[go: up one dir, main page]

≡ Sitemap

Der Bayerische Landesbeauftragte für den Datenschutz; Stand: 31.12.2023

7. Personalverwaltung

7.1. Bayerisches Personalaktenrecht und unionales Datenschutzrecht

Im März 2023 hat der Europäische Gerichtshof eine vielbeachtete Entscheidung zum Beschäftigtendatenschutz getroffen. Gegenstand des Verfahrens waren Vorschriften des hessischen Landesrechts zur Verarbeitung von Beschäftigtendaten. Im Kern ging es dabei zunächst um die Frage, welche Anforderungen nationale Rechtsvorschriften erfüllen müssen, die auf Grundlage von Art. 88 DSGVO erlassen worden sind. Ferner hat der Gerichtshof dazu Stellung genommen, ob mitgliedstaatliche Regelungen, die hinter den Anforderungen dieser Vorschrift zurückbleiben, weiter angewendet werden können.

Der vorliegende Beitrag stellt zunächst Hintergrund und wesentliche Aussagen des Urteils dar. Anschließend widmet er sich der Frage, ob die Entscheidung des Europäischen Gerichtshofs auch Auswirkungen für das bayerische Personalaktenrecht hat.

7.1.1. Zum Hintergrund

Die Datenschutz-Grundverordnung gilt grundsätzlich unmittelbar in jedem Mitgliedstaat - und zwar auch im Bereich des Beschäftigtendatenschutzes. Allerdings räumt sie den nationalen Gesetzgebern verschiedene Regelungs- und Gestaltungsspielräume ein. Solche bestehen etwa bei der Verarbeitung personenbezogener Daten zur Wahrnehmung von Aufgaben, die im öffentlichen Interesse liegen (vgl. Art. 6 Abs. 1 UAbs. 1 Buchst. e, Abs. 2 und 3 DSGVO), aber auch, wenn es um die Verarbeitung von Beschäftigtendaten geht (Art. 88 DSGVO). Da der europäische Gesetzgeber mit der Datenschutz-Grundverordnung eigentlich eine Vollharmonisierung des Datenschutzrechts in Europa erreichen wollte, bestehen solche nationalen Gestaltungsspielräume nicht voraussetzungslos: Die in der Datenschutz-Grundverordnung enthaltenen "Öffnungsklauseln" formulieren vielmehr unterschiedliche Anforderungen an das auf ihrer Grundlage erlassene nationale Recht. So erlaubt Art. 88 Abs. 1 DSGVO als mitgliedstaatliches Recht (lediglich) "spezifischere Vorschriften", die den Schutz der Rechte und Freiheiten betroffener Personen bei der Verarbeitung von Beschäftigtendaten gewährleisten sollen. Art. 88 Abs. 2 DSGVO fordert in diesem Zusammenhang, dass solche Vorschriften "geeignete und besondere Maßnahmen zur Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der betroffenen Person" umfassen.

Im Bundesrecht ist § 26 Bundesdatenschutzgesetz (BDSG) die zentrale Norm für die Verarbeitung personenbezogener Daten im Beschäftigungskontext. Diese vom Bundesgesetzgeber auf Art. 88 DSGVO gestützte Vorschrift ist vor allem für Arbeitgeber und Beschäftigte in der Privatwirtschaft von Bedeutung. Für bayerische Dienstherren und öffentliche Arbeitgeber bestimmt sich die Zulässigkeit von Datenverarbeitungen im Beschäftigungskontext hingegen insbesondere nach Art. 103 ff. Bayerisches Beamtengesetz (BayBG) und § 50 Beamtenstatusgesetz. Für vertraglich im bayerischen öffentlichen Dienst Beschäftigte gelten diese Vorschriften grundsätzlich entsprechend (Art. 145 Abs. 2 BayBG).

7.1.2. Worum ging es in dem Verfahren?

Die Corona-Pandemie hat - wie viele öffentliche Stellen - auch die Schulen vor besondere Herausforderungen gestellt. Insbesondere war Präsenzunterricht nicht oder nur eingeschränkt möglich. Als Alternative wurde daher vielfach auf Distanzunterricht per Videokonferenz zurückgegriffen. Die damit zusammenhängende Verarbeitung personenbezogener Daten sowohl von Schülerinnen und Schülern als auch von Lehrkräften bedurfte freilich einer hinreichenden Rechtsgrundlage.

Mit zwei Erlassen im Jahr 2020 legte das Hessische Kultusministerium Rahmenbedingungen zum Schulunterricht während der Corona-Pandemie fest. Vorgesehen war dabei insbesondere, dass eine Zuschaltung von Schülerinnen und Schülern zum Unterricht per Videokonferenzdienst deren vorherige Einwilligung oder - bei Minderjährigen - die Einwilligung der Eltern voraussetzte. Für die Teilnahme der Lehrkräfte war ein solches Verfahren hingegen nicht vorgesehen; hier sollte nach Auffassung des Hessischen Kultusministeriums bereits § 23 Abs. 1 Satz 1 Hessisches Datenschutz- und Informationsfreiheitsgesetz (HDSIG) eine hinreichende Verarbeitungsbefugnis liefern. Nach dieser Vorschrift - die insoweit im Wesentlichen § 26 Abs. 1 Satz 1 BDSG entspricht - dürfen personenbezogene Beschäftigtendaten für Zwecke des Beschäftigungsverhältnisses unter anderem dann verarbeitet werden, wenn dies für die Durchführung des Beschäftigungsverhältnisses sowie zur Durchführung innerdienstlicher planerischer, organisatorischer, sozialer und personeller Maßnahmen erforderlich ist.

Der Hauptpersonalrat der Lehrerinnen und Lehrer beim Hessischen Kultusministerium erhob hiergegen Klage beim Verwaltungsgericht Wiesbaden. Dem Gericht kamen dabei Zweifel, ob § 23 Abs. 1 Satz 1 HDSIG sowie der alternativ als Rechtsgrundlage in Betracht gezogene - und in Teilen Art. 103 Abs. 1 Satz 1 Nr. 1 BayBG entsprechende - § 86 Abs. 4 Hessisches Beamtengesetz (HBG) mit den Anforderungen von Art. 88 Abs. 2 DSGVO vereinbar seien. Nach § 86 Abs. 4 Satz 1 HBG darf der Dienstherr unter anderem personenbezogene Daten über Beamtinnen und Beamte nur erheben, soweit dies zur Begründung, Durchführung, Beendigung oder Abwicklung des Dienstverhältnisses oder zur Durchführung organisatorischer, personeller und sozialer Maßnahmen, insbesondere auch zu Zwecken der Personalplanung und des Personaleinsatzes, erforderlich ist oder eine Rechtsvorschrift oder eine Dienstvereinbarung dies erlaubt.

Das Gericht beschloss daher, das Verfahren auszusetzen und dem Europäischen Gerichtshof folgende Fragen zur Vorabentscheidung vorzulegen:

  • Ist Art. 88 Abs. 1 DSGVO dahin auszulegen, dass eine Rechtsvorschrift, um eine spezifischere Vorschrift zur Gewährleistung des Schutzes der Rechte und Freiheiten hinsichtlich der Verarbeitung personenbezogener Beschäftigtendaten im Beschäftigungskontext im Sinne des Art. 88 Abs. 1 DSGVO zu sein, die an solche Vorschriften nach Art. 88 Abs. 2 DSGVO gestellten Anforderungen erfüllen muss?
  • Kann eine nationale Norm, wenn diese die Anforderungen nach Art. 88 Abs. 2 DSGVO offensichtlich nicht erfüllt, trotzdem noch anwendbar bleiben?

7.1.3. Was hat der Europäische Gerichtshof konkret entschieden?

Als "Vorfragen" prüft der Europäische Gerichtshof zunächst, ob die betreffenden Verarbeitungen personenbezogener Daten der Lehrkräfte überhaupt in den Anwendungsbereich der Datenschutz-Grundverordnung im Allgemeinen und des Art. 88 DSGVO im Speziellen fallen. Bei der letztgenannten Frage spielt insbesondere eine Rolle, ob die betroffenen Lehrkräfte als Angestellte oder Beamtinnen und Beamte im öffentlichen Dienst des Landes Hessen vom Beschäftigtenbegriff und dem Begriff des Beschäftigtenkontexts im Sinne von Art. 88 DSGVO erfasst sind. Diese "Vorfragen" bejaht der Gerichtshof jeweils.

Hinsichtlich der ersten Vorlagefrage kommt der Europäische Gerichtshof zu dem Ergebnis, dass "spezifischere Vorschriften" im Sinne von Art. 88 Abs. 1 DSGVO die Vorgaben von Art. 88 Abs. 2 DSGVO erfüllen müssen. Art. 88 DSGVO verlangt nach Auffassung des Gerichts demnach zweierlei:

  • Zum einen müssen "spezifischere Vorschriften" im Sinne von Art. 88 Abs. 1 DSGVO einen Regelungsgehalt aufweisen, der sich von den allgemeinen Vorgaben der Datenschutz-Grundverordnung unterscheidet. Nicht ausreichend ist es demnach insbesondere, wenn nationale Vorschriften, die auf Grundlage von Art. 88 DSGVO erlassen werden, lediglich die Rechtmäßigkeitsbedingungen nach Art. 6 DSGVO oder die Datenschutz-Grundsätze nach Art. 5 DSGVO wiederholen oder auf diese verweisen.
  • "Spezifischere Vorschriften" im Sinne von Art. 88 Abs. 1 DSGVO müssen ferner nach Art. 88 Abs. 2 DSGVO "auf den Schutz der Rechte und Freiheiten der Beschäftigten hinsichtlich der Verarbeitung ihrer personenbezogenen Daten im Beschäftigungskontext abzielen und geeignete und besondere Maßnahmen zur Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der betroffenen Person umfassen."

Vereinfacht ausgedrückt könnte man sagen: Nationale Regelungen zum Beschäftigtendatenschutz sind nur dann "spezifischere Vorschriften" im Sinne von Art. 88 Abs. 1 DSGVO, wenn sie sowohl hinsichtlich ihres Regelungsgehalts als auch hinsichtlich des Schutzes der (Grund-)Rechte und Freiheiten der betroffenen Beschäftigten einen "echten Mehrwert" mit sich bringen.

Was die zweite Vorlagefrage - und damit die Anwendbarkeit von nationalen Normen, welche die Anforderungen nach Art. 88 Abs. 2 DSGVO nicht erfüllen - betrifft, stellt der Gerichtshof im Ausgangspunkt zunächst fest, dass auf Grundlage von Öffnungsklauseln erlassene mitgliedstaatliche Rechtsvorschriften "nicht gegen den Inhalt und die Ziele der DSGVO verstoßen" dürfen. Ob § 23 Abs. 1 Satz 1 HDSIG und § 86 Abs. 4 HBG die Voraussetzungen und Grenzen des Art. 88 DSGVO tatsächlich beachten, entscheidet der Europäische Gerichtshof selbst jedoch nicht - dies sei, wie er betont, "Sache des für die Auslegung des nationalen Rechts allein zuständigen vorlegenden Gerichts". Gleichwohl bezweifelt der Gerichtshof im Folgenden recht deutlich, dass die genannten Vorschriften des hessischen Landesrechts zum Beschäftigtendatenschutz gegenüber den allgemeinen Regeln der Datenschutz-Grundverordnung den zuvor geforderten inhaltlichen Mehrwert aufweisen.

Aufgrund des Anwendungsvorrangs der Datenschutz-Grundverordnung müsste das vorlegende Gericht nationale Bestimmungen, welche seiner Ansicht nach gegen Voraussetzungen und Grenzen des Art. 88 DSGVO verstoßen, eigentlich unangewendet lassen. Da die gegenständliche Datenverarbeitung im Rahmen des öffentlichen Schulunterrichts und damit zur Wahrnehmung einer im öffentlichen Interesse liegenden Aufgabe erfolgt, bringt der Europäische Gerichtshof an dieser Stelle jedoch Art. 6 Abs. 1 UAbs. 1 Buchst. c und e, Abs. 3 DSGVO ins Spiel: Das vorlegende Gericht muss demnach gegebenenfalls auch prüfen, ob Vorschriften, welche die Anforderungen von Art. 88 DSGVO nicht erfüllen, als "Rechtsgrundlagen" im Sinne von Art. 6 Abs. 3 DSGVO gleichwohl weiter angewandt werden müssen. Dies kommt vorliegend insbesondere aus dem Grunde in Betracht, dass Art. 6 Abs. 3 Satz 3 DSGVO als "Kann"-Vorschrift formuliert ist. Im Unterschied zu Art. 88 Abs. 2 DSGVO führt die Norm keine obligatorischen, sondern fakultative Regelungsinhalte auf.

7.1.4. Welche Folgen ergeben sich aus dieser Entscheidung für das bayerische Personalaktenrecht?

Für das bayerische Personalaktenrecht ergeben sich aus dem Urteil zunächst einmal keine unmittelbaren Folgen: Eine dem § 23 Abs. 1 Satz 1 HDSIG vergleichbare Regelung enthält das bayerische Landesrecht - anders als das Bundesrecht mit § 26 BDSG - nicht. Art. 103 Abs. 1 Satz 1 Nr. 1 BayBG ähnelt zwar § 86 Abs. 4 Satz 1 HBG (zu dessen Regelungsinhalt vgl. bereits Nr. 7.1.2), sodass für jene Vorschrift grundsätzlich zu prüfen wäre, ob sie eine spezifischere Vorschrift im Sinne von Art. 88 DSGVO darstellt. Zu beachten ist aber zum einen, dass sich das Urteil des Europäischen Gerichtshofs nur auf die hessische Rechtslage bezieht und zudem zur (Nicht-)Vereinbarkeit von § 86 Abs. 4 Satz 1 HBG mit den Anforderungen des Art. 88 DSGVO keine endgültige Aussage trifft. Das bayerische Personalaktenrecht befand sich hier schon gar nicht "auf dem Prüfstand". Zum anderen ist Art. 103 Satz 1 Nr. 1 BayBG Teil eines regulatorischen Gesamtsystems und steht insbesondere mit der personellen Verarbeitungsbeschränkung nach Art. 103 Satz 2 BayBG in einem engen Zusammenhang. Die weiteren Vorschriften des bayerischen Personalaktenrechts enthalten überwiegend ohnehin teils sehr spezifische Vorgaben zum Schutz betroffener Beschäftigter. Die "Kritik" des Europäischen Gerichtshof an § 86 Abs. 4 Satz 1 HBG kann damit jedenfalls nicht unbesehen auf Art. 103 Satz 1 Nr. 1 BayBG übertragen werden. Unabhängig hiervon kommt freilich in Betracht, Art. 103 Satz 1 Nr. 1 BayBG als Rechtsgrundlage im Sinne von Art. 6 Abs. 3 in Verbindung mit Art. 6 Abs. 1 UAbs. 1 Buchst. e DSGVO aufzufassen. Zu der dargestellten Prüfung ist zunächst der bayerische Gesetzgeber aufgerufen, im Streitfall gegebenenfalls auch die Gerichte.

Das Urteil des Europäischen Gerichtshofs kann jedoch über die Grenzen des Beschäftigtendatenschutzes hinaus als "Weckruf" verstanden werden: Denn auch andere Öffnungsklauseln enthalten - vielfach zwingende - Vorgaben, in deren Grenzen sich mitgliedstaatliches Recht bewegen muss. Der Gesetzgeber sollte damit die Ausführungen des Europäischen Gerichtshofs in dem hier vorgestellten Urteil im Blick behalten, wenn er künftig von den Öffnungsklauseln der Datenschutz-Grundverordnung Gebrauch machen möchte. Die Entscheidung kann für den Gesetzgeber ferner Anlass sein, den bestehenden datenschutzrechtlichen Normenbestand auf etwaigen "Nachbesserungsbedarf" hin zu überprüfen. In diesem Zusammenhang ist im Blick zu behalten, dass der Europäische Gerichtshof jedenfalls bei der Verarbeitung von Beschäftigtendaten im öffentlichen Dienst einen "Austausch von Öffnungsklauseln" für möglich hält: Auch wenn eine ursprünglich auf Art. 88 DSGVO gestützte nationale Rechtsvorschrift die Anforderungen dieser Öffnungsklausel im Lichte der Rechtsprechung des Europäischen Gerichtshofs womöglich nicht erfüllt, kann sie gegebenenfalls auf Art. 6 Abs. 1 UAbs. 1 Buchst. c und e, Abs. 3 DSGVO gestützt werden.

7.1.5. Fazit

Die Entscheidung des Europäischen Gerichtshofs macht deutlich, dass mitgliedstaatliches "Durchführungsrecht", welches auf Grundlage von Öffnungsklauseln der Datenschutz-Grundverordnung erlassen wird, die Anforderungen und Grenzen der jeweiligen Öffnungsklausel beachten muss. Zugleich legt sie nahe, dass nationale Regelungen gegebenenfalls auch auf unterschiedliche Öffnungsklauseln gestützt werden können. Unmittelbare Auswirkungen auf das bayerische Personalaktenrecht hat das Urteil zunächst jedoch nicht.

7.2. Neuerungen im bayerischen Dienstrecht

Zum Ende der vergangenen Legislaturperiode hat das bayerische Dienstrecht Änderungen erfahren. Soweit diese datenschutzrechtlich von Bedeutung waren, war ich in die "einschlägigen" Rechtsetzungsverfahren eingebunden. Ausgewählte Rechtsänderungen mit Datenschutzbezug möchte ich im Folgenden vorstellen.

7.2.1. Unfallfürsorge: Übermittlung von Untersuchungs- oder Beobachtungsbefunden

Das Gesetz zur Änderung dienstrechtlicher Vorschriften hat unter anderem einen Regelungsbedarf im Bereich der Unfallfürsorge adressiert, auf den ich schon vor Jahren hingewiesen hatte (vgl. meinen 24. Tätigkeitsbericht 2009/2010 unter Nr. 11.1.2):

Wird ein Beamter oder eine Beamtin durch einen Dienstunfall verletzt, wird Unfallfürsorge gewährt (Art. 45 Abs. 1 Satz 1 Bayerisches Beamtenversorgungsgesetz - BayBeamtVG). Soweit dies zur Entscheidung über die Gewährung von Unfallfürsorge erforderlich ist, sind Beamte und Beamtinnen gemäß Art. 45 Abs. 3 Satz 1 BayBeamtVG verpflichtet, sich auf Verlangen der Pensionsbehörde ärztlich oder psychologisch untersuchen oder beobachten zu lassen und die erforderlichen Auskünfte zu erteilen. Zu diesem Zweck darf die Pensionsbehörde Erkenntnisse und Beweismittel an die begutachtende Stelle, etwa an ein Gesundheitsamt, weitergeben (Art. 45 Abs. 3 Satz 2 BayBeamtVG).

Bislang enthielt Art. 45 Abs. 3 BayBeamtVG allerdings keine datenschutzrechtliche Rechtsgrundlage für den "Rückkanal", also für die Übermittlung von Untersuchungs- oder Beobachtungsbefunden von den begutachtenden Stellen an die Pensionsbehörde, obgleich ich schon frühzeitig vorgeschlagen hatte, insoweit Art. 67 Bayerisches Beamtengesetz (BayBG) für entsprechend anwendbar zu erklären (siehe meinen 24. Tätigkeitsbericht 2009/2010 unter Nr. 11.1.2). Diese Vorschrift betrifft die Mitteilung aus amtsärztlichen Untersuchungsbefunden bei Begutachtungen zur Dienstfähigkeit. Sie schafft mit materiellen und Verfahrensvorgaben einen Ausgleich zwischen den berechtigten Informationsinteressen der personalverwaltenden Stelle und den Persönlichkeitsrechten der begutachteten Personen: Während Art. 67 Abs. 1 BayBG den zulässigen Mitteilungsumfang normiert, enthalten Art. 67 Abs. 2 und 3 BayBG Vorgaben zur Übermittlung, Aufbewahrung und zweckgebundenen Verwendung der amtsärztlichen Mitteilung sowie zur Verfahrenstransparenz.

Entgegen dieser Empfehlung musste sich die Praxis damit behelfen, die Übermittlung von Untersuchungs- oder Beobachtungsbefunden an die Pensionsbehörde auf ausdrückliche Einwilligungen der begutachteten Personen zu stützen. Diese "Einwilligungslösung" bringt in Unfallfürsorgeangelegenheiten jedoch schon aufgrund der zwischenzeitlich mit Einführung der Datenschutz-Grundverordnung europarechtlich zwingend vorgegebenen freien Widerruflichkeit einer Einwilligung (vgl. Art. 7 Abs. 3 Satz 1 DSGVO) sowohl für die betroffenen Personen als Beteiligte als auch für die begutachtenden Stellen, insbesondere die Gesundheitsämter, eine erhebliche Rechtsunsicherheit mit sich.

Endlich, muss man sagen, hat sich der Gesetzgeber dieses im Grunde einfach zu behebenden Defizits angenommen: Für die Übermittlung von Untersuchungs- oder Beobachtungsbefunden gilt Art. 67 BayBG nach dem neuen Art. 45 Abs. 3 Satz 3 BayBeamtVG nun entsprechend.

7.2.2. Elektronische Fernprüfungen

Die mit der COVID-19-Pandemie verbundenen Einschränkungen hatten auch auf das Prüfungswesen erheblichen Einfluss. Sie brachten es insbesondere mit sich, dass Prüfungen gegebenenfalls nicht mehr in Präsenz, sondern als digitale Fernprüfungen durchgeführt werden mussten. Für den Hochschulbereich wurden einschlägige Vorgaben in der Bayerischen Fernprüfungserprobungsverordnung geregelt (siehe hierzu ausführlich meinen 30. Tätigkeitsbericht 2020 unter Nr. 10.1.4). Prüfungen nach dem bayerischen Leistungslaufbahnrecht wurden zu Pandemiezeiten in erforderlichem Umfang auf Basis von Art. 70a Leistungslaufbahngesetz (LlbG) als elektronische Fernprüfungen durchgeführt. Die dabei gewonnenen Erfahrungen haben den Gesetzgeber dazu bewogen, die Möglichkeit elektronischer Fernprüfungen auch im Prüfungsrecht des bayerischen öffentlichen Dienstes dauerhaft zu eröffnen.

Grundlegende Vorgaben zu beamtenrechtlichen Prüfungen enthält das Leistungslaufbahngesetz (LlbG). Der durch das Gesetz zur Änderung dienstrechtlicher Vorschriften neugefasste Art. 22 Abs. 2 Satz 2 LlbG sieht vor, Prüfungen bei Regelbewerberinnen und Regelbewerbern als elektronische Fernprüfungen durchzuführen. Diese Option wurde auch in anderen beamtenrechtlichen Prüfungsbereichen verankert. Näheres zu elektronischen Fernprüfungen ist durch Rechtsverordnung festzulegen (vgl. insbesondere Art. 22 Abs. 2 Satz 2 LlbG). Für Prüfungen bei Regelbewerberinnen und Regelbewerbern geschieht dies in der Allgemeinen Prüfungsordnung (APO), die zugleich als "Rahmenordnung" für etwaige spezifischere Prüfungsordnungen (vgl. etwa Art. 37 Abs. 3 Satz 4 und 5 in Verbindung mit Art. 67 LlbG) angesehen werden kann. Art. 22 Abs. 7 LlbG gibt den Mindestinhalt dieser Rechtsverordnung vor, wozu auch Bestimmungen "zur Sicherung des Datenschutzes" zählen (Art. 22 Abs. 7 Satz 3 Nr. 1 LlbG).

Bei meiner Beteiligung im Gesetzgebungsverfahren habe ich empfohlen, sich bei den hiernach in datenschutzrechtlicher Hinsicht notwendigen Anpassungen der Allgemeinen Prüfungsordnung an den einschlägigen Vorschriften der Bayerischen Fernprüfungserprobungsverordnung zu orientieren. Diese Empfehlung hat der Verordnungsgeber in der Verordnung zur Änderung der Allgemeinen Prüfungsordnung weitgehend aufgegriffen: Der Regelungsinhalt der §§ 3 bis 7 sowie § 9 BayFEV findet sich im Wesentlichen in Art. 15 Abs. 4 sowie in §§ 56 bis 60 APO wieder - die Allgemeine Prüfungsordnung trifft damit insbesondere Vorgaben zur Datenverarbeitung (§ 57 APO) sowie zur Aufsicht bei Fernklausuren (§ 58 APO).

7.2.3. Art. 103a BayBG: Datenverarbeitung bei Aufgabenübertragung

Der neue Art. 103a Satz 1 BayBG enthält eine Verarbeitungsbefugnis für Fälle, in denen ein Dienstherr oder Arbeitgeber (vgl. Art. 145 Abs. 2 BayBG) außerhalb des staatlichen Bereichs die Abrechnung von Bezügen oder weiteren (Neben-)Leistungen auf das Landesamt für Finanzen übertragen hat (vgl. hierzu insbesondere Art. 101 Abs. 2 Bayerisches Besoldungsgesetz - BayBesG - in Verbindung mit Art. 14 Satz 3 BayBesG). In diesem Rahmen darf das Landesamt auch besondere Kategorien personenbezogener Daten im Sinne von Art. 9 Abs. 1 DSGVO verarbeiten, soweit dies zur Erfüllung der ihm übertragenen Aufgaben erforderlich ist. Bei diesen Verarbeitungen ist das Landesamt Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO (Art. 103a Satz 3 BayBG).

7.2.4. Fazit

Die dargestellten Rechtsänderungen zeigen einmal mehr die hohe Bedeutung des Datenschutzes im öffentlichen Dienstrecht. "Einschlägige" Gesetzgebungsverfahren werde ich weiterhin eng begleiten. Dabei ist es mein Ziel, den Datenschutzrechten der im bayerischen öffentlichen Dienst Beschäftigten bestmöglich zur Geltung zu verhelfen. Auch wenn, wie im geschilderten Fall der Unfallfürsorge, mitunter ein gewisses Maß an Ausdauer und Beharrlichkeit geboten ist: Ich bin weiter zuversichtlich, dass meine datenschutzrechtlichen Empfehlungen beim Gesetzgeber auch in Zukunft Gehör finden. Schließlich ist ein gut aufgestellter Beschäftigtendatenschutz auch ein Zeichen der Fairness und Berechenbarkeit bayerischer Dienstherren und öffentlicher Arbeitgeber.

7.3. Vorstellungsgespräche in Gruppen

Personalgewinnung ist auch für bayerische - insbesondere, aber nicht nur staatliche und kommunale - Dienstherren und öffentliche Arbeitgeber ein Dauerthema. Um in Stellenbesetzungsverfahren fundierte Auswahlentscheidungen treffen zu können, müssen sie sich im Vorfeld ein aussagekräftiges "Bild" von den Bewerberinnen und Bewerbern machen. Als Grundlage hierfür dienen neben schriftlichen Bewerbungsunterlagen insbesondere Vorstellungsgespräche. Bei der Gestaltung dieser Gespräche sind allerdings die Datenschutzrechte der betroffenen Bewerberinnen und Bewerber im Blick zu behalten.

Eine bayerische öffentliche Stelle hatte auf ihrer Internetseite Bewerberinnen und Bewerber über den Ablauf des Auswahlverfahrens für neu oder nachzubesetzende Stellen informiert. Dabei wurde unter anderem darauf hingewiesen, dass ein "Erstgespräch" eventuell auch als "Gruppengespräch mit drei bis vier Mitbewerberinnen und Mitbewerbern" durchgeführt werden könne. Mit einer auf den ersten Blick ähnlichen Konstellation, nämlich einem besonderen Auswahlverfahren im Rahmen der Berufung in das Beamtenverhältnis, hatte ich mich bereits in meinem 26. Tätigkeitsberichts 2013/2014 unter Nr. 11.5 befasst.

Aus datenschutzrechtlicher Sicht sind solche Gruppengespräche bedenklich, weil hier nicht nur der potentielle Beschäftigungsgeber, sondern gegebenenfalls auch andere Bewerberinnen und Bewerber Einzelheiten zu persönlichen und beruflichen Verhältnissen ihrer Mitbewerbenden erfahren können. Schon die Tatsache, dass sich eine Person auf eine bestimmte Stelle beworben hat, geht Dritte eigentlich "nichts an".

Ich habe mich deshalb an die betreffende öffentliche Stelle gewandt und auf Folgendes hingewiesen:

Angesichts des verfassungsrechtlich gewährleisteten Grundsatzes der Bestenauslese (Art. 33 Abs. 2 Grundgesetz - GG, Art. 94 Abs. 2 Satz 1 Verfassung des Freistaates Bayern) haben bayerische Dienstherren und öffentliche Arbeitgeber zwar einen gewissen Spielraum bei der Ausgestaltung von Auswahlverfahren für Stellennach- und -neubesetzungen. Dies entbindet sie freilich nicht von bestehenden rechtlichen Vorgaben - einschließlich des Datenschutzrechts. Im Hinblick auf die Grundrechte jeder Bewerberin und jedes Bewerbers auf Datenschutz (Art. 8 Charta der Grundrechte der Europäischen Union) sowie auf informationelle Selbstbestimmung (Art. 2 Abs. 1 in Verbindung mit Art. 1 Abs. 1 GG) ist ein Vorstellungsgespräch so zu gestalten, dass die Bewerberinnen und Bewerber möglichst wenige Daten ihrer Mitbewerbenden erfahren.

Für bayerische Dienstherren und öffentliche Arbeitgeber ergibt sich dies einfachgesetzlich aus Art. 103 Satz 1 Nr. 1 Bayerisches Beamtengesetz (BayBG), der gemäß Art. 145 Abs. 2 BayBG auch auf vertraglich Beschäftigte im bayerischen öffentlichen Dienst grundsätzlich entsprechend anwendbar ist: Hiernach ist eine Verarbeitung - einschließlich der Offenlegung - personenbezogener Bewerbungsdaten durch bayerische Dienstherren und öffentliche Arbeitgeber nur zulässig, soweit dies insbesondere für Zwecke der Personalverwaltung und Personalwirtschaft erforderlich ist.

Aus datenschutzrechtlicher Sicht sind in Auswahlverfahren daher grundsätzlich Einzelgespräche vorzugswürdig; jedenfalls sind aber alle sensiblen und persönlichen Daten der Mitbewerbenden in einem Einzelgespräch zu klären, wie beispielsweise die Vorstellung der einzelnen Bewerberinnen und Bewerber oder die Erörterung ihrer lebenslaufbezogenen Daten. Sollten jedoch Teile des Vorstellungsgesprächs aus fachlichen Gründen zwingend in Gruppen durchzuführen sein, so dürfen die Bewerberinnen und Bewerber nur die für die fachliche Auswahl unbedingt erforderlichen personenbezogenen Daten ihrer Mitbewerbenden erfahren. Ich habe die öffentliche Stelle aufgefordert, die bestehende Praxis anhand dieser Maßstäbe kritisch zu überprüfen.

In ihrer Stellungnahme hat die öffentliche Stelle mir sowohl die Grundsätze ihres Auswahlverfahrens als auch hiervon mögliche Ausnahmen dargelegt. Danach würden die aus datenschutzrechtlicher Sicht bedenklichen Gruppengespräche nur in wenigen Fällen und nur dann stattfinden, wenn fachliche Gründe dies geböten. Dies sei insbesondere bei schriftlichen Einstellungstests, die zeitgleich mit mehreren Bewerbern durchgeführt werden, sowie beim Testen von Softskills wie Kommunikations- und Informationsverhalten und dem Interagieren in einer Gruppe der Fall. Alle sensiblen und persönlichen Daten der Mitbewerbenden würden in Einzelgesprächen geklärt. Vorsorglich sei das Personalreferat um Kontrolle und gegebenenfalls Nachbesserung der bisherigen Abläufe gebeten worden.

Die insoweit missverständlichen Ausführungen auf ihrer Internetseite hat die öffentliche Stelle zwischenzeitlich entfernt. Vor diesem Hintergrund habe ich von weiteren Maßnahmen abgesehen.

7.4. Fehlerhafte Zugriffsrechte auf Personalaktendaten

Die Verarbeitung von Personalaktendaten ist grundsätzlich den personalverwaltenden Stellen vorbehalten. Diese "personelle Verarbeitungsbeschränkung" ist durch technische und organisatorische Maßnahmen hinreichend abzusichern - gleich, ob Personalaktendaten in Papierform oder digital verarbeitet werden. Dass gerade bei der elektronischen Aufbewahrung solcher Daten etwas schiefgehen kann, zeigen zwei Meldungen von Datenschutzverletzungen (vgl. Art. 33 DSGVO), denen ähnliche "Pannen" bei der Rechteverwaltung zugrunde lagen. Bei meiner Überprüfung dieser Meldungen musste ich auch leider feststellen, dass fehlerhafte Zugriffsrechte nicht das einzige Datenschutzproblem waren.

7.4.1. Sachverhalt

Im ersten Fall hatte eine oberste Landesbehörde über ein Jahrzehnt hinweg quartalsmäßige Excel-Exporte aus dem Personal- und Stellenmanagementsystem VIVA (im Folgenden: VIVA-Exporte) in einem speziellen, eigentlich der Personalstelle vorbehaltenen Ordner digital abgelegt und aufbewahrt. Die VIVA-Exporte enthielten eine Vielzahl an Personaldaten, neben Namen und Geburtsdaten Beschäftigter etwa Angaben zu Qualifikation, tarif- oder besoldungsrechtlichen Zuordnungen sowie zu Art und Umfang der Beschäftigung. Vereinzelt waren mit dem Grad der Behinderung auch Gesundheitsdaten umfasst. Der Unterordner mit den VIVA-Exporten befand sich allerdings in einem allgemein zugänglichen Ordner auf einem IT-System der obersten Landesbehörde. Diese nahm unzutreffend an, dass nur Beschäftigte ihrer Personalstelle auf den Ordner mit den VIVA-Exporten zugreifen konnten. Sie musste dann jedoch feststellen, dass jedenfalls zeitweise alle Beschäftigten der obersten Landesbehörde zugriffsberechtigt gewesen waren. Wie es zu einer ungeplanten Ausweitung von Zugriffsbefugnissen kommen konnte, ließ sich im Nachhinein nicht mehr nachvollziehen.

Im zweiten Fall hielt das Schulverwaltungsamt einer großen kreisfreien Stadt vertrauliche Dokumente der Amtsleitung in einem Ordner digital auf dem Amtslaufwerk vor. Die gespeicherten Dokumente umfassten unter anderem eine Datei mit Bewerbungsunterlagen für ein Stellenbesetzungsverfahren aus dem Jahr 2017, Beschäftigtendaten im Zusammenhang mit der COVID-19-Pandemie sowie Beurteilungen und Zeugnisse Beschäftigter, die teilweise bis in das Jahr 2005 zurückreichten. Der Zugriff auf diesen Ordner sowie auf die in ihm enthaltenen Dokumente war planmäßig der Amtsleitung vorbehalten. Aufgrund versehentlich fehlerhaft gesetzter Zugriffsrechte konnten allerdings alle Beschäftigten des Amtes über einen Zeitraum von etwa zwei Jahren auf den Ordner zugreifen.

Ob "außerhalb" der vorgesehenen Zugriffsberechtigungen tatsächlich auf den betreffenden Ordner zugegriffen wurde, konnte mir die oberste Landesbehörde im ersten Fall nicht sicher beantworten. Im zweiten Fall waren der betreffenden Stadt zumindest Zugriffe durch zwei ihrer Beschäftigten bekannt; weitere Zugriffe konnten mangels Protokollierung nicht nachgewiesen werden.

7.4.2. Rechtliche Würdigung

7.4.2.1. Fehlerhafte Zugriffsrechte

Verantwortliche müssen bei "ihren" Verarbeitungen in technischer und organisatorischer Hinsicht verschiedene Vorgaben des Datenschutzrechts beachten. So haben sie insbesondere durch geeignete technische und organisatorische Maßnahmen nachweisbar sicherzustellen, dass ihre Verarbeitungen im Einklang mit der Datenschutz-Grundverordnung stehen (Art. 24 Abs. 1 Satz 1 DSGVO). Art. 32 Abs. 1 DSGVO verpflichtet Verantwortliche, geeignete technische und organisatorische Maßnahmen zu ergreifen, "um ein dem Risiko der Verarbeitung angemessenes Schutzniveau zu gewährleisten". In Umsetzung des Grundsatzes der "Vertraulichkeit" einer Verarbeitung (Art. 5 Abs. 1 Buchst. f DSGVO) umfassen solche Maßnahmen auch die Fähigkeit, die Vertraulichkeit der im Rahmen der Verarbeitung verwendeten Systeme und Dienste auf Dauer sicherzustellen (Art. 32 Abs. 1 Buchst. b DSGVO). Bei der Verarbeitung von besonderen Kategorien personenbezogener Daten im Sinne des Art. 9 Abs. 1 DSGVO (etwa Gesundheitsdaten) haben bayerische öffentliche Stellen nach Art. 8 Abs. 2 Satz 1 BayDSG zudem angemessene und spezifische Maßnahmen zur Wahrung der Interessen der betroffenen Person vorzusehen. Solche Maßnahmen können unter anderem darin bestehen, den Zugang zu diesen sensiblen Daten innerhalb des Verantwortlichen zu beschränken.

Die Excel-Exporte aus dem Personal- und Stellenmanagementsystem VIVA enthielten zumindest überwiegend Personalaktendaten im Sinne von Art. 103 ff. Bayerisches Beamtengesetz (BayBG), § 50 Satz 2 Beamtenstatusgesetz; diese Vorschriften finden auf vertraglich im bayerischen öffentlichen Dienst Beschäftigte grundsätzlich entsprechende Anwendung (Art. 145 Abs. 2 BayBG). Im zweiten Fall wurden neben Personalaktendaten (Beschäftigtendaten im Zusammenhang mit der COVID-19-Pandemie sowie Beurteilungen und Zeugnisse Beschäftigter) auch Bewerbungsdaten verarbeitet. Für die Verarbeitung von Bewerbungs- und Personalaktendaten enthält die personelle Verarbeitungsbeschränkung nach Art. 103 Satz 2 BayBG ein spezifisches Vertraulichkeitserfordernis: Nur Beschäftigte, die vom Dienstherrn mit der Bearbeitung von Personalangelegenheiten betraut worden sind, dürfen diese Daten verarbeiten.

Angesichts dieser Vorgaben hätten die digital aufbewahrten Bewerbungs- und Personalaktendaten in den gemeldeten Sachverhalten somit gegen unbefugte Zugriffe hinreichend gesichert werden müssen. Dem sind die Verantwortlichen in beiden Fällen nicht nachgekommen: Zwar haben sie im Ausgangspunkt entsprechende Zugriffsbeschränkungen vorgesehen und damit im Grundsatz Problembewusstsein gezeigt. Sie haben es aber versäumt, das fortdauernde Bestehen sowie die Wirksamkeit dieser Beschränkungen im Weiteren hinreichend zu überprüfen (vgl. auch Art. 24 Abs. 1 Satz 2 sowie Art. 32 Abs. 1 Buchst. d DSGVO). In der Folge stand die "digitale Tür" zu diesen Daten für einen erheblichen Zeitraum auch Beschäftigten offen, die nicht mit Personalangelegenheiten betraut waren.

7.4.2.2. Erforderlichkeit der Verarbeitung

Das geschilderte Zurückbleiben hinter technischen und organisatorischen Vorgaben war schon misslich genug. In beiden Fällen kam aber noch hinzu, dass die jeweiligen Dateiordner personenbezogene Daten enthielten, die entweder überhaupt nicht (erster Fall) oder nicht mehr (zweiter Fall) hätten aufbewahrt werden dürfen. Die fehlerhaft gesetzten Zugriffsrechte ermöglichten damit - jedenfalls theoretisch - einen unbefugten Zugang zu unrechtmäßig gespeicherten Daten.

Ausgangspunkt meiner Prüfung waren insoweit die Datenschutz-Grundsätze in Art. 5 Abs. 1 DSGVO, die Verantwortliche bei jeder Verarbeitung personenbezogener Daten zu beachten haben. Personenbezogene Daten müssen danach insbesondere auf rechtmäßige und in einer auf das zur Zweckerreichung notwendige Maß beschränkten Weise verarbeitet werden (Grundsätze der "Rechtmäßigkeit" und der "Datenminimierung", Art. 5 Abs. 1 Buchst. a und c DSGVO). Eine Speicherung personenbezogener Daten ist dabei nur solange zulässig, wie dies zur Erreichung der Verarbeitungszwecke erforderlich ist (Grundsatz der "Speicherbegrenzung", Art. 5 Abs. 1 Buchst. e DSGVO). Rechtmäßig im Sinne von Art. 5 Abs. 1 Buchst. a DSGVO ist eine Verarbeitung, wenn sie auf eine Rechtsgrundlage nach Art. 6 Abs. 1 DSGVO, gegebenenfalls in Verbindung mit nationalem Durchführungsrecht, gestützt werden kann. Bei der Verarbeitung von besonderen Kategorien personenbezogener Daten (etwa von Gesundheitsdaten) muss ferner ein Zulässigkeitstatbestand nach Art. 9 Abs. 2 DSGVO erfüllt sein.

Im ersten Fall war die Speicherung der Excel-Exporte aus dem Personal- und Stellenmanagementsystem VIVA an Art. 103 Satz 1 BayBG zu messen:

"1Der Dienstherr darf personenbezogene Daten über Bewerber und Bewerberinnen sowie aktive und ehemalige Beamte und Beamtinnen verarbeiten, soweit dies

  1. zur Durchführung organisatorischer, personeller und sozialer Maßnahmen, insbesondere zu Zwecken der Personalverwaltung oder Personalwirtschaft erforderlich ist,
  2. zusätzlich bei der Verarbeitung besonderer Kategorien personenbezogener Daten Art. 8 Abs. 1 Nr. 2, 3 und 5 sowie Abs. 2 des Bayerischen Datenschutzgesetzes (BayDSG) erlaubt

und nachfolgend nichts anderes bestimmt ist."

Die Vorschrift kommt auch zur Anwendung, wenn Personalakten in automatisierten Verfahren (zum Beispiel in VIVA) verarbeitet werden (Art. 111 Satz 2 BayBG). Sie lässt die Verarbeitung solcher Daten durch personalverwaltende Stellen damit insbesondere für Zwecke der Personalverwaltung und Personalwirtschaft zu - allerdings nur, soweit die Verarbeitung zur Erreichung dieser Zwecke auch erforderlich ist. Erforderlich ist eine Verarbeitung dabei nicht schon dann, wenn sie für die verfolgten Verarbeitungszwecke lediglich ",förderlich‘ oder ,nützlich‘, also in irgendeiner Weise hilfreich" ist.

Vor diesem Hintergrund hat sich mir schon nicht erschlossen, weshalb die - sowohl in zeitlicher als auch in inhaltlicher Hinsicht - umfangreiche Speicherung von VIVA-Exporten in einem Dateiordner der personalverwaltenden Stelle für die vorgenannten Zwecke erforderlich sein sollte. Schließlich kann die oberste Landesbehörde die Daten ihrer Beschäftigten unmittelbar in VIVA einsehen und abrufen. Die insoweit praktizierte "doppelte Datenhaltung" habe ich gerade angesichts des Grundsatzes der Datenminimierung kritisch gesehen. Die oberste Landesbehörde hat die Speicherung der VIVA-Exporte damit begründet, verschiedene personalwirtschaftliche Auswertungen (etwa zur Personalentwicklung oder zur Personalbemessung) zu ermöglichen. In VIVA selbst seien diese Auswertungen nicht oder nur mit erheblichem Aufwand durchführbar.

Zwar nennt Art. 103 Satz 1 BayBG die Personalwirtschaft ausdrücklich als legitimen Zweck zur Verarbeitung von Personalaktendaten. Damit konnte die insoweit rechenschaftspflichtige (vgl. Art. 5 Abs. 2 DSGVO) oberste Landesbehörde aber noch nicht begründen, weshalb die umfangreiche Speicherung von VIVA-Exporten für diesen Zweck erforderlich gewesen war: Zunächst hätte die Behörde nämlich prüfen müssen, ob die genannten Auswertungszwecke eine Speicherung der VIVA-Exporte mit den "Klardaten" der Beschäftigten überhaupt notwendig machten oder - was aus meiner Sicht nahe lag - ob es nicht ausgereicht hätte, insoweit mit anonymisierten oder zumindest pseudonymisierten Datensätzen zu arbeiten. Ferner wäre zu prüfen gewesen, ob eine Speicherung der VIVA-Exporte in größerem zeitlichem Abstand (etwa jährlich statt quartalsweise) genügt hätte. Diese Prüfungen hatte die öffentliche Stelle nicht vorgenommen.

Im zweiten Fall konnte mir die insoweit rechenschaftspflichtige (vgl. Art. 5 Abs. 2 DSGVO) Stadt zwar erläutern, weshalb die Speicherung von Bewerbungs- und Personalaktendaten anfangs erforderlich gewesen war. Wie die Stadt selbst eingeräumt hat, hätte ihr Schulverwaltungsamt die betreffenden Daten allerdings schon längst wieder löschen müssen:

Bewerbungsunterlagen dürfen nach Art. 103 Satz 1 BayBG verarbeitet werden, soweit dies für die dort genannten Zwecke erforderlich ist. Daten unterlegener Bewerberinnen und Bewerber dürfen ohne deren Einwilligung dabei regelmäßig allenfalls sechs Monate nach Abschluss des Bewerbungsverfahrens aufbewahrt werden. Die von der Amtsleitung aufbewahrten Bewerbungsdaten betrafen ein Stellenbesetzungsverfahren aus dem Jahr 2017; der sechsmonatige Aufbewahrungszeitraum war damit weit überschritten. Die Daten erfolgreicher Bewerberinnen und Bewerber werden Teil des jeweiligen Personalakts, der von der personalverwaltenden Stelle bei der Stadt geführt wird. Nach Abschluss des Bewerbungsverfahrens haben diese Daten bei der Leitung des Schulverwaltungsamts nichts mehr zu suchen.

Die eingangs genannten Personalaktendaten (Beschäftigtendaten im Zusammenhang mit der COVID-19-Pandemie sowie Beurteilungen und Zeugnisse Beschäftigter) hat die Amtsleitung nach Darstellung der Stadt als unselbstständigen Personalnebenakt im Sinn des Art. 104 Abs. 1 Satz 3 BayBG vorgehalten.

Das Führen einer Personalnebenakte bedingt eine gesetzlich vorgesehene "doppelte Datenhaltung". Deren Erforderlichkeit ist angesichts des Grundsatzes der Datenminimierung stets kritisch zu prüfen:

Im Rahmen der "3G-Zutrittsregel" am Arbeitsplatz waren zwar auch bayerische Dienstherren und öffentliche Arbeitgeber zunächst befugt, Angaben zum Impf- oder Genesungsstatus Beschäftigter in gewissem Umfang zu verarbeiten, vgl. insbesondere § 28b Abs. 3 Satz 3 Infektionsschutzgesetz (IfSG) a. F. Wie die 3G-Zutrittsregelung nach § 28b Abs. 1 bis 3 IfSG a. F. insgesamt ist auch diese Verarbeitungsbefugnis allerdings zum 19. März 2022 aufgehoben worden. Die auf Grundlage von § 28b Abs. 3 Satz 3 IfSG a. F. (rechtmäßig) erhobenen Daten waren spätestens am Ende des sechsten Monats nach ihrer Erhebung zu löschen, § 28 Abs. 3 Satz 10 Halbsatz 1 IfSG a. F. Schon dem Wortlaut nach handelte es sich hierbei um eine Höchstfrist, deren Einhaltung Verantwortliche durch geeignete Löschroutinen sicherzustellen hatten. Zum Zeitpunkt des Bekanntwerdens des Vorfalls bei der Stadt war diese Höchstfrist bereits überschritten.

Soweit dienstliche Beurteilungen sowie Zeugnisentwürfe Beschäftigte des Schulverwaltungsamts betrafen, sah die Stadt eine Aufbewahrung dieser Dokumente bei der Amtsleitung zwar in gewissem Umfang als erforderlich im Sinne von Art. 103 Satz 1, Art. 104 Abs. 1 Satz 3 BayBG an. Die vorgebrachten zeitlichen Erforderlichkeitsgrenzen waren im vorliegenden Fall jedoch deutlich verletzt worden, da die bei der Amtsleitung gespeicherten Beurteilungen und Zeugnisse teilweise bis in das Jahr 2005 zurückreichten.

In beiden Fällen ist die Speicherung von Beschäftigtendaten folglich unrechtmäßig erfolgt. Die öffentlichen Stellen haben damit nicht nur gegen technische und organisatorische Vorgaben, sondern auch gegen die Grundsätze der Rechtmäßigkeit der Verarbeitung (Art. 5 Abs. 1 Buchst. a, Art. 6 Abs. 1 DSGVO) sowie der Speicherbegrenzung (Art. 5 Abs. 1 Buchst. e DSGVO) verstoßen.

7.4.3. Ergriffene Maßnahmen

Angesichts des Gewichts der Datenschutzverstöße habe ich in beiden Fällen eine förmliche datenschutzrechtliche Beanstandung ausgesprochen. Zugleich habe ich beiden Verantwortlichen Hinweise zur datenschutzkonformen Ausgestaltung ihrer Verarbeitungsvorgänge erteilt.

Im ersten Fall hat die oberste Landesbehörde ihr Vorgehen zur Erstellung von Auswertungen überarbeitet und im Zuge dessen den Umfang der vorgehaltenen Datensätze erheblich reduziert. Durch diese Maßnahmen sei ein Personenbezug bei den vorgehaltenen und künftigen Datensätzen weitgehend entfallen. Die dergestalt verschlankten Datensätze seien zudem in ein neu erstelltes "Personallaufwerk" überführt worden, auf welches grundsätzlich nur die Personalverwaltung sowie die IT-Administration Zugriff hätten.

Der gemeldeten Datenschutzverletzung im zweiten Fall lag aus Sicht der Stadt ein individuelles Fehlverhalten zugrunde. Zur Vorhaltung von Personalunterlagen habe es bereits im Vorfeld spezifische Regeln gegeben; im Nachgang zur geschilderten Datenschutzverletzung seien die Dienststellenleitungen nun noch einmal grundsätzlich zu dieser Thematik informiert worden. In technischer und organisatorischer Hinsicht hat die Stadt ebenfalls Maßnahmen ergriffen, um vergleichbare Vorfälle künftig zu verhindern. Diesbezüglich befinde ich mich mit der Stadt noch im Austausch.

7.4.4. Fazit

Über die konkreten Vorkommnisse hinaus haben die beiden gemeldeten Datenpannen Dreierlei aufgezeigt:

  • Erstens sind notwendige technische und organisatorische Maßnahmen - vorliegend in Form von Zugriffsbeschränkungen - hinreichend effektiv auszugestalten. Dazu gehört es auch, die Wirksamkeit dieser Maßnahmen im erforderlichen Umfang fortlaufend zu überprüfen.
  • Zweitens haben Verantwortliche die Erforderlichkeit der von ihnen durchgeführten Verarbeitungen kritisch in den Blick zu nehmen - nicht nur, aber gerade dann, wenn sensible Personalaktendaten verarbeitet werden. Die Erforderlichkeit hat dabei auch eine zeitliche Komponente; vorbehaltlich gesetzlicher Aufbewahrungspflichten wird sie nach Erreichen des Verarbeitungszwecks regelmäßig entfallen. Die Einhaltung des Datenschutzrechts ist für Verantwortliche eine Daueraufgabe.
  • So bedauerlich die gemeldeten Vorfälle für sich genommen sind, belegen sie schließlich drittens, dass die in Art. 33 DSGVO vorgesehene Meldepflicht bei Datensicherheitsverletzungen zu einer nachhaltigen Verbesserung des Datenschutzniveaus bei Verantwortlichen beitragen kann.

7.5. Kontaktdaten kommunaler Beschäftigter auf der Plattform BayernPortal

Durch eine Beratungsanfrage zur Plattform BayernPortal wurde ich darauf aufmerksam, dass bayerische Kommunen, insbesondere Gemeinden und Landkreise, zur Bereitstellung von Kontaktdaten ihrer Beschäftigten durchaus unterschiedliche Ansätze entwickelt haben. Viele öffentliche Stellen geben im BayernPortal nur Namen und Kontaktdaten der Behördenleitung und der oder des behördlichen Datenschutzbeauftragten an. Andere erwähnen auch Beschäftigte mit leitender Funktion, während einige Gemeinden und Landratsämter die Kontaktdaten aller potentiellen Ansprechpartnerinnen und Ansprechpartner preisgeben. Dabei werden regelmäßig (zumindest) die vollständigen Namen und die dienstlichen Kontaktdaten (Telefonnummer, E-Mail-Adresse) sowie vielfach auch Angaben zu Dienstgebäude und Zimmernummer vorgehalten.

7.5.1. Beschäftigtendaten im Publikumsverkehr

Die Veröffentlichung von Beschäftigtendaten zum Zwecke einer unkomplizierten Kontaktaufnahme mit bayerischen öffentlichen Stellen ist ein regelmäßiges Beratungsthema, das bereits mehrfach Gegenstand meiner Veröffentlichungen war. Zur Frage der Verarbeitung von Beschäftigtendaten im Publikumsverkehr habe ich mich etwa in meinem 25. Tätigkeitsbericht 2011/2012 unter Nr. 11.8.7 und in meinem 22. Tätigkeitsbericht 2005/2006 unter Nr. 19.1 geäußert.

Aus datenschutzrechtlicher Sicht ist die Veröffentlichung von Beschäftigtendaten im Internet grundsätzlich als eine Verarbeitung personenbezogener Sachaktendaten zu organisatorischen Zwecken anzusehen. Sie kann auf Art. 4 Abs. 1 BayDSG oder Art. 5 Abs. 1 Satz 1 Nr. 1 BayDSG gestützt werden, wenn sie zur Erfüllung einer der öffentlichen Stelle obliegenden Aufgabe erforderlich ist. Zu den Aufgaben einer bayerischen öffentlichen Stelle gehört es auch, Bürgerinnen und Bürger darüber zu informieren, welche Beschäftigten die richtigen Ansprechpartnerinnen und Ansprechpartner für ihre Anliegen sind.

7.5.2. Verarbeitungszweck

Die Erforderlichkeit einer Verarbeitung personenbezogener Daten ist am Verarbeitungszweck auszurichten. Datenverarbeitungen, die nichts mit dem Verarbeitungszweck zu tun haben, können auch nicht zur Aufgabenerfüllung der öffentlichen Stelle erforderlich sein. Zur Verfolgung des Zwecks, Bürgerinnen und Bürger über behördliche Ansprechpartnerinnen und Ansprechpartner zu informieren, ist die Bereitstellung von dienstlichen Kontaktdaten ausreichend und allein zielführend. Datenverarbeitungen, die das Ziel der Kontaktaufnahme nicht erleichtern, sind auch zur Aufgabenerfüllung der öffentlichen Stelle nicht erforderlich. Die Veröffentlichung von Lichtbildern oder Lebensläufen etwa kann die öffentliche Stelle daher von vornherein nicht auf die gesetzliche Verarbeitungsbefugnis zum Zwecke ihrer Aufgabenerfüllung stützen. Die Kenntnis dieser Informationen ist für die Kontaktherstellung grundsätzlich nicht relevant. Lichtbilder dürfen allenfalls auf der Grundlage einer - datenschutzkonformen - Einwilligung (vgl. Art. 4 Nr. 11, Art. 7 DSGVO) veröffentlicht werden. Von der Einholung von Einwilligungen rate ich aber ab. In einem Beschäftigungsverhältnis wird sich die betroffene Person bei der Einwilligung in eine ihr nicht vorteilhafte Verarbeitung häufig einem Druck ausgesetzt sehen, der die Freiwilligkeit ausschließt. Die Einwilligung ist in diesem Fall rechtlich nicht wirksam.

7.5.3. Erforderlichkeit zur Aufgabenerfüllung

Eine Verarbeitung personenbezogener Daten ist erforderlich, wenn die öffentliche Stelle ihre Aufgabe ohne die Verarbeitung nicht, nicht vollständig oder nicht in rechtmäßiger oder zumutbarer Weise erfüllen kann. Der bei der Anwendung des Erforderlichkeitskriteriums zu beachtende Grundsatz der Verhältnismäßigkeit zielt auf eine Güterabwägung, wobei die jeweiligen Gesamtumstände einzubeziehen sind. Das Interesse der öffentlichen Stelle, bürgerfreundlich aufzutreten und eine Kontaktaufnahme mit Beschäftigten möglichst einfach zu gestalten, ist mit den Datenschutzinteressen des oder der jeweils betroffenen Beschäftigten in Einklang zu bringen.

Der Erforderlichkeitsgrundsatz setzt in Bezug auf die Verarbeitung bestimmter Kontaktdaten Grenzen - auch unabhängig von der individuellen Situation der betroffenen Person. So könnte die Veröffentlichung privater Adressdaten von Beschäftigten zwar den Zweck der Kontaktvermittlung verfolgen; die Verarbeitung wäre aber nicht zur Aufgabenerfüllung der öffentlichen Stelle erforderlich.

Private Adressdaten von Beschäftigten sind im Übrigen Personalaktendaten und dürfen nur unter Einhaltung der Voraussetzungen der Art. 103 ff. Bayerisches Beamtengesetz (BayBG) und § 50 Beamtenstatusgesetz (BeamtStG) verarbeitet werden. Diese Vorschriften gelten für vertraglich Beschäftigte im bayerischen öffentlichen Dienst gemäß Art. 145 Abs. 2 BayBG entsprechend. Eine Veröffentlichung von Personalaktendaten im Internet ist nicht mit dem Vertraulichkeitsgebot gemäß § 50 Satz 3 BeamtStG vereinbar und kann nicht auf eine Verarbeitungsbefugnis gemäß Art. 103 ff. BayBG gestützt werden. Die Veröffentlichung privater Adressdaten von Beschäftigten bayerischer öffentlicher Stellen würde somit gegen den Grundsatz der Rechtmäßigkeit gemäß Art. 5 Abs. 1 Buchst. a DSGVO verstoßen.

7.5.4. Beschäftigte mit "Außenwirkung"

Welche Beschäftigten die Veröffentlichung dienstlicher Kontaktdaten dulden müssen, hängt maßgeblich von deren individueller Situation ab. Die Kontaktdaten von Beschäftigten, die nur wenig Bürgerkontakt haben, dürfen nicht veröffentlicht werden. Das Interesse an Vertraulichkeit überwiegt bei diesem Personenkreis das Interesse der öffentlichen Stelle, die Daten preiszugeben. Bei Beschäftigten ohne jeglichen Bürgerkontakt besteht bereits keine Veranlassung zur Veröffentlichung von Kontaktdaten, weil die öffentliche Stelle insofern den Verarbeitungszweck (Transparenz durch Benennen von Ansprechpersonen) nicht verfolgen kann.

Dagegen müssen Beschäftigte, die eine Funktion mit "Außenwirkung" wahrnehmen, die Veröffentlichung ihres Namens (grundsätzlich nur des Nachnamens), ihrer dienstlichen Kontaktdaten (Telefonnummer und E-Mail-Adresse) und ihrer Zuständigkeiten hinnehmen. Wann genau eine solche Außenwirkung vorliegt, lässt sich im Einzelfall oft nicht trennscharf bestimmen. Unter "Personen mit Außenwirkung" sind nicht bereits alle zu verstehen, die irgendwie in Bürgerkontakt geraten könnten. Maßgeblich ist, ob ihnen eine auf die Öffentlichkeit bezogene, in einem gewissen Sinn "repräsentative" Aufgabe zukommt. Dies ist insbesondere bei Personen anzunehmen, die eine herausgehobene Funktion innerhalb der öffentlichen Stelle wahrnehmen, die sie zur direkten Ansprechpartnerin oder zum direkten Ansprechpartner macht.

Je nach Aufbau und Größe der öffentlichen Stelle können Positionen "mit Außenwirkung" unterschiedlich eingeordnet sein. Im Zweifelsfall ist die konkrete Funktion der betroffenen Person innerhalb der öffentlichen Stelle zu beurteilen. Dabei kann insbesondere eine Rolle spielen, ob die betroffene Person aufgrund ihrer Aufgaben einen Bezug zur Presseberichterstattung hat. Der Größe einer Kommune kann allenfalls eine Indizwirkung zukommen. Zwar mag in kleineren Kommunen auch aufgrund flacher Hierarchiestrukturen und Aufgabenkonzentrationen auf wenige Personen eine relativ große Anzahl Beschäftigter eine Funktion "mit Außenwirkung" wahrnehmen. Allein die Einwohnerzahl oder die Anzahl der Beschäftigten ist für sich genommen aber kein geeignetes Differenzierungskriterium.

Gegen die bei den bayerischen Landratsämtern gängige namentliche Bezeichnung der Abteilungs-/Geschäftsbereichs- sowie Sachgebiets-/Fachbereichsleitungen mit den üblichen Kontaktdaten erhebe ich grundsätzlich keine Einwände. Dies gilt entsprechend für Gemeinden mit vergleichbarer Organisationsstruktur.

Soweit Beschäftigte die notwendige Funktion "mit Außenwirkung" wahrnehmen, haben bayerische öffentliche Stellen bei der Veröffentlichung von Kontaktdaten einen gewissen Gestaltungsspielraum. Sie können insbesondere entscheiden, ob alle zulässigen Angaben oder einzelne offengelegt werden, ob nur Kontaktdaten von Beschäftigten bestimmter Hierarchieebenen oder von allen Beschäftigten "mit Außenwirkung" veröffentlicht werden.

7.5.5. Ausnahmen aufgrund individueller Situation

Hat eine Position "Außenwirkung", so bedeutet das allerdings nicht, dass in jedem Fall dienstliche Kontaktdaten veröffentlicht werden dürfen. Die bei der Prüfung der Erforderlichkeit anzustellende Güterabwägung kann in einer konkreten Situation auch einmal dazu führen, dass das "Pendel in Richtung der Datenschutzinteressen der betroffenen Person ausschlägt". So kann etwa in realen Bedrohungsszenarien das Vertraulichkeitsinteresse der betroffenen Person das Verarbeitungsinteresse der öffentlichen Stelle überwiegen. Eine Veröffentlichung von Kontaktdaten hat dann zu unterbleiben.

7.5.6. Rechenschaftspflicht

Datenschutzrechtlich Verantwortliche sind nicht nur verpflichtet, personenbezogene Daten rechtmäßig zu verarbeiten. Sie müssen dies im Rahmen ihrer Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO) auch nachweisen können. Der Veröffentlichung von Kontaktdaten hat daher immer eine Rechtmäßigkeitsprüfung vorauszugehen, deren Ergebnis zu dokumentieren ist.

7.5.7. Fazit

Dienstliche Kontaktdaten von Beschäftigten bayerischer öffentlicher Stellen sind personenbezogene Daten. Bei der Veröffentlichung gerade auch im Internet ist dafür Sorge zu tragen, dass nur die für die Kontaktaufnahme erforderlichen Daten offengelegt werden. Die sehr unterschiedliche Handhabung durch bayerische Kommunen hat Unsicherheiten und Beratungsbedarf erkennen lassen. Ich habe dies zum Anlass genommen, gemeinsam mit dem Bayerischen Staatsministerium des Innern, für Sport und Integration alle bayerischen Kommunen, vor allem Gemeinden und Landkreise, über die Rechtslage zu informieren und zu einer datenschutzgerechten Veröffentlichungstätigkeit insbesondere auf der Plattform BayernPortal anzuhalten.

7.6. Personalaktendaten in der Zeitung

Personalaktendaten sind ihrer Natur nach sensibel. Dies gilt umso mehr, wenn Gesundheitsdaten Beschäftigter betroffen sind. Aus gutem Grund werden diese Daten sowohl durch das Datenschutzrecht als auch durch das Personalaktenrecht besonders geschützt.

Eine im bayerischen öffentlichen Dienst Beschäftigte erkrankte und kündigte in der Folgezeit. Kurz vor Beendigung des Arbeitsverhältnisses fand sie in der heimischen Presse Äußerungen ihres Vorgesetzten zu ihrer mehrmonatigen Krankschreibung sowie dazu, dass sie aufgrund gesundheitlicher Probleme nicht auf ihre Stelle zurückkehren werde. Daraufhin wandte sie sich mit einer datenschutzrechtlichen Beschwerde an mich.

Mit den beschriebenen Äußerungen des Vorgesetzten der Beschwerdeführerin hat die öffentliche Stelle personenbezogene Daten der Beschwerdeführerin gegenüber der Presse offengelegt. Als Verarbeitung im Sinne von Art. 4 Nr. 2 DSGVO bedarf diese Offenlegung einer Rechtsgrundlage nach Art. 6 Abs. 1 UAbs. 1 DSGVO. Da sich die Äußerung auch auf den Gesundheitszustand der Beschwerdeführerin bezog und damit besondere Kategorien personenbezogener Daten im Sinne von Art. 9 Abs. 1 DSGVO umfasste, war zusätzlich ein Zulässigkeitstatbestand nach Art. 9 Abs. 2 DSGVO erforderlich.

Informationen des Arbeitgebers über etwaige Erkrankungen oder Kündigungs-gründe von Beschäftigten stehen in einem unmittelbaren inneren Zusammen-hang mit dem jeweiligen Dienst- oder Arbeitsverhältnis. Es handelt sich bei diesen Informationen demnach um Personalaktendaten im Sinne von § 50 Satz 2 Beamtenstatusgesetz, Art. 103 ff. Bayerisches Beamtengesetz (BayBG). Die Zulässigkeit von Auskünften aus der Personalakte an Dritte - wie hier an die lokale Zeitung - richtete sich vorliegend nach Art. 108 Abs. 4 BayBG. Die genannten Vorschriften gelten auch für vertraglich Beschäftigte im bayerischen öffentlichen Dienst grundsätzlich entsprechend (Art. 145 Abs. 2 BayBG).

Art. 108 BayBG

Übermittlung von Personalakten und Auskunft an nicht betroffene Personen

[...]

(4) 1Auskünfte an Dritte dürfen nur mit Einwilligung des Beamten oder der Beamtin erteilt werden, es sei denn, dass die Abwehr einer erheblichen Beeinträchtigung des Gemeinwohls oder der Schutz berechtigter, höherrangiger Interessen des Dritten die Auskunftserteilung zwingend erfordert. 2Inhalt und Empfänger der Auskunft sind dem Beamten oder der Beamtin schriftlich mitzuteilen.

[...]

Auskünfte aus der Personalakte sind hiernach grundsätzlich nur mit Einwilligung der betroffenen Person zulässig (Art. 108 Abs. 4 Satz 1 Halbsatz 1 BayBG). Von diesem Grundsatz sieht Art. 108 Abs. 4 Satz 1 Halbsatz 2 BayBG Ausnahmen vor: Wenn und soweit die Abwehr einer erheblichen Beeinträchtigung des Gemeinwohls oder der Schutz berechtigter, höherrangiger Interessen des Dritten die Auskunftserteilung zwingend erfordert, können Auskünfte aus der Personalakte auch ohne Einwilligung erteilt werden.

Die öffentliche Stelle hat in ihrer Stellungnahme mir gegenüber umgehend einen Datenschutzverstoß eingeräumt. Es fehlte an einer - im Beschäftigungsverhältnis ohnehin nur selten freiwillig und damit wirksam (vgl. Art. 4 Nr. 11 DSGVO) erteilten - Einwilligung der Beschwerdeführerin; zudem war für das Vorliegen des Ausnahmetatbestands gemäß Art. 108 Abs. 4 Satz 1 Halbsatz 2 BayBG nichts ersichtlich. Die Äußerungen gegenüber der lokalen Presse waren damit auch nach Auffassung der insoweit rechenschaftspflichtigen (vgl. Art. 5 Abs. 2 DSGVO) öffentlichen Stelle unrechtmäßig erfolgt.

Im Ergebnis hat die öffentliche Stelle personenbezogenen Daten - einschließlich Gesundheitsdaten - der Beschwerdeführerin ohne Rechtsgrundlage der lokalen Zeitung offengelegt und damit gegen den Grundsatz der Rechtmäßigkeit einer Verarbeitung nach Art. 5 Abs. 1 Buchst. a DSGVO, Art. 6 Abs. 1 UAbs. 1, Art. 9 Abs. 1 DSGVO verstoßen.

Aufgrund des Gewichts dieses Verstoßes und der nachteiligen Folgen für die Beschwerdeführerin habe ich das geschilderte Vorgehen der öffentlichen Stelle gemäß Art. 16 Abs. 4 Satz 1 BayDSG förmlich datenschutzrechtlich beanstandet.

7.7. Stufenvorweggewährung nur gegen "Schein-Bewerbung"?

An der Bindung qualifizierter Fachkräfte haben auch bayerische Behörden ein großes Interesse. So nimmt Wunder, dass eine bayerische öffentliche Stelle das dazu dienende Instrument der "Stufenvorweggewährung" an die Vorlage von Arbeitsverträgen oder Arbeitsangeboten anderer Arbeitgeber knüpfen wollte. Eine solche Verwaltungspraxis kann sich nicht nur leicht als personalwirtschaftlich kontraproduktiv erweisen; sie steht auch mit den datenschutzrechtlichen Vorgaben nicht in Einklang.

7.7.1. Tarifvertragsrechtlicher Hintergrund

Tarifbeschäftigte des Freistaates Bayern erhalten ein Entgelt, dessen Höhe zunächst von der Entgeltgruppe abhängt, in welche sie eingruppiert sind (vgl. § 12 Abs. 1 Satz 2 Tarifvertrag für den öffentlichen Dienst der Länder - TV-L). Jede Entgeltgruppe umfasst in der Regel sechs Stufen mit steigender Entgelthöhe (§ 16 Abs. 1 Satz 1 TV-L). Für das Erreichen der jeweils nächsthöheren Stufe sieht § 16 Abs. 3 Satz 1 TV-L bestimmte Stufenlaufzeiten vor. Abweichend hiervon ermöglicht es § 16 Abs. 5 Satz 1 TV-L unter bestimmten Voraussetzungen, Tarifbeschäftigten ein bis zu zwei Stufen höheres Entgelt vorzeitig zu gewähren. Diese "Stufenvorweggewährung" soll unter anderem dazu dienen, qualifizierte Fachkräfte an den Arbeitgeber zu binden. In § 16 Abs. 5 Satz 1 TV-L heißt es:

"Zur regionalen Differenzierung, zur Deckung des Personalbedarfs, zur Bindung von qualifizierten Fachkräften oder zum Ausgleich höherer Lebenshaltungskos-ten kann Beschäftigten abweichend von der tarifvertraglichen Einstufung ein bis zu zwei Stufen höheres Entgelt ganz oder teilweise vorweg gewährt werden."

7.7.2. Sachverhalt

Eine bayerische staatliche Behörde hatte eine Stufenvorweggewährung bei einer Beschäftigten (der späteren Beschwerdeführerin) zu prüfen. Die Behörde machte der Beschwerdeführerin gegenüber wiederholt deutlich, von dieser Option nur im Falle einer "konkreten Abwanderungsgefahr" Gebrauch machen zu können. Zuvor hatte die Beschwerdeführerin Unterlagen in Form einer Dokumentation ihrer Leistungen und eines Antrags ihrer Vorgesetzten auf eine höhere Einstufung vorgelegt. Die Beschäftigungsbehörde hatte diese Unterlagen allerdings nicht als ausreichende Belege für eine konkrete Abwanderungsgefahr angesehen. Vielmehr sei eine solche mit Arbeitsangeboten anderer Arbeitgeber nachzuweisen. Zur Begründung für diese Verwaltungspraxis berief sich die Behörde auch auf Vorgaben des Bayerischen Staatsministerium der Finanzen und für Heimat.

In ihrer Stellungnahme teilte mir die Behörde mit, dass laut einem Schreiben des Finanzministeriums nur sehr restriktiv von einer Stufenvorweggewährung Gebrauch gemacht werden solle. Die Beschäftigungsbehörde zog daraus den Schluss, die Stufenvorweggewährung von einer konkreten Gefahr der Abwanderung der oder des Beschäftigten abhängig machen zu müssen. Diese Gefahr sei hinreichend zu belegen. Dabei genüge es nicht, wenn die Fachkraft Abwanderungsabsichten lediglich mündlich zum Ausdruck bringe. Die Vorlage eines konkreten Arbeitsangebots eines anderen Arbeitgebers sei jedoch auch keine zwingende Voraussetzung für eine Stufenvorweggewährung; man habe diesen Nachweis der Beschwerdeführerin gegenüber lediglich als Beispiel aufgeführt, wie eine konkrete Abwanderungsgefahr belegt werden könne. Welche alternativen Nachweismöglichkeiten sie akzeptieren würde, führte die Behörde allerdings nicht näher aus.

7.7.3. Rechtliche Würdigung

Zunächst habe ich die Beschwerdeführerin wie auch die Behörde darauf aufmerksam gemacht, dass meine Aufsichtszuständigkeit auf die Einhaltung datenschutzrechtlicher Vorschriften durch bayerische öffentliche Stellen beschränkt ist. Der personalrechtlichen Entscheidung der Behörde, ob sie von der vorgezogenen Stufengewährung nach § 16 Abs. 5 Satz 1 TV-L im vorliegenden Fall Gebrauch macht, konnte ich nicht vorgreifen. Klar war aber auch: Datenverarbeitungen, welche die Beschäftigungsbehörde in ihrem Entscheidungsprozess durchführt, unterliegen durchaus meiner Aufsichtszuständigkeit. Aus dieser Perspektive habe ich die beschriebene Verwaltungspraxis kritisch beurteilt:

Wenn die Behörde das konkrete Arbeitsangebot eines anderen Arbeitgebers verlangt und dann Einsicht nimmt, erhebt sie personenbezogene Daten. Dafür benötigt sie eine Rechtsgrundlage. Nach Art. 103 Satz 1 Nr. 1 Bayerisches Beamtengesetz (BayBG) darf der Dienstherr personenbezogene Daten von Beschäftigten grundsätzlich nur zur Durchführung organisatorischer, personeller und sozialer Maßnahmen, insbesondere für Zwecke der Personalverwaltung oder -wirtschaft und nur im Rahmen des Erforderlichen verarbeiten. Diese Vorschrift gilt gemäß Art. 145 Abs. 2 BayBG für die bei bayerischen öffentlichen Stellen vertraglich Beschäftigten grundsätzlich entsprechend. Bei der Verarbeitung muss auch der Grundsatz der Datenminimierung (Art. 5 Abs. 1 Buchst. c DSGVO) beachtet werden.

Das Verfahren zur Stufenvorweggewährung nach § 16 Abs. 5 TV-L ist ein Instrument der Personalverwaltung; eine damit zusammenhängende Verarbeitung personenbezogener Daten der Beschwerdeführerin dient daher einem in Art. 103 Satz 1 BayBG genannten Zweck. Entscheidend war die Erforderlichkeit der konkreten Verarbeitung: Insofern kam es auf die Voraussetzungen von § 16 Abs. 5 TV-L an: Erforderlich sind nur die Informationen, welche die Behörde benötigt, um die Stufenvorweggewährung verantwortlich entscheiden zu können. Die Vorschrift bietet nach meiner Auffassung keine genügenden Anhaltspunkte, dass die in ihr geregelten Vorteile von einer "konkreten Abwanderungsgefahr" abhängig sein sollen.

Zum einen dürfte im Falle der Vorlage eines konkreten Angebots eines anderen Arbeitgebers oder gar eines unterschriftsreifen Arbeitsvertrags die berufliche Neuorientierung der jeweiligen Beschäftigten regelmäßig bereits so weit gediehen sein, dass ein Verbleib auch mithilfe einer Zulage aller Voraussicht nach nicht mehr erreicht werden kann. Angesichts dessen war bereits zu bezweifeln, ob das Vorgehen der Beschäftigungsbehörde überhaupt geeignet war, Fachkräfte zu binden. Zum anderen spielen bei der Prüfung der Erforderlichkeit auch Verhältnismäßigkeitserwägungen eine Rolle. In diesem Zusammenhang erschien es mir kaum vermittelbar, wenn die Beschäftigten gezwungen würden, sich "zum Schein" bei einem anderen Arbeitgeber zu bewerben, um das Nachweisverlangen der Beschäftigungsbehörde erfüllen zu können. Auch aus diesem Grund konnte ich nicht erkennen, weshalb die mit der Anforderung entsprechender Nachweise oder Belege (insbesondere in Form von konkreten Angeboten anderer Arbeitgeber) zusammenhängende Erhebung personenbezogener Daten bei den Beschäftigten im Sinne von Art. 103 Satz 1 BayBG erforderlich sein sollte.

Zur weiteren Klärung der Rechtslage habe ich mich unmittelbar an das Finanzministerium gewandt, welches meine Rechtsauffassung bestätigte. Zwar sei in dem von der Beschäftigungsbehörde genannten Schreiben eine restriktive Handhabung der Stufenvorweggewährung nach § 16 Abs. 5 TV-L gefordert worden; einen zwingenden Nachweis einer konkreten Abwanderungsgefahr der oder des Beschäftigten habe man in diesem Rahmen aber zu keiner Zeit vorausgesetzt.

Die Behörde konnte mir also nicht darlegen, weshalb die im Rahmen der Stufenvorweggewährung nach § 16 Abs. 5 TV-L geforderten Nachweise fachrechtlich zwingend und die damit zusammenhängende Erhebung personenbezogener Daten im Sinne von Art. 103 Satz 1 BayBG erforderlich waren. Dies galt insbesondere auch für die an die Beschwerdeführerin gerichtete Aufforderung, eine konkrete Abwanderungsgefahr durch die Vorlage eines konkreten Arbeitsangebots eines anderen Arbeitgebers nachzuweisen. Die Behörde hatte für die Datenerhebung mithin keine Rechtsgrundlage.

Ich habe die Behörde daher aufgefordert, die bestehende, rechtswidrige Verwaltungspraxis unverzüglich zu beenden. Die Behörde hat mir zwischenzeitlich bestätigt, zukünftig bei der Anwendung von § 16 Abs. 5 TV-L auf den Nachweis einer konkreten Abwanderungsgefahr zu verzichten, soweit mit dieser Nachweisführung - was in aller Regel der Fall sein wird - eine Erhebung personenbezogener Daten einhergeht.

7.8. "Störfälle" beim JobBike Bayern

Im Gegensatz zu vernetzten Autos, die nicht immer völlig transparent personenbezogene Daten verarbeiten, ist das klassische Fahrrad aus Datenschutzsicht zunächst "unverdächtig". Möchte ein Dienstherr oder öffentlicher Arbeitgeber seinen Beschäftigten allerdings ein Dienstfahrrad- oder JobBike-Leasing anbieten, sind bei dessen Ausgestaltung auch datenschutzrechtliche Aspekte zu beachten: Schließlich müssen zur Durchführung eines solchen Angebots Beschäftigtendaten verarbeitet werden - je nach Ausgestaltung unter Beteiligung mehrerer - öffentlicher wie auch nicht öffentlicher - Stellen. Das "JobBike Bayern" zeigt, dass sich dabei genaues Hinsehen lohnt: Manches Mal versteckt sich das potentielle Datenschutzproblem nämlich im Detail.

7.8.1. "JobBike Bayern"

Über "JobBike Bayern" können insbesondere Beschäftigte des Freistaates Bayern Fahrräder beziehen. Das Angebot ist für die Beschäftigten freiwillig; als Vorteile werden vor allem eine Ratenzahlung durch "Entgeltumwandlung" sowie diverse Zusatzleistungen ("Rundum-Sorglos-Paket") beworben. Zur Umsetzung von "JobBike Bayern" wurde eine Rahmenvereinbarung mit einem Dienstleister und einem Leasinggeber geschlossen.

Im Wesentlichen läuft ein Fahrradbezug über "JobBike Bayern" wie folgt ab: Beschäftigte erhalten über das Online-Portal "Mitarbeiterservice Bayern" Zugang zu "JobBike Bayern". Unter Einbindung der Onlineplattform des Dienstleisters suchen sie sich ein passendes Fahrrad online oder beim örtlichen Händler aus. Der Dienstherr oder Arbeitgeber schließt daraufhin Einzelleasingverträge mit einem Leasinggeber über die ausgewählten Fahrräder ab und entrichtet die vorgesehenen Leasingraten an diesen. Die Fahrräder werden den Beschäftigten durch Kooperationspartner des Dienstleisters bereitgestellt. Grundlage hierfür ist ein "Überlassungs- und Entgeltumwandlungsvertrag" zwischen den Beschäftigten und ihren Dienstherren oder Arbeitgebern. Dieser sieht vor, dass die Leasingraten für ein JobBike im Wege einer sogenannten "Entgeltumwandlung" finanziert werden: Das monatliche Gehalt der Beschäftigten wird um die Leasingrate für das gewählte Fahrrad verringert und in einen Anspruch auf Nutzung des JobBikes umgewandelt (für Beamtinnen und Beamten ist diese Möglichkeit in Art. 3 Abs. 3 Satz 1 Bayerisches Besoldungsgesetz vorgesehen).

Auch wenn Beschäftigte, die ein Fahrrad über "JobBike Bayern" beziehen, hiervon im Regelfall nichts mitbekommen werden, zeigt diese Darstellung bereits: Das vertragsrechtliche Fundament von "JobBike Bayern" ist komplex und ohne die Verarbeitung von Beschäftigtendaten nicht umsetzbar. In datenschutzrechtlicher Hinsicht sind an dem Verfahren mehrere öffentliche sowie nicht öffentliche Stellen beteiligt: Das Bayerische Staatsministerium für Wohnen, Bau und Verkehr, welches die Beschäftigungsgeber vertritt, das Landesamt für Finanzen als staatliche Bezügestelle sowie als nicht öffentliche Stellen Dienstleister und Leasinggeber. Die beteiligten Stellen nahmen dabei nachvollziehbar an, Beschäftigtendaten im Rahmen von "JobBike Bayern" als gemeinsam Verantwortliche im Sinne von Art. 26 DSGVO zu verarbeiten.

7.8.2. Der "Störfall" als Datenschutzproblem?

Vor Einführung von "JobBike Bayern" wurde der Landesbeauftragte - wie in § 7 Abs. 4 Satz 1 Geschäftsordnung der Bayerischen Staatsregierung vorgesehen - beteiligt; leider geschah dies sehr kurzfristig. Gleichwohl ließen die vorgelegten, recht umfangreichen Unterlagen aber erkennen, dass der Datenschutz bei der Ausgestaltung von "JobBike Bayern" grundsätzlich mitbedacht worden ist. Soweit es die auf bayerische öffentliche Stellen beschränkte Aufsichtszuständigkeit betrifft, stellte sich allerdings das vorgesehene "Störfallmanagement" als problematisch dar.

"Störfälle" bezeichnen in diesem Zusammenhang Konstellationen, in denen nach Abschluss eines Überlassungs- und Entgeltumwandlungsvertrags umwandlungsfähige Bezüge fortfallen und der vorgesehenen ratenweisen Zahlung des "JobBikes" in der Folge die Grundlage entzogen wird. Die Gründe für solche Störfälle sind vielfältig; erfasst sind beispielhaft Elternzeiten und Beurlaubungen ohne Bezüge, eine dauerhaft Dienst-, Erwerbs- oder Arbeitsunfähigkeit oder eine außerplanmäßige Beendigung des Beschäftigungsverhältnisses. Die beteiligten Stellen haben für diese Fälle vereinbart, den Dienstherrn und Arbeitgeber als Leasingnehmer von wirtschaftlichen Nachteilen freizustellen. Hierfür hat der Leasinggeber ein "Störfallmanagement" vorzuhalten, in dessen Rahmen er zusammen mit dem Dienstleister gegebenenfalls auch die weitere Abwicklung des Störfalles (Beendigung des Fahrradleasings oder anderweitige Finanzierung) mit den betroffenen Beschäftigten klärt. Für bestimmte vorübergehende Störfälle besteht dabei ein Versicherungsschutz zugunsten der Beschäftigten.

Zur Durchführung des Störfallmanagements hatten die Beteiligten zunächst vorgesehen, dass der Dienstherr oder Arbeitgeber eingetretene Störfälle personenbezogen unter Angabe des Störfallgrundes an den Dienstleister meldet. Eine solche Datenweitergabe bedarf auch dann einer hinreichenden Rechtsgrundlage, wenn sie zwischen gemeinsam Verantwortlichen stattfindet. Nachdem die betroffenen Beschäftigten selbst Vertragspartei der jeweiligen Überlassungs- und Entgeltumwandlungsverträge sind, kann ihr Dienstherr oder Arbeitgeber die zur Vertragsdurchführung erforderliche Verarbeitung von Beschäftigtendaten grundsätzlich auf Art. 6 Abs. 1 UAbs. 1 Buchst. b DSGVO stützen. Diese Vorschrift erlaubt dem Verantwortlichen die Verarbeitung personenbezogener Daten, soweit dies zur Erfüllung eines Vertrags mit der betroffenen Person erforderlich ist.

Bei der vorgesehenen Angabe des spezifischen Störfallgrundes ergaben sich jedoch Probleme: Zunächst wird dabei nämlich die rechtliche Fundierung für einen zeitweisen oder dauerhaften Bezügefortfall offenbar. Regelmäßig geht es um Informationen, die in einem unmittelbaren inneren Zusammenhang mit dem Dienstverhältnis stehen, und damit um Personalaktendaten im Sinne von § 50 Satz 2 Beamtenstatusgesetz, Art. 103 ff. Bayerisches Beamtengesetz (BayBG); diese Vorschriften finden nach Art. 145 Abs. 2 BayBG auch auf vertraglich im bayerischen öffentlichen Dienst Beschäftigte grundsätzlich Anwendung. Ohne die Einwilligung der betroffenen Beschäftigten sind Auskünfte über Personalaktendaten jedoch nur in eng begrenzten Fällen (vgl. etwa Art. 108 Abs. 5 Satz 1 Nr. 1 in Verbindung mit Abs. 2 BayBG) zulässig.

Hinzu kommt, dass der Dienstherr oder Arbeitgeber zumindest in Einzelfällen (insbesondere bei einer Arbeits- oder Erwerbsunfähigkeit Beschäftigter) Gesundheitsdaten und damit besondere Kategorien personenbezogener Daten im Sinne von Art. 9 Abs. 1 DSGVO an den Dienstleister übermittelt. Hierfür bedarf es neben einer Rechtsgrundlage nach Art. 6 Abs. 1 DSGVO zusätzlich eines Zulässigkeitstatbestands nach Art. 9 Abs. 2 DSGVO. Im Unterschied zu Art. 6 Abs. 1 DSGVO sind Datenverarbeitungen zur Vertragserfüllung in Art. 9 Abs. 2 DSGVO nicht als allgemeiner Tatbestand erfasst.

Da die mir vorliegenden Unterlagen zunächst keine Ausführungen zu den Rechtsgrundlagen für die geschilderte Datenweitergabe enthielten, habe ich das Bauministerium insoweit um zusätzliche Ausführungen gebeten. Zugleich habe ich um kritische Prüfung ersucht, ob das Störfallmanagement nicht auch anders und angesichts des Grundsatzes der Datenminimierung nach Art. 5 Abs. 1 Buchst. c DSGVO insbesondere datensparsamer abgewickelt werden könnte.

Das Bauministerium hat mir im Folgenden ausführlich dargelegt, weshalb es einer Meldung von "Störfällen" an den Dienstleister bedarf; anders sei die hiermit bezweckte finanzielle Schadloshaltung des Dienstherrn und Arbeitgebers sowie die Haushaltsneutralität von "JobBike Bayern" nicht umsetzbar.

Als Rechtsgrundlage für die vorgesehenen Datenübermittlungen hat es zunächst Einwilligungen der Beschäftigten nach Art. 6 Abs. 1 UAbs. 1 Buchst. a und Art. 9 Abs. 2 Buchst. a DSGVO in Betracht gezogen. Im Beschäftigungsverhältnis ist die Einwilligung als Rechtsgrundlage für Datenverarbeitungen zwar grundsätzlich problematisch; aufgrund des strukturellen Machtungleichgewichts zwischen dem Dienstherrn oder Arbeitgeber sowie den Beschäftigten fehlt es solchen Erklärungen nämlich regelmäßig an der nach Art. 4 Nr. 11 DSGVO erforderlichen Freiwilligkeit. Da es sich bei "JobBike Bayern" allerdings um ein Zusatzangebot handelt, auf welches die Beschäftigten ohne weitere Nachteile verzichten können, erschienen wirksame Einwilligungen möglich. Es stellte sich allerdings schnell heraus, dass die Einwilligung aufgrund ihrer freien Widerruflichkeit (vgl. Art. 7 Abs. 3 Satz 1 DSGVO) gegebenenfalls Folgeprobleme für die vertragliche Abwicklung nach Eintritt des Störfalls mit sich gebracht hätte.

Meiner Empfehlung entsprechend hat das Bauministerium daraufhin die vorgesehene Abwicklung des Störfallmanagements noch einmal kritisch überdacht. Ausgangspunkt war dabei die Erwägung, dass die Störfälle verschiedenen Kategorien zugeordnet werden können, die vertraglich jeweils unterschiedlich behandelt werden. In der Folge haben sich die Beteiligten darauf verständigt, dem Dienstleister lediglich das Vorliegen und die Dauer eines Störfalls sowie dessen vertragliche Auswirkungen mitzuteilen, ohne dabei den Grund des Störfalls offenzulegen. Die Mitteilung enthält damit regelmäßig weder Personalaktendaten noch besondere Kategorien personenbezogener Daten im Sinne von Art. 9 Abs. 1 DSGVO. Im Ergebnis ist das Störfallmanagement nunmehr deutlich datensparsamer ausgestaltet worden; im Wesentlichen lässt es sich auf Art. 6 Abs. 1 UAbs. 1 Buchst. b DSGVO als Rechtsgrundlage stützen.

In Einzelfällen kann eine solche Meldung den jeweiligen Störfallgrund gleichwohl mittelbar offenlegen, etwa dann, wenn eine Störfallkategorie so eng gefasst ist, dass bei Kenntnis der einschlägigen vertraglichen Regelungen der vorliegende Störfallgrund zweifelsfrei zuordenbar ist. Das Bauministerium und das Landesamt für Finanzen haben mir ausführlich dargelegt, weshalb in diesen Fällen Art. 108 Abs. 5 Satz 1 Nr. 1 in Verbindung mit Abs. 2 Nr. 2 BayBG als Rechtsgrundlage für eine mittelbare Offenlegung von Personalaktendaten herangezogen werden kann. Diese Vorschriften erlauben Auskünfte über Personalaktendaten, soweit dies zur Festsetzung, Berechnung und Rückforderung der Bezüge erforderlich ist.

Die diesbezügliche Argumentation lässt sich wie folgt zusammenfassen: Da Störfälle der Entgeltumwandlung die Grundlage entziehen, haben sie Auswirkungen auf die Bezügeberechnung und -festsetzung. Sie müssen daher, auch im Hinblick auf einen etwaigen Versicherungsschutz, ordnungsgemäß mit dem Dienstleister abgewickelt werden, was die vorherige Information über den Störfall, dessen Dauer und vertragliche Auswirkungen notwendig macht. Wenn und soweit eine solche, inhaltlich bereits reduzierte Mitteilung in Einzelfällen den Störfallgrund mittelbar erkennen lässt, wäre dies als erforderlich im Sinne von Art. 108 Abs. 5 Satz 1 Nr. 1 in Verbindung mit Abs. 2 Nr. 2 BayBG anzusehen. In diesem Rahmen sei auch eine Offenlegung von Gesundheitsdaten im Einzelfall zulässig, Art. 108 Abs. 5 Satz 1 Nr. 1, Abs. 2 Nr. 2 BayBG in Verbindung mit Art. 8 Abs. 1 Satz 1 Nr. 2 DSGVO. Diese Begründung konnte ich im Ergebnis nachvollziehen.

Vor Abschluss von Überlassungs- und Entgeltumwandlungsverträgen werden die Beschäftigten über die mögliche Verarbeitung ihrer personenbezogenen Daten ausführlich informiert.

7.8.3. Fazit

"JobBike Bayern" ist ein Zusatzangebot für Beschäftigte des Freistaates Bayern. Im Rahmen dieses Angebots muss der Dienstherr oder Arbeitgeber gleichwohl personenbezogene Daten seiner Beschäftigten verarbeiten. Wie in anderen Fällen auch, ist dabei insbesondere zu prüfen, inwieweit die Verarbeitung personenbezogener Daten zur Erreichung eines festgelegten Zwecks auch tatsächlich erforderlich ist. Soweit vorhanden, sind datensparsamere Alternativen auf ihre Umsetzbarkeit hin zu untersuchen. Es freut mich, dass meine Beratung zu einer datensparsameren Ausgestaltung des Störfallmanagements bei "JobBike Bayern" geführt hat. Allen Beschäftigten, die sich für den Bezug eines JobBikes entscheiden, wünsche ich eine allzeit gute und - nicht nur aus Datenschutzsicht - störfallfreie Fahrt.

7.9. Änderungen im bayerischen Personalvertretungsrecht

Neben dem bayerischen Dienstrecht (vgl. hierzu den Beitrag Nr. 7.2) ist im Berichtszeitraum auch das bayerische Personalvertretungsrecht geändert worden. Aus datenschutzrechtlicher Sicht war dabei insbesondere Folgendes von Bedeutung:

7.9.1. Mitbestimmungsrecht bei der Benennung und Abberufung von behördlichen Datenschutzbeauftragten

Der Personalrat einer bayerischen öffentlichen Stelle ist meiner Auffassung nach nicht als eigenständiger Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO anzusehen. Vielmehr bleibt die jeweilige bayerische öffentliche Stelle auch für die Verarbeitung personenbezogener Daten "ihres" Personalrats datenschutzrechtlich verantwortlich. Die Beratungs- und Überwachungsaufgaben von behördlichen Datenschutzbeauftragten (vgl. insbesondere Art. 39 Abs. 1 Buchst. a und b DSGVO) bestehen damit auch gegenüber dem Personalrat als Teil des Verantwortlichen. Bei der Erfüllung seiner Aufgaben hat der behördliche Datenschutzbeauftragte der besonderen Stellung des Personalrats jedoch weitestmöglich Rechnung zu tragen. Im Beschäftigungskontext bestehen datenschutzrechtliche Vorgaben zudem grundsätzlich zugunsten der Beschäftigten. Der Personalrat hat daher unter anderem dafür zu sorgen, dass diese Vorgaben umgesetzt werden (vgl. Art. 69 Abs. 1 Buchst. b Bayerisches Personalvertretungsgesetz - BayPVG).

Die Arbeit von Personalräten und behördlichen Datenschutzbeauftragten hat somit einige Berührungspunkte. Zugleich ist ein gewisses "Reibungspotential" nicht zu verkennen: Schließlich ist es grundsätzlich Sache des Verantwortlichen und damit der Dienststellenleitungen, die behördlichen Datenschutzbeauftragten zu benennen. Zwar sieht die Datenschutz-Grundverordnung ausdrücklich vor, dass Datenschutzbeauftragte weisungsfrei tätig und auch gegenüber dem Verantwortlichen zur Verschwiegenheit verpflichtet sind (Art. 38 Abs. 3 Satz 1, Abs. 5 DSGVO). Gleichwohl ist nicht auszuschließen, dass die Wahrnehmung der Überwachungsaufgaben von behördlichen Datenschutzbeauftragten aus Sicht von Personalräten im Einzelfall einmal als "übergriffig" aufgefasst wird.

Nicht zuletzt vor diesem Hintergrund habe ich anlässlich meiner Beteiligung in zurückliegenden Gesetzgebungsverfahren mehrfach angeregt, ein umfassendes Mitbestimmungsrecht für Personalräte bei der Benennung und Abberufung von behördlichen Datenschutzbeauftragten gesetzlich vorzusehen. Ein solches Mitbestimmungsrecht würde zudem die gesetzlich vorgeschriebene Weisungsfreiheit von Datenschutzbeauftragten untermauern. Insbesondere würde es dem Eindruck entgegenwirken, die im Gegensatz zum Personalrat nicht von den Beschäftigten gewählten, sondern allein von den Dienststellenleitungen benannten behördlichen Datenschutzbeauftragten stünden - trotz Verschwiegenheitspflicht und Weisungsfreiheit - "im Lager" der Dienststellenleitungen. Schließlich dürfte ein solches Mitbestimmungsrecht auch bei den Personalräten die Akzeptanz gegenüber Maßnahmen fördern, die behördliche Datenschutzbeauftragte in Ausübung ihrer Überwachungsaufgaben (vgl. Art. 39 Abs. 1 Buchst. b DSGVO) treffen.

Erfreulicherweise hat der bayerische Gesetzgeber diese Anregung nun aufgegriffen und mit dem Gesetz zur Änderung des Bayerischen Personalvertretungsgesetzes und weiterer Rechtsvorschriften in Art. 75 Abs. 4 Satz 1 Nr. 7 BayPVG ein solches Mitbestimmungsrecht verankert.

7.9.2. Digitalisierung der Arbeit von Personalvertretungen und Wahlvorständen

In Anbetracht von Erfahrungen aus der COVID19-Pandemie war es ein erklärtes Ziel des bayerischen Gesetzgebers, den Personalvertretungen die Nutzung von Video- und Telefonkonferenzen dauerhaft rechtssicher zu ermöglichen. Mit dem Gesetz zur Änderung des Bayerischen Personalvertretungsgesetzes und weiterer Rechtsvorschriften ist dieses Vorhaben nunmehr umgesetzt worden: Insbesondere können nun Sitzungen und Sprechstunden des Personalrats (vgl. Art. 35 Abs. 2 Satz 2, Art. 43 Abs. 1 Sätze 3 und 4 BayPVG) sowie Verhandlungen und Beschlussfassungen der Einigungsstelle (Art. 71 Abs. 2 Sätze 4 bis 6 BayPVG) vollständig oder teilweise (unter Zuschaltung einzelner Beteiligter) mittels Video- oder Telefonkonferenz durchgeführt werden. Ferner können Personalversammlungen im Einvernehmen mit der Dienststellenleitung ganz oder teilweise mittels Videokonferenz abgehalten werden (Art. 48 Abs. 3 BayPVG).

Dabei sind natürlich auch datenschutzrechtliche Vorgaben zu beachten. Das Bayerische Personalvertretungsgesetz sieht insoweit vor, dass

  • vorhandene Einrichtungen genutzt werden, die von der Dienststelle zur dienstlichen Nutzung vorgesehen sind,
  • geeignete organisatorische Maßnahmen getroffen werden, um sicherzustellen, dass Dritte vom Inhalt der jeweiligen Veranstaltung keine Kenntnis nehmen können sowie
  • eine Aufzeichnung der jeweiligen Veranstaltung unzulässig ist.

Für Personalratssitzungen ergeben sich diese Anforderungen unmittelbar aus Art. 35 Abs. 2 Satz 2 Nr. 1 und 3, Satz 3 BayPVG; in den anderen genannten Bereichen gelten sie entsprechend (Art. 43 Abs. 1 Satz 4, Art. 48 Abs. 3 Satz 2, Art. 71 Abs. 2 Satz 4 BayPVG). Im Hinblick auf Sitzungen des Personalrats und der Einigungsstelle bestehen gegen eine Durchführung mittels Telefon- und Videokonferenzen (teils qualifizierte) Widerspruchsmöglichkeiten (Art. 35 Abs. 2 Satz 2 Nr. 2, Art. 71 Abs. 2 Satz 5 BayPVG).

Bei Wahlen nach dem Bayerischen Personalvertretungsgesetz besteht nun ebenfalls dauerhaft die Möglichkeit, nichtöffentliche Sitzungen des Wahlvorstands per Videokonferenz abzuhalten. Eine entsprechende Änderung der Wahlordnung zum Bayerischen Personalvertretungsgesetz (WO-BayPVG), insbesondere von § 1 Abs. 2 WO-BayPVG ist mit der Verordnung zur Änderung der Wahlordnung zum Bayerischen Personalvertretungsgesetz erfolgt. Die dabei zu beachtenden datenschutzrechtlichen Vorgaben wurden denjenigen in Art. 35 Abs. 2 BayPVG nachgebildet.

7.9.3. Fazit

Bayerische Personalräte können nun bei der Benennung und Abberufung von behördlichen Datenschutzbeauftragten mitbestimmen. Es freut mich sehr, dass der bayerische Gesetzgeber meine diesbezügliche Anregung aufgegriffen hat. Gerade angesichts der europarechtlich vorgegebenen umfassenden Beratungs- und Überwachungsaufgaben von Datenschutzbeauftragten einerseits und der personalvertretungsrechtlich vorgesehenen "eigenständigen" Stellung von Personalräten andererseits dürfte diese Neuregelung zu einer erheblich gesteigerten innerbehördlichen "Akzeptanz" benannter Datenschutzbeauftragter und damit zu einer datenschutzrechtlichen Verbesserung bei bayerischen öffentlichen Stellen beitragen.

Die gesetzlichen Vorgaben zur Durchführung von Video- und Telefonkonferenzen bei Personalvertretungen und Wahlvorständen sind aus Gründen der Rechtssicherheit und Rechtsklarheit zu begrüßen. Die allgemeinen technischen und organisatorischen Vorgaben der Datenschutz-Grundverordnung (etwa nach Art. 24 und 32 DSGVO) bleiben hiervon unberührt. In der Praxis wird insbesondere darauf zu achten sein, dass Personalvertretungen und Wahlvorstände im Rahmen der eröffneten Gestaltungsspielräume ausschließlich datenschutzkonforme Verfahren und Systeme einsetzen.

7.10. Datenschutzrechtliche Aufsichtszuständigkeit für Richterräte

In bayerischen öffentlichen Stellen sind grundsätzlich Personalvertretungen- insbesondere Personalräte - zu bilden (Art. 1 Bayerisches Personalvertretungsgesetz - BayPVG). Richterinnen und Richter zählen gemäß Art. 4 Abs. 1 Satz 2 BayPVG nicht zu den Beschäftigten im Sinne des Bayerischen Personalvertretungsrechts. Für diese Berufsgruppe sieht das Bayerische Richter- und Staatsanwaltsgesetz (BayRiStAG) die Errichtung sogenannter Richterräte vor (Art. 17 Abs. 1 Nr. 1 BayRiStAG). Für diese gelten die Vorschriften des Bayerischen Personalvertretungsrechts grundsätzlich entsprechend, soweit sich aus dem Bayerischen Richter- und Staatsanwaltsgesetz nichts Abweichendes ergibt (Art. 17 Abs. 4 Satz 1 BayRiStAG). Abweichungen bestehen etwa im Hinblick auf die Mitbestimmungs- und Mitwirkungsrechte von Richterräten (vgl. Art. 28 f. BayRiStAG).

Auch Richterräte verarbeiten in Erfüllung ihrer Aufgaben personenbezogene Daten. In diesem Zusammenhang bin ich gefragt worden, ob sich meine Aufsichtszuständigkeit auf Richterräte erstreckt. Diese Anfrage hatte den folgenden rechtlichen Hintergrund:

Die Datenschutz-Grundverordnung verpflichtet Mitgliedstaaten dazu, unabhängige Aufsichtsbehörden einzurichten (Art. 51 ff. DSGVO). Deren Aufgabe ist es insbesondere, die Einhaltung des Datenschutzrechts in ihrem jeweiligen Zuständigkeitsbereich zu überwachen (Art. 51 Abs. 1, Art. 57 Abs. 1 Buchst. a DSGVO). Hierfür verfügen die Aufsichtsbehörden über verschiedene Untersuchungs- und Abhilfebefugnisse; letztere umfassen auch Anweisungsmöglichkeiten (vgl. Art. 58 Abs. 2 Buchst. c bis e DSGVO).

Unabhängig sind jedoch nicht nur die Aufsichtsbehörden, sondern auch die Gerichte (vgl. Art. 47 Abs. 2 Satz 1 Charta der Grundrechte der Europäischen Union) sowie die Richterinnen und Richter (Art. 97 Grundgesetz - GG), die im Rahmen ihrer rechtsprechenden Tätigkeit eine Vielzahl personenbezogener Daten verarbeiten. Auch für diese Verarbeitungen gilt - mit Ausnahme der "Strafjustiz" (vgl. Art. 2 Abs. 2 Buchst. d DSGVO) - die Datenschutz-Grundverordnung. Eine Datenschutzaufsicht "von außen" auch im justiziellen Bereich könnte allerdings die grundgesetzlich garantierte richterliche Unabhängigkeit gefährden; schließlich müssten sich Richterinnen und Richter dann gegebenenfalls mit aufsichtlichen Abhilfebefugnissen und insbesondere Anweisungen auseinandersetzen, die ihre Entscheidungsfindung beeinflussen könnten. Dieses Konfliktpotential hat der Verordnungsgeber erkannt und die Zuständigkeit der Aufsichtsbehörden insoweit durch Art. 55 Abs. 3 DSGVO begrenzt:

"Die Aufsichtsbehörden sind nicht zuständig für die Aufsicht über die von Gerichten im Rahmen ihrer justiziellen Tätigkeit vorgenommenen Verarbeitungen."

Für bayerische öffentliche Stellen bin grundsätzlich ich die zuständige Aufsichtsbehörde (Art. 15 Abs. 1 Satz 1 BayDSG). Im Hinblick auf Gerichte gilt dies gemäß Art. 1 Abs. 1 Satz 3 BayDSG jedoch nur, soweit diese in Verwaltungsangelegenheiten tätig werden. Diese Vorschrift bestand bereits vor Inkrafttreten der Datenschutz-Grundverordnung (vgl. Art. 2 Abs. 5 BayDSG a. F.); sie ist gerade auch in Ansehung von Art. 55 Abs. 3 DSGVO beibehalten worden. "Verwaltungsangelegenheiten" im Sinne von Art. 1 Abs. 1 Satz 3 BayDSG erfassen vor diesem Hintergrund gerichtliche Datenverarbeitungen nur, aber immerhin, soweit sie außerhalb der justiziellen, also rechtsprechenden Tätigkeit der Gerichte erfolgen.

Damit stellt sich die Frage, ob Verarbeitungen personenbezogener Daten durch Richterräte den Verwaltungsangelegenheiten, also dem nicht-justiziellen Bereich zuzuordnen sind. Bezweifeln ließe sich dies angesichts der Rechtsprechung des Europäischen Gerichtshofes, der die "justizielle Tätigkeit" im Sinne des Art. 55 Abs. 3 DSGVO grundsätzlich weit auslegt: Im Ergebnis sieht der Gerichtshof alle Verarbeitungen von der Ausnahmevorschrift des Art. 55 Abs. 3 DSGVO erfasst, deren Kontrolle durch eine Aufsichtsbehörde nach Art. 51 DSGVO "mittelbar oder unmittelbar die Unabhängigkeit der Mitglieder oder der Entscheidungen der Gerichte beeinflussen könnte." Zur Tätigkeit von Personalvertretungen bei Gerichten oder zur gerichtlichen Personalverwaltung insgesamt hat sich der Gerichtshof allerdings nicht geäußert.

Vor diesem Hintergrund bin ich unverändert und übereinstimmend mit der Kommentarliteratur der Auffassung, dass die Tätigkeit eines Gerichts als personalverwaltende Stelle grundsätzlich den Verwaltungsangelegenheiten im Sinne von Art. 1 Abs. 1 Satz 3 BayDSG zuzuordnen ist. Auch damit zusammenhängende Datenverarbeitungen durch Richterräte sehe ich demnach von den Verwaltungsangelegenheiten nach Art. 1 Abs. 1 Satz 3 BayDSG als erfasst an. Dabei gehe ich davon aus, dass die Besonderheiten, die sich aufgrund der richterlichen Unabhängigkeit für die Tätigkeit der Richterräte im Vergleich etwa zu Personalräten ergeben, bereits in Art. 17 ff. BayRiStAG hinreichend berücksichtigt worden sind.

Im Ergebnis bin ich damit grundsätzlich auch für die datenschutzrechtliche Aufsicht über Richterräte zuständig.

  1. Vgl. insbesondere die Entschließung der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) vom 11. Mai 2023 "Notwendigkeit spezifischer Regelungen zum Beschäftigtendatenschutz! – Rechtsprechung des Europäischen Gerichtshofs hat Auswirkungen auf zahlreiche deutsche Vorschriften im Beschäftigungskontext", abrufbar unter https://datenschutzkonferenz-online.de/entschliessungen.html (externer Link). [Zurück]
  2. Europäischer Gerichtshof, Urteil vom 30. März 2023, C-34/21, BeckRS 2023, 5635. [Zurück]
  3. Vgl. Bundestags-Drucksache 18/11325, S. 96. [Zurück]
  4. Ausführlich zu Sachverhalt und Vorlagefragen Europäischer Gerichtshof, Urteil vom 30. März 2023, C-34/21, BeckRS 2023, 5635, Rn. 14 ff. [Zurück]
  5. Europäischer Gerichtshof, Urteil vom 30. März 2023, C-34/21, BeckRS 2023, 5635, Rn. 31 ff., 37 sowie Rn. 38 ff., 56. [Zurück]
  6. Europäischer Gerichtshof, Urteil vom 30. März 2023, C-34/21, BeckRS 2023, 5635, Rn. 75. [Zurück]
  7. Europäischer Gerichtshof, Urteil vom 30. März 2023, C-34/21, BeckRS 2023, 5635, Rn. 61 und 71. [Zurück]
  8. Europäischer Gerichtshof, Urteil vom 30. März 2023, C-34/21, BeckRS 2023, 5635, Rn. 74. [Zurück]
  9. Europäischer Gerichtshof, Urteil vom 30. März 2023, C-34/21, BeckRS 2023, 5635, Rn. 79. [Zurück]
  10. Europäischer Gerichtshof, Urteil vom 30. März 2023, C-34/21, BeckRS 2023, 5635, Rn. 80. [Zurück]
  11. Europäischer Gerichtshof, Urteil vom 30. März 2023, C-34/21, BeckRS 2023, 5635, Rn. 81. [Zurück]
  12. Europäischer Gerichtshof, Urteil vom 30. März 2023, C-34/21, BeckRS 2023, 5635, Rn. 82 f. [Zurück]
  13. Europäischer Gerichtshof, Urteil vom 30. März 2023, C-34/21, BeckRS 2023, 5635, Rn. 85 ff. [Zurück]
  14. Hinsichtlich der Verarbeitung von Beschäftigtendaten im öffentlichen Bereich in diese Richtung auch Hessischer Beauftragter für Datenschutz und Informationsfreiheit, Handreichung zur Verarbeitung personenbezogener Daten von Beschäftigten im Lichte des EuGH-Urteils vom 30. März 2023 Rs. C-34/21, S. 5 f., abrufbar unter https://datenschutz.hessen.de/ (externer Link) datenschutz/arbeitgeber-und-beschaeftigte/handreichung-zur-verarbeitung- personenbezogener-daten-von-beschaeftigten. [Zurück]
  15. Vgl. hierzu die Entschließung der DSK vom 11. Mai 2023 (Fn. 112). [Zurück]
  16. Vom 7. Juli 2023 (GVBl. S. 313). [Zurück]
  17. Vgl. zum Ganzen Landtags-Drucksache 18/28504, S. 2. [Zurück]
  18. Siehe Fn. 127. [Zurück]
  19. Vgl. etwa Art. 37 Abs. 3 Satz 4 LlbG oder Art. 48 Abs. 5 Satz 2 LlbG. [Zurück]
  20. Vom 19. September 2023 (GVBl. S. 570). [Zurück]
  21. Vgl. zu diesem System meinen 24. Tätigkeitsbericht 2009/2010 unter Nr. 11.2.1. [Zurück]
  22. Vgl. Landtags-Drucksache 17/19628, S. 35 f. [Zurück]
  23. Bayerisches Oberstes Landesgericht, Beschluss vom 6. August 2020, 1 VA 33/20, BeckRS 2020, 18859, Rn. 60. [Zurück]
  24. Siehe hierzu meinen 25. Tätigkeitsbericht 2011/2012 unter Nr. 11.8.2. [Zurück]
  25. Art. 1 Nr. 6 Buchst. a Gesetz zur Änderung des Infektionsschutzgesetzes und anderer Vorschriften vom 18. März 2022 (BGBl. I S. 466). [Zurück]
  26. Vgl. ausführlich zum Ganzen Bayerischer Landesbeauftragter für den Datenschutz, 3G-Zutrittsregel im bayerischen öffentlichen Dienst, Aktuelle Kurz-Information 38, Stand 12/2021, Internet: https://www.datenschutz-bayern.de, Rubrik "Datenschutzreform 2018". [Zurück]
  27. Siehe zur Aufbewahrung von Beurteilungsunterlagen auch meinen 31. Tätigkeitsbericht 2021 unter Nr. 8.2. [Zurück]
  28. Vgl. Stief, in Schröder, Bayerisches Datenschutzgesetz, 2021, Art. 4 BayDSG Rn. 43. [Zurück]
  29. Vgl. Bayerisches Oberstes Landesgericht, Beschluss vom 6. August 2020, 1 VA 33/20, BeckRS 2020, 18859, Rn. 59. [Zurück]
  30. So auch Breier/Dassau/Kiefer/Thivessen, TV-L, Kommentar, Stand 4/2022, § 16 TV-L Erl. 95.20. [Zurück]
  31. Vgl. etwa Bayerisches Oberstes Landesgericht, Beschluss vom 6. August 2020. 1 VA 33/20, BeckRS 2020, 18859, Rn. 59. [Zurück]
  32. Vgl. zu Einzelheiten die "FAQ" auf der Website https://jobbike-bayern.deutsche-dienstrad.de/ (externer Link). [Zurück]
  33. Dieser ist der BayJobBikeBekanntmachung (BayJBBek) vom 26. Januar 2024 (BayMBl Nr. 103) als Anlage beigefügt. [Zurück]
  34. Vgl. zu Einzelheiten auch Nr. 6 und Nr. 72 der BayJobBikeBekanntmachung (Fn. 144). [Zurück]
  35. Vgl. hierzu Nr. 17.1 des Überlassungs- und Entgeltumwandlungsvertrags (Fn. 144). [Zurück]
  36. Siehe zu Einzelheiten auch Nr. 10 der BayJobBikeBekanntmachung (Fn. 144). [Zurück]
  37. Vgl. ausführlich hierzu Lang, in: Taeger/Gabel, 4. Aufl. 2022, Art. 26 DSGVO Rn. 112 f. [Zurück]
  38. Siehe hierzu auch Nr. 17.4 des Überlassungs- und Entgeltumwandlungsvertrags (Fn. 144). [Zurück]
  39. Vgl. ausführlich zum Ganzen Bayerischer Landesbeauftragter für den Datenschutz, Der Personalrat – Verantwortlicher im Sinne des Datenschutzrechts?, Aktuelle Kurz-Information 23, Stand 7/2019, Internet: https://www.datenschutz-bayern.de, Rubrik "Datenschutzreform 2018". [Zurück]
  40. Im staatlichen Bereich können behördliche Datenschutzbeauftragte gegebenenfalls durch eine höhere Behörde benannt werden, Art. 12 Abs. 3 BayDSG. [Zurück]
  41. Vom 7. Juli 2023 (GVBl S. 318). [Zurück]
  42. Vgl. Landtags-Drucksache 18/28503, S. 12. [Zurück]
  43. Siehe Fn. 152. [Zurück]
  44. Vom 18. Juli 2023 (GVBl. S. 470). [Zurück]
  45. Vgl. nur EG 20 Satz 1 DSGVO sowie Europäischer Gerichtshof, Urteil vom 2. März 2023, C-268/21, Rn. 26. [Zurück]
  46. Vgl. hierzu auch Europäischer Gerichtshof, Urteil vom 24. März 2022, C-245/20, Rn. 29 ff. [Zurück]
  47. Landtags-Drucksache 17/19628, S. 31. [Zurück]
  48. Europäischer Gerichtshof, Urteil vom 24. März 2022, C-245/20 Rn. 34. [Zurück]
  49. Vgl. Engelbrecht, in: Schröder, Bayerisches Datenschutzgesetz, Art. 1 Rn. 85; Niese, in: Wilde/ Ehmann/Niese/Knoblauch, Datenschutz in Bayern, Stand 4/2023, Art. 1 BayDSG Rn. 34 f. [Zurück]