellerverband durch die Ergebnisse der Studie gegebenenfalls die Attraktivität des Volksfests in der Stadt steigern kann, mögen im Rahmen des § 46 BMG für ein öffentliches Interesse gerade noch genügen, nicht jedoch für die Bejahung einer eigenen Aufgabe der Stadt.
Auch eine Verarbeitung zur Wahrung berechtigter Interessen eines Dritten (hier des Schaustellerverbands) nach Art. 6 Abs. 1 UAbs. 1 Buchst. f DSGVO kam nicht in Betracht, da diese Befugnis nicht für die von Behörden in Erfüllung ihrer Aufgaben vorgenommenen Verarbeitungen gilt (Art. 6 Abs. 1 UAbs. 2 DSGVO).
6.1.2.5. Adressmittlungsverfahren rechtfertigte keine andere Bewertung
Anderes ergibt sich auch nicht unter dem Aspekt des sog. Adressmittlungsverfahrens. Bei einem Adressmittlungsverfahren übergeben die eine Befragung durchführenden Stellen oder Personen nicht adressierte Briefumschläge mit dem zu versendenden Material an diejenigen Stellen, welche die Adressen der Befragungsempfänger kennen und die Briefe dann versenden. Dieses Adressmittlungsverfahren wurde in der Vergangenheit von den Aufsichtsbehörden als datenschutzfreundliches Verfahren angesehen, mit dem insbesondere Forschungsvorhaben ermöglicht werden sollten (vgl. hierzu mein 23. Tätigkeitsbericht 2008 unter Nr. 17.1.1. und Nr. 14.3.). Allerdings stellt auch die Verarbeitung von Adressen (insbesondere Versendung von [Teilnahmeeinladungs-]Briefen) durch die versendende öffentliche Stelle (konkret: die Meldebehörde oder eine andere städtische Stelle) eine Datenverarbeitung dar, für die diese eine Befugnis benötigt (vgl. Art. 6 Abs. 1 DSGVO). Dies gilt gerade im Bereich des Melderechts, welches eine Art "Zwangsregister" darstellt. Die letztlich ordnungsrechtlichen Maßgaben des Gesetzgebers zum Umgang mit diesem Datenbestand sind hier besonders strikt einzuhalten. Eine eigene Befugnis für die Stadt ist hier jedoch für die in Rede stehenden Verarbeitungsvorgänge, wie eben erwähnt, nicht erkennbar.
Denkbar wäre nach meiner derzeitigen Einschätzung daher allenfalls, das Adressmittlungsverfahren im Bereich von Meldedaten auf Basis eines detaillierten, die Hintergründe und Abläufe regelnden (Dienstleistungs-)Vertrags - gegebenenfalls im Rahmen einer Wirtschaftsförderung - zwischen der die Befragung durchführenden Stelle oder Person und derjenigen öffentlichen Stelle, die die Adressen der Befragungsempfängerinnen und Befragungsempfänger kennt und die Briefe dann versenden soll, abzuwickeln - freilich vorausgesetzt, dass dies nach den maßgeblichen öffentlich-rechtlichen Vorschriften, insbesondere den kommunalrechtlichen Vorgaben, zulässig sein sollte. Rechtsgrundlage für die im Rahmen des Adressmittlungsverfahrens anfallenden Datenverarbeitungen wäre dann wohl Art. 6 Abs. 1 UAbs. 1 Buchst. b DSGVO.
Aber auch in diesem Fall ist zusätzlich zu fordern, dass eine (fiktive) Datenübermittlung der Meldedaten an den die Befragung Durchführenden rechtmäßig wäre, da öffentliche Stellen nicht durch den Abschluss von Verträgen beliebig ihre Befugnisse erweitern können, sondern sich grundsätzlich in dem Rahmen bewegen müssen, den ihnen der Gesetzgeber zuweist.
Hier schied diese Möglichkeit schon deswegen aus, da kein Dienstleistungsvertrag geschlossen war.
Ich habe daher gegenüber der Stadt einen Datenschutzverstoß festgestellt. Von einer förmlichen Beanstandung habe ich vor allem auch deshalb abgesehen, da die Stadt den hier gewählten und kritisierten Weg wohl in guter datenschutzrechtlicher Absicht, nämlich im Sinne der Datensparsamkeit und um zu vermeiden, dass der Schaustellerverband die Melderegisterdaten erhält, gegangen ist.
Die generelle Eignung einer Fortführung des Adressmittlungsverfahrens unter Geltung der Datenschutz-Grundverordnung werde ich auch in Zukunft weiterhin aufmerksam beobachten.
6.2. Geplante Änderung des Rundfunkbeitragsstaatsvertrages; Einführung eines regelmäßigen Meldedatenabgleichs
Regelmäßig beschäftige ich mich mit Anfragen von Bürgerinnen und Bürgern, die sich gegen eine Übermittlung von Meldedaten an die öffentlich-rechtlichen Rundfunkanstalten und die dann dort vorgenommenen Datenverarbeitungen wenden. Anlass dafür war bisher häufig der im Jahr 2018 durchgeführte "einmalige" Meldedatenabgleich. Hierzu habe ich mich bereits in meinem 28. Tätigkeitsbericht 2018 unter Nr. 14.3 geäußert.
Im Berichtszeitraum hat sich die Situation dahin entwickelt, dass gemäß einem Entwurf eines 23. Rundfunkänderungsstaatsvertrages die Vorschriften des Rundfunkbeitragsstaatsvertrages geändert werden sollen. Die bisher als "einmaliger" Abgleich vorgesehene Datenübertragung soll danach zukünftig regelmäßig in einem Abgleichrhythmus von vier Jahren etabliert werden. Der Entwurf sieht vor, dass nun alle vier Jahre stichtagsgenau folgende Daten aller volljährigen Personen von der Meldebehörde an die jeweils zuständige Landesrundfunkanstalt übermittelt werden: der Familienname, Vornamen, frühere Namen, Doktorgrad, Familienstand, Geburtsdatum, gegenwärtige und letzte Anschrift von Haupt- und Nebenwohnungen einschließlich aller vorhandenen Angaben zur Lage der Wohnung und der Tag des Einzugs in die Wohnung.
Die beabsichtigte Neuregelung hat Bürgerinnen und Bürger veranlasst, sich mit Datenschutzbedenken an mich zu wenden.
Bereits im Frühstadium der geplanten Änderung habe ich in Übereinstimmung mit den unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder auf die datenschutzrechtlichen Bedenken im Zusammenhang mit der Einführung eines regelmäßigen Datenabgleichs hingewiesen, zumal ich bereits die Einführung eines "einmaligen" Datenabgleichs kritisch gesehen hatte. Auf der Grundlage des zu diesem Zeitpunkt zur Verfügung stehenden Referentenentwurfs fasste die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (Datenschutzkonferenz) unter meiner Beteiligung bereits im April 2019 folgenden Beschluss:
Beschluss der Konferenz der unabhängigen Datenschutzaufsichtsbehördendes Bundes und der Länder am 26. April 2019Geplante Einführung eines regelmäßigen vollständigen Meldedatenabgleichs zum Zweck des Einzugs des Rundfunkbeitrags stoppen
Zukünftig sollen nach einem Referentenentwurf zur Änderung des Rundfunkbeitragsstaatsvertrags (RBStV) regelmäßig alle vier Jahre Meldedaten sämtlicher volljähriger Personen an die jeweils zuständige Landesrundfunkanstalt zur Sicherstellung der Aktualität des dortigen Datenbestandes übermittelt werden. Gemäß Art. 1 Ziffer 7 dieses Entwurfs des 23. Rundfunkänderungsstaatsvertrages vom 5. Februar 2019 zählen zu den Meldedaten neben Namen und gegenwärtiger und letzter Anschrift insbesondere auch Geburtstag, Titel, Familienstand sowie die genaue Lage der Wohnung.
Bereits der im Jahr 2013 durchgeführte vollständige Meldedatenabgleich war seinerzeit auf erhebliche datenschutzrechtliche Bedenken gestoßen (vgl. Entschließung der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) vom 11. Oktober 2010). Die DSK stellte ihre Bedenken nur deshalb teilweise zurück, weil lediglich ein einmaliger Meldedatenabgleich vorgenommen werden sollte, um den Start in das neue Beitragsmodell zu erleichtern. Mit der nun vorgesehenen Regelung wären die - bereits damals zweifelhaften - Zusicherungen des Gesetzgebers, dass es sich bei den anlasslosen vollständigen Meldedatenabgleichen aus den Jahren 2013 und 2018 um einmalige Vorgänge handeln würde, endgültig hinfällig.
Gegen die geplante Einführung eines regelmäßigen vollständigen Meldedatenabgleichs bestehen weiterhin grundlegende verfassungsrechtliche und datenschutzrechtliche Bedenken.
Ein solcher Abgleich stellt einen unverhältnismäßigen Eingriff in die informationelle Selbstbestimmung dar und gerät in Konflikt mit den Grundsätzen der Datenminimierung und der Erforderlichkeit gemäß Art. 5 Abs. 1 lit. a und c, Art. 6 Abs. 1 der Datenschutz-Grundverordnung (DSGVO).
Bei einem vollständigen Meldedatenabgleich werden in großem Umfang personenbezogene Daten von Betroffenen, die überhaupt nicht beitragspflichtig sind, weil sie entweder in einer Wohnung leben, für die bereits durch andere Personen Beiträge gezahlt werden oder weil sie von der Beitragspflicht befreit sind, an die Rundfunkanstalten übermittelt und von diesen verarbeitet. Zudem werden auch Daten von all denjenigen Einwohnerinnen und Einwohnern erhoben und verarbeitet, die sich bereits bei der Landesrundfunkanstalt angemeldet haben und regelmäßig ihre Beiträge zahlen. Dabei betrifft der geplante Meldedatenabgleich mehr personenbezogene Daten, als die Beitragszahlerinnen und -zahler bei der Anmeldung mitteilen müssen, z. B. Doktorgrad und Familienstand (vgl. § 8 Abs. 4 RBStV). Es sollen also personenbezogene Daten an die Rundfunkanstalten übermittelt werden, die nicht zur Beitragserhebung notwendig sind.
Die Meldedaten-Übermittlungsverordnungen der Länder bieten mit der anlassbezogenen Meldedatenübermittlung an die Rundfunkanstalten bereits eine angemessene und ausreichende Möglichkeit, die Aktualität des Datenbestandes des Beitragsservices auch bei Veränderungen der Meldesituation der Beitragsschuldnerinnen und Beitragsschuldner zu gewährleisten. Auch wenn die Meldebehörden in Einzelfällen eine Änderungsmitteilung unterlassen sollten, würde ein erneuter vollständiger Meldedatenabgleich in unverhältnismäßiger Weise in das Recht auf informationelle Selbstbestimmung der Beitragsschuldner eingreifen, ohne dass dies durch andere Gesichtspunkte, etwa das Ziel der Gebührengerechtigkeit, gerechtfertigt wäre.
Die Landesrundfunkanstalten gehen selbst davon aus, dass ein vollständiger Meldedatenabgleich letztlich in weniger als einem Prozent der Fälle zu einer zusätzlichen, dauerhaften Anmeldung von Beitragspflichtigen führt (vgl. Evaluierungsbericht der Länder gem. § 14 Abs. 9a RBStV vom 20. März 2019).
Die geplanten Regelungen berücksichtigen zudem die Maßstäbe der DS-GVO nicht ausreichend. Nationale Datenschutzvorschriften müssen aufgrund des Anwendungsvorrangs europäischer Verordnungen auf eine Öffnungsklausel der DS-GVO gestützt werden können. Art. 85 Abs. 2 DS-GVO ist nicht einschlägig, da die Datenverarbeitung zum Zweck des Einzugs des Rundfunkbeitrags nicht in dem Anwendungsbereich dieser Norm liegt. Bei Regelungen, die auf die Öffnungsklausel nach Art. 6 Abs. 2 und Abs. 3 i. V. m. Art. 6 Abs. 1 lit. e) DS-GVO gestützt werden, sind die Grundsätze der Datenminimierung und Erforderlichkeit zu beachten. Mitgliedstaatliche Regelungen für die Erfüllung von Aufgaben, die im öffentlichen Interesse liegen, dürfen danach eingeführt werden, wenn diese die DS-GVO zwar präzisieren, nicht aber deren Grenzen überschreiten. Regelungen, die sich auf diese Öffnungsklausel beziehen, müssen sich folglich in dem Rahmen halten, den die DS-GVO vorgibt. Hier bestehen erhebliche Bedenken im Hinblick auf die Grundsätze der Datenminimierung und der Erforderlichkeit.
Positiv hervorzuheben ist zwar, dass die bisherige Vermieterauskunft im Hinblick auf Mietwohnungen aus § 9 Abs. 1 Satz 2 und 3 RBStV gestrichen werden soll. Ebenso soll der Ankauf von Adressdaten von Privatpersonen ausdrücklich ausgeschlossen werden. Beide Datenverarbeitungen sind aus Sicht des Datenschutzes kritisch zu sehen und ihre Streichung ist zu begrüßen. Dabei darf jedoch nicht übersehen werden, dass mit dem geplanten regelmäßigen vollständigen Meldedatenabgleich eine weitaus umfassendere, datenschutzrechtlich ebenfalls sehr
bedenkliche Möglichkeit der Datenerhebung geschaffen werden soll, die das praktische Bedürfnis der Vermieterauskunft und des Ankaufs privater Adressen ohnehin entfallen lässt.
Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder fordert, den geplanten regelmäßigen vollständigen Meldedatenabgleich nicht einzuführen, da gegen die vorgesehenen Regelungen grundlegende verfassungsrechtliche Bedenken bestehen und diese die Maßstäbe der DS-GVO nicht ausreichend berücksichtigen.
Diesen Beschluss habe ich zum Anlass genommen, sowohl die Bayerische Staatskanzlei als auch das Bayerische Staatsministerium des Innern, für Sport und Integration auf die Auffassung der Datenschutzkonferenz hinzuweisen.
Zwar sieht ein später im Ministerrat behandelter, ergänzter Entwurf nunmehr vor, dass "zur Wahrung der Verhältnismäßigkeit zwischen Beitragsgerechtigkeit und dem Schutz persönlicher Daten [...] der Meldedatenabgleich nach Satz 1 nicht [erfolgt], wenn die Kommission zur Ermittlung des Finanzbedarfs der Rundfunkanstalten (KEF) in ihrem Bericht nach § 3 Abs. 8 des Rundfunkfinanzierungsstaatsvertrages feststellt, dass der Datenbestand hinreichend aktuell ist." Dies kann jedoch die datenschutzrechtlichen Bedenken bezüglich der Einführung eines regelmäßigen Meldedatenabgleichs nicht entkräften. Das habe ich auch anlässlich der Ressortanhörung klargestellt.
Ich bin daher weiterhin der Auffassung, dass die geplante Änderung des Rundfunkbeitragsstaatsvertrages im Hinblick auf die Einführung eines regelmäßigen Meldedatenabgleichs aus datenschutzrechtlichen Gründen unterbleiben sollte.
Die Bayerische Staatsregierung hat am 11. November 2019 um Zustimmung des Bayerischen Landtags zum 23. Rundfunkänderungsstaatsvertrag gebeten. Die dortige Behandlung bleibt abzuwarten.
6.3. IT-Outsourcing durch Kommunen: Anforderungskatalog
IT-Outsourcing meint eine Auslagerung von Aufgaben und Verantwortung aus der eigenen IT-Abteilung an einen externen Dienstleister gegen Entgelt. Die Gründe hierfür sind vielfältig: Neben einem Mangel an qualifizierten Fachkräften bei gleichzeitig steigender Komplexität der IT-Verfahren spielen auch wirtschaftliche Erwägungen eine Rolle, so etwa eine bessere Planbarkeit der Kosten des externen Dienstleisters, die Verringerung von Wartungs- und Unterhaltskosten und nicht zuletzt die Vermeidung eigener Investitionen. Vielfach wird auch erhofft, ein spezialisierter externer Dienstleister könne flexibler auf veränderte Anforderungen reagieren, wodurch es der auslagernden Stelle möglich sei, sich mehr auf ihre Kernkompetenzen zu konzentrieren.
Diese oder ähnliche Überlegungen stellen offenbar auch immer mehr Kommunen an, so dass ich von verschiedener Seite mit der Thematik konfrontiert wurde. Die Spannbreite des IT-Outsourcings im kommunalen Bereich variiert dabei erheblich. Neben vergleichsweise unproblematischen Anfragen zu Erstellung und Betrieb von kommunalen Homepages durch externe Anbieter sowie der Videoüberwachung kommunaler Einrichtungen durch Externe habe ich auch von Fällen einer vollständigen Auslagerung der kommunalen Informationstechnologie erfahren.
Die Entwicklung in Richtung einer immer umfassenderen Auslagerung ist in datenschutzrechtlicher Hinsicht bedenklich. Darauf weist exemplarisch ein pressewirksamer Fall hin, in welchem von einem Landratsamt geleaste Festplatten nach Rückgabe an den Leasinggeber dort unter Missachtung technischer Standards entsorgt und dabei personenbezogene Daten von Bürgerinnen und Bürgern offenbart wurden. Um der eigenen Verantwortung gerecht zu werden, muss eine Kommune nicht nur Dienstleister sorgfältig und streng auswählen, vielmehr muss sie auch im Fall einer Auslagerung Fachwissen vorhalten und bereit sein, sich mit IT-Vorgängen auseinanderzusetzen.
Auch wenn ich aus datenschutzrechtlicher Sicht den Zusammenschluss mehrerer Kommunen zum Zweck des gemeinsamen Betriebs der Informationstechnologie gegenüber einem IT-Outsourcing für vorzugswürdig halte, erkenne ich doch, dass sich viele Kommunen aufgrund der voranschreitenden Digitalisierung mit dem Thema beschäftigen. Daher habe ich einen Abstimmungsprozess zu Grenzen und Voraussetzungen des IT-Outsourcings im kommunalen Bereich angestoßen. Hieran nehmen im Rahmen einer Arbeitsgruppe neben mir auch das Bayerische Staatsministerium des Innern, für Sport und Integration, der Bayerische Kommunale Prüfungsverband, das Bayerische Landesamt für Sicherheit in der Informationstechnik, der Bayerische Städtetag und der Bayerische Gemeindetag teil. Ziel ist es, einen abgestimmten Anforderungskatalog zu erarbeiten, der den Kommunen bei der Entscheidung hilft, ob und inwieweit ein IT-Outsourcing im Einzelfall zulässig ist. Dieser Anforderungskatalog, welcher fachgesetzliche, datenschutz- und haushaltsrechtliche sowie technisch-organisatorische Kriterien enthalten soll, wird derzeit von der Arbeitsgruppe abgestimmt. Aus Datenschutzsicht haben die folgenden Kriterien besondere Bedeutung:
- sorgfältige Auswahl des Auftragsverarbeiters,
- Wahrung des Datengeheimnisses,
- Sicherstellung des Zugriffs auf die Daten,
- tatsächliche Überprüfungen,
- Erteilung fachkundiger Weisungen,
- Sicherstellung von Prüfungsrechten,
- Regelung einer Rückgabe der Daten.
Aus diesem Grund wird der aktuell in Abstimmung befindliche Katalog im Bereich der technisch-organisatorischen Kriterien sowohl strenge, von externen Dienstleistern einzuhaltende Anforderungen zu den IT-Sicherheitszielen Vertraulichkeit, Verfügbarkeit und Integrität enthalten als auch Kriterien für die Einhaltung der Rechenschaftspflichten nach Art. 5 Abs. 2 DSGVO definieren und IT-Kompetenzen festlegen, die zwingend in der Kommune verbleiben müssen. Denn auch wenn sich eine Kommune dazu entscheidet, Teile ihrer IT auszulagern, muss sie dennoch dafür sorgen, dass sie die Kontrolle über die Tätigkeit des Externen nicht verliert. Die Kommune bleibt für die Verarbeitung der Daten Verantwortlicher im datenschutzrechtlichen Sinne. Sie muss in der Lage sein, Weisungen zu erteilen und aus Überprüfungen die richtigen Schlüsse zu ziehen. Folgende besonders wichtige Themenbereiche zur Erfüllung der Anforderungen bezüglich Vertraulichkeit, Verfügbarkeit, Integrität und Rechenschaftspflichten möchte ich im Anforderungskatalog mindestens konkretisieren:
- notwendiger physischer Schutz,
- Wiederherstellbarkeit und Ausfallsicherheit,
- Trennung von Dienstleistungen für öffentliche und nicht-öffentliche Kunden sowie strikte Mandantentrennung innerhalb der öffentlichen Kunden,
- Verschlüsselung der Kommunikation mit sowie der Daten beim Dienstleister,
- Vertraulichkeit bei Backup und Archivierung,
- Berechtigungskonzept und Protokollierung,
- Fremd- und Fernwartung,
- Positivliste Zertifizierungen,
- Umgang mit IT-Sicherheitsvorfällen,
- Kontrollen/Audits durch die Kommune,
- Nachweis des Dienstleisters zur Einhaltung der IT-Sicherheit.
Speziell in datenschutzrechtlicher Hinsicht weise ich darauf hin, dass ein IT-Outsourcing regelmäßig nur dann zulässig sein wird, wenn es sich als Auftragsverarbeitung nach Art. 28 DSGVO darstellt. Grund hierfür ist folgende rechtliche Privilegierung: Liegt eine rechtmäßige Auftragsverarbeitung vor, ist für die Weitergabe personenbezogener Daten an den Auftraggeber und die Verarbeitung durch diesen regelmäßig keine eigene Rechtsgrundlage nach Art. 6 Abs. 1 DSGVO notwendig, da der Auftragsverarbeiter als "verlängerter Arm" des Verantwortlichen handelt. Die von der Datenschutz-Grundverordnung bereitgestellte Auftragsverarbeitung ist jedoch nur ein Modell. Auf die Frage, ob von diesem Modell auch tatsächlich im kommunalen Bereich vollumfänglich Gebrauch gemacht werden darf, gibt die Datenschutz-Grundverordnung jedoch in Art. 28 DSGVO keine Antwort. Diese ist in der DSGVO an anderer Stelle, so wie im nationalen Recht zu suchen (dazu näher sogleich).
Die Kommunen verarbeiten aufgrund ihrer breit gefächerten Zuständigkeiten Daten aus den verschiedensten fachlichen Bereichen- teilweise besondere Kategorien personenbezogener Daten nach Art. 9 DSGVO oder Daten, die speziellen fachgesetzlichen Regelungen unterliegen, wie beispielsweise solche aus den Bereichen Meldewesen, Steuern, Personal, Gesundheits- oder Sozialwesen. Sofern daher bereichsspezifische Anforderungen bestehen, müssen diese auch im Rahmen der Auftragsverarbeitung beachtet werden. Zur Beurteilung, ob und inwieweit ein IT-Outsourcing in datenschutzrechtlicher Hinsicht zulässig ist, sind daher zum einen die Wertungen des nationalen Fachrechts heranzuziehen. Daneben sind die in Art. 24, 25 und 32 DSGVO enthaltenen Pflichten des Verantwortlichen, geeignete technisch-organisatorische Maßnahmen umzusetzen, zu beachten, um eine datenschutzkonforme Verarbeitung zu gewährleisten. Vor allem ist aber auch die Wertung des Art. 33 Abs. 4 Grundgesetz gebührend zu berücksichtigen, wonach die Ausübung hoheitsrechtlicher Befugnisse als ständige Aufgabe in der Regel Angehörigen des öffentlichen Dienstes zu übertragen ist, die in einem öffentlich-rechtlichen Dienst- und Treueverhältnis stehen. Vor diesem rechtlichen Hintergrund stehe ich daher derzeit einer vollständigen Auslagerung der kommunalen Informationstechnologie an externe Dienstleister generell kritisch gegenüber.
- Siehe allgemein zur Auftragsverarbeitung Bayerischer Landesbeauftragter für den Datenschutz, Auftragsverarbeitung, Stand 4/2019, Internet: https://www.datenschutz-bayern.de, Rubrik Datenschutzreform 2018 Orientierungs- und Praxishilfen Auftragsverarbeitung. [Zurück]