In diesem Beitrag werden häufige Fragen von Kommunen zu einzelnen Vorschriften der Datenschutzgrundverordnung und dem baden-württembergischen Landesdatenschutzgesetz beantwortet.

Wünschen Sie eine andere Ansicht? Versuchen Sie diese hier.

Diese FAQ als PDF aufrufen.

 

Art. 2 DS-GVO
  • Frage: Unterfällt die Feuerwehr oder die Straßenverkehrsbehörde Art. 2 Abs. 2 Buchst. d, schließlich dient ihre Arbeit der „Abwehr von Gefahren für die öffentliche Sicherheit“? Damit würden alle Datenverarbeitungen durch diese nicht unter den Anwendungsbereich der DS-GVO fallen.

Gemäß Art. 2 Abs. 2 Buchst. d DS-GVO ist die DS-GVO nicht anwendbar auf Verarbeitungen personenbezogener Daten durch Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit. Erfasst wird also die Gefahrenabwehr (nur) im Zusammenhang mit drohenden oder begangenen Straftaten oder Ordnungswidrigkeiten. Der Begriff der Ordnungswidrigkeiten ist zwar nicht in Art. 2 Abs. 2 Bucht. d DS-GVO enthalten. Er ist europarechtskonform aber als Straftat einzuordnen (siehe Telos des § 30 Abs. 2 LDSG).

In diesem Zusammenhang stellt Erwägungsgrund 19 S. 4 DS-GVO klar, dass „zuständige Behörden“ im Sinne der JI-Richtlinie auch Aufgaben haben können, die nicht zur Erfüllung der Zwecke aus der JI-Richtlinie ausgeführt werden. Sofern diese Aufgaben für Zwecke aus der DS-GVO ausgeführt werden, fallen sie wieder unter den Anwendungsbereich der DS-GVO.

Das bedeutet in der Praxis, dass innerhalb einer Behörde (z.B. einer Straßenverkehrsbehörde) zu fragen ist, in welchem Aufgabenbereich die fragliche Datenverarbeitung stattfindet. Die Bußgeldstelle innerhalb einer größeren Behördeneinheit unterliegt demnach der JI-Richtlinie, die reine Verwaltungsabteilung dagegen der DS-GVO.

Da die Feuerwehr nicht im Bereich der Gefahrenabwehr im Zusammenhang mit Straftaten oder Ordnungswidrigkeiten Daten verarbeitet, fallen dort durchgeführte Datenverarbeitungen unter die DS-GVO.

Art. 4 Nr. 7 DS-GVO
  • Frage: Wer ist auf kommunaler Ebene Verantwortlicher im Sinne des Art. 4 Nr. 7 DS-GVO?

Verantwortliche Stelle ist die Gemeinde als Gebietskörperschaft mit all ihren Organen und organisatorischen Untergliederungen, vertreten durch den (Ober-) Bürgermeister, die (Ober-) Bürgermeisterin.

Art. 6 Abs. 1 Buchstabe e DS-GVO
  • Frage: Wenn eine Kommune freiwillige Leistungen erbringt und nicht im Bereich hoheitlicher Pflichtaufgaben tätig ist, kann dann Art. 6 Abs. 1 Buchst. e DS-GVO Rechtsgrundlage für in diesem Bereich vorgenommene Datenverarbeitungen sein?

Nach Art. 6 Abs. 1 Buchst. e DS-GVO ist eine Datenverarbeitung dann rechtmäßig, wenn sie für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt (Variante 1) oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde (Variante 2). Variante 2 beschreibt die klassisch hoheitlichen Tätigkeiten einer öffentlichen Stelle, die aufgrund rechtlich festgelegter Aufgaben durchgeführt werden müssen. Beispiele für Variante 1 des Art. 6 Abs. 1 Buchst. e sind insbesondere aus dem Bereich der freiwilligen Aufgaben einer öffentlichen Stelle zu nennen, wie der Betrieb einer öffentlichen Bibliothek oder eines Schwimmbades. Ein öffentliches Interesse ist ein solches, das nicht nur der Einzelperson dient, sondern einem übergeordneten gesellschaftlichen Ziel.

Die gesetzliche Erlaubnisgrund für Datenverarbeitung im Bereich der freiwilligen Aufgaben einer Kommune ist also Art. 6 Abs. 1 Buchst. e iVm Fachgesetz oder § 4 LDSG [im Bereich der Pflichtaufgaben überwiegen idR die Fachgesetze].

  • Frage: Wie erfolgt die Unterscheidung zwischen Art. 6 Abs. 1 Buchst. c und e DS-GVO?

Art. 6 Abs. 1 Buchst. e DS-GVO stellt die für den behördlichen Bereich speziellere Ermächtigungsgrundlage dar.

  • Frage: Können im Rahmen von Art. 6 Abs. 1 Buchst. e iVm Abs. 3 DS-GVO personenbezogene Daten auf Grundlage einer Satzung oder eines Kreistagsbeschlusses verarbeitet werden?

„Rechtsgrundlage“ im Sinne von Art. 6 Abs. 3 DS-GVO können formelle Parlamentsgesetze, Rechtsverordnungen, Satzungen oder auch Betriebsvereinbarungen sein. Ein Kreistagsbeschluss dagegen nicht.

Art. 6 Abs. 1 Buchstabe f DS-GVO
  • Frage: Kann Art. 6 Abs. 1 Buchst. f DS-GVO unter bestimmten Voraussetzungen doch für Kommunen anwendbar sein?

Gemäß Art. 6 Abs. 1 Unterabsatz 2 DS-GVO ist Art. 6 Abs. 1 Buchst. f DS-GVO nicht für die von Behörden in Erfüllung ihrer Aufgabe vorgenommenen Datenverarbeitung gilt. Gemeint sein müssen an dieser Stelle sowohl die Pflicht- als auch die freiwilligen Aufgaben, die eine Behörde erfüllt.

Etwas anderes gilt, wenn Behörden in gleicher Weise wie private Akteure am Privatrechtsverkehr teilnehmen. Wenn eine Stadt als Eigentümerin von Immobilien also ausstehende privatrechtliche Miet- und Pachtzinsen eintreibt, handelt sie gerade nicht auf Grundlage eines Sonderrechts, das sich von denen im Verhältnis zwischen Privatpersonen geltenden Regeln unterscheidet. Auch der Erwägungsgrund 47 Satz 5 DS-GVO widerspricht hier im konkreten Fall nicht der Anwendbarkeit des Art. 6 Abs. 1 Buchst. f DS-GVO. Für die Aufgabenerfüllung einer Beitreibung privatrechtlicher Forderungen kann die Kommune eben gerade nicht die Schaffung eines Sonderrechts durch den (nationalen) Gesetzgeber erwarten, da ein solches in einer privatrechtlichen Beziehung zwischen Vermieterin und Mieter im Hinblick auf die bestehenden Bestimmungen des Bürgerlichen Gesetzbuches gar nicht erforderlich ist.

Art. 7, Art. 13 DS-GVO
  • Frage: Gelten Alt-Einwilligungen fort? Informationen im Sinne von Art. 13 DS-GVO wurden ja damals von den Behörden nicht erteilt. Wann muss eine neue Einwilligung eingeholt werden?

Nach einem Beschluss des Düsseldorfer Kreises vom 13./ 14. September 2016 gelten bisher erteilte Einwilligungen fort, sofern sie den Bedingungen der DS-GVO entsprechen (siehe auch Erwägungsgrund 171 Satz 3 DS-GVO). Bisher rechtswirksame Einwilligungen erfüllen grundsätzlich diese Bedingungen, wobei die Informationspflichten nach Art. 13 DS-GVO nicht erfüllt sein müssen, da sie keine Bedingungen im Sinne des genannten Erwägungsgrundes darstellen. Nicht die Bedingungen der DS-GVO erfüllt eine in der Vergangenheit erteilte „Opt-Out“- Einwilligung (vorangekreuztes Kästchen), da eine solche „Art der Einwilligung“ künftig nicht mehr zulässig ist (Erwägungsgrund 32 Satz 3 DS-GVO). In diesem Fall muss die Einwilligung unter Beachtung der Vorgaben der Datenschutz-Grundverordnung neu eingeholt werden.

Besondere Beachtung bei der Frage der Fortgeltung von Alt-Einwilligungen verdient auch die Bedingung der Freiwilligkeit,  insbesondere das darunter fallende „Kopplungsverbot“(Art. 7 Absatz 4 DS-GVO i.V.m. Erwägungsgrund 43 DS-GVO). Wurde die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung abhängig gemacht, die für die Erfüllung des Vertrags nicht erforderlich war, gilt diese Einwilligung nicht weiter fort.

Eine Einwilligung nach dem 25. Mai 2018 muss in „informierter Weise“ abgegeben werden. In Erwägungsgrund 42 der DS-GVO heißt es dazu, dass die betroffene Person mindestens wissen muss, wer der Verantwortliche ist und für welche Zwecke die personenbezogenen Daten verarbeitet werden. Darüber hinaus sollte die Einwilligungserklärung grundsätzlich die gemäß Art. 13 Abs. 1 und 2 DS-GVO geforderten Informationen abdecken. Allerdings führen Verstöße gegen diese weitergehenden Informationspflichten nicht zur Unwirksamkeit der Einwilligungserklärung. Maßgeblich für die Wirksamkeit der Einwilligungserklärung sind allein die Vorgaben von Art. 4 Nr. 11, Art. 7 und Art. 8 DS-GVO.

Ein Nichterfüllen der Informationspflichten nach Art. 13 Abs. 1 und 2 DS-GVO können als Verstoß gegen die Vorschriften der DS-GVO jedoch Sanktionen der Aufsichtsbehörde nach sich ziehen.

Art. 9 DS-GVO
  • Frage: Im Beschäftigungskontext werden u. a. auch Gesundheitsdaten von der Behörde verarbeitet. Vorrangige Rechtsgrundlage für die Verarbeitung von Beschäftigtendaten ist § 15 LDSG. Muss dabei zusätzlich Artikel 9 Absätze 1 und 2 DS-GVO beachtet werden? Dürfen Gesundheitsdaten von Beschäftigten nur mit Einwilligung (Abs. 2 lit. a) verarbeitet werden?

Die Vorschrift des § 15 Abs. 2 LDSG  beruht auf der Öffnungsklausel aus Art. 9 Abs. 2 Buchst. b DS-GVO. Die Verarbeitung besonderer Kategorien personenbezogener Daten von Beschäftigten muss somit die Anforderungen aus § 15 Abs. 2 LDSG einhalten. Parallel wäre es auch möglich die Verarbeitung auf eine Einwilligung des Beschäftigten zu stellen. Hierfür müssten jedoch die Anforderungen, die von der DS-GVO an die Einwilligung gestellt werden (Art. 7 und 8 DSGVO) eingehalten werden. Insofern stellt sich vor allem das Problem der Freiwilligkeit der Einwilligung, die für den Einzelfall festgestellt werden müsste. Grundsätzlich empfehlen wir immer, eine Datenverarbeitung auf einer gesetzlichen Grundlage zu stellen.

Art. 13 DS-GVO
  • Frage: Muss iRv Art. 13 DS-GVO auch über die Weitergabe von Daten an einen Auftragsverarbeiter informiert werden?

Auftragsverarbeiter sind „Empfänger“ im Sinne des Art. 4 Nr. 9 DS-GVO und müssen somit gemäß Art. 13 Abs. 1 Buchst. e DS-GVO Gegenstand der Information nach Art. 13 DS-GVO sein.

Art. 28 DS-GVO
  • Frage: Auf welcher Grundlage kann eine Kommune ein Inkasso-Unternehmen zur Beitreibung privatrechtlicher Forderungen einschalten?

Antwort: Konkret geht es um die Frage, ob es sich bei einem beauftragten Inkassounternehmen zur Beitreibung privatrechtlicher Forderungen einer Kommune um einen Auftragsverarbeiter gemäß Art. 28 DS-GVO oder um einen völlig eigenständigen Verantwortlichen (sog. Dritter im Sinne des Art. 4 Nr. 10 DS-GVO) handelt.

Für die Abgrenzung zwischen Verantwortlichem und Auftragsverarbeiter nach der DS-GVO empfiehlt es sich, auf die anhand der Datenschutz-Richtlinie 95/46/EG von der Artikel-29-Datenschutzgruppe herausgearbeiteten Kriterien abzustellen:

  • Ausführliche, dem Auftragsverarbeiter wenig Spielraum gebende Weisungen sind ein Indiz für eine Auftragsverarbeitung.
  • Eine vertraglich vorgesehene und tatsächlich ausgeführte permanente Beaufsichtigung seitens des Auftraggebers ist ein Indiz für eine vollständige alleinige Kontrolle über die Verarbeitungsvorgänge und damit für eine Auftragsverarbeitung.
  • Die traditionelle Rolle und Fachkompetenz des Dienstleisters kann eine entscheidende Rolle bei der Einstufung spielen. Rechtsanwälte verarbeiten personenbezogene Daten zwar aufgrund eines Mandats des Klienten, der Schwerpunkt dürfte jedoch weiterhin auf der berufsständisch verankerten unabhängigen Tätigkeit liegen. Gleiches gilt grundsätzlich für Rechnungsprüfer und Steuerberater. Generell sind sie ähnlich den Rechtsanwälten als Verantwortliche einzuordnen und sollen daher nur ausnahmsweise bei klar umrissenen und ausführlichen Weisungen unterliegenden Tätigkeiten als Auftragsverarbeiter einzustufen sein.

Vor diesem Hintergrund spricht grundsätzlich viel dafür, dass die durch eine Kommune geplante Beauftragung eines Inkassounternehmens zur Beitreibung privatrechtlicher Forderungen als Einschalten eines (neuen) „Verantwortlichen“ einzustufen ist.

Das Inkassobüro würde im Rahmen seines Auftrags Gestaltungs- oder Wahlmöglichkeiten bezüglich der Mittel der Verarbeitung haben. Eine Auftragsvergabe an einen externen Fachdienstleister ist klar zu unterscheiden von einer für die Auftragsverarbeitung vorausgesetzten Weisung. Vielmehr müsste diese Weisung durchweg durch den Auftraggeber überwacht werden, wofür allgemein nicht die Berufspraxis eines Inkassounternehmens spricht.

Art. 35 DS-GVO
  • Frage: Uns ist nicht klar, wie wir eine Datenschutz-Folgenabschätzung gemäß Art. 35 DS-GVO durchführen sollen. Welche Methode, die den Anforderungen des Art. 35 DS-GVO erfüllt, empfiehlt Ihre Dienststelle?

Wie eine Datenschutz-Folgenabschätzung genau durchgeführt werden muss, ist in der DS-GVO nicht vorgeschrieben. Sie muss aber immer die in der DS-GVO erwähnten Gewährleistungsziele Datenminimierung, Verfügbarkeit, Integrität, Vertraulichkeit, Nichtverkettbarkeit, Transparenz und Intervenierbarkeit vor dem Hintergrund der Risiken für die Rechte und Freiheiten natürlicher Personen bewerten und Maßnahmen zum Schutz dieser Gewährleistungsziele vorsehen.

Im Wesentlichen werden zwei Verfahren für eine DSFA empfohlen: eine Analyse anhand des Standard-Datenschutzmodells (SDM) oder ein stärker umsetzungsorientiertes Verfahren der französischen Aufsichtsbehörde CNIL anhand der ISO/IEC 27000-Reihe zur Informationssicherheit (PIA-Methodik).

Das SDM finden Sie in der jeweils aktuellen Version dort: www.datenschutzzentrum.de/sdm/

Die „Privacy Impact Assessment (PIA) Methodik“ der französischen Datenschutzaufsichtsbehörde CNIL bietet neben einer umfangreichen Dokumentation auch eine Software-Unterstützung, so dass der komplette Zyklus der Erstellung einer DSFA in Software durchgeführt und dokumentiert werden kann. Eine Übersetzung der PIA-Methodik und die dazu frei abrufbare Software finden Sie auf der Homepage des Bayerischen Landesbeauftragten für den Datenschutz:  www.datenschutz-bayern.de//technik/pia-tool.html

Art. 37 DS-GVO
  • Frage: Ein Zweckverband verarbeitet – außer der Mitarbeiterdaten – keinerlei personenbezogener Daten. Kann in diesem Fall eine Ausnahme von der Bestellpflicht eines behördlichen Datenschutzbeauftragten gemacht werden?

Nein, öffentliche Stellen sind immer in der Bestellpflicht.

Art. 38 DS-GVO
  • Frage: Wir überlegen ob auch die Personalratsvorsitzende als behördliche Datenschutzbeauftragte in Frage kommen könnte oder gibt es da einen Interessenkonflikt im Sinne von Art. 38 Abs. 6 DS-GVO?

Die Funktion eines Personalratsvorsitzenden ist grundsätzlich nicht mit den Aufgaben eines behördlichen Datenschutzbeauftragten vereinbar.

  • Frage: Müssen Gemeinderatsgruppen/-fraktionen einen Datenschutzbeauftragten benennen oder sind sie von der Pflicht ausgenommen?

Gemeinderatsfraktionen oder –gruppen sind keine eigenen verantwortlichen Stellen im Sinne der DS-GVO. Die Verarbeitung von personenbezogenen Daten durch Gemeinderatsfraktionen oder -gruppen steht vielmehr in der datenschutzrechtlichen Verantwortung der Gemeinde. Somit gibt es für Gemeinderatsfraktione auch keine Pflicht, einen behördlichen DSB zu benennen.

Anders zu beurteilen wäre es, wenn etwa eine Gruppe aus Personen, die zugleich auch Gemeinderatsmitglieder sind, sich außerhalb der gemeindlichen Zuständigkeit mit allgemeinen politischen oder parteipolitischen Fragestellungen befassen würde. Solche Gruppen wären mithin jedoch nicht als Gemeinderatsfraktionen oder -gruppen zu qualifizieren. Zu prüfen wäre bei entsprechenden Konstellationen, wer insoweit verantwortliche Stelle für die Verarbeitung von personenbezogenen Daten ist. Je nach Umständen könnte dies etwa eine Partei o. ä. sein.

§ 2 LDSG
  • Frage: Ist das LDSG auch für kommunale Eigenbetriebe, die am Wettbewerb teilnehmen, anwendbar?

Das LDSG gilt gemäß § 2 Abs. 1 für die „Verarbeitung personenbezogener Daten durch Behörden und sonstige öffentliche Stellen des Landes, der Gemeinden und Gemeindeverbände […]“. § 2 Abs. 1 stellt damit den Grundsatz dar, während Abs. 6 die Besonderheit regelt, wenn eine öffentliche Stelle als Unternehmen mit eigener Rechtspersönlichkeit am Wettbewerb teilnimmt.

Für kommunale Eigenbetriebe gelten gemäß § 3 Abs. 1 des „Gesetzes über die Eigenbetriebe der Gemeinden“ die Vorschriften der Gemeindeordnung Baden-Württemberg, da sie Teil der Gemeindeverwaltung sind. Die Gemeindeverwaltung unterfällt gemäß § 2 Abs. 1 LDSG vollumfänglich den Regelungen des LDSG. § 2 Abs. 6 LDSG ist nicht anwendbar, da ein Eigenbetrieb, auch wenn er am Wettbewerb teilnimmt, eben gerade keine eigene Rechtspersönlichkeit hat. Insoweit bleibt es beim Grundsatz der Anwendbarkeit des LDSG gemäß § 2 Abs. 1 LDSG.

§ 4 LDSG und § 23 KUG
  • Frage: Wie ist in Zukunft datenschutzrechtlich das Aufnehmen und Veröffentlichen von Fotos im Rahmen der Öffentlichkeitsarbeit der Gemeinde zu beurteilen (z.B. bei Bürgerempfängen oder in der Seniorenarbeit)? Ist das Kunsturhebergesetz (KUG) noch neben der DS-GVO anwendbar?

Die Frage, ob und inwieweit das Kunsturhebergesetz (KUG) – insbesondere § 23 KUG, der in den dort genannten Fällen eine Veröffentlichung von Lichtbildern ohne Einwilligung der Betroffenen möglich macht – unter der Geltung der DS-GVO noch anwendbar ist, ist noch nicht endgültig geklärt. Unsere derzeitige Rechtsauffassung geht dahin, dass die Öffentlichkeitsarbeit öffentlicher Stellen im Sinne des LDSG zu den diesen zugewiesenen Aufgaben gehört. Danach richten sich sowohl die Anfertigung als auch die Veröffentlichung von Lichtbildern datenschutzrechtlich nach § 4 LDSG. In Anwendung dieser Vorschrift ist insbesondere zu prüfen, inwieweit eine Veröffentlichung von Lichtbildern ohne Unkenntlichmachung der abgelichteten Personen erforderlich ist. Hierfür kann darauf abgestellt werden, ob und inwieweit die Voraussetzungen des § 23 KUG vorliegen. Je eher sich eine Vielzahl von Personen als „Beiwerk“ oder im Rahmen von Übersichtsaufnahmen auf dem Bild befindet, desto eher wird eine Veröffentlichung ohne Einwilligung zulässig sein. Je eher einzelne Personen hervorgehoben präsentiert werden, desto eher bedarf es einer Einwilligung der Betroffenen. In besonderem Maß gilt dies, wenn es sich um Abbildungen von Kindern handelt. Im Zweifel sollte sich die öffentliche Stelle ihrer Verantwortung und ihres Vorbildcharakters bei der Beachtung der Persönlichkeitsrechte Betroffener bewusst sein und Personen entweder um Einwilligung bitten oder sie unkenntlich machen (z. B. verpixeln).

Handelt es sich bei einer Veranstaltung um eine „geschlossene“ Gesellschaft, sollte in geeigneter Weise deutlich darauf hingewiesen werden, dass Aufnahmen gemacht und auch veröffentlicht werden sollen. Hingewiesen werden sollte mindestens auch darauf, an wen man sich wenden kann, wenn man nicht abgebildet werden oder nachträglich seine Zustimmung widerrufen möchte.

§ 18 LDSG
  • Frage: Im Eingangsbereich soll eine Gegensprechanlage mit Kamerafunktion installiert werden. Es werden keine Daten verarbeitet. Die Kamera dient lediglich zur In Augenscheinnahme der Person. Sollten hier zusätzlich noch Hinweise angebracht werden?

Die datenschutzrechtliche Zulässigkeit sogenannter Türkameras richtet sich nach der technischen Ausstattung des jeweiligen Geräts. Von einem unbedenklichen Einsatz gehen die Aufsichtsbehörden aus, wenn eine Aufzeichnung (Speicherung) ausgeschlossen ist, das System nicht mehr abbildet als ein Blick durch einen Türspion gewähren würde (d.h. keine Zoomfunktion, keine Nachtsichtverstärkung, keine Bewegungsaktivierung), der Übertragungsmonitor sich an der Tür befindet, dieser lediglich manuell aktiviert wird und die Übertragung nach einigen Sekunden automatisch unterbrochen wird.

Fragen sind die Wurzel aller Antworten.

Fragen Sie nach und wir bringen Licht ins Dunkel.