Sie sind hier: > Start > Tätigkeitsberichte > 28. TB 2018 > 14. Spezielle datenschutzrechtliche Themen
Der Bayerische Landesbeauftragte für den Datenschutz; Stand: 20.05.2019
14. Spezielle datenschutzrechtliche Themen
14.1. EU-US Privacy Shield
Zum EU-US Privacy Shield (Privacy Shield) habe ich mich bereits ausführlich in meinem 27. Tätigkeitsbericht 2016 unter Nr. 13.2 geäußert. Am 18. Oktober 2017 veröffentlichte die Europäische Kommission den ersten jährlichen Prüfbericht (Dokument COM(2017) 611 final, im Internet abrufbar unter https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=COM:2017:611:FIN (externer Link)). Sie hält weiterhin an ihrer Angemessenheitsentscheidung in Bezug auf Unternehmen fest, die sich den Privacy Shield-Regelungen unterwerfen und entsprechend registriert sind.
Im Berichtszeitraum erhielt ich keine Beschwerden von Bürgerinnen und Bürgern zur Verarbeitung ihrer personenbezogenen Daten spezifisch mit Blick auf die Regelungen des Privacy Shield.
Bei Beratungsanfragen bayerischer öffentlicher Stellen spielte der Privacy Shield hingegen durchaus eine Rolle, insbesondere im Zusammenhang mit Cloud Computing (siehe hierzu auch Nr. 14.2). Neben weiteren Aspekten muss insbesondere in jedem Einzelfall geprüft werden, ob sich das jeweils relevante Unternehmen in den Vereinigten Staaten von Amerika (USA) den Privacy Shield-Regelungen unterworfen hat, und ob es entsprechend registriert ist. Hierzu habe ich anfragende Stellen auf eine im Internet verfügbare Auflistung hingewiesen (https://www.privacyshield.gov/list (externer Link)).
Die Artikel 29-Datenschutzgruppe, Vorgängerin des Europäischen Datenschutzausschusses, sieht im Privacy Shield zwar Verbesserungen gegenüber Safe Harbor und gegenüber der bisherigen Praxis. Sie äußerte in Ihrem Bericht vom 28. November 2017 (WP 255, im Internet abrufbar unter https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=612621 (externer Link)) aber weiterhin Bedenken. Diese Bedenken sollten nach Wunsch der Artikel 29-Datenschutzgruppe grundsätzlich bis zum 25. Mai 2018 ausgeräumt werden, spätestens jedoch bis zur zweiten Überprüfung Ende 2018. Am 18./19. Oktober 2018 trafen sich Vertreter der Europäischen Kommission und der US-Regierung in Brüssel zur zweiten jährlichen Überprüfung. Im Fokus standen kommerzielle Aspekte sowie Datenverarbeitungen durch US-Dienste und Behörden für Zwecke der nationalen Sicherheit.
Dem Europäischen Gerichtshof (Az.: C-311/18) wurden bereits die Fragen vorgelegt, ob die Angemessenheitsentscheidung im EU-US Datenschutzschild bindende Wirkung für die Aufsichtsbehörden entfalte (Vorlagefrage 9), und ob die bestehenden Regelungen der USA zur Einrichtung einer Privacy Shield-Ombudsstelle ausreichend seien (Vorlagefrage 10). Zu diesem sogenannten Schrems II-Verfahren siehe die Information im ABl. C 249 vom 16. Juli 2018, S. 15, im Internet abrufbar unter https://eur-lex.europa.eu/ (externer Link).
Die weitere Entwicklung bleibt abzuwarten.
Auf meiner Homepage https://www.datenschutz-bayern.de berichte ich hierzu aktuell unter "Themengebiete - Internationaler Datenverkehr - EU-US Privacy Shield" und halte weitere Informationen für bayerische öffentliche Stellen sowie für betroffene Personen vor.
14.2. Cloud Computing
Zum Cloud Computing habe ich mich schon in meinem 24. Tätigkeitsbericht 2010 unter Nr. 2.1.5, in meinem 25. Tätigkeitsbericht 2012 unter Nr. 1.2 und 2.3.3, in meinem 26. Tätigkeitsbericht 2014 unter Nr. 13.1 in meinem 27. Tätigkeitsbericht 2016 unter Nr. 13.3 kritisch geäußert.
Auch im Berichtszeitraum erreichten mich zahlreiche Anfragen, vor allem von Schulen und Kommunen. Bei den Angeboten ist unter anderem zu berücksichtigen, ob der Dienstleister seine Leistung im Inland, im europäischen Ausland oder aber in einem Staat außerhalb der Europäischen Union beziehungsweise des Europäischen Wirtschaftsraums (und damit in einem sogenannten Drittland) erbringt. Den Schwerpunkt bildeten Verträge mit Anbietern aus den Vereinigten Staaten von Amerika (USA). Häufig musste ich auf Widersprüche der vorgelegten Verträge zu den Werbeaussagen der Anbieter hinweisen.
Ich wiederhole daher meine schon bislang ausgesprochene Empfehlung an bayerische öffentliche Stellen, auf die Nutzung von Public-Cloud-Diensten mit (auch nur eventuellen) Datenverarbeitungen in den USA zu verzichten und nach anderen, nationalen oder auch europäischen Lösungen zu suchen.
Bei entsprechenden Anfragen verweise ich im Übrigen regelmäßig auf das IT-Grundschutz-Kompendium des Bundesamts für Sicherheit in der Informationstechnik. Dort heißt es unter APP.1.1.A12: "Die in einigen Office-Produkten integrierten Cloud-Speicher-Funktionen SOLLTEN grundsätzlich deaktiviert werden. Alle Cloud-Laufwerke SOLLTEN deaktiviert werden. Alle Dokumente SOLLTEN auf zentral verwalteten File-Servern der Institution gespeichert werden. Um Dokumente für Dritte zur Sichtung oder Bearbeitung freizugeben, SOLLTEN spezialisierte Anwendungen wie beispielsweise geeignete Datenräume eingesetzt werden, die über Sicherheitsfunktionen wie eine verschlüsselte Datenablage und -versendung und ein geeignetes System zur Benutzer- und Rechteverwaltung verfügen."
Das IT-Grundschutz-Kompendium des Bundesamts für Sicherheit in der Informationstechnik kann im Internet unter https://www.bsi.bund.de (externer Link) abgerufen werden.
Die Datenschutzaufsichtsbehörden in Deutschland streben insbesondere über Arbeitskreise der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder eine möglichst einheitliche Positionierung zum Einsatz von Microsoft Office 365 in der öffentlichen Verwaltung an. Dabei wurde auch der Kontakt zu Microsoft gesucht, um für eine Bewertung erforderliche Informationen und Unterlagen zu erlangen. Wann ein Ergebnis vorliegen wird, ist derzeit nicht absehbar, zumal zuletzt die Microsoft Cloud Deutschland im Vordergrund stand. Da die Microsoft Cloud Deutschland gemäß eigener Ankündigung von Microsoft für Neukunden nicht mehr zur Verfügung stehen soll, werden bei der Befassung wieder andere Angebote von Microsoft Office 365 in den Fokus rücken.
14.3. Einmaliger Meldedatenabgleich zur Erhebung des Rundfunkbeitrags
Regelmäßig erhalte ich Anfragen von Bürgerinnen und Bürgern, die sich gegen eine Übermittlung von Meldedaten an die öffentlich-rechtlichen Rundfunkanstalten und die dann dort vorgenommenen Datenverarbeitungen wenden. Anlass war zuletzt vielfach der im Jahr 2018 durchgeführte allgemeine Meldedatenabgleich.
Es handelte sich insoweit um die Durchführung eines "einmaligen" Abgleichs der Daten aller volljährigen Bürger, für den als Stichtag der 6. Mai 2018 festgelegt wurde. Aufgrund des Umfangs der Datenmenge beinhaltete die Planung die sukzessive Übermittlung der entsprechenden Daten an den Beitragsservice im Zeitraum vom 7. Mai bis 3. Juli 2018.
Rechtsgrundlage für diesen 2018 durchgeführten Meldedatenabgleich ist § 14 Abs. 9a Rundfunkbeitragsstaatsvertrag (RBStV). Ziel der Regelung war es, den Rundfunkanstalten ein geeignetes Instrumentarium zur Verfügung zu stellen, um ihren Datenbestand zu sichern und strukturelle Erhebungs- und Vollzugsdefizite zu beseitigen.
Ein solcher Meldedatenabgleich erfolgte nach einer ersten Durchführung im Jahr 2013 nun zum zweiten Mal, wobei Rechtsgrundlage für den Abgleich im Jahr 2013 § 14 Abs. 9 RBStV war.
§ 14 RBStV
Übergangsbestimmungen
(9) 1Um einen einmaligen Abgleich zum Zwecke der Bestands- und Ersterfassung zu ermöglichen, übermittelt jede Meldebehörde für einen bundesweit einheitlichen Stichtag automatisiert innerhalb von längstens zwei Jahren ab dem Inkrafttreten dieses Staatsvertrages gegen Kostenerstattung einmalig in standardisierter Form die nachfolgenden Daten aller volljährigen Personen an die jeweils zuständige Landesrundfunkanstalt:
- Familienname,
- Vornamen unter Bezeichnung des Rufnamens,
- frühere Namen,
- Doktorgrad,
- Familienstand,
- Tag der Geburt,
- gegenwärtige und letzte Anschrift von Haupt- und Nebenwohnungen, einschließlich aller vorhandenen Angaben zur Lage der Wohnung, und
- Tag des Einzugs in die Wohnung.
2Hat die zuständige Landesrundfunkanstalt nach dem Abgleich für eine Wohnung einen Beitragsschuldner festgestellt, hat sie die Daten der übrigen dort wohnenden Personen unverzüglich zu löschen, sobald das Beitragskonto ausgeglichen ist. 3Im Übrigen darf sie die Daten zur Feststellung eines Beitragsschuldners für eine Wohnung nutzen, für die bislang kein Beitragsschuldner festgestellt wurde; Satz 2 gilt entsprechend. 4Die Landesrundfunkanstalt darf die Daten auch zur Aktualisierung oder Ergänzung von bereits vorhandenen Teilnehmerdaten nutzen. 5 § 11 Abs. 6 Satz 2 und 3 gilt entsprechend.
(9a) 1Zur Sicherstellung der Aktualität des Datenbestandes wird zum 1. Januar 2018 ein weiterer Abgleich entsprechend Absatz 9 durchgeführt. 2Die Meldebehörden übermitteln die Daten bis längstens 31. Dezember 2018. 3Im Übrigen gelten Absatz 9 Satz 1 bis 4 und § 11 Abs. 6 Satz 2 und 3 entsprechend. 4Der Abgleich wird nach seiner Durchführung evaluiert. 5Die Landesrundfunkanstalten stellen den Ländern hierfür die erforderlichen Informationen zur Verfügung.
Daneben können die Meldebehörden dem Bayerischen Rundfunk beziehungsweise dem Beitragsservice zu bestimmten Anlässen (bei Anmeldungen, Abmeldungen oder Todesfällen) einen festgelegten Datensatz übermitteln. Rechtsgrundlage für diese regelmäßige Übermittlung ist der auf Grund von § 36 Abs. 1 Bundesmeldegesetz und Art. 10 Nr. 4 Bayerisches Gesetz zur Ausführung des Bundesmeldegesetzes erlassene § 35 Abs. 1 Verordnung zur Übermittlung von Meldedaten. Die übermittelten Daten dürfen nur für Zwecke der Beitragserhebung sowie zur Feststellung, ob eine Beitragspflicht nach dem Rundfunkbeitragsstaatsvertrag besteht, verarbeitet werden. Die Übermittlung der Daten durch die Meldebehörden ist in beiden Fallkonstellationen zulässig (siehe auch meinen 27. Tätigkeitsbericht 2016 unter Nr. 6.17).
Viele Bürgerinnen und Bürger haben sich ausdrücklich im Hinblick auf die Datenverarbeitungen durch den Bayerischen Rundfunk beziehungsweise durch den Beitragsservice an mich gewandt. Mangels Aufsichtszuständigkeit für die Datenverarbeitungen dieser Stellen konnte ich in solchen Fällen nur allgemeine Hinweise geben und im Übrigen an die zuständigen Datenschutzbeauftragten des Bayerischen Rundfunks beziehungsweise des Beitragsservice verweisen.
14.4. Datenschutz beim Mikrozenzus
Seit 1957 versorgt der Mikrozensus als amtliche Repräsentativstatistik politisch und wirtschaftlich Verantwortliche sowie die Öffentlichkeit mit Zahlen zur sozialen und wirtschaftlichen Lage der Bevölkerung. Jährlich ist ein Prozent aller Haushalte in Deutschland beteiligt. Von anderen Haushaltsbefragungen unterscheidet sich der Mikrozensus durch die vom Gesetzgeber vorgesehene Auskunftspflicht. Das Gesetz zur Durchführung einer Repräsentativstatistik über die Bevölkerung und die Arbeitsmarktbeteiligung sowie die Wohnsituation der Haushalte (Mikrozensusgesetz - MZG) wurde durch das Gesetz zur Neuregelung des Mikrozensus und zur Änderung weiterer Statistikgesetze geändert und als Artikel 1 des Gesetzes vom 7. Dezember 2016 (BGBl. I S. 2826) vom Bundestag neu beschlossen. Im Gegensatz zu den bisherigen Mikrozensusgesetzen ist eine zeitliche Befristung nicht mehr vorgesehen. Zudem wurden weitere, nach europäischem Recht vorgegebene statistische Erhebungen integriert. Das neue Mikrozensusgesetz trat am 1. Januar 2017 in Kraft (zum Mikrozensusgesetz 2005 siehe meine Ausführungen im 23. Tätigkeitsbericht 2008 unter Nr. 23.2)
Einige für die Teilnahme am Mikrozensus ausgewählte Bürgerinnen und Bürger wandten sich im Berichtszeitraum an mich und hinterfragten das Bestehen einer Auskunftspflicht nach § 13 MZG. Die betroffenen Personen habe ich aus datenschutzrechtlicher Sicht auf Folgendes aufmerksam gemacht:
- Das Bundesverfassungsgericht hat in seinem so genannten "Volkszählungsurteil" vom 15. Dezember 1983, Az.: 1 BvR 209/83 u. a., darauf hingewiesen, dass das Grundrecht des Bürgers auf informationelle Selbstbestimmung nicht schrankenlos gewährleistet ist. Im Urteil vom 19. September 2018, Az.: 2 BvF 1/15 u. a., hielt es das Zensusgesetz 2011 für verfassungsgemäß und führte in diesem Zusammenhang aus, der Gesetzgeber habe auf die bereits vorliegenden Erfahrungen anderer von den statistischen Ämtern des Bundes und der Länder durchgeführter Erhebungen - wie etwa des Mikrozensus - zurückgreifen können.
- Das Erhebungsverfahren ist auf die Gewinnung anonymisierter Daten gerichtet. Der Erhebungsbogen und die einen Personenbezug herstellenden sogenannten "Hilfsmerkmale" werden nach einer Plausibilitätskontrolle beim Bayerischen Landesamt für Statistik getrennt. Die erhobenen Daten unterliegen dem Statistikgeheimnis und sind von anderen Datenbeständen gesondert zu halten. Fälle einer Missachtung dieser Vorgaben sind mir bislang nicht bekannt geworden.
- Art. 6 Abs. 2 und 3 DSGVO gestatten dem Gesetzgeber, Rechtsgrundlagen für die Datenverarbeitung im öffentlichen Interesse (Art. 6 Abs. 1 UAbs. 1 Buchst. e DSGVO) festzulegen. Der Mikrozensus dient einem öffentlichen Interesse, nämlich die Basis für politische Entscheidungen in Europa, Bund und Ländern zu finden.
- Darüber hinaus können nach Maßgabe von Art. 89 Abs. 2 DSGVO bei Datenverarbeitungen zu statistischen Zwecken im Recht der Mitgliedstaaten Ausnahmen von den Rechten nach Art. 15, 16, 18 und 21 DSGVO vorgesehen werden.
Im Ergebnis hatte ich in den mir vorgetragenen Fällen keine datenschutzrechtlichen Einwendungen gegen die im Rahmen des Mikrozensus erfolgten Datenerhebungen.
14.5. Vorbereitung der Volkszählung 2021
Der erste registergestützte Zensus (siehe meine Ausführungen in meinem 23. Tätigkeitsbericht 2008 unter Nr. 23.3, in meinem 24. Tätigkeitsbericht 2010 unter Nr. 12.1 und in meinem 25. Tätigkeitsbericht 2012 unter Nr. 12.4) ist abgeschlossen. Das Statistische Bundesamt veröffentlichte am 20. Mai 2016 den Qualitätsbericht nach § 17 Zensusgesetz 2011. Das Bundesverfassungsgericht hat mit Urteil vom 19. September 2018, Az.: 2 BvF 1/15 u. a., entschieden, dass die im dortigen Verfahren angegriffenen Normen des Zensusgesetzes 2011 mit dem Grundgesetz vereinbar sind. Daher ist nunmehr mit einem Gesetzgebungsverfahren zu einem Zensusgesetz 2021 zu rechnen.
Unabhängig davon sind die Vorbereitungen für die Volkszählung 2021 bereits angelaufen.
Am 10. März 2017 trat das vom Bundestag beschlossene, mittlerweile bereits geänderte Gesetz zur Vorbereitung eines registergestützten Zensus einschließlich einer Gebäude- und Wohnungszählung 2021 (Zensusvorbereitungsgesetz 2021) in Kraft.
Die Vorbereitung und die Durchführung der Volkszählung 2021 werde ich aus datenschutzrechtlicher Sicht kritisch begleiten.