Nutzung privater E-Mails im Gemeinderat
Bereits kurz nach Wirksamwerden der DSGVO hat die Datenschutzaufsicht Baden-Württemberg in ihrer Broschüre „Datenschutz bei Gemeinden“ auf die Schwierigkeiten bei der Verwendung von privaten E-Mail-Adressen durch Mitglieder von Gemeinderäten hingewiesen. Doch noch immer erreichen die Behörde Hinweise und Beschwerden von Bürger_innen zu diesem Thema. Das Problem: Bei der Tätigkeit als Gemeinderatsmitglied ist die Gemeinde für die Verarbeitungen von personenbezogenen Daten durch die Ratsmitglieder verantwortlich. Doch wie soll die Gemeinde die Rechtmäßigkeit sicherstellen, wenn die Daten bei privaten E-Mailprovidern liegen?
Mitglieder des Gemeinderats sind ehrenamtlich tätig. Im Amt entscheiden sie nach ihrer freien, nur durch das öffentliche Wohl bestimmten Überzeugung. Ähnlich dem freien Mandat von Abgeordneten der Parlamente sind sie also in ihren Entscheidungen frei. Anders als bei den Parlamenten sind Gemeinderäte jedoch kein Organ der Legislative, sondern der Exekutive. Mitglieder des Gemeinderats sind also Teil der Verwaltung. Aus datenschutzrechtlicher Sicht bedeutet dies: Die Gebietskörperschaft Gemeinde ist der für die Einhaltung datenschutzrechtlicher Vorgaben durch die Gemeinderatsmitglieder Verantwortliche. Selbstverständlich ist hierbei die freie Ausübung des Amts zu berücksichtigen. Dies hat jedoch keinen Einfluss auf die grundlegende Pflicht der Gemeinde, ihre Verarbeitungen von personenbezogenen Daten rechtmäßig zu gestalten.
Für ihre Arbeit werden den Gemeinderatsmitgliedern von der Gemeinde regelmäßig Unterlagen zur Verfügung gestellt. Auf Antrag ist der Bürgermeister oder die Bürgermeisterin außerdem verpflichtet, über alle Angelegenheiten der Verwaltung Auskunft zur erteilen. Dabei können den Gemeinderatsmitgliedern auch personenbezogene Daten offenbart werden, beispielsweise wenn sie in Bewerbungsverfahren für Stellen und Ämter einbezogen sind, wenn es um einzelne Bauvorhaben geht oder sonst ein Einzelfall aus der Verwaltung für den Gemeinderat von Interesse ist. Angesichts der Vielzahl an kommunalen Aufgaben sind vielfältige Konstellationen denkbar. Möglich ist darüber hinaus, dass Bürger_innen mit den Mitgliedern des Gemeinderats direkt in Kontakt treten möchten. Dafür stehen oftmals auf den gemeindlichen Websiten Kontaktdaten zur Verfügung.
Die Art und Weise der Informationsvermittlung der Gemeinde an ihre Ratsmitglieder und die Art und Weise der Kontaktaufnahme durch Bürger_innen mit den Ratsmitgliedern muss datenschutzkonform erfolgen. Das bedeutet z. B., dass die Gemeinde die Löschung der Daten sicherstellen muss, wenn diese nicht mehr für die Amtsausübung benötigt werden, etwa wenn das jeweilige Mitglied aus dem Amt ausscheidet. Ganz grundsätzlich muss die Gemeinde für die Integrität und Vertraulichkeit der Daten sorgen, also insbesondere dafür, dass die Informationen keinem Unbefugten gegenüber offenbart werden.
Alles dies ist problematisch, wenn Gemeinderatsmitglieder über ihre private E-Mail-Adresse von der Gemeinde oder von den Bürger_innen kontaktiert werden. Verwenden Gemeinderatsmitglieder beispielsweise E-Mail-Adressen aus ihrem beruflichen Kontext, so könnte unter Umständen der Arbeitgeber oder die Arbeitgeberin des jeweiligen Ratsmitglieds darauf zugreifen. Datenschutzrechtlich läge in dieser Konstellation eine Übermittlung der personenbezogenen Daten an den Arbeitgeber oder die Arbeitgeberin vor, wofür eine Rechtsgrundlage nicht ersichtlich ist. Es ist auch ein Fall bekannt, in dem die E-Mail-Adresse der Ehefrau eines Gemeinderatsmitglieds für die Kommunikation mit ihm verwendet wurde. Je nach E-Mailanbieter steht im Übrigen die Frage im Raum, ob dieser die bei ihm gespeicherten Daten angemessen vor dem Zugriff Dritter schützt oder möglicherweise selbst auf die Inhalte im Posteingang des jeweiligen Gemeinderatsmitglieds zugreift, z. B. um passgenaue Werbung anzubieten. Jedenfalls dann, wenn die E-Mails über den reinen Versendungsvorgang hinaus beim E-Mailanbieter gespeichert bleiben, müsste die Gemeinde außerdem als Verantwortliche den Provider als einen Auftragsverarbeiter einbinden, also eine Auftragsverarbeitungsvereinbarung mit dem Anbieter abschließen.
Verantwortliche können die Rechtmäßigkeit ihrer Verarbeitungen sowohl durch organisatorische als auch durch technische Maßnahmen sicherstellen. Das Erreichen eines hinreichenden Schutzes wird jedoch bei der Nutzung privater E-Mailanbieter kaum umsetzbar ein. So wäre es zwar z. B. denkbar, dass Gemeinderatsmitglieder beim Ausscheiden aus dem Amt aufgefordert werden und eine Erklärung unterzeichnen, dass sie sämtliche personenbezogenen Daten aus den Zeiten der Amtsausübung gelöscht haben. Allerdings muss auch das Verhältnis zum E-Mailprovider bedacht werden: Wer prüft etwa dessen Schutzmaßnahmen vor unbefugten Zugriffen auf das E-Mailkonto und stellt sicher, dass eine Löschung endgültig erfolgt? Man kann von Gemeinderäten nicht erwarten, dass sie dies bewerten können. Dies zu tun wäre Aufgabe der Gemeinde. Auch das Schließen einer Vielzahl an Auftragsverarbeitungsvereinbarungen zwischen Gemeinde und E-Mailprovider wird kaum praxistauglich umsetzbar sein. Die Nutzung privater E-Mailadressen bedeutet also ziemlich viel Arbeit für alle Beteiligten, vor allem unnötige Arbeit.
Eine alternative Möglichkeit wäre beispielsweise das Einrichten gemeindlicher E-Mail-Adressen für die Gemeinderatsmitglieder oder ein Onlineportal, auf dem Gemeinderatsmitglieder (unter Verwendung eines hinreichenden Authentifizierungsverfahrens) die für Ihre Tätigkeit erforderlichen Daten abrufen können. Das Portal oder die Speicherung der gemeindlichen E-Mails würden von der Gemeinde verwaltet. So könnte die Gemeinde ihren datenschutzrechtlichen Pflichten nachkommen.
Im Übrigen bestehen neben den datenschutzrechtlichen Pflichten für ehrenamtlich tätige Gemeinderatsmitglieder ganz grundsätzlich die allgemeinen Verschwiegenheitspflichten. Die Einhaltung derer für die Gemeinderatsmitglieder zu erleichtern, sollte im Interesse der Gemeinden sein.
Die Verwendung privater E-Mail-Adressen mag gerade bei ehrenamtlich tätigen Gemeinderatsmitgliedern für eine Gemeinde praktisch sein, aus datenschutzrechtlicher Sicht ist dies jedoch nicht zu empfehlen. Dies birgt eine Vielzahl an Risiken, weswegen wir dringend davon abraten. Bessere Lösungen sind gemeindliche E-Mail-Adressen oder ein kommunales Onlineportal, in dem die Mitglieder relevante Unterlagen abrufen können. Wir stehen den verantwortlichen Gemeinden gerne mit unserem Rat zur Seite und unterstützen, dass der Arbeitsaufwand reduziert wird, für alle Beteiligten und zugleich datenschutzrechtlich tragfähige Lösungen vorgehalten werden. Auch ist die Datenschutzbehörde etwa mit den Vertretungen der Gemeinden, Stadt- und Landkreisen im Austausch. Mit Blick auf die Vielzahl kommunaler Aufgaben können Prozessveränderungen gerade für kleine Gemeinden eine größere Herausforderung darstellen. In Zusammenarbeit mit dem Gemeindetag wird die Datenschutzaufsicht deswegen weitere Unterstützungsmöglichkeiten eruieren, beispielsweise wie sie ihr Informationsangebot zu dem Thema ausbauen kann. Einheitliche, klare Vorgaben reduzieren für alle Beteiligten den Aufwand und schützen Bürger_innen, Gemeinden und die Gemeinderatsmitglieder selbst. Auf der Behördenwebseite bietet sie darüber hinaus regelmäßig Informationen, die für Gemeinden von Interesse sind, und werden künftig auch verstärkt kommunalspezifische Themen etwa in unserem Newsletter aufgreifen.
Quelle: LfDI BW
Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:
- Ombudsstelle und Hinweisgebersystem für Hinweisgeber:innen (Whistleblower)
- Datenschutz und IT-Compliance: Das Handbuch für Admins und IT-Leiter. Alles zu IT-Betrieb, IT-Sicherheit und Administration von Websites
- Tragbarer Tresor für die Reise zum Schutz von Wertsachen
- Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
- Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
- Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
- Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
- Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen
Dieser Absatz enthält Affiliatelinks/Werbelinks