Der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg (LfDI BaWü) hat in seinem Tätigkeitsbericht 2023 die Verwendung von privaten E-Mail-Adressen durch Mitglieder von Gemeinderäten und die damit einhergehenden datenschutzrechtlichen Probleme thematisiert. Insbesondere läge die Herausforderung darin, die Rechtmäßigkeit der Datenverarbeitung durch die Gemeinde – welche hierbei verantwortlich im Sinne des Art. 4 Nr. 7 DSGVO ist – sicherzustellen, auch wenn die Daten durch private E-Mail-Provider verarbeitet werden.
Der LfDI BaWü erklärt, dass die ehrenamtlichen Gemeinderatsmitglieder zwar Entscheidungen nach ihrer freien, nur durch das öffentliche Wohl bestimmten Überzeugung, treffen würden (vergleichbar mit Parlamentsabgeordneten), ihnen jedoch keine Rolle als Organ der Legislative zukommen würde. Vielmehr seien Mitglieder des Gemeinderats Teil der Verwaltung, also der Exekutive. Dies wurde bereits höchstrichterlich entschieden (BGH, Urteil vom 09.05.2006 – Az.: 5 StR 453/05 und BVerwG, Urteil vom 23.06.1976 – Az.: BVerwG VIII C 29.74).
Der BGH führt dazu aus:
„Die Gemeindevertretung ist im staatsrechtlichen Sinne kein Parlament, sondern Organ einer Selbstverwaltungskörperschaft [m.w.N.]. Damit gehört die Rechtsetzungstätigkeit der Gemeinden trotz eines gewissen legislatorischen Charakters im System der grundgesetzlichen Gewaltenteilung zum Bereich der Verwaltung und nicht zum Bereich der Gesetzgebung [m.w.N.].“ (Hervorhebung der Verfasserin)
Daraus würde sich die datenschutzrechtliche Verantwortlichkeit der Gebietskörperschaft Gemeinde ergeben, welche somit die Einhaltung aller Datenschutzvorgaben bei der Datenverarbeitung sicherstellen muss. So müsse die Gemeinde z. B. die Löschung der Daten sicherstellen, wenn diese nicht mehr für die Amtsausübung benötigt werden (etwa nach dem Ausscheiden aus einem Amt), oder aber die Integrität und Vertraulichkeit der Daten gewährleisten.
Wie hält die Gemeinde Datenschutzvorgaben auf nicht gemeindeeigenen E-Mail-Konten ein?
Verwenden die Gemeinderatsmitglieder dienstliche E-Mail-Adressen ihrer Arbeitgeber oder innerhalb der Familie genutzte E-Mail-Konten, könnten die personenbezogenen Daten im Rahmen der Amtsausübung ohne Rechtsgrundlage an unbefugte Dritte übermittelt werden. Zudem könnte ein Auftragsverarbeitungsvertrag mit dem E-Mail-Provider erforderlich sein, wenn dieser die personenbezogenen Daten der Gemeinde speichert. Dies, aber auch z. B. die Sicherstellung der Datenlöschung oder ausreichender Schutzmaßnahmen, könnten Hindernisse für die Gemeinde bei der Einhaltung des Datenschutzes darstellen, wenn die Daten in E-Mail-Konten außerhalb der eigenen Zugriffssphäre liegen. Diese Probleme können laut Empfehlung des LfDI BaWü umgangen werden, wenn den Gemeinderatsmitgliedern gemeindliche E-Mail-Adressen oder ein Onlineportal zum Datenabruf (mit hinreichendem Authentifizierungsverfahren) bereitgestellt werden.
Ähnliches Szenario – andere Bewertung
Anders als der LfDI BaWü bewertet die schleswig-holsteinische Aufsichtsbehörde (Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein, kurz ULD) den Sachverhalt: Beim Einsatz von privaten Endgeräten durch kommunale Mandatsträger*innen würde die datenschutzrechtliche Verantwortlichkeit an diese übergehen. Die kommunalen Mandatsträger*innen seien, anders als Beschäftigte der kommunalen Verwaltung, nicht als Bestandteil der Verwaltung anzusehen. Ihnen würden Aufgaben und Kompetenzen zur eigenverantwortlichen Wahrnehmung zugewiesen und eine eigenständige Verschwiegenheitspflicht auferlegt werden.
Erhalten Mandatsträger*innen für die Zwecke der Ausübung ihres Mandats personenbezogene Daten von der entsprechenden Kommunalverwaltung und werden diese danach vollständig in die eigene Verfügungsgewalt gebracht (z. B. auf ein privates Endgerät, in ein privates E-Mail-Postfach oder auch durch das Verbringen von Papierdaten in den privaten häuslichen Bereich), könnten sie ab diesem Zeitpunkt – so das ULD – die Zwecke und Mittel der Verarbeitung festlegen und somit als Verantwortliche im Sinne der DSGVO angesehen werden.
Egal ob Legislative oder Exekutive: Die datenschutzrechtlichen Pflichten bleiben dieselben
Die Mandatsträger*innen treffen dann folgerichtig dieselben Pflichten, wie die Gemeinde im Beispiel des LfDI BaWü: Die datenschutzrechtlichen Pflichten, wie die Gewährung von Betroffenenrechten (Artt. 12 ff. DSGVO) und die Umsetzung der technischen und organisatorischen Maßnahmen (Art. 32 DSGVO), müssen eingehalten werden. Das ULD weist darauf hin, dass für die Verwaltung ab dem Zeitpunkt des Entzugs der Verfügungsgewalt der Gemeinde nicht mehr die Möglichkeit bestünde, auf die Datenverarbeitung Einfluss zu nehmen. Sie würde insoweit für die bei den Mandatsträger*innen befindlichen Daten die Rolle der verantwortlichen Stelle verlieren.
Das ULD unterscheidet am Beispiel des Daten-Downloads im Rahmen des Ratsinformationssystems zwischen drei Konstellationen:
- Die Kommunalverwaltung stellt ein Endgerät bereit, die private Nutzung ist verboten und technisch unterbunden: Hier bliebe die Kommune Verantwortliche im Sinne der DSGVO, soweit die personenbezogenen Daten das mobile Endgerät nicht verlassen und dieses als Teil des von der Kommune administrierten Ratsinformationssystems anzusehen ist.
- Die Kommunalverwaltung stellt ein Endgerät bereit, die private Nutzung ist erlaubt: Hier könne nach Ansicht des ULD auch eine gemeinsame Verantwortlichkeit nach Art. 26 DSGVO in Betracht kommen, da sowohl die Verwaltung als auch die Mandatsträger*innen teilweise die Zwecke und Mittel der Datenverarbeitung festlegen können.
- Ein privates Endgerät wird für die Gremienarbeit zugelassen – „Bring Your Own Device“ (BYOD): Hier ist der*die Mandatsträger*in Verantwortliche*r im Sinne der DSGVO, da die betreffenden Daten vollständig dem Verfügungsbereich der Verwaltung entzogen wurden.
(Wichtig: Die Verantwortlichkeit für das von der Kommunalverwaltung betriebene Ratsinformationssystem liegt in der Regel bei dieser.)
Das ULD hebt neben der Frage nach der Verantwortlichkeit insbesondere die Risiken der Datennutzung auf mobilen Endgeräten hervor: Diese könnten leichter verloren oder gestohlen werden, unsichere bzw. leicht angreifbare Betriebssysteme aufweisen oder die darauf befindlichen Daten könnten aufgrund von technischen Problemen beschädigt oder zerstört sowie durch Verkauf oder Weitergabe des Gerätes an unbefugte Dritte übergeben werden. Das ULD empfiehlt daher zur rechtskonformen Nutzung von Ratsinformationssystemen mit mobilen Endgeräten eine Liste von Maßnahmen, wie die verbindliche Regelung zur Konfiguration und zum Betrieb des Endgerätes oder dessen Einbindung in eine technische Verwaltungslösung (Mobile Device Management).
Fazit
Der Einsatz von privaten E-Mail-Adressen oder privaten Endgeräten kann jeweils dazu führen, dass die Einhaltung der datenschutzrechtlichen Vorgaben für die Beteiligten – sei es die verantwortliche Gemeinde oder die verantwortlichen Mandatsträger*innen – erschwert werden bzw. nicht realisierbar sind. Die verantwortliche Gemeinde kann die Kontrolle über die in ihrer Verantwortlichkeit liegenden personenbezogenen Daten verlieren. Die Mandatsträger*innen wiederum würden im Zweifel personenbezogene Daten rechtswidrig verarbeiten, wenn sie mit ihrem E-Mail-Provider keinen Auftragsverarbeitungsvertrag abschließen (können) oder dieser keine angemessenen Schutzmaßnahmen ergreift und garantiert.
Daher sollte, auch wenn gerade für kleinere Gemeinden und Kommunen eine Verwendung privater E-Mail-Adressen und Endgeräte praktisch und aufwandsärmer erscheint, stets die Vorgabe von behördlichen Kommunikationskanälen und Endgeräten Vorrang haben und entsprechende Ressourcen durch die Verwaltung bereitgestellt werden.