Sie sind hier: > Start > Tätigkeitsberichte > 32. TB 2022 > 2. Allgemeines Datenschutzrecht
Der Bayerische Landesbeauftragte für den Datenschutz; Stand: 31.12.2022
2. Allgemeines Datenschutzrecht
2.1. "Datenschutzreform 2018" - Weiterentwicklung des Informationsangebots des Bayerischen Landesbeauftragten für den Datenschutz
Verantwortliche können einen den rechtlichen, technischen und organisatorischen Standards entsprechenden Datenschutz nur sicherstellen, wenn sie auch über das dafür erforderliche Wissen verfügen. Vor diesem Hintergrund lege ich besonderen Wert auf ein differenziertes Angebot an Orientierungshilfen, Arbeitspapieren, Aktuellen Kurz-Informationen sowie sonstigen Materialien. Dieses Angebot habe ich im Berichtszeitraum gepflegt und weiter ausgebaut. Es steht auf meiner Internetpräsenz https://www.datenschutz-bayern.de in der Rubrik "Datenschutzreform 2018" zum kostenfreien Abruf bereit.
So habe ich wieder zwei umfangreiche Orientierungshilfen zu zentralen Fragen des Datenschutzrechts veröffentlicht. Die meinem Aufgabenkreis entsprechend an bayerische öffentliche Stellen adressierten Papiere erfahren erfreulicherweise Resonanz auch im nichtöffentlichen Bereich sowie außerhalb Bayerns.
- Die Orientierungshilfe "Das Recht auf Löschung nach der Datenschutz-Grundverordnung" widmet sich Art. 17 DSGVO, einem wichtigen Betroffenenrecht. Voraussetzungen und Rechtsfolge werden Schritt für Schritt anhand zahlreicher Beispiele erläutert; eine ausführliche Behandlung erfahren auch die Ausschlussgründe. Bayerische öffentliche Stellen finden so Anleitung bei der Bearbeitung von Löschungsanträgen; Bürgerinnen und Bürger können nachlesen, wie Löschungsansprüche zu verwirklichen sind.
- Die Orientierungshilfe "Risikoanalyse und Datenschutz-Folgenabschätzung" bildet einen wesentlichen Baustein in einem größeren Informationspaket, das in Beitrag Nr. 12.2 näher vorgestellt ist.
Das im Berichtszeitraum veröffentlichte Arbeitspapier "Datenschutz bei der Nutzung von Telefax-Diensten" nimmt ein bereits etwas betagtes, im öffentlichen Sektor jedoch noch immer beliebtes Kommunikationsmittel in den Blick und formuliert auf aktuellem Stand datenschutzrechtliche Anforderungen an einen sicheren Einsatz. Fortgesetzt habe ich die Reihe der Aktuellen Kurz-Informationen; vier dieser Papiere erschienen neu, fünf bereits früher publizierte wurden dem aktuellen Rechtsstand angepasst.
Ferner habe ich im Berichtsjahr den Newsletter "Privacy in Bavaria" neu eingeführt, der stets auf nur einer DIN A4-Seite neueste aufsichtsbehördliche Veröffentlichungen, Judikatur und Hinweise auf praxisrelevante Fachbeiträge vorstellt, jeweils mit einer kurzen Information zum datenschutzrechtlichen "Nährwert". Ab Juni erschienen in unregelmäßigen Abständen sieben Ausgaben in deutscher und englischer Sprache. So erhalten nicht nur bayerische öffentliche Stellen und ihre behördlichen Datenschutzbeauftragten alle paar Wochen ein Update zur Entwicklung des Datenschutzrechts im öffentlichen Sektor; auch jenseits der Landesgrenzen ist die Möglichkeit eröffnet, bei geringem Aufwand Blicke auf die bayerische - und deutsche - Datenschutzwelt zu werfen.
Zudem habe ich mich im Berichtsjahr entschlossen, eine Präsenz in den Sozialen Medien aufzubauen. Dabei wird es nicht überraschen, dass ich besonders darauf geachtet habe, ein datenschutzkonform zu nutzendes Instrument auszusuchen. Meine Wahl fiel auf den Microblogging-Dienst Mastodon, der auch vom Bundesbeauftragten für den Datenschutz und die Informationsfreiheit genutzt wird. Ich freue mich, dass mein Account https://social.bund.de/@BayLfD (externer Link) dort einen Host gefunden hat. Ich nutze den Kanal derzeit schwerpunktmäßig dafür, über meine aktuellen Publikationen zu informieren; er bietet so neben dem seit Langem bestehenden RSS-Feed eine weitere Option, datenschutzfachlich auf dem Laufenden zu bleiben.
Der Kanal bringt darüber hinaus auch Mastodon-exklusive Informationen. Dazu gehört etwa die "Datenschutzfrage der Woche" (#DPQW): Außerhalb der bayerischen Schulferien gibt es seit Dezember jeden Donnerstag eine Frage und eine Antwort - beides grundsätzlich höchstens 500 Zeichen lang. Datenschutzwissen so knapp zu verpacken, ist manches Mal eine Herausforderung. Erfreulicherweise haben mir auch Nutzende des Kanals bereits Vorschläge für dieses Format zukommen lassen. Die Mastodon-Aktion "Wie bekomme ich die Cookies auf meiner Homepage unter Kontrolle?" leitete fünf Tage lang in 17 Posts mit zahlreichen verlinkten Materialien durch ein Prüfprogramm, das zur datenschutzrechtlichen Optimierung von Webseiten nicht nur bayerischer öffentlicher Stellen beitragen kann.
Für das Jahr 2023 ist ein weiterer Ausbau des Informationsangebots in den klassischen Formen von Orientierungshilfen, Arbeitspapieren und Aktuellen Kurz-Informationen, mit dem Newsletter sowie auf meinem Mastodon-Kanal geplant.
2.2. Versand von Hybridbriefen durch bayerische öffentliche Stellen
Im Zuge der fortschreitenden Digitalisierung entstehen neue, ganz oder teilweise elektronische Postdienstleistungen. Dies gilt auch für den Bereich der Briefübermittlung. Bayerische öffentliche Stellen können insbesondere Angebote sogenannter Hybridbriefe nutzen. Hybridbriefe verbinden elektronische und papierförmige Kommunikation. Das Dokument wird vom Absender elektronisch verfasst und mitsamt den notwendigen Adressdaten elektronisch an einen Postdienstleister oder einen mit diesem kooperierenden Dienstleister übermittelt. Dort wird der Brief ausgedruckt, kuvertiert und frankiert; anschließend wird er durch den Postdienstleister dem Empfänger analog zugeleitet.
Mich erreichen immer wieder Anfragen bayerischer öffentlicher Stellen, die den Hybridbrief gerade für Massenverwaltungsverfahren nutzen möchten, jedoch unsicher sind, was dabei datenschutzrechtlich zu beachten ist. Die vorliegende Aktuelle Kurz-Information zeigt auf, welche Rolle das Datenschutzrecht auf den einzelnen Abschnitten des Weges spielt, den ein Hybridbrief von seinem Absender zum Empfänger nimmt (Nr. 2.2.1 bis 2.2.3). Sie geht auf das Verhältnis zwischen dem Absender und "seinem" Postdienstleister ein (Nr. 2.2.4) und gibt Hinweise zur Gewährleistung eines angemessenen Schutzniveaus während des Kommunikationsprozesses (Nr. 2.2.5)
2.2.1. Verarbeitung personenbezogener Daten beim Hybridbrief
Briefe enthalten mit obligatorischen Angaben der Absender- und Empfängeradresse, aber auch inhaltlich ("im Umschlag") regelmäßig eine Vielzahl personenbezogener Daten. Beim herkömmlichen Briefversand verfasst und verschickt eine bayerische öffentliche Stelle den Brief und verarbeitet dabei die personenbezogenen Daten aufgrund der jeweiligen - gegebenenfalls fachgesetzlichen - Rechtsgrundlagen. Der konventionelle Brief- und Pakettransport durch einen Postdienstleister wird datenschutzrechtlich üblicherweise als eine Datenverarbeitung durch einen eigenständigen Verantwortlichen angesehen. Dahinter steht die Überlegung, dass die Postdienstleistung im Kern keine Verarbeitung personenbezogener Daten zum Gegenstand habe, sondern diese Verarbeitung nur eine unvermeidliche "Begleiterscheinung" sei, und der Postdienstleister daher nicht im Auftrag und nach Weisung Daten verarbeite, wie dies bei der Auftragsverarbeitung der Fall sei.
Der Postdienstleister nimmt zum Zweck der Zustellung von den Adressdaten Kenntnis, grundsätzlich jedoch nicht vom Inhalt der Postsendung, der durch das Postgeheimnis geschützt ist. Postdienstleistung ist gemäß § 4 Nr. 1 Postgesetz (PostG) die gewerbsmäßige Sendungsbeförderung. Als eigenständiger Verantwortlicher muss der Postdienstleister die Verarbeitung personenbezogener Daten auf eine Rechtsgrundlage nach Art. 6 Abs. 1 UAbs. 1 DSGVO stützen können. Gesetzliche Verarbeitungsbefugnisse, die sich auf die Verarbeitung der Adressdaten zum Zwecke der ordnungsgemäßen Zustellung von Postsendungen beziehen, enthält § 41a PostG.
Der Versand von Hybridbriefen unterscheidet sich vom klassischen Briefversand durch seine Mehrstufigkeit. Das Dokument wird zunächst vom Absender elektronisch verfasst, dann aber nicht selbstständig ausgedruckt, kuvertiert und abgeschickt, sondern elektronisch an den Postdienstleister oder ein mit diesem kooperierendes Unternehmen übermittelt. Dieser Datentransfer ist der anknüpfenden klassischen Briefzustellung vorgelagert. Er unterliegt - soweit im Rahmen einer Telekommunikationsdienstleistung erbracht - dem Fernmeldegeheimnis, während die anschließende Beförderung des fertiggestellten Briefs als Postdienstleistung - wie bei der klassischen Briefzustellung - dem Postgeheimnis unterfällt.
Die Besonderheit des Hybridbrief-Versands liegt also darin, dass die eigentliche Erstellung des papierförmigen Briefs aus den übermittelten elektronischen Daten als (zusätzliche) Dienstleistung an den Postdienstleister oder ein kooperierendes Unternehmen ausgelagert wird. Soweit es bei Hybridbriefen zum Transport des fertiggestellten Briefs kommt, ergeben sich keine Unterschiede hinsichtlich der datenschutzrechtlichen Verantwortlichkeit im Vergleich zum klassischen Brieftransport: Der fertiggestellte Hybridbrief wird durch den Postdienstleister, der als eigenständiger Verantwortlicher fungiert, zugestellt.
Die eingeschobene Phase der elektronischen Datenübertragung und Brieferstellung hält auch rechtliche Besonderheiten bereit:
Hier wird die - wenngleich automatisierte (vgl. Art 4 Nr. 2 DSGVO) - Verarbeitung von Inhaltsdaten Gegenstand der Dienstleistung. Für diese Verarbeitung personenbezogener Daten durch den Postdienstleister oder ein mit diesem kooperierendes Unternehmen existiert keine gesetzliche Verarbeitungsbefugnis. Die Leistung kann allerdings im Rahmen eines Auftragsverarbeitungs-Verhältnisses (Art. 4 Nr. 8, Art. 28 DSGVO) für den Absender erbracht werden. Aufgrund der Privilegierung der Auftragsverarbeitung - die Verarbeitung des Auftragsverarbeiters leitet sich letztlich von der Rechtsgrundlage des Verantwortlichen ab - bedarf der jeweilige Dienstleister für diese Phase des Hybridbriefversands keiner eigenständigen Rechtsgrundlage. Die bayerische öffentliche Stelle als Auftraggeber muss dann sicherstellen, dass die gesetzlichen Vorgaben für eine Auftragsverarbeitung eingehalten werden.
Abzugrenzen vom Hybridbrief-Versand ist die medienbruchfreie und somit durchgängig elektronische Briefübermittlung, wie sie beispielweise im De-Mail-Gesetz (DeMailG) geregelt ist.
Ob und zu welchen Bedingungen der Einsatz von Hybridbriefen in Betracht kommt, ist vom Verantwortlichen unter Beachtung der nachstehenden Ausführungen zu entscheiden.
2.2.2. Normative Übermittlungsregelungen
Existieren für die betrachtete Übermittlung - von eventuell vorhandenen, spezialgesetzlichen Regelungen zu einer Auftragsverarbeitung abgesehen (dazu Nr. 2.2.4) - einschlägige Übermittlungsvorschriften, etwa Regelungen zur elektronischen Kommunikation, so ist deren Einhaltung vorab zu prüfen. Zu berücksichtigen sind insbesondere Anforderungen an die Form der zu übermittelnden Dokumente oder an Übermittlungsmodalitäten.
Da Hybridbriefe letztlich ausgedruckt werden, kommen sie jedenfalls dann nicht in Betracht, wenn auch der herkömmliche Postversand ausscheidet, also wenn etwa gesetzlich eine rein elektronische Kommunikation geboten ist, vgl. etwa Art. 20 Abs. 3 Bayerisches Digitalgesetz. Gesetzliche Vorgaben, elektronische Kommunikationsformen zu nutzen (vgl. etwa die "Soll"-Vorschrift des § 67 Abs. 1 Fünftes Buch Sozialgesetzbuch - Gesetzliche Krankenversicherung -), sollten daher nicht als Aufforderung zur Nutzung von Hybridbriefverfahren missverstanden werden. Nicht abschließend geklärt ist, ob Hybridbriefe geeignet sind, verwaltungsverfahrensrechtliche Anforderungen an die Schriftform zu erfüllen.
2.2.3. Informationspflichten
Eine weitere Besonderheit ergibt sich hinsichtlich der Informationspflichten des datenschutzrechtlich Verantwortlichen, der ein Hybridbrief-Angebot nutzt. Eine bayerische öffentliche Stelle hat als Absender im Rahmen ihrer Informationspflichten gemäß Art. 13 Abs. 1 Buchst. e DSGVO und Art. 14 Abs. 1 Buchst. e DSGVO auf den jeweiligen Postdienstleister und/oder dessen Kooperationspartner als Empfänger von personenbezogenen Daten hinzuweisen. Schließlich können auch Auftragsverarbeiter "Empfänger" im Sinne von Art. 4 Nr. 9 DSGVO sein. Zwar werden auch beim klassischen Briefversand die personenbezogenen Adressdaten des Briefempfängers dem Postunternehmen als Datenempfänger offenbart. Die Tatsache der Offenbarung von Adressdaten gegenüber dem Postunternehmen zum Zwecke der Briefzustellung ist der empfangenden betroffenen Person allerdings regelmäßig bereits bekannt, so dass sich eine gesonderte Information gegebenenfalls gemäß Art. 13 Abs. 4 DSGVO, Art. 14 Abs. 5 Buchst. a DSGVO erübrigt. Der betroffenen Person ist aber von sich aus regelmäßig nicht bekannt, ob die absendende bayerische öffentliche Stelle vom Hybridbriefverfahren Gebrauch macht oder nicht und in diesem Rahmen nicht nur Adressdaten, sondern auch den Briefinhalt dem Dienstleistungsunternehmen offenbart.
2.2.4. Auftragsverarbeitung und bereichsspezifischeSonderregelungen
Kommt der Postversand mittels Hybridbrief grundsätzlich in Betracht, müssen die Voraussetzungen der Auftragsverarbeitung gemäß Art. 4 Nr. 8, Art. 28 DSGVO eingehalten werden. Die allgemeinen Anforderungen zur Zulässigkeit von Auftragsverarbeitungen sind umfassend in der Orientierungshilfe "Auftragsverarbeitung" dargestellt. Insbesondere muss ein Vertrag zwischen dem Verantwortlichen und dem Auftragsverarbeiter geschlossen werden, der den Anforderungen von Art. 28 Abs. 3 DSGVO genügt.
Möchte sich der Postdienstleister bei der Brieferstellung eines weiteren Dienstleisters als Unter-Auftragsverarbeiter bedienen, so sind insbesondere die Art. 28 Abs. 2 und 4 DSGVO einzuhalten (vgl. auch Art. 28 Abs. 3 UAbs. 1 Satz 2 Buchst. d DSGVO). Dabei ist zu beachten, dass die Einbeziehung eines Unter-Auftragsverarbeiters gemäß Art. 28 Abs. 2 DSGVO stets der Genehmigung des Verantwortlichen bedarf. Der Auftragsverarbeiter muss dem Unter-Auftragsverarbeiter gemäß Art. 28 Abs. 4 DSGVO dieselben vertraglichen Datenschutzpflichten auferlegen, die ihn vertraglich binden. Grundsätzlich muss der Auftragsverarbeitungsvertrag gemäß Art. 28 Abs. 3 UAbs. 1 Satz 2 Buchst. b DSGVO auch gewährleisten, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Dies ist relevant, weil es trotz einer weitgehend automatisierten Datenverarbeitung beim Ausdruck seitens des Auftragsverarbeiters zur Kenntnisnahme durch Beschäftigte kommen kann, wenn etwa bei Wartungsarbeiten oder zur Störungsbehebung technisches Personal Einsicht in Briefe nimmt oder dies stichprobenartig zur Qualitätssicherung erfolgt.
Defizite können hier nicht nur datenschutzrechtliche, sondern - mit Blick auf § 203 Strafgesetzbuch (StGB) - auch strafrechtliche Konsequenzen haben. Beschäftigte bayerischer öffentlicher Stellen können als Amtsträger (vgl. § 11 Abs. 1 Nr. 2 StGB) gemäß § 203 Abs. 2 Satz 1 Nr. 1 StGB Geheimnisträger sein. Eine gesetzliche Offenbarungsbefugnis hat der Gesetzgeber in Bezug auf externe Dienstleister zwar in § 203 Abs. 3 Satz 2 StGB geschaffen. Somit hält sich das Strafbarkeitsrisiko des Amtsträgers bei der Weitergabe entsprechend geschützter Geheimnisse im Rahmen einer zulässigen Auftragsverarbeitung in Grenzen, soweit Auftragsverarbeiter "mitwirkende Personen" im Sinne von § 203 Abs. 3 Satz 2 StGB sein können. Gleichwohl ist auch mit Blick auf die Straftatbestände des § 203 Abs. 4 StGB ein exaktes Vorgehen im Bereich der Informationsweitergabe angezeigt.
Zu beachten sind neben den allgemeinen Vorgaben der Datenschutz-Grundverordnung auch bereichsspezifische Sonderregelungen zur Auftragsverarbeitung, die der Gesetzgeber in besonders sensiblen Fällen eingeführt hat. Sonderregelungen für Auftragsverarbeitungen finden sich etwa im Melderecht, im Steuerrecht, im Sozialrecht und im Personaldatenschutzrecht.
Beispielsweise gilt bei der Verwaltung von Realsteuern (nach § 3 Abs. 2 Abgabenordnung - AO - Grundsteuer und Gewerbesteuer), kommunalen Steuern und Fremdenverkehrsbeiträgen - gegebenenfalls nach Maßgabe von Art. 13 Abs. 1 Nr. 1 Buchst. c Kommunalabgabengesetz - das steuerliche Offenbarungsverbot (§ 30 AO). Nach § 30 Abs. 9 AO dürfen die Finanzbehörden sich bei der Verarbeitung geschützter Daten nur dann eines Auftragsverarbeiters bedienen, wenn diese Daten ausschließlich durch Personen verarbeitet werden, die zur Wahrung des Steuergeheimnisses verpflichtet sind. Soweit diese Personen nicht bereits Amtsträger (vgl. §§ 7, 30 Abs. 1 AO) oder Gleichgestellte (vgl. § 30 Abs. 3 AO) sind, ist eine Verpflichtung nach dem Verpflichtungsgesetz (VerpflG) erforderlich.
Gemäß § 1 Abs. 1 Nr. 2 VerpflG soll auf die gewissenhafte Erfüllung seiner Obliegenheiten verpflichtet werden, wer unter anderem bei einem Betrieb oder Unternehmen, das für eine Behörde oder sonstige Stelle Aufgaben der öffentlichen Verwaltung ausführt, beschäftigt ist. Dies wird bei Beschäftigten eines privaten Dienstleistungsunternehmens, das mit der Erstellung von Hybridbriefen für bayerische öffentliche Stellen betraut ist, regelmäßig der Fall sein. Im Vertrag über die Auftragsverarbeitung muss zudem festgelegt werden, dass ausschließlich diese besonders verpflichteten Personen tätig werden und der Einsatz von nicht verpflichtetem Personal auch bei Beteiligung von weiteren Auftragsverarbeitern ausgeschlossen ist.
2.2.5. Nachweis eines angemessenen Schutzniveaus
Nach der Datenschutz-Grundverordnung ist jeder Verantwortliche (und grundsätzlich auch jeder Auftragsverarbeiter) verpflichtet, mittels der wirksamen Umsetzung von Schutzmaßnahmen ein dem Verarbeitungsrisiko angemessenes Schutzniveau zu gewährleisten. Welche Schutzmaßnahmen dem Risiko entsprechend wirksam umgesetzt werden müssen, wird grundsätzlich durch eine datenschutzrechtliche Risikoanalyse ermittelt und nachgewiesen.
Bei einer solchen Risikoanalyse sind in dem hier betrachteten Verfahren für den hybriden Briefversand insbesondere folgende Aspekte eingehend zu behandeln:
- Vertraulichkeit: Beim Hybridbrief muss die vertrauliche Behandlung der übermittelten personenbezogenen Daten durchgängig gewährleistet werden. Insbesondere bei der elektronischen Übermittlung, bei der Datenaufbewahrung, bei dem (automatisierten) Ausdruck sowie bei der (automatisierten) Kuvertierung sind angemessene Schutzmaßnahmen gegen die unbefugte Kenntnisnahme beim Auftragsverarbeiter wirksam umzusetzen.
- Datenminimierung: Zu gewährleisten ist auch, dass nach der Erreichung des Verarbeitungszwecks die Briefdaten - insbesondere der Briefinhalt - beim Auftragsverarbeiter zuverlässig wieder gelöscht werden. Bei Versäumnissen in diesem Bereich kann rasch ein umfangreicher illegaler Datenbestand anwachsen.
- Nichtverkettung: Beim Hybridbrief-Verfahren werden nicht nur die Adressdaten, sondern auch die vollständigen Inhalte der Hybridbriefe, die unterschiedliche und sensible Informationen enthalten können, in elektronischer Form beim Auftragsverarbeiter verarbeitet. Die Verarbeitung dieser Daten kann etwa für Werbezwecke des Auftragsverarbeiters sehr gewinnbringend sein. Daher sind Vorkehrungen zu treffen, dass die Daten eines Hybridbriefes vom Auftragsverarbeiter nur für den Versandzweck verarbeitet werden können.
Bayerischen öffentlichen Stellen ist es grundsätzlich gestattet, unter Einhaltung datenschutzrechtlicher und technisch-organisatorischer Vorgaben Hybridbriefe zu versenden. Die insoweit erfolgende Verarbeitung personenbezogener Daten muss den Verarbeitungsgrundsätzen gemäß Art. 5 DSGVO entsprechen. Vor Durchführung des Hybridbriefversands ist insbesondere die Einhaltung allgemeiner und bereichsspezifischer Vorgaben zur Auftragsverarbeitung zu prüfen und der Nachweis eines angemessenen Schutzniveaus zu erbringen.
2.3. Externe Schriftarten auf Webseiten bayerischer öffentlicher Stellen
Zur Attraktivität einer Webseite kann auch die typografische Gestaltung beitragen. Viele Webseitenanbieter sind dabei mit den überall verfügbaren Standard-Schriftarten (etwa Times New Roman, Arial, Verdana) nicht zufrieden; sie möchten etwa die "Hausschrift" aus dem eigenen Corporate Design nutzen oder überhaupt eine individuellere Wirkung erzielen. In diesem Zusammenhang kommen neben lizensierten Schriftarten oftmals solche zum Einsatz, die im Internet frei verfügbar bereitgestellt werden, insbesondere in Gestalt von Web Fonts. Auch auf den Internetpräsenzen bayerischer öffentlicher Stellen finden solche Web Fonts Verwendung. Das kann aus Datenschutzsicht Probleme mit sich bringen. Die vorliegende Aktuelle Kurz-Information erläutert, was insofern zu beachten ist.
2.3.1. Was sind Web Fonts?
Web Fonts sind Vektorschriften, die auf einem Bildschirm unabhängig von Plattform (Desktop-PC, Smartphone, Tablet), Betriebssystem und Browser einheitlich dargestellt werden können. Der Browser greift dabei ergänzend zur internen Schriftenbibliothek auf eine im Netz hinterlegte Schriftdatei zu. Im Internet gibt es viele Angebote von Web Fonts. Einer der bekanntesten Drittanbieter dürfte Google mit der Dienstleistung "Google Fonts" sein, in deren Rahmen über 1.000 Schriftarten bereitstehen.
2.3.2. Wie werden Web Fonts in eine Webseite integriert?
Web Fonts können in eine Webseite auf zweierlei Art eingebunden werden: Sie können auf dem eigenen Server des Webseitenbetreibers gehostet werden (Selbsthosting) oder auf dem Server eines Drittanbieters (Fremdhosting).
Üblicherweise werden Web Fonts auf Webseiten in Form des Fremdhostings extern integriert. Beim Aufruf der Webseite wird eine Verbindung zum Server des Drittanbieters aufgebaut; der Browser der Nutzerin oder des Nutzers lädt von dort die für die Darstellung der Webseite benötigte Schriftdatei. Technisch wird die Einbindung regelmäßig durch eine Anweisung im HTML-Code der Webseite erreicht. Beim Verbindungsaufbau zum Server des Drittanbieters wird zumindest die IP-Adresse der Nutzerin oder des Nutzers übermittelt. Der Drittanbieter hat damit die Möglichkeit, diese Information - etwa zu Analysezwecken - weiterzuverarbeiten.
Alternativ können Webseitenbetreiber die benötigten Web Fonts lokal einsetzen, indem sie die Schriftdateien auf dem eigenen Server verfügbar machen. Ruft eine Nutzerin oder ein Nutzer die Webseite auf, wird der Browser für die Schriftdatei auf die Schriftbibliothek des Webseitenbetreibers verwiesen; eine Verbindung zu einem Drittanbieter wird nicht aufgebaut. Diese Variante erfreut sich allerdings geringerer Beliebtheit als die externe Einbindung, weil ihr längere Ladezeiten zugeschrieben werden.
2.3.3. Dynamische Einbindung nur mit wirksamer Einwilligung
Werden aufgrund der externen Einbindung von Web Fonts Nutzerdaten, etwa die IP-Adresse, an einen Drittanbieter übermittelt, benötigt der Webseitenbetreiber dafür eine Rechtsgrundlage (vgl. Art. 6 Abs. 1 DSGVO).
Der Webseitenbetreiber ist im Falle der Einbindung von Web Fonts als Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO anzusehen, da er über die Mittel und Zwecke der Datenverarbeitung (mit-)entscheidet. Mit der externen Einbettung von Drittdiensten (wie Web Fonts) in die Webseite veranlasst er, dass der Drittanbieter personenbezogene Daten der Nutzerinnen und Nutzer erhält. Zum Erheben und Übermitteln der Nutzerdaten (als Zwischenziel) setzt er Web Fonts wie ein "Werkzeug" ein. Die Verantwortlichkeit ist dem Webseitenbetreiber auch nicht mit der Erwägung abzusprechen, dass er keinerlei Einfluss auf die (Weiter-)Verarbeitung beim Drittanbieter habe. Allerdings ist die Verantwortlichkeit des Webseitenbetreibers auf das Erheben und Übermitteln der Nutzerdaten beschränkt, weil er nur insofern über die Mittel und Zwecke der Verarbeitung bestimmen kann.
Als Rechtsgrundlage kommt bei den Webangeboten bayerischer öffentlicher Stellen in aller Regel nur die Einwilligung (Art. 6 Abs. 1 UAbs. 1 Buchst. a DSGVO) in Betracht. Diese Stellen können sich - anders als nichtöffentliche - wegen Art. 6 Abs. 1 UAbs. 2 DSGVO nicht auf Art. 6 Abs. 1 UAbs. 1 Buchst. f DSGVO berufen. Auch nichtöffentlichen Stellen bliebe die Begründung eines berechtigten Interesses allerdings verwehrt, wenn mit der Möglichkeit einer lokalen Einbindung eine vorzugswürdige Alternative besteht.
Hinweis: Werden beim Abruf von externen Schriftarten im Browser Cookies von Drittanbietern gesetzt oder ausgelesen (Third-Party-Cookies) oder ähnliche Technologien genutzt, ist dafür (zusätzlich) eine Einwilligung nach § 25 Abs. 1 Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) erforderlich. Insbesondere greift keine von diesem Erfordernis befreiende Ausnahme nach § 25 Abs. 2 TTDSG ein. Kommen Cookies oder ähnliche Technologien nicht zum Einsatz, ist der Anwendungsbereich des § 25 TTDSG nicht tangiert. Die Rechtmäßigkeit der Datenverarbeitung richtet sich in diesem Fall ausschließlich nach den Bestimmungen der Datenschutz-Grundverordnung.
Wird die Einwilligung mittels eines Einwilligungsbanners oder einer sogenannten Consent Management Plattform (CMP) eingeholt, muss sie den Anforderungen der Art. 6 Abs. 1 UAbs. 1 Buchst. a, Art. 4 Nr. 11 und Art. 7 DSGVO genügen. Sie muss danach insbesondere freiwillig (Art. 4 Nr. 11 DSGVO), informiert (Art. 4 Nr. 11 DSGVO), auf einen bestimmten Zweck (Art. 6 Abs. 1 UAbs. 1 Buchst. a DSGVO) und auf eine bestimmte Verarbeitung bezogen (Art. 4 Nr. 11 DSGVO) sowie unmissverständlich (Art. 4 Nr. 11 DSGVO) sein. Die Einwilligung wirkt grundsätzlich bis zu ihrem Widerruf (Art. 7 Abs. 3 Satz 1, 2, Abs. 4 DSGVO).
Für die Einbindung von externen Schriftarten bedeutet dies insbesondere,
- dass keine Daten (IP-Adresse) an Server der Drittanbieter übermittelt werden dürfen, bevor eine Einwilligung mittels Einwilligungsbanners oder CMP erteilt wurde, sowie
- dass insbesondere klar und deutlich anzugeben ist, welche Daten (etwa die IP-Adresse) verarbeitet werden, an wen (Name des Drittanbieters) sie übermittelt werden und zu welchem Zweck dies geschieht.
Stammt der Web Font-Anbieter aus dem Nicht-EU-Ausland, sind auch die Anforderungen von Art. 44 ff. DSGVO zu erfüllen. Der Webseitenbetreiber muss im Rahmen seiner Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO) gegenüber der Datenschutz-Aufsichtsbehörde einen entsprechenden Nachweis führen können. Der Aufwand bei der Erfüllung dieser Pflicht sollte nicht unterschätzt werden.
Bindet eine bayerische öffentliche Stelle externe Web Fonts auf ihrer Webseite ein, ohne dafür eine wirksame Einwilligung und erforderlichenfalls die Einhaltung der Art. 44 ff. DSGVO nachweisen zu können, ist die Übermittlung der IP-Adresse wie auch weiterer personenbezogener Daten von Nutzerinnen und Nutzern nicht rechtmäßig. Nach Auffassung des Landgerichts München I kommt in einem Fall dieser Art ein Anspruch gegen den Webseitenbetreiber auf Unterlassen der Weitergabe der IP-Adresse (§ 823 Abs. 1 in Verbindung mit § 1004 Bürgerliches Gesetzbuch analog) sowie auf Schadensersatz (Art. 82 Abs. 1 DSGVO) in Betracht.
Der Verstoß gegen datenschutzrechtliche Vorgaben - etwa gegen Art. 5 Abs. 1 Buchst. a DSGVO, wenn die für eine Verarbeitung eingeholte Einwilligung nicht wirksam ist - kann nur unter den Voraussetzungen von Art. 4 Nr. 12 DSGVO eine Meldepflicht nach Art. 33 Abs. 1 DSGVO auslösen, jedoch unabhängig vom Entstehen einer solchen Pflicht datenschutzaufsichtliche Maßnahmen nach sich ziehen.
2.3.4. Einfache Alternative: Lokale Einbindung
Eine einfache Lösung, Schriftarten in datenschutzrechtlicher Hinsicht rechtssicher und risikofrei in eine Webseite einzubinden, ist das Selbsthosting. Insbesondere bei Schriftarten US-amerikanischer Anbieter sollte diese Alternative erwogen werden. Hier wird gerade keine Verbindung der Plattform der Nutzerin oder des Nutzers mit dem Server eines Drittanbieters hergestellt; die IP-Adresse und gegebenenfalls auch andere Daten werden nicht übermittelt und es kommen auch keine Third-Party-Cookies zum Einsatz. Die Einholung einer dafür benötigten Einwilligung ist somit entbehrlich.
Entscheidet sich eine bayerische öffentliche Stelle für die Nutzung von Web Fonts, sollte sie diese daher möglichst selbst hosten. Hierzu muss sie die gewünschte Schriftart unter Beachtung der lizenzrechtlichen Rahmenbedingungen auf dem eigenen Server zur Verfügung stellen und von dort in die Webseite einbinden.
Soweit ein Webseitenbetreiber längere Ladezeiten befürchtet, sollte er auch bedenken, dass die gewünschte Schriftart bei einer externen Einbindung bis zur Erteilung der Einwilligung nicht geladen werden darf und die Webseite bis zu diesem Zeitpunkt ebenfalls nur provisorisch (mit der dem Browser verfügbaren Schriftart) dargestellt werden kann.
2.4. Externe behördliche Datenschutzbeauftragte: Transparenzanforderungen
Öffentliche Stellen nehmen bei der Erfüllung ihrer datenschutzrechtlichen Verpflichtungen zunehmend die Unterstützung durch externe behördliche Datenschutzbeauftragte, welche im Rahmen von Dienstleistungsverträgen beauftragt werden, in Anspruch. Dies kann jedoch zu Schwierigkeiten führen, wenn der Einsatz dieser externen behördlichen Datenschutzbeauftragten für die Bürgerinnen und Bürger nicht hinreichend transparent erfolgt. Im Berichtszeitraum war ich mehrfach mit folgender Problematik befasst:
Von den Datenverarbeitungen einer öffentlichen Stelle betroffene Personen hatten Auskunftsansprüche nach Art. 15 DSGVO geltend gemacht und wurden sodann von den externen Datenschutzbeauftragten der öffentlichen Stelle aufgefordert, ihre Identität nachzuweisen, um einen Zugriff von Unbefugten auf personenbezogene Daten zu vermeiden. Dabei hatten sich die externen behördlichen Datenschutzbeauftragten entweder gar nicht als solche identifiziert bzw. nach Änderung des Kommunikationsweges nicht nochmals als solche identifiziert. Beispielsweise hatte der externe behördliche Datenschutzbeauftragte den betroffenen Bürger zunächst per E-Mail kontaktiert und dabei seine Funktion offengelegt, bei der nächsten Kontaktaufnahme per Briefpost jedoch darauf verzichtet und war insoweit nur unter dem Namen des Privatunternehmens, bei dem der angestellt war, aufgetreten. Gegen diese Praxis haben sich betroffene Personen bei mir beschwert.
Aus datenschutzrechtlicher Sicht habe ich diese Praxis wie folgt bewertet:
Zwar ist auch für öffentliche Stellen der Einsatz externer behördlicher Datenschutzbeauftragter gemäß Art. 37 Abs. 6 DSGVO möglich. Werden diese jedoch für öffentliche Stellen tätig, so muss aus ihren Handlungen, insbesondere aus ihren Schreiben und Nachrichten, für die betroffenen Bürgerinnen und Bürger jederzeit klar und eindeutig erkennbar sein, dass die handelnde Person externer behördlicher Datenschutzbeauftragter der öffentlichen Stelle ist. Dies gilt nicht nur bei der erstmaligen Kontaktaufnahme, sondern auch für den Fall, dass bei laufender Kommunikation das Medium gewechselt wird. Wird dies nicht beachtet, verstößt die öffentliche Stelle gegen ihre Transparenzpflichten aus Art. 5 Abs. 1 Buchst. a DSGVO und gegen Art. 38 Abs. 4 DSGVO, da hierdurch den Betroffenen ihr Konsultationsrecht beim Datenschutzbeauftragten erschwert wird.
Da in den von mir zu bewertenden Fällen aus der E-Mail-Adresse oder E-Mail-Signatur des externen behördlichen Datenschutzbeauftragten bzw. zumindest aus dem später per Brief versandten Schreiben nicht hervorging, dass dieser in solcher Funktion für die öffentliche Stelle handelte, habe ich jeweils einen Verstoß gegen datenschutzrechtliche Vorschriften festgestellt. Ich habe die betreffenden öffentlichen Stellen aufgefordert, zukünftig auf ein jederzeitiges transparentes Auftreten des externen behördlichen Datenschutzbeauftragten zu achten.
Nach meiner Auffassung können externe behördliche Datenschutzbeauftragte dem Transparenzerfordernis unkompliziert dadurch genügen, dass sie in Schreiben oder E-Mails ihrer Unterschrift einen die Funktion kennzeichnenden Zusatz beifügen. Unterhält die öffentliche Stelle ein Webangebot und ist die oder der behördliche Datenschutzbeauftragte dort in den Datenschutzhinweisen namentlich bezeichnet, kann zusätzlich ein entsprechender Link angeboten werden. Dann haben betroffene Personen die Möglichkeit, Angaben in Schreiben oder E-Mails ohne größeren Aufwand zu verifizieren.
- Vgl. Arning/Rothkegel, in: Taeger/Gabel, DSGVO/BDSG/TTDSG, 4. Aufl. 2022, Art. 4 DSGVO Rn. 258. [Zurück]
- Vgl. Altenhain, in: Münchener Kommentar zum StGB, 4. Aufl. 2021, § 206 StGB Rn. 33. [Zurück]
- Vgl. Bayerischer Landesbeauftragter für den Datenschutz, Auftragsverarbeitung, Orientierungshilfe, Stand 4/2019, S. 7, Internet: https://www.datenschutz-bayern.de, Rubrik "Datenschutzreform 2018 - Orientierungs- und Praxishilfen - Auftragsverarbeitung". [Zurück]
- Dafür Schulz, in: Mann/Sennekamp/Uechtritz, Verwaltungsverfahrensgesetz, 2. Aufl. 2019, § 3a VwVfG Rn. 47; kritisch Schmitz, in: Stelkens/Bonk/Sachs, Verwaltungsverfahrensgesetz, 9. Aufl. 2018, § 3a VwVfG Rn. 38h. [Zurück]
- Vgl. Bayerischer Landesbeauftragter für den Datenschutz, Auftragsverarbeitung, Orientierungshilfe, Stand 4/2019, S. 13 ff., Internet: https://www.datenschutz-bayern.de, Rubrik "Datenschutzreform 2018 - Orientierungs- und Praxishilfen - Auftragsverarbeitung". [Zurück]
- Vgl. Weichert, in: Kühling/Buchner, DSGVO/BDSG, 3. Aufl. 2020, Art. 9 DSGVO Rn. 149. [Zurück]
- Vgl. zu einzelnen Regelungen Bayerischer Landesbeauftragter für den Datenschutz, Leitfaden zum Outsourcing kommunaler IT, Stand 3/2021, S. 6 ff., Internet: https://www.datenschutz-bayern.de, Rubrik "Datenschutzreform 2018 - Orientierungs- und Praxishilfen - Auftragsverarbeitung". [Zurück]
- Vgl. allgemein zur Verpflichtung nach dem Verpflichtungsgesetz: Bayerischer Landesbeauftragter für den Datenschutz, Die förmliche Verpflichtung als Instrument des Datenschutzes, Arbeitspapier, Stand 10/2021, Internet: https://www.datenschutz-bayern.de, Rubrik "Datenschutzreform 2018 - Einzelthemen". [Zurück]
- Vgl. Rüsken, in: Klein, AO, 15. Aufl. 2020, § 30 AO Rn. 224. [Zurück]
- Vgl. Bayerischer Landesbeauftragter für den Datenschutz, Risikoanalyse und Datenschutz-Folgenabschätzung, Orientierungshilfe, Stand 5/2022, Internet: https://www.datenschutz-bayern.de, Rubrik "DSFA". [Zurück]
- Europäischer Gerichtshof, Urteil vom 29. Juli 2019, C-40/17, NJW 2019, 2755, Rn. 64 ff., 85. [Zurück]
- Europäischer Gerichtshof, Urteil vom 29. Juli 2019, C-40/17, NJW 2019, 2755, Rn. 77. [Zurück]
- Europäischer Gerichtshof, Urteil vom 29. Juli 2019, C-40/17, NJW 2019, 2755, Rn. 82. [Zurück]
- Landgericht München, Urteil vom 20. Januar 2022, 3 O 17493/20, BeckRS 2022, 612, Rn. 8. [Zurück]
- Näher Bayerischer Landesbeauftragter für den Datenschutz, Bayerische öffentliche Stellen und Telemedien, Stand 12/2021, Internet: https://www.datenschutz-bayern.de, Rubrik "Datenschutzreform 2018". [Zurück]
- Dazu im Einzelnen Bayerischer Landesbeauftragter für den Datenschutz, Die Einwilligung nach der Datenschutz-Grundverordnung, Stand 9/2021, Internet: https://www.datenschutz-bayern.de, Rubrik "Datenschutzreform 2018". [Zurück]
- In Landgericht München, Urteil vom 20. Januar 2022, 3 O 17493/20, BeckRS 2022, 612, kam es auf Art. 44 ff. DSGVO nicht an, weil eine wirksame Einwilligung fehlte und die Datenübermittlung an den Web Font-Anbieter bereits aus diesem Grunde rechtswidrig war. [Zurück]
- Vgl. in diesem Zusammenhang Bayerischer Landesbeauftragter für den Datenschutz, Office-Anwendungen aus Drittstaaten bei bayerischen öffentlichen Stellen, Aktuelle Kurz-Information 39, Stand 12/2021, Internet: https://www.datenschutz-bayern.de, Rubrik "Datenschutzreform 2018". [Zurück]
- Zu den Anforderungen an eine Datensicherheitsverletzung im Einzelnen Bayerischer Landesbeauftragter für den Datenschutz, Meldepflicht und Benachrichtigungspflicht des Verantwortlichen, Stand 6/2019, Rn. 4 ff., Internet: https://www.datenschutz-bayern.de, Rubrik "Datenschutzreform 2018". [Zurück]
- Vgl. auch die entsprechende Empfehlung der österreichischen Datenschutzbehörde, Newsletter 4/2022, Internet: https://www.dsb.gv.at/newsletter/dsb-newsletter-4-2022.html (externer Link), die zur datenschutzrechtlichen Zulässigkeit von Google Fonts ein Prüfverfahren eingeleitet hat. [Zurück]
- Längere Ladezeiten sollen primär dadurch vermieden werden, dass der externe Web Font bereits für andere Webseiten geladen wurde, somit im Cache des Browsers der Nutzerin oder des Nutzers verfügbar ist und nicht erneut abgerufen werden muss. Zu beachten ist hier aber, dass aktuelle Browser aus Datenschutzgründen den Cache partitionieren (Cache Partitioning), so dass auch externe Ressourcen erneut geladen werden müssen und damit dieser vermeintliche Vorteil in Verbindung mit anderen technischen Rahmenbedingungen (zum Beispiel http/2) häufig sogar zu längeren Ladezeiten führen kann. [Zurück]
- Vgl. für nähere Informationen dazu Bayerischer Landesbeauftragter für den Datenschutz, Der behördliche Datenschutzbeauftragte, Stand 5/2018, Internet: https://www.datenschutz-bayern.de, Rubrik "Datenschutzreform 2018 - Orientierungs- und Praxishilfen". [Zurück]
- Vgl. näher zu dieser Thematik Bayerischer Landesbeauftragter für den Datenschutz, Identifizierung bei der Geltendmachung von Betroffenenrechten, Aktuelle Kurz-Information 22, Internet: https://www.datenschutz-bayern.de, Rubrik "Datenschutzreform 2018 - Aktuelle Kurz-Informationen". [Zurück]