Der Bayerische Landesbeauftragte für den Datenschutz; Stand: 25.05.2021
6. Allgemeine Innere Verwaltung
6.1. Factoring bei ÖPNV-Leistungen durch Stadtwerke
Die moderne Verwaltung greift bei der Erfüllung ihrer öffentlichen Aufgaben immer häufiger auf (rechtliche) Instrumente der Privatwirtschaft zurück. Eines dieser Instrumente ist das Factoring. Hierbei verkauft der Gläubiger eine (künftige) Forderung gegenüber seinem Schuldner an einen Finanzdienstleister, den Factor. Für den Gläubiger hat dies zwei wesentliche Vorteile: eine Verbesserung der Liquidität durch schnelle Realisierung der Forderung bei gleichzeitiger Entledigung vom Forderungsinkasso. Trägt der Factor das wirtschaftliche Ausfallrisiko der Forderung, so spricht man von einem echten Factoring. Allerdings müssen öffentliche Stellen die für sie geltenden Vorgaben des Datenschutzrechts auch dann beachten, wenn sie von Gestaltungsmöglichkeiten Gebrauch machen, die im Zivilrecht bereits seit langem anerkannt sind. Speziell in Bezug auf ein echtes Factoring beim Online-Ticketverkauf durch in Rechtsform einer privatrechtlichen GmbH organisierte Stadtwerke für den Öffentlichen Personennahverkehr (ÖPNV) habe ich dies im Berichtszeitraum überprüft.
Meiner Prüfung lag im Wesentlichen folgender Sachverhalt zugrunde: Wenn eine Kundin oder ein Kunde in der entsprechenden Mobile App der Stadtwerke elektronisch ein ÖPNV-Ticket kaufen will und durch Auswahl des gewünschten Tickets ein Angebot zum Abschuss eines Kaufvertrags abgibt, fragen die Stadtwerke zunächst beim Zahlungsdienstleister an, ob dieser bereit ist, die (potenzielle) Forderung aufzukaufen. In diesem Rahmen werden personenbezogene Daten der (potentiellen) Kundin oder des (potentiellen) Kunden an den Zahlungsdienstleister übermittelt. Der Zahlungsdienstleister führt sodann anhand dieser Daten eine Bonitätsprüfung durch. Bei positiver Prüfung übermittelt der Zahlungsdienstleister an die Stadtwerke eine Zusage, dass er die Forderung kaufen werde. Entsprechendes gilt bei einer Kaufablehnung. Nur im positiven Fall nehmen die Stadtwerke das Kundenangebot an und schließen den elektronischen Ticketkauf ab. Die hierbei entstehende Forderung wird dann von den Stadtwerken an den Zahlungsdienstleister abgetreten. Andernfalls lehnen die Stadtwerke das Kundenangebot ab und der Online-Kauf scheitert. Datenschutzrechtlich habe ich dies wie folgt bewertet:
6.1.1. Keine Auftragsverarbeitung
Die Datenumgänge zwischen den Stadtwerken und dem Zahlungsdienstleister im Rahmen des Factorings sind schon mangels Weisungsgebundenheit des Factors keine Verarbeitung im Auftrag gemäß Art. 4 Nr. 8, Art. 28 DSGVO. Vielmehr handeln beide jeweils als eigene Verantwortliche gemäß Art. 4 Nr. 7 DSGVO.
6.1.2. Art. 6 Abs. 1 UAbs. 1 Buchst. f DSGVO als Rechtsgrundlage
Rechtliche Konsequenz der Ablehnung einer Auftragsverarbeitung ist, dass die Stadtwerke als öffentliche Stelle gemäß Art. 1 Abs. 2 BayDSG (Gesellschafter waren im konkreten Fall mehrere öffentliche Stellen nach Art. 1 Abs. 1 BayDSG, und der ÖPNV ist eine Aufgabe der öffentlichen Verwaltung nach Art. 1 Abs. 2 Satz 1 BayDSG) für die beschriebenen Datenumgänge eine Rechtsgrundlage benötigen. Hierbei konnten sich die Stadtwerke erfolgreich auf Art. 6 Abs. 1 UAbs. 1 Buchst. f DSGVO in Verbindung mit Art. 1 Abs. 3 BayDSG stützen. Im Einzelnen:
Zwar unterfallen die Stadtwerke grundsätzlich dem Ausschlusstatbestand des Art. 6 Abs. 1 UAbs. 2 DSGVO. Danach gilt Art. 6 Abs. 1 UAbs. 1 Buchst. f DSGVO nicht für Behörden, wenn diese Daten in Erfüllung ihrer Aufgaben verarbeiten, wobei nach meiner derzeitigen Rechtsauffassung auch öffentliche Stellen nach Art. 1 Abs. 2 BayDSG Behörden im Sinne des Art. 6 Abs. 1 UAbs. 2 DSGVO sind.
Art. 1 BayDSG
Anwendungsbereich des Gesetzes
[...]
(2) 1Öffentliche Stellen sind auch Vereinigungen des privaten Rechts, die Aufgaben der öffentlichen Verwaltung wahrnehmen und an denen - ungeachtet der Beteiligung nicht öffentlicher Stellen - eine oder mehrere der in Abs. 1 Satz 1 genannten juristischen Personen des öffentlichen Rechts unmittelbar oder durch eine solche Vereinigung beteiligt sind. 2[...]
Art. 6 DSGVO
Rechtmäßigkeit der Verarbeitung
(1) Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:
[...]
- die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.
Unterabsatz 1 Buchstabe f gilt nicht für die von Behörden in Erfüllung ihrer Aufgaben vorgenommene Verarbeitung.
[...]
Gleichwohl konnten sich hier die Stadtwerke erfolgreich auf Art. 6 Abs. 1 UAbs. 1 Buchst. f DSGVO berufen. Denn beim ÖPNV liegt eine Wettbewerbsteilnahme im Sinne des Art. 1 Abs. 3 BayDSG vor. Dies erstreckt sich kraft Sachzusammenhangs auch auf den Vertragsabschluss und die Geltendmachung entsprechender Forderungen. Mithin sind für diese Datenverarbeitungen die Vorschriften für nicht-öffentliche Stellen anzuwenden, also auch Art. 6 Abs. 1 UAbs. 1 Buchst. f DSGVO.
Art. 1 BayDSG
Anwendungsbereich des Gesetzes
[...]
(3) 1Soweit öffentliche Stellen als Unternehmen am Wettbewerb teilnehmen, gelten für sie selbst, ihre Zusammenschlüsse und Verbände die Vorschriften für nicht öffentliche Stellen. 2Die Zuständigkeit des Landesbeauftragten für den Datenschutz (Landesbeauftragter) nach Art. 15 bleibt hiervon unberührt.
[...]
Das erforderliche berechtigte Interesse der Stadtwerke bestand in der Auslagerung des Forderungsmanagements. Die Übertragung personenbezogener Daten potentieller Kundinnen und Kunden an den Factor und die Entgegennahme der positiven oder negativen Information des Factors (Zusage oder Ablehnung des Ankaufs der zukünftigen Forderung) sind auch erforderlich, um den Forderungsverkauf zu erfüllen. Der Factor wiederum benötigt die personenbezogenen Daten seiner potentiellen Schuldner, um deren Bonität zu prüfen.
6.1.3. Informationen nach Art. 13 und Art. 14 DSGVO
Art. 13 DSGVO verpflichtet den Verantwortlichen dazu, betroffenen Personen verschiedene Informationen zur Datenverarbeitung zu geben, sobald der Verantwortliche personenbezogene Daten erhebt. Art. 14 DSGVO sieht eine solche Informationspflicht vor, wenn der Verantwortliche die Daten nicht bei den betroffenen Personen, sondern bei Dritten erhebt. Diese Informationen sind in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln (Art. 12 Abs. 1 DSGVO).
Beim oben beschriebenen Factoring unterfallen die Stadtwerke zum einen der Informationspflicht nach Art. 13 Abs. 1 und 2 DSGVO, wenn sie personenbezogene Daten der (potentiellen) Kundin oder des (potentiellen) Kunden im Rahmen der Entgegennahme von deren oder dessen Angebot eines Online-Ticketkaufs erheben. Zum anderen müssen die Stadtwerke der (potentiellen) Kundin oder dem (potentiellen) Kunden auch die Informationen nach Art. 14 Abs. 1 DSGVO geben, wenn sie Daten vom potentiellen Factor als Dritten erheben. Da sich die Informationen für beide Erhebungsvorgänge inhaltlich überschneiden, genügt insoweit eine einmalige Information (vgl. Art. 13 Abs. 4 beziehungsweise Art. 14 Abs. 5 Buchst. a DSGVO).
Beim Factoring erhebt auch der Zahlungsdienstleister personenbezogene Daten der (potentiellen) Kundinnen und Kunden. Da jedoch im Stadium der Vertragsanbahnung nur die Stadtwerke, nicht aber der Zahlungsdienstleister unmittelbaren Kontakt mit den betroffenen (potentiellen) Kundinnen und Kunden haben, hatte der Zahlungsdienstleister die Stadtwerke verpflichtet, entsprechende Informationen des Zahlungsdienstleisters gleichsam als dessen Bote zur Verfügung zu stellen. Auch wenn die Erfüllung der Informationspflichten des Zahlungsdienstleisters von mir mangels Zuständigkeit nicht unmittelbar zu bewerten ist, erwarte ich doch von öffentlichen Stellen, dass diese bei der Wahl ihrer Vertragspartner darauf achten, dass diese Partner die Vorgaben des Datenschutzes - darunter fallen auch die Informationspflichten nach Art. 13 f. DSGVO - einhalten.
6.1.4. Automatisierte Entscheidungsfindung/besondere Transparenzanforderungen
Greifen öffentliche Stellen im Rahmen des Art. 1 Abs. 3 BayDSG auf rechtliche Instrumente wie das Factoring zurück, so haben sie besonderes Augenmerk auf die Sicherstellung einer hinreichenden Transparenz gemäß Art. 5 Abs. 1 Buchst. a DSGVO zu richten. Da derartige zivilrechtliche Instrumente wohl noch nicht zum "Standard-Kanon" verwaltungsüblicher Handlungsformen zählen, rechnen die Bürgerinnen und Bürger nicht schon vornherein mit entsprechenden Datenverarbeitungen. Daher habe ich unabhängig davon, ob im Einzelfall bereits eine Informationspflicht wegen automatisierter Entscheidungsfindung nach Art. 13 Abs. 2 Buchst. f beziehungsweise Art. 14 Abs. 2 Buchst. g DSGVO besteht, die Beachtung nachstehender Transparenzvorgaben gefordert: Verarbeitet eine bayerische öffentliche Stelle bei der Teilnahme als Unternehmen am Wettbewerb personenbezogene Daten im Rahmen eines (echten) Factorings, so hat sie diesen Prozess nachvollziehbar (transparent) darzustellen. Dies bedingt zumindest, dass die öffentliche Stelle in ihren Datenschutzhinweisen darlegt, dass der Kauf eines Online-Tickets durch Kundinnen und Kunden davon abhängt, dass der Factor die Forderung kaufen wird. Mit anderen Worten: Das Zustandekommen des Online-Ticketkaufs hängt von der Entscheidung des Zahlungsdienstleisters ab. Hierbei ist auch darzustellen, welche Folgen eine negative Entscheidung des Zahlungsdienstleisters für den Kaufprozess der Kundin oder des Kunden hat.
6.2. Datenschutz bei elektronischen Wasserzählern mit Funkmodul
Zuletzt hatte ich mich in meinem 28. Tätigkeitsbericht 2018 unter Nr. 7.3 mit dem Thema Datenschutz bei elektronischen Wasserzählern mit Funkmodul befasst. Anlass war der im damaligen Berichtszeitraum in Kraft getretene Art. 24 Abs. 4 Gemeindeordnung (GO). Diese Norm enthält nicht nur die von mir stets geforderte gesetzliche Rechtsgrundlage für Einbau und Betrieb elektronischer Wasserzähler mit Funkmodul, sondern gewährt in Art. 24 Abs. 4 Satz 5 bis 7 GO auch das von mir geforderte voraussetzungslose Widerspruchsrecht gegen die Verwendung des Funkmoduls. Zudem regeln Art. 24 Abs. 4 Satz 2 bis Satz 4 GO unmittelbar geltende Anforderungen an die Datenverarbeitung in einem elektronischen Wasserzähler. Über die seither erreichten datenschutzrechtlichen Verbesserungen möchte ich im Folgenden berichten.
6.2.1. Änderung des Musters für eine gemeindliche Wasserabgabesatzung
Mittels Bekanntmachung vom 20. Februar 2019 hat das Bayerische Staatsministerium des Innern, für Sport und Integration seine Bekanntmachung über das Muster für eine gemeindliche Wasserabgabesatzung vom 13. Juli 1989 (im Folgenden WAS-Bekanntmachung) unter meiner Beteiligung geändert. Hervorheben möchte ich in diesem Zusammenhang folgende Punkte:
- Zunächst sieht § 19a Abs. 2 Satz 1 Satzungsmuster eine Regelung in allgemeiner Form vor, dass die gespeicherten oder ausgelesenen personenbezogenen Daten zu löschen sind, soweit sie für die dort genannten Zwecke nicht mehr benötigt werden. Dies dient der Umsetzung des datenschutzrechtlichen Grundsatzes der Speicherbegrenzung (Art. 5 Abs. 1 Buchst. f DSGVO) und dem Recht auf Löschen (Art. 17 Abs. 1 Buchst. a DSGVO). § 19a Abs. 2 Satz 2 Satzungsmuster enthält darüber hinaus pauschale Höchstfristen. Grund hierfür sind die in meiner Prüfpraxis festgestellten Schwierigkeiten bei der Handhabung abstrakter Löschregelungen. Konkret definierte Löschfristen, welche absolute Höchstspeicherdauern ausbuchstabieren, setzen der Speicherung dagegen sichere, in der Verwaltungspraxis leicht handhabbare Grenzen. Danach sind die im Wasserzähler vor Ort gespeicherten personenbezogenen Daten spätestens nach zwei Jahren zu löschen, die ausgelesenen personenbezogenen Daten spätestens nach fünf Jahren. Auf diese Weise wird verhindert, dass elektronische Wasserzähler zu dauerhaften Datenlagern mutieren.
- Der Grundsatz der Datenminimierung wurde in Nr. 10.3 der Anlage 2 zum Satzungsmuster konkretisiert. So wird insbesondere ausdrücklich klargestellt, dass für die Erstellung der Abrechnung ein periodisches autonomes Funken von Daten über das Jahr hinweg nicht erforderlich ist und für die Abrechnung primär nur Zählernummer und Zählerstand notwendig sind. Die Abwehr einer Gefahr für den ordnungsgemäßen Betrieb der Wasserversorgungseinrichtung und die Aufklärung von Störungen im Wasserversorgungsnetz, etwa die Lokalisierung von Leckagen kann es freilich voraussetzen, weitere Daten - wie etwa Durchflusswerte oder Alarmcodes - auch in kurzen Intervallen automatisch zu senden. Dies verlangt jedoch einen konkreten Anlass im Einzelfall, also einen Hinweis auf eine solche Gefahr oder Störung. Für die technische Umsetzung dieser Anlassbezogenheit werden zwei Wege aufgezeigt: zum einen die Sendung eines Alarmcodes, sobald der Zähler eine solche Gefahr oder Störung registriert, zum anderen die Aktivierung der engmaschigen Alarmsendefrequenz durch Funk von außen, falls in einem bestimmten Versorgungsgebiet ein besonderes Vorkommnis (zum Beispiel eine Leckage) festgestellt wird.
- Für Altfälle, also Funkwasserzähler, die zum Zeitpunkt des Inkrafttretens der Änderung des Art. 24 Abs. 4 GO am 25. Mai 2018 bereits verbaut waren und die Daten teils - wie vorstehend erläutert datenschutzrechtlich problematisch - in relativ kurzen Zeitintervallen senden, ist vorgesehen, dass einem nachträglichen Widerspruch gegen den Einsatz eines Funkwasserzählers unter Verwendung des Funkmoduls unabhängig von der Frist nach Art. 24 Abs. 4 Satz 5 GO grundsätzlich abgeholfen und das Funkmodul deaktiviert wird.
6.2.2. Datenverarbeitung mittels Einwilligung begrenzt erweiterbar
Da derzeit noch viele elektronische Wasserzähler im Einsatz sind, die den soeben erläuterten Konflikten mit den Grundsätzen der Speicherbegrenzung und der Datenminimierung nicht genügen, wurde ich um Beratung gebeten, ob und inwieweit deren Einbau und Betrieb auf Basis von Einwilligungen rechtssicher möglich ist. Hierbei habe ich Wert darauf gelegt, die zentralen datenschutzrechtlichen Wertungen des Art. 24 Abs. 4 GO vor einer Umgehung zu schützen und die datenschutzrechtliche Autonomie der Betroffenen zu wahren. Die den Kommunen vom Innenministerium insoweit gegebenen Hinweise sehen daher insbesondere vor, dass etwaige Einwilligungen freiwillig (Art. 4 Nr. 11, Art. 7 Abs. 3 Satz 3 DSGVO), informiert (Art. 4 Nr. 11 DSGVO), auf einen bestimmten Zweck (Art. 6 Abs. 1 UAbs. 1 Buchst. a DSGVO) und auf eine bestimmte Verarbeitung bezogen (Art. 4 Nr. 11 DSGVO) sowie unmissverständlich (Art. 4 Nr. 11 DSGVO) erteilt sein müssen. Daneben sehen die Hinweise vor, dass auch auf Grund einer Einwilligung die in einem elektronischen Wasserzähler gespeicherten Daten nur für die in Art. 24 Abs. 4 Satz 2 GO genannten Zwecke übermittelt werden dürfen und betonen, dass das gesendete Datenpaket möglichst klein sein sollte (grundsätzlich nur Zählernummer, Zählerstand, Alarm-/Fehlercode). Außerdem sprechen sich die Hinweise dafür aus, bidirektionalen Verfahren (welche erst auf Anforderung Daten senden) gegenüber unidirektionalen Verfahren (welche Daten ohne Anforderung senden) den Vorzug einzuräumen, soweit diese verfügbar sind.
6.2.3. Bericht aus der Beratungspraxis
Im Berichtszeitraum haben sich erneut viele Bürgerinnen und Bürger an mich mit Fragen zur zulässigen Datenverarbeitung beim Einsatz und Betrieb elektronischer Wasserzähler mit Funkmodul gewandt. Folgende Fragen sind dabei immer wieder aufgetaucht:
6.2.3.1. Kein Anspruch auf mechanischen Wasserzähler
Oftmals konnte ich Eingaben entnehmen, dass Betroffene anstelle des elektronischen Wasserzählers einen mechanischen, also analogen Wasserzähler beibehalten oder wieder eingebaut bekommen möchten. Diesen Wunsch musste ich jedoch aus datenschutzrechtlicher Sicht enttäuschen. Art. 24 Abs. 4 Satz 1 GO stellt die gesetzliche Rechtsgrundlage für die Kommunen dar, den Einbau und Betrieb elektronischer Wasserzähler (mit oder ohne Funkmodul) in einer Satzung vorzuschreiben. Auch das Widerspruchsrecht aus Art. 24 Abs. 4 Satz 5 bis 7 GO vermittelt keinen Anspruch darauf, dass ein herkömmlicher mechanischer Wasserzähler (wieder) eingebaut wird. Vielmehr dürfen gleichwohl elektronische Wasserzähler ohne Funkmodul oder mit deaktiviertem Funkmodul eingebaut und betrieben werden.
6.2.3.2. Kein Widerspruchsrecht bei Wasserzählern für mehrere Hausparteien
Misst ein elektronischer Wasserzähler mit Funkmodul nicht nur den Wasserverbrauch einer Wohnung, sondern noch von mindestens einer weiteren Wohnung steht den Betroffenen kein Widerspruchsrecht aus Art. 24 Abs. 4 Satz 5 und 6 GO zu. Denn das Widerspruchsrecht nach Art. 24 Abs. 4 Satz 5 und Satz 6 GO ist nicht anwendbar, soweit in einem versorgten Objekt mehrere Einheiten einen gemeinsamen Wasserzähler haben (Art. 24 Abs. 4 Satz 7 GO). Datenschutzrechtlicher Hintergrund ist, dass in diesem Fall typischerweise keine personenbezogenen Daten nach Art. 4 Nr. 1 DSGVO vorliegen. Bei mehreren Einheiten kann der gemessene Verbrauch in der Regel - ohne zusätzliches Sonderwissen, über das der Wasserversorger jedoch grundsätzlich nicht verfügt - nicht mehr konkreten identifizierbaren Personen zugeordnet werden.
6.2.3.3. Keine Gebühr für die Ausübung des Widerspruchsrechts
Das vom Gesetzgeber voraussetzungslos gewährte Widerspruchsrecht nach Art. 24 Abs. 4 Satz 5 bis 7 GO stellt dessen Reaktion auf die Betroffenheit von Grundrechtspositionen, nämlich dem Recht auf informationelle Selbstbestimmung gemäß Art. 2 Abs. 1 in Verbindung mit Art. 1 Abs. 1 Grundgesetz (GG) und dem Recht auf Unverletzlichkeit der Wohnung gemäß Art. 13 Abs. 1 GG dar. Die Erhebung einer Gebühr oder eines Kostenersatzes für die Ausübung dieses datenschutzrechtlichen Rechts, welches auch grundrechtlich radiziert ist, käme einer Maßregelung gleich. Ohne Rechtsgrundlage ist es aber einer öffentlichen Stelle untersagt, ihre Bürgerinnen und Bürger für die Ausübung von Rechten zu bestrafen. Zudem widerspricht ein solches Handeln dem auch datenschutzrechtlich relevanten Grundsatz von Treu und Glauben (Art. 5 Abs. 1 Buchst. a DSGVO). Daneben kann ich aus Datenschutzsicht auch nicht erkennen, dass die Ausübung dieses gesetzlichen Rechts einen Sondervorteil für die Betroffenen darstellen würde. Flankierend hat mir das Innenministerium auf Nachfrage bestätigt, dass es auch kommunalabgabenrechtlich keine Grundlage für die Erhebung von Gebühren oder Ähnlichem wegen Ausübung des Widerspruchsrechts sieht. Daher werde ich darauf achten, dass die Ausübung dieses datenschutzrechtlichen Rechts nicht zu finanziellen Belastungen für die Betroffenen führt. Unabhängig von beziehungsweise neben eigenen aufsichtsrechtlichen Maßnahmen werde ich soweit notwendig insoweit auch die Kommunalaufsicht einschalten.
6.3. Öffentliche Gemeinderatssitzung: Behandlung einer Privatinsolvenz
Auch im aktuellen Berichtszeitraum war ich wieder des Öfteren mit dem Problem über das erforderliche Maß hinausgehender Datenverarbeitungen bei Beratung und Beschlussfassung im Gemeinderat befasst. Folgenden besonders prägnanten Fall greife ich exemplarisch heraus: Eine Gemeinde stellte im Vorfeld der geplanten Beauftragung eines Unternehmens mit der Durchführung einer Veranstaltung Recherchen zum potentiellen Vertragspartner an. Hierbei stieß die Gemeinde auf das Vorliegen einer Insolvenz in der Vergangenheit. Jedoch war hiervon nicht das Unternehmen als potentieller Vertragspartner betroffen, sondern eine für das Unternehmen als Projektleiter bei der geplanten Veranstaltung tätige Privatperson. Das Rechercheergebnis - Vorliegen einer Privatinsolvenz des Projektleiters - wurde in öffentlicher Sitzung beraten und so der Bürgerschaft offengelegt. Ich habe daher einen Verstoß gegen datenschutzrechtliche Vorgaben festgestellt:
Die Information, dass über das Privatvermögen einer bestimmten oder bestimmbaren natürlichen Person ein Insolvenzverfahren eröffnet wurde, ist ein personenbezogenes Datum gemäß Art. 4 Nr. 1 DSGVO. Wird diese Information im Rahmen einer öffentlichen Gemeinderatssitzung behandelt und so an die anwesenden Gemeindebürger bekanntgegeben, werden personenbezogene Daten verarbeitet (Art. 4 Nr. 2 DSGVO). Die Verarbeitung personenbezogener Daten bedarf einer Befugnis (Art. 6 Abs. 1 DSGVO). Bayerische öffentliche Stellen stützen sich hierbei regelmäßig auf gesetzliche Verarbeitungsbefugnisse des nationalen Rechts (Art. 6 Abs. 1 UAbs. 1 Buchst. e, Abs. 3 UAbs. 1 Buchst. b DSGVO).
6.3.0.1. Datenverarbeitung wohl schon nicht zur Sitzungsvorbereitung erforderlich
Nach Art. 46 Abs. 2 Satz 1 Gemeindeordnung (GO) bereitet der erste Bürgermeister die Beratungsgegenstände des Gemeinderats vor. Eine gesetzliche Verpflichtung zur Beifügung von Unterlagen mit der Ladung zur Sitzung des Gemeinderats besteht jedoch nicht. Die Vorbereitungspflicht aus Art. 46 Abs. 2 Satz 1 GO korrespondiert allerdings mit dem Informationsrecht des Gemeinderats beziehungsweise des beschließenden Ausschusses. Danach hat der Gemeinderat oder der beschließende Ausschuss ein Recht auf die Informationen, die für seine Aufgabenerfüllung erforderlich sind, also insbesondere für die Beratung und für den Beschluss von Entscheidungen in seinem Zuständigkeitsbereich. Mangels anderweitiger gesetzlicher Regelung in der Gemeindeordnung steht die Entscheidung, wie die erste Bürgermeisterin oder der erste Bürgermeister den Gemeinderat respektive die beschließenden Ausschüsse über die zu behandelnden Beratungsgegenstände vorbereitend informiert, in ihrem oder seinem pflichtgemäßen Ermessen. Dieses Ermessen wird jedoch durch die Belange des grundrechtlich fundierten Datenschutzes begrenzt. Der Umfang der Befugnis zur Offenlegung personenbezogener Daten ergibt sich insoweit primär aus den einschlägigen fachgesetzlichen Verarbeitungsbefugnissen, nachrangig aus den allgemeinen Verarbeitungsbefugnissen in Art. 4 und 5 BayDSG.
Mangels einschlägiger Fachgesetze waren im konkreten Fall die Regelungen des Bayerischen Datenschutzgesetzes maßgeblich. Die (internen!) Sitzungsvorlagen der Verwaltung für den Gemeinderat durften daher personenbezogene Daten enthalten, soweit dies für dessen Aufgabenerfüllung erforderlich war. Vorliegend ergaben sich jedoch bereits insoweit Zweifel an der Erheblichkeit der Privatinsolvenz des Projektleiters für Beratung und Beschlussfassung im Gemeinderat. So war schon nicht hinreichend bestimmbar, inwieweit die private Bonität einer für das potentiell zu beauftragende Unternehmen tätigen Privatperson (Haf-tungs-)Risiken für die Gemeinde barg. Nach Mitteilung der Gemeinde waren für die Nichtberücksichtigung des Unternehmens dann letztlich auch andere Kriterien kausal.
6.3.0.2. Jedenfalls Behandlung und Bekanntgabe in öffentlicher Sitzung unzulässig
Der Gemeinderat berät und beschließt gemäß Art. 52 Abs. 2 Satz 1 GO grundsätzlich in öffentlicher Sitzung, soweit nicht Rücksichten auf das Wohl der Allgemeinheit oder auf berechtigte Ansprüche einzelner entgegenstehen. Die Norm ist keine Rechtsgrundlage im Sinne des Art. 6 Abs. 1 UAbs. 1 Buchst. e, Abs. 3 UAbs. 1 Buchst. b DSGVO für eine Verarbeitung personenbezogener Daten, da ihr der erforderliche datenschutzbezogene Regelungsgehalt fehlt (siehe auch meine Ausführungen im 29. Tätigkeitsbericht 2019 unter Nr. 5.1.1.1). Soweit nicht fachgesetzliche Besonderheiten bestehen, können bayerische Gemeinden insoweit aber regelmäßig auf Art. 5 Abs. 1 Satz 1 Nr. 1 BayDSG als allgemeine Rechtsgrundlage für Datenübermittlungen zurückzugreifen. Daher duften bei der Behandlung der Angelegenheit in öffentlicher Gemeinderatssitzung auch personenbezogene Daten offengelegt werden, wenn und soweit dies zur Aufgabenerfüllung der Gemeinde erforderlich war.
Hieran fehlte es im konkreten Fall aber schon deswegen, da nach Art. 52 Abs. 2 Satz 1 GO die Behandlung der Privatinsolvenz des Projektleiters wegen berechtigter Ansprüche Einzelner von vornherein in nicht-öffentlicher Sitzung hätte erfolgen müssen. Solche berechtigten Ansprüche Einzelner sind nicht erst Rechtsansprüche, sondern schon Interessen einzelner Personen oder Personengesellschaften, die eine Beratung und Beschlussfassung in geheimer Sitzung erfordern. Angelegenheiten, die sich auf die wirtschaftlichen und finanziellen Verhältnisse, auf die familiären und beruflichen Verhältnisse, aber auch auf die individuellen persönlichen Verhältnisse einer oder eines Einzelnen beziehen und Rückschlüsse auf ihre oder seine Person zulassen, sind regelmäßig in nicht-öffentlicher Sitzung zu behandeln. Hinsichtlich der Information, dass über das Vermögen einer Privatperson ein Insolvenzverfahren eröffnet wurde, hätte die Gemeinde das schutzwürdige Interesse der betroffenen Person im Sinne des Art. 52 Abs. 2 Satz 1 GO erkennen müssen.
6.4. Niederschriften über Gemeinderatssitzungen: Abwesenheitsgrund von Ratsmitgliedern nicht detailliert angeben
Gemäß Art. 54 Abs. 1 Satz 2 Gemeindeordnung (GO) müssen die Niederschriften über Verhandlungen des Gemeinderats neben weiteren Pflichtangaben auch die Namen der anwesenden Gemeinderatsmitglieder und die der abwesenden unter Angabe ihres Abwesenheitsgrundes enthalten. Die Einsicht in die Niederschriften über öffentliche Sitzungen des Gemeinderats steht nach Art. 54 Abs. 3 Satz 2 Halbsatz 1 GO allen Gemeindebürgern offen.
Art. 54
Niederschrift
(1) 1Die Verhandlungen des Gemeinderats sind niederzuschreiben. 2Die Niederschrift muß Tag und Ort der Sitzung, die Namen der anwesenden Gemeinderatsmitglieder und die der abwesenden unter Angabe ihres Abwesenheitsgrundes, die behandelten Gegenstände, die Beschlüsse und das Abstimmungsergebnis ersehen lassen. 3Jedes Mitglied kann verlangen, daß in der Niederschrift festgehalten wird, wie es abgestimmt hat.
[...]
(3) 1Die Gemeinderatsmitglieder können jederzeit die Niederschrift einsehen und sich Abschriften der in öffentlicher Sitzung gefaßten Beschlüsse erteilen lassen. 2Die Einsicht in die Niederschriften über öffentliche Sitzungen steht allen Gemeindebürgern frei; dasselbe gilt für auswärts wohnende Personen hinsichtlich ihres Grundbesitzes oder ihrer gewerblichen Niederlassungen im Gemeindegebiet.
Im Berichtszeitraum war ich mit der Frage befasst, ob insoweit die Angabe von Krankheit als Abwesenheitsgrund zulässig ist. Meine Prüfung hat insoweit Folgendes ergeben:
Nimmt eine Gemeinde in die Niederschrift über eine Sitzung des Gemeinderats hinsichtlich namentlich benannter Gemeinderatsmitglieder die Information "abwesend wegen Krankheit" auf, so verarbeitet sie ein Gesundheitsdatum im Sinne von Art. 4 Nr. 15 DSGVO. Hieran stellt die Datenschutz-Grundverordnung in deren Art. 9 aber besondere Anforderungen. So ist die Verarbeitung von Gesundheitsdaten gem. Art. 9 Abs. 1 DSGVO grundsätzlich untersagt, sofern nicht eine Ausnahme nach Abs. 2 greift.
Art. 9 DSGVO
Verarbeitung besonderer Kategorien personenbezogener Daten
(1) Die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person ist untersagt.
[...]
Art. 54 GO erfüllt jedoch nicht die in Art. 9 Abs. 2 DSGVO genannten Anforderungen an eine Rechtsgrundlage zur Verarbeitung von Gesundheitsdaten. Verschärfend kommt für öffentliche Sitzungen des Gemeinderats die voraussetzungslose Offenlegung der entsprechenden Informationen im Rahmen des Einsichtsrechts nach Art. 54 Abs. 3 Satz 2 GO hinzu.
Ich bin daher an das für die Kommunalaufsicht zuständige Bayerische Staatsministerium des Innern, für Sport und Integration herangetreten und habe vor dem Hintergrund des Anwendungsvorrangs des Europarechts gebeten, zukünftig anstelle der Angabe "abwesend wegen Krankheit" in die Niederschriften lediglich den Hinweis "entschuldigt/unentschuldigt fehlend" aufzunehmen und dies auf alle Abwesenheitsgründe zu erweitern. Denn eine Veränderung nur bezüglich Krankheit als Abwesenheitsgrund würde weiterhin Rückschlüsse auf den Gesundheitszustand von Ratsmitgliedern zulassen.
Das Innenministerium hat meine Anregung aufgegriffen und die Gemeinden gebeten, in Niederschriften über Verhandlungen des Gemeinderats generell nur noch die Angabe "entschuldigt" oder "unentschuldigt" für jede Form der Abwesenheit aufzunehmen.
6.5. Gemeinde- und Landkreiswahlen: Unterschriften auf Unterstützungslisten zukünftig besser geschützt
Bei Gemeinde- und Landkreiswahlen müssen neue Wahlvorschlagsträger nach dem Gemeinde- und Landkreiswahlgesetz (GLKrWG) grundsätzlich von einer ausreichenden Zahl weiterer Wahlberechtigter unterstützt werden. Hierfür werden von den Kommunen Unterstützungslisten aufgelegt, in welche sich Wahlberechtigte, die einen Wahlvorschlag unterstützen wollen, eintragen können. Anlässlich der im Berichtszeitraum stattfindenden Gemeinde- und Landkreiswahlen bin ich durch Eingaben besorgter Bürgerinnen und Bürger darauf aufmerksam geworden, dass dabei die bereits geleisteten Unterschriften durch nachfolgende Unterzeichnende eingesehen werden können. Meine datenschutzrechtliche Überprüfung hat insoweit Folgendes ergeben:
6.5.1. Besserer Schutz von Unterschriften bei Eintragungslisten fürVolksbegehren
Art. 37 Abs. 5 Gemeinde- und Landkreiswahlordnung (GLKrWO) bestimmt:
"1Auskünfte über die Zahl der Eintragungen können bereits vor Abschluss der Unterstützungslisten erteilt werden; im Übrigen dürfen aus den Unterstützungslisten keine Auskünfte erteilt und keine Aufzeichnungen zugelassen werden. 2Zur Eintragung darf nur die laufende Seite vorgelegt werden."
Eine vergleichbare Regelung findet sich für die Eintragungslisten von Volksbegehren inhaltsgleich in den Sonderbestimmungen für Volksbegehren nach der Landeswahlordnung (LWO):
"1Die Gemeinde kann bereits vor Abschluss der Eintragungslisten Auskünfte über die Zahl der Eintragungen erteilen; im Übrigen dürfen aus den Eintragungslisten keine Auskünfte erteilt und keine Aufzeichnungen zugelassen werden. 2Den Stimmberechtigten darf nur die laufende Liste vorgelegt werden."
Die Eintragungslisten für Volksbegehren sind entsprechend dem Muster der Anlage 20 zur LWO zu erstellen. In diesem Muster findet sich folgender, über den unmittelbaren Wortlaut des § 80 Abs. 7 LWO hinausgehender Hinweis:
"Aus Datenschutzgründen werden bereits geleistete Eintragungen abgedeckt (vgl. § 80 Abs. 7 LWO)".
In den maßgeblichen Vorschriften für die Durchführung von Gemeinde- und Landkreiswahlen, also dem Gemeinde- und Landkreiswahlgesetz, der Gemeinde- und Landkreiswahlordnung sowie der Gemeinde- und Landkreiswahlbekanntmachung hier insbesondere bei der sachlich einschlägigen Nr. 42 und dem Muster für die Eintragung in Unterstützungslisten gemäß Anlage 10 zu Nr. 42 GLKrWBek - findet sich ein solcher Hinweis dagegen nicht.
6.5.2. Anhebung des Schutzniveaus für Unterschriften auf Unterstützungslisten
Ich bin daher an das für das Wahlrecht in Bayern zuständige Bayerische Staatsministerium des Innern, für Sport und Integration herangetreten und habe darauf hingewiesen, dass eine im Herrschaftsbereich der Kommune erfolgende, von dieser geduldete Offenlegung bereits geleisteter Unterstützungsunterschriften an nachfolgende Unterzeichnende eine Übermittlung personenbezogener Daten seitens der die Liste auslegenden Gemeinde an die jeweils unterschreibenden Personen darstellt. Übermittelt werden dabei neben Namen und Adressen anderer Unterzeichnender auch Informationen zu deren politischer Überzeugung. Gerade letztere Information steht sogar unter dem besonderen Schutz des Art. 9 Abs. 1 DSGVO. Aber auch unabhängig von den besonderen Anforderungen des Art. 9 DSGVO konnte ich für die gerade erläuterte Datenübermittlung durch die Kommunen mangels Erforderlichkeit bereits keine den allgemeinen Anforderungen in Art. 6 DSGVO genügende Rechtsgrundlage erkennen. Hinzu kommt der Grundsatz der Datenminimierung (vgl. Art. 5 Abs. 1 Buchst. c DSGVO). Ich habe daher gefordert, zukünftig auch bei Gemeinde- und Landkreiswahlen bereits geleistete Unterstützungsunterschriften abzudecken.
Erfreulicherweise hat das Innenministerium zugesagt, meinen Vorschlag zur Ergänzung der Anlage 10 zu Nr. 42 GLKrWBek um einen datenschutzrechtlichen Hinweis zur Abdeckung bereits geleisteter Unterschriften nach dem Vorbild der Anlage 20 zur LWO im Rahmen der Evaluierung der Gemeinde- und Landkreiswahlen 2020 aufzugreifen.
6.6. Beweissicherung bei gemeindlichen Straßenbaumaßnahmen per Foto
Die Gemeinden sind gemäß Art. 47 Abs. 1 Bayerisches Straßen- und Wegegesetz (BayStrWG) Träger der Straßenbaulast für die erforderlichen Gemeindestraßen innerhalb des Gemeindegebiets.
Bei der Erweiterung vorhandener Baugebiete kann es im Vorfeld gemeindlicher Straßenbaumaßnahmen sinnvoll sein, zwecks Beweissicherung den Zustand vorhandener Gebäude fotografisch zu erfassen. Straßenbaumaßnahmen können mit der Gefahr verbunden sein, dass bereits vorhandene Gebäude Schaden nehmen, etwa wenn durch Erschütterungen Risse in Wänden auftreten. Für eventuelle Rechtsstreitigkeiten wegen (angeblichen) Beschädigungen durch eine Straßenbaumaßnahme kann eine vorsorglich angefertigte Fotodokumentation des Gebäudezustands ein wertvolles Beweisstück sein, welches hilft, Streit zu vermeiden und gegebenenfalls Steuergelder zu sparen.
Im Berichtszeitraum war ich insoweit mehrfach mit der Frage befasst, welche datenschutzrechtlichen Anforderungen zu beachten sind, wenn solche Fotoaufnahmen angefertigt werden sollen. Insoweit habe ich folgende Hinweise gegeben:
6.6.1. Zustand der Außen- und Innenwände privater Wohngebäude ist ein personenbezogenes Datum
Der zur Beweissicherung gemeindlicherseits dokumentierte Zustand von Außen- als auch von Innenwänden privater Wohngebäude stellt regelmäßig ein personenbezogenes Datum gemäß Art. 4 Nr. 1 DSGVO dar, da die angefertigten Dokumentationen schon von ihrer eingangs erläuterten Zwecksetzung her sinnvollerweise nur unter Hinzufügung von Adresse des Ortes, an dem sich die abgelichteten Objekte befinden und Namen von Betroffenen (Bewohnern oder Eigentümern) in der Gemeindeverwaltung oder bei einem beauftragten Dienstleister veraktet oder elektronisch abgelegt werden. Anders könnte der mit ihnen verfolgte Zweck auch gar nicht erreicht werden. Damit handelt es sich um Informationen, die sich auf identifizierte oder identifizierbare natürliche ("betroffene") Personen beziehen. Werden derartige Fotoaufnahmen, welche zumindest mittels Standortdaten (Adressen) sowie den gerade erläuterten Zusatzinformationen natürlichen Personen zugeordnet werden können, erstellt, gespeichert und gegebenenfalls zu Beweiszwecken verwendet, liegt eine Verarbeitung im Sinne von Art. 4 Nr. 2 DSGVO vor.
6.6.2. Allenfalls Ablichtung jederzeit einsehbarer Außenwände auf Basis gesetzlicher Befugnis zulässig, im Übrigen nur mit Einwilligung
Für die genannten Datenumgänge brauchen Gemeinden gemäß Art. 6 Abs. 1 DSGVO eine Rechtsgrundlage. Das Bayerische Straßen- und Wegegesetz stellt eine solche Rechtsgrundlage nicht zur Verfügung. Auf Art. 4 Abs. 1 BayDSG kann eine Erstellung und Speicherung von Gebäudeaufnahmen nur begrenzt gestützt werden.
Art. 4 BayDSG
Rechtmäßigkeit der Verarbeitung
(1) Die Verarbeitung personenbezogener Daten durch eine öffentliche Stelle ist unbeschadet sonstiger Bestimmungen zulässig, wenn sie zur Erfüllung einer ihr obliegenden Aufgabe erforderlich ist.
[...]
Diese Norm hat nämlich die Funktion eines "Auffangtatbestands", um öffentlichen Stellen bei Fehlen einer fachgesetzlichen Verarbeitungsbefugnis die zur Erfüllung ihrer vielgestaltigen Aufgaben nötigen Datenumgänge zu ermöglichen. Unter Berücksichtigung der unterschiedlichen Intensität der mit den erläuterten Datenumgängen einhergehenden Eingriffe in die Grundrechte der Betroffenen ist daher zu unterscheiden, ob Gegenstand der Datenverarbeitungen Fotografien von Außenfassaden oder von Innenräumen sind.
Insoweit lässt sich allenfalls die Erstellung von Fotografien von Außenfassaden und deren weitere Verarbeitung auf Art. 4 Abs. 1 BayDSG in Verbindung mit der Aufgabe aus Art. 47 Abs. 1 BayStrWG stützen. Voraussetzung hierfür ist insbesondere aber, dass die betroffenen Wände jederzeit unschwer von der Straße aus, also auch ohne etwaiges einvernehmliches Betreten von Nachbargrundstücken von öffentlichen Straßen aus einsehbar sind. Die insoweit angefertigten Dokumentationen sind dann nämlich nur von sehr geringer Eingriffsintensität, da sie nicht über das hinausgehen, was sowieso jedermann im Vorbeigehen an dem Grundstück von öffentlichen Straßengrund aus unschwer wahrnehmen kann.
Mit Fotoaufnahmen der Innenräume von Wohnungen wird demgegenüber regelmäßig in das Grundrecht auf Unverletzlichkeit der Wohnung eingegriffen (Art. 13 Abs. 1 Grundgesetz). Da die Wohnung einer Person ihrer Privatsphäre zuzuordnen ist, wird mit der Aufnahme, Speicherung und Verwendung derartiger Fotografien das Persönlichkeitsrecht auf besondere Weise beeinträchtigt. Daher können die geschilderten Datenumgänge im Wohnungsinnenbereich gerade nicht mehr auf die Auffangnorm des Art. 4 Abs. 1 BayDSG gestützt werden kann. Vielmehr sind Bildaufnahmen im Innenbereich von Wohnungen und weitere Datenumgänge im oben skizzierte Sinne nur auf Grundlage rechtswirksamer Einwilligungen der hiervon betroffenen Person nach Art. 6 Abs. 1 UAbs. 1 Buchst. a, Art. 4 Nr. 11 und Art. 7 DSGVO zulässig.
6.6.3. Auftragsverarbeitung
Soweit die Gemeinde als Verantwortliche (vgl. Art. 4 Nr. 7 DSGVO) die Fotografien nicht selbst erstellt, sondern damit - sowie gegebenenfalls der Speicherung der Aufnahmen - Externe wie etwa ein (Ingenieur-)Büro beauftragt, ist grundsätzlich eine Auftragsverarbeitungsvereinbarung zu schließen (Art. 28 DSGVO).
6.7. Datenschutz bei Jagdgenossenschaften
Datenschutzrechtliche Fragestellungen aus dem Bereich der Jagdgenossenschaften haben mich im Berichtszeitraum wiederholt beschäftigt. Auf Folgendes möchte ich besonders hinweisen:
6.7.1. Anwendbarkeit des Bayerischen Datenschutzgesetzes
Jagdgenossenschaften sind in Bayern gemäß Art. 11 Abs. 1 Satz 1, 2 Bayerisches Jagdgesetz (BayJG) Körperschaften des öffentlichen Rechts unter staatlicher Aufsicht. Damit fallen sie als öffentliche Stellen unter das Bayerische Datenschutzgesetz (Art. 1 Abs. 1 Satz 1 BayDSG).
6.7.2. Benennung von Datenschutzbeauftragten
Oftmals waren sich Jagdgenossenschaften nicht bewusst, dass sie - unabhängig von ihrer Größe - nach Art. 37 Abs. 1 Satz 1 Buchst. a DSGVO zur Benennung von Datenschutzbeauftragten verpflichtet sind. Ich konnte insbesondere zu Aufgaben und Qualifikation auf meine Orientierungshilfe "Der behördliche Datenschutzbeauftragte" verweisen. Konkretisierend habe ich insoweit darauf aufmerksam gemacht, dass regelmäßig ein Interessenkonflikt im Sinne des Art. 38 Abs. 6 DSGVO zu befürchten ist, wenn Datenschutzbeauftragte zugleich Mitglieder der Vorstandschaft sind. Der Grund hierfür liegt darin, dass die Vorstandschaft als Vertretung der Jagdgenossenschaft nach außen die Aufgaben wahrnimmt, welche die Datenschutz-Grundverordnung dem Verantwortlichen zuweist.
Da nach meinem Eindruck gerade bei kleineren Jagdgenossenschaften die Benennung von geeigneten Datenschutzbeauftragten nicht unerhebliche Probleme bereitet, habe ich auf die den Jagdgenossenschaften offenstehenden Kooperationsmöglichkeiten hingewiesen. Beispielsweise könnte nach Art. 37 Abs. 6 DSGVO etwa eine Jagdgenossin oder ein Jagdgenosse mit datenschutzrechtlichen Kenntnissen die Funktion als Datenschutzbeauftragter für mehrere Jagdgenossenschaften übernehmen.
6.7.3. Führung eines Verarbeitungsverzeichnisses
Auch Jagdgenossenschaften müssen gemäß Art. 30 DSGVO ein Verarbeitungsverzeichnis führen. Als Verarbeitungstätigkeit aufzunehmen ist zumindest die Führung des Jagdkatasters. Zu denken ist auch an die Verarbeitung weiterer Daten von Mitgliedern (wie beispielsweise Telefonnummern oder Bankverbindungen) oder von Dritten, wie beispielsweise Jagdpächterinnen und Jagdpächtern oder Begehungsscheininhaberinnen und Begehungsscheininhabern.
6.7.4. Zugang zum Jagdkataster
Auch der datenschutzkonforme Umgang hinsichtlich des Jagdkatasters hat mich mehrfach beschäftigt. Rechtsgrundlage für dessen Führung ist Art. 11 Abs. 1 Satz 1 BayJG in Verbindung mit § 5 Abs. 1 Verordnung zur Ausführung des Bayerischen Jagdgesetzes (AVBayJG). Danach haben Jagdgenossenschaften eine Satzung mit den in Anlage 1 zur AVBayJG genannten Bestimmungen zu beschließen. Nach § 3 Abs. 2 Satz 1 Mustersatzung führt die Jagdgenossenschaft ein Jagdkataster, in dem die Eigentümer oder Nutznießer der zum Gebiet der Jagdgenossenschaft gehörenden Grundflächen und deren Größe ausgewiesen werden.
Dieses Jagdkataster liegt nach § 3 Abs. 2 Satz 4 Mustersatzung für die Jagdgenossen und deren schriftlich Bevollmächtigte zur Einsicht offen. Damit hat der bayerische Gesetzgeber die Entscheidung getroffen, den Jagdgenossinnen und Jagdgenossen zu den Informationen aus dem Jagdkataster voraussetzungslos Zugang zu gewähren. Diese weite Fassung des Einsichtsrechts, welches nicht nur die eigenen personenbezogenen Daten der Einsicht nehmenden Person, sondern auch der übrigen Jagdgenossinnen und Jagdgenossen umfasst, wird dann nachvollziehbar, wenn man die in § 9 Abs. 3 Bundesjagdgesetz (BJagdG) enthaltene Regelung über die erforderliche Mehrheit für die Beschlussfassung in den Sitzungen der Jagdgenossenschaft berücksichtigt. Ein Beschluss bedarf danach nämlich nicht nur einer Mehrheit der anwesenden Personen, sondern auch einer Mehrheit der vertretenen Flächen. Die im Jagdkataster niedergelegten Informationen bilden somit die Grundlage für eine ordnungsgemäße Beschlussfassung. Damit die Jagdgenossinnen und Jagdgenossen dies im Bedarfsfall überprüfen können, müssen ihnen die Daten zugänglich sein.
6.7.5. Datenschutzkonforme Mitgliederversammlungen
Zur datenschutzgerechten Gestaltung von Mitgliederversammlungen habe ich folgende Hinweise gegeben:
6.7.5.1. Umgang mit gestellten Anträgen in öffentlichen Einladungen zur Sitzung
Auch wenn es sich bei dem bloßen Hinweis, dass Jagdgenossinnen oder Jagdgenossen Anträge gestellt haben, welche in der Versammlung behandelt werden sollen, regelmäßig nicht um besonders sensible personenbezogene Informationen handelt, benötigt die Jagdgenossenschaft doch eine Rechtsgrundlage, wenn sie Antragstellerinnen und Antragsteller namentlich in öffentlichen Einladungen zu der nicht öffentlichen Versammlung der Jagdgenossen nennt. Derartige Einladungen ergehen nach § 7 Abs. 1 und Abs. 3 sowie § 15 Mustersatzung durch Bekanntmachung und müssen unter anderem die Tagesordnung enthalten. Jedoch ist regelmäßig keine Erforderlichkeit erkennbar, in öffentlichen Einladungen zu einer nicht öffentlichen Versammlung die Antragsteller namentlich zu nennen. Insoweit war zu berücksichtigen, dass die veröffentlichte Information eben nicht nur den Jagdgenossinnen und Jagdgenossen, sondern auch Nichtmitgliedern zur Kenntnis gebracht wurde.
6.7.5.2. Namentliche Bekanntgabe des ausgezahlten Jagdzinses in der Versammlung
Nach § 13 Abs. 2 Satz 1 Mustersatzung ist zum Ende des Geschäftsjahres eine Jahresrechnung (Kassenbericht) zu erstellen, die den Rechnungsprüfern zur Prüfung und der Versammlung der Jagdgenossen zur Entlastung des Jagdvorstandes und des Kassenführers vorzulegen ist. Einige Jagdgenossenschaften nennen in diesem Rahmen namentlich diejenigen Mitglieder, welche eine Auszahlung des Jagdzinses nach § 10 Abs. 3 BJagdG beantragt haben, und zwar mitsamt den jeweiligen Auszahlungsbeträgen. Soweit den Jagdgenossinnen und Jagdgenossen aus § 13 Abs. 2 Satz 1 der Mustersatzung ein generelles Prüfungs- und Einsichtsrecht in den vorzulegenden Kassenbericht sowie in die zugehörigen Belege zukommt, um die Überprüfung auch konkreter Rechnungspositionen zu ermöglichen, ist die Kenntnisnahme im Kassenbericht verarbeiteter personenbezogener Daten aus datenschutzrechtlicher Sicht grundsätzlich nicht zu beanstanden. Jedenfalls ist aber speziell im Hinblick auf die Auszahlung des Jagdzinses zu berücksichtigen, dass die Höhe des Auszahlungsbetrages sich gemäß § 10 Abs. 3 BJagdG aus dem Reinertrag der Jagdnutzung sowie der vertretenen Fläche berechnet. Dabei handelt es sich aber um Informationen, die den Jagdgenossinnen und Jagdgenossen entweder ohnehin bekannt oder jedenfalls über das Jagdkataster zugänglich sind.
Ich habe insoweit allerdings angeregt, zunächst als datenschutzfreundlichere Möglichkeit eine Zusammenfassung der Auszahlungssummen in Betracht zu ziehen und den gesamten Kassenbericht (insbesondere hinsichtlich personenbezogener Rechnungspositionen) im Rahmen der Versammlung erst dann bekannt zu geben, wenn dies von den Jagdgenossinnen und Jagdgenossen zu Prüfungszwecken gewünscht wird.
6.8. Dienstausweise der Naturschutzwacht datenschutzkonform ausgestaltet
Seit Geltungsbeginn der Datenschutz-Grundverordnung am 25. Mai 2018 bestand schon mehrfach Veranlassung, gerade auch die Datenschutzkonformität von mittlerweile "in die Jahre gekommenen" Vorschriften zu überprüfen. Dies möchte ich an folgendem Beispiel erläutern:
Ein aufmerksamer Bürger hat mich darauf hingewiesen, dass die Ausweise der Naturschutzwacht eine Vielzahl personenbezogener Daten enthalten. Bei meiner Überprüfung habe ich festgestellt, dass die inhaltlich seit Inkrafttreten der Verordnung über die Naturschutzwacht (NatSchWV) im Jahr 1975 unveränderte Anlage 1 "Dienstausweis der Angehörigen der Naturschutzwacht" ein verbindliches Ausweismuster vorsah. Der Ausweis enthielt folgende Informationen: die Ausstellungsbehörde, ein Lichtbild der Ausweisinhaberin oder des Ausweisinhabers, ihr oder sein Vor- und Familienname, das Geburtsdatum, der Geburtsort, eine Amtsbezeichnung oder ein Beruf, die Wohnanschrift sowie eine Unterschrift. Aus § 11 Abs. 1 NatSchWV ergab sich zudem, dass Mitglieder der Naturschutzwacht den Dienstausweis bei der Ausübung des Dienstes mitzuführen und bei Vornahme einer Amtshandlung auf Verlangen vorzuzeigen haben.
Der umfangreiche Datensatz führte dazu, dass ehrenamtliche Mitglieder der Naturschutzwacht, welche Naturschutzbehörden und Polizei unterstützen, bei Amtshandlungen eventuell eine Vielzahl privater Informationen offenbaren müssen. Insoweit stellte sich aus datenschutzrechtlicher Sicht die Frage, wofür eine derart weitreichende Verpflichtung zur Offenbarung personenbezogener Daten erforderlich sein soll. Regelmäßig erfolgt die Vorlage von Dienstausweisen an von Maßnahmen Betroffene nur, um diesen die Überprüfung zu ermöglichen, ob es sich bei der handelnden Person tatsächlich um eine Amtsperson handelt und diese innerhalb der Zuständigkeit agiert. Zieht man vor diesem Hintergrund den Vergleich zu anderen amtlichen bayerischen Dienstausweisen, wie beispielsweise denen, die auf der Grundlage der Allgemeinen Geschäftsordnung für die Behörden des Freistaats Bayern (AGO) ausgestellt werden, wird deutlich, dass diese nach § 35 Abs. 2 AGO mit einem weit geringeren Datensatz auskommen, der lediglich Lichtbild, Vor- und Familienname, Beschäftigungsbehörde mit Anschrift und Unterschrift umfasst.
Daher habe ich mich an das fachlich zuständige Bayerische Staatsministerium für Umwelt und Verbraucherschutz gewandt und darauf hingewiesen, dass der umfangreiche Datensatz der Naturschutzwachtdienstausweise vor dem Hintergrund des Grundsatzes der Datenminimierung (vgl. Art. 5 Abs. 1 Satz 1 Buchst. c DSGVO) erheblichen Zweifeln begegnet. Das Umweltministerium hat meinen Hinweis umgehend aufgegriffen und im Rahmen einer grundlegenden - über meine datenschutzrechtlichen Hinweise deutlich hinausgehenden - Neustrukturierung der gemachten rechtlichen Vorgaben auch den Inhalt der Dienstausweise der Naturschutzwacht angepasst. Anlage 3 der Bekanntmachung des bayerischen Staatsministeriums für Umwelt und Verbraucherschutz über die Bildung einer Naturschutzwacht sieht nunmehr ein Ausweismuster vor, welches neben Informationen zur Ausstellungsbehörde nur noch ein Lichtbild sowie Vor- und Zunamen und Unterschrift der Ausweisinhaberin/des Ausweisinhabers umfasst.
- BayMBl. Nr. 98. [Zurück]
- AllMBl. S. 579. [Zurück]
- Hölzl/Hien/Huber, Gemeindeordnung mit Verwaltungsgemeinschaftsordnung, Landkreisordnung und Bezirksordnung für den Freistaat Bayern, Stand Juni 2020, Art. 52 GO Erl. 4. [Zurück]
- Vom 7. Mai 2019 (BayMBl. Nr. 188). [Zurück]
- Vgl. allgemein Bayerischer Landesbeauftragter für den Datenschutz, Die Einwilligung nach der Datenschutz-Grundverordnung, Stand 10/2018, Internet: https://www.datenschutz-bayern.de, Rubrik Datenschutzreform 2018 Orientierungs- und Praxishilfen Einwilligung. [Zurück]
- Dazu Bayerischer Landesbeauftragter für den Datenschutz, Auftragsverarbeitung, Orientierungshilfe, Stand 4/2019, Internet: https://www.datenschutz-bayern.de, Rubrik Datenschutzreform 2018 Orientierungs- und Praxishilfen Auftragsverarbeitung. [Zurück]
- Bayerischer Landesbeauftragter für den Datenschutz, Der behördliche Datenschutzbeauftragte, Stand 5/2018, Internet: https://www.datenschutz-bayern.de, Rubrik Datenschutzreform 2018 Orientierungs- und Praxishilfen Behördlicher Datenschutzbeauftragter. [Zurück]
- Vom 8. Juni 2020 (BayMBl. Nr. 395). [Zurück]