Datenschutzbericht 2021
Fall 1/2021: Liste der über 80 Jahre alten Bürger zwecks Impforganisation
DATENSCHUTZRECHTLICHE STELLUNGNAHME
a. Sachverhalt
Bei der Organisation einer Impfung gegen das derzeit grassierende SARS-COV-2-Virus und den damit verbundenen Schutz der Bevölkerung gegen die Krankheit COVID-19 sollen besonders gefährdete Bürgerinnern und Bürger zuerst geimpft werden.
In einem ersten Schritt möchte das Ministerium für Arbeit, Gesundheit und Soziales des Landes Nordrhein Westfalen (MAGS NRW) die Daten von über 80 Jahre alten Einwohnern erhalten, um diese anzuschreiben und die Impftermine zu koordinieren. Angefordert wurden Name, Geburtsdatum, Meldeadresse der betroffenen Bürger.
b. Rechtslage
Die zuerst zu prüfende Datenschutzverordnung der Europäischen Union (EU-DSGVO) regelt die Übermittlung zwischen öffentlichen Stellen innerhalb der Europäischen Union nicht. Daher sind nationale Regelungen zu prüfen, die diese Lücke ausfüllen. Die Übermittlung zwischen öffentlichen Stellen innerhalb von Nordrhein Westfalen regelt das Landesdatenschutzgesetz NRW (DSG NW).
Bei der Datenverarbeitung im Sachverhalt handelt es sich um eine Übermittlung personenbezogener Daten zwischen öffentlichen Stellen (innerhalb der Europäischen Union). Besondere Kategorien personenbezogener Daten sind davon nicht betroffen. Fraglich ist die Zulässigkeit der Übermittlung.
Die Verarbeitung personenbezogener Daten (also auch die Übermittlung) ist grundsätzlich verboten. Jede Verarbeitung benötigt daher eine genau zu benennende Rechtsgrundlage. Rechtsgrundlage für die Übermittlung von personenbezogenen Daten ist das DSG selbst, sofern kein spezielleres Recht vorgreift.
Verantwortlich für die Prüfung ist in der Regel die übermittelnde Stelle, also die Kommune (§ 8 Abs. 1 Satz 1 DSG NW). Erfolgt die Übermittlung dagegen aufgrund eines Ersuchens einer öffentlichen Stelle, trägt diese die Verantwortung (§ 8 Abs. 1 Satz 2 DSG NW). Das ist im Sachverhalt der Fall.
Die übermittelnde Stelle (Kommune) prüft dann lediglich, ob das Übermittlungsersuchen im Rahmen der Aufgaben des Empfängers liegt (§ 8 Abs. 1 Satz 3 DSG NW). § 20 Abs. 5 des Infektionsschutzgesetzes regelt, dass die obersten Landesgesundheitsbehörden bestimmen dürfen, dass die (kommunalen) Gesundheitsämter Impfungen durchführen. Davon hat der Landesgesundheitsminister Gebrauch gemacht; die Übermittlung liegt also im Rahmen der Aufgaben der Kreise.
Die Übermittlung des Geburtsdatums könnte dem Gebot der Datensparsamkeit (Art. 5 Abs. 1 lit. C EU-DSGVO) widersprechen. Da ein Stichtag angegeben wurde (31.01.2021) ist von einer verfeinerten Auswahl der zu Impfenden nicht auszugehen. Geimpft wird, wer am 31.01.2021 80 Jahre alt ist.
Die Rechtmäßigkeit des Ersuchens prüft die Kommune allerdings nur, „wenn hierzu im Einzelfall Anlass besteht“ (§ 8 Abs. 1 Satz 4 DSG NW)). Da das Thema der Pandemie, die Entwicklung und Freigabe des Impfstoffes und die Organisation der Impfung täglich in Presse und Funk thematisiert sind, dürfte allgemein bekannt sein, dass und wie die Impfungen organisiert werden.
c. Ergebnis
Der „Einzelfall“ des Gesetzes besteht m. E. nicht. Die Daten dürfen an den Kreis übermittelt werden.
Frank Werner
Fall 2/2021: Anzeige gegen Hühnerhalter
Im zweiten Sachverhalt fühlten sich die Nachbarn eines Hühnerhalters vom Lärm der Tiere gestört und zeigten ihn an. Der wiederum wollte wissen, wer ihn angezeigt hat. Und erbat Auskunft nach dem Informationsfreiheitsgesetz von der Kommune.
Die Rechtslage gestaltet sich nach § 9 des Informationsfreiheitsgesetzes NRW. Demnach sind personenbezogene Daten ebenfalls geschützt, es sei denn, die Person, deren Daten angefordert wurden, ist gutachtlich tätig. Das ist bei den leidenden Nachbarn natürlich nicht der Fall.
Das Ergebnis ist klar: eine Auskunft über Personen ist nicht möglich. Natürlich könnte der Hühnerhalter die Akte einsehen. Namen müssten jedoch vorher geschwärzt werden.
Fall 3/2021: Auftragsverarbeitung bei Auslagerung?
Sachverhalt: Eine Gemeinde möchte die Berechnung und Auszahlung von Beihilfen an eine Krankenkasse auslagern. Reicht ein Vertrag zur Auftragsverarbeitung?
Rechtslage: Hier werden besondere Kategorien personenbezogener Daten verarbeitet. Die EU-DSGVO stellt an eine solche Verarbeitung besondere Ansprüche (Art. 9). Die Verarbeitung solcher Daten ist grundsätzlich nur zulässig, wenn u. a. ein Sozialrecht wahrgenommen werden soll (was hier ja der Fall ist). Ferner wird, wie auch im Auftragsverarbeitungsvertrag (Art. 28), eine Verschwiegenheit gefordert.
Ergebnis: Der vorgelegte Auftragsverarbeitungsvertrag erfüllt die Voraussetzungen an die Verarbeitung besonderer Kategorien personenbezogener Daten und die Voraussetzungen des Art. 28 ebenfalls.