Hinweise zur Verarbeitung personenbezogener Daten in Erschließungsbeitragssatzungen
- Überörtliche Datenschutzprüfung bei den Kommunen
- Berufung als Wahlhelfer
- Bürgerbüro
- Feuerwehr
- Kommunale Mandatsträger
- Kurbeitrag
- Veröffentlichungen im Internet
- Wahlwerbung
- Merkblatt für die Nutzung von „WhatsApp“ bei Behörden und sonstigen öffentlichen Stellen in Niedersachsen
- Veröffentlichung von Personenfotografien durch öffentliche Stellen
- Hinweise zur Verarbeitung personenbezogener Daten in Erschließungsbeitragssatzungen
Kommunale Abgaben: Allgemeine datenschutzrechtliche Hinweise zur Verarbeitung personenbezogener Daten in Erschließungsbeitragssatzungen
Rechtslage in Niedersachsen
Die Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung – DS-GVO) genießt als EU-Verordnung gemäß Artikel 288 Absatz 2 Satz 2 des Vertrags über die Arbeitsweise der Europäischen Union Anwendungsvorrang vor nationalen Gesetzen, die eine Verarbeitung personenbezogener Daten regeln.
Gemäß den Vorgaben des Artikels 6 Absatz 1 Satz 1 DS-GVO hat der Verantwortliche einer datenverarbeitenden Stelle bei der Verarbeitung der personenbezogenen oder personenbeziehbaren Daten (pbD) der Betroffenen zu beachten, dass diese zur Erfüllung der Aufgaben der Kommune (hier: Berechnung und Festsetzung der Erschließungsbeiträge) nur verarbeitet werden dürfen, wenn eine Einwilligung der oder des Betroffenen vorliegt oder eine Rechtsgrundlage dies gestattet.
Als Rechtsgrundlagen kommen insoweit Artikel 6 Absatz 1 Satz 1 Buchstabe c oder Buchstabe e DS-GVO in Frage. Diese Rechtsgrundlagen entfalten ihre legitimierende Wirkung jedoch erst in Verbindung mit einer Rechtsgrundlage im Unionsrecht oder im Recht der Mitgliedstaaten (siehe hierzu Artikel 6 Absatz 2 und Absatz 3 Buchstabe b DS-GVO). Im Grundsatz muss nach Artikel 8 Absatz 2 Satz 1 sowie nach Artikel 52 Absatz 1 Satz 1 der Charta der Grundrechte der Europäischen Union jede Beschränkung des Grundrechts auf Schutz personenbezogener Daten durch eine Rechtsgrundlage gerechtfertigt sein. Erwägungsgrund 45 zur DS-GVO stellt klar, dass sowohl Artikel 6 Absatz 1 Buchstabe c als auch Buchstabe e DS-GVO selbst keine Rechtsgrundlage für eine Datenverarbeitung bieten, sondern jeweils eine Rechtsvorschrift voraussetzen, die eine entsprechende rechtliche Verarbeitungsverpflichtung beziehungsweise Verarbeitungsbefugnis auslöst (siehe hierzu Kühling/Buchner/Buchner/Petri, DS-GVO, 3. Auflage 2020, zu § 6 Absatz 1 Buchstabe c, Randnummer 78).
Entsprechend liegen einige spezifische nationale Regelungen zur Datenverarbeitung im Abgabenkontext öffentlicher Stellen vor. Der Bundesgesetzgeber hat unter anderem mit den spezialgesetzlichen Regelungen der Abgabenordnung (AO) und des Baugesetzbuchs (BauGB), der Landesgesetzgeber mit sonstigen bereichsspezifischen kommunal- und steuerrechtlichen Regelungen, zum Beispiel im Niedersächsischen Kommunalverfassungsgesetz (NKomVG) und im Niedersächsischen Kommunalabgabengesetz (NKAG), sowie mit dem Niedersächsischen Datenschutzgesetz (NDSG) hiervon Gebrauch gemacht.
Nach § 1 Absatz 1 Satz 1 Nummer 1 Buchstabe b NDSG sind Kommunen öffentliche Stellen. Auf die bei den Kommunen durchzuführenden Datenverarbeitungen finden unter anderem die Regelungen der DS-GVO sowie die ergänzenden Regelungen des NDSG Anwendung. Zudem ist zu beachten, dass nach § 1 Absatz 6 NDSG die besonderen Rechtsvorschriften über die Verarbeitung personenbezogener Daten den Vorschriften des Ersten Teils des NDSG vorgehen.
Gemäß § 1 Absatz 1 NKAG sind Kommunen grundsätzlich berechtigt, nach Maßgabe des NKAG kommunale Abgaben zu erheben. Nach § 1 Absatz 2 NKAG gilt diese Befugnis unter anderem auch für Beiträge, die von den Kommunen aufgrund anderer Gesetze erhoben werden, soweit diese keine Bestimmungen treffen. Hierzu zählt auch der Erschließungsbeitrag nach § 127 Absatz 1 und § 128 Absatz 2 Satz 1 BauGB in Verbindung mit § 6 NKAG. Nach § 2 Absatz 1 Satz 1 NKAG in Verbindung mit § 10 des NKomVG darf der Erschließungsbeitrag nur aufgrund einer Satzung erhoben werden (Satzungsautonomie). Diese Satzungsbefugnis bezieht sich jedoch lediglich auf die Befugnis, kommunale Abgaben zu erheben.
Vor dem Hintergrund, dass bei den mit der Abgabenerhebung verbundenen Datenverarbeitungen Grundrechte der benannten Personengruppen betroffen sind [siehe Artikel 2 Absatz 1 in Verbindung mit Artikel 1 Absatz 1 des Grundgesetzes (GG): Recht auf informationelle Selbstbestimmung], bedarf es aus Sicht der LfD für Satzungsregelungen der Kommunen zu Datenverarbeitungen ebenfalls einer gesetzlichen Ermächtigung, die sowohl dem Wesentlichkeitsgrundsatz[1] als auch den Anforderungen des Artikels 80 Absatz 1 Satz 2 GG entsprechend umfassend Rechnung trägt. Ich habe das Niedersächsische Ministerium für Inneres und Sport gebeten, eine derartige Rechtsgrundlage zu schaffen.
Im Hinblick auf die durch die Kommunen zur Erfüllung ihrer Aufgaben (hier: Berechnung und Festsetzung des Erschließungsbeitrags) erfolgten konkreten Verarbeitung der pbD der Abgabenpflichtigen können sich die Erlaubnisnormen selbst allein aus den in den Erschließungsbeitragssatzungen aufgenommenen Regelungen ergeben.
Das BauGB sowie das NKAG enthalten zwar – wie geschildert – die Befugnis für die Kommune, die Aufgabe der Erschließungsbeitragserhebung wahrzunehmen, aber keine Regelungen, die die Datenverarbeitung zum Zwecke der Erhebung und Festsetzung von Erschließungsbeiträgen legitimieren.
Die Verarbeitung pbD durch Kommunen kann auch nicht auf die allgemeine Regelung des § 3 NDSG gestützt werden. Zwar wird dort ausgeführt, dass eine Datenverarbeitung zulässig sei, soweit sie zur Erfüllung einer in der Zuständigkeit des Verantwortlichen liegenden Aufgabe, deren Wahrnehmung im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt, die dem Verantwortlichen übertragen wurde, erfolgt (siehe § 3 Absatz 1 Satz 1 Nummer 1 und 2 NDSG). Diese – die Vorgaben des Artikels 6 Absatz Buchstabe e DS-GVO nahezu wiederholende – Regelung ist jedoch mangels konkreter Ausgestaltung zu unbestimmt, als dass sie als Rechtsgrundlage für die in die Grundrechte der Abgabenpflichtigen eingreifende Datenverarbeitung dienen könnte. Nach den Ausführungen der Rechtsprechung bedarf es hierfür einer gesetzlichen Regelung, welche die Datenverwendung auf spezifische Zwecke hinreichend begrenzt[2].
Zu den in den Erschließungsbeitragssatzungen zu benennenden Verarbeitungszwecken werden pbD der beteiligten Personen im Sinne von Artikel 4 Nummer 1 DS-GVO verarbeitet. Danach sind pbD alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.
Hierbei handelt es sich zum Beispiel um die pbD von Beitragspflichtigen im Sinne von § 134 Absatz 1 BauGB in Verbindung mit § 6 Absatz 8 NKAG, wie
- die Namen und Anschriften der Eigentümer des Grundstücks,
- gegebenenfalls Namen und Anschriften des Erbbauberechtigten des Grundstücks,
- gegebenenfalls Namen und Anschriften des Inhabers des dinglichen Nutzungsrechts,
- gegebenenfalls Namen und Anschriften von Wohnungs- und Teileigentümern sowie
[1] siehe hierzu Bundesverfassungsgericht, Beschluss vom 8. August 1978, Aktenzeichen 2 BvL 8/77, BVerfGE 49, 89, sowie Verfassungsgerichtshof des Saarlandes, Beschluss vom 28. August 2020, Aktenzeichen Lv 15/20.
[2] siehe hierzu Bundesverfassungsgericht, Beschluss vom 27. Mai 2020, Aktenzeichen 1 BvR 1873/13, 1 BvR 2618/13.
Betroffenenrechte
Die Informationspflichten für den Verantwortlichen gegenüber den Betroffenen (Beitragspflichtige) ergeben sich unmittelbar aus den Artikeln 12 bis 14 DS-GVO.
Weitere Ausführungen und Hinweise zu den Informationspflichten nach Artikel 12 ff. DS-GVO finden Sie hier:
Verantwortlicher
Die Kommunen müssen die Regelungen in ihren Erschließungsbeitragssatzungen stets auch im Hinblick auf die Vorgaben der DS-GVO prüfen und gegebenenfalls an die aktuelle Rechtslage anpassen.
Bei der Überprüfung der Regelungen der Erschließungsbeitragssatzung im Hinblick auf die datenschutzrechtlichen Anforderungen sind vom Verantwortlichen nach Artikel 4 Nummer 7 DS-GVO die in Artikel 5 Absatz 1 DS-GVO aufgeführten datenschutzrechtlichen Grundsätze zu beachten, insbesondere
- Artikel 5 Absatz 1 Buchstabe a DS-GVO („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“),
- Artikel 5 Absatz 1 Buchstabe b DS-GVO („Zweckbindung“) sowie
- Artikel 5 Absatz 1 Buchstabe c DS-GVO („Datenminimierung“).
Daher sollte in den Erschließungsbeitragssatzungen normenklar geregelt sein, zu welchem Zweck welche konkreten pbD der Betroffenen zu verarbeiten und welche Nachweise für die jeweils genannten pbD vorzulegen sind.
Anforderungen aus technisch organisatorischer Sicht
Der für die Verarbeitung der pbD Verantwortliche hat im Hinblick auf die Interessen sowie Grundrechte und Grundfreiheiten der Betroffenen nach Artikel 5 Absatz 1 Buchstabe f DS-GVO sicherzustellen, dass die pbD der Betroffenen in einer Weise verarbeitet werden, die eine angemessene Sicherheit der pbD gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung („Integrität und Vertraulichkeit“). Er hat unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeiten und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen umzusetzen, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung der pbD der Gäste und sonstiger Dritter gemäß der DS-GVO erfolgt. Dabei hat er insbesondere die ihm nach den Artikeln 5, 24, 25 und 32 DS-GVO obliegenden Pflichten zu technisch-organisatorischen Maßnahmen umzusetzen. Sofern Daten besonderer Kategorien pbD im Sinne von Artikel 9 Absatz 1 DS-GVO verarbeitet werden, bedarf es zudem besonderer Schutzmaßnahmen gemäß den Vorgaben in Artikel 9 Absatz 2 DS-GVO und § 17 Absatz 2 bis Absatz 4 NDSG.
Sofern ein Verantwortlicher nicht selbst über „geeignetes Fachwissen“ bei der Umsetzung der geeigneten und erforderlichen technischen und organisatorischen Maßnahmen verfügt, muss er Dienstleister hinzuziehen, die ihm bei der Bewältigung dieser Aufgaben unterstützen.
Als „Werkzeug“ zur Auswahl technischer und organisatorischer Maßnahmen unterstützt das Standard-Datenschutzmodell.
Es wird ergänzt durch den Prozess zur Auswahl angemessener Sicherungsmaßnahmen (ZAWAS).
Auftragsverarbeitungen nach Artikel 28 DS-GVO
Von Verarbeitung pbD „im Auftrag“ (Auftragsverarbeitungen) spricht man, wenn der Verantwortliche Teilprozesse, die er sonst selbst vornehmen müsste und bei denen pbD verarbeitet werden, an einen externen Dienstleister (= Auftragsverarbeiter im Sinne der Definition des Artikels 4 Nummer 8 DS-GVO) auslagert. Die Verarbeitung der pbD stützt sich auf die dem Verantwortlichen zustehende Rechtsgrundlage nach Artikel 6 Absatz 1 DS-GVO beziehungsweise bei der Verarbeitung von Gesundheitsdaten in Verbindung mit Artikel 9 Absatz 2 DS-GVO. Der Auftragsverarbeiter wird nicht als Dritter (Artikel 4 Nummer 10 DS-GVO) angesehen, sondern „als verlängerter Arm“ des Verantwortlichen (Privilegierung).
Der Verantwortliche (Kommune) muss die Einhaltung der Datenschutzgrundsätze durch Auswahl eines geeigneten Anbieters sicherstellen (siehe Anforderungen gemäß Artikel 28 Absatz 1 DS-GVO, unter anderem bedarf es der Prüfung von Garantien). Er muss entsprechende Anweisungen an den Diensteanbieter erteilen und eigene Vorkehrungen für Kontrollen treffen. Zudem bedarf es des Abschlusses eines Auftragsverarbeitungsvertrags. Der Verantwortliche sollte im Rahmen seiner Informationspflichten auf die Auftragsverarbeitung hinweisen.
Weitere Ausführungen und Hinweise zu Auftragsverarbeitungen nach Artikel 28 DS-GVO finden Sie zum Beispiel hier:
Artikel-Informationen
erstellt am:
20.04.2021