Mythen der Datenschutzgrundverordnung – Erlesenes aus (knapp) 300 Tagen DS-GVO
Kurz vor der datenschutzrechtlichen Zeitenwende am 25.5.2018 überboten sich die Medien gegenseitig mit der Darstellung von Sachverhalten, die durch die DS-GVO künftig wesentlich erschwert oder gar unmöglich würden. Nach Abflachen einer Empörungswelle wurde der nächste Skandal schon herbeigeschrieben, wobei eine auflagenstarke Tageszeitung des Axel Springer Verlags besonderes Engagement zeigte. Andererseits liefert nicht jede Analyse der öffentlichkeitswirksam aufbereiteten Sachverhalte einen datenschutzrechtlich völlig unzutreffenden Befund. Nachfolgend sollen daher vier im öffentlichen Diskurs besonders hervorgetretene Episoden auf ihren juristischen Wahrheitsgehalt untersucht werden.
I. Mythos, Logos und die DS-GVO
Für die Sophisten stand der Mythos im Gegensatz zum Logos. Während ein Mythos zwar den Anspruch auf die von ihm behauptete Wahrheit erhebt, der Sache nach aber als märchenhafte Erzählung erscheint, bezeichneten sie mit Logos den Versuch, durch verstandesgemäße Beweise die Wahrheit einer Behauptung zu begründen. Für Aristoteles gehörte der Mythos ins Theater, Logos (als „echte“ Wissenschaft) galt als Inbegriff der Vernunft. Überträgt man das Gesagte auf den Untersuchungsgegenstand, so steht Logos für die juristische Subsumtion eines Lebenssachverhaltes unter die einschlägigen Rechtsnormen, hier vornehmlich die DS-GVO.
Der Suchbegriff „DS-GVO“ und „Wahnsinn“ weist bei Google Trends 2018 in den Monaten Mai, Juni, Oktober sowie Ende des Jahres 2018 signifikante Spitzen auf. Grob kann man diese den nachfolgend näher analysierten Episoden zuordnen. Dessen ungeachtet ist die Auswahl hier subjektiv. Angesichts des begrenzten Umfangs kann nicht auf den ebenso viel diskutierten alerten Metzgermeister, die unter #Klingelgate bekannt gewordene Posse um 220.000 städtische Klingelschilder in Wien oder die in einer Mainzer Arztpraxis ausgelegte Einwilligungserklärung eingegangen werden, wonach der Unterzeichner „mit seiner Unterschrift bestätigt, die neue Datenschutz-Grundverordnung erhalten und gelesen zu haben, sowie deren Bedingungen zu akzeptieren“.
II. Viele Visitenkarten, eine Schublade und (k)ein Dateisystem
Ein besonders intensiv ventiliertes Narrativ betraf Visitenkarten. Am 15.5.2018 war bei Die Welt und anderen zu lesen, bereits die Annahme einer Visitenkarte eines Geschäftspartners lege einen Datenschutzverstoß nahe, wenn nicht im selben Moment über die mit diesen Daten beabsichtigte Verarbeitung informiert werde. Auf reichweitenstarken YouTube-Kanälen witzelte man über den synallagmatischen Austausch von Visitenkarten (nur) gegen Ausgabe einer (die Karten im Größenformat deutlich übertreffenden) Datenschutzerklärung, die bei Geschäftsterminen vorzuhalten und zu übergeben wäre. Um Versachlichung der Debatte bemüht, steuerte u.a. der BayLfD mit einem Statement zu Visitenkarten als einer schon seit 200 Jahren etablierten Merkhilfe zur sozialen Interaktion entgegen. Der Autor hat sich vor diesem Hintergrund die Frage gestellt, ob eine (freilich hypothetisch) langjährig gelebte Praxis (noch) rechtmäßig sein kann, erhaltene Visitenkarten lose in einer von drei Schubladen eines Schreibtischcontainers abzulegen, wo sich über die Zeit durchaus 300-400 Karten gesammelt haben dürften.
Der Reihe nach und beginnen wir – streng dem Logos des DS-GVO-Prüfungsschemas verpflichtet – bei der Frage des sachlichen Anwendungsbereichs. Nach Art. 2 Abs. 1 DS-GVO betrifft dieser nicht nur die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten, sondern auch die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Die Visitenkartenschublade könnte ein Fall nichtautomatisierter Verarbeitung personenbezogener Daten sein, was ein „Dateisystem“ voraussetzt. Artikel 4 Nr. 6 DS-GVO definiert dieses als „strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind, unabhängig davon, ob diese Sammlung zentral, dezentral oder nach funktionalen oder geografischen Gesichtspunkten geordnet geführt wird“. Um personenbezogene Daten i.S.v. Artikel 4 Nr. 1 (Name, Anschrift, Telefonnummer etc.) geht es ohne Frage, problematisch ist das Merkmal der strukturierten Sammlung. Bedingt erhellend insoweit ist ErwG 15 Satz 3 DS-GVO, wonach Akten oder Aktensammlungen sowie ihre Deckblätter, die nicht nach bestimmten Kriterien geordnet sind, nicht in den Anwendungsbereich der Verordnung fallen sollen.
In der englischen Sprachfassung ist von „filing system“ die Rede, einer Begrifflichkeit, wie sie sich schon in der (auch im Übrigen Art. 4 Nr. 6 DS-GVO ähnelnden) englischen Sprachfassung der Datenschutzrichtlinie 95/46 (Art. 2 lit. c) fand. Im Gegensatz zur DS-GVO führte die deutsche Sprachfassung des Art. 2 lit. c) RiLi 95/46 allerdings nicht den Begriff des Dateisystems, sondern nur den der „Datei“. Erkennt man darin letztlich nur einen Übersetzungsfehler im alten Recht, der mit der DS-GVO korrigiert wurde, ist für die Interpretation des Art. 4 Nr. 6 DS-GVO das Urteil des EuGH in Sachen Zeugen Jehovas relevant, in dem der Gerichtshof den Begriff der „Datei“ (filing system) der Datenschutzrichtlinie im Rahmen der Vorlage eines finnischen Gerichts ausgelegt hat. Einem denkbar weiten Ansatz folgend heißt es in Randnummer 61 des Urteils:
„Insofern ist die Frage, nach welchem genauen Kriterium und in welcher genauen Form die Sammlung der von den einzelnen Verkündigern erhobenen personenbezogenen Daten tatsächlich strukturiert ist, ohne Belang, soweit in dieser Sammlung die Daten über eine bestimmte bereits aufgesuchte Person leicht wiederauffindbar sind, was jedoch das vorlegende Gericht anhand sämtlicher Umstände des Ausgangsverfahrens zu prüfen hat.“
Erstens stellt der Gerichtshof das Merkmal der Strukturierung damit faktisch anforderungslos und ersetzt es durch den Aspekt einer leichten Wiederauffindbarkeit. Zweitens ist deren Bewertung nicht Sache des EuGH, sondern tatrichterliche Aufgabe. Mit guten Gründen (und Erfahrungswerten) lässt sich die leichte Auffindbarkeit einer einzelnen Visitenkarte unter mehreren hundert Karten im Fall der Visitenkartenschublade also verneinen. Anders verhält es sich, wenn bei Annahme oder Ablage der Karten die (spätere) Überführung in ein geordnetes (z.B. analoge Rollkartei mit A-Z Register) oder automatisches System (Adressdatenverwaltung, bspw. Outlook) geplant ist. Weil die Haushaltsausnahme in Art. 2 Abs. 2 lit. c) DS-GVO („ausschließlich persönliche Tätigkeit“) bei der Kontaktanbahnung mittels Visitenkarten in aller Regel nicht greifen dürfte, wäre der Anwendungsbereich der DS-GVO eröffnet.
Während die Rechtfertigung der Datenverarbeitung durch den Empfänger angesichts einer ihm übergebenen Visitenkarte wenig Probleme bereitet, werfen die Transparenz- und Informationspflichten gem. Art. 12 ff. DS-GVO schwierige(re) Fragen auf. Nach Ansicht des BayLfD ist der Zeitpunkt der Entgegennahme der Karten streng von der zeitlich nachgelagerten Phase zu unterscheiden, in der diese Daten (gegebenenfalls automatisiert) verarbeitet werden. Danach löst die Entgegennahme der Visitenkarte für sich genommen noch keine Informationspflicht aus. Die dann wesentlich interessantere, nachgelagerte Phase erhält in der Stellungnahme des BayLfD bemerkenswert wenig Raum. Die Beschreibung eines praktisch verwertbaren Lösungsansatzes vermisst man auch in der „DSK Orientierungshilfe zur Verarbeitung von personenbezogenen Daten für Zwecke der Direktwerbung“, wo das Visitenkartenproblem ebenfalls adressiert wird. Sibyllinisch heißt es dort:
„Visitenkarten, die von den betroffenen Personen auf Messen oder sonstigen Veranstaltungen ausdrücklich zur Informationszusendung oder weiteren geschäftlichen Kontaktaufnahme hinterlassen werden, können grundsätzlich eine wirksame Einwilligung im Sinne von Art. 4 Nr. 11 DS-GVO darstellen, wenn infolge weiterer Umstände für den Verantwortlichen eine Nachweisbarkeit der Einwilligung gegeben ist.“
Damit wird nicht nur die Frage des Vorliegens einer Einwilligung und diejenige ihrer Nachweisbarkeit vermengt. Auch welche weiteren Umstände relevant sein sollen, bleibt das Geheimnis der DSK. Wesentlich entschlossener fiel die Einschätzung des ehemaligen Bundesbeauftragten für den Datenschutz, Peter Schaar, aus. Die Übergabe einer Businesscard erfolge regelmäßig durch den Inhaber, damit der Empfänger Kontakt mit ihm aufnehme. Damit sei der Inhaber der Karte auch insoweit informiert, dass der Empfänger die Daten in seinem Adressverzeichnis erfasst. Datenschutzrechtliche Informationspflichten gäbe es nur, wenn die Daten zu anderen Zwecken, etwa zur Überprüfung der Kreditwürdigkeit, herangezogen würden. Das klingt im Lichte der Ausnahmevorschrift des Artikel 13 Abs. 4 DS-GVO nachvollziehbar, wonach die Informationspflicht entfällt, wenn ein Betroffener über die Informationen bereits verfügt. Wortlaut („wenn und soweit“) und Systematik des Artikel 13 Abs. 4 DS-GVO gebieten allerdings eine enge Interpretation. Auch wenn der Inhaber der Visitenkarte damit rechnet, dass der Empfänger die Daten (zum Zweck einer Kontaktaufnahme) in ein Adressverzeichnis aufnimmt, so ist ihm nicht bekannt, ob dies über ein Visitenkartenkarussell erfolgt oder durch Eingabe der Daten bei Outlook. Gleichgültig ist das dem Betroffenen nicht, denn die Gefahr einer Weitergabe der Adressdaten durch den Empfänger an Dritte – auch an die Anbieter (nicht nur, aber vor allem berufsorientierter) sozialer Netzwerke durch Hochladen des Adressbuchs – ist hoch. Kaum in Betracht kommt eine Übertragung, bzw. analoge Anwendung der in Artikel 14 Absatz 5 lit. b) DS-GVO geregelten Ausnahme vom Informationsgebot bei unverhältnismäßigem Aufwand oder eine Beschränkung der Informationspflicht nach § 32 I Nr. 1 BDSG. Denn diese Bestimmung ist wegen ihrer so in der DS-GVO nicht angelegten Differenzierung unionsrechtswidrig.
Best Practice könnte nach alledem sein, auf der in der Regel vorhandenen Unternehmenswebseite die dort ohnehin bestehende Datenschutzerklärung um einen Abschnitt „Verfahren mit Visitenkarten“ zu erweitern und dort anzugeben, was mit den Visitenkarten passiert. Der Empfänger einer Visitenkarte kontaktiert nun per Mail den Inhaber der Karte und bedankt sich für das nette Gespräch (anlässlich dessen die Karte übergeben wurde). In dieser Mail befindet sich in der Fußzeile ein standardisierter Hinweis darauf, dass der Umgang mit Visitenkarten in der Datenschutzerklärung auf der Unternehmenswebseite dokumentiert ist.
III. Geschwärzte Kinderfotos und (kirchliches) Datenschutzrecht
Die Bild-Zeitung berichtete am 2.8.2018 über den katholischen Kindergarten St. Katharina in Dormagen (NRW), wo man dem Artikel zufolge auf Fotos in den Erinnerungs-Mappen der Kinder die Gesichter der umstehenden, ebenfalls KiTA-angehörigen Freundinnen und Spielkameraden geschwärzt hatte. Aus Angst, gegen die neue, verschärfte Datenschutz-Grundverordnung zu verstoßen, habe sich die KiTa-Leitung zu diesem Schritt entschlossen, da man sich nicht sicher war, ob die zu Beginn der Kindergartenzeit unterschriebene Einwilligungserklärung insoweit ausreiche.
Der Anwendungsbereich der DS-GVO ist eröffnet, wobei man bei den Bildern in der KiTA an das „Haushaltsprivileg“ des Art. 2 Abs. 2 lit. c) DS-GVO denken könnte. Dann müsste es aber um eine Tätigkeit im ausschließlich persönlichen oder familiären Kontext gehen, die sich – wie die französische und die englische Sprachfassung („household“, „domestique“) deutlicher als die deutsche Formulierung zeigen – in der häuslichen (Privat-)Sphäre abspielt. Im Lichte von ErwG 18 zur DS-GVO und der Rechtsprechung des EuGH zur Vorgängervorschrift in der Datenschutzrichtlinie 95/46 ist das nicht zu begründen. Der nächste Prüfungsschritt führt, da es sich im fraglichen Fall um eine katholische KiTA handelt, in das an die DS-GVO zum 24.5.2018 angepasste Gesetz über den Kirchlichen Datenschutz (KDG). Auch insoweit gilt für die Verarbeitung personenbezogener Daten ein Verbot mit Erlaubnisvorbehalt, wobei § 6 KDG entsprechende Tatbestände – etwa eine Einwilligung der von der Verarbeitung betroffenen Person – vorsieht. Danach wäre eine Rechtfertigung für die Anfertigung und Verbreitung der Bildnisse der Kinder auf Grundlage einer Einwilligung ihrer Eltern grundsätzlich möglich (§ 6 Absatz 1 lit. b) KDG).
Personenbezogene Daten liegen bei den Bildnissen der Kinder vor, gegebenenfalls sind sogar „besondere Kategorien personenbezogener Daten betroffen“. Das sind nach der Begriffsbestimmung in § 4 Ziffer 2 KDG unter anderem solche personenbezogene Daten, aus denen die rassische und ethnische Herkunft oder religiöse oder weltanschauliche Überzeugungen hervorgehen sowie genetische oder biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person oder auch Gesundheitsdaten einer natürlichen Person. Personenfotos lassen regelmäßig die rassische und ethnische Herkunft der Abgebildeten erkennen. Damit wäre jede in den KiTA-Erinnerungsalben enthaltene Fotografie eine besonders sensible Datenverarbeitung.
Vor dem Hintergrund des Art. 91 DS-GVO wird man insoweit aber auch deren Wertung in Erwägungsgrund 51 Satz 3 übertragen können, wonach die Verarbeitung von Lichtbildern nicht grundsätzlich als Verarbeitung besonderer Kategorien von personenbezogenen Daten angesehen werden kann. Anders soll dies unter der Ägide der DS-GVO nur sein, wenn biometrische Daten erfasst werden; was etwa bejaht werden kann, wenn mit einem Smartphone erstellte Bilder einer Person in einem Sozialen Netzwerk hochgeladen werden und damit physische bzw. physiologische Merkmale des menschlichen Körpers maschinenlesbar gemacht werden. In der Kindertagesstätte ging es – soweit ersichtlich – nur um Abzüge der Personenfotos auf Papier, so dass es sich nach Sinn und Zweck der Vorgaben nicht um die Verarbeitung besonderer Kategorien personenbezogener Daten handelt. Mit diesem Ergebnis negierte man auch nicht das besondere Schutzbedürfnis der Kinder, dem bei den Anforderungen an die Einwilligung (ggfs. beider Erziehungsberechtigter als Träger der elterlichen Verantwortung (§§ 1626 BGB)) und den korrespondierenden Informationspflichten Rechnung zu tragen wäre.
§ 8 KDG enthält Vorgaben für die Einwilligung. Nach Absatz 1 der Vorschrift muss auf ihren konkreten Zweck sowie die Folgen ihrer Verweigerung hingewiesen werden, und die Einwilligung muss auf einer freien Entscheidung der betroffenen Person beruhen. Nach § 8 Abs. 2 KDG bedarf sie der Schriftform, soweit nicht wegen besonderer Umstände eine andere Form angemessen ist. Nach Absatz 5 der Vorschrift muss der Verantwortliche die Einwilligung nachweisen können. Was genau in der Einwilligungserklärung der KiTA in Dormagen stand, lässt sich von hier aus nicht sagen. Die Fortgeltung der zu Beginn der Kindergartenzeit noch unter altem Datenschutzregime unterschriebenen Einwilligungserklärung ist jedenfalls nicht ausgeschlossen, so sie denn hinreichend präzise formuliert war. Der Fortgeltung der Alteinwilligung nicht entgegen steht die (nach neuem Recht gesteigerte) Informationspflicht nach Artikel 13 DS-GVO, die das KDG in § 15 spiegelt.
Kurz gesagt gilt also: Geschwärzte Kindergesichter in KiTA-Erinnerungsalben müssen nicht sein, soweit die Eltern aller betroffenen Kinder rechtswirksam und hinreichend informiert eingewilligt haben.
IV. Kaffee und Kuchen für 70 plus
Die Schwäbische Zeitung berichtete am 23.11.2018 über einen Seniorennachmittag für Menschen über 70 Jahre, dessen Planung durch das Datenschutzrecht erheblich erschwert worden sei. Der Veranstalter, ein DRK-Ortsverein, hatte für die Einladung der Zielgruppe in den Vorjahren immer Adresslisten von den Ortsverwaltungen erhalten, was unter dem Regime der DS-GVO nun nicht mehr möglich sei.
Dieser Ansicht ist zunächst insoweit zuzustimmen, als der Anwendungsbereich der DS-GVO eröffnet ist. Die Datenverarbeitung überschreitet die Grenzen der Haushaltsausnahme deutlich. Zu unterscheidende Verarbeitungsschritte sind hier die Weitergabe der Meldedaten der Ortverwaltungen als öffentliche Stellen auf der einen und die Nutzung dieser Daten durch den DRK-Ortsverein als verantwortliche, nicht öffentliche Stelle auf der anderen Seite.
Während sich der letztgenannte Verarbeitungsschritt gegebenenfalls mit berechtigten Interessen rechtfertigen ließe, stellt sich für den ersten Verarbeitungsschritt die Frage, auf welchen Rechtfertigungstatbestand abgestellt werden kann, da Einwilligungen der einzuladenden Seniorinnen und Senioren insoweit nicht vorlagen. Der Sachverhalt ließe vor dem Hintergrund einer (Art. 6 Abs. 1 lit e, 6 Abs. 3 Satz 1 lit. b DS-GVO konkretisierenden) Datenübermittlung durch öffentliche Stellen an nichtöffentliche Stellen im Sinne des § 25 Absatz 2 BDSG denken, allerdings bestehen im Bundesmeldegesetz (BMG) insoweit speziellere Vorgaben, § 1 Absatz 2 Satz 1 BDSG. Mit Blick auf Erlaubnistatbestände im BMG muss man dann noch sehen, dass dieses Gegenstand des noch andauernden Anpassungsprozesses der nationalen Rechtslage durch das 2. Datenschutz-Anpassungsgesetzes ist. Soweit gegenwärtig ersichtlich, betreffen diese Änderungen indes nicht die nachfolgend untersuchten Vorgaben zur Gruppenauskunft nach § 46 BMG.
Nach § 46 Absatz 1 Satz 1 BMG darf eine Melderegisterauskunft über eine Vielzahl nicht namentlich bezeichneter Personen (Gruppe der 70-jährigen mit Namen und Anschrift) nur erteilt werden, wenn sie im öffentlichen Interesse liegt. Die Kombination der Tatbestandsmerkmale „darf nur“ und „öffentliche Interessen“ kann man nun so lesen, dass die Übermittlung von Meldedaten auf Grundlage einer Gruppenauskunft nach § 46 BMG an Vereine grundsätzlich nicht in Betracht kommt, da der verfolgte Zweck üblicherweise auf andere Weise erreicht werden kann, etwa durch öffentliche Aufrufe, Zeitungsanzeigen oder Postwurfsendungen und es in der Regel an einem öffentlichen Interesse fehle. Dass die Seniorinnen und Senioren eine persönliche Ansprache wünschen, was nur in Gestalt einer persönlichen Einladung per Post möglich sein soll, erschließt sich nicht. Die dem Seniorennachmittag vorgeschaltete Datenverarbeitung ist damit tatsächlich so nicht möglich, was aber keine unmittelbare Folge der DS-GVO ist.
V. Weihnachtsaktion ohne Datenschutz
Am 15.11.2018 berichtete der Bayerische Rundfunk über das mittelfränkische Roth, wo die Datenschutzgrundverordnung einer schönen Tradition auf dem Christkindelsmarkt ein vorläufiges Ende bereitet haben soll. Bis dahin hatten Kinder in der Vorweihnachtszeit Wunschzettel an den Weihnachtsbaum auf dem Marktplatz in Roth gehängt. Neben den Weihnachtswünschen der Kinder (Fahrt im Feuerwehrauto der örtlichen freiwilligen Feuerwehr, Besuch beim Bürgermeister, Sachgeschenke) waren dort ihre Kontaktdaten (Vorname, Name, Anschrift) zu lesen. Nach der früheren Praxis gab die Stadt die jährlich bis zu 4000 Wunschzettel an externe Sponsoren weiter, die die Wünsche gegebenenfalls erfüllten. Im November 2018 ließ die Stadt allerdings verlautbaren, die Aktion könne mit Rücksicht auf die Vorgaben der DS-GVO nicht mehr durchgeführt werden. Sich schützend vor potentiell verletzte Kinderseelen werfend intervenierte am 20.11.2018 der private Radiosender Antenne Bayern und stellte medienwirksam („Antenne Bayern rettet Weihnachtstradition“) eine Einwilligungserklärung zum Ausdruck bereit, die von den Eltern der Kinder unterschrieben und den für die Wunschzettelaktion Verantwortlichen übergeben werden konnte.
Für die Lösung des Falls sind einerseits die Situation vor und das Verfahren nach dem 20.11.2018 sowie andererseits zwei größere Verarbeitungsschritte zu unterscheiden. Der erste Verarbeitungsschritt betrifft die Sammlung/Erhebung der Daten am städtischen Weihnachtsbaum, der zweite Schritt die Weitergabe der Wunschzettel an die Sponsoren, wobei hierfür streng genommen noch ein weiterer Prozess in Gestalt einer Sortierung (welcher Wunsch wird an welchen Sponsor weitergegeben – „Wunsch-Matching“) vorgeschaltet ist. Beginnen wir mit der Analyse der Situation vor der Intervention von Antenne Bayern am 20.11.2018:
Die Eröffnung des sachlichen Anwendungsbereichs der DS-GVO erschließt sich jedenfalls mit Blick auf die erste Verarbeitungsphase (noch) nicht ohne Weiteres. Art. 2 Abs. 1 DS-GVO adressiert auch die nichtautomatisierte Verarbeitung personenbezogener Daten, Voraussetzung ist dann aber wie oben gesehen, dass sie in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Selbst bei einem weiten Verständnis fällt es schwer, bei knapp 4000 beliebig an einen Baum gehängten Zetteln von einer „Struktur“ zu sprechen; jedenfalls, wenn man dies nicht auf eine bloß theoretische Auffindbarkeit (irgendwo an diesem Baum) beschränkt.
Ungeachtet dessen geht es im Fall um eine Datenverarbeitung der Stadt Roth als öffentliche Stelle, was über Art. 6 Abs. 1 lit. e), Abs 2 und 3 DS-GVO ins Bundes-, bzw. Landesrecht führt und angesichts der Handlungen der Stadt Roth den Anwendungsbereich des Bayerischen Datenschutzgesetzes nach § 1 Abs. 1 Satz BayDSG auslöst. Jenes bestimmt in Art. 2 Satz 1 BayDSG, dass für die Verarbeitung personenbezogener Daten durch öffentliche Stellen vorbehaltlich anderweitiger Regelungen die Vorschriften der DS-GVO auch außerhalb des sachlichen Anwendungsbereichs des Art. 2 Abs. 1 und 2 DS-GVO gelten, also auch für die hier in Frage stehende nichtautomatisierte Verarbeitung außerhalb eines Dateisystems.
Zu prüfen sind dann (Zeitphase vor dem 20.11.2018) gesetzliche Erlaubnistatbestände. Für den ersten Verarbeitungsschritt (Veranstaltung der Aktion) kommt Art. 4 BayDSG in Betracht. Absatz 1 der Vorschrift erlaubt die Verarbeitung personenbezogener Daten durch eine öffentliche Stelle, wenn dies zu ihrer Aufgabenerfüllung erforderlich ist. Aufgaben der Gemeinde sind nach Art. 7 Absatz 1 der Bayerischen Gemeindeordnung (GO) alle Angelegenheiten der örtlichen Gemeinschaft, wobei insoweit auf die nicht abschließende („insbesondere“) Aufzählung in Art. 83 Abs. 1 der Bayerischen Verfassung verwiesen wird, der unter anderem die örtliche Kulturpflege nennt. Traditionell werden dem eigenen Wirkungskreis der Gemeinden u.a. ihre Selbstverwaltung, die Daseinsvorsorge, aber auch die diesbezügliche Öffentlichkeitsarbeit zugerechnet. Mit Blick auf die Erforderlichkeit i.S.d. Art. 4 BayDSG ließe sich zwar kritisch fragen, wie weit sich dies mit Blick auf eine derartige Wunschzettelaktion (ernsthaft) bejahen lässt. Erforderlichkeit nimmt der EuGH jedoch zum Teil schon dann an, wenn ohne die betreffende Tätigkeit ein legitimes Ziel nur weniger effizient erfüllt werden kann.
Vor dem Hintergrund gesetzlicher Erlaubnistatbestände problematischer ist der zweite Verarbeitungsschritt, die Übermittlung der Wunschzettel mit den personenbezogenen Daten an Dritte (Sponsoren). In Betracht kommt Art. 5 BayDSG, der bestimmte Datenübermittlungen legitimiert und zwischen der Übermittlung öffentlicher Stellen untereinander (Absatz 1 Nr. 1) und der Übermittlung von einer öffentlichen Stelle an eine nicht öffentliche Stelle (Absatz 1 Nr. 2) unterscheidet. Vor diesem Hintergrund lässt sich ersterenfalls die Übermittlung der Wunschzetteldaten an die örtliche Feuerwehr rechtfertigen, soweit es um eine Spazierfahrt mit einem Löschfahrzeug geht. Geht es um die Weitergabe von Daten an private Sponsoren, die Sachgeschenke zum Gegenstand haben, kommt Nr. 2 der Vorschrift in Betracht, der eine Interessenabwägung vorsieht.
Mit Urteil vom 27. September 2018 hat das Bundesverwaltungsgericht entschieden, dass die Regelung zur Übermittlung in Art. 5 Abs. 1 S. 1 Nr. 2 BayDSG mit den Vorgaben der DS-GVO nicht vereinbar sei. Begründet hat das Gericht diese Einschätzung mit dem Argument, dass sich die landesrechtliche Vorschrift nicht in dem durch die Öffnungsklauseln in Art. 6 Abs. 2 und 3 determinierten Rahmen halte, weil danach nur eine Konkretisierung der Regelungen von Art. 6 Abs. 1 Unterabs. 1 Buchst. c und e DS-GVO erlaubt sei, während die landesrechtliche Bestimmung der Sache nach an Art. 6 Abs. 1 Unterabs. 1 Buchst. f DS-GVO anknüpfe, der wegen seines Satzes 2 für Behörden gerade gesperrt sei. Anders sei dies – so das Gericht in seiner Begründung mit Hinweis auf die Kommentarliteratur – nur, wenn die Behörde als Teilnehmer im Privatrechtsverkehr auftrete. Vor diesem Hintergrund liegt es nahe, diesen Ausnahmefall auch für solche Konstellationen anzudenken, in denen eine behördliche Stelle deshalb (ausnahmsweise) wie ein Teilnehmer im Privatrechtsverkehr erscheint, weil für sie – zumindest partiell – eine grundrechtsspezifische Gefährdungslage besteht. Das wäre bei Maßnahmen im Bereich der Selbstverwaltungsangelegenheiten der Gemeinden der Fall.
Unabhängig davon kommt jedenfalls nach dem 20.11.2018 eine einwilligungsbasierte Datenverarbeitung in Betracht, die den Informationspflichten, Art. 13 Abs. 1, Abs. 2 DSGVO (u.a. Dauer der Speicherung, Hinweis auf Betroffenenrechte) hinreichend Rechnung tragen müsste. Das von Antenne Bayern zur Verfügung gestellte Formular (das sich die Stadt durch An-/Übernahme zu eigen gemacht hat) erschöpfte sich in dem Hinweis „Ich bin damit einverstanden, dass meine Kontaktdaten und der Wunsch meines Kindes im Rahmen der Wunscherfüllung an Dritte (z.B. Sponsoren) weitergeleitet werden. Die Kontaktdaten werden von der Stadt Roth nur im Rahmen der Wunschaktion und nicht für Werbezwecke o.ä. verwendet.“
Selbst wenn man es mit der herrschenden Auffassung für möglich hält, den Transparenz- und Informationspflichten auch gestuft und über Medienbrüche hinweg zu entsprechen, fehlt im Formular die unmittelbar auf erster Ebene vorzuhaltende, hinreichend konkrete Information über die Empfänger, der pauschale Verweis auf „Dritte (z.B. Sponsoren)“ reicht insoweit nicht. Die weiteren Angaben (2nd Level: Beschwerderecht, Dauer der Speicherung, Rechtsgrundlage der Verarbeitung u.a.) hätte man über weiterführende Hinweise auf einer verlinkten Webseite adressieren können. Dies ist – soweit ersichtlich – aber nicht erfolgt. Rechtlich möglich ist eine derartige Wunschzettelbaum-Aktion nach alledem schon, nur eben nicht so, wie es in Roth (zunächst) gelaufen ist. Zu diesem Ergebnis gelangt dem Grunde nach auch ein Statement der Europäischen Kommission vom 21.11.2018. Dass dieser neuerdings eine Kompetenz zur (authentischen) Interpretation der DS-GVO zukäme, wäre allerdings: ein Mythos.
VI. Fazit
Die vier schillernden Episoden aus der Welt der datenschutzrechtlichen Praxis nach dem 25.5.2018 liefern nach ihrer Analyse im Lichte des Logos der DS-GVO keinen einheitlichen Befund. Grundsätzlich macht das neue Regelungsregime Erinnerungsalben mit Bildern der Spielkameraden im Kindergarten ebenso wenig unmöglich, wie die Einladung zum Seniorennachmittag mit Kaffee und Kuchen unter allen Umständen am Datenschutz scheitert. Entscheidend ist das „Wie genau“ der Verarbeitung personenbezogener Daten, was bei dem Visitenkartenbeispiel ebenso eine zentrale Rolle spielt, wie bei der Wunschzettel-Aktion auf dem Weihnachtsmarkt. Die von DS-GVO-Kritikern bemühten Narrative funktionieren im öffentlichen Diskurs nur deshalb so gut, weil sie keinen Raum für Differenzierung lassen. Ein „Es kommt darauf an“ als Leitmotiv juristisch seriöser Arbeit macht die öffentlichkeitswirksame Kommunikation für Datenschützer deutlich schwerer. Diese schicksalshafte Last ist aber keine spezifische Folge der DS-GVO.