Sie sind hier: > Start > Tätigkeitsberichte > 28. TB 2018 > 2. Allgemeines Datenschutzrecht /Datenschutzreform 2018
Der Bayerische Landesbeauftragte für den Datenschutz; Stand: 20.05.2019
2. Allgemeines Datenschutzrecht /Datenschutzreform 2018
2.1. "Datenschutzreform 2018" - Informationsangebot desBayerischen Landesbeauftragten für den Datenschutz
Das Jahr 2018 stand aus Datenschutzsicht im Zeichen einer weitreichenden Datenschutzreform: Die bereits am 24. Mai 2016 in Kraft getretene Datenschutz-Grundverordnung gilt seit dem 25. Mai 2018 in der gesamten Europäischen Union (EU) - und damit auch im Freistaat Bayern - unmittelbar. Zudem war bis zum 6. Mai 2018 die Richtlinie (EU) 2016/680 (Datenschutz-Richtlinie für Polizei und Strafjustiz) in nationales Recht umzusetzen. Dieser neue europäische Rechtsrahmen hat es erfordert, das nationale Datenschutzrecht zu ändern und anzupassen. Dies betrifft sowohl das allgemeine Datenschutzrecht als auch (fach-) bereichsspezifische Datenschutzregelungen. Im Zuge dieser Anpassung wurde neben dem Bundesdatenschutzgesetz auch das Bayerische Datenschutzgesetz (BayDSG) neu gefasst (Bayerisches Datenschutzgesetz vom 15. Mai 2018, GVBl. S. 230, geändert durch § 6 des Gesetzes vom 18. Mai 2018, GVBl. S. 301).
In materiell-rechtlicher Hinsicht behält die Datenschutz-Grundverordnung viele aus dem nationalen Datenschutzrecht bekannten und vertrauten Vorgaben im Wesentlichen bei und entwickelt diese fort. Insoweit bringt sie also für die bayerischen öffentlichen - insbesondere staatlichen und kommunalen - Stellen keine grundlegenden Veränderungen mit sich. Allerdings birgt sie auch eine ganze Reihe neuer und abgewandelter institutioneller und organisatorischer Vorgaben, welche auch von den bayerischen öffentlichen Stellen zu beachten sind. Durch die Verzahnung von europäischen und nationalen Vorschriften ist zudem die Regelungssystematik des Datenschutzrechts deutlich komplexer geworden - insbesondere im öffentlichen Bereich. Während etwa das bisherige Bayerische Datenschutzgesetz grundsätzlich eine "Vollregelung" des allgemeinen Datenschutzrechts für bayerische öffentliche Stellen enthielt, kann die Neufassung im Anwendungsbereich der Datenschutz-Grundverordnung nur ergänzende Bestimmungen treffen.
Im Bereich der bayerischen öffentlichen Verwaltung sind insbesondere die staatlichen und kommunalen öffentlichen Stellen selbst für die Umsetzung des neuen Datenschutzrechts verantwortlich. Dies ist eine bewältigbare, aber sicherlich anspruchsvolle Aufgabe.
Um die bayerischen öffentlichen Stellen bei ihrem Vollzug des neuen Datenschutzrechts zu unterstützen, habe ich im Berichtszeitraum ein umfassendes Informationsangebot erarbeitet und bereitgestellt:
- Am 26. Mai 2017 - also ein Jahr vor Geltungsbeginn der Datenschutz-Grundverordnung - habe ich meine Informationsreihe "Datenschutzreform 2018" gestartet. Die einzelnen Veröffentlichungen in dieser Informationsreihe widmen sich jeweils ausgewählten Themen des neuen Datenschutzrechts. Sie sind im Internet unter https://www.datenschutz-bayern.de in der Rubrik "Datenschutzreform 2018" abrufbar und können darüber hinaus bequem mittels eines RSS-Feeds bezogen werden.
- Neben Überblicksbeiträgen, die sich mit Inhalt und Systematik der Datenschutz-Grundverordnung und des neu gefassten Bayerischen Datenschutzgesetzes befassen, sind mittlerweile insbesondere mehrere, teils umfangreiche Praxis- und Orientierungshilfen erschienen. Diese haben unter anderem den behördlichen Datenschutzbeauftragten, die Informationspflichten, die Datenschutz-Folgenabschätzung und die Auftragsverarbeitung zum Thema. Die Orientierungs- und Praxishilfen vermitteln dabei den jeweiligen rechtlichen Hintergrund und geben praxisnahe Hinweise zur Umsetzung datenschutzrechtlicher Anforderungen. Soweit erforderlich, werden die Orientierungs- und Praxishilfen zu gegebener Zeit aktualisiert.
- Im Juni 2018 habe ich zudem mit der Veröffentlichung von "Aktuellen Kurz-Informationen" begonnen. Diese behandeln kurz und prägnant jeweils spezifische Fragestellungen, meist solche, die in meiner täglichen Beratungspraxis häufig an mich herangetragen wurden. Bis Ende des Jahres 2018 sind bereits 16 solcher "Aktuellen Kurz-Informationen" erschienen.
- Um die bayerischen öffentlichen Stellen bei der Durchführung einer Datenschutz-Folgenabschätzung zu unterstützen, stelle ich auf meiner Internetseite unter der Rubrik "Datenschutzreform 2018" zudem eine von der französischen Datenschutz-Aufsichtsbehörde entwickelte Software in deutscher Sprache zur Verfügung. Die Software (das "PIA-Tool") ermöglicht es, eine vollständige Datenschutz-Folgenabschätzung (im Englischen: Privacy Impact Assessment - PIA) durchzuführen. Die Software kann frei verwendet und weiterentwickelt werden (GPL v3.0) und ist für Windows, Linux und für Mac OS als eigenständiges Programm sowie auch als Web-Anwendung verfügbar.
Mein Informationsangebot hat nicht nur bei den bayerischen öffentlichen Stellen, sondern auch, wie mir zahlreiche Reaktionen zeigen, darüber hinaus breiten Anklang gefunden. Auch zukünftig werde ich dieses Informationsangebot erweitern.
2.2. Versand von Newslettern durch bayerische öffentliche Stellen
Oftmals nutzen bayerische öffentliche Stellen für die Kommunikation mit Bürgerinnen und Bürgern das Instrument "Newsletter". Das Einsatzspektrum reicht vom behördlichen Presseverteiler bis zu aktuellen Kundeninformationen durch gemeindliche Tourismusbüros. Newsletter werden gegenwärtig meist kostengünstig per E-Mail verbreitet. Dabei werden personenbezogene Daten der Adressatinnen und Adressaten verwendet. Insbesondere werden E-Mail-Adressen gespeichert und durch die Übermittlung des jeweiligen Newsletters genutzt. Doch können die Datensätze in der entsprechenden Versandliste, häufig in Form einer Excel-Tabelle, auch weitere Angaben enthalten, etwa für eine individuelle Anrede oder für eine Selektion nach gruppenspezifischen Interessenlagen.
2.2.1. Erforderlichkeit einer Rechtsgrundlage
Für die Verarbeitung der Kontaktdaten von Adressatinnen und Adressaten des Newsletters ist eine Rechtsgrundlage erforderlich (Art. 6 Abs. 1 DSGVO). Dafür kommen grundsätzlich nur Einwilligungen der betroffenen Personen in Betracht (Art. 6 Abs. 1 UAbs. 1 Buchst. a DSGVO). Eine bayerische öffentliche Stelle kann Newsletter also regelmäßig nur versenden, soweit sie über wirksame Einwilligungen der Adressatinnen und Adressaten verfügt.
2.2.2. Einwilligung als Rechtsgrundlage
Die Einwilligung ist wirksam, wenn sie die Anforderungen erfüllt, welche Art. 4 Nr. 11, Art. 6 Abs. 1 UAbs. 1 Buchst. a und Art. 7 Abs. 2 und 3 DSGVO vorsehen. Über diese Anforderungen informiert die Praxishilfe "Die Einwilligung nach der Datenschutz-Grundverordnung", die im Internet auf der Seite https://www.datenschutz-bayern.de unter "Datenschutzreform 2018 - Orientierungs- und Praxishilfen" veröffentlicht ist. Die Einwilligung muss danach insbesondere freiwillig (Art. 4 Nr. 11 DSGVO), informiert (Art. 4 Nr. 11 DSGVO), auf einen bestimmten Zweck (Art. 6 Abs. 1 UAbs. 1 Buchst. a DSGVO) und auf eine bestimmte Verarbeitung bezogen (Art. 4 Nr. 11 DSGVO) sowie unmissverständlich (Art. 4 Nr. 11 DSGVO) sein. Sie wirkt grundsätzlich bis zu ihrem Widerruf (Art. 7 Abs. 3 Satz 1, 2 DSGVO).
2.2.3. Nachweispflicht
Die öffentliche Stelle muss die Einwilligung im Rahmen ihrer Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO) nachweisen können (Art. 7 Abs. 1 DSGVO). Zu empfehlen ist insofern die Nutzung eines sogenannten Double-Opt-in-Verfahrens. Dabei meldet sich eine interessierte Person zunächst - regelmäßig - per Webformular mit einer E-Mail-Adresse für den Bezug des Newsletters an. An diese E-Mail-Adresse sendet der Anbieter eine Kontrollmitteilung, in der um Bestätigung des Bezugswunsches gebeten wird. Erst wenn diese Bestätigung - etwa über eine entsprechende Schaltfläche - erteilt ist, wird die interessierte Person in die Verteilerliste aufgenommen. Auf diese Weise ist ausgeschlossen, dass der Newsletter unerwünscht "zu Lasten" eines Dritten abonniert wird.
2.2.4. Bestandsdaten
Bereits vorhandene Datensätze von Adressatinnen und Adressaten können nur dann weiter für den Versand von Newslettern genutzt werden, wenn der Verantwortliche für diese Datensätze über Einwilligungen verfügt. Einwilligungen, die auf der Grundlage des bisherigen Rechts eingeholt wurden, sind unter der Geltung des neuen Rechts allerdings nur dann weiter wirksam, wenn sie auch dessen Voraussetzungen erfüllen (vgl. Erwägungsgrund 171 DSGVO). Das wird häufig nicht der Fall sein. Dann sollte der Verantwortliche eine neue Einwilligung einholen, welche Art. 4 Nr. 11, Art. 6 Abs. 1 UAbs. 1 Buchst. a und Art. 7 Abs. 2 und 3 DSGVO voll entspricht.
Die Nutzung vorhandener Datensätze für die Abfrage, ob eine solche Einwilligung erteilt wird, ist aus aufsichtsbehördlicher Sicht auch nach dem 25. Mai 2018 zulässig. Dies gilt jedenfalls dann, wenn die Abfrage alsbald erfolgt und nicht mit der Zusendung des nächsten Newsletters verbunden ist.
Da eine Einwilligung nur Wirksamkeit entfaltet, wenn sie freiwillig erteilt ist, sollte besonders darauf geachtet werden, dass die freie Willensentschließung der betroffenen Person nicht beeinträchtigt wird. Daher ist die Verknüpfung der Einwilligung mit der Teilnahme an einem Gewinnspiel ebenso unzulässig wie jede andere "Belohnung", wobei der Empfang des Newsletters nicht als eine solche anzusehen ist. Zumindest problematisch sind E-Mails an Bestandskundinnen und Bestandskunden, in denen die Einwilligung als eine Art "moralische Verpflichtung" und ihre Verweigerung als "Treuebruch" dargestellt wird.
2.2.5. Verzeichnis der Verarbeitungstätigkeiten
Eine Verarbeitungstätigkeit mit dem Zweck "Versand eines Newsletters" ist auch in das Verzeichnis der Verarbeitungstätigkeiten aufzunehmen. Rechtsgrundlage für diese Verarbeitungstätigkeit ist Art. 6 Abs. 1 UAbs. 1 Buchst. a DSGVO. Eine aufgabenzuweisende Vorschrift kann mitzitiert werden, so etwa beim Newsletter einer gemeindlichen Volkshochschule Art. 57 Abs. 1 Satz 1 Gemeindeordnung (Aufgabe, Einrichtungen der Erwachsenenbildung zu betreiben).
Betroffene Personen sind die Abonnentinnen und Abonnenten; zu den Kategorien personenbezogener Daten zählen regelmäßig der Name und der Vorname sowie die E-Mail-Adresse, gegebenenfalls noch weitere Angaben (zum Beispiel das Geburtsdatum). Kategorien von (dritten) Empfängern können beispielsweise dann anzugeben sein, wenn die öffentliche Stelle für den Versand des Newsletters mit einem Auftragsverarbeiter kooperiert (vgl. Art. 28 DSGVO, näher dazu die Orientierungshilfe "Auftragsverarbeitung", die im Internet auf der Seite https://www.datenschutz-bayern.de unter "Datenschutzreform 2018 - Orientierungs- und Praxishilfen" veröffentlicht ist). Was die Löschfristen betrifft, ist im Verzeichnis der Verarbeitungstätigkeiten darauf hinzuweisen, dass der Datensatz einer Bezieherin oder eines Beziehers gelöscht wird, wenn sie oder er die Einwilligung widerruft. Im Übrigen ist der Bezug eines Newsletters in der Regel auf Dauer angelegt.
2.2.6. Informationspflichten
Im Zusammenhang mit dem Angebot, den Newsletter zu abonnieren, muss die öffentliche Stelle auch ihre Informationspflichten nach Art. 13 DSGVO erfüllen. Wird ein Webformular verwendet, sollten Interessentinnen und Interessenten vor Abgabe der Erklärung, dass der Newsletter bezogen werden soll, und vor Erteilung der Einwilligung in eine Verarbeitung der hierfür erforderlichen personenbezogenen Daten die Möglichkeit haben, die Hinweise zu den in Art. 13 Abs. 1 und 2 DSGVO aufgeführten Punkten medienbruchfrei zur Kenntnis zu nehmen. Dies kann etwa durch einen gut sichtbar platzierten und entsprechend bezeichneten Link geschehen. Vor der Einwilligung ist zudem unmissverständlich über das Widerrufsrecht aufzuklären (Art. 7 Abs. 3 Satz 2 DSGVO).
2.2.7. Sonderfall: Werbung per Newsletter
Will eine Behörde einen Newsletter zur Direktwerbung nutzen, beispielsweise eine gemeindliche Volkshochschule hinsichtlich ihres Kursangebots, kann sie dies nicht auf Art. 6 Abs. 1 UAbs. 1 Buchst. f mit Erwägungsgrund 47 DSGVO stützen. Die Vorschrift ist für Behörden nicht anwendbar (Art. 6 Abs. 1 UAbs. 2 DSGVO), weil andernfalls Vorgaben zur Gesetzesbindung überspielt werden könnten.
Für öffentliche Stellen, die keine Behörden sind, so etwa Stadtwerke in der Rechtsform einer Kapitalgesellschaft, ist die Vorschrift allerdings nicht gesperrt. Insofern ist aber derzeit § 7 Gesetz gegen den unlauteren Wettbewerb zu beachten (künftig möglicherweise Art. 16 Abs. 2 Verordnung über Privatsphäre und elektronische Kommunikation, Entwurf dazu im Internet unter http://eur-lex.europa.eu (externer Link), CELEX-Nr. 52017PC0010).
2.3. Aufbewahren von Einwilligungen
Die Einwilligung der betroffenen Person ist eine wichtige Rechtsgrundlage für die Verarbeitung personenbezogener Daten. Das Gesetz nennt sie sogar an erster Stelle (Art. 6 Abs. 1 UAbs. 1 Buchst. a DSGVO). Auch wenn bayerische öffentliche Stellen personenbezogene Daten oftmals auf der Grundlage von gesetzlich geregelten Befugnissen verarbeiten können (Art. 6 Abs. 1 UAbs. 1 Buchst. e DSGVO) und daher insoweit keine Einwilligung benötigen, kommen auch bei ihnen einwilligungsbasierte Verarbeitungen vor. Das ist beispielsweise beim Versand von Newslettern der Fall (siehe dazu Beitrag Nr. 2.2 dieses Tätigkeitsberichts). Hat eine öffentliche Stelle eine Einwilligung für die Verarbeitung personenbezogener Daten eingeholt, stellt sich die Frage, wie lange diese Einwilligung aufgehoben werden muss.
2.3.1. Ausgangspunkt: Rechenschaftspflicht
Ausgangspunkt bei der Beantwortung dieser Frage ist die Rechenschaftspflicht, die Art. 5 Abs. 2 DSGVO dem Verantwortlichen - und damit der öffentlichen Stelle - auferlegt:
"Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können (Rechenschaftspflicht)."
Diese allgemeine Pflicht hat der Gesetzgeber in Bezug auf Einwilligungen durch Art. 7 Abs. 1 DSGVO zu einer spezifischen Nachweispflicht verdichtet. Die Bestimmung lautet:
"Beruht die Verarbeitung auf einer Einwilligung, muss der Verantwortliche nachweisen können, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat."
Eine Aufbewahrungsfrist ist für die Einwilligung nicht geregelt. Sie muss daher im Einzelfall anhand des Erforderlichkeitskriteriums bemessen werden.
2.3.2. Verarbeitungen im Zusammenhang mit einer Einwilligung
Die Einwilligung ist Rechtsgrundlage für diejenige Verarbeitung, auf die sie sich bezieht. Das ist Regelungsgehalt von Art. 6 Abs. 1 UAbs. 1 Buchst. a DSGVO. Hat die öffentliche Stelle beispielsweise eine Einwilligung für den Versand eines Newsletters eingeholt, so wird die Einwilligung - ihre Wirksamkeit vorausgesetzt - insbesondere die Speicherung und Nutzung des Datensatzes zulassen, den der einwilligende Bezieher des Newsletters dem Verantwortlichen zur Verfügung gestellt hat.
Die Einwilligung enthält aber auch selbst Daten der betroffenen Person, insbesondere die Angabe ihrer Identität sowie die mit dieser verbundene Aussage: "Ich bin mit einer näher bezeichneten Verarbeitung meiner näher bezeichneten Daten einverstanden". Diese personenbezogenen Daten werden durch den Verantwortlichen freilich nach Art. 6 Abs. 1 UAbs. 1 Buchst. c, Abs. 3 UAbs. 1 Buchst. a DSGVO verarbeitet. Die vom Verantwortlichen zu erfüllende gesetzliche Verpflichtung ist hier die Nachweispflicht aus Art. 7 Abs. 1 DSGVO.
2.3.3. Umfang der Nachweispflicht
Eine bayerische öffentliche Stelle muss in der Lage sein, die Nachweispflicht aus Art. 7 Abs. 1 DSGVO jedenfalls so lange zu erfüllen, wie noch Verarbeitungen stattfinden, die von der Einwilligung gedeckt sein sollen. Eine Einwilligung kann sich auf einen längeren Zeitraum beziehen, in dem eine andauernde Verarbeitung (etwa eine Speicherung von personenbezogenen Daten) oder wiederkehrende Verarbeitungen stattfinden, so beim Versand von Newslettern.
Bei der Formulierung eines Einwilligungsformulars sollte daher immer darauf geachtet werden, dass die entsprechende Erklärung alle geplanten Verarbeitungen erfasst. Stellt sich heraus, dass der Text insofern unzureichend ist, dürfen nicht berücksichtigte Verarbeitungen nur durchgeführt werden, wenn eine ergänzende Einwilligung eingeholt wird oder eine andere Rechtsgrundlage zur Verfügung steht.
2.3.4. Widerruf der Einwilligung
Ein Widerruf der Einwilligung führt nicht zwingend zu deren sofortiger Löschung: Mit der Verarbeitung der Einwilligung selbst wird nämlich die Nachweispflicht aus Art. 7 Abs. 1 DSGVO erfüllt; diese Verarbeitung beruht aber gerade nicht auf der Einwilligung, über die Nachweis zu führen ist (siehe oben unter 2.3.3). Daher kann die betroffene Person die Herausgabe einer schriftlichen Einwilligung oder einen entsprechenden Löschungsnachweis bei einer elektronisch erteilten Einwilligung nicht verlangen. Allerdings muss der Verantwortliche im Rahmen seiner allgemeinen Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO) den Widerruf der betroffenen Person dokumentieren. Eine widerrufene Einwilligung kann er selbstverständlich auch nicht mehr dazu verwenden, zeitlich nachgelagerte Verarbeitungen zu legitimieren.
Verarbeiten bayerische öffentliche Stellen personenbezogene Daten auf der Grundlage von Einwilligungen, sollten sie das "Verarbeitungsprogramm" vorausschauend planen, Einwilligungsformulare entsprechend gestalten und auch von vornherein festlegen, wo, auf welche Weise und für welche Dauer die erteilten Einwilligungen aufgehoben werden müssen. Nach Maßgabe dieser Planung sollten sie entscheiden, welche Ressourcen sie für die Erfüllung der gesetzlichen Rechenschafts- und Nachweispflichten einzusetzen haben.
2.4. Keine gesonderte Entgeltpflicht für Kontrollenbei der Auftragsverarbeitung
Die Datenschutzreform 2018 veranlasst zahlreiche Auftragsverarbeiter, ihre Geschäftsbedingungen neu zu fassen sowie auf Anpassungen in den mit ihren Auftraggebern vereinbarten Regelungen hinzuwirken. Bayerische öffentliche Stellen wurden von Auftragsverarbeitern in diesem Zusammenhang unter anderem mit dem Ansinnen konfrontiert, einer Vertragsklausel zuzustimmen, die dem Auftraggeber eine Vor-Ort-Kontrolle nur gegen ein besonderes Entgelt ermöglicht. In datenschutzrechtlicher Hinsicht kann ich dazu folgende Hinweise geben:
Nach Art. 28 Abs. 3 Satz 2 Buchst. h DSGVO hat eine Auftragsverarbeitungs-Vereinbarung vorzusehen, dass der Auftragsverarbeiter dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung stellt und Überprüfungen - einschließlich Inspektionen -, die vom Verantwortlichen oder einem anderen von diesem beauftragten Prüfer durchgeführt werden, ermöglicht und dazu beiträgt.
Bei der Auftragsverarbeitung verbleibt der Verantwortliche grundsätzlich in dieser Stellung (vgl. Art. 4 Nr. 8 DSGVO); er ist umfassend weisungsberechtigt (vgl. Art. 28 Abs. 3 Satz 2 Buchst. a DSGVO), entscheidet allein über den Zweck der Verarbeitung und hat auch dafür einzustehen, dass diese von einer Rechtsgrundlage gedeckt ist. Die Auftragsverarbeitung ist gerade kein datenschutzrechtliches "Rundum-sorglos-Paket".
Vor diesem Hintergrund sieht Art. 28 Abs. 3 Satz 2 Buchst. h DSGVO Kontrollrechte vor, die ohne besondere Begründung seitens des Verantwortlichen als Auftraggeber und ohne Abwehrmöglichkeit seitens des Auftragsverarbeiters (Art. 28 Abs. 3 Satz 2 Buchst. h DSGVO: "und dazu beiträgt") auszuüben sein müssen. Andernfalls könnte der Verantwortliche nämlich seinen bei ihm auch nach Einbindung eines Auftragsverarbeiters verbleibenden Pflichten insbesondere gegenüber den betroffenen Personen nicht angemessen nachkommen.
Daher darf die Wahrnehmung der Kontrollrechte des Auftraggebers aus datenschutzrechtlicher Sicht nicht von einem besonderen Entgelt abhängig gemacht werden. Dies gilt gerade auch für Vor-Ort-Kontrollen beim Auftragsverarbeiter. Ein gesondertes Entgelt würde einer Ausübung der Kontrollrechte entgegenwirken. Die Vereinbarung eines Entgelts, einer Aufwandsentschädigung oder eines sonstigen Kostenbeitrags, auch die Vereinbarung, hierzu im Bedarfsfall nachträglich eine die Auftragsverarbeitungs-Vereinbarung ergänzende Regelung zu treffen, führt dazu, dass eine Inspektion beim Auftragsverarbeiter als etwas "Außergewöhnliches" wahrgenommen wird, das dem Auftraggeber "eigentlich" nicht zusteht und gerade deshalb außerhalb der wechselseitigen Austauschbeziehung zu vergüten ist. Davon abgesehen kann ein solches Entgelt entweder auf Grund seiner bereits erkennbaren (absoluten) Höhe oder der vertraglich angelegten Unklarheit seiner Berechnung abschreckende Wirkung entfalten.
Dem berechtigten Interesse des Auftragsverarbeiters, nicht von seinen Auftraggebern "überrannt" zu werden, ist dadurch Rechnung getragen, dass jede Partei einer Auftragsverarbeitungs-Vereinbarung nach Treu und Glauben zur Rücksichtnahme auf die jeweils andere Partei verpflichtet ist. Diese Verpflichtung kann in der Vereinbarung durchaus näher ausgestaltet werden. In Betracht kommen etwa Bestimmungen, dass eine Vor-Ort-Kontrolle grundsätzlich mit einer bestimmten Frist anzukündigen oder abzustimmen ist, oder dass anlasslose Inspektionen mengenmäßig kontingentiert sind.
Unbenommen bleibt dem Auftragsverarbeiter selbstverständlich auch, die ihm durch Vor-Ort-Kontrollen seines Auftraggebers entstehenden Kosten von vornherein pauschal in das Angebot der vertraglichen Leistung einzurechnen ("Einpreisung"). Dabei ist zu berücksichtigen, dass der Auftraggeber auf die von der Datenschutz-Grundverordnung als Regelungsgegenstände einer Auftragsverarbeitungs-Vereinbarung obligatorisch vorgesehenen Kontrollrechte nicht verzichten kann.
Bayerische öffentliche Stellen sollten bei der Prüfung von neuen Auftragsverarbeitungs-Bedingungen sowie bei Verhandlungen über Anpassungen in bestehenden Vertragsbeziehungen stets darauf achten, dass sie sich für die Ausübung ihrer gesetzlichen Kontrollrechte nicht zu einem besonderen Entgelt verpflichten lassen.
2.5. Datenschutzbeauftragte bei bayerischen öffentlichen Stellen im Wettbewerb
Die Pflicht, einen Datenschutzbeauftragten zu benennen, trifft jede bayerische öffentliche Stelle. Gleichwohl haben mich bereits mehrere Anfragen solcher Stellen erreicht, die als Unternehmen am Wettbewerb teilnehmen und deshalb so behandelt werden möchten wie ihre privaten Konkurrenten. Für diese gilt unter anderem § 38 Abs. 1 Satz 1 Bundesdatenschutzgesetz (BDSG):
"Ergänzend zu Artikel 37 Absatz 1 Buchstabe b und c der Verordnung (EU) 2016/679 [das ist die Datenschutz-Grundverordnung] benennen der Verantwortliche und der Auftragsverarbeiter eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten, soweit sie in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen."
Diese "Zehn-Personen-Regel" ist auf bayerische öffentliche Stellen nicht anwendbar. Soweit öffentliche Stellen als Unternehmen am Wettbewerb teilnehmen, gelten zwar nach Art. 1 Abs. 3 Satz 1 BayDSG für sie selbst, ihre Zusammenschlüsse und Verbände die Vorschriften für nicht öffentliche Stellen. Zu diesen Vorschriften gehört auch § 38 Abs. 1 Satz 1 BDSG. Die Datenschutz-Grundverordnung bestimmt allerdings in Art. 37 Abs. 1 Buchst. a DSGVO:
"Der Verantwortliche und der Auftragsverarbeiter benennen auf jeden Fall einen Datenschutzbeauftragten, wenn die Verarbeitung von einer Behörde oder öffentlichen Stelle durchgeführt wird [...]."
§ 38 Abs. 1 Satz 1 BDSG ergänzt ausdrücklich die in Art. 37 Abs. 1 Buchst. b und c DSGVO geregelten Benennungstatbestände, die an die Qualität sowie die Quantität der Verarbeitungen bei dem betreffenden Verantwortlichen anknüpfen. § 38 Abs. 1 Satz 1 BDSG ist jedoch nicht zugleich als Einschränkung von Art. 37 Abs. 1 Buchst. a DSGVO konzipiert. Mit der Formulierung "Ergänzend zu Artikel 37 Absatz 1 Buchstabe b und c der Verordnung (EU) 2016/679" hat der Bundesgesetzgeber gerade auf den Anwendungsvorrang des Unionsrechts reagiert.
Es bleibt also dabei: Jede bayerische öffentliche Stelle muss einen Datenschutzbeauftragten haben. Rechtsträger mit nur wenigen oder gar keinen eigenen Beschäftigten können von der Möglichkeit Gebrauch machen, eine externe Person zu benennen. Dies darf auch ein Bediensteter einer anderen öffentlichen Stelle sein, mit der eine entsprechende Vereinbarung (Art. 37 Abs. 6 DSGVO: "Dienstleistungsvertrag") geschlossen werden kann.
2.6. Geldbußen nach Art. 83 Datenschutz-Grundverordnung gegen bayerische öffentliche Stellen
Mit der Datenschutzreform 2018 haben die Datenschutz-Aufsichtsbehörden zahlreiche neue Befugnisse gewonnen. So können bestimmte Verstöße gegen Vorschriften der Datenschutz-Grundverordnung mit Geldbußen geahndet werden. Soweit allerdings "Behörden und öffentliche Stellen" betroffen sind, dürfen die Mitgliedstaaten nach Art. 83 Abs. 7 DSGVO festlegen, ob und in welchem Umfang Geldbußen verhängt werden können. Von dieser Möglichkeit hat der bayerische Gesetzgeber mit Art. 22 BayDSG Gebrauch gemacht. Dort heißt es:
"Gegen öffentliche Stellen im Sinne des Art. 1 Abs. 1 und 2 [BayDSG] dürfen Geldbußen nach Art. 83 DSGVO nur verhängt werden, soweit diese als Unternehmen am Wettbewerb teilnehmen."
2.6.1. Geldbuße als Regelfall
Ob Regelungen wie in Art. 22 BayDSG der Datenschutz-Aufsichtsbehörde eine ansonsten nicht bestehende Sanktionsbefugnis verschaffen oder aber eine ansonsten bestehende Sanktionsbefugnis begrenzen, hängt vom Verständnis des Art. 83 Abs. 7 DSGVO ab. Die Vorschrift wird teils als Ermächtigung gewertet, Sanktionen gegen Behörden und öffentliche Stellen zuzulassen. Teils wird sie aber auch als Ermächtigung angesehen, Behörden und öffentliche Stellen von Sank-tionen freizustellen.
Systematisch ist Letzteres besser begründbar: Der zentrale Geldbußtatbestand in Art. 83 Abs. 4 Buchst. a DSGVO ist unmittelbar an Verantwortliche und Auftragsverarbeiter adressiert. Weitere Geldbußtatbestände erhalten diese Adressierung mittelbar durch Verweise auf Verhaltensnormen (vgl. Art. 83 Abs. 5 DSGVO). Wenn die Datenschutz-Grundverordnung aber von Verantwortlichen und Auftragsverarbeitern spricht, sind grundsätzlich auch Behörden und öffentliche Stellen gemeint (vgl. Art. 37 Abs. 3 DSGVO). Sollen sie ausgenommen sein, ist dies besonders angeordnet (vgl. etwa Art. 27 Abs. 2 Buchst. b DSGVO).
In der Sache regelt Art. 22 BayDSG daher einen Anwendungsausschluss der Vorschriften zu Geldbußen, und zwar, soweit eine öffentliche Stelle im Sinne von Art. 1 Abs. 1 und 2 BayDSG nicht als Unternehmen am Wettbewerb teilnimmt.
Im vorliegenden Zusammenhang sind in den Datenschutzgesetzen anderer Bundesländer sowie anderer Mitgliedstaaten der Europäischen Union übrigens auch positiv formulierte Anwendungsausschlüsse vorzufinden (so etwa in § 43 Abs. 3 Bundesdatenschutzgesetz, § 28 Landesdatenschutzgesetz [Baden-Württemberg] oder § 30 Abs. 5 Datenschutzgesetz [Österreich]).
2.6.2. Teilnahme am Wettbewerb als Unternehmen
Bei der Anwendung von Art. 22 BayDSG ist zu prüfen, ob eine bayerische öffentliche Stelle als Unternehmen am Wettbewerb teilnimmt. Da Art. 22 BayDSG die Reichweite der in Art. 83 DSGVO geregelten Geldbußtatbestände betrifft, ist insofern Unionsrecht maßgeblich.
Erwägungsgrund 150 Satz 3 DSGVO weist darauf hin, dass bei der Verhängung einer Geldbuße gegenüber einem Unternehmen der entsprechende Begriff in Art. 101 f. Vertrag über die Arbeitsweise der Europäischen Union (AEUV) zu beachten ist. Es liegt nahe, diesen - Art. 4 Nr. 18 DSGVO jedenfalls bei der Abgrenzung zum hoheitlichen Bereich konkretisierenden - Begriff auch dann heranzuziehen, wenn der nationale Gesetzgeber die Ermächtigung in Art. 83 Abs. 7 DSGVO dazu nutzt, eine Ausnahme von einem Anwendungsausschluss (unter anderem) an die Eigenschaft als Unternehmen anzuknüpfen.
Die Bestimmungen in Art. 101 f. AEUV richten sich an Unternehmen unabhängig von ihrer Rechtsform. Ausgenommen sind dabei hoheitliche Betätigungen. Der Europäische Gerichtshof hat insofern ausgeführt (Urteil vom 12. Juli 2012,C-138/11, Rn. 35 ff.):
"Nach ständiger Rechtsprechung [des Gerichtshofs] ist eine wirtschaftliche Tätigkeit jede Tätigkeit, die darin besteht, Güter oder Dienstleistungen auf einem bestimmten Markt anzubieten [...]. Somit können der Staat selbst oder eine staatliche Einheit als Unternehmen tätig sein [...].
Dagegen haben Tätigkeiten, die in Ausübung hoheitlicher Befugnisse erfolgen, keinen wirtschaftlichen Charakter, der die Anwendung der im [Vertrag über die Arbeitsweise der Europäischen Union] vorgesehenen Wettbewerbsregeln rechtfertigen würde [...].
Soweit eine öffentliche Einheit [...] eine wirtschaftliche Tätigkeit ausübt, die von der Ausübung ihrer hoheitlichen Befugnisse losgelöst werden kann, handelt sie in Bezug auf diese Tätigkeit als Unternehmen; ist die wirtschaftliche Tätigkeit dagegen mit der Ausübung ihrer hoheitlichen Befugnisse untrennbar verbunden, bleiben sämtliche Tätigkeiten dieser Einheit Tätigkeiten in Ausübung hoheitlicher Befugnisse [...].
Darüber hinaus reicht der Umstand, dass die öffentliche Einheit [...] eine Dienstleistung, die mit der Ausübung ihrer hoheitlichen Befugnisse in Zusammenhang [steht], gegen ein gesetzlich vorgesehenes und nicht unmittelbar oder mittelbar von ihr bestimmtes Entgelt [...] erbringt, für sich genommen nicht aus, um die ausgeübte Tätigkeit als wirtschaftliche Tätigkeit und die Einheit, die sie ausübt, als Unternehmen einzustufen [...]."
Der Gerichtshof unterscheidet danach eine Sphäre wirtschaftlicher Betätigung von einer Sphäre der Ausübung hoheitlicher Befugnisse. Die beiden Sphären sind regelmäßig getrennt; ist die Trennung im Einzelfall nicht durchführbar, finden die für Unternehmen geltenden Wettbewerbsregeln grundsätzlich keine Anwendung.
Eine Ausübung hoheitlicher Befugnisse ist regelmäßig nicht bereits dadurch belegt, dass die betreffende Stelle eine ihr zugewiesene öffentliche (auch: Pflicht-) Aufgabe wahrnimmt, dass sie auf dem einschlägigen Markt in einer faktischen oder auch rechtlich (etwa durch gebietsbezogenen Benutzungszwang) verfestigten Monopolposition agiert, oder dass sie ein ihr zu zahlendes Entgelt (auch) durch Leistungsbescheid erheben kann (vgl. näher Gericht der Europäischen Union, Urteil vom 16. Juli 2014, T-309/12, Rn. 58 ff.).
Die Ausübung hoheitlicher Tätigkeiten kann typischerweise nicht ohne weiteres auf Private übertragen werden; sie bringt Vorrechte zur Geltung, die grundsätzlich nur dem Staat zustehen, während sich eine wirtschaftliche Betätigung häufig in einem (mindestens) kostendeckenden Entgelt zu erkennen gibt.
2.6.3. Folgen für bayerische öffentliche Stellen
Kommt in einem Einzelfall die Verhängung einer Geldbuße in Betracht, ist anhand eines unionsrechtlichen Maßstabs zu prüfen, ob die betreffende bayerische öffentliche Stelle hinsichtlich des konkreten Tätigkeitsfelds (Art. 22 BayDSG: "soweit") als Unternehmen am Wettbewerb teilnimmt.
War eine öffentliche Stelle nach dem bisherigen Datenschutzrecht (insbesondere nach Art. 3 Abs. 1 Satz 1 BayDSG-alt) nicht als Wettbewerbsunternehmen anzusehen, bedeutet dies somit nicht in jedem Fall, dass sie auch umfassend von dem Anwendungsausschluss profitieren kann, den Art. 22 BayDSG hinsichtlich der Ahndungsmöglichkeiten nach Art. 83 DSGVO bewirkt.