04

Kernpunkte:

  • Die Wichtigkeit behördlicher Datenschutzbeauftragten
  • Gesetzliche Prüfpflichten im Polizeibereich
  • Datenpannen in der Verwaltung
  • Datenschutzerklärungen auf Webseiten

4    Datenschutz in der Verwaltung

4.1          Allgemeine Verwaltung

4.1.1       Die behördlichen Datenschutzbeauftragten: wichtig!

Die behördlichen Datenschutzbeauftragten haben vielfältige Aufgaben. Dazu gehört auch die Zusammenarbeit mit der Aufsichtsbehörde (Art. 39 Abs. 1 Buchst. d DSGVO). In diesem Sinne unterstützen wir gern die behördlichen Datenschutzbeauftragten, die wiederum von den Verantwortlichen bei Datenschutzfragen einzubeziehen sind.

Die Vorteile dieser Konstellation bestehen darin, dass das konkrete Wissen über die Verarbeitung personenbezogener Daten vor Ort vorhanden ist, dass es wohl weniger Berührungsängste der Beschäftigten in den Behörden gegenüber dem eigenen behördlichen Datenschutzbeauftragten gibt und dass im Bedarfsfall stets eine Rückkopplung mit dem ULD möglich ist. Leider klappt dies nicht immer. Besonders schwierig kann es werden, wenn – wie es häufiger in den letzten Jahren vorgekommen ist – die behördlichen Datenschutzbeauftragten von den Verantwortlichen nicht einbezogen wurden, obwohl sich viele Verarbeitungen personenbezogener Daten veränderten oder neu eingeführt wurden. Fast alle waren beispielsweise betroffen von der Umsetzung von Homeoffice und Videokonferenzen oder der Verarbeitung von Gesundheitsdaten oder Kontaktdaten, was jeweils von Anfang an durch geeignete technische und organisatorische Maßnahmen zu begleiten war.

Sicherlich hat die Coronapandemie die Verantwortlichen vor einige Herausforderungen gestellt, besonders wenn ein schnelles Agieren notwendig wurde, um Digitalisierungslösungen einzuführen, wodurch der übliche Vorlauf der Beratungen und Planungen sehr verkürzt wurde oder diese Phasen ganz übergangen wurden. Das war jedenfalls für das Jahr 2020 noch weitgehend nachvollziehbar. Für das Jahr 2021 hat sich dies allerdings nicht grundlegend geändert: Nach unserem Eindruck ist in Schleswig-Holstein noch nicht verinnerlicht, dass man mit den behördlichen Datenschutzbeauftragten eine wichtige Instanz vor Ort hat, deren Kompetenz es zu nutzen gilt, um Recht und Gesetz zu erfüllen und die Risiken zu beherrschen (siehe 38. TB, Tz. 1.3).

Seit einiger Zeit wird uns von den Datenschutzbeauftragten vor Ort berichtet, dass sie zunehmend Angriffen ausgesetzt sind, wenn sie korrekt gemäß den rechtlichen Regelungen und der höchstrichterlichen Rechtsprechung (hier besonders zu Schrems II, siehe 38. TB, Tz. 11.5) die Verantwortlichen beraten. Das verbale Eindreschen auf den Datenschutz kann dann auch persönlich werden. Damit wird den behördlichen Datenschutzbeauftragten die Arbeit schwer gemacht, engagierte Menschen werden abgeschreckt. Dabei brauchen wir für ein gutes Datenschutzniveau in der Fläche kompetente und motivierte Datenschutzbeauftragte.

Was ist zu tun?
Die Verantwortlichen sollten ihre Datenschutzbeauftragten, wie gesetzlich vorgesehen, einbeziehen und deren Rolle als Mehrwert schätzen.

 

4.1.2       Empfehlung der Konferenz der Datenschutzbeauftragten der obersten Landesbehörden für ein Datenschutzkonzept

Nicht nur im kommunalen Bereich, sondern auch auf Ebene der Landesbehörden arbeiten die behördlichen Datenschutzbeauftragten erfolgreich zusammen. Die behördlichen Datenschutzbeauftragten der obersten Landesbehörden haben dazu eine Datenschutzbeauftragten-Konferenz etabliert.

Im Rahmen dieser Zusammenarbeit wurde ein Musterdatenschutzkonzept entwickelt, mit dem Behörden Datenschutzprozesse einführen und in ihre Organisationsstruktur integrieren können. Dieses Datenschutzkonzept geht zum einen auf typische operative Datenschutzaufgaben ein, z. B. die Informationspflichten zur Verarbeitung personenbezogener Daten und die Bearbeitung von Anträgen betroffener Personen zur Wahrnehmung ihrer Rechte gemäß den Artikeln 15 bis 22 DSGVO, beispielsweise der Rechte auf Auskunft, Berichtigung, Löschung oder Einschränkung der Verarbeitung sowie den Widerruf von Einwilligungen. Zum anderen nimmt das Datenschutzkonzept wichtige Punkte zur Analyse und Dokumentation von Verarbeitungstätigkeiten auf, die insbesondere die Mitwirkung der behördlichen Datenschutzbeauftragten bei der Gestaltung neuer Verfahren, etwa im Rahmen von Schwellwertanalysen und Datenschutz-Folgenabschätzungen, betreffen.

Ein Schwerpunkt in dem Datenschutzkonzept liegt auf der Zusammenarbeit mit dem Informationssicherheitsmanagement in den Behörden, um unnötige Doppelarbeit und Doppeldokumentation zu vermeiden und stattdessen Synergien nutzen zu können. Dabei werden aber die Besonderheiten des Datenschutzes und die Unterschiede zwischen Informationssicherheit und Datenschutz, die man sich immer wieder bewusst machen sollte, nicht aus den Augen verloren: So gibt es beispielsweise Unterschiede im Hinblick auf die Risikobetrachtung, die aus Datenschutzperspektive die Rechte und Freiheiten der betroffenen Personen und gegebenenfalls Dritter im Fokus hat und sich nicht immer und auch nicht vollständig mit der Risikoanalyse aus Sicht der Informationssicherheit deckt.

Stets gilt es, die richtige Kombination aus technischen und organisatorischen Maßnahmen auszuwählen und zu implementieren, die die Anforderungen sowohl des Datenschutzes als auch der Informationssicherheit erfüllen. Naturgemäß kann ein Musterkonzept nicht alle spezifischen Aspekte und organisatorischen Besonderheiten einer Behörde behandeln. Es ist daher als Blaupause zu verstehen, die entsprechend ergänzt und gegebenenfalls abgewandelt werden kann. Vor allem aber verdeutlicht das Musterkonzept die gesetzlich festgelegte, aber nach unserer Erfahrung noch nicht allseits bekannte Rolle der behördlichen Datenschutzbeauftragten.

Was ist zu tun?
Die obersten Landesbehörden sollten sich an dem vorgelegten Musterkonzept orientieren.

 

4.1.3       Übermittlung von Impfnachweisen durch Arbeitgeber an Pflegeeinrichtungen

Vorbemerkung: Die Pandemiesituation ist durch immer wieder sich geänderte Rechtsnormen charakterisiert (siehe Tz. 1.1). Die Beiträge in diesem Bericht beziehen sich auf die jeweils geltenden Regeln, die nach Redaktionsschluss zum 31.12.2021 anders aussehen können.

Verschiedene Unternehmen entsenden ihre Beschäftigten regelmäßig in voll- oder teilstationäre Einrichtungen zur Betreuung älterer, behinderter oder pflegebedürftiger Menschen, damit diese dort ihre Arbeitsleistung erbringen. Die Betreiber der Pflegeeinrichtungen sind bei der Beschäftigung externer Arbeitskräfte wiederum verpflichtet zu prüfen, ob für diese aus Gründen der Pandemiebekämpfung ein Betretungsverbot auszusprechen ist. Der Zugang zu den Pflegeeinrichtungen ist hingegen zulässig, wenn eine vollständige Schutzimpfung gegen das Coronavirus SARS-CoV-2, ein Genesenennachweis hinsichtlich des Vorliegens einer vorherigen Infektion mit dem Coronavirus SARS-CoV-2 oder ein Testnachweis nach den Vorgaben der COVID-19-Schutzmaßnahmen-Ausnahmenverordnung (SchAusnahmV) vorliegt. Externe Beschäftigte in voll- und teilstationären Einrichtungen sind zudem täglich in Bezug auf eine Infektion mit dem Coronavirus zu testen; bei Personen, die nach der SchAusnahmV geimpft oder genesen sind, genügt eine Testung alle 72 Stunden sowie anlass- und symptombezogen. Entsprechendes galt nach der Corona-Bekämpfungsverordnung Schleswig-Holstein in der Fassung vom 13.11.2021.

In einer Beratungsanfrage bat ein Unternehmen um Prüfung, ob vorhandene Impf- oder Genesenennachweise der eigenen Beschäftigten vorab kopiert und an den Betreiber einer Pflegeeinrichtung übersandt werden dürfen. Dieser Prozess sollte die Prüfung des Impfstatus vor Ort vereinfachen und die Beschäftigten in die Lage versetzen, von der eingeschränkten Testverpflichtung zu profitieren.

Für die Beurteilung war zunächst maßgeblich, dass es sich bei den Angaben aus den Impf- und Genesenennachweisen um Gesundheitsdaten handelt, die im Wesentlichen nur auf Grundlage einer Einwilligung der Beschäftigten oder eines Gesetzes verarbeitet werden dürfen. Eine Einwilligung der Beschäftigten bedurfte insbesondere einer freiwilligen Erklärung in dem Bewusstsein, dass die Erbringung der Arbeitsleistung auch ohne eine Einwilligung möglich bleibt und auch im Übrigen bei Verweigerung der Einwilligung keine arbeitsrechtlichen Konsequenzen drohen.

Die Einholung derartiger Erklärungen, die die genannten Anforderungen umsetzen, konnte das anfragende Unternehmen nicht belegen. Eine Legitimation dafür, die Impf- und Genesenennachweise von den Beschäftigten zu kopieren und an den Betreiber der Pflegeeinrichtung zu übermitteln, ergab sich auch nicht aus einer besonderen gesetzlichen Vorschrift. Das für diesen Kontext einschlägige Bundesdatenschutzgesetz verlangt dabei eine strenge Prüfung der Erforderlichkeit einer Datenverarbeitung sowie eine Abwägung mit den schutzwürdigen Belangen der betroffenen Beschäftigten.

§ 26 Abs. 3 Bundesdatenschutzgesetz
Abweichend von Artikel 9 Absatz 1 der Verordnung (EU) 2016/679 ist die Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne des Artikels 9 Absatz 1 der Verordnung (EU) 2016/679 für Zwecke des Beschäftigungsverhältnisses zulässig, wenn sie zur Ausübung von Rechten oder zur Erfüllung rechtlicher Pflichten aus dem Arbeitsrecht, dem Recht der sozialen Sicherheit und des Sozialschutzes erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse der betroffenen Person an dem Ausschluss der Verarbeitung überwiegt.

Das Kopieren der Gesundheitsdaten war bereits deshalb nicht zur Erfüllung rechtlicher Pflichten aus dem Arbeitsrecht erforderlich, weil

  • den Beschäftigten nach der Corona-Bekämpfungsverordnung Schleswig-Holstein in der Fassung vom 13. November 2021 die Wahlmöglichkeit verblieb, anstelle der Impf- oder Genesenennachweise einen Testnachweis beizubringen,
  • der Betreiber der Pflegeeinrichtung nach den landesrechtlichen Vorgaben in der Fassung vom 13. November 2021 vor Ort Testungen für externe Beschäftigte anzubieten und auf dieses Angebot am Eingang hinzuweisen hat und den Beschäftigten somit selbst für den Fall, dass sie ihren Impf- oder Genesenennachweis nicht mitführen, eine schnelle Klärung mittels eines aktuellen Tests möglich bleibt,
  • die freie Entscheidung bei den Beschäftigten verbleiben musste, ihre Impf-, Genesenen- oder Testnachweise direkt dem Betreiber der Pflegeeinrichtung vorzulegen und schließlich
  • es nach den landesrechtlichen Vorgaben in der Fassung vom 13. November 2021 genügte, dass die externen Beschäftigten dem Betreiber der Pflegeeinrichtung die entsprechenden Nachweise für eine Sichtkontrolle vorlegen. Die Anfertigung von Kopien der Nachweise externer Beschäftigter ist selbst für die Betreiber von Pflegeeinrichtungen nach der Corona-Bekämpfungsverordnung Schleswig-Holstein nicht vorgesehen.

Eine Voraberhebung der Impf-, Genesenen- und Testnachweise bei den eigenen Beschäftigten durch Arbeitgeber mag in der vorliegenden Konstellation praktisch erscheinen. Allerdings muss den Beschäftigten nach den gesetzlichen Vorgaben eine Wahlmöglichkeit verbleiben, wie ihre Gesundheitsdaten verarbeitet werden. Etwaige Verzögerungen bei der Arbeitsaufnahme im Einzelfall infolge der Einholung eines aktuellen Testergebnisses bei der Pflegeeinrichtung vor Ort fallen regelmäßig nicht übermäßig ins Gewicht. Zusätzlich stehen anlass- und symptombezogene Tests bei externen Beschäftigten im Ermessen der Betreiberinnen und Betreiber von Pflegeeinrichtungen und sind vom Arbeitgeber der externen Beschäftigten nicht beeinflussbar.

 

4.1.4       Offenlegung von Impfwünschen gegenüber allen Beschäftigten

In dem Berichtszeittraum hat uns eine Beschwerde zum folgenden Sachverhalt erreicht: Alle Beschäftigten waren per intern versandter E-Mail darauf hingewiesen worden, dass sie sich bei Interesse an einer Impfung gegen COVID 19 in eine Liste eintragen könnten. In der Liste war anzugeben, welche der drei genannten Impfstoffe aus Sicht der jeweiligen Beschäftigten infrage kamen. Es waren Spalten für die Eintragung von Name, Vorname und des in Betracht kommenden Impfstoffs vorgesehen. Die Liste war in einem für alle Beschäftigte zugänglichen Laufwerksordner gespeichert.

Für die Erhebung der Daten mittels einer für alle Beschäftigten einsehbaren und beschreibbaren Liste lag keine Rechtsgrundlage vor. Beamtenrechtliche Regelungen, die nach dem Landesdatenschutzgesetz auch für Tarifbeschäftigte gelten, waren nicht anwendbar. Es hätte andere Möglichkeiten gegeben, den Bedarf an Impfstoffen zu ermitteln. Zur Abfrage des konkreten Bedarfs wäre es in diesem Fall ausreichend gewesen, eine anonyme Befragung durchzuführen, was eine Verarbeitung personenbezogener Daten vermieden hätte. Eine Einwilligung der Beschäftigten kam ebenfalls nicht als Rechtsgrundlage in Betracht. Unabhängig von der Frage der Freiwilligkeit einer im Beschäftigtenverhältnis erteilten Einwilligung lagen in diesem Fall ohnehin nicht die Voraussetzungen für wirksam erteilte Einwilligungen vor. So erhielten die Beschäftigten beispielsweise keine Informationen darüber, dass sie eine Einwilligung erklären sollen. Auch erfolgte keine Belehrung über das Widerrufsrecht.

In diesem Fall sprach das ULD daher eine Verwarnung aus. In die Abwägung hinsichtlich der Entscheidung über die Verhängung einer Verwarnung wurde berücksichtigt, dass der behördliche Datenschutzbeauftragte intern nicht einbezogen worden ist.

Was ist zu tun?
Die Abfrage eines Impfinteresses durch Arbeitgeber hat so zu erfolgen, dass die Antworten nicht für alle Beschäftigten zugänglich sind, wie dies durch die für alle Beschäftigten beschreibbaren Liste der Fall war.

 

4.1.5       Datenbekanntgabe während öffentlicher Ratssitzung und Veröffentlichung im Internet

In einer Beschwerde ging es darum, dass während einer Ratssitzung der Name einer Bürgerin bekannt gegeben worden sei, die sich mit einer bestimmten Anregung in kommunalen Belangen an ihre Stadt gewandt hatte. Ihre Daten waren auch im Zusammenhang mit der Tagesordnung der Sitzung im Internet veröffentlicht worden.

In dem eingeleiteten Verfahren führte die Stadt aus, dass der Öffentlichkeitsgrundsatz sowie die gebotene Transparenz und Kontrollmöglichkeit durch die Bürgerinnen und Bürger eine direkte Kommunikation mit Verfasserinnen und Verfassern derartiger Anregungen erfordere, was die Offenlegung der Person auch im Internet voraussetze – soweit kein gegenteiliges Interesse deutlich werde. Darüber hinaus vertrat die Stadt die Auffassung, dass die Bürgerin mit der Abgabe der Anregung eine konkludente Einwilligung erklärt habe, sie sei mit der Veröffentlichung ihrer personenbezogenen Daten einverstanden.

Diese Wertung teilen wir nicht. Für die Einhaltung des Öffentlichkeitsgrundsatzes war in dem vorliegenden Fall zwar die Durchführung einer öffentlichen Sitzung der Gemeindevertretung notwendig. Bereits hinsichtlich der formulierten Anregung der Bürgerin war aber zu prüfen, ob zwingend deren namentliche Benennung in der Sitzung erfolgen musste. Die inhaltliche Befassung mit dieser Anregung konnte unabhängig von der Person der Bürgerin erfolgen: Für die Entscheidungsfindung der Ratsmitglieder war es nicht relevant zu wissen, welche Person diese Anregung abgegeben hat. Die Bürgerin hatte auch keinen Antrag gestellt, über den die Gemeindevertretung hätte entscheiden müssen. Die namentliche Nennung der Bürgerin und in diesem Zusammenhang die Veröffentlichung ihrer personenbezogenen Daten im Internet waren nicht erforderlich gewesen.

Die Anregung der Bürgerin bezog sich zudem auf eine allgemeine kommunale Begebenheit. Auch von einer (konkludent erteilten) Einwilligung konnte nach unserer Auffassung nicht ausgegangen werden. Einer wirksamen Einwilligung hinsichtlich der Veröffentlichung der Anregung nebst namentlicher Nennung im Internet hätte eine angemessene Unterrichtung über den damit verfolgten Zweck vorausgehen müssen. Weiterhin hätte eine Belehrung über die Widerruflichkeit erfolgen müssen. Eine Einwilligung hätte darüber hinaus freiwillig sein müssen, d. h., die Bürgerin hätte eine echte Wahl gehabt haben müssen. Die Anforderungen an eine wirksame Einwilligung waren nicht erfüllt.

Was ist zu tun?
Die Veröffentlichung personenbezogener Daten kann nur dann auf § 35 Abs. 1 Satz 1 der Gemeindeordnung gestützt werden, wenn die Einhaltung des Öffentlichkeitsgrundsatzes dies zwingend erfordert. Bei der Beteiligung von Bürgerinnen und Bürgern ist im Hinblick auf deren Rechte, insbesondere das Recht auf informationelle Selbstbestimmung, ein besonderer Sorgfaltsmaßstab anzusetzen.

 

4.1.6       Benachrichtigung per E-Mail über offenen Verteiler an Ratsmitglieder

Ist die Benachrichtigung von Ratsmitgliedern unter Verwendung eines offenen E-Mail-Verteilers datenschutzrechtlich zulässig? In dem konkreten Fall ging es darum, dass eine Stadt für die Einladung zu einer gemeinsamen öffentlichen Sitzung zweier kommunaler Ausschüsse einen offenen E-Mail-Verteiler verwendete und die Einladungen über die „CC“-Funktion an die Mitglieder verschickte. Bei den E-Mail-Adressen der Empfänger handelte es sich um private E-Mail-Adressen (überwiegend mit Namensbezug) sowie um öffentlich zugängliche E-Mail-Adressen.

Durch die Verwendung eines offenen E-Mail-Verteilers werden die genutzten E-Mail-Adressen für alle Adressaten ersichtlich. Die damit einhergehende Übermittlung der personenbezogenen Daten (E-Mail-Adressen mit Namensbezug) erfordert eine Rechtsgrundlage. Eine gesetzliche Rechtsgrundlage kommt grundsätzlich nicht in Betracht. Sofern die Verwendung des offenen Verteilers auch nicht auf eine Einwilligung gestützt werden kann, ist die Verwendung des offenen Verteilers nicht mit den datenschutzrechtlichen Anforderungen vereinbar.

Etwas anderes kann im Einzelfall gelten, wenn die übermittelten E-Mail-Adressen den Empfängern einander bereits bekannt waren (z. B. durch rechtskonform ausgestaltete Mitgliederlisten, eigene E-Mail-Korrespondenz) oder öffentlich zugänglich sind.

Für das datenschutzkonforme Versenden von EMails an EMail-Verteiler gibt es (neben der Einholung einer Einwilligung) grundsätzlich zwei Möglichkeiten. Zum einen kann eine Mailinglisten-Software genutzt werden, um E-Mails an einen Verteiler zu schicken, ohne dass die Empfänger alle anderen EMail-Adressen mitlesen können. Ein An- und Abmelden von den Verteilern kann dabei den betroffenen Personen ermöglicht werden. Zum anderen können die EMail-Adressen im „BCC“-Feld („Blind Carbon Copy“) eingegeben werden, sodass sie für die Empfänger nicht sichtbar sind.

Was ist zu tun?
E-Mails dürfen nur bei Vorliegen einer Rechtsgrundlage an einen offenen Verteiler versandt werden. Anderenfalls sollte eine Mailinglisten-Software oder die „BCC“-Funktion genutzt werden.

 

4.1.7       Überarbeitungsbedürftige Datenschutzerklärungen auf Webseiten

Die öffentliche Verwaltung nutzt bereits seit vielen Jahren eigene Webseiten für die Informationen der Bürgerinnen und Bürger. Dort stehen vielfach auch ausfüllbare Formulare bereit, es gibt Downloadbereiche, Services zur Terminplanung werden angeboten, und künftig – wie vom Onlinezugangsgesetz gefordert – werden immer mehr digitale Verwaltungsleistungen hinzukommen.

Im Jahr 2020 haben wir begonnen, Datenschutzerklärungen auf den Webseiten von Verwaltungen, insbesondere von Kommunalverwaltungen, in Augenschein zu nehmen. Dabei haben wir festgestellt, dass keine der geprüften Datenschutzerklärungen den Vorgaben der DSGVO im Hinblick auf die dort geforderten Informationen entsprochen hat:

  • Viele Datenschutzerklärungen waren augenscheinlich mit aus dem Internet abrufbaren Mustern „zusammengeklickt“ worden. Die darin enthaltenen Informationen stimmten nicht damit überein, wie tatsächlich personenbezogene Daten über die Webseite verarbeitet wurden. Einerseits wurde so über Verarbeitungen informiert (z. B. angeblich eingebundene Google-Dienste), die gar nicht erfolgten. Andererseits fehlten aber auch Informationen über stattfindende Verarbeitungen.
  • Weiterhin fehlten oft eindeutige Informationen über die Rechte der betroffenen Personen oder es wurde über die Möglichkeit informiert, bestimmte Rechte wahrzunehmen, die nicht zu der Datenverarbeitung durch die Webseite passten.
  • Auf das Beschwerderecht der betroffenen Personen nach Artikel 77 DSGVO wurde häufig nicht hingewiesen.
  • Sofern mittels der Webseiten weitere Funktionalitäten bereitgestellt wurden, die eigene Verarbeitungsvorgänge auslösen, wie z. B. von Fremdanbietern eingebundene Terminplaner oder Kontaktformulare, wurde nicht erläutert, um welche Fremdanbieter es sich handelt und welche Verarbeitungsvorgänge diese vornehmen.
  • Auch die rechtlichen Vorgaben für die Nutzung von Cookies (siehe Tz. 7.2) wurden regelmäßig nicht umgesetzt. Teilweise wurde auf Cookies hingewiesen, die beim Besuch der Webseite gar nicht gesetzt wurden.

Wegen der Häufigkeit der vorgefundenen Missstände haben wir die Vorsitzenden der verschiedenen Arbeitskreise der behördlichen Datenschutzbeauftragten der Städte, Gemeinden und Kreise gebeten, alle in ihren Arbeitskreisen organisierten Datenschutzbeauftragten zu informieren und auf die Notwendigkeit der Überprüfung der Webseiten ihrer Verwaltung hinzuweisen, damit vorhandene Mängel abgestellt werden.

Was ist zu tun?
 Das größere Angebot digitaler Verwaltungsdienstleistungen führt dazu, dass viele Webseiten ausgebaut werden. Dabei ist sicherzustellen, dass die Einbindung solcher Services datenschutzkonform geschieht und die nach Art. 13 Abs. 1 und 2 DSGVO erforderlichen Informationen in der dort geforderten eindeutigen und einfachen Sprache für die betroffenen Personen bereitgestellt werden.
Wir werden unsere Prüfungen von Webseiten der Verwaltung insbesondere in Bezug auf eingebundene Services, Cookies und Datenschutzinformationen fortsetzen.

 

4.1.8       Speicherfristen für Daten auf Meldescheinen

Hintergrund einer Beschwerde war die Verwendung eines (einzigen) Formulars „Meldeschein/Gästekarte“, mit dem Vermieter/Vermittler im touristischen Bereich die erforderlichen Angaben zur Erfüllung der melderechtlichen Vorgaben und zusätzlich im Zusammenhang mit der Kurabgabe erheben sollten. Die Beschwerde führende Person sollte dieses Formular für die Datenerhebung ihrer Gäste verwenden und monierte, dass sie dadurch die Löschverpflichtung für Meldescheine nach § 30 Abs. 4 Satz 1 des Bundesmeldegesetzes nicht einhalten kann. Demnach sind ausgefüllte Meldescheine vom Tage der Anreise der beherbergten Person an ein Jahr aufzubewahren und innerhalb von drei Monaten nach Ablauf der Aufbewahrungsfrist zu vernichten. Von der Kommune habe die Beschwerde führende Person jedoch die Auskunft erhalten, die Formulare seien fünf Jahre aufzubewahren.

§ 30 Abs. 3 Bundesmeldegesetz
Durch Landesrecht kann bestimmt werden, dass für die Erhebung von Fremdenverkehrs- und Kurbeiträgen weitere Daten auf dem Meldeschein erhoben werden dürfen.

Nach § 30 Abs. 3 des Bundesmeldegesetzes kann durch Landesrecht bestimmt werden, dass für die Erhebung von Fremdenverkehrs- und Kurbeiträgen weitere Daten auf dem Meldeschein erhoben werden dürfen. Die Kommune hatte vorliegend hiervon Gebrauch gemacht, indem auf Grundlage einer Satzung über die Erhebung einer Kurabgabe die Abfrage zusätzlicher Angaben erfolgt.

Die Kommune war zunächst fälschlich der Auffassung, dass die bundesrechtliche Löschverpflichtung durch die Erhebung von Angaben bezüglich der Kurabgabe außer Kraft gesetzt wird. Diese Löschverpflichtung bezieht sich auf die Angaben nach § 30 Abs. 2 des Bundesmeldegesetzes. Soweit Angaben in Bezug auf die Kurabgabe betroffen sind, die über diesen Datensatz hinausgehen, mochte gegebenenfalls eine längere Aufbewahrungsfrist in Betracht kommen.

§ 30 Abs. 2 Bundesmeldegesetz
Die Meldescheine enthalten vorbehaltlich der Regelung in Absatz 3 ausschließlich folgende Daten: Datum der Ankunft und der voraussichtlichen Abreise, Familiennamen, Vornamen, Geburtsdatum, Staatsangehörigkeiten, Anschrift, Zahl der Mitreisenden und ihre Staatsangehörigkeit in den Fällen des § 29 Absatz 2 Satz 2 und 3 sowie Seriennummer des anerkannten und gültigen Passes oder Passersatzpapiers bei ausländischen Personen.

Nach den Vorgaben der Satzung zur Erhebung einer Kurabgabe sah die Kommune vor, dass zusätzlich folgende Daten zu sämtlichen bzw. allen „aufgenommenen Personen“ zu erheben sind: Nachweise bezüglich des Grades einer Schwerbehinderung bzw. eine Notiz hierzu, Namen, Vornamen, Heimatanschriften sowie Altersangaben, soweit das 18. Lebensjahr noch nicht vollendet ist. Damit bestand im Vergleich mit den Daten, die für die Ausfüllung der Meldescheine erhoben werden müssen, allenfalls eine marginale Übereinstimmung der Felder im Datensatz.

Die zwingende Löschung der Daten aus den Meldescheinen, die nicht mit den Angaben zur Erhebung der Kurabgabe übereinstimmten, konnte auch nicht mit dem Vorbringen der Kommune entkräftet werden, dass für alle Daten steuerrechtliche Aufbewahrungsfristen gelten würden. Mit der Erhebung der Daten zur Erfüllung melderechtlicher Vorgaben und der Daten in Bezug auf die Kurabgabe in einem einzigen Formular wurde den Vermietern die Löschverpflichtung nach dem Bundesmeldegesetz erschwert.

Nach Eröffnung eines Prüfverfahrens und Erörterung der Rechtslage hat die Kommune im Ergebnis die Erhebungspraxis geändert, sodass die Daten zu den Meldescheinen und zur Kurabgabe getrennt erfasst werden. Auf diese Weise können die Vermieter den Löschpflichten bezüglich der Angaben in den Meldescheinen nachkommen und eine gegebenenfalls längere Aufbewahrung der Daten in Bezug auf die Erhebung der Kurabgabe gewährleisten.

Was ist zu tun?
Der Gedanke, Angaben zu Meldescheinen und Kurabgaben in einem einzigen Formular zu erfassen, mag sich am Ziel orientiert haben, den Vermietern die Erfüllung ihrer gesetzlichen Pflichten zu vereinfachen. Allerdings führte die praktische Umsetzung in diesem Fall zu einer Komplikation für die Vermieter. Die Kommunen sollten vor der Einführung neuer Prozesse daher prüfen, ob mit der beabsichtigten Vereinfachung gesetzliche Vorschriften von den Beteiligten noch eingehalten werden können. Dazu sind insbesondere unterschiedliche Zwecke und Aufbewahrungsfristen in den Blick zu nehmen.

 

4.1.9       Zweitwohnungssteuer und Erhebung von Einkommensteuerdaten

In mehreren Beschwerden wandten sich Bürgerinnen und Bürger an das ULD hinsichtlich der Verwendung von Fragebögen durch die für die Erhebung von Zweitwohnungssteuer zuständigen Behörden.

Begriff: Zweitwohnungssteuer
Bei der Zweitwohnungssteuer handelt es sich um eine örtliche Aufwandsteuer, die auf Grundlage einer Satzung erhoben wird. Dabei wird der Eigengebrauch der Immobilie zunächst vermutet, kann aber von der steuerpflichtigen Person widerlegt werden. Zweitwohnungssteuer wird etwa dann nicht erhoben, wenn eine Vermietung als Ferienwohnung an Dritte erfolgt.

Eine Fremdnutzung der Immobilie muss der Steuerpflichtige belegen. Wurden z. B. Vermietungstage in der Steuererklärung angegeben, so kann gegebenenfalls die Beifügung von Angaben zu den Vermietungszeiten, zu den gezahlten Mietentgelten und zu den Namen der Mieterinnen und Mieter erforderlich sein. Mittels der Fragebögen ermitteln die zuständigen Kommunen die bestehenden Sachverhalte und überprüfen, ob eine Zweitwohnungssteuerpflicht besteht.

Beschwerdegegenstand waren dabei Aufforderungen der Kommunen, zur näheren Prüfung eine Kopie der Anlage V zur Erklärung der Einkommensteuer dem Fragebogen beizufügen. Es bestand die Fragestellung, ob zur Wahrnehmung der behördlichen Aufgaben sämtliche Angaben aus dieser Anlage V erforderlich sind, um die Grundlagen für die Erhebung von Einkommensteuer zu ermitteln. Diese Anlage gibt Aufschluss über die Einkünfte aus Vermietung und Verpachtung. Das Gebot der Erforderlichkeit ergibt sich vor allem aus § 3 des Landesdatenschutzgesetzes.

§ 3 Abs. 1 Landesdatenschutzgesetz
Die Verarbeitung personenbezogener Daten durch öffentliche Stellen ist zulässig, wenn sie zur Erfüllung der in der Zuständigkeit des Verantwortlichen liegenden Aufgabe oder in Ausübung öffentlicher Gewalt, die dem Verantwortlichen übertragen wurde, erforderlich ist.

Die Anlage V zur Einkommensteuererklärung enthält Angaben zu Einkünften aus dem Grundstück, wie z. B. Lage des Grundstücks oder der Eigentumswohnung nebst Anschrift, Nutzungsart, Höhe der Mieteinnahmen für Wohnungen und für andere Räume, Einnahmen für an Angehörige vermietete Wohnungen, Einnahmen aus der Vermietung von Garagen und Werbeflächen, vereinnahmte Umsatzsteuer und vom Finanzamt erstattete oder verrechnete Umsatzsteuer, öffentliche Zuschüsse, Werbungskosten, Anteile an Einkünften wie etwa aus Grundstücksgemeinschaften und Einkünfte aus Untervermietungen. Offensichtlich sind nicht alle diese Daten für den verfolgten Zweck relevant.

Bei der näheren Prüfung wurde nach Anhörung der Kommunen präzisiert, welche Angaben aus der Anlage V zur Überprüfung der Zweitwohnungssteuerpflicht erforderlich sind. Im Ergebnis sind die Werbungskosten bezüglich der Erhaltungsaufwendungen und Fahrtkosten maßgeblich. Informationen vor allem zu Umsatzsteuerangaben, Kosten der Geldbeschaffung und Zinsen haben für die Ermittlung keine Bedeutung.

Die öffentlichen Stellen haben für die Zukunft ihre Fragebögen entsprechend angepasst und erheben fortan nur die erforderlichen Daten.

Was ist zu tun?
Die für die Erhebung der Zweitwohnungssteuerpflicht zuständigen Kommunen sollten ihre Fragebögen überprüfen und den Steuerpflichtigen eine Schwärzung der nicht erforderlichen Informationen ermöglichen. Hierzu sind Hinweise in den Fragebögen hilfreich.

 

4.1.10    Veröffentlichung von Abwägungstabellen in baurechtlichen Verfahren

Im Rahmen einer Beschwerde wurde vorgetragen, dass im Zusammenhang mit einem Bauleitplanverfahren personenbezogene Daten (Namen, Anschriften) mit den jeweiligen Einwendungen von Bürgerinnen und Bürgern in sogenannten Abwägungstabellen im Internet veröffentlicht worden seien. In dem daraufhin gegen die betreffende Stadt eingeleiteten Beschwerdeverfahren stellte sich heraus, dass die Veröffentlichung der Namen und Anschriften der Bürgerinnen und Bürger in der Tabelle entgegen der sonstigen Verfahrensweise (u. a. vorherige Anonymisierung der Daten) der Stadt erfolgte. Nach Bekanntwerden des Vorfalls wurde die Veröffentlichung seitens der Stadt umgehend unterbunden.

Für die Nennung von Namen und Anschriften betroffener Bürgerinnen und Bürger besteht in einem Bauleitverfahren regelmäßig dann keine Berechtigung, wenn die mit der Entscheidung befassten Gremien eine Erörterung und Entscheidungsfindung auch ohne identifizierende Angaben der Bürgerinnen und Bürger durchführen können. Entsprechende Einwendungen von Bürgerinnen und Bürgern in einem Bauleitverfahren sind insoweit grundsätzlich anonymisiert bzw. pseudonymisiert an die Gremien zu übermitteln. Ausnahmen von diesem Grundsatz kann es im Einzelfall nur dann geben, soweit dies für die Entscheidungsfindung (der zu beteiligenden Gremien) erforderlich ist. Dies kann beispielsweise für personenbezogene Angaben zutreffen, auf die die Einwendungen der Bürgerinnen und Bürger gestützt werden (z. B. Beeinträchtigung eines Gewerbebetriebes, Beeinträchtigung als Anwohner nebst Angabe der Anschriften). Es ist daher für die jeweilige personenbezogene Angabe zu prüfen, ob diese für die Gewichtung und Abwägung der Belange erforderlich ist. Dabei ist den Einwendungen von natürlichen Privatpersonen infolge der Anwendbarkeit der Datenschutzvorschriften höheres Gewicht beizumessen als den Einwendungen von Unternehmen zu betriebsbezogenen Gründen.

Für die erfolgte Veröffentlichung der Namen und der Anschriften der betroffenen Bürgerinnen und Bürger in Abwägungstabellen im Internet war keine Rechtsgrundlage ersichtlich. Die Veröffentlichung stand auch nicht mit der Durchführung einer Entscheidungsfindung im Zusammenhang.

Weiterhin wurde mit der Beschwerde vorgetragen, dass die personenbezogenen Daten der betroffenen Bürgerinnen und Bürger an ein Planungsbüro übermittelt worden seien. Die Einbeziehung eines Planungsbüros in einem Bauleitplanverfahren verstößt nicht generell gegen datenschutzrechtliche Vorgaben. Die Behörde hat etwa die Möglichkeit, bei der Verarbeitung personenbezogener Daten die Dienste eines Planungsbüros in Anspruch zu nehmen, was gegebenenfalls im Wege einer Auftragsverarbeitung zulässig ist. Beispielsweise kann ein Planungsbüro mit der Erstellung einer Abwägungstabelle beauftragt werden.

Bei der Erhebung von personenbezogenen Daten, wozu auch Einwendungen gegen bauplanungsrechtliche Vorgaben zählen, sind die Anzuhörenden zu unterrichten. Diese Unterrichtung kann beispielsweise in Form einer amtlichen Bekanntmachung erfolgen, mit der die öffentliche Auslegung bekannt gemacht und der z. B. ein Formblatt hinsichtlich der datenschutzrechtlichen Informationspflichten beigefügt wird.

 

Zurück zum vorherigen Kapitel Zum Inhaltsverzeichnis Zum nächsten Kapitel