Kommunaler Datenschutz
Fragen und Antworten zur DS-GVO
Die niedersächsischen Kommunen erbringen als lokale Verwaltungseinheiten vor Ort eine Vielzahl von Verwaltungsleistungen für die Bürgerinnen und Bürger, die mit der Verarbeitung unterschiedlichster personenbezogener Daten einhergehen. Dabei stellen sich in der täglichen Praxis häufig Fragen, die einen datenschutzrechtlichen Bezug aufweisen. Die nachfolgenden FAQ geben Antworten auf häufig gestellte Fragen zum Datenschutz im Alltag der kommunalen Praxis und sollen den niedersächsischen Kommunen Unterstützung bieten.
I. Allgemeines
- Welche Vorschriften sind anzuwenden?
- Müssen Kommunen eine/n Datenschutzbeauftragte/n (DSB) bestellen?
- Welche Aufgaben hat eine/ein Datenschutzbeauftragte/r (DSB)?
- Wer trägt die Verantwortung für die Verarbeitung von personenbezogenen Daten in der Kommune?
- Was sind personenbezogene Daten?
- Welche personenbezogenen Daten verarbeitet eine Kommune?
- Was sind besondere Kategorien personenbezogener Daten?
- Was bedeutet Datenverarbeitung?
- Wann ist die Verarbeitung von personenbezogenen Daten erlaubt?
- Wann kann eine Datenverarbeitung auf eine Einwilligung gestützt werden?
- Muss eine Einwilligung schriftlich erteilt werden?
- Was ist das Verzeichnis von Verarbeitungstätigkeiten?
- Was muss in dieses Verzeichnis aufgenommen werden?
- Was ist eine Datenschutz-Folgenabschätzung (DSFA)?
- Wann ist eine DSFA durchzuführen?
- Was ist eine Auftragsverarbeitung?
II. Betroffenenrechte
- Welche Informationspflichten hat die Kommune gegenüber den betroffenen Personen?
- Welche Speicher- und Löschfristen gelten für personenbezogene Daten in Kommunen?
III. Datenschutz in der Ratsarbeit
- Was ist beim Einsatz von Rats- bzw. Bürgerinformationssystemen zu beachten?
- Dürfen Kommunen ein „Livestreaming“ von Ratssitzungen durchführen?
- Wird die Verarbeitung personenbezogener Daten durch ein Ratsmitglied stets der Kommune zugerechnet?
I. Allgemeines
1. Welche Vorschriften sind anzuwenden?
Für die Verarbeitung personenbezogener Daten durch Kommunen finden neben den allgemeinen Bestimmungen der Datenschutz-Grundverordnung (DS-GVO) vor allem das Niedersächsische Datenschutzgesetz (NDSG) sowie spezialgesetzliche Regelungen Anwendung. Es gilt das sogenannte Verbot mit Erlaubnisvorbehalt. Die Verarbeitung personenbezogener Daten ist demnach nur zulässig, wenn das NDSG oder eine andere Rechtsvorschrift dies ausdrücklich vorsieht (vgl. Frage 9). Im Einzelfall kann die Verarbeitung auf die Einwilligung der betroffenen Person gestützt werden (vgl. Frage 10).
2. Müssen Kommunen eine/n Datenschutzbeauftragte/n (DSB) bestellen?
Ja, das ergibt sich aus Artikel 37 Abs. 1 Buchstabe a) DS-GVO. Danach muss jede öffentliche Stelle und damit auch jede Kommune eine bzw. einen DSB bestellen. Die Bestellung hat unabhängig von der Mitarbeiterzahl der öffentlichen Stelle zu erfolgen.
Es ist auch möglich, dass z. B. mehrere kleinere Gemeinden eine gemeinsame bzw. einen gemeinsamen DSB bestellen. Ebenso kann die Aufgabe der bzw. des DSB auf einen externen Dienstleister übertragen werden.
Beachten Sie, dass die Kontaktdaten der/des DSB veröffentlicht werden müssen (zum Beispiel auf der Internetseite der Kommune) und eine Mitteilung an die LfD Niedersachsen erfolgen muss (Art. 37 Abs. 7 DS-GVO). Die Landesbeauftragte für den Datenschutz bietet hierfür einen Online-Service an. Das Meldeportal ist hier erreichbar.
3. Welche Aufgaben hat eine/ein Datenschutzbeauftragte/r (DSB)?
Den DSB obliegen gemäß Art. 39 Abs. 1 DS-GVO u. a. folgende Aufgaben:
- Unterrichtung und Beratung des Verantwortlichen, seiner Auftragsverarbeiter sowie der mit der Verarbeitung personenbezogener Daten befassten Mitarbeiterinnen und Mitarbeiter
- Überwachung der Einhaltung der datenschutzrechtlichen Vorschriften
- Zusammenarbeit mit der Datenschutzaufsichtsbehörde,
Eine weitere wichtige Aufgabe der DSB besteht darin, dass sie auf der örtlichen Ebene als Ansprechpartnerin bzw. Ansprechpartner für Fragen des Datenschutzes zur Verfügung stehen. Artikel 37 Abs. 7 DS-GVO sieht daher die Veröffentlichung der Kontaktdaten der bzw. des DSB vor. Bürgerinnen und Bürger, die sich durch die öffentliche Stelle in ihrem Recht auf informationelle Selbstbestimmung verletzt fühlen, können sich direkt an die bzw. den DSB wenden. Dasselbe gilt für die Bediensteten der Behörde sowie für Ratsmitglieder.
4. Wer trägt die Verantwortung für die Verarbeitung von personenbezogenen Daten in der Kommune?
Der Hauptverwaltungsbeamte bzw. die Hauptverwaltungsbeamtin ist für die Einhaltung der Vorschriften bezüglich der Verarbeitung personenbezogener Daten innerhalb der Kommune verantwortlich.
5. Was sind personenbezogene Daten?
Gemäß Art. 4 Nr. 1 DS-GVO sind dies alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (sogenannte betroffene Person) beziehen. Solange ein Rückschluss auf eine Person möglich ist, gelten Daten als personenbezogene Daten.
6. Welche personenbezogenen Daten verarbeitet eine Kommune?
Die Kommune verarbeitet vornehmlich personenbezogene Daten von Bürgerinnen und Bürgern sowie von eigenen Beschäftigten,
wie z.B.:
- vollständiger Name
- Anschrift
- Kontaktdaten
- Steuerdaten
- Personalausweisdaten
7. Was sind besondere Kategorien personenbezogener Daten?
Besondere Kategorien personenbezogener Daten werden auch als sensible Daten bezeichnet. Dabei handelt es sich um Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgeht sowie genetische oder biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person (vgl. Art. 9 Abs. 1 DS-GVO). Diese personenbezogenen Daten unterliegen einem grundsätzlichen Verarbeitungsverbot und dürfen nur unter besonderen Voraussetzungen verarbeitet werden (vgl. Art. 9 Abs. 2 DS-GVO).
8. Was bedeutet Datenverarbeitung?
Nach Art. 4 Nr. 2 DS-GVO ist Datenverarbeitung das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung, das Abgleichen oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung personenbezogener Daten.
9. Wann ist die Verarbeitung von personenbezogenen Daten erlaubt?
Eine Verarbeitung von personenbezogenen Daten ist nur zulässig, wenn eine Rechtsvorschrift dies erlaubt oder die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat.
Die nachfolgende Übersicht listet die Rechtsgrundlagen auf, die in den jeweiligen Bereichen am häufigsten zur Anwendung kommen. Sie ist nicht abschließend.
- Ausländerrecht: §§ 86 ff. Aufenthaltsgesetz, §§ 61a – 76a Aufenthaltsverordnung (insbesondere §§ 63, 67 AufenthV)
- Asylrecht: §§ 7, 8 Asylgesetz
- Beschäftigtendatenschutz: § 88 Nds. Beamtengesetz und § 12 NDSG
- Gewerberecht: § 11 Gewerbeordnung
- Melderecht: §§ 3, 24, 33 - 52 Bundesmeldegesetz
- Öffentliches Gesundheitswesen: §§ 12, 16, 20, 23a, 25, 27, 28a, 30 Infektionsschutzgesetz
- Passrecht: §§ 16 - 18 Paßgesetz (PaßG), §§ 22-22a PaßG
- Personalausweisrecht: §§ 14-20 Personalausweisgesetz (PauswG) sowie §§ 23-26 PauswG
- Personenstandsrecht: §§ 5, 15, 21, 31 Personenstandsgesetz
- Sozialrecht: Grundlegende Regelungen finden sich in § 35 Sozialgesetzbuch I (SGB) sowie §§ 67 ff. SGB X – in den übrigen SGB finden sich weitergehende Regelungen, die berücksichtigt werden müssen, so zum Beispiel für den Bereich Kinder- und Jugendhilfe in §§ 61 ff. SGB VIII.
- Wahlrecht: § 11 Nds Kommunalwahlgesetz
10. Wann kann eine Datenverarbeitung auf eine Einwilligung gestützt werden?
Grundsätzlich stützt sich die Verarbeitung personenbezogener Daten durch öffentliche Stellen auf gesetzliche Rechtsgrundlagen. Die Verarbeitung personenbezogener Daten auf Einwilligungsbasis ist die Ausnahme und ist nur in besonderen Konstellationen möglich.
Art. 7 und 8 DS-GVO enthalten Bedingungen für die Einwilligung. Sie muss informiert erfolgen, d.h., der betroffenen Person muss bekannt sein, zu welchem Zweck sie erteilt wird und wozu die Daten genutzt werden.
Des Weiteren muss ein Hinweis auf die Widerrufsmöglichkeit für die Zukunft enthalten sein und die Einwilligung muss freiwillig erfolgen. Die Freiwilligkeit setzt voraus, dass die betroffenen Personen die Einwilligung verweigern können, ohne Nachteile zu erleiden (vgl. Erwägungsgrund 42 und Art. 7 Abs. 4 DS-GVO). Um die Freiwilligkeit zu gewährleisten, können der betroffenen Person Alternativen angeboten werden. Da die Kommune bei der Verarbeitung personenbezogener Daten regelmäßig in einem sogenannten Über-/ Unterordnungsverhältnis zu der betroffenen Bürgerin bzw. dem betroffenen Bürger steht, muss anhand aller Umstände geprüft werden, ob die Einwilligung freiwillig erteilt wurde (vgl. Erwägungsgrund 43 zur DS-GVO).
Eine wirksame Einwilligung stellt zum Beispiel die Einwilligung in die Anfertigung von Fotografien im Rahmen der Öffentlichkeitsarbeit der Kommune oder im Zusammenhang kommunaler Feste, Ehrungen oder Preisverleihungen dar.
11. Muss eine Einwilligung schriftlich erteilt werden?
Die Kommune muss im Zweifel nachweisen können, dass die betroffene Person in die Verarbeitung eingewilligt hat (Art. 7 Abs. 1 DS-GVO). Daher ist es ratsam, Einwilligungen nur schriftlich einzuholen. Im Falle der Verarbeitung besonderer Kategorien personenbezogener Daten auf Einwilligungsbasis setzt Art. 9 Abs. 2 Buchstabe a) eine ausdrückliche Einwilligung voraus. In diesem Fall bedarf es stets einer schriftlichen Einwilligung.
12. Was ist das Verzeichnis von Verarbeitungstätigkeiten?
Das Verzeichnis von Verarbeitungstätigkeiten (VVT) dient als wesentliche Grundlage für eine strukturierte Datenschutzdokumentation und hilft dem Verantwortlichen dabei, gemäß Art. 5 Abs. 2 DS-GVO nachzuweisen, dass die Vorgaben aus der DS-GVO eingehalten werden (Rechenschaftspflicht). Im VVT müssen alle Verarbeitungstätigkeiten beschrieben werden, die in der Kommune durchgeführt werden. Die Inhalte des VVT sind gesetzlich vorgeschrieben und finden sich in Art. 30 DS-GVO.
13. Was muss in dieses Verzeichnis aufgenommen werden?
Jede Verarbeitungstätigkeit muss sich im Verzeichnis von Verarbeitungstätigkeiten wiederfinden. Dabei sind bezüglich jeder Verarbeitungstätigkeit der Name und die Kontaktdaten des Verantwortlichen sowie des Datenschutzbeauftragten, der Zweck der Verarbeitung, eine Beschreibung der Kategorien der betroffenen Personen, der verarbeiteten personenbezogenen Daten, etwaiger Empfänger der personenbezogenen Daten im Falle einer Übermittlung, etwaige Drittlandsübermittlungen, Löschfristen sowie eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Art. 32 Abs. 1 DS-GVO aufzuführen.
14. Was ist eine Datenschutz-Folgenabschätzung (DSFA)?
Die DSFA (Art. 35 DS-GVO) dient der Bewertung von Risiken, die durch die Verarbeitung personenbezogener Daten entstehen und zu einer Rechtsverletzung der betroffenen Personen führen können. Sie befasst sich insbesondere mit Abhilfemaßnahmen, durch die der Schutz personenbezogener Daten sichergestellt und die Einhaltung der Verordnung nachgewiesen werden kann (Art. 35 Abs. 1, 7 DS-GVO).
15. Wann ist eine DSFA durchzuführen?
Die DSFA ist durchzuführen, wenn die Form der Verarbeitung auf Grund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat.
Eine Auflistung mit Verarbeitungstätigkeiten, für die in jedem Fall eine DSFA durchzuführen ist, finden Sie hier.
16. Was ist eine Auftragsverarbeitung?
Eine datenverarbeitende öffentliche Stelle (hier: die Kommune) beauftragt einen Dritten (Auftragsverarbeiter (AV)) personenbezogene Daten für sie weisungsgebunden zu verarbeiten (vgl. Art. 28 DS-GVO). Der AV wird nur als „verlängerter Arm“ der Kommune tätig. In diesem Fall bedarf es für die Übermittlung personenbezogener Daten von der Kommune an den AV keiner Rechtsgrundlage. Hat der AV einen eigenen Entscheidungsspielraum bzgl. des „Ob“ oder „Wie“ der Datenverarbeitung, liegt keine Auftragsverarbeitung vor.
Ein Bespiel für eine Auftragsverarbeitung ist die Auslagerung der eigenen Datenhaltung auf Servern einer anderen Stelle.
Eine Auftragsverarbeitung setzt zudem einen schriftlichen Vertrag zwischen der Kommune und dem AV voraus. Die Mindestinhalte dieses Vertrags sind in Art. 28 Abs. 3 DS-GVO aufgeführt.
II. Betroffenenrechte
1. Welche Informationspflichten hat die Kommune gegenüber den betroffenen Personen?
Der Grundsatz der Transparenz bei der Verarbeitung personenbezogener Daten in Art. 5 Abs. 1 Buchstabe a) DS-GVO wird durch eine ganze Reihe von Informationspflichten des Verantwortlichen gegenüber der betroffenen Person konkretisiert.
Die zentralen Informationspflichten in Art. 13 und 14 DS-GVO enthalten jeweils einen Katalog mit Pflichtinhalten für die Information je nach Art der Datenverarbeitung. Art. 12 DS-GVO enthält außerdem allgemeine Anforderungen an die Zugänglichkeit und Verständlichkeit der Information.
Die wichtigsten weiteren Informationspflichten sind:
- Information über Widerrufsrecht bei der Einwilligung (Art. 7 Abs. 3 DS-GVO),
- Informationspflicht bei Erhebung der Daten bei der betroffenen Person (Art. 13 Abs. 1 DS-GVO),
- Informationspflicht, wenn die Daten nicht bei der betroffenen Person erhoben werden (Art. 14 Abs. 1),
- Informationspflicht bei Zweckänderung (Art. 13 Abs. 3 DS-GVO und Art. 14 Abs. 4 DS-GVO),
- Benachrichtigungspflicht bei Datenschutzverletzungen (Art. 34 DS-GVO),
- Veröffentlichung der Kontaktdaten des Datenschutzbeauftragten (Art. 37 DS-GVO).
2. Welche Speicher- und Löschfristen gelten für personenbezogene Daten in Kommunen?
Art. 17 DS-GVO regelt das Recht der betroffenen Person auf Löschung ihrer personenbezogenen Daten, wenn einer der dort genannten Gründe vorliegt (Beispiel: Die Daten sind für den Zweck, zu dem sie verarbeitet wurden, nicht mehr erforderlich.). Allerdings sind bestehende gesetzliche Aufbewahrungsfristen zu berücksichtigen.
III. Datenschutz in der Ratsarbeit
1. Was ist beim Einsatz von Rats- bzw. Bürgerinformationssystemen zu beachten?
Tagesordnungen, Vorlagen und amtliche Niederschriften öffentlicher Sitzungen werden im Rahmen der gesetzlichen Vorgaben von den Kommunen veröffentlicht. Im Rahmen der Abwicklung des Sitzungsdienstes arbeiten viele Kommunen mit Rats- und Bürgerinformationssystemen. Die Ratsinformationssysteme sind geschlossene Systeme, auf welche nur die Rats- bzw. Ausschussmitglieder Zugriff haben. Ihre Nutzung ist daher aus datenschutzrechtlicher Sicht unproblematisch. Die Bürgerinformationssysteme hingegen sind öffentliche Systeme, auf die jedermann online zugreifen kann. Die dort eingestellten Unterlagen dürfen deshalb keine personenbezogenen Daten enthalten. Erforderlichenfalls sind die Unterlagen zu anonymisieren.
2. Dürfen Kommunen ein „Livestreaming“ von Ratssitzungen durchführen?
Einige Kommunen möchten öffentliche Sitzungen im Internet über ihre Webseite oder auf örtlichen TV-Sendern übertragen lassen. Im Zuge dieser Übertragungen werden personenbezogene Daten verarbeitet. In Niedersachsen findet sich die Rechtsgrundlage für die Übertragung von Bild- und Tonaufnahmen der Sitzung der Vertretung in § 64 Absatz 2 Satz 2 NKomVG. Demnach sind Bild- und Tonaufnahmen von Mitgliedern der Vertretung mit dem Ziel der Berichterstattung zulässig, wenn die Hauptsatzung der Kommune eine entsprechende Regelung enthält. Aus datenschutzrechtlicher Sicht ist insbesondere zu beachten, dass keine Aufnahmen von Personen gemacht werden, die nicht Mitglieder der Vertretung sind, also zum Beispiel von Zuschauerinnen und Zuschauern der Ratssitzungen.
Von diesen Personen muss immer vor Beginn der Bild- und/ oder Tonaufnahmen eine Einwilligung eingeholt werden. Doch auch die Mandatsträgerinnen und Mandatsträger haben die Möglichkeit zu verlangen, dass ihre Redebeiträge nicht im Internet bzw. im Fernsehen übertragen werden (§ 64 Abs. 2 Satz 3 NKomVG).
3. Wird die Verarbeitung personenbezogener Daten durch ein Ratsmitglied stets der Kommune zugerechnet?
Sofern ein Ratsmitglied personenbezogene Daten im Rahmen der Ratstätigkeit verarbeitet, wird dies dem Rat und somit der Kommune zugerechnet.
Abzugrenzen hiervon ist der Fall, in dem ein Ratsmitglied offenkundig privat oder im Rahmen seiner Tätigkeit als Parteimitglied (z.B. im Rahmen des Wahlkampfes) personenbezogene Daten verarbeitet. In diesem Fall wird das Handeln nicht der Kommune zugerechnet, sondern dem Ratsmitglied als Privatperson.