[go: up one dir, main page]

≡ Sitemap

Der Bayerische Landesbeauftragte für den Datenschutz; Stand: 31.12.2022

6. E-Government und öffentliche Register

6.1. Erneut: Transparenz bei der Beauftragung staatlicher Rechenzentren

Über das Gesetzgebungsvorhaben zu einem Gesetz über die Digitalisierung im Freistaat Bayern (Bayerisches Digitalgesetz - BayDiG) habe ich in der Vergangenheit bereits mehrfach und ausführlich berichtet (siehe meine Ausführungen im 31. Tätigkeitsbericht 2021 unter Nr. 6.1 und im 30. Tätigkeitsbericht 2020 unter Nr. 7.1). Im aktuellen Berichtszeitraum wurde das Bayerische Digitalgesetz verkündet und trat größtenteils auch in Kraft.

An dieser Stelle möchte ich speziell an meine Ausführungen im 30. Tätigkeitsbericht 2020 unter Nr. 7.1.3 zu der aus datenschutzrechtlicher Sicht notwendigen Transparenz bei der Beauftragung staatlicher Rechenzentren anknüpfen und über meine Beteiligung an der Erarbeitung des Entwurfs für eine Bekanntmachung der Staatsregierung über Allgemeine Nutzungsbedingungen zur datenschutzrechtlichen Auftragsverarbeitung durch staatliche Stellen für öffentliche Stellen (Allgemeine Nutzungsbedingungen Auftragsverarbeitungsverhältnis - ANB-AVV) berichten.

Kurz rekapituliert geht es im Wesentlichen um Folgendes: Mit voranschreitender Digitalisierung der bayerischen Verwaltung wächst insbesondere das Interesse kleinerer Behörden und Kommunen, ihre IT-Verfahren zentral in einem staatlichen Rechenzentrum betreiben zu lassen. Derartige Sachverhalte stellen in datenschutzrechtlicher Hinsicht regelmäßig Auftragsverarbeitungen gemäß Art. 28 DSGVO dar. Zur Begründung eines wirksamen Auftragsverarbeitungsverhältnisses bestimmt Art. 28 Abs. 3 Satz 1 DSGVO:

"Die Verarbeitung durch einen Auftragsverarbeiter erfolgt auf der Grundlage eines Vertrags oder eines anderen Rechtsinstruments nach dem Unionsrecht oder dem Recht der Mitgliedstaaten, der bzw. das den Auftragsverarbeiter in Bezug auf den Verantwortlichen bindet und in dem Gegenstand und Dauer der Verarbeitung, Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten, die Kategorien betroffener Personen und die Pflichten und Rechte des Verantwortlichen festgelegt sind."

Auf diese Regelung nimmt Art. 38 BayDiG Bezug.

Art. 38 BayDiG

Auftragsverarbeitung durch staatliche Stellen

(1) 1Unabhängig vom Anwendungsbereich dieses Gesetzes erfolgt die datenschutzrechtliche Auftragsverarbeitung durch staatliche Stellen für öffentliche Stellen auf Grundlage eines Vertrages im Sinne des Art. 28 Abs. 3 Satz 1 Alternative 1 DSGVO oder § 62 Abs. 5 Satz 1 Alternative 1 des Bundesdatenschutzgesetzes und mit dem Vertragsinhalt, wie er nach Maßgabe dieses Artikels bestimmt wird, wenn und soweit die Auftragsverarbeitung nicht anderweitig gesetzlich geregelt ist. 2Zur Begründung eines Auftragsverarbeitungsverhältnisses durch Vertrag teilt der Verantwortliche dem Auftragsverarbeiter in Textform mit:

  1. Gegenstand und Dauer der Verarbeitung,
  2. Art und Zweck der Verarbeitung,
  3. die Art der personenbezogenen Daten und
  4. die Kategorien betroffener Personen.

(2) 1Bereits bestehende Auftragsverarbeitungsverhältnisse im Sinne des Abs. 1 Satz 1 werden zum Ablauf des dritten auf das Inkrafttreten des Gesetzes folgenden Kalenderjahres ungültig, soweit nicht rechtzeitig vor diesem Zeitpunkt der Verantwortliche oder der Auftragsverarbeiter ein bestehendes Auftragsverarbeitungsverhältnis in Textform bestätigt und der jeweils andere Vertragspartner zustimmt. 2Die allgemeinen Nutzungsbedingungen zur datenschutzrechtlichen Auftragsverarbeitung werden in der jeweils geltenden Fassung, die durch Bekanntmachung der Staatsregierung im Bayerischen Ministerialblatt festgelegt werden, Bestandteil des Vertrages im Sinne des Abs. 1 Satz 1, soweit Verantwortlicher und Auftragsverarbeiter nicht eine abweichende individualvertragliche Vereinbarung treffen. 3Die allgemeinen Nutzungsbedingungen zur datenschutzrechtlichen Auftragsverarbeitung können auch Regelungen zur Begründung von weiteren Auftragsverarbeitungsverhältnissen enthalten.

In Art. 38 Abs. 1 Satz 1 BayDiG wird klargestellt, dass die datenschutzrechtliche Auftragsverarbeitung durch staatliche Stellen für öffentliche Stellen grundsätzlich auf vertraglicher Basis erfolgt, während in Art. 38 Abs. 2 Satz 2 BayDiG der Einbezug allgemeiner Nutzungsbedingungen in dieses Vertragsverhältnis zugelassen wird.

Funktionsweise und Wirkung dieser allgemeinen Nutzungsbedingungen entsprechen nach meinem Verständnis den aus dem Privatrecht bekannten sogenannten Allgemeinen Geschäftsbedingungen und können wesentlich zur gewünschten Standardisierung und schnelleren Abwicklung derartiger Auftragsverarbeitungen beitragen. An der Ausarbeitung des Entwurfs der Allgemeinen Nutzungsbedingungen Auftragsverarbeitungsverhältnis beteiligte ich mich daher intensiv. Aus datenschutzrechtlicher Sicht waren mir im Rahmen meiner Beteiligung insbesondere folgende Punkte wichtig:

6.1.1. Wirksamer Vertrag über Auftragsverarbeitung erforderlich

Zur grundsätzlichen Einordnung der Allgemeinen Nutzungsbedingungen Auftragsverarbeitungsverhältnis verdeutlichte ich, dass das Auftragsverarbeitungsverhältnis gemäß Art. 38 Abs. 1 Satz 1 BayDiG - trotz eines mir gegenüber vorgebrachten dringenden Bedürfnisses nach möglichst weitgehender Standardisierung und Beschleunigung - durch einen von beiden Stellen abzuschließenden Vertrag zustande kommen soll. Damit sind zwei übereinstimmende Willenserklärungen in Gestalt von Angebot und Annahme erforderlich, welche die für die Vertragsart typischen wesentlichen Bestimmungen enthalten müssen. Zwar können insoweit auch vorformulierte Vertragsbedingungen zum Einsatz kommen, so dass nicht alles zum Gegenstand individualvertraglicher Regelungen gemacht werden muss. Jedoch sind die in Art. 38 Abs. 1 Satz 2 BayDiG bezeichneten Inhalte, welche wesentliche Bestandteile des Vertrages im Sinne von Art. 28 Abs. 3 Satz 1 DSGVO konkretisieren, nach meinem Verständnis zwingender Gegenstand individualvertraglicher Regelungen.

Konkret kann die in Art. 38 Abs. 1 Satz 2 BayDiG vorgesehene Mitteilung der Kernpunkte der vorgesehenen - möglichst standardisierten - Auftragsverarbeitung durch den Verantwortlichen nur das Angebot sein, entsprechende Leistungen in Anspruch nehmen zu wollen. Dieses Angebot bedarf dann aber noch der rechtlich bindenden Annahme durch den Auftragsverarbeiter - insbesondere im Rahmen der vorhandenen Kapazitäten - etwa in Form einer Bestätigung, um dadurch einen Auftragsverarbeitungsvertrag zu begründen. Damit die -Allgemeinen Nutzungsbedingungen Auftragsverarbeitungsverhältnis Bestandteil des Auftragsverarbeitungsverhältnisses werden, müssen diese wirksam in den Vertrag einbezogen werden. Deren Veröffentlichung im Amtsblatt soll zwar insoweit ihre Einbeziehung in das Vertragsverhältnis erleichtern, macht aber nicht die zum Abschluss eines wirksamen Auftragsverarbeitungsvertrages erforderliche Annahme eines vorherigen Angebots obsolet. Hinzu kommt, dass die allgemeinen Nutzungsbedingungen nach Art. 38 Abs. 2 Satz 2 Halbsatz 2 BayDiG nur dann und insoweit gelten, als Verantwortlicher und Auftragsverarbeiter nicht eine abweichende individualvertragliche Vereinbarung treffen.

6.1.2. Beachtung der "Rollenverteilung" nach der Datenschutz-Grundverordnung

Im Hinblick auf die "Machtverhältnisse" der Vertragsparteien war mir wichtig, dass die in Art. 28 DSGVO ausdifferenziert festgelegte Rollenverteilung zwischen Verantwortlichen und Auftragsverarbeitern auch in den Allgemeinen Nutzungsbedingungen Auftragsverarbeitungsverhältnis abgebildet ist. Immer wieder habe ich daher im Rahmen meiner Beteiligung bei der Erarbeitung der Allgemeinen Nutzungsbedingungen Auftragsverarbeitungsverhältnis den Blick auf das mit mir abgestimmte vom Bayerischen Staatsministerium des Innern, für Sport und Integration veröffentlichte Muster einer Vereinbarung zur Auftragsverarbeitung gelenkt. Beabsichtigte Abweichungen von diesem die Vorgaben des Art. 28 DSGVO datenschutzkonform und praxistauglich umsetzenden Muster habe ich mir detailliert erläutern lassen. Hierdurch ist es beispielsweise gelungen, die gegenseitigen Informationspflichten der Vertragsparteien auszutarieren und eine nach den ersten Entwürfen der Allgemeinen Nutzungsbedingungen Auftragsverarbeitungsverhältnis zunächst einseitig beim Verantwortlichen liegende Informationslast durch Aufnahme gleichwertiger Informationspflichten des Auftragsverarbeiters zu kompensieren. Beispielsweise sehen die Allgemeinen Nutzungsbedingungen Auftragsverarbeitungsverhältnis nun neben der Mitteilungspflicht des Verantwortlichen hinsichtlich der Kontaktdaten der Ansprechpartner auch eine Pflicht des Auftragsverarbeiters vor, dem Verantwortlichen nicht nur die oder den eigenen Datenschutzbeauftragten namhaft zu machen, sondern auch Ansprechpartner für im Rahmen der Auftragsverarbeitung etwa veranlasste Weisungen. Im Falle der Feststellung von Unregelmäßigkeiten im Rahmen der Auftragsverarbeitung sehen die Allgemeinen Nutzungsbedingungen Auftragsverarbeitungsverhältnis nun beide Vertragsparteien in der Pflicht, die jeweils andere Vertragspartei darüber zu informieren.

6.1.3. Bestimmtheit der Verarbeitungsdauer

Bei der Ausgestaltung von Auftragsverarbeitungsverhältnissen muss auch die Dauer der Verarbeitung zweifelsfrei festgelegt werden. Der Verantwortliche muss feststellen können, ob der Auftrag im vorgegebenen Zeitrahmen bleibt. Bei einem unbefristeten Auftragsverarbeitungsverhältnis ist insoweit ein ordentliches Kündigungsrecht vorzusehen. Bei schwerwiegenden Verstößen des Auftragsverarbeiters muss es dem Verantwortlichen aber auch möglich sein, sich vorzeitig vom Vertrag lösen zu können (außerordentliches Kündigungsrecht).

Bei der Erarbeitung der Allgemeinen Nutzungsbedingungen Auftragsverarbeitungsverhältnis waren insofern praxisgerechte und datenschutzkonforme Regelungen für die vielfältigen Möglichkeiten einer Auftragsverarbeitung durch staatliche Rechenzentren zu finden. Dabei war auch das Verhältnis zu dem Hauptvertrag in den Blick zu nehmen, welcher der - mittels der Auftragsverarbeitung geregelten - Datenverarbeitung regelmäßig zu Grunde liegen wird. Konkret ist insoweit beispielsweise vorgesehen, dass im Falle eines befristeten Dienstleistungsvertrags (Hauptvertrag) automatisch auch der Vertrag zur Auftragsverarbeitung entsprechend befristet ist, was einen grundsätzlichen zeitlichen Gleichlauf beider Verträge sicherstellt. Auch die Regelung des ordentlichen Kündigungsrechts orientiert sich an der Regelung des Hauptvertrages. Nur wenn der Hauptvertrag keine Regelung hierzu enthält, ist ein isoliertes ordentliches Kündigungsrecht für den Auftragsverarbeitungsvertrag vorgesehen. Geregelt ist daneben auch die Möglichkeit einer außerordentlichen Kündigung. Grenzen bei der Ausübung eines derartigen Kündigungsrechts können sich im Einzelfall aus der in Art. 3 Abs. 1 BayDSG niedergelegten datenschutzrechtlichen Sicherstellungspflicht - insbesondere von obersten staatlichen Dienststellen für ihren jeweiligen nachgeordneten Bereich - ergeben.

6.2. Melderegisterauskunft durch die Meldebehörde: zulässig nur aus dem örtlichem Melderegister

Zu Abfragen von Meldedaten im Bayerischen Behördeninformationssystem (BayBIS) habe ich mich bereits mehrfach geäußert (zu nicht dienstlich veranlassten Abfragen siehe zuletzt meinen 30. Tätigkeitsbericht 2020 unter Nr. 7.6 sowie meinen 28. Tätigkeitsbericht 2018 unter Nr. 7.1). Anlässlich einer an mich gerichteten Bürgereingabe war ich im Berichtszeitraum erneut mit derartigen Meldedatenabfragen, konkret mit einer unzulässigerweise auf eine BayBIS-Abfrage gestützten Melderegisterauskunft durch eine Meldebehörde befasst. Der an mich gerichteten Eingabe lag die Anfrage eines Rechtsanwalts bei einer Meldebehörde zu den Adressdaten eines namentlich benannten Bürgers zugrunde. Da die betreffende Person jedoch nie im Zuständigkeitsbereich der Meldebehörde gewohnt hatte, waren keine Daten im örtlichen Melderegister vorhanden. Daher holte die Meldebehörde die Adressdaten über eine BayBIS-Personenauskunft bei der Anstalt für kommunale Datenverarbeitung in Bayern (AKDB) ein und teilte sie dem Rechtsanwalt mit. Dagegen hat sich der von der Datenabfrage betroffene Bürger zu Recht bei mir beschwert.

6.2.1. Unterschied örtliches Melderegister und zentraler Meldedatenbestand

Die Gemeinden führen als Meldebehörden nach § 1 Bundesmeldegesetz (BMG) in Verbindung mit Art. 1 Abs. 1 Satz 1 Bayerisches Gesetz zur Ausführung des Bundesmeldegesetzes (BayAGBMG) ein örtliches Melderegister (§ 2 Abs. 2 BMG), in welchem der in § 3 BMG aufgelistete umfangreiche Datenkatalog wie etwa Name, Geschlecht, Staatsangehörigkeit, Anschrift, Familienstand oder die Seriennummern von Ausweisdokumenten der im Gebiet der jeweiligen Gemeinde meldepflichtigen Personen gespeichert werden.

§ 2 BMG

Aufgaben und Befugnisse der Meldebehörden

(1) Die Meldebehörden haben die in ihrem Zuständigkeitsbereich wohnhaften Personen (Einwohner) zu registrieren, um deren Identität und deren Wohnungen feststellen und nachweisen zu können.

(2) Die Meldebehörden führen zur Erfüllung ihrer Aufgaben Melderegister. Diese enthalten Daten, die bei der betroffenen Person erhoben, von öffentlichen Stellen übermittelt oder sonst amtlich bekannt werden.

[...]

Art. 1 BayAGBMG

Meldebehörden

(1) 1Meldebehörden sind die Gemeinden. [...]

(2) 1Örtlich zuständig ist

  1. im Fall des § 50 Abs. 1 des Bundesmeldegesetzes (BMG) die Meldebehörde des aktuellen Hauptwohnsitzes der betroffenen Person,
  2. für Melderegisterauskünfte im Übrigen und für Datenübermittlungen an öffentliche Stellen aus dem Melderegister jede Meldebehörde, bei der der Betroffene gemeldet ist oder war,
  3. im Übrigen die Meldebehörde, bei der ein meldepflichtiger Vorgang stattfindet.

[...]

Davon zu unterscheiden ist der bei der AKDB geschaffene zentrale Meldedatenbestand für die bayerischen Meldebehörden (Art. 7 Abs. 2 BayAGBMG), der aus dem täglich aktualisierten örtlichen Bestand gespeist wird (vgl. Art. 7 Abs. 1 BayAGBMG). Insoweit datenschutzrechtlich Verantwortlicher ist gemäß Art. 4 Nr. 7 DSGVO die AKDB. Auf diesem Datenbestand aufbauend betreibt die AKDB zum einen das Bayerische Behördeninformationssystem (BayBIS), über welches öffentliche Stellen Meldedaten auf Grundlage des § 5 Abs. 1 Verordnung zur Übermittlung von Meldedaten (Meldedatenverordnung - MeldDV) abrufen können.

Art. 7 BayAGBMG

Zentraler Meldedatenbestand

(1) Die Meldebehörden übermitteln tagesaktuell die Daten ihrer Einwohner nach § 3 Abs. 1 BMG, bezüglich § 3 Abs. 1 Nr. 17 BMG ohne Sperrkennwort und Sperrsumme, und nach § 3 Abs. 2 Nr. 1 und 4 bis 11 BMG sowie Änderungen dieser Daten an die AKDB.

(2) 1Die AKDB hat den nach Abs. 1 geschaffenen zentralen Meldedatenbestand zu speichern und darf ihn im Übrigen nur nach Maßgabe gesonderter Vorschriften verarbeiten. 2Die AKDB ist hierbei Verantwortliche im Sinne des Kapitels IV der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung -DSGVO).

[...]

§ 5 MeldDV

Automatisierte Behördenauskunft

(1) Soweit es zur Erfüllung ihrer Aufgaben erforderlich ist, können öffentliche Stellen aus dem nach Art. 7 Abs. 1 BayAGBMG geschaffenen zentralen Meldedatenbestand

  1. bei einer Personensuche vorbehaltlich abweichender Bestimmungen in dieser Verordnung die in § 5 Abs. 1 Satz 1 BMeldDAV und
  2. bei einer freien Suche die in § 8 Abs. 1 Satz 1 BMeldDAV aufgezählten Daten

automatisiert abrufen.

[...]

Zum anderen stellt die AKDB gemäß Art. 9 Abs. 1 Satz 1 BayAGBMG ein Portal zur Verfügung, über welches Auskunftssuchende aus dem zentralen Meldedatenbestand insbesondere einfache Melderegisterauskünfte (dazu näher sogleich) einholen können.

Art. 9 BayAGBMG

Portal

(1) 1Die AKDB kann aus dem nach Art. 7 geschaffenen Datenbestand ein Portal betreiben, aus dem automatisiert einfache Melderegisterauskünfte nach § 49 BMG und Datenbestätigungen nach § 49a BMG erteilt werden.

[...]

6.2.2. Unterschied einfache und erweiterte Melderegisterauskunft

§ 44 Abs. 1 BMG ermöglicht es einer Person, über eine andere Person Auskunft hinsichtlich der in dieser Norm enumerativ aufgezählten Grunddaten zu erhalten (einfache Melderegisterauskunft). Zu diesen Grunddaten zählen auch die derzeitigen Anschriften. Voraussetzung für die Auskunftserteilung ist insbesondere, dass gemäß § 44 Abs. 3 BMG die Identität der Person, deren Grunddaten begehrt werden, auf Grund der in der Anfrage mitgeteilten Angaben eindeutig festgestellt werden kann. Die Darlegung eines berechtigten Interesses ist für die Auskunft nicht erforderlich.

§ 44 BMG

Einfache Melderegisterauskunft

(1) 1Wenn eine Person zu einer anderen Person oder wenn eine andere als die in § 34 Absatz 1 Satz 1 oder § 35 bezeichnete Stelle Auskunft verlangt, darf die Meldebehörde nur Auskunft über folgende Daten einzelner bestimmter Personen erteilen (einfache Melderegisterauskunft):

  1. Familienname,
  2. Vornamen unter Kennzeichnung des gebräuchlichen Vornamens,
  3. Doktorgrad und
  4. derzeitige Anschriften sowie,
  5. sofern die Person verstorben ist, diese Tatsache.

2Sofern die Daten für gewerbliche Zwecke verwendet werden, sind diese anzugeben.

[...]

(3) Die Erteilung einer einfachen Melderegisterauskunft ist nur zulässig, wenn

  1. die Identität der Person, über die eine Auskunft begehrt wird, eindeutig festgestellt werden kann auf Grund der in der Anfrage mitgeteilten Angaben über
  2. den Familiennamen,
  3. den früheren Namen,
  4. die Vornamen,
  5. das Geburtsdatum,
  6. das Geschlecht oder
  7. eine Anschrift und
  8. die Daten nicht für Zwecke der Werbung oder des Adresshandels verwendet werden und die Auskunft verlangende Person oder Stelle dies erklärt.

Im Wege einer erweiterten Melderegisterauskunft nach § 45 Abs. 1 BMG dürfen bei Vorliegen eines berechtigten Interesses zusätzliche Daten, wie beispielsweise frühere Anschriften oder Name und Anschrift des Ehegatten oder Lebenspartners, beauskunftet werden.

§ 45 BMG

Erweiterte Melderegisterauskunft

(1) Soweit ein berechtigtes Interesse glaubhaft gemacht wird, darf zu den in § 44 Absatz 1 genannten Daten einzelner bestimmter Personen eine erweiterte Melderegisterauskunft erteilt werden über

  1. frühere Namen,
  2. Geburtsdatum und Geburtsort sowie bei Geburt im Ausland auch den Staat,
  3. Familienstand, beschränkt auf die Angabe, ob verheiratet oder eine Lebenspartnerschaft führend oder nicht,
  4. derzeitige Staatsangehörigkeiten,
  5. frühere Anschriften,
  6. Einzugsdatum und Auszugsdatum,
  7. Familienname und Vornamen sowie Anschrift des gesetzlichen Vertreters,
  8. Familienname und Vornamen sowie Anschrift des Ehegatten oder des Lebenspartners sowie
  9. Sterbedatum und Sterbeort sowie bei Versterben im Ausland auch den Staat.

[...]

Für die Erfüllung der Informationspflichten nach Art. 14 DSGVO ist der Empfänger verantwortlich. Über Art. 14 Abs. 5 DSGVO hinaus sieht § 45 Abs. 2 BMG eine zusätzliche Beschränkung vor; die auf Art. 23 Abs. 1 Buchst. i und j DSGVO gestützte nationale Regelung gilt entsprechend auch für die einfache Melderegisterauskunft (§ 44 Abs. 5 BMG).

6.2.3. Auskunft über bei der Meldebehörde nie gemeldete Personen ist keine öffentliche Aufgabe

Wird ein Antrag auf Melderegisterauskunft bei einer Meldebehörde gestellt, bei der die Person, über die Auskunft begehrt wird, nie gemeldet war, kann und darf keine Auskunft erteilt werden. Vielmehr darf die Meldebehörde eine Melderegisterauskunft nur aus dem örtlichen Melderegister erteilen. In diesem liegen die begehrten Daten aber in einem solchen Fall nicht vor. Die Meldebehörde ist auch nicht befugt, sich die begehrten Daten im zentralen Meldedatenbestand der AKDB mittels einer BayBIS-Recherche oder durch Nachfrage bei einer anderen Meldebehörde zu beschaffen. Sowohl § 5 Abs. 1 MeldDV als auch § 34 Abs. 1 Satz 1, Abs. 2 Satz 1 Nr. 1 BMG in Verbindung mit § 34a Abs. 1 BMG sehen nämlich als Voraussetzung für einen Datenabruf durch eine Behörde vor, dass dieser zur Erfüllung ihrer öffentlichen Aufgaben erforderlich ist. Daran fehlt es jedoch, denn gemäß Art. 1 Abs. 2 Satz 1 Nr. 2 BayAGBMG ist für eine derartige Melderegisterauskunft nur die Meldebehörde örtlich zuständig, bei welcher die oder der Betroffene gemeldet ist oder war.

War die Person, über die Auskunft begehrt wird, nie in der angefragten Gemeinde gemeldet, gehört die Beauskunftung über diese Person folglich nicht zu den öffentlichen Aufgaben der Gemeinde und der Datenabruf über BayBIS ist daher nicht erforderlich. Selbst wenn die Person früher in der Gemeinde gewohnt hat, darf die Meldebehörde die neue Adresse ebenfalls nicht im zentralen Datenbestand recherchieren, da die Erteilung der Melderegisterauskunft nur aus dem örtlichen Melderegister erfolgt und darauf die öffentliche Aufgabe beschränkt ist.

6.3. Ausländerzentralregister: unzulässiger automatisierter Abruf durch Meldebehörde

Eine nach der Verlagerung einer Einrichtung des Zentrums für Ankunft, Entscheidung, Rückführung (AnkER-Einrichtung) melderechtlich für die dort untergebrachten Asylbewerbenden zuständige Gemeinde sah sich wegen häufiger Unklarheiten etwa bei Geburtsdaten oder Namensschreibweisen sowie dem Problem von Alias-Identitäten mit einem erheblichen Mehraufwand in der melderechtlichen Sachbearbeitung konfrontiert. Um die Bearbeitung zu vereinfachen, stellte die Gemeinde beim Bundesverwaltungsamt einen Antrag auf Zulassung zum automatisierten Datenabruf aus dem Ausländerzentralregister. Begründet wurde dieser Antrag mit dem Bestehen der AnkER-Einrichtung auf dem Gemeindegebiet sowie insbesondere der Aufgabe der Aufrechterhaltung der öffentlichen Sicherheit und Ordnung, wobei die Gemeinde klarstellte, dass die Aufnahmeeinrichtung keine kommunale, sondern eine staatliche Einrichtung ist.

In der Folge wurde die Gemeinde zum automatisierten Datenabruf aus dem AZR zur alleinigen Nutzung durch das AnkER-Zentrum - im Sinne einer Dienststelle innerhalb der Gemeinde - zugelassen, obwohl die Gemeinde nicht zu dem Kreis der in § 22 Abs. 1 Gesetz über das Ausländerzentralregister (AZRG) genannten öffentlichen Stellten gehört, welche zum Abruf im automatisierten Verfahren zugelassen werden können. Die Zugriffsmöglichkeit wurde in der Folge durch die Gemeinde genutzt, um mangelhafte Meldedatensätze durch Auskünfte aus dem AZR zu korrigieren, wobei als Zugriffsgrund jeweils "ausländerrechtliche Aufgaben" vermerkt wurde. Im Rahmen einer Überprüfung hat das Bundesverwaltungsamt den Fehler bemerkt und die Zulassung zum automatisierten Abruf zurückgenommen. Datenschutzrechtlich habe ich den Fall wie folgt bewertet:

6.3.1. Fehlende Befugnis zum automatisierten Datenabruf aus dem AZR

Mit dem Abruf der im AZR gespeicherten Informationen hat die Gemeinde personenbezogene Daten der hiervon Betroffenen verarbeitet (vgl. Art. 4 Nr. 1 und Nr. 2 DSGVO). Öffentliche Stellen benötigen für jede Verarbeitung personenbezogener Daten eine Rechtsgrundlage (vgl. Art. 6 Abs. 1 UAbs. 1 DSGVO). Dabei sollen sie sich bei der Erfüllung ihrer öffentlichen Aufgaben grundsätzlich auf die speziellen fachgesetzlichen Befugnisse zur Verarbeitung personenbezogener Daten bzw. auf die allgemeine Befugnisnorm des Art. 4 Abs. 1 BayDSG stützen (vgl. Art. 6 Abs. 1 UAbs. 1 Buchst. e DSGVO).

Eine bereichsspezifische Befugnisnorm, welche der Gemeinde den direkten Zugriff auf die im AZR gespeicherten Datensätze erlauben würde, enthalten weder das Gesetz über das Ausländerzentralregister noch das Bundesmeldegesetz. Hierbei handelt es sich um eine bewusste Entscheidung des Gesetzgebers mit der Folge, dass sich die Gemeinde beim automatisierten Abruf auch nicht auf die allgemeine Befugnisnorm Art. 4 Abs. 1 BayDSG stützen konnte. § 22 Abs. 1 Satz 1 AZRG zählt vielmehr enumerativ und abschließend die Behörden und öffentlichen Stellen auf, welche zum Datenabruf im automatisierten Verfahren zugelassen werden können. Da eine Gemeinde nicht hierzu zählt, stellte formal betrachtet jeder automatisierte Abruf einen Datenschutzverstoß dar.

6.3.2. Datenverarbeitung als solche aber materiell-rechtlich zulässig

Bei der datenschutzrechtlichen Bewertung habe ich aber auch berücksichtigt, dass materiell-rechtlich eine Verarbeitung der abgefragten Daten durch die Gemeinde durchaus vorgenommen werden durfte. Letztlich war nur die Art und Weise der Datenerlangung, nämlich der Abruf im automatisierten Verfahren, fehlerhaft.

Aufgabe der Meldebehörde ist nach § 2 Bundesmeldegesetz (BMG) insbesondere die Registrierung der in ihrem Zuständigkeitsgebiet wohnhaften Personen, das Führen eines Melderegisters und die Mitwirkung bei der Durchführung von öffentlichen Aufgaben anderer öffentlicher Stellen. Bei Personen, die einen Asylantrag gestellt haben, ist sie als Daten an die Registerbehörde übermittelnde Stelle im Sinne einer Datenpflege berechtigt und verpflichtet, die von ihr übermittelten Daten auf Richtigkeit und Aktualität zu überprüfen, soweit dazu Anlass besteht (§ 8 Abs. 3 Satz 1 in Verbindung mit § 6 Abs. 1 Nr. 9 AZRG). Nach § 18e Abs. 1 Satz 1 AZRG werden in Asylangelegenheiten und Fällen unerlaubter Einreise oder Aufenthalten neben den Grundpersonalien die AZR-Nummer (zum Zweck der eindeutigen Zuordnung), die Anschrift im Bundesgebiet sowie Übermittlungssperren in einem automatisierten Verfahren an die zuständige Meldebehörde zur Erfüllung ihrer Aufgaben unverzüglich nach der Unterbringung in einer Aufnahmeeinrichtung übermittelt. Diese Grundpersonalien werden in § 3 Abs. 1 Nr. 4 AZRG definiert und setzen sich aus dem Familiennamen, dem Geburtsnamen, den Vornamen, der Schreibweise der Namen nach deutschem Recht, dem Geburtsdatum, Ort, Land und Bezirk der Geburt, dem Geschlecht sowie den Staatsangehörigkeiten zusammen. Außerdem werden Änderungen dieser Daten übermittelt, § 18e Abs. 1 Satz 2 AZRG. Melderechtlich kann nach § 23 Abs. 5 BMG die Anmeldung von Personen, die in eine Aufnahmeeinrichtung zugezogen sind, automatisiert durch Übernahme der Daten aus dem AZR nach § 18e AZRG erfolgen. Über die Grundpersonalien hinausgehende Daten - wie Angaben zum Zuzug oder Fortzug nach § 3 Abs. 1 Nr. 6 AZRG - können der Meldebehörde im Wege eines Übermittlungsersuchens übermittelt werden, soweit die Kenntnis dieser Daten zur Erfüllung ihrer Aufgaben erforderlich ist, § 10 Abs. 1 Satz 1 AZRG. § 10 Abs. 5 AZRG stellt daneben klar, dass zur Datenpflege im Sinne des § 8 Abs. 3 AZRG die zu überprüfenden Daten an die dazu berechtigte oder verpflichtete Stelle grundsätzlich übermittelt werden.

Gegenüber der Gemeinde sah ich mich zur Feststellung eines Datenschutzverstoßes veranlasst. Insoweit konnte sich die Gemeinde nicht auf einen entschuldigenden Vertrauenstatbestand in Gestalt der Zulassung zum automatisierten Datenabruf durch das Bundesverwaltungsamt berufen. Neben dem Umstand, dass es für die Feststellung eines Datenschutzverstoßes von vornherein nicht auf eine etwaige Bösgläubigkeit der öffentlichen Stelle ankommt, machte sie bei der jeweiligen Abfrage auch mit der Angabe von "ausländerrechtlichen Aufgaben" als Auskunftszweck für ihre Aufgabenerfüllung aus dem Melderecht unrichtige Angaben und trug dazu bei, dass der unrechtmäßige Zustand, nämlich der Zugang zum automatisierten Verfahren zu melderechtlichen Zwecken, aufrechterhalten blieb.

6.4. Schengener Informationssystem, Visa-Informationssystem und Eurodac: datenschutzrechtliche Prüfung des Einsatzes

Die Bedeutung der Nutzung gerade auch von grenzüberschreitenden Informationssystemen nimmt stetig zu. Exemplarisch zu nennen sind hier der Einsatz des Schengener Informationssystems, des Visa-Informationssystems und des Eurodac. Kurz zusammengefasst geht es um Folgendes:

Das Schengener Informationssystem (SIS II) ist ein Großinformationssystem, das die Zusammenarbeit zwischen den nationalen Grenzschutz-, Zoll- und Polizeibehörden des Schengen-Raums vereinfacht. Das SIS II ermöglicht es den zuständigen Behörden der Schengener Mitgliedsstaaten, Ausschreibungen zu Personen oder Gegenständen vorzunehmen. Die Gründe für eine Ausschreibung umfassen etwa Einreiseverweigerungen von Personen, die den Schengen-Raum nicht betreten oder sich in diesem nicht aufhalten dürfen, Fahndungen nach Personen, die mittels Europäischem Haftbefehl gesucht werden, die Suche nach vermissten Personen oder die Fahndung nach verlorenen oder gestohlenen Gegenständen, wie etwa Reisepässe oder Autos.

Das Visa-Informationssystem (VIS) ist ein System für den Austausch von Visa-Daten zwischen den Schengen-Staaten.

Mit dem europäischen System Eurodac werden Fingerabdrücke von Asylbewerbern und Geflüchteten europaweit erhoben, zentral gespeichert (sog. Zentraleinheit) und abgeglichen.

Bereits in der Vergangenheit beschäftigte ich mich wiederholt und unter verschiedenen Blickwinkeln mit Datenverarbeitungen durch bayerische öffentliche Stellen im Schengener Informationssystem. Ich verweise hierzu insbesondere auf meine Ausführungen im 19. Tätigkeitsbericht 2000 unter Nr. 10.1, im 21. Tätigkeitsbericht 2004 unter Nr. 13.1 und im 25. Tätigkeitsbericht 2012 unter Nr. 12.2. In meiner datenschutzrechtlichen Praxis zu beurteilen war insoweit anhand konkreter Beschwerden insbesondere die Zulässigkeit einer Speicherung und Verlängerung von Ausschreibungen im Schengener Informationssystem durch bayerische Ausländerbehörden. Im Berichtszeitraum weitete ich jedoch angesichts der großen Tragweite der Datenverarbeitungen und der insoweit teilweise bestehenden Pflichten zur regelmäßigen Prüfung den Fokus aus und überprüfte anlassunabhängig die Datenverarbeitung einer zufällig ausgewählten bayerischen Kreisverwaltungsbehörde in Bezug auf die drei Informationssysteme generell.

Hierbei wandte ich mich an die betreffende Kreisverwaltungsbehörde und bat diese, mir die konkreten Rahmenbedingungen vor Ort zum Einsatz dieser Informationssysteme anhand eines von mir erstellten Fragebogens detailliert zu erläutern. Thema meiner Fragen war dabei unter anderem die konkrete technische Anbindung an die verschiedenen Systeme, die Vergabe von Zugriffsrechten, die Klärung von Anwendungsszenarien und die Schulung der zugriffsberechtigten Personen. Die Kreisverwaltungsbehörde hat legte mir daraufhin ausführlich dar, auf welche Art und Weise, in welchen Konstellationen und in welchem Umfang sie die entsprechenden Informationssysteme nutzt. Auf Grund der bayernweiten Bedeutung der Thematik und sich insbesondere auch durch die Erweiterung des Schengener Informationssystems (Einführung des SIS 3.0) ergebenden Neuerungen (wie beispielsweise den direkten schreibenden und lesenden Zugriff der Ausländerbehörden auf das Schengener Informationssystem) band ich auch das Bayerische Staatsministerium des Innern, für Sport und Integration ein. Insbesondere ließ ich mir die rechtlichen und technischen Rahmenbedingungen der Informationssysteme schildern und mir umfangreiche Unterlagen, vor allem zur Einführung des SIS 3.0, vorlegen. Diese enthielten unter anderem ausführliche Informationen zum Rechte- und Rollenkonzept des SIS 3.0.

Meine Prüfung ergab, dass bei der betreffenden Kreisverwaltungsbehörde im Umgang mit den oben genannten Informationssystemen keine grundlegenden Mängel festgestellt werden konnten. Ich forderte die Behörde jedoch auf, ein noch größeres Augenmerk als bisher auf - extern angebotene bzw. selbst durchzuführende - Schulungen, insbesondere zu den Themen Datensicherheit und Datenschutz bei der Nutzung der Informationssysteme, sowie auf die Eigenkontrolle zu legen. Ganz generell möchte ich die mit den genannten Informationssystemen arbeitenden Behörden dafür sensibilisieren, Maßnahmen zur Datensicherheit im Rahmen der Eigenkontrolle zu ergreifen. Auch sind die rechtlichen Vorgaben zur Belehrung über das Recht auf Information und das Recht auf Auskunft, Berichtigung unrichtiger Daten und Löschung unrechtmäßig gespeicherter Daten zu berücksichtigen. Schließlich muss auch darauf geachtet werden, die Zugriffsrechte der Mitarbeiterinnen und Mitarbeiter datenschutzkonform zu verteilen und diese entsprechend den tatsächlichen Aufgaben auf dem laufenden Stand zu halten.

Soweit veranlasst, werde ich in Zukunft erneut entsprechende Überprüfungen durchführen.

  1. Gesetz über die Digitalisierung im Freistaat Bayern (Bayerisches Digitalgesetz - BayDiG) vom 22. Juli 2022 (GVBl. S. 374). [Zurück]
  2. Zum Zeitpunkt der Erstellung dieses Berichts noch nicht veröffentlicht. [Zurück]
  3. Bayerisches Staatsministerium des Innern, für Sport und Integration, Datenschutzreform-Arbeitshilfen, Stand 3/2022, Internet: https://www.stmi.bayern.de/sus/datensicherheit/datenschutz/reform_arbeitshilfen (externer Link). [Zurück]
  4. Melderegisterauskunft mit BayernID - Bürgerauskunft (zentrales Portal), Internet: https://www.buergerserviceportal.de/bayern/service/bspx_bayern_buergerauskunft (externer Link), dort auch nähere Informationen zur Kostenberechnung. [Zurück]
  5. Hinsichtlich des SIS II nach Art. 44 Abs. 2 Verordnung (EG) Nr. 1987/2006 des Europäischen Parlaments und des Rates vom 20. Dezember 2006 über die Einrichtung, den Betrieb und die Nutzung des Schengener Informationssystems der zweiten Generation (SIS II) (ABl. L 381 vom 28. Dezember 2006, S. 4) in Verbindung mit Art. 60 Abs. 1 Beschluss 2007/533/JI des Rates vom 12. Juni 2007 über die Einrichtung, den Betrieb und die Nutzung des Schengener Informationssystems der zweiten Generation (SIS II) (ABl. L205 vom 7. August 2007, S. 63) bzw. nunmehr Art. 55 Abs. 2 Verordnung (EU) 2018/1861 des Europäischen Parlaments und des Rates vom 28. November 2018 über die Einrichtung, den Betrieb und die Nutzung des Schengener Informationssystems (SIS) im Bereich der Grenzkontrollen, zur Änderung des Übereinkommens zur Durchführung des Übereinkommens von Schengen und zur Änderung und Aufhebung der Verordnung (EG) Nr. 1987/2006 bzw. Art. 69 Abs. 2 Verordnung (EU) 2018/1862 des Europäischen Parlaments und des Rates vom 28. November 2018 über die Einrichtung, den Betrieb und die Nutzung des Schengener Informationssystems (SIS) im Bereich der polizeilichen Zusammenarbeit und der justiziellen Zusammenarbeit in Strafsachen, zur Änderung und Aufhebung des Beschlusses 2007/533/JI des Rates und zur Aufhebung der Verordnung (EG) Nr. 1986/2006 des Europäischen Parlaments und des Rates und des Beschlusses 2010/261/EU der Kommission bzw. Art. 19 Verordnung (EU) 2018/1860 des Europäischen Parlaments und des Rates vom 28. November 2018 über die Nutzung des Schengener Informationssystems für die Rückkehr illegal aufhältiger Drittstaatsangehöriger und hinsichtlich des VIS nach Art. 41 Abs. 1 VO Verordnung (EG) Nr. 767/2008 des Europäischen Parlaments und des Rates vom 9. Juli 2008 über das Visa-Informationssystem (VIS) und den Datenaustausch zwischen den Mitgliedstaaten über Visa für einen kurzfristigen Aufenthalt (ABl. L 218 vom 13. August 2008, S. 60) in Verbindung mit Art. 8 Abs. 5 und 6 Beschluss 2008/633/JI des Rates zur Reform des Visa-Informationssystems (ABl. L 248 vom 13. Juli 2021, S. 11) in Verbindung mit § 4 Abs. 1 Gesetz über den Zugang von Polizei- und Strafverfolgungsbehörden sowie Nachrichtendiensten zum Visa-Informationssystem. [Zurück]