Bereitstellung von Geodaten unter Berücksichtigung datenschutzrechtlicher Aspekte anhand des Datenclusters Denkmalschutz der öffentlichen Verwaltung für die Wirtschaft Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein (ULD) Gutachten im Auftrag der GIW-Kommission Dr. Moritz Karg (Dr. Sven Polenz)
Übersicht 1. Beteiligte der Service orientierten Architektur 2. Denkmaleigenschaft als personenbezogenes Datum 3. Datenübermittlung durch das Bayerische Landesamt für Denkmalpflege 4. Datenverantwortung der Beteiligten 5. Vertragsmodell und Verhaltensregeln 6. Umweltinformationen und Geodaten
1. Beteiligte der Service orientierten Architektur Bayerisches Landesamt für Denkmalpflege -Betreiben des Datenservers/Führen der Denkmalliste- Gesamtverband der Deutschen Versicherungswirtschaft e.v. (GDV) Zweck des Geschäftsprozesses: Die Einstufung eines Gebäudes als schutzwürdig (Denkmalschutz) ist eine für den Abschluss einer Gebäudeversicherung relevante Angabe. Steine und Erden Servicegesellschaft SES GmbH Zweck des Geschäftsprozesses: Die Genehmigung eines Rahmenbetriebsplanes (u.a. zu erstellen vor dem Gewinnen von Bodenschätzen) setzt nach dem BBergG ein Planfeststellungsverfahren voraus, in welchem von den Unternehmen Angaben zu den Flächen und zu Umweltauswirkungen verlangt werden. Dienstnutzer
2. Denkmaleigenschaft als personenbezogenes Datum Personenbezogene Daten bzw. personenbeziehbare Daten sind gemäß Art. 4 Abs. 1 BayDSG sowie nach 3 Abs. 1 BDSG Einzelangaben über persönliche oder sachliche Verhältnisse bestimmter oder bestimmbarer natürlicher Personen. Die rechtliche Bewertung eines Objektes oder einer Fläche als Denkmal wirkt sich unmittelbar auf die Interessen und Rechte der Eigentümer oder sonstigen an den Flächen oder Objekten berechtigten Personen aus (Genehmigung von Bauvorhaben - 1 Abs. 6 Nr. 5 BauGB; Instandhaltungsverpflichtungen Art. 4 Abs. 1 BayDSchG; Nutungsbeschränkungen Art. 5 BayDSchG; Erlaubnispflichten Art. 6 und 8 BayDSchG)
3. Datenübermittlung durch das Bayerische Landesamt für Denkmalpflege A) Rechtsgrundlagen der Datenübermittlung aus Denkmalliste: 1) Art. 19 Abs. 1 Nr. 1, Art. 17 Abs. 2 Nr. 8 BayDatenschutzG i.v.m. Art. 2 Abs. 1 Satz 5 BayDSchG Baudenkmäler und Bodendenkmäler sollen nachrichtlich in ein Verzeichnis (Denkmalliste) aufgenommen werden. Die Liste kann von jedermann eingesehen werden. 2) Art. 19 Abs. 1 Nr. 1, Art. 17 Abs. 2 Nr. 8 BayDatenschutzG i.v.m. Art. 10 BayGDIG
3. Datenübermittlung durch das Bayerische Landesamt für Denkmalpflege A) Rechtsgrundlagen der Datenübermittlung aus Denkmalliste: 2) Art. 19 Abs. 1 Nr. 1, Art. 17 Abs. 2 Nr. 8 BayDatenschutzG i.v.m. Art. 10 BayGDIG Geodaten und Geodatendienste sind vorbehaltlich des Art. 11 und nach Maßgabe des Art. 12 der Öffentlichkeit und anderen Behörden zur Verfügung zu stellen (Art. 10 BayGDIG). Soweit durch den Zugang zu Geodaten personenbezogene Daten offenbart und dadurch schutzwürdige Interessen der Betroffenen beeinträchtigt würden, ist der Zugang zu beschränken, es sei denn, die Betroffenen haben zugestimmt oder das öffentliche Interesse an dem Zugang überwiegt (Art. 11 Abs. 1 Satz 2 Nr. 1 BayGDIG). Die Bereitstellung von Geodaten und Geodatendiensten nach Art. 4 an das Geoportal hat unter Beachtung der im Bayerischen Datenschutzgesetz und im Bundesdatenschutzgesetz festgelegten Grundsätze des Schutzes personenbezogener Daten zu erfolgen (Art. 8 Abs. 4 Satz 1 BayGDIG).
3. Datenübermittlung durch das Bayerische Landesamt für Denkmalpflege B) Sicherstellung der Zweckbindung Die nicht-öffentliche Stelle darf die übermittelten Daten nur für den Zweck verarbeiten oder nutzen, zu dessen Erfüllung sie ihr übermittelt worden sind. Sie ist von der übermittelnden Stelle darauf hinzuweisen (Art. 19 Abs. 4 Satz 1 und 2 BayDatenschutzG). Das Bayerische Landesamt für Denkmalpflege hat von der Identität der Dienstnutzer regelmäßig keine Kenntnis. Die Sicherstellung der Zweckbindung sollte daher über den Dienstvermittler (GDV/SES GmbH) sichergestellt werden.
4. Datenverantwortung der Beteiligten a) Dienstanbieter (Bay. Landesdenkmalbehörde) Eigene datenschutzrechtliche Verantwortlichkeit für Datenübermittlung Zulässigkeit aufgrund bayerischen Denkmal- und Datenschutzgesetzes (Art. 19 Abs. 1 Nr. 1, Art. 17 Abs. 2 Nr. 8 BayDSG i.v.m. Art. 2 Abs. 1 S. 5 DSchG) Besonderheit: Denkmalliste ist allgemein zugänglich. Dr. Moritz Karg - Geodatengutachten III - 19. November 2009 8
4. Datenverantwortung der Beteiligten b) Vermittler / Dienstverzeichnis (Web Map Server GDV / Rohstoffwirtschaft [SES]) Tätigwerden im Auftrag der Mitgliedsunternehmen Auftragsdatenverarbeitung, 11 BDSG Keine eigene datenschutzrechtliche Verantwortlichkeit Gestaltung des Systems für die Mitgliedsunternehmen nur datenschutzrechtlich zulässige Verwendung der Daten wird technisch unterstützt GDV und SES GmbH übernehmen für Mitgliedsunternehmen gegenüber Denkmalbehörde Garantie für datenschutzkonforme Nutzung der Daten Dr. Moritz Karg - Geodatengutachten III - 19. November 2009 9
4. Datenverantwortung der Beteiligten c) Vermittler / Dienstverzeichnis (Web Map Server GDV / Rohstoffwirtschaft [SES]) Tätigwerden im Auftrag des Bayerischen Landesamtes für Denkmalpflege Auftragsdatenverarbeitung nach dem Bayerischen Datenschutzgesetz Keine eigene datenschutzrechtliche Verantwortlichkeit Übernahme einer Transportfunktion/Sicherstellung der Zweckbindung Dr. Moritz Karg - Geodatengutachten III - 19. November 2009 10
4. Datenverantwortung der Beteiligten d) GDV / Rohstoffwirtschaft [SES]) Sowohl der GDV als auch die SES GmbH sehen in den Geschäftsprozessen zusätzlich die Vermittlung von georeferenzierten Daten aus eigenem Bestand vor (insoweit: Datenverantwortung) Es erfolgt im Hinblick auf diese Daten eine Speicherung (Bezüglich der vom Bayerischen Landesamt für Denkmalpflege übermittelten Daten wird hingegen keine Speicherung vorgenommen). Die Zulässigkeit der Datenübermittlung richtet sich dann nach 29 BDSG. Dr. Moritz Karg - Geodatengutachten III - 19. November 2009 11
4. Datenverantwortung der Beteiligten d) GDV / Rohstoffwirtschaft [SES]) (1) Das geschäftsmäßige Erheben, Speichern, Verändern oder Nutzen personenbezogener Daten zum Zweck der Übermittlung, insbesondere wenn dies der Werbung, der Tätigkeit von Auskunfteien oder dem Adresshandel dient, ist zulässig, wenn 1. kein Grund zu der Annahme besteht, dass der Betroffene ein schutzwürdiges Interesse an dem Ausschluss der Erhebung, Speicherung oder Veränderung hat, 2. die Daten aus allgemein zugänglichen Quellen entnommen werden können oder die verantwortliche Stelle sie veröffentlichen dürfte, es sei denn, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Erhebung, Speicherung oder Veränderung offensichtlich überwiegt, oder..( 29 Abs. 1 Satz 1 Nr. 1 und 2 BDSG) Dr. Moritz Karg - Geodatengutachten III - 19. November 2009 12
4. Datenverantwortung der Beteiligten e) Dienstnutzer (Mitgliedsunternehmen der Verbände) eigene datenschutzrechtliche Verantwortlichkeit für Verarbeitung und Nutzung der Daten Mitglieder GDV: Vertragsausgestaltung: Rechtsgrundlage 28 Abs. 1 Nr. 1 BDSG Tariffierung und Portfoliobewertung: Berechtigtes Interesse - 28 Abs. 1 Nr. 2 BDSG Rohstoffwirtschaft (GISInforService) Planung- und Management: Berechtigtes Interesse 28 Abs. 1 Nr. 2 BDSG Dr. Moritz Karg - Geodatengutachten III - 19. November 2009 13
5. Vertragsmodell und Verhaltensregeln Vertragsmodell Datenschutzrechtliche Zulässigkeit muss u.a. durch Nutzungsvereinbarungen sichergestellt werden Vorteil: kurzfristige Umsetzung möglich Geringer Umsetzungsaufwand Flexibilität in Hinblick auf sich ändernde Rahmenbedingunen Nachteil: Geringere Rechtssicherheit, weil keine Beteiligung der Aufsichtsbehörde erforderlich (könnte durch Gütesiegel ausgeglichen werden) Begrenzter inhaltlicher Spielraum wegen gesetzlicher Vorgaben Dr. Moritz Karg - Geodatengutachten III - 19. November 2009 14
5. Vertragsmodell und Verhaltensregeln Code of Conduct Modell Datenschutzrechtliche Zulässigkeit wird durch freiwillige Selbstbindung sichergestellt Vorteil: Hohe Rechtssicherheit weil Beteiligung der Aufsichtsbehörden erforderlich inhaltlicher Gestaltungsspielraum Nachteil bisher keine Praxisbeispiele Langwieriger Umsetzungsprozess weil Beteiligung der Aufsichtsbehörden erforderlich Geringere Flexibilität bei sich ändernden Rahmenbedingungen Dr. Moritz Karg - Geodatengutachten III - 19. November 2009 15
Datenschutzsiegel-Voraussetzungen SH Gütesiegel oder EuroPrise Inhaltliche Vorgaben Konformität mit dem deutschen (bzw. schleswigholsteinischen Datenschutzrecht) oder europäischen Datenschutzrecht Datenschutzfreundliches Produkt bzw. Verfahren Verfahren 2-stufiges Verfahren Technisches und rechtliches Gutachten (extern) Qualitätssicherung und Verleihung Siegel durch ULD bzw. Europrise Partner Dr. Moritz Karg - Geodatengutachten III 16
GeoBusiness System - Bausteine Datenschutz - - Datenschutz - (Bedingungen) UIG IFG IWG GeoZG FachG - Gesetze -
6. Umweltinformationen und Geodaten Überschneidungen bezüglich des Begriffsinhaltes Elektronische Form Antragsrecht Informationszugang über Internet oder andere geeignete Telekommunikationsmittel 12 Abs. 2 GeoZG - 9 Abs. 1 Nr. 1 UIG erheblich beeinträchtigt Abwägung des öffentlichen Interesses an der Bekanntgabe gegen das Interesse an der Festlegung von Beschränkungen bzw. Auflagen des Zugangs Sonderproblem: Betriebs- und Geschäftsgeheimnisse Vgl. Polenz, Aufbau einer Geodateninfrastruktur, NVwZ 2010, 485 ff.
Vielen Dank für Ihre Aufmerksamkeit! Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Dr. Moritz Karg (Dr. Sven Polenz) Telefon: 0431 988 1651 karg@datenschutzzentrum.de http://www.datenschutzzentrum.de/ Dr. Moritz Karg - Geodatengutachten III - 19. November 2009 19