≡ Sitemap
Der Bayerische Landesbeauftragte für den Datenschutz (BayLfD)

Sie sind hier: > Start > Tätigkeitsberichte > 29. TB 2019 > 9. Personalverwaltung

Der Bayerische Landesbeauftragte für den Datenschutz; Stand: 99.01.2020

9. Personalverwaltung

9.1. Informationspflicht des Verantwortlichen bei Stellenbesetzungsverfahren in der bayerischen öffentlichen Verwaltung

Im Zusammenhang mit der Besetzung von Dienstposten und Arbeitsplätzen gehen bei den bayerischen öffentlichen Stellen Jahr für Jahr zahllose Bewerbungen ein. Diese Bewerbungen enthalten oftmals sehr detaillierte, in jedem Fall aber aussagekräftige personenbezogene Daten. Dass hier auch datenschutzrechtliche Informationspflichten zu erfüllen sind, liegt auf der Hand. Mich hat bereits eine Vielzahl von Anfragen bayerischer öffentlicher Stellen erreicht, welche Maßgaben insofern zu beachten sind. Für die Beantwortung dieser Frage sind im Wesentlichen zwei Konstellationen zu unterscheiden: die Bewerbung auf eine Stellenausschreibung und die Initiativbewerbung.

Die Stellenausschreibung (nachfolgend Nr. 9.1.1) kann einen konkreten (Beamten-)Dienstposten oder (Tarifbeschäftigten-)Arbeitsplatz betreffen - das ist die Regel -, sie kann aber auch unabhängig davon zur Abgabe von Bewerbungen auffordern. Das ist insbesondere dann der Fall, wenn die öffentliche Stelle einen "Bewerberpool" für die Besetzung zukünftig neu zu schaffender oder frei werdender Stellen bilden möchte. Diese Vorgehensweise ist etwa bei der Nachwuchsgewinnung für den Direkteinstieg in der vierten Qualifikationsebene (ehemals: beim Zugang zum Eingangsamt des höheren Dienstes) anzutreffen.

Bei einer Initiativbewerbung (nachfolgend Nr. 9.1.2) verhält sich die öffentliche Stelle zunächst passiv; sie hat keine Stellenausschreibung veröffentlicht. Eine interessierte Bewerberin oder ein interessierter Bewerber reicht von sich aus eine Bewerbung ein, weil sie oder er bei zukünftigen Stellenbesetzungen berücksichtigt werden möchte.

9.1.1. Informationspflicht bei Bewerbungen auf eine Stellenausschreibung

9.1.1.1. Ausgangslage

Erhalten bayerische öffentliche Stellen Bewerbungen auf eine Ausschreibung hin, so erheben sie personenbezogene Daten bei den Bewerberinnen und Bewerbern. Datenerhebungen dieser Art lösen die Informationspflicht nach Art. 13 DSGVO aus.

Daher bemisst sich der Umfang an Informationen, die den Bewerberinnen und Bewerbern zur Verfügung zu stellen sind, nach Art. 13 Abs. 1 und 2 DSGVO. Eine Information kann (nur) dann unterbleiben, wenn und soweit eine Bewerberin oder ein Bewerber bereits über die jeweilige Information verfügt (Art. 13 Abs. 4 DSGVO). Zwar dürften die Bewerberinnen und Bewerber wissen, wer für die Verarbeitung personenbezogener Daten im Rahmen des Bewerbungsverfahrens verantwortlich ist (die ausschreibende Stelle) und zu welchen Zwecken die Daten erhoben werden (Durchführung des Stellenbesetzungsverfahrens). Die übrigen in Art. 13 Abs. 1 und 2 DSGVO aufgeführten Angaben werden ihnen jedoch regelmäßig nicht umfassend bekannt sein.

Die ausschreibende öffentliche Stelle muss deshalb für die Bewerberinnen und Bewerber stets eine unter dem Gesichtspunkt von Art. 13 Abs. 1 und 2 DSGVO vollständige Information vorhalten.

9.1.1.2. Form der Information

Im Rahmen eines Bewerbungsverfahrens kann eine öffentliche Stelle ihrer Informationspflicht in unterschiedlicher Weise nachkommen. Sie kann grundsätzlich

  • die Informationen nach Art. 13 DSGVO einer Bewerberin oder einem Bewerber direkt übermitteln (etwa in Gestalt eines Ausdrucks oder eines PDF-Dokuments) oder
  • die Informationen auf ihrer jeweiligen Internetpräsenz zum Abruf bereithalten.

Hält die öffentliche Stelle die Informationen nach Art. 13 DSGVO zum Abruf bereit, kann sie auf eine direkte Übermittlung an Bewerberinnen und Bewerber (nur) unter den folgenden Voraussetzungen verzichten:

  • Die öffentliche Stelle muss Bewerberinnen und Bewerber ausdrücklich darauf hinweisen, dass die Informationen nach Art. 13 DSGVO im Internet abgerufen werden können, und
  • die Informationen nach Art. 13 DSGVO sind den Bewerberinnen und Bewerbern unter anderem in "leicht zugänglicher Form" zur Verfügung zu stellen (Art. 12 Abs. 1 Satz 1 DSGVO). Hieraus folgt zweierlei:

Die bereitgestellten Informationen sind den Bewerberinnen und Bewerbern entweder mittels eines Direktlinks oder durch einfach zu befolgende Navigationshinweise zugänglich zu machen, sodass sich die betroffenen Personen nicht erst umständlich zu diesen Informationen "durchklicken" müssen.

Da bei schriftlichen Bewerbungsverfahren nicht anzunehmen ist, dass alle Bewerberinnen und Bewerber über einen Internetzugang verfügen, ist im Regelfall eine Alternative anzugeben, mittels derer die Informationen zur Verfügung gestellt werden. Hier bietet sich etwa ein Bezug über den behördlichen Datenschutzbeauftragten, über die Personalabteilung der öffentlichen Stelle oder über die in der Stellenausschreibung für Rückfragen angegebene Kontaktperson an.

Demgemäß lässt sich ein Hinweis auf im Internet zum Abruf vorgehaltene Informationen nach Art. 13 DSGVO beispielhaft wie folgt formulieren:

"Informationen zur Verarbeitung Ihrer Bewerbungsdaten durch [Bezeichnung der öffentlichen Stelle] finden Sie unter [Angabe eines Direktlinks]. Alternativ können Sie sich auch an [Kontaktdaten eines Ansprechpartners] wenden."

9.1.1.3. Zeitpunkt der Information

Informationen nach Art. 13 DSGVO sind "zum Zeitpunkt der Erhebung" mitzuteilen oder zur Verfügung zu stellen. Hier bieten sich verschiedene Möglichkeiten:

  • Die öffentliche Stelle kann ihrer Informationspflicht bereits in der Ausschreibung nachkommen. Da eine unmittelbare Aufnahme der vollständigen Informationen wenig praktikabel ist, sollten die Informationen nach Art. 13 DSGVO in diesem Fall im Internet zum Abruf bereitgehalten werden. In die Ausschreibung wird dann ein entsprechender Hinweis aufgenommen. Die diesbezüglichen Anforderungen sind unter Nr. 9.1.1.2 dargestellt.

Diese Vorgehensweise ist sowohl möglich, wenn die Stellenausschreibung ausschließlich in einem Printmedium veröffentlicht wird, als auch, wenn in einem Printmedium lediglich ein Hinweis auf die zu besetzende Stelle abgedruckt wird und im Weiteren auf die diesbezügliche vollständige Ausschreibung (etwa) auf der Homepage der öffentlichen Stelle verwiesen wird. Aus datenschutzrechtlicher Sicht ist sie im Grundsatz vorzugswürdig, weil die betroffenen Bewerberinnen und Bewerber sich rechtzeitig auf die konkrete Datenverwendung einstellen können.

  • Kommt eine öffentliche Stelle ihrer Informationspflicht nicht bereits im Rahmen der Stellenausschreibung nach, hat sie einer Bewerberin oder einem Bewerber die Informationen nach Art. 13 DSGVO bei Eingang der Bewerbung zur Verfügung zu stellen.

Dies erfordert eine Kontaktaufnahme (die etwa auch im Rahmen einer Eingangsbestätigung erfolgen kann) mit der jeweiligen Bewerberin oder dem jeweiligen Bewerber. Im Rahmen dieser Kontaktaufnahme sind die Informationen nach Art. 13 DSGVO entweder unmittelbar beizufügen (etwa als Merkblatt bei analoger oder als PDF-Datei bei elektronischer Kommunikation); alternativ kann unter Angabe eines Links darauf hingewiesen werden, dass die Informationen nach Art. 13 DSGVO für Bewerberinnen und Bewerber im Internet zum Abruf bereit stehen (vgl. bereits oben Nr. 9.1.1.2).

9.1.2. Informationspflicht bei Initiativbewerbungen

Bei einer Initiativbewerbung fehlt der Bezug auf eine Ausschreibung, und die öffentliche Stelle hat auch nicht auf andere Weise zur Einreichung von Bewerbungsdaten aufgefordert. Somit liegt bei Eingang der Initiativbewerbung zunächst keine "Erhebung" im Sinne von Art. 13 DSGVO durch die jeweilige öffentliche Stelle vor.

Die öffentliche Stelle erhebt personenbezogene Daten allerdings dann, wenn sie anlässlich der Initiativbewerbung weitere personenbezogene Daten von der Bewerberin oder dem Bewerber erfragt. Das ist regelmäßig beim Einsatz eines Bewerberfragebogens, im Rahmen eines Assessment-Centers oder im Verlauf eines Vorstellungsgesprächs der Fall.

Spätestens zu diesen Anlässen sind die betreffenden Bewerberinnen und Bewerber gemäß Art. 13 DSGVO zu informieren. Allerdings bleibt es der öffentlichen Stelle unbenommen - und ist es aus Datenschutzsicht zu begrüßen -, wenn die öffentliche Stelle bereits bei Eingang einer Initiativbewerbung (etwa im Rahmen einer Eingangsbestätigung) eine betroffene Person im Umfang des Art. 13 DSGVO unterrichtet, und zwar unabhängig davon, ob es im Weiteren zu einer auf den Gewinn ergänzender Informationen gerichteten Datenerhebung durch die öffentliche Stelle kommt oder nicht.

9.1.3. Fazit

Grundsätzlich entsteht mit jeder Erhebung personenbezogener Daten eine Informationspflicht des Verantwortlichen gegenüber der betroffenen Person. Eine Datenerhebung im Rahmen eines Stellenbesetzungsverfahrens bildet hiervon keine Ausnahme. Einer bayerischen öffentlichen Stelle bieten sich dabei verschiedene Möglichkeiten, ihrer diesbezüglichen Informationspflicht ordnungsgemäß und mit vertretbarem Aufwand nachzukommen. Insbesondere bei Stellenausschreibungen können die entsprechenden Informationen für Bewerberinnen und Bewerber auf der Internetseite der jeweiligen öffentlichen Stelle zum Abruf bereitgehalten werden. In einer Stellenausschreibung kann hierauf mittels Verlinkung verwiesen werden. Im Regelfall ist zusätzlich noch ein alternativer Bezugsweg anzugeben, etwa über den behördlichen Datenschutzbeauftragten oder die in der Stellenausschreibung für Rückfragen genannte Kontaktperson.

9.2. Bekanntgabe von Personalentscheidungen gemeindlicher Gremien

Gemeindliche Gremien - der Gemeinderat und seine beschließenden Ausschüsse - sind für eine Vielzahl von Personalentscheidungen zuständig, die in einer Gemeinde zu treffen sind. Art. 43 Abs. 1 Satz 1 Gemeindeordnung (GO) bestimmt insofern:

"(1) 1Der Gemeinderat ist zuständig,

  1. die Beamten der Gemeinde ab Besoldungsgruppe A 9 zu ernennen, zu befördern, abzuordnen oder zu versetzen, an eine Einrichtung zuzuweisen, in den Ruhestand zu versetzen und zu entlassen,
  2. die Arbeitnehmer der Gemeinde ab Entgeltgruppe 9 des Tarifvertrags für den öffentlichen Dienst oder ab einem entsprechenden Entgelt einzustellen, höherzugruppieren, abzuordnen oder zu versetzen, einem Dritten zuzuweisen, mittels Personalgestellung zu beschäftigen und zu entlassen."

Diese Befugnisse können auf einen beschließenden Ausschuss übertragen werden (Art. 43 Abs. 1 Satz 2 GO). (Nur) in kreisfreien Gemeinden ist auch eine Übertragung auf den Oberbürgermeister möglich, soweit es um Beamte bis zur Besoldungsgruppe A 14 oder Beschäftigte bis zur Entgeltgruppe 14 des Tarifvertrags für den öffentlichen Dienst oder mit einem entsprechenden Entgelt geht (Art. 43 Abs. 1 Satz 3 GO).

Die in die Zuständigkeit des Gemeinderats oder seiner beschließenden Ausschüsse fallenden Personalentscheidungen werden grundsätzlich in nichtöffentlicher Sitzung getroffen, weil einer öffentlichen Behandlung regelmäßig "berechtigte Ansprüche einzelner entgegenstehen" (Art. 52 Abs. 2 Satz 1 GO). Dementsprechend sehen auch die vom Bayerischen Gemeindetag bereitgestellten Muster für Geschäftsordnungen des Gemeinderats eine nichtöffentliche Behandlung der "Personalangelegenheiten in Einzelfällen" vor. Allerdings bestimmt Art. 52 Abs. 3 GO:

"Die in nichtöffentlicher Sitzung gefaßten Beschlüsse sind der Öffentlichkeit bekanntzugeben, sobald die Gründe für die Geheimhaltung weggefallen sind."

Die Bedeutung dieser Vorschrift im Zusammenhang mit Personalentscheidungen war bereits mehrfach Gegenstand an mich gerichteter Anfragen. Ich gebe aus datenschutzrechtlicher Sicht die folgenden Hinweise:

9.2.1. Bekanntgabe nur der Beschlüsse

Gegenstand der Bekanntgabe sind "[d]ie in nichtöffentlicher Sitzung gefaßten Beschlüsse". Die Gemeinde genügt dem Bekanntgabeerfordernis, wenn sie den Beschlusstenor mitteilt. Die gesetzliche Vorgabe steht vor dem Hintergrund einer Verwaltungspraxis, die den Beschlusstenor nicht mit Begründungselementen vermischt. Das ist insbesondere (auch) bei Beschlussvorschlägen zu beachten, die im Rahmen der Beratung inhaltlich modifiziert werden oder aus der Mitte des Gemeinderats stammen.

Nicht öffentlich zu machen sind insbesondere etwa für die Gemeinderatsmitglieder bereitgestellte Sitzungsunterlagen sowie der Hergang der Beratung, wie er in der Niederschrift festgehalten ist. Daher sieht Art. 54 Abs. 3 GO insofern auch kein Zugangsrecht der Gemeindebürger vor.

9.2.2. Personenbezogene Daten im Beschlusstenor

Geht es um die Bekanntgabe einer Personalentscheidung in einem Einzelfall, wird der Beschlusstenor typischerweise personenbezogene Daten enthalten, wie folgende Praxisbeispiele zeigen:

Beispiel 1 (Einstellung einer Stadtjuristin): "Frau Josefa Huber wird zum 1. Juni 2019 unter Berufung in das Beamtenverhältnis auf Probe zur Rechtsrätin ernannt."

Beispiel 2 (Höhergruppierung eines Tarifbeschäftigten): "Herr Josef Huber wird mit Wirkung zum 1. Juni 2019 in die Entgeltgruppe 10 Tarifvertrag für den öffentlichen Dienst höhergruppiert."

Eine Bekanntgabe würde der Öffentlichkeit an personenbezogenen Daten in Beispiel 1 die Informationen über Josefa Huber vermitteln, dass diese (1) zu der betreffenden Gemeinde (2) ab dem 1. Juni 2019 (3) in einem Beamtenverhältnis (4) auf Probe steht, und zwar (5) im statusrechtlichen Amt einer Rechtsrätin, in Beispiel 2 die Informationen über Josef Huber, dass dieser (1) bei der betreffenden Gemeinde (2) tariflich beschäftigt ist und (3) ab dem 1. Juni 2019 der Entgeltgruppe 10 Tarifvertrag für den öffentlichen Dienst angehört. In beiden Fällen ist zudem anhand der veröffentlichten Besoldungs- oder Entgelttabellen jedenfalls eine ungefähre Einschätzung des Berufseinkommens möglich.

9.2.3. Grundsätzlich keine Bekanntgabe von Personalaktendaten

Gremienbeschlüsse wie in den Beispielen 1 und 2 enthalten bereits im Tenor jeweils (ein Gefüge von) Informationen, die für sich genommen, jedoch auch im Verbund als Personalaktendaten anzusehen sind. Insofern ist bereichsspezifisches Datenschutzrecht zu beachten (§ 50 Beamtenstatusgesetz, Art. 103 ff. Bayerisches Beamtengesetz - BayBG), das für Beamtinnen und Beamte sowie - nach Art. 145 Abs. 2 BayBG im Grundsatz entsprechend - auch für Tarifbeschäftigte gilt.

Eine Bekanntgabe nach Art. 52 Abs. 3 GO ist datenschutzrechtlich als Initiativübermittlung an eine unbestimmte Vielzahl (nicht)öffentlicher Stellen zu werten. Dafür ist nach Art. 6 Abs. 1 DSGVO eine Rechtsgrundlage erforderlich, wobei zunächst nach einer Rechtsgrundlage in der Form einer Verarbeitungsbefugnis (Art. 6 Abs. 1 UAbs. 1 Buchst. e, Abs. 3 UAbs. 1 Buchst. b DSGVO) zu suchen ist.

  • Aus den Übermittlungsbefugnissen in Art. 108 Abs. 1 und 2 BayBG kommt ersichtlich keine als Rechtsgrundlage für eine solche Bekanntgabe in Betracht.
  • Unabhängig vom Vorliegen der Tatbestandsvoraussetzungen ist eine Heranziehung von Art. 108 Abs. 4 BayBG schon deshalb nicht angezeigt, weil die Erteilung einer Auskunft eine "Abfragesituation" voraussetzt, die bei einer Initiativübermittlung nicht vorliegt.

Ein "Ausweichen" auf die allgemeine Übermittlungsbefugnis in Art. 5 Abs. 1 Satz 1 Nr. 1 BayDSG ist ebenfalls nicht möglich, weil die Personalaktendaten betreffende (Gesamt-)Regelung im Bayerischen Beamtengesetz grundsätzlich abschließend ist.

Die Rechtsgrundlage für eine Bekanntmachung könnte daher grundsätzlich nur durch eine Einwilligung der oder des betroffenen Bediensteten vermittelt sein (vgl. Art. 6 Abs. 1 UAbs. 1 Buchst. a, Art. 4 Nr. 11, Art. 7 DSGVO).

Dabei ist allerdings zu beachten, dass die Einwilligung nur wirksam ist, wenn sie freiwillig erteilt wurde (Art. 4 Nr. 11 DSGVO). Das Vorliegen dieses Merkmals ist bei der Einwilligung in die Bekanntgabe einer - oftmals günstigen - Personalentscheidung regelmäßig fraglich; eine beschäftigte Person könnte sich nämlich gedrängt sehen, gegenüber ihrem Dienstherrn oder Arbeitgeber "Wohlverhalten" zu zeigen. Eine Gemeinde ist unter keinem Gesichtspunkt verpflichtet, nur zum Zweck einer Bekanntgabe nach Art. 52 Abs. 3 GO um eine Einwilligung nachzusuchen. Selbstverständlich besteht auch für die Beschäftigten keine "Pflicht zur Einwilligung".

Die Bekanntgabepflicht aus Art. 52 Abs. 3 GO selbst kann die für eine Initiativübermittlung an eine unbestimmte Vielzahl (nicht)öffentlicher Stellen erforderliche Rechtsgrundlage ebenfalls nicht bereitstellen. Da eine Befugnis zu einer entsprechenden Übermittlung von Personalaktendaten fehlt, liegen - vorbehaltlich einer Einwilligung - grundsätzlich dauerhaft "Gründe für die Geheimhaltung" (Art. 52 Abs. 3 GO) vor, die einer Bekanntgabe entgegenstehen.

9.2.4. Möglichkeiten der Information über Personalentscheidungen im Einzelfall

Eine Information, die ohne Personalaktendaten auskommt, ist gleichwohl auch nach Personalentscheidungen im Einzelfall möglich. Die Gemeinde kann eine anonymisierte Information wählen (Nr. 9.2.4.1); soll die Identität einer bestimmten beschäftigten Person offengelegt werden, kann dies im (eher engen) Rahmen von Art. 5 Abs. 1Satz 1 Nr. 1 BayDSG geschehen oder auf der Grundlage einer Einwilligung (Nr. 9.2.4.2).

9.2.4.1. Anonymisierte Information

Zum einen kann die Gemeinde entsprechende Beschlüsse datenschutzgerecht ohne Nennung von Namen und Statusdetails bekanntgeben (anonymisierte Bekanntgabe). Diese Vorgehensweise setzt voraus, dass nicht anderweit - beispielsweise aus einem veröffentlichten Organisationsplan - Rückschlüsse auf die Identität einer beschäftigten Person gezogen werden können. Die anonymisierte Bekanntgabe kommt deshalb insbesondere für größere Städte in Betracht, die für den Zugang zu ihren Verwaltungsdienstleistungen datenschutzfreundlich Funktions-E-Mail-Adressen und zentrale Rufnummern verwenden. Eine anonymisierte Bekanntgabe könnte in den oben gebildeten Beispielen folgendermaßen formuliert werden:

Beispiel 1 (Einstellung einer Stadtjuristin): "Der Stadtrat hat beschlossen, eine Juristin für das Rechtsamt einzustellen."

Beispiel 2 (Höhergruppierung eines Tarifbeschäftigten): "Der Hauptausschuss hat beschlossen, einen Mitarbeiter im Ordnungsamt höherzugruppieren."

9.2.4.2. Nicht anonymisierte Information

Zum anderen kommt eine Information über Personalentscheidungen im Rahmen der kommunalen Öffentlichkeitsarbeit in Betracht. Dabei geht es allerdings nicht darum, eine Bekanntgabe nach Art. 52 Abs. 3 GO zu bewirken. Das Ziel liegt vielmehr darin, die Gemeindeverwaltung hinsichtlich wichtiger Ansprechpersonen transparent zu machen.

Zu beachten ist in diesem Zusammenhang, dass die in Art. 39 Abs. 1 Satz 1 BayDSG zugunsten der Bürgerinnen und Bürger und in Art. 4 Abs. 1 Satz 1 Bayerisches Pressegesetz zugunsten der Presse geregelten Informationszugangsrechte der Gemeinde keine Datenübermittlungsbefugnisse für eine Öffentlichkeitsarbeit aus eigener Initiative vermitteln.

  • Rechtsgrundlage: Art. 5 Abs. 1 Satz 1 Nr. 1 BayDSG

Rechtsgrundlage für eine Übermittlung personenbezogener Daten kann in diesem Fall aber Art. 5 Abs. 1 Satz 1 Nr. 1 BayDSG sein. Wegen der abschließenden Regelung der Übermittlung von Personalaktendaten in Art. 108 BayBG kommen dabei nur solche Personalaktendaten in Betracht, die zugleich im Rahmen der Aufbauorganisation genutzte Sachaktendaten sein können (siehe die Ausführungen in meinem 22. Tätigkeitsbericht 2006 unter Nr. 19.1). Dies gilt insbesondere für die dienstliche Funktion (etwa "Leiter Ordnungsamt") sowie - bei Beamtinnen und Beamten - für die Amtsbezeichnung.

Das in Art. 5 Abs. 1 Satz 1 BayDSG zentrale Merkmal der Erforderlichkeit ist im Lichte des Interesses zu würdigen, das die Öffentlichkeit an der Kenntnis der Organisation einer Gemeindeverwaltung üblicherweise hat. Nach meiner Auffassung kann die Erforderlichkeit insbesondere bei der Neueinstellung einer Führungskraft oder einer (sonstigen) beschäftigten Person, die nach außen für die Gemeinde auftritt, bei der Versetzung einer Führungskraft zu einem anderen Dienstherrn sowie bei der Versetzung einer Führungskraft in den Ruhestand gegeben sein.

Führungskräfte sind dabei insbesondere (soweit vorhanden) berufsmäßige Gemeinderatsmitglieder und Geschäftsleitungen, ferner die Geschäftsbereichs- und Fachbereichsleitungen (Abteilungsleitungen, Sachgebietsleitungen). Bei den sonstigen Beschäftigten, die nach außen für die Gemeinde auftreten (zu dieser Personengruppe siehe bereits die Ausführungen in meinem 24. Tätigkeitsbericht 2010 unter Nr. 6.11), steht die Funktion als Ansprechpartner im Vordergrund der Aufgaben (Beispiele: Pressesprecher, Koordinatorin für den Bereich Ehrenamt/Vereine, Veranstaltungssachbearbeiter in einem Ordnungsamt; Gegenbeispiele: Mitarbeiterinnen in Kindertageseinrichtungen, Beschäftigte in einer Registratur oder im Archiv, Sachbearbeiterinnen im Personalamt).

  • Rechtsgrundlage: Einwilligung

Davon abgesehen kann Rechtsgrundlage - unter den oben zu 3. dargestellten Maßgaben - auch eine Einwilligung sein. Sie ist erforderlich, wenn über Beschäftigte berichtet werden soll, die nicht zu den herausgehobenen Führungskräften gehören, oder wenn hinsichtlich solcher Führungskräfte ein "Mehr" an Informationen geboten werden soll (Beispiele: Notiz im "Gemeindeboten" über den Eintritt eines verdienten Sachbearbeiters in den Ruhestand; Pressemitteilung über die Einstellung einer Stadtbaumeisterin mit Kurzbiografie und Lichtbild).

9.2.5. Fazit

Die Kommunikation gemeindlicher Personalentscheidungen gegenüber der Öffentlichkeit ist eine regelmäßig wiederkehrende Verwaltungsaufgabe. Art. 52 Abs. 3 GO gibt dazu keine Routine vor. Die Gemeinde muss dem Schutz personenbezogener Daten den erforderlichen Stellenwert einräumen. Die Übermittlungsbefugnis aus Art. 5 Abs. 1 Satz 1 Nr. 1 BayDSG lässt in bestimmten Fällen eine Veröffentlichung grundlegender Informationen zu; im Übrigen kann nur eine Einwilligung die nötige Rechtsgrundlage bieten.

9.3. Umgang mit amtsärztlichen Zeugnissen bei der Bayerischen Polizei

Bei dienstlich veranlassten amtsärztlichen Untersuchungen werden - teils hochsensible - Gesundheitsdaten von Beschäftigten verarbeitet. Diese Begutachtungen bilden zudem regelmäßig die sachverständige Grundlage für Entscheidungen des Dienstherrn, welche unter Umständen weitreichende Konsequenzen für die betroffenen Beschäftigten haben können - insbesondere, wenn es um Verfahren der vorzeitigen Ruhestandsversetzung wegen Dienstunfähigkeit geht. Es verwundert deshalb nicht, dass dieser Themenkomplex regelmäßig den Gegenstand entsprechender Eingaben und Anfragen darstellt.

Im Berichtszeitraum hat mich hierzu unter anderem eine Eingabe zu polizeiärztlichen Begutachtungen der Dienst- und Verwendungsfähigkeit von Beamtinnen und Beamten der Bayerischen Polizei erreicht. Schwerpunkt dieser Eingabe war die Frage, ob und gegebenenfalls in welchem Umfang Fachvorgesetzten der betroffenen Beschäftigten Feststellungen aus einer solchen Begutachtung mitgeteilt werden dürfen.

9.3.1. Sachverhalt

Im Zuständigkeitsbereich eines Polizeipräsidiums wurde bei Begutachtungen der Dienst- und Verwendungsfähigkeit von Beamtinnen und Beamten die folgende Verfahrensweise praktiziert:

Nach Durchführung der Begutachtung übermittelte der Ärztliche Dienst der Bayerischen Polizei (im Folgenden: polizeiärztlicher Dienst) das Gesundheitszeugnis oder einen Abdruck hiervon sowohl an das Polizeipräsidium als auch an die begutachtete Beamtin oder den begutachteten Beamten. Das Polizeipräsidium gab der Beamtin oder dem Beamten darüber hinaus den nahezu vollständigen Inhalt des Gesundheitszeugnisses mittels eines Schreibens bekannt, welches der Beamtin oder dem Beamten jedoch nicht unmittelbar, sondern über die Leitung der jeweiligen Polizeiinspektion übermittelt wurde. Auf diesem Weg erhielt auch der oder die (Fach-)Vorgesetzte der Beamtin oder des Beamten eine recht umfassende Kenntnis vom Inhalt des Gesundheitszeugnisses.

Das Polizeipräsidium hat diese Verfahrensweise mir gegenüber damit begründet, dass sie zum einen bezwecke, die Adressatin oder den Adressaten über das Ergebnis der polizeiärztlichen Untersuchung zu informieren, zum anderen aber auch, die Dienststellenleitung über die Beurteilung der dienstlichen Verwendungsfähigkeit und etwaiger Verwendungseinschränkungen der betroffenen Person sowie über die notwendigen zukünftigen Maßnahmen zur Wiederherstellung der Dienstfähigkeit in Kenntnis zu setzen.

9.3.2. Rechtliche Würdigung

Auch wenn das Polizeipräsidium im Weiteren ausgeführt hat, dass "ärztliche Diagnosen, medizinische Gutachten oder Ähnliches, die für eine Übermittlung an den Vorgesetzen nicht geeignet wären", nicht Bestandteil eines solchen Schreibens seien, habe ich die dargestellte Verfahrensweise aus Datenschutzsicht dem Polizeipräsidium gegenüber kritisiert.

Im Einzelnen:

  • Die Überprüfung der Dienstfähigkeit eines Beamten oder einer Beamtin ist nach den einschlägigen beamtenrechtlichen Vorschriften Sache des oder der (unmittelbaren) Dienstvorgesetzten im Sinn des Art. 3 Satz 1 Bayerisches Beamtengesetz (BayBG):

Art. 65 BayBG

Verfahren bei Ruhestandsversetzungen wegen Dienstunfähigkeit

(1) [...]

(2) 1Bestehen Zweifel über die Dienstunfähigkeit, so ist der Beamte oder die Beamtin verpflichtet, sich nach Weisung des oder der Dienstvorgesetzten ärztlich untersuchen und, falls ein Amtsarzt oder eine Amtsärztin dies für erforderlich hält, beobachten zu lassen. [...]

(3) 1Wird in den Fällen des § 26 Abs. 1 BeamtStG ein Antrag auf Versetzung in den Ruhestand gestellt, so wird die Dienstunfähigkeit dadurch festgestellt, dass der unmittelbare Dienstvorgesetzte oder die unmittelbare Dienstvorgesetzte auf Grund eines amtsärztlichen Gutachtens über den Gesundheitszustand erklärt, er oder sie halte den Beamten oder die Beamtin nach pflichtgemäßem Ermessen für dauernd unfähig, die Dienstpflichten zu erfüllen. [...]

(4) [...]

Art. 66 BayBG

Zwangspensionierungsverfahren

(1) Hält der oder die Dienstvorgesetzte den Beamten oder die Beamtin für dienstunfähig und beantragt dieser oder diese die Versetzung in den Ruhestand nicht, so teilt der oder die Dienstvorgesetzte dem Beamten, der Beamtin, dessen oder deren Vertreter oder Vertreterin schriftlich mit, dass die Versetzung in den Ruhestand beabsichtigt sei; dabei sind die Gründe für die Versetzung in den Ruhestand anzugeben.

(2) [...]

Eine Zuständigkeit der oder des (Fach-)Vorgesetzten im Sinn des Art. 3 Satz 2 BayBG besteht insoweit nicht.

  • Die Kenntnisnahme des oder der (Fach-)Vorgesetzten (vorliegend des Leiters der betreffenden Polizeiinspektion) vom Inhalt des Gesundheitszeugnisses einer Beamtin oder eines Beamten ist danach nicht regelhaft, sondern nur in Ausnahmefällen und nur insoweit zulässig, als eine solche Kenntnisnahme erforderlich ist. Dies kann in aller Regel nur dann und nur insoweit der Fall sein, als sich aus dem Gesundheitszeugnis unmittelbare Folgerungen und Auswirkungen auf den Dienstbetrieb oder auf die Gestaltung des Arbeitsplatzes des Beamten oder der Beamtin ergeben, welche entsprechende Umsetzungs- oder Durchführungsmaßnahmen der Dienststellenleitung erfordern.
  • Diese Vorgaben, die nicht zuletzt Ausfluss des datenschutzrechtlichen Erforderlichkeitsgrundsatzes sind (vgl. Art. 5 Abs. 1 Buchst. c DSGVO, Art. 103, 108 BayBG), wurden jedenfalls in dem der besagten Eingabe zugrunde liegenden Fall nicht hinreichend beachtet:

So enthielt das - auch der Leitung der jeweiligen Polizeiinspektion zur Kenntnis gebrachte - Schreiben des Polizeipräsidiums neben dem Hinweis, dass der betroffene Beamte "weiterhin dienstunfähig erkrankt" sei, detaillierte Ausführungen zu ambulanten und stationären Therapiemaßnahmen, welche zur Wiederherstellung der Dienstfähigkeit aus ärztlicher Sicht empfohlen wurden. Da diese Ausführungen keinen unmittelbaren Bezug zur Arbeitsplatzgestaltung oder zur konkreten Verwendbarkeit des Beamten aufwiesen, war nicht ersichtlich, weshalb eine Kenntnisnahme durch die Dienststellenleitung erforderlich gewesen wäre. Dies gilt umso mehr, als die Ausführungen im konkreten Fall auch Rückschlüsse auf das zugrunde liegende Krankheitsbild des Beamten zugelassen haben.

Unabhängig hiervon erschien mir zudem die "doppelte" Übermittlung des Inhalts eines Gesundheitszeugnisses an den betroffenen Beamten - einmal durch die Übermittlung eines Abdrucks seitens des polizeiärztlichen Dienstes und einmal durch ein Schreiben des Polizeipräsidiums an den Beschäftigten, welches den Inhalt des Gesundheitszeugnisses lediglich wiederholt, - als nicht erforderlich. Vielmehr genügt es den gesetzlichen Vorgaben, wenn der polizeiärztliche Dienst der betroffenen Beamtin oder dem betroffenen Beamten einen Abdruck des an die Dienstvorgesetzte oder den Dienstvorgesetzten übermittelten Gesundheitszeugnisses zur Verfügung stellt. Art. 67 Abs. 3 Satz 2 BayBG bestimmt dazu:

"Der Arzt oder die Ärztin übermittelt dem Beamten oder der Beamtin oder, soweit dem ärztliche Gründe entgegenstehen, dem Vertreter oder der Vertreterin eine Ablichtung der auf Grund dieser Vorschrift an die Behörde erteilten Auskünfte."

9.3.3. Bayernweite Verfahrensumstellung

Das Polizeipräsidium hat meine Hinweise in dem der Eingabe zugrunde liegenden Fall aufgegriffen. Ich hatte jedoch Grund zu der Annahme, dass die dargestellte, datenschutzrechtlich bedenkliche Verfahrensweise im Zusammenhang mit der Beurteilung der Dienst- und Verwendungsfähigkeit von Beamtinnen und Beamten im Bereich der Personalverwaltung der gesamten Bayerischen Polizei durchaus verbreitet Anwendung findet. Daher habe ich meine diesbezüglichen Bedenken im Nachgang auch dem Bayerischen Staatsministerium des Innern, für Sport und Integration gegenüber geäußert und darum gebeten, bei allen zuständigen Stellen der Bayerischen Polizei auf die strikte Beachtung der engen Vorgaben des Bayerischen Beamtengesetzes hinzuwirken. Erfreulicherweise ist das Innenministerium dieser Bitte auch zeitnah und ohne weitere Diskussionen nachgekommen.

Insgesamt konnte ich somit anlässlich einer entsprechenden Eingabe dazu beitragen, das Bewusstsein der Personalverwaltung der Bayerischen Polizei für datenschutzrechtliche Vorgaben im besonders sensiblen Bereich der dienstlich veranlassten amtsärztlichen Untersuchungen weiter zu schärfen.

9.3.4. Fazit

Die Überprüfung der Dienstfähigkeit von Beamten oder Beamtinnen ist Sache der jeweiligen Dienstvorgesetzten. (Fach-)Vorgesetzte haben diesbezüglich keine Zuständigkeiten - der Inhalt eines Gesundheitszeugnisses geht diese in aller Regel somit auch "nichts an". Nur soweit sich aus dem Gesundheitszeugnis unmittelbare Folgerungen und Auswirkungen auf den Dienstbetrieb oder auf die Gestaltung des Arbeitsplatzes der Beamtin oder des Beamten ergeben, welche entsprechende Umsetzungs- oder Durchführungsmaßnahmen der Dienststellenleitung erfordern, dürfen (Fach-)Vorgesetzte ausnahmsweise vom Inhalt eines Gesundheitszeugnisses auszugsweise Kenntnis nehmen.

9.4. Führerscheinkontrollen für die Nutzung von Dienstkraftfahrzeugen

Bayerische öffentliche Stellen müssen als Halter von Kraftfahrzeugen sicherstellen, dass nur solche Personen dienstliche Fahrzeuge führen, die über die hierfür erforderliche Fahrerlaubnis verfügen. Die Erfüllung dieser - sogar strafbewehrten ("Fahrenlassen ohne Fahrerlaubnis", § 21 Abs. 1 Nr. 2 Straßenverkehrsgesetz) - Pflicht erfordert es in der Regel, die Führerscheine derjenigen Beschäftigten zu kontrollieren, die Dienstkraftfahrzeuge nutzen. Vor diesem Hintergrund haben sich bayerische öffentliche Stellen mit der Frage an mich gewandt, wie diese Führerscheinkontrollen datenschutzgerecht auszugestalten sind. Oftmals war im Rahmen solcher Kontrollen beabsichtigt, Fotokopien der Führerscheine von Beschäftigten zu erstellen und zu den Akten zu nehmen. Ich habe zu diesem Fragenkreis die folgenden Hinweise gegeben:

9.4.1. Rechtsgrundlage

Ein Führerschein enthält personenbezogene Daten der Inhaberin oder des Inhabers im Sinn von Art. 4 Nr. 1 DSGVO. Bei einer Führerscheinkontrolle werden diese personenbezogenen Daten in Form einer Erhebung und Speicherung verarbeitet. Die Verarbeitung personenbezogener Daten von Beschäftigten durch den Dienstherrn ist in bereichsspezifischen Vorschriften (§ 50 Beamtenstatusgesetz, Art. 103 ff. Bayerisches Beamtengesetz - BayBG) geregelt. Diese Vorschriften sind grundsätzlich auch auf die nichtbeamteten Beschäftigten des bayerischen öffentlichen Dienstes, insbesondere die Tarifbeschäftigten, entsprechend anzuwenden (vgl. Art. 145 Abs. 2 BayBG).

Im Zusammenhang mit der Nutzung von Dienstkraftfahrzeugen kann der Dienstherr Führerscheinkontrollen bei seinen Beschäftigten datenschutzrechtlich grundsätzlich auf Art. 103 Satz 1 BayBG stützen. Diese Vorschrift erlaubt die Verarbeitung personenbezogener Daten unter anderem, soweit sie zur Durchführung organisatorischer, personeller und sozialer Maßnahmen, insbesondere zu Zwecken der Personalverwaltung oder Personalwirtschaft erforderlich ist. Führerscheinkontrollen durch den Dienstherrn zur Erfüllung seiner Halterpflichten können dabei als Maßnahmen der Personalwirtschaft angesehen werden:

Wie eingangs dargestellt, hat der Dienstherr als Halter von Kraftfahrzeugen durch zumutbare Maßnahmen sicherzustellen, dass nur Personen mit der hierfür erforderlichen Fahrerlaubnis dienstliche Fahrzeuge führen. Im Rahmen seiner Personalwirtschaft muss er somit insbesondere seine Personalplanung und den Personaleinsatz so ausgestalten, dass Beschäftigte ohne die erforderliche Fahrerlaubnis nicht für Tätigkeiten eingesetzt werden, welche die Führung eines (dienstlichen) Kraftfahrzeugs zwingend voraussetzen. Dies erfordert es in einem ersten Schritt, sich durch angemessene Führerscheinkontrollen ein Bild davon zu verschaffen, wer über eine erforderliche Fahrerlaubnis verfügt. Das Ergebnis dieser Prüfung ist zu dokumentieren. Ergibt dabei eine Kontrolle etwa, dass eine Beschäftigte oder ein Beschäftigter nicht oder nicht mehr im Besitz der erforderlichen Fahrerlaubnis ist, muss der Dienstherr dem organisatorisch Rechnung tragen (etwa indem er der oder dem Beschäftigten eine andere Tätigkeit überträgt, ihr oder ihm gegebenenfalls die Nutzung des Dienstkraftfahrzeuges untersagt). Je nach Konstellation können auch weitergehende dienst- oder arbeitsrechtliche Konsequenzen in Betracht kommen, etwa dann, wenn sich Beschäftigte der Einsichtnahme des Dienstherrn in ihre Führerscheine verweigern.

Unter Umständen können bestimmte Schlüsselzahlen auf dem Führerschein, die einen Rückschluss auf körperliche Einschränkungen der Inhaberin oder des Inhabers zulassen (vgl. Anlage 9 zu § 25 Abs. 3 Verordnung über die Zulassung von Personen zum Straßenverkehr), Gesundheitsdaten und damit personenbezogene Daten einer besonderen Kategorie im Sinn von Art. 9 Abs. 1 DSGVO darstellen. Deren Verarbeitung ist ebenfalls zulässig, soweit es die Wahrnehmung der Rechte und Pflichten des Dienstherrn auf dem Gebiet des Dienst- und Arbeitsrechts erfordert (Art. 103 Satz 1 Nr. 2 BayBG in Verbindung mit Art. 8 Abs. 1 Satz 1 Nr. 2, Abs. 2 BayDSG).

9.4.2. Erforderlichkeit und Grundsatz der Datenminimierung

Der zulässige Umfang der Datenverarbeitung wird allerdings maßgebend durch die Erforderlichkeit (vgl. Art. 103 Satz 1 Nr. 1 BayBG) sowie den Grundsatz der Datenminimierung (Art. 5 Abs. 1 Buchst. c DSGVO) mitbestimmt: Der Dienstherr darf personenbezogene Daten nur in dem für die Zweckerfüllung gebotenen Umfang verarbeiten. Er darf also nur die Angaben "aus" dem Führerschein erheben und speichern, die er für die Erfüllung seiner Halterpflichten benötigt.

Hiervon ausgehend ist es datenschutzrechtlich zulässig, wenn der Dienstherr von den betroffenen Beschäftigten (etwa unter Verwendung eines Formblatts) die benötigten Angaben zum Führerschein einholt, sich im Rahmen einer regelmäßigen Kontrolle den Führerschein vorzeigen lässt und dies entsprechend dokumentiert. Durch diese Verfahrensweise dürfte die Erfüllung der Halterpflichten des Dienstherrn hinreichend sichergestellt sein.

Eine Anfertigung von Fotokopien der Führerscheine, die mit der Erhebung und Speicherung nicht benötigter Angaben verbunden ist, sehe ich dagegen in aller Regel als nicht erforderlich und damit als datenschutzrechtlich unzulässig an.

9.4.3. Information der betroffenen Beschäftigten

Die betroffenen Beschäftigten sind zum Zeitpunkt der Erhebung ihrer personenbezogenen Daten, also mit Beginn der Führerscheinkontrollen, durch den Dienstherrn im Umfang von Art. 13 Abs. 1 und 2 DSGVO zu informieren. Von der Information kann abgesehen werden, soweit betroffene Beschäftigte bereits über diese Informationen verfügen. Das kommt insbesondere in Betracht, wenn Beschäftigte bereits zuvor, etwa im Rahmen ihrer Einstellung, über die Datenerhebung im Zusammenhang mit den späteren Führerscheinkontrollen informiert worden sind und dies auch dokumentiert ist. Auf die Orientierungshilfe "Informationspflichten" weise ich hin.

9.4.4. Zuständigkeit und Speicherdauer

Die Führerscheinkontrollen sollten durch eine zentrale Einheit durchgeführt werden. So wird sichergestellt, dass möglichst wenige Personen Zugriff auf diese personenbezogenen Daten haben. In Betracht kommt neben der personalverwaltenden Stelle insbesondere bei einem großen Fuhrpark (etwa eines städtischen Bauhofs oder einer Straßenmeisterei) auch die für dessen Management zuständige Stelle.

Bei der Speicherung der personenbezogenen Daten, die im Rahmen der Kontrollen angefallen sind, ist der Grundsatz der Speicherbegrenzung (Art. 5 Abs. 1 Buchst. e DSGVO) zu beachten: Danach dürfen personenbezogene Daten nur solange gespeichert werden, wie es für die Verarbeitungszwecke erforderlich ist; anschließend sind sie zu löschen. Dabei ist freilich zu berücksichtigen, dass der Dienstherr auch für bereits in der Vergangenheit liegende Zeiträume anhand der dokumentierten Kontrollen nachweisen können muss, dass er seinen Halterpflichten nachgekommen ist.

9.4.5. Fazit

Um seinen Pflichten als Kraftfahrzeughalter nachzukommen, darf ein Dienstherr Führerscheinkontrollen bei denjenigen Beschäftigten durchführen, die Dienstkraftfahrzeuge nutzen. Die Anfertigung von Fotokopien der Führerscheine ist dabei jedoch in aller Regel nicht erforderlich und somit datenschutzrechtlich auch nicht zulässig.

9.5. Der Personalrat - Verantwortlicher im Sinne des Datenschutzrechts?

Der nach Art. 12 Abs. 1 Bayerisches Personalvertretungsgesetz (BayPVG) zu bildende Personalrat verarbeitet im Rahmen seiner Aufgabenerfüllung Beschäftigtendaten. Schon unter Geltung des "alten" Datenschutzrechts ist die Frage diskutiert worden, ob hinsichtlich dieser Verarbeitungen der Personalrat selbst oder aber die öffentliche Stelle, bei der er gebildet ist, als verantwortlich im datenschutzrechtlichen Sinne anzusehen ist. Ich habe mich in diesem Zusammenhang für eine einheitliche Verantwortlichkeit der öffentlichen Stelle ausgesprochen, aber darauf hingewiesen, dass der besonderen Stellung des Personalrats Rechnung zu tragen ist (so etwa im Hinblick auf die Kontrollmöglichkeiten des behördlichen Datenschutzbeauftragten). Diese Auffassung stand im Einklang mit der bisherigen Rechtsprechung des Bundesarbeitsgerichts, welches den Betriebsrat auch datenschutzrechtlich als Teil des jeweiligen Unternehmens und somit als Teil dieser "speichernden Stelle" angesehen hatte.

Mit Geltungsbeginn der Datenschutz-Grundverordnung ist die Diskussion um die datenschutzrechtliche Verantwortlichkeit des Personalrats wieder aufgelebt. Meine Position fasse ich nachstehend zusammen.

9.5.1. Die Rolle des "Verantwortlichen"

Die Verpflichtungen nach der Datenschutz-Grundverordnung treffen in erster Linie den Verantwortlichen. Verantwortlicher ist dabei nach Art. 4 Nr. 7 DSGVO grundsätzlich

"die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so kann der Verantwortliche beziehungsweise können die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden".

Die Datenschutz-Grundverordnung eröffnet dem mitgliedstaatlichen Gesetzgeber an dieser Stelle somit einen gewissen Gestaltungsspielraum: Unter den Voraussetzungen des Art. 4 Nr. 7 Halbsatz 2 DSGVO kann der mitgliedstaatliche Gesetzgeber den Verantwortlichen somit selbst gesetzlich bestimmen. Hierauf wird zurückzukommen sein.

9.5.2. Der Personalrat als "Verantwortlicher"?

Teilweise wird die Auffassung vertreten, dass der Personalrat nun selbst Verantwortlicher im Sinne der Datenschutz-Grundverordnung sei, da er alleine über die Zwecke und die Mittel der von ihm durchgeführten Verarbeitungen personenbezogener Daten entscheide. Diese Auffassung hätte für Personalräte weitreichende datenschutzrechtliche Konsequenzen. So wären sie als Verantwortliche etwa verpflichtet, einen eigenen Datenschutzbeauftragten zu benennen; ihre Mitglieder wären zudem einem nicht unerheblichen Haftungsrisiko ausgesetzt.

Vorzugswürdig erscheint es, den Personalrat - wie bislang - als Teil der jeweiligen öffentlichen Stelle anzusehen. Diese ist somit auch für Datenverarbeitungen des Personalrats Verantwortlicher im Sinn der Datenschutz-Grundverordnung. Im Anwendungsbereich des Bayerischen Datenschutzgesetzes ergibt sich dies insbesondere aus Art. 3 Abs. 2 BayDSG. Mit dieser Regelung hat der bayerische Gesetzgeber von der Ermächtigung des Art. 4 Nr. 7 Halbsatz 2 DSGVO Gebrauch gemacht. Verantwortlicher für die Verarbeitung personenbezogener Daten ist demnach grundsätzlich die für die Verarbeitung zuständige öffentliche Stelle. Der Begriff der "öffentlichen Stelle" wird insbesondere in Art. 1 Abs. 1, 2 und 4 BayDSG bestimmt - der Personalrat fällt gerade nicht darunter. Es wird somit grundsätzlich die Behörde oder sonstige öffentliche Stelle einheitlich als Verantwortlicher betrachtet, ohne dass eine weitergehende Untergliederung (etwa in einzelne Ämter oder Abteilungen) erfolgt.

Doch auch wenn man allein Art. 4 Nr. 7 Halbsatz 1 DSGVO in den Blick nimmt, ist der Personalrat nicht als Verantwortlicher anzusehen. Zwar ist der Begriff des Verantwortlichen grundsätzlich weit zu verstehen und mit dem Zusatz "oder andere Stelle" in Art. 4 Nr. 7 Halbsatz 1 DSGVO auch bewusst offen gehalten. Allerdings steht die "andere Stelle" in einer alternativen Aufzählung unter anderem mit einer juristischen Person, einer Behörde oder einer Einrichtung. Dies spricht dafür, dass auch der europäische Gesetzgeber die genannten Organisationsformen grundsätzlich einheitlich als Verantwortliche auffasst. Da der Personalrat aber keine eigene, nach außen hin verselbstständigte Stelle ist, sondern unselbstständiger Teil der jeweiligen Behörde oder sonstigen öffentlichen Stelle, ist er - jedenfalls soweit er seine gesetzlichen Aufgaben wahrnimmt - datenschutzrechtlich auch nicht Verantwortlicher nach Art. 4 Nr. 7 DSGVO.

Für diese Auffassung spricht ferner, dass die Datenschutz-Grundverordnung die Begriffe "Behörde" und "öffentliche Stelle" zwar wiederholt gebraucht, aber selbst nicht definiert. Damit erkennt sie die Organisationshoheit des einzelnen Mitgliedstaates hinsichtlich Aufbau und Struktur seiner Verwaltung an. Würde man dies anders sehen, drohte im Ergebnis eine "Zersplitterung" der datenschutzrechtlichen Verantwortlichkeit im Bereich der öffentlichen Verwaltung: Neben dem Personalrat kämen nämlich auch weitere Stellen einer Behörde als eigenständige Verantwortliche in Betracht, sofern diese Stellen besonderen internen Verschwiegenheitspflichten unterliegen und hinsichtlich der Verarbeitung personenbezogener Daten eine gewisse Unabhängigkeit aufweisen. Dies beträfe etwa die Schwerbehindertenvertretung und nicht zuletzt auch den behördlichen Datenschutzbeauftragten selbst, der im Rahmen seiner Tätigkeit ebenfalls weisungsfrei (vgl. Art. 38 Abs. 3 Satz 1 DSGVO) personenbezogene Daten verarbeitet.

Aufgaben, Rechte und Pflichten der Personalräte bayerischer öffentlicher Stellen sind im Bayerischen Personalvertretungsgesetz geregelt. Es wäre dem bayerischen Gesetzgeber unbenommen geblieben, den Personalrat auf Grundlage von Art. 4 Nr. 7 Halbsatz 2 DSGVO in diesem Zusammenhang als datenschutzrechtlich Verantwortlichen zu bestimmen, wie dies andere Landespersonalvertretungsgesetze vereinzelt vorsehen. Eine solche Regelung hat der bayerische Gesetzgeber jedoch nicht getroffen.

Es bleibt daher bei dem Grundsatz, dass eine bayerische Behörde oder sonstige öffentliche Stelle einheitlich als Verantwortlicher anzusehen ist - auch für die Verarbeitungen personenbezogener Daten durch ihren Personalrat.

9.5.3. Datenschutz innerhalb des Personalrats

Die jeweilige öffentliche Stelle muss als Verantwortlicher somit grundsätzlich sicherstellen, dass auch ihr Personalrat die einschlägigen datenschutzrechtlichen Vorgaben einhält. Hierbei ist allerdings der besonderen Stellung des Personalrats Rechnung zu tragen, insbesondere im Hinblick auf die Schweigepflicht seiner Mitglieder nach Art. 10 BayPVG. Insoweit hat die Dienststellenleitung gegenüber dem Personalrat nur begrenzte Einflussmöglichkeiten.

In der praktischen Umsetzung folgt für bayerische öffentliche Stellen hieraus insbesondere:

9.5.3.1. Der Personalrat und der behördliche Datenschutzbeauftragte

Dem behördlichen Datenschutzbeauftragten obliegen unter anderem Beratungs- und Überwachungsaufgaben gegenüber dem Verantwortlichen sowie dessen Beschäftigten, die Datenverarbeitungen durchführen (vgl. Art. 39 Abs. 1 Buchst. a und b DSGVO). Diese Aufgaben bestehen somit auch gegenüber dem Personalrat als Teil des Verantwortlichen. Die noch zur alten Rechtslage ergangene Rechtsprechung des Bundesarbeitsgerichts, wonach im Bereich des Betriebsverfassungsgesetzes ein Kontrollrecht des betrieblichen Datenschutzbeauftragten gegenüber dem Betriebsrat nicht besteht, dürfte unter Zugrundelegung der neuen Rechtslage nicht mehr aufrechtzuerhalten sein. Dabei ist auch zu berücksichtigen, dass der behördliche Datenschutzbeauftragte gegenüber dem Verantwortlichen weisungsfrei handelt (Art. 38 Abs. 3 Satz 1 DSGVO).

Angesichts der Schweigepflicht des Personalrats sollten sowohl dieser als auch der behördliche Datenschutzbeauftragte allerdings darauf achten, dass letzterer seiner Überwachungs- und Beratungsaufgabe möglichst ohne die Nutzung personenbezogener Beschäftigtendaten nachkommt, etwa indem der Personalrat Fragestellungen in abstrakter Form - also ohne konkreten Einzelfallbezug - an den behördlichen Datenschutzbeauftragten richtet. Umgekehrt sollte der behördliche Datenschutzbeauftragte die Einhaltung technischer und organisatorischer Datenschutzanforderungen durch den Personalrat nach Möglichkeit ohne Kenntnisnahme personenbezogener Beschäftigtendaten überprüfen. Soweit der behördliche Datenschutzbeauftrage Kenntnis erlangt von Umständen, die der Schweigepflicht nach Art. 10 BayPVG unterliegen, hat er gegenüber der Dienststelle ebenfalls Stillschweigen zu bewahren (vgl. Art. 38 Abs. 5 DSGVO in Verbindung mit Art. 12 Abs. 2 BayDSG).

9.5.3.2. Technische und organisatorische Maßnahmen

Der Personalrat hat innerhalb seines Zuständigkeitsbereiches eigenverantwortlich geeignete technische und organisatorische Maßnahmen im Sinn der Art. 24 und 32 DSGVO umzusetzen. Soweit erforderlich, sollte er diesbezüglich die Beratung durch den behördlichen Datenschutzbeauftragten in Anspruch nehmen. Die Dienststelle hat den Personalrat insoweit mit den erforderlichen Sachmitteln auszustatten (Art. 44 BayPVG).

9.5.3.3. Verzeichnis der Verarbeitungstätigkeiten

Da der Personalrat selbst nicht Verantwortlicher ist, besteht für ihn keine Pflicht, ein eigenes Verzeichnis der Verarbeitungstätigkeiten (im Folgenden: Verarbeitungsverzeichnis) gemäß Art. 30 DSGVO zu führen. Allerdings muss das Verarbeitungsverzeichnis der jeweiligen öffentlichen Stelle auch die Verarbeitungstätigkeiten des Personalrats enthalten. Vor dem Hintergrund der Schweigepflicht nach Art. 10 BayPVG ist hierbei in besonderem Maße auf eine hinreichend abstrakte Beschreibung der jeweiligen Verarbeitungstätigkeit zu achten. So könnte der Zweck der Verarbeitung personenbezogener Daten durch den Personalrat etwa mit "Wahrnehmung der gesetzlich vorgesehenen Aufgaben der Personalvertretung" umschrieben werden.

9.5.3.4. Informationspflichten und Auskunftsrecht

Informationspflichten des Personalrats nach Art. 13, 14 DSGVO bestehen nur, soweit noch keine entsprechende Information der Beschäftigten durch die Dienststelle erfolgt ist. In diesem Zusammenhang bietet es sich insbesondere an, dass die Dienststelle bei Neueinstellungen im Rahmen ihrer Informationspflicht nach Art. 13 DSGVO auch darüber informiert, in welchem Umfang die erhobenen Daten durch den Personalrat verarbeitet werden. Eine gesonderte Information der neu eingestellten Beschäftigten unmittelbar durch den Personalrat selbst wird dann nur noch im Einzelfall erforderlich sein.

Verlangen Beschäftigte Auskunft nach Art. 15 DSGVO, ist angesichts der Schweigepflicht des Personalrats nach Art. 10 BayPVG zu unterscheiden:

  • Beschränkt sich das Auskunftsersuchen auf Datenverarbeitungen durch den Personalrat, kann dieser selbstständig das entsprechende Ersuchen bearbeiten.
  • Beschäftigte können ihr Auskunftsersuchen aber auch auf sämtliche Daten beziehen, welche die Dienststelle von ihnen verarbeitet. Hier sollte die Dienststelle zunächst im Wege eines konstruktiven Dialogs mit den jeweiligen Beschäftigten ermitteln, ob das Auskunftsersuchen tatsächlich auch Datenverarbeitungen durch den Personalrat umfasst. Ist dies der Fall, sollte die Dienststelle die jeweiligen Beschäftigten (nur) insoweit unmittelbar an den Personalrat verweisen. Dieser kommt dem Ersuchen dann selbstständig nach.

9.5.3.5. Regelungen zum Datenschutz im Zusammenhang mit der Personalratsarbeit

Es ist dringend zu empfehlen, dass sich Personalrat und Dienststellenleitung hinsichtlich des Vorgehens bezüglich dieser und weiterer Themen (etwa bezüglich einer Datenschutzverletzung im Bereich des Personalrats) im Wege der vertrauensvollen Zusammenarbeit (Art. 2 Abs. 1 BayPVG) gemeinsam verständigen. Entsprechende Regelungen sollten getroffen und schriftlich fixiert werden. Unabhängig hiervon sollte der Personalrat natürlich auch interne Regelungen zum Datenschutz treffen, etwa eine Aussonderungsroutine festlegen.

9.5.4. Fazit

Die besseren Argumente sprechen dafür, den Personalrat einer bayerischen öffentlichen Stelle nicht als eigenständigen Verantwortlichen im Sinn von Art. 4 Nr. 7 DSGVO anzusehen. Vielmehr bleibt - wie bislang - die jeweilige bayerische öffentliche Stelle auch für die Verarbeitung personenbezogener Daten durch den Personalrat verantwortlich. Bei der Umsetzung der datenschutzrechtlichen Pflichten des Verantwortlichen ist allerdings der besonderen Stellung des Personalrats hinreichend Rechnung zu tragen.

Die Diskussion zu dieser Thematik ist noch im Fluss. Es ist zu erwarten, dass zu gegebener Zeit auch Rechtsprechung hierzu ergehen wird. Bayerischen öffentlichen Stellen und ihren Personalräten empfehle ich daher, die weitere Entwicklung aufmerksam zu verfolgen.

9.6. Personalratsmitglied als behördlicher Datenschutzbeauftragter?

Die bayerischen öffentlichen Stellen trifft nicht nur gemäß Art. 37 Abs. 1 Buchst. a DSGVO, Art. 12 BayDSG die Pflicht, einen behördlichen Datenschutzbeauftragten zu benennen. Nach Maßgabe von Art. 12 Abs. 1 Bayerisches Personalvertretungsgesetz (BayPVG) sind bei ihnen auch Personalräte zu bilden. Gerade in kleineren Dienststellen führt dies nicht selten dazu, dass auf Grund der geringen Zahl von Beschäftigten die Übernahme beider Funktionen durch ein und dieselbe Person als naheliegend erscheint oder sogar gewünscht wird. Bedenkt man, dass der Personalrat regelmäßig in Einzelangelegenheiten der Beschäftigten sowie in Einstellungsverfahren beteiligt wird und das Gremium dabei aus datenschutzrechtlicher Sicht Personaldaten verarbeitet, stellt sich die Frage, ob ein behördlicher Datenschutzbeauftragter zugleich Personalratsmitglied sein kann. Diese Frage ist differenziert nach der Stellung der betreffenden Person im Personalrat zu beantworten.

Hinweis: Dieser Beitrag bezieht nicht ausdrücklich zu der Frage Stellung, ob der Personalrat als von der öffentlichen Stelle gesonderter Verantwortlicher anzusehen ist (siehe dazu den Beitrag Nr. 9.5). Ihm liegt jedoch die Annahme zugrunde, dass der Personalrat datenschutzrechtlich ein besonderer Teil der öffentlichen Stelle ist, bei der er gebildet ist.

9.6.1. Vereinbarkeit der Funktionen "behördlicher Datenschutzbeauftragter" und "einfaches Personalratsmitglied"

Aus Sicht des Datenschutzrechts ist die Vereinbarkeit der Funktionen "behördlicher Datenschutzbeauftragter" und "einfaches Personalratsmitglied" anhand von Art. 38 Abs. 6 DSGVO zu würdigen. Nach dieser Vorschrift kann der Datenschutzbeauftragte andere Aufgaben und Pflichten wahrnehmen; der Verantwortliche stellt sicher, dass derartige Aufgaben und Pflichten nicht zu einem Interessenkonflikt führen.

Im Verhältnis der Arbeit des behördlichen Datenschutzbeauftragten auf der einen Seite zu der Arbeit des Personalrats - an der das einzelne Personalratsmitglied teilnimmt - auf der anderen Seite können Interessendivergenzen auftreten:

  • Der behördliche Datenschutzbeauftragte wirkt darauf hin, dass der Grundsatz der Datenminimierung (Art. 5 Abs. 1 Buchst. c DSGVO) beachtet und die den Umgang mit Personalaktendaten prägende doppelte Zugangsbeschränkung (Art. 103 Bayerisches Beamtengesetz) möglichst optimal umgesetzt wird. Der Personalrat hat demgegenüber ein Interesse daran, seine Beteiligungsrechte effektiv wahrzunehmen. Er wird daher eine Informationsbasis anstreben, die ihm ein zielführendes Gespräch mit der Dienststellenleitung ermöglicht, und in diesem Rahmen unter Umständen geneigt sein, möglichst detaillierte Informationen (auch) über einzelne Beschäftigte oder Stellenbewerber zu erlangen und über einen gewissen Zeitraum vorzuhalten.

So kann sich für das einzelne Personalratsmitglied ein Rollenkonflikt ergeben: Drängt diese Funktion eher dazu, an der Informationsbeschaffung durch das Gremium mitzuwirken, legt die Aufgabe des behördlichen Datenschutzbeauftragten nahe, entsprechende Datenflüsse auf das personalvertretungsrechtlich unabdingbare Maß zu beschränken.

  • Im Übrigen ist der Personalrat auch an der Gestaltung von Dienstvereinbarungen beteiligt, deren Gegenstand der Umgang mit Beschäftigtendaten ist. Dies gilt etwa für Vereinbarungen über die Arbeitszeiterfassung, die Nutzung von Internetzugängen oder die Verwendung von elektronischen Schließsystemen. Hier stellt zwar die Mitgliedschaft des behördlichen Datenschutzbeauftragten im Personalrat sicher, dass Datenschutzbelange in die Verhandlungen einfließen. Allerdings besteht auch das Risiko, dass sich die in das Gremium gewählte Person eher mit dessen Interessenlage identifiziert und die ihr von der Datenschutz-Grundverordnung zugewiesene Rolle eines "neutralen" Beraters zwischen dem Verantwortlichen und seinen Beschäftigten (vgl. Art. 39 Abs. 1 Buchst. a DSGVO) verlässt.

Bei einer Gesamtbetrachtung stehen die Funktionen "behördlicher Datenschutzbeauftragter" und "einfaches Personalratsmitglied" daher in einer Spannungslage. Das Personalratsmitglied ist aber regelmäßig (vgl. Art. 16 Abs. 1 BayPVG) in ein Gremium eingebunden und kann deshalb nicht allein Entscheidungen treffen. Die Wählbarkeit zum Personalrat ist für behördliche Datenschutzbeauftragte im Übrigen nicht ausgeschlossen (vgl. Art. 14 Abs. 3, 4 BayPVG).

Aus datenschutzrechtlicher Sicht sollten Beschäftigte eine Verbindung der Funktionen "behördlicher Datenschutzbeauftragter" und "einfaches Personalratsmitglied" im eigenen Interesse möglichst vermeiden. Eine Unvereinbarkeit im Sinne von Art. 38 Abs. 6 Satz 2 DSGVO liegt aber nicht vor.

9.6.2. Vereinbarkeit der Funktionen "behördlicher Datenschutzbeauftragter" und "Personalratsvorsitzender"

Einem Personalratsvorsitzenden, der zugleich die Funktion des behördlichen Datenschutzbeauftragten ausüben soll, wird das für einfache Personalratsmitglieder skizzierte Spannungsverhältnis (noch) häufiger und intensiver erfahrbar. Der Personalratsvorsitzende führt die laufenden Geschäfte und vertritt den Personalrat im Rahmen der von diesem gefassten Beschlüsse (Art. 32 Abs. 3 Satz 1 BayPVG). Er ist insbesondere "ständiger" Gesprächs- und Verhandlungspartner für die Dienststellenleitung und die personalverwaltende Stelle. Diese hervorgehobene Position führt - insbesondere außerhalb der Sitzungen des Personalrats - zu einem regelmäßigen Auftreten von Interessenkonflikten, wenn sich der Personalratsvorsitzende jeweils entscheiden muss, welcher seiner beiden Rollen er aktuell den Vorrang geben möchte.

Aus datenschutzrechtlicher Sicht sind die Funktionen "behördlicher Datenschutzbeauftragter" und "Personalratsvorsitzender" daher regelmäßig nicht vereinbar; ihre Verbindung in einer Person steht mit der Vorgabe des Art. 38 Abs. 6 Satz 2 DSGVO nicht in Einklang.

Bayerische öffentliche Stellen sollten daher Personalratsvorsitzende grundsätzlich nicht als behördliche Datenschutzbeauftragte benennen und behördliche Datenschutzbeauftragte, die zu Vorsitzenden des Personalrats gewählt werden, von der Funktion des behördlichen Datenschutzbeauftragten entbinden. Ein Abweichen von dieser Regel erscheint im Ausnahmefall als hinnehmbar, wenn es einer öffentlichen Stelle mit nur wenigen Bediensteten nicht möglich ist, die beiden Funktionen durch verschiedene Personen zu besetzen.

9.6.3. Umgang mit Interessenkonflikten im Einzelfall

Ist ein behördlicher Datenschutzbeauftragter Mitglied oder - ausnahmsweise - Vorsitzender des Personalrats, können Situationen eintreten, in welchen die betreffende Person nicht beiden Rollen gerecht werden kann. Das ist insbesondere dann der Fall, wenn sie in ihrer Rolle als behördlicher Datenschutzbeauftragter einen Datenschutzverstoß bei der Personalratsarbeit feststellt, oder wenn es allgemein darum geht, den von Art. 39 Abs. 1 Buchst. b DSGVO angeordneten Überwachungsauftrag gerade beim Personalrat wahrzunehmen. Für Situationen dieser Art muss der Verantwortliche im Rahmen von Art. 38 Abs. 6 Satz 2 DSGVO gewährleisten, dass anstelle eines behördlichen Datenschutzbeauftragten, der Mitglied des Personalrats ist, stets eine effektive Vertretung handeln kann.

9.6.4. Fazit

Kandidieren behördliche Datenschutzbeauftragte für den Personalrat bei einer bayerischen öffentlichen Stelle oder sollen Mitglieder des Personalrats als behördliche Datenschutzbeauftragte benannt werden, sollte die öffentliche Stelle als Verantwortlicher kritisch überprüfen, ob es dadurch zu einer Unvereinbarkeit zwischen den beiden Funktionen kommen kann. Die Freiheit eines jeden Beschäftigten, sich um ein Personalratsmandat zu bewerben oder ein solches Mandat auszuüben, sollte so wenig wie möglich beeinträchtigt werden. Allerdings muss die öffentliche Stelle sicherstellen, dass ihr ein grundsätzlich nicht in der Aufgabenwahrnehmung eingeschränkter (stellvertretender) behördlicher Datenschutzbeauftragter zur Verfügung steht.

9.7. Beschäftigtenfotos für Marketingmaßnahmen bayerischer öffentlicher Stellen

Eine bayerische öffentliche Stelle wollte mit Fotos ihrer Beschäftigten "Arbeitgebermarketing" betreiben. Die Bilder sollten im Rahmen des Internetauftritts, in Stellenanzeigen und in Imagebroschüren verwendet werden. Ziel war die Entwicklung eines wiedererkennbaren Markenauftritts (corporate identity).

9.7.1. Einwilligung als Rechtsgrundlage für die Verwendung der Bilder

Die öffentliche Stelle ging davon aus, dass die Verwendung von Abbildungen ihrer Beschäftigten nur mit deren Einwilligung zulässig ist, war aber unsicher, nach welchen Rechtsvorschriften sich die Einwilligung richtet. Aus ihrer Sicht kam neben dem allgemeinen Datenschutzrecht auch das Gesetz betreffend das Urheberrecht an Werken der bildenden Künste und der Photographie (im Folgenden: Kunsturhebergesetz, KUG) in Betracht. Beide Regelungen unterscheiden sich hinsichtlich der Voraussetzungen der Einwilligung und der Folgen ihres Widerrufs.

Anders als die Datenschutz-Grundverordnung (vgl. Art. 13 f. DSGVO) kennt das Kunsturhebergesetz keine ausdrücklichen Belehrungspflichten. Von besonderer Bedeutung ist zudem, dass das Kunsturhebergesetz selbst keinen Widerruf der Einwilligung vorsieht. Die Einwilligung nach dem Kunsturhebergesetz kann deshalb nur sehr eingeschränkt widerrufen werden. Folglich muss ein Widerrufsrecht regelmäßig ausdrücklich vereinbart werden. Wäre hier also das Kunsturhebergesetz maßgeblich, könnte die öffentliche Stelle die Bilder ihrer Beschäftigten grundsätzlich auch dann weiterverwenden, wenn diese - etwa anlässlich der Beendigung ihres Beschäftigungsverhältnisses - ihre Einwilligung widerrufen. Nach allgemeinem Datenschutzrecht ist die Einwilligung dagegen frei widerruflich (vgl. Art. 7 Abs. 3 DSGVO).

Vor diesem Hintergrund wollte die öffentliche Stelle von mir wissen, ob sie die Beschäftigten hinsichtlich ihrer Datenschutzrechte gemäß Art. 13 DSGVO informieren muss, und was gilt, wenn ein Beschäftigter zunächst in die Verwendung seiner Fotos einwilligt, diese Einwilligung später aber widerruft. Entscheidend ist damit das in der Fachwelt derzeit viel diskutierte Verhältnis von Kunsturhebergesetz und allgemeinem Datenschutzrecht.

Der vorliegende Sachverhalt zeichnet sich allerdings durch zwei Besonderheiten aus. Zum einen ist eine öffentliche Stelle beteiligt und zum anderen spielt das Geschehen im Rahmen eines Beschäftigungsverhältnisses. Beide Bereiche unterliegen zahlreichen Sonderregeln. Die nachfolgenden Ausführungen lassen sich daher nicht ohne weiteres auf andere Gestaltungen übertragen.

9.7.1.1. Einwilligung nach der Datenschutz-Grundverordnung

Nach allgemeinem Datenschutzrecht gilt Folgendes: Die Veröffentlichung (und gegebenenfalls vorherige Anfertigung) von Beschäftigtenbildern ist eine Datenverarbeitung im Sinne der Datenschutz-Grundverordnung (siehe Art. 4 Nr. 2 DSGVO). Sie muss daher eine der in Art. 6 Abs. 1 DSGVO genannten Rechtsgrundlagen erfüllen. Art. 6 Abs. 1 Satz 1 UAbs. 1 Buchst. a DSGVO lautet:

Art. 6 DSGVO

Rechtmäßigkeit der Verarbeitung

(1) Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:

a) Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;

[...]

Aus Art. 7 Abs. 4 DSGVO ergibt sich ergänzend, dass die datenschutzrechtliche Einwilligung freiwillig erfolgen muss. Wegen des Machtungleichgewichts zwischen Dienstherrn/Arbeitgeber auf der einen Seite und Beschäftigten auf der anderen Seite ist die Freiwilligkeit der Einwilligung sorgfältig zu prüfen (vgl. Erwägungsgründe 32 und 43 DSGVO). Ergibt eine Betrachtung im Einzelfall, dass die freie Willensbildung einer oder eines Beschäftigten nicht durch ein Machtungleichgewicht beeinträchtigt ist, kann die Einwilligung in einem Dienst- oder Arbeitsverhältnis als Rechtsgrundlage einer Verarbeitung in Betracht kommen. Dies gilt auch für die Verarbeitung personenbezogener Daten zu Marketingzwecken, die der Dienstherr/Arbeitgeber verfolgt.

Wenn vorliegend also das allgemeine Datenschutzrecht maßgeblich ist, muss die öffentliche Stelle die betroffene Person gemäß Art. 13 DSGVO informieren; eine Einwilligung von Beschäftigten in die Verwendung der Fotos ist frei widerruflich.

Bis zum Zeitpunkt eines Widerrufs von der Einwilligung umfasste Verarbeitungen bleiben rechtmäßig (vgl. Art. 7 Abs. 3 Satz 2 DSGVO). Spätere Verwendungen könnten dagegen nicht mehr im Sinne von Art. 6 Abs. 1 DSGVO auf die Einwilligung gestützt werden.

9.7.1.2. Einwilligung nach dem Kunsturhebergesetz

Fragen der Einwilligung im Zusammenhang mit der Verbreitung - nicht dem Anfertigen - von Bildern sind darüber hinaus auch in §§ 22, 23 KUG angesprochen. Die insoweit maßgebliche Regelung lautet:

§ 22 KUG

Bildnisse dürfen nur mit Einwilligung des Abgebildeten verbreitet oder öffentlich zur Schau gestellt werden. Die Einwilligung gilt im Zweifel als erteilt, wenn der Abgebildete dafür, daß er sich abbilden ließ, eine Entlohnung erhielt. [...]

Da das Kunsturhebergesetz auf die Einwilligung in die Verbreitung von Bildnissen abstellt, dient es ebenfalls dem Schutz personenbezogener Daten der abgebildeten Person. Vor Geltung der Datenschutz-Grundverordnung war ein Vorrang der §§ 22, 23 KUG vor dem allgemeinen Datenschutzrecht anerkannt. Heute würde dies allerdings bedeuten, dass das in Art. 7 Abs. 3 DSGVO geregelte Widerrufsrecht eingeschränkt würde. Dieses Ergebnis widerspräche grundsätzlich dem Gedanken, dass Verordnungen der Europäischen Union in allen ihren Teilen verbindlich sind und in jedem Mitgliedstaat unmittelbar gelten (vgl. Art. 288 Abs. 2 Vertrag über die Arbeitsweise der Europäischen Union).

9.7.1.3. Verhältnis von Datenschutz-Grundverordnung und Kunsturhebergesetz

Vor diesem Hintergrund musste ich über das Verhältnis der Datenschutz-Grundverordnung zum Kunsturhebergesetz entscheiden. Ausgangspunkt ist der "Vorrang des Europarechts". Vorschriften der Europäischen Union setzen sich gegen widersprechende Regelungen der Mitgliedstaaten grundsätzlich durch. Deshalb gilt: Soweit das Kunsturhebergesetz der Datenschutz-Grundverordnung widerspricht, hat die Datenschutz-Grundverordnung Vorrang. Allerdings ist fraglich, ob sich beide Regeln tatsächlich widersprechen.

Die Frage nach dem Verhältnis von Datenschutz-Grundverordnung und Kunsturhebergesetz ist nicht ganz einfach zu beantworten. Hintergrund ist, dass die Datenschutz-Grundverordnung Konflikte zwischen den Datenschutzrechten der betroffenen Person und bestimmten gegenläufigen, ebenfalls schutzwürdigen Interessen anderer Personen anerkennt und dem Datenschutz nicht von vornherein einen Vorrang einräumt. Vielmehr überlässt sie es den Mitgliedstaaten, die kollidierenden Interessen angemessen auszugleichen. Unterschiedliche Regelungen bedeuten daher nicht notwendig einen problematischen Widerspruch, sondern können von einer entsprechenden Öffnungsklausel im europäischen Recht gedeckt sein. Art. 85 DSGVO bestimmt insofern:

Art. 85 DSGVO

Verarbeitung und Freiheit der Meinungsäußerung und Informationsfreiheit

(1) Die Mitgliedstaaten bringen durch Rechtsvorschriften das Recht auf den Schutz personenbezogener Daten gemäß dieser Verordnung mit dem Recht auf freie Meinungsäußerung und Informationsfreiheit, einschließlich der Verarbeitung zu journalistischen Zwecken und zu wissenschaftlichen, künstlerischen oder literarischen Zwecken, in Einklang.

(2) Für die Verarbeitung, die zu journalistischen Zwecken oder zu wissenschaftlichen, künstlerischen oder literarischen Zwecken erfolgt, sehen die Mitglied-staaten Abweichungen oder Ausnahmen von Kapitel II (Grundsätze), Kapitel III (Rechte der betroffenen Person) [...] vor, wenn dies erforderlich ist, um das Recht auf Schutz der personenbezogenen Daten mit der Freiheit der Meinungs-äußerung und der Informationsfreiheit in Einklang zu bringen.

[...]

Da die Regelungen über die Einwilligung (Art. 7 DSGVO) und die Informationspflichten (Art. 13 f. DSGVO) in den Kapiteln II und III enthalten sind, kann diese Vorschrift dazu führen, dass das Datenschutzrecht hinter journalistischen, künstlerischen oder literarischen Interessen oder der Meinungs- und Informationsfreiheit zurückstehen muss.

Es liegt wohl nicht ganz fern, das Kunsturhebergesetz als Regelung im Sinne des Art. 85 Abs. 1 DSGVO anzusehen, die dem Ausgleich gegenläufiger Interessen dient. Das Gesetz steht - wie sich unmittelbar aus seinem Namen ergibt - in engem Zusammenhang mit der Kunstfreiheit; aber auch für die weiter angesprochenen literarischen, journalistischen und wissenschaftlichen Freiheiten, die Meinungsäußerungs- und Informationsfreiheit hat es Bedeutung. Auf dieser Grundlage wäre es dann kein großer Schritt mehr, das Kunsturhebergesetz bei der Frage des Umgangs mit Abbildungen von Personen als vorrangig gegenüber dem allgemeinen Datenschutzrecht anzusehen.

9.7.1.4. Hier: Vorrang des allgemeinen Datenschutzrechts

Gleichwohl habe ich gegenüber der öffentlichen Stelle die Auffassung vertreten, dass die geplanten Marketingmaßnahmen und der Widerruf von Einwilligungen nach dem allgemeinen Datenschutzrecht zu beurteilen sind. Unabhängig von der Frage, ob Arbeitgebermarketing überhaupt als Betätigung der Meinungsfreiheit einschließlich der Verarbeitung zu journalistischen, wissenschaftlichen, künstlerischen oder literarischen Zwecken angesehen werden könnte, kann sich die öffentliche Stelle nach meiner Auffassung schon deshalb nicht auf das Kunsturhebergesetz berufen, weil Art. 85 DSGVO Ausnahmen vom allgemeinen Datenschutzrecht nur zulässt, soweit dies dem Ausgleich der Persönlichkeitsrechte der betroffenen Person mit den genannten Grundrechten anderer Personen dient.

Ein solcher Ausgleich kann hier aber von vornherein nicht hergestellt werden. Öffentliche Stellen können sich auf Grundrechte grundsätzlich nicht berufen. Zwar gelten die Grundrechte gemäß Art. 19 Abs. 3 Grundgesetz auch für inländische juristische Personen, soweit sie ihrem Wesen nach auf diese anwendbar sind. Von bestimmten Ausnahmen, insbesondere für Universitäten und Rundfunkanstalten, abgesehen, gilt das jedoch nicht für juristische Personen des öffentlichen Rechts. Grundrechte sollen Personen vor hoheitlichen Eingriffen schützen. Sie dienen nicht dazu, Rechte und Befugnisse öffentlicher Stellen auszuweiten. Öffentliche Stellen sind deshalb gerade nicht grundrechtsberechtigt, sondern - im Gegenteil - grundrechtsverpflichtet.

Bayerische öffentliche Stellen können einer betroffenen Person daher regelmäßig nicht die in Art. 85 DSGVO genannten Positionen entgegenhalten. Ihre Maßnahmen im Rahmen der Öffentlichkeitsarbeit bewerte ich deshalb im Ergebnis nicht als datenschutzrechtlich im Sinne von Art. 85 DSGVO privilegierte Grundrechtsausübung, sondern als bloßes öffentliches Informationshandeln.

Weil es in der vorliegenden Konstellation somit nicht um den Ausgleich kollidierender Grundrechte geht, ermöglicht Art. 85 DSGVO von vornherein nicht die Anwendung des Kunsturhebergesetzes zugunsten der öffentlichen Stelle. Die Fragen der öffentlichen Stelle sind vielmehr auf der Grundlage des allgemeinen Datenschutzrechts zu beantworten.

9.7.1.5. Folge: Freie Widerruflichkeit der Einwilligung

Art. 7 Abs. 3 DSGVO erklärt die datenschutzrechtliche Einwilligung für jederzeit widerruflich. Mitunter werden allerdings "die Wertungen der §§ 22, 23 KUG" einschließlich der eingeschränkten Widerruflichkeit der Einwilligung abgebildeter Personen auch dann berücksichtigt, wenn das Kunsturhebergesetz nicht unmittelbar anwendbar ist.

Dieser Gedanke mag in anderen Konstellationen, in denen das Kunsturhebergesetz nicht unmittelbar anwendbar ist, seine Rechtfertigung haben. Im vorliegenden Zusammenhang stehen einer Übertragung von Wertungen des Kunsturhebergesetzes, mit der die Nutzungsrechte der öffentlichen Stelle an den Bildern der Beschäftigten ausgeweitet würden, besondere Vorgaben des Beschäftigtendatenschutzes entgegen. Diese ergeben sich aus § 50 Beamtenstatusgesetz und Art. 103 ff. Bayerisches Beamtengesetz (BayBG), die gemäß Art. 145 Abs. 2 BayBG im Grundsatz auch für die nicht verbeamteten Beschäftigten bayerischer öffentlicher Stellen entsprechend gelten.

Art. 103 BayBG

Verarbeitung personenbezogener Daten

1Der Dienstherr darf personenbezogene Daten über Bewerber und Bewerberinnen sowie aktive und ehemalige Beamte und Beamtinnen verarbeiten, soweit dies

  1. zur Durchführung organisatorischer, personeller und sozialer Maßnahmen, insbesondere zu Zwecken der Personalverwaltung oder Personalwirtschaft erforderlich ist,
  2. zusätzlich bei der Verarbeitung besonderer Kategorien personenbezogener Daten Art. 8 Abs. 1 Nr. 2, 3 und 5 sowie Abs. 2 des Bayerischen Datenschutzgesetzes (BayDSG) erlaubt

und nachfolgend nichts anderes bestimmt ist. 2Die Verarbeitung darf nur durch Beschäftigte erfolgen, die vom Dienstherrn mit der Bearbeitung von Personal-angelegenheiten betraut sind. 3Unbeschadet der Sätze 1 und 2 dürfen Daten nach Satz 1 auch zu Zwecken der Rechnungsprüfung verarbeitet werden.

Art. 145 BayBG

Vertraglich Beschäftigte im öffentlichen Dienst

[...]

(2) Für Personen, die auf Grund eines Vertrages im Dienst einer der in Art. 1 Abs. 1 genannten juristischen Personen des öffentlichen Rechts stehen, gelten vorbehaltlich einer Regelung durch Tarifvertrag § 50 BeamtStG und Art. 103 bis 111 entsprechend; Art. 110 gilt mit der Maßgabe entsprechend, dass nicht durch Gesetz oder Tarifvertrag längere Fristen vorgesehen sind.

Zu den in Art. 103 Satz 1 BayBG genannten Zwecken ist es für eine öffentliche Stelle nicht, wie dort vorausgesetzt, "erforderlich", mit Bildern eigener Beschäftigter zu werben, insbesondere mit einer Internet-Veröffentlichung weltweite Öffentlichkeit herzustellen. Angesichts der klaren gesetzlichen Vorgaben muss vielmehr gelten, dass eine Verarbeitung personenbezogener Daten im Beschäftigungskontext unzulässig ist, wenn die ausdrücklichen gesetzlichen Voraussetzungen nicht erfüllt sind.

9.7.1.6. Einwilligung keine dauerhaft verlässliche Rechtsgrundlage

Nach alledem kann sich eine bayerische öffentliche Stelle, sofern sie Marketingmaßnahmen der hier besprochenen Art ergreifen möchte, nicht verlässlich auf Einwilligungen ihrer Mitarbeiterinnen und Mitarbeiter stützen. Widerruft die betroffene Person ihre Einwilligung, dürfen die Fotos deshalb nur noch verwendet werden, wenn dafür eine andere Rechtsgrundlage erfüllt ist (vgl. Art. 17 Abs. 1 Buchst. b DSGVO).

9.7.2. Gesondertes Entgelt als Indiz für einen wirksamen Vertrag

Die öffentliche Stelle hatte dieses Ergebnis offenbar als möglich vorgesehen und beabsichtigt, neben der datenschutzrechtlichen Einwilligung mit den abgebildeten Beschäftigten auch Verträge über die Nutzung der Bilder abzuschließen. Datenschutzrechtlich ist damit Art. 6 Abs. 1 UAbs. 1 Buchst. b DSGVO angesprochen. Diese Vorschrift erlaubt Datenverarbeitungen, die zur Erfüllung eines Vertrags erforderlich sind, dessen Partei die betroffene Person ist.

Aus datenschutzrechtlicher Sicht halte ich allerdings eine strenge Prüfung für geboten, ob Vereinbarungen des Dienstherrn/Arbeitgebers mit seinen Beschäftigten tatsächlich als Verträge im Sinne von Art. 6 Abs. 1 UAbs. 1 Buchst b DSGVO gewertet werden können. Das Beschäftigtenverhältnis ist so umfassend von Über- und Unterordnung geprägt, dass Beschäftigte erheblichem Druck unterliegen können, Vereinbarungen, die lediglich vom Dienstherrn/Arbeitgeber gewollt sind, abzuschließen.

Ob unter diesen Rahmenbedingungen echte Vertragsfreiheit ausgeübt werden kann, sollte deshalb im Einzelfall sorgfältig untersucht werden. Nicht genügen kann es nach meiner Meinung, eine Einwilligung lediglich in der äußeren Form eines Vertrags zu erklären. Gerade auch zur Abgrenzung von der Einwilligung sollte ein Vertrag im Sinne von Art. 6 Abs. 1 UAbs. 1 Buchst. b DSGVO im Beschäftigungskontext eine angemessene Gegenleistung enthalten, die üblicherweise in einem Entgelt besteht, dessen Höhe das Interesse des Dienstherrn/Arbeitgebers an der Verwendung der Bedienstetenfotos widerspiegelt. Insofern sollte gelten, dass die Übertragung der Nutzungsrechte an den Bildern mit der regelmäßigen monatlichen Vergütung nicht abgegolten sein kann.

9.7.3. Sonstige Rechtsgrundlagen?

Andere Rechtsgrundlagen im Sinne von Art. 6 Abs. 1 DSGVO, die geeignet wären, die geplanten Werbemaßnahmen zu rechtfertigen, kann ich nicht erkennen.

Die gegenständlichen Maßnahmen des Arbeitgebermarketings sehe ich insbesondere nicht als erforderlich für die Wahrnehmung einer öffentlichen Aufgabe an (vgl. Art. 6 Abs. 1 UAbs. 1 Buchst. e, Abs. 2, 3 DSGVO). Selbst wenn Marketing in einem gewissen Umfang als Informationshandeln zu den Aufgaben öffentlicher Stellen zählen kann, müssen dazu nicht Bilder der eigenen Beschäftigten verwendet werden. Insofern gelten die in Art. 103 BayBG genannten Voraussetzungen.

Auf Art. 6 Abs. 1 UAbs. 1 Buchst. f DSGVO, der Datenverarbeitungen dann gestattet, wenn das Interesse des Verantwortlichen an der Verarbeitung das Interesse der betroffenen Person daran überwiegt, dass diese Verarbeitung unterbleibt, können sich öffentliche Stellen nach Art. 6 Abs. 1 UAbs. 2 DSGVO nicht berufen.

9.7.4. Fazit

Aus datenschutzrechtlicher Sicht stehe ich der Werbung öffentlicher Stellen mit Fotos ihrer Bediensteten reserviert gegenüber. Da eine Einwilligung regelmäßig frei widerruflich ist, kommt nach meiner Auffassung nur ein Vertrag als dauerhafte Rechtsgrundlage für die Verwendung der Bilder in Betracht, der jedenfalls ein angemessenes Entgelt für die betroffenen Personen vorsehen sollte, das zusätzlich zum monatlichen Gehalt gezahlt wird. In diesem Zusammenhang wäre allerdings auch zu klären, in welchem Umfang Beschäftigte des öffentlichen Dienstes mit ihrem Dienstherrn/Arbeitgeber zusätzliche Vergütungen vereinbaren können. Das ist jedoch in erster Linie keine datenschutzrechtliche, sondern eine dienst- und arbeitsrechtliche Frage. Für klar vorzugswürdig halte ich es jedenfalls, auf derartige Maßnahmen von vornherein zu verzichten.

  1. Zu Informationspflichten allgemein siehe Bayerischer Landesbeauftragter für den Datenschutz, Informationspflichten des Verantwortlichen, Stand 11/2018, Internet: https://www.datenschutz-bayern.de, Rubrik „Datenschutzreform 2018 – Orientierungs- und Praxishilfen – Informationspflichten“. [Zurück]
  2. Siehe § 17 Abs. 1 Satz 1 Nr. 1 des Musters für kleinere und § 22 Abs. 1 Satz 1 Nr. 1 des Musters für größere Gemeinden, abgedruckt in der Verbandszeitschrift Bayerischer Gemeindetag 2014, S. 105 ff. und S. 116 ff. [Zurück]
  3. Näher dazu Bayerischer Landesbeauftragter für den Datenschutz, Die Einwilligung nach der Datenschutz-Grundverordnung, Stand 10/2018, Internet: https://www.datenschutz-bayern.de, Rubrik „Datenschutzreform 2018 – Orientierungs- und Praxishilfen – Einwilligung“. [Zurück]
  4. Bayerischer Landesbeauftragter für den Datenschutz, Informationspflichten des Verantwortlichen, Stand 11/2018, Internet: https://www.datenschutz-bayern.de, Rubrik „Datenschutzreform 2018 – Orientierungs- und Praxishilfen – Informationspflichten“. [Zurück]
  5. Vgl. Bundesarbeitsgericht, Beschluss vom 11. November 1997, 1 ABR 21/97. [Zurück]
  6. So etwa für die Parallelproblematik bezüglich des Betriebsrats: Landesbeauftragter für Datenschutz und Informationsfreiheit Baden-Württemberg, Tätigkeitsbericht Datenschutz 2018, S. 37 f. [Zurück]
  7. Vgl. Bundesarbeitsgericht, Beschluss vom 11. November 1997, 1 ABR 21/97. [Zurück]
  8. Vor Geltung der Datenschutz-Grundverordnung war anerkannt, dass sich die Verwendung von Abbildungen in erster Linie nach den §§ 22, 23 KUG richtet, siehe etwa Bundesarbeitsgericht, Urteil vom 11. Dezember 2014, 8 AZR 1010/13, BeckRS 2015, 68087, Rn. 8 ff. für den privaten Bereich. [Zurück]