[go: up one dir, main page]

≡ Sitemap

Der Bayerische Landesbeauftragte für den Datenschutz; Stand: 25.05.2021

7. E-Government undöffentliche Register

7.1. Gesetz über die Digitalisierung im Freistaat Bayern

Auch im aktuellen Berichtszeitraum war ich wieder intensiv mit datenschutzrechtlichen Fragen der Verwaltungsmodernisierung, insbesondere aus dem Bereich E-Government befasst. Neben der Erarbeitung eines Leitfadens zum Outsourcing kommunaler IT (siehe hierzu unter Nr. 7.2) war ich insbesondere auch beteiligt beim Erlass eines Gesetzes über die Digitalisierung im Freistaat Bayern (Bayerisches Digitalgesetz - DigitalG).

Mit dem Bayerischen Digitalgesetz will der Freistaat Bayern über seine bisherigen Maßnahmen zur Förderung und Gestaltung der Digitalisierung hinausgehen und einen umfassenden allgemeinen Rechtsrahmen für die Digitalisierung von Gesellschaft und Wirtschaft, Staat und Verwaltung schaffen. Dieser neue Rechtsrahmen soll das in wesentlichen Teilen am 30. Dezember 2015 in Kraft getretene Gesetz über die elektronische Verwaltung in Bayern (siehe hierzu meinen 27. Tätigkeitsbericht 2016 unter Nr. 12.1) ersetzen und grundlegend weiterentwickeln. Neben der Verwirklichung grundsätzlicher Ziele wie etwa der Gewährleistung von digitaler Souveränität im Freistaat Bayern sowie einer Begründung digitaler Rechte der Bürgerinnen und Bürger soll das Bayerische Digitalgesetz aber auch ganz konkret der Umsetzung des Bundesgesetzes zur Verbesserung des Onlinezugangs zu Verwaltungsleistungen (Onlinezugangsgesetz) vom 14. August 2017 dienen. Mit letzterem Punkt verbunden sind Aufbau und Betrieb eines Portalverbunds von Bund und Ländern. Insbesondere soll durch das Bayerische Digitalgesetz ein Bayerischer Portalverbund mit einem zentralen Bürger-Nutzerkonto zur Inanspruchnahme digitaler Verwaltungsleistungen implementiert werden. An diesem aktuell noch laufenden Gesetzgebungsverfahren wurde ich vom federführenden Staatsministerium für Digitales beteiligt und habe in meinen Stellungnahmen insbesondere folgende für die Bürgerinnen und Bürger zentralen Datenschutzforderungen erhoben:

7.1.1. Verarbeitung von Meldedaten begrenzen

Zwar habe ich es begrüßt, dass bereits nach den ersten mir vorgelegten Entwürfen zum Bayerischen Digitalgesetz die Verwendung der gerade erwähnten Bürger-Nutzerkonten freiwillig sein sollte. Jedoch fehlte mir aus datenschutzrechtlicher Sicht die maßgebliche Klarstellung, dass diese Freiwilligkeit auch bereits für deren Einrichtung gilt. Eine im Laufe der Erarbeitung des Bayerischen Digitalgesetzes zwischenzeitlich vorgesehene Änderung der Verordnung zur Übermittlung von Meldedaten (Meldedatenverordnung) ließ insoweit nämlich vermuten, dass diese Konten pauschal für alle Bürgerinnen und Bürger gleichsam auf Vorrat erstellt werden sollen, unabhängig davon, ob diese jemals einen Antrag auf Einrichtung eines solchen Bürger-Nutzerkontos stellen. Konkret war insoweit vorgesehen, dass die Meldebehörden zwecks Bereitstellung von Nutzerkonten an dessen technischen Betreiber grundsätzlich folgende Meldedaten übermitteln: Familienname, Vornamen, Doktorgrad, Geburtsdatum und Geburtsort sowie bei Geburt im Ausland auch den Staat, derzeitige Anschriften (Haupt- und Nebenwohnung), Familienstand, bei Verheirateten oder Personen, die eine Lebenspartnerschaft führen, zusätzlich Datum der Eheschließung oder der Begründung der Lebenspartnerschaft, Sterbedatum, Ordens- und Künstlername sowie Geschlecht. Die pauschale Übermittlung eines solch umfangreichen Meldedatenkranzes aller Bürgerinnen und Bürger - letztlich auf Vorrat - habe ich gerade vor dem Hintergrund der das Datenschutzrecht durchziehenden Grundsätze der Erforderlichkeit (vgl. Art. 6 Abs. 1 UAbs. 1 DSGVO) und der Datenminimierung (vgl. Art. 5 Abs. 1 Buchst. c DSGVO) sehr kritisch gesehen. Daher habe ich insoweit gefordert, jedenfalls derart umfangreiche Meldedatenflüsse zur Einrichtung von Nutzerkonten davon abhängig zu machen, dass vorher entsprechende Einwilligungen der Betroffenen vorliegen.

Wichtig war mir insoweit aber auch, dass die Einrichtung von Nutzerkonten beim technischen Betreiber nicht - letztlich von den Bürgerinnen und Bürgern unbemerkt - zur Entstehung eines weiteren umfassenden Bürgerbasisdatenbestands neben dem meldebehördlichen Melderegister führt. Genau dies war aber zwischenzeitlich zu befürchten, da die schon angesprochene, im Laufe der Diskussionen vorgesehene Änderung der Meldedatenverordnung insoweit vorsah, dass bei Aktivierung des Nutzerkontos die vollständigen Meldedatensätze abgerufen werden dürfen. Die Möglichkeit eines solchen vollständigen Meldedatenabrufs würde aber nicht nur systematisch einen Fremdkörper in der Meldedatenverordnung darstellen, welche bislang - feingranular nach der jeweiligen Aufgabenstellung der Datenempfänger ausdifferenziert - nur die Übermittlung enumerativ aufgezählter Meldedaten zulässt, sondern auch inhaltlich höchst sensible Daten umfassen, wie beispielsweise einen Ausschluss von der Wahlberechtigung beziehungsweise Wählbarkeit oder das Vorliegen von Passversagungsgründen (vgl. § 3 Abs. 2 Nr. 1 Buchst. a und Nr. 4 Bundesmeldegesetz). Daher habe ich insoweit gefordert, den Datenfluss nach Aktivierung der Nutzerkonten für die Bürgerinnen und Bürger transparent zu gestalten und vor allem auf das (jeweils) konkret erforderliche Ausmaß zu begrenzen.

7.1.2. Transparente Regelung der Verantwortlichkeiten

Wichtig ist mir aber auch, dass die Verantwortlichkeiten bei der Verarbeitung von personenbezogenen Daten der Bürgerinnen und Bürger transparent und nachvollziehbar sind. Angesichts der Komplexität der vorgesehenen ineinandergreifenden Datenverarbeitungsvorgänge im Zusammenhang mit dem Aufbau des oben angesprochenen Bayerischen Portalverbunds mit seinem zentralen Bürger-Nutzerkonto zur Inanspruchnahme digitaler Verwaltungsleistungen ist dies eine nicht leicht zu bewerkstelligende Aufgabe. Konkret aufeinander abzustimmen sind insoweit nämlich vor allem die geplante Schaffung einer digitalen Identität, welche jeder natürlichen Person das Recht auf staatliche Bereitstellung digitaler Dienste einräumen soll, die Schaffung des Portalverbunds Bayern mit seinen Unterportalen BayernPortal und Organisationsportal Bayern sowie das ebenfalls vorgesehene Nutzerkonto mit seinen Unterformen Bürgerkonto und Organisationskonto. Ansatzpunkt meiner noch andauernden Bemühungen um die Herstellung von mehr Klarheit hinsichtlich der Frage, welche öffentliche Stelle datenschutzrechtlicher Verantwortlicher gemäß Art. 4 Nr. 7 DSGVO für welchen (Teil-)Datenverarbeitungsvorgang innerhalb des Gesamtsystems sein soll, stellt eine im aktuellsten mir bekannten Entwurf enthaltene Regelung dar, welche zwischen Basisdiensten (Verantwortung der nutzenden Behörde) und zentralen Diensten (Verantwortung des bereitstellenden Ressorts) unterscheidet. Was mir an dieser Stelle aus datenschutzrechtlicher Sicht bislang jedoch fehlt, ist eine klare Zuordnung der einzelnen Infrastrukturelemente (Portalverbund Bayern, BayernPortal, Organisationsportal Bayern, Nutzerkonto und digitale Identität) zu den Begrifflichkeiten "Basisdienst" oder "zentraler Dienst", um so eine "Brücke" zu den Verantwortlichkeiten zu bauen. Mir ist an dieser Stelle eine transparente, bürgerfreundliche Regelung besonders wichtig, denn die Betroffenen sollen im Falle eines datenschutzrechtlichen Missstands den Verantwortlichen schnell ermitteln können. Mittlerweile zeichnet sich erfreulicherweise eine Lösung der Problematik über ein "Regel-Ausnahme-Verhältnis" ab, wonach alle Dienste als Basisdienste gelten sollen, außer in den Fällen einer ausdrücklichen Festlegung als zentraler Dienst. Den weiteren Prozess der Erarbeitung des Bayerischen Digitalgesetzes werde ich gerade auch insoweit unverändert aufmerksam begleiten.

7.1.3. Transparenz bei der Beauftragung staatlicher Rechenzentren

In der öffentlichen Verwaltung werden IT-Verfahren zunehmend nicht mehr lokal, sondern stattdessen zentral gebündelt in großen staatlichen Rechenzentren für viele bayerische Behörden betrieben. Den rechtlichen Rahmen hierfür stellen seit dem 25. Mai 2018 die Regelungen zur Auftragsverarbeitung gemäß Art. 28 ff. DSGVO bereit. Vor diesem Zeitpunkt war in Bayern Art. 6 BayDSG in der bis zum 24. Mai 2018 geltenden Fassung maßgeblich. Auf Basis dieser Vorschrift kamen Auftragsverarbeitungen mittels Abschluss entsprechender Verträge zustande. Diese genießen jedoch keinen Bestandsschutz. Auch bestehende Verträge müssen daher an die Anforderungen der Datenschutz-Grundverordnung angepasst werden. Für die im Zuge der Digitalisierung immer wichtiger werdenden staatlichen Rechenzentren bedeutet diese Anpassung jedoch einen nicht unerheblichen Aufwand.

Dieser Aufwand hätte ursprünglich durch den Erlass einer Rechtsverordnung zur Regelung der öffentlich-rechtlichen Auftragsverarbeitungsverhältnisse (siehe hierzu meinen 28. Tätigkeitsbericht 2018 unter Nr. 7.2) verringert werden sollen. Beabsichtigt war insoweit, von der in Art. 28 Abs. 3 Satz 1 Var. 2 DSGVO erstmals enthaltenen Möglichkeit zur Begründung von Auftragsverarbeitungsverhältnissen auf Grundlage eines "anderen Rechtsinstruments nach dem Unionsrecht oder dem Recht der Mitgliedstaaten" Gebrauch zu machen. Hiergegen habe ich im Rahmen meiner Beteiligung am Normsetzungsprozess zwar keine grundsätzlichen Bedenken erhoben, jedoch insbesondere gefordert, dass die inhaltlichen Vorgaben des Art. 28 Abs. 3 DSGVO sich in der geplanten Rechtsverordnung wiederfinden. Wichtig war mir aber auch die Sicherstellung der erforderlichen Transparenz. Insoweit kam es mir zusammengefasst darauf an, dass die Beteiligten im Hinblick auf die in Art. 5 Abs. 2 DSGVO geregelte Rechenschaftspflicht zu jedem Zeitpunkt in der Lage sind, darüber Auskunft zu geben, ob und seit wann, für welche Bereiche und mit welchem Inhalt Auftragsverarbeitungsverhältnisse zwischen ihnen bestehen.

Art. 28 DSGVO

Auftragsverarbeiter

(3) Die Verarbeitung durch einen Auftragsverarbeiter erfolgt auf der Grundlage eines Vertrags oder eines anderen Rechtsinstruments nach dem Unionsrecht oder dem Recht der Mitgliedstaaten, der bzw. das den Auftragsverarbeiter in Bezug auf den Verantwortlichen bindet und in dem Gegenstand und Dauer der Verarbeitung, Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten, die Kategorien betroffener Personen und die Pflichten und Rechte des Verantwortlichen festgelegt sind. Dieser Vertrag bzw. dieses andere Rechtsinstrument sieht insbesondere vor, dass der Auftragsverarbeiter

  1. die personenbezogenen Daten nur auf dokumentierte Weisung des Verantwortlichen — auch in Bezug auf die Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation — verarbeitet, sofern er nicht durch das Recht der Union oder der Mitgliedstaaten, dem der Auftragsverarbeiter unterliegt, hierzu verpflichtet ist; in einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet;
  2. gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen;
  3. alle gemäß Artikel 32 erforderlichen Maßnahmen ergreift;
  4. die in den Absätzen 2 und 4 genannten Bedingungen für die Inanspruchnahme der Dienste eines weiteren Auftragsverarbeiters einhält;
  5. angesichts der Art der Verarbeitung den Verantwortlichen nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen dabei unterstützt, seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der in Kapitel III genannten Rechte der betroffenen Person nachzukommen;
  6. unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen den Verantwortlichen bei der Einhaltung der in den Artikeln 32 bis 36 genannten Pflichten unterstützt;
  7. nach Abschluss der Erbringung der Verarbeitungsleistungen alle personenbezogenen Daten nach Wahl des Verantwortlichen entweder löscht oder zurückgibt und die vorhandenen Kopien löscht, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht;
  8. dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in diesem Artikel niedergelegten Pflichten zur Verfügung stellt und Überprüfungen - einschließlich Inspektionen -, die vom Verantwortlichen oder einem anderen von diesem beauftragten Prüfer durchgeführt werden, ermöglicht und dazu beiträgt.

Mit Blick auf Unterabsatz 1 Buchstabe h informiert der Auftragsverarbeiter den Verantwortlichen unverzüglich, falls er der Auffassung ist, dass eine Weisung gegen diese Verordnung oder gegen andere Datenschutzbestimmungen der Union oder der Mitgliedstaaten verstößt.

In der Folgezeit wurden die Überlegungen zum Erlass einer Rechtsverordnung zur Regelung der öffentlich-rechtlichen Auftragsverarbeitungsverhältnisse jedoch von der Staatsregierung nicht weiter verfolgt und - ohne weitere Abstimmung mit mir - nur für den Bereich des Staatsministeriums der Finanzen und für Heimat in § 3a Verordnung über Organisation und Zuständigkeiten in der Bayerischen Steuerverwaltung (Steuer-Zuständigkeitsverordnung - ZustVSt) eine partielle Regelung für Behörden der Finanzverwaltung sowie Steuerverwaltungstätigkeiten geschaffen. Dieses "andere Rechtsinstrument" enthält in Absatz 1 Satz 3 und Absatz 3 klare Regelungen zur Beendigung bestehender sowie Begründung neuer Auftragsverarbeitungen und greift insoweit meine damaligen Forderungen zur Rechtsverordnung zur Regelung der öffentlich-rechtlichen Auftragsverarbeitungsverhältnisse auf.

§ 3a ZustVSt

Auftragsverarbeitung durch staatliche Rechenzentren

(1) [...] 3Bereits bestehende Auftragsverarbeitungsverhältnisse werden zum 1. Mai 2019 für ungültig erklärt.

[...]

(3) 1Zur Begründung eines Auftragsverarbeitungsverhältnisses teilt der Verantwortliche dem Auftragsverarbeiter in Textform mit

  1. Gegenstand und Dauer der Verarbeitung,
  2. Art und Zweck der Verarbeitung,
  3. die Art der personenbezogenen Daten und
  4. die Kategorien betroffener Personen.

2Satz 1 gilt auch, wenn sich die mitzuteilenden Angaben wesentlich ändern. 3Der Auftragsverarbeiter führt ein Verzeichnis sämtlicher Verarbeitungstätigkeiten, die er als Auftragsverarbeiter ausführt und aus dem sich die Angaben aus Satz 1 ergeben.

Wohl als neuen Anlauf, die oben geschilderte Problematik bei den staatlichen Rechenzentren nun umfassend zu lösen, sah das Bayerische Digitalgesetz zunächst eine Regelung vor, die sich wie folgt zusammenfassen lässt: Durch die tatsächliche Inanspruchnahme einer Auftragsverarbeitung kommt ein "Rechtsverhältnis" zustande, in welches die in Form einer Bekanntmachung der Staatsregierung veröffentlichten Allgemeinen Nutzungsbedingungen zur Verarbeitung personenbezogener Daten im Auftrag in der Verwaltung (Allgemeine Nutzungsbedingungen Auftragsverarbeitungsverhältnis) grundsätzlich automatisch einbezogen werden. Hiergegen habe ich jedoch schwerwiegende datenschutzrechtliche Einwände erhoben. Insbesondere habe ich gefordert, dass die Formerfordernisse des Art. 28 Abs. 9 DSGVO an die Begründung von Auftragsverarbeitungsverhältnissen - schriftliche Abfassung, was auch in einem elektronischen Format möglich ist - nicht durch die Konstruktion eines "Rechtsverhältnisses", hinter dem sich wohl ein formloser konkludenter Vertrag verbergen sollte, umgangen werden dürfen. Besonders wichtig war mir insoweit aber auch wiederum der Hinweis, dass es nicht möglich ist, mittels Abstellen auf eine bloß tatsächliche Inanspruchnahme hinreichend transparent gemäß Art. 5 Abs. 2 DSGVO zu belegen, seit wann, inwieweit und für wie lange die jeweilige Auftragsverarbeitung tatsächlich mit Wissen und Wollen der Beteiligten im Einzelfall besteht.

In der Folgezeit wurde dieser Ansatz dann erfreulicherweise nicht weiter verfolgt. Stattdessen ist nun eine Regelung vorgesehen, welche ausdrücklich klarstellt, dass Auftragsverarbeitungsverhältnisse im staatlichen Bereich grundsätzlich weiterhin auf Basis explizit geschlossener "klassischer" Verträge erfolgen, soweit nicht vorrangige gesetzliche Regelungen (wie etwa der bereits erwähnte § 3a ZustVSt) exisitieren. Zwar halte ich die sich damit abzeichnende Divergenz zwischen der Auftragsverarbeitung in der Steuerverwaltung auf Basis des § 3a ZustVSt als "anderen Rechtsinstruments" und der im Übrigen vertraglichen Abwicklung nicht für besonders glücklich, da ein und derselbe Sachverhalt - Inanspruchnahme von IT-Dienstleistungen durch öffentliche Stellen - dann auf zwei grundverschiedenen Wegen gelöst wird. Diese Grundsatzfrage war von mir aber in spezifisch datenschutzrechtlicher Hinsicht letztlich nicht zu hinterfragen. Gefordert habe ich dagegen aber sehr wohl, Regelungen zu treffen, welche Beginn und Inhalt abgeschlossener Auftragsverarbeitungsverhältnisse transparent und rechtssicher ausgestalten sowie das Schicksal bereits bestehender Auftragsverarbeitungen festlegen. Dem in diesem Zusammenhang weiter verfolgten pragmatischen Ansatz, die Rechte und Pflichten der Parteien zukünftig regelmäßig mittels (dynamischer) Allgemeiner Nutzungsbedingungen Auftragsverarbeitungsverhältnis zu regeln, bin ich nicht grundsätzlich entgegengetreten. Wichtig war mir insoweit aber, dass die inhaltlichen Anforderungen des Art. 28 DSGVO an Verträge über Auftragsverarbeitungen im Ergebnis vollumfänglich erfüllt werden. Da die Erarbeitung der Allgemeinen Nutzungsbedingungen Auftragsverarbeitungsverhältnis noch nicht abgeschlossen ist, werde ich gerade auch diesen Prozess in datenschutzrechtlicher Hinsicht weiterhin aufmerksam begleiten.

7.1.4. Zustimmung ist keine Einwilligung im Sinne derDatenschutz-Grundverordnung

Eine rechtmäßige Verarbeitung personenbezogener Daten ist gemäß Art. 6 Abs. 1 DSGVO nur auf Basis von an dieser Stelle enumerativ aufgezählten Rechtsgrundlagen möglich. Die Einwilligung stellt gemäß Art. 6 Abs. 1 UAbs. 1 Buchst. a DSGVO eine solche Rechtsgrundlage dar. Die Einwilligung ist in Art. 4 Nr. 11 DSGVO legal definiert und in Art. 7 DSGVO inhaltlich weiter ausgeformt. Eine solche Einwilligung ist daher insbesondere nur wirksam, wenn sie freiwillig, informiert und unmissverständlich abgegeben wird. Wird der Begriff Einwilligung in einem Gesetz im datenschutzrechtlichen Sinne verwendet, müssen daher zunächst einmal die gerade erläuterten inhaltlichen Anforderungen erfüllt sein. Ergänzend legt Erwägungsgrund 43 DSGVO aber ganz generell eine zurückhaltende Verwendung der Einwilligung als Rechtsgrundlage für die Verarbeitung personenbezogener Daten durch öffentliche Stellen nahe. Zudem ist die Möglichkeit öffentlicher Stellen, sich für ihr Verwaltungshandeln in zentralen Punkten ihrer Aufgabenerfüllung auf Einwilligungen von Bürgerinnen und Bürgern zu berufen, auch verfassungsrechtlich aus Gewaltenteilungsgründen stark eingeschränkt. Vielmehr müssen sich öffentliche Stellen für die Verarbeitung personenbezogener Daten in der Regel auf gesetzliche Befugnisse stützen können.

Ursprünglich hatte das Bayerische Digitalgesetz insoweit aber in großem Umfang die Einholung von Einwilligungen vorgesehen. Insoweit habe ich nachdrücklich auf die gerade eben erläuterten datenschutzrechtlichen Implikationen aufmerksam gemacht. Zwar habe ich durchaus Verständnis, wenn aus Transparenzgedanken beziehungsweise um die Freiwilligkeit für die Bürgerinnen und Bürger zu unterstreichen, eine positive Willensbekundung erwünscht ist. Jedoch sollte diese Willensbekundung aber anders benannt werden, um Verwechslungen mit der datenschutzrechtlichen Einwilligung von vornherein zu vermeiden. Derzeit zeichnet sich die Verwendung des Begriffs Zustimmung ab. Hiergegen habe ich keine Einwände erhoben, denn damit wird hinreichend klargestellt, dass es nicht um die Einholung von Einwilligungen als eigenständige Rechtsgrundlage für Datenverarbeitungen geht, sondern nur um eine zustimmende Willensbekundung von Bürgerinnen und Bürgern als Tatbestandsmerkmal beziehungsweise Voraussetzung einer Datenverarbeitung auf gesetzlicher Grundlage.

Das Gesetzgebungsverfahren zum Bayerischen Digitalgesetz werde ich auch insoweit weiterhin aufmerksam begleiten.

7.2. Leitfaden zum Outsourcing kommunaler IT

Das Thema IT-Outsourcing bei öffentlichen Stellen, das heißt die Auslagerung von Aufgaben und Verantwortung aus der eigenen IT-Abteilung an einen externen Dienstleister gegen Entgelt, beschäftigt mich seit geraumer Zeit, gerade auch im kommunalen Bereich. Da ich aufgrund der Vielzahl an diesbezüglichen Anfragen und Beratungsbitten davon ausgegangen bin, dass Überlegungen hinsichtlich des Ob und Wie eines solchen IT-Outsourcings nicht nur einzelne Kommunen betreffen, sondern - wenn auch sicher graduell unterschiedlich - bayernweit von immer mehr Kommunen angestellt werden, habe ich einen übergreifenden Abstimmungsprozess zu Grenzen und Voraussetzungen des IT-Outsourings im kommunalen Bereich angestoßen (siehe hierzu bereits meinen 29. Tätigkeitsbericht 2019 unter Nr. 6.3). Die hierzu eingerichtete Arbeitsgruppe beim Bayerischen Staatsministerium des Innern, für Sport und Integration, an der neben mir auch der Bayerische Kommunale Prüfungsverband, das Bayerische Landesamt für Sicherheit in der Informationstechnik, der Bayerische Städtetag und der Bayerische Gemeindetag beteiligt waren, hat inzwischen einen detaillierten Leitfaden erarbeitet, welcher den Kommunen bei der Entscheidung helfen soll, ob und inwieweit ein IT-Outsourcing für sie in Frage kommt und was sie dabei beachten müssen. Dieser Leitfaden steht auf meiner Webseite https://www.datenschutz-bayern.de in der Rubrik "Datenschutzreform 2018 - Orientierungs- und Praxishilfen - Auftragsverarbeitung" als PDF-Datei kostenfrei zum Download bereit.

7.2.1. Rechtliche Einbettung

Dieser Leitfaden ist in rechtlicher Hinsicht zunächst einmal vor dem Hintergrund zu sehen, dass die Kommunen im Rahmen des Art. 28 DSGVO Auftragsverarbeiter einschalten dürfen. Rechtmäßige Auftragsverarbeitungen sind rechtlich privilegiert: Für die Weitergabe personenbezogener Daten an den Auftragsverarbeiter sowie für die Verarbeitung durch diesen ist regelmäßig keine weitere Rechtsgrundlage nach Art. 6 Abs. 1 DSGVO erforderlich als diejenige, auf die der Verantwortliche selbst die Verarbeitung stützt. Die Einholung von Einwilligungen betroffener Bürgerinnen und Bürger in eine Auftragsverarbeitung ist daher grundsätzlich nicht erforderlich, denn die Auftragsverarbeitung entspricht rechtlich dem Einsatz von eigenem Personal des Verantwortlichen. Ein Auftragsverarbeiter ist gerade kein Dritter gemäß Art. 4 Nr. 10 DSGVO. Jedoch müssen die Kommunen insbesondere auf eine sorgfältige Auswahl der Dienstleister achten. Nach Art. 28 Abs. 1 DSGVO darf nämlich nur ein Auftragsverarbeiter ausgewählt werden, der hinreichende Garantien für eine DSGVO-konforme Verarbeitung bietet.

Die von der Datenschutz-Grundverordnung bereitgestellte Auftragsverarbeitung ist jedoch nur ein abstraktes und damit neutrales rechtliches Modell. Auf die losgelöst hiervon zu beantwortende Rechtsfrage, ob und inwieweit von diesem Modell gerade auch für ein IT-Outsourcing im kommunalen Bereich Gebrauch gemacht werden darf, gibt Art. 28 DSGVO keine Antwort. Diese Antwort ist vielmehr außerhalb des Art. 28 DSGVO - in anderen Bestimmungen der Datenschutz-Grundverordnung sowie im nationalen Recht - zu suchen. Maßgeblich zu berücksichtigen ist hierbei, dass die Kommunen aufgrund ihrer breit gefächerten Zuständigkeiten Daten aus den verschiedensten fachlichen Bereichen verarbeiten - teilweise besondere Kategorien personenbezogener Daten nach Art. 9 DSGVO oder Daten, die speziellen fachgesetzlichen Regelungen unterliegen, wie beispielsweise solche aus den Bereichen Meldewesen, Steuern, Personal-, Gesundheits- oder Sozialwesen. Sofern solche bereichsspezifischen Anforderungen bestehen, müssen diese auch im Rahmen der Auftragsverarbeitung beachtet werden. Zur Beurteilung der Frage, ob und inwieweit ein IT-Outsourcing im kommunalen Bereich zulässig ist, sind daher zunächst einmal die Wertungen des nationalen Fachrechts heranzuziehen. Daneben sind aber auch die in Art. 24, 25 und 32 DSGVO enthaltenen Pflichten des Verantwortlichen zu beachten, geeignete technisch-organisatorische Maßnahmen umzusetzen, um eine datenschutzkonforme Verarbeitung zu gewährleisten. Von maßgeblicher Bedeutung ist zudem die Wertung des Art. 33 Abs. 4 Grundgesetz, wonach die Ausübung hoheitsrechtlicher Befugnisse als ständige Aufgabe in der Regel Angehörigen des öffentlichen Dienstes zu übertragen ist, die in einem öffentlich-rechtlichen Dienst- und Treueverhältnis stehen.

Exemplarisch erläutern möchte ich dies anhand des Meldewesens: Im Hinblick auf das Führen des Melderegisters ergeben sich die Grenzen des IT-Outsourcings aus den melderechtlichen Vorgaben. Nach § 2 Abs. 2 Bundesmeldegesetz (BMG) in Verbindung mit Art. 1 Abs. 1 Satz 1 Bayerisches Gesetz zur Ausführung des Bundesmeldegesetzes (BayAGBMG) führen die Gemeinden als Meldebehörden zur Erfüllung ihrer Aufgaben das Melderegister.

§ 2 BMG

Aufgaben und Befugnisse der Meldebehörden

[...]

(2) Die Meldebehörden führen zur Erfüllung ihrer Aufgaben Melderegister. Diese enthalten Daten, die bei der betroffenen Person erhoben, von öffentlichen Stellen übermittelt oder sonst amtlich bekannt werden.

[...]

Art. 1 BayAGBMG

Meldebehörden

(1) 1Meldebehörden sind die Gemeinden. 2Sie nehmen diese Aufgabe im übertragenen Wirkungskreis wahr. 2[...]

Das "Führen" setzt dabei vom Ausgangspunkt her voraus, dass diese Aufgabe in der durch nichts eingeschränkten rechtlichen und faktischen Herrschaft der Meldebehörde erfüllt wird oder aber eine gemäß Art. 3 Abs. 1 BayAGBMG zulässige Übertragung von Aufgaben, die über eine Auftragsverarbeitung hinausgeht, vorliegt. Unterhalb der Schwelle der Aufgabenübertragung nach Art. 3 BayAGBMG besteht die Möglichkeit der Auftragsverarbeitung gemäß Art. 2 Abs. 1 BayAGBMG.

Art. 2 BayAGBMG

Auftragsverarbeitung

(1) 1Verarbeitet ein Auftragsverarbeiter Meldedaten eines Einwohners für mehrere Meldebehörden, so kann er die Daten eines Einwohners in einem Datensatz speichern. 2Dabei muss sichergestellt sein, dass die Meldebehörden auf diesen Datensatz nur im Rahmen ihrer Zuständigkeit zugreifen können.

[...]

Art. 3 BayAGBMG

Übertragung von Aufgaben der Datenverarbeitung

(1) Die Meldebehörden können Aufgaben der Meldedatenverarbeitung, die über eine Auftragsverarbeitung nach Art. 2 hinausgehen, auf andere Meldebehörden, auf Zweckverbände und gemeinsame Kommunalunternehmen oder auf die Anstalt für Kommunale Datenverarbeitung in Bayern (AKDB) übertragen.

[...]

Diese Vorschrift lässt darauf schließen, dass eine Auftragsverarbeitung auch bei Meldedaten die Speicherung der Daten von Einwohnerinnen und Einwohnern umfassen kann. Insoweit bestätigend legt die Allgemeine Verwaltungsvorschrift zur Durchführung des Bundesmeldegesetzes (BMGVwV) in Nr. 2.2.1. unter anderem fest, dass zum Melderegister auch Einwohnerdatenbestände gehören, welche die Meldebehörden bei anderen Stellen im Rahmen der Auftragsdatenverarbeitung führen lassen. Da es sich hierbei um sensible Basisdaten insbesondere zur Identität und zu den Wohnungen von Einwohnerinnen und Einwohnern handelt, hat die für die Datenverarbeitung verantwortliche Gemeinde gerade auch im Falle einer Auslagerung des kompletten Datenbestandes diesem Umstand bei der Festlegung angemessener Sicherheitserfordernisse im Sinne der Art. 24, 25, 32 DSGVO sowie des Art. 28 DSGVO besonders Rechnung zu tragen. Sofern die Daten daher nicht in den Räumen der zuständigen Gemeinde verarbeitet und keine eigenen Speicherressourcen eingesetzt werden, ist besonderes Augenmerk auf die Datensicherheit zu legen.

Bei Erarbeitung des Leitfadens galt es, für die erläuterten abstrakten Gesichtspunkte bei den vielgestaltigen Facetten des kommunalen IT-Outsourcings eine in der Praxis handhabbare konkrete Form zu finden.

7.2.2. Erläuterung zentraler technisch-organisatorischer Kriterien

Im Folgenden sollen in komprimierter Form einige zentrale technisch-organisatorische Anforderung an Planung, Vergabe und Umsetzung eines kommunalen IT-Outsourcings dargestellt werden. Dabei wird zunächst eine mögliche Vorgehensweise vorgestellt, danach werden wichtige technische Aspekte betrachtet. Im Anschluss wird auf die speziellen Herausforderungen gerade für kleinere Kommunen eingegangen, die oftmals wegen nicht ausreichender personeller Ressourcen weiterer Unterstützung bedürfen. Abschließend finden sich Arbeitserleichterungen, wenn von Auftragsverarbeitern Sicherheitszertifikate oder Testate vorgelegt werden können.

7.2.2.1. Vorgehensweise

Vor Ausschreibung und Beauftragung eines IT-Outsourcings sind regelmäßig folgende Schritte durchzuführen, um den Pflichten eines Verantwortlichen adäquat nachzukommen:

  • Schritt 1: Benennung technisch versierter Ansprechpartnerinnen und Ansprechpartner

Zunächst bedarf es auf Seiten der öffentlichen Stelle technisch versierter Ansprechpartnerinnen und Ansprechpartner, welche die Planung und die Beauftragung beim IT-Outsourcing unterstützen, sowie idealerweise später als Ansprechpartnerinnen und Ansprechpartner für den Auftragsverarbeiter dienen.

  • Schritt 2: Szenario

Zur Planung der Auslagerung muss nun zunächst das Auslagerungsszenario so konkret wie möglich festgehalten werden. Dabei sind sowohl Art und Umfang der Auslagerung festzulegen, wie auch zu bestimmen, welche Datenkategorien davon betroffen sein sollen.

Gängige IT-Outsourcing-Varianten sind beispielsweise:

  1. Webhosting,
  2. Betreuung der lokalen IT-Infrastruktur,
  3. Rechenzentrumsbetrieb,
  4. Betrieb Fachanwendungen (auch als Webanwendung).

Bis auf Variante 2 sind diese IT-Outsourcing-Varianten auch als Cloud-Auslagerungsszenarien denkbar. Allerdings entstehen mit der Auslagerung in die Cloud unter Umständen weitere Herausforderungen durch Cloud-spezifische Aspekte. Hierzu zählen beispielsweise die Verteilung auf mehrere Rechenzentren, deren Standorte und Beschäftigte unter Umständen weltweit verteilt sein können, oder der Betrieb durch eine Firma außerhalb des Geltungsbereichs der Datenschutz-Grundverordnung. Hierdurch ergeben sich weitere rechtliche und technische Herausforderungen. Diese sind nicht Gegenstand der aktuellen Fassung des Leitfadens. Dies schließt eine Cloud - Nutzung beim IT-Outsourcing nicht aus, erfordert allerdings zusätzlichen Aufwand auf Seiten der Kommune, um die Cloud - spezifischen Aspekte ebenfalls zu berücksichtigen. Die neuen Leitlinien des Europäischen Datenschutzausschusses (EDSA) zu Schrems II und neue Standarddatenschutzklauseln, können bei diesen Cloud-spezifischen Herausforderungen unterstützen.

  • Schritt 3: Schutzbedarf

Anhand der Daten, die ausgelagert werden sollen, muss der Schutzbedarf nach dem Maximalprinzip festgelegt werden. Somit ist, falls für eine Datenkategorie der Schutzbedarf als hoch ermittelt worden ist, der Schutzbedarf insgesamt, für alle damit zusammenhängenden Daten und/oder Verarbeitungsvorgänge, als hoch zu bewerten. Datenkategorien mit einem hohen Schutzbedarf sind aus der Sicht des Datenschutzes beispielsweise Daten nach Art. 9 DSGVO oder Daten, die spezialgesetzlichen Anforderungen unterliegen.

  • Schritt 4: Datenschutz-Folgenabschätzung.

Da durch eine Auslagerung zu einem IT-Dienstleister die technischen Gegebenheiten verändert werden, muss anhand einer Erforderlichkeitsprüfung festgestellt werden, ob diese neuen Aspekte dazu führen, dass eine Datenschutz-Folgenabschätzung für die auszulagernden Verarbeitungen erforderlich wird.

  • Schritt 5: Sorgfältige Auswahl des IT-Dienstleisters.

Für die sorgfältige Auswahl des Auftragsverarbeiters können mehrere Kriterien hilfreich sein. Unerlässlich ist ein ausführliches Sicherheitskonzept, das der Kommune vorgelegt werden muss. Hierbei hat die Kommune zu prüfen, ob die anzuwendenden Punkte des Anforderungskonzepts adäquat umgesetzt sind. Für gegebenenfalls fehlende Aspekte können vertragliche Zusatzvereinbarungen getroffen werden. Eine vorhandene Sicherheitszertifizierung, ein aktueller Bericht beziehungsweise ein Testat zu einem Sicherheitsaudit können zusätzlich bei der Auswahl unterstützen. Zukünftig können derzeit noch nicht vorhandene Zertifizierungen nach Art. 42 DSGVO oder genehmigte Verhaltensregeln nach Art. 41 DSGVO hilfreiche Werkzeuge darstellen.

7.2.2.2. Besonders hervorzuhebende technisch-organisatorische Aspekte

Der Anforderungskatalog listet neben den rechtlichen Gegebenheiten auch technische und organisatorische Maßnahmen auf, die bei der Beauftragung eines IT-Outsourcings zur Erreichung der IT-Sicherheitsziele von Vertraulichkeit, Verfügbarkeit und Integrität durch den Auftragnehmer zu ergreifen sind. Des Weiteren listet er Anforderungen auf, die erforderlich sind, um die notwendigen Rechenschaftspflichten zu erfüllen. Die dort gelisteten technischen Anforderungen stellen keinen abschließenden Prüfkatalog für die Prüfung der durch den Auftragsverarbeiter getroffenen Sicherheitsmaßnahmen dar, sondern heben vielmehr die Anforderungen hervor, die auf Grund kommunaler Besonderheiten besondere Berücksichtigung bei einer (Teil-)Auslagerung der IT finden müssen.

Die Anforderungen beziehen sich hauptsächlich - aber nicht ausschließlich - auf das Szenario eines externen Rechenzentrumsbetriebs für Kommunen. Für andere Szenarien können Anforderungen nicht relevant sein oder auch weitere hinzukommen (etwa für die Auslagerung in die Cloud).

Die Anforderungen wurden zusammengestellt im Hinblick auf die Verarbeitung sensibler Bürgerdaten durch die Kommune, die jederzeit die Vertraulichkeit, aber auch den notwenigen Zugriff auf diese Daten sicherstellen muss. Im Katalog finden sich konkrete Anforderungen an die Technik, die dort kurz beschrieben sind. Es finden sich Anforderungen für einen normalen Schutzbedarf, aber auch Anforderungen, falls Daten mit hohem Schutzbedarf ausgelagert werden sollen. Die Anforderungen sind im Katalog dementsprechend gekennzeichnet. Zu jeder relevanten Anforderung muss der Dienstleister konkrete technische Maßnahmen vorweisen können. Gegebenenfalls ist es sinnvoll, dem Anbieter die Anforderungen vorzulegen, so dass dieser seine Maßnahmen hierzu erläutern kann.

Zu folgenden Aspekten finden sich Hinweise im Anforderungskatalog:

  • Verfügbarkeit: Hierzu gehören unter anderem physischer Schutz der Gebäude, Räume und Rechner und Zugangssicherung zur Sicherstellung der Verfügbarkeit; Wiederherstellbarkeit und Ausfallsicherheit; Patchmanagement;
  • Vertraulichkeit: Insbesondere Trennung der IT-Dienstleistungen; Datenverschlüsselung; Sicherstellung der Vertraulichkeit bei Backup und Datenarchivierung; Zugänge und Berechtigungen; Fremd- und Fernwartung;
  • Integrität: beispielweise Protokollierung von Änderungen;
  • Rechenschaftspflichten: unter anderem Zertifizierungen; Dokumentation IT-Sicherheits- und Datenschutzvorfälle, Audits/Kontrollen/Zugang, Penetrationstests.

Da es für IT-Dienstleister eher unüblich ist, Maßnahmen für den Fall der eigenen Insolvenz anzubieten, wird dieser Aspekt hier gesondert aufgegriffen: Die Kommune muss jederzeit sicherstellen können, dass sie auf die eigenen Daten Zugriff hat. Hierzu sind neben den üblichen Maßnahmen zum Ausfall von Servern oder auch der Kommunikationsleitung zum Anbieter die Aspekte einer möglichen Insolvenz zu berücksichtigen. Zur Absicherung für den Insolvenzfall gibt es mehrere Möglichkeiten, beispielsweise die Spiegelung der Daten der Gemeinde auf einem im Eigentum der Gemeinde befindlichen Server, der beispielsweise im Rechenzentrum des Anbieters, eines anderen Anbieters oder einem geeigneten Raums bei der Gemeinde untergebracht ist.

7.2.2.3. Unterstützung für kleinere Kommunen

Kleinere Kommunen fühlen sich eventuell auf Grund mangelnder personeller Ressourcen von den im IT-Outsourcing-Leitfaden formulierten Anforderungen auf den ersten Blick überfordert. Auf Grund der rechtlich normierten Verpflichtungen durch die Datenschutz-Grundverordnung und die oben genannten weiteren rechtlichen Regelungen, können kleinere Kommunen allerdings nicht völlig aus diesen Verpflichtungen entlassen werden. Um die notwendigen Schritte für ein IT-Outsourcing trotzdem durchführen zu können, sei auf die Möglichkeiten der kommunalen Zusammenarbeit wie beispielsweise der Zusammenschluss mehrerer Kommunen zur Gründung eines eigenen IT-Dienstleisters (etwa im Rahmen eines Zweckverbands oder gemeinsamen Kommunalunternehmens), auf die Nutzung eines bereits bestehenden kommunalen Rechenzentrums oder IT-Dienstleisters hingewiesen sowie auf die mögliche Zusammenarbeit mehrerer Kommunen, die denselben Dienstleister beauftragen wollen. Zudem sollten die Arbeitserleichterungen, die im folgenden Abschnitt erläutert werden, möglichst genutzt werden.

7.2.2.4. Arbeitserleichterungen

Soll ein IT-Dienstleister beauftragt werden, der nach der Norm ISO 27001 zertifiziert ist, so kann die Kommune dadurch den Aufwand, der sich durch die jährlich notwendige Kontrolle des Dienstleisters ergibt, deutlich reduzieren. Zu beachten ist allerdings, dass eine Zertifizierung nach dieser Norm zwar die Kontrollpflicht beim Auftraggeber reduziert, nicht aber von der sorgfältigen Auswahl des Dienstleisters befreit. Hierzu gehört nicht nur die Überprüfung, ob der Untersuchungsgegenstand der Zertifizierung anwendbar ist, sondern auch, dass gegebenenfalls weitere technische Anforderungen aus diesem Anforderungskatalog vertraglich zu vereinbaren sind.

Auf die Kontrollen der vom Dienstleister ergriffenen technisch-organisatorischen Maßnahmen selbst kann in diesem Fall verzichtet werden. Dies ist dadurch begründet, dass ein akkreditierter Auditor das Erstaudit sowie nach drei Jahren ein Rezertifizierungsaudit und zusätzlich jährliche Überwachungsaudits durchführt. Im Erstaudit überprüft der Auditor den Dienstleister zunächst im Rahmen einer Dokumentenprüfung formale und inhaltliche Aspekte des Informationssicherheitsmanagements (ISMS), danach erfolgt vor Ort die Prüfung der Umsetzung der in den Dokumenten niedergelegten Maßnahmen. Bei erfolgreicher Prüfung erfolgt die Ausstellung des Zertifikats. Im Rahmen des ersten und zweiten Überwachungsaudits wird im Wesentlichen auf Basis der Kenntnisse aus dem Erstaudit die Weiterentwicklung des ISMS geprüft. Hiermit soll sichergestellt werden, dass das ISMS wie dokumentiert während der gesamten Gültigkeitsdauert des Zertifikats betrieben wird. Nach drei Jahren erfolgt üblicherweise eine umfangreiche Rezertifizierung Im Rahmen der Rezertifizierung wird das Audit mit dem gleichen Vorgehen wie bei der Erstzertifizierung durchgeführt., der Auditor überprüft hierbei üblicherweise die Dokumente und die Umsetzung erneut, ohne dabei auf Wissen aus dem Erstaudit zurückzugreifen. Die Kommune muss damit bei einem nach dieser Norm zertifizierten Dienstleister lediglich überprüfen, ob eine Rezertifizierung durchgeführt wird. Entfällt die Rezertifizierung ist die Kommune wieder kontrollpflichtig.

Als weitere Arbeitserleichterung für die Auswahl des Dienstleisters wurde im Anhang des Anforderungskatalogs dargestellt, wie sich eine Zertifizierung des Dienstleisters nach ISO 27001 auf Basis von IT-Grundschutz und ein Testat eines Prüfers über die Einhaltung der BSI Cloud Computing Compliance Criteria Catalogue (kurz: BSI C5) arbeitserleichternd auf die Überprüfung der technischen Anforderungen auswirken kann. Hierbei wird dargestellt, ob Anforderungen zur Gänze, teilweise oder nicht erfüllt sind, wenn eine Zertifizierung nach ISO 27001 (mit IT-Grundschutz) oder ein Testat nach BSI C5 vorliegt. Die Anforderung "physischer Schutz der Gebäude, Räume und Rechner und Zugangssicherung zur Sicherstellung der Verfügbarkeit" ist beispielsweise bei beiden Standards zur Gänze erfüllt, wohingegen bei der Anforderung "Wiederherstellbarkeit und Ausfallsicherheit" weitere Betrachtungen der Anforderung notwendig sind. Der Anhang gibt hier konkrete noch offene Anforderungen an.

Für den Fall der Zertifizierung des IT-Dienstleisters nach ISO 27001 ist die Anwendung dieser Arbeitserleichterung jedoch nur möglich, falls der Untersuchungsgegenstand der Zertifizierung das geplante Auslagerungsszenario vollumfänglich - also auch mit dem notwendigen Schutzbedarf - umfasst. Dieser Untersuchungsgegenstand wird bei der Veröffentlichung des Zertifikats auf den Web-Seiten der jeweiligen Zertifizierungsstelle angegeben und ist dort nachlesbar.

7.3. Datenschutz im Standesamt: Unzulässigkeit einer regelhaften Anfertigung von Personalausweis- und Reisepasskopien bei der Anmeldung von Eheschließungen

In einem Standesamt fertigten Bedienstete regelmäßig Kopien der amtlichen Ausweisdokumente (Personalausweis, Reisepass) von Bürgerinnen und Bürgern, die dort wegen einer Eheschließung vorstellig wurden. Dadurch sollte bei einem Sachbearbeiterwechsel eine unproblematische Weiterarbeit erleichtert werden. Aus datenschutzrechtlicher Sicht habe ich diese Praxis wie folgt bewertet:

7.3.1. Fehlen einer gesetzlichen Befugnis für die Datenverarbeitung

Die Anfertigung und Speicherung von Kopien amtlicher Ausweise ist eine Verarbeitung personenbezogener Daten (vgl. Art. 4 Nr. 2 DSGVO), für deren Rechtmäßigkeit eine Rechtsgrundlage notwendig ist (vgl. Art. 6 Abs. 1 DSGVO). Öffentliche Stellen stützen sich bei ihren Datenverarbeitungen regelmäßig auf eine gesetzliche Verarbeitungsbefugnis. Nach Art. 6 Abs. 1 UAbs. 1 Buchst. e, Abs. 3 UAbs. 1 Buchst. b DSGVO werden solche Befugnisse im nationalen Recht geregelt. Da für die Datenverarbeitung keine (vorrangige) bereichsspezifische Rechtsgrundlage ersichtlich war (vgl. Art. 1 Abs. 5 BayDSG), kam als Verarbeitungsbefugnis allein Art. 4 Abs. 1 BayDSG in Betracht. Insoweit fehlte es aber an der Erforderlichkeit zur Aufgabenerfüllung.

Art. 4 BayDSG

Rechtmäßigkeit der Verarbeitung(1) Die Verarbeitung personenbezogener Daten durch eine öffentliche Stelle ist unbeschadet sonstiger Bestimmungen zulässig, wenn sie zur Erfüllung einer ihr obliegenden Aufgabe erforderlich ist.

[...]

Das Standesamt hat nach dem Personenstandsgesetz (PStG) und der Verordnung zur Ausführung des Personenstandsgesetzes (PStV) die Aufgabe, die Eheschließung vorzubereiten, vorzunehmen und zu beurkunden. Welche Nachweise Eheschließende bei der Anmeldung der Eheschließung mittels öffentlicher Urkunden zu erbringen haben legt § 12 Abs. 2 PStG fest.

§ 12 PStGAnmeldung der Eheschließung

[...]

(2) Die Eheschließenden haben bei der Anmeldung der Eheschließung durch öffentliche Urkunden nachzuweisen

  1. ihren Personenstand,
  2. ihren Wohnsitz oder gewöhnlichen Aufenthalt,
  3. ihre Staatsangehörigkeit,
  4. wenn sie schon verheiratet waren oder eine Lebenspartnerschaft begründet hatten, die letzte Eheschließung oder Begründung der Lebenspartnerschaft sowie die Auflösung dieser Ehe oder Lebenspartnerschaft. Ist die letzte Ehe oder Lebenspartnerschaft nicht bei einem deutschen Standesamt geschlossen worden, so ist auch die Auflösung etwaiger weiterer Vorehen oder Lebenspartnerschaften nachzuweisen, wenn eine entsprechende Prüfung nicht bereits von einem deutschen Standesamt bei einer früheren Eheschließung oder Begründung einer Lebenspartnerschaft durchgeführt worden ist.

[...]

Nr. 12.4.1 Allgemeine Verwaltungsvorschrift zum Personenstandsgesetz (PStG-VwV) sieht insoweit konkretisierend vor, dass insbesondere ein Reisepass oder Personalausweis oder ein sonstiger mit Lichtbild versehener amtlicher Ausweis zur Prüfung der Ehevoraussetzungen dienen kann. Korrespondierend bestimmt § 8 Abs. 1 Satz 1 PStV, dass zur Prüfung der deutschen Staatsangehörigkeit der Personalausweis oder der Reisepass oder eine erweiterte Bescheinigung der Meldebehörde, aus der sich die Staatsangehörigkeit ergibt, vorzulegen ist.

§ 8 PStVPrüfung der Staatsangehörigkeit

(1) Zur Prüfung der deutschen Staatsangehörigkeit ist Folgendes vorzulegen:

  1. der Personalausweis oder der Reisepass oder
  2. eine erweiterte Bescheinigung der Meldebehörde, aus der sich die Staatsangehörigkeit ergibt.

Bestehen danach Zweifel an der deutschen Staatsangehörigkeit, ist eine Staatsangehörigkeitsurkunde vorzulegen.

[...]

Zur Prüfung des Vorliegens der Ehevoraussetzungen genügt jedoch die Einsichtnahme in den Personalausweis oder Reisepass und die Anfertigung eines Aktenvermerks hierüber oder die entsprechende Dokumentation in der Niederschrift über die Anmeldung der Eheschließung (vgl. Nr. 12.5.1 PStG-VwV). Dies korrespondiert mit den Vorgaben des § 4 Abs. 1 PStV.

§ 4 PStVRückgabe von Urkunden

(1) Von den Beteiligten vorgelegte Urkunden, die nicht ausdrücklich zur Vorlage beim Standesamt ausgestellt worden sind, sollen ihnen zurückgegeben werden. Von Urkunden, die nicht jederzeit wieder beschafft werden können, soll das Standesamt eine Abschrift oder Ablichtung zurückbehalten, die zu beglaubigen ist; bei Übertragung in ein elektronisches Dokument genügt ein Vermerk, der angibt, wann und durch wen die Übertragung vorgenommen worden ist.

[...]

Insbesondere kann auch § 4 Abs. 1 Satz 2 Halbsatz 1 PStV die regelmäßige Anfertigung von Kopien von Ausweisdokumenten nicht legitimieren, denn Personalausweis und Reisepass sind keine Urkunden, die nicht jederzeit wieder beschafft werden können. Das Standesamt kann sich im Bedarfsfall vielmehr das jeweilige Ausweisdokument jederzeit wieder vorlegen lassen.

7.3.2. Auch Einwilligung kein Mittel zur beliebigen Erweiterung der Datenerhebungsbefugnis

Soweit der mit einer Datenverarbeitung verbundene Eingriff im gesetzlich festgelegten Aufgabenbereich einer öffentlichen Stelle liegt, scheidet die Einholung von Einwilligungen der Antragstellerinnen und Antragsteller (vgl. Art. 6 Abs. 1 UAbs. 1 Buchst. a DSGVO) zur Erweiterung gesetzlich beschränkter Befugnisse aus. Vielmehr müssen angesichts des verfassungsrechtlichen Gesetzesvorbehalts wesentliche Eingriffe in die Grundrechte der Bürgerinnen und Bürger vom (Parlaments-)Gesetzgeber geregelt werden. Bayerische öffentliche Stellen können daher personenbezogene Daten auf der Grundlage von Einwilligungen nur in Ausnahmefällen verarbeiten. Die Einwilligung stellt gerade kein Mittel dar, um öffentlichen Stellen pauschal die Möglichkeit zu geben, auch außerhalb ihrer gesetzlich festgelegten Befugnisse grundrechtsrelevant tätig zu werden. Dass dies gerade auch für die regelhafte Einholung von Einwilligungen in eine Anfertigung von Kopien amtlicher Ausweisdokumente gilt, habe ich bereits in meinem 29. Tätigkeitsbericht 2020 unter Nr. 5.6 ausführlich dargelegt.

7.3.3. Ergebnis

Die regelmäßige Anfertigung von Kopien amtlicher Ausweisdokumente durch Standesämter bei der Anmeldung von Eheschließungen ist auch bei Vorliegen entsprechender Einwilligungen der Betroffenen datenschutzrechtlich nicht zulässig.

7.4. Datenschutz im Standesamt: Unzulässigkeit einer regelhaften Betreuerinformation über die Anmeldung betreuter Personen zur Eheschließung

Ein Betreuerausweis legt offen, dass für den Betroffenen eine Betreuerin beziehungsweise ein Betreuer bestellt ist. Dem Betreuerausweis ist dagegen nicht zu entnehmen, ob und inwieweit die Betreffenden geschäftsunfähig sind. Der Gesetzgeber hat vielmehr die Betreuung in ihren Voraussetzungen bewusst von der Frage der Geschäftsunfähigkeit gelöst, so dass die Bestellung eines Betreuers auch für geschäftsfähige Personen in Frage kommt. Durch eine bei mir eingereichte Beschwerde bin ich nun darauf aufmerksam geworden, dass Bedienstete eines Standesamts bei Kenntnis von der Existenz eines Betreuungsausweises regelmäßig die Betreuer von der Heiratsabsicht der Betreuten in Kenntnis gesetzt haben. Aus datenschutzrechtlicher Sicht habe ich dies wie folgt bewertet:

Die Mitteilung der Heiratsabsicht einer betreuten Person durch die Gemeinde an deren Betreuerin oder Betreuer stellt eine Übermittlung personenbezogener Daten an eine nichtöffentliche Stelle dar, für welche die Gemeinde eine Rechtsgrundlage benötigt (vgl. Art. 6 Abs. 1 DSGVO). Öffentliche Stellen sollen sich bei ihren Datenverarbeitungen grundsätzlich auf eine gesetzliche Verarbeitungsbefugnis stützen. Nach Art. 6 Abs. 1 UAbs. 1 Buchst. e, Abs. 3 UAbs. 1 Buchst. b DSGVO haben die Mitgliedstaaten die Möglichkeit, nationale Rechtsgrundlagen für die Verarbeitung personenbezogener Daten zu schaffen. Da für die geschilderte Datenverarbeitung keine (vorrangige) bereichsspezifische Rechtsgrundlage vorhanden war (vgl. Art. 1 Abs. 5 BayDSG), kam als Übermittlungsbefugnis allein Art. 5 Abs. 1 BayDSG in Betracht. Insoweit fehlte es allerdings an der Erforderlichkeit einer regelmäßigen Datenübermittlung an die Betreuer zur Aufgabenerfüllung des Standesamts (Art. 5 Abs. 1 Satz 1 Nr. 1 Var. 1 BayDSG). Auch die Voraussetzungen des Art. 5 Abs. 1 Satz 1 Nr. 2 BayDSG lagen schon deshalb nicht vor, da diese Norm nicht auf eine eigeninitiativ erfolgende pauschale regelhafte Übermittlung von Daten durch eine öffentliche Stelle an eine nichtöffentliche Stelle zugeschnitten ist. Die Norm setzt vielmehr zunächst voraus, dass die nicht-öffentliche Stelle zunächst ein berechtigtes Interesse glaubhaft macht. Bereits daran fehlte es.

Art. 5 BayDSG

Übermittlung(1) 1Eine Übermittlung personenbezogener Daten ist zulässig, wenn

  1. sie zur Erfüllung einer der übermittelnden oder der empfangenden öffentlichen Stelle obliegenden Aufgabe erforderlich ist oder
  2. der Empfänger eine nicht öffentliche Stelle ist, diese Stelle ein berechtigtes Interesse an ihrer Kenntnis glaubhaft darlegt und die betroffene Person kein schutzwürdiges Interesse an dem Ausschluss der Übermittlung hat; dies gilt auch, soweit die Daten zu anderen Zwecken als denjenigen, zu denen sie erhoben wurden, übermittelt werden.

2Bei einer Übermittlung nach Satz 1 Nr. 2 darf der Empfänger die übermittelten Daten nur für den Zweck verarbeiten, zu dem sie ihm übermittelt wurden.

Das Standesamt hat nach dem Personenstandsgesetz (PStG) und der Verordnung zur Ausführung des Personenstandsgesetzes (PStV) die Aufgabe, die Eheschließung vorzubereiten, vorzunehmen und zu beurkunden. Hierbei hat das Standesamt zu prüfen, ob der Eheschließung ein Hindernis entgegensteht (vgl. § 13 Abs. 1 Satz 1 PStG). Zur Ehefähigkeit gehört auch die Geschäftsfähigkeit (vgl. §§ 1304, 104 Bürgerliches Gesetzbuch - BGB). Jedoch begründet wie bereits eingangs dargestellt, die Bestellung eines Betreuers nicht notwendig die Geschäftsunfähigkeit der oder des Betreuten. Dementsprechend bestimmt Nr. 13.2.4 Satz 1 Allgemeine Verwaltungsvorschrift zum Personenstandsgesetz (PStG-VwV), dass ein Volljähriger, für den ein Betreuer bestellt ist, die Ehe schließen kann, wenn er geschäftsfähig ist. Für die Willenserklärung zur Eingehung der Ehe bedarf er nicht der Einwilligung des Betreuers (vgl. Nr. 13.2.4 Satz 2 PStG-VwV).

Gleichwohl kann die Tatsache der Betreuung aber durchaus ein Indiz für das Fehlen der Geschäftsfähigkeit darstellen und daher im Zusammenspiel mit hinzukommenden Auffälligkeiten weitere eigene Ermittlungen des Standesamts rechtfertigen. Vor diesem Hintergrund ist bei weiteren Auffälligkeiten auch eine Anfrage bei der Betreuerin oder dem Betreuer mit dem Zweck denkbar zu erfragen, ob dieser Informationen im Hinblick auf eine etwaige Geschäftsunfähigkeit der betreuten Person hat. Die bloße Kenntnis von der Betreuung einer sich zur Eheschließung anmeldenden Person berechtigt das Standesamt dagegen nicht, die Betreuerin oder den Betreuer regelhaft und ohne Vorliegen weiterer Auffälligkeiten über eine Anmeldung zur Eheschließung zu unterrichten.

7.5. Datenschutz im Standesamt: Verfahren bei Zweifeln an der Echtheit vorgelegter Urkunden

Im Berichtszeitraum wurde ich bei folgender Frage um datenschutzrechtliche Beratung gebeten: Darf sich das Standesamt bei seiner Beurkundungstätigkeit nach dem Personenstandsgesetz in Fällen, in denen Dokumente aus Herkunftsländern mit unsicherem Urkundswesen vorgelegt werden, hilfesuchend an das Ausländeramt wenden und gestützt auf die allgemeine Vorschrift des Art. 4 BayDSG Kopien der dort zu den betreffenden Personen vorhandenen ausländerrechtlichen Dokumente und Urkunden erheben? Hierzu habe ich aus datenschutzrechtlicher Sicht folgende Hinweise gegeben:

Welche Nachweise von Betroffenen für die Beurkundungstätigkeit des Standesamts vorzulegen sind, ist abschließend in den bereichsspezifischen Bestimmungen der §§ 9 ff. Personenstandsgesetz (PStG) geregelt. Exemplarisch ist hinsichtlich der Beurkundung von Eheschließungen auf §§ 12 Abs. 2, 13 Abs. 1 und 2 PStG und hinsichtlich des Erwerbs der deutschen Staatsangehörigkeit von Kindern ausländischer Eltern auf § 34 Abs. 1 und 2 Personenstandsverordnung (PStV) hinzuweisen.

§ 12 PStG

Anmeldung der Eheschließung

(1) Die Eheschließenden haben die beabsichtigte Eheschließung mündlich oder schriftlich bei einem Standesamt, in dessen Zuständigkeitsbereich einer der Eheschließenden seinen Wohnsitz oder seinen gewöhnlichen Aufenthalt hat, anzumelden. Hat keiner der Eheschließenden Wohnsitz oder gewöhnlichen Aufenthalt im Inland, so ist das Standesamt, vor dem die Ehe geschlossen werden soll, für die Entgegennahme der Anmeldung zuständig.

(2) Die Eheschließenden haben bei der Anmeldung der Eheschließung durch öffentliche Urkunden nachzuweisen

  1. ihren Personenstand,
  2. ihren Wohnsitz oder gewöhnlichen Aufenthalt,
  3. ihre Staatsangehörigkeit,
  4. wenn sie schon verheiratet waren oder eine Lebenspartnerschaft begründet hatten, die letzte Eheschließung oder Begründung der Lebenspartnerschaft sowie die Auflösung dieser Ehe oder Lebenspartnerschaft. Ist die letzte Ehe oder Lebenspartnerschaft nicht bei einem deutschen Standesamt geschlossen worden, so ist auch die Auflösung etwaiger weiterer Vorehen oder Lebenspartnerschaften nachzuweisen, wenn eine entsprechende Prüfung nicht bereits von einem deutschen Standesamt bei einer früheren Eheschließung oder Begründung einer Lebenspartnerschaft durchgeführt worden ist.

§ 13 PStG

Prüfung der Ehevoraussetzungen

(1) Das Standesamt, bei dem die Eheschließung angemeldet ist, hat zu prüfen, ob der Eheschließung ein Hindernis entgegensteht. Reichen die nach § 12 Abs. 2 vorgelegten Urkunden nicht aus, so haben die Eheschließenden weitere Urkunden oder sonstige Nachweise vorzulegen.

(2) Bestehen konkrete Anhaltspunkte dafür, dass die zu schließende Ehe nach § 1314 Abs. 2 des Bürgerlichen Gesetzbuchs aufhebbar wäre, so können die Eheschließenden in dem hierzu erforderlichen Umfang einzeln oder gemeinsam befragt werden; zum Beleg der Angaben kann ihnen die Beibringung geeigneter Nachweise aufgegeben werden. Wenn diese Mittel nicht zur Aufklärung des Sachverhalts führen, so kann auch eine Versicherung an Eides statt über Tatsachen verlangt werden, die für das Vorliegen oder Nichtvorliegen von Aufhebungsgründen von Bedeutung sind.

§ 34 PStG

Eheschließungen im Ausland oder vor ermächtigten Personen im Inland

(1) Hat ein Deutscher im Ausland die Ehe geschlossen, so kann die Eheschließung auf Antrag im Eheregister beurkundet werden; für den Besitz der deutschen Staatsangehörigkeit ist der Zeitpunkt der Antragstellung maßgebend. Die §§ 3 bis 7, 9, 10, 15 und 16 gelten entsprechend. Gleiches gilt für Staatenlose, heimatlose Ausländer und ausländische Flüchtlinge im Sinne des Abkommens über die Rechtsstellung der Flüchtlinge vom 28. Juli 1951 (BGBl. 1953 II S. 559) mit gewöhnlichem Aufenthalt im Inland. Antragsberechtigt sind die Ehegatten, sind beide verstorben, deren Eltern und Kinder.

(2) Die Beurkundung der Eheschließung nach Absatz 1 erfolgt auch dann, wenn die Ehe im Inland zwischen Eheschließenden, von denen keiner Deutscher ist, vor einer von der Regierung des Staates, dem einer der Eheschließenden angehört, ordnungsgemäß ermächtigten Person in der nach dem Recht dieses Staates vorgeschriebenen Form geschlossen worden ist.

In den in § 9 Abs. 2 PStG genannten Fällen kann das Standesamt zum Nachweis von für die Beurkundung erheblichen tatsächlichen Behauptungen der Betroffenen von diesen oder anderen Personen die Abnahme einer Versicherung an Eides statt verlangen.

§ 9 PStG

Beurkundungsgrundlagen

(1) Eintragungen in den Personenstandsregistern werden auf Grund von Anzeigen, Anordnungen, Erklärungen, Mitteilungen und eigenen Ermittlungen des Standesamts sowie von Einträgen in anderen Personenstandsregistern, Personenstandsurkunden oder sonstigen öffentlichen Urkunden vorgenommen.

(2) Ist den zur Beibringung von Nachweisen Verpflichteten die Beschaffung öffentlicher Urkunden nicht oder nur mit erheblichen Schwierigkeiten oder unverhältnismäßig hohen Kosten möglich, so können auch andere Urkunden als Beurkundungsgrundlage dienen. Sind auch diese nicht einfacher zu beschaffen als die erforderlichen öffentlichen Urkunden oder können die für die Beurkundung erheblichen tatsächlichen Behauptungen der Betroffenen weder durch öffentliche noch durch andere Urkunden nachgewiesen werden, so kann der Standesbeamte zum Nachweis dieser Tatsachen Versicherungen an Eides statt der Betroffenen oder anderer Personen verlangen und abnehmen.

Daneben können die bayerischen Standesämter gemäß § 22 Meldedatenverordnung (MeldDV) zur Erfüllung ihrer Aufgaben nach dem Personenstandsgesetz und der Personenstandsverordnung auch die dort aufgezählten Daten aus dem nach Art. 7 Abs. 1 Bayerisches Gesetz zur Ausführung des Bundesmeldegesetzes geschaffenen zentralen Meldedatenbestand abrufen (zum Umfang des Meldedatensatzes vgl. § 3 Bundesmeldegesetz).

§ 22 PStG

Datenübermittlungen an die Standesämter

Zur Erfüllung ihrer Aufgaben nach dem Personenstandsgesetz (PStG) und der Personenstandsverordnung (PStV) können die bayerischen Standesämter aus dem nach Art. 7 Abs. 1 BayAGBMG geschaffenen zentralen Meldedatenbestand folgende Daten automatisiert abrufen:



Datenblätter:
1. Familienname 0101 bis 0106,
2. frühere Namen 0201 bis 0206,
3. Vornamen 0301, 0302,
4. Doktorgrad 0401,
5. Geburtsdatum und Geburtsort sowie bei Geburt im Ausland auch den Staat 0601 bis 0606,
6. Geschlecht 0701,
7. gesetzliche Vertreter

a) Familienname 0902 bis 0903,

b) Vornamen 0904,

c) Doktorgrad 0905,

d) Anschrift 1200 bis 1212, 0907a,
8. derzeitige Staatsangehörigkeiten 1001,
9. derzeitige und frühere Anschriften (Haupt- und Nebenwohnung) 1200 bis 1213a,
10. Einzugsdatum und Auszugsdatum 1301, 1306,
11. Familienstand, bei Verheirateten oder Personen, die eine Lebenspartnerschaft führen, zusätzlich Datum und Ort der Eheschließung oder der Begründung der Lebenspartnerschaft sowie bei Eheschließung oder Begründung der Lebenspartnerschaft im Ausland auch den Staat sowie bei einer Scheidung, Nichtigerklärung oder Aufhebung einer Ehe oder bei einer Aufhebung der Lebenspartnerschaft Datum und Grund der Beendigung der Ehe oder der Lebenspartnerschaft 1401 bis 1409,
12. Ehegatte oder Lebenspartner

a) Familienname 1501 bis 1502, 1517 bis 1518,

b) Vornamen 1503, 1519,

c) Doktorgrad 1504, 1520,

d) derzeitige Anschrift (Hauptwohnung) im oder außerhalb des Zuständigkeitsbereichs der Meldebehörde 1200 bis 1213a, 1508, 1524,

e) Geburtsdatum 1505, 1521,

f) Sterbedatum 1516, 1532,
13. minderjährige Kinder

a) Familienname 1601 bis 1602,

b) Vornamen 1603,

c) Geburtsdatum 1604,

d) Sterbedatum 1605,
14. Sterbedatum und Sterbeort 1901, 1904, 1905.

Alternativ können Standesämter in solchen Fällen, in denen sie die Echtheit vorgelegter ausländischer Urkunden bezweifeln, diese Frage in eigener Zuständigkeit und von Amts wegen von den jeweiligen Auslandsvertretungen überprüfen lassen.

Angesichts dieses spezialgesetzlich vorgezeichneten Umfangs zulässiger Datenumgänge bei der Beurkundungstätigkeit von Standesämtern besteht kein Raum, Datenerhebungen durch das Standesamt beim Ausländeramt auf die Auffangnormen des Bayerischen Datenschutzgesetzes zu stützen.

7.6. Nochmals: unberechtigte Zugriffe auf Meldedaten

Bereits in meinem 28. Tätigkeitsbericht 2018 unter Nr. 7.1 habe ich erläutert, wie dienstlich nicht veranlassten Meldedatenabfragen im Bayerischen Behördeninformationssystem (BayBIS) entgegengewirkt werden kann. Im Berichtszeitraum musste ich nun öffentliche Stellen mehrmals darauf hinweisen, dass Beschäftigte auch auf die behördeninternen Meldedatensätze nur insoweit zugreifen dürfen, wie es im Einzelfall für die Erfüllung der ihnen obliegenden Aufgaben erforderlich ist. Insoweit habe ich ausdrücklich darauf aufmerksam gemacht, dass die für das BayBIS bereits erläuterten Vorgaben zur Sicherstellung des Datenschutzes auch bei behördeninternen Zugriffen auf Meldedaten zu beachten sind. Diese Vorgaben erläutere ich nochmals wie folgt:

  1. Der Zugriff auf Meldedaten durch Bedienstete ist im Rahmen eines Rechte- und Rollenkonzepts durch die jeweilige öffentliche Stelle zu protokollieren.
  2. Beschäftigte mit Zugriff auf Meldedaten sind - vorzugsweise durch eine von dem oder der behördlichen Datenschutzbeauftragten angebotene oder veranlasste Schulung - umfassend datenschutzrechtlich zu belehren. Dabei ist besonders auf das Verbot dienstlich nicht veranlasster Abfragen hinzuweisen. Den Beschäftigten sollte verdeutlicht werden, dass Zugriffe protokolliert und unberechtigte Meldedatenabfragen insbesondere durch Stichproben (dazu nachfolgend 3.) entdeckt werden können. In diesem Zusammenhang sollte auch über mögliche arbeits- oder dienstrechtliche Folgen (Abmahnung, Kündigung; disziplinarische Ahndung) sowie über mögliche straf- und ordnungswidrigkeitenrechtliche Konsequenzen aufgeklärt werden (siehe etwa Art. 23 BayDSG). In regelmäßigen Abständen (mindestens jährlich) sollten alle Beschäftigten mit Zugriffsrechten hinsichtlich der Meldedaten an diese Rahmenbedingungen erinnert werden. Idealerweise geschieht dies im Rahmen einer auffrischenden Schulung. Alternativ kann aber auch ein Rundschreiben oder dergleichen verschickt werden. Die präventiven Maßnahmen sind zu dokumentieren (siehe Art. 5 Abs. 2 DSGVO).
  3. In regelmäßigen Abständen (mindestens jährlich) sollten nicht angekündigte Stichproben erfolgen. Dabei sollte insbesondere auf ungewöhnlich häufige Meldedatenabfragen zu bestimmten Personen geachtet werden. Mit dieser Aufgabe können insbesondere Fachvorgesetzte oder behördliche Datenschutzbeauftragte betraut werden. Der Umfang hängt von der Zahl der Beschäftigten mit Zugang zu Meldedaten ab; er sollte gewährleisten, dass im Missbrauchsfall ein hinreichendes Entdeckungsrisiko besteht. Wenn sich zeigt, dass eine effektive Verhinderung von missbräuchlichen Abrufen nicht erreicht wird, sollten häufigere Stichproben durchgeführt werden.

Ich werde im Rahmen der Datenschutzaufsicht weiterhin darauf achten, dass bayerische öffentliche Stellen wirksame Maßnahmen zur Verhütung von "Neugierabfragen" eigener Beschäftigter im Melderegister treffen.

7.7. Nochmals: Meldedatenübermittlung für Wahlwerbezwecke

Die im Berichtszeitraum stattfindenden bayerischen Kommunalwahlen führten erneut dazu, dass sich eine Reihe von öffentlichen Stellen, jedoch auch Bürgerinnen und Bürger wegen der Zulässigkeit einer Meldedatenübermittlung für Wahlwerbezwecke an mich wandten. Insoweit konnte ich regelmäßig auf meine anlässlich des Geltungsbeginns der Datenschutz-Grundverordnung aktualisierten Hinweise in meinem 28. Tätigkeitsbericht 2018 unter Nr. 7.8.1 verweisen. Dort hatte ich die gesetzliche Regelung des § 50 Abs. 1 Bundesmeldegesetz (BMG) zur Übermittlung von Meldedaten an politische Parteien zum Zwecke der Wahlwerbung erläutert. Dabei habe ich zudem die Möglichkeit dargestellt, wie Betroffene dieser Datenverarbeitung widersprechen können. Zusätzlich hatte ich zu diesem Thema rechtzeitig vor der Wahl eine Aktuelle Kurz-Information veröffentlicht. Obwohl die Rechtslage damit an sich klar war, musste ich im Berichtszeitraum folgenden gravierenden Verstoß feststellen.

Im Februar 2020 hatte eine politische Partei zu Wahlwerbungszwecken bei einer kreisfreien bayerischen Stadt beantragt, ihr ein Verzeichnis aller in der Stadt wahlberechtigten Bürgerinnen und Bürger anderer Mitgliedstaaten der Europäischen Union nebst Staatsbürgerschaft zu übersenden. In der Folge wurde die Wahlwerbung als Briefsendung vom damaligen Oberbürgermeister als Kandidat dieser Partei und einem weiteren Kandidaten dieser Partei - dem (damaligen) stellvertretenden Vorsitzenden des Migrations- und Integrationsbeirats - an über 3.000 EU-Ausländer, die in der Wahlwerbung namentlich angesprochen wurden, versandt. Die Wahlwerbung war dabei in sieben verschiedenen europäischen Sprachen verfasst. Anlässlich einer Beschwerde von betroffenen Personen bei mir habe ich die Stadt um Stellungnahme gebeten. Die Stadt teilte mir insoweit mit, eine Übermittlung der Staatsbürgerschaft im Rahmen des § 50 Abs. 1 BMG sei nach der gesetzlichen Formulierung "Gruppen von Wahlberechtigten" für zulässig erachtet worden. Dies sei vor dem Hintergrund der COVID-19-Pandemie nicht weiter hinterfragt worden.

Diesen Sachverhalt habe ich in datenschutzrechtlicher Hinsicht wie folgt bewertet:

Öffentliche Stellen benötigen für die Verarbeitung personenbezogener Daten eine Rechtsgrundlage (vgl. Art. 6 Abs. 1 DSGVO) und sollen Verarbeitungen bei der Erfüllung ihrer öffentlichen Aufgaben grundsätzlich auf ihre gesetzlichen Verarbeitungsbefugnisse stützen. Melderegisterdaten sind dabei nach den spezialgesetzlichen Vorgaben des Bundesmeldegesetzes zu verarbeiten.

Gemäß § 50 Abs. 1 Satz 1 BMG darf die Meldebehörde Parteien, Wählergruppen und anderen Trägern von Wahlvorschlägen im Zusammenhang mit Wahlen und Abstimmungen auf staatlicher und kommunaler Ebene in den sechs der Wahl oder Abstimmung vorangehenden Monaten Auskunft aus dem Melderegister über die in § 44 Abs. 1 Satz 1 BMG bezeichneten Daten von Gruppen von Wahlberechtigten erteilen, soweit für deren Zusammensetzung das Lebensalter bestimmend ist. Die Geburtsdaten der Wahlberechtigten dürfen dabei nicht mitgeteilt werden (§ 50 Abs. 1 Satz 2 BMG). In § 44 Abs. 1 Satz 1 BMG ist der Umfang der sog. einfachen Melderegisterauskunft geregelt:

§ 44 Abs. 1 Satz 1 BMG

Einfache Melderegisterauskunft

Wenn eine Person zu einer anderen Person oder wenn eine andere als die in § 34 Absatz 1 Satz 1 oder § 35 bezeichnete Stelle Auskunft verlangt, darf die Meldebehörde nur Auskunft über folgende Daten einzelner bestimmter Personen erteilen (einfache Melderegisterauskunft):

  1. Familienname,
  2. Vornamen unter Kennzeichnung des gebräuchlichen Vornamens,
  3. Doktorgrad und
  4. derzeitige Anschriften sowie,
  5. sofern die Person verstorben ist, diese Tatsache.

Für die erteilte Gruppenauskunft stand der Stadt danach insgesamt keine Rechtsgrundlage zur Verfügung. Der an sich in Betracht kommende § 50 Abs. 1 Satz 1 in Verbindung mit § 44 Abs. 1 Satz 1 BMG war aus zwei Gründen nicht einschlägig. Zum einen wurden die Gruppen von Wahlberechtigten nicht anhand des Kriteriums "Lebensalter" gebildet, sondern anhand der Staatsangehörigkeit. Daher fehlte bereits eine zentrale Voraussetzung für die Erteilung der Gruppenauskunft. Zum anderen gehört die Staatsangehörigkeit gerade nicht zu dem von § 44 Abs. 1 Satz 1 BMG umschriebenen Auskunftsumfang. Auch auf einen nach dem Lebensalter der Wahlberechtigten gestellten Auskunftsantrag hin hätte dieses Merkmal daher nicht mitgeteilt werden dürfen.

Insgesamt war ein Datenschutzverstoß festzustellen. Diesem Verstoß kam auch ein besonderes Gewicht zu. Erstens war davon eine große Zahl von Personen betroffen. Zweitens hat die Stadt durch ihr datenschutzwidriges Handeln dem Empfänger im Ergebnis eine umfassende "EU-Ausländer-Kartei" zu ihrer Bewohnerschaft übermittelt. Ich habe daher gegenüber der Stadt einen Verstoß gegen datenschutzrechtliche Vorgaben beanstandet (Art. 16 Abs. 4 Satz 1 BayDSG).

  1. Internet: https://edpb.europa.eu/our-work-tools/public-consultations-art-704/2020/recommendations-012020-measures-supplement-transfer_en (externer Link). [Zurück]
  2. DIN EN ISO/IEC 27001:2017–06, erhältlich über https://www.beuth.de/de/norm/din-en-iso-iec-27001/269670716 (externer Link). [Zurück]
  3. Siehe Bundesamt für Sicherheit in der Informationstechnik, Kriterienkatalog Cloud Computing C5, C5:2020, https://www.bsi.bund.de/c5 (externer Link). [Zurück]
  4. Zur BSI C5 ist anzumerken, dass zwar die besonderen Herausforderungen der Cloud-Nutzung im Anforderungskatalog nicht berücksichtigt sind, der BSI C5 Standard aber viele Aspekte vorweist, die bei einer Auslagerung an sich relevant sind. Gibt es Cloud-Anbieter, die ausschließlich im Geltungsbereich der DSGVO agieren und ein BSI C5-Testat vorlegen können, so sind die wichtigsten Herausforderungen der Cloud-Nutzung gemeistert. [Zurück]
  5. Vgl. Müller-Engels, in: Hau/Poseck, BeckOK BGB, Stand 11/2020, § 1896 BGB Rn. 19 mit Hinweis auf Bundestags-Drucksache 11/4528, S. 60. [Zurück]
  6. Vgl. Gaaz, in: Gaaz/Bornhofen/Lammers, Personenstandsgesetz, 5. Aufl. 2020, § 13 Rn. 7. [Zurück]
  7. Bayerischer Landesbeauftragter für den Datenschutz, Auskunft aus dem Melderegister an politische Parteien vor Wahlen, Aktuelle Kurz-Information 28, Internet: https://www.datenschutz-bayern.de, Rubrik „Datenschutzreform 2018 – Aktuelle Kurz-Informationen“. [Zurück]