Im Rahmen seiner Prüftätigkeit hat der Bayerische Landesbeauftragte für den Datenschutz (BayLfD) im aktuellen Berichtszeitraum 2022 erfahren, dass einige bayerische Kommunen mit dem Gedanken spielen, sogenannte Datennutzungssatzungen zu erlassen. In diesen Satzungen sollen nach den Vorstellungen der betroffenen Kommunen Datenverarbeitungsbefugnisse im Sinne von Art. 6 Abs. 1 Unterabs. 1 Buchst. e Datenschutz-Grundverordnung (DSGVO) für freiwillig von den Kommunen übernommene Aufgaben geschaffen werden. Begegnet ist dem BayLfD etwa folgende Formulierung: „Im Rahmen der Ausübung ihrer Planungsaufträge dürfen nach Maßgabe dieser Satzung seitens der Sozial-, Jugendhilfe- und Bildungsplanung bei der Gemeinde X gesetzlich geschützte Daten aus unterschiedlichen Quellen für planerische Auswertungszwecke erhoben und verarbeitet werden“. In seinem unten vermerkten 32. Tätigkeitsbericht 2022 vom 14.6.2023 stellt der BayLfD unter Nr. 5.1 dar, dass solche Satzungen zur Schaffung von Verarbeitungsbefugnissen aus datenschutzrechtlicher Sicht jedoch sehr kritisch zu bewerten sind. Allenfalls können die Kommunen in einem engen Rahmen und bei geringer Grundrechtsrelevanz durch Satzungen Regelungen treffen, in denen gesetzliche Datenverarbeitungsbefugnisse (etwa aus Art. 4 Abs. 1 Bayerisches Datenschutzgesetz – BayDSG – oder aus § 37 Bundesmeldegesetz – BMG) gleichsam „aktiviert“ werden. Nach Darstellung des BayLfD beruht dies auf folgenden Erwägungen:
1. Erforderlichkeit einer Rechtsgrundlage für die Verarbeitung personenbezogener Daten
„Öffentliche Stellen, wie sie etwa Kommunen bilden, benötigen für die Verarbeitung personenbezogener Daten eine Rechtsgrundlage (vgl. Art. 6 Abs. 1 DSGVO). Öffentliche Stellen sollen sich bei der Erfüllung ihrer öffentlichen Aufgaben primär auf die speziellen fachgesetzlichen Befugnisse zur Verarbeitung personenbezogener Daten bzw. auf die allgemeine Befugnisnorm des Art. 4 Abs. 1 BayDSG stützen (vgl. Art. 6 Abs. 1 Unterabs. 1 Buchst. e DSGVO).
Nach Art. 4 Abs. 1 BayDSG ist die Verarbeitung personenbezogener Daten durch eine öffentliche Stelle unbeschadet sonstiger Bestimmungen zulässig, wenn sie zur Erfüllung einer ihr obliegenden Aufgabe erforderlich ist. Bei Berufung auf die allgemeine Befugnisnorm des Art. 4 Abs. 1 BayDSG hat die öffentliche Stelle grundsätzlich genau zu benennen, welche öffentliche – durch Gesetz auferlegte oder auf Grund gesetzlicher Zulassung ergriffene – Aufgabe sie mit der Datenverarbeitung erfüllt und inwiefern die Datenverarbeitung hierfür erforderlich ist.
Insoweit ist einzuräumen, dass die allgemeine Verarbeitungsbefugnis des Art. 4 Abs. 1 BayDSG nur wenige Tatbestandsmerkmale enthält. Die Vorschrift bezieht die Erforderlichkeit auf eine der betroffenen öffentlichen Stelle obliegende Aufgabe. Gleiches gilt hinsichtlich der allgemeinen Übermittlungsbefugnis in Art. 5 Abs. 1 Satz 1 Nr. 1 Var. 1 BayDSG sowie für die melderechtlichen Übermittlungs- oder Weitergabebefugnisse nach § 34 Abs. 1 BMG bzw. § 37 Abs. 1 in Verbindung mit § 34 Abs. 1 BMG.“
2. Erforderlichkeit einer parlamentsgesetzlichen Ermächtigung für Verarbeitungsbefugnisse in kommunalen Satzungen
„Kommunen haben gesetzliche Pflichtaufgaben und freiwillige Aufgaben zu erfüllen (vgl. Art. 57 Abs. 1 und 2 Gemeindeordnung – GO, Art. 83 Abs. 1 Verfassung des Freistaates Bayern). Insbesondere können Kommunen im Rahmen ihres Selbstverwaltungsrechts (Art. 28 Abs. 2 Grundgesetz – GG) auch freiwillige öffentliche Aufgaben übernehmen.
Gleichwohl sind die Kommunen nicht befugt, ohne parlamentsgesetzliche Ermächtigung durch Satzung Befugnisse zur Verarbeitung personenbezogener Daten zu schaffen. Dies folgt weniger aus dem Unionsrecht als vielmehr aus dem deutschen Verfassungsrecht. Der Rückgriff auf deutsche Grundrechte ist möglich, weil das Unionsrecht den Mitgliedstaaten im Bereich der datenschutzrechtlichen Normen zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt, oder zur Ausübung öffentlicher Gewalt einen Regelungsspielraum gewährt (vgl. Art. 6 Abs. 1 Unterabs. 1 Buchst. e, Abs. 3 Unterabs. 1 Buchst. b DSGVO). Es handelt sich bei dem hier in Rede stehenden Bereich um unionsrechtlich nicht vollständig determiniertes innerstaatliches Recht, das an den deutschen Grundrechten zu messen ist. Art. 6 Abs. 2, Abs. 3 Unterabs. 1 Buchst. b DSGVO sieht für die Mitgliedstaaten eine Konkretisierungsbefugnis zur Schaffung nationaler Rechtsgrundlagen für die Datenverarbeitung zur Erfüllung öffentlicher Aufgaben vor (Art. 6 Abs. 1 Unterabs. 1 Buchst. e DSGVO). Bereits das unionsrechtliche Subsidiaritätsprinzip (Art. 4 Abs. 2, Art. 5 Vertrag über die Europäische Union) streitet dafür, den Mitgliedstaaten bei der Frage des ,Wie‘ der Ausübung dieser Konkretisierungsbefugnis einen Gestaltungsspielraum zuzugestehen, zumal Art. 6 Abs. 2, Abs. 3 Unterabs. 1 Buchst. b DSGVO in Bezug auf die Frage des Rangs der nationalen Konkretisierungsgesetze keine Vorgabe macht. Deutlich in diese Richtung auch Erwägungsgrund 41 DSGVO:
Erwägungsgrund 41 DSGVO
Rechtsgrundlagen und Gesetzgebungsmaßnahmen
Wenn in dieser Verordnung auf eine Rechtsgrundlage oder eine Gesetzgebungsmaßnahme Bezug genommen wird, erfordert dies nicht notwendigerweise einen von einem Parlament angenommenen Gesetzgebungsakt; davon unberührt bleiben Anforderungen gemäß der Verfassungsordnung des betreffenden Mitgliedstaats. Die entsprechende Rechtsgrundlage oder Gesetzgebungsmaßnahme sollte jedoch klar und präzise sein und ihre Anwendung sollte für die Rechtsunterworfenen gemäß der Rechtsprechung des Gerichtshofs der Europäischen Union … und des Europäischen Gerichtshofs für Menschenrechte vorhersehbar sein.
So stellt die Verarbeitung von personenbezogenen Daten durch öffentliche Stellen einen Eingriff in das Grundrecht auf informationelle Selbstbestimmung (Art. 2 Abs. 1 in Verbindung mit Art. 1 Abs. 1 GG) der hiervon betroffenen Personen dar. Auf Grund des verfassungsrechtlichen Vorbehalts des Gesetzes bedarf es hierfür einer gesetzlichen Grundlage. Nach der sogenannten Wesentlichkeitstheorie ist ,der Gesetzgeber verpflichtet …, – losgelöst vom Merkmal des ,Eingriffs‘ – in grundlegenden normativen Bereichen, zumal im Bereich der Grundrechtsausübung, soweit diese staatlicher Regelung zugänglich ist, alle wesentlichen Entscheidungen selbst zu treffen‘. Das Bundesverfassungsgericht konkretisiert dabei die Wesentlichkeitstheorie insoweit, dass wesentlich (gerade) diejenigen Entscheidungen sind, die für die Verwirklichung von Grundrechten wesentlich sind. Dies hat Auswirkungen auch auf die Frage, ob und wie mit Satzungsautonomie ausgestattete öffentliche Stellen durch eine Bestimmung in einer Satzung in Grundrechte eingreifen dürfen. Auch Kommunen benötigen daher für Grundrechtseingriffe im Rahmen ihres Satzungsrechts eine parlamentsgesetzliche Ermächtigung.
Somit bedarf die Kommune einer gesetzlichen Ermächtigung, wenn sie mit einer Datennutzungssatzung in das Recht auf informationelle Selbstbestimmung eingreifen will. Art. 23 Satz 1 GO stellt eine solche Ermächtigung jedoch nicht bereit, weil diese Vorschrift nur zu Regelungen ermächtigt, die nicht in Rechte Dritter eingreifen. Zwar enthält Art. 24 GO gesetzliche Ermächtigungen zum Erlass von Satzungen, die in Grundrechte Dritter eingreifen. Für die Regelung von allgemeinen Datenverarbeitungsbefugnissen im Bereich freiwilliger Aufgaben lässt sich allerdings aus Art. 24 GO keine besondere gesetzliche Ermächtigung ableiten.
Daher können Kommunen in Satzungen – auch im Bereich von freiwilligen kommunalen Aufgaben – keine eigenständigen Datenverarbeitungsbefugnisse schaffen.“
3. Zulässige Aufgabenkonkretisierung bei unwesentlichen Eingriffen
„Denkbar ist vor diesem Hintergrund nur, dass die Kommune in einer Satzung eine freiwillige öffentliche Aufgabe festlegt und sich dann bei der Datenverarbeitung auf daran knüpfende gesetzliche Verarbeitungsbefugnisse wie etwa in Art. 4 Abs. 1 oder Art. 5 Abs. 1 Nr. 1 Var. 1 BayDSG beruft. Auch dadurch wird es den Kommunen aber nicht möglich, quantitativ oder qualitativ in wesentlichem Ausmaß in das Grundrecht auf informationelle Selbstbestimmung einzugreifen. Vielmehr können insbesondere die allgemeinen Verarbeitungsbefugnisse aus dem Bayerischen Datenschutzgesetz auch auf Grund satzungsrechtlicher Aufgabenkonkretisierungen nur unwesentliche Eingriffe legitimieren. Denkbar sind insoweit insbesondere die in meinen Aktuellen Kurz-Informationen 5, 10 und 16 bereits eingehend erläuterten Konstellationen.“
32. Tätigkeitsbericht des Bayerischen Landesbeauftragten für den Datenschutz vom 14.6.2023, im Internet abrufbar unter https://www.datenschutzbayern. de in der Rubrik „Tätigkeitsberichte“.
Entnommen aus der Fundstelle Bayern Heft 22/2023, Rn. 252.
