Der Bayerische Landesbeauftragte für den Datenschutz; Stand: 25.05.2021
4. Allgemeines Datenschutzrecht
4.1. "Datenschutzreform 2018" - Weiterentwicklung des Informationsangebots des Bayerischen Landesbeauftragten für den Datenschutz
Verantwortliche können einen den rechtlichen, technischen und organisatorischen Standards entsprechenden Datenschutz nur sicherstellen, wenn sie auch über das dafür erforderliche Wissen verfügen. Vor diesem Hintergrund lege ich besonderen Wert auf ein differenziertes Angebot an Orientierungshilfen, Arbeitspapieren, Aktuellen Kurz-Informationen sowie sonstigen Materialien. Dieses Angebot habe ich auch im Berichtszeitraum gepflegt und weiter ausgebaut. Es steht auf meiner Internetpräsenz https://www.datenschutz-bayern.de in der Rubrik "Datenschutzreform 2018" zum kostenfreien Abruf bereit.
- Im Februar 2020 erschien eine Orientierungshilfe "Videoüberwachung durch bayerische öffentliche Stellen", welche die einschlägigen landesrechtlichen Vorschriften in Art. 24 BayDSG eingehend erläutert. Die Orientierungshilfe wird durch das Formular "Prüfbogen für eine Videoüberwachung durch eine bayerische öffentliche Stelle" ergänzt. Dieses Formular bietet für die Anwendung der Norm ein "Prüfungsraster" und ermöglicht zugleich eine Dokumentation technisch-organisatorischer Maßnahmen sowie des Eintrags im Verzeichnis der Verarbeitungstätigkeiten. Ein weiteres Formular "Vorfallsdokumentation für eine Videoüberwachung durch eine bayerische öffentliche Stelle" soll den bayerischen öffentlichen Stellen dabei helfen, die für eine Videoüberwachung regelmäßig erforderliche Gefahrsituation adäquat darzustellen.
- Im Verlauf des Berichtszeitraums habe ich zudem mehrere Arbeitspapiere herausgebracht. So ergänzt das neue Arbeitspapier "Informationspflichten bei der Rechnungsprüfung bayerischer öffentlicher Stellen" (siehe Beitrag Nr. 4.4) meine Orientierungshilfe "Informationspflichten des Verantwortlichen" für den sensiblen Bereich der öffentlichen Finanzkontrolle insbesondere im kommunalen Bereich. Die beiden Arbeitspapiere "Transparenz bei Grundstücksverkäufen bayerischer Gemeinden" (siehe Beitrag Nr. 13.1) sowie "Datenschutz und Akteneinsichtsrechte im Gemeinderat" behandeln Fragen des Informationszugangs auch unter datenschutzrechtlichen Gesichtspunkten.
- Ganz unterschiedlichen Themen waren die Aktuellen Kurz-Informationen 27 bis 34 gewidmet. Die Aktuelle Kurz-Information 33 "Befreiung von der Maskenpflicht an bayerischen öffentlichen Schulen" hat in der Abrufstatistik meiner Homepage innerhalb kurzer Zeit den mit weitem Abstand führenden Platz "erobert"; ich habe sie zwischenzeitlich mehrfach den sich schnell ändernden Rahmenbedingungen im Infektionsschutzrecht angepasst.
Auch ein "Papierprodukt" ist im Berichtszeitraum erschienen. Das in einem neuen, handlichen Format gehaltene Büchlein "Datenschutz für bayerische Gemeinderatsmitglieder" war trotz einer beachtlichen Auflagenhöhe rasch vergriffen und liegt nun im Nachdruck vor. Es erläutert beispielhaft anhand von 25 typischen Situationen aus der Praxis datenschutzrechtliche Rahmenbedingungen der Gemeinderatsarbeit. Zur Sprache kommt etwa die Verschwiegenheitspflicht der Mandatsträger, die auch dem Schutz personenbezogener Daten dient. Die Nutzung von Smartphones bei der Gemeinderatsarbeit ist ebenso Thema wie der Einsatz von Ratsinformationssystemen. Weiterhin geht es beispielsweise um den Datenschutz bei Personalentscheidungen oder den Zugang zu Adressdaten von Bürgerinnen und Bürgern.
Um den Bezug dieser Broschüre wie auch aller anderen Printprodukte zu erleichtern, habe ich auf meiner Internetpräsenz https://www.datenschutz-bayern.de in der Rubrik "Broschürenbestellung" ein Online-Bestellformular eingerichtet, das von öffentlichen Stellen wie auch von Privatpersonen lebhaft genutzt wird. Von der Freischaltung am 1. Oktober 2020 bis Jahresende gingen gut 700 Bestellungen ein.
Bayerische öffentliche Stellen, ihre Datenschutzbeauftragten wie auch alle anderen am Datenschutz Interessierten haben seit jeher die Möglichkeit, sich per RSS-Feed über Neuigkeiten auf meiner Internetpräsenz informieren zu lassen. Dieses Angebot ist eine datenschutzfreundliche Alternative zu einem Newsletter, weil es ohne eine Sammlung von Kontaktdaten auskommt. Seit Mitte 2020 wird für jede neue Publikation ein Hinweis mit einer kurzen Inhaltsangabe gepostet. Die Einbindung von RSS-Feeds in einen E-Mail-Client ist in der Regel nicht schwierig. Hinweise dazu sind auf https://www.datenschutz-bayern.de unter "RSS" zu finden.
Für das Jahr 2021 sind insbesondere wieder mehrere neue Orientierungshilfen und Arbeitspapiere sowie eine Fortführung der bewährten Reihe "Aktuelle Kurz-Informationen" geplant.
4.2. Eine bayerische öffentliche Stelle - mehrere Datenschutzbeauftragte?
Behörden und sonstige bayerische öffentliche Stellen haben gemäß Art. 37 Abs. 1 Buchst. a DSGVO in Verbindung mit Art. 1 und 2 BayDSG in jedem Fall einen behördlichen Datenschutzbeauftragten zu benennen. In diesem Zusammenhang wurde die Frage an mich herangetragen, ob es zulässig sei, dass eine bayerische öffentliche Stelle mehrere Datenschutzbeauftragte mit jeweils klar abgegrenzter Zuständigkeit benenne. Meiner Auffassung nach ist diese Frage zu verneinen.
4.2.1. Ein Verantwortlicher - ein Datenschutzbeauftragter
Bereits der Wortlaut des Art. 37 Abs. 1 Buchst. a DSGVO legt nahe, dass ein Verantwortlicher in Erfüllung seiner gesetzlichen Verpflichtung jeweils nur einen Datenschutzbeauftragten benennen kann. Zwingend ausgeschlossen ist die Benennung mehrerer Datenschutzbeauftragter hierdurch gleichwohl nicht.
Gegen diese Möglichkeit sprechen aber insbesondere die institutionelle Einordnung sowie die Aufgaben des Datenschutzbeauftragten: Dieser soll unter anderem betroffenen Personen als Ansprechpartner (vgl. Art. 38 Abs. 4 DSGVO) und der Aufsichtsbehörde als Anlaufstelle (vgl. Art. 39 Abs. 1 Buchst. d und e DSGVO) zur Verfügung stehen. Die Benennung mehrerer Datenschutzbeauftragter, die auch nach außen hin mit abgegrenzten Zuständigkeiten in Erscheinung treten, würde dieser Konzeption zuwiderlaufen. Weder betroffenen Personen noch der Aufsichtsbehörde kann zugemutet werden, die für sie zuständige Kontaktperson erst mittels einer "Vorprüfung" identifizieren zu müssen. Mit dem Datenschutzbeauftragten soll gerade dann jemand greifbar sein, wenn es um Datenschutzrechte geht und sich Funktionseinheiten des Verantwortlichen auf die eigene interne Unzuständigkeit berufen. Im Übrigen kann die Aufgabe des Datenschutzbeauftragten nur mit einem Gesamtüberblick über die Tätigkeit des Verantwortlichen effektiv wahrgenommen werden.
Unzulässig wäre es somit, wenn eine bayerische öffentliche Stelle als ein Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO in Verbindung mit Art. 3 Abs. 2 BayDSG mehrere Datenschutzbeauftragte benennt.
Demgegenüber benennen mehrere Verantwortliche in der Regel grundsätzlich auch dann jeweils für sich einen Datenschutzbeauftragten, wenn sie organisatorisch eng verbunden sind (wie etwa die Mitgliedsgemeinden einer Verwaltungsgemeinschaft). In solchen Fällen kann aber eine Kooperation angezeigt sein, indem ein gemeinsamer Datenschutzbeauftragter im Sinne von Art. 37 Abs. 3 DSGVO benannt wird oder alle verbundenen Stellen denselben Datenschutzbeauftragten benennen.
Zu beachten ist in diesem Zusammenhang ferner, dass auf Grundlage von Art. 4 Nr. 7 Halbsatz 2 DSGVO durch entsprechende gesetzliche Regelungen (ausnahmsweise, vgl. Art. 3 Abs. 2 Halbsatz 2 BayDSG) auch einzelnen Organisationseinheiten einer bayerischen öffentlichen Stelle für bestimmte Verarbeitungsvorgänge die Rolle des Verantwortlichen zugewiesen werden kann (vgl. etwa im Sozialrecht § 67 Abs. 4 Satz 2 Zehntes Buch Sozialgesetzbuch - Sozialverwaltungsverfahren und Sozialdatenschutz -).
4.2.2. Stellvertreter und Hilfskräfte des Datenschutzbeauftragten
Die dargestellte Auffassung steht der - rechtlich überdies gebotenen - Benennung eines stellvertretenden Datenschutzbeauftragten durch den Verantwortlichen nicht entgegen. Ein solcher tritt nämlich nur im Vertretungsfall, insbesondere bei Urlaub oder Erkrankung des "eigentlich" benannten Datenschutzbeauftragten an dessen Stelle - dann aber auch vollumfänglich. Nach außen hin erkennbare Unklarheiten oder Abgrenzungsfragen hinsichtlich der Zuständigkeiten sind hier nicht zu befürchten.
Ferner lässt es die dargestellte Auffassung zu, dass der benannte (interne oder externe) Datenschutzbeauftragte durch Hilfskräfte bei seiner Aufgabenerfüllung unterstützt wird. Ab einer bestimmten Größe des Verantwortlichen wird dies ohnehin unabdingbar sein; schließlich hat der Verantwortliche seinem Datenschutzbeauftragten gemäß Art. 38 Abs. 2 DSGVO die zur Aufgabenerfüllung erforderlichen - gegebenenfalls auch personellen - Ressourcen zur Verfügung zu stellen. Die interne Ausgestaltung bleibt dabei dem organisatorischen Ermessen des Verantwortlichen überlassen; in Betracht kommt etwa die Etablierung eines unterstützenden "Datenschutzteams" oder von "örtlichen Ansprechpartnern für den Datenschutz". In diesem Rahmen ist auch eine interne Festlegung dahingehend möglich, dass beispielsweise einzelnen Hilfskräften des Datenschutzbeauftragten bestimmte fachliche Schwerpunkte zugewiesen werden. Unberührt hiervon bleibt freilich der Umstand, dass der Verantwortliche nur einen Datenschutzbeauftragten im Sinne der Art. 37 ff. DSGVO benennen kann. Bei diesem muss es sich im Übrigen um eine natürliche Person handeln, welche die Anforderungen des Art. 37 Abs. 5 DSGVO erfüllt.
4.2.3. Fazit
Für eine bayerische öffentliche Stelle kann jeweils nur ein behördlicher Datenschutzbeauftragter benannt werden, der dann - seinen gesetzlichen Aufgaben entsprechend - einheitlich betroffenen Personen als Ansprechpartner und der Aufsichtsbehörde als Anlaufstelle zur Verfügung steht. Die Benennung mehrerer Datenschutzbeauftragter durch ein und denselben Verantwortlichen ist demgegenüber rechtlich nicht möglich, birgt ein solches Vorgehen doch die Gefahr, dass sich insbesondere betroffene Personen zunächst an die "falsche", weil für ihr jeweiliges Anliegen unzuständige Stelle wenden. Dies würde insbesondere eine effektive Durchsetzung von Betroffenenrechten erschweren.
Die rechtlich gebotene Benennung eines stellvertretenden Datenschutzbeauftragten bleibt freilich ebenso möglich wie die Zuweisung (weiterer) personeller Ressourcen an den Datenschutzbeauftragten.
4.3. Post für den behördlichen Datenschutzbeauftragten:Zuleitung nur ungeöffnet?
Der behördliche Datenschutzbeauftragte erhält auf analogen wie auf elektronischen Wegen alle möglichen Nachrichten. Darunter sind auch Zuschriften von Bürgerinnen und Bürgern sowie Anfragen von Kolleginnen und Kollegen. Gerade solche Zuschriften und Anfragen können einen vertraulichen Inhalt haben. An mich wurde bereits mehrfach die Frage gerichtet, wie im behördlichen Geschäftsgang mit analoger und elektronischer Post an den behördlichen Datenschutzbeauftragten umzugehen ist. Ich gebe dazu die folgenden datenschutzrechtlichen Hinweise:
4.3.1. Analoge Post
Die Behandlung von Eingängen ist in § 12 Allgemeine Geschäftsordnung für die Behörden des Freistaates Bayern (AGO) geregelt. Da es sich hierbei um eine von der Bayerischen Staatsregierung erlassene Verwaltungsvorschrift handelt, gelten die Vorschriften "von sich aus" nur für die bayerischen Staatsbehörden. Gleichwohl empfiehlt § 36 AGO insbesondere den kommunalen Trägern, die Vorschriften der Allgemeinen Geschäftsordnung ebenfalls anzuwenden. Zweckmäßig ist dabei der Erlass einer innerbehördlichen Regelung, welche dieses Regelwerk - gegebenenfalls mit einzelnen örtlichen Anpassungen - übernimmt. Das kommunale Selbstverwaltungsrecht lässt es aber auch zu, ein eigenständiges Gegenstück zur Allgemeinen Geschäftsordnung zu erlassen. § 12 AGO bestimmt:
"(1) 1Es wird eine zentrale Eingangsstelle vorgehalten, die die an die Behörde gerichteten Sendungen (Eingänge) entgegennimmt. 2Sie bearbeitet die Eingänge nach Maßgabe der folgenden Absätze und gibt sie in den Geschäftsgang.
[...]
(4) 1Eingänge, die an Beschäftigte erkennbar persönlich gerichtet sind, sind diesen unmittelbar und ungeöffnet zuzuleiten. 2Sind die Empfänger abwesend, können die Sendungen von der Vertretung geöffnet werden, wenn äußere Merkmale einen dienstlichen Inhalt erkennen lassen oder wenn sich die Empfänger mit dem Öffnen der Sendungen einverstanden erklärt haben. 3Enthält der Eingang eine dienstliche Mitteilung, ist nach Absatz 6 zu verfahren. 4Bei Eingängen mit der Behördenanschrift und dem Zusatz zu Händen von ist sicherzustellen, dass die bezeichneten Personen von ihnen Kenntnis erhalten. 5Eingänge, die als Personalsache gekennzeichnet sind, dürfen nur von den zuständigen Personal verwaltenden Stellen geöffnet werden. 6Sendungen an Personalvertretungen, Schwerbehindertenvertretungen und Gleichstellungsbeauftragte sind diesen ungeöffnet und unmittelbar zuzuleiten."
Eingehende Sendungen werden danach grundsätzlich von der Eingangsstelle (etwa einer Poststelle) geöffnet und - nach Anbringen des Eingangsstempels (vgl. § 12 Abs. 2 AGO) - in den Geschäftsgang gegeben; sie erreichen den zuständigen Bearbeiter oder die zuständige Bearbeiterin auf dem innerbehördlich vorgezeichneten Weg, an dem regelmäßig Vorgesetzte die entsprechenden Schriftstücke zur Kenntnis nehmen und/oder Bearbeitungsvermerke anbringen (können).
Die Zuleitung einer ungeöffneten Sendung unmittelbar an einen bestimmten Adressaten oder eine bestimmte Adressatin innerhalb der Behörde bildet den Ausnahmefall. Sie muss durch ein besonderes, rechtlich geschütztes Vertraulichkeitsinteresse gefordert sein. § 12 Abs. 4 AGO nennt mit der persönlichen Adressierung an einen Beschäftigten oder eine Beschäftigte (§ 12 Abs. 4 Satz 1 AGO; dazu ausführlich der Beitrag Nr. 19.2 "Postöffnung in Behörden" in meinem 22. Tätigkeitsbericht 2006), der Adressierung an Personalvertretungen, Schwerbehindertenvertretungen und Gleichstellungsbeauftragte (§ 12 Abs. 4 Satz 6 AGO) sowie der Kennzeichnung als Personalsache (§ 12 Abs. 4 Satz 5 AGO) einige dieser Ausnahmefälle.
Für Sendungen an behördliche Datenschutzbeauftragte enthält § 12 Abs. 4 AGO dagegen keine Regelung, die eine unmittelbare Zuleitung von ungeöffneten Sendungen anordnet. Eine solche Anordnung kann sich aber auch aus Vorschriften außerhalb der Allgemeinen Geschäftsordnung ergeben.
Art. 38 Abs. 3 DSGVO bestimmt zur Stellung des Datenschutzbeauftragten:
"Der Verantwortliche und der Auftragsverarbeiter stellen sicher, dass der Datenschutzbeauftragte bei der Erfüllung seiner Aufgaben keine Anweisungen bezüglich der Ausübung dieser Aufgaben erhält. [...] Der Datenschutzbeauftragte berichtet unmittelbar der höchsten Managementebene des Verantwortlichen oder des Auftragsverarbeiters."
Der behördliche Datenschutzbeauftragte ist in dieser Funktion weisungsfrei, selbst wenn er bei dem Verantwortlichen noch andere Aufgaben wahrnehmen und insofern weisungsgebunden sein sollte. Er wird - in Bezug auf eine von Art. 38 Abs. 3 Satz 1 DSGVO nicht ausgeschlossene Dienstaufsicht - grundsätzlich der Behördenleitung zugeordnet. In diesen Punkten unterscheidet er sich von den meisten (anderen) Beschäftigten der Behörde.
Soweit § 12 AGO einen Geschäftsgang regelt, den ein "Leben in der Hierarchie" erfordert, werden die Bestimmungen der Funktion nicht gerecht, die der behördliche Datenschutzbeauftragte innehat:
- Die regelgemäße mittelbare Zuleitung geöffneter Sendungen verliefe an den behördlichen Datenschutzbeauftragten (zumindest) über die Behördenleitung. Diese könnte wegen der Weisungsfreiheit des behördlichen Datenschutzbeauftragten aber keine (von diesem zu beachtenden) Bearbeitungsvermerke anbringen.
- Die Behördenleitung dürfte den Inhalt der Sendungen oftmals auch gar nicht zur Kenntnis nehmen: Werden dem behördlichen Datenschutzbeauftragten in seiner Funktion nämlich Tatsachen anvertraut, ist er nach Maßgabe von Art. 38 Abs. 5 DSGVO in Verbindung mit Art. 12 Abs. 2 BayDSG zur Verschwiegenheit verpflichtet. Dies gilt auch und gerade gegenüber der Behördenleitung.
- Die Verschwiegenheitsverpflichtung sichert im Übrigen den grundsätzlich ungehinderten Zugang von Beschäftigten sowie von Bürgerinnen und Bürgern zum behördlichen Datenschutzbeauftragten ab.
Vor diesem Hintergrund sind an den behördlichen Datenschutzbeauftragten gerichtete Sendungen diesem unmittelbar und ungeöffnet zuzuleiten. Eine Sendung ist an den behördlichen Datenschutzbeauftragten insbesondere dann gerichtet, wenn sie im Adressfeld diese Funktion nennt, oder wenn der Absender einen Versandvermerk wie etwa "Persönlich" oder "Verschlossen" verwendet hat.
4.3.2. Elektronische Post
Was die elektronische Kommunikation - insbesondere mittels E-Mail - betrifft, muss der Verantwortliche ebenfalls einen "unbeobachteten" Zugang sicherstellen. Dies geschieht durch Bereitstellen einer (Funktions-)E-Mail-Adresse - etwa in der Form "datenschutzbeauftragter@[Bezeichnung der Behörde].de". Für das entsprechende Postfach dürfen nur der behördliche Datenschutzbeauftragte und gegebenenfalls zur Vertretung oder Mitarbeit berufene Personen zugriffsberechtigt sein.
4.3.3. Sonderfälle
Manchmal erreichen einen behördlichen Datenschutzbeauftragten auch Eingänge, die "eigentlich" durch den Verantwortlichen (insbesondere durch ein Fachsachgebiet) zu bearbeiten wären. Das geschieht etwa dann, wenn sich Bürgerinnen und Bürger über die Zuständigkeiten innerhalb der Behörde nicht im Klaren sind, wenn einzelne Bedienstete Kundinnen und Kunden bei Fragen mit datenschutzrechtlichem Bezug (vorschnell) an den behördlichen Datenschutzbeauftragten verweisen, oder auch dann, wenn an den behördlichen Datenschutzbeauftragten - ungeachtet der Frage, ob dies im Einzelfall zulässig ist - tatsächlich Aufgaben des Verantwortlichen delegiert worden sind.
Eine Öffnung aller an den behördlichen Datenschutzbeauftragten gerichteten Sendungen durch die Poststelle sowie eine Sichtung - etwa seitens der Behördenleitung - mit dem Ziel, Eingänge dieser Art "herauszufiltern", ist unstatthaft. Vielmehr hat allein der behördliche Datenschutzbeauftragte zu prüfen, welche der ihm unmittelbar und ungeöffnet zugeleiteten Sendungen durch ihn selbst und welche durch andere Stellen in der Behörde zu erledigen sind. "Fehlläufer" wird er unverzüglich an die Eingangsstelle zurückgeben.
4.3.4. Fazit
Auch wenn die Allgemeine Geschäftsordnung die Behandlung an den behördlichen Datenschutzbeauftragten gerichteter Sendung nicht näher regelt, sind die bayerischen öffentlichen Stellen gehalten, "unbeobachtete" Zugangswege zu gewährleisten. Analoge Post muss dem behördlichen Datenschutzbeauftragten in ungeöffnetem Zustand unmittelbar zugeleitet werden. Für eingehende E-Mails ist ein Postfach einzurichten, auf das grundsätzlich nur der behördliche Datenschutzbeauftragte Zugriff hat.
4.4. Informationspflichten bei der Rechnungsprüfungbayerischer öffentlicher Stellen
Die Tätigkeit der bayerischen Verwaltung unterliegt einer Finanzkontrolle. Dies gilt für die Behörden des Staates ebenso wie für die Träger der mittelbaren Staatsverwaltung, insbesondere die Gemeinden, Landkreise und Bezirke. Die Organe der Rechnungsprüfung nutzen dabei eine Vielzahl von Akten und Dateien. Solche Informationsbestände enthalten oftmals personenbezogene Daten von Bürgerinnen und Bürgern oder von Beschäftigten. Vor diesem Hintergrund stellt sich die Frage, ob die geprüften Stellen und/oder die Rechnungsprüfungsorgane gegenüber betroffenen Personen Informationspflichten nach Art. 13 und 14 DSGVO erfüllen müssen.
Die Informationspflichten nach Art. 13 und 14 DSGVO habe ich in meiner Orientierungshilfe "Informationspflichten des Verantwortlichen" ausführlich erläutert. Der vorliegende Beitrag beruht auf diesen Erläuterungen. Er stellt einführend die im bayerischen öffentlichen Sektor vorgesehenen Rechnungsprüfungsorgane vor (Nr. 4.4.1) und zeigt den datenschutzrechtlichen Bezug ihrer Prüftätigkeit auf (Nr. 4.4.2) Auf dieser Grundlage erörtert er, ob eine geprüfte Stelle (Nr. 4.4.3) oder ein Rechnungsprüfungsorgan (Nr. 4.4.4) Informationspflichten nach Art. 13 und 14 DSGVO treffen.
4.4.1. Rechnungsprüfungsorgane im bayerischen öffentlichen Sektor
Die Finanzkontrolle wird in Bayern von verschiedenen Rechnungsprüfungsorganen wahrgenommen. Sie ist im staatlichen Bereich Aufgabe des Bayerischen Obersten Rechnungshofs, dem fünf Staatliche Rechnungsprüfungsämter nachgeordnet sind. Kern dieser Aufgabe ist die Prüfung der Haushalts- und Wirtschaftsführung des Staates, seiner Betriebe und Sondervermögen (Art. 88 Abs. 1 Satz 1 Bayerische Haushaltsordnung - BayHO). Geprüft werden können aber etwa auch die Verwendung staatlicher Mittel durch nichtstaatliche Stellen (vgl. Art. 91 BayHO) oder Beteiligungen des Staates (vgl. Art. 92 BayHO).
Allerdings unterliegt der Bayerische Oberste Rechnungshof einer Datenschutzaufsicht durch den Bayerischen Landesbeauftragten für den Datenschutz nur, soweit er in Verwaltungsangelegenheiten tätig wird; bei seiner Prüftätigkeit ist er zwar an das materielle Datenschutzrecht gebunden, von der Datenschutzaufsicht aber freigestellt (vgl. Art. 1 Abs. 1 Satz 3 BayDSG).
Im kommunalen Bereich ist zwischen der vom kommunalen Träger selbst verantworteten örtlichen und einer überörtlichen Rechnungsprüfung zu unterscheiden, die eine externe Behörde durchführt. Die örtliche Rechnungsprüfung nimmt in kleineren Gemeinden mitunter der Gemeinderat selbst - gegebenenfalls unterstützt durch eine externe sachverständige Person - wahr. Größere Gemeinden bilden für diese Aufgabe einen Rechnungsprüfungsausschuss (vgl. Art. 103 Abs. 2 Halbsatz 1 Gemeindeordnung - GO). Sachverständige Unterstützung leistet in den meisten Großen Kreisstädten sowie - hier verpflichtend - in den kreisfreien Gemeinden ein (eigenes) Rechnungsprüfungsamt (auch "Revisionsamt", näher Art. 104 GO). Rechnungsprüfungsausschüsse und Rechnungsprüfungsämter gibt es auch bei den Landkreisen und Bezirken (vgl. Art. 89 Abs. 1, Art. 90 Landkreisordnung - LKrO, Art. 85 Abs. 1, Art. 86 Bezirksordnung - BezO). Überörtliche Prüfungen führt der Bayerische Kommunale Prüfungsverband bei den Landkreisen (Art. 91 Abs. 1 LKrO) und Bezirken (Art. 87 Abs. 1 Satz 1 BezO) sowie bei denjenigen Gemeinden durch, die zu seinen Mitgliedern zählen (Art. 105 Abs. 1 Var. 1 GO). Für alle anderen Gemeinden sind die Staatlichen Rechnungsprüfungsstellen bei den Landratsämtern zuständig (Art. 105 Abs. 1 Var. 2 GO).
Soweit das bayerische Datenschutzrecht allgemein und ohne ausdrückliche Einschränkung den Begriff "Rechnungsprüfung" verwendet, wie dies etwa in Art. 6 Abs. 1 BayDSG und Art. 103 Satz 3 Bayerisches Beamtengesetz (BayBG) der Fall ist, erfasst es alle Rechnungsprüfungsorgane des staatlichen wie des staatsmittelbaren Bereichs.
4.4.2. Datenschutzrechtlicher Bezug der Prüftätigkeit
Die gesetzlichen Bestimmungen zur Finanzkontrolle sehen weitreichende Auskunfts- und Vorlagerechte der Rechnungsprüfungsorgane vor, so insbesondere Art. 95 BayHO im staatlichen sowie Art. 106 Abs. 6 GO, Art. 92 Abs. 6 LKrO und Art. 88 Abs. 6 BezO im kommunalen Bereich. In Art. 106 Abs. 6 GO heißt es etwa:
"1Die Organe der Rechnungsprüfung der Gemeinde und das für sie zuständige überörtliche Prüfungsorgan können verlangen, dass ihnen oder ihren beauftragten Prüfern Unterlagen, die sie zur Erfüllung ihrer Aufgaben für erforderlich halten, vorgelegt oder ihnen innerhalb einer bestimmten Frist übersandt werden. 2Auskünfte sind ihnen oder ihren beauftragten Prüfern zu erteilen."
Machen Rechnungsprüfungsorgane von solchen Auskunfts- und Vorlagerechten Gebrauch, gelangen sie oftmals an personenbezogene Daten. Solche Daten können "nebenbei" zur Kenntnis genommen werden, jedoch auch gerade Gegenstand einer Prüfung sein.
Beispiel 1: Der Bayerische Kommunale Prüfungsverband sichtet bei einem Landkreis im Rahmen der überörtlichen Rechnungsprüfung ausgewählte Akten über Vergabeverfahren zur Beschaffung von Bauleistungen. Er möchte feststellen, ob sich der Landkreis jeweils an die Vorgaben des Vergaberechts gehalten hat. Dabei erfährt der Prüfungsverband die Namen der für den Landkreis sowie für die Beteiligten handelnden Personen, denen bestimmte Verfahrenshandlungen zugeordnet werden können. Er gelangt so an personenbezogene Daten, auch wenn es für die Prüfung auf diese Daten nicht ankommt.
Beispiel 2: Das Rechnungsprüfungsamt einer Stadt möchte herausfinden, ob die von ihr betriebene Musikschule Beitragsermäßigungen bei Bedürftigkeit nur satzungsgemäß bewilligt hat. Es lässt sich zu diesem Zweck alle einschlägigen Vorgänge eines Haushaltsjahres vorlegen und überprüft, ob entsprechende Anträge vorliegen sowie über diese ordnungsgemäß entschieden wurde. Das Rechnungsprüfungsamt erlangt hier Informationen über die Identität der antragstellenden Personen und die von ihnen vorgebrachten, für eine Bedürftigkeit sprechenden Argumente. Das geschieht nicht "beiläufig"; es geht bei der Prüfung gerade darum, was die Verwaltung bei der Entscheidung über die Beitragsermäßigung aus diesen personenbezogenen Daten gemacht hat.
Das Rechnungsprüfungsorgan benötigt für die Anforderung, die geprüfte Stelle für eine entsprechende Offenlegung eine Verarbeitungsbefugnis. Unionsrechtlich ergibt sich das aus Art. 6 Abs. 1 DSGVO.
Was das Rechnungsprüfungsorgan betrifft, erfüllt Art. 106 Abs. 6 Satz 1 GO diese Funktion. Die Vorschrift ist zwar nicht spezifisch auf eine Anforderung von personenbezogenen Daten hin formuliert; indes verdeutlicht Art. 106 Abs. 6 Satz 3 GO, dass die Vorschrift auch diesen Anwendungsfall erfassen soll:
"3Die Auskunftspflicht nach den Sätzen 1 und 2 besteht auch, soweit hierfür in anderen Bestimmungen eine besondere Rechtsvorschrift gefordert wird, und umfasst auch elektronisch gespeicherte Daten sowie deren automatisierten Abruf."
Gerade bei einer Anforderung (auch) von personenbezogenen Daten muss das Rechnungsprüfungsorgan darauf achten, dass das in seiner Befugnis enthaltene, in diesem Kontext datenschutzrechtlich "aufgeladene" Erforderlichkeitskriterium - Art. 106 Abs. 6 Satz 1 GO: "die [die Rechnungsprüfungsorgane] zur Erfüllung ihrer Aufgaben für erforderlich halten" - nicht verfehlt wird. Das Rechnungsprüfungsorgan muss sich dazu der Grenzen seines Aufgabenkreises bewusst sein; es ist grundsätzlich zur Finanzkontrolle, nicht zur allgemeinen Verwaltungskontrolle berufen (siehe etwa Art. 106 Abs. 1 GO: "Einhaltung der für die Wirtschaftsführung geltenden Vorschriften und Grundsätze").
Die geprüfte Stelle, welche personenbezogene Daten im Rahmen einer Prüfung gegenüber dem Rechnungsprüfungsorgan offenlegen muss, kann einen solchen Datenumgang regelmäßig auf die für sie maßgeblichen Verarbeitungsbefugnisse stützen (beispielsweise auf Art. 4 und 5 BayDSG, jeweils in Verbindung mit Art. 6 Abs. 1 BayDSG). Das Fachrecht kann Sonderregelungen enthalten (so etwa Art. 103 Satz 3 BayBG für Personaldaten).
4.4.3. Informationspflicht der geprüften Stelle
Eine Informationspflicht gegenüber betroffenen Personen könnte zunächst die geprüfte Stelle treffen, wenn diese einem Rechnungsprüfungsorgan Informationen zur Verfügung stellt, die (auch) personenbezogene Daten enthalten. Maßgeblich sind insofern Art. 13 und 14 DSGVO.
4.4.3.1. Informationspflicht nach Art. 13 Abs. 1 DSGVO
Art. 13 Abs. 1 DSGVO regelt die Informationspflicht gegenüber der betroffenen Person, wenn der gemäß Art. 4 Nr. 7 DSGVO datenschutzrechtlich Verantwortliche bei dieser personenbezogene Daten erhebt. Legt die geprüfte Stelle personenbezogene Daten gegenüber dem Rechnungsprüfungsorgan offen, ist dies hinsichtlich der geprüften Stelle nicht als Erhebung zu werten. Art. 13 Abs. 1 DSGVO begründet deshalb insofern keine Informationspflicht. Das ist auch unbedenklich, weil die geprüfte Stelle meist bereits bei einer (früheren) Erhebung der Daten oder ihrer (sonstigen) Erlangung nach Art. 13 Abs. 1 oder Art. 14 Abs. 1 DSGVO informationspflichtig war, und weil Rechnungsprüfungsorgane zu den "planmäßigen" Empfängern gehören, über die ohnehin nach Art. 13 Abs. 1 Buchst. e und Art. 14 Abs. 1 Buchst. e DSGVO zu informieren ist.
Beispiel 3: Die städtische Musikschule aus Beispiel 2 legt in ihren Datenschutzhinweisen dar, dass das Rechnungsprüfungsamt zu den Empfängern von personenbezogenen Daten gehört, die Benutzerinnen und Benutzer im Zusammenhang mit der Begründung und Durchführung eines Benutzungsverhältnisses zur Kenntnis bringen.
4.4.3.2. Informationspflicht nach Art. 13 Abs. 3 DSGVO
Demgegenüber normiert Art. 13 Abs. 3 DSGVO den Fall einer Weiterverarbeitung von personenbezogenen Daten, die nach Art. 13 Abs. 1 DSGVO erhoben sind. Hier entsteht eine Informationspflicht, wenn der Verantwortliche beabsichtigt, diese Daten für einen anderen Zweck als den Erhebungszweck weiterzuverarbeiten. Eine solche Weiterverarbeitung kann auch in der Offenlegung gegenüber einer anderen Stelle liegen.
Waren die Daten ursprünglich für einen bestimmten Verarbeitungszweck erhoben, werden sie im Rahmen der Rechnungsprüfung auf den ersten Blick für einen anderen Zweck verwendet.
Beispiel 4: In Beispiel 2 machen die antragstellenden Personen gegenüber der Musikschule auf einem dafür bereitgestellten Vordruck Angaben zu ihren wirtschaftlichen Verhältnissen, um eine Beitragsermäßigung zu erhalten. Zu diesem Zweck werden die Daten von der Musikschule auch verarbeitet. Nimmt nun das Rechnungsprüfungsamt Einsicht in diese Anträge, verfolgt es dagegen den Zweck, die Sparsamkeit und Wirtschaftlichkeit der Verwaltung sicherzustellen (vgl. Art. 106 Abs. 1 Nr. 3 GO)
Gleichwohl bestimmen Art. 6 Abs. 1 BayDSG im Allgemeinen und Art. 103 Satz 3 BayBG für Personaldaten im Speziellen, dass bayerische öffentliche Stellen, die personenbezogene Daten verarbeiten dürfen, dies unter anderem auch zur Rechnungsprüfung tun können. Der bayerische Gesetzgeber hat durch diese gesetzlichen Regelungen den ursprünglichen Zweck der Datenverarbeitung auf eine Datenverarbeitung im Rahmen der Rechnungsprüfung erweitert. Jedem beliebigen Verarbeitungszweck, den eine bayerische öffentliche Stelle verfolgt, ist dieser Zweck also gleichsam "angelagert". Man spricht hier auch von der Fiktion eines identischen Zwecks. Das hat zur Folge, dass die Weiterverarbeitung durch Offenlegung an ein Rechnungsprüfungsorgan nicht als zweckändernd anzusehen ist; auch Art. 13 Abs. 3 DSGVO begründet insofern keine Informationspflicht der geprüften Stelle.
4.4.3.3. Informationspflicht nach Art. 14 Abs. 1 DSGVO
Im Gegensatz zu Art. 13 Abs. 1 DSGVO sieht Art. 14 Abs. 1 DSGVO eine Informationspflicht vor, wenn personenbezogene Daten nicht bei der betroffenen Person erhoben werden, sondern die öffentliche Stelle die Daten auf anderem Wege erlangt. Hat die geprüfte Stelle die personenbezogenen Daten ursprünglich etwa bei einem Dritten erhoben, so wird sie regelmäßig nach Art. 14 Abs. 1 DSGVO informationspflichtig gewesen sein. Die Offenlegung gegenüber einem Rechnungsprüfungsorgan führt bei ihr aber nicht dazu, dass sie die Daten ein weiteres Mal erlangt, sodass Art. 14 Abs. 1 DSGVO keine Informationspflicht begründet.
4.4.3.4. Informationspflicht nach Art. 14 Abs. 4 DSGVO
Allerdings regelt Art. 14 Abs. 4 DSGVO eine Informationspflicht für den Fall, dass der Verantwortliche die personenbezogenen Daten für einen anderen Zweck weiterzuverarbeiten beabsichtigt als den, für den er die personenbezogenen Daten erlangt hat. Einer Informationspflicht der geprüften Stelle nach Art. 14 Abs. 4 DSGVO für den Fall, dass die Daten nicht bei der betroffenen Person erhoben wurden, steht allerdings wie bei Art. 13 Abs. 3 DSGVO die Fiktion der Identität von ursprünglichem Verarbeitungszweck und Rechnungsprüfungszweck entgegen (siehe Nr. 4.4.3.2). Weil Art. 6 Abs. 1 BayDSG und Art. 103 Satz 3 BayBG den ursprünglichen Verarbeitungszweck und den Zweck "Rechnungsprüfung" verknüpfen, fehlt es an der von Art. 14 Abs. 4 DSGVO geforderten Zweckänderung.
4.4.4. Informationspflicht des Rechnungsprüfungsorgans
Die Frage, ob das Rechnungsprüfungsorgan Informationspflichten gegenüber betroffenen Personen erfüllen muss, ist ebenfalls anhand der Art. 13 und 14 DSGVO zu beantworten. Ansatzpunkt ist hier die Erhebung der Daten bei der geprüften Stelle und die Weiterverwendung im Rahmen der Prüfungstätigkeit.
4.4.4.1. Informationspflichten nach Art. 13 DSGVO
Wie die geprüfte Stelle trifft grundsätzlich auch das Rechnungsprüfungsorgan keine Informationspflicht nach Art. 13 Abs. 1 DSGVO. Es erhebt regelmäßig keine personenbezogenen Daten bei einer betroffenen Person, wenn es sich personenbezogene Daten von der geprüften Stelle offenlegen lässt oder sonst - etwa durch automatisierten Abruf - bei dieser auf personenbezogene Daten zugreift. Ebenso scheidet dann eine Informationspflicht des Rechnungsprüfungsorgans nach Art. 13 Abs. 3 DSGVO aus, weil es an einer "Ersterhebung" fehlt.
Gleichwohl kann es bei Prüfungshandlungen ausnahmsweise erforderlich werden, die Informationspflicht nach Art. 13 Abs. 1 DSGVO zu erfüllen. Zu denken ist hier insbesondere an die folgenden beiden Konstellationen:
- Das Rechnungsprüfungsorgan beschafft sich auf Grund eines entsprechenden Auskunftsrechts Informationen über die Verwendung öffentlicher Mittel außerhalb der "eigentlich" geprüften öffentlichen Stelle, insbesondere bei einem Zuwendungsempfänger.
Beispiel 5: Ein Landwirt hat für seine Tätigkeit eine Zuwendung aus einem öffentlichen Förderprogramm erhalten. Das Rechnungsprüfungsorgan möchte feststellen, ob diese Mittel auch dem Zweck entsprechend eingesetzt worden sind, zu welchem sie ausgereicht wurden. Es macht deshalb von der - gesetzlich (vgl. Art. 91 Abs. 1 Satz 1 Nr. 3, Abs. 2 BayHO) oder etwa in Förderbedingungen vorgesehenen - Möglichkeit Gebrauch, Informationen bei Zuwendungsempfängern einzuholen. Zuvor erteilt es dem Landwirt die Informationen nach Art. 13 Abs. 1 DSGVO.
- Das Rechnungsprüfungsorgan stößt im Zuge der Sachverhaltsermittlung bei einer geprüften öffentlichen Stelle auf eine "Missstandszeugin" oder einen "Missstandszeugen". Zur Wahrnehmung seiner Prüfungsaufgaben ist jedes Rechnungsprüfungsorgan auf eine Vielzahl von Informationen angewiesen. Diese Informationen erhält es zu einem Gutteil in der Kommunikation mit Beschäftigten der geprüften öffentlichen Stelle. Im Regelfall wird dadurch nicht die Informationspflicht nach Art. 13 Abs. 1 DSGVO ausgelöst, weil die Beschäftigten "für" ihre öffentliche Stelle sprechen und nicht für sich selbst. Diese Rolle können die Beschäftigten im Einzelfall aber insbesondere dann verlassen, wenn sie - in Hinblick auf einen intern nicht abstellbaren Rechtsbruch - über persönliche Wahrnehmungen berichten oder persönliche Bewertungen abgeben, die mit der "offiziellen Linie" der geprüften Stelle nicht in Einklang stehen.
Beispiel 6: Das Rechnungsprüfungsorgan gewinnt im Zuge einer Prüfung Anhaltspunkte dafür, dass bei einer Vergabe von Bauleistungen nicht alles "mit rechten Dingen zugegangen" ist. Es identifiziert einen Beschäftigten, dessen Bedenken "beiseite geschoben" worden waren. Dem Rechnungsprüfungsorgan gelingt es, den Beschäftigten davon zu überzeugen, nicht in den Akten dokumentierte Informationen offenzulegen, die den "Anfangsverdacht" erhärten. - Eine Beschäftigte hat Manipulationen in einem anderen Vergabeverfahren beobachtet und zunächst für sich behalten, weil Vorgesetzte in den Sachverhalt verwickelt sind. Als das Vergabeverfahren Gegenstand der Rechnungsprüfung wird, gibt sie aus eigener Initiative eine persönliche Erklärung ab, welche von ihre bemerkte Manipulationen umfassend offenlegt. Das Rechnungsprüfungsorgan beabsichtigt, diese Informationen im Prüfungsbericht unter Namensnennung zu verwerten. - In beiden Fällen wird das Rechnungsprüfungsorgan die "Missstandszeugen" nach Art. 13 Abs. 1 DSGVO informieren.
4.4.4.2. Informationspflicht nach Art. 14 Abs. 1 DSGVO
Da das Rechnungsprüfungsorgan die personenbezogenen Daten nicht bei der betroffenen Person erhebt, sondern von der überprüften Stelle erhält, ist Art. 14 Abs. 1 DSGVO grundsätzlich einschlägig. Allerdings kann die Anwendung der Vorschrift gemäß Art. 14 Abs. 5 Buchst. a und b Satz 1 DSGVO ausgeschlossen sein. Dort ist bestimmt:
"Die Absätze 1 bis 4 finden keine Anwendung, wenn und soweit
- die betroffene Person bereits über die Informationen verfügt,
- die Erteilung dieser Informationen sich als unmöglich erweist oder einen unverhältnismäßigen Aufwand erfordern würde; dies gilt insbesondere für die Verarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke vorbehaltlich der in Artikel 89 Absatz 1 genannten Bedingungen und Garantien oder soweit die in Absatz 1 des vorliegenden Artikels genannte Pflicht voraussichtlich die Verwirklichung der Ziele dieser Verarbeitung unmöglich macht oder ernsthaft beeinträchtigt, [...]."
Ein Ausschluss nach Art. 14 Abs. 5 Buchst. a DSGVO kommt in Betracht, wenn eine betroffene Person bereits bei einer Erhebung nach Art. 13 Abs. 1 DSGVO oder im Zusammenhang mit einer (sonstigen) Erlangung nach Art. 14 Abs. 1 DSGVO informiert worden ist und dabei der Fall einer Verarbeitung zu Rechnungsprüfungszwecken umfassend berücksichtigt worden ist. Datenschutzhinweise können diesen nach Vorschriften wie Art. 6 Abs. 1 BayDSG oder Art. 103 Satz 3 BayBG privilegierten Zweck (siehe Nr. 4.4.3.2 und Nr. 4.4.3.4) insbesondere dann umfassend berücksichtigen, wenn es um die Tätigkeit der eigenen Rechnungsprüfungsorgane geht (etwa: Rechnungsprüfungsausschuss, kommunales Rechnungsprüfungsamt). Zu beachten ist hier allerdings, dass betroffene Personen in manchen Fällen noch nicht über alle nötigen Informationen verfügen (Art. 14 Abs. 5 DSGVO: "soweit"). In solchen Situationen müssen die noch fehlenden Informationen "nachgeschoben" werden. Das gilt im kommunalen Bereich etwa, wenn ursprünglich zwar über den Zweck "Rechnungsprüfung" informiert wurde, nicht jedoch hinsichtlich des überörtlichen Rechnungsprüfungsorgans als potentiellem Empfänger (vgl. Art. 13 Abs. 1 Buchst. e DSGVO oder Art. 14 Abs. 1 Buchst. e DSGVO).
Ein Ausschluss nach Art. 14 Abs. 5 Buchst. b Satz 1 DSGVO kann insbesondere mit der Fallgruppe des unverhältnismäßigen Aufwands eingreifen. Insofern ist anhand aller Umstände des Einzelfalls eine Abwägung vorzunehmen. Regelmäßig kann dabei der Informationswert des Wissens über die konkrete Verwendung bestimmter personenbezogener Daten durch Rechnungsprüfungsorgane im Hinblick auf Regelungen wie Art. 6 Abs. 1 BayDSG oder Art. 103 Satz 3 BayBG als eher gering eingeschätzt werden. Vor dem Hintergrund gesetzlicher Regelungen wie etwa Art. 6 Abs. 1 BayDSG oder Art. 103 Satz 3 BayBG muss die betroffene Person allgemein damit rechnen, dass ihre personenbezogenen Daten im Rahmen der öffentlichen Finanzkontrolle verarbeitet werden. Dies gilt für die ohnehin nicht informationspflichtige Weitergabe durch die geprüfte Stelle (siehe Nr. 4.4.3.2 und Nr. 4.4.3.4), aber auch für die Tätigkeit des Rechnungsprüfungsorgans. Doch sind auch Konstellationen denkbar, in welchen dem Informationsinteresse betroffener Personen eine (atypisch) hohe Bedeutung zukommt. Dies ist beispielsweise der Fall, wenn das Rechnungsprüfungsorgan den Umgang mit besonderen Kategorien personenbezogener Daten in konkreten Einzelfällen nachprüft (so bei der Kontrolle der Bedürftigkeitsprüfung in Beispiel 2 oder von Beihilfeabrechnungen), und/oder wenn eine Prüfung darauf zielt, die geprüfte Stelle zu einer Rückforderung gewährter öffentlicher Leistungen zu veranlassen. Ein gesteigertes Informationsbedürfnis kommt zudem etwa dann in Betracht, wenn ein Rechnungsprüfungsorgan im Hinblick auf das Datenschutzgrundrecht gesteigert risikoträchtige Analysemethoden einsetzt.
Ergibt die Abwägung, dass die Erfüllung der Informationspflicht für das Rechnungsprüfungsorgan unverhältnismäßig ist, so bestimmt Art. 14 Abs. 5 Buchst. b Satz 2 DSGVO:
"In diesen Fällen ergreift der Verantwortliche geeignete Maßnahmen zum Schutz der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Person, einschließlich der Bereitstellung dieser Informationen für die Öffentlichkeit".
Eine Veröffentlichung der danach gebotenen Informationen kommt insbesondere dann in Betracht, wenn das Rechnungsprüfungsorgan Daten über eine Vielzahl betroffener Personen verarbeitet und eine individuelle Mitteilung nicht angezeigt ist. Hier können etwa besondere Datenschutzhinweise auf der Homepage des Rechnungsprüfungsorgans für die nötige Transparenz sorgen. Zweckmäßig kann es dabei sein, Kategorien von Prüfungen zu bilden. Das gilt insbesondere dann, wenn im Falle einer Information nach Art. 13 Abs. 1 DSGVO für einzelne "Prüfungstypen" unterschiedliche Informationen zu erteilen wären.
Weitere Schutzvorkehrungen können etwa sein:
- Pseudonymisierungen von Datenbeständen, wenn es auf die genaue Kenntnis des Personenbezugs im Rahmen der Rechnungsprüfung nicht ankommt;
- eine Minimierung der Speicherfristen;
- das Treffen geeigneter technischer und organisatorischer Maßnahmen, um ein hohes Schutzniveau zu gewährleisten.
Das Rechnungsprüfungsorgan sollte jedenfalls die Abwägungsentscheidung dokumentieren, die gemäß Art. 14 Abs. 5 Buchst. b Satz 1 DSGVO zu einem Ausschluss der Informationspflicht führt.
Nicht einschlägig ist der Ausschlusstatbestand des Art. 14 Abs. 5 Buchst. c DSGVO im Hinblick auf die Auskunfts- und Vorlagerechte der Rechnungsprüfungsorgane (siehe Nr. 4.4.2). Art. 14 Abs. 5 Buchst. c DSGVO lautet:
"Die Absätze 1 bis 4 finden keine Anwendung, wenn und soweit
[...]
- die Erlangung oder Offenlegung durch Rechtsvorschriften der Union oder der Mitgliedstaaten, denen der Verantwortliche unterliegt und die geeignete Maßnahmen zum Schutz der berechtigten Interessen der betroffenen Person vorsehen, ausdrücklich geregelt ist oder [...]."
Art. 95 BayHO sowie Art. 106 Abs. 6 GO, Art. 92 Abs. 6 LKrO und Art. 88 Abs. 6 BezO regeln zwar einen Informationsfluss von der geprüften Stelle zu den Rechnungsprüfungsorganen im Allgemeinen, nicht jedoch speziell hinsichtlich personenbezogener Daten. Vor diesem Hintergrund lässt sich nicht sagen, dass die Erlangung oder Offenlegung personenbezogener Daten "ausdrücklich geregelt" sei. Die Vorschriften verhalten sich auch nicht zu "geeignete [n] Maßnahmen zum Schutz der berechtigten Interessen der betroffenen Personen". Soweit personenbezogene Daten Gegenstand von Auskunft oder Vorlage sind, ist die Weitergabe im Wesentlichen durch den Erforderlichkeitsmaßstab begrenzt. Damit wird lediglich das Schutzniveau der allgemeinen Verarbeitungsbefugnisse in Art. 4 Abs. 1 und Art. 5 Abs. 1 Satz 1 Nr. 1 BayDSG erreicht. Das genügt nicht, um den Ausnahmetatbestand in Art. 14 Abs. 5 Buchst. c DSGVO zu begründen.
4.4.4.3. Informationspflicht nach Art. 14 Abs. 4 DSGVO
Eine Informationspflicht des Rechnungsprüfungsorgans kann nicht auf Art. 14 Abs. 4 DSGVO gestützt werden. Das Rechnungsprüfungsorgan erlangt die Daten zum Zweck der Rechnungsprüfung und verarbeitet sie auch zu diesem Zweck weiter. Infolgedessen fehlt es bereits an der von Art. 14 Abs. 4 DSGVO vorausgesetzten Zweckänderung.
4.4.5. Fazit
Im Rahmen der Rechnungsprüfung bei bayerischen öffentlichen Stellen entstehen anlässlich der Verarbeitung personenbezogener Daten grundsätzlich keine Informationspflichten der geprüften Stelle nach Art. 13 und 14 DSGVO.
Das Rechnungsprüfungsorgan wird sich in vielen Fällen auf den Ausschluss der Informationspflicht gemäß Art. 14 Abs. 5 Buchst. b DSGVO berufen können, ist aber dazu angehalten, entsprechende Schutzmaßnahmen sowie Dokumentationspflichten einzuhalten. Voraussetzung ist freilich immer, dass die Daten nur für den Zweck der Rechnungsprüfung verarbeitet werden. Ist eine (Weiter-)Verarbeitung zu anderen Zwecken beabsichtigt, müssen neben der Zulässigkeit der Weiterverarbeitung auch wieder etwaige Informationspflichten geprüft werden.
- Bayerischer Landesbeauftragter für den Datenschutz, Informationspflichten des Verantwortliche, Stand 11/2018, Internet: https://www.datenschutz-bayern.de, Rubrik Datenschutzreform 2018 Orientierungs- und Praxishilfen Informationspflichten. [Zurück]
- Vgl. ausführlich hierzu Bayerischer Landesbeauftragter für den Datenschutz, Der behördliche Datenschutzbeauftragte, Stand 5/2018, insbesondere Abschnitt II Nr. 3 Buchst. a, Internet: https://www.datenschutz-bayern.de, Rubrik Datenschutzreform 2018 Orientierungs- und Praxishilfen Behördlicher Datenschutzbeauftragter. [Zurück]
- Dazu ausführlich Bayerischer Landesbeauftragter für den Datenschutz, Dienstweg und Zugang zum behördlichen Datenschutzbeauftragten bei bayerischen öffentlichen Stellen, Aktuelle Kurz-Information 12, Internet: https://www.datenschutz-bayern.de (externer Link), Rubrik Datenschutzreform 2018 Aktuelle Kurz-Informationen. [Zurück]
- Internet: https://www.datenschutz-bayern.de, Rubrik Datenschutzreform 2018 Orientierungs- und Praxishilfen Informationspflichten. [Zurück]
- Zur Mitgliedschaft im Bayerischen Kommunalen Prüfungsverband siehe näher Art. 3 Prüfungsverbandsgesetz sowie Verwaltungsgericht Regensburg, Urteil vom 16. Oktober 2015, RO 3 K 14.1274, BeckRS 2015, 54495. [Zurück]
- Siehe auch Landtags-Drucksache 15/1063, S. 21: In Anlehnung an die für den Obersten Rechnungshof in Art. 95 BayHO getroffenen Regelungen werden die Befugnisse der örtlichen und der überörtlichen Prüfungsorgane der Gemeinde gesetzlich klargestellt. Insbesondere haben diese ein Einsichtsrecht in Personal-, Sozial- und sonstige besonderen Einschränkungen unterliegenden Dateien oder Akten, soweit sie es zur Erfüllung ihrer Aufgaben für erforderlich halten. [Zurück]