REICHWEITE DER DATENSCHUTZRECHTLICHEN VERANTWORTLICHKEIT BEI KOMMUNEN

Der verantwortlichen Stelle kommt im Normgefüge der Datenschutz-Grundverordnung (DS-GVO) eine ganz besondere Bedeutung zu: Dieser obliegt die Umsetzung der datenschutzrechtlichen Anforderungen, insbesondere der Sicherstellung der datenschutzrechtlichen Grundätze, der Vornahme der weitreichenden Dokumentationspflichten sowie der Implementierung entsprechender Prozesse zur Beantwortung von Betroffenenanfragen und Meldung von Datenschutzverletzungen. Aus diesem Grund stellt sich insbesondere im Zusammenhang mit Kommunen in der Praxis häufig die Frage, wie weit der Begriff der verantwortlichen Stelle zu verstehen ist, beziehungsweise welche Stellen, Einrichtungen und Organe der Kommune als verantwortlichen Stelle zuzurechnen sind.


BEGRIFF DES VERANTWORTLICHEN

Der Begriff des Verantwortlichen (auch „verantwortliche Stelle“) ist in Art. 4 Nr. 7 DS-GVO legaldefiniert. Verantwortlicher ist demnach „die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet, […].“ Entscheidend für die Feststellung und Abgrenzung einer verantwortlichen Stelle ist demnach, dass die entsprechende Stelle tatsächlich über die Entscheidungsbefugnis hinsichtlich Zwecke und Mittel, das heißt über das „ob“, „warum“ und „wie“, einer Datenverarbeitung verfügt. Sie unterscheidet sich damit beispielsweise grundsätzlich von einem Auftragsverarbeiter im Sinne des Art. 4 Nr. 8 DS-GVO, welcher Datenverarbeitungen stets strikt nach Weisung und im Auftrag einer verantwortlichen Stelle durchführt.

Aus der Legaldefinition des Begriffs der verantwortlichen Stelle folgt demnach auch, dass Datenverarbeitungen von Einzelpersonen oder Personengruppen, die einen Bezug  zu einem Beschäftigtenverhältnis oder einer ähnlich gearteten Tätigkeit aufweisen, grundsätzlich der übergeordneten Stelle, zum Beispiel dem Arbeitgeber, zuzurechnen sind. Führt eine einzelne Person in dieser Konstellation jedoch Datenverarbeitungen zu eigenen Zwecken durch und handelt in diesem Zusammenhang etwa gegen Anweisungen oder Richtlinien der übergeordneten Stelle, ist unter Umständen auch diese als verantwortliche Stelle im Sinne des Art. 4 Nr. 7 DS-GVO anzusehen. Hierbei ist jedoch nicht auszuschließen, dass die übergeordnete Stelle aufgrund unzureichender technischer und organisatorischer Maßnahmen zumindest eine Mitverantwortung trifft.


KOMMUNE ALS VERANTWORTLICHER

Aus der obigen Darstellung ergibt sich somit ohne Zweifel, dass die einzelnen Fachbereiche und Ämter einer Kommune der Kommune selbst als verantwortlicher Stelle zuzurechnen sind. Unter Umständen weniger eindeutig ist dies jedoch bei einzelnen Gremien oder weiteren Stellen und Einrichtungen:


PERSONALRAT

Parallel zu der Frage, ob der Betriebsrat als Teil der verantwortlichen Stelle anzusehen ist, stellte sich diese Frage ebenso lange Zeit hinsichtlich des Personalrates. Auch wenn es in den landesspezifischen Personalvertretungsgesetzen überwiegend keine zu § 79a Betriebsverfassungsgesetz vergleichbare Regelungen gibt, sprechen die zum Teil hervorgebrachten Argumente für eine Zuordnung zur Kommune als verantwortliche Stelle. Im Ergebnis ergibt sich für den Personalrat eine Mitwirkungsverpflichtung zur Einhaltung der datenschutzrechtlichen Grundsätze sowie zur Umsetzung der datenschutzrechtlichen Dokumentationspflichten, jedoch keine ausschließliche Verantwortlichkeit im Sinne des Art. 4 Nr. 7 DS-GVO.


GEMEINDE-/STADTRAT

Der Gemeinde-/Stadtrat ist grundsätzlich als Verwaltungsorgan und mithin als Organ der jeweiligen Gemeinde beziehungsweise Stadt anzusehen. Als Organ ist der Gemeinde-/Stadtrat demzufolge als integrierter Bestandteil der jeweiligen Gebietskörperschaft als juristischer Person und mithin nicht als eigene verantwortliche Stelle im Sinne des Art. 4 Nr. 7 DS-GVO zu verstehen. Dies geht beispielsweise auch aus der Informationsbroschüre „Datenschutz für bayerische Gemeinderatsmitglieder“ hervor: „Als ehrenamtliches Gemeinderatsmitglied entscheiden Sie nicht im eigenen Namen und meist auch nicht allein über Datenverarbeitungen Ihrer Gemeinde. Sie wirken vielmehr  an den Entscheidungen des Gemeinderats mit, der seinerseits als Organ für die Gemeinde handelt. Das Handeln dieses Organs wird dann der Gemeinde zugerechnet, mit der Folge, dass sie im Datenschutzrecht die Rolle des Verantwortlichen spielt.“


ORTSCHAFTSRAT

Gleiches gilt im Ergebnis für Ortschaften als nicht rechtsfähige Körperschaften des öffentlichen Rechts sowie die zugehörigen Ortschaftsräte, einschließlich der Ortsvorsteher. Diese sind als unselbständiger Teil der jeweiligen Gemeinde beziehungsweise Stadt anzusehen, sodass die Tätigkeiten des Ortschaftsrates nach datenschutzrechtlichen Gesichtspunkten stets der verantwortlichen Stelle der Kommune zuzurechnen sind.


KINDERTAGESSTÄTTEN

Hinsichtlich der Kindertagesstätten ist für die Beurteilung der datenschutzrechtlichen Verantwortlichkeit zunächst die Frage nach der jeweiligen Trägerschaft entscheidend. Sofern sich eine Kindertagesstätte in der Trägerschaft der jeweiligen Kommune befindet, ist davon auszugehen, dass die Kommune grundsätzlich über die Zwecke und Mittel der Datenverarbeitungen entscheidet. Dies beschränkt sich dann nicht ausschließlich auf die Vergabe der Kindertagesstättenplätze sondern erstreckt sich auch auf die Datenverarbeitungen innerhalb der Kindertagesstätte, wie zum Beispiel das Führen von Anwesenheitslisten, die Vornahme der Entwicklungsdokumentation sowie die Anfertigung von Foto- und Videoaufnahmen. Etwas anderes gilt dann, sofern sich eine Kindertagesstätte in freier Trägerschaft befindet. Die datenschutzrechtliche Verantwortlichkeit für Datenverarbeitungen im Alltag der Kinder liegt dann beim jeweiligen Träger. Für die Vergabe der Kindertagesstättenplätze verbleibt jedoch die Kommune verantwortliche Stelle.


KULTUR- UND FREIZEITEINRICHTUNGEN

Bei Kultur- und Freizeiteinrichtungen entscheidet sich die datenschutzrechtliche Verantwortlichkeit anhand des konkreten Betreibers: Oftmals werden für den Betrieb derartiger Einrichtungen (gemeinnützige) Gesellschaften gegründet. Hieraus folgt dann, dass diese Gesellschaft als eigenständige juristische Person und nicht die Kommune als Verantwortlicher im Sinne des Art. 4 Nr. 7 DS-GVO einzustufen ist.


UMSETZUNG IN DER PRAXIS

Aufgrund der Strukturen der Kommunalverwaltung und der Vielzahl der Kommune als verantwortliche Stelle zuzurechnender Stellen, Einrichtungen und Organe, ist die Einführung eines umfassenden Datenschutzmanagementsystems zu empfehlen. Aus diesem sollten sich zunächst die Reichweite der datenschutzrechtlichen Verantwortlichkeit der Kommune sowie die hieraus resultierenden Mitwirkungspflichten der einzelnen Personen und Personengruppen (z.B. Gemeinde-/Stadträte, Ortsvorsteher, Beschäftigte der Kindertagesstätten) ergeben. Weiterhin bedarf es der Implementierung von Prozessketten, sodass im Falle von Datenschutzverletzungen oder bei Geltendmachung von Betroffenenrechten sowohl der behördliche Datenschutzbeauftragte als auch die Leitung der verantwortlichen Stelle hiervon unmittelbar Kenntnis erlangen.

Darüber hinaus ist eine weitere Zuweisung von Zuständigkeiten sinnvoll, zum Beispiel: In welchem Rahmen und durch welche Personenkreise erfolgt eine Zuarbeit hinsichtlich der Erstellung und Aktualisierung des Verzeichnisses der Verarbeitungstätigkeiten nach Art. 30 DS-GVO sowie der Datenschutzinformationen nach Art. 13 und Art. 14 DS-GVO? Durch welche fachbereichs- oder prozessverantwortliche Stelle erfolgt eine Überprüfung und Aufbewahrung der Verträge zur Auftragsverarbeitung nach Art. 28 DS-GVO beziehungsweise zur gemeinsamen Verantwortlichkeit nach Art. 26 DS-GVO?

Der Kommune obliegt zudem die Gewährleistung der Sicherheit der Verarbeitung nach Art. 32 DS-GVO für alle Ämter, Fachbereiche, Gremien, Organe und Einrichtungen. Dies umfasst beispielsweise regelmäßig die Bereitstellung der notwendigen technischen Infrastruktur (z.B. von Laptops und E-Mail-Postfächern) sowie die entsprechende Absicherung (z.B. Verschlüsselung von Festplatten, Einrichtung von Firewalls und Antiviren-Softwares) dieser. Die Nutzung privater Endgeräte und Postfächer wird datenschutzrechtlich regelmäßig als problematisch bis unzulässig einzustufen sein.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Mitgliedschaften des Dresdner Instituts für Datenschutz