≡ Sitemap
Der Bayerische Landesbeauftragte für den Datenschutz (BayLfD)

Sie sind hier: > Start > Tätigkeitsberichte > 32. TB 2022 > 5. Allgemeine Innere Verwaltung

Der Bayerische Landesbeauftragte für den Datenschutz; Stand: 31.12.2022

5. Allgemeine Innere Verwaltung

5.1. Datennutzungssatzungen: nur Aufgabenkonkretisierung für unwesentliche Eingriffe zulässig

Im Rahmen meiner Prüftätigkeit habe ich erfahren, dass einige bayerische Kommunen mit dem Gedanken spielen, sogenannte Datennutzungssatzungen zu erlassen. In diesen Satzungen sollen nach den Vorstellungen der betroffenen Kommunen Datenverarbeitungsbefugnisse im Sinne von Art. 6 Abs. 1 UAbs. 1 Buchst. e DSGVO für freiwillig von den Kommunen übernommene Aufgaben geschaffen werden. Begegnet ist mir etwa folgende Formulierung: "Im Rahmen der Ausübung ihrer Planungsaufträge dürfen nach Maßgabe dieser Satzung seitens der Sozial-, Jugendhilfe- und Bildungsplanung bei der Gemeinde X gesetzlich geschützte Daten aus unterschiedlichen Quellen für planerische Auswertungszwecke erhoben und verarbeitet werden". Aus datenschutzrechtlicher Sicht sind solche Satzungen zur Schaffung von Verarbeitungsbefugnissen jedoch sehr kritisch zu bewerten.

Allenfalls können die Kommunen in einem engen Rahmen und bei geringer Grundrechtsrelevanz durch Satzung Regelungen treffen, in denen gesetzliche Datenverarbeitungsbefugnisse (etwa aus Art. 4 Abs. 1 BayDSG oder § 37 Bundesmeldegesetz - BMG) gleichsam "aktiviert" werden. Dies beruht auf folgenden Erwägungen:

5.1.1. Erforderlichkeit einer Rechtsgrundlage für die Verarbeitung personenbezogener Daten

Öffentliche Stellen, wie sie etwa Kommunen bilden, benötigen für die Verarbeitung personenbezogener Daten eine Rechtsgrundlage (vgl. Art. 6 Abs. 1 DSGVO). Öffentliche Stellen sollen sich bei der Erfüllung ihrer öffentlichen Aufgaben primär auf die speziellen fachgesetzlichen Befugnisse zur Verarbeitung personenbezogener Daten bzw. auf die allgemeine Befugnisnorm des Art. 4 Abs. 1 BayDSG stützen (vgl. Art. 6 Abs. 1 UAbs. 1 Buchst. e DSGVO).

Nach Art. 4 Abs. 1 BayDSG ist die Verarbeitung personenbezogener Daten durch eine öffentliche Stelle unbeschadet sonstiger Bestimmungen zulässig, wenn sie zur Erfüllung einer ihr obliegenden Aufgabe erforderlich ist. Bei Berufung auf die allgemeine Befugnisnorm des Art. 4 Abs. 1 BayDSG hat die öffentliche Stelle grundsätzlich genau zu benennen, welche öffentliche — durch Gesetz auferlegte oder auf Grund gesetzlicher Zulassung ergriffene — Aufgabe sie mit der Datenverarbeitung erfüllt und inwiefern die Datenverarbeitung hierfür erforderlich ist.

Insoweit ist einzuräumen, dass die allgemeine Verarbeitungsbefugnis des Art. 4 Abs. 1 BayDSG nur wenige Tatbestandsmerkmale enthält. Die Vorschrift bezieht die Erforderlichkeit auf eine der betroffenen öffentlichen Stelle obliegende Aufgabe. Gleiches gilt hinsichtlich der allgemeinen Übermittlungsbefugnis in Art. 5 Abs. 1 Satz 1 Nr. 1 Var. 1 BayDSG sowie für melderechtlichen Übermittlungs- oder Weitergabebefugnisse nach § 34 Abs. 1 BMG bzw. § 37 Abs. 1 in Verbindung mit § 34 Abs. 1 BMG.

5.1.2. Erforderlichkeit einer parlamentsgesetzlichen Ermächtigung für Verarbeitungsbefugnisse in kommunalen Satzungen

Kommunen haben gesetzliche Pflichtaufgaben und freiwillige Aufgaben zu erfüllen (vgl. Art. 57 Abs. 1 und 2 Gemeindeordnung - GO, Art. 83 Abs. 1 Verfassung des Freistaates Bayern). Insbesondere können Kommunen im Rahmen ihres Selbstverwaltungsrechts (Art. 28 Abs. 2 Grundgesetz - GG) auch freiwillige öffentliche Aufgaben übernehmen.

Gleichwohl sind die Kommunen nicht befugt, ohne parlamentsgesetzliche Ermächtigung durch Satzung Befugnisse zur Verarbeitung personenbezogener Daten zu schaffen. Dies folgt weniger aus dem Unionsrecht als vielmehr aus dem deutschen Verfassungsrecht. Der Rückgriff auf deutsche Grundrechte ist möglich, weil das Unionsrecht den Mitgliedstaaten im Bereich der datenschutzrechtlichen Normen zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt, oder zur Ausübung öffentlicher Gewalt einen Regelungsspielraum gewährt (vgl. Art. 6 Abs. 1 UAbs. 1 Buchst. e, Abs. 3 UAbs. 1 Buchst. b DSGVO). Es handelt sich bei dem hier in Rede stehenden Bereich um unionsrechtlich nicht vollständig determiniertes innerstaatliches Recht, das an den deutschen Grundrechten zu messen ist. Art. 6 Abs. 2, Abs. 3 UAbs. 1 Buchst. b DSGVO sieht für die Mitgliedstaaten eine Konkretisierungsbefugnis zur Schaffung nationaler Rechtsgrundlagen für die Datenverarbeitung zur Erfüllung öffentlicher Aufgaben vor (Art. 6 Abs. 1 UAbs. 1 Buchst. e DSGVO). Bereits das unionsrechtliche Subsidiaritätsprinzip (Art. 4 Abs. 2, Art. 5 Vertrag über die Europäische Union) streitet dafür, den Mitgliedstaaten bei der Frage des "Wie" der Ausübung dieser Konkretisierungsbefugnis einen Gestaltungsspielraum zuzugestehen, zumal Art. 6 Abs. 2, Abs. 3 UAbs. 1 Buchst. b DSGVO in Bezug auf die Frage des Rangs der nationalen Konkretisierungsgesetze keine Vorgabe macht. Deutlich in diese Richtung auch Erwägungsgrund 41 DSGVO:

Erwägungsgrund 41 DSGVO

Rechtsgrundlagen und Gesetzgebungsmaßnahmen

1Wenn in dieser Verordnung auf eine Rechtsgrundlage oder eine Gesetzgebungsmaßnahme Bezug genommen wird, erfordert dies nicht notwendigerweise einen von einem Parlament angenommenen Gesetzgebungsakt; davon unberührt bleiben Anforderungen gemäß der Verfassungsordnung des betreffenden Mitgliedstaats. 2Die entsprechende Rechtsgrundlage oder Gesetzgebungsmaßnahme sollte jedoch klar und präzise sein und ihre Anwendung sollte für die Rechtsunterworfenen gemäß der Rechtsprechung des Gerichtshofs der Europäischen Union (im Folgenden "Gerichtshof") und des Europäischen Gerichtshofs für Menschenrechte vorhersehbar sein.

So stellt die Verarbeitung von personenbezogenen Daten durch öffentliche Stellen einen Eingriff in das Grundrecht auf informationelle Selbstbestimmung (Art. 2 Abs. 1 in Verbindung mit Art. 1 Abs. 1 GG) der hiervon betroffenen Personen dar. Auf Grund des verfassungsrechtlichen Vorbehalts des Gesetzes bedarf es hierfür einer gesetzlichen Grundlage. Nach der sogenannten Wesentlichkeitstheorie ist "der Gesetzgeber verpflichtet [...],- losgelöst vom Merkmal des ‚Eingriffs‘ - in grundlegenden normativen Bereichen, zumal im Bereich der Grundrechtsausübung, soweit diese staatlicher Regelung zugänglich ist, alle wesentlichen Entscheidungen selbst zu treffen". Das Bundesverfassungsgericht konkretisiert dabei die Wesentlichkeitstheorie insoweit, dass wesentlich (gerade) diejenigen Entscheidungen sind, die für die Verwirklichung von Grundrechten wesentlich sind. Dies hat Auswirkungen auch auf die Frage, ob und wie mit Satzungsautonomie ausgestattete öffentliche Stellen durch eine Bestimmung in einer Satzung in Grundrechte eingreifen dürfen. Auch Kommunen benötigen daher für Grundrechtseingriffe im Rahmen ihres Satzungsrechts eine parlamentsgesetzliche Ermächtigung. Somit bedarf die Kommune einer gesetzlichen Ermächtigung, wenn sie mit einer Datennutzungssatzung in das Recht auf informationelle Selbstbestimmung eingreifen will. Art. 23 Satz 1 GO stellt eine solche Ermächtigung jedoch nicht bereit, weil diese Vorschrift nur zu Regelungen ermächtigt, die nicht in Rechte Dritter eingreifen. Zwar enthält Art. 24 GO gesetzliche Ermächtigungen zum Erlass von Satzungen, die in Grundrechte Dritter eingreifen. Für die Regelung von allgemeinen Datenverarbeitungsbefugnissen im Bereich freiwilliger Aufgaben lässt sich allerdings aus Art. 24 GO keine besondere gesetzliche Ermächtigung ableiten. Daher können Kommunen in Satzungen — auch im Bereich von freiwilligen kommunalen Aufgaben — keine eigenständigen Datenverarbeitungsbefugnisse schaffen.

5.1.3. Zulässig nur Aufgabenkonkretisierung bei unwesentlichen Eingriffen

Denkbar ist vor diesem Hintergrund nur, dass die Kommune in einer Satzung eine freiwillige öffentliche Aufgabe festlegt und sich dann bei der Datenverarbeitung auf daran knüpfende gesetzliche Verarbeitungsbefugnisse wie etwa in Art. 4 Abs. 1 oder Art. 5 Abs. 1 Nr. 1 Var. 1 BayDSG beruft. Auch dadurch wird es den Kommunen aber nicht möglich, quantitativ oder qualitativ in wesentlichem Ausmaß in das Grundrecht auf informationelle Selbstbestimmung einzugreifen. Vielmehr können insbesondere die allgemeinen Verarbeitungsbefugnisse aus dem Bayerischen Datenschutzgesetz auch auf Grund satzungsrechtlicher Aufgabenkonkretisierungen nur unwesentliche Eingriffe legitimieren. Denkbar sind insoweit insbesondere die in meinen Aktuellen Kurz-Informationen 5, 10 und 16 bereits eingehend erläuterten Konstellationen.

5.2. E-Tickets im ÖPNV

5.2.1. Sachverhalt

Die Unternehmen des öffentlichen Personennahverkehrs bieten neben dem klassischen Papierfahrschein zunehmend auch sogenannte E-Tickets an. Hierbei handelt es sich um eine Form der Digitalisierung, mit der viele Bürgerinnen und Bürger tagtäglich bei der Fahrt mit den Verkehrsmitteln des ÖPNV in Berührung kommen. Erfahrungsgemäß verleiten solche elektronischen Angebote aufgrund ihrer systemimmanenten "Einfachheit" dazu, mehr an Daten zu verarbeiten als zur Erreichung des verfolgten Zwecks erforderlich ist, was gegen den Grundsatz der Datenminimierung (Art. 5 Abs. 1 Buchst. c DSGVO) verstößt. Daher habe ich mehrere Eingaben bei mir zum Anlass einer eingehenden Überprüfung der Datenverarbeitungen eines kommunalen Verkehrsunternehmens genommen, welches solche E-Tickets an seine Abonnentinnen und Abonnenten ausgab.

Konkret bestand das E-Ticket aus einer Chipkarte, wobei der Chip folgende Informationen speicherte: maskierter Vor- und Nachname (erster und letzter Buchstabe von Vor- und Nachnamen sowie die jeweilige Gesamtzahl der Zeichen), Geburtsdatum, Geschlecht, gewähltes Tarifprodukt (insbesondere Tarifzone, Preisstufe, zeitliche Gültigkeit, Ticketnummer) sowie die letzten 10 Transaktionen (etwa Kontrollen, Ticketkäufe oder Ticketänderungen). Aufgedruckt auf der Chipkarte waren Vor- und Nachname sowie ein Lichtbild, das von der Kundin oder dem Kunden im Rahmen des Bestellvorgangs zu übermitteln war und beim Unternehmen auch nach Aushändigung des E-Tickets weiterhin gespeichert blieb.

5.2.2. Zentrale Ergebnisse der Überprüfung

Vor der Darstellung der zentralen Prüfergebnisse skizziere ich zum besseren Verständnis kurz den rechtlichen Rahmen der Überprüfung.

Öffentliche Stellen, wie kommunale Verkehrsunternehmen, benötigen für die Verarbeitung von personenbezogenen Daten eine Rechtsgrundlage (vgl. Art. 6 Abs. 1 DSGVO). Die Erbringung von Verkehrsdienstleistungen im ÖPNV und die Direktwerbung für diese Dienstleistungen ist eine Teilnahme als Unternehmen am Wettbewerb gemäß Art. 1 Abs. 3 BayDSG. Daher gelten insoweit die Vorschriften für nicht öffentliche Stellen, das heißt die Datenschutz-Grundverordnung und nachrangig das Bundesdatenschutzgesetz(siehe dazu meine Ausführungen im 30. Tätigkeitsbericht 2020 unter Nr. 6.1.2). Mögliche Rechtsgrundlagen für die Verarbeitung personenbezogener Daten im Rahmen des E-Tickets sind daher neben der Einwilligung (Art. 6 Abs. 1 UAbs. 1 Buchst. a DSGVO), die Vertragserfüllung (Art. 6 Abs. 1 UAbs. 1 Buchst. b), die Erfüllung einer rechtlichen Verpflichtung (Art. 6 Abs. 1 UAbs. 1 Buchst. c) und die Wahrnehmung berechtigter Interessen (Art. 6 Abs. 1 UAbs. 1 Buchst. f). Datenschutzverstöße können aufgrund der Wettbewerbsteilnahme zur Verhängung von Geldbußen führen (Art. 22 BayDSG, Art. 83 DSGVO).

5.2.2.1. Datenspeicherungen im Chip

Nichts einzuwenden hatte ich gegen die Speicherung des (maskierten) Vor- und Nachnamens, des Geburtsdatums und des Tarifprodukts im Chip. Die Verarbeitung dieser Daten war für das Verkehrsunternehmen erforderlich, um den mit der Kundin oder dem Kunden geschlossenen Beförderungsvertrag, der auch die Kontrolle der Fahrtberechtigung einschließt, zu erfüllen. Dabei war zu beachten, dass es sich beim E-Ticket um ein personalisiertes Produkt handelt. Es wird nur eine bestimmte Person (Abonnentin oder Abonnent) durch das E-Ticket zur Fahrt im ÖPNV berechtigt und legitimiert. Somit konnte sich das Unternehmen auf Art. 6 Abs. 1 UAbs. 1 Buchst. b DSGVO als Rechtsgrundlage berufen. Maskierter Vor- und Nachname sowie Geburtsdatum waren erforderlich, um eine Person eindeutig zu identifizieren.

Keine Rechtsgrundlage konnte ich dagegen für die Speicherung des Geschlechts erkennen. Zwar machte das Unternehmen geltend, dass es sich auch insoweit um ein Identifikationsmerkmal handle. Dem trat ich jedoch entgegen, da eine eindeutige Identifizierung bereits durch Vor- und Nachname sowie Geburtsdatum gelingt. Das Unternehmen verzichtet daher künftig auf die Speicherung des Geschlechts. Chipkarten von Bestandskundinnen und Bestandskunden sollen sukzessive aber zeitnah in einem rollierenden Verfahren bei Vertragsverlängerungen gegen die neuen, datensparsameren Chipkarten ausgetauscht werden.

Kritisch bewertete ich daneben die Speicherung der Transaktionsdaten im Chip, da hiervon auch Zeitpunkt, Ort, Fahrt und Linie umfasst sein können. Zwar speichert der Chip nur zehn Transaktionen, die elfte überschreibt also die erste Transaktion. Dennoch ist es theoretisch nicht ausgeschlossen, dass Bewegungsprofile gebildet werden können. Zu berücksichtigen war insoweit aber auch, dass die Möglichkeit einer solchen Profilbildung von der Dichte der Fahrscheinkontrollen abhängt. Bei nur zehn gespeicherten Transaktionen und einer lediglich gelegentlichen Kontrolle durch mobile Teams scheint diese Möglichkeit kaum zu bestehen. Wird jedoch das E-Ticket regelhaft beim Einstieg in Fahrzeuge des ÖPNV kontrolliert, so ist durchaus eine Profilbildung denkbar. Das geprüfte Unternehmen hatte zwar bei Fahrten mit Bussen solche Kontrollen vorgesehen, es versicherte mir jedoch, beim Betrieb des E-Tickets würden die kritischen Datenkategorien Ort, Fahrt und Linie mit Nullen oder anonymisierten Nummern gefüllt, was eine Bewegungsprofilbildung verhindere. Im Hinblick auf die Zusicherung, dass dies nicht geändert würde, stellte ich meine Einwände zurück. Gleichwohl wies ich das Unternehmen darauf hin, dass das rechtliche Fundament, auf dem die Speicherung der Transaktionsdaten zum Zeitpunkt meiner Prüfung beruhte, "brüchig" war. Das Verkehrsunternehmen rechtfertigte die Speicherung des Transaktionslogbuchs vor allem mit dem Gesichtspunkt der Kundentransparenz. Allerdings war nach meiner Auffassung die Speicherung von zehn Transaktionsdaten zur Erfüllung des Beförderungsvertrags nicht erforderlich, da dieser keine solche Transparenzpflicht des Unternehmens vorsah. Daraufhin passte das Unternehmen den Vertragsinhalt an. Ich erläuterte dem Unternehmen jedoch auch, dass der Grundsatz der Transparenz (Art. 5 Abs. 1 Buchst. a DSGVO) nach der Systematik der Datenschutz-Grundverordnung im Wesentlichen durch Informationspflichten (Art. 13 f. DSGVO) und das Recht auf Auskunft (Art. 15 DSGVO) verwirklicht wird, nicht aber durch zusätzliche Datenspeicherungen. Daher begrüßte ich die Zusage des Unternehmens, in wenigen Jahren eine neue Chipkartengeneration einzuführen, welche keine Transaktionsdaten mehr speichert.

5.2.2.2. Chipkarte: Aufdruck von Lichtbild sowie Vor- und Nachname

Nach den Tarifbestimmungen des Verkehrsunternehmens diente das auf der Chipkarte aufgedruckte Lichtbild dem Zweck, sich bei Kontrollen als Abonnentin oder Abonnent auszuweisen. Ein Personalausweis musste dann während der Fahrt nicht zwecks Identifizierung mitgeführt werden. Dies war nur erforderlich, wenn Kundinnen oder Kunden im Bestellprozess kein Foto zur Verfügung gestellt hatten. Allerdings kam ich bei der Prüfung der im Rahmen des Bestellprozesses übermittelten Informationen zu dem Ergebnis, dass über die genannten Umstände und Folgen nicht transparent aufgeklärt wurde. Im Gegenteil: Nach meiner Wahrnehmung wurde Kundinnen und Kunden vielmehr der Eindruck vermittelt, sie müssten stets ein Lichtbild zur Verfügung stellen. Mithin fehlte es an einer wirksamen - insbesondere informierten und freiwilligen - Einwilligung für die Datenverarbeitung. Auch eine andere Rechtsgrundlage für die Datenverarbeitung lag nicht vor. Für die Ticketkontrolle war das Foto nämlich nicht zwingend zur Vertragsabwicklung erforderlich. So war nach den Tarifbestimmungen eine Kontrolle auch durch Abgleich mit einem - dann verpflichtend mitzuführenden - Lichtbildausweis möglich. Daher war eine Verarbeitung des Fotos zu Kontrollzwecken nicht im datenschutzrechtlichen Sinne erforderlich. Zwar mag ein aufgedrucktes Foto dazu dienen, das eigene E-Ticket von denen anderer Fahrgäste oder Familienmitglieder schnell zu unterscheiden. Allerdings ist es für diesen Zweck ausreichend und vorzugswürdig, wenn die Chipkarte ein unbeschriebenes Notizfeld enthält, in welches freiwillig der Namen eingetragen werden kann.

Auch für den Aufdruck von Vor- und Nachnamen auf der Chipkarte lag keine Rechtsgrundlage vor. Im Hinblick auf die Individualisierung der eigenen Karte gilt das eben Gesagte entsprechend. Ein unbeschriebenes Notizfeld auf der Karte, in welches freiwillig der Name eingetragen werden kann, ist insoweit ausreichend und vorzugswürdig. In Bezug auf die Identifikationsmöglichkeit bei Fahrscheinkontrollen wies ich das Unternehmen darauf hin, dass Vor- und Nachname bereits im Chip des E-Tickets maskiert enthalten sind und bei Kontrollen ausgelesen werden können. Insoweit konnte mir nicht hinreichend begründet werden, welchen Sinn der Vergleich der aufgedruckten Namensdaten mit den im Chip enthaltenen maskierten Daten durch das Kontrollpersonal haben soll. Im Gegenteil führt doch der Aufdruck des Klarnamens auf der Chipkarte die Maskierung des Namens bei der Speicherung im Chip ad absurdum. Auch genügt der Abgleich des maskierten Namens mit einem mitgeführten amtlichen Ausweis für eine Identitätskontrolle. Daher begrüßte ich es, dass das Verkehrsunternehmen eine neue Chipkarte eingeführt hat, bei der keine Namen mehr aufgedruckt sind. Auch der Aufdruck des Fotos ist für die Kundinnen und Kunden jetzt im datenschutzrechtlichen Sinne freiwillig, da sie im Bestellprozess nun transparent aufgeklärt werden. Während Neukundinnen und Neukunden diese neue datensparsame Chipkarte sofort erhalten, wird diese an Bestandskundinnen und Bestandskunden wiederum in einem rollierenden Verfahren ausgegeben.

5.2.2.3. Speicherung des Fotos auch nach Aushändigung des E-Tickets

Das im Rahmen des Bestellprozesses von einer Kundin oder einem Kunden zur Verfügung gestellte Porträtfoto wurde von dem geprüften Unternehmen über die Erstellung des konkreten E-Tickets hinaus weiterhin gespeichert, um etwa im Falle einer Ersatzausstellung bereits ein Foto vorrätig zu haben. Auch für diese Datenverarbeitung lag keine Rechtsgrundlage, insbesondere keine wirksame Einwilligung, vor. Eine solche hatte das Unternehmen im Bestellvorgang nicht eingeholt, sondern nur auf die Löschmöglichkeit verwiesen. Allerdings ersetzt der Verweis auf das Recht auf Löschung (Art. 17 DSGVO) nicht die Einholung einer Einwilligung (Art. 6 Abs. 1 UAbs. 1 Buchst. a, Art. 7 DSGVO). Das Unternehmen kündigte insoweit an, zukünftig im Bestellprozess wirksame Einwilligungen für die weitere Speicherung, etwa für die Ausstellung von Ersatzkarten oder neuer Karten, einzuholen. Bestandskundinnen und Bestandskunden würden angeschrieben und um Einwilligung zur weiteren Speicherung gebeten. Wird diese nicht erteilt, würden die bislang gespeicherten Fotos gelöscht.

5.2.2.4. Fazit

Bei der Digitalisierung im ÖPNV müssen kommunale Verkehrsunternehmen insbesondere den Grundsatz der Datenminimierung beachten, dürfen also bei der Verwendung von E-Tickets grundsätzlich nur solche Daten verarbeiten, die zur Erreichung des verfolgten Zwecks erforderlich sind. Soll die Datenverarbeitung auf eine Einwilligung gestützt werden, ist auf deren wirksame Einholung zu achten.

5.3. Erneut: Datenschutzkonformität von Förderungen

Im Berichtszeitraum war ich erneut mit der Datenschutzkonformität von Fördermaßnahmen befasst, wobei es diesmal nicht um staatliche Förderungen ging (siehe dazu meine Ausführungen im 29. Tätigkeitsbericht 2019 unter Nr. 5.4), sondern um eine kommunale Sportförderung.

Konkret war in einer kommunalen Sportförderrichtlinie insoweit Folgendes vorgesehen: Bei Anträgen auf Sportförderung hatten die antragstellenden Vereine von den bei ihnen tätigen Personen unter bestimmten Voraussetzungen die Vorlage eines erweiterten Führungszeugnisses nach § 30a Gesetz über das Zentralregister und das Erziehungsregister (Bundeszentralregistergesetz - BZRG) zu verlangen, dieses zu prüfen und die Prüfung für die Kommune nachprüfbar zu dokumentieren. Ziel der kommunalen Förderrichtlinie war es auszuschließen, dass in den geförderten Vereinen einschlägig vorbestrafte Personen im Kinder- und Jugendsport tätig sind.

§ 30 BZRG

Antrag

(1) 1Jeder Person, die das 14. Lebensjahr vollendet hat, wird auf Antrag ein Zeugnis über den sie betreffenden Inhalt des Registers erteilt (Führungszeugnis). 2Hat sie eine gesetzliche Vertretung, ist auch diese antragsberechtigt. 3Ist die Person geschäftsunfähig, ist nur ihre gesetzliche Vertretung antragsberechtigt.

[...]

§ 30a BZRG

Antrag auf ein erweitertes Führungszeugnis

(1) Einer Person wird auf Antrag ein erweitertes Führungszeugnis erteilt,

  1. wenn die Erteilung in gesetzlichen Bestimmungen unter Bezugnahme auf diese Vorschrift vorgesehen ist oder
  2. wenn dieses Führungszeugnis benötigt wird für
  3. eine berufliche oder ehrenamtliche Beaufsichtigung, Betreuung, Erziehung oder Ausbildung Minderjähriger oder
  4. eine Tätigkeit, die in einer Buchstabe a vergleichbaren Weise geeignet ist, Kontakt zu Minderjährigen aufzunehmen.

(2) 1Wer einen Antrag auf Erteilung eines erweiterten Führungszeugnisses stellt, hat eine schriftliche Aufforderung vorzulegen, in der die Person, die das erweiterte Führungszeugnis von der antragstellenden Person verlangt, bestätigt, dass die Voraussetzungen nach Absatz 1 vorliegen. 2Im Übrigen gilt § 30 entsprechend.

(3) 1Die Daten aus einem erweiterten Führungszeugnis dürfen von der entgegennehmenden Stelle nur verarbeitet werden, soweit dies zur Prüfung der Eignung der Person für eine Tätigkeit, die Anlass zu der Vorlage des Führungszeugnisses gewesen ist, erforderlich ist. 2Die Daten sind vor dem Zugriff Unbefugter zu schützen. 3Sie sind unverzüglich zu löschen, wenn die Person die Tätigkeit, die Anlass zu der Vorlage des Führungszeugnisses gewesen ist, nicht ausübt. 4Die Daten sind spätestens sechs Monate nach der letztmaligen Ausübung der Tätigkeit zu löschen.

Das kommunale Sportförderreferat bot für die Umsetzung dieser Vorgaben den an der Sportförderung interessierten Vereinen seine Unterstützung an. Dieses "Serviceangebot" war unverbindlich.

Konkret konnten die Vereine von allen betroffenen Personen einen Antrag auf Ausstellung eines erweiterten Führungszeugnisses unterschreiben lassen und Ausweiskopien zur Vorlage beim kommunalen Sportförderreferat einbehalten. Weiter war vorgesehen, dass der Verein alle betroffenen Personen in einer Liste erfasst und diese mitsamt den jeweiligen Anträgen sowie den Ausweiskopien im kommunalen Sportförderreferat abgibt. Die auf den Anträgen befindlichen Unterschriften wurden sodann durch Beschäftigte des kommunalen Sportförderreferats gesichtet und mit den Unterschriften auf den übersandten Ausweiskopien abgeglichen. Insoweit wurde durch die Beschäftigten des kommunalen Sportförderreferats "bestätigt", dass die Unterschriften auf den Anträgen mit den Unterschriften auf den Ausweiskopien übereinstimmen und die Voraussetzungen des § 30 Abs. 1 BZRG vorliegen. Nach der Sichtung im kommunalen Sportförderreferat wurden die Ausweiskopien vernichtet und die gesammelten Anträge mitsamt den "Bestätigungen" weitergeleitet an die für die Bearbeitung von Anträgen auf Erteilung von Führungszeugnissen zuständige kommunale Meldebehörde. Diese reichte die Anträge auf Erteilung von Führungszeugnissen an das Bundesamt für Justiz weiter, welches die beantragten Führungszeugnisse erstellte und an die Antragstellenden verschickte. Die Liste mit den Anträgen auf erweiterte Führungszeugnisse verblieb beim kommunalen Sportförderreferat. Die Antragstellenden legten die Führungszeugnisse sodann bei ihren jeweiligen Vereinen vor, wo die Einsichtnahme dokumentiert wurde. Diese Dokumentation verblieb beim Verein und war dem kommunalen Sportförderreferat auf Anforderung vorzulegen.

Aus datenschutzrechtlicher Sicht bewertete ich diesen Sachverhalt wie folgt:

Die Kommune verarbeitete personenbezogene Daten gemäß Art. 4 Nr. 1 und 2 DSGVO, da sie durch ihr "Serviceangebot" in zurechenbarer Weise veranlasste, dass ihr die oben genannten Unterlagen mitsamt den darin enthaltenen personenbezogenen Daten zugänglich gemacht wurden und sie mit diesen wie beschrieben umging.

Öffentliche Stellen benötigen für die Verarbeitung personenbezogener Daten eine Rechtsgrundlage (vgl. Art. 6 Abs. 1 UAbs. 1 DSGVO). Zwar kann sich eine solche auch aus einer wirksamen Einwilligung ergeben (Art. 6 Abs. 1 UAbs. 1 Buchst. a, Art. 4 Nr. 11, Art. 7 DSGVO). Öffentliche Stellen sollen sich jedoch grundsätzlich bei der Erfüllung ihrer öffentlichen Aufgaben vor allem auf die speziellen fachgesetzlichen Befugnisse zur Verarbeitung personenbezogener Daten bzw. auf die - auch im konkreten Fall mangels bereichsspezifischer Regelungen einschlägige - allgemeine Befugnisnorm des Art. 4 Abs. 1 BayDSG stützen. Danach ist die Verarbeitung personenbezogener Daten durch eine öffentliche Stelle unbeschadet sonstiger Bestimmungen zulässig, wenn sie zur Erfüllung einer ihr obliegenden Aufgabe erforderlich ist. Entscheidende Bedeutung kommt insoweit dem Grundsatz der informationellen Gewaltenteilung zu. Dieser gebietet, dass nicht jeder Angehörige einer öffentlichen Stelle auf alle dort vorhandenen personenbezogenen Daten zugreifen können darf. Vielmehr gilt das Prinzip: Jeder darf nur auf solche Daten zugreifen können, die er für seine Aufgaben benötigt.

Insoweit fehlte es aber bereits an einer entsprechenden Aufgabe des kommunalen Sportförderreferats für die mit dem "Serviceangebot" zusammenhängenden Datenverarbeitungen hinsichtlich von Führungszeugnissen. So oblag dem Sportförderreferat im konkreten Fall nur die Aufgabe der Sportförderung und der damit verbundenen Bearbeitung von Anträgen förderwilliger Vereine. Die Umsetzung eines Tätigkeitsausschlusses einschlägig vorbestrafter Personen in Verbindung mit Kindern und Jugendlichen gemäß § 72 a Achtes Buch Sozialgesetzbuch - Kinder- und Jugendhilfe - (SGB VIII), welche im Rahmen des dort spezialgesetzlich geregelten Verfahrens eine Datenverarbeitung hinsichtlich erweiterter Führungszeugnisse rechtfertigen kann (vgl. dazu meine Ausführungen im 25. Tätigkeitsbericht 2012 unter Nr. 8.8.), obliegt im öffentlichen Bereich kraft Gesetz der Kinder- und Jugendhilfe. Diese Aufgabe ist gemäß Art. 15 Satz 1, Art. 16 Abs. 1 Gesetz zur Ausführung der Sozialgesetze dem kommunalen Jugendamt als Träger der öffentlichen Jugendhilfe zugewiesen und eben nicht der Sportförderung. Auf diese Aufgabe konnte sich das Sportförderreferat für die Datenverarbeitungen daher nicht berufen.

§ 72 a SGB VIII

Tätigkeitsausschluss einschlägig vorbestrafter Personen

[...]

(2) Die Träger der öffentlichen Jugendhilfe sollen durch Vereinbarungen mit den Trägern der freien Jugendhilfe sowie mit Vereinen im Sinne des § 54 sicherstellen, dass diese keine Person, die wegen einer Straftat nach Absatz 1 Satz 1 rechtskräftig verurteilt worden ist, hauptamtlich beschäftigen.

[...]

(4) Die Träger der öffentlichen Jugendhilfe sollen durch Vereinbarungen mit den Trägern der freien Jugendhilfe sowie mit Vereinen im Sinne des § 54 sicherstellen, dass unter deren Verantwortung keine neben- oder ehrenamtlich tätige Person, die wegen einer Straftat nach Absatz 1 Satz 1 rechtskräftig verurteilt worden ist, in Wahrnehmung von Aufgaben der Kinder- und Jugendhilfe Kinder oder Jugendliche beaufsichtigt, betreut, erzieht oder ausbildet oder einen vergleichbaren Kontakt hat. Hierzu sollen die Träger der öffentlichen Jugendhilfe mit den Trägern der freien Jugendhilfe Vereinbarungen über die Tätigkeiten schließen, die von den in Satz 1 genannten Personen auf Grund von Art, Intensität und Dauer des Kontakts dieser Personen mit Kindern und Jugendlichen nur nach Einsichtnahme in das Führungszeugnis nach Absatz 1 Satz 2 wahrgenommen werden dürfen.

[...]

Die Kommune konnte dem Sportförderreferat eine entsprechende Datenverarbeitungsbefugnis auch nicht im Rahmen ihrer Selbstverwaltungsautonomie etwa mittels einer Sportförderrichtlinie verschaffen.

Auch konnte sich das Sportförderreferat insbesondere hinsichtlich der Ausweiskopien nicht auf etwaige Einwilligungen der Betroffenen berufen. Wie ich bereits in meinem 29. Tätigkeitsbericht 2019 unter Nr. 5.6 ausgeführt habe, dürfen bayerische öffentliche Stellen eine fehlende Datenverarbeitungsbefugnis nicht durch die systematische Einholung von Einwilligungen - auch nicht im Rahmen eines freiwilligen Serviceangebots - ersetzen.

Daneben hinterfragte ich aber auch die Weiterleitung der Antragsunterlagen einschließlich der "Bestätigungen" betreffend die Übereinstimmung der Unterschriften - auf der Ausweiskopie und dem Antrag auf das erweiterte Führungszeugnis - durch das Sportförderreferat an die Meldebehörde in datenschutzrechtlicher Hinsicht. Zwar wird der Antrag auf Erteilung eines erweiterten Führungszeugnisses für die dortige Sachbearbeitung bei der Meldebehörde grundsätzlich benötigt. Der Antrag muss jedoch gemäß §§ 30a Abs. 2 Satz 2, 30 Abs. 2 Satz 1 BZRG durch die Antragstellerinnen und Antragsteller persönlich oder, soweit der Antrag schriftlich gestellt werden soll, mit amtlich oder öffentlich beglaubigter Unterschrift bei der Meldebehörde eingereicht werden. Die im gewählten Verfahren angelegte regelhafte "Bestätigung" der Übereinstimmung der Unterschriften von Abwesenden durch das Sportförderreferat sollte wohl eine amtliche Beglaubigung im Sinne des Art. 34 Bayerisches Verwaltungsverfahrensgesetz darstellen. Dies war jedoch kaum mit dem Absatz 2 der Vorschrift vereinbar. Danach sollen Unterschriften nämlich nur beglaubigt werden, wenn sie in Gegenwart der beglaubigenden Bediensteten vollzogen werden.

Art. 34 BayVwVfG

Beglaubigung von Unterschriften

[...]

(2) Eine Unterschrift soll nur beglaubigt werden, wenn sie in Gegenwart des beglaubigenden Bediensteten vollzogen oder anerkannt wird.

Damit war aber auch das Vorliegen ordnungsgemäß gestellter Anträge auf Ausstellung von Führungszeugnissen fraglich, womit die Erforderlichkeit der diesbezüglichen Datenverarbeitungen im Sportreferat beziehungswiese der Weiterleitung der Unterlagen innerhalb der Kommune zur Meldebehörde ebenfalls zweifelhaft erschien.

Von einer förmlichen Beanstandung gemäß Art. 16 Abs. 4 BayDSG konnte ich absehen, da die betroffene Kommune im Rahmen meines Tätigwerdens bereits von sich aus eine datenschutzkonforme Überarbeitung des Verfahrens angekündigt hat.

  1. Vgl. auch Albers/Veit, in: Wolff/Brink, Beck'scher Online-Kommentar Datenschutzrecht, Stand 11/2019, Art. 6 DSGVO Rn. 58. [Zurück]
  2. Siehe Bundesverfassungsgericht, Beschluss vom 6. November 2019, 1 BvR 16/13, NJW 2020, 300 (302). [Zurück]
  3. Siehe Bundesverfassungsgericht, Urteil vom 6. Juli 1999, 2 BvF 3/90, BVerfGE 101, 1 (34). [Zurück]
  4. Siehe Bundesverfassungsgericht, Beschluss vom 8. August 1978, 2 BvL 8/77, BVerfGE 49, 89 (126). [Zurück]
  5. Siehe Bundesverfassungsgericht, Beschluss vom 6. Juni 1989,1 BvR 727/84, BVerfGE 80, 124 (132). [Zurück]
  6. Siehe Bundesverfassungsgericht, Beschluss vom 13. Juli 2004, 1 BvR 1298/94, BVerfGE 111, 191, Rn. 147 ff.; Oberverwaltungsgericht Rheinland-Pfalz, Urteil vom 8. März 1994, 7 C 11302/93, juris, Rn. 22; Burghart in: Leibholz/Rinck, Grundgesetz, Stand 10/2019, Art. 20 GG Rn. 236; siehe auch speziell für Kommunen: Bayerischer Verwaltungsgerichtshof, Urteil vom 14. Juli 2011, 4 N 10.2660, juris, Rn. 29; Bayerischer Verwaltungsgerichtshof, Beschluss vom 27. Februar 2017, 4 N 16.461, ZD 2017, 487, Rn. 19 ff. [Zurück]
  7. Siehe Bayerischer Verwaltungsgerichtshof, Beschluss vom 27. Februar 2017, 4 N 16.461, ZD 2017, 487, Rn. 19 f. [Zurück]
  8. Bayerischer Landesbeauftragter für den Datenschutz, Melderegisterdaten und Gratulationen, Aktuelle Kurz-Information 5, Stand 1/2022, Einladungen zu Veranstaltungen durch bayerische Kommunen, Aktuelle Kurz-Information 10, Stand 10/2018, sowie Fotografien in der Öffentlichkeitsarbeit bayerischer Kommunen, Aktuelle Kurz-Information 16, Stand 12/2018, alle Internet: https://www.datenschutz-bayern.de, Rubrik "Datenschutzreform 2018 - Aktuelle Kurz-Informationen". [Zurück]
  9. Vgl. näher Bayerischer Landesbeauftragter für den Datenschutz, "Datennutzungssatzungen bei bayerischen Kommunen?", Aktuelle Kurz-Information 41, Internet: https://www.datenschutz-bayern.de, Rubrik "Datenschutzreform 2018 - Aktuelle Kurz-Informationen". [Zurück]