Hinweis: Antworten auf weitere Fragen in den FAQ Kommunen.

Stand: Oktober 2024

Der Landesbeauftragte ist immer wieder mit datenschutzrechtlichen Fragen kommunaler Stellen befasst, beispielsweise durch schriftliche Anfragen an unsere Poststelle, aber auch in diversen Arbeitskreisen, an denen wir regelmäßig teilnehmen. Darüber hinaus veranstalten wir selbst jährlich das „Forum Kommunaler Datenschutz“, bei dem wir es kommunalen Stellen gezielt anbieten, Fragen einzureichen und diese mit uns, den kommunalen Interessensverbänden und einigen behördlichen Datenschutzbeauftragten zu diskutieren.

Die hiesige Sammlung an Fragen speist sich aus unserem Arbeitsalltag und soll fortlaufend erweitert werden. Sie dient dazu, kommunale Stellen bei der Beantwortung gegebenenfalls wiederkehrender Konstellationen zu unterstützen, auch wenn sie die Prüfung eines Einzelfalls selbstverständlich nicht ersetzen kann. Darüber hinaus soll die Sammlung interessierten Bürger_innen einen Einblick in die Vielfalt kommunaler datenschutzrechtlicher Fragen ermöglichen.

Die Fragen und Antworten der Onlineveröffentlichung sind teilweise gekürzt und abstrahiert, damit sie auch ohne Kenntnis des konkreten Einzelfalls nachvollziehbar sind. Vorsorglich weisen wir darauf hin, dass die Antworten nicht jegliche Besonderheit eines Einzelfalls aufgreifen können und gegebenenfalls Vorkenntnisse zum Thema Datenschutz erfordern. Für die Grundlagen des kommunalen Datenschutzrechts empfehlen wir unsere Broschüre Datenschutz bei Gemeinden, abrufbar unter https://www.baden-wuerttemberg.datenschutz.de/praxishilfen/.

1. Dürfen innerhalb einer Gemeinde Kontaktinformationen von Bürger_innen von einem Amt an ein anderes Amt weitergegeben werden, z.B. wenn ein Bürger sich ummeldet an das für die Grundsteuer zuständige Amt?

Personenbezogene Daten dürfen nur dann verarbeitet, also z.B. weitergegeben werden, wenn eine Rechtsgrundlage dies erlaubt, Art. 6 Abs. 1, Abs. 3 DS-GVO. Es kommt also darauf an, ob für die „Weitergabe“ eine solche Rechtsgrundlage besteht. Regelungen zu dem Umgang mit Daten des Melderegisters finden sich im Bundesmeldegesetz (BMG). Dort sind in den §§ 33 ff. BMG verschiedene Konstellationen geregelt, in denen die Meldebehörden übermitteln oder weitergeben darf. Praxistauglicher dürfte es jedoch sein, wenn denjenigen Stellen, die regelmäßig aktualisierte Daten aus dem Melderegister benötigen, entsprechend der gesetzlichen Vorgaben eine eigene Möglichkeit zum Abruf eingerichtet wird. Im Einzelnen:

Entscheidend für die Beantwortung der eingereichten Frage sind zwei Grundsätze des Datenschutzrechts: der sog. Grundsatz der Rechtmäßigkeit und derjenige der Zweckbindung, Art. 5 Abs. 1 Buchst. a und b DS-GVO. Demnach dürfen personenbezogene Daten nur dann verarbeitet werden, wenn für den Verarbeitungsvorgang eine Rechtsgrundlage im Sinne des Art. 6 Abs. 1 DS-GVO existiert, die den jeweiligen Verarbeitungsvorgang erlauben. Rechtsgrundlagen sind an einen bestimmten Zweck geknüpft. Ein Verarbeitungsvorgang darf mit diesem vorher festgelegten Zweck nicht unvereinbar sein. Eine Weitergabe von personenbezogenen Daten von einem Amt an ein anderes setzt also voraus, dass eine Rechtsgrundlage dies erlaubt und die Weitergabe auch zu demjenigen Zweck erfolgt, zu dem die Rechtsgrundlage die Datenverarbeitung zulässt. Im Zusammenhang mit öffentlicher Aufgabenerfüllung muss sich die Rechtsgrundlage aus einem Gesetz ergeben, Art. 6 Abs. 1 Buchst. e und Abs. 3 DS-GVO.

1.1 Beispiel: Datenübermittlung von Melde- an Grundsteuerbehörde

Meldet eine Person sich um, so geschieht dies auf Grundlage des Melderechts. Gemäß § 17 Abs. 1 u. 2 Bundesmeldegesetz (BMG) sind in Deutschland wohnhafte Personen verpflichtet, ihren Wohnsitz bei der jeweils zuständigen Meldebehörde anzuzeigen. Die Meldebehörden sind wiederum gemäß § 3 BMG befugt, diese Daten zu speichern. Darüber hinaus existieren verschiedene Regelungen, die es den Meldebehörden erlauben, anderen Stellen Daten aus dem Melderegister in unterschiedlichem Umfang bereitzustellen (s. dazu auch unsere FAQ Datenweitergabe durch Meldebehörden, abrufbar unter https://www.baden-wuerttemberg.datenschutz.de/faq-datenweitergabe-durch-meldebehoerden/).

Die Weitergabe von Melderegisterdaten innerhalb einer Verwaltungseinheit ist in § 37 BMG geregelt. Dabei wird zwischen der Weitergabe im Einzelfall (Abs. 1) und der Einrichtung einer automatisierten Abrufmöglichkeit (Abs. 2) unterschieden. Voraussetzung der Datenweitergabe im Einzelfall ist es, dass die Daten für die Erfüllung einer öffentlichen Aufgabe der Meldebehörde oder der empfangenden Stelle erforderlich sind, §§ 37 Abs. 1, 34 Abs. 1 BMG. „Erforderlich“ bedeutet, dass die Datenverarbeitung einen legitimen Zweck verfolgt und sie zur Erreichung dieses Zwecks notwendig und nicht nur förderlich/ dienlich ist. Es müssen für die betroffenen Personen günstigere Alternativen geprüft und das mit Blick auf den Eingriff mildeste Mittel gewählt werden (s. auch: Broschüre „Datenschutz bei Gemeinden“, S. 14).

Gemäß § 9 Abs. 2 Kommunalabgabengesetz (KAG) sind die Gemeinden zuständig für die Festsetzung und Erhebung der Grundsteuer. Es besteht folglich eine öffentliche Aufgabe, die innerhalb einer Gemeinde durch ein bestimmtes Amt ausgeübt wird (in der Regel in der sog. „Kämmerei“). Für diese Stelle kann die Kenntnis einer Adressänderung bereits nur förderlich sein, wenn eine Person grundsteuerpflichtig ist. Denn nur dann hat die Stelle überhaupt Bedarf an dieser Information. Eben dies kann die Meldebehörde nicht proaktiv wissen. Schließlich ist nicht jede Person, die sich ummeldet, zugleich Grundstückseigentümer_in. Eine Weitergabe der Daten „auf gut Glück“ ist nicht zulässig.

Im Übrigen würde dies in der Praxis auch keine Arbeitserleichterung darstellen. Denn auch unerwünschte Daten müssen verwaltet und Entscheidungen über sie getroffen werden. Darüber hinaus besteht ab der Herauslösung aus dem Melderegister keine Sicherheit über die Datenqualität mehr.

Vor allem aber hat der Gesetzgeber das Problem erkannt und entsprechende Regelungen vorgesehen: Unter den Voraussetzungen von § 37 Abs. 2 BMG kann für andere Stellen als die Meldebehörde innerhalb einer Verwaltungseinheit eine eigene Abrufmöglichkeit aus dem Melderegister eingerichtet werden. Wenn also beispielsweise per Post versendete Steuerbescheide zurückkommen, weil die steuerpflichtige Person umgezogen ist und der Kämmerei die neue Adresse nicht vorliegt, kann sie selbstständig entscheiden, dass der Abruf aus dem Melderegister nun nicht nur förderlich, sondern auch notwendig ist und dies auch umsetzen.

1.2 Sonstige Datenweitergabe zwischen Ämtern einer öffentlichen Stelle

Entstammen die Daten, die an ein anderes Amt weitergegeben werden sollen, einem anderen Kontext als dem Meldewesen, so gelten die gleichen oben geschilderten Grundsätze: Es bedarf einer (in der Regel gesetzlichen) Rechtsgrundlage, deren Voraussetzungen im Einzelfall erfüllt sind. Für die Frage, welche Rechtsgrundlage einschlägig ist, kommt es auf den Zweck der bisherigen Verarbeitung an: Wurden die Daten zum Zwecke der Erfüllung von Aufgaben des Meldewesens erhoben, so finden sich Verarbeitungsbefugnisse in melderechtlichen Vorschriften, insbesondere dem BMG. Sollen beispielsweise Daten von einer Waffen- an eine Ordnungswidrigkeitenbehörde gegeben werden, sind waffenrechtliche Vorschriften maßgebend, z.B. § 44 Waffengesetz (WaffG). Für atypische Konstellationen existieren außerdem in den §§ 4 – 6 Landesdatenschutzgesetz (LDSG) sog. Generalklauseln, auf deren Grundlage auch eine nicht im passenden Spezialgesetz geregelte Verarbeitung zulässig sein kann. Vorsorglich weisen wir an dieser Stelle darauf hin, dass die Anwendbarkeit der Generalklauseln daran geknüpft ist, dass der Gesetzgeber bei der Regelung des jeweiligen Spezialgesetzes nicht bereits abschließend darüber entschieden hat, welche Verarbeitungen in diesem Kontext zulässig sein sollen. Nicht der Fall ist dies beispielsweise bei § 43 Abs. 2 WaffG (s. auch: Frage 8).

Das Vorliegen der Voraussetzungen der gesetzlichen Regelung ist entscheidend für die Zulässigkeit des gewünschten Verarbeitungsvorgangs.

 

2. Dürfen im Rahmen eines Notfallplans für einen Ausfall der IT-Infrastruktur (bspw. wegen eines Hackerangriffs) private Kontaktdaten von Mitarbeitenden vorgehalten werden?

Ob die Beschäftigten nach Artikel 6 Abs. 1 Unterabs. 1 Buchstabe b sowie Artikel 6 Abs. 1 Unterabs. 1 Buchstabe e DS-GVO und § 15 Abs. 1 Satz 1 LDSG verpflichtet werden können, für den Zweck der Sicherstellung eines Notbetriebs der kommunalen Daseinsvorsorge im Krisenfall private Kommunikationsdaten (Telefon-/Mobilfunknummer) mitzuteilen, hängt davon ab, ob dies geeignet, die bei gleicher Eignung mildeste Maßnahme und angemessen ist. Die Verantwortliche muss, z.B. anhand eines IT-Notfallplans (weitere Hinweise zur möglichen Umsetzung auf https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/BSI-Standards/BSI-Standard-100-4-Notfallmanagement/Umsetzungsrahmenwerk-zum-Notfallmanagement-nach-BSI-Standard-100-4/umsetzungsrahmenwerk-zum-notfallmanagement-nach-bsi-standard-100-4_node.html), definieren, welche Beschäftigte bei welchen Krisenfällen erreichbar sein müssen. Nur bei diesen können private Kontaktdaten für den Zweck der Sicherstellung des Notbetriebs in dem einschlägigen Krisenfall verarbeitet werden. Außerdem muss geklärt werden, welche privaten Kontaktdaten tatsächlich benötigt werden und wie dringend die Kontaktaufnahme ggf. ist. Wird z.B. die Handynummer gebraucht oder reicht die Festnetznummer oder Wohnanschrift? Ob es ein gleich geeignetes milderes Mittel ist, die Personen, die die Rufbereitschaft innehaben (z.B. definierte Mitarbeitende des „IT-Notfallstabs“), für die Zeit der Rufbereitschaft mit Diensthandys oder vergleichbaren Geräten auszustatten, wäre unter Berücksichtigung der hierfür anfallenden Kosten zu überlegen. Es muss geprüft werden, ob die Verwendung von Diensthandys wegen dieser Kosten unzumutbar wäre.

Die Angemessenheit der Datenverarbeitung hängt wesentlich davon ab, inwieweit die Beschäftigten damit rechnen müssen, mit den vorhandenen Kontaktdaten in ihrer Freizeit von ihrem Arbeitgeber/Dienstherrn kontaktiert zu werden. Hier wäre soweit möglich mit der Anordnung von Rufbereitschaften zu arbeiten, damit die Beschäftigten wissen, wann sie bereit sein müssen, in einem Notfall den Dienst aufzunehmen. Auf das Urteil LAG Thüringen, Urteil vom 16.05.2018 – 6 Sa 442/17 wird hingewiesen. Die Anordnung von Rufbereitschaft ist nach § 74 Abs. 2 Nr. 4 Landespersonalvertretungsgesetz mitbestimmungspflichtig, sofern eine gesetzliche oder tarifliche Regelung nicht besteht. Damit bietet sich ggf. eine Regelung per Dienstvereinbarung an.

3. Welche Fragen stellen sich im Zusammenhang mit der Nutzung von Apps durch öffentliche Stellen?

3.1 Kann ich mich auf die Datenschutzerklärung im Google Play Store verlassen z.B. keine Erfassung von Nutzerdaten?

Nein, auf die im Google Play Store angegebenen Informationen unter „Datensicherheit“ kann man sich nicht verlassen, da diese nicht immer korrekte und vollständige Angaben enthalten. Viele Apps erfassen Nutzerdaten und eine erste grobe Prüfung kann beispielsweise mit dem Tool Exodus Privacy erfolgen: https://reports.exodus-privacy.eu.org/de/ – dieses kann aber keine genauere technische Untersuchung und eine rechtliche Prüfung der Vertragsunterlagen eines Anbieters und von dessen Datenschutzinformationen („Datenschutzerklärung“) ersetzen.

3.2 Wird die IP-Adresse nicht grundsätzlich in einer App erfasst?

Nein, wenn eine App alle Daten ausschließlich lokal auf dem Gerät speichert, keine Kommunikation über das Internet stattfindet und sie keine Daten über das Nutzerverhalten an den Anbieter oder Dritte übermittelt, wird auch keine IP-Adresse erfasst.

Bei der Kommunikation über das Internet muss den jeweiligen Kommunikationspartnern während des Kommunikationsvorgangs stets die IP-Adresse bekannt sein. Ob diese aber gespeichert und ausgewertet werden entscheiden die Kommunikationspartner.

Grundsätzlich einfacher ist die Bewertung, wenn eine App keine Daten an den Anbieter (z.B. Cloud-Funktion) oder an Dritte übermittelt, sondern ausschließlich lokal auf dem Gerät oder auf Servern der Gemeinde speichert. Dann werden auch keine IP-Adressen erfasst oder nur in dem Umfang, wie es der Verantwortliche selbst steuert.

3.3 Gibt es hier eine Checkliste oder ggf. auch technische Hilfsmittel z.B. ob die Daten übermittelt werden?

Für die Prüfung, ob eine Webseite oder App die datenschutzrechtlichen Anforderungen an digitale Dienste (vormals Telemediendienste) einhalten, sollte die Tracking-FAQ des LfDI herangezogen werden:

https://www.baden-wuerttemberg.datenschutz.de/faq-zu-cookies-und-tracking-2/

In Abschnitt B werden auch zahlreiche Standardfehler aufgeführt, die Verantwortliche bzw. die Hersteller und Entwickler häufig machen. Diese gilt auch für Webseiten und andere digitale Dienste.

3.4 Welche Erlaubnisgrundlage für Nutzungsdaten gibt es?

Nutzungsdaten (also Daten über das Nutzungsverhalten der Nutzenden) dürfen ausschließlich aufgrund einer freiwilligen, informierten, vorherigen, jederzeit widerrufbaren sowie aktiv und separat von anderen Erklärungen abgegebenen Einwilligung der betroffenen Person verarbeitet werden.

Dabei ist Erwägungsgrund 43 DS-GVO zu berücksichtigen: öffentliche Stellen können von Bürgern grundsätzlich keine Einwilligung verlangen (siehe B 1.2.4.1. der Tracking FAQ). Apps und Webseiten öffentlicher Stellen sollten daher grundsätzlich nicht versuchen Einwilligungen einzuholen und damit auch keine „Cookie-Banner“ o.ä. verwenden.

Ähnliches gilt für Apps, die Beschäftigte im Kontext ihrer Arbeit nutzen müssen: auch hier ist eine Einwilligung in der Regel nicht als freiwillig anzusehen. Dazu siehe auch A 1.1 der Tracking FAQ.

3.5 Welche Erlaubnisgrundlage gibt es für weitere personenbezogenen Daten von Dritten, ggf. von Dritten?

Bei der Verarbeitung von personenbezogenen Daten von Dritten (z.B. Bürgern) gelten für diese die üblichen Vorgaben bzgl. Rechtsgrundlagen, egal mit welchen Werkzeugen diese verarbeitet werden.

3.6 Woran ist bezüglich der Datenminimierung zu denken?

Neben den üblichen Anforderungen an die Verarbeitung personenbezogener Daten ist beim Einsatz von Apps insbesondere darauf zu achten, dass keine personenbezogenen Daten an Drittanbieter und Tracking-Dienste übermittelt werden. Kommen Auftragsverarbeiter (z.B. Cloud-Dienste) zum Einsatz, dürfen diese keine personenbezogenen Daten zu eigenen Zwecken verwenden oder vom Verantwortlichen verlangen, dass er personenbezogene Daten für den Auftragsverarbeiter aufbereitet und diesem zur Verfügung stellt.

Eine Verarbeitung personenbezogener Daten durch öffentliche Stellen kann insbesondere nicht auf etwaige berechtigte Interessen des für die Datenverarbeitung Verantwortlichen (zur Definition dieses Begriffs siehe Artikel 4 Nr. 7 DS-GVO) oder Dritter gestützt werden (vgl. Artikel 6 Absatz 1 Unterabsatz 2 DS-GVO). Eine Verwendung personenbezogener Daten der Nutzenden zu eigenen Zwecken des Anbieters schließt den Einsatz eines Cloud-Dienstes im öffentlichen Dienst aus.

Bei der Nutzung von Auftragsverarbeitern ist auf das Thema Drittlandtransfers zu achten. Dabei ist zu beachten, dass nicht nur eine Speicherung der ruhenden Daten innerhalb des Geltungsbereichs der DS-GVO zu erfolgen hat, sondern dass auch keine Zugriffsmöglichkeiten durch z.B. Cloud-Anbieter oder deren Beschäftigte aus Drittländern bestehen. Dies ist insbesondere dann relevant, wenn Cloud-Anbieter mit Hauptsitz außerhalb des Geltungsbereichs der DS-GVO verwendet werden, da diese ihre Systeme in aller Regel zentral verwalten und der Standort der Server keine signifikante Rolle spielt.

3.7 Wie kann eine Datenübermittlung erfolgen?

Die Datenübermittlung hat stets verschlüsselt nach dem Stand der Technik zu erfolgen. Dabei ist die BSI TR-02102-2 als Stand der Technik anzusehen. Je nach Einzelfall (z.B. Art der Daten und ggf. der beteiligten Dienstleister) hat aber auch die Speicherung der ruhenden Daten verschlüsselt zu erfolgen.

3.8 Was ist bei der Prüfung von Zugriffen/Berechtigungen zu beachten?

Welche Maßnahmen im Bereich von Rollen- und Rechtekonzepten notwendig sind hängt vom Einzelfall ab und kann pauschal kaum beantwortet werden. Grundsätzlich dürfen personenbezogene Daten nur den Personen bekannt gemacht werden, die diese für den definierten Zweck benötigen. Bei der Umsetzung von Rollen- und Rechtekonzepten sind von den Entwicklern einer Software insbesondere die häufigen Fehler zu vermeiden, siehe z.B.: https://owasp.org/Top10/A01_2021-Broken_Access_Control/

3.9 Gibt es zu beachtende Vorschriften oder Empfehlungen bezüglich technischer und organisatorischer Maßnahmen?

Verantwortliche müssen sicherstellen, dass die Entwickler von Apps und Online-Anwendungen ausreichende technisch-organisatorische Maßnahmen ergriffen haben. Die notwendigen technischen Maßnahmen sind bei Apps und Web-Anwendungen ähnlich.

Insbesondere sind die häufigsten Fehler zu vermeiden, vgl. die „Top 10 Web Application Security Risks“ des Open Worldwide Application Security Project (OWASP) https://owasp.org/www-project-top-ten/.

Bei der Entwicklung sind zudem gängige Standards der App-Sicherheit zu berücksichtigen, z.B. aus dem Projekt OWASP Mobile Application Security (https://mas.owasp.org/).

Bei Digitalen Diensten (vormals Telemediendiensten, also Webseiten, Apps, anderen vernetzten Geräten usw) sind auch jeweils die Vorgaben der Tracking FAQ des LfDI einzuhalten: https://www.baden-wuerttemberg.datenschutz.de/faq-zu-cookies-und-tracking-2/

4. Welche personenbezogenen Daten dürfen im Zusammenhang mit Schließanlagen verarbeitet werden und welche Verarbeitungsvorgänge sind erlaubt?

Die Speicherung, welcher Mitarbeitende welchen elektronischen Schlüssel mit welchen Zutrittsberechtigungen erhalten hat, ist unserer Einschätzung nach zulässig. Dies ergibt sich in Bereichen wie Serverräumen, in denen sensible personenbezogene Daten verarbeitet werden, schon aus der Pflicht nach Art. 24, 25 Abs. 1 und 32 Abs. 1 DS-GVO, Zutrittsberechtigungen zu dokumentieren. Die zur Erfüllung dieser Pflicht notwendigen Datenverarbeitungen könnten auf Art. 6 Abs. 1 Unterabs. 1 Buchstabe e DS-GVO in Verbindung mit §§ 3 und 4 LDSG gestützt werden. Ansonsten folgt die Erforderlichkeit der Datenverarbeitung zur Durchführung des Beschäftigungsverhältnisses nach Art. 6 Abs. 1 Unterabs. 1 Buchstabe b DS-GVO bzw. Art. 6 Abs. 1 Unterabs. 1 Buchstabe e DS-GVO i. V. m. § 15 Abs. 1 Satz 1 LDSG aus der generellen dienstlichen Notwendigkeit, sicherzustellen, dass jeder Beschäftigte (nur) über die benötigten Zutrittsberechtigungen verfügt und keine nicht (mehr) benötigten Schlüssel und Zutrittsberechtigungen im Umlauf sind.

Die Speicherung, welcher Mitarbeitende wann welche Tür geöffnet hat, kann nur auf die oben genannten Rechtsgrundlagen gestützt werden, wenn sie zur Verbesserung der (IT-)Sicherheit, der Gefahrenabwehr und der Verhinderung von Diebstählen geeignet, erforderlich und angemessen ist. Insbesondere für die Angemessenheit ist entscheidend, wie sensibel der von der Tür abgegrenzte Bereich ist, ob dort z.B. vertrauliche Daten oder wichtige Gegenstände verarbeitet bzw. gelagert werden. Bei Serverräumen ist die Erfassung der Zutritte nicht nur zulässig, sondern als technisch-organisatorische Maßnahme im Sinne von Art. 24, 25 Abs. 1 und 32 Abs. 1 DS-GVO zum Schutz der dort verarbeiteten Daten geboten (s. Bundesamt für Sicherheit in der Informationstechnik, IT-Grundschutzkompendium 2023, Baustein INF.2: Rechenzentrum sowie Serverraum, Anforderung INF.2.A6 Zutrittskontrolle).

Einwilligungserklärungen und die ihnen zugrundeliegende Dienstvereinbarung sind problematisch, wenn durch sie der falsche Eindruck entsteht, dass die Datenverarbeitung nach dem Willen der Verantwortlichen nur mit einer Einwilligung der betroffenen Person zulässig sein soll. Dies widerspricht dem Grundsatz von Transparenz und der Verarbeitung nach Treu und Glauben gemäß Art. 5 Abs. 1 Buchstabe a DS-GVO. Der entstandene falsche Eindruck muss beseitigt und die Dienstvereinbarung muss angepasst werden. Die Beschäftigten müssen über die tatsächliche Rechtsgrundlage informiert werden.

Die Daten dürfen solange gespeichert werden, wie sie für den Zweck, für den sie verarbeitet werden, benötigt werden (Art. 5 Abs. 1 Buchstabe e DS-GVO und Art. 17 Abs. 1 Unterabs. 1 Buchstabe a DS-GVO). Damit dürfen die Bewegungsdaten nur solange anlasslos gespeichert werden, bis sie nicht mehr zur Aufklärung eines möglichen Vorfalls benötigt werden. Wie lange dies ist, hängt vom konkreten Fall ab und ist von der Verantwortlichen etwa in einem Speicher- und Löschkonzept nachvollziehbar zu definieren.

5. Darf durch Privatpersonen auf einem Friedhof eine Videoüberwachung durchgeführt werden, wenn für ein spezifisches Grab bereits Vorfälle dokumentiert wurden?

5.1 Videoüberwachung durch die Nutzungsberechtigte des Grabes

Die Videoüberwachung eines Grabes sowie der die das Grab umgebenden Wege auf einem öffentlichen Friedhof durch die Nutzungsberechtigte des Grabes ist nur zulässig, wenn die Voraussetzungen einer Rechtsgrundlage gem. Art. 6 Abs. 1 Unterabs. 1 DS-GVO vorliegen. Art. 6 Abs. 1 Unterabs. 1 Buchst. e DS-GVO i. V. m. § 18 LDSG scheidet als Rechtsgrundlage aus, da diese Vorschriften sich nur an öffentliche Stellen richten. Praktisch relevant ist insoweit lediglich Art. 6 Abs. 1 Unterabs. 1 Buchst. f DS-GVO. Danach ist die Verarbeitung zulässig, wenn folgende Bedingungen erfüllt sind: die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten (1) erforderlich (2), sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt (3). Für die Bewertung sind zwei verschiedene Bereiche zu beachten:

  1. Erfassungsbereich: Grab in seinen engen Grenzen (ohne die Wege bzw. Einfassung, die es begrenzen)

    a) Berechtigte Interessen der Nutzungsberechtigten des Grabes

Ein berechtigtes Interesse der Nutzungsberechtigten des Grabes ist in der Sicherung von Beweisen im Falle Beschädigung und Schändung des Grabes zu sehen. Die genannten Vorfälle deuten auf eine Gefährdungslage hin und beziehen sich auf nach § 303 Abs. 1 und § 168 Abs. 2 Var. 3 StGB strafbares Verhalten. Zu den Schutzgütern der vorgenannten Straftatbestände zählen das Eigentum der Nutzungsberechtigten des Grabes an der zerstörten Laterne sowie deren Pietätsgefühl. Das genaue Ausmaß sowie eine zeitliche Einordnung der Vorfälle ist nicht bekannt. Die Vorfälle müssten gem. Art. 5 Abs. 2 DS-GVO nachweisbar bzw. dokumentiert sein.

b) Erforderlichkeit und Interessenabwägung

Im Hinblick auf die Erforderlichkeit wäre zu prüfen, ob mildere, gleich geeignete Mittel bestehen, die für die Nutzungsberechtigte des Grabes zumutbar sind. Insoweit hat die Prüfung durch die Gemeinde ergeben, dass die Videoüberwachung in der konkreten Situation bereits nicht geeignet ist, um entsprechende Beweise zu erlangen. Geht man davon aus, dass das hier nicht näher nachvollziehbare Ergebnis der Prüfung zutrifft, würde auch das Interesse an der Verarbeitung nicht überwiegen. Dementsprechend wäre das Vorliegen der Voraussetzungen des Art. 6 Abs. 1 Unterabs. 1 Buchst. f DS-GVO nicht anzunehmen.

  1. Erfassungsbereich: Umgebung des Grabes (Wege sowie weitere Bereiche des Friedhofs)

Die das Grab umfassenden Wege und die weitere Friedhofsanlage sind dazu bestimmt, dass sich dort auch andere Personen als die Nutzungsberechtigte des in Rede stehenden Grabes aufhalten. Es ist davon auszugehen, dass es sich dabei um die Nutzungsberechtigten anderer Gräber, Personen, die sich im Rahmen ihrer beruflichen Tätigkeit mit Bestattung und Grabpflege befassen, Teilnehmende und Mitgestaltende von Trauerfeiern sowie sonstige Besucher handelt.

a) Berechtigte Interessen der Nutzungsberechtigten des Grabes

s.o.

b) Erforderlichkeit

Im Unterschied zum 1. Erfassungsbereich ist die Gemeinde hier im Hinblick auf die Erforderlichkeit im Rahmen der Prüfung des Art. 6 Abs. 1 Unterabs. 1 Buchst. f DS-GVO zu einem positiven Ergebnis gekommen.

c) Interessenabwägung

Friedhöfe werden gemeinhin als Orte des ehrenden Gedenkens und der Ruhe aber auch der Begegnung wahrgenommen. Dabei ist zu beachten, dass bei Trauerfeiern und beim Aufsuchen von Gräbern häufig religiösen und weltanschaulichen Überzeugungen Ausdruck verliehen wird. In diesem Kontext dürfen die betroffenen Personen daher davon auszugehen, dass auf ein damit verbundenes Bedürfnis nach Ungestörtheit Rücksicht genommen wird. Sie haben daher nicht damit zu rechnen, dass eine Videoüberwachung stattfindet.

Der Informationsgehalt von etwaig angefertigten Aufnahmen kann u. U. relativ hoch sein und Informationen zum Gegenstand haben, die in Anlehnung an die von der Rechtsprechung zum Allgemeinen Persönlichkeitsrecht geprägte sog. Sphärentheorie der Privatsphäre zuzuordnen sind. Der Schutz der Privatsphäre gem. Art. 2 Abs. 1, Art. 1 Abs. 1 GG, Art. 8 Abs. 1 EMRK umfasst insbesondere Angelegenheiten, die wegen ihres Informationsgehalts typischerweise als „privat“ eingestuft werden. Dazu können auch Situationen großer emotionaler Belastung wie bei der Trauer um einen Angehörigen oder eine nahestehende Person zählen. Diese können Gefühlsäußerungen, persönliche Regungen und Handlungen auslösen, die erkennbar nicht für die Augen Dritter bzw. Unbeteiligter bestimmt sind (vgl. BGH, Urteil vom 10.11.2020 – VI ZR 62/17 – KG Rnn. 15 ff m.w.N.). Zu denken ist beispielsweise an tröstender Gesten ggü. Trauerenden.

Auch wenn der Friedhof öffentlich zugänglich ist, kann daraus nicht ohne Weiteres geschlossen werden, dass betroffene Personen nicht die berechtigte Erwartung haben, in Ruhe gelassen zu werden. Der Schutzbereich der Privatsphäre ist nicht nur örtlich, sondern auch thematisch bestimmt (vgl. BGH Urt. v. 13.12.2022 – VI ZR 280/21 Rn. 35). Dabei ist zu beachten, dass private Bestattungsplätze nach § 9 des Bestattungsgesetzes nur in engen Grenzen angelegt werden dürfen („Friedhofszwang“). Für Hinterbliebene besteht daher in vielen Fällen zur Nutzung des gemeindlichen Friedhofs keine zumutbare Alternative. Daher kann beispielsweise die Aufschrift des Bandes eines Grabkranzes, den Eltern am Grab ihres verstorbenen Sohnes niedergelegt haben, deren Privatsphäre zugeordnet werden (BGH, Urteil vom 10.11.2020 – VI ZR 62/17 – KG Rn. 17).

Auch wenn das konkret in Frage stehende Ausmaß der Videoüberwachung nicht bekannt ist, sprechen bereits gewichtige Argumente für ein Überwiegendes Interesse der betroffenen Personen.

5.2 Weitere Hinweise:

  1. Unzulässiger Überwachungsdruck

Da der Einsatz der Videoüberwachung bzgl. des Erfassungsbereichs 1 in der konkreten Situation bereits als ungeeignet zur Erhebung von Beweismaterial bewertet wurde, ist es vorstellbar, dass der Erfassungsbereich derart klein wäre, dass bereits keine personenbezogenen Daten erhoben werden, weil anhand der Aufnahmen weder eine direkte noch indirekte Identifizierbarkeit von natürlichen Personen möglich ist, vgl. Art. 4 Nr. 1 DS-GVO. Der sachliche Anwendungsbereich der DS-GVO wäre in diesem Fall bereits nicht eröffnet, Art. 2 Abs. 1 DS-GVO. Dies bedeutet aber nicht, dass eine solche Kamera ohne weiteres im Bereich der Grabanlage angebracht werden darf. Auch eine Kamera-Attrappe zum Zweck der Abschreckung wäre nicht ohne Weiteres zulässig. Abgesehen davon kann sowohl von Kameras, die keine personenbezogene Daten verarbeiten, als auch von reinen Kamera-Attrappen ein Überwachungsdruck ausgehen, der in unzulässiger Weise in das allgemeine Persönlichkeitsrecht der anderen Friedhofsnutzer und -Besucher aus Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG eingreift. Den anderen Nutzern und Besuchern des Friedhofs kann dann beispielsweise ein zivilrechtlicher Unterlassungsanspruch gem. § 1004 BGB analog i.V.m. § 823 Abs. 1 des Bürgerlichen Gesetzbuches (BGB) zustehen. Ein solcher Überwachungsdruck liegt nach der Rechtsprechung dann vor, wenn Dritte eine Überwachung durch die Kameras objektiv ernsthaft befürchten müssen. Eine solche Befürchtung ist dann gerechtfertigt, wenn sie auf Grund konkreter Umstände als nachvollziehbar und verständlich erscheint, beispielsweise auf Grund objektiv Verdacht erregender Umstände. Liegen solche Umstände vor, kann das Persönlichkeitsrecht des (vermeintlich) Überwachten schon auf Grund der Verdachtssituation beeinträchtigt sein, vgl. AG Gelnhausen, Urt. v. 04.03.2024, Az. 52 C 76/24; LG Hamburg Urteil vom 18.1.2018 – 304 O 69/17 Rn. 17; OLG Köln, Urteil vom 22.9.2016 – 15 U 33/16 jeweils zu Nachbarschaftsstreitigkeiten). Die einzelnen Voraussetzungen wären ggf. im konkreten Fall zu prüfen.

  1. Videoüberwachung durch die Gemeinde gem. § 18 LDSG
    a) Gefahr für Schutzgut

Eine Videoüberwachung durch die Gemeinde gem. § 18 LDSG wäre ebenfalls nicht zulässig. Zwar handelt es sich bei dem Friedhof um eine öffentlich zugängliche öffentliche Einrichtung gem. § 18 Abs. 1 Nr. LDSG. Bereits die Begründung einer Gefahr für ein Schutzgut des § 18 LDSG könnte jedoch schwierig sein. Mit der Zerstörung der Laterne das Eigentum der Nutzungsberechtigten des Grabes geschädigt. Allerdings ist fraglich, ob dies im Zusammenhang mit einem Aufenthalt der Nutzungsberechtigten auf dem Friedhof oder dessen unmittelbaren Nähe zu sehen ist. Dass mit der Brandlegung Schäden in Verbindung stehen, wurde nicht vorgetragen. Als Schutzgüter des § 168 StGB werden neben dem Pietätsgefühl der Angehörigen des Verstorbenen, die mit dem Tod nicht endende Menschenwürde, das Pietätsgefühl der Allgemeinheit und der öffentliche Frieden genannt (vgl. Heuchemer, in BeckOK StGB, 61. Edition, § 168 Rn. 1). Diese finden sich in § 18 Abs. 1 LDSG allesamt nicht wieder.

b) Erforderlichkeit

Die Erforderlichkeit der Maßnahme wäre sorgfältig im Hinblick auf in Betracht kommende mildere Mittel zu prüfen. Zu denken ist etwa an beschränkte Öffnungszeiten, Beleuchtung während der Nachtstunden und verstärkte Kontrollen sowie Sensibilisierungsmaßnahmen gegenüber den Einwohnern.

c) Interessenabwägung

Auch die Abwägung der schutzwürdigen Interessen der betroffenen Personen mit dem Überwachungsinteresse der Gemeinde würde voraussichtlich zugunsten der betroffenen Personen ausfallen. Zwar ist das Interesse der Gemeinde nicht identisch mit dem Überwachungsinteresse der Nutzungsberechtigten des Grabes. Seitens der Gemeinde würden neben individuellen Schutzgütern auch Aspekte von allgemeinem Interesse wie die Schutzgüter des § 168 StGB einfließen. Gleichwohl sprechen die objektive Erwartbarkeit und die hohe Eingriffstiefe wie bereits i.R.d. Abwägung bei Art. 6 Abs. 1 Unterabs. 1 Buchst. f DS-GVO unter Ziff. 1.2 für ein überwiegendes Interesse der betroffenen Personen. Die wenig konturierten allgemeinen Interessen welche zu den Interessen der Nutzungsberechtigten des Grabes auf der Seite des Überwachungsinteresses hinzukommen, rechtfertigen wahrscheinlich kein anderes Abwägungsergebnis.

  1. Handlungsoptionen für die Gemeinde (Friedhofsordnung)

Gem. § 15 Abs. 1 des Bestattungsgesetzes ist für Gemeindefriedhöfe eine Friedhofsordnung als Satzung zu erlassen. Sie enthält die Bestimmungen, die notwendig sind, Verstorbene geordnet und würdig zu bestatten, beizusetzen und zu ehren sowie die Ordnung auf dem Friedhof aufrechtzuerhalten. In diesem Rahmen könnte ggf. ein Verbot des Einsatzes von Videoüberwachungsanlagen und entsprechender Attrappen aufgenommen werden. Im Rahmen der Prüfung des Art. 6 Abs. 1 Unterabs. 1 Buchst. f DS-GVO würde dies dazu führen, dass bereits kein berechtigtes Interesse an einer Datenverarbeitung vorliegen würde. Eine Prüfung sämtlicher Umstände von Einzelfällen würde sich erübrigen. Bei einem Verstoß gegen die Friedhofsordnung wegen einer unzulässiger Datenverarbeitung wäre der LfDI als Aufsichtsbehörde gem. Art. 51 DS-GVO i.V.m. § 40 des Bundesdatenschutzgesetzes i.V.m. § 25 Abs. 1 S. 2 LDSG zuständig. Für Verstöße wegen des unzulässigen Anbringens von Attrappen wäre die Gemeinde zuständig.

 

6. Können Negativauskünfte gemäß § 29 Abs. 1 Ziff. 1 UVwG ohne Einwilligung und vorherige Anhörung der betroffenen Person gegeben werden?

Grundsätzlich wird im UVwG und LIFG nicht nach positiv oder negativen personenbezogenen Daten unterschieden. Eine Information kann nur dann ohne Einwilligung herausgegeben werden, wenn das öffentliche Interesse überwiegt.

Für Fragen hinsichtlich der Anwendung des UVwG sind grundsätzlich die Regierungspräsidien zuständig.

Informationen über Privatgrundstücke sind jedenfalls auch Informationen über die Eigentümer dieser Grundstücke. Deswegen sind Informationen über Grundstücke von natürlichen Personen – anders als etwa bei (Grundstücken von) Kommunen – auch personenbezogene Daten über diese natürlichen Personen als Grundstückseigentümer (ebenso z. B. VGH BW, Urteil vom 17. Dezember 2020 – 10 S 3000/18 –, juris Rn. 36). Gegebenenfalls können Informationen über Grundstücke (solche von Privatleuten ebenso wie im Eigentum der der öffentlichen Hand) auch personenbezogene Daten etwa über Mieter, Pächter oder sonstige Nutzungsberechtigte sein, jedenfalls sofern diese natürliche Personen sind (vom VGH BW im konkreten Fall geprüft, aber verneint). Diese natürlichen Personen sind damit insoweit datenschutzrechtlich betroffene Personen (vgl. Artikel 4 Nummer 1 der Datenschutz-Grundverordnung – DS-GVO).

Datenschutzrechtlich (anders als [umwelt]informationsfreiheitsrechtlich) ist die Angelegenheit lediglich insoweit bedeutsam, als es um personenbezogene Daten geht. Zudem geht es datenschutzrechtlich lediglich darum, ob ein Verantwortlicher (vgl. Artikel 4 Nummer 7 DS-GVO) personenbezogene Daten herausgeben darf, nicht darum, ob er sie herausgeben muss (wenn er personenbezogene Daten Dritten herausgeben darf oder muss, es jedoch gleichwohl nicht tut, ist das datenschutzrechtlich nicht zu bemängeln, weil das nicht gegen Vorschriften über den Datenschutz verstößt).

Dafür, ob die genannten Angaben grundstücks- beziehungsweise flurstücksgenau herausgeben werden dürfen, ist bedeutsam, ob insoweit nach § 24 Absatz 1 Satz 1 des Umweltverwaltungsgesetzes (UVwG) ein Anspruch auf freien Zugang zu Umweltinformationen besteht (§ 24 Absatz 1 UVwG lautet: „Jede Person hat nach Maßgabe dieses Gesetzes Anspruch auf freien Zugang zu Umweltinformationen, über die eine informationspflichtige Stelle im Sinne von § 23 Absatz 1 UVwG verfügt, ohne ein rechtliches Interesse darlegen zu müssen. Daneben bleiben andere Ansprüche auf Zugang zu Informationen unberührt“). Danach setzt der Anspruch auf freien Zugang zu Umweltinformationen insbesondere nicht voraus, dass die antragstellende Person etwa ein rechtliches Interesse darlegt.

Nach § 29 Absatz 1 Satz 1 Nummer 1 UVwG kann der Informationszugang zum Schutz sonstiger Belange ausgeschlossen sein (dieser lautet: „Soweit durch das Bekanntgeben der Informationen personenbezogene Daten offenbart und dadurch Interessen der betroffenen Personen erheblich beeinträchtigt würden, ist der Antrag abzulehnen, es sei denn, die betroffenen Personen haben eingewilligt oder das öffentliche Interesse an der Bekanntgabe überwiegt“).

Danach ist bedeutsam, ob durch das Bekanntgeben der Informationen personenbezogene Daten offenbart und dadurch Interessen der betroffenen Personen erheblich beeinträchtigt würden (und nicht lediglich, ob das nach dem jeweiligen Kenntnistand der informationspflichtigen Stelle so ist). Dies lässt sich bei der Information über das Vorhandensein von Altlasten auf einem Grundstück nicht generell sagen, sondern bedarf der Untersuchung im Einzelfall; um sachgerecht entscheiden zu können, muss sich mithin die informationspflichtige Stelle zunächst die Kenntnis verschaffen, ob es um personenbezogene Daten geht und was die Interessen der betroffenen Personen sind. Schon aus diesem Grund wird vielfach – unbeschadet der Regelungen in § 29 Absatz 1 Satz 3 und Absatz 2 UVwG –  eine Anhörung erforderlich sein. Erweist sich die Beeinträchtigung der Interessen der Betroffenen im Falle einer Offenbarung sodann als nicht erheblich, ist dem Informationsantrag ohne weitere Abwägung mit dem öffentlichen Interesse an der Bekanntgabe stattzugeben. Dies kann bei reinen grundstücksbezogenen Informationen vielfach der Fall sein (vgl. zum Anspruch aus dem Landesinformationsfreiheitsgesetz erneut VGH BW, a. a. O., Rn. 40 ff. zur Herausgabe der Statik eines Hauses: Das Gerichtshof wertete hier die Interessen des betroffenen Grundstückseigentümers als „äußerst gering“ ein, so dass schon deswegen das Informationsinteresse überwiege – obwohl der Wortlaut des Ausschluss des Anspruchs aus dem Landesinformationsfreiheitsgesetz nach dessen § 5 Absatz 1 – anders als der Ausschluss des hier relevanten Anspruch aus § 24 UVwG nach § 29 Absatz 1 Satz 1 Nr. 1 UVwG – keine erhebliche Beeinträchtigung fordert, sondern schon bei jeder – auch unwesentlichen – Beeinträchtigung des datenschutzrechtlich Betroffenen die Vornahme einer Abwägung verlangt).

Soweit allerdings personenbezogene Daten offenbart und dadurch Interessen der betroffenen Person erheblich beeinträchtigt würden, ist sodann zu prüfen, ob die betroffene(n) Person(en) eingewilligt hat/haben oder ob – auch ohne Einwilligung – das öffentliche Interesse an der Bekanntgabe die durch die Offenbarung personenbezogener Daten beeinträchtigten Interessen der Betroffenen überwiegt. Auch insoweit sind zunächst eine Ermittlung der betroffenen Interessen und sodann die Abwägung vorzunehmen. Auch hierzu wird in der Regel eine Anhörung der (potentiell) Betroffenen erforderlich sein (vgl. hierzu die Gesetzesbegründung zu § 29 Absatz 1 Satz 3 UVwG: „Damit die informationspflichtige Stelle im Einzelfall eine sachgerechte Abwägung zwischen dem Schutz des Rechts auf informationelle Selbstbestimmung, des Rechts am geistigen Eigentum, eines Betriebs- und Geschäftsgeheimnisses oder des Steuer- und Statistikgeheimnisses auf der einen Seite und dem Recht auf freien Zugang zu Umweltinformationen im öffentlichen Interesse auf der anderen Seite treffen kann, ist der Betroffene vor einer Entscheidung über die Offenbarung der ihn betreffenden Umweltinformationen anzuhören (Satz 3).“ (Landtags-Drucksache 15 / 5487 S. 87, https://www.landtag-bw.de/files/live/sites/LTBW/files/dokumente/WP15/Drucksachen/5000/15_5487_D.pdf).

Eine allgemeine Aussage, dass die Information über Altlasten stets herauszugeben ist bzw. stets zu verweigern ist, wird sich daher nicht treffen lassen; erforderlich ist eine Ermittlung und ggf. Abwägung der Interessen im Einzelfall.

7. Gibt es Vorgaben, ob behördliche Datenschutzbeauftragte ein eigenes Büro haben müssen?

Auf ein eigenes Büro des Datenschutzbeauftragten besteht kein gesetzlicher Anspruch. Allerdings muss die Vertraulichkeit der behördlichen Datenschutzbeauftragten gewährleistet sein, z.B. durch Zurverfügungstellung eines Raumes, in welchem vertrauliche Gespräche geführt werden können. Dies kann jedoch auch über die zeitweise Nutzungsmöglichkeit eines Besprechungsraumes sichergestellt werden, der von verschiedenen Mitarbeitenden genutzt wird.

Es muss z.B. organisatorisch sichergestellt sein, dass

  • die DSB immer auf allen Kommunikationskanälen direkt erreichbar ist;
  • der DSB ein Arbeitsraum zur Verfügung steht, in dem auch vertrauliche Besprechungen oder Telefonate stattfinden können;
  • schriftliche Post ungeöffnet die DSB erreicht;
  • die DSB eine eigene Ablage (Registratur) besitzt;
  • E-Mails direkt und unmittelbar nur von der DSB geöffnet und bearbeitet werden können.

Diese und weitere Informationen finden Sie in unseren Handreichungen zu Datenschutzbeauftragten:

https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2019/11/Praxisratgeber-LfDI-BW-Der-Beauftragte-f%C3%BCr-den-Datenschutz-Teil-I.pdf

und

https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2019/11/Praxisratgeber-LfDI-BW-Der-Beauftragte-f%C3%BCr-den-Datenschutz-Teil-II.pdf:

8. Dürfen der Waffenbehörde proaktiv personenbezogene Informationen von anderen Ämtern der gleichen Gemeinde weitergeleitet werden, bspw. wenn Anhaltspunkte für eine waffenrechtliche Unzuverlässigkeit bestehen?

Grundsätzlich müssen Daten zweckgebunden verarbeitet werden. Eine zweckändernde Verarbeitung wie die Weitergabe an ein anderes Amt kann jedoch auf Grundlage von § 5 Abs. 1 LDSG erlaubt sein. Im Einzelnen:

Bei einer Weitergabe von personenbezogenen Daten durch ein Amt an ein anderes Amt innerhalb einer Stadt handelt es sich nicht um eine Übermittlung personenbezogener Daten. Es findet keine Offenbarung von Informationen gegenüber einem Dritten statt, da die Datenverarbeitung innerhalb eines Verantwortlichen stattfindet. Dennoch handelt es sich bei dem Weitergeben um eine (zweckändernde) Datenverarbeitung, die einer Rechtsgrundlage bedarf.

Eine solche Rechtsgrundlage ist zunächst im jeweiligen Fachgesetz zu suchen. So regelt z.B. § 43 Waffengesetz (WaffG) Erhebungs- und Übermittlungsbefugnisse der Waffenbehörden, aber auch anderer öffentlicher Stellen. Gem. § 43 Abs. 2 WaffG sind öffentliche Stellen demnach verpflichtet, auf Ersuchen der Waffenbehörde personenbezogene Daten zu übermitteln. Diese spezialgesetzliche Rechtsgrundlage erfasst jedoch nicht den hier geschilderten Fall. Zum einen handelt es sich nicht um eine Übermittlung (s.o.), zum anderen geschieht der Vorgang nicht „auf Ersuchen“ der Waffenbehörde, sondern proaktiv.

Möglich ist eine zweckändernde Datenverarbeitung jedoch auf Grundlage von § 5 Abs. 1 LDSG. Auf die Generalklausel kann trotz spezialgesetzlicher Regelungen zurückgegriffen werden. Denn der Gesetzgeber hat durch die Regelung des § 43 WaffG nicht die Verarbeitung auf anderen Rechtsgrundlagen ausschließen wollen, s. Gesetzesbegründung in BT-Drucksache 14/7758, S. 78:

Verzichtet wird, etwa in Anlehnung an das Ausländergesetz, auf die ausdrückliche Regelung einer Pflicht zu Spontanmitteilungen, also Mitteilungen ohne Auskunftsersuchen auf Initiative der an die Waffenbehörde übermittelnden Stelle. Dies deshalb, weil die Eigenschaft einer Person, Antragsteller in waffenrechtlichen Verfahren oder Umgang Habender mit Waffen zu sein, nicht evident oder allgemein bekannt ist. Nichtsdestoweniger bestehen aus allgemein datenschutzrechtlichen Gründen Befugnisse zu Spontanmitteilungen an die Waffenbehörde, die in den Fällen relevant werden, in denen der Übermittelnde weiß, dass der Betroffene Waffenbesitzer ist oder zu werden im Begriffe ist.

Bei der Frage, welche Variante von § 5 Abs. 1 LDSG einschlägig ist, kommt es auf die Konstellation des Einzelfalls an. Ist beispielsweise bekannt, dass die betroffene Person eine waffenrechtliche Erlaubnis besitzt und hat sie konkrete Drohungen ausgesprochen, wäre § 5 Abs. 1 Nr. 1 Var. 2 LDSG die Rechtsgrundlage für die Weitergabe an die Waffenbehörde und i.Ü. auch an die Polizei.

Voraussetzungen einer Datenverarbeitung auf Grundlage von § 5 Abs. 1 LDSG:

  1. Kein Ausschluss der Anwendbarkeit wegen Bestehens einer spezialgesetzlichen Regelung
  2. Zweckändernde Datenverarbeitung
  3. 1Die Verarbeitung ist erforderlich…
    1. für die Abwehr erheblicher Nachteile für das Allgemeinwohl
    2. oder
    3. für die Abwehr einer unmittelbar drohenden Gefahr für die öffentliche Sicherheit
    4. oder
    5. zur Wahrung erheblicher Belange des Allgemeinwohls
  4. 2Die Verarbeitung ist erforderlich…
    1. zum Schutz der betroffenen Person
    2. oder
    3. zur Abwehr einer schwerwiegenden Beeinträchtigung der Rechte und Freiheiten einer anderen Person
  5. 3Bei der rechtmäßigen Aufgabenerfüllung ergeben sich Anhaltspunkte für Straftaten oder von Ordnungswidrigkeiten von erheblicher Bedeutung
  6. und
  7. die Unterrichtung der für die Verhütung, Verfolgung oder Vollstreckung zuständigen Behörden ist erforderlich
  8. 4Angaben der betroffenen Person müssen überprüft werden, weil tatsächliche Anhaltspunkte für deren Unrichtigkeit bestehen
  9. Die Verarbeitung ist notwendig und verhältnismäßig.

Nicht übersehen werden darf, dass die Verarbeitung immer „notwendig und verhältnismäßig“ sein muss, s. § 5 Abs. 1 letzter Halbsatz LDSG. Dazu muss zunächst Folgendes beachtet werden:

Es ist Aufgabe der Waffenbehörde, die Voraussetzungen einer waffenrechtlichen Erlaubnis zu prüfen, § 4 WaffG. Erforderlich zur Prüfung dieser Voraussetzungen sind verschiedenste Informationen, bspw. über Vorstrafen, vgl. § 5 Abs. 1 Nr. 1 WaffG. Zum Zwecke der Prüfung darf die Waffenbehörde deswegen unter den Voraussetzungen des § 43 Abs. 1 WaffG umfangreiche Informationen erheben und weiterverarbeiten. Zu den Voraussetzungen einer waffenrechtlichen Erlaubnis gehört auch die Zuverlässigkeit und persönliche Eignung zum Erwerb, Besitz, Führen oder Schießen von Waffen, §§ 5, 6 WaffG. Beides muss auch nach Erteilung der Erlaubnis regelmäßig überprüft werden, § 4 Abs. 3 WaffG.

„Notwendig und verhältnismäßig“ ist die Weitergabe personenbezogener Daten an die Waffenbehörde auf Grundlage von § 5 Abs. 1 LDSG jedenfalls nur dann, wenn die Informationen für die Aufgabenerfüllung der Waffenbehörde überhaupt relevant oder erheblich sind. Selbstverständlich kann die „Nicht-Waffenbehörde“ die Bewertung der waffenrechtlichen Zuverlässigkeit nicht vorwegnehmen. Gleichwohl lässt sich dem Gesetz und auch der Rechtsprechung entnehmen, welche Informationen relevant für eine entsprechende Bewertung sein könnten, z.B. Anhaltspunkte für eine Geschäftsunfähigkeit, vgl. § 6 Abs. 1 Nr. 1 WaffG oder einen unsachgemäßen Umgang mit Waffen oder Munition, vgl. § 5 Abs. 1 Nr. 2 WaffG. Letzteres kann auch Personen betreffen, die die Rechtsordnung der Bundesrepublik Deutschland negieren und generell als für sich nicht verbindlich anerkennen, vgl. z.B. VG München, Beschluss vom 26.04.2023 – M 7 S 23.1898 (mehr Informationen zu sog. „Selbstverwaltern“ oder „Reichsbürgern“ finden Sie in der Handreichung für Beschäftigte des öffentlichen Dienst auf der Website des Landesamts für Verfassungsschutz).

Sollten personenbezogene Daten zweckändernd verarbeitet werden, die Daten im Sinne des Art. 9 DS-GVO sind, ist nicht § 5 Abs. 1 LDSG, sondern § 17 Abs. 2 LDSG die einschlägige Generalklausel.

Voraussetzungen einer Datenverarbeitung auf Grundlage von § 17 Abs. 2 LDSG:

  1. Kein Ausschluss der Anwendbarkeit wegen Bestehens einer spezialgesetzlichen Lösung
  2. Verarbeitung personenbezogener Daten i.S.d. Art. 9 DS-GVO
  3. Die Verarbeitung ist erforderlich aus Gründen
    1. eines erheblichen öffentlichen Interesses
    2. oder
    3. für die Abwehr einer erheblichen Gefahr für die öffentliche Sicherheit
  4. Die Interessen der öffentlichen Stelle überwiegen die Interessen der betroffenen Person.

Wir empfehlen die Dokumentation der Datenweitergabe und der Begründung des Vorliegens der Voraussetzungen der jeweiligen Rechtsgrundlage.