Vor einiger Zeit hatte die Datenschutzbehörde einen Hinweis erhalten, dass eine Firma mit Sitz in Baden-Württemberg im Rhein-Neckar-Kreis Daten über Katzenhalter sammele und diese Daten an öffentliche Stellen herausgebe. Hintergrund für die Datensammlung war, dass ein baden-württembergisches Landratsamt im Zusammenhang mit einer vom Aussterben bedrohten Vogelart eine Allgemeinverfügung erlassen hat. Nach dieser ist in einem bestimmten Bereich der Gemarkung einer Stadt innerhalb eines bestimmten Zeitraumes der Freigang von Katzen grundsätzlich durch die Halter zu unterbinden, da die Katzen einen bedeutenden Gefährdungsfaktor insbesondere auch für die noch flugunfähigen Jungvögel der vom Aussterben bedrohten Vogelart darstellen. Für den Fall der Zuwiderhandlung wurde ein Zwangsgeld angedroht.
Die Stadt ihrerseits hat sodann mit dem Monitoring der Vogelpopulation einen privaten Dienstleister beauftragt, damit sich der Erhaltungszustand der Population nicht verringert. Teil der Nestschutzmaßnahmen durch den privaten Dienstleister waren dabei das Monitoring und die Kontrolle von Prädatoren wie Rabenvögel und Freigängerkatzen. Im Rahmen des Monitorings wurden durch die
Firma auch personenbezogene Daten von Katzenbesitzer verarbeitet und sowohl an die Stadt als auch an das Landratsamt weitergegeben.
Die zuständige Datenschutzaufsichtsbehörde hat insbesondere geprüft, wer der für die Verarbeitung personenbezogener Katzenhalterdaten Verantwortliche im Sinne der DSGVO ist und ob für die entsprechende Verarbeitung eine einschlägige Rechtsgrundlage vorliegt.
Ein zentraler Grundsatz der DSGVO ist es, dass die datenschutzrechtlichen Verantwortlichkeiten bei der Verarbeitung personenbezogener Daten klar bestimmt sein müssen. Der Erwägungsgrund 79 stellt hierbei ausdrücklich klar, dass es zum Schutz der Rechte und Freiheiten der betroffenen Personen sowie bezüglich der Verantwortung und Haftung der Verantwortlichen und der Auftragsverarbeiter einer klaren Zuteilung der Verantwortlichkeiten bedarf. Insoweit trägt der Verantwortliche nach Artikel 24 Abs. 1, Artikel 25 Abs. 1, Artikel 5 Abs. 2 DSGVO die Verantwortung und Rechenschaft dafür, dass die Vorgaben der DSGVO eingehalten und die Betroffenenrechte hinreichend gewährleistet werden. Gleichzeitig ist der Verantwortliche bei Missachtung eben dieser Vorgaben Adressat aufsichtsrechtlicher Maßnahmen. Gerade bei der Zusammenarbeit mehrerer unterschiedlicher Stellen muss im Zusammenhang mit der Verarbeitung von personenbezogenen Daten sichergestellt und jederzeit für alle Mitwirkenden erkennbar sein, wer für die konkrete Datenverarbeitung verantwortlich ist und wer als Auftragsverarbeiter lediglich eine weisungsgebundene Hilfsfunktion wahrnimmt.
In der Praxis kann die Zuordnung der Verantwortlichkeiten allerdings mitunter Schwierigkeiten bereiten, insbesondere dann, wenn sich mehrere Akteure mit unterschiedlichen Beiträgen an der Datenverarbeitung beteiligen. Dann muss geklärt werden, wer über die Zwecke und Mittel der Datenverarbeitung entscheidet, mithin Verantwortlicher nach Artikel 4 Nummer 7 DSGVO ist. Zur Klärung dieser Frage wurden Stellungnahmen verschiedener Stellen eingeholt. Nach Abschluss der Ermittlungen und Berücksichtigung der eingeholten Stellungnahmen wurde davon ausgegangen, dass die Verantwortlichkeit bei dem Landratsamt und der Stadt lag. Der private Dienstleiter nahm auf Grundlage der Sachverhaltsdarstellungen mit dem Monitoring hingegen nur eine datenschutzrechtliche Hilfsfunktion wahr und wurde daher als Auftragsverarbeiter eingestuft. Insoweit bedurfte es zwischen dem Verantwortlichen und dem Auftragsverarbeiter eines Auftragsverarbeitungsvertrages nach Artikel 28 Abs. 3 Satz 1 DSGVO, welcher im konkreten Fall allerdings nicht vorgelegt werden konnte.
In Fällen einer zulässigen Übertragung von hoheitlichen Aufgaben an einen privaten Dienstleister muss nämlich, da über die Zwecke und Mittel der Datenverarbeitung nicht der private Dienstleister, sondern die jeweilige öffentliche Stelle selbst entscheidet, durch jede verantwortliche Stelle ein schriftlicher Auftragsverarbeitungsvertrag mit dem privaten Dienstleister geschlossen werden.
In Konstellationen mit unterschiedlichen verantwortlichen Stellen, gerade auch im Zusammenwirken von öffentlichen Stellen und privaten Dienstleistern, muss neben der Prüfung, ob eine Rechtsgrundlage für die Verarbeitung der personenbezogenen Daten vorhanden ist und die hoheitliche Aufgabe überhaupt an einen privaten Dienstleister übertragen werden kann, immer zwingend vor der Datenverarbeitung geprüft
werden, ob Auftragsverarbeitungsverträge geschlossen werden müssen, was in solchen Konstellationen regelmäßig der Fall ist. Es ist Aufgabe des Verantwortlichen, eben dies sicherzustellen und hinreichend zu dokumentieren. Die Datenschutzbehörde hat beteiligten Stellen hierauf hingewiesen und erwartet, dass entsprechende Maßnahmen zukünftig ergriffen werden.
Quelle: LfDI BW
Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:
- Ombudsstelle und Hinweisgebersystem für Hinweisgeber:innen (Whistleblower)
- Datenschutz und IT-Compliance: Das Handbuch für Admins und IT-Leiter
- Tragbarer Tresor für die Reise zum Schutz von Wertsachen
- Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
- Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
- Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
- Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
- Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen
Dieser Absatz enthält Affiliatelinks/Werbelinks