RDV. Franck, Herausgabe von Passwörtern und der nemo-tenetur-grundsatz. Gola, Aus den aktuellen Berichten der Aufsichtsbehörden (10)

Transkript

1 G Zeitschrift für Datenschutz-, Informations- und Kommunikationsrecht RDV 6/2013 Herausgegeben von Aufsätze Recht der Datenverarbeitung Peter Gola Andreas Jaspers Rolf Schwartmann Gregor Thüsing in Kooperation mit der Gesellschaft für Datenschutz und Datensicherheit e.v. ( ), Bonn Weiß, Die Angemessenheitsentscheidung der Europäischen Kommission Anspruch und Wirklichkeit Zilkens, Datenschutz im Melderecht nach dem neuen Bundesmeldegesetz Franck, Herausgabe von Passwörtern und der nemo-tenetur-grundsatz Kurzbeiträge Gola, Aus den aktuellen Berichten der Aufsichtsbehörden (10) Göpel, Datenschutz in der Cloud Status quo Reif, Zweifel an der Verfassungsmäßigkeit von Hygieneprangern Rechtsprechung Aus dem Inhalt EuGH, Pflicht zur Datenübermittlung durch Kreditinstitute zur Terrorismusbekämpfung (Ls) BGH, Strafbarkeit einer GPS-Überwachung durch eine Detektei BGH, Videoüberwachung im Eingangsbereich einer Wohneigentumanlage BGH, Notwendige Angabe der Rechtsform werbender Unternehmen BSG, Pflicht zur organisatorischen Sicherstellung der Erfüllung von Auskunftspflichten Auskunft über das Übermittlungsmedium OLG Stuttgart, Die Bezeichnung Hühnerstall als zulässige Hotelbewertung (Ls) OLG Frankfurt am Main, Löschung der IP-Adressen nach Ende der Internetsitzung 29. Jahrgang Dezember 2013 Seiten

2 Arbeitnehmerdatenschutz aktuelles Recht Gola/Wronka Handbuch Arbeitnehmerdatenschutz Rechtsfragen und Handlungshilfen 6. überarbeitete und erweiterte Auflage Seiten Hardcover 17 x 24 cm 119,99 inklusive E-Book und zwei Webinare als Download ISBN Der Arbeitnehmerdatenschutz ist durch eine Vielzahl von Rechtsnormen und -vorschriften festgeschrieben. In diesem Handbuch wird das komplexe Zusammenwirken arbeitsrechtlicher Normen und den Normen des BDSG überschaubar gemacht. Umfassende Verweise auf die aktuelle Rechtsprechung sowie Literaturhinweise sind in den Text eingearbeitet und leserfreundlich grafisch hervorgehoben. Zahlreiche Praxisbeispiele aus der Rechtsprechung, Betriebsvereinbarungen und Empfehlungen der Aufsichtsbehörden geben Hilfestellung zur Lösung konkreter Fragestellungen. Peter Gola Datenschutz am Arbeitsplatz Rechtsfragen und Handlungshilfen beim Einsatz von Intranet, Internet, , Telefon, Big Data, Social Media 5. überarbeitete und erweiterte Auflage 2014 ca. 272 Seiten, Hardcover, 17 x 24 cm ca. 59, inklusive E-Book als Download Diese Praxishilfe stellt die datenschutzrechtlichen Regelungen im Arbeitsverhältnis dar und bietet Tipps für die Umsetzung im Unternehmen. Themen wie z.b. Persönlichkeitsschutz im Arbeitsverhältnis, GPS-Ortung, offene /verdeckte Videoüberwachung und Mitarbeiterdaten im Internet werden diskutiert und Lösungen aufgezeigt. Neu aufgenommen wurden die Themen: Big Data für das Personalmanagement BYOD und mobile Arbeit Verlagsgruppe Hüthig Jehle Rehm GmbH Standort Frechen Tel / Fax 02234/ bestellung@datakontext.com

3 Zeitschrift für Datenschutz-, Informationsund Kommunikationsrecht 29. Jahrgang 2013 Heft 6 Seiten Inhaltsverzeichnis RDV Recht der Datenverarbeitung Editorial 271 Veranstaltungen 272 Aufsätze Steffen Weiß Die Angemessenheitsentscheidung der Europäischen Kommission Anspruch und Wirklichkeit 273 Dr. Martin Zilkens Datenschutz im Melderecht nach dem neuen Bundesmeldegesetz 280 Dr. Lorenz Franck Herausgabe von Passwörtern und der nemo-tenetur-grundsatz 287 Kurzbeiträge Prof. Peter Gola Aus den aktuellen Berichten der Aufsichtsbehörden (10) 291 Daria Göpel Datenschutz in der Cloud Status quo 292 RAin Yvette Reif, LL.M. Zweifel an der Verfassungsmäßigkeit von Hygieneprangern 294 Rechtsprechung Pflicht zur Datenübermittlung durch Kreditinstitute zur Terrorismusbekämpfung (Ls) (EuGH, Urteil vom ) 296 Strafbarkeit einer GPS-Überwachung durch eine Detektei (BGH, Urteil vom ) 297 Videoüberwachung im Eingangsbereich einer Wohneigentumsanlage (BGH, Urteil vom ) 303 Notwendige Angabe der Rechtsform werbender Unternehmen (BGH, Urteil vom ) 307 Pflicht zur organisatorischen Sicherstellung der Erfüllung von Auskunftspflichten Auskunft über das Übermittlungsmedium (BSG, Urteil vom ) 308 Die Bezeichnung Hühnerstall als zulässige Hotelbewertung (Ls) (OLG Stuttgart, Urteil vom ) 309 Löschung der IP-Adressen nach Ende der Internetsitzung (OLG Frankfurt am Main, Urteil vom ) mit Urteilsanmerkung Wüstenberg 310 Telefonische Kundenbefragung als wettbewerbs - wi driger Cold Call (OLG Köln, Urteil vom ) 316 Keine Auskunft über die Identität eines anonymen Verleumders gegen den Betreiber einer Bewertungs plattform (LG München I, Urteil vom ) 317 Unberechtigte Nennung als Mitarbeiter im impressum einer Zeitung (LG Düsseldorf, Urteil vom ) 318 Keine Probezeit für Datenschutz beauftragte (ArbG Dortmund, Urteil vom ) 319 Berichte, Informationen, Sonstiges EUGH: Die Aufnahme von Fingerabdrücken in reisepässe ist rechtens 320 Gesetz gegen unseriöse Geschäftspraktiken ist in Kraft 321 Literaturhinweise Buchbesprechungen Datenschutzrecht in Bund und Ländern (GOLA) 326 Grundrechtsschutz im Internet? (Redaktion) 326 Neuerscheinungen Aufsätze 327 Nachgefasst 328

4 Herausgegeben von Prof. Peter Gola, Königswinter Andreas Jaspers, Rechtsanwalt, Bonn Prof. Dr. Rolf SCHWARTMANN, Fachhochschule Köln Prof. Dr. Gregor Thüsing, LL.M. (Harvard), Universität Bonn in Kooperation mit der Gesellschaft für Datenschutz und Datensicherheit e.v. (GDD), Bonn Herausgeberbeirat Prof. Dr. Ralf Bernd ABEL, Rechtsanwalt, Hamburg Dietrich Boewer, Vorsitzender Richter am Landesarbeitsgericht Düsseldorf i.r. Prof. Dr. Alfred Büllesbach, Universität Bremen Prof. Dr. Horst EHMANN, Universität Trier Dr. Joachim W. JaCob, Bundesbeauftragter für den Datenschutz a.d. Prof. Dr. Friedhelm JOBS, Richter am Bundesarbeitsgericht a.d. Prof. Dr. Tobias O. Keber, Hochschule der Medien, Stuttgart Prof. Dr. Karl LINNENKOHL, Universität Kassel Dr. h.c. Hans-Christoph MATTHES, Vorsitzender Richter am Bundesarbeitsgericht a.d. Dr. Alexander OSTROWICZ, Präsident des Landesarbeitsgerichts Schleswig-Holstein a.d. Prof. Dr. Michael Ronellenfitsch, Hessischer Datenschutz beauftragter Prof. Dr. Friedhelm ROST, Vorsitzender Richter am Bundesarbeitsgericht a.d. Peter SCHAAR, Bundesbeauftragter für den Datenschutz und die informationsfreiheit Prof. Dr. Mathias SCHWARZ, Rechtsanwalt, München Prof. Dr. Dr. h.c. Spiros SIMITIS, Universität Frankfurt Prof. Dr. Jürgen TAEGER, Universität Oldenburg PD Dr. Irini Vassilaki, Athen/München Prof. Dr. Wolfgang ZÖLLNER, Universität Tübingen Beilagenhinweis GDD-Mitteilungen 6/2013; DATAKONTEXT, Frechen Manuskripte Zuschriften und Manuskriptsendungen, die den Inhalt der Zeitschrift betreffen, werden an die Schriftleitung er beten. Für unverlangt eingesandte Manuskrip te wird keine Haftung übernommen. Sie können nur zurückgesandt werden, wenn Rückporto bei gefügt ist. Beiträge werden grundsätzlich nur angenommen, wenn sie nicht einer anderen Zeitschrift zur Veröffentlichung angeboten wurden. Mit der Annahme zur Veröffentlichung erwirbt der Verlag vom Autor alle Rechte, insbesondere das Recht der weiteren Vervielfältigung zu gewerblichen Zwecken mit Hilfe fotomechanischer oder anderer Verfahren. Urheber- und Verlagsrechte Sie sind einschließlich der Mikroverfilmung vorbehalten. Sie erstrecken sich auch auf die veröffentlichten Gerichtsentscheidungen und ihre Leitsätze; die se sind geschützt, soweit sie vom Einsender oder von der Schriftleitung erstellt oder bearbeitet sind. Der Rechts schutz gilt auch gegenüber Datenbanken und ähnlichen einrichtungen: Diese bedürfen zur Auswertung einer Genehmigung des Verlages. Der Verlag gestattet in der Regel die Herstellung von Fotokopien zu innerbetrieblichen Zwecken, wenn dafür eine Gebühr an die VG Wort, Abteilung Wissenschaft, Goethestraße 49, München, entrichtet wird, von der die Zahlungsweise zu erfragen ist. Schriftleitung Prof. Peter Gola (federführend) RA Dr. Georg Wronka RA Andreas Jaspers Redaktionsanschrift Birgit Koppitsch Heinrich-Böll-Ring 10, Bonn Telefon: (02 28) Telefax: (02 28) Erscheinungsweise 6 x jährlich Bezugspreis Jahresabonnement E 139, Einzelheft E 25, MwSt. im Preis enthalten jeweils zzgl. Versandkosten Bestellungen DATAKONTEXT Verlagsgruppe Hüthig Jehle Rehm GmbH Standort Frechen Jürgen Weiß Augustinusstraße 9d D Frechen-Königsdorf Telefon: ( ) Telefax: ( ) weiss@datakontext.com Geschäftsführer: Dr. Karl Ulrich Leitung: Hans-Günter Böse HRB Abbestellungen Der Abonnementpreis wird im Voraus in Rechnung gestellt. Das Abonnement verlängert sich zu den jeweils gültigen Bedingungen um ein Jahr, wenn es nicht mit einer Frist von 8 Wochen zum Ende des Bezugszeitraumes gekündigt wird. Verlag DATAKONTEXT Verlagsgruppe Hüthig Jehle Rehm GmbH Standort Frechen Augustinusstraße 9d D Frechen-Königsdorf Telefon: ( ) Telefax: ( ) Geschäftsführer: Dr. Karl Ulrich Leitung: Hans-Günter Böse HRB Satz alka mediengestaltung gbr Ottostraße 6, Bornheim-Sechtem Druck AZ Druck und Datentechnik GmbH Heisinger Straße 16, Kempten Anzeigenverwaltung DATAKONTEXT Verlagsgruppe Hüthig Jehle Rehm GmbH Thomas Reinhard-Rief Hultschiner Straße 8 D München Telefon: (089) Fax: (089) reinhard@datakontext.com Geschäftsführer: Dr. Karl Ulrich Leitung: Hans-Günter Böse HRB

5 Editorial RDV 2013 Heft Zeitschrift für Datenschutz-, Informationsund Kommunikationsrecht Schriftleitung: Prof. Peter Gola, Königswinter (federführend) RA Dr. Georg Wronka, Bonn RA Andreas Jaspers, Bonn Redaktion: Birgit Koppitsch 29. Jahrgang 2013 Heft 6 Seiten Jahrgang Dezember 2013 Seiten RDV Recht der Datenverarbeitung Datenschutzspezifische Zertifizierungen erhalten europäischen Rechtsrahmen Editorial Nicht nur der Entwurfstext der Europäischen Kommission für eine Datenschutz-Grundverordnung, sondern auch das jüngste Kompromisspapier des Europäischen Parlaments möchten über einen eigenständigen Artikel 39 Zertifizierungsverfahren zum Datenschutz näher in den gesetzlichen Fokus rücken. Während die EU-Kommission dies eher abstrakt formuliert und sich allgemein für die Förderung entsprechender Verfahren auf europäischer Ebene ausspricht, sind die jüngsten Pläne des Europäischen Parlaments konkreter ausgestaltet. Das Parlament möchte es jeder verantwortlichen Stelle und jedem Auftragsdatenverarbeiter ermöglichen, an eine Aufsichtsbehörde ihrer Wahl mit dem Wunsch heranzutreten, die eigene Datenverarbeitung mit Blick auf sektorale Anforderungen bzw. die Vereinbarkeit mit der Datenschutz-Grundverordnung zertifizieren zu lassen. Um eine weitere Belastung der Aufsichtsbehörden zu vermeiden, soll eine Zulassung von Auditoren möglich sein, die eine Zertifizierung im Namen der jeweiligen Aufsichtsbehörden durchführen. Die Kompetenz für die Konzeption des Verfahrens sowie die endgültige Siegelvergabe soll jedoch bei der jeweiligen Aufsichtsbehörde verbleiben. Der interessierte Beobachter der Datenschutz-Grundverordnung stellt sich an dieser Stelle die Frage, warum das Parlament eine derartige Kompetenzzuweisung hin zu den Aufsichtsbehörden vorsieht, zumal auf nationaler Ebene der Mitgliedsstaaten derartige Vorstöße von Aufsichtsbehörden eher rar gesät sind. Viel näher liegt es doch, sich die vorhandene Expertise von Seiten der Datenschutzverbände und anderen Fachgruppen unter Wahrung der Kernkompetenz der Aufsichtsbehörden zu Nutze zu machen, so wie es das Kompromisspapier des Parlaments über Art. 39 Abs. 3 DS- GVO-E ebenfalls vorsieht. So besteht seitens der Datenschutzverbände Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e.v. und der Gesellschaft für Datenschutz und Datensicherheit (GDD) e.v. bereits ein Zertifizierungsvorhaben, das auf nationaler Ebene unter Verantwortung der hierzu gegründeten Datenschutz Zertifizierungsgesellschaft mbh (DSZ) durchgeführt wird. Dieses Vorhaben setzt sich aus dem Datenschutzstandard DS-BvD-GDD-01 für die Auftragsdatenverarbeitung und einem zugehörigen Zertifizierungsverfahren zusammen, das zur Umsetzung der Vorgaben des Artikels 39 DS-GVO herangezogen werden kann. Entsprechend der jüngsten legislativen Bestrebung von Seiten des Parlaments reflektiert das Zertifizierungsverfahren von GDD und BvD auch den Wunsch nach einer Einbeziehung von Datenschutz-Aufsichtsbehörden, indem dem Landesbeauftragten für Datenschutz und Informationsfreiheit NRW die Gesamtkonzeption aus Datenschutzstandard und Zertifizierungs verfahren vorgelegt und durch diesen explizit befürwortet wurde. Diese Vorgehensweise kann auch in einer eu ropäischen Datenschutzwelt Modellcharakter haben. Unabhängig davon werden sich verantwortliche Stellen und Auftragsdatenverarbeiter diesem Thema zukünftig eingehend zu widmen haben, möchten sie ihre Konformität mit den gesetzlichen Vorgaben belegen und entsprechend für mehr Transparenz bei den Betroffenen sorgen. RA Andreas Jaspers Rechtsanwalt Andreas Jaspers ist als Geschäftsführer der Gesellschaft für Datenschutz und Datensicherheit e.v. (GDD) u.a. mit der Unterstützung und Beratung der Datenschutzbeauftragten und -verantwortlichen von Unternehmen und Behörden betraut. Im Rahmen der GDD-Datenschutz-Akademie ist er als Referent bei der Aus- und Weiterbildung betrieblicher Datenschutzbeauftragter tätig.

6 272 RDV 2013 Heft 6 Seminarhinweise Termin Thema Ort Kontakt Kontrolle von Auftragnehmern in Rahmen der Auftragsdatenverarbeitung Datenschutz Kompakt Köln Drop Box und Iphone: dienstliche Nutzung privater IT Bring Your Own Device-Strategie Videoüberwachung rechtssicher gestalten Köln Datenschutz Aktuell Köln Praxisfragen beim betrieblichen Internet- und -Einsatz Köln Datenschutzaudit leicht gemacht Köln Der Teilzeit-Datenschutzbeauftragte Frankfurt/M IT-Sicherheit für Datenschutzbeauftragte Köln Der Teilzeit-Datenschutzbeauftragte Frankfurt/M Einführung in den Datenschutz für die Privatwirtschaft Teil 1 Köln Kundendatenschutz Düsseldorf Das SAP-System für Datenschutzbeauftragte Stuttgart Einführung in den technisch-organisatorischen Datenschutz Teil Datenschutz-Management Teil 3 Köln Datenschutzprüfungen der Aufsichtsbehörden Düsseldorf Audit Technisch-organisatorischer Datenschutz Köln Rechtssichere Personaldatenverarbeitung und Prozesse Stuttgart Die 30 häufigsten Datenschutz-Schwachstellen und deren Lösung Köln Köln Köln Frankfurt/M Datenschutz und IT-Sicherheit beim Einsatz mobiler Endgeräte Düsseldorf Cloud Computing: Datenschutz und IT-Sicherheit Düsseldorf Repetitorium GDDcert. Köln Auftragsdatenverarbeitung Düsseldorf Prüfung von SAP-Systemen durch Datenschutzbeauftragte Köln Datenschutz im Personalwesen Transparenz bei Personalprozessen DATAKONTEXT, Verlagsgruppe Hüthig Jehle Rehm GmbH, Telefon: 02234/ Köln GDD e.v. und DATAKONTEXT GDD e.v. und DATAKONTEXT GDD e.v. und DATAKONTEXT GDD e.v. und DATAKONTEXT GDD e.v. und DATAKONTEXT GDD e.v. und DATAKONTEXT GDD e.v. und DATAKONTEXT GDD e.v. und DATAKONTEXT GDD e.v. und DATAKONTEXT GDD e.v. und DATAKONTEXT GDD e.v. und DATAKONTEXT GDD e.v. und DATAKONTEXT GDD e.v. und DATAKONTEXT GDD e.v. und DATAKONTEXT GDD e.v. und DATAKONTEXT GDD e.v. und DATAKONTEXT GDD e.v. und DATAKONTEXT GDD e.v. und DATAKONTEXT GDD e.v. und DATAKONTEXT GDD e.v. und DATAKONTEXT GDD e.v. und DATAKONTEXT GDD e.v. und DATAKONTEXT GDD e.v. und DATAKONTEXT GDD e.v. und DATAKONTEXT GDD e.v. und DATAKONTEXT

7 Weiß, Die Angemessenheitsentscheidung der Europäischen Kommission Anspruch und Wirklichkeit RDV 2013 Heft Aufsätze Steffen Weiß Die Angemessenheitsentscheidung der Europäischen Kommission Anspruch und Wirklichkeit In Zeiten anhaltender Enthüllungen über Überwachungspraktiken des weltweiten Datenverkehrs besteht auf Seiten von Betroffenen und Unternehmen das verstärkte Bedürfnis nach verbindlichen Regeln zum Datenschutz auch außerhalb eines über die EU-Datenschutzrichtlinie geschaffenen Standards. Dreh- und Angelpunkt bildet dabei die Frage, ob Länder außerhalb der europäischen Datenschutz-Oase angemessene Garantien für Betroffene geschaffen haben, die den hiesigen Ansprüchen genügen können. Die Europäische Kommission möchte seit nunmehr dreizehn Jahren in Gestalt der Angemessenheitsentscheidung unter Billigung der Mitgliedsstaaten diese Garantien in Drittländern außerhalb der Europäischen Union bzw. des Europäischen Wirtschaftsraums verbindlich feststellen und auf diese Weise mögliche Bedenken hinsichtlich des fremden Datenschutzsystems ausräumen. Datenexportierende Stellen übernehmen in der betrieblichen Praxis aus nachvollziehbaren Gründen die Entscheidung der Kommission, ohne deren Zustandekommen und deren Umfang näher zu beleuchten. Der nachfolgende Beitrag möchte diesbezüglich eine Hilfestellung geben und gleichzeitig davor warnen, die Angemessenheitsentscheidung als bloße Black Box anzusehen, die eine verantwortliche Stelle besser nicht öffnen sollte. I. Einleitung Im Rahmen der rechtlichen Prüfung einer Datenübermittlung in Drittländer stellt sich für den Verantwortlichen für den Datenschutz stets die Frage, wie dieser Vorgang mit Blick auf das gesetzlich geforderte angemessene Datenschutzniveau im Empfängerland legitimiert werden kann. Verständlicherweise vermeidet es die betriebliche Praxis bisher, der jeweiligen Empfangsstelle im Zuge einer Eigenprüfung ein solches Schutzniveau zu attestieren, zumal dies mit Blick auf Art. 25 Abs. 2 der Richtlinie 95/46/EG 1 bzw. 4b Abs. 3 BDSG mit einem nicht zu vernachlässigendem Prüfaufwand verbunden ist. In diesem Kontext liegt es nahe, sich auf verbindliche Regelungsinstrumente für den Drittlandstransfer zu verlassen, um im Nachhinein nicht mit einer anderen Rechtsauffassung der zuständigen Aufsichtsbehörde für den Datenschutz konfrontiert zu werden. Neben den Standardvertragsklauseln 2, die eine Datenübermittlung in ein Land ohne angemessenes Datenschutzniveau durch Schaffung entsprechender vertraglicher Garantien zugunsten von Betroffenen ermöglichen, existiert in Gestalt der Angemessenheitsentscheidung der Europäischen Kommission ein weiteres Instrumentarium für die Übermittlung personenbezogener Daten in Drittländer. Diese Entscheidung besagt im Wesentlichen, dass im Empfängerland ein nach europäischen datenschutzrechtlichen Maßstäben angemessenes Schutzniveau für den Umgang mit personenbezogenen Daten besteht. Sie hat somit den Anspruch, Datenschutzstandards verbindlich zu bestätigen, so dass eine verantwortliche Stelle, vorausgesetzt es besteht eine Rechtsgrundlage für die Datenübermittlung, auf Basis dieser Entscheidung personenbezogene Daten in das von der Ent- scheidung umfasste Drittland weitergeben kann, ohne für weitere Garantien zugunsten von Betroffenen zwingend sorgen zu müssen 3. Die nachfolgenden Ausführungen sollen zum einen beleuchten, wie die Europäische Kommission überhaupt zu diesem Anspruch gelangt, mithin welche Prüfkriterien sie ihrer Entscheidung zugrunde legt, zum anderen sollen sie kritisch hinterfragen, ob der durch die Einführung datenschutzrechtlicher Vorschriften erzeugte Anspruch hinsichtlich eines angemessenen Datenschutzniveaus im Drittland der dortigen Datenschutz-Realität adäquat entsprechen kann. II. Die Angemessenheitsentscheidung 1. Rechtlicher Rahmen Begleiter einer jeden Angemessenheitsentscheidung ist die gesetzliche Forderung eines angemessenen Datenschutzniveaus, sollten personenbezogene Daten an ausländische Stellen transferiert werden. Ihren Ursprung findet diese Forderung in Art. 25 der EU-Datenschutzrichtlinie 95/46/EG, 1 Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr, Amtsblatt Nr. L 281 vom 23/11/1995 S Ausführlich zur Übermittlung personenbezogener Daten in Drittländer vgl. Hoeren, RDV 2012, 271; Hillenbrand-Beck RDV 2007, 231; Weber/Voigt, ZD 2011, Vgl. Art. 288 Abs. 3 des Vertrags über die Arbeitsweise der Europäischen Union. In Einzelfällen kann es zu einer (vertikalen) unmittelbaren Rechtswirkung einer Richtlinie kommen, wenn der Mitgliedsstaat nicht innerhalb der gesetzten Umsetzungsfrist die Zielvorgabe in innerstaatliches Recht umwandelt.

8 274 RDV 2013 Heft 6 Weiß, Die Angemessenheitsentscheidung der Europäischen Kommission Anspruch und Wirklichkeit die sich die Harmonisierung von Datenschutz-Standards in der Europäischen Union (EU) zur Aufgabe gemacht hat. Art. 25 Abs. 1 der Richtlinie 95/46/EG stellt in diesem Zusammenhang klar, dass die Mitgliedsstaaten Sorge zu tragen haben, dass die Übermittlung personenbezogener Daten, die Gegenstand einer Verarbeitung sind oder nach der Übermittlung verarbeitet werden sollen, zulässig ist, wenn in dem Drittland ein angemessenes Schutzniveau gewährleistet ist. Die Formulierung zeigt, dass die tatsächliche Umsetzung dieser Vorgabe im jeweiligen nationalen Recht der Mitgliedsstaaten umzusetzen ist. Die Richtlinie 95/46/EG entfaltet grundsätzlich keine unmittelbare Rechtswirkung in den Mitgliedsstaaten 4. Aus dem Richtlinientext lässt sich ebenfalls ableiten, dass die Einbeziehung von Vertragspartnern aus der EU aus rechtlicher Sicht keinen negativen Einfluss auf die Datenweitergabe bzw. das angemessene Datenschutzniveau haben kann, zumal der EU- Gesetzgeber durch den Harmonisierungsgedanken von einem einheitlichen und angemessenen Datenschutzniveau in seinen Mitgliedsstaaten ausgeht. Länder außerhalb der EU sind im Zuge der Nomenklatur der EU-Datenschutzrichtlinie als Drittstaaten anzusehen, die zunächst über kein angemessenes Datenschutzniveau verfügen. Ausgenommen hiervon sind Staaten, die dem Abkommen über den Europäischen Wirtschaftsraum (EWR) beigetreten sind und im Zuge dessen die Datenschutz-Standards der EU übernehmen, so auch die Vorgaben der Richtlinie 95/46/EG 5. Um zu verhindern, dass der Verkehr personenbezogener Daten in Länder ohne angemessenes Datenschutzniveau gehemmt wird, verfügt die Richtlinie 95/46/EG in Art. 25 Abs. 6 mittels der Angemessenheitsentscheidung der EU-Kommission über ein Mittel zur Absicherung von Datentransfers in Drittländer. Die Kommission kann nach dem Verfahren des Art. 31 Abs. 2 der Richtlinie 95/46/EG feststellen, dass ein Drittland aufgrund seiner innerstaatlichen Rechtsvorschriften oder internationalen Verpflichtungen, die es auf Basis der Verhandlungen mit der Kommission eingegangen ist, hinsichtlich des Schutzes der Privatsphäre sowie der Freiheiten und Grundrechte von Personen ein angemessenes Schutzniveau gewährleistet. Im Rahmen dieser Angemessenheitsentscheidung kann die EU-Kommission folglich einzelnen Ländern explizit ein angemessenes Datenschutzniveau attestieren. 2. Verfahren Zuständiges Organ für die Angemessenheitsentscheidung ist ausweislich des Art. 25 Abs. 6 der Richtlinie 95/46/EG die EU-Kommission. Nach dem Vertrag über die Arbeitsweise der Europäischen Union (AEUV) sind zwar in erster Linie die EU- Länder für die Umsetzung des EU-Rechts zuständig, es gibt jedoch Einzelfälle, in denen der Kommission und in Ausnahmefällen dem Rat der Europäischen Union durch einen EU- Rechtsakt Durchführungsbefugnisse übertragen werden, sollte es der Schaffung einheitlicher Bedingungen für die Durchführung der verbindlichen Rechtsakte in der EU bedürfen 6. Abzugrenzen sind diese Durchführungsbefugnisse von den delegierten Rechtsakten, die sich beispielsweise im Kommissionentwurf für eine Datenschutz-Grundverordnung 7 wiederfinden. Während die Kommission bei den delegierten Rechtsakten einen Basisrechtsakt selbst ergänzen oder ändern kann 8, geht es bei den Durchführungsrechtsakten im Sinne ihres Wortlauts allein um die Durchführung eines bestehenden legislativen Rechtsakts. Art. 25 Abs. 6 der Richtlinie 95/46/EG fordert im Zuge der Wahrnehmung dieser Durchführungsbefugnisse die Zusammenarbeit der Kommission mit einem Ausschuss (Ausschussverfahren). Dieser Ausschuss wird zwar unter dem Vorsitz eines Vertreters der Kommission geführt, setzt sich im Übrigen aber aus Vertretern der Mitgliedsstaaten zusammen, die mit der eigentlichen Abstimmung betraut sind. Das Ausschussverfahren kann entweder als Beratungs- oder als Prüfverfahren ausgestaltet werden 9. Folglich erhalten die Mitgliedsstaaten trotz der besonderen Durchführungsbefugnisse der Kommission die Möglichkeit, Einfluss auf die jeweilige Angemessenheitsentscheidung zu nehmen. Originär dient das Ausschussverfahren dazu, die Durchführungsbefugnisse der Kommission zu kontrollieren 10. Die Stellungnahme des Ausschusses vollzieht sich in der Regel in Form einer Abstimmung 11, die innerhalb der durch den Vorsitzenden des Ausschusses festgelegten Frist erfolgt 12. Das Europäische Parlament und der Europäische Rat haben jederzeit die Möglichkeit, die Kommission über eine mögliche Überschreitung ihrer Durchführungskompetenzen hinzuweisen. Um dieses Kontrollrecht effektiv wahrnehmen zu können, hat die Kommission die relevanten Dokumente, die dem Ausschuss zugeleitet werden, auch dem Rat und dem Parlament zur Verfügung zu stellen 13. Der Artikel-29-Datenschutzgruppe, als wichtiges Element der Fortbildung eines einheitlichen europäischen Datenschutzrechts, wird bei der Angemessenheitsentscheidung der EU-Kommission zwar keine eigene Rolle zugeschrieben, sie findet jedoch dergestalt Berücksichtigung, dass sie über die explizite Aufgabenzuweisung gemäß Art. 30 Abs. 1 b) der Richtlinie 95/46/EG Stellung hinsichtlich des Schutzniveaus innerhalb der EU oder des EWR sowie in Drittstaaten zu nehmen hat. Insoweit können die nationalen Aufsichtsbehörden zum Datenschutz als Beteiligte der Artikel-29- Datenschutzgruppe ebenfalls Einfluss auf die Angemessenheitsentscheidung der Kommission nehmen, zumal es bis 5 Vgl. Anhang XI 5e (in seiner aktuell gültigen Fassung) des Abkommens über den Europäischen Wirtschaftsraum, Amtsblatt Nr. L 001 vom 03/01/1994 S Vgl. Art. 291 Abs. 2 AEUV. 7 Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz- Grundverordnung), KOM (2012) 11 endgültig. 8 Vgl. Art. 290 AEUV. 9 Vgl. Artikel 4 und 5 der Verordnung (EU) Nr. 182/2011 des Europäischen Parlaments und des Rates vom 16. Februar 2011 zur Festlegung der allgemeinen Regeln und Grundsätze, nach denen die Mitgliedstaaten die Wahrnehmung der Durchführungsbefugnisse durch die Kommission kontrollieren, Amtsblatt Nr. L 055 vom 28/02/2011 S Herdegen, Europarecht 13. Auflage, 8 Rn Vgl. Art. 5 der Verordnung (EU) Nr. 182/2011 des Europäischen Parlaments und des Rates a.a.o. 12 Vgl. Art. 31 Abs. 1 und Abs. 2 der Richtlinie 95/46/EG a.a.o. 13 Vgl. Art. 10 Abs. 4 der Verordnung (EU) Nr. 182/2011.

9 Weiß, Die Angemessenheitsentscheidung der Europäischen Kommission Anspruch und Wirklichkeit RDV 2013 Heft dato 14 zu keiner divergierenden Entscheidung der EU-Kommission im Vergleich zur Stellungnahme der Artikel-29- Datenschutzgruppe gekommen ist. Ebenso besteht zugunsten des Europäischen Datenschutzbeauftragten (EDPS) die Möglichkeit der Meinungskundgabe, immerhin zählt zu dessen Aufgabengebiet die Beratung von EU-Einrichtungen und Organen in allen Fragen, die die Verarbeitung personenbezogener Daten betreffen Bindungswirkung Die Angemessenheitsentscheidung der EU-Kommission ist für die Mitgliedsstaaten grundsätzlich bindend. Dies folgt zum einen aus Art. 25 Abs. 6 Satz 2 der Richtlinie 95/46/ EG, der den Mitgliedsstaaten auferlegt, die aufgrund der Feststellung der Kommission gebotenen Maßnahmen zu treffen. Zum anderen findet sich in Art. 4 Abs. 3 des Vertrags über die Europäische Union (EU-Vertrag, EUV) das Prinzip der loyalen Zusammenarbeit. Dieses Prinzip soll Sorge tragen, dass die Mitgliedsstaaten das EU-Recht einheitlich auslegen und anwenden und damit zur Zweckerreichung der jeweiligen Bestimmung beitragen. Ziel der Angemessenheitsentscheidung ist die Gewährleistung und Förderung grenzüberschreitender Datenströme 16. Die Mitgliedstaaten haben durch die Umsetzung in nationales Recht entsprechend zur Zweckerreichung beizutragen, indem sie die Entscheidung der Kommission hinsichtlich eines angemessenen Datenschutzniveaus anerkennen. Zwar ist die Angemessenheitsentscheidung der EU-Kommission für die Mitgliedstaaten bindend, die zuständigen Aufsichtsbehörden der Mitgliedsstaaten haben jedoch die Möglichkeit, Datenübermittlungen durch verantwortliche Stellen an Empfänger im Drittland unter bestimmten Voraussetzungen 17, so beispielsweise im Falle einer Verletzung von Datenschutz-Vorschriften durch den Empfänger oder bei einer hohen Wahrsch einlichkeit für einen Datenschutz-Verstoß, auszusetzen. Somit geht der Angemessenheitsentscheidung der Kommission eine Indizwirkung aus, die durch die tatsächlichen Gegebenheiten aber entkräftet werden kann. Im Extremfall kann die Kommission eine bereits ergangene Entscheidung zur Angemessenheit eines Datenschutzniveaus für den Einzelfall aussetzen, in seiner Gesamtheit aufheben oder in ihrem Anwendungsbereich beschränken, sollte eine verantwortliche Stelle ihre Aufgaben nicht vollständig erfüllen 18. Für den erforderlichen Informationsstand zur Beurteilung der Möglichkeit eines Datenschutz-Verstoßes sorgt die Kommission dadurch, dass die Mitgliedsstaaten und die Kommission einander benachrichtigen, sollten die Maßnahmen der verantwortlichen Stellen im Drittland nicht ausreichen, um die Einhaltung der Datenschutzvorschriften zu gewährleisten 19. Der Anspruch der Kommission auf Schaffung eines angemessenen Datenschutzniveaus per Beschluss ist folglich stets an den tatsächlichen Gegebenheiten beim Datentransfer zu messen und reicht nur soweit, wie für die verantwortliche Stelle keine Anhaltspunkte für Datenschutzverstöße bestehen. Dies deckt sich mit der Aussage der Artikel-29- Datenschutzgruppe, die im Rahmen einer frühen Stellung- nahme zur Übermittlung personenbezogener Daten in Drittländer ausführt, dass Feststellungen zum angemessenen Datenschutzniveau nur der Orientierung dienten und die Fälle unberührt lassen, in denen es zu besonderen Schwierigkeiten kommt 20. Eine Spezifizierung, wann ein Datenschutz-Verstoß zum Unterlassen des Daten-Exports führen muss, erfolgt jedoch weder seitens der Kommission noch durch die Artikel-29-Datenschutzgruppe. Es ist davon auszugehen, dass im Falle von konkreten Anhaltspunkten für einen Verstoß von wesentlichen Grundsätzen des Datenschutzes oder bereits bei der erwähnten hohen Wahrscheinlichkeit die datenexportierende Stelle die Datenweitergabe zu unterlassen bzw. zu unterbinden hat. 4. Geltungsbereich Im Gegensatz zu den Garantien, die eine verantwortliche Stelle durch vertragliche Klauseln beispielsweise mit einem Vertragspartner zugunsten von Betroffenen schaffen kann, bezieht die Angemessenheitsentscheidung der EU-Kommission grundsätzlich alle Stellen bzw. Empfänger in dem jeweiligen Land in die Aussage über die Angemessenheit des Schutzniveaus personenbezogener Daten ein und ist damit für eine große Anzahl von Fällen ausgelegt. Die verantwortliche Stelle hat dann zumindest im Einzelfall nicht mehr zu prüfen, ob die Voraussetzungen des Art. 25 Abs. 2 der Richtlinie 95/46/EG, respektive die Vorgaben der nationalen Bestimmung bezüglich des angemessenen Schutzniveaus erfüllt sind. Hiervon unberührt sind Angemessenheitsentscheidungen, die einen eingeschränkten Anwendungsbereich vorweisen Mit Ausnahme der Entscheidung 2004/535/EG der Kommission bezüglich der Angemessenheit des Schutzes der personenbezogenen Daten, die in den Passenger Name Records enthalten sind, welche dem United States Bureau of Customs and Border Protection übermittelt werden sollten. 15 Vgl. Art. 41 der Verordnung (EG) Nr. 45/2001 des Europäischen Parlaments und des Rates vom 18. Dezember 2000 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe und Einrichtungen der Gemeinschaft und zum freien Datenverkehr, Amtsblatt Nr. L 008 vom S Vgl. Erwägungsgrund 56 der Richtlinie 95/46/EG a.a.o. 17 Vgl. Art. 2 Abs. 1 des Durchführungsbeschlusses der Kommission vom 21. August 2012 gemäß der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates über die Angemessenheit des Datenschutzniveaus in der Republik Östlich des Uruguay im Hinblick auf die automatisierte Verarbeitung personenbezogener Daten, Az. C(2012) 5704; vgl. Art. 3 Abs. 1 der Entscheidung der Kommission vom gemäß der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates über die Angemessenheit des Datenschutzniveaus in Argentinien, K(2003) Vgl. stellvertretend für sämtliche Angemessenheitsentscheidungen, Art. 3 Abs. 3 des Durchführungsbeschlusses der Kommission vom 21. August 2012 a.a.o. 19 Vgl. stellvertretend für sämtliche Angemessenheitsentscheidungen, Art. 4 Abs. 2 des Beschlusses der Kommission vom 5. März 2010 gemäß der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates über die Angemessenheit des Schutzniveaus, den das färöische Gesetz über die Verarbeitung personenbezogener Daten bietet, Az. K(2010) Vgl. Kapitel 6 (i) der Arbeitsunterlage der Artikel-29-Datenschutzgruppe vom , Übermittlungen personenbezogener Daten an Drittländer: Anwendung von Artikel 25 und 26 der Datenschutzrichtlinie der EU (WP 12). 21 So z.b. die Entscheidung der Kommission vom 20. Dezember 2001 gemäß der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates über die Angemessenheit des Datenschutzes, den das kanadische Personal Information Protection and Electronic Documents Act bietet, Az. K(2001) 4539.

10 276 RDV 2013 Heft 6 Weiß, Die Angemessenheitsentscheidung der Europäischen Kommission Anspruch und Wirklichkeit 5. Überprüfbarkeit Die Entscheidung der Kommission hinsichtlich des angemessenen Datenschutzniveaus unterliegt als Unionsrecht der gerichtlichen Kontrolle durch den Gerichtshof der Europäischen Union (EuGH) 22. So kam es bereits zu einer Aufhebung einer Angemessenheitsentscheidung der EU-Kommission im Zuge des ersten Abkommens über die Übermittlung von Passagierdaten an die USA 23. Im konkreten Fall hatte die EU-Kommission mit ihrer Angemessenheitsentscheidung bezüglich der Passagierdaten ihre Befugnisse dadurch überschritten, dass der sachliche Anwendungsbereich der EU- Datenschutzrichtlinie für den Sachverhalt nicht eröffnet war Materielle Prüfkriterien a) Ausgangslage Angemessenheitsentscheidungen der EU-Kommission liegen bereits in einer Vielzahl vor 25, zeichnen sich jedoch berechtigterweise durch einen isolierten Entscheidungsprozess im Einzelfall aus. Im Zuge dessen vermeidet es die EU-Kommission, ihre Prüfkriterien für die Beurteilung des Datenschutzniveaus eines Prüfkandidaten anhand eines zentralen Prüfkatalogs offenzulegen. Neben der erforderlichen Einzelfallbetrachtung resultieren die relativ unbestimmten Prüfkriterien aus dem Wortlaut der Richtlinie 95/46/EG selbst. Gemäß Art. 25 Abs. 2 sind bei der Beurteilung des Datenschutzniveaus alle Umstände zu berücksichtigen, die bei einer Datenübermittlung eine Rolle spielen 26. Dementsprechend würde ein vorgefertigter Prüfkatalog Gefahr laufen, relevante Parameter bei der Entscheidungsfindung nicht zu berücksichtigen. Nichtsdestoweniger finden sich in den ergangenen Angemessenheitsentscheidungen Hinweise zu den zugrunde liegenden Prüfkriterien. Gerade bei jüngeren Entscheidungen zur Angemessenheit des Datenschutzniveaus lässt sich ein wiederkehrendes Muster bei den Entscheidungsgründen identifizieren. Als Grundmaßstab für das europäische Datenschutzniveau ist der Richtlinie 95/46/EG eine elementare Rolle bei den aufzustellenden materiellen Prüfkriterien zuzubilligen 27. Ferner spezifiziert die Richtlinie über Art. 25 Abs. 2 die indikatoren für die Bestimmung eines angemessenen Datenschutzniveaus im Drittland, so die dort geltenden allgemeinen oder sektorspezifischen Rechtsnormen mit Datenschutzbezug. Ebenso kann das Arbeitspapier Nr der Artikel-29-Datenschutzgruppe als fundamentale Arbeitsunterlage identifiziert werden, immerhin widmet es sich den Kriterien für die Bestimmung eines angemessenen Schutzniveaus im Drittland und findet Beachtung in zahlreichen Stellungnahmen der Artikel-29-Datenschutzgruppe 29 sowie in den Kommissionsentscheidungen selbst 30. Für die Beurteilung eines angemessenen Datenschutzniveaus sind die vorhandenen Grundprinzipien auf europäischer Ebene den gültigen nationalen Bestimmungen des Drittlands zum Schutz personenbezogener Daten gegenüberzustellen. Nach der Analyse bereits ergangener Entscheidungen der Kommission erfolgt diese Gegenüberstellung anhand von zentralen Schlüsselelementen, die im Folgenden aufgezeigt werden sollen. b) Bestimmung des allgemeinen Rechtsrahmens Die Bestimmung des vorhandenen allgemeinen Rechtsrahmens mit Datenschutzbezug beim Prüfkandidaten für das angemessene Datenschutzniveau erschöpft sich nach dem Willen der Kommission nicht auf der einfachgesetzlichen Ebene, sondern soll ebenfalls verfassungsrechtliche Grundsätze, ratifizierte völkerrechtliche Verträge mit Datenschutzbezug sowie alle sonstigen international anerkannten Vorgaben zum Datenschutz berücksichtigen 31. Vor allem in Ländern des süd- und mittelamerikanischen Rechtsraums 32, aber auch in Teilen kontinentaler Regelwerke 33, werden vorhandene Gesetze zum Datenschutz um Verordnungen ergänzt, um verschiedene Aspekte des Gesetzes zu erläutern und ausführliche Vorschriften zu der Organisation, den Befugnissen und der Arbeitsweise der Datenschutzaufsichtsbe- 22 Vgl. Herdegen, Europarecht 13. Auflage, 7 Rn EugH Urteil vom C-317,318/ Ausführlich hierzu Ehricke/Becker/Walzel, RDV 2006, 149; Simitis, NJW 2006, 2011; Westphal, EuZW 2006, 406 ff Vgl. auch Erwägungsgrund 3 des Durchführungsbeschlusses der Kommission vom 21. August 2012 gemäß der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates über die Angemessenheit des Datenschutzniveaus in der Republik Östlich des Uruguay a.a.o.; Erwägungsgrund 3 der Entscheidung der Kommission vom gemäß der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates über die Angemessenheit des Datenschutzniveaus in Argentinien, K(2003) Vgl. Punkt 2 der Stellungnahme 4/2002 der Artikel-29-Datenschutzgruppe vom zum Niveau des Schutzes personenbezogener Daten in Argentinien (WP 63); Erwägungsgrund 7 des Beschlusses der Kommission vom 19. Oktober 2010 gemäß der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates über die Angemessenheit des Datenschutzniveaus in Andorra, Az. K(2010) Artikel-29-Datenschutzgruppe, Arbeitsunterlage vom a.a.o. 29 So beispielsweise Punkt 1 der Stellungnahme 07/2012 der Artikel-29- Datenschutzgruppe vom zum Schutzniveau für personenbezogene Daten im Fürstentum Monaco (WP 198); Erwägungsgrund 3 der Entscheidung der Kommission vom 26. Juli 2000 gemäß der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates über die Angemessenheit des Schutzes personenbezogener Daten in der Schweiz, Az. K(2000) Vgl. Entscheidung der Kommission vom a.a.o., S. 2; Erwägungsgrund 3 der Entscheidung der Kommission vom 20. Dezember 2001 gemäß der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates über die Angemessenheit des Datenschutzes, den das kanadische Personal Information Protection and Electronic Documents Act bietet, Az. K(2001) So z.b. das Übereinkommen zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten vom , SEV-Nr.: 108; Richtlinien der OECD über Datenschutz und grenzüberschreitende Ströme personenbezogener Daten vom ; Richtlinien betreffend personenbezogene Daten in automatisierten Dateien von der Generalversammlung der Vereinten Nationen vom 14. Dezember Einzelne, jedoch nicht abschließende Beispiele: Reglamento a la Ley de Protección de la Persona frente al Tratamiento de sus Datos Personales, Decreto Ejecutivo n.º JP (Costa Rica); Reglamento de la Ley Nº 29733, Ley de Protección de Datos Personales, Decreto Supremo Nº JUS (Péru); Reglamento de la Ley de Protección de Datos Personales, Decreto N 414/009 (Uruguay). 33 So beispielsweise die Fürstliche Verordnung Nr vom zur Festlegung der Durchführungsbestimmungen für das monegassische Datenschutzgesetz Nr

11 Weiß, Die Angemessenheitsentscheidung der Europäischen Kommission Anspruch und Wirklichkeit RDV 2013 Heft die materiellen Prüfkriterien der Kommission darzulegen. Nichtsdestoweniger zeigt sich anhand mehrerer, vor allem in jüngerer Zeit ergangener Entscheidungsfindungen, dass bestimmte Grundaussagen in der Entscheidung wiederholt hervorgehoben werden. Ausgangspunkt einer jeden Prüfung bildet die Reichweite der gültigen Rechtsnormen, immerhin muss die Kommission zum einen entscheiden, ob diese als angemessen zu erachten ist, zum anderen wird dieser Umstand bei der Frage relevant, ob die Entscheidung teilweise in ihrem Anwendungsbereich zu beschränken ist 34. Ein wichtiger Eckpfeiler bildet bei der weiteren Prüfung die Verankerung des Prinzips der Zweckbindung der Datenverarbeitung im vorhandenen Rechtsrahmen, so beispielsweise im jeweiligen Datenschutzgesetz. In diesem Zusammenhang ist sicherzustellen, dass eine Änderung des Verarbeitungszwecks nicht ohne entsprechende gesetzliche Erlaubnis von statten gehen kann. Die dem deutschen datenschutzrechtlichen Sprachgebrauch etwas ungewöhnlich anmutende Vorgabe der Datenqualität und Datenverhältnismäßigkeit fordert zum einen die verbindliche gesetzliche Aussage, dass Daten sachlich richtig und, wenn nötig, auf dem neuesten Stand sein müssen. Ferner sollten die Daten angemessen, relevant und im Hinblick auf die Zweckbestimmung, für die sie übertragen oder weiterverarbeitet werden, nicht exzessiv sein. Gesetzliche Bestimmungen zur Transparenz der Datenverarbeitung sind ebenso von Belang. Natürliche Personen müssen Informationen über die Zweckbestimmung der Verarbeitung und die Identität des im Drittland für die Verarbeitung Verantwortlichen sowie andere Informationen erhalten, sofern dies aus Billigkeitsgründen erforderlich ist. Ausnahmen sind lediglich im Einklang mit der Richtlinie 95/46/EG möglich, so beispielsweise wenn die Information des Betroffenen im Rahmen der Verarbeitung für Zwecke der Statistik oder der historischen oder wissenschaftlichen Forschung unmöglich ist oder einen unverhältnismäßigen Aufwand erfordert. Den Beteiligten bei der Entscheidungsfindung ist dabei wichtig, dass die Anforderungen an die Transparenz nicht mit der Rechtsmäßigkeit der Datenverarbeitung unmittelbar im Zusammenhang stehen und dementsprechend von dieser auch nicht abhängig sind 35. Im Weiteren sind Regelungen zur Datensicherheit relevant, die mit Blick auf die Risiken der Verarbeitung geeignete technisch-organisatorische Sicherheitsmaßnahmen zu fordern haben. Dies beinhaltet auch die Pflicht zur weisungsgebundenen Verarbeitung personenbezogener Daten durch Auftragnehmer einer Auftragsdatenverarbeitung. Der fehlende Verweis auf eine eigene Norm zur Auftragsdatenverarbeitung innerhalb der Entscheidungen der Kommission oder in den Stellungnahmen der Artikel-29-Datenschutzhörde niederzulegen. Gerade solche Klarstellungen sind für eine Beurteilung der Effektivität der noch zu untersuchenden verfahrensrechtlichen Mittel von Bedeutung und werden in die Dokumentensichtung der Kommission mit einbezogen. Mit Blick auf die explizite Erwähnung der allgemeinen oder sektoriellen Rechtsnormen zum Datenschutz über Art. 25 Abs. 2 der Richtlinie 95/46/EG sowie nach Sichtung der relevanten Dokumente zu bereits ergangenen Angemessenheitsentscheidungen zeigt sich, dass der vorhandene nationale Rechtsrahmen für die Entscheidungsfindung von wesentlicher Bedeutung ist. Korrespondierende Inhalte des jeweiligen Prüfkandidaten zu den europäischen Datenschutzgrundsätzen werden sich aufgrund ihres umfangreichen Regelungsbedürfnisses vorwiegend auf der einfachgesetzlichen Ebene wiederfinden. Zwar muss eine entsprechende Normierung nicht zwingend in einem zentral kodifizierten Datenschutzgesetz erfolgen, immerhin kann die Kommission auch sektoralen Vorschriften ein angemessenes Datenschutzniveau attestieren (vgl. Art. 25 Abs. 2 der Richtlinie 95/46/EG), der jeweilige Prüfkandidat wird jedoch ein Interesse daran haben, einen möglichst großen Anwendungsbereich für die Angemessenheitsentscheidung zu schaffen. Unabhängig von der Art der Kodifizierung sollten sich die darin verankerten Grundsätze an den europäischen Vorgaben orientieren. Insofern prüft die Kommission im Detail, ob die rechtlichen Vorgaben der nationalen Gesetze den Anforderungen des europäischen Standards genügen oder ob sie zu diesem eventuell im Widerspruch stehen. Aus europäischer Sicht anerkannt ist dabei, dass zur Wahrung wichtiger öffentlicher Interessen Ausnahmen und Einschränkungen beim Schutz personenbezogener Daten vor genommen werden können. Sie müssen jedoch den Grundsätzen der Richtlinie 95/46/EG Rechnung tragen. c) Inhaltliche Grundsätze Aus den Erläuterungen der Kommission sowie der Artikel- 29-Datenschutzgruppe bezüglich bereits ergangener Angemessenheitsentscheidungen ergibt sich, dass der vorhandene Rechtsrahmen mit seinen datenschutzrechtlichen Bestimmungen einer Vollständigkeits-, Schlüssigkeits- und Plausibilitätsprüfung durch die Kommission bzw. die weiteren Beteiligten bei der Entscheidungsfindung unterzogen wird. Zu vergleichen wäre dieser Vorgang mit dem Audit eines Auftragsdatenverarbeiters, der seinem Auftraggeber hier der Kommission seine Dokumentationen mit Datenschutzbezug zur Prüfung übergibt. Naturgemäß unterliegen gesetzliche Normen der Auslegung bzw. sind mit entsprechenden Erläuterungen zu versehen, die sich noch nicht unmittelbar aus dem Gesetzeswortlaut herleiten lassen. In diesem Zusammenhang ist die Kommission auch auf Erläuterungen und Zusicherungen des Prüfkandidaten angewiesen, die sich auf die Anwendung der gesetzlichen Vorschriften beziehen. Hierzu tritt die Kommission mit dem jeweiligen Kandidaten in einen entsprechenden Dialog. An dieser Stelle wäre es verfehlt, die Grundaussagen der Richtlinie 95/46/EG in ausführlicher Form vorzustellen, um 34 So beispielsweise eine Beschränkung der Angemessenheitsentscheidung zugunsten Israels auf automatisierte Übermittlungen und Verarbeitungen personenbezogener Daten oder eine Limitierung des angemessenen Datenschutzniveaus auf Empfänger, die einem bestimmten Gesetz unterliegen (Kanada). 35 Vgl. Punkt 2.1 der Stellungnahme 4/2002 der Artikel-29-Datenschutzgruppe vom zum Niveau des Schutzes personenbezogener Daten in Argentinien (WP 63).

12 278 RDV 2013 Heft 6 Weiß, Die Angemessenheitsentscheidung der Europäischen Kommission Anspruch und Wirklichkeit gruppe lässt sich dergestalt erklären, dass die Richtlinie 95/46/EG ebenfalls keine eigenständige Vorschrift für dieses Rechtskonstrukt vorsieht und diesbezügliche Regelungen in Art. 17 unter die Sicherheit der Verarbeitung fasst. Einen festen Bestandteil des Prüfkatalogs bilden naturgemäß auch die Betroffenenrechte, so das Recht auf Zugang zu personenbezogenen Daten bzw. deren Berichtigung. Ebenso müssen die gesetzlichen Vorschriften dem Betroffenen in bestimmten Fällen ein Widerspruchsrecht zubilligen. Ausnahmen hiervon sind nur anhand der Vorgaben des Art. 13 der Richtlinie 95/46/EG zulässig. In Fortführung des in Art. 25 Abs. 1 der Richtlinie 95/46/ EG verankerten Grundsatzes des angemessenen Datenschutzniveaus muss, sollten personenbezogene Daten in ein Drittland transferiert werden, die Weiterübermittlung von personenbezogenen Daten aus dem jeweiligen Drittland in ein weiteres Drittland unter dem Vorbehalt eines angemessenen Datenschutzniveaus stehen. D.h. die jeweilige rechtsverbindliche Datenschutznorm des Prüfkandidaten hat der Vorgabe des Art. 25 Abs. 1 der Richtlinie 95/46/EG zu entsprechen. Ausnahmen vom Grundsatz des angemessenen Schutzniveaus, so beispielsweise bei Einwilligung des Betroffenen, sollten Art. 26 der Richtlinie 95/46/EG entsprechen, wobei gewisse Abweichungen nicht automatisch zu einem unzureichenden Schutzniveau führen müssen 36. Im Weiteren hat der allgemeine Rechtsrahmen des Prüfkandidaten im besonderen Maße die Verarbeitung sensibler personenbezogener Daten zu reglementieren, so insbesondere die Richtlinienvorgabe, dass sensible Informationen nur verarbeitet werden dürfen, falls die betroffene Person ausdrücklich hierzu ihre Einwilligung erteilt hat. Den Prüfkandidaten steht es in diesem Zusammenhang frei, den Katalog der sensiblen personenbezogenen Daten aus Art. 8 Abs. 1 der Richtlinie 95/46/EG zu erweitern 37. Werden Daten zum Zwecke der Direktwerbung übermittelt, so muss eine gesetzliche Norm der betroffenen Person zumindest die Möglichkeit eröffnen, sich jederzeit gegen die Verwendung ihrer Daten für derartige Zwecke zu entscheiden. Dass die Datenweitergabe an eine vorherige Einwilligungserklärung des Betroffenen geknüpft wird, ist nicht Bestandteil der Richtlinienvorgabe, kann aber seitens des Prüfkandidaten im Sinne einer strengeren Anforderung kodifiziert werden 38. Dass eine gänzlich fehlende gesetzliche Regelung zu einem aus Sicht des europäischen Datenschutzes regelungsbedürftigem Bereich, hier der automatisierten Einzelentscheidung, kein Hindernis für eine Anerkennung auf ein angemessenes Schutzniveau sein muss, zeigt die Angemessenheitsentscheidung der Kommission zugunsten Argentiniens. In diesem Zusammenhang führt die Artikel-29-Datenschutzgruppe in ihrer Stellungnahme an, dass sich sonstige Regelungen zugunsten des Betroffenen, die den Bereich der automatisierten Einzelentscheidung zumindest mittelbar betreffen, kompensatorisch auswirken können. Hergeleitet wird dieser Ansatz wiederum aus Art. 25 Abs. 2 der Richtlinie 95/46/EG, der bei der Entscheidungsfindung alle Umstände berücksichtigen möchte. Dies bedeutet, dass ein Abweichen von Datenschutzgrundsätzen im Einzelfall durch anderweitige Regelungen aufgefangen werden kann. d) Verfahrensrechtliche Mechanismen Ebenso relevant für die Angemessenheit eines Datenschutzniveaus sind vorhandene verfahrensrechtliche Mechanismen zur Stärkung von Betroffenenrechten. Das zu untersuchende Datenschutzsystem, das durch die gesetzlichen Verfahrensregeln Ausdruck findet, sollte im Wesentlichen drei Ziele verfolgen 39. Einerseits bedarf es der Gewährleistung einer guten Befolgungsrate der geltenden Vorschriften. Dies bedeutet, dass sich die für die Verarbeitung Verantwortlichen ihrer Pflichten, sowie die Betroffenen sich ihrer Rechte und der Mittel für deren Wahrnehmung sehr stark bewusst sind. Hierzu zählt auch die Existenz abschreckender Sanktionen sowie Systeme der direkten Überprüfung. Des Weiteren hat das jeweilige Datenschutzsystem einzelne betroffene Personen bei der Wahrnehmung ihrer Rechte zu unterstützen, wobei eine Rechtsdurchsetzung zügig und wirksam erfolgen können muss. Abschließend muss innerhalb der legislativen Instrumente eine angemessene Entschädigung für die geschädigte Person vorgesehen werden, sollte es zu einem Verstoß gegen Datenschutzbestimmungen kommen. Neben den Kontrollstellen kann mittels administrativer und gerichtlicher Rechtsbehelfe die Durchsetzung der rechtlich manifestierten Betroffenenrechte gefördert werden. Hierzu findet sich wiederum im süd- und mittelameri kanischen Raum der häufig anzutreffende Habeas-data-Rechtsbehelf, der es den Betroffenen ermöglicht, den für die Verarbeitung Verantwortlichen vor Gericht zu bringen, um ihr Recht auf Zugang, Berichtigung und Löschung einzuklagen 40. III. Auswirkungen des Entwurfs einer Datenschutz-Grundverordnung auf die Angemessenheitsentscheidung Konsultiert man den Entwurf der Kommission für eine Datenschutz-Grundverordnung, soll die Angemessenheitsentscheidung als Indikator für ein angemessenes Datenschutzniveau in einem Drittland auch in der zukünftigen 36 So in der Stellungnahme 4/2002 der Artikel-29-Datenschutzgruppe a.a.o., in der die Ausnahmeregelung Argentiniens zur Übermittlung personenbezogener Daten in Drittstaaten ohne angemessenes Datenschutzniveau zu Zwecken der erforderlichen Behandlung von Betroffenen als zu weit angesehen wurde. 37 So beispielsweise das Fürstentum Monaco, das zu den sensiblen personenbezogenen Daten auch genetische Daten, Daten zum Lebensstil einer Person sowie auf Maßnahmen der Sozialfürsorge erstreckt, vgl. Punkt 3.3 b) 1) der Stellungnahme 07/12 Artikel- 29-Datenschutzgruppe a.a.o. 38 Vgl. Punkt 2.1 (S. 9) der Stellungnahme 9/2007 der Artikel-29-Datenschutzgruppe vom zum Umfang des Schutzes personenbezogener Daten auf den Färöern (WP 142); Artikel 9 Abs. 3 des Färöischen Datenschutzgesetzes. 39 Vgl. S. 7 ff. der Arbeitsunterlage der Artikel-29-Datenschutzgruppe vom a.a.o. 40 Vgl. Erwägungsgrund 7 der Entscheidung der Kommission vom a.a.o.; Art. 43 der Argentinischen Verfassung; Erwägungsgrund 5 des Durchführungsbeschlusses der Kommission vom 21. August 2012 a.a.o. Art. 37 des Uruguayischen Datenschutzgesetzes Nr

13 Weiß, Die Angemessenheitsentscheidung der Europäischen Kommission Anspruch und Wirklichkeit RDV 2013 Heft europäischen Datenschutzwelt Bestand haben. Allerdings soll das Institut der Angemessenheitsentscheidung flexibler ausgestaltet werden 41, indem ein einheitliches Datenschutzniveau auch zugunsten eines Verarbeitungssektors, einer internationalen Organisation, eines Teilgebiets oder, in Anlehnung an die bisherige verbreitete Praxis, zugunsten eines Landes ausgesprochen werden kann. In Umkehr einer positiven Angemessenheitsentscheidung sieht der Entwurf die Möglichkeit einer expliziten Unangemessenheitsentscheidung durch die Kommission vor. In einem solchen Fall wäre es einer verantwortlichen Stelle verwehrt, ein angemessenes Datenschutzniveau mit eigenen Bordmitteln zu ermitteln bzw. zu schaffen. Was bisher ergangene Angemessenheitsentscheidungen anbelangt, stellt sich die Frage, ob diese mit Blick auf die Datenschutz-Grundverordnung als neues Regelungsinstrument mit neuen Regelungsinhalten noch Bestand haben können. Denn immerhin ergehen die Entscheidungen über das jeweilige Datenschutzniveau auf Grundlage der jeweils gültigen europäischen Vorgabe und sollen zukünftige Übermittlungen legitimieren. Sollte die Richtlinie 95/46/EG durch eine Datenschutz-Grundverordnung abgelöst werden, liegen neue Datenschutzinhalte vor. Da die Angemessenheitsentscheidungen mit Blick auf die Ausführungen der Kommission ohnehin keinen Bestandscharakter genießen, ist zu erwarten, dass bereits ergangene Angemessenheitsentscheidungen einer erneuten Begutachtung unterzogen werden. IV. Fazit Die vorstehenden Ausführungen zeigen einerseits, dass das Instrument der Angemessenheitsentscheidung nur bedingt dafür geeignet ist, als bloßes Werkzeug auf der Checkliste des Verantwortlichen für den Datenschutz zu fungieren, um den Datentransfer in ein Drittland zu legitimieren. Vielmehr geht von der Entscheidung der Kommission eine Indizwirkung aus, die im Einzelfall durch die tatsächlichen Gegebenheiten beim Datenexport erschüttert werden kann. Fraglich ist, ob sich die tatsächlichen Gegebenheiten nicht schon weiter als bisher geschehen auf die Angemessenheitsentscheidung auswirken sollen. Zwar verweist die Kommission darauf, dass die Angemessenheitsentscheidung alle Umstände mit einbeziehen möchte, ein zu fordernder Realitätsbezug bezüglich des Umgangs mit personenbezogenen Daten im Drittland folglich vorhanden ist, allerdings ist eine Schwerpunktsetzung der Angemessenheitsprüfung auf die legislativen bzw. verfahrensrechtlichen Mittel nicht von der Hand zu weisen. Strenge gesetzliche Vorgaben zum Umgang mit personenbezogenen Daten, wie sie vor allem in den neuen legislativen Bestrebungen im südamerikanischen Raum vorzufinden sind, können aber noch keine Aussage darüber treffen, wie die rechtlichen Vorgaben gerade in der unternehmerischen Praxis umgesetzt werden. Immerhin sind zum Zeitpunkt der Angemessenheitsentscheidung oftmals noch keine weitreichenden Auswertungen seitens der jeweiligen Aufsichtsbe- hörde zum Datenschutzniveau vorhanden, zumal deren Errichtung bei den Prüfkandidaten teilweise zum Zeitpunkt des Antrags auf Bescheinigung eines angemessenen Datenschutzniveaus noch nicht lange zurückreicht 42. Dies hindert Beteiligte an der europäischen Entscheidungsfindung jedoch nicht daran, sich zu diesem Zeitpunkt für ein angemessenes Datenschutzniveau auszusprechen. So heißt es in der Stellungnahme der Aritkel-29-Datenschutzgruppe hinsichtlich der Angemessenheit des Schutzniveaus personenbezogener Daten in Argentinien: Die vorliegende Stellungnahme wurde auf der Grundlage dieser Annahmen und Erläuterungen verfasst, ohne dass auf nennenswerte Erfahrungen mit der praktischen Anwendung der Rechtsvorschriften auf föderaler oder provinzieller Ebene hätte zurückgegriffen werden können. 43 D.h. die Artikel-29- Datenschutzgruppe gibt zumindest zu bedenken, dass eine fehlende Erkenntnis über die praktische Anwendung der aufgestellten Datenschutzgrundsätze vorliegt. Zu fragen ist jedoch, warum man diese gelebte Praxis mittels Erhebungen der zuständigen Aufsichtsbehörde nicht bereits in die Entscheidungsfindung mit einbezieht. Im Zuge der eingeschlagenen Vorgehensweise wird dieser Punkt zunächst übergangen und muss gegebenenfalls über einen Aufhebungsbeschluss korrigiert werden. Zu diesem Zeitpunkt wurde die Möglichkeit einer Datenübermittlung auf Basis der Kommissionsentscheidung jedoch bereits eröffnet. Zumindest wäre anzudenken, den Kommissionsbeschluss mit der Auflage einer Anwendungserhebung zu versehen, deren Ergebnis nach einem festgelegten Zeitraum der Kommission durch die zuständige Aufsichtsbehörde zu übermitteln ist. Das dadurch erzeugte Abbild der datenschutzrechtlichen Wirklichkeit könnte so den durch die gesetzlichen Vorgaben erzeugten Anspruch des Schutzes personenbezogener Daten wirksam ergänzen. 41 Vgl. Artikel 41 des Entwurfs einer Datenschutz-Grundverordnung a.a.o. 42 So beispielsweise die Errichtung der monegassischen Aufsichtsbehörde CCIN in demselben Jahr der Antragstellung zur Angemessenheitsprüfung, vgl. Stellungnahme 07/2012 der Artikel-29-Datenschutzgruppe a.a.o. 43 Punkt 3 der Entscheidung der Kommission vom a.a.o. Steffen Weiß, LL.M. ist Repräsentant Internationales bei der GDD und aktives Mitglied des europäischen Datenschutz-Dachverbands CEDPO. Er studierte Rechtswissenschaften an der Universität Heidelberg und erlangte den akademischen Grad des Master of Laws über seine Teilnahme am European Legal Informatics Study Programme. Vor seiner Tätigkeit bei der GDD war er Berater in Sachen Datenschutz für öffentliche und nicht öffentliche Stellen. Er hält regelmäßig Vorträge zu datenschutzrechtlichen Themen auf nationalem und internationalem Terrain.

14 280 RDV 2013 Heft 6 Zilkens, Datenschutz im Melderecht nach dem neuen Bundesmeldegesetz Dr. Martin Zilkens Datenschutz im Melderecht nach dem neuen Bundesmeldegesetz Das Melderecht hat nach Änderung der Gesetzgebungszuständigkeit eine neue, bundeseinheitliche Regelung erhalten. Aufgrund der Funktion des Meldewesens als zentralem Dienstleister für die Bereitstellung von Daten zur öffentlichen Aufgabenerfüllung ist mit dem Gesetz auch der Zugang öffentlicher Stellen zu bestehenden Meldedatenbeständen verbessert worden. Der Beitrag gibt einen Überblick über die Regelungsinhalte und zeigt Hintergründe und mögliche Problemfelder auf. I. Vorbemerkung Durch die sog. Föderalismus-Reform 1 hat sich die Gesetzgebungszuständigkeit für das Melderecht verändert. Im Zuge der Abschaffung der Rahmengesetzgebung, zu der bisher das Meldewesen gehört hatte, wurde diese Materie nunmehr in die ausschließliche Gesetzgebungskompetenz des Bundes überführt, von der dieser mit dem Erlass eines Bundesmeldegesetzes 2 Gebrauch gemacht hat. Das Meldewesen ist Kern der staatlichen Verwaltung und betrifft jeden Einwohner 3. Mit dem Bezug einer neuen Wohnung wird die allgemeine Meldepflicht ausgelöst 4. Eine Abmeldung ist nur verpflichtend, sofern keine neue Wohnung im Inland bezogen wird. Im Zuge der Elektronifizierung von Verwaltungsabläufen erfordern Datenschutz und Datensicherheit in diesem Bereich ein besonderes Augenmerk. Zwischenzeitlich wurde die Möglichkeit der Anmeldung über das Internet eröffnet, und den Bürgern kann ein Online-Zugriff auf im Melderegister gespeicherte Daten zur Verfügung gestellt werden 5. Die Meldebehörden unterrichten sich gegenseitig auf elektronischem Wege über Zu- und Fortzüge, Personenstandsänderungen etc. Der elektronische Datenaustausch zwischen den Behörden ist mittlerweile verbindlich vorgeschrieben 6. Um datenschutzrechtlichen Anforderungen gerecht zu werden, stehen neue Technologien, wie insbesondere die elektronische Signatur und der Standard OSCI (Online Service Computer Interfaces), zur Verfügung 7. II. Grundlagen 1. Aufgaben der Meldebehörden Im Meldegesetz finden sich die gesetzlichen Definitionen der Aufgaben der Meldebehörden 8 und Regelungen zu Zweckbindung und Verarbeitung der Meldedaten. Die Meldebehörden haben die in ihrem Zuständigkeitsbereich Wohnenden zu registrieren, um deren Identität und Wohnung feststellen und nachweisen zu können, erteilen Melderegisterauskünfte, wirken bei der Durchführung von Aufgaben anderer Behörden oder sonstiger öffentlicher Stellen mit und übermitteln Daten. Zur Erfüllung ihrer Aufgaben führen die Meldebe hörden Melderegister. Darin werden die Grunddaten des einwohners 9 sowie weitere sog. indirekte Meldedaten gespeichert, 10 die zur eigentlichen Aufgabenerfüllung der Kommunen benötigt und in Annexzuständigkeit im Meldeamt verarbeitet werden. Die indirekten Daten sind für die jeweils im Gesetz genannte Zweckbestimmung gesondert zu speichern und dürfen nicht mit anderen Daten verknüpft werden. 2. Richtigkeit und Vollständigkeit des Melde registers Die kommunalen Melderegister sind in der Praxis nicht immer richtig und vollständig 11. Seit der Meldebehörde bei Ein- und Auszug keine Bestätigung des Wohnungsgebers mehr vorgelegt werden musste, 12 war auch die Gefahr von Scheinanmeldungen größer geworden. Die Bestätigung des Wohnungsgebers wird mit dem Bundesmeldegesetz wieder eingeführt 13. Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder (DSK) sieht diese Wiedereinfüh- 1 Gesetz zur Änderung des GG v , BGBl. I, S Art. 1 des Gesetzes zur Fortentwicklung des Meldewesens v , BGBl. I, S Das Gesetz soll 2 Jahre später am in Kraft treten (Art. 4). 3 Zum Einwohner-Begriff vgl. z.b. 21 GO NRW Abs. 1 BMG. 5 Hessen, Bayern und Baden-Württemberg betreiben ein gemeinsames Internet-Portal für die zentrale einfache Melderegisterauskunft (ZEMA), über das in die Register mehrerer Kommunen online eingesehen werden kann. 6 Seit dem Online Services Computer Interface (OSCI) ist der Name eines Protokollstandards für die deutsche Kommunalwirtschaft. Über das Internet können private und öffentliche Dienstleister mit ihren Kunden rechtlich anerkannte, elektronisch signierte und chiffrierte Dokumente sicher austauschen. OSCI wurde unter Federführung der OSCI- Leitstelle in Bremen entwickelt und mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) abgestimmt. Einzelheiten und aktuelle Informationen zu OSCI finden sich unter der Adresse: www. osci.de. Im Melderecht gilt der Standard XMeld. Bei vielen Meldebehörden sind überregional vereinheitlichte Programm-Standards im Einsatz, z.b. OK EWO oder MESO. 8 2 BMG. 9 3 Abs. 1 BMG: Diese bestehen aus insgesamt 19 Titeln und reichen vom Namen bis zum Sterbetag Abs. 2 BMG. 11 Diese Registerlücken werden in Großstädten auf ca. 2,4 % geschätzt und sind in der Regel auf Melderechtsverstöße bzw. -versäumnisse der Bürger zurückzuführen. 12 Dies wurde mit Gesetz zur Änderung des Melderechtsrahmengesetzes vom (BGBl. I S.1186) zum abgeschafft. In einigen Bundesländern wurde das Erfordernis der Bestätigung durch den Wohnungsgeber schon zuvor abgeschafft. In Niedersachsen war es bereits 1985 nicht mehr in das Landesmeldegesetz aufgenommen worden BMG; vgl. BT-Drs. 17/ 7746, S. 39.

15 Zilkens, Datenschutz im Melderecht nach dem neuen Bundesmeldegesetz RDV 2013 Heft rung allerdings als kritisch an. Die Nebenmeldepflicht des Vermieters verzögere den Meldeprozess, sei aber nur in den wenigsten Fällen geeignet, Scheinanmeldungen zu verhindern. Aus diesem Grund sei sie im Jahr 2002 auch abgeschafft worden 14. Die Behörde hat von Amts wegen das Melderegister zu berichtigen oder zu ergänzen 15. Damit enthält das Gesetz neben einer Befugnis- zugleich eine Verpflichtungsnorm. Dies gilt für Daten, deren Richtigkeit aufgrund tatsächlicher Anhaltspunkte bezweifelt werden muss. Zu einer eigenen Überprüfung melderechtlich relevanter Informationen, insbesondere auf Veranlassung der Polizei, ist die Meldebehörde grundsätzlich nicht verpflichtet. Wenn Bedienstete einer Meldebehörde aufgrund eines polizeilichen Hinweises eine Person unzutreffend als unbekannt verzogen registrieren, verletzen sie ihre Amtspflichten nicht, soweit keine besonderen Umstände Zweifel an der Richtigkeit des Hinweises nahelegen Meldegeheimnis Bei Meldebehörden beschäftigte Personen dürfen personenbezogene Daten nur befugt erheben, verarbeiten und nutzen; 17 diese Selbstverständlichkeit wird vom Gesetz als Meldegeheimnis bezeichnet 18. Eine Verletzung dieser Vorschrift kann Konsequenzen insbesondere unter dem Gesichtspunkt der Amtshaftung nach sich ziehen. Den Betroffenen 19 stehen Schutzrechte zu, zu denen u.a. Auskunft, Berichtigung, Sperrung und Löschung 20 gehören. Schutzwürdige Interessen werden insbesondere beeinträchtigt, wenn die Verarbeitung der Meldedaten gemessen an ihrer Eignung und Erforderlichkeit zu dem vorgesehenen Zweck den Betroffenen unverhältnismäßig belastet; diese Prüfung entfällt, wenn die Verarbeitung durch Rechtsvorschrift vorgeschrieben ist 21. Materiell ist Melderecht kein Geheimnisschutzrecht, sondern bereichsspezifisches Datenschutzrecht. Datenschutzrechtlich relevant sind insbesondere die Regelungen über Melderegisterauskünfte, die grundsätzlich auch über das Internet abgerufen werden können 22. Die Zulässigkeit der Übermittlung von Meldedaten regelt das Bundesmeldegesetz abschließend. 4. Zensus 2011 Entscheidend ist die Richtigkeit und Vollständigkeit des Melderegisters auch vor dem Hintergrund des 2010/ 2011 in Deutschland erhobenen Zensus, der nicht mehr als klassische Volkszählung, sondern als Registerzensus durchgeführt wurde. Die EU hatte alle Mitgliedstaaten zur europaweiten Zensusrunde 2011 verpflichtet 23. Zu erfassende Grundmerkmale waren: Aufenthaltsort, Geschlecht, Alter, Familienstand, Geburtsland/-ort, Staatsangehörigkeiten, frühere Aufenthaltsorte, Ankunft am Aufenthaltsort, Beziehungen zwischen den Haushaltsmitgliedern. Mit dem Zensus 2011 wurde in Deutschland ein neues Verfahren eingeführt, das sich erheblich von einer traditionellen Volkszählung unterschied: Beim registergestützten Zensus werden hauptsächlich vorhandene Verwaltungsregister vor allem Melderegister und Register der Bundesagentur für Arbeit 24 genutzt. Informationen über die Gebäude und Wohnungen, die nicht flächendeckend durch die Verwaltung erfasst sind, werden daneben per Post bei den Gebäude- und Wohnungseigentümern erhoben 25. Andere Fragen wie etwa zu Bildung, Ausbildung oder Erwerbstätigkeit werden nur bei einem kleinen Teil der Einwohner in Form repräsentativer Stichproben erhoben 26. Zur Durchführung der Erhebung konnten die Länder Erhebungsstellen einrichten 27 und Erhebungsbeauftragte einsetzen 28. Inhaltlich ist das Zensusgesetz datenschutzrechtlichen Gesichtspunkten verpflichtet. Daher sind die gewonnenen Hilfsmerkmale, 29 welche für die technische Zuordnung benötigt werden, nach Überprüfung auf ihre Schlüssigkeit und Vollständigkeit, spätestens jedoch vier Jahre nach dem Berichtszeitpunkt, zu löschen. Die Erhebungsdaten 30 werden hingegen dauerhaft genutzt. Eine Einschränkung besteht insoweit, als personenbezogene Daten aus der Zensuserhebung nicht in die Verwaltung zurückfließen dürfen. Bei der Datenfernübertragung sind Maßnahmen zu treffen, um insbesondere Vertraulichkeit, Integrität und Authentizität der Daten zu gewährleisten 31. III. Rechte der Betroffenen Die Meldebehörde hat betroffenen Personen auf ihr Verlangen hin grundsätzlich alle zu ihrer Person gespeicherten Daten einschließlich der zum Nachweis ihrer Richtigkeit gespeicherten Hinweise, die Empfänger von regelmäßigen Datenübermittlungen und die Arten der zu übermittelnden Daten sowie den Zweck und die Rechtsgrundlage der Speicherung mitzuteilen 32. Diese Information muss auf Antrag 14 Stellungnahme der DSK vom , abgedruckt z.b. in DUD 2012, 837 ff Abs. 1 Satz 1 BMG; man spricht von Fortschreibung. 16 OLG Köln, Urt. v Az.: 7 U 160/98, abgedruckt z.b. in MDR 2000, 766f Abs. 1 BMG. 18 Die Vorschrift wurde im Wesentlichen unverändert aus 5 BRRG übernommen. 19 Der Begriff bezieht sich anders als im allgemeinen Datenschutzrecht auch auf verstorbene Personen BMG fasst die Rechte des Betroffenen katalogartig zusammen Sätze 2 und 3 BMG Abs. 2 und 3 BMG. 23 EU Zensusverordnung Nr. 763/2008 v , Abl. EU Nr. L 218 S Gesetz zur Anordnung des Zensus 2011 (ZensG 2011) v , BGBl. I, S ff., 2 Abs. 1 ff Abs. 1; 14 Abs. 1, 3 i.v.m. 18 Abs. 2 ZensG ZensG 2011 i.v.m. der Stichprobenverordnung v , BGBl. I S. 830 ff ZensG ZensG 2011 i.v.m. 14 BStatG. Näheres dazu enthält das Zensus 2011 Ausführungsgesetz NRW, LT-Drs. 15/15 v Damit wird das Anschriften- und Gebäuderegister aus dem Zensusvorbereitungsgesetz 2011 v , BGBl. I S. 2808, aktualisiert; siehe 3 Abs. 1 ZensG Dies sind z.b. Wohnort, Geburtsort und Geburtsmonat/Jahr, Geschlecht, Familienstand, Zuzugsdaten Abs. 2 ZensG Die Norm ist auch im Fall der Nutzung allg. zugänglicher Netze einschlägig und verlangt dem jeweiligen Stand der Technik entsprechende Verschlüsselungsverfahren Abs. 1 BMG.

16 282 RDV 2013 Heft 6 Zilkens, Datenschutz im Melderecht nach dem neuen Bundesmeldegesetz hen gegen gezielte Direktwerbung zählen. Im Rahmen ihres Ermessens trägt die Behörde nach Anhörung des Betroffenen die Sperre in das Melderegister ein. Diese endet zunächst mit Ablauf des zweiten Jahres nach Eintragung, kann jedoch verlängert werden 54. Die Weitergabe ist ferner unzulässig, soweit die Einsicht in ein Geburten- oder Familienbuch nach dem Personenstandsgesetz nicht gestattet werden darf, sowie in Adoptionsfällen 55. Soweit Personen in einer Justizvollzugsanstalt, einer Aufnahmeeinrichtung für Asylbewerber oder sonstige ausländische Flüchtlinge, in Krankenhäusern, Pflegeheimen oder sonstigen Einrichtungen, die der Betreuung pflegebedürftiger oder behinderter Menschen oder der Heimerziehung dienen, in Einrichtungen zum Schutz vor häuslicher Gewalt oder in Einrichtungen zur Behandlung von Suchterkrankungen wohnhaft gemeldet sind, richtet die Behörde einen beund kostenlos gegeben werden 33. Eine Auskunftsverweigerung kommt nur in den gesetzlich normierten Fallgruppen in Betracht 34 und ist für jeden Einzelfall zu begründen, es sei denn, der durch die Verweigerung verfolgte Zweck würde gefährdet 35. Eine Auskunft muss nicht erteilt werden, wenn es sich bei der abrufenden Stelle um eine Stelle handelt, welche mit Aufgaben der Strafverfolgung betraut ist 36. Abgelehnt wird die Auskunftserteilung durch einen mit Rechtsmitteln angreifbaren belastenden Verwaltungsakt 37. Unabhängig davon kann sich der Betroffene auch an den LDI wenden, dem dann die Auskunft zu übermitteln ist 38. Er hat ferner das Recht auf Berichtigung und Ergänzung unrichtiger oder unvollständiger Daten zu seiner Person; 39 dies lässt sich aus dem informationellen Selbstbestimmungsrecht herleiten. Die Daten des Betroffenen müssen gelöscht werden, sofern sie nicht mehr zur Aufgabenerfüllung der Meldebehörden benötigt werden oder die Speicherung unzulässig war 40. Datenspeicherungen sind nicht Selbstzweck, sondern stets an die Erfüllung der den Meldebehörden obliegenden Aufgaben gebunden. Dieser Zweck entfällt mit dem Wegzug oder dem Tod des Einwohners 41. Verschiedene Speicherzwecke führen allerdings zu unterschiedlichen Aufbewahrungsfristen 42. Vor einer Löschung sind die Daten dem zuständigen kommunalen oder staatlichen Archiv anzubieten 43. IV. Einfache Melderegisterauskunft Personen, die nicht Betroffene sind, sowie nicht öffentliche Stellen 44 erhalten auf schriftlichen 45 oder automatisierten Antrag Auskunft über personenbezogene Daten eines Einwohners. Ein Rechtsanspruch auf Erteilung einer Melderegisterauskunft besteht nicht, außer wenn die Datenübermittlung durch Rechtsvorschrift vorgeschrieben oder Amtshilfe geboten ist 46. Die einfache Melderegisterauskunft 47 umfasst Vor- und Familiennamen, Doktorgrad, aktuelle Anschriften sowie gegebenenfalls die Tatsache, dass eine Person verstorben ist 48. Eine Anfrage muss genaue Suchangaben enthalten, an die hinsichtlich ihres Bestimmtheitsgrades jedoch keine allzu hohen Anforderungen gestellt werden dürfen. Erst nach Bezahlung einer Gebühr, die auch bei negativer Auskunft fällig ist, wird die Information erteilt 49. Dadurch sollen u.a. willkürliche Abfragen verhindert werden. Bei der Auskunftserteilung wird ausschließlich auf die im Melderegister gespeicherten Daten zurückgegriffen. Die Auskunft verlangende Person oder Stelle darf die Daten zu Zwecken der Werbung und des Adresshandels nur verwenden, wenn sie diesen Zweck angegeben 50 und der Betroffene in eine solche Verwendung seiner Daten zuvor eingewilligt hat 51. Deshalb muss die Anfrage zusammen mit der Auskunft für den Fall einer späteren Überprüfung protokolliert werden 52. Die Behörde erteilt von Amts wegen keine Auskunft, wenn ihr Tatsachen bekannt sind, die eine Auskunftssperre begründen. Eine Auskunftssperre ist einzutragen, wenn Tatsachen die Annahme rechtfertigen, dass dem Betroffenen oder einer anderen Person durch die Weitergabe der Daten eine Gefahr für Leben, Gesundheit, persönliche Freiheit oder vergleichbar schutzwürdige Interessen erwachsen kann 53. Zu diesen schutzwürdigen Interessen kann auch ein Vorge- 33 Die Auskunft kann auch im Wege des automatisierten Abrufs über das Internet erfolgen, 10 Abs. 2 BMG Abs. 1, 2 BMG. Siehe aber BVerwG, Urt. v C 5/05 Unzulässigkeit einer einfachen Melderegister-Auskunft für Zwecke der Direktwerbung, wenn der Betroffene der Weitergabe seiner Daten für solche Zwecke zuvor ausdrücklich widersprochen hat. Ebenso Vahle, Datenschutzberater 11/2008, S Abs. 4 BMG Abs. 1 Satz 3 BMG. 37 Wohlfarth/ Eiermann/ Ellinghaus, Datenschutz in der Gemeinde, 2004, S Abs. 5 BMG BMG Abs. 1 BMG Abs. 2 Satz 2 und 3 BMG BMG BMG. Über die Archive soll interessierten Bürgen (z.b. Erb- und Ahnenforschern) ein unkomplizierter Zugang zu den Meldedaten ermöglicht werden. In der Praxis wird dies jedoch nur funktionieren, wenn ein Verwaltungs- und Verwahrvertrag zwischen Meldebehörde und Archiv die beiderseitigen Rechte und Pflichten regelt. 44 Im Sinne des 2 Abs. 1 bis 3 und Abs. 4 Satz 2 BDSG. Zur Verwendung durch einfache Melderegisterauskünfte gewonnener Adressdaten durch die Wirtschaft eingehend Abel, RDV 2013, 179 ff. 45 Die Schriftform ist gesetzlich nicht vorgeschrieben, weshalb auch nach 3a Abs. 2 VwVfG NRW keine qualifizierte elektronische Signatur erforderlich ist. Schriftlichkeit ist aber grundsätzlich geboten, da nur so eine präzise Zweckbezeichnung möglich ist. 46 Es besteht nur ein Anspruch auf ermessensfehlerfreie Entscheidung. Dabei darf der durch 34 BMG gewährte Datenschutz nicht durch ein Amtshilfeersuchen unterlaufen werden. 47 So bezeichnet, da sie an keine besonderen Voraussetzungen gebunden ist Abs. 1 Satz 1 BMG. 49 Die Landeshauptstadt Düsseldorf erhebt z.b. für eine einfache Melderegisterauskunft 7 EUR, im Onlineverfahren 4 EUR und für eine Auskunft aus den älteren mikroverfilmten Unterlagen 15 EUR: (Stichwort: Melderegisterauskunft). Die Staffelung und absolute Höhe der Gebühren unterscheidet sich jedoch von Bundesland zu Bundesland zum Teil erheblich Abs. 1 Satz 2 BMG. 51 Hintergrund ist die diesbezügliche Rechtsprechung (BVerwG, Urt. v , 6 C 5/05 ). Nach einer Stellungnahme der DSK vom , abgedruckt z.b. in DUD 2012, 837 ff., wurde die Regelung des 44 Abs. 3 BMG aufgenommen: Es muss sich um eine ausdrückliche vorherige Zustimmung handeln, die entweder generell oder bezogen auf das Auskunftsersuchen erteilt worden sein kann und auf Verlangen der Behörde vorgelegt werden muss. 52 Damit entstehen neue zusätzliche Datenbestände; vgl. Ehmann, ZD 2013, 199 ff, 203; Abel, RDV 2013, 179 ff, 180 ff Abs. 1 BMG Abs. 4 Sätze 1 und 2 BMG Abs. 5 BMG.

17 Zilkens, Datenschutz im Melderecht nach dem neuen Bundesmeldegesetz RDV 2013 Heft schrift übertragenen Aufgabe nicht in der Lage sein 70. Darüber hinaus darf die Datenerhebung beim Betroffenen für den Empfänger nur mit unverhältnismäßigem Aufwand möglich oder wegen der Art der zu erfüllenden Aufgabe unmöglich sein 71. Bei einer Datenweitergabe innerhalb derselben Verwaltungseinheit, der die Meldebehörde angehört, 72 dürfen grundsätzlich alle vorhandenen Daten und Hinweise weitergegeben werden 73. Daten über eine Vielzahl nicht namentlich bezeichneter Einwohner dürfen zur Aufgabenerfüllung übermittelt oder weitergegeben werden, ohne dass es darauf ankommt, ob ein öffentliches Interesse besteht 74. Wird die Meldebehörde von den Polizeibehörden des Bundes und der Länder, den Staatsanwaltschaften, den Amtsanwaltschaften, den Gerichten, soweit sie Aufgaben der Strafverfolgung, der Strafvollstreckung oder des Strafvollzugs wahrnehmen, den Justizvollzugsbehörden sowie den Verfassungsschutzbehörden des Bundes und der Länder, dem Bundingten Sperrvermerk ein. In diesen Fällen darf eine Melderegisterauskunft grundsätzlich nur erteilt werden, wenn eine Beeinträchtigung schutzwürdiger Interessen ausgeschlossen werden kann und die betroffene Person gehört wurde 56. Liegen allerdings keine besonderen Umstände vor, so kann einer Weitergabe der Daten im Rahmen der einfachen Melderegisterauskunft nicht widersprochen werden, da damit dem allgemeinen Informationsbedürfnis nach Basisdaten anderer Menschen Rechnung getragen wird 57. V. Erweiterte Melderegisterauskunft Frageberechtigt ist grundsätzlich derselbe Personenkreis, dem auch eine einfache Meldeauskunft zu erteilen ist. Für die Auskunftserteilung muss jedoch zusätzlich ein berechtigtes Interesse glaubhaft 58 gemacht werden. Geschützt werden rein tatsächliche Interessen, die rechtlicher, wirtschaftlicher oder ideeller Natur sein können 59 und nicht mit einem Rechtsanspruch gleichzusetzen sind. Im Rahmen der erweiterten Meldeauskunft können gegenüber der einfachen zusätzliche Datenarten abgefragt werden 60. Wurde eine erweiterte Melderegisterauskunft erteilt, so hat die Meldebehörde die betroffene Person grundsätzlich unter Angabe des Empfängers unverzüglich zu unterrichten 61. Ausnahmsweise unterbleibt eine Unterrichtung des Betroffenen, wenn der Datenempfänger ein rechtliches Interesse insbesondere durch die Behauptung, Rechtsansprüche geltend machen zu wollen glaubhaft gemacht hat 62. VI. Datenübermittlung an öffentliche Stellen Das Meldewesen ist neben dem Finanzwesen die kommunale Anwendung mit der häufigsten Nutzung durch andere Verwaltungsstellen. Für eine effiziente Aufgabenwahrnehmung sind die Ausgestaltung der Programme, die Nutzung von Schnittstellen sowie die Ankopplung an andere Programme von wesentlicher Bedeutung. Die bestehenden An- und Abmeldepflichten der Bürger 63 haben zur Folge, dass zwischen Meldebehörden Meldedaten übermittelt werden 64. Die Meldebehörde darf an andere öffentliche Stellen im Inland 65 aus dem Melderegister Daten übermitteln, soweit dies zur Erfüllung von in ihrer eigenen oder der Zuständigkeit des Empfängers liegenden Aufgaben erforderlich ist 66. Eine Datenübermittlung ist zulässig an ausländische Stellen im Rahmen von Tätigkeiten, die in den Anwendungsbereich des Rechts der Europäischen Union fallen, an öffentliche Stellen anderer Mitgliedsstaaten der EU, an öffentliche Stellen anderer Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum sowie an Organe und Einrichtungen der europäischen Union und der Europäischen Atomgemeinschaft 67. Die Datenarten sind abschließend aufgezählt 68. Ob der Empfänger aufgrund seiner Aufgabenstruktur solche Daten üblicherweise benötigt, unterliegt allenfalls einer Plausibilitätskontrolle der Meldebehörde 69. Die Weitergabe zusätzlicher Daten ist an enge Voraussetzungen geknüpft. So muss die öffentliche Stelle ohne Kenntnis der angeforderten Meldedaten zur Erfüllung einer ihr durch Rechtsvor Abs. 1 und 2 BMG. 57 Zur verfassungsrechtlichen Rechtfertigung der Erteilung einfacher Melderegisterauskünfte ausführlich Ehmann, ZD 2013, 199 ff, 203 f Abs. 1 BMG: Glaubhaftmachen ist das Darlegen von Voraussetzungen, die die Annahme der überwiegenden Wahrscheinlichkeit rechtfertigen, dass der behauptete Sachverhalt zutrifft. 59 Stähler/Pohler, Kommentar zum DSG NRW, 3. Aufl. 2003, 16 Rn. 3 lit. d). Anerkannte Interessen sind beispielsweise die Suche nach ehemaligen Mitschülern zur Organisation eines Klassentreffens oder die Ahnenforschung zur Erstellung eines Familienstammbaums Abs. 1 Nrn. 1-9 BMG; z.b. frühere Anschriften, Staatsangehörigkeiten, Sterbetag etc.. Die Uhrzeit der Geburt ist kein Meldedatum, kann jedoch vom Betroffenen aus der beim Geburtsstandesamt geführten Original-Geburtsurkunde entnommen werden Abs. 2 BMG Abs. 2 BMG. 63 Nach 17 BMG BMG; dafür stehen sichere elektronische Kommunikationsverfahren zur Verfügung (vgl. Fußnote 7). Die Durchführung der Datenübermittlungen zwischen den Meldebehörden nach 23 Abs. 3 und 4 und 33 Abs. 1 bis 3 BMG wird durch die 1. Bundesmeldedatenübermittlungsverordnung 1. BMeldDÜV geregelt Abs. 1 Satz 1 BMG: Öffentliche Stelle im Sinne des 2 Abs. 1-3 und Abs. 4 Satz 2 BDSG. Für Gemeinden gilt Landesrecht, z.b. 2 Abs. 1 DSG NRW. Die Durchführung der Datenübermittlung von den Meldebehörden an das Bundesamt für Personalmanagement der Bundeswehr, die Bundesagentur für Arbeit, die Datenstelle der Rentenversicherungsträger, das Bundesamt für Justiz, das Kraftfahrt- Bundesamt, das Bundeszentralamt für Steuern und das Bundesverwaltungsamt wird durch die 2. Bundesmeldedatenübermittlungsverordnung 2. BMeldDÜV geregelt Abs. 1 BMG; Z.B. werden regelmäßig Daten an die Finanzämter, Schulen, Versorgungsämter, Ausländerbehörden oder Jugendämter weitergegeben. Zum automatisierten Abruf 38 BMG BMG Abs. 1 Satz 1 BMG; z.b. Künstlernamen, Geschlecht, gesetzliche Vertreter etc. In den Katalog der übermittlungsfähigen Daten wurden zusätzlich aufgenommen in Nr. 5 der Ordensname, in Nr. 6 Wohnungsdaten mit Auslandsbezug sowie in Nr. 13 das Vorliegen einer Auskunftssperre (vgl. BT-Drs. 17/ 7746, S.42). 69 Eine derartige Kontrolle ist in vielen Fällen praktisch kaum durchführbar. Sie entfällt ohnehin bei bereichsspezifisch geregelten Anfragen (z.b. betreffend Personalausweisdaten, 2b Abs. 3 Satz 1 Pers- AuswG), bei denen die Verantwortung für die Rechtmäßigkeit der Anfrage normenklar zugewiesen ist Abs. 3 Nr. 1 BMG Abs. 3 Nr. 2 BMG. 72 Gemeint ist z.b. dieselbe öffentliche Stelle Gemeinde (z.b. 2 Abs. 1 DSG NRW), innerhalb deren mehrere verantwortliche Stellen (i.s. des 3 Abs. 3 DSG NRW) u.a. die Meldebehörde existieren Abs. 1 Satz 1 BMG. 74 Die für eine Gruppenauskunft notwendigen Voraussetzungen des 46 Abs. 1 Satz 1 BMG brauchen in diesem Fall nicht erfüllt zu sein; insoweit sind öffentliche Stellen privilegiert, 34 Abs. 2 BMG.

18 284 RDV 2013 Heft 6 Zilkens, Datenschutz im Melderecht nach dem neuen Bundesmeldegesetz Dabei speichern und erheben sie seit Kriegsende personenbezogene Daten, obgleich eine bereichsspezifische Grundlage bisher fehlte. Durch das Gesetz werden weder für die Wirtschaft, die Bürgerinnen und Bürger noch für die Verwaltung Informationspflichten neu eingeführt, geändert oder aufgehoben. Im Rahmen seiner Aufgabenerfüllung darf der Suchdienst umfangreiche Daten erheben wie z.b. Familienname, frühere Namen, Vornamen, Tag der Geburt und Geburtsort, gegenwärtige und frühere Wohnanschriften, bildliche Darstellungen, körperliche Merkmale, Zugehörigkeit zu militärischen Einrichtungen, Einreisedaten, Hinweise zu Flucht und Vertreibung sowie Hilfsleistungen 89. Dass eine vorherige Einwilligung des Betroffenen nicht erforderlich ist, liegt in der Natur der Sache. Der Suchdienst des Deutschen Roten Kreuzes forscht unter anderem nach Personen, die aus den Vertreibungsgebieten stammen (Verschollene). Welche Gebiete davon erfasst sind, richtet sich nach dem Bundesvertriebenengesetz 90. Darüber hinaus forscht er nach Kriegs- und Zivilgefangenen, Wehrmachtsvermissten und Zivilverschleppten des Zweiten Weltkrieges sowie Familien, die während oder als Folge des Zweiten Weltkrieges durch Flucht oder Vertreibung den Kontakt zueinander verloren haben 91. Zu seiner Aufgabenerfüllung erhält der Suchdienst von der Meldebehörde regelmäßig folgende Daten: Familienname, frühere Namen, Vornamen, Tag der Geburt und Geburtsort, gegenwärtige und frühere Anschriften und aufgrund einer besonderen Stichtagsregelung die Anschrift am Das Geschlecht, die Staatsangehörigkeit sowie frühere Andesnachrichtendienst, dem Militärischen Abschirmdienst, dem Zollfahndungsdienst, Hauptzollämtern oder Finanzbehörden, soweit sie strafverfolgend tätig sind, um Datenübermittlung ersucht, so ist sie von einer Prüfung befreit 75. Verantwortlich für die Rechtmäßigkeit der Datenübermittlung ist in diesen Fällen ausschließlich die ersuchende Behörde. Aufgrund ihrer spezifischen Aufgaben erhalten die aufgezählten Behörden zusätzlich noch besondere Meldedaten, nämlich Ausstellungsbehörde, -datum, Gültigkeitsdauer und Seriennummer des Personalausweises oder Passes 76. Gegen die Übermittlung dieser Daten können Betroffene keinen Widerspruch erheben. VII. Regelmäßige Datenübermittlung in automatisierter Form Regelmäßige Datenübermittlungen an andere öffentliche Stellen ohne Ersuchen insbesondere im Wege automatisierter Abrufverfahren sind anlassbezogen grundsätzlich zulässig, wenn eine Rechtsvorschrift dies vorsieht 77. Es werden z.b. fortwährend Daten an die Finanzbehörden, die Ausländerbehörden, die Polizeibehörden, die Staatsanwaltschaften, die Straßenverkehrsbehörden und die Gerichte weitergeleitet. In der Praxis darf nur zur Erfüllung bestehender Aufgaben tatsächlich zugegriffen werden 78. Privilegierte Datenempfänger sind auch die Landesrundfunkanstalten und deren Beitragsservice, 79 die daneben eigenständig zu ihrer Aufgabenerfüllung Daten erheben dürfen 80. VIII. Datenübermittlung an öffentlichrechtliche Religionsgemeinschaften Den öffentlich-rechtlichen Religionsgemeinschaften werden auf Antrag oder auch regelmäßig Meldedaten zur Erfüllung ihrer Aufgaben übermittelt 81. Daten eigener Mitglieder können umfassend weitergegeben werden 82. Bezüglich Familienangehöriger (Ehegatten, minderjährige Kinder, Eltern der Mitglieder), die einer anderen oder gar keiner öffentlich-rechtlichen Religionsgemeinschaft angehören, ist die Datenübermittlung auf die im Gesetz genannten Datenarten beschränkt 83. Der betroffene Familienangehörige kann aber widersprechen, sofern die Daten nicht dem Zwecke der Steuererhebung dienen; 84 er ist bei Anmeldung sowie einmal jährlich durch öffentliche Bekannt machung darauf hinzuweisen 85. Bei der Datenweitergabe zum Zwecke der Kirchensteuererhebung wird heute datenschutzkonform verfahren 86. Aus Datenschutzgründen ist eine Übermittlung nur gestattet, wenn bei dem Datenempfänger ausreichende Maßnahmen zum Datenschutz getroffen sind, was eine durch Landesrecht zu bestimmende Behörde feststellt 87. IX. Datenübermittlung an den Suchdienst Der Umgang der nationalen Suchdienste mit personenbezogenen Daten ist bereichsspezifisch normiert 88. Der nationale Suchdienst des Deutschen Roten Kreuzes und der Kirchliche Suchdienst führen aufgrund von Suchdienstvereinbarungen Aufgaben im Auftrag der Bundesregierung durch Abs. 4 Satz 1 BMG Abs. 1 Satz 2 i.v.m. 3 Abs. 1 Nr. 17 BMG Abs. 1 BMG i.v.m. der 1. und 2. BMeldDÜV Abs. 2 Satz 2, 38 Abs. 2 Satz 1 BMG. 79 Der durch die Umstellung von Gebühren auf Beiträge ( bedingte einmalige Meldedatenabgleich wird 2013 und 2014 auf gesetzlicher Grundlage durchgeführt. Das bedeutet, dass die Meldebehörden verpflichtet sind, die im Rundfunkbeitragsstaatsvertrag ( 14 Abs. 9) definierten Daten aller volljährigen Bürgerinnen und Bürger zu übermitteln. Ein Widerspruch ist daher nicht möglich. 80 Vgl. 8, 9 Rundfunkgebührenstaatsvertrag, jeweils als Landesgesetz erlassen (z.b. GBl. BW 2011, S.477 ff.; GVBl. RP 2011, S. 385 ff.; Amtsbl. Saarl 2011, S. 1618) und grundsätzlich gültig ab Hier geht es entsprechend der Beitragspflicht vorwiegend nicht um Meldedaten BMG. Die Vorschrift trägt der Verpflichtung aus Art. 140 GG i.v.m. Art. 137 WRV Rechnung Abs. 1 BMG; z.b. Geschlecht, Doktorgrad, Zahl der minderjährigen Kinder etc Abs. 2 BMG; z.b. Familienname, Vorname, Tag der Geburt etc Abs. 3 Satz 3 BMG Abs. 3 Satz 2 BMG. 86 Das Kirchensteuermerkmal wird nur bei konfessionsverschiedenen Eheleuten bescheinigt (Schreiben des Bundesministeriums für Finanzen v IV C 5 S 2363/07/0001 ) Abs. 5 Sätze 1 u. 2 BMG. In NRW erfüllen die Voraussetzungen: Die römisch katholische Kirche, die evangelischen Landeskirchen, die Synagogengemeinde Köln und die Landesverbände NRW der Jüdischen Kultusgemeinden. 88 Suchdienste-Datenschutzgesetz v , BGBl. I S SDDSG Abs. 2 Nr. 3 BVFG Abs. 1 SDDSG Abs. 1 BMG.

19 Zilkens, Datenschutz im Melderecht nach dem neuen Bundesmeldegesetz RDV 2013 Heft schriften können auch im automatisierten Verfahren übermittelt werden 93. Die Daten werden nicht übermittelt, wenn ein Einwohner gegenüber der Meldebehörde schon im Vorfeld glaubhaft gemacht hat, dass dadurch ein Schaden entstehen könnte; denn in einem solchen Fall besteht ein schutzwürdiges Interesse am Ausschluss der Datenübermittlung 94. X. Melderegisterauskunft in besonderen Fällen 1. Auskünfte an Parteien, Wählergruppen und andere Träger von Wahlvorschlägen Im Zusammenhang mit Wahlen und Abstimmungen auf staatlicher und kommunaler Ebene können Parteien, 95 Wählergruppen 96 und andere Träger von Wahlvorschlägen Meldedaten erhalten 97. Die Auskunft wird ausschließlich in den sechs der Wahl vorangehenden Monaten erteilt. Die Behörde hat dabei nach pflichtgemäßem Ermessen zu entscheiden und Antragsteller dabei gleich zu behandeln 98. Der vom Gesetzgeber bezeichnete Anlass Wahlen und Abstimmungen bezieht sich allerdings nicht auf allgemeine politische Kampagnen. Die Daten werden gruppenweise nach dem Lebensalter der Betroffenen zusammengestellt; das Geburtsdatum darf jedoch nicht mitgeteilt werden 99. Folgende Datenarten werden weitergeben: Vor- und Familiennamen, Doktorgrad, aktuelle Anschriften und gegebenenfalls Tod Auskünfte an Adressbuchverlage Adressbuchverlage dürfen zum Zwecke der Veröffentlichung in gedruckten Adressbüchern 101 lediglich einzelne Datenarten aller volljährigen Einwohner von der Meldebehörde erhalten Auskünfte bei Alters- und Ehejubiläen Die Meldebehörde darf bei Alters- und Ehejubiläen 103 Einwohnerdaten an Mandatsträger, sowie an Presse und Rundfunk weiterreichen 104. Weitergegeben werden dürfen nur die mit diesem besonderen Zweck in unmittelbarem Zusammenhang stehenden Datenarten Auskünfte an Wohnungseigentümer und -geber Der Wohnungseigentümer oder Wohnungsgeber hat einen unentgeltlichen Anspruch auf Auskunft über die in seiner Wohnung gemeldeten Einwohner, soweit er ein rechtliches Interesse gegenüber der Meldebehörde glaubhaft macht 106. Unter Beachtung aktueller datenschutz- und datensicherheitsrechtlicher Vorgaben 107 kann die Auskunft auch elektronisch erteilt werden 108. Da eine Liegenschaft häufig unter mehreren Eigentümern aufgeteilt ist, dem Melderegister aber nur die Zuordnung der jeweils gemeldeten Person zu der Wohnadresse entnommen werden kann, muss hier datenschutzrechtlich äußerst behutsam vorgegangen werden, d.h. es ist seitens der Meldebehörde intensiv zu prüfen, ob die Wohnung (möglicherweise durch Verwendung von Adressierungszusätzen) 109 klar definiert ist und somit eine entsprechende Auskunft erteilt werden kann. 5. Gruppenauskünfte Auskünfte über eine Vielzahl namentlich nicht bezeichneter Einwohner, die als Gruppe gleiche Merkmale aufweisen, können beantragt werden, wenn daran ein öffentliches Interesse 110 besteht 111. Praktisch häufige Anträge zu Forschungszwecken sind nicht allein deshalb begründet, weil sie von einer Hochschule stammen; denn gerade dort werden datenschutzrechtliche Vorgaben nicht immer professionell beachtet. Kann belegt werden, dass Forschungsvorhaben von öffentlichen Stellen 112 in Auftrag gegeben, finanziert oder bezuschusst werden, so kann ein öffentliches Interesse indiziert sein. Das gilt auch im Falle der Vorlage eines schlüssigen Datenschutzkonzeptes oder einer Befürwortung des behördlichen Datenschutzbeauftragten der Hochschule. Steht hingegen erkennbar ein kommerzielles oder privates Interesse 113 hinter dem Antrag, werden Abs. 2 BMG 94 4 Abs. 2 Satz 2 SDDSG. 95 Zum Begriff: 2 Abs. 1 PartG. 96 Laut BVerfG handelt es sich hierbei um lose politische Zusammenschlüsse von Wahlberechtigten ohne Parteicharakter auf kommunaler, regionaler oder überregionaler Ebene Abs. 1 Satz 1 BMG. 98 Dieser Grundsatz der Selbstbindung der Verwaltung wird aus Art. 3 GG hergeleitet; zu ihm Wolff/Bachof/Stober/Kluth, AllgVerwR I, 12. Aufl. 2007, 24 Rn.27 m.w.n Abs. 1 Satz 2 BMG Abs. 1 Satz 1, 44 Abs. 1 Satz 1 BMG Abs. 3 Satz 2 BMG. Adressbücher dienen dem berechtigten vom Gesetzgeber anerkannten Informationsbedürfnis der Öffentlichkeit, Namen und Anschriften der Einwohner in einem allgemein zugänglichen Werk nachschlagen zu können. Mit der ausdrücklichen Beschränkung auf die Buchform soll verhindert werden, dass elektronische Datenbestände in privater Hand entstehen, mit denen datenschutzrechtlich bedenkliche Verknüpfungen anderer Datenbestände möglich werden könnten (BT-Drs. 17/7746 S. 46) Abs. 3 Satz 1 BMG: Vor- und Familiennamen, Doktorgrad und derzeitige Anschriften. 103 Begriffsdefinitionen dazu enthält 50 Abs. 2 Satz 2 BMG Abs. 2 Satz 1 BMG; ein Verknüpfungsverbot ist nicht vorgesehen (anders früher z.b. 35 Abs. 4 S. 3 MG NRW) Abs. 2 Satz 1 BMG: Vor- und Familiennamen, Doktorgrad, aktuelle Anschriften und der Tag und Art des Jubiläums Abs. 4 Satz 1 BMG Abs. 2 und 3 BMG Abs. 4 Satz 2 BMG. 109 Wohnungsnummer und Etage werden wenn überhaupt auf freiwilliger Basis bei der Anmeldung, vereinzelt auch von Amts wegen erhoben, wenn amtliche Ermittlungen durchgeführt werden, da die betroffene Person postalisch nicht erreicht werden kann. Insbesondere in großen Städten werden die Adressierungszusätze weitestgehend flächendeckend erhoben, z.t. neben der Wohnungs- und Etagennummer auch der c/o -Zusatz bzw. bei -Zusatz. Die Erhebung und Speicherung von Adressierungszusätzen wird für Postzustellungen und für den Katastrophenfall benötigt. Daneben erleichtern sie gezielte Ermittlungen, da bei großen Wohneinheiten die Briefkastenanlagen oft nicht ordentlich gepflegt sind und sich die Nachbarn untereinander nicht in jedem Falle kennen. 110 Z.B. bei Maßnahmen der Gesundheitsvorsorge (BT-Drs. 17/7746 S. 45) Abs. 1 Satz 1 BMG. Das Interesse der (innerstaatlichen) Allgemeinheit an der Erteilung der Auskunft ist dabei gegen das schutzwürdige Interesse des Einzelnen, seine Daten geheim zu halten, abzuwägen. 112 Bundes- oder Landesministerien, kommunale Spitzenverbände oder vergleichbare Stellen, die plausibel ein Ziel verfolgen, das dem öffentlichen Wohl dient. 113 Z.B. Werbung von Käufern oder Versicherungsnehmern, Mitgliederoder Spendenwerbung.

20 286 RDV 2013 Heft 6 Zilkens, Datenschutz im Melderecht nach dem neuen Bundesmeldegesetz Datenschutzmängel in der Planung des Vorgehens deutlich, oder kann der beabsichtigte Zweck des Forschungsvorhabens auf anderem Wege 114 vertretbar erreicht werden, ohne dass ein wesentlich höherer finanzieller oder zeitlicher Aufwand betrieben werden müsste, so ist ein öffentliches Interesse regelmäßig zu verneinen. Für die Zusammensetzung einer Personengruppe dürfen von der Meldebehörde nur die gesetzlich normierten Merkmale herangezogen werden 115. Zur Bestimmung einer Gruppe ist auch eine Kombination einzelner Datenarten möglich 116. Von den Personen, die zu einer solchen Gruppe gehören, können Vor- und Familiennamen, Doktorgrad, Alter, Geschlecht, Staatsangehörigkeiten, Anschriften, bei minderjährigen Kindern auch dessen gesetzliche Vertreter mit Vorund Familiennamen und Anschrift, mitgeteilt werden 117. Die Auskunft wird auf Antrag des Betroffenen oder von Amts wegen nicht erteilt, wenn der Behörde Tatsachen vorliegen, die die Annahme rechtfertigen, dass durch die Weitergabe dem Betroffenen oder einer anderen Person eine Gefahr für Leben, Gesundheit, persönliche Freiheit oder ähnliche schutzwürdige Interessen erwachsen kann, oder wenn ein anderer Ausschlussgrund 118 vorliegt. Hiervon abgesehen, kann im Übrigen gegen die Weitergabe im Zusammenhang mit Gruppenauskünften kein Widerspruch erhoben werden. 6. Widerspruchsrechte Gegen die oben 119 dargestellten Melderegisterauskünfte kann Widerspruch eingelegt werden, nicht jedoch gegen die Auskunft an den Wohnungseigentümer 120. Das Melderecht sieht darüber hinaus die Widerspruchsmöglichkeit gegen Datenübermittlungen an öffentlich-rechtliche Religionsgesellschaften 121 sowie an das Bundesamt für das Personalmanagement der Bundeswehr 122 zum Zwecke der Übersendung von Informationsmaterial an junge Menschen vor. Ein Widerspruch kann jederzeit bei der zuständigen Meldebehörde eingelegt werden. Die Einwohner sind auf ihre Widerspruchsrechte bei der Anmeldung sowie einmal im Jahr durch ortsübliche Bekanntmachung hinzuweisen. Da der Hinweis zumindest in einem Fall 123 ortsüblich spätestens im Oktober bekanntzumachen ist, bietet es sich an, sämtliche Widerspruchsrechte in einer Bekanntmachung zu bündeln und diese dann spätestens im Oktober zu veröffentlichen 124. Einen Widerspruch gegen das Erteilen von einfachen Melderegisterauskünften auf elektronischem Wege gibt es nicht mehr 125. Damit werden künftig einfache Melderegisterauskünfte unabhängig davon, ob sie in der Meldebehörde manuell oder auf elektronischem Wege bearbeitet werden, aus einem einheitlichen Datenpool erteilt. Einige Bundesländer 126 hatten in ihren Landesmeldegesetzen als Reaktion auf die Rechtsprechung 127 den Widerspruch gegen eine Datenweitergabe für Zwecke der Direktwerbung zugelassen. Durch die jetzt getroffene Einwilligungsregelung 128 werden diese Widersprüche nun hinfällig. Das Land Berlin hatte bisher in seinem Landesmeldegesetz eine Zustimmungsregelung der Datenübermittlung über Alters- oder Ehejubiläen sowie der Datenüber- mittlung an Adressbuchverlage zur Eintragung in gedruckte Verzeichnisse und an Adressbuchverlage zur Eintragung in elektronische Verzeichnisse verankert. Auch das Land NRW hatte in seinem Landesmeldegesetz eine Einwilligungsregelung der Datenübermittlung über Alters- oder Ehejubiläen sowie der Datenübermittlung an Adressbuchverlage festgeschrieben. Die Praxis beider Länder ist angemessen an die neue Rechtslage anzupassen. Andere vom Einwohner eingelegte Widersprüche gegen Datenübermittlungen gelten fort. XI. Fazit Das Bundesmeldegesetz bringt Vereinheitlichungen, Präzisierungen und auch Neuerungen gegenüber der früheren teilweise länderspezifisch recht unterschiedlichen Rechtslage. Das Meldewesen ist damit fortentwickelt zu einem informationellen Rückgrat aller Verwaltungsbereiche, das auf der Basis einer zeitgemäßen technischen Infrastruktur 129 die für die Aufgabenerfüllung von Verwaltung und Wirtschaft erforderlichen Daten bereitstellt. Dieses öffentliche Interesse wird mit dem Schutzbedürfnis der Bürger auf Wahrung ihrer Privatsphäre abgewogen zu Regelungen, die einen brauchbaren Basisrahmen bilden, jedoch bis zum Inkrafttreten noch hinreichend durch Erlass untergesetzlicher Rechtsnormen auf Bundes- und Landesebene 130 konkretisiert werden müssen. Zahlreiche Informationspflichten wurden vereinfacht und ergänzt. Vom Aufbau eines zentra- 114 Z.B. durch Werbung von Probanden über Postwurfsendungen, Plakate oder Presseveröffentlichungen Abs. 1 Satz 1 BMG; z.b. Tag der Geburt, derzeitige Anschriften, Geschlecht etc. 116 Z.B. Vor- und Familiennamen aller deutschen Männer eines bestimmten Geburtsjahrganges in einem Stadtbezirk Abs. 2 BMG , 52 BMG. 119 unter Abs. 5 BMG. Die unter dargestellten Melderegisterauskünfte dürfen auch nicht erteilt werden, wenn eine Auskunftssperre oder ein bedingter Sperrvermerk vorliegt, 50 Abs. 6 BMG Abs. 3 Satz 2 BMG Abs. 2 BMG verweist unzutreffend! auf 58 Abs. 1 Wehrpflichtgesetz; die korrekte Vorschrift ist 58c Abs. 1 Soldatengesetz. 123 In 36 Abs. 2 BMG ist dies ausdrücklich normiert. 124 In der Praxis wird in der örtlichen Tageszeitung unter Bekanntmachungen veröffentlicht. 125 Die Landesmeldegesetze sehen ein solches Widerspruchsrecht zur Umsetzung von 21 Abs. 1a Satz 2 MRRG noch vor. 126 Bayern, B-W, Hessen, Hamburg, M-V, Sachsen. 127 BVerwG, Urt. v C 5/ BMG. 129 Es enthält technikfreundliche Öffnungsklauseln, die die Handhabbarkeit im Massengeschäft der täglichen Verwaltung gewährleisten können. Bei der Schaffung einer zeitgemäßen Infrastruktur, wie zum Beispiel Online-Abfrageportalen für einfache Melderegisterauskünfte, ist auf die Einhaltung der datenschutzrechtlichen Vorgaben zu achten. 130 Bund: 1. und 2. BMeldDÜV, Portalverordnung gem. 56 Abs 1 Nr. 5 BMG und Verordnung zum Verfahren der Einwilligung gem. 56 Abs. 1 Nr. 4 BMG sowie Verwaltungsvorschriften; Länder: Landes-Meldedaten-Übermittlungsverordnung.