JuWiss-Schwerpunktwoche zum Datenschutzrecht
von SEBASTIAN PIECHA
Das Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) und des neuen nordrhein-westfälischen Landesdatenschutzgesetzes (DSG NRW) stellt öffentliche Stellen vor große Herausforderungen bei der Umsetzung. Zwar nimmt durch die Informations- und Dokumentationspflichten der DSGVO der Verwaltungsaufwand erheblich zu; das erklärte Ziel der Entbürokratisierung wird damit konterkariert. Gleichwohl birgt die Ausnutzung der in der DSGVO vorhandenen Öffnungsklauseln durch das neue DSG NRW insbesondere für die Kommunen Vereinfachungspotenzial.
Während die DSGVO unmittelbar für Private und Behörden gilt, auch wenn sie durch die zahlreichen Öffnungsklauseln stellenweise schon Richtliniencharakter aufweist, so ist die Rechtslage auf nationaler Ebene von Einheitlichkeit weit entfernt: In Deutschland existieren nach wie vor 17 verschiedene Datenschutzgesetze, die die DSGVO näher ausformen und durchführen. Das schon im April 2017 beschlossene, neue Bundesdatenschutzgesetz (BDSG) gilt für alle Bundesbehörden und Private (§ 1 Abs. 1 BDSG n.F.), während die 16 Landesdatenschutzgesetze dies für öffentliche Stellen der Länder ausgestalten (exemplarisch: § 5 DSG NRW n.F.). Der nordrhein-westfälische Gesetzgeber hat zum Jahreswechsel einen Entwurf für die Reform des Datenschutzrechts auf Landesebene auf den Weg gebracht und ihn am 16.05.2018 mit Inkrafttreten zum 25.05.2018 verabschiedet. Zwar ergibt sich vieles unmittelbar aus der DSGVO, jedoch ist insbesondere für Kommunen die genaue Ausgestaltung durch das DSG NRW von immenser Bedeutung. Damit hat dort vielfach der Umsetzungsprozess wohl gerade erst begonnen. Im Hinblick auf die den Aufsichtsbehörden nun zustehenden Befugnisse nach Art. 81 ff. DSGVO ist der gesetzgeberischen Verspätung mit Handeln nach Augenmaß zu begegnen.
Umsetzungsbedarf bei öffentlichen Stellen: Bleibt alles anders?
Der europäische Gesetzgeber hat sich beim Datenschutzniveau stark am deutschen Modell orientiert, weshalb der durch die DSGVO implementierte Datenschutzstandard für deutsche Behörden kein „Neuland“ darstellt. Das gilt insbesondere für die zahlreichen Bestimmungen, die sich aus dem alten DSG NRW trotz Inkrafttreten der DSGVO „hinüberretten“ ließen (bspw. die Vorschriften zur Datenübermittlung [§ 8 DSG NRW], zur Zweckbindung [§ 9 DSG NRW] oder zur Datenverarbeitung im Beschäftigungskontext [§ 18 DSG NRW] sowie die Straf- und Bußgeldvorschriften [§§ 32 ff. DSG NRW]). In NRW hat man sich für das Modell eines einheitlichen Gesetz zur Durchführung der DSGVO sowie der Umsetzung der Richtlinie (EU) 2016/680 (kurz: JI-RL) entschieden. Letztere wird v.a. für die Ordnungsbehörden bei Bußgeldverfahren relevant.
Insbesondere für Kommunen bedeutet dies einen immensen Umsetzungsaufwand. Nicht nur, dass sämtliche Datenverarbeitungsvorgänge, Verarbeitungsverzeichnisse, Formulare, Auftragsverarbeitungsverträge und sonstige interne Regelungen zum Umgang mit personenbezogenen Daten überprüft werden müssen, es sind überdies neue Verfahren zur Umsetzung der umfangreichen Dokumentations- (Art. 5 Abs. 2 DSGVO) und Informationspflichten (Art. 13, 14 DSGVO) sowie der Meldepflichten bei Datenpannen (Art. 33, 34 DSGVO), sprich ein neues Datenschutz-Managementsystem zu konzipieren und zu implementieren. Auch der Umgang mit der neuen Datenschutz-Folgenabschätzung (Art. 35 DSGVO) und der Einordnung von Verarbeitungsvorgängen als „Risiko für die Rechte und Freiheiten natürlicher Personen“ wirft in der Praxis neue Fragen auf. Insbesondere die Umsetzung der Informations- und Meldeverpflichtungen stellt kleine Kommunen mit geringer Personalausstattung und einem nebenamtlichen Datenschutzbeauftragten vor große praktische Herausforderungen: Wann und wie muss ich informieren? Wann ist eine Datenschutzverletzung ein „hohes Risiko“? Während Informationspapiere der Aufsichtsbehörden Abhilfe versprechen, verweist die Datenschutzaufsicht in NRW auf die noch in der Praxis zu klärenden Detailfragen. Gerade bei kleineren Kommunen können durch die nun nach Art. 37 Abs. 6 DSGVO mögliche Bestellung eines „echten externen“ Datenschutzbeauftragten (etwa Rechtsanwälte, Beratungsfirmen) Ressourcen freigesetzt werden.
Öffentlichkeitsarbeit zwischen DSGVO und KunstUrhG
Die Presse- und Öffentlichkeitsarbeit ist ebenfalls nicht vor der DSGVO gefeit; sie kann aber – exemplarisch für andere Bereiche – durch die Öffnungsklausel des Art. 85 Abs. 2 DSGVO profitieren. Nachdem der Referentenentwurf und der Regierungsentwurf sich hierzu nicht verhielten, wurde in letzter Minute und deutschlandweit bislang einzigartig noch § 5 Abs. 7 DSG NRW eingefügt, der klarstellt, dass für die nach DSG NRW verpflichteten Stellen die §§ 22-24, 33 KunstUrhG „unberührt bleiben“. In der Praxis führt dies zur Beibehaltung der bisherigen Rechtslage im Bereich kommunaler Öffentlichkeitsarbeit. Dies ist aus praktischer Sicht zu begrüßen: So dürfen die Gemeinden ihre Bürger wie gewohnt informieren und über ihre Arbeit berichten; andererseits werden die bisherigen, von der Rechtsprechung in langer Entwicklung geformten Bürger- und Informationsfreiheiten nicht eingeschränkt.
Mehr Videoüberwachung in NRW – Big mayor is watching you?!
Auch existieren nun Vereinfachungen bei der Videoüberwachung durch öffentliche Stellen. Die DSGVO enthält entgegen ihrem Ziel einer umfassenden Harmonisierung des Datenschutzniveaus keine Regelungen zur praktisch relevanten Videoüberwachung. § 20 DSG NRW n.F. stellt in Umsetzung des Art. 6 Abs. 1 lit. e) DSGVO ein komplett reformiertes Rechtsregime auf. Mit der Aufgabe der Unterscheidung zwischen Beobachtung und Speicherung personenbezogener Daten sind auch die unterschiedlichen Tatbestandsvoraussetzungen entfallen. Verlangte § 29b DSG NRW a.F. noch eine – praktisch kaum handhabbare – konkrete Gefahr, um Daten zu Beweiszwecken speichern zu dürfen, so genügt nun in Anlehnung an die Rechtslage im Bund (§ 4 BDSG n.F.) und etwa in Bayern (Art. 24 BayDSG n.F.), dass die Videoüberwachung, zur Wahrnehmung des Hausrechts, zum Schutz von Lebens, Gesundheit, Eigentum oder Besitzes oder zur Kontrolle von Zugangsberechtigungen erforderlich ist und keine Anhaltspunkte bestehen, dass schutzwürdige Interessen der betroffenen Personen überwiegen. Damit wird insbesondere den Kommunen auch trotz des in letzter Minute gestrichenen Überwachungszwecks „zur Aufgabenerfüllung der öffentlichen Stelle“ (vgl. § 4 Abs. 1 Nr. 1 BDSG n.F.) ein großes, von Landesdatenschutzbeauftragter und rot–grüner Opposition kritisiertes Tableau an Überwachungszwecken zur Verfügung gestellt. NRW hatte im Ländervergleich das bislang strengste, von der restriktiven Rechtsprechung des OVG NRW noch geschärftes Videoüberwachungsregime. Eine in der Praxis kaum rechtmäßig zu realisierende Videoüberwachung in historischen Gebäuden weicht damit nun der vielfachen Kritik aus der behördlichen Praxis. Gleichwohl kann hinterfragt werden, ob der Zweck „zur Kontrolle von Zugangsberechtigungen“ (§ 20 Abs. 1 Nr. 3 DSG NRW) neben dem Zweck „zur Wahrnehmung des Hausrechts“ (§ 20 Abs. 1 Nr. 1 DSG NRW) nicht redundant ist.
Insbesondere ist zu eruieren, ob der Passus „zum Schutz des Lebens, der Gesundheit, des Besitz oder Eigentums“ (§ 20 Abs. 1 Nr. 2 DSG NRW, ähnlich Art. 24 Abs. 1 Nr. 1 BayDSG) nun nicht eine umfassenden Videoüberwachung durch Bürgermeister, Landräte und andere Behörden zulässt. Eine solche Argumentation greift indes zu kurz, steht die Regelung doch insgesamt unter dem Vorbehalt der Erforderlichkeit sowie eines Überwiegens von Interessen Betroffener. Es hat also vor jeder Einführung eines Videoüberwachungssystems eine Güterabwägung stattzufinden. Ferner muss die Überwachung noch einer Datenschutz-Folgenabschätzung (Art. 35 DSGVO i.V.m. § 24 DSG NRW) standhalten. Immerhin wird man den Grundsätzen von Transparenz und Information (Art. 5 Abs. 1 lit. a), Art. 13 DSGVO) dadurch gerecht, dass der Umstand der Videoüberwachung auf den ersten Blick für den Bürger erkennbar werden muss, etwa durch Piktogramme (§ 20 Abs. 2 DSG NRW). Auch ist zuzugeben, dass die zunächst geplante vierwöchige Speicherfrist mit dem Verhältnismäßigkeitsgrundsatz nur schwer in Einklang zu bringen wäre und somit wieder auf das zwingend erforderliche Maß (§ 20 Abs. 4 DSG NRW: „unverzüglich“) reduziert wurde. Ein „big mayor is watching you“ auf öffentlichen Plätzen ist im Ergebnis daher wohl eher nicht zu erwarten.
Was nun?
Das neue DSG NRW macht im Rahmen des von der DSGVO zugelassenen Änderungsspielraums von Vereinfachungen Gebrauch, wenngleich es die unabwendbaren bürokratischen Anforderungen der DSGVO nicht abzufedern vermag. Die Reform des Datenschutzrechts ist bürgerzentriert, verliert oft jedoch den Blick für die kommunalen Rechtsanwender gänzlich aus dem Blick. Der Landesgesetzgeber kann hier jedoch keine Spielräume eröffnen, die das verbindliche Unionsrecht nicht zulässt. Die große Datenschutzrechtsreform wird jedoch mit Sicherheit nicht die letzte bleiben, denn auf die Herausforderungen insbesondere durch die weiterschreitende Digitalisierung von Behörden und neue Technologien sowie „Big Data“ ist die DSGVO stellenweise zu eng gestrickt und bedarf wohl einer erneuten Anpassung, wenn nicht gar einer „Entfesselung“.
Dieser Beitrag gibt ausschließlich die persönliche Auffassung des Autors wieder.
Zitiervorschlag: Piecha, Von Straßburg nach Steinheim: Das neue Datenschutzrecht in nordrhein-westfälischen Kommunen, JuWissBlog Nr. 58/2018 v. 01.06.2018, https://www.juwiss.de/58-2018/
Dieses Werk ist lizenziert unter einer Creative Commons Namensnennung – Nicht kommerziell – Keine Bearbeitungen 4.0 International Lizenz.