≡ Sitemap
Der Bayerische Landesbeauftragte für den Datenschutz (BayLfD)

Sie sind hier: > Start > Tätigkeitsberichte > 31. TB 2021 > 5. Allgemeine Innere Verwaltung

Der Bayerische Landesbeauftragte für den Datenschutz; Stand: 25.05.2022

5. Allgemeine Innere Verwaltung

5.1. Datenverarbeitung bei Gutachterausschüssen zur Ermittlung von Grundstückswerten und für sonstige Wertermittlungen

5.1.1. Sachverhalt

Im Berichtszeitraum wurde ich aufgrund einer Eingabe mit folgendem Sachverhalt befasst: Ein Bürger hat nach dem Erwerb eines Grundstücks einen Fragebogen von einem Gutachterausschuss gemäß § 192 Baugesetzbuch (BauGB) erhalten. Gutachterausschüsse werden als selbständige und unabhängige Einrichtung mit einer Geschäftsstelle zur Ermittlung von Grundstückswerten und für sonstige Wertermittlungen gebildet (§ 192 Abs. 1, Abs. 4 BauGB). Sie bestehen aus einer oder einem Vorsitzenden und ehrenamtlichen weiteren Gutachterinnen und Gutachtern (vgl. § 192 Abs. 2 BauGB). Der Gutachterausschuss erstattet Gutachten über den Verkehrswert von bebauten und unbebauten Grundstücken sowie Rechten an Grundstücken (§ 193 BauGB). Zudem führt er eine Kaufpreissammlung, wertet sie aus und ermittelt Bodenrichtwerte und sonstige zur Wertermittlung erforderliche Daten (§ 193 BauGB).

Mit dem Fragebogen wurden neben Informationen zum Kaufobjekt selbst auch der Name des Grundstückserwerbers und seine Adress-/Kontaktdaten vom Gutachterausschuss erhoben. Der Bürger bat mich um die Prüfung der Datenverarbeitung des Gutachterausschusses. Dem bin ich nachgekommen und hebe folgende Punkte von allgemeinem Interesse hervor:

5.1.2. Gutachterausschuss für Grundstückswerte als Verantwortlicher

Der Gutachterausschuss ist für die von ihm veranlasste Verarbeitung personenbezogener Daten — insbesondere Namen und Adressdaten der Grundstückseigentümer und der Vertragsparteien des Immobiliengeschäfts — als sonstige öffentliche Stelle gemäß Art. 1 Abs. 1 BayDSG Verantwortlicher nach Art. 4 Nr. 7 DSGVO. Maßgeblich für diese Einschätzung sind folgende Erwägungen:

Verantwortlicher ist nach Art. 4 Nr. 7 DSGVO die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Wie aus dieser gesetzlichen Definition folgt, muss der Verantwortliche nicht selbst eine natürliche oder juristische Person sein, sondern kann auch eine Behörde, Einrichtung oder andere Stelle sein. In Anlehnung an den verwaltungsverfahrensrechtlichen Behördenbegriff kommt es somit vor allem darauf an, dass eine Einrichtung vorliegt, die eine gewisse organisatorische Selbstständigkeit aufweist. Das heißt, sie muss vom Wechsel der Amtsinhaber unabhängig und nach der einschlägigen Zuständigkeitsregelung berufen sein, unter eigenem Namen nach außen hin eigenständige Aufgaben der öffentlichen Verwaltung wahrzunehmen. Als Verantwortlicher beziehungsweise öffentliche Stelle kommen daher grundsätzlich nicht in Betracht bloße nach außen nicht in Erscheinung tretende Arbeitseinheiten von Behörden wie Referate in Ministerien, Dezernate in nachgeordneten Behörden, Projektgruppen, Beauftragte und dergleichen.

Beim Gutachterausschuss handelt es sich um ein Kollegialorgan, das aus einer oder einem Vorsitzenden, ihren oder seinen Stellvertreterinnen oder Stellvertretern und weiteren ehrenamtlichen Gutachterinnen und Gutachtern besteht (vgl. § 192 Abs. 1, Abs. 2 BauGB, § 2 Verordnung über die Gutachterausschüsse, die Kaufpreissammlungen und die Bodenrichtwerte nach dem Baugesetzbuch — Gutachterausschussverordnung - BayGaV). Der Gutachterausschuss ist nach dem Gesetz selbstständig und unabhängig (§ 192 Abs. 1 BauGB). Das heißt, er steht außerhalb der Hierarchie der Organisationseinheit, bei der er angesiedelt ist — dem Landratsamt oder der kreisfreien Gemeinde (§ 1 Abs. 1 BayGaV) — unterliegt also nicht deren Weisungen.

Der Gutachterausschuss verfügt über eine Geschäftsstelle (§ 192 Abs. 4 BauGB). Diese ist die Kreisverwaltungsbehörde (§ 9 Abs. 1 BayGaV). Dieser Umstand steht aber nicht einer Einordung des Gutachterausschusses als datenschutzrechtlich Verantwortlicher beziehungsweise öffentliche Stelle entgegen. Denn die Geschäftsstelle unterliegt bei der Führung der Geschäfte des Gutachterausschusses dessen Weisungen (§§ 9 Abs. 2 und 10 Abs. 2 Satz 1 BayGaV). Dementsprechend wird das Handeln der Geschäftsstelle dem Gutachterausschuss zugrechnet.

Durch Gesetz sind dem Gutachterausschuss in §§ 192 ff. BauGB und § 1 Abs. 2, Abs. 3 BayGaV die Erfüllung öffentlicher Aufgaben in eigener Zuständigkeit zugewiesen. Als unabhängige Einrichtung tritt der Gutachterausschuss dabei im eigenen Namen nach außen auf. So ist es unter anderem eine Aufgabe der oder des Vorsitzenden, den Gutachterausschuss nach außen zu vertreten (§ 8 Abs. 1 BayGaV). Zu beachten ist auch, dass die einschlägigen Vorschriften, insbesondere mit datenschutzrechtlich relevantem Gehalt wie § 197 BauGB und §§ 10, 11 BayGaV, ausdrücklich den Gutachterausschuss oder dessen Geschäftsstelle adressieren, wodurch ebenfalls dessen (datenschutzrechtliche) Eigenständigkeit zum Ausdruck kommt. Hieraus folgt, dass der Gutachterausschuss Mittel und Zwecke der Datenverarbeitung bei der Erfüllung seiner Aufgaben nach § 192 ff. BauGB, § 1 Abs. 2 BayGaV bestimmt und mithin datenschutzrechtlich verantwortlich ist.

5.1.3. Datenschutzrechtliche Konsequenzen

Auswirkungen hat diese Einordnung vor allem bei der Benennung eines behördlichen Datenschutzbeauftragten, bei der Erfüllung von Informationspflichten und bei der Auftragsverarbeitung. Allerdings ist der den Gutachterausschuss treffende "Aufwand" überschaubar.

5.1.4. Behördlicher Datenschutzbeauftragter

Als öffentliche Stelle muss der Gutachterausschuss eine oder einen behördlichen Datenschutzbeauftragten benennen (Art. 37 Abs. 1 Buchst. a DSGVO). Als solche oder solcher können beispielsweise datenschutzrechtlich geschulte Bedienstete der Geschäftsstelle des Gutachterausschusses benannt werden. Es ist aber auch möglich, externe Datenschutzbeauftragte zu benennen (Art. 37 Abs. 6 Var. 2 DSGVO). So kann der Gutachterausschuss zum Beispiel den behördlichen Datenschutzbeauftragten oder die behördliche Datenschutzbeauftragte der Kreisverwaltungsbehörde, bei welcher der Gutachterausschuss angesiedelt ist, oder einen sonstigen (datenschutzrechtlich geschulten) Mitarbeiter oder eine Mitarbeiterin der Kreisverwaltungsbehörde als (externe) behördliche Datenschutzbeauftragte oder (externen) behördlichen Datenschutzbeauftragten benennen. Grundlage wäre dann ein Dienstleistungsvertrag (Geschäftsbesorgungsvertrag) zwischen dem Gutachterausschuss und der Kreisverwaltungsbehörde, welcher regelt, dass der Gutachterausschuss einen Bediensteten oder eine Bedienstete der Kreisverwaltungsbehörde als behördliche Datenschutzbeauftragte oder behördlichen Datenschutzbeauftragten benennen darf.

5.1.5. Informationspflichten nach Art. 13 DSGVO

Art 13 DSGVO begründet für den Verantwortlichen die Pflicht, den betroffenen Personen die in Art. 13 Abs. 1 und Abs. 2 DSGVO im Einzelnen aufgeführten Informationen zu geben, wenn personenbezogene Daten erhoben werden. Zu einer solchen Datenerhebung kommt es etwa, wenn der Gutachterausschuss gemäß § 197 BauGB Auskünfte oder Unterlagen von den betroffenen Personen einfordert.

Art. 13 Abs. 1 Buchst. a DSGVO sieht vor, dass die personenbezogene Daten erhebende öffentliche Stelle die betroffene Person insbesondere über den Namen und die Kontaktdaten des Verantwortlichen informiert. Somit muss der Gutachterausschuss seine Kontaktdaten als Verantwortlicher angeben, wenn er Informationen nach Art. 13 DSGVO zur Verfügung stellt.

Betreibt der Gutachterausschuss eine eigene Homepage, so ist zu beachten, dass auch insoweit die Informationspflichten nach Art. 13 Abs. 1 und 2 DSGVO zu erfüllen sind. Das heißt, der Gutachterausschuss hat auf seiner Homepage die Informationen zur Erhebung von personenbezogenen Daten beim Betrieb der Homepage unter einer aussagekräftigen Rubrik, etwa einer Datenschutzerklärung, mitzuteilen. Das Bayerische Staatsministerium des Innern, für Sport und Integration hat auf seiner Homepage ein — mit mir abgestimmtes — Muster für ein Impressum und eine Datenschutzerklärung im Internetauftritt bayerischer öffentlicher Stellen zur Verfügung gestellt. Ich rate insoweit nachdrücklich, die Datenschutzerklärung inhaltlich nach diesem Muster zu gestalten.

5.1.6. Auftragsverarbeitung

Schaltet ein Verantwortlicher bei der Verarbeitung personenbezogener Daten einen Dienstleister als Auftragsverarbeiter im Sinne von Art. 4 Nr. 8 DSGVO ein, so ist regelmäßig ein Vertrag zur Auftragsverarbeitung nach Art. 28 Abs. 3 DSGVO zu schließen.

Da der Gutachterausschuss selbst Verantwortlicher ist, wäre es grundsätzlich denkbar, sein Verhältnis zu seiner Geschäftsstelle - der Kreisverwaltungsbehörde - mit der Folge der eingangs dargestellten Konsequenz als Auftragsverhältnis nach Art. 28 Abs. 1 DSGVO anzusehen. Hierfür spräche, dass auch die Kreisverwaltungsbehörde - das Landratsamt oder die kreisfreie Gemeinde (vgl. § 1 Abs. 1 BayGaV) - eigenständiger Verantwortlicher ist. Allerdings bestimmt der Gesetzgeber bereits selbst in § 9 Abs. 1 BayGaV ausdrücklich, dass die Geschäftsstelle des Gutachterausschusses die Kreisverwaltungsbehörde ist. Da § 9 Abs. 1 BayGaV insoweit nicht zwischen den einzelnen Organisationseinheiten der Kreisverwaltungsbehörde unterscheidet, halte ich es für vertretbar, Dienstleistungen etwa der IT-Abteilung der Kreisverwaltungsbehörde für den Gutachterausschuss als Teil der Geschäftsstelle des Gutachterausschusses selbst anzusehen, so dass insoweit kein Auftragsverhältnis im Sinne von Art. 28 Abs. 1 DSGVO vorliegt.

Dies gilt jedoch nicht, wenn die Kreisverwaltungsbehörde ihre IT-Dienste nicht mehr selbst betreibt, sondern beispielsweise an eine privatrechtlich organisierte Gesellschaft ausgelagert hat. In diesem Fall wird regelmäßig ein Auftragsverarbeitungsvertrag nach Art. 28 Abs. 3 DSGVO zwischen dem Gutachterausschuss und der privatrechtlich (etwa als GmbH) organisierten Gesellschaft zu schließen sein.

5.1.7. Rechtsgrundlagen für die Datenverarbeitung

Wenn der Gutachterausschuss personenbezogene Daten, wie Namen und Adress-/Kontaktdaten verarbeitet, benötigt er hierfür eine Rechtsgrundlage (vgl. Art. 6 Abs. 1 DSGVO). In dem von mir geprüften Fall konnte sich der Gutachterausschuss für seine Datenverarbeitungen auf Art. 4 Abs. 1 BayDSG in Verbindung mit § 197 Abs. 1 BauGB und § 10 BayGaV stützen. Der Gutachterausschuss legte insoweit dar, dass die Adressen der Vertragsparteien erfasst würden, um von ihnen erforderlichenfalls weitere Informationen einholen zu können. Im konkreten Fall des Eingabeführers sei nur noch dessen Nachname gespeichert gewesen. Dies sei erforderlich, um bei der weiteren Verarbeitung der Kauffälle und Nutzung der Immobiliendaten, beispielsweise bei Auskunftsersuchen aus der Kaufpreissammlung, die richtigen Datensätze zusammenstellen zu können. Die Namen seien etwa erforderlich, um Verwandtenverkäufe zu erkennen, welche Auswirkungen auf die Preisgestaltung haben können. Dies konnte ich nachvollziehen.

5.2. Bürgerversammlungen: Veröffentlichung von Anträgen

Bürgerversammlungen bieten Gelegenheit zum Austausch zwischen der ersten Bürgermeisterin oder dem ersten Bürgermeister sowie Bürgerinnen und Bürgern zu gemeindlichen Angelegenheiten. Bürgerversammlungen sind ein wichtiges Element der Bürgerbeteiligung. Insbesondere können dort von Bürgerinnen und Bürgern auch Anträge eingebracht werden.

Durch eine bei mir im Berichtszeitraum eingereichte Beschwerde eines Bürgers habe ich erfahren, dass eine bayerische Kommune derartige Anträge seit vielen Jahren im öffentlich zugänglichen Teil ihres Ratsinformationssystems speichert und so weltweit zugänglich macht. Hiervon waren im Fall der von der konkreten Beschwerde betroffenen Kommune bei Anträgen bis zum Jahr 2015 auch persönliche Daten der Antragstellerinnen und Antragsteller wie deren Anschrift, Telefonnummer und teilweise sogar Nationalität umfasst. Zwar hatte die Kommune von den Betroffenen in der Vergangenheit Einwilligungen zur Veröffentlichung gerade auch im Internet eingeholt. So hatte auch im konkreten Beschwerdefall der betreffende Bürger der Veröffentlichung durch entsprechenden Vermerk in den Antragsunterlagen zunächst zugestimmt. Jedoch war ihm nach eigener Aussage dabei nicht hinreichend bewusst gewesen, dass die Unterlagen dann mittels Suchmaschinen weltweit dauerhaft abgerufen werden können. Er widerrief daher seine Einwilligung, nachdem er dies erkannt hatte, woraufhin die Kommune den Antrag zwar löschte, jedoch übersah, dass dieser auch in einem weiteren Dokument enthalten war. Die personenbezogenen Daten konnten so weiterhin mittels einfacher Suchmaschinenrecherche abgerufen werden.

Ich habe einen Verstoß gegen datenschutzrechtliche Vorgaben festgestellt. Die Veröffentlichung der personenbezogenen Daten des Betroffenen bedurfte einer Rechtsgrundlage. Eine solche lag grundsätzlich zunächst in der seinerzeit freiwillig erteilten Einwilligung mittels Ankreuzen des entsprechenden Vermerks in den Antragsunterlagen. Diese war jedoch unwidersprochen zwischenzeitlich widerrufen worden. Unabhängig von der konkreten Beschwerde erscheint es zudem zweifelhaft, ob sich öffentliche Stellen bei der dauerhaften Internetbereitstellung von Anträgen aus Bürgerversammlungen einschließlich personenbezogener Daten überhaupt auf- gegebenenfalls schon vor langer Zeit erteilte - Einwilligungen stützen können. Hierzu habe ich der betroffenen Kommune folgende Hinweise gegeben:

Maßgeblicher Zeitpunkt für die Beurteilung der Zulässigkeit der Datenverarbeitung ist nicht (nur) der des Hochladens der Daten beispielsweise in ein Ratsinformationssystem. Vielmehr kommt die Veröffentlichung in einem öffentlichen Internetportal einer dauerhaften Übermittlung personenbezogener Daten an eine Vielzahl (unbestimmter) Dritter gleich. Eine zulässige dauerhafte Übermittlung setzt aber voraus, dass die erforderlichen Voraussetzungen für die Übermittlung zu jedem Zeitpunkt der Online-Verfügbarkeit vorliegen müssen.

Weiterhin habe ich klargestellt, dass einmal eingeholte Einwilligungen in eine Internetveröffentlichung kein "Blanko-Scheck" für eine Zurverfügungstellung auf unbestimmte Zeit sind. Zwar werden gemäß Erwägungsgrund 171 Satz 3 DSGVO zuvor eingeholte Einwilligungen mit Geltungsbeginn der Datenschutz-Grundverordnung nicht automatisch unwirksam, sondern sind weiter gültig, soweit sie den aktuellen Vorgaben entsprechen. Außerdem ist auch unter Geltung der Datenschutz-Grundverordnung kein festes Verfallsdatum für eingeholte Einwilligungen vorgesehen. Jedoch wird man insbesondere bei zeitlich unbefristet eingeholten Einwilligungen davon ausgehen müssen, dass diese den Grundsätzen der Datensparsamkeit und der Zweckbindung in besonderem Maße unterliegen und daher nicht mehr benötigte Daten zu löschen sind sowie die Einwilligungen selbst in angemessenen Zeitabständen erneuert werden müssen. Maßgeblich für die Gültigkeit "alter" Einwilligungen ist auch, ob die seinerzeit Einwilligenden nach heutigem Maßstab hinreichend informiert entscheiden konnten. Dies setzt unter anderem voraus, dass die betroffene Person wusste, in welchem Umfang sie ihre Einwilligung erteilt. Wie vom Europäischen Gerichtshof zu Recht betont, müssen klare und umfassende Informationen die Einwilligenden in die Lage versetzen, die Konsequenzen einer etwaigen Einwilligung leicht zu bestimmen und gewährleisten, dass die Einwilligung in voller Kenntnis der Sachlage erteilt wird. Insoweit ist es aber fraglich, ob eine Person, die beispielsweise in den Jahren 2005 bis 2010 eine Einwilligung zur Veröffentlichung ihres Antrags auch im Internet erteilt hat, damit rechnen konnte, dass dieser Antrag noch 15 Jahre später für Jedermann abrufbar ist. Einzubeziehen sind auch die erheblichen (kommunikations-) technologischen Veränderungen der letzten Jahre. Insoweit ist kritisch zu hinterfragen, ob sich Einwilligende zum damaligen Zeitpunkt der Tragweite einer Internetveröffentlichung, insbesondere hinsichtlich der einerseits nur eingeschränkten Löschmöglichkeiten und der andererseits permanenten Zugriffsmöglichkeiten mittels Smartphone bewusst sein konnten. Seit Geltungsbeginn der Datenschutz-Grundverordnung sieht Art. 13 Abs. 2 Buchst. a DSGVO ausdrücklich vor, dass der Verantwortliche die betroffene Person über die Dauer einer Verarbeitung zu informieren hat, soweit dies für eine faire und transparente Verarbeitung notwendig ist.

Klargestellt habe ich bei dieser Gelegenheit auch, dass es eine gesetzliche Befugnis zur Veröffentlichung von Anträgen zu Bürgerversammlungen im Internet nicht gibt. Finden sich die Wörter "Veröffentlichung" oder "Bekanntgabe" im kommunalrechtlichen Kontext, so sind grundsätzlich lediglich ortsübliche Veröffentlichungen gemeint, eine Internetveröffentlichung kennt die Gemeindeordnung hingegen (noch) nicht. Auch auf die allgemeine Übermittlungsbefugnis aus Art. 5 Abs. 1 BayDSG kann eine Internetveröffentlichung regelmäßig nicht gestützt werden. Eine kommunale Aufgabe, die eine pauschale und dauerhafte Übermittlung einer Vielzahl personenbezogener Daten an Jedermann erfordert (vgl. Art. 5 Abs. 1 Satz 1 Nr. 1 BayDSG), ist nicht ersichtlich. Auch ist Art. 5 Abs. 1 Satz 1 Nr. 2 BayDSG für eine solche eigeninitiative Datenbereitstellung durch eine öffentliche Stelle schon vom Wortlaut her offensichtlich nicht ausgelegt.

Mit der im konkreten Fall betroffenen Kommune habe ich mich daher darauf verständigt, dass Anträge zu Bürgerversammlungen, auf denen persönliche Kontaktdaten von Antragstellerinnen und Antragstellern einsehbar sind, - trotz in der Vergangenheit freiwillig erteilter Einwilligungen - generell aus dem öffentlichen Teil des Ratsinformationssystems entfernt werden.

5.3. Bauantragsunterlagen: keine regelhafte Übermittlung durch Gemeinden an Wasserzweckverbände

Bauanträge sind gemäß Art. 64 Abs. 1 Satz 1 Bayerische Bauordnung (BayBO) schriftlich bei der Gemeinde einzureichen. Gemäß Art. 64 Abs. 2 Satz 1 BayBO sind mit dem Bauantrag alle für die Beurteilung des Bauvorhabens und die Bearbeitung des Bauantrags erforderlichen Unterlagen (Bauvorlagen) einzureichen.

Art. 64 BayBO

Bauantrag, Bauvorlagen

(1) 1Der Bauantrag ist schriftlich bei der Gemeinde einzureichen. 2Diese legt ihn, sofern sie nicht selbst zur Entscheidung zuständig ist, mit ihrer Stellungnahme unverzüglich bei der Bauaufsichtsbehörde vor. 3Die Gemeinden können die Ergänzung oder Berichtigung unvollständiger oder unrichtiger Bauanträge verlangen.

(2) 1Mit dem Bauantrag sind alle für die Beurteilung des Bauvorhabens und die Bearbeitung des Bauantrags erforderlichen Unterlagen (Bauvorlagen) einzureichen. 2Es kann gestattet werden, dass einzelne Bauvorlagen nachgereicht werden.

Durch die Eingabe eines Bürgers bin ich auf folgende Praxis aufmerksam geworden: In Gemeinden, in denen ein örtlicher Wasserzweckverband mit der Wasserversorgung betraut wurde, werden regelhaft die gesamten Bauantragsunterlagen an diesen weitergeleitet. Als Grund hierfür wurde mir genannt, dass Bauherrinnen und Bauherrn es oftmals pflichtwidrig unterlassen würden, selbst die erforderlichen Anzeigen der für die Beitragsbemessung relevanten baulichen Änderungen beim Wasserzweckverband vorzunehmen. Auf gemeindlicher Seite habe sich daher die Übung entwickelt, den Wasserzweckverbänden die gesamten Bauantragsunterlagen eigeninitiativ weiterzuleiten.

Aus datenschutzrechtlicher Sicht ist ein solches Vorgehen jedoch kritisch zu bewerten.

Zunächst einmal stellt die Übersendung der Bauantragsunterlagen an den Wasserzweckverband jedenfalls bei Bauanträgen natürlicher Personen unzweifelhaft eine Verarbeitung personenbezogener Daten dar, für die bayerische Gemeinden einer Rechtsgrundlage bedürfen (vgl. Art. 6 Abs. 1 DSGVO). Mangels einer ersichtlichen spezialgesetzlichen Befugnis für die eingangs geschilderte Praxis war deren Zulässigkeit anhand der allgemeinen Verarbeitungsbefugnisse aus dem Bayerischen Datenschutzgesetz zu beurteilen. Nach dem insoweit allein in Betracht kommenden Art. 5 Abs. 1 Satz 1 Nr. 1 Var. 2 BayDSG ist eine Übermittlung personenbezogener Daten zulässig, wenn sie zur Erfüllung einer der empfangenden öffentlichen Stelle obliegenden Aufgabe erforderlich ist. Insoweit war aus datenschutzrechtlicher Sicht jedoch Folgendes zu bedenken:

Zwar ist die öffentliche Wasserversorgung gemäß § 50 Abs. 1 Wasserhaushaltsgesetz eine Aufgabe der Daseinsvorsorge und als kommunale Aufgabe im eigenen Wirkungskreis der Kommune (vgl. Art. 83 Abs. 1 Verfassung des Freistaates Bayern und Art. 57 Abs. 2 Gemeindeordnung) eine solche, die im öffentlichen Interesse liegt. Diese Aufgabe wurde in den vorgenannten Konstellationen einem Wasserzweckverband - der empfangenden öffentlichen Stelle - übertragen und damit zur (eigenen) Aufgabe des Wasserzweckverbands. Dem Aufgabenbereich des Wasserzweckverbands zuzurechnen ist auch die Bemessung von Beiträgen. Zur Sicherstellung der Wasserversorgung erhebt der Zweckverband nämlich für die Deckung seines Aufwands einen Beitrag für bebaute Grundstücke. Zur Berechnung des durch die Grundstückseigentümer konkret zu begleichenden Beitragssatzes ist auch regelmäßig die Kenntnis der genauen Grundstücks- und Geschossflächen der versorgten Häuser und Wohnungen erforderlich.

Die Erfüllung dieser Aufgaben erfordert jedoch regelmäßig nicht die Übermittlung der gesamten Bauantragsunterlagen an den Wasserzweckverband. Doch auch eine Übermittlung bloß der notwendigen Daten - also der zur Bemessung der Beiträge notwendigen Parameter - ist nur dann im Sinne des Art. 5 Abs. 1 Satz 1 Nr. 1 Var. 2 BayDSG erforderlich, wenn die Meldung nicht bereits durch die Bauherrin oder den Bauherrn selbst erfolgt ist. Um dies beurteilen zu können, müsste der Gemeinde jedoch bekannt sein, ob nicht beim Wasserzweckverband bereits eine Änderungsmeldung eingegangen oder eine solche gegebenenfalls entbehrlich ist (möglich bei selbstverwalteten Kläranlagen und Brunnen). In der Praxis werden diese Fragen jedoch offenbar gar nicht erst gestellt. Vielmehr werden in den oben geschilderten Konstellationen die gesamten Bauantragsunterlagen regelhaft und damit gleichsam "auf Vorrat" übermittelt. Eine solche Datenübermittlung hält freilich dem Erforderlichkeitsgrundsatz nicht stand.

Ich bin daher an das Bayerische Staatsministerium des Innern, für Sport und Integration als oberste Aufsichtsbehörde über die bayerischen Kommunen herangetreten. Erfreulicherweise hat das Innenministerium umgehend reagiert und die bayerischen Kommunen über die datenschutzrechtliche Problematik informiert sowie eine vorherige konkrete Einzelfallprüfung vor etwaigen Datenübermittlungen angemahnt.

5.4. Datenschutz bei der Herausgabe kommunaler Mitteilungsblätter

Art. 26 Abs. 2 Gemeindeordnung enthält die gemeindliche Befugnis zur Veröffentlichung von Amtsblättern. Unter einem Amtsblatt ist ein regelmäßig erscheinendes Druckwerk zu verstehen, das dazu bestimmt ist, Vorschriften, Verfügungen oder Mitteilungen amtlich bekanntzumachen.

Nach meinem Eindruck möchten viele Gemeinden aber darüber hinausgehen und örtlichen Vereinen oder Institutionen wie etwa Kirchen, Parteien und sonstigen Verbänden ein gemeindliches Medium bieten, in welchem diese auf eigene Veranstaltungen hinweisen oder darüber berichten können. Hinzu kommt, dass auch die Gemeinde selbst kraft ihres kommunalen Selbstverwaltungsrechts die allgemeine Aufgabe hat, (datenschutzkonforme) Öffentlichkeitsarbeit zu betreiben, also die Gemeindeangehörigen etwa über Vorgänge aus der Gemeindeverwaltung oder über Aktivitäten der ersten Bürgermeisterin oder des ersten Bürgermeisters sowie des Gemeinderats zu informieren (siehe insoweit auch meine Ausführungen im 23. Tätigkeitsbericht 2008 unter Nr. 21.4). Aus diesen Gründen beschränken sich nach meinem Eindruck viele bayerische Gemeinden inzwischen nicht mehr auf die Herausgabe eines bloßen Amtsblatts, sondern erweitern dieses um sonstige Mitteilungen zu einem übergreifenden kommunalen Mitteilungsblatt. Ein solches Medium enthält typischerweise neben amtlichen Bekanntmachungen weitere redaktionelle und informatische Inhalte, oftmals verbunden mit einem Anzeigenteil. Dies wirft eine Vielzahl datenschutzrechtlicher Fragen und Probleme auf, die im Folgenden kurz angerissen werden sollen:

Zunächst werden die Gemeinden regelmäßig Herausgeber des kommunalen Mitteilungsblattes sein, weil die Gesamtleitung des Druckerzeugnisses und die redaktionelle Verantwortung bei ihnen liegen. Diese Stellung hat aber auch datenschutzrechtliche Auswirkungen. Aus Datenschutzsicht ist vor allem relevant, ob eine Gemeinde Verantwortlicher im Sinne der Datenschutz-Grundverordnung ist (vgl. Art. 4 Nr. 7 DSGVO) ist. Wenn die Gemeinde Herausgeber des kommunalen Mitteilungsblatts ist, also letztlich allein bestimmt, welche Beiträge in dem Druckwerk veröffentlicht werden, oder etwa selbst Beiträge verfasst beziehungsweise Inhalte beisteuert, so ist ihre datenschutzrechtliche Verantwortlichkeit grundsätzlich zu bejahen.

Hieran knüpfen sich datenschutzrechtliche Folgefragen an, da in solchen Mitteilungsblättern regelmäßig personenbezogene Daten von Bürgerinnen und Bürgern sowie von Bediensteten verarbeitet werden. Wird etwa ein Foto veröffentlicht, auf dem eine natürliche Person identifizierbar abgebildet ist, so stellt dieser Vorgang aus Datenschutzperspektive eine rechtfertigungsbedürftige Datenübermittlung an eine unbestimmte Zahl von Empfängern, also an nichtöffentliche Stellen (die Leserinnen und Leser des Mitteilungsblatts), dar. Entsprechendes gilt, wenn die Gemeinde einen Beitrag veröffentlicht, in dem eine Person namentlich erwähnt wird oder etwa einer konkreten Person zuordenbare (Kontakt-)Daten enthalten sind.

Die Gemeinden können sich bei solchen Datenverarbeitungen jedoch nur in einem sehr begrenzten Umfang auf gesetzliche Befugnisse stützen. Vor allem steht der Gemeinde als Teil der staatlichen Gewalt für ihre kommunalen Druckerzeugnisse nicht das in Art. 38 BayDSG und Art. 85 DSGVO enthaltene Presseprivileg zu. Oftmals müssen die Gemeinden daher wirksame Einwilligungen nach Art. 6 Abs. 1 UAbs. 1 Buchst. a, Art. 7 DSGVO von den jeweils betroffenen Personen einholen. Dabei ist es aufgrund der gemeindlichen Verantwortung für das kommunale Mitteilungsblatt nicht ausreichend, wenn (wie wohl von einigen bayerischen Kommunen praktiziert) etwa auf den Fotos abgebildete Personen gegenüber ihrem Verein erklären, dass sie in die Veröffentlichung einwilligen. Denkbar ist insoweit allenfalls, dass der Vereinsvorstand als (Erklärungs-)Bote für die Gemeinde eingeschaltet wird.

Um den Gemeinden Hilfestellungen zur Lösung datenschutzrechtlicher Fragen bei der Herausgabe von Mitteilungsblättern zu geben, habe ich das Arbeitspapier "Datenschutz bei kommunalen Mitteilungsblättern" veröffentlicht. Das Arbeitspapier erläutert die zu beachtenden datenschutzrechtlichen Vorgaben und geht auf typische Fallkonstellationen wie etwa die Bekanntgabe von Eheschließungen oder Jubiläumsgratulationen in einem kommunalen Mitteilungsblatt ein. Des Weiteren sind auch datenschutzkonforme Mustereinwilligungsformulare enthalten. Diese können dazu verwendet werden, das Vorliegen wirksamer Einwilligungen in die Verarbeitung personenbezogener Daten in einem kommunalen Mitteilungsblatt zu dokumentieren.

5.5. Personenbezogene Angaben auf Parkausweisen für Gewerbetreibende oder selbständige Freiberufler

Im Berichtszeitraum war ich erneut mit personenbezogenen Angaben auf Parkausweisen befasst (siehe zuletzt meinen 28. Tätigkeitsbericht 2018 unter Nr. 7.7). Konkret ging es diesmal um Parkausweise für Gewerbetreibende oder selbständige Freiberuflerinnen und Freiberufler, mit welchen diesem Personenkreis Ausnahmegenehmigungen gemäß § 46 Abs. 1 Nr. 4a und 11 Straßenverkehrs-Ordnung (StVO) erteilt werden.

§ 46 StVO

Ausnahmegenehmigung und Erlaubnis

(1) Die Straßenverkehrsbehörden können in bestimmten Einzelfällen oder allgemein für bestimmte Antragsteller Ausnahmen genehmigen

[...]

4a. von der Vorschrift, an Parkuhren nur während des Laufens der Uhr, an Parkscheinautomaten nur mit einem Parkschein zu halten (§ 13 Absatz 1);

[...]

  1. von den Verboten oder Beschränkungen, die durch Vorschriftzeichen (Anlage 2), Richtzeichen (Anlage 3), Verkehrseinrichtungen (Anlage 4) oder Anordnungen (§ 45 Absatz 4) erlassen sind;

[...]

Durch das Auslegen von Parkausweisen hinter der Windschutzscheibe eines Kraftfahrzeugs werden auf dem Dokument vermerkte personenbezogene Daten öffentlichen Stellen zu Kontrollzwecken bereitgestellt. Die hierdurch unvermeidbar vermittelte Möglichkeit der Kenntnisnahme durch die Allgemeinheit ist nach meiner Einschätzung grundsätzlich eine datenschutzrechtlich hinzunehmende Nebenfolge. Diese Nebenfolge sollte in Anbetracht des Grundsatzes der Datenminimierung (Art. 5 Abs. 1 Buchst. c DSGVO) aber so wenig belastend ausfallen wie möglich.

In diesem Zusammenhang habe ich im Rahmen der Bearbeitung einer bei mir eingereichten Bürgereingabe erfahren, dass die betroffene öffentliche Stelle auf derartigen Parkausweisen nicht nur detaillierte Angaben zur Art des Gewerbes oder der Art der selbstständigen freiberuflichen Tätigkeit machte, sondern auch die vollständigen Namen der betroffenen natürlichen Personen aufführte.

Die betroffene öffentliche Stelle habe ich daher darauf hingewiesen, dass die Offenlegung der vollständigen Namen betroffener natürlicher Personen und der genauen Art der selbständigen oder gewerblichen Tätigkeit insoweit auch für berechtigte Kontrollzwecke nicht erforderlich ist. Erfreulicherweise hat die betroffene öffentliche Stelle umgehend reagiert. Zukünftig werden daher auf derartigen Parkausweisen neben der Ausweisnummer nur noch die Bezeichnung "Selbständiger Freiberufler" und gegebenenfalls die Anschrift aufgeführt sein. Auf die Angabe des Namens und der Art der selbständigen Tätigkeit wird die öffentliche Stelle auf den neu ausgestellten Parkausweisen dagegen verzichten. Dies habe ich ausdrücklich begrüßt.

Die geänderte Handhabung gewährleistet weiterhin eine wirksame Überprüfung der rechtmäßigen Nutzung der Ausnahmegenehmigung sowohl auf Seiten des Überwachungspersonals der öffentlichen Stelle als auch der Polizei. Ich empfehle daher Parkausweisen nach § 46 Abs. 1 Nr. 4a und 11 StVO ausstellenden Behörden, für gewerbliche oder selbständige Anlieger nur eine abstrakte Tätigkeitsbezeichnung wie etwa "Selbständiger Freiberufler" und gegebenenfalls die Anschrift aufzuführen.

5.6. Duldung durch Ausländerbehörde: keine überschießende Datenerhebung

Nach § 60a Abs. 2 Satz 1 Aufenthaltsgesetz (AufenthG) ist die Abschiebung von vollziehbar ausreisepflichtigen Ausländern vorübergehend auszusetzen, solange die Abschiebung aus tatsächlichen oder rechtlichen Gründen unmöglich ist und keine Aufenthaltserlaubnis erteilt wird. Hierbei handelt es sich um eine nicht nur auf Antrag, sondern auch von Amts wegen vorzunehmende Prüfung. Die Duldung ist dabei eine gegenüber der geduldeten Person begünstigende Entscheidung. Diese Person ist daher nach Maßgabe von § 82 Abs. 1 Satz 1 AufenthG verpflichtet, ihre Belange und für sie günstige Umstände, soweit sie nicht offenkundig oder bekannt sind, unter Angabe nachprüfbarer Umstände geltend zu machen und soweit möglich auch nachzuweisen. Für die betroffenen Personen günstige Sachverhalte, die ein Abschiebehindernis begründen und für die Ausländerbehörden weder offenkundig noch bereits während eines laufenden Asylverfahrens vollständig bekannt sind, können beispielsweise das Vorhandensein von Angehörigen im Bundesgebiet, oder eine stattgefundene Integration durch Schulbesuch, Arbeit oder Praktika sein. Weitere exemplarisch aufgezählte Duldungsgründe finden sich in § 60a Abs. 2 AufenthG. Außerdem können sich bislang nicht mitgeteilte Veränderungen ergeben haben oder die geduldeten Personen können Angaben machen, die nicht bereits von den vorher an anderer Stelle erfragten Auskünften erfasst sind. Rechtsgrundlage für Datenerhebungen in diesem Kontext ist § 86 AufenthG:

"1Die mit der Ausführung dieses Gesetzes betrauten Behörden dürfen zum Zweck der Ausführung dieses Gesetzes und ausländerrechtlicher Bestimmungen in anderen Gesetzen personenbezogene Daten erheben, soweit dies zur Erfüllung ihrer Aufgaben nach diesem Gesetz und nach ausländerrechtlichen Bestimmungen in anderen Gesetzen erforderlich ist. 2Personenbezogene Daten, deren Verarbeitung nach Artikel 9 Absatz 1 der Verordnung (EU) 2016/679 untersagt ist, dürfen erhoben werden, soweit dies im Einzelfall zur Aufgabenerfüllung erforderlich ist."

Zwar enthält § 86 AufenthG keine konkreten Vorgaben zur Form der Erhebung (schriftlich, mündlich oder etwa mittels Formular) und sieht daher auch keine konkreten Bestimmungen zum Inhalt von etwa verwendeten Formularen vor. Jedoch ist unabhängig von der gewählten Form der Datenerhebung maßgeblich, dass diese nur dann zur Aufgabenerfüllung erforderlich ist, wenn die personenbezogenen Daten zur Vorbereitung einer konkreten ausländerrechtlichen Entscheidung oder Maßnahme erhoben werden. Bei Verwendung schriftlich auszufüllender Formulare als Alternative zu einer mündlichen Befragung ist aus datenschutzrechtlicher Sicht darauf zu achten, dass nicht mehr Angaben erfragt werden, als für die beantragte Entscheidung nach den für diese maßgeblichen Vorschriften benötigt werden. Freiwillige Angaben (zum Beispiel eine Telefonnummer) sind als solche auf dem Vordruck zu kennzeichnen.

Im Berichtszeitraum habe ich erfahren, dass die bayerischen Regierungen in ihrer Zuständigkeit als Zentrale Ausländerbehörden bei Gesuchen auf Erteilung oder Verlängerung einer Bescheinigung über die Aussetzung der Abschiebung nicht bayernweit einheitliche Angaben erheben. Ursächlich hierfür war nach meinem Eindruck, dass die Zentralen Ausländerbehörden nicht dasselbe Formular verwenden. Je nach verwendetem Formular wurden dabei mehr oder auch weniger Daten erhoben. Ich habe mich deshalb an das Bayerische Staatsministerium des Innern, für Sport und Integration als Aufsichtsbehörde über die Zentralen Ausländerbehörden gewandt, um auf einheitliche Vorgaben hinsichtlich des Umfangs der Datenerhebung hinzuwirken.

Erfreulicherweise hat das Innenministerium bereits angekündigt, die Ausländerbehörden ausdrücklich dazu anhalten, in den verwendeten Formularen nur die erforderlichen Daten zu erheben und andere Daten wie etwa die Handynummer als freiwillig zu kennzeichnen. Mit Blick auf das in Art. 5 Abs. 1 Buchst. c DSGVO verankerte Gebot der Datensparsamkeit bestätigte mir das Innenministerium außerdem, dass die Formulare, sofern sie über die Identität und Anschrift hinausgehende Fragen (zum Beispiel zu Angehörigen, zum Arbeitsverhältnis, zu Krankheiten) umfassen, in Zukunft den allgemeinen Zusatz "bitte nur die auf Sie zutreffenden Fragen beantworten" enthalten sollen.

5.7. Luftsicherheitsassistenten: Datenübermittlungen durch Luftämter an Arbeitgeber nur im Rahmen des Erforderlichen

Eine Beschwerde im Berichtszeitraum gab Anlass, ein nach meiner Einschätzung bislang nur unzureichend beleuchtetes Thema näher zu betrachten, nämlich die Zulässigkeit von Datenübermittlungen zwischen bayerischen Luftsicherheitsbehörden und den von diesen nach § 16a Abs. 1 Luftsicherheitsgesetz (LuftSiG) beliehenen natürlichen Personen (Luftsicherheitsassistentinnen und Luftsicherheitsassistenten) beziehungsweise deren Arbeitgebern. Zum besseren Verständnis möchte ich zunächst die rechtliche Einbettung der Luftsicherheitsassistentinnen und Luftsicherheitsassistenten in das System der Luftsicherheit veranschaulichen.

5.7.1. Luftsicherheitsassistentinnen und Luftsicherheitsassistenten: beleihende Stelle und Arbeitgeber nicht identisch

§ 16a Abs. 1 LuftSiG ermöglicht es der zuständigen Luftsicherheitsbehörde (entweder das Luftamt Südbayern bei der Regierung von Oberbayern oder das Luftamt Nordbayern bei der Regierung von Mittelfranken), auch natürlichen Personen als Beliehenen die Wahrnehmung bestimmter luftsicherheitsrechtlicher Aufgaben zu übertragen. Dies betrifft nach Nummer 1 der Vorschrift gerade auch die Übertragung bestimmter Aufgaben bei der Durchführung von Sicherheitsmaßnahmen nach § 5 Abs. 1 bis 3 LuftSiG. In der Praxis umfasst diese Beleihung regelmäßig insbesondere die Aufgabe, Fluggäste und deren Handgepäck auf verbotene Gegenstände zu kontrollieren. Aus der öffentlich-rechtlichen Beleihungssituation resultiert dabei gemäß § 16a Abs. 5 LuftSiG eine unmittelbare Aufsichtsbefugnis der beleihenden Luftsicherheitsbehörde (Luftamt) gegenüber den Luftsicherheitsassistentinnen und Luftsicherheitsassistenten.

Als Arbeitgeber für die nach § 16 a Abs. 1 LuftSiG durch die Luftämter beliehenen Luftsicherheitsassistentinnen und Luftsicherheitsassistenten fungieren zwei allein vom Freistaat getragene Unternehmen, nämlich die Sicherheitsgesellschaft am Flughafen München mbH und die Sicherheitsgesellschaft am Flughafen Nürnberg mbH. Aufgabe der beiden Gesellschaften ist es, Arbeitsverträge mit den jeweils zu beleihenden Personen zu schließen und hierdurch die personellen Ressourcen bereitzustellen, welche die zuständigen Luftsicherheitsbehörden zur Erfüllung ihrer Aufgaben, insbesondere nach § 5 LuftSiG, benötigen. Da sie insoweit Aufgaben der öffentlichen Verwaltung wahrnehmen, sind beide Unternehmen als öffentliche Stellen im Sinne des Art. 1 Abs. 2 BayDSG anzusehen. Selbst mit luftsicherheitsrechtlichen Aufgaben durch die Luftämter beliehen sind die beiden Sicherheitsgesellschaften aber nicht.

5.7.2. Beschwerdesachverhalt

Eine nach § 16a Abs. 1 LuftSiG beliehene Person wandte sich mit einer Anfrage an die sie beleihende Luftsicherheitsbehörde. Inhaltlich ging es um die Ankündigung, aus Gründen des Eigenschutzes bestimmte (gefährliche) Gegenstände in den Sicherheitsbereich des Flughafens mitzunehmen. Die Luftsicherheitsbehörde leitete die betreffende Nachricht - unter Offenlegung des Absenders - an den Arbeitgeber weiter, was zu erheblichen Verwerfungen im Arbeitsverhältnis führte.

5.7.3. Datenschutzrechtliche Bewertung der Übermittlung

Im Rahmen meiner datenschutzrechtlichen Überprüfung des Vorgangs konnte mir die Luftsicherheitsbehörde entgegen der Rechenschaftspflicht gemäß Art. 5 Abs. 2 DSGVO nicht darlegen, dass die betreffende Übermittlung auf eine Rechtsgrundlage gestützt werden konnte.

Da es an spezialgesetzlichen Verarbeitungsvorschriften für die hier vorliegende Fallgestaltung fehlte, war die Zulässigkeit der Datenübermittlung anhand der allgemeinen Übermittlungsvorschrift des Art. 5 Abs. 1 Nr. 1 BayDSG zu beurteilen. Danach ist eine Übermittlung personenbezogener Daten zulässig, wenn sie zur Erfüllung einer der übermittelnden oder der empfangenden öffentlichen Stelle obliegenden Aufgabe erforderlich ist.

Eine Erforderlichkeit der Übermittlung zu eigenen (luftsicherheitsrechtlichen) Aufgaben wurde dabei von Seiten der betreffenden Luftsicherheitsbehörde aber gerade nicht vorgetragen. Diese nahm die mitgeteilten Informationen gerade nicht zum Anlass, Maßnahmen hinsichtlich der Beleihung oder andere sicherheitsrechtliche Maßnahmen zu ergreifen. Die Übermittlung erfolgte auch nicht zur Prüfung oder Vorbereitung solcher Maßnahmen. Vielmehr nahm die Luftsicherheitsbehörde an, die Übermittlung sei für die Erfüllung der Aufgaben der betroffenen Sicherheitsgesellschaft erforderlich. Nach Auffassung der Luftsicherheitsbehörde berührten die von der betroffenen Person mitgeteilten Informationen deren Arbeitsverhältnis nämlich in so erheblichem Umfang, dass dies der Sicherheitsgesellschaft als Arbeitgeberin zur Kenntnis gebracht werden sollte, um dieser gegebenenfalls eine arbeitsrechtliche Sanktionierung zu ermöglichen.

Tatsächlich legte der geschilderte Sachverhalt meines Erachtens aber einen deutlichen Bezug zu den luftsicherheitsrechtlichen Aufgaben nahe, die der betroffenen Person im Rahmen der Beleihung übertragen worden waren, und weniger zu ihren davon unabhängigen arbeitsvertraglichen Pflichten. Eigene sicherheitsrechtliche Aufgaben, zu deren Erfüllung die Übermittlung erforderlich gewesen wäre, sind der insoweit lediglich als Arbeitgeberin der beliehenen Luftsicherheitsassistentinnen und Luftsicherheitsassistenten fungierenden Sicherheitsgesellschaft dabei - anders als der Luftsicherheitsbehörde selbst - jedoch gerade nicht zugewiesen. Ein "Abwälzen" sicherheitsrechtlicher Aufgaben der Luftsicherheitsbehörde mit Verweis auf die Personalhoheit der Sicherheitsgesellschaft an diese kam insoweit nicht in Betracht.

Hätte die Luftsicherheitsbehörde im Zusammenhang mit der an sie gerichteten Anfrage die Schwelle einer Gefahr für die öffentliche Sicherheit oder die Luftsicherheit überschritten gesehen, hätte sie im Rahmen ihrer eigenen luftsicherheitsrechtlichen Befugnisse vielmehr selbst (beispielsweise hinsichtlich der von ihr selbst ausgesprochenen Beleihung) tätig werden müssen, oder - sofern eigene Zuständigkeiten an dieser Stelle überschritten waren - die zuständige Sicherheitsbehörde informieren können.

Wegen der fehlenden Rechtsgrundlage für die Datenübermittlung habe ich gegenüber der Luftsicherheitsbehörde einen datenschutzrechtlichen Verstoß festgestellt. Da diese mir zugesagt hat, Handlungsanweisungen zum Umgang mit personenbezogenen Daten in derartigen Fällen zu erarbeiten, habe ich von weitergehenden Maßnahmen abgesehen.

5.7.4. Benennung von Datenschutzbeauftragten erforderlich

Anlässlich meiner datenschutzrechtlichen Überprüfung habe ich die Luftsicherheitsbehörde zudem darauf aufmerksam gemacht, dass die von ihr mit hoheitlichen Aufgaben beliehenen Luftsicherheitsassistentinnen und Luftsicherheitsassistenten bei Ausübung dieser Tätigkeit aus datenschutzrechtlicher Sicht gemäß Art. 1 Abs. 4 BayDSG als Beliehene (eigenständige) öffentliche Stellen sind. Für Behörden und öffentliche Stellen ist jedoch nach Art. 37 Abs. 1 Buchst. a DSGVO die Benennung von Datenschutzbeauftragten obligatorisch. Diese Anforderung trifft auch die Luftsicherheitsassistentinnen und Luftsicherheitsassistenten; diese müssen ebenfalls Datenschutzbeauftragte benennen. Vor dem Hintergrund der großen Zahl betroffener Beliehener habe ich eine Koordinierung diesbezüglicher Benennungen durch die beleihende Luftsicherheitsbehörde angeregt.

  1. Vgl. Bundesverwaltungsgericht, Urteil vom 24. Januar 1991, 2 C 16/88, NJW 1991, 2980; Schmitz, in: Stelkens/Bonk/Sachs, Verwaltungsverfahrensgesetz, 9. Aufl. 2018, § 1 Rn. 238 ff. [Zurück]
  2. Vgl. Schmitz, in: Stelkens/Bonk/Sachs, Verwaltungsverfahrensgesetz, 9. Aufl. 2018, § 1 Rn. 231, 238. [Zurück]
  3. Vgl. Schmitz, in: Stelkens/Bonk/Sachs, Verwaltungsverfahrensgesetz, 9. Aufl. 2018, § 1 Rn. 240; siehe auch Wilde/Ehmann/Niese/Knoblauch, Datenschutz in Bayern, Stand 6/2018, Art. 1 BayDSG Rn. 12. [Zurück]
  4. Vgl. Reidt, in: Battis/Krautzberger/Löhr, Baugesetzbuch, 14. Aufl. 2019, § 192 Rn. 2. [Zurück]
  5. Vgl. Federwisch, in: Spannowsky/Uechtritz, Beck’scher Online-Kommentar Baugesetzbuch, Stand 11/2018, § 192 Rn. 16. [Zurück]
  6. Internet: https://www.stmi.bayern.de/sus/datensicherheit/datenschutz/reform_arbeitshilfen (externer Link). [Zurück]
  7. Stemmer, in: Wolf/Brink, Beck’scher Online-Kommentar Datenschutzrecht, Stand 5/2021, Art. 7 DSGVO Rn. 85. [Zurück]
  8. Heckmann/Paschke, in: Ehmann/Selmayr, Datenschutz-Grundverordnung, 2. Aufl. 2018, Art. 7 Rn. 43. [Zurück]
  9. Europäischer Gerichtshof, Urteil vom 1. Oktober 2019, C-673/17. [Zurück]
  10. Bayerischer Landesbeauftragter für den Datenschutz, Datenschutz bei kommunalen Mitteilungsblättern, Stand 7/2021, Internet: https://datenschutz-bayern.de, Rubrik "Datenschutzreform 2018 - Einzelthemen". [Zurück]