Datenschutzbericht 2017

Fall 2017/01: Datenabruf durch den Kreis

Sachverhalt Der Kreis betreibt unser Kraftfahrzeugregister. Das Bürgerbüro greift über ein internes Netz-werk mit dem Kreis auf das Verfahren zu. Zum Abgleich ist es notwendig, die Daten der Kraftfahrzeughalter mit dem Melderegister abzugleichen, damit Adressen überprüft und Fahr-zeuge nicht auf „Geisteradressen“ angemeldet werden können.

Rechtslage Das Bundesmeldegesetz (§ 38 BMG) regelt, welche Daten von Einwohnern zu diesem Zweck von öffentlichen Stellen abgerufen werden dürfen. Der Abruf des Kreises übersteigt diesen Umfang. Es werden also mehr Daten an den Kreis übermittelt als erlaubt.

Abhilfe Eine Abhilfe unsererseits ist nicht notwendig, da laut Datenschutzgesetz die abrufende Stelle (also der Kreis) die verantwortliche Stelle ist. Der Datenabruf ist zwar gesetzeswidrig, unsere Stadt trifft aber keine Verantwortung. Diese Verantwortung liegt beim Landrat des Kreises, der im === Falle einer Beanstandung durch den Landesinnenminister auch in der Verantwortung stünde.

Fall 2017/02: Hinweis auf hellhörige Wände

Sachverhalt Jemand teilte mir mit, dass Gespräche durch unsere Wände auch im Nachbarbüro gehört wer-den können. Dies ist baulich bedingt, da die Wände des Rathauses überwiegend umgebaut werden können und daher naturgemäß nicht die Stärke fester Wände haben.

Rechtslage Beschwerden der Bürgerschaft könnten rechtens sein. Das Abhören von Gesprächen ist – auch unfreiwillig – eine nicht zulässige Datenübermittlung, da die im Gespräch verwendeten Daten nicht an andere öffentliche Stellen übermittelt werden dürfen.

Abhilfe Kaum möglich ohne größere bauliche Kosten. Ich empfehle eine Sensibilisierung der Mitarbeiter. Ich habe eine entsprechende Mail an die Mitarbeiterschaft versandt.

Fall 2017/03: Kamera ohne Hinweis

Sachverhalt Die Verwaltung hat lobenswerterweise Hinweise auf Videoüberwachung angebracht. An der Kamera am Fenster des Bürgerbüros, die offen sichtbar ist, ist jedoch kein Hinweis ange-bracht.

Rechtslage Mögliche Beschwerden der Bürgerschaft bekämen Recht. Selbst bei Kameras, die nicht in Betrieb sind, müssen entsprechende Hinweise angebracht werden, da sie das Verhalten der „Beobachteten“ ändern.

Abhilfe Einfach einen Aufkleber „Videoüberwachung“ auch an das Fenster des Bürgerbüros anbrin-gen. Der Sichtbereich der Kamera enthält m. E. keine privaten Bereiche und ist vom Datenschutzgesetz gedeckt.

Fall 2017/04: Fachverfahren ohne Datenschutzprüfung

Sachverhalt Möglicherweise wurden Fachverfahren ohne Rechtliche Prüfung eingeführt. Eine Klage gegen mit einem ungeprüften Fachverfahren erstellten Bescheid könnte rechtens sein, da keine ge-setzeskonformen Werkzeuge benutzt wurden.

Rechtslage Die Einführung von neuen Fachverfahren (Programme) müssen nach DSG NW und nach der „Dienstanweisung TUI und Datenschutz“ des Bürgermeisters eine rechtliche Prüfung durchlaufen.

Abhilfe Die IT-Koordination sollte darauf aufmerksam gemacht werden, dass alle Fachverfahren rechtlich geprüft werden müssen. Alle Verfahren, die keine rechtliche Prüfung durchlaufen haben, sollten nachgeprüft werden. In den meisten Fällen sollte das schnell und unkompliziert gehen, da die Verfahren in vielen Verwaltungen eingesetzt werden.

Fall 2017/05: Datenschutz bei der IT-Administration

Sachverhalt Aus der Verwaltungsspitze wurde eine Anfrage gestellt, wie der Datenschutz bei der Verwal-tung von Computernetzwerken sichergestellt werden kann.

Rechtslage Auch für IT-Administratoren gelten die Datenschutzgesetze. Diese Aufgabe erfordert jedoch erhöhte Rechte, da auf nahezu alle Bereiche des Netzwerks zugegriffen werden können muss.

Abhilfe Es wurde empfohlen, für die Administration mehrere Benutzerkonten einrichten zu lassen. Besondere Rechte sollten nur einem Administrationskonto zugewiesen werden, damit auf diese Rechte nicht im täglichen Gebrauch zurückgegriffen werden kann. Ferner wird der Zugriff mit Administrationsrechten vom System protokolliert und darf nur dienstlichen Zwecken dienen.

Weiterhin wird empfohlen, eine besondere Datenschutzverpflichtung für Administratoren abzunehmen. Diese Datenschutzverpflichtung sollte beinhalten, dass über die während der Administrationstätigkeit bekannt werdende Daten Stillschweigen zu bewahren ist, nur freige-gebene Programme benutzt werden und Sicherheitslücken an die Verwaltungsspitze gemeldet werden müssen. Diese Verpflichtungen sollten über das Ende der Arbeit hinaus gelten.

Fall 2017/06: Verweigerung von Einkommensdaten durch einen Vormund

Sachverhalt Ein Bürger, aus dessen Vermögen eine öffentlich-rechtliche Schuld vollstreckt werden sollte, erhielt einen Vormund. Der Vormund behauptete, er dürfe aus Datenschutzgründen keine Auskunft über das Vermögen seines Klienten geben. Ein Sachbearbeiter fragte an, ob das rechtens sei.

Rechtslage § 5 a des Verwaltungsvollstreckungsgesetzes NRW verpflichtet öffentlich-rechtliche Gläubi-ger auf Anfrage Auskunft über ihre Vermögensverhältnisse zu geben. Da ein Vormund eine rechtliche Hilfskraft ist, fallen ihm die gleichen Pflichten zu.

Abhilfe Dem Sachbearbeiter wurde die Rechtslage mitgeteilt. Die Auskunft wurde erteilt. Die Vollstreckung wurde durchgeführt.

Fall 2017/07: Anfrage der SB Ratsangelegenheiten auf Veröffentlichung von personenbezogenen Daten einer Projektgruppe

Sachverhalt (sofern stimmig) Die SB Ratsangelegenheiten fragt mündlich ziemlich aufgebracht (!!) an, ob ein Ausschussvorsitzender einen Tagesordnungspunkt als öffentlich erklären dürfe. Der Ausschussvorsitzende möchte offenbar damit erreichen, dass die Zusammensetzung einer verwaltungsinternen Projektgruppe öffentlich wird, um die politische Diskussion zu befeuern.

Rechtslage Ob ein Ausschussvorsitzender einen TOP als öffentlich oder nicht-öffentlich erklären darf, ist hier nicht Gegenstand der Untersuchung, da er keine rechtliche Relevanz hat. Die Daten der Mitglieder dagegen dürfen (ohne Einwilligung dieser Mitglieder) in öffentlicher Sitzung nicht genannt werden, da hier deren schützenswerte Interessen überwiegen (s. a. § 48 III GO NW). Eine rechtliche Ermächtigung zur Veröffentlichung besteht hier nicht.

Abhilfe Der TOP kann öffentlich oder nicht-öffentlich sein. Die personenbezogenen Daten der Mit-glieder dürfen jedenfalls nicht veröffentlicht werden.

Fall 2017/08: Änderung der Datenübermittlung im Bereich der Wohnungsbauförderung (korrigierte Fassung)

Sachverhalt Das kommunale Rechenzentrum bittet um die Erlaubnis, für das Verfahren zur Wohnungsbauförderung einen Datenabgleich mit unserem Melderegister einzurichten. Bisher wurde der komplette Datenbestand des Melderegisters vorrätig gehalten, was rechtlich bedenklich ist, da auch Daten abgerufen werden können, die nicht zur Beurteilung eines Wohngeldantrags notwendig sind. Das verstößt gegen den sogenannten Grundsatz der Datensparsamkeit: jede Stelle soll das wissen, was sie wissen muss, aber nicht mehr.

Rechtslage Man könnte der Meinung sein, dass der § 36 des Bundesmeldegesetzes (BMG) ausreicht, um die Datenübermittlung (aus dem Melderegister des Verfahrens) zu ermöglichen. Voraussetzung ist, dass in einem Bundes- oder Landesgesetz bestimmt ist, dass übermittelt werden darf, wer der Empfänger ist und was übermittelt werden darf.

Das ist – im Gegensatz zum Wohngeld - nicht geregelt: das maßgebliche Gesetz zur Förderung und Nutzung von Wohnraum für das Land Nordrhein Westfalen (WFNG NRW) kennt keine Datenschutzbestimmungen. In den dazugehörigen Wohnraumnutzungsbestimmungen des Runderlasses d. Landesministeriums für Bauen und Verkehr wird bestimmt, dass bei der Datenverarbeitung das Datenschutzgesetz Nordrhein Westfalen (DSG NW) zu beachten ist.

Rechtlich handelt es hier um eine Übermittlung innerhalb des öffentlichen Bereichs (§ 14 DSG NW, nämlich vom Bürgerbüro an die Wohngeldstelle). Diese ist zulässig, wenn sie zur rechtmäßigen Erfüllung der Aufgaben erforderlich sind.

Ferner müssen die Voraussetzungen des § 13 Absatz 1, Satz 2 oder 3 DSG NW vorliegen. Die Weiterverarbeitung muss also zweckgebunden erfolgen. Das ist bei der Verwendung von Meldedaten für die Wohnungsbauförderung nicht der === Fall, was in § 13 Absatz 2 DSG NW geregelt ist. Eine entsprechende Erklärung wird aber mit dem Förderantrag unterzeichnet:

„Darüber hinaus gestatte ich, dass die in diesem Zusammenhang erforderlichen Auskünfte bei Kreditinstituten, Wirtschaftsauskunfteien, anderen Bewilligungsbehörden sowie meinem /unserem Steuerberatungsbüro /Wirtschaftsprüfungsbüro o.ä. eingeholt werden. In die Auskunftserteilung durch diese Stellen willige ich/willigen wir ein.“

Da das RZ darüber hinaus Datenverarbeitung für uns im Auftrag durchführt, dürfen Daten nur im Rahmen der Weisungen des Auftraggebers (also uns) durchgeführt werden. Diese Weisungen müssen schriftlich erfolgen (§ 11 Absatz 1 Datenschutzgesetz NRW), weshalb man diese Einverständniserklärung (eigentlich eine „Weisung“, einen Auftrag) benötigt.

Abhilfe Dem RZ ist eine Erlaubnis zu erteilen, die Daten automatisiert abzurufen. Das ist inzwischen geschehen. Ob die Landesbeauftragte für Datenschutz und Informationsfreiheit (LDI) nach § 22 Absatz 3 DSG NW unterrichtet werden muss, muss das RZ entscheiden, da es der Aufsicht der LDI unmittelbar unterliegt.

Fall 2017/09: Auswertung Schülerdaten (MESO-Auswertung) aus EDV an Schulamt

Sachverhalt Die EDV sandte, offenbar auf Wunsch des Schulamtes, eine Auswertung unbekannten Inhalts mit dem Titel „Schülerdaten.xlsx“. Die Mail trug den Titel „Auswertung Schülerdaten (Meso-Auswertung) - Sensible personenbezogene Daten –„. Der Inhalt war durch ein Kennwort gesichert. Die Mail enthielt einen Hinweis auf Kinder mit Sperrvermerken.

Rechtslage Rechtlich handelt es sich um eine Datenübermittlung zwischen öffentlichen Stellen nach § 14 DSG NW. Die Daten dürfen übermittelt werden, wenn sie zur rechtmäßigen Erfüllung der Aufgaben erforderlich sind. Erhebungsgrund bzw. Grund der Speicherung dürfen nicht verändert werden, es sei denn, eine Rechtsvorschrift erlaubt dies, es liegt eine Einwilligung (der Erziehungsberechtigten) vor oder die Daten sind für diese Aufgabe zwingend erforderlich.

Abhilfe Die anfordernde Stelle ist verantwortlich (§ 14 Absatz 1 DSG NW). Der übermittelnden Stel-le (Zentrale Dienste, EDV) obliegt nur eine Prüfung im Rahmen der Aufgaben des Empfängers. Der Empfänger (Schulamt) wurde angefragt, zu welcher Aufgabe die Daten angefordert wurden, um die EDV zu entlasten. Das Schulamt ist gemäß § 36 SchulG NRW verpflichtet, eine vorschulische Beratung durchzuführen. § 120 SchulG NRW erlaubt auch die Verarbei-tung dieser Daten. Die Datenverarbeitung war rechtmäßig.

Fall 2017/10: Übermittlung privater Adressen von Prozessbeteiligten an einen Rechtsanwalt

Sachverhalt Ein Rechtsanwalt, der die Interessen der Stadt vertritt, verlangte die ladungsfähigen Adressen zweier Mitarbeiter der Stadt.

Rechtslage Die Übermittlung personenbezogener Daten ist erstmal verboten, es sei denn, es liegt eine Einwilligung der Mitarbeiter vor oder ein Gesetz erlaubt diese Übermittlung. Der Anwalt wurde nach der Rechtsgrundlage der Übermittlung gefragt.

Abhilfe Die Rechtsgrundlage wurde seitens der Kanzlei nicht genannt. Die Datenübermittlung wurde ordnungsgemäß verweigert.

Fall 2017/11: Offenlegung personenbezogener Daten im Tauschlaufwerk

Sachverhalt Das Netzlaufwerk T: dient dem ämterübergreifenden Austausch von Dateien. Die Dateien enthalten personenbezogene Daten.

Rechtslage § 13 Absatz 1 DSG NW verbietet die Nutzung von Daten, von denen man ohne Erhebung Kenntnis bekommen hat. Das ist bei einer Offenlegung im Netzwerk nicht auszuschließen. Ferner dürfen nach derselben Rechtsquelle Daten nicht für einen anderen Zweck übermittelt, also auch nicht offen gelegt werden.

Abhilfe Die Kollegenschaft sollte daraufhin sensibilisiert werden, die Daten zu verschlüsseln (z. B. Abspeichern in Word mit Kennwort) und nach Gebrauch zu löschen. Ersatzweise sollte das gesamte Laufwerk in kurzen Abständen gelöscht werden (was die EDV bereits manchmal tut).

Fall 2017/12: Anfrage eines Kindesvaters auf Übermittlung der Aussagen seiner ehemaligen Ehefrau

Sachverhalt Aus dem Jugendamt erfolgte eine Anfrage, ob ein Kindesvater die Angaben seiner ehemaligen Ehefrau erfahren dürfe, die sie bei einer Befragung durch das Jugendamt gemacht hat.

Rechtslage Daten dürfen Dritten (und als solcher ist ein geschiedener Ehemann zu betrachten) nur über-mittelt werden, wenn eine Einwilligung der betroffenen Person (Ehefrau) vorliegt oder ein Gesetz dies erlaubt. Eine entsprechende Regelung haben weder ich noch die Sachbearbeitung des Jugendamtes gefunden.

Abhilfe Die Aussagen der Ehefrau wurden nicht übermittelt. Falls gewünscht solle ich als Daten-schutzbeauftragter die Rechtslage bei Anwesenheit des Kindsvaters erläutern. Ich habe zugestimmt.

Fall 2017/13: Anfrage der Verwaltung: Übertragen von Ratssitzungen ins Internet (Streaming)

Das Thema „Videoübertragungen von Ratssitzungen“ ist derzeit sehr aktuell. Dem Öffentlichkeitsprinzip von Gremien in einer Demokratie kann die Verbindung mit moderner Technik nur gut tun und vielleicht sogar politische Ambitionen bei jüngeren Leuten wecken. Auch die Arbeit von Rat und Verwaltung findet vielleicht größeres Interesse.

Der Erfolg ist aber leider noch begrenzt (https://sessionnet.krz.de/unna/bi/vo0050.asp?__kvonr=602, Beschlussvorlage Stadt Unna, Auszug):: Abfragen erfolgten ebenfalls bei anderen Kommunen hinsichtlich deren Erfahrungen mit dem Livestreaming von Ratssitzungen.

Die kreisfreie Stadt Bonn betreibt die Übertragung von Ratssitzungen in Eigenregie. […] Der Live-Übertragung schauen durchschnittlich insgesamt 200-300 Personen zu, zeitgleich jedoch nicht mehr als 60.

Der Rat der kreisfreien Stadt Wuppertal hat am 04. März 2013 beschlossen, in einer Testphase acht Ratssitzungen live ins Internet zu übertragen. In dieser Phase haben sich insgesamt 5.278 Personen live während der Sitzung zugeschaltet. Insgesamt 2.195 Personen haben darüber hinaus das Angebot genutzt, die Aufzeichnungen nach den jeweiligen Sitzungen abzurufen. […] Nach der Testphase beschloss der Rat der Stadt Wuppertal, die Übertragung der Ratssitzungen im Internet dauerhaft einzuführen.

Die kreisfreie Stadt Solingen hat 2014 in einer Testphase sieben Ratssitzungen live im Internet übertragen. In dieser Zeit haben sich insgesamt 2.379 Personen die Ratssitzungen live angese-hen, 2.360 nachträglich. Die Übertragung erfolgte über zwei starre Kameras ohne Kameraführung ebenfalls durch plenum tv. Nach der Testphase wurde die Live-Übertragung aus finanziellen Gründen zunächst eingestellt. Seit August 2015 werden die Ratssitzungen wieder übertragen. Derzeit läuft eine Ausschreibung zur Vergabe eines Auftrags über die Übertragung und Aufzeichnung der Ratssitzungen bis Ende des Jahres 2020.

Andere Kommunen wie zum Beispiel die Städte Moers, Hattingen und Ahlen machten geltend, dass zum einen eine stärke Veränderung der Sitzungsabläufe auch im Verhalten der Sitzungsteilnehmenden notwendig sei, zum anderen ein unverhältnismäßig großer Aufwand ge-genüber der überschaubaren Anzahl der Nutzerinnen und Nutzer entstehen würde.

Zunächst ist wahrscheinlich allen Beteiligten klar, dass nur öffentliche Sitzungen übertragen werden dürfen. Nur der Vollständigkeit halber.

1. Wir brauchen einen einstimmigen Beschluss des Rates, dass die aktuelle, die nächsten x Sitzungen oder alle Sitzungen live übertragen werden können. Der einstimmige Ratsbeschluss ersetzt nach herrschender Meinung die schriftliche Einwilligung der Ratsmitglieder. Nach einigen Übertragungen ändern die meisten Räte (Düsseldorf, Wuppertal, Solingen) ihre Geschäftsordnung entsprechend, um ständige Beschlussfassungen zu vermeiden.

2. Jeder Bürger, der aufgenommen wird, müsste seine schriftliche Zustimmung erteilen. Dies kann umgangen werden, in dem die Zuschauer gar nicht aufgenommen werden. Die Kameras müssten entsprechend positioniert werden. Auch die Anfragen bei Bürgersprechstunden dürfen ohne Einwilligung nicht akustisch übertragen werden. Die Frage eines Bürgers müsste z. B. schriftlich eingeblendet werden.

Das kann man vielleicht auch durch eine Rednerliste abfedern, bei der jeder Redner unterzeichnet, dass er in die Übertragung einwilligt. Da manche Anfragen aber spontan gestellt werden, ist die schriftliche Einwilligung jedes Besuchers vielleicht doch die bessere Lösung. Man könnte ja vielleicht einen Tisch mit Stift und einer Liste vor den Eingang des Sitzungssaales stellen. Ich habe gesucht und mit Leuten gesprochen, Tatsache aber ist, dass die Schriftlichkeit nicht umgangen werden kann.

3. Die Zustimmungen der Bediensteten der Stadt sind etwas problematischer. Eigentlich müssten sie auch eine schriftliche Einwilligung erteilen. Da sie aber in einem Abhängigkeits-verhältnis stehen, geht man nicht davon aus, dass sie freiwillig entscheiden, da sie Nachteile befürchten wenn sie ablehnen (das ist nur theoretische Rechtsprechung, die meisten aus unserer Kollegenschaft sehen das sicher anders). Man geht bisher also davon aus, dass man Bedienstete gar nicht aufnimmt und deren Beiträge ebenfalls schriftlich einblendet.

4. Anders sieht es beim Bürgermeister und den „Beigeordneten“ (bzw. Fachbereichsleiter) aus. Sie gelten als wichtige Personen der Zeitgeschichte und müssen einen kleinen Teil ihrer Privatsphäre aufgeben. Deshalb sieht die derzeitige Auffassung vor, dass die Äußerungen der Verwaltungsspitze ohne Einwilligung übertragen werden dürfen.

5. Ob Aufzeichnungen live oder versetzt („on demand“) zur Verfügung gestellt werden, ist dabei egal. Die meisten Städte machen beides: live übertragen und anschließend online zur Verfügung stellen. Wenn zunächst nur Aufzeichnungen verfügbar gemacht werden, kann sich das Vorgehen nach und nach vielleicht besser einpendeln.

6. Löschfristen gibt es rechtlich keine. Die Aufzeichnungen dürfen unbegrenzt lange vorrätig gehalten werden.

7. Zusammenfassungen sind ebenfalls problemlos möglich (unsere Stadt ist Eigentümerin des aufgenommenen Materials, wenn das im entsprechenden Werk- oder Dienstvertrag mit einer Übertragungsfirma vereinbart wird).

8. Personenbezogene Daten („Bauantrag vom Ehepaar S.“, „Von Frau A. bekommt die Stadt noch Geld“, „Herr V. hat gekündigt“) dürfen außerhalb dieser Regelungen in keinem Fall ohne Einwilligung der Betroffenen übertragen werden.

Fall 2017/14: Anfrage Jugendamt: Einwilligung für Datenverarbeitung auch für das Einscannen der Akten gültig?

Sachverhalt Eine Anfrage aus dem Jugendamt: umfasst die Einwilligung zur Datenverarbeitung auch das Einscannen der Akten?

Rechtslage Sozialdaten werden überwiegend durch die Ermächtigung der Sozialgesetzgebung erhoben. Eine Einwilligung ist in diesen Fällen nicht notwendig. Die Ermächtigung des § 62 des SGB VIII etablieren eine Mitwirkungspflicht des Betroffenen, da ansonsten die Sozialleistung nicht möglich ist. Die Erhebung erfolgt also aufgrund eines Gesetzes, eine Einwilligung ist nicht notwendig. § 63 regelt die Speicherung dieser Daten.

Lösung Da die Speicherung bereits per Gesetz erlaubt ist (zum Zwecke der Aufgabenerfüllung) entfällt eine besondere Einwilligung beim Einscannen der Akten. Der Unterschied zwischen der Erfassung der Daten und der Erfassung (des Einscannens) der Akten ist technisch nicht rele-vant, da beide Datenbestände ähnlich handhabbar sind.

Fall 2017/15: Verpflichtung der Kinder- und Jugendschutzbeauftragte nach BDSG

Sachverhalt Die Kinder- und Jugendschutzbeauftragten der Gemeinde wurden bisher auf das Bundesdatenschutzgesetz verpflichtet.

Rechtslage Ein kleiner Formfehler: das richtige Gesetz ist das Datenschutzgesetz NRW. Das BDSG gilt nur für private Unternehmen und Bundesbehörden.

Lösung Die Rechtsquelle wurde berichtigt. Kinder- und Jugendschutzbeauftragte werden künftig nach DSG NW verpflichtet. Ich nehme das zum Anlass sämtliche Formulare auf kleinere for-melle Fehler zu überprüfen.

Fall 2017/16: Anfrage aus der Politik nach Löschung

Sachverhalt Das ehemalige Ratsmitglied B. verlangt, dass personenbezogene Daten aus dem Ratsinforma-tionssystem und aus der Google-Suche gelöscht werden.

Rechtslage Wahlvorschläge sind grundsätzlich öffentlich (die Rechtsgrundlage steht in der Vorlage ja drin: § 19 I Kommunalwahlgesetz NRW).

Lösung Da B. keine Einwilligung geben musste, kann man auch nicht widersprechen. Es ist ein Gebot der Transparenz, dass die Bürger wissen, wen sie wählen können oder konnten. B. kann die Löschung nicht verlangen. Was Google dagegen veröffentlicht, darauf haben wir keinen Einfluss. B. muss die Rechte gegen Google selbst durchsetzen: https://support.google.com/websearch/answer/2744324

Fall 2017/17: Offenlegung der Mailadressen von Beteiligten eines Newsletters

Sachverhalt Ein Amt verteilt regelmäßig Informationen in einem Newsletter an interessierte Bürger. Bei einer Sendung wurden die Mailadressen aller Beteiligten offengelegt, so dass jeder Empfänger des Newsletters sehen konnte, welche Mailadressen den Newsletter noch erhalten. Ein Betei-ligter beschwerte sich darüber.

Rechtslage E-Mail-Adressen sind dann personenbezogene Daten, wenn sie auf einen identifizierbaren Klarnamen hinweisen. Eine Mailadresse frank.schmitz@irgendwo.de ist höchst wahrschein-lich von Herrn Frank Schmitz, der für die Stadt Irgendwo arbeitet. Eine Mailadresse wie in-fo@irgendwo.de weist dagegen nicht auf eine bestimmte oder bestimmbare Person hin. Auch Fantasieadressen wie mausi1968@web.de beinhalten kein offenes personenbezogenes Datum.

Erschwerend kommt hinzu, dass Newsletter bestimmte Interessen bündeln, die wiederum Rückschlüsse auf die Empfänger zulassen könnten. Dies kann zu empfindlichen Kombinationen führen (man stelle sich etwa eine Liste von Patienten bestimmter Krankheiten vor!), war aber hier nicht der === Fall. Ein Schaden wurde nicht verursacht, nur eine „Missstimmung“.

Lösung Da der Beschwerdeführer seinen echten Namen in der Mailadresse führt, muss der Beschwer-de Recht gegeben werden. Das Amt wurde darauf hingewiesen, den Newsletter zukünftig verdeckt zu versenden. Hierzu sollen die Adressen – und zwar alle – im Feld „BCC“ („Blind Carbon Copy“) eingetragen werden. Die Empfänger können dann die anderen Empfänger nicht mehr sehen. Das Amt hatte diese Regelung allerdings sowieso beschlossen. Insofern war ich nur beratend tätig.

Fall 2017/18: Bestätigung der Meldung durch die Landesregierung

Sachverhalt Mit Wirkung vom 01.01.2017 wurde ich als behördlicher Datenschutzbeauftragter (bDSB) der Stadt benannt.

Rechtslage Es gibt keine Rechtsvorschrift, die die Meldung der Benennung des bDSB an die Landesbe-auftragte für Datenschutz und Informationsfreiheit (LDI) vorschreibt. Jedoch wird die am 25.05.2018 in Kraft tretende Europäische Datenschutzgrundverordnung (EU-DSGVO) in Artikel 39, Absatz 1, Buchstabe d die Zusammenarbeit mit der Aufsichtsbehörde als (neue) Pflicht des bDSB vorsehen. Ferner wird die Meldung in der Fachliteratur empfohlen, um Fortbildungs- und Koordinationsveranstaltungen zu ermöglichen.

Lösung Ich habe mich als bDSB bei der LDI vorgestellt. Dort traf dies auf Anerkennung - verbunden mit dem Hinweis dass man ein elektronisches Formular vorbereite, mit dem die Meldung gem. EU-DSGVO künftig automatisiert erfolgen kann.

Fall 2017/19: Anfrage Stadtplanungsamt: Datenübertragung Aufbruchsgenehmigung

Sachverhalt Das Planungsamt arbeitet an einer interaktiven Webanwendung, die Straßenaufbrüche verwal-ten soll. Die Anwendung wird von Frau B. programmiert und wird sowohl Anträge als auch Genehmigungen interaktiv auf einer Karte bearbeiten können. Das Amt fragt an, ob es bei der Anmeldung rechtliche Bedenken gibt.

Rechtslage Die Verarbeitung personenbezogener Daten ist nur erlaubt, wenn ein Gesetz sie bestimmt oder die Person zugestimmt hat (§ 4 I DSG NW). Da die Authentifizierung durch ein System der Landesregierung erfolgen wird (Servicekonto.NRW), ist dem Datenschutz seitens unserer Stadt genüge getan. Ferner ist fraglich, inwieweit wirklich personenbezogene Daten verarbei-tet werden, da die Anmeldung überwiegend durch Firmen erfolgen wird (Telekom, Netcologne, Tiefbaufirmen, Gas- und Wasserinstallateure).

Lösung Die Frage des Datenschutzes ist auf das Land zurück übertragen worden, da die Authentifi-zierung über ein landeseigenes System erfolgen wird.

Fall 2017/20: Anfrage von Praktikanten

Sachverhalt Die Anfrage eines Praktikanten wurde per E-Mail an die gesamte Verwaltung gesandt. Dies geschah in guter Absicht, um die Wahrscheinlichkeit zu erhöhen, dass sich Interessenten fin-den. Die E-Mail enthielt Einzelheiten zur Krankengeschichte. Dürfen Einzelangaben zur ge-sundheitlichen Verfassung von künftigen Praktikanten veröffentlicht werden?

Rechtslage Einzelheiten zur Krankengeschichte sind zweifellos „besondere personenbezogene Daten“ i. S. d. § 4 III DSG NW. Ihre Verarbeitung (und damit Übermittlung!) darf nur erfolgen, wenn die betroffene Person eingewilligt hat *und* die Verarbeitung in ihrem Interesse liegt.

Lösung Ob eine Einwilligung der betroffenen Person vorliegt, konnte ich nicht feststellen. Sie muss daher als nicht vorhanden gewertet werden. Die Verbreitung der Anfrage war sicher im Inte-resse der betroffenen Person, aber die Einzelheiten der Krankengeschichte vermutlich nicht. Mit dem anfragenden Amt wurde vereinbart, künftig zwar Anfragen von Praktikanten, nicht aber Einzelheiten der Krankengeschichte bei der ersten Anfrage zu übermitteln.

Fall 2017/21: Reaktivierung von gesperrten Benutzerkonten

Sachverhalt Das Benutzerkonto eines ehemaligen Mitarbeiters soll reaktiviert werden, damit die dort, nur für ihn sichtbaren Daten wieder verfügbar sind. Dürfen gesperrte Benutzerkonten von ehema-ligen Mitarbeitern reaktiviert werden?

Rechtslage Die Daten auf dienstlichen Computern gelten als nicht privat, wenn die private Nutzung dienstlicher Hardware grundsätzlich verboten ist. Dies ist der === Fall, geregelt in der Ziffer 4.4 der Dienstanweisung TUI und Datenschutz.

Lösung Die Konten dürfen reaktiviert werden, die Daten stehen zur Verfügung.

Fall 2017/22: Überwachungskamera am Bürgerbüro (Erinnerung)

Hinweis: Die (nicht aktive) Kamera am Fenster des Bürgerbüros benötigt immer noch ein Hinweisschild!

Fall 2017/23: Anfrage Schlüsselauslesung

Sachverhalt Von einem dienstlichen Telefonanschluss aus wurde an einem Gewinnspiel teilgenommen. Die Teilnahme war kostenpflichtig. Zur Ermittlung möglicher Anrufer sollen die Telefondaten mit den aufgezeichneten Zutrittsdaten der Schlüsselanlage kombiniert werden. Dürfen Benutzer-daten von Schlüsseln ausgelesen werden, wenn der Verdacht auf einen Vermögensschaden für die Stadt besteht?

Rechtslage Mit der Benutzung der Schlüsselanlage werden personenbezogene Daten gespeichert. Es sind Zutrittsdaten, die der Kontrolle des Zutritts dienen. Die Auswertung dieser Daten in Form einer Verbindung mit Telefondaten (nämlich denen der Anrufe beim Gewinnspiel) ist eine Zweckänderung. Diese ist erlaubt, wenn Anhaltspunkte für Straftaten oder Ordnungswidrig-keiten vorliegen (§ 13 II h DSG NW). Die dienstlich nicht erlaubte private Nutzung der Telefone in Verbindung mit einem Vermögensschaden für die Stadt lässt diesen Anhaltspunkt erscheinen.

Lösung Es besteht der Verdacht eines leichten Diebstahls von (Telefon-)Leistungen. Diebstahl ist eine Straftat. Um außerdem weiterhin einen weiteren Vermögensschaden von der Stadt abzuwen-den, ist die Kombination der Daten erlaubt. Das schutzwürdige Interesse des Anrufers über-wiegt hier nicht, da alle Geräte dienstlich zu nutzende Geräte sind.

Fall 2017/24: Liste der Erstwähler

Sachverhalt Im Rahmen des Wahlkampfs zur Bundestagswahl 2017 forderte eine Partei eine Liste der Erstwähler an. Ist dieser Anforderung Folge zu leisten?

Rechtslage § 50 des Bundesmeldegesetzes (ersetzte 2015 die Landesgesetze) erlaubt Parteien explizit (!) die Erteilung von Gruppenauskünften, sofern für deren Zusammensetzung das Lebensalter bestimmend ist. Bei Erstwählern („Wer ist seit der letzten Wahl 16 bzw. 18 geworden?“) ist dies klar der === Fall.

Lösung Den Parteien müssen Listen der Erstwähler übermittelt werden.

Fall 2017/25: Wem gehört diese Insolvenzanmeldung?

Sachverhalt Ein Kollege fragt per Mail an die gesamte Verwaltung „Wem gehört diese Insol-venz(an)meldung?“. Dürfen Insolvenzmeldungen so verbreitet werden?

Rechtslage Nach § 9 Abs. 1 InsO sind Insolvenzverfahren öffentlich bekannt zu machen. Dies erfolgt über die Homepage www.insolvenzbekanntmachungen.de. Insoweit handelt es sich bei der genannten Homepage um eine allgemein zugängliche Quelle im Sinne des § 13 Abs. 2 Bst. f DSG NW. Darüber hinaus ist weder der InsO noch der InsoBekV zu entnehmen, dass Be-kanntmachungen über Insolvenzverfahren ausschließlich über Amtsgerichte als Insolvenzge-richte erfolgen dürfen.

Lösung Da die entsprechende Insolvenzanmeldung bereits auf der Website veröffentlicht wurde, darf sie beliebig verbreitet werden.

Fall 2017/26: Krankmeldungen an alle

Sachverhalt Eine Kollegin schreibt an einen Amtsverteiler, dass eine andere Kollegin erkrankt sei. Dürfen Krankmeldungen an ganze Ämter versandt werden?

Rechtslage Der Zustand „Krank oder Gesund“ ist zweifellos ein besonderes personenbezogenes Datum i. S. d. § 4 III DSG NW. Derlei Daten dürfen nur verarbeitet werden, wenn die Person einge-willigt hat oder das Gesetz sie erlaubt. Ferner muss sie im Interesse der betroffenen Person liegen.

Lösung Eine Einwilligung der betroffenen Person liegt m. W. nicht vor. Auch ist mir kein Gesetz be-kannt, dass eine Verbreitung über E-Mail erlauben würde. Die Frage nach dem Interesse einer Verarbeitung stellt sich daher gar nicht erst. Mit dem Personalservice wurde besprochen, dass ein begrenzter Verteiler (= bestimmter Personenkreis) erstellt wird, über den Krankmeldungen verbreitet werden dürfen.

Fall 2017/27: Adresse von SaKuBü

Sachverhalt Ein sachkundiger Bürger fragt an, ob sein Beruf und seine Vorstandsfunktion im örtlichen Fußballverein unbedingt veröffentlich werden muss.

Rechtslage § 1 I Nr. 3 des Korruptionsbekämpfungsgesetzes (KorruptionsbG) erklärt seine Zuständigkeit auch für Sachkundige Bürger. Nach dem Gesetz müssen in § 16 Mitgliedschaften in Kontroll-gremien, Organen anderer Behörden, privatrechtlichen Unternehmen und in Vereinen und sonstigen Gremien veröffentlicht werden. Dies muss sogar jährlich „in geeigneter Form“ (z. B. Aushang, Website) erfolgen.

Lösung Die Angaben müssen veröffentlicht werden. Das KorruptionsbG benennt Sachkundige Bürger sogar explizit.

Fall 2017/28: Weitergabe von Adressen künftiger Volljähriger an die Bundeswehr

Sachverhalt Der Bundestagsabgeordnete Dr. N. schreibt alle Kommunen an und bietet eine Beschlussvor-lage an, durch die alle künftigen Volljährigen angeschrieben und auf ihr Widerspruchsrecht bzgl. Datenübermittlung an die Bundeswehr hinweist. Dem Schreiben soll ein Widerspruch beigelegt werden.

Rechtslage § 58 c des Soldatengesetzes bestimmt, dass die Meldeämter regelmäßig die Anschriften der im folgenden Jahr volljährig werdenden Jugendlichen an die Bundeswehr übermittelt. Eine Übertragung findet nicht statt, wenn die Jugendlichen (bzw. deren Eltern) dieser Übertragung widersprechen. Der Städte- und Gemeindebund NRW schreibt in einer Stellungnahme, dass die Vorlage dem Rat bzw. einem Ausschuss vorgelegt werden muss. Die Verwaltung hat kein wie auch immer geartetes Prüfungsrecht, ob der Rat beschließen soll oder nicht.

Ergebnis Die Vorlage muss den Rat bzw. dem H&F vorgelegt werden.

Fall 2017/29: Korrektur von Einwohnerdaten durch ein Amt

Sachverhalt Eine Kollegin entdeckte bei Aufnahme eines === Falles eine offensichtliche Falschanmeldung. Sie fragt an, ob sie die Unstimmigkeiten dem Einwohnermeldeamt melden darf oder gar muss.

Rechtslage Daten dürfen dann zweckentfremdet werden, wenn sich Anhaltspunkte für Ordnungswidrig-keiten oder Straftaten ergeben. Der entsprechende Passus steht in § 13 II h des Datenschutz-gesetzes NRW.

Lösung Eine Meldepflicht ergibt sich aus dem DSG NW nicht, wohl aber ein Melderecht. Das Ein-wohnermeldeamt darf informiert werden.