≡ Sitemap
Der Bayerische Landesbeauftragte für den Datenschutz (BayLfD)

Sie sind hier: > Start > Tätigkeitsberichte > 34. TB 2024 > 4. Soziales und Gesundheit

Der Bayerische Landesbeauftragte für den Datenschutz; Stand: 31.12.2024

4. Soziales und Gesundheit

4.1. Zulässiger Umfang der Datenerhebung im Sozialverwaltungsverfahren zur Sachverhaltsermittlung

Eine betroffene Person beschwerte sich bei mir über das Anliegen eines Jobcenters, eine Vielzahl personenbezogener Daten bei ihr erheben zu wollen. Ihr Antrag auf Bürgergeld wurde zunächst abgelehnt. Im Rahmen des darauffolgenden Widerspruchsverfahrens forderte das Jobcenter verschiedene Unterlagen von der betroffenen Person an, die aus ihrer Sicht für die Bearbeitung des Widerspruchs nicht erforderlich waren. Diese Unterlagen enthielten eine Vielzahl personenbezogener Daten. So sollten etwa Miet- und Untermietverträge, Bescheide sowie Auszüge verschiedener Konten vorgelegt werden. Die betroffene Person wertete das Verhalten des Jobcenters als schikanös, da aus ihrer Sicht bereits ausreichende Belege vorlagen wie etwa eine Bescheinigung des Vermieters. Andere Unterlagen seien bereits im Ausgangsverfahren eingeführt worden oder für die Ermittlung des relevanten Sachverhalts nicht erforderlich gewesen. Die betroffene Person bat mich um eine datenschutzaufsichtliche Überprüfung des Sachverhalts.

4.1.1. Grundsatz der Datenminimierung

Bei der rechtlichen Bewertung des Sachverhalts stand der Grundsatz der Datenminimierung (Art. 5 Abs. 1 Buchst. c DSGVO) im Vordergrund.

Dieser Grundsatz besagt, dass personenbezogene Daten dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein müssen. Er ist dem allgemeinen Verhältnismäßigkeitsgedanken verwandt, wonach Rechtseingriffe zur Zweckerreichung geeignet ("erheblich"), erforderlich ("auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt") und verhältnismäßig im engeren Sinne ("dem Zweck angemessen") sein müssen.

Der Grundsatz der Datenminimierung bezieht sich auf die Zwecke der Verarbeitung und ist mit dem Grundsatz der Zweckbindung gemäß Art. 5 Abs. 1 Buchst. b DSGVO verzahnt, der dem datenschutzrechtlich Verantwortlichen aufgibt, den Verarbeitungszweck eindeutig festzulegen und grundsätzlich beizubehalten. Die Beziehung der Datenminimierung auf den Verarbeitungszweck bedeutet aber auch, dass es keine absolute Einschränkung des Umfangs der Datenverarbeitung gibt; vielmehr folgt diese relativ der jeweiligen Verarbeitungssituation in Bezug auf den festgelegten Verarbeitungszweck. Der Verarbeitungszweck kann auch weit bestimmt werden, was die verantwortliche öffentliche Stelle gleichwohl nicht von der Beachtung (fach-)gesetzlich vorgegebener Zweckrichtungen befreit.

4.1.2. Kriterium der Erforderlichkeit

Das Kriterium der Erforderlichkeit ist - als Ausdruck des Grundsatzes der Datenminimierung - typischerweise in (fach-)gesetzlichen Verarbeitungsbefugnissen enthalten und beschränkt den Umfang der Verarbeitung auf das zur Zweckerreichung erforderliche Maß. Er sorgt insbesondere auf fachgesetzlicher Ebene zur Umsetzung des Grundsatzes der Datenminimierung.

Der Erforderlichkeitsgrundsatz war vorliegend im Rahmen der Verarbeitungsbefugnis aus § 67a Abs. 1 Satz 1 Zehntes Buch Sozialgesetzbuch - Sozialverwaltungsverfahren und Sozialdatenschutz - (SGB X) zu beachten. Demnach ist die Erhebung von Sozialdaten durch die betreffenden Stellen zulässig, wenn ihre Kenntnis zur Erfüllung einer Aufgabe nach diesem Gesetzbuch erforderlich ist. Die Erforderlichkeit wird insoweit durch den Zweck der behördlichen Aufgabenerfüllung definiert und beschränkt.

Die Aufgabe des Jobcenters bestand vorliegend darin, über das Bestehen oder Nichtbestehen eines Bürgergeldanspruchs im Widerspruchsverfahren zu entscheiden. Die Erhebung der betreffenden Sozialdaten musste der Bedarfsermittlung und somit der Berechnung eines etwaigen Bürgergeldanspruchs im Sinne des Zweiten Buchs Sozialgesetzbuch - Bürgergeld, Grundsicherung für Arbeitsuchende - (SGB II) dienen und zur Erfüllung dieser Aufgabe erforderlich sein.

Auf Seiten des Leistungsberechtigten korrespondiert damit eine Mitwirkungspflicht gemäß § 60 Erstes Buch Sozialgesetzbuch - Allgemeiner Teil - (SGB I). Wer Sozialleistungen beantragt oder erhält, hat gemäß § 60 Abs. 1 Satz 1 Nr. 1 SGB I alle Tatsachen anzugeben, die für die Leistung erheblich sind, und auf Verlangen des zuständigen Leistungsträgers der Erteilung der erforderlichen Auskünfte durch Dritte zuzustimmen.

4.1.3. Der Umfang der Erforderlichkeit bei der Sachverhaltsermittlung

Meine datenschutzrechtliche Bewertung nahm in den Blick, welche Tatsachen zur Aufgabenerfüllung des Jobcenters für die Leistungsgewährung erheblich (vgl. § 60 Abs. 1 Satz 1 Nr. 1 SGB I) und daher erforderlich sind. Im Sozialrecht sind dafür die jeweiligen leistungsrechtlichen Anspruchsvoraussetzungen maßgeblich, deren Vorliegen zu ermitteln ist. Das Jobcenter als Leistungsträger muss in die Lage versetzt werden, über das "Ob" und "Wie" der Leistung - einschließlich der Bezugsdauer - zu entscheiden. Dabei muss es ihm möglich sein, etwaige Sachverhaltslücken oder bestehende Unstimmigkeiten aufzuklären, um eine eindeutige Aussage über das Bestehen oder Nichtbestehen der Anspruchsvoraussetzungen treffen zu können.

Ein gewisser Informationsüberschuss des Leistungsträgers bei der Sachverhaltsaufklärung ist hinzunehmen, insbesondere dann, wenn andere in Betracht kommende Beweismittel sich nicht als gleichermaßen ergiebig für die Sachverhaltsfeststellung erweisen. Zu beachten ist, dass im Rahmen des Amtsermittlungsgrundsatzes (§ 20 Abs. 1 SGB X) dem Leistungsträger bei der Bestimmung von Art und Umfang der Ermittlungen ein Einschätzungsspielraum zukommt. Ihm muss es möglich sein, sich jedenfalls ein so umfassendes Bild machen zu können, dass er den für die Entscheidung relevanten Sachverhalt zuverlässig einschätzen kann. Dazu hat der Leistungsträger gemäß § 20 Abs. 2 SGB X alle für den Einzelfall bedeutsamen, auch die für die Beteiligten günstigen Umstände zu berücksichtigen.

4.1.4. Konkrete Prüfung

Das Jobcenter konnte mir im konkreten Fall für jede fragliche Unterlage plausibel Gründe darlegen, die eine Anforderung im Widerspruchsverfahren erforderlich gemacht haben und somit erheblich im Sinne von § 60 Abs. 1 Satz 1 Nr. 1 SGB I waren. Das Jobcenter konnte insbesondere konkret begründen, für welche Anspruchsvoraussetzungen welche Unterlagen relevant und weshalb bereits vorgelegte Unterlagen noch nicht ausreichend waren, um den Sachverhalt hinreichend klar feststellen zu können. Von Schikane bei der Anforderung der Unterlagen konnte daher nicht die Rede sein.

Im Ergebnis war kein Verstoß gegen Datenschutzrecht, insbesondere kein Verstoß gegen den Grundsatz der Datenminimierung (Art. 5 Abs. 1 Buchst. c DSGVO) festzustellen. Die Erhebung der betreffenden Sozialdaten durch das Jobcenter war zur Bedarfsermittlung und somit zur Berechnung eines etwaigen Bürgergeldanspruchs im Sinne von § 67a Abs. 1 Satz 1 SGB X erforderlich.

4.1.5. Fazit

Bei Sachverhaltsermittlungen in Verwaltungsverfahren hat die Behörde im Rahmen des Amtsermittlungsgrundsatzes einen gewissen Spielraum beim Umfang der Datenerhebung.

Geht es um eine Leistungsgewährung, legen die fachgesetzlichen Voraussetzungen, unter denen die betreffende Leistung gewährt wird, auch fest, über welche Informationen sich die Behörde "Gedanken machen darf". Klärt die Behörde die tatsächlichen Umstände auf, mit denen die fachgesetzlichen Voraussetzungen belegt werden, steht dem das Datenschutzrecht grundsätzlich nicht entgegen. Es respektiert auch, dass die Behörde Unsicherheiten bei einzelnen Umständen durch Gewinnung einer breiteren Informationsbasis begegnet. Die Behörde muss sich beispielsweise nicht auf Unterlagen eines Antragstellers verlassen, die auf bestimmte Umstände hindeuten, wenn diese Unterlagen nicht die nötige Sicherheit vermitteln.

Grenzen zöge das Datenschutzrecht insbesondere dann, wenn eine Behörde anlässlich eines Verwaltungsverfahrens personenbezogene Daten erheben würde, die aus fachrechtlicher Sicht nicht relevant werden können, im Fall einer Leistungsgewährung also insbesondere bei Informationen, die für die Voraussetzungen der betreffenden Leistung keinen Aussagewert haben können.

4.2. Übermittlung von Sozialdaten eines Jobcenters an eine kommunale Ausländerbehörde

Mit einer Beratungsanfrage zur Datenübermittlung von Sozialdaten wandte sich eine bayerische Kommune an mich. Konkret ging es um die Frage, welche Daten eine Ausländerbehörde im Rahmen ihrer Aufgabenerfüllung bei einem Jobcenter erheben darf, beziehungsweise welche Daten das Jobcenter im Rahmen von § 71 Abs. 2 Satz 1 Nr. 1 Buchst. a Zehntes Buch Sozialgesetzbuch - Sozialverwaltungsverfahren und Sozialdatenschutz - (SGB X) an die kommunale Ausländerbehörde übermitteln darf.

Hintergrund der Frage war, dass Sozialleistungsbezüge durch Ausländerinnen und Ausländer aufenthaltsrechtlich relevant sein können. Das Jobcenter vertrat die Auffassung, dass generell keine Daten zur Höhe und zur Dauer des Leistungsbezugs übermittelt werden dürfen, sondern lediglich die Tatsache, ob Leistungen gewährt werden oder nicht. Dieser Ansicht ist die Kommune entgegengetreten. Aus ihrer Sicht sind auch Daten über die Art der Leistungen und zur Höhe und Dauer des Leistungsbezugs im Einzelfall - soweit erforderlich - zu übermitteln. Zwischen der Kommune und dem Jobcenter bestand somit eine Meinungsverschiedenheit über den Umfang der zu übermittelnden Daten.

4.2.1. Ausgangspunkt: Doppeltürmodell

Die Einschätzung der Kommune bezog sich vor allem auf § 71 Abs. 2 Satz 1 Nr. 1 Buchst. a SGB X und § 87 Abs. 1 Aufenthaltsgesetz (AufenthG). Dabei handelt es sich datenschutzrechtlich um Übermittlungstatbestände. § 71 Abs. 2 Satz 1 Nr. 1 SGB X schränkt die Mitteilungspflichten des § 87 Abs. 1 AufenthG ein.

Bei der Regelung eines Datentransfers zur Wahrnehmung öffentlicher Aufgaben ist nach der verfassungsgerichtlichen Rechtsprechung mit dem sogenannten Doppeltürmodell zwischen der Datenübermittlung von der auskunfterteilenden Stelle und dem Datenabruf durch die auskunftersuchenden Stelle zu unterscheiden. Der Datentransfer vollzieht sich in den einander korrespondierenden Eingriffen von Abfrage und Übermittlung, die jeweils einer eigenen Rechtsgrundlage bedürfen.

Als Befugnis zur Erhebung personenbezogener Daten durch die Ausländerbehörde kommt § 86 AufenthG in Betracht. Gemäß § 86 Satz 1 AufenthG dürfen die mit der Ausführung dieses Gesetzes betrauten Behörden zum Zweck der Ausführung dieses Gesetzes und ausländerrechtlicher Bestimmungen in anderen Gesetzen personenbezogene Daten erheben, soweit dies zur Erfüllung ihrer Aufgaben nach diesem Gesetz und nach ausländerrechtlichen Bestimmungen in anderen Gesetzen erforderlich ist.

Die kommunale Ausländerbehörde argumentierte mit Blick auf Art. 14 Abs. 3 sowie Erwägungsgrund 16 Richtlinie 2004/38/EG (sog. Freizügigkeits-Richtlinie), dass es nicht ausreichend sei, lediglich über das "Ob" der Gewährung von Sozialleistungen an die betroffene Person informiert zu werden, nicht dagegen über das "Wie". Müsse die Verweigerung des Aufenthaltsrechts oder eine Ausweisung geprüft werden, sei eine umfassende Würdigung des Einzelfalls durch die Ausländerbehörde geboten. Dabei seien auch etwa die Modalitäten der Inanspruchnahme von Sozialhilfeleistungen zu berücksichtigen.

Aus datenschutzrechtlicher Sicht hatte ich aufgrund der gesetzlichen Einschränkung durch das Erforderlichkeitskriterium in § 86 Satz 1 AufenthG keine grundsätzlichen Bedenken im Hinblick auf das von der kommunalen Ausländerbehörde fachrechtlich favorisierte Verständnis.

4.2.2. Verantwortlichkeit für die Datenübermittlung

Allerdings war zu beachten, dass die Verantwortlichkeit für die Datenübermittlung gemäß § 67d Abs. 1 Satz 1 SGB X grundsätzlich bei der übermittelnden Stelle liegt. Da die Datenschutzaufsicht über das betreffende Jobcenter als übermittelnde Stelle nicht bei mir, sondern bei der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit liegt, war es mir nicht möglich, die Rechtmäßigkeit der erwogenen Datenübermittlung abschließend zu prüfen, da sich diese meiner Aufsichtszuständigkeit entzog. Dies betraf insbesondere die Rechtsfrage, wie die Worte "Daten über die Gewährung oder Nichtgewährung von Leistungen" in § 71 Abs. 2 Satz 1 Nr. 1 Buchst. a SGB X genau zu verstehen sind.

Zur Lösung dieses Problems ist die Abgrenzung der datenschutzrechtlichen Verantwortlichkeit von besonderer Bedeutung. Dabei war auch die Allgemeine Verwaltungsvorschrift zum Aufenthaltsgesetz (AufenthGAVwV) zu beachten. Diese enthält in Nr. 87.1.1.5 AufenthGAVwV nicht nur einen Hinweis zum Verhältnis von § 87 Abs. 1 AufenthG zu § 71 Abs. 2 Satz 1 Nr. 1 Buchst. a SGB X, sondern in Nr. 87.1.4.2 AufenthGAVwV auch eine Verfahrensvorschrift bei einem Dissens der Ansichten von ersuchender und ersuchter Stelle:

"Ist zwischen der Ausländerbehörde und der übermittelnden Stelle streitig, ob die Übermittlung rechtmäßig ist, so ist die Auffassung jeder Seite insoweit maßgebend, als sie die Verantwortung für die Rechtmäßigkeit der Übermittlung trägt (vgl. Nummer 87.1.4.1). Im Zweifel ist die Entscheidung der gemeinsamen Aufsichtsbehörde herbeizuführen. Fehlt eine derartige gemeinsame Aufsichtsbehörde, hat die Ausländerbehörde die Entscheidung der obersten Landesbehörde herbeizuführen."

Demnach kommt es bei einem Meinungsstreit in erster Linie auf die Verantwortung für die Rechtmäßigkeit an. Gemäß § 67d Abs. 1 Satz 1 SGB X liegt die Verantwortlichkeit für die Datenübermittlung grundsätzlich bei der übermittelnden Stelle. Bei diesem Grundsatz bleibt es auch, wenn die Übermittlung auf Ersuchen eines Dritten erfolgt. Der Dritte trägt nach § 67d Abs. 1 Satz 2 SGB X allein die Verantwortlichkeit für die Richtigkeit seiner Angaben. Im Ergebnis kommt es bei einem Konflikt über die Zulässigkeit einer Übermittlung somit nicht auf die Auffassung der ersuchenden Stelle an.

Eine gemeinsame Aufsichtsbehörde zwischen dem betreffenden Jobcenter, das als gemeinsame Einrichtung im Sinne von § 44b Abs. 1 Satz 1 Zweites Buch Sozialgesetzbuch - Bürgergeld, Grundsicherung für Arbeitsuchende - (SGB II) als öffentliche Stelle des Bundes anzusehen war, und der kommunalen Ausländerbehörde bestand nicht. Nr. 87.1.4.2 AufenthGAVwV letzter Satz sieht in diesem Fall vor, dass die Ausländerbehörde die Entscheidung der obersten Landesbehörde herbeizuführen hat. Ich habe daher der anfragenden Kommune anheimgestellt, sich zur abschließenden Klärung an das Bayerische Staatsministerium des Innern, für Sport und Integration als oberste Ausländerbehörde (oberste Landesbehörde) im Sinne von § 1 Nr. 5 Zuständigkeitsverordnung Ausländerrecht zu wenden. Ebenfalls habe ich - mit Blick auf die Auslegung sozialrechtlicher Tatbestände - vorgeschlagen, das Bayerische Staatsministerium für Familie, Arbeit und Soziales, das zusammen mit dem Bundesministerium für Arbeit und Soziales gemeinsam die Aufsicht über die gemeinsamen Einrichtungen im Sinne von § 44b Abs. 1 Satz 1 SGB II führt, einzubeziehen.

4.2.3. Ergebnis

Bei Datenübermittlungen zwischen zwei Verantwortlichen ist das sogenannte Doppeltürmodell zu beachten und genau zu prüfen, auf welche Erhebungsbefugnis die ersuchende Stelle die Datenerhebung und auf welche Übermittlungsbefugnis die ersuchte Stelle die Datenübermittlung stützt. Bei der Übermittlung von Sozialdaten sind besondere Übermittlungsgrundsätze, insbesondere gemäß § 67d SGB X zu beachten. Bei einem Dissens zwischen ersuchender und ersuchter Stelle spielt die Abgrenzung der datenschutzrechtlichen Verantwortlichkeit und die daraus folgende Entscheidungskompetenz eine wichtige Rolle.

4.3. Vollzug der Mitteilungsverordnung

Der Staat ist für die Besteuerung auf Informationen angewiesen. Das Gesetz sieht insofern auch Mitteilungspflichten vor, die Zahlungen leistende Stellen treffen. Grundsätzlich geregelt ist das in § 93a Abgabenordnung, wobei die Details in einer Rechtsverordnung, der "Verordnung über Mitteilungen an die Finanzbehörden durch andere Behörden und öffentlich-rechtliche Rundfunkanstalten", kurz: Mitteilungsverordnung, festgelegt sind. Ob im Einzelfall eine Mitteilungspflicht besteht, ist nicht immer zweifelsfrei. Das Problem stellt sich mitunter auch für Sozialleistungsträger, wie die folgenden vier Beratungsanfragen zeigen.

4.3.1. Zahlungen an Pflegeeltern

Die Datenschutzbeauftragte einer bayerischen Sozialbehörde hat mich um Beratung zu der Frage gebeten, ob die vom Jugendamt an Pflegeeltern geleisteten Zahlungen des Pflegegeldes dem Finanzamt mitzuteilen sind. Sie hat sich in diesem Zusammenhang auf die allgemeine Mitteilungspflicht an Finanzbehörden berufen.

Nach § 2 Abs. 1 Satz 1 Mitteilungsverordnung (MV) erstreckt sich die Mitteilungspflicht grundsätzlich auf alle Zahlungen von Behörden und anderen öffentlichen Stellen an Dritte. Diese Pflicht gilt jedoch nur, sofern keine Ausnahme geregelt ist. Gemäß § 1 Abs. 2 MV sind personenbezogene Daten, die dem Sozialgeheimnis unterliegen, nicht mitzuteilen.

Dem Schreiben des Bundesministeriums der Finanzen betreffend die Anwendung der Mitteilungsverordnung vom 26. September 2023 kann unter Textziffer 3.5 entnommen werden, dass personenbezogenen Daten nicht mitzuteilen sind, soweit sie durch § 35 Erstes Buch Sozialgesetzbuch - Allgemeiner Teil - (SGB I) geschützt sind. Nicht mitteilungspflichtig sind danach personenbezogene Daten (Art. 4 Nr. 1 DSGVO), die von einer in § 35 SGB I genannten Stelle im Hinblick auf ihre Aufgaben nach dem Sozialgesetzbuch verarbeitet werden. Nicht unter den Sozialdatenschutz fallen andere personenbezogene Daten, welche die in § 35 SGB I genannte Stelle beispielsweise als Dienstherr oder öffentlicher Arbeitgeber oder im Rahmen der Fiskalverwaltung verarbeitet (zum Beispiel für Honorarzahlungen, die von Sozialbehörden an Leistungserbringer erbracht werden, und für Zahlungen an ehrenamtlich Tätige).

Bei der Betreuung von Pflegefamilien handelt es sich um eine Aufgabe im Rahmen der Hilfe zur Erziehung in Vollzeitpflege gemäß § 33 Achtes Buch Sozialgesetzbuch - Kinder- und Jugendhilfe - (SGB VIII). Diese Aufgabe umfasst auch die Gewährung wirtschaftlicher Jugendhilfe in Gestalt des so genannten Pflegegelds gemäß § 39 Abs. 1 Satz 1 SGB VIII. Da somit ein Sozialleistungsträger, also eine in § 35 SGB I genannte Stelle, eine Aufgabe nach dem Sozialgesetzbuch erfüllt, stellen die in diesem Zusammenhang verarbeiteten Daten - auch die Daten der Pflegeeltern - Sozialdaten dar, die nach § 67 Abs. 2 Satz 1 Zehntes Buch Sozialgesetzbuch - Sozialverwaltungsverfahren und Sozialdatenschutz - (SGB X) verarbeitet werden. Für diese gilt das Sozialgeheimnis gemäß § 35 Abs. 1 Satz 1 SGB I, weshalb eine Mitteilung gemäß § 1 Abs. 2 MV zu unterbleiben hat.

Dies würde nur dann nicht gelten, sofern eine (Rück-)Ausnahme die "Durchbrechung" des Sozialgeheimnisses ermöglicht. Eine solche Rückausnahme wäre systematisch im Sozialgesetzbuch zu suchen, da dieses im Hinblick auf die Verarbeitung von Sozialdaten grundsätzlich als abschließend zu betrachten ist (siehe § 35 Abs. 2 SGB I).

Für die beschriebene Fallgestaltung lässt sich jedoch weder im Achten noch im Zehnten Buch Sozialgesetzbuch eine (spezielle) Datenübermittlungsbefugnis finden. Es gibt zwar eine Regelung im Sozialgesetzbuch, die die Mitteilung zu abgabenrechtlichen Zwecken ausdrücklich gestattet, allerdings nur in Bezug auf Daten ausländischer Unternehmen, die auf Grund bilateraler Regierungsvereinbarungen über die Beschäftigung von Arbeitnehmern zur Ausführung von Werkverträgen tätig werden, nach § 93a Abgabenordnung (siehe § 71 Abs. 1 Satz 1 Nr. 3 SGB X). Auf diese Datenübermittlungsbefugnis stützt sich wiederum die auch in der Mitteilungsverordnung geregelte Ausnahme zur Weitergabe von Daten, die dem Sozialgeheimnis unterliegen, in § 6 Abs. 2 MV.

Vor diesem Hintergrund bleibt es bei dem oben bereits festgestellten Ergebnis, dass die an Pflegeeltern geleisteten Zahlungen des Pflegegeldes dem Finanzamt nicht mitgeteilt werden dürfen.

4.3.2. Leistungen für Heizung und Unterkunft

In einem anderen Fall wurde ich von der Datenschutzbeauftragten eines bayerischen Landratsamtes um Klärung gebeten, inwiefern bestimmte Leistungen für Heizung und Unterkunft nach § 1 Abs. 2 MV von der Mitteilungspflicht ausgenommen sind.

Den sozialrechtlichen Hintergrund der Frage bilden § 22 Abs. 7 Satz 1 Zweites Buch Sozialgesetzbuch - Bürgergeld, Grundsicherung für Arbeitsuchende - (SGB II) und § 35a Abs. 3 Satz 1 Zwölftes Buch Sozialgesetzbuch - Sozialhilfe - (SGB XII). Hiernach können Sozialleistungsträger die jeweiligen Bedarfe für Unterkunft und Heizung auf Antrag des Leistungsberechtigten durch Direktzahlung an dessen Vermieter gewähren.

Die Direktzahlung an den Vermieter gemäß § 22 Abs. 7 SGB II beziehungsweise § 35a Abs. 3 SGB XII stellt ein Sozialdatum dar, weil insofern ein Leistungsträger im Sinne des § 35 Abs. 1 Satz 1 SGB I personenbezogene Daten zur Erfüllung einer Aufgabe nach dem Sozialgesetzbuch verarbeitet.

Es ist unerheblich, dass der Vermieter nicht selbst leistungsberechtigt nach dem Sozialgesetzbuch ist. Maßgebend sind die schuldrechtlichen Leistungsbeziehungen. Werden die Leistungen für Unterkunft und Heizung aufgrund § 22 Abs. 7 SGB II beziehungsweise § 35a Abs. 3 SGB XII direkt an den Vermieter gezahlt, wirkt dies rechtlich als Anspruchserfüllung gegenüber dem Leistungsberechtigten. Im Verhältnis von Leistungsberechtigtem und Vermieter wirkt die Zahlung des Leistungsträgers als Erfüllung des mietvertraglichen Anspruchs des Vermieters durch den Leistungsberechtigten. Es werden durch die direkte Mietzahlung durch den Leistungsträger aber keine rechtlichen Verpflichtungen des Leistungsträgers gegenüber dem Vermieter erfüllt, denn solche bestehen hier nicht.

Eine Mitteilung der Direktzahlung an die Finanzbehörden scheidet somit nach § 1 Abs. 2 MV aus.

4.3.3. Mietzahlungen im Zusammenhang mit der Unterbringung von Leistungsberechtigten nach dem Asylbewerberleistungsgesetz

Eine vergleichbare Frage, jedoch mit anderem Ergebnis, stellte man mir auch für Zahlungen im Zusammenhang mit dem Asylbewerberleistungsgesetz (AsylbLG).

Im Vollzug des Asylbewerberleistungsgesetzes sowie der ergänzenden Landesgesetze und Verordnungen mietete das anfragende Landratsamt (teils auch von privaten Vermietern) geeignete Unterkünfte für die Unterbringung der Leistungsberechtigten.

Im Hinblick auf § 1 Abs. 2 MV fehlt es bei diesen Mietzahlungen - anders als in den oben untersuchten Fällen - an einer den Sozialdatenschutz begründenden Aufgabe nach dem Sozialgesetzbuch. Das Asylbewerberleistungsgesetz gilt nicht als besonderer Teil des Sozialgesetzbuches (vgl. § 68 SGB I). Zwar verweist das Asylbewerberleistungsgesetz vereinzelt auf Vorschriften des Sozialgesetzbuches (vgl. insbesondere § 9 AsylbLG), der Verweis erstreckt sich aber nicht auf sozialdatenschutzrechtliche Bestimmungen, insbesondere nicht auf das Sozialgeheimnis nach § 35 Abs. 1 Satz 1 SGB I.

Hinzu kommt, dass die Mietzahlungen selbst auch keine unmittelbaren Leistungen nach dem Asylbewerberleistungsgesetz sind. Geschuldet ist hiernach grundsätzlich die Unterbringung als solche. Die Mietzahlung an den Vermieter findet ihre Grundlage hingegen im privatrechtlichen Mietvertrag. Sie ist der Fiskalverwaltung zuzurechnen.

Einer Mitteilung der Mietzahlungen gemäß § 2 Abs. 1 Satz 1 MV steht § 1 Abs. 2 MV somit nicht entgegen.

4.3.4. Zahlungen an Dolmetscher

Außerdem trat ein bayerischer Bezirk mit der Frage an mich heran, ob der Finanzbehörde Zahlungen an Dolmetscher zu melden sind, die innerhalb eines Sozialverwaltungsverfahrens nach § 19 Abs. 2 Satz 4 SGB X für die Behörde tätig geworden sind oder - so die Ansicht des Bezirks - ob sie wegen § 1 Abs. 2 MV von der Mitteilungspflicht ausgenommen sind.

Ich vertrete die Ansicht, dass die für Zahlungen an einen Dolmetscher verarbeiteten personenbezogenen Daten - und nur um diese geht es - keine Sozialdaten darstellen.

Zwar werden die personenbezogenen Daten des Dolmetschers von einer in § 35 SGB I genannten Stelle verarbeitet. Die Verarbeitung für Zwecke der Honorarzahlung erfolgt aber nicht wie von § 67 Abs. 2 SGB X verlangt "im Hinblick auf ihre Aufgaben nach dem Sozialgesetzbuch". Erforderlich wäre hierfür, dass der Sozialleistungsträger die fraglichen personenbezogenen Daten unmittelbar zur Erfüllung einer Aufgabe nach dem Sozialgesetzbuch verarbeitet. Es genügt nicht, dass zwischen der gesetzlichen Aufgabe und der Datenverarbeitung eine bloße Korrelations- oder Kausalitätsbeziehung besteht. Die Leistung an den Dolmetscher mag - je nach Rechtsgrund der Zahlung - der Erfüllung einer vertraglichen oder sonstigen Rechtspflicht des Leistungsträgers dienen, nicht aber - worauf es ankommt - der Erfüllung einer Aufgabe nach dem Sozialgesetzbuch.

Mit Blick auf § 8 Abs. 1MV (Inhalt der Mitteilung) wäre aber im Einzelfall zu prüfen, inwiefern eine Meldung (teilweise) zu unterbleiben hat. Soweit die Meldung Daten beinhaltet, die einen Rückschluss auf ein konkretes Sozialverwaltungsverfahren, und somit auf Sozialdaten, zulassen, wären diese von der Mitteilung auszunehmen (beispielsweise das Aktenzeichen des betreffenden Sozialverwaltungsverfahrens).

Im Ergebnis steht daher § 1 Abs. 2 MV einer Mitteilung von Zahlungen an Dolmetscher an die Finanzbehörde nicht generell entgegen.

4.4. Meldepflichten nach § 47 SGB VIII

Einrichtungen, in denen ganztägig oder für einen Teil des Tages Kinder oder Jugendliche betreut werden, benötigen für ihren Betrieb grundsätzlich eine Erlaubnis gemäß § 45 Abs. 1 Satz 1 Achtes Buch Sozialgesetzbuch - Kinder- und Jugendhilfe - (SGB VIII). Eine Legaldefinition des Einrichtungsbegriffs findet sich in § 45a SGB VIII. Hiervon umfasst sind etwa Heime, heilpädagogische Tagesstätten und Kindertageseinrichtungen. Welche Behörde für die Erteilung der Betriebserlaubnis zuständig ist, richtet sich nach Art. 45 Abs. 1 Satz 1 Gesetz zur Ausführung der Sozialgesetze.

Ist eine Betriebserlaubnis erteilt, muss die Einrichtung der Erlaubnisbehörde zunächst die Betriebsaufnahme anzeigen, sodann treffen sie weitere Anzeige-, Melde- und Dokumentationspflichten, etwa zu nachträglichen Entwicklungen, einer Schließung der Einrichtung, Konzeption und Belegungszahlen (siehe im Einzelnen § 47 SGB VIII).

Im Berichtszeitraum habe ich mich mit dem Umfang dieser Meldepflichten befasst. Im Zentrum stand dabei die Frage, ob vor Erfüllung der Anzeigepflicht wegen einer möglichen Kindeswohlgefährdung (§ 47 Abs. 1 Nr. 2 SGB VIII) das Einverständnis der betroffenen Kinder oder Jugendlichen und/oder ihrer Personensorgeberechtigten einzuholen ist.

Nach § 47 Abs. 1 Nr. 2 SGB VIII sind Ereignisse und Entwicklungen anzuzeigen, die geeignet sind, das Wohl der Kinder und Jugendlichen zu beeinträchtigen. Hierbei handelt es sich zunächst um eine unbestimmte Vorgabe, welche einen nicht unerheblichen Interpretationsspielraum eröffnet. Bislang fehlt es an einer hinreichenden Konkretisierung des meldepflichtigen Ereignisses durch Rechtsprechung und Literatur.

Zur Orientierung werden in der Praxis unter anderem die "Handlungsleitlinien zur Umsetzung des Bundeskinderschutzgesetzes im Arbeitsfeld der betriebserlaubnispflichtigen Einrichtungen nach § 45 SGB VIII" der Bundesarbeitsgemeinschaft Landesjugendämter herangezogen. Diese Leitlinien definieren die Ereignisse und Entwicklungen, die geeignet sind, das Wohl der Kinder und Jugendlichen zu beeinträchtigen, als nicht alltägliche, akute Ereignisse oder über einen gewissen Zeitraum anhaltende Entwicklungen in einer Einrichtung, die sich in erheblichem Maße auf das Wohl von Kindern und Jugendlichen auswirken oder zumindest auswirken können.

Konkret werden als solche Ereignisse unter anderem benannt: Gefährdungen, Schädigungen durch zu betreuende Kinder und/oder Jugendliche und delinquentes Verhalten von zu betreuenden Kindern und/oder Jugendlichen (hierunter sind insbesondere zu verstehen: gravierende selbstgefährdende Handlungen, auf eine Selbsttötung zielende Handlungen, sexuelle Gewalt, Körperverletzungen und sonstige erhebliche oder wiederholte Straftaten).

Wie sich aus der in § 47 Satz 1 Nr. 2 SGB VIII verwendeten Formulierung der Eignung des Ereignisses oder der Entwicklung zur "Beeinträchtigung" des Kindeswohls ergibt, muss immer eine gewisse Erheblichkeitsschwelle überschritten werden, um eine Meldepflicht auszulösen.

Sofern dies der Fall ist, müssen die Ereignisse oder Entwicklungen angezeigt werden; § 47 Abs. 1 SGB VIII eröffnet der Einrichtung keinen Entscheidungsspielraum. Die Meldepflicht besteht dabei auch ohne ausdrückliche Aufforderung durch die Behörde; der Träger der Einrichtung muss ihr von sich aus nachkommen.

Inwieweit die Meldung personenbezogene Angaben von Kindern, Jugendlichen oder deren Personensorgeberechtigten enthalten muss, ist zwar eine Frage des Einzelfalls. Bei der Meldung ist auch der Grundsatz der Datenminimierung (Art. 5 Abs. 1 Buchst. c DSGVO) zu beachten. Das bedeutet, dass der Inhalt der Meldung nicht mehr über konkrete Personen offenlegen darf als für die Zweckerreichung geboten. Wohl regelmäßig wird eine Meldung nach § 47 Satz 1 Nr. 2 SGB VIII aber nicht ohne personenbezogene Daten auskommen. Die Vorschrift regelt also (auch) eine Pflicht zur Datenübermittlung.

Dies hat im Datenschutzrecht zwei Konsequenzen:

  • Zum einen schafft § 47 Satz 1 Nr. 2 SGB VIII im Zusammenspiel mit Art. 6 Abs. 1 UAbs. 1 Buchst. c, Abs. 3 UAbs. 1 Buchst. b DSGVO - soweit Gesundheitsdaten betroffen sein sollten zusätzlich in Verbindung mit Art. 9 Abs. 2 Buchst. h, Abs. 3 DSGVO - eine Rechtsgrundlage für die Übermittlung der erforderlichen personenbezogenen Daten von der Einrichtung an die Erlaubnisbehörde.
  • Zum anderen steht damit auch fest, dass das Einverständnis der betroffenen Kinder oder Jugendlichen und/oder ihrer Personensorgeberechtigten nicht benötigt wird; Art. 6 Abs. 1 UAbs. 1 Buchst. c DSGVO fordert eine solche Mitwirkung (gerade) nicht. Dieses Ergebnis ist auch sachgerecht, weil die Norm dem Schutz der Rechtsgüter und Interessen der Kinder und Jugendlichen verpflichtet ist. Sofern die Anzeigepflicht von einem Einverständnis abhängig gemacht werden würde, würde dieser Zweck konterkariert werden.

4.5. Anforderung von erweiterten Führungszeugnissen

Weiterhin war ich mit der Frage befasst, ob die Erlaubnisbehörde erweiterte Führungszeugnisse des (zukünftig) beschäftigten Personals einschließlich der Leitung der Einrichtung anfordern darf.

Nach § 62 Abs. 1 SGB VIII darf die Erlaubnisbehörde Sozialdaten nur erheben, soweit ihre Kenntnis zur Erfüllung der Aufgabe, über eine Erlaubnis nach § 45 Abs. 1 Satz 1 SGB VIII zu entscheiden, erforderlich ist.

Vor Erteilung einer Betriebserlaubnis ist nach meiner Auffassung lediglich die Erhebung eines Nachweises angezeigt, dass Führungszeugnisse nach § 30 Abs. 1 Satz 1 und § 30a Abs. 1 Bundeszentralregistergesetz vorgelegt und geprüft werden. Eine Vorlage der Führungszeugnisse bei der Erlaubnisbehörde ist dagegen grundsätzlich nicht notwendig.

§ 45 Abs. 3 Nr. 2 SGB VIII spricht im Hinblick auf die Eignung des Personals nur von einem Nachweis der Sicherstellung durch den Träger der Einrichtung. Diese Vorschrift enthält keine Befugnis für die Erlaubnisbehörde, selbst Führungszeugnisse zu verlangen. Sie regelt zugleich, wer die Führungszeugnisse zu prüfen und wer darüber wem gegenüber Rechenschaft abzulegen hat. Das Regelungskonzept setzt also auf ein dezentrales Modell: Der Träger der Einrichtung lässt sich die Führungszeugnisse vorlegen und prüft diese; gegenüber der Erlaubnisbehörde führt er den Nachweis eines entsprechenden "Zeugnismanagements". Eine "Doppelprüfung" ist daher grundsätzlich nicht angezeigt.

Diese Grundsätze dürften auch nach Betriebsaufnahme und Wechsel im Personalbestand gelten.

Lediglich in Ausnahmefällen kann - gestützt auf § 62 Abs. 1 SGB VIII - die Vorlage eines konkreten Führungszeugnisses bei der Erlaubnisbehörde erforderlich sein. Dies ist dann der Fall, wenn konkrete Anhaltspunkte für eine bestehende oder drohende Kindeswohlgefährdung bestehen.

So sind beispielsweise andere öffentliche Stellen, die von Gefährdungen in einer Einrichtung für Kinder und Jugendliche erfahren, gehalten, im Rahmen ihrer Aufgaben und Befugnisse die nach §§ 45 ff. SGB VIII zuständige Aufsichtsbehörde zu informieren. Anschließend hat diese zu prüfen, ob die hiervon betroffene Leitung der Einrichtung oder dort beschäftigte Personen die für ihre Tätigkeit erforderliche Eignung (noch) besitzen. Die Anforderungen an die persönliche Eignung des Personals richten sich dabei nach der Zweckbestimmung der Einrichtung und den jeweils auszuübenden Funktionen. Wesentlich ist dabei, dass die eingesetzten Kräfte den Anforderungen der jeweiligen Einrichtung gewachsen sind und das Kindeswohl gewährleistet ist.

Unabhängig davon besteht zwar auch noch die Möglichkeit, das Anforderungsprofil des § 45 SGB VIII zu konkretisieren und zu ergänzen; § 49 SGB VIII begründet insoweit ausdrücklich einen entsprechenden Gestaltungsspielraum. Das bedeutet, auf Landesebene könnte grundsätzlich geregelt werden, dass der Erlaubnisbehörde auch erweiterte Führungszeugnisse des Personals sowie der Leitung der Einrichtung etwa vor Betriebsaufnahme vorgelegt werden müssen.

Aufgrund der objektiv berufsregelnden Tendenz einer derartigen Vorgabe bedarf es insoweit jedoch einer gesetzlichen Grundlage in Form eines Parlamentsgesetzes oder einer Rechtsverordnung. Bloße Verwaltungsvorschriften genügen nicht. Bayern hat von der durch § 49 SGB VIII eingeräumten Möglichkeit, soweit ersichtlich jedoch bisher keinen Gebrauch gemacht, obwohl Art. 44 Gesetz zur Ausführung der Sozialgesetze (AGSG) die Staatsregierung auf Landesebene ermächtigt, (zumindest) durch Rechtsverordnung Mindestvoraussetzungen festzulegen, die erfüllt sein müssen, damit das Wohl von Kindern und Jugendlichen in nach § 45 SGB VIII erlaubnispflichtigen Einrichtungen gewährleistet ist. Eine solche Rechtsverordnung ist jedenfalls auf der Grundlage von Art. 44 AGSG nicht ergangen; der geltenden Bekanntmachung des Bayerischen Staatsministeriums für Familie, Arbeit und Soziales über die Richtlinien für Heilpädagogische Tagesstätten, Heime und sonstige Einrichtungen für Kinder und Jugendliche und junge Volljährige mit Behinderung fehlt es gerade am geforderten Verordnungscharakter.

Datenschutzrechtlich bedeutet dies im Ergebnis, dass eine Erlaubnisbehörde dem Grunde nach keine erweiterten Führungszeugnisse anfordern, also erheben, darf.

4.6. Vollzug des Masernschutzgesetzes - Anforderung von Impfnachweisen

Im Zusammenhang mit dem zum 1. März 2020 in Kraft getretenen Masernschutzgesetz erreichen mich weiterhin zahlreiche Anfragen von Bürgerinnen und Bürgern (vgl. bereits den 30. Tätigkeitsbericht 2020 unter Nr. 10.2.1, den 31. Tätigkeitsbericht 2021 unter Nr. 7.1 und den 33. Tätigkeitsbericht 2023 unter Nr. 6.5). Aktuell habe ich die Praxis eines Gesundheitsamtes überprüft, bei den Kindertageseinrichtungen in seinem Zuständigkeitsbereich stichprobenweise durch das Infektionsschutzgesetz (IfSG) geforderte Nachweise im Zusammenhang mit dem Masernschutz anzufordern. Die Kindertageseinrichtungen hatten zuvor keine Zweifel an der Echtheit oder inhaltlichen Richtigkeit der vorgelegten Nachweise mitgeteilt. Zudem war das Gesundheitsamt überhaupt erst nach einer gewissen Zeit tätig geworden (wohl ein bis drei Jahre nach Vorlage der Nachweise bei den betreuenden Kindertageseinrichtungen), was für Verwunderung bei den betroffenen Personen sorgte.

Nach § 20 Abs. 9 Satz 1 IfSG müssen Nachweise über das Vorliegen eines ausreichenden Impfschutzes oder Immunität gegen Masern oder das Vorliegen einer entsprechenden medizinischen Kontraindikation zunächst gegenüber der Leitung der Kindertageseinrichtung erbracht werden. Allerdings enthält § 20 Abs. 12 Satz 1 Nr. 1 IfSG (zusätzlich) die Befugnis des Gesundheitsamtes, sich ebenfalls die entsprechenden Nachweise von Personen vorlegen zu lassen, die in Gemeinschaftseinrichtungen nach § 33 Nr. 1 bis 3 IfSG (dazu gehören auch Kindertageseinrichtungen) betreut werden.

Die genannte Regelung hat dabei nicht nur die Fälle im Blick, in denen dem Gesundheitsamt "Impfverweigerer" gemeldet werden. Ebenso fallen Konstellationen in den Anwendungsbereich der Norm, in denen das Gesundheitsamt von einer Einrichtung geprüfte (und gegebenenfalls sogar akzeptierte) Nachweise selbst überprüfen will oder es von Amts wegen die Einhaltung der Vorschrift des § 20 IfSG durch bestimmte Einrichtungen kontrollieren möchte. Die Vorschrift soll das Gesundheitsamt auch in die Lage versetzen, die Einhaltung der Pflichten aus § 20 Abs. 8 bis 11 IfSG zu kontrollieren und auf dieser Grundlage über das Ergreifen von (eigenen) Maßnahmen entscheiden zu können.

Was das Zeitmoment betrifft, mögen betroffene Personen darauf vertrauen, dass es mit der Vorlage der Nachweise bei der Einrichtung sein Bewenden hat. Die im Gesetz ausdrücklich geregelte Befugnis des Gesundheitsamtes zur eigenständigen Kontrolle (siehe oben) wird dadurch aber nicht beschränkt. § 20 Abs. 12 Satz 1 IfSG ist auch keine zeitliche Vorgabe zu entnehmen, dass das Gesundheitsamt stichprobenartige Kontrollen im engen zeitlichen Zusammenhang mit der Aufnahme in die Einrichtung durchführen muss.

Da die Nachweispflichten aus § 20 Abs. 8 ff. IfSG nicht nur bei Betreuung in einer Kindertageseinrichtung, sondern anschließend in der Schule (weiter) gelten, erscheint auch eine spätere Kontrolle der Nachweise durch die Gesundheitsämter noch zweckmäßig, um der oben beschriebenen Regelung gerecht zu werden.

Vor diesem Hintergrund konnte ich die beschriebenen stichprobenartigen Kontrollen datenschutzrechtlich nicht missbilligen.

4.7. Tätigkeit einer Pharmazierätin oder eines Pharmazierates - Wer ist datenschutzrechtlich Verantwortlicher?

Die Überwachung von Apotheken gehört in Bayern zu den Aufgaben der Kreisverwaltungsbehörden. Da diese Behörden regelmäßig kein pharmazeutisches Personal beschäftigen, setzt der Landesgesetzgeber auf die Fachkunde ausgewählter niedergelassener Apothekerinnen und Apotheker, welche die Kreisverwaltungsbehörden als Sachverständige unterstützen.

Diese Apothekerinnen und Apotheker werden von der zuständigen Regierung im Einvernehmen mit der Landesapothekerkammer bestellt; sie führen die Bezeichnung "Pharmazierätin" oder "Pharmazierat" und stehen in einem Ehrenbeamtenverhältnis zum Freistaat (vgl. Art. 2 Abs. 3 Gesundheitsdienstgesetz - GDG, Nr. 3 Bekanntmachung des Bayerischen Staatsministeriums für Gesundheit und Pflege über den Vollzug arzneimittel- und apothekenrechtlicher Vorschriften bei öffentlichen Apotheken).

Im Rahmen meiner Kontrolltätigkeit hat sich die Frage ergeben, welche Stelle als datenschutzrechtlich Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO anzusehen ist, wenn eine Pharmazierätin oder ein Pharmazierat im Rahmen der Überprüfung einer Apotheke tätig wird. Nach der Definition der Datenschutz-Grundverordnung ist die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet, als Verantwortlicher anzusehen. Bei der vorliegenden Fallkonstellation war die Zuordnung, wer datenschutzrechtlich Verantwortlicher ist, nicht von vornherein eindeutig:

Eine Pharmazierätin oder ein Pharmazierat wird - wie bereits oben beschrieben - gemäß Art. 2 Abs. 3 Satz 1 GDG als Sachverständige oder Sachverständiger tätig und ist in diesem Zusammenhang für die Überwachung hinsichtlich der Sicherstellung der ordnungsgemäßen Arzneimittelversorgung der Bevölkerung zuständig. Einer sachverständigen Person ist grundsätzlich immanent, dass sie auf einem bestimmten Fachgebiet eine besondere Fachkunde besitzt.

Aus diesem Umstand kann grundsätzlich auch auf eine gewisse eigenverantwortliche Erledigung der übertragenen Aufgabe geschlossen werden. Zudem ist wohl anzunehmen, dass es sich bei der einer Pharmazierätin oder einem Pharmazierat übertragenen Tätigkeit um eine solche hoheitlicher Art handeln dürfte. Dies spräche dafür, dass Art. 1 Abs. 4 BayDSG zur Anwendung kommt und die Pharmazierätin oder der Pharmazierat im Rahmen der hoheitlichen Aufgabenwahrnehmung als eigene verantwortliche (öffentliche) Stelle angesehen werden könnte. Auch die Regierung als bestellende Behörde gemäß Art. 2 Abs. 3 Satz 1 GDG könnte als datenschutzrechtlich Verantwortlicher grundsätzlich in Betracht kommen.

Allerdings wird eine Pharmazierätin oder ein Pharmazierat bei der Überwachung der Apotheken im Auftrag der zuständigen Kreisverwaltungsbehörde tätig. Der Wortlaut von § 2 Abs. 2 Satz 2 sowie § 3 Abs. 1 Satz 2 Arzneimittelüberwachungszuständigkeitsverordnung sowie Nr. 4.1 Satz 1 der oben erwähnten Bekanntmachung, der jeweils von "bedienen" spricht, lässt den Schluss zu, dass die Kreisverwaltungsbehörde als Verantwortlicher und die Pharmazierätin oder der Pharmazierat als in die Aufgabenerfüllung der Kreisverwaltungsbehörde eingebunden anzusehen ist, da sie oder er eine mit der Rolle von bei der Kreisverwaltungsbehörde beschäftigten Personen in hohem Maße vergleichbare Stellung innehat.

Vor diesem Hintergrund ist die beauftragende Kreisverwaltungsbehörde als (alleiniger) datenschutzrechtlich Verantwortlicher zu betrachten. Auch die in der genannten Bekanntmachung vorgesehene "Eingliederung" der Pharmazierätin oder des Pharmazierates in das entsprechende Prüfverfahren einer Apotheke durch die Kreisverwaltungsbehörde (zum Beispiel Vorgaben hinsichtlich Prüfungsumfang sowie unverzügliche Zuleitung einer Niederschrift über die stattgefundene Besichtigung) spricht für diese Einordnung.

Die beiden Regierungen, die in Bayern für die Bestellung einer Pharmazierätin oder eines Pharmazierates zuständig sind (siehe Art. 2 Abs. 3 Satz 2 GDG), haben meine Einschätzung geteilt.

4.8. Videoüberwachung bei kritischen Infrastruktureinrichtungen

Eine Einrichtung der kritischen Infrastruktur im Sinne der BSI-Kritisverordnung (BSI-KritisV) fragte bei mir an, welche Regelungen für die Videoüberwachung gelten würden und ob sich rechtliche Besonderheiten für die Videoüberwachung aus dieser Eigenschaft ergäben. Insbesondere bezog sich die Anfrage auf die Rechtsgrundlage der Videoüberwachung, die Prüfung der Gefahrensituation und die Verhältnismäßigkeit der Maßnahme. Die Einrichtung plante, einen Serverraum mit Videotechnik zu überwachen.

4.8.1. Gesetzliche Rechtsgrundlage

Videoüberwachungen bayerischer öffentlicher Stellen müssen - soweit personenbezogene Daten verarbeitet werden - auf eine Rechtsgrundlage im Sinne von Art. 6 Abs. 1 DSGVO gestützt werden - unabhängig davon, ob es sich um eine kritische Infrastruktureinrichtung handelt oder nicht. Gemäß Art. 6 Abs. 3 Satz 1 Buchst. b DSGVO werden Rechtsgrundlagen für die Verarbeitungen gemäß Art. 6 Abs. 1 UAbs. 1 Buchst. c und e DSGVO mitgliedstaatliches Recht festgelegt. Die Zulässigkeit einer Videoüberwachung zum Zweck der Eigensicherung durch eine bayerische öffentliche Stelle richtet sich nach Art. 24 BayDSG. Anders als von der anfragenden Einrichtung kritischer Infrastruktur erwogen, können das IT-Grundschutz-Kompendiums und dazu veröffentlichter Checklisten des Bundesamts für Sicherheit in der Informationstechnik nicht die Rolle einer Rechtsgrundlage übernehmen. Diese Dokumente enthalten zwar hilfreiche technische und organisatorische Vorgaben, die auch bei der Planung und dem Betrieb einer Videoüberwachungsanlage von Nutzen sind. Sie haben aber nicht die Qualität mitgliedstaatlichen Rechts, die Art. 6 Abs. 3 Satz 1 Buchst. b DSGVO grundsätzlich voraussetzt.

4.8.2. Anforderungen an die Gefahrensituation

Videoüberwachungen im Rahmen von Art. 24 BayDSG dienen der Gefahrenabwehr und verfolgen in erster Linie präventive Zwecke. Deshalb setzen sie das Vorliegen einer Gefahrensituation voraus. In meiner einschlägigen Orientierungshilfe habe ich dazu ausgeführt, dass eine Gefahrensituation im Einzelfall anhand einer Prognose festzustellen ist.

4.8.2.1. Vorfallsdokumentation als Regelfall

Zur Abgabe einer Gefahrenprognose ist die Erstellung einer Vorfallsdokumentation der Regelfall. Insoweit hat sich der Bayerische Verwaltungsgerichtshof meiner Ansicht angeschlossen. Hierfür werden in einer strukturierten Sammlung aus tatsächlichen Anhaltspunkten einzelne Begebenheiten und ihre Auswirkungen im Hinblick auf die gesetzlichen Schutzziele in einem bestimmten räumlichen Kontext aufgeführt, gegebenenfalls ergänzt um Nachweise wie Anzeigen, Beschwerden, Schadensmeldungen oder polizeiliche Ermittlungsberichte.

Videoüberwachungen gemäß Art. 24 BayDSG können aber ausnahmsweise auch zulässig sein, wenn es in der Vergangenheit noch nicht zu einem Vorfall oder einer Schädigung kam. In derartigen Fällen muss die Gefahrensituation auf andere Weise dargelegt werden, soweit es sich nicht um einen Ort handelt, an dem Gefahren für die Rechtsgüter immanent sind.

4.8.2.2. Gefahrimmanente Orte

Soweit Gefahrensituationen bestimmten Orten immanent sein können, handelt es sich dabei um Orte mit einer atypischen "Schadensneigung". Zu denken ist hier insbesondere an eine ortsgebundene sächliche Gefahrenquelle im Bereich einer öffentlichen Einrichtung, beispielsweise ein schlecht einsehbarer Abschnitt im Beckenbereich eines öffentlichen Schwimmbads. Eine solche Situation liegt an oder in einem Serverraum allerdings typischerweise nicht vor.

4.8.2.3. Konkrete Bedrohungs- oder Gefährdungslage

Eine Gefahrensituation kann auch auf andere Weise dargelegt werden, insbesondere bei einer atypischen Bedrohungs- oder Gefährdungslage im Einzelfall. Dies gilt namentlich dann, wenn ein außergewöhnlich gravierender Schaden zu besorgen ist, der sich nicht oder nur mit einem sehr großen Aufwand beheben lässt. Dann muss eine Schädigung nicht erst abgewartet werden, um einen Vorfall dokumentieren zu können. Ein Beispiel ist das Risiko, dass Personen mit Gewalt auf die Außenmauer einer Justizvollzugsanstalt einwirken, um einem Gefangenen die Möglichkeit zum Verlassen der Einrichtung zu eröffnen.

Eine Analyse und Bewertung der Gefahrensituation insbesondere in räumlicher und zeitlicher Hinsicht ist allerdings auch in solchen Fällen zwingend. Der Verantwortliche muss seine Rechenschaftspflicht für die Rechtmäßigkeit der Verarbeitung gemäß Art. 5 Abs. 2, Abs. 1 Buchst. a DSGVO erfüllen können. Die bloße Behauptung einer Gefahr oder eines allgemeinen Unsicherheitsgefühls reichen nicht aus. Die Eigenschaft einer öffentlichen Einrichtung als kritische Infrastruktur kann die Prüfung der Gefahrensituation zwar nicht ersetzen, aber bei deren Einschätzung als "Begründungshilfe" herangezogen werden.

Um eine Gefahrenlage auch ohne Vorfallsdokumentation zu beschreiben, muss sie in vergleichbarer Art und Weise wie mit einer (ausreichenden) Vorfallsdokumentation eingegrenzt werden können. Das bedeutet, dass die Gefahr und die Modalitäten der gegenwärtigen und der erwarteten Situation (auch ohne vergangene Vorfälle) möglichst genau umrissen werden müssen. Gelingt dies nicht und wird nur ein diffuses Gefahrenszenario ohne tatsächliche Anhaltspunkte "ins Blaue" behauptet ("es könnte irgendwas, irgendwann, irgendwo passieren"), ist dies ein starkes Indiz dafür, dass eine für eine Videoüberwachung gemäß Art. 24 Abs. 1 BayDSG erforderliche Gefahrensituation nicht vorliegt.

Zu beschreiben sind die derzeitige Situation und die Hintergründe, die zur Entwicklung der Gefahr geführt haben. Zu beschreiben ist insbesondere der prognostizierte Geschehensablauf nach Art der Angriffshandlung (etwa erwartete Körperverletzung, Einbruch und Diebstahl, Verschaffen eines unbemerkten Zugriffs usw.), der erwartete Verletzungserfolg bezüglich der Schutzziele gemäß Art. 24 Abs. 1 Nr. 1 und Nr. 2 BayDSG, die erwartete Dauer und eine mögliche zeitliche Begrenzung der Gefahr (Tages- und/oder Nachtzeit, nur zu bestimmten Ereignissen oder Jahreszeiten), der Ort der Gefahr (möglichst genaue räumliche Eingrenzung), die Schwere (insbesondere Behebbarkeit) möglicher Folgen unter Berücksichtigung von Fernwirkungen, ferner ihre Dauer (einmalig, wiederkehrend, gegebenenfalls dauerhaft). Einzuschätzen ist zudem die Eintrittswahrscheinlichkeit dieser Folgen.

Zur Beschreibung der Gefahrensituation können auch vergleichbare Bezugsfälle herangezogen werden. Dazu müssen aber die Gefahrensituationen tatsächlich vergleichbar und übertragbar sein. So wird etwa die Gefahr einer Gefangenenbefreiung vergleichbar in verschiedenen anderen Justizvollzugsanstalten bestehen, weil bereits der Aufenthalt von Strafgefangenen risikoerhöhend wirkt. Ein Einbruch in eine andere öffentliche Stelle kann aber nicht ohne weiteres deshalb angenommen werden, weil es in einem beliebigen anderen Gebäude schon einmal zu einem Einbruch gekommen ist. Die bloße Behauptung einer Gefährdungslage ersetzt nicht ihr tatsächliches Vorliegen. Vielmehr sind weitere Gefahrermittlungen erforderlich. Soll eine Gefährdung mit vergleichbaren Vorfällen bei anderen Stellen begründet werden, bedarf es auch hierzu regelmäßig einer Dokumentation der Fremdvorfälle und einer Prüfung, welche die Vergleichbarkeit der Risiken in den Blick nimmt.

Bei der Bestimmung und Eingrenzung der Gefahrensituation ist entsprechend meiner Orientierungshilfe zu beachten, dass das gefährdete Rechtsgut und das Ausmaß des drohenden Schadens mit dem zu fordernden Wahrscheinlichkeitsgrad in Beziehung stehen.

Bei der Beurteilung der Gefahrensituation kann es eine Rolle spielen, dass der zu überwachende Bereich zu einer Einrichtung gehört, die kritische Dienstleistungen im Sinne der BSI-Kritisverordnung erbringt. Bei kritischen Dienstleistungen ist gemäß § 1 Abs. 1 Nr. 3 BSI-KritisV zu beachten, dass deren Ausfall oder Beeinträchtigung zu erheblichen Versorgungsengpässen oder zu Gefährdungen der öffentlichen Sicherheit führen würde. Der Gesetzgeber betont die Bedeutung von kritischer Infrastruktur für das Funktionieren des Gemeinwesens und erkennt ein besonderes Gefährdungspotential.

Soweit sich die Videoüberwachung im konkreten Fall auf Serverräume der Einrichtung kritischer Infrastruktur bezog, müsste der datenschutzrechtlich Verantwortliche im Einzelfall die oben dargestellten Aspekte prüfen. Das Risiko eines Hackerangriffs über das Internet könnte beispielsweise nicht mittels Videoüberwachung gemindert werden, so dass sich die Frage nach einer alternativen Angriffsart stellt. Die Gefahrensituation ist dabei mit Blick auf den Verarbeitungszweck der Videoüberwachung als verhaltenslenkende, risikomindernde, präventive Maßnahme zu prüfen.

Im Hinblick auf die Schadensfolgen können bei kritischen Infrastruktureinrichtungen Besonderheiten zu berücksichtigen sein, wobei das Ausmaß des potentiellen Schadens im Falle einer Schädigung ebenfalls möglichst genau beschrieben werden muss. Könnte ein gezielter Angriff auf Server der Einrichtung etwa zu einem dauerhaften Systemausfall führen, hätte dies mitunter erhebliche Schadensfolgen für Dritte, die über den örtlichen Schaden bei der Einrichtung selbst hinausgingen. Überdies könnten im Schadensfall auch andere Rechtsgüter als die öffentliche Einrichtung selbst betroffen sein. Erhebliche Schadensfolgen und die gefährdeten, sensiblen Datensätze als Teil der öffentlichen Einrichtung im Sinne von Art. 24 Abs. 1 Nr. 2 BayDSG könnten gegebenenfalls eine geringe Eintrittswahrscheinlichkeit ausgleichen. Vor diesem Hintergrund wäre zu prüfen, ob auch bei niedriger Eintrittswahrscheinlichkeit von einer Gefahrensituation ausgegangen werden kann, die eine Videoüberwachung gemäß Art. 24 Abs. 1 BayDSG legitimiert.

4.8.3. Verhältnismäßigkeit der Videoüberwachung

Soweit eine Gefahrenlage nach eingehender Prüfung unter Beachtung der Besonderheiten der kritischen Infrastruktureinrichtung und das Vorliegen der übrigen Tatbestandsvoraussetzungen von Art. 24 Abs. 1 BayDSG angenommen werden kann, wird auf der Rechtsfolgenseite nur ein verhältnismäßiger Rechtseingriff in Bezug auf die konkrete Ausgestaltung der Videoüberwachungsanlage legitimiert. Bei der Verhältnismäßigkeitsprüfung ergeben sich grundsätzlich keine Besonderheiten aus der Tatsache, dass es sich bei der öffentlichen Stelle um eine kritische Infrastruktureinrichtung handelt. Eine flächendeckende Videoüberwachung in allen Räumlichkeiten der Einrichtung wäre etwa nicht erforderlich, wenn sich die Gefahr allein auf einen Serverraum bezieht.

Es bietet sich an, die Videoüberwachung und die vorzunehmende Prüfung der Verhältnismäßigkeit als Teil eines Sicherheitskonzepts zu begreifen. Ob es neben sonstigen Sicherheitsmaßnahmen wie Alarmanlagen, Zugangsschutz mit Schließ- und Berechtigungskonzept, technischem Schutz von Computersystemen usw. noch einer zusätzlichen Videoüberwachung bedarf, ergibt eine Prüfung unter Einbeziehung aller relevanten Faktoren vor Ort. Dabei sind auch mögliche Gefährdungslagen in den Blick zu nehmen und zu untersuchen, ob eine Videoüberwachung überhaupt eine abschreckende Wirkung entfalten kann.

4.8.4. Fazit

Die Videoüberwachung von kritischen Infrastruktureinrichtungen unterfällt grundsätzlich denselben rechtlichen Vorgaben nach Art. 24 BayDSG, wie sie auch für andere bayerische öffentliche Stellen gelten. Bei der Prüfung der Gefahrensituation können sich aus der Tatsache der kritischen Infrastruktur relevante Besonderheiten im Einzelfall ergeben. Dies entbindet die öffentliche Stelle aber nicht von ihrer Rechenschaftspflicht und der genauen Prüfung, bevor mit der Videoüberwachung begonnen wird. Bei der Feststellung einer Gefahrenlage ohne Vorfallsdokumentation muss die Gefahr in vergleichbarer Art und Weise wie bei einer (ausreichenden) Vorfallsdokumentation eingegrenzt werden können. Die bloße Behauptung einer Gefahrenlage reicht für eine Videoüberwachung gemäß Art. 24 BayDSG nicht aus.

  1. Vgl. Stief, in: Schröder, Bayerisches Datenschutzgesetz, 2021, Art. 4 Rn. 41. [Zurück]
  2. Vgl. Spellbrink, in: Kasseler Kommentar, Stand 8/2019, § 60 SGB I Rn. 12. [Zurück]
  3. Vgl. Martin, in: Kasseler Kommentar, Stand 5/2024, § 71 SGB X Rn. 51. [Zurück]
  4. Vgl. Bundesverfassungsgericht, Beschluss vom 24. Januar 2012, 1 BvR 1299/05, BeckRS 2012, 47556, Rn. 123. [Zurück]
  5. Vom 26. Oktober 2009 (GMBl S. 878). [Zurück]
  6. Vgl. Eichenhofer, in: Huber/Mantel, Aufenthaltsgesetz/Asylgesetz, 3. Aufl. 2021, § 87 AufenthG Rn. 25. [Zurück]
  7. BStBl. I S. 1663; geändert durch BMF vom 12. April 2024, BStBl. I S. 696. [Zurück]
  8. Vgl. BMF vom 26. September 2023, BStBl. I S. 1663, Tz. 4.1.5.2. [Zurück]
  9. Siehe Mörsberger, in: Wiesner/Wapler, SGB VIII, 6. Aufl. 2022, § 47 Rn. 7c. [Zurück]
  10. Kepert/Dexheimer, in: Lehr- und Praxiskommentar Sozialgesetzbuch VIII, 8. Aufl. 2022, § 47 Rn. 6. [Zurück]
  11. 2. aktualisierte Fassung 2013, Internet beispielsweise: https://mbjs.brandenburg.de/sixcms/ (externer Link) media.php/140/handlungsleitlinien_umsetzung_bkischg_betriebserlaub.pdf. [Zurück]
  12. Siehe Handlungsleitlinien (Fn. 42), S. 9. [Zurück]
  13. Kepert/Dexheimer, in: Lehr- und Praxiskommentar Sozialgesetzbuch VIII, 8. Aufl. 2022, § 47 Rn. 6. [Zurück]
  14. Janda, in: Kasseler Kommentar, Stand 11/2023, § 47 SGB VIII Rn. 11. [Zurück]
  15. Siehe zum Beispiel Verwaltungsgericht Frankfurt (Oder), Beschluss vom 20. August 2021, VG 6 L 289/21, BeckRS 2021, 23003. [Zurück]
  16. So Janda, in: Kasseler Kommentar, Stand 11/2023, § 45 SGB VIII Rn. 76. [Zurück]
  17. Siehe Wiesner, in: ders./Wapler, SGB VIII, 6. Aufl. 2022, § 45 Rn. 107. [Zurück]
  18. Im Ergebnis verneint: Oberverwaltungsgericht des Saarlandes, Beschluss vom 8. April 2020, 2 D 65/20, BeckRS 2020, 5882. [Zurück]
  19. So Bayerischer Verwaltungsgerichtshof, Beschluss vom 2. Februar 2017, 12 CE 17.71, BeckRS 2017, 101762, Rn. 31 ff. [Zurück]
  20. Vom 28. Oktober 2022 (BayMBl. Nr. 655). [Zurück]
  21. Siehe Bayerischer Verwaltungsgerichtshof, Beschluss vom 2. Februar 2017, 12 CE 17.71, BeckRS 2017, 101762, Rn. 39, 43. [Zurück]
  22. Siehe hierzu Bundestags-Drucksache 19/13452, S. 30: „stichprobenartige Kontrollen in solchen Einrichtungen“; Niedersächsisches Oberverwaltungsgericht, Beschluss vom 22. Juni 2022, 14 ME 258/22, BeckRS 2022, 14159, Rn. 19. [Zurück]
  23. Gerhardt, in: ders., Infektionsschutzgesetz, 6. Aufl. 2022, § 20 IfSG, Rn. 112. [Zurück]
  24. Vom 7. Januar 2016 (AllMBl. S. 7). [Zurück]
  25. Vgl. Bayerischer Landesbeauftragter für den Datenschutz, Videoüberwachung durch bayerische öffentliche Stellen, Orientierungshilfe, Stand 2/2020, Rn. 46, Internet: https://www.datenschutz-bayern.de, Rubrik „Infothek“. [Zurück]
  26. Vgl. Bayerischer Verwaltungsgerichtshof, Urteil vom 30. Mai 2023, 5 BV 20.2104, BeckRS 2023, 12517, Rn. 45. [Zurück]
  27. Vgl. Bayerischer Verwaltungsgerichtshof, Urteil vom 30. Mai 2023, 5 BV 20.2104, BeckRS 2023, 12517, Rn. 46. [Zurück]
  28. Vgl. Bayerischer Landesbeauftragter für den Datenschutz, Videoüberwachung durch bayerische öffentliche Stellen (Fn. 56), Rn. 48. [Zurück]