Handlungsanleitung zur Vornahme von Beanstandungen nach 29 Bremisches Datenschutzgesetz

Transkript

1 Handlungsanleitung zur Vornahme von Beanstandungen nach 29 Bremisches Datenschutzgesetz 1. Ziel und Zweck der Beanstandung Die formelle Beanstandung nach 29 des Bremischen Datenschutzgesetzes ist für die Landesbeauftragte für Datenschutz und Informationsfreiheit ein wichtiges Instrument um die dem Bremischen Datenschutzgesetz unterliegenden Stellen zu veranlassen, festgestellte datenschutzrechtlich notwendige Verbesserungen vorzunehmen. Die Beanstandung stellt neben dem jährlichen Tätigkeitsbericht, der Beratung der für die Datenverarbeitung verantwortlichen Stellen und der Abgabe von Empfehlungen zur Verbesserung des Datenschutzes ein besonderes gesetzlich verankertes Instrument dar, um die zu beachtenden datenschutzrechtlichen Anforderungen durchzusetzen. 2. Voraussetzungen einer Beanstandung Nach 29 Absatz 1 des Bremischen Datenschutzgesetzes ist Voraussetzung einer Beanstandung, dass die Landesbeauftragte für Datenschutz und Informationsfreiheit Verstöße gegen Datenschutzbestimmungen (a) oder sonstige Mängel bei der Verarbeitung personenbezogener Daten (b) feststellt (c) und nicht von einer Beanstandung absieht (dazu 3). a) Verstöße gegen Datenschutzbestimmungen Anlass einer Beanstandung kann der Verstoß gegen einzelne oder mehrere Datenschutzvorschriften auf allen Regelungsebenen sein. Dies können beispielsweise Verstöße gegen das Bremische Datenschutzgesetz, bereichsspezifische Datenschutzvorschriften in Bundesund Landesgesetzen und Rechtsverordnungen sein. Auch die Nichtbeachtung von Normen mit interner Bindungswirkung, die von verantwortlichen Stellen selbst gesetzt sind (also Verwaltungsvorschriften, wie zum Beispiel Erlasse und Dienstanweisungen) kann beanstandet werden. Ein Verstoß gegen Datenschutzbestimmungen liegt nicht nur dann vor, wenn eine unzulässige Datenverarbeitung bereits stattgefunden hat, sondern auch schon dann, wenn eine Vorschrift mit Präventivfunktion verletzt worden ist. Beispiele hierfür sind unzureichende oder unterlassene Vorabkontrollen vor der Entscheidung über die Einführung oder wesentliche Änderung eines automatisierten Verfahrens, mit dem personenbezogene Daten verarbeitet werden sollen, oder der Verstoß gegen die Verpflichtung zur Bestellung einer oder eines behördlichen Datenschutzbeauftragten. Unerheblich ist, ob der Verstoß auf einem subjektiv vorwerfbaren Verhalten beruht, also vorsätzlich oder fahrlässig herbeigeführt worden ist oder nicht.

2 2 b) Sonstige Mängel bei der Verarbeitung personenbezogener Daten Ein sonstiger Mangel bei der Verarbeitung personenbezogener Daten liegt vor, wenn der Vorgang oder Zustand zwar keine Rechtsvorschrift verletzt, aber in Widerspruch zu den Zielsetzungen des Datenschutzes steht oder zumindest mittelbar den schutzwürdigen Interessen des oder der Betroffenen zuwiderläuft. Der Gesetzgeber hat die sonstigen Mängel mit einbezogen, um unergiebige Auseinandersetzungen über das Vorliegen eines Verstoßes gegen Datenschutzgesetze von vornherein zu vermeiden. Als sonstige Mängel kommen beispielsweise Organisationsmängel in Betracht. c) Hinreichende Sachverhaltsfeststellung Der objektive Tatbestand des Verstoßes gegen Datenschutzbestimmungen beziehungsweise sonstigen Mangels bei der Verarbeitung personenbezogener Daten ist von der Landesbeauftragten für Datenschutz und Informationsfreiheit festzustellen. Der Sachverhalt ist hinreichend festgestellt, wenn er von der verantwortlichen Stelle mitgeteilt oder bestätigt wird oder sich bei einer Prüfung bei der verantwortlichen Stelle ergibt oder wenn Dokumente vorliegen, die das Vorliegen des Tatbestands beweisen. Dem steht ein Bestreiten der verantwortlichen Stelle nicht entgegen. Die Beanstandung erfolgt, sobald die Landesbeauftragte für Datenschutz und Informationsfreiheit ihre Feststellungen getroffen hat. Es ist nicht erforderlich, dass zunächst erfolglos versucht wurde, die verantwortliche Stelle zur Behebung des Verstoßes oder sonstigen Mangels zu veranlassen. 3. Absehen von einer Beanstandung oder einer Stellungnahme der verantwortlichen Stelle Nach 29 Absatz 2 des Bremischen Datenschutzgesetzes kann die Landesbeauftragte für Datenschutz und Informationsfreiheit von einer Beanstandung absehen oder auf eine Stellungnahme der verantwortlichen Stelle verzichten, wenn es sich um unerhebliche (a) oder inzwischen beseitigte Mängel (b) handelt oder wenn ihre Behebung sichergestellt ist (c). Bei Vorliegen dieser Voraussetzungen liegt die Entscheidung über ein Absehen von einer Beanstandung im Ermessen der Landesbeauftragten für Datenschutz und Informationsfreiheit (d). a) Unerheblicher Mangel Bei der Beurteilung, ob es sich um einen unerheblichen Mangel handelt, hat die Landesbeauftragte für Datenschutz und Informationsfreiheit einen Auslegungsspielraum. Wegen der grundsätzlichen Persönlichkeitsrelevanz von Datenschutzverstößen sind Mängel in der Regel nicht unerheblich. Die Unerheblichkeit kann aber im Einzelfall insbesondere dann bejaht

3 3 werden, wenn der Verstoß nur eine geringe oder gar keine Persönlichkeitsrelevanz hat oder wenn dem oder der Betroffenen nachweisbar kein Schaden entstanden ist. b) Inzwischen abgestellter Mangel Ein Mangel ist abgestellt, wenn die verantwortliche Stelle angemessene technische und/oder organisatorische Maßnahmen umgesetzt hat, die sicherstellen, dass es zukünftig nicht mehr zu entsprechenden Verstößen kommt. c) Behebung ist sichergestellt Die Behebung des Mangels ist sichergestellt, wenn die verantwortliche Stelle angemessene technische und/oder organisatorische Maßnahmen, die sicherstellen, dass es zukünftig nicht mehr zu entsprechenden Verstößen kommt, eingeleitet, aber noch nicht vollständig umgesetzt hat. Gegebenenfalls kann auch eine entsprechende Zusage ausreichen, wenn sie glaubhaft vorgetragen wird. d) Ausübung des Ermessens In die Ermessensentscheidung, ob im Einzelfall von einer Beanstandung abgesehen werden soll, sind alle relevanten Aspekte einzubeziehen. Hierzu gehören insbesondere die Schwere der Datenschutzverstöße, die Anzahl der betroffenen Personen, die Sensibilität der personenbezogenen Daten, der Grad der Verletzung des Persönlichkeitsrechts, die aus dem Verstoß resultierende Gefahren für Rechte und Rechtsgüter der Betroffenen (hierbei sind auch die durch eine weitergehende Verarbeitung und Verknüpfung der erfassten Informationen drohenden Gefahren zu berücksichtigen), die Schwere der Pflichtwidrigkeit, der Kooperationswille der verantwortlichen Stelle, das Vorliegen eines Wiederholungsfalles oder vorsätzlichen Verstoßes (auch billigende Inkaufnahme) oder grober Fahrlässigkeit oder einer Selbstanzeige der verantwortlichen Stelle. Sofern von der Beanstandung abgesehen werden soll, weil die Behebung des Mangels sichergestellt ist (siehe oben c), sollte Voraussetzung für ein Absehen von einer Beanstandung sein, dass die Landesbeauftragte für Datenschutz und Informationsfreiheit aus den objektiven Umständen erkennt, dass die verarbeitende Stelle ihre Verantwortung um der Sache willen ernst nimmt und nicht nur, um die förmliche Beanstandung abzuwenden. 4. Adressaten und Adressatinnen der Beanstandung Adressat oder Adressatin der Beanstandung ist nach 29 Absatz 1 Satz 1 des Bremischen Datenschutzgesetzes bei Behörden oder sonstigen Stellen des Landes und der Stadtgemeinde Bremen der zuständige Senator oder die zuständige Senatorin (Nr. 1),

4 4 bei Behörden und sonstigen Stellen der Stadtgemeinde Bremerhaven der Magistrat (Nr. 2), bei den juristischen Personen des öffentlichen Rechts sowie bei Vereinigungen solcher juristischer Personen der Vorstand oder das sonst vertretungsberechtigte Organ (Nr. 3). In den Fällen des Satzes 1 Nr. 2 und 3 ist gleichzeitig auch die zuständige Aufsichtsbehörde zu unterrichten, bei sonstigen Mängeln jedoch nur, wenn den Beanstandungen nicht unverzüglich abgeholfen wird. 5. Inhalt und Form der Beanstandung a) Form Die Beanstandung erfolgt in schriftlicher Form und wird von der Landesbeauftragten für Datenschutz und Informationsfreiheit oder ihrer Vertreterin oder ihrem Vertreter im Amt unterzeichnet. b) Darlegung des Sachverhalts und rechtliche Würdigung Der Sachverhalt wird in der Beanstandung sachlich, örtlich und zeitlich abgegrenzt und der verantwortlichen Stelle zugeordnet dargelegt. Die Beanstandung bringt in einer datenschutzrechtlichen Würdigung zum Ausdruck, dass innerhalb des Verantwortungsbereichs der Adressatin oder des Adressaten ein datenschutzrechtlicher Missstand besteht oder bestand und inwiefern darin ein Verstoß oder ein sonstiger Mangel liegt. c) Verbesserungsvorschläge Die Beanstandung sollte regelmäßig mit Vorschlägen zur Beseitigung der Mängel und sonstigen Verbesserung des Datenschutzes verbunden sein. Art und Umfang der Vorschläge hängen vom konkreten Verstoß beziehungsweise sonstigen Mangel im Einzelfall ab. Von Vorschlägen kann insbesondere dann abgesehen werden, wenn der Mangel bereits behoben ist oder wenn mehrere Maßnahmen in Frage kommen und deren Auswahl dem Adressaten oder der Adressatin überlassen werden kann oder sollte. d) Aufforderung zur Stellungnahme mit Frist Die Beanstandung enthält eine Aufforderung zur Stellungnahme der Adressatin oder des Adressaten, soweit keine Ausnahme davon nach Absatz 2 gemacht wird (dazu siehe oben 3). Die zu bestimmende Frist ist unter Berücksichtigung der Schwere des Mangels und der Eilbedürftigkeit seiner Abhilfe festzulegen. Grundsätzlich wird eine Frist von drei Wochen

5 5 angemessen sein. Eine Fristverlängerung kann auf begründeten Antrag gewährt werden. Eine Reaktion der Adressatin oder des Adressaten auf die Beanstandung sollte innerhalb der gesetzten Frist aber regelmäßig erfolgen. 6. Verpflichtung des Adressaten oder der Adressatin zur Stellungnahme zur Beanstandung Der Adressat oder die Adressatin der Beanstandung ist gesetzlich verpflichtet, die Stellungnahme innerhalb der gesetzten Frist abzugeben. Kann der Adressat oder die Adressatin der Landesbeauftragten für Datenschutz und Informationsfreiheit die Stellungnahme nicht innerhalb dieser Frist zukommen lassen, so müssen dafür zumindest Gründe mitgeteilt werden, die die verspätete Abgabe tatsächlich rechtfertigen. Die Stellungnahme muss zum Ausdruck bringen, ob und inwieweit die Beanstandung als berechtigt anerkannt wird. Die aufgrund der Beanstandung zur Mängelbeseitigung getroffenen Maßnahmen sind darzustellen. Wird die Beanstandung für ungerechtfertigt gehalten, so ist dies in der Stellungnahme in tatsächlicher und/oder rechtlicher Hinsicht näher zu begründen. Ergibt sich aus der Stellungnahme, dass der Verstoß oder Mangel behoben worden ist, so kann die Landesbeauftragte für Datenschutz und Informationsfreiheit die Beanstandung für erledigt erklären. Andernfalls kann sie der Adressatin oder dem Adressaten der Beanstandung mitteilen, inwieweit die Beanstandung fortbesteht und je nach Sachlage ihre Beurteilung weiter präzisieren oder auf den Inhalt der Stellungnahme eingehen. 7. Unterrichtung der Betroffenen Die Betroffenen sollten grundsätzlich über die festgestellten Datenschutzverstöße unterrichtet werden. Dies gilt insbesondere in den Fällen, in denen die Betroffenen ein rechtliches Interesse an der Unterrichtung haben, weil sie etwa einen Strafantrag stellen oder einen Schadensersatzanspruch geltend machen könnten. 8. Ordnungswidrigkeiten und Straftaten Werden beim beanstandeten Sachverhalt von den für die verantwortliche Stelle handelnden Personen personenbezogene Daten entgegen der Vorschriften des Bremischen Datenschutzgesetzes erhoben, gespeichert, übermittelt, gelöscht, zum Abruf bereit gehalten oder genutzt, so kann eine Ordnungswidrigkeit nach 38 des Bremischen Datenschutzgesetzes vorliegen. Sofern dies gegen Entgelt oder mit Bereicherungs- oder Schädigungsabsicht erfolgt, kann eine Straftat nach 37 des Bremischen Datenschutzgesetzes vorliegen.