Sie sind hier: > Start > Tätigkeitsberichte > 33. TB 2023 > 4. Allgemeine Innere Verwaltung
Der Bayerische Landesbeauftragte für den Datenschutz; Stand: 31.12.2023
4. Allgemeine Innere Verwaltung
4.1. Datenschutzbeauftragte bei Kommunen: geschäftsleitende Beamte scheiden regelmäßig aus
In meiner Aktuellen Kurz-Information 7 "Datenschutzbeauftragte kreisangehöriger Gemeinden in Bayern: Inkompatibilitäten, Qualifikation, Zeitbudget" habe ich bereits eingehend erläutert, warum die gerade bei kleineren Gemeinden bis etwa 10.000 Einwohnern regelmäßig anzutreffenden geschäftsleitenden Beamten, welche im Alltagsgeschäft die Abläufe in der Gemeindeverwaltung koordinieren sowie die Sitzungen des Gemeinderats vorbereiten und begleiten, nicht als behördliche Datenschutzbeauftragte benannt werden dürfen. Daran habe ich im Berichtszeitraum trotz einzelner anfänglicher Widerstände vor Ort festgehalten. Im Hinblick auf die teilweise vorgebrachten juristischen Einwände habe ich ergänzend auf Folgendes hingewiesen:
4.1.1. Vermeidung von "Inkompatibilitäten" unionsrechtlich geboten
Die von den Gemeinden zu benennenden Datenschutzbeauftragten können nach Art. 38 Abs. 6 Satz 1 DSGVO neben den Aufgaben des Datenschutzbeauftragten grundsätzlich weitere Aufgaben und Pflichten wahrnehmen. Der Verantwortliche muss nach Art. 38 Abs. 6 Satz 2 DSGVO aber sicherstellen, dass derartige Aufgaben und Pflichten nicht zu einem Interessenskonflikt führen. Die Vermeidung solcher Inkompatibilitäten war übrigens auch schon vor in Kraft treten der Datenschutz-Grundverordnung geboten (siehe die Ausführungen in meinem 26. Tätigkeitsbericht 2013/2014 unter Nr. 2.3.11).
Ein potentieller Interessenskonflikt liegt vor, wenn die jeweilige Person neben den Aufgaben und Pflichten der oder des Datenschutzbeauftragten auch mit der Erfüllung von Aufgaben betraut wird, welche die Datenschutz-Grundverordnung dem Verantwortlichen zuordnet. Darunter fällt die Aufgabe, für rechtmäßige Verarbeitungen zu sorgen, ebenso aber etwa die Erfüllung der Betroffenenrechte nach Art. 15 ff. DSGVO oder die Umsetzung technischer und organisatorischer Schutzmaßnahmen nach Art. 24 Abs. 1 DSGVO sicherzustellen. Dies ist bei geschäftsleitenden Beamten sowie vergleichbaren Angestellten regelmäßig der Fall, welche meist durch ein formelles Weisungsrecht oder auf andere Art Einfluss auf die Arbeit der gesamten Gemeindeverwaltung und damit auch auf die in den einzelnen Funktionseinheiten durchzuführenden Datenverarbeitungen nehmen können; in der Datenschutz-Dienstanweisung wird ihr oder ihm daher häufig die Rolle einer oder eines "Organisationsverantwortlichen" zugewiesen.
4.1.2. Zulässige Einschränkung der kommunalen Selbstverwaltungsgarantie
Die Garantie der kommunalen Selbstverwaltung (Art. 28 Abs. 2 Grundgesetz) umfasst auch die Organisationshoheit, also das Recht, im Rahmen der Gesetze über den Aufbau der Gemeindeverwaltung und die Verteilung der Geschäfte unter die einzelnen Funktionseinheiten eigenverantwortlich zu entscheiden. Die Garantie der kommunalen Selbstverwaltung steht also unter Gesetzesvorbehalt. Gemeinden können daher zwar grundsätzlich frei bestimmen, welche Beschäftigten sie mit der Erfüllung welcher Aufgaben betrauen. Art. 38 Abs. 6 Satz 2 DSGVO als Teil des innerstaatlich anwendbaren Rechts schränkt die Organisationsfreiheit jedoch zulässigerweise im Rahmen des insoweit bestehenden Gesetzesvorbehalts ein: Die Gemeinde kann zwar festlegen, wer Aufgaben des Verantwortlichen und wer die Aufgaben der oder des Datenschutzbeauftragten wahrnehmen soll, diese Aufgaben dürfen aber nicht in ein und derselben Person zusammenfallen.
4.1.3. Beamtenrechtliche Regelungen entheben nicht von der Notwendigkeit, Interessenskonflikte zu vermeiden
Beamtinnen und Beamte müssen nach § 36 Abs. 1 Beamtenstatusgesetz (BeamtStG) die volle persönliche Verantwortung für die Rechtmäßigkeit ihrer dienstlichen Handlungen tragen; eine schuldhafte Verletzung ihrer Pflichten stellt nach § 47 Abs. 1 Satz 1 BeamtStG ein Dienstvergehen dar. Einzelne Kommunen haben unter Berufung hierauf mir gegenüber vorgebracht, dieser Personenkreis könne schon deshalb keinem Interessenskonflikt unterliegen, weil kraft Beamtenrecht jederzeit ein vertretbarer, das heißt rechtmäßiger Interessenausgleich hergestellt werden müsse. Auch geschäftsleitende Beamte könnten deswegen durchaus als Datenschutzbeauftragte bestellt werden.
Ich habe insoweit darauf hingewiesen, dass dieser Rückschluss schon mit den Vorschriften zur Befangenheit oder zur Besorgnis der Befangenheit im nationalen Verwaltungsverfahrensrecht unvereinbar ist. Diese Vorschriften bringen den allgemeinen Grundsatz zum Ausdruck, dass in einem konkreten Verwaltungsverfahren nur solche Personen für eine Behörde tätig werden dürfen, bei denen keine Umstände vorliegen, die objektiv geeignet sind, Misstrauen gegen ein neutrales, unparteiisches Verhalten zu rechtfertigen. Bürgerinnen und Bürger sollen die Gewähr haben, dass Einzelfallentscheidungen allein nach Recht und Gesetz ergehen und an deren inhaltlicher Vorbereitung keine Personen teilnehmen, deren Unbefangenheit gegenüber der zu treffenden Entscheidung wegen mangelnder Distanz zum Gegenstand des Verfahrens gefährdet sein könnte. Insoweit geht bereits der nationale Gesetzgeber davon aus, dass die statusrechtliche Pflicht des Beamten zu rechtmäßigem Handeln auch einer verwaltungsverfahrensrechtlichen Absicherung bedarf.
Die im nationalen Recht für das konkrete Verwaltungsverfahren vorgesehene verfahrensmäßige Absicherung der abstrakten beamtenrechtlichen Pflichten verfolgt letztlich einen ähnlichen Ansatz wie Art. 38 Abs. 6 Satz 2 DSGVO. Datenschutzbeauftragte haben nach Art. 38 Abs. 4 DSGVO gerade auch die Funktion, konkrete betroffene Personen bei der Wahrnehmung ihrer Datenschutzrechte gegenüber der verantwortlichen Stelle zu beraten. Das Vertrauen betroffener Personen in die Unabhängigkeit der Datenschutzbeauftragten wäre jedoch von vornherein stark beschädigt, wenn dies zulässigerweise dieselbe Person sein könnte, die die in Frage stehende Datenverarbeitung der Gemeinde (potentiell) maßgeblich beeinflussen kann.
4.2. Keine Einbindung der Datenschutz-Aufsichtsbehörde in Zuwendungsverfahren per Bescheid
Nicht zuletzt die COVID-19-Pandemie hat dazu beigetragen, dass Innenstädte verwaist sind und in der Folge aufgrund veränderten Einkaufs- und Ausgehgewohnheiten viele Geschäfte oder Restaurants von ihren Inhabern aus wirtschaftlichen Gründen geschlossen wurden. Kommunen stehen hier vor dem Problem, die Innenstädte wieder attraktiver zu machen. In diesem Zusammenhang wurde ich im Berichtszeitraum von einer Kommune um datenschutzrechtliche Prüfung einer Lokalisierungs- und Ortungstechnologie für Innen- und Außenräume gebeten. Die Technologie sollte mithelfen, die Attraktivität der Innenstadt durch die Analyse von Bewegungsströmen und Verhaltensmustern von Passantinnen und Passanten zu verbessern.
Ursächlich für die Beratungsanfrage war eine entsprechende, im Zuwendungsbescheid des über die Bewilligung einer Förderung entscheidenden Staatsministeriums enthaltene Nebenbestimmung. Danach erging die Bewilligung der Zuwendung für den Einsatz der Technologie unter dem Vorbehalt, dass eine Vorlage des Projektes bei mir zu keinen Beanstandungen führt. Auch wenn ich es natürlich begrüßt habe, dass nur datenschutzkonforme Leistungen gefördert werden sollen, habe ich dem Anliegen der Kommune nicht entsprochen. Der vom Staatsministerium gewählte Weg meiner Einbindung stand mit weder mit meiner Unabhängigkeit noch mit der gesetzlichen Zuständigkeitsordnung in Einklang.
4.2.1. Prüfung der Datenschutzkonformität einer geförderten Leistung hat vor Erlass des Zuwendungsbescheides zu erfolgen
Zuwendungen dürfen nach Art. 44 Abs. 1 Satz 1 Bayerische Haushaltsordnung (BayHO) nur unter den Voraussetzungen des Art. 23 BayHO gewährt werden. Nach Art. 23 BayHO dürfen Ausgaben und Verpflichtungsermächtigungen für Leistungen an Stellen außerhalb der Staatsverwaltung zur Erfüllung bestimmter Zwecke (Zuwendungen) nur veranschlagt werden, wenn der Staat an der Erfüllung durch solche Stellen ein erhebliches Interesse hat, das ohne die Zuwendungen nicht oder nicht im notwendigen Umfang befriedigt werden kann. Der jeweilige Zuwendungsgeber muss ein solches Interesse überhaupt entwickeln dürfen. Das ist nicht der Fall, wenn die konkrete Umsetzung des zu fördernden Vorhabens mit gesetzlichen Regelungen nicht vereinbar ist. So ist in den zuwendungsrechtlichen Bewilligungsverfahren regelmäßig die Vereinbarkeit der Zuwendung mit dem EU-Beihilferecht zu prüfen. Hinsichtlich des (EU-) Datenschutzrechts kann hier nichts anderes gelten. Die Vereinbarkeit des zu fördernden Vorhabens mit dem Datenschutzrecht ist deshalb grundsätzlich vor Erlass des Zuwendungsbescheides zu würdigen. Dafür bieten sich zwei Alternativen an:
Die Bewilligungsbehörde kann entweder dem potentiellen Zuwendungsempfänger aufgeben, mit den Antragsunterlagen eine Stellungnahme zur Vereinbarkeit des Vorhabens mit dem Datenschutzrecht vorzulegen. Wenn eine Kommune eine bestimmte Technologie einsetzen will und dabei die Verarbeitung personenbezogener Daten im Raum steht, ist sie dafür verantwortlich, dass der Einsatz datenschutzkonform erfolgt. Die Kommune muss dann ohnehin ihre Rechenschaftspflicht aus Art. 5 Abs. 2 DSGVO erfüllen, also dokumentieren, dass und aus welchen Gründen den datenschutzrechtlichen Anforderungen genügt ist. Die datenschutzrechtliche Beratung der Kommune als Verantwortlicher ist in erster Linie eine eigenständige Aufgabe der vor Ort zu benennenden behördlichen Datenschutzbeauftragten (vgl. Art. 39 Abs. 1 Buchst. a DSGVO). Die behördlichen Datenschutzbeauftragten können sich zwar im Rahmen der Zusammenarbeit mit der Datenschutz-Aufsichtsbehörde unter vertiefter Darlegung ihrer eigenen rechtlichen Erwägungen in einem Zweifelsfall auch an den Landesbeauftragten wenden. Das im konkreten Fall beabsichtigte pauschale "Outsourcing" der datenschutzrechtlichen Prüfung des Vorhabens an mich ist so allerdings nicht zu erreichen.
Soweit den geförderten Kommunen eine komplexe datenschutzrechtliche Prüfung nicht zugemutet werden soll, kann - und muss - die Bewilligungsbehörde eben selbst eine solche Prüfung vornehmen.
4.2.2. Unabhängigkeit des Landesbeauftragten für den Datenschutz
Der Landesbeauftragte für den Datenschutz ist gemäß Art. 52 Abs. 1 DSGVO und Art. 33a Abs. 3 Satz 1 Verfassung des Freistaates Bayern eine völlig unabhängige Aufsichtsbehörde. Er ist weisungsfrei. Daher können ihm grundsätzlich keine Prüfaufträge erteilt werden. Nach Art. 15 Abs. 3 BayDSG können nur der Landtag oder die Staatsregierung den Landesbeauftragten unbeschadet seiner Unabhängigkeit ersuchen, zu bestimmten Vorgängen aus seinem Aufgabenbereich Stellung zu nehmen. Der Landesbeauftragte entscheidet aber auch in diesem Fall selbst, ob und in welchem Umfang er auf das Ersuchen eingeht. In der aufsichtsbehördlichen Praxis gibt der Landesbeauftragte auf entsprechende Ersuchen regelmäßig gern ausführliche Hinweise.
Durch die Nebenbestimmung im Zuwendungsbescheid hat die Bewilligungsbehörde unzulässigerweise versucht, außerhalb von Art. 15 Abs. 3 BayDSG einen Prüfauftrag zu erteilen. Der Landesbeauftragte war zwar nicht förmlicher Adressat der fraglichen Nebenbestimmung. Gegenüber der Zuwendungsempfängerin wurde aber der Eindruck erweckt, er sei zu einer datenschutzrechtlichen Prüfung des zuwendungsgegenständlichen Vorhabens verpflichtet. Die Zuwendungsempfängerin musste danach annehmen, die Realisierung "hänge nur noch vom Landesbeauftragten ab". Aus dieser Perspektive folgerichtig hat die Zuwendungsempfängerin mit dem Landesbeauftragten in der offenkundigen Erwartung Kontakt aufgenommen, zeitnah die gleichsam behördlich angeordnete "Unbedenklichkeitsbescheinigung" zu erhalten.
4.2.3. Feststellung der Datenschutzkonformität einer geförderten Leistung ist nicht Aufgabe des Landesbeauftragten
Der geförderten Kommune erwuchs aus der im Zuwendungsbescheid enthaltenen Nebenbestimmung kein Anspruch auf eine Prüfung ihres Vorhabens durch den Landesbeauftragten. Dessen Aufgaben sind maßgeblich in Art. 57 Abs. 1 DSGVO festgelegt. Die Tatbestände dieser Norm waren jedoch nicht einschlägig. Insbesondere Art. 57 Abs. 1 Buchst. v DSGVO war in Anbetracht der Unabhängigkeit der Datenschutz-Aufsichtsbehörde nicht dahin zu verstehen, dass beliebige Aufgaben von dritter Seite zugewiesen werden können. Die vorherige Konsultation einer Datenschutz-Aufsichtsbehörde mit Blick auf geplante Verarbeitungen ist unter der Datenschutz-Grundverordnung ein seltener Ausnahmefall; sie kann insbesondere nach einer "ungünstigen" Datenschutz-Folgenabschätzung in Betracht kommen (siehe Art. 36 DSGVO).
Vor diesem Hintergrund habe ich die Bewilligungsbehörde gebeten sicherzustellen, dass in Zuwendungsbescheiden zukünftig auf Nebenbestimmungen der erwähnten Art verzichtet wird. Dies wurde mir vom betroffenen Staatsministerium zugesichert. Zudem habe ich mich für die Zukunft gern dazu bereit erklärt, die Bewilligungsbehörde bei der Entwicklung einer Best Practice für die datenschutzgerechte Steuerung von Bewilligungsverfahren zu unterstützen.
4.3. Datenschutzgerechte Behandlung eines Antrags auf Änderung des Gemeindewappens in öffentlicher Gemeinderatssitzung
Bayerische Gemeinden haben nach Art. 4 Gemeindeordnung (GO) das Recht zur Führung ihrer geschichtlichen Wappen. Auch wenn Herkunft und Bedeutung der teils jahrhundertealten Gemeindewappen nicht immer vollständig bekannt sein mögen, spielen diese für das Selbstbild der örtlichen Gemeinschaft doch auch heute noch durchaus eine Rolle.
Im Berichtszeitraum stellte eine Bürgerin bei der Gemeindeverwaltung einen Antrag auf Änderung des Gemeindewappens. Nach ihrer Auffassung enthielt das Wappen ein diskriminierendes Bildelement. Der Antrag wurde in öffentlicher Sitzung des Gemeinderats behandelt. Zu diesem Zweck wurde der vollständige Wortlaut des Antrags einschließlich des Namens der Antragstellerin verlesen. In der Folge erschien in der örtlichen Presse ein Bericht, in welchem ebenfalls der Name der Antragstellerin genannt wurde. Gegen das Handeln der Gemeinde hat sich die Bürgerin zu Recht bei mir beschwert. Ich habe gegenüber der Gemeinde einen Verstoß gegen datenschutzrechtliche Vorschriften festgestellt.
Die Gemeinde hat durch die Namensnennung personenbezogene Daten der Antragstellerin offengelegt. Dafür war eine Rechtsgrundlage erforderlich (Art. 6 Abs. 1 UAbs. 1 DSGVO). Da eine Einwilligung nicht erteilt war, kam dafür allenfalls die allgemeine Übermittlungsbefugnis aus Art. 5 Abs. 1 Satz 1 Nr. 1 BayDSG in Betracht. Danach ist eine Übermittlung personenbezogener Daten durch eine öffentliche Stelle nur zulässig, wenn sie zur Erfüllung einer der übermittelnden oder der empfangenden öffentlichen Stelle obliegenden Aufgabe erforderlich ist. Diese Voraussetzungen waren jedoch nicht erfüllt.
Zwar wollte die Gemeinde mit der Behandlung des Antrags dem Petitionsrecht nach Art. 56 Abs. 3 GO entsprechen. Dort heißt es:
"Jeder Gemeindeeinwohner kann sich mit Eingaben und Beschwerden an den Gemeinderat wenden."
Um diese Aufgabe zu erfüllen, war es für die Gemeinde jedoch nicht erforderlich, den Antrag unter Namensnennung zu verlesen. Der Begriff der Erforderlichkeit ist als Bestandteil von Verarbeitungsbefugnissen, die auf Art. 6 Abs. 1 UAbs. 1 Buchst. e DSGVO gestützt sind, unionsrechtlich zu verstehen. Er ist im Lichte des unionalen Verhältnismäßigkeitsprinzips zu interpretieren. Geboten ist danach eine Abwägung zwischen den Grundrechten der betroffenen Person einerseits und dem gegenläufigen öffentlichen Interesse andererseits. Eine Verarbeitung personenbezogener Daten ist daher nicht schon deshalb zulässig, weil sie für die Aufgabenerfüllung einer öffentlichen Stelle förderlich ist. Zwar mag ein öffentliches Interesse bestehen, dass der zur Entscheidung über den Antrag berufene Gemeinderat bei einer Petition die Identität des Antragstellers erfährt, zumal das Petitionsrecht nicht jedermann, sondern nur Gemeindeeinwohnern zukommt. Dies gilt aber nicht entsprechend für die Allgemeinheit. Insoweit überwiegt jedenfalls das im Recht auf informationelle Selbstbestimmung fundierte Vertraulichkeitsinteresse von Antragstellern. Die Eingabe nach Art. 56 Abs. 3 GO ist kein auf die Öffentlichkeit angelegtes Instrument der demokratischen Mitwirkung wie etwa ein Bürgerbegehren oder ein Bürgerantrag; sie bleibt im bilateralen Verhältnis von Gemeinde und Eingabeführerin oder Eingabeführer. Auf ein Risiko von Anfeindungen gegenüber Antragstellern kommt es vor diesem Hintergrund nicht an.
Selbst wenn man vor diesem rechtlichen Hintergrund im konkreten Fall annähme, dass für eine abschließende Willensbildung des Gemeinderats über die Petition zwingend die Kenntnis der Identität der Antragstellerin erforderlich wäre - etwa um die Ernsthaftigkeit des Anliegens einschätzen zu können -, rechtfertigt dies nicht die Nennung des Namens in öffentlicher Sitzung. Der Name hätte vielmehr im Rahmen der internen und vertraulichen Sitzungsvorlagen für die Gemeinderatsmitglieder genannt werden können. Der Gemeinderat ist dann über den Antrag im Detail und die Identität der Eingabeführerin informiert, während in der öffentlichen Sitzung über den Antrag seinem wesentlichen Inhalt nach und ohne Namensnennung diskutiert werden kann.
Die von der Gemeinde gewählte Sachbehandlung konnte im Übrigen auch schon deswegen nicht auf Art. 5 Abs. 1 Satz 1 Nr. 2 BayDSG gestützt werden, weil diese Vorschrift keine initiativen Datenübermittlungen legitimiert.
4.4. Gesetz zur Änderung des Gemeinde- und Landkreiswahlgesetzes und weiterer Rechtsvorschriften
Im Jahr 2023 hat der bayerische Gesetzgeber das Kommunalrecht umfassend novelliert; die Änderungen sind gestaffelt bis zum 1. Januar 2024 in Kraft getreten. Nicht wenige der Neuerungen waren auch datenschutzrechtlich relevant. Insoweit zutreffend hat mich das Bayerische Staatsministerium des Innern, für Sport und Integration daher im Gesetzgebungsverfahren beteiligt. Leider geschah dies aber erst im Zuge der Verbandsanhörung und nicht bereits bei der Erarbeitung des Referentenentwurfs - also nicht "frühzeitig", wie § 7 Abs. 4 Satz 1 Geschäftsordnung der Bayerischen Staatsregierung dies an sich fordert. Obwohl mir daher wenig Zeit zur Verfügung stand, habe ich eine umfangreiche Stellungnahme abgegeben.
Im Mittelpunkt meiner Stellungnahme standen dabei zunächst die Neuregelungen zur Live-Übertragung von Bürgerversammlungen sowie von Gremiensitzungen ins Internet, ferner die Speicherung von Sitzungsaufzeichnungen in einer Mediathek. Mit diesen Themen habe ich mich in der Vergangenheit in meinen Tätigkeitsberichten bereits mehrfach befasst (siehe 21. Tätigkeitsbericht 2003/2004 unter Nr. 11.2 und 29. Tätigkeitsbericht 2019 unter Nr. 5.2). Dabei habe ich für Live-Übertragungen und Mediatheken das Erfordernis einer gesetzlichen Rechtsgrundlage betont, weil insbesondere die weltweite, im Fall der Mediathek zudem längerfristige Verbreitung von Redebeiträgen in Bild und Ton erhebliche Grundrechtseingriffe für die Teilnehmerinnen und Teilnehmer von Bürgerversammlungen oder Gremiensitzungen mit sich bringt. Soweit unter Geltung des bisherigen Rechts diskutiert wurde, die erforderliche Rechtsgrundlage jeweils im Einzelfall durch Einholung einer Einwilligung zu schaffen, habe ich auf die geringe Praktikabilität einer solchen Lösung aufmerksam gemacht (siehe insbesondere mein 27. Tätigkeitsbericht 2015/2016 unter Nr. 6.10.1). Vor diesem Hintergrund hat es mich gefreut, dass der Gesetzgeber meine Position nun aufgegriffen hat. Auch zu dem im Gesetzentwurf vorgesehenen Recht auf Kopie von Niederschriften kommunaler Gremiensitzungen habe ich Hinweise gegeben. Eine klar ablehnende Haltung habe ich demgegenüber zu dem Vorhaben eingenommen, die erst 2018 unter meiner Beteiligung eingeführten datenschutzfreundlichen Regelungen zum Einbau und Betrieb elektronischer Wasserzähler mit Funkmodul wieder aufzuheben.
4.4.1. Bürgerversammlung: Live-Übertragung ins Internet
Der Gesetzesentwurf sah ursprünglich vor, dass die Bürgermeisterin oder der Bürgermeister allein über die Live-Übertragung einer Bürgerversammlung in Ton und Bild in das Internet entscheidet; die Einholung von Einwilligungen, Vorgaben zur Ausrichtung der Kameras, oder die Aufklärung darüber, dass eine Internetübertragung erfolgt, waren nicht vorgesehen. In meiner Stellungnahme habe ich insoweit die Bedeutung des Grundrechts auf informationelle Selbstbestimmung (Art. 2 Abs. 1 in Verbindung mit Art. 1 Abs. 1 Grundgesetz - GG), insbesondere unter dem Aspekt der Verhältnismäßigkeit von Eingriffen in dieses Recht betont. Konkret habe ich empfohlen, über die Echtzeitübertragung den Gemeinderat einen Beschluss fassen zu lassen, Redebeiträge teilnehmender Personen nur bei Vorliegen wirksamer Einwilligungen (Art. 6 Abs. 1 UAbs. 1 Buchst. a DSGVO) zu übertragen, und dafür Sorge zu tragen, dass Kameras nur die Versammlungsleitung sowie das Rednerpult erfassen und ansonsten nur Übersichtsaufnahmen gefertigt werden dürfen, die keine Identifizierung erlauben. Zudem sollten offene Abstimmungen nicht übertragen oder aufgezeichnet werden dürfen und die Gemeinde bei der Einladung zur Bürgerversammlung sowie vor deren Beginn über eine Echtzeitübertragung informieren. Meine Empfehlungen wurden zu einem großen Teil übernommen. Art.18 Abs. 4 Gemeindeordnung (GO) lautet in der ab 1. Januar 2024 geltenden Fassung nun wie folgt:
"1Die Bürgerversammlung findet in einem der Allgemeinheit zugänglichen Raum statt. 2Ergänzend kann die Gemeinde durch Satzung oder durch Beschluss des Gemeinderats eine Echtzeitübertragung der Bürgerversammlung in Ton und Bild über das Internet zulassen. 3Ein Redebeitrag einer teilnehmenden Person darf nur übertragen werden, wenn sie dafür eine Einwilligung erteilt hat. 4Kameras sind so einzurichten, dass nur die Versammlungsleitung sowie die redenden Personen erfasst werden. 5Die Gemeinde informiert bei der Einladung zur Bürgerversammlung sowie vor Beginn über eine Echtzeitübertragung nach Satz 2. 6Die Gemeinden können durch Satzung zulassen, dass Personen nicht persönlich anwesend sein müssen, um sich nach Abs. 3 zu beteiligen, sondern sich dazu auch über das Internet zuschalten können. 7In der Satzung ist das Nähere zu den Voraussetzungen und zur Ausübung des Äußerungs- und Stimmrechts durch die zugeschalteten Personen zu regeln."
4.4.2. Gemeinderats-, Kreistags- und Bezirkstagssitzungen: Live-Übertragung ins Internet und Speicherung in einer Mediathek
Bei der Normierung einer Live-Übertragung von Gemeinderats-, Kreistags- und Bezirkstagssitzungen in das Internet und deren Speicherung in einer Mediathek, wurde dem Grundrecht auf informationelle Selbstbestimmung im Gesetzesentwurf bereits grundsätzlich Beachtung geschenkt. Lediglich die geplante Speicherdauer in der Mediathek von drei Monaten sowie die Verwendung teils nicht hinreichend bestimmter Begriffe im Gesetzesentwurf waren aus datenschutzrechtlicher Sicht zu kritisieren. Insoweit habe ich unter Verweis auf die Grundsätze der Datenminimierung und der Speicherbegrenzung (vgl. Art. 5 Abs. 1 Nr. c und e DSGVO) eine kürzere Speicherdauer und die Verwendung einheitlicher und klarer Begrifflichkeiten angemahnt. Im Ergebnis wurde die reguläre Speicherdauer auf sechs Wochen verkürzt. Die Neuregelungen finden sich in Art. 52 Abs. 4 Sätze 2 bis 7 GO, Art. 46 Abs. 4 Landkreisordnung (LKrO), Art. 43 Abs. 4 Bezirksordnung (BezO). Beispielsweise in Art. 52 Abs. 4 Sätze 2 bis 7 GO heißt es ab dem 1. Januar 2024 nun wie folgt:
"2Ergänzend kann die Gemeinde eine Echtzeitübertragung der öffentlichen Sitzungen des Gemeinderats in Ton und Bild über das Internet zulassen und die Aufzeichnungen in einer Sammlung audiovisueller Medien für die Dauer von sechs Wochen zum Abruf für jedermann bereitstellen. 3Findet die nächste Sitzung nicht innerhalb von sechs Wochen statt, können die Aufzeichnungen bis zum Ende der nächsten Sitzung zum Abruf für jedermann bereitgestellt werden. 4Danach sind die Aufzeichnungen jeweils zu löschen. 5Die Beschlüsse nach Satz 2 bedürfen jeweils einer Zweidrittelmehrheit der abstimmenden Mitglieder des Gemeinderats. 6Mit Ausnahme der oder des Vorsitzenden dürfen Ton und Bild von an der Sitzung teilnehmenden Personen nur mit deren Einwilligung übertragen, aufgezeichnet und gespeichert werden. 7Eine Übertragung, Aufzeichnung und Speicherung des Bildes einer unbeteiligten Person ist nur im Rahmen von Übersichts- oder Hintergrundaufnahmen zulässig und dies auch nur, falls die räumlichen Verhältnisse Aufnahmen ohne unbeteiligte Personen nicht zulassen."
4.4.3. Kopien von Niederschriften kommunaler Gremiensitzungen
Das in Art. 54 Abs. 3 GO, Art. 48 Abs. 3 LKrO und Art. 45 Abs. 3 BezO neu vorgesehene Recht auf Kopien von Niederschriften öffentlicher Sitzungen kommunaler Gremien macht es aus meiner Sicht besonders dringlich, dass die gesetzlichen Anforderungen an den Inhalt derartiger Sitzungsniederschriften beachtet werden. Gesetzlich vorgesehen ist in Art. 54 Abs. 1 Satz 2 GO, Art. 48 Abs. 1 Satz 2 LKrO und Art. 45 Abs. 1 Satz 2 BezO, dass eine Niederschrift den Tag und Ort der Sitzung, die anwesenden Gremiumsmitglieder, die behandelten Gegenstände, die Beschlüsse und das Abstimmungsergebnis enthält. Zudem kann ein Gremiumsmitglied verlangen, dass das eigene Abstimmungsergebnis in die Niederschrift aufgenommen wird. Gegenüber dem Innenministerium habe ich insoweit angemahnt, dass die Niederschriften von Sitzungen kommunaler Gremien nun noch strikter als bisher schon vorgesehen, auf die gesetzlich vorgeschriebenen Mindestinhalte beschränkt bleiben müssen und auf die in der Praxis nach meinem Eindruck verbreiteten überschießenden Inhalte verzichtet wird. Insbesondere dürfen derartige Niederschriften nur im gesetzlich vorgesehenen Umfang personenbezogene Daten enthalten. Beispielsweise Art. 54 Abs. 3 GO lautet in der ab 1. Januar 2024 geltenden Fassung nun wie folgt:
"1Die Gemeinderatsmitglieder können jederzeit die Niederschriften der öffentlichen sowie der nichtöffentlichen Sitzungen des Gemeinderats einsehen und sich unentgeltlich Kopien der Niederschriften der öffentlichen Sitzungen erteilen lassen. 2Die Gemeindebürgerinnen und Gemeindebürger können Einsicht in die Niederschriften der öffentlichen Sitzungen des Gemeinderats nehmen und sich Kopien erteilen lassen. 3Für die Fertigung der Kopien nach Satz 2 können die Gemeinden Kosten nach Maßgabe des Kostengesetzes erheben. 4Die Sätze 2 und 3 gelten für auswärts wohnende Personen hinsichtlich ihres Grundbesitzes oder ihrer gewerblichen Niederlassungen im Gemeindegebiet entsprechend."
4.4.4. Einbau und Betrieb elektronischer Wasserzähler mit Funkmodul
Der Gesetzentwurf sah des Weiteren vor, dass zukünftig die bisherigen datenschutzfreundlichen Regelungen zum Einbau und Betrieb elektronischer Wasserzähler mit Funkmodul entfallen. Diese bürgerfreundlichen Regelungen hatte das Innenministerium in enger Abstimmung mit mir entwickelt; sie waren fast sechs Jahre lang geltendes Recht, in der Rechtsprechung akzeptiert und in der kommunalen Praxis meinen Eindrücken aus Prüfung und Beratung zufolge auch "angekommen" (vgl. näher meine Ausführungen im 27. Tätigkeitsbericht 2015/2016 unter Nr. 6.3, im 28. Tätigkeitsbericht 2017/2018 unter Nr. 7.3 sowie im 30. Tätigkeitsbericht 2020 unter Nr. 6.2). Art. 24 Abs. 4 GO sah in der bis zum 31. Dezember 2023 geltenden Fassung das Recht für die Gemeinden vor, nach Erlass entsprechender Satzungen für Einrichtungen der Wasserversorgung auch elektronische Wasserzähler mit oder ohne Funkmodul einzusetzen und zu betreiben. Betroffenen Personen wurde ein fristgebundenes, ansonsten voraussetzungsloses Widerspruchsrecht gegen den Einsatz des Funkmoduls gewährt. Insgesamt war mit dieser Regelung ein ausgewogener Kompromiss gefunden worden.
Vor diesem Hintergrund war ich negativ überrascht, dass der Gesetzesentwurf nun vorsah, diese datenschutzfreundlichen Regelungen ersatzlos zu streichen. Ich habe mich mit Nachdruck hierzu kritisch geäußert, weil mit dieser Streichung ein "Rückbau" des Grundrechtsschutzes nicht nur beim Recht auf informationelle Selbstbestimmung (Art. 2 Abs. 1 in Verbindung mit Art. 1 Abs. 1 GG), sondern auch beim Recht auf Unverletzlichkeit der Wohnung (Art. 13 Abs. 1 GG) verbunden ist. Das Innenministerium begründete die Änderung mit einem (angeblichen) Vorrang bereits bestehender bundesrechtlicher Bestimmungen, konkret von § 18 Abs. 2 Verordnung über Allgemeine Bedingungen für die Versorgung mit Wasser (AVBWasserV). Diese Regelung bietet aus datenschutzrechtlicher Sicht allerdings keine tragfähige Rechtsgrundlage für die Verarbeitung personenbezogener Verbrauchsdaten aus elektronischen Funkwasserzählern. Meiner Einschätzung steht auch die vom Innenministerium insoweit angeführte Entscheidung des Bayerischen Verfassungsgerichtshofs vom 26. April 2022 nicht entgegen. Der Verfassungsgerichtshof bestätigt in dieser Entscheidung vielmehr gerade die Verfassungskonformität der bestehenden Regelung.
Hinzu kommt, dass mit den Streichungen zugleich die bislang in Art. 24 Abs. 4 Satz 3 Nr. 2 GO getroffene Regelung, wonach eine anlassbezogene Datenverarbeitung im Einzelfall zur Abwehr von Gefahren für den ordnungsgemäßen Betrieb der Wasserversorgungseinrichtung und zur Aufklärung von Störungen im Wasserversorgungsnetz zulässig ist, ausgeweitet werden sollte. Künftig sollten elektronische Funkwasserzähler schon "soweit dies zur Abwehr von Gefahren für den ordnungsgemäßen Betrieb der Wasserversorgungseinrichtung und zur Aufklärung von Störungen im Wasserversorgungsnetz erforderlich ist" und damit nicht mehr nur "im Einzelfall" ausgelesen werden können. Dadurch wird ein von mir stets als datenschutzrechtlich problematisch erachtetes, periodisch und autonom erfolgendes Funken von Zählernummer und Zählerständen über das Jahr hinweg ohne konkreten Anlass begünstigt.
Meine Bedenken hinsichtlich dieser Änderungen habe ich dem Innenministerium mehrmals umfassend erläutert und eindringlich gefordert, den alten Rechtszustand beizubehalten. Leider fanden meine Bedenken keine Berücksichtigung. Entgegen meiner expliziten datenschutzrechtlichen Forderung sind Satzungsermächtigung, voraussetzungsloses Widerspruchsrecht sowie die sonstigen datenschutzfreundlichen Beschränkungen aus Art. 24 Abs. 4 GO in der bis zum 31. Dezember 2023 geltenden Fassung mit dem Jahresbeginn 2024 entfallen. Daher stellt sich die Situation der Bürgerinnen und Bürger, was den Einbau und Betrieb elektronischer Wasserzähler mit Funkmodul betrifft, wieder vergleichbar ebenso schutzlos dar wie schon vor der Datenschutzreform 2018. Das bedaure ich sehr.
4.5. Landtags- und Bezirkswahl: Verbesserung bei der Bekanntmachung der Wahlkreisvorschläge
Im Zusammenhang mit der Landtags- und Bezirkswahl am 8. Oktober 2023 wandten sich mehrere Kandidatinnen und Kandidaten mit Beschwerden an mich. Sie rügten übereinstimmend die Bekanntmachung ihrer privaten Anschriften im Bayerischen Staatsanzeiger, der als ePaper auch im Internet zugänglich ist. Die Beschwerdeführerinnen und Beschwerdeführer seien in der Vergangenheit bereits Bedrohungen durch politisch Andersdenkende ausgesetzt gewesen und verstünden nicht, weshalb die Bekanntmachung ihrer privaten Adressen für eine wirksame Kandidatur notwendig sei. Insoweit habe ich den Beschwerdeführerinnen und Beschwerdeführern zunächst die Rechtslage bei der Bekanntmachung der Wahlkreisvorschläge erläutert.
Die Veröffentlichung der Anschriften von Wahlkreisbewerberinnen und Wahlkreisbewerbern im Bayerischen Staatsanzeiger stellt eine Verarbeitung personenbezogener Daten dar, für die öffentliche Stellen eine Rechtsgrundlage benötigen. § 35 Abs. 1 Satz 1 Nr. 2 Landeswahlordnung (LWO) bestimmt, welche personenbezogenen Daten die Bekanntmachung der Wahlkreisvorschläge enthält. Dazu zählen grundsätzlich Familienname, Vorname, Beruf oder Stand, Geburtsjahr und Anschrift der sich bewerbenden Personen. Gemäß § 88 Abs. 1 Nr. 1 LWO erfolgt die Bekanntmachung der Wahlkreisvorschläge im Staatsanzeiger. Dieser erscheint seit jeher als Druckwerk, inzwischen zusätzlich aber auch alsePaper im Internet. Die von den Beschwerdeführern gerügte Bekanntmachung der privaten Anschriften lässt sich also grundsätzlich auf eine Rechtsgrundlage stützen. Dieser Grundsatz erfährt jedoch zwei Einschränkungen.
Erstens: Weist eine sich bewerbende Person bis zum Ablauf der Einreichungsfrist nach Art. 26 Landeswahlgesetz gegenüber dem Wahlkreisleiter nach, dass für sie im Melderegister eine Auskunftssperre nach § 51 Bundesmeldegesetz eingetragen ist, ist an Stelle der (Wohn-)Anschrift eine Erreichbarkeitsanschrift zu verwenden.
Zweitens: Kommt es neben der oben erläuterten Bekanntmachung der Wahlkreisvorschläge im Staatsanzeiger zusätzlich zu einer sogenannten "Sekundärveröffentlichung" im Internet nach § 88 Abs. 2 Satz 1 LWO, ist nach Satz 3 der Vorschrift hierbei dann statt einer Anschrift nur der Wohnort anzugeben.
§ 35 LWO
Bekanntmachung der Wahlkreisvorschläge
(1) 1Die Bekanntmachung nach Art. 35 LWG enthält für jeden Wahlkreisvorschlag
- [...]
- Familienname, Vorname, Beruf oder Stand, Geburtsjahr und Anschrift der sich bewerbenden Personen. Weist eine sich bewerbende Person bis zum Ablauf der Einreichungsfrist nach Art. 26 LWG gegenüber dem Wahlkreisleiter nach, dass für sie im Melderegister eine Auskunftssperre nach dem Bundesmeldegesetz eingetragen ist, ist an Stelle ihrer Anschrift eine Erreichbarkeitsanschrift zu verwenden; die Angabe eines Postfachs genügt nicht; der Wahlkreisleiter unterrichtet unverzüglich den Landeswahlleiter über die Erreichbarkeitsanschrift.
§ 88 LWO
Bekanntmachungen
(1) Soweit im Landeswahlgesetz und in dieser Verordnung nichts anderes bestimmt ist, erfolgen die dort vorgesehenen Bekanntmachungen
- der Staatsregierung, des Staatsministeriums des Innern, für Sport und Integration, des Landeswahlleiters und der Wahlkreisleiter im Staatsanzeiger,
- der Gemeinden durch öffentlichen Anschlag oder Aushang an möglichst mehreren Stellen der Gemeinde oder entsprechend den Vorschriften, die für die Bekanntmachung von Satzungen der Gemeinde gelten.
(2) 1Der Inhalt der nach dem Landeswahlgesetz und dieser Verordnung vorgeschriebenen öffentlichen Bekanntmachungen kann zusätzlich im Internet veröffentlicht werden. 2Dabei sind die Unversehrtheit, Vollständigkeit und Ursprungszuordnung der Veröffentlichung nach aktuellem Stand der Technik zu gewährleisten. 3Statt einer Anschrift ist nur der Wohnort anzugeben. 4Personenbezogene Daten in Internetveröffentlichungen von öffentlichen Bekanntmachungen nach § 35 sind spätestens sechs Monate nach Bekanntgabe des endgültigen Wahlergebnisses, von öffentlichen Bekanntmachungen nach § 70 Abs. 4 spätestens sechs Monate nach dem Ende der Wahlperiode zu löschen.
Um das aus datenschutzrechtlicher Sicht berechtigte Anliegen der Beschwerdeführerinnen und Beschwerdeführer zu unterstützen, habe ich mich an das für das Wahlrecht fachlich zuständige Bayerische Staatsministerium des Innern, für Sport und Integration gewandt. Hinsichtlich des ePapers des Staatsanzeigers vertrat das Innenministerium auch nach mehrfachem Schriftwechsel weiterhin den Standpunkt, dass dessen Erscheinen im Internet keine Sekundärveröffentlichung nach § 88 Abs. 2 Satz 1 LWO darstelle und somit auch keine Anpassung des Inhalts Wohnort statt Anschrift angezeigt sei. Insoweit konnte ich mit meinem Anliegen, § 88 Abs. 2 Satz 3 LWO auf das ePaper jedenfalls entsprechend anzuwenden und den bekanntgemachten Datenumfang so einzuschränken, zunächst leider nicht durchdringen.
Erfreulicherweise wird dies für zukünftige Wahlen jedoch voraussichtlich keine Rolle mehr spielen. In meinem Schreiben an das Innenministerium hatte ich nämlich auch angeregt, die in § 35 Abs. 1 Satz 1 Nr. 2 LWO aufgeführten Datenkategorien im Hinblick auf den Grundsatz der Datensparsamkeit (Art. 5 Abs. 1 Buchst. c DSGVO) ganz generell daraufhin zu überprüfen, ob es wirklich (weiterhin) erforderlich ist, die Anschriften der Wahlkreisvorschläge im Staatsanzeiger bekanntzumachen, oder ob es nicht vielmehr ausreicht, nur den Wohnort anzugeben. Das Innenministerium hat diese Anregung in ein fachlich zuständiges Bund-Länder-Gremium eingebracht. Die Beratungen ergaben erfreulicherweise, dass meiner datenschutzrechtlichen Anregung deutschlandweit Rechnung getragen werden soll. Angestrebt sind nun Änderungen der einschlägigen Wahlordnungen dahin, dass statt der vollen Anschrift nur der Wohnort (Ort der Hauptwohnung) anzugeben ist. Eine vergleichbare Vorgabe enthält bereits § 37 Abs. 1 Satz 2 und 3 Europawahlordnung:
"2Die Bekanntmachung enthält für jeden Wahlvorschlag die in § 32 Abs. 1 Satz 2 bezeichneten Angaben, wobei statt des Geburtsdatums nur das Geburtsjahr und statt der Anschrift nur der Wohnort (Ort der Hauptwohnung) der Bewerber und Ersatzbewerber anzugeben ist, sowie den Hinweis, für welches Land der Wahlvorschlag oder ob er als gemeinsame Liste für alle Länder aufgestellt ist. 3Weist ein Bewerber bis zum Ablauf der Einreichungsfrist gegenüber dem Bundeswahlleiter nach, dass für ihn im Melderegister ein Sperrvermerk gemäß § 51 Absatz 1 des Bundesmeldegesetzes eingetragen ist, ist an Stelle seines Wohnortes der Ort seiner Erreichbarkeitsanschrift zu verwenden; die Angabe eines Postfachs genügt nicht."
Aus datenschutzrechtlicher Sicht ist mit einer entsprechenden Normänderung generell eine deutliche Erhöhung des Schutzniveaus für Wahlbewerberinnen und Wahlbewerber verbunden. Dies geht weit über die bisher bloß vorgesehene Möglichkeit, die eigene Anschrift bei einer bereits eingetragenen Auskunftssperre nicht veröffentlichen lassen zu müssen, hinaus.
4.6. Anforderungen an die Videoüberwachung durch Kommunen: Bestätigung meiner Prüfpraxis durch den Bayerischen Verwaltungsgerichtshof
Auch oder gerade weil das Vorhandensein von Videoüberwachung im Alltag mittlerweile ein großes Ausmaß angenommen hat, ist der Datenschutz besonders gefordert, denn mit der personenscharfen Videoüberwachung sind stets Risiken für das Grundrecht auf informationelle Selbstbestimmung verbunden. Kommunale Videoüberwachungsmaßnahmen und die hiermit verbundenen Grundrechtseingriffe unterliegen daher insbesondere den in Art. 24 BayDSG geregelten Voraussetzungen, die ich in einer Orientierungshilfe detailliert erläutert habe. In einer aktuellen Entscheidung hat sich der Bayerische Verwaltungsgerichtshof mit der Auslegung des Art. 24 BayDSG befasst und hierbei Maßstäbe angelegt, die meine Prüfpraxis bestätigen. Anlass der Entscheidung war eine Videoüberwachungsanlage in einer zentralen Parkanlage einer bayerischen Stadt, gegen die ein Bürger Unterlassungsklage erhoben hatte. Das in erster Instanz zuständige Verwaltungsgericht hatte diese Klage noch abgewiesen. Der Bayerische Verwaltungsgerichtshof teilte diese Einschätzung in zweiter Instanz jedoch nicht, sondern gab dem Kläger Recht: Die Kommune hatte ihre Befugnisse mit der Videoüberwachung überschritten, die Videoüberwachung des Klägers in der zentralen Parkanlage ist zu unterlassen.
Die Befugnis in Art. 24 Abs. 1 BayDSG erfordert insbesondere das Bestehen einer Gefahrenlage, die durch die Videoüberwachungsanlage abgewehrt werden soll (vgl. den Wortlaut des Art. 24 Abs. 1 BayDSG: "zu schützen"). Zutreffend definiert der Bayerische Verwaltungsgerichtshof den Gefahrentatbestand in seinem Urteil als "Gefahrensituation", "Gefährdungs-" oder "Gefahrenlage" (Rn. 48 f., 58). Zu deren Annahme bedarf es grundsätzlich konkreter, ortsbezogener Tatsachen, die eine entsprechende Gefahrbeurteilung tragen. In der Regel bedeutet dies, dass es bereits in der Vergangenheit einschlägige Vorfälle am Ort der geplanten Videoüberwachung gegeben haben muss. Nicht ausreichend ist dagegen ein allgemeines Gefahrenpotential. Die erforderliche Gefahr muss vielmehr unter Berücksichtigung von Standort und Einfallswinkel individuell begründet werden, da kommunale Videoüberwachungen durch eine kleinräumige Überwachung eines Gefahrenbereichs gekennzeichnet sind. Dies macht grundsätzlich eine kameraspezifische Vorfallsdokumentation notwendig. Gerade auch die Notwendigkeit einer solchen detaillierten Vorfallsdokumentation hat der Bayerische Verwaltungsgerichtshof nun bestätigt und ausdrücklich klargestellt, dass ein theoretisches oder nur subjektiv empfundenes, allgemeinen Unsicherheitsgefühl keine Videoüberwachung rechtfertigt.
Zur Einschätzung der Gefahrensituation bedarf es zunächst einmal einer Prognose, die auf einer Tatsachenbasis beruhen muss. Hierzu muss die verantwortliche Stelle eine ausführliche Vorfallsdokumentation führen, in der die relevanten Vorfälle genau protokolliert werden. Bloße Schätzungen auf der Basis von Erinnerungswissen reichen insoweit nicht aus.
Außerdem ist nicht jeder Vorfall, der sich im zu überwachenden Bereich ereignet hat, auch relevant für eine Videoüberwachung und darf in die Vorfallsdokumentation aufgenommen werden. Dies hat der Bayerische Verwaltungsgerichtshof deutlich gemacht und alle protokollierten Fälle als unerheblich angesehen, die keine Aussagekraft für eine Gefährdungslage vor Ort hatten. Hiervon betroffen waren in dem der Entscheidung zugrundeliegenden Sachverhalt etwa "Fund/Verlust"-Fälle sowie verbale Beleidigungen, die "von der Videoüberwachung ohnehin nicht eingedämmt werden". Außerdem seien "aus der Emotion heraus - spontan und affektiv - begangene Körperverletzungen" für die Videoüberwachung ebenfalls nicht relevant.
Zusammengefasst sind damit hohe Anforderungen an die Vorfallsdokumentation, welche eine eindeutige Einordung der Schadensfälle und eine Einstufung der Örtlichkeit als "gefährlich" ermöglichen muss, zu stellen. Insbesondere Bagatellrisiken, die eine Vorfallsdokumentation "aufblähen", reichen gerade bei Vollüberwachung einer zentralen Kommunikationsfläche nicht aus, um eine Videoüberwachung zu rechtfertigen.
4.7. Datenschutzrechtliche Vorgaben für eine automatisierte Kennzeichenerfassung beim Kameraparken
Das Passieren einer durch Schranke verschlossenen Parkplatzeinfahrt nach dem Ziehen eines Parktickets und die sich nach dem Ende des Parkvorgangs anschließende Entwertung dieses Tickets mittels (Bar-)Zahlung am Automaten vor der ebenfalls beschrankten Ausfahrt: alltägliche und über lange Zeit unveränderte, weitgehend anonyme Vorgänge. Mittlerweile gehen jedoch auch öffentliche Stellen dazu über, beim sogenannten Kameraparken von ihnen betriebene Parkhäuser, Tiefgaragen oder Parkplätze mittels automatisierter Kennzeichenerfassung zu digitalisieren. Hierbei wird auf das Passieren von Schranken und das Ziehen von Parktickets bei der Einfahrt sowie eine Entwertung vor der Ausfahrt verzichtet. Vielmehr werden bei allen einfahrenden Kraftfahrzeugen die Kennzeichen mittels Kamera als (Einzel-)Bilder erfasst und jeweils zusammen mit der Uhrzeit gespeichert. Bei der Ausfahrt werden die Kennzeichen nochmals als (Einzel-)Bilder erfasst; dabei wird überprüft, ob das nach der jeweiligen Parkdauer geschuldete Entgelt am Kassenautomaten - regelhaft ist hierfür die Eingabe des Kennzeichens erforderlich - entrichtet wurde. Maßgeblich für diese Digitalisierung scheinen zwei Gründe zu sein: Zunächst einmal sehen die Betreiber darin eine betriebswirtschaftlich vorteilhafte Möglichkeit, auf die störanfällige und damit personalintensive technische Infrastruktur in Gestalt von Schranken und Ticketautomaten verzichten zu können. Zum anderen kann die uhrzeitgenaue Kennzeichenerfassung die derzeit beim Verlust des Parktickets entstehenden Nachweisprobleme der Kundinnen und Kunden hinsichtlich der Parkdauer lösen beziehungsweise Betrugsversuche erschweren.
Die digitalisierte Abrechnung des Parkvorgangs - anders als früher an die Verarbeitung personenbezogener Daten in Gestalt des Kfz-Kennzeichens gekoppelt - wird datenschutzrechtlich relevant. Insoweit habe ich einer privatrechtlich organisierten und damit in Bezug auf den Parkvorgang auf Ebene der Gleichordnung zum Bürger agierenden öffentlichen Stelle, auf deren entsprechende Planungen ich durch eine Bürgereingabe aufmerksam wurde, die datenschutzrechtlichen Vorgaben für eine automatisierte Kennzeichenerfassung beim Kameraparken zu Abrechnungszwecken erläutert.
4.7.1. Erfordernis einer Rechtsgrundlage für die Datenverarbeitung
Die Kennzeichen von Kraftfahrzeugen, deren Halterinnen oder Halter natürliche Personen sind, stellen regelmäßig personenbezogene Daten gemäß Art. 4 Nr. 1 DSGVO dar. Daher sind die mit dem Kameraparken verbundenen Vorgänge wie Kennzeichenerfassung, Speicherung und Abgleich mit Uhrzeit und Zahlvorgang Verarbeitungen nach Art. 4 Nr. 2 DSGVO, die einer Rechtsgrundlage nach Art. 6 Abs. 1 DSGVO bedürfen.
4.7.2. Keine Rechtsgrundlage nach Art. 6 Abs. 1 UAbs. 1 Buchst. e DSGVO
Eine spezialgesetzliche Rechtsgrundlage für die Verarbeitung personenbezogener Daten beim Kameraparken ist nicht ersichtlich, insbesondere ist aufgrund der bloßen Erstellung von (Einzel-)Bildaufnahmen Art. 24 BayDSG als spezielle Befugnis für eine Videoüberwachung durch öffentliche Stellen nicht einschlägig. Zwar ist mit diesem Befund ein Rückgriff auf die allgemeine Datenverarbeitungsbefugnis des Art. 4 Abs. 1 BayDSG nicht von vornherein ausgeschlossen, jedoch hatte ich erhebliche Bedenken hinsichtlich der Erforderlichkeit einer auf Art. 4 Abs. 1 BayDSG gestützten Datenverarbeitung, da die Abwicklung der Parkvorgänge unzweifelhaft auch analog möglich war und ist.
4.7.3. Keine Rechtsgrundlage nach Art. 6 Abs. 1 UAbs. 1 Buchst. b und f DSGVO
Soweit von der öffentlichen Stelle Art. 6 Abs. 1 UAbs. 1 Buchst. b und f DSGVO als mögliche Rechtsgrundlagen für die Datenverarbeitung ins Spiel gebracht wurden, habe ich zum einen darauf hingewiesen, dass für die Erforderlichkeit einer Datenverarbeitung zur Vertragserfüllung gemäß Art. 6 Abs. 1 UAbs. 1 Buchst. b DSGVO nicht der bloße Bezug des Verarbeitungsvorgangs zu einem Vertragsverhältnis (hier wohl Miete nach § 535 Bürgerliches Gesetzbuch) genügt. Vielmehr muss ein unmittelbarer Zusammenhang zwischen der Verarbeitung und dem konkreten Zweck des Vertragsverhältnisses bestehen, beziehungsweise die Datenverarbeitung muss objektiv unerlässlich sein, um den Hauptgegenstand des Vertrags zu erfüllen, was ich jedoch beim unschwer analog abwickelbaren Parkverhältnis nicht erkennen konnte. Im Hinblick auf Art. 6 Abs. 1 UAbs. 1 Buchst. f DSGVO habe ich darauf hingewiesen, dass einseitige, also nicht beiderseitig konsentierte Datenverarbeitungen im hier vorliegenden Kontext rechtsgeschäftlicher Beziehungen auf Ebene der Gleichordnung einen Fremdkörper darstellen und daher eine auf Art. 6 Abs. 1 UAbs. 1 Buchst. f DSGVO gestützte Erforderlichkeit der Datenverarbeitung insoweit nur angenommen werden kann, wenn insbesondere die Einholung von Einwilligungen nach Art. 6 Abs. 1 UAbs. 1 Buchst. a DSGVO unzumutbar ist. Diese Unzumutbarkeit konnte ich jedoch nicht erkennen, da die Einholung von Einwilligungen - unter den sogleich näher dargelegten Voraussetzungen - möglich ist.
4.7.4. Rechtsgrundlage nach Art. 6 Abs. 1 UAbs. 1 Buchst. a DSGVO
Nicht von vornherein ausgeschlossen schien es mir dagegen, die uhrzeitgenaue (Einzel-)Bilderfassung der Kfz-Kennzeichen und die anderen bereits erläuterten Datenverarbeitungen beim Kameraparken auf wirksame Einwilligungen der Parkierenden nach Art. 6 Abs. 1 UAbs. 1 Buchst. a DSGVO zu stützen.
Angesichts der Tatsache, dass öffentliche Stellen primär aufgrund von gesetzlichen Befugnissen handeln sollen und diese nicht beliebig durch die Einholung von Einwilligungen ausweiten können (siehe meine Ausführungen im 29. Tätigkeitsbericht 2019 unter Nr. 5.6.2), ist es jedoch, um hiervon Gebrauch machen zu können, erforderlich, zunächst einmal gemäß Art. 5 Abs. 2 DSGVO den Nachweis zu erbringen, dass es eine signifikante Zahl von Betrugsversuchen oder kundenverursachten (vorsätzlichen) Störfällen gibt, die eine Kennzeichenerfassung rechtfertigen (Grundsatz der Datenminimierung, Art. 5 Abs. 1 Buchst. c DSGVO). Bloße technikbedingte Störanfälligkeiten bei der Verarbeitung von Papiertickets können insoweit nicht berücksichtigt werden, da dieses Risiko vom Betreiber zu tragen ist.
Die Wirksamkeit der Einwilligung als solcher ist des Weiteren nur gegeben, wenn Betroffene eine "echte", freie Wahl haben und über die Datenverarbeitung bereits vor der Erfassung durch die Kennzeichenkameras adäquat informiert sind. Bereits im Zufahrtsbereich vor dem Passieren der Schranke und damit vor erstmaliger Aufzeichnung durch die Kennzeichenkamera sollte potentiellen Benutzern daher die Möglichkeit eröffnet werden, zu wenden und sich damit gegen eine Aufzeichnung zu entscheiden. Hierzu bedarf es entsprechender Hinweistafeln an den Einfahrten. Außerdem sollte an etwaigen Fußgängerausgängen, am Einfahrtsterminal und auf der Website des Betreibers auf die Datenverarbeitung hingewiesen werden. Gerade letzteres ermöglicht es Betroffenen, sich vorab über Alternativen zu informieren.
Schließlich muss gewährleistet sein, dass Betroffene zumindest während einer gewissen "Karenzzeit" wieder aus der Parkanlage ausfahren können, ohne dass ihre Kennzeichendaten (weiter) gespeichert werden. Den Betroffenen soll so ermöglicht werden, auf andere Anlagen ohne Kennzeichenerfassung ausweichen zu können.
Gemäß dem Zweckbindungsgrundsatz nach Art. 5 Abs. 1 Buchst. b DSGVO dürfen die im Rahmen der Kennzeichenerfassung erhobenen Daten ausschließlich zur Abwicklung des Bezahlvorgangs und etwaiger weiterer notwendiger Maßnahmen, nicht jedoch für weitere Analysen oder zur Reichweitenmessung oder gar zur Erstellung von Bewegungsprofilen verwendet werden.
- Bayerischer Landesbeauftragter für den Datenschutz, Datenschutzbeauftragte kreisangehöriger Gemeinden in Bayern: Inkompatibilitäten, Qualifikation, Zeitbudget, Aktuelle Kurz-Information 7, Stand 10/2021, Internet: https://www.datenschutz-bayern.de, Rubrik "Datenschutzreform 2018". [Zurück]
- Mehde, in: Dürig/Herzog/Scholz, Grundgesetz, Stand 9/2022, Art. 28 Rn. 65. [Zurück]
- Siehe hierzu im bayerischen Recht Art. 20, 21 Bayerisches Verwaltungsverfahrensgesetz. [Zurück]
- Schmitz, in: Stelkens/Bonk/Sachs, Verwaltungsverfahrensgesetz, 10. Aufl. 2023, § 20 Rn. 1. [Zurück]
- Schmitz, in: Stelkens/Bonk/Sachs, Verwaltungsverfahrensgesetz, 10. Aufl. 2023, § 20 Rn. 1. [Zurück]
- Schmitz, in: Stelkens/Bonk/Sachs, Verwaltungsverfahrensgesetz, 10. Aufl. 2023, § 20 Rn. 2. [Zurück]
- Müller/Richter/Ziekow, Handbuch Zuwendungsrecht, 2017, Kap. A Rn. 222. [Zurück]
- Müller/Richter/Ziekow, Handbuch Zuwendungsrecht, 2017, Kap. B Rn. 71. [Zurück]
- Vgl. Bayerisches Oberstes Landesgericht, Beschluss vom 6. August 2020 , 1 VA 33/20, BeckRS 2020, 18859, Rn. 59. [Zurück]
- Vgl. Bayerisches Oberstes Landesgericht, Beschluss vom 6. August 2020 , 1 VA 33/20, BeckRS 2020, 18859, Rn. 60. [Zurück]
- Vf. 5-VII-19, BeckRS 2022, 9317. [Zurück]
- Die Landeswahlordnung ist gemäß Art. 6 Bezirkswahlgesetz unter den dort genannten Maßgaben auf die Bezirkswahl anwendbar. [Zurück]
- Das ePaper des Staatsanzeigers kann ausschließlich von Abonnenten auf der Internetseite der Bayerischen Staatszeitung abgerufen werden. Ein Auffinden des Dokuments über Google oder andere Suchmaschinen ist nicht möglich. [Zurück]
- Bayerischer Landesbeauftragter für den Datenschutz, Videoüberwachung durch bayerische öffentliche Stellen, Stand 2/2020, Internet: https://www.datenschutz-bayern.de, Rubrik "Datenschutzreform 2018". [Zurück]
- Bayerischer Verwaltungsgerichtshof, Urteil vom 30. Mai 2023, 5 BV 20.2104, BeckRS 2023, 12517. [Zurück]
- Vgl. Rn. 45, 48 f., 50, 55, 58 und 65. [Zurück]
- Vgl. Rn. 50 ff. [Zurück]
- Vgl. auch Albers/Veit, in: Wolff/Brink/v. Ungern-Sternberg, Beckscher Online-Kommentar Datenschutzrecht, Stand 5/2023, Art. 6 DSGVO Rn. 44. [Zurück]
- Vgl. Europäischer Gerichtshof, Urteil vom 4. Juli 2023, C-252/21, Rn. 97 ff. [Zurück]
- Vgl. auch Albers/Veit, in: Wolff/Brink/v. Ungern-Sternberg, Beckscher Online-Kommentar Datenschutzrecht, Stand 5/2023, Art. 6 DSGVO Rn. 69. [Zurück]
- Vgl. Bayerischer Landesbeauftragter für den Datenschutz, Die Einwilligung nach der Datenschutz-Grundverordnung, Orientierungshilfe, Stand 9/2021, dort insbesondere Rn. 65 ff., Internet: https://www.datenschutz-bayern.de, Rubrik "Datenschutzreform 2018". [Zurück]