Datenweitergabe bei Beteiligung privatrechtlicher Unternehmen an kommunaler Bauleitplanung
Im Berichtszeitraum wandten sich zwei Petenten zu demselben Problemkreis an die Datenschutzbehörde. Sie hätten sich (neben anderen Gemeindebürgerinnen und -bürgern) im Auslegungsverfahren eines vorhabenbezogenen Bebauungsplans beteiligt und Einwendungen gegen das Vorhaben eingebracht. Es sollte eine Fabrik erweitert werden. Die Anwohnerinnen und Anwohner befürchten hierdurch steigende Emissionen und exzessive Nutzung der Zufahrtsstraße, die durch ihre Siedlung führt, durch Lkw. Die Datenschutzbeschwerde richtete sich nun dagegen, dass die federführende Gemeinde ungefragt ihre personenbezogenen Daten an ein Planungsbüro und etwaig an den Vorhabenträger (bzw. dessen Rechtsanwalt) weitergereicht habe. Die Petenten seien stutzig geworden, da sie zu ihren Einwendungen Schreiben nicht von der Gemeinde selbst, sondern von dem Planungsbüro erhalten haben.
Zur Stellungnahme, teilte die betroffene Gemeinde mit, dass sie von der gesetzlich vorgegebenen Möglichkeit, private Dienstleister in dem Bauleitverfahren zu beteiligen, Gebrauch gemacht hat, § 4b Baugesetzbuch (BauGB). Das Vorhaben wäre durch einen städtebaulichen Vertrag nach § 11 BauGB mit dem Investor gesichert, der ebenfalls die Beteiligung des Planungsbüros vorsieht. Die Architekten seien durch diesen unter anderem zur Erarbeitung der Planunterlagen und Auswertung der Beteiligungen berufen. Dass das Planungsbüro an dem Vorhaben beteiligt ist, sei auch aus den Auslegungsunterlagen ersichtlich, sodass im Rahmen der Bürgerbeteiligung an dem Bauleitplan damit zu rechnen war, dass die personenbezogenen Daten der Bürgerinnen und Bürger auch an dieses weitergereicht werden. Hierüber seien auch die Bürgerinnen und Bürger mit entsprechenden Aushängen gemäß der Art. 13, 14 Datenschutz-Grundverordnung (DSGVO) informiert worden. Durch diese Legitimationskette sah die Gemeinde die Datenweitergabe an das Planungsbüro als rechtmäßig an.
Hierbei musste die Datenschutzbehörde der Gemeinde widersprechen. Es ist zunächst durchaus richtig, dass aus bauplanungsrechtlicher Sicht die Beteiligung von privaten Dritten gesetzlich zulässig und mitunter auch vorgesehen ist. Wenn hierbei aber personenbezogene Daten von Bürgerinnen und Bürgern verarbeitet werden sollen, bedarf es hierzu einer expliziten Rechtsgrundlage. Eine Verarbeitung auf Grundlage der Einwilligung gemäß Art. 6 Abs.1 Buchst. a DSGVO kann indes bereits deswegen nicht in Betracht kommen, da hierfür die notwendige Freiwilligkeit nicht gewährleistet sein kann: Es kann durchaus sein, dass sich Bürgerinnen und Bürger von der Eingabe ihrer Einwendungen abgehalten fühlen, wenn dies nur mit Weitergabe ihrer Daten an Dritte erfolgen könne.
Da das beauftragte Planungsbüro zudem keine öffentliche Stelle und insbesondere auch kein Beliehener, sondern lediglich ein sogenannter Verwaltungshelfer sein kann, ist auch der Anwendungsbereich des Sächsischen Datenschutzdurchführungsgesetzes (SächsDSDG) nicht eröffnet. Nach § 2 Abs. 1 Satz 2 SächsDSDG wird ein Beliehener als öffentliche Stelle behandelt, insoweit an ihn hoheitliche Aufgaben übertragen worden sind. Dem Planungsbüro werden aber gerade keine hoheitlichen Aufgaben übertragen. Diese Norm verleiht der Gemeinde vielmehr ein Recht, bestimmte Bereiche der Bauleitplanung zur Beschleunigung des Verfahrens auszulagern bzw. zu privatisieren. Anders ausgedrückt: Die Privatisierung der für die Bauleitplanung erforderlichen Schritte und Vorbereitungstätigkeiten wird durch die Norm ermöglicht, nicht etwa vorgeschrieben. Die Verwaltungsaufgabe „Bauleitplanung“ verbleibt bei der Gemeinde, diese behält die Verantwortung für sämtliche Verfahrensabschnitte, das Planungsbüro nimmt die Stellung des Verwaltungshelfers ein.
Somit ist auch der Anwendungsbereich des SächsDSDG – der die Datenverarbeitung durch öffentliche Stellen regelt – nicht eröffnet, eine Ermächtigungsnorm kann sich für die Datenübermittlung an das Planungsbüro hieraus nicht ergeben.
Somit verbleibt für die Gemeinde nur noch die Möglichkeit, mit dem Planungsbüro einen Vertrag zur Auftragsverarbeitung nach den Regeln des Art. 28ff. DSGVO abzuschließen. Dies ist auch datenschutzrechtlich zulässig, denn das Planungsbüro verfolgt bei der Verarbeitung keine eigenen Zwecke außer der Erbringung einer Dienstleistung gegenüber der Gemeinde und auf der Grundlage dokumentierter Weisungen – sie verfolgt mit der Verarbeitung somit keinen eigenen, selbstständigen Zweck. Zudem muss das Planungsbüro bei der Verarbeitung der Daten durch die Gemeinde überwacht werden. Ich habe der Gemeinde daher empfohlen, mit dem Planungsbüro einen Vertrag zur Auftragsverarbeitung abzuschließen, da ansonsten die Rechtmäßigkeit der Datenverarbeitung nicht gegeben ist.
In dem Vertrag sind die rechtliche Bindung des Auftragsverarbeiters an den Verantwortlichen, der Gegenstand und die Dauer der Verarbeitung, Art und Zwecke der Verarbeitung, die Art der personenbezogenen Daten und die Kategorien von betroffenen Personen festzulegen, Art. 28 Abs. 3 DSGVO (sogenannter Mindestgehalt eines Auftragsverarbeitungsvertrages). Zudem sind in dem Vertrag vom Auftragsverarbeiter Garantien einzuholen, dass seinerseits geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen der DSGVO erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet, Art. 28 Abs. 5 DSGVO. Die Gemeinde als Verantwortlicher und das Planungsbüro als Auftragsverarbeiter bilden für Ansprüche betroffener Personen nach der DSGVO eine Gesamtschuldnerschaft, beide haften gegenüber der betroffenen Person bei Verstößen gegen die Datenschutzvorschriften.
Auch wurde der Gemeinde mitgeteilt, dass, sollten zudem Daten der betroffenen Bürgerinnen und Bürger auch an den Vorhabenträger selbst bzw. dessen anwaltlichen Vertreter erfolgen, dies ebenfalls nur nach den oben beschriebenen Grundsätzen im Rahmen einer Auftragsdatenverarbeitung möglich und zulässig wäre.
Auftragsverarbeitungsvertrag, Auftragsverarbeitung und Verpflichtungsgesetz
Ein Landratsamt hatte einem Auftragsverarbeiter Zugriff auf personenbezogene Daten beziehungsweise Gesundheitsdaten in der Cloud des Landratsamtes gewährt. Konkret betraf die Auftragsverarbeitung vorgelagerte Tätigkeiten des Gesundheitsamtes in Bezug auf die Aufgabe gemäß § 16 Abs. 1 Infektionsschutzgesetz (IfSG), die notwendigen Maßnahmen zur Abwendung der dem Einzelnen oder der Allgemeinheit drohenden Gefahren durch das Coronavirus zu treffen. Es handelte sich um Tätigkeiten wie die Erfassung der Daten von Erkrankten und die Ermittlung von Kontaktpersonen. Der Zugriff war Gegenstand des abgeschlossenen Auftragsverarbeitungsvertrags. Dies wurde der Behörde im Zuge einer Beschwerde eines Betroffenen bekannt, der in Zweifel zog, dass eine private Stelle im Auftrag der Behörde diese Aufgabe wahrnehmen darf. Hoheitliche Tätigkeiten können ohne gesetzliche Regelung (Beleihung) nicht von privaten Stellen ausgeübt werden. Öffentliche Aufgaben nichthoheitlicher Art können grundsätzlich ganz oder teilweise auch von privaten oder anderen Stellen durchgeführt werden.
Es lag keine Vollübertragung der hoheitlichen Aufgaben des Gesundheitsamts des Landratsamtes im Rahmen des IfSG, insbesondere keine Erstellung von Bescheiden an den Auftragsverarbeiter, vor. Bei der übertragenen Tätigkeit handelte es sich um eine nichthoheitliche Aufgabe. Im Lichte des Umfangs der Auslagerung einer vorgelagerten Tätigkeit wurde die Auftragsverarbeitung von mir noch für zulässig erachtet und daher nicht beanstandet.
Beim Abschluss eines Auftragsverarbeitungsvertrags durch eine Behörde, beispielsweise durch ein Landratsamt, ist darauf zu achten, ob für die Wahrnehmung der Aufgabe seitens des Auftragsverarbeiters eine Verpflichtung gemäß dem Verpflichtungsgesetz vorzunehmen ist (vgl. hierzu: Arbeitspapier des Bayerischen Beauftragten für den Datenschutz).
Die öffentliche Stelle sollte die förmliche Verpflichtung immer dann erwägen, wenn sie externen Personen einen tatsächlichen Zugang zu personenbezogenen Daten eröffnet, der nicht einer Vorabkontrolle im Einzelfall (durch eine entsprechende zugangsgewährende Entscheidung) unterliegt. Dies gilt insbesondere dann, wenn es sich um Daten im Sinne von Art. 9 Abs. 1 Datenschutz-Grundverordnung (DSGVO) handelt. Soll ein nichtöffentlicher Auftragsverarbeiter für eine verpflichtungsberechtigte öffentliche Stelle besondere Kategorien personenbezogener Daten verarbeiten, sollte diese Stelle vertraglich den Einsatz von förmlich verpflichtetem Personal fordern. Dies gilt auch dann, wenn Unter-Auftragsverarbeiter Zugang zu personenbezogenen Daten erhalten sollen oder können. Die Verpflichtung ist von der verpflichtungsberechtigten öffentlichen Stelle durchzuführen.
Das Landratsamt wurde aufgefordert, dies bei künftigen Auftragsverarbeitungsverträgen zu beachten.
Was ist zu tun?
Schließt eine öffentliche Stelle mit einem nichtöffentlichen Auftragsverarbeiter einen Auftragsverarbeitungsvertrag ab, durch den dieser Zugang zu personenbezogenen Daten beziehungsweise Gesundheitsdaten erhält, so hat diese darauf zu achten, dass bei den Beschäftigten des Auftragsverarbeiters eine Verpflichtung nach dem Verpflichtungsgesetz erfolgt.
Quelle: SDTB Sachsen
Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:
- Ombudsstelle und Hinweisgebersystem für Hinweisgeber:innen (Whistleblower)
- Tragbarer Tresor für die Reise zum Schutz von Wertsachen
- Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
- Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
- Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
- Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
- Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen
- Aufsichtsbehörde empfiehlt Buch: DSGVO /ePrivacy auf Websites umsetzen
- Recht im Online-Marketing: So schützen Sie sich vor Fallstricken zur DSGVO
Dieser Absatz enthält Affiliatelinks/Werbelinks