≡ Sitemap
Der Bayerische Landesbeauftragte für den Datenschutz (BayLfD)

Sie sind hier: > Start > Tätigkeitsberichte > 34. TB 2024 > 5. Personalverwaltung

Der Bayerische Landesbeauftragte für den Datenschutz; Stand: 31.12.2024

5. Personalverwaltung

5.1. Erklärung zu Vorstrafen und Disziplinarverfahren in Berufungsverfahren auf Professuren

Bei Stellenbesetzungsverfahren im öffentlichen Dienst gilt der Grundsatz der "Bestenauslese". Diese im Grundgesetz (GG) verankerte Vorgabe (vgl. Art. 33 Abs. 2 GG) besagt im Wesentlichen, dass öffentliche Ämter allein nach Eignung, Befähigung und fachlicher Leistung zu besetzen sind. Um eine fundierte Auswahlentscheidung treffen zu können, muss sich ein Dienstherr oder öffentlicher Arbeitgeber im Vorfeld daher aussagekräftige Informationen über die Bewerberinnen und Bewerber verschaffen. Diese müssen also teils sensible Informationen über sich offenlegen, um ihre Chancen im Wettbewerb um ein öffentliches Amt zu wahren.

Auch in Stellenbesetzungsverfahren ist das Datenschutzrecht zu beachten. Dies bedeutet insbesondere, dass ein Dienstherr oder öffentlicher Arbeitgeber nur solche Angaben bei Bewerberinnen und Bewerbern "abfragen" darf, die er für seine spätere Auswahlentscheidung benötigt. Bei der Verwendung von Formularen, in denen sich Bewerberinnen und Bewerber zum (Nicht-)Vorliegen bestimmter Sachverhalte erklären sollen, müssen Dienstherren und öffentliche Arbeitgeber daher besonders darauf achten, dass nicht zu viele und damit nicht erforderliche Daten erhoben werden. Dies gilt auch, wenn sich Bewerberinnen und Bewerber in einem entsprechenden Formular zu etwaigen Vorstrafen und Disziplinarverfahren erklären sollen.

5.1.1. Sachverhalt

Eine betroffene Person beschwerte sich bei mir über die Verarbeitung ihrer personenbezogenen Daten in Berufungsverfahren auf Professuren an mehreren bayerischen Hochschulen für angewandte Wissenschaften. Konkret ging es um die Verwendung von formularmäßigen Erklärungen zu möglichen Vorstrafen und (beamtenrechtlichen) Disziplinarverfahren. Der Beschwerdeführer wandte sich dabei nicht gegen die Erhebung der personenbezogenen Daten an sich, sondern gegen den konkreten Inhalt der von den Hochschulen vorgelegten und von den Bewerberinnen und Bewerbern auszufüllenden Vordrucke. Der Beschwerdeführer sollte etwa die folgende Erklärung unterschreiben:

"Ich erkläre hiermit, dass ich nicht vorbestraft bin, keine gerichtlichen Verfahren gegen mich anhängig sind, keine staatsanwaltschaftlichen Ermittlungsverfahren gegen mich laufen und - falls im öffentlichen Dienst - keine Disziplinarverfahren gegen mich durchgeführt wurden oder anhängig sind."

Der Beschwerdeführer kritisierte die unterschiedliche "Behandlung" von Vorstrafen und Disziplinarverfahren in dieser Erklärung. Während sich der Passus zu abgeschlossenen Strafverfahren ausschließlich auf solche bezog, die mit einer "Verurteilung" abgeschlossen waren, wurden Disziplinarverfahren in ihrer Gesamtheit betrachtet. Strafverfahren, die etwa bereits im Ermittlungsverfahren eingestellt wurden oder vor Gericht mit einem Freispruch endeten, hätten nicht angegeben werden müssen. Dagegen wären auch erfolglos durchgeführte Disziplinarverfahren anzugeben gewesen, und darunter sogar solche, die auf widerlegten Vorwürfen beruhten. Die Erklärung hätte sich damit nicht auf Disziplinarverfahren beschränkt, die tatsächlich auch zu einer Disziplinarmaßnahme geführt haben.

Da mehrere Hochschulen entsprechende Erklärungsformulare verwendet hatten und daher ein hochschulübergreifendes Interesse anzunehmen war, habe ich mich im Rahmen meiner datenschutzrechtlichen Prüfung mit dem Bayerischen Staatsministerium für Wissenschaft und Kunst abgestimmt.

5.1.2. Erstes Problem: Inkonsistenz zwischen Vorstrafen und Disziplinarverfahren

In rechtlicher Hinsicht dienen die abzugebenden Erklärungen im Stellenbesetzungsverfahren dazu, die persönliche Eignung von Bewerberinnen und Bewerbern einzuschätzen (vgl. § 9 Beamtenstatusgesetz - BeamtStG, Art. 33 Abs. 2 GG). Als Rechtsgrundlage für die Datenerhebung kommt Art. 103 Satz 1 Nr. 1 Bayerisches Beamtengesetz (BayBG) in Betracht, wonach der Dienstherr personenbezogene Daten über Bewerber und Bewerberinnen verarbeiten darf, soweit dies insbesondere zu Zwecken der Personalverwaltung oder Personalwirtschaft erforderlich ist. Maßgebend war in der vorliegenden Konstellation somit vor allem die Frage, ob die in den Erklärungsformularen verwendete Formulierung das Kriterium der Erforderlichkeit hinreichend beachtet hatte. Nicht erforderliche Verarbeitungen sind von der gesetzlichen Verarbeitungsbefugnis nicht gedeckt.

Ich konnte bei meiner Prüfung nicht nachvollziehen, aus welchem Grund ohne Disziplinarmaßnahme abgeschlossene Disziplinarverfahren angegeben werden sollen, ohne Verurteilung abgeschlossene Strafverfahren jedoch nicht angegeben werden mussten. Nach meiner Einschätzung waren die Angaben in beiden Fällen nicht für Zwecke der Personalverwaltung erforderlich (Art. 103 Satz 1 Nr. 1 BayBG). Informationen über Disziplinarverfahren, die ohne eine Disziplinarmaßnahme abgeschlossen worden sind, wird mit Blick auf die Eignung einer Bewerberin oder eines Bewerbers im Regelfall keine Aussagekraft zukommen.

5.1.3. Zweites Problem: Verwertungsverbote

Ein weiteres datenschutzrechtliches Problem ergab sich bei den Erklärungsvor-drucken aus der Tatsache, dass bei etwaigen Vorstrafen und Disziplinarverfahren nicht danach differenziert wird, ob diese einem Verwertungsverbot unterfallen oder nicht.

Nach § 51 Abs. 1 Bundeszentralregistergesetz (BZRG) dürfen eine Tat und die Verurteilung dem Betroffenen im Rechtsverkehr grundsätzlich nicht mehr vorgehalten und nicht zu seinem Nachteil verwertet werden, wenn die Eintragung über eine Verurteilung im Register getilgt worden oder zu tilgen ist. Die Tilgung ist von einer Tilgungsfrist (§§ 45, 46 BZRG) abhängig. § 53 BZRG beschränkt die Offenbarungspflicht der betroffenen Personen über Verurteilungen. Gemäß § 53 Abs. 1 BZRG dürfen sich Verurteilte als unbestraft bezeichnen und brauchen den Sachverhalt, welcher der Verurteilung zugrunde liegt, nicht zu offenbaren, wenn die Verurteilung nicht in das Führungszeugnis oder nur in ein Führungszeugnis nach § 32 Abs. 3, 4 BZRG aufzunehmen oder zu tilgen ist.

Da die Erklärungsvordrucke nicht in Bezug auf die Verwertbarkeit der Vorstrafen differenzierten, war nicht auszuschließen, dass die betreffenden Hochschulen personenbezogene Daten, die Verwertungsverboten unterfielen, unrechtmäßig erheben und weiterverarbeiten könnten. Um diese Problematik zu entschärfen, schlug ich dem Wissenschaftsministerium vor, folgenden Hinweis bei der Frage nach etwaigen Vorstrafen aufzunehmen:

"Unter den in § 53 BZRG genannten Voraussetzungen besteht keine Offenbarungspflicht."

Ein vergleichbares Problem stellte sich bei der Frage nach Disziplinarverfahren, da Disziplinarvorgänge nach Zeitablauf ebenfalls weitgehend einem Verwertungsverbot unterfallen, vgl. Art. 17 Abs. 1 und 4 Bayerisches Disziplinargesetz (BayDG). Das Verwertungsverbot nach Art. 17 Abs. 1 Satz 1 BayDG gilt nicht nur für weitere Disziplinarmaßnahmen, sondern erstreckt sich auch auf sonstige Personalmaßnahmen. Zu beachten ist dabei, dass das Verwertungsverbot nicht nur für verhängte Disziplinarmaßnahmen gilt, sondern entsprechend auch für Disziplinarvorgänge, die nicht zu einer Disziplinarmaßnahme oder zu einer Feststellung nach Art. 33 Abs. 2 Satz 2 BayDG geführt haben (Art. 17 Abs. 4 Satz 1 BayDG).

Vor diesem Hintergrund schlug ich dem Wissenschaftsministerium die Aufnahme eines Hinweises auf den Vordrucken vor, der klarstellt, dass Disziplinarvorgänge, die einem Verwertungsverbot unterfallen, nicht zu offenbaren sind.

5.1.4. Fazit

Die Kenntnis einer Hochschule von erfolglos eingestellten Straf- oder Disziplinarverfahren eines Bewerbers oder einer Bewerberin ist in Berufungsverfahren auf Professuren grundsätzlich nicht für Zwecke der Personalverwaltung erforderlich. Soweit Vorstrafen oder Disziplinarmaßnahmen abgefragt werden, ist zumindest auf in Betracht kommende Verwertungsverbote hinzuweisen. Das Wissenschaftsministerium hat sich meiner Rechtsauffassung angeschlossen, die Hochschulen informiert und zur Verwendung neuer Musterformulierungen angehalten.

5.2. Anforderung von Unterlagen in Berufungsverfahren auf Professuren

Ein weiteres Mal hat mich die Frage beschäftigt, in welchem Umfang bayerische Hochschulen in Stellenbesetzungsverfahren personenbezogene Daten von Bewerberinnen und Bewerbern erheben dürfen. Dieses Mal ging es nicht um die Frage nach Vorstrafen und Disziplinarverfahren (siehe Nr. 5.1), sondern um die Anforderung bestimmter Unterlagen im Rahmen eines Berufungsverfahrens auf eine Professur.

Eine Person, die sich auf eine solche Professur beworben hatte, war der Ansicht, dass die betreffende Hochschule für angewandte Wissenschaften in diesem Zusammenhang zu vielfältig personenbezogene Daten von ihr erhob. Die Hochschule forderte unter anderem eine Geburtsurkunde, eine Heiratsurkunde, Geburtsurkunden der Kinder, Arbeitsverträge sowie diverse Zeugnisse und weitere Urkunden an. Die betroffene Person hatte Bedenken insbesondere in Bezug auf die Wahrung des Grundsatzes der Datenminimierung (Art. 5 Abs. 1 Buchst. c DSGVO).

5.2.1. Allgemeine Einstellungsvoraussetzungen und Personalaktenbezug

Ich hatte zu überprüfen, ob die Hochschule die Erhebung der jeweiligen Bewerberdaten auf eine Rechtsgrundlage stützen konnte (Grundsatz der Rechtmäßigkeit gemäß Art. 5 Abs. 1 Buchst. a, Art. 6 Abs. 1 DSGVO) und den Grundsatz der Datenminimierung gewahrt hatte.

Als Rechtsgrundlage kam die Verarbeitungsbefugnis aus Art. 103 Satz 1 Nr. 1 Bayerisches Beamtengesetz (BayBG) in Betracht. Danach darf der Dienstherr personenbezogene Daten auch über Bewerber und Bewerberinnen verarbeiten, soweit dies zur Durchführung organisatorischer, personeller und sozialer Maßnahmen, insbesondere zu Zwecken der Personalverwaltung oder Personalwirtschaft erforderlich ist. Das Kriterium der Erforderlichkeit steht in engem Zusammenhang mit dem Grundsatz der Datenminimierung. Dieser Grundsatz verlangt, dass personenbezogene Daten dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein müssen. Bei diesen Kriterien kann auch das Zeitmoment eine Rolle spielen: Je nach Konstellation ist die Vorlage bestimmter Unterlagen gegebenenfalls erst in einem fortgeschrittenen Stadium eines Stellenbesetzungsverfahrens erforderlich im vorgenannten Sinne (vgl. etwa für die Anforderung und Vorlage des Personalakts anlässlich einer Bewerbung meinen 23. Tätigkeitsbericht 2008 unter Nr. 21.3; an diesen Ausführungen halte ich auch nach Geltungsbeginn der Datenschutz-Grundverordnung fest).

Die Erforderlichkeit der Verarbeitung war im Hinblick auf die einzelnen angeforderten Unterlagen zu beurteilen. Hier kam es maßgeblich auf beamten- und hochschulrechtliche Vorgaben für die Einstellung von Professorinnen und Professoren an, die an bayerischen Hochschulen gemäß Art. 58 Abs. 1 Satz 1 Bayerisches Hochschulinnovationsgesetz (BayHIG) in der Regel zu Beamtinnen und Beamten auf Lebenszeit ernannt werden. Die Einstellungsvoraussetzungen für Professorinnen und Professoren an Hochschulen für angewandte Wissenschaften sind in Art. 57 Abs. 3 BayHIG geregelt. Soweit Art. 57 Abs. 3 Satz 1 BayHIG auf die "allgemeinen dienstrechtlichen Voraussetzungen" verweist, sind damit grundsätzlich die beamtenrechtlichen Vorgaben gemeint, die für eine Verbeamtung zwingend zu erfüllen sind, etwa die allgemeinen Voraussetzungen für die Begründung eines Beamtenverhältnisses aus § 7 Beamtenstatusgesetz (BeamtStG) oder die Ernennungskriterien gemäß § 9 BeamtStG, die für die Begründung des Beamtenverhältnisses gemäß § 8 Abs. 1 Nr. 1 BeamtStG relevant sind.

Zu beachten ist auch, dass bei der Begründung eines Beamtenverhältnisses für jede Beamtin und jeden Beamten eine Personalakte angelegt wird. Die Verarbeitung von Personalaktendaten richtet sich nach Art. 103 ff. BayBG, § 50 BeamtStG. Nach dem materiellen Personalaktenbegriff gehören zur Personalakte alle Unterlagen, die die Beamtin oder den Beamten betreffen, soweit sie mit dem Dienstverhältnis in einem unmittelbaren inneren Zusammenhang stehen (§ 50 Satz 2 BeamtStG). Diese Unterlagen sind grundsätzlich zwingend in die formelle Personalakte aufzunehmen. Zweck der Personalakte ist es, ein möglichst vollständiges Bild von der Persönlichkeit des Beamten zu geben und vor allem ein lückenloses Bild der Entstehung und Entwicklung des Dienstverhältnisses in einem historischen Geschehensablauf zu vermitteln.

Vor diesem Hintergrund sind Unterlagen im Berufungsverfahren nicht nur für die Prüfung der beamten- und hochschulpersonalrechtlichen Einstellungsvoraussetzungen relevant; nach Einstellung können sie auch für die spätere Aufnahme in die Personalakte erforderlich werden.

5.2.2. Geburtsurkunde

Nach dem Willen des Gesetzgebers sind Personenstandsurkunden und Unterlagen über die Staatsangehörigkeit als Personalaktendaten in den Personalakt aufzunehmen. Unter die Personenstandsurkunden fallen unter anderem gemäß § 55 Abs. 1 Satz 1 Nr. 3, § 59 Personenstandsgesetz (PStG) Geburtsurkunden. Die Geburtsurkunde enthält gemäß § 59 Abs. 1 PStG zumindest die Vornamen und den Geburtsnamen sowie Ort, Tag, Stunde und Minute der Geburt. Sie wird als eine Unterlage, die Aussagen zur Persönlichkeit der Beamtin oder des Beamten enthält, und somit als Personalaktendatum angesehen.

5.2.3. Heiratsurkunde und Geburtsurkunden der Kinder

Unter Personenstandsurkunden können auch Heiratsurkunden (das Gesetz spricht nunmehr in § 55 Abs. 1 Satz 1 Nr. 1, § 57 PStG von Eheurkunden) und Geburtsurkunden der Kinder fallen. Diese Urkunden enthalten nicht nur Angaben über die Persönlichkeit der Beamtin oder des Beamten, sondern können auch für die zutreffende Festsetzung der Besoldung - etwa zur Festsetzung von Familienzuschlägen gemäß Art. 43 in Verbindung mit Art. 35 Bayerisches Besoldungsgesetz (BayBesG) - relevant sein. Sie stellen daher Personalaktendaten dar.

5.2.4. Arbeitsverträge und Arbeitszeugnisse

Die Vorlage von Arbeitsverträgen im Berufungsverfahren soll insbesondere der Überprüfung der besonderen hochschulpersonalrechtlichen Einstellungsvoraussetzungen dienen. Einstellungsvoraussetzungen für Professoren und Professorinnen an Hochschulen für angewandte Wissenschaften sind gemäß Art. 57 Abs. 3 Satz 1 Nr. 3 BayHIG etwa besondere Leistungen bei der Anwendung oder Entwicklung wissenschaftlicher Erkenntnisse und Methoden in einer mindestens fünfjährigen beruflichen Praxis. Diese Praxis muss nach Abschluss des Hochschulstudiums erworben und mindestens drei Jahre außerhalb des Hochschulbereichs ausgeübt worden sein. Ob diese Voraussetzungen vorliegen und die notwendige Zeitspanne erfüllt wurde, lässt sich im Rahmen des Erforderlichen grundsätzlich anhand von Unterlagen wie Arbeitsverträgen und Arbeitszeugnissen ermitteln.

5.2.5. Prüfungszeugnisse und Urkunden

Nachweise über Vor-, Aus- und Fortbildungen sowie Prüfungszeugnisse und anderweitige Befähigungsnachweise sind ebenso wie Wehr- oder Zivildienstbescheinigungen (soweit vorhanden) den Personalaktendaten zuzuordnen. Ein abgeschlossenes Hochschulstudium ist ebenso wie die pädagogische Eignung Einstellungsvoraussetzung gemäß Art. 57 Abs. 3 Satz 1 Nr. 1, Abs. 1 Satz 1 Nr. 1, Nr. 2 BayHIG. Die Erhebung entsprechender Zeugnisse, Urkunden und Nachweise im Berufungsverfahren konnte die Hochschule demnach auf Art. 103 Satz 1 Nr. 1 BayBG stützen.

5.2.6. Fazit

Im Ergebnis war bei der Anforderung der oben genannten Unterlagen durch die Hochschule im Berufungsverfahren nicht von einem Verstoß gegen datenschutzrechtliche Vorgaben auszugehen. Ob bei einer Verarbeitung der Grundsatz der Datenminimierung beachtet und die Erforderlichkeit gewahrt ist, muss immer vor dem Hintergrund des jeweiligen Verarbeitungszwecks beurteilt werden. Eine Personalakte soll ein umfassendes Bild über die Beamtin oder den Beamten abgeben. Angesichts dessen können auch umfassendere Datenerhebungen zulässig sein, soweit der zuvor festgelegte Verarbeitungszweck nicht verlassen und die Anforderungen des Grundsatzes der Datenminimierung beachtet werden. Zu berücksichtigen war im konkreten Fall auch, dass die Hochschule der betroffenen Person die Möglichkeit eröffnet hatte, einzelne Dokumente erst im späteren Verlauf des Berufungsverfahrens - und damit gegebenenfalls zum Zeitpunkt einer etwaig gesteigerten "Berufungserwartung" - nachzureichen.

5.3. Vorstellung neuer Beschäftigter in einer Informationsbroschüre

Organisatorische Erwägungen können es erfordern, bestimmte Beschäftigtendaten - insbesondere Kontaktdaten - intern offenzulegen, insbesondere um eine effiziente Zusammenarbeit verschiedener Organisationseinheiten zu gewährleisten. Zu denken ist etwa an interne Telefon- oder Organisationsverzeichnisse, wie sie vielfach in einem behördeneigenen Intranet bereitgestellt werden. Das Datenschutzrecht steht einer solchen internen Verwendung von Beschäftigtendaten grundsätzlich nicht entgegen, sofern der Dienstherr oder öffentliche Arbeitgeber nachvollziehbar begründen kann, weshalb sie für organisatorische Zwecke erforderlich ist.

Hin und wieder erwarten Dienstherren oder öffentliche Arbeitgeber aber auch, dass Beschäftigte weitere Daten - etwa Fotos - von sich intern preisgeben. Begründet wird dies mit dem Gedanken, dass sich Beschäftigte auf diese Weise besser kennenlernen und untereinander vernetzen können. Nicht zuletzt könnten hierdurch auch neue Beschäftigte zügiger integriert werden. So nachvollziehbar dieser Gedanke dem Grunde nach auch ist, dürfen bei seiner Umsetzung allerdings die Persönlichkeitsrechte der Beschäftigten nicht außer Acht gelassen und müssen datenschutzrechtliche Anforderungen eingehalten werden. So dürfen etwa Fotos von Beschäftigten grundsätzlich nur mit deren Einwilligung in ein behördeneigenes Intranet eingestellt werden (vgl. hierzu bereits meinen 27. Tätigkeitsbericht 2016 unter Nr. 11.5; an diesen Ausführungen halte ich weiterhin fest).

Anlässlich einer Beschwerde hatte ich mich nun mit der Veröffentlichung personenbezogener Beschäftigtendaten in einer Informationsbroschüre zu befassen, die an verschiedene, fachlich verbundene Behörden adressiert war.

5.3.1. Sachverhalt

Ein Staatsministerium gibt regelmäßig eine Informationsbroschüre insbesondere für Beschäftigte eines bestimmten Verwaltungszweigs im eigenen Haus sowie im nachgeordneten Bereich heraus. In dieser Broschüre wurden auch neue Kolleginnen und Kollegen in Textbeiträgen und Fotos vorgestellt.

Hintergrund war - wie ich im Laufe des Beschwerdeverfahrens vom Staatsministerium erfahren habe - insbesondere die komplexe, behördenübergreifende Organisationsstruktur des betreffenden Verwaltungszweigs. Die Broschüre solle als Informations- und Vernetzungsmedium einen regelmäßigen Austausch gewährleisten. In diesem Rahmen sollte neuen Beschäftigten die Möglichkeit gegeben werden, sich mit eigens verfassten Beiträgen in der Broschüre vorzustellen.

Der Beschwerdeführer war in dem fraglichen Verwaltungszweig beschäftigt. Seine Beschäftigungsbehörde gab sowohl ein Foto von ihm als auch einen Text mit Angaben aus dem Lebenslauf an das Staatsministerium weiter. Foto und Textbeitrag wurden in einer späteren Ausgabe der Informationsbroschüre abgedruckt. Daraufhin wandte sich der Beschwerdeführer an mich. Er habe zu keinem Zeitpunkt in die Weitergabe und spätere Veröffentlichung seiner Daten eingewilligt.

Ich bat sowohl die Beschäftigungsbehörde als auch das Staatsministerium um eine Stellungnahme. Dabei wollte ich insbesondere wissen, auf welcher Rechtsgrundlage das Foto des Beschwerdeführers und der ihn betreffende Text an das Staatsministerium übermittelt und sodann im Rahmen der Broschüre veröffentlicht wurden.

Die angeschriebenen Stellen informierten mich unter anderem, dass das Einreichen der "Vorstellungsbeiträge" für die Beschäftigten freiwillig sei und ohne Gruppendruck erfolge. Beschäftigten, die keine Beiträge einreichten, drohten keine Nachteile. Auch sei es nicht ungewöhnlich, dass sich neue Mitarbeiterinnen und Mitarbeiter in diesem Rahmen nicht vorstellten. Die Beschäftigungsbehörde trug weiter vor, dass der Beschwerdeführer auf eine Nachricht nicht reagiert habe, wonach sich Betroffene melden mögen, wenn sie mit der Veröffentlichung ihres Bildes nicht einverstanden seien.

Die Beschäftigungsbehörde und das Staatsministerium nahmen bei der jeweiligen Datenverarbeitung zunächst an, dass Einwilligungen nach Art. 6 Abs. 1 UAbs. 1 Buchst. a, Art. 4 Nr. 11, Art. 7 DSGVO vorgelegen hätten. Insbesondere habe die Beschäftigungsbehörde das Schweigen des Beschwerdeführers auf die oben genannte Nachricht anfänglich als Zustimmung gewertet. Zudem seien die Beiträge entsprechend der bisherigen Praxis von den betroffenen Beschäftigten selbst verfasst worden. Beide Behörden führten allerdings weiter aus, im Nachgang zu der Ansicht gekommen zu sein, dass der Beschwerdeführer in die Verarbeitung seiner personenbezogenen Daten bei Erstellung und Veröffentlichung der Broschüre nicht wirksam eingewilligt hatte.

5.3.2. Fehlender Nachweis wirksamer Einwilligungen

Sowohl mit der Übermittlung des Fotos und des Vorstellungsbeitrags des Beschwerdeführers durch die Beschäftigungsbehörde an das Staatsministerium als auch mit der späteren Veröffentlichung dieser Daten in einer Ausgabe der Informationsbroschüre sind personenbezogene Daten des Beschwerdeführers verarbeitet worden. Dabei war im vorliegenden Fall für die Übermittlung dieser Daten die Beschäftigungsbehörde, für deren spätere Veröffentlichung das Staatsministerium datenschutzrechtlich Verantwortlicher.

Jede Verarbeitung personenbezogener Daten bedarf einer Rechtsgrundlage. Als solche kam vorliegend nur eine Einwilligung der betroffenen Person in Betracht. Insbesondere war nicht ersichtlich - und wurde von den betreffenden Stellen auch nicht vorgetragen -, dass die Verarbeitung der Daten des Beschwerdeführers zur Aufgabenerfüllung der jeweiligen Stellen (vgl. Art. 4 Abs. 1 und Art. 5 Abs. 1 BayDSG) oder zu einem der in Art. 103 Satz 1 Nr. 1 Bayerisches Beamtengesetz (BayBG) genannten Zwecke (insbesondere zur Personalverwaltung oder Personalwirtschaft) im datenschutzrechtlichen Sinn erforderlich gewesen wäre. Soweit man in den geschilderten Vorgängen eine Übermittlung (in Form der Offenlegung) von Personalaktendaten an Dritte erblickt, setzt auch Art. 108 Abs. 4 Satz 1 BayBG grundsätzlich die Einwilligung der betroffenen Beschäftigten voraus.

Eine wirksame, insbesondere informiert und freiwillig erteilte (vgl. Art. 4 Nr. 11 DSGVO) Einwilligung muss der datenschutzrechtlich Verantwortliche aber auch nachweisen können. Dies ergibt sich bereits aus seiner allgemeinen Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO) und wird speziell für Verarbeitungen auf Grundlage einer Einwilligung durch Art. 7 Abs. 1 DSGVO noch einmal spezifiziert:

"Beruht die Verarbeitung auf einer Einwilligung, muss der Verantwortliche nachweisen können, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat."

Ein besonderes Formerfordernis für Einwilligungen enthält die Datenschutz-Grundverordnung grundsätzlich nicht. Art. 4 Nr. 11 DSGVO verlangt jedoch eine "unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung"; diese Willensbekundung muss unter anderem "in informierter Weise" erfolgt sein. Mit anderen Worten muss der betroffenen Person hinreichend klar sein, worin sie einwilligt. Übertragen auf den vorliegenden Fall hätten die beiden Behörden damit nachvollziehbar darlegen müssen, dass der Beschwerdeführer mit der Verarbeitung seiner Daten gerade auch im Hinblick auf die Erstellung und spätere Veröffentlichung der Broschüre einverstanden gewesen war - genau dies hatte der Beschwerdeführer ja bestritten.

Ein solcher Nachweis gelang den beiden Behörden vorliegend schon nach eigener Darstellung nicht. Angesichts der klaren gesetzlichen Vorgaben ist eine wirksame Einwilligung insbesondere nicht allein deshalb anzunehmen, weil eine betroffene Person einer Verarbeitung nicht aktiv "widerspricht". Damit sind die öffentlichen Stellen ihrer Rechenschaftspflicht im Hinblick auf die Rechtmäßigkeit der Verarbeitung jeweils nicht nachgekommen.

5.3.3. Ergriffene Maßnahmen

Aufgrund der Nachrichten des Beschwerdeführers an die Beschäftigungsbehörde, dass er weder einer Weitergabe noch einer Veröffentlichung seiner Daten zugestimmt habe, hat das Staatsministerium eine neue Fassung der Broschüre ohne die personenbezogenen Daten des Beschwerdeführers erstellt. Das Staatsministerium hat im Nachgang ferner allen Empfängern die Löschung der ursprünglichen Fassung der Broschüre mitgeteilt. Darüber war der Beschwerdeführer auch informiert worden. Angesichts des Gewichts der Datenschutzverstöße habe ich gegenüber beiden Behörden gleichwohl eine förmliche datenschutzrechtliche Beanstandung ausgesprochen.

Im Laufe des Verfahrens habe ich zudem ausführliche Hinweise dazu erteilt, wie die bislang praktizierte Erstellung und Veröffentlichung der Informationsbroschüre datenschutzkonform ausgestaltet werden kann. Insbesondere habe ich erläutert, wie die Einholung wirksamer - insbesondere freiwilliger und informierter - Einwilligungen im vorliegenden Zusammenhang gewährleistet werden könnte. Die beteiligten Stellen teilten allerdings mit, zukünftig keine personenbezogenen Beschäftigtendaten mehr in der Broschüre veröffentlichen zu wollen. Die Informationsbroschüre werde sich vielmehr auf Fachbeiträge beschränken. Insofern würden Beschäftigungsbehörden des Fachbereichs auch keine Vorstellungsbeiträge neuer Mitarbeiterinnen und Mitarbeiter mehr an das Staatsministerium übermitteln. Obgleich diese Maßnahme aus datenschutzrechtlicher Perspektive nicht zwingend erforderlich erschien, konnte ich hiergegen natürlich keine Einwände vorbringen.

5.4. Beschäftigtendaten in der (auch weltweiten) Öffentlichkeit

Ob und in welchem Umfang Beschäftigtendaten einer breiteren Öffentlichkeit zugänglich gemacht werden dürfen, ist im Beschäftigtendatenschutz eine vieldiskutierte Frage (vgl. zuletzt in meinem 33. Tätigkeitsbericht 2023 unter Nr. 7.5 und Nr. 7.6). Häufig stellt sich heraus, dass eine Offenlegung nicht oder jedenfalls nicht vollständig von einer Rechtsgrundlage gedeckt ist - so auch in einem weiteren Fall, in dem eine bayerische Gemeinde personenbezogene Daten ihrer Beschäftigten gleich dreifach öffentlich gemacht hat.

5.4.1. Sachverhalt

  • Die Gemeinde stellte unter anderem Kontaktdaten von Ansprechpersonen im Rathaus - konkret: Namen, Funktionen, dienstliche Telefonnummern und dienstliche E-Mail-Adressen - auf ihre Internetseite. Bei drei längerfristig erkrankten Beschäftigten fand sich ein Hinweis, dass diese derzeit nicht im Haus seien und bei Bedarf die Organisationseinheit kontaktiert werden könne. Später wurden die Kontaktdaten der betroffenen Beschäftigten entfernt; der Name und ein Vertretungshinweis verblieben aber auf der Internetpräsenz.
  • Nachfolgend äußerte sich der erste Bürgermeister auf einer Bürgerversammlung zum mehrmonatigen "Ausfall" von drei Beschäftigten der Gemeinde. Zwar wurden die Beschäftigten dabei nicht namentlich erwähnt, jedoch deren Anzahl und deren "Gesamt"-Arbeitsausfall in Arbeitsstunden pro Monat.
  • Danach wurde der Bürgermeister in einem Zeitungsartikel zu einem Krankheitsfall in der Gemeindeverwaltung und einem damit einhergehenden Ausfall personeller Ressourcen zitiert. Der Bürgermeister nahm dabei auf das konkret betroffene Amt und dessen Neubesetzung innerhalb der Gemeinde Bezug, ohne allerdings Beschäftigtennamen zu nennen.

Die betroffenen Beschäftigten wandten sich später mit datenschutzrechtlichen Beschwerden an mich. Bei der Bearbeitung hatte ich insbesondere zu prüfen, inwieweit die Gemeinde bei den geschilderten Vorgängen jeweils personenbezogene Daten ihrer Beschäftigten offengelegt hat und ob dafür Rechtsgrundlagen vorhanden waren.

5.4.2. Abwesenheitsvermerk auf der Internetseite der Gemeinde

Veröffentlichen bayerische öffentliche Stellen personenbezogene Daten von Beschäftigten, um eine Kontaktaufnahme zu erleichtern, verarbeiten sie diese Daten grundsätzlich zu organisatorischen Zwecken. Die Veröffentlichung von personenbezogenen Sachaktendaten Beschäftigter - insbesondere von Namen, Kontaktdaten, Funktion und Amtsbezeichnung - kann auf Art. 5 Abs. 1 Satz 1 Nr. 1 Var. 1 BayDSG gestützt werden, wenn sie zur Erfüllung einer Aufgabe erforderlich ist, die der übermittelnden öffentlichen Stelle obliegt. Zu den Aufgaben einer bayerischen öffentlichen Stelle gehört es auch, Bürgerinnen und Bürger darüber zu informieren, welche Beschäftigten die richtigen Ansprechpersonen für ihre Anliegen sind (siehe meine Ausführungen im 33. Tätigkeitsbericht 2023 unter Nr. 7.5.1). Daher müssen Beschäftigte, die eine Funktion mit Außenwirkung wahrnehmen, eine Veröffentlichung etwa ihres Namens, ihrer dienstlichen Kontaktdaten wie Telefonnummer und E-Mail-Adresse und ihres Zuständigkeitsbereichs hinnehmen.

Abwesenheitshinweise auf der Internetseite sind aber zur Aufgabenerfüllung regelmäßig nicht erforderlich. Zwar mögen derartige Hinweise nützlich sein, damit Bürgerinnen und Bürger den direkten Kontakt nur mit tatsächlich anwesenden Beschäftigten suchen. Die bloße Nützlichkeit oder Förderlichkeit allein ist aber nicht ausreichend, um eine für die Aufgabenerfüllung erforderliche Verarbeitung personenbezogener Daten anzunehmen. Ist absehbar, dass Beschäftigte für einen längeren Zeitraum abwesend sind, erscheint die Einrichtung von E-Mail-Abwesenheitsnotizen und Telefonumleitungen als ein effektiveres Mittel, das die Datenschutzgrundrechte der betroffenen Beschäftigten weniger beeinträchtigt. Auch die ersatzlose Löschung der personenbezogenen Daten von der Webseite kann ein Mittel sein, um Bürgerinnen und Bürger vor erfolglosen Kontaktversuchen zu bewahren, ohne zugleich die Abwesenheit der betroffenen Beschäftigten hervorzuheben.

Vor diesem Hintergrund bin ich zu der Auffassung gelangt, dass die ins Internet gestellten Abwesenheits- und Vertretungshinweise für die Aufgabenerfüllung der Gemeinde nicht erforderlich waren. Die Gemeinde konnte diese Hinweise daher nicht auf Art. 5 Abs. 1 Satz 1 Nr. 1 Var. 1 BayDSG stützen.

5.4.3. Äußerungen zum mehrmonatigen Ausfall von Beschäftigten auf der Bürgerversammlung

Die öffentliche Äußerung des Bürgermeisters der Gemeinde auf der Bürgerversammlung bezüglich des mehrmonatigen Ausfalls von drei Beschäftigten stellt jedenfalls in Kombination mit den unter Nr. 5.4.2 zuvor nach außen getragenen Abwesenheitshinweisen eine Verarbeitung personenbezogener Daten in Form einer Offenlegung dar.

Personenbezogen sind Daten gemäß Art. 4 Nr. 1 DSGVO bereits dann, wenn sich Informationen auf eine (lediglich) identifizierbare natürliche Person beziehen, wobei auch eine indirekte Zuordnung ausreicht. Laut Erwägungsgrund 26 Satz 3 DSGVO sind bei der Feststellung der Identifizierbarkeit einer natürlichen Person alle Mittel zu berücksichtigen, die von dem Verantwortlichen oder einer anderen Person nach allgemeinem Ermessen wahrscheinlich genutzt werden, um die natürliche Person direkt oder indirekt zu identifizieren. Bei der Feststellung, ob Mittel nach allgemeinem Ermessen wahrscheinlich zur Identifizierung der natürlichen Person genutzt werden, sollten alle objektiven Faktoren, wie die Kosten der Identifizierung und der dafür erforderliche Zeitaufwand, herangezogen werden, wobei die zum Zeitpunkt der Verarbeitung verfügbare Technologie und technologische Entwicklungen zu berücksichtigen sind (Erwägungsgrund 26 Satz 4 DSGVO).

Für das Vorliegen personenbezogener Daten ist es daher ausreichend, wenn Informationen, die an sich noch keinen Schluss auf eine bestimmte Person zulassen, erst in Verbindung mit anderen Informationen - insbesondere in Form von "Zusatzwissen" - die Identifizierung ermöglichen. Dabei darf der Aufwand, der für die Identifizierung erforderlich ist, nicht unverhältnismäßig hoch sein. Zwar hat der Bürgermeister eine geschlechtsneutrale Formulierung gewählt, um Identitäten der monatelang ausfallenden Beschäftigten nicht preiszugeben. Für Außenstehende war jedoch mithilfe der noch auf der Internetseite der Gemeinde angebrachten Abwesenheitsnotizen bei den Kontaktdaten der betroffenen Personen ersichtlich, wer konkret gemeint war.

Freilich ist im Einzelnen noch nicht abschließend geklärt, inwieweit das Wissen und die Möglichkeiten anderer Personen zur Identifizierung betroffener Personen Berücksichtigung finden. Dies wirkt sich vorliegend aber nicht aus, weil die betroffenen Personen für die Gemeinde als dem datenschutzrechtlich Verantwortlichen ohnehin feststanden, während Bürgerinnen und Bürgern eine Identifizierung mit dem verhältnismäßig geringen Aufwand einer Internetrecherche möglich war. Der Bürgermeister hat mit seiner Äußerung also auch ohne Namensnennung personenbezogene Daten der betroffenen Beschäftigten offengelegt. Zu den Gründen des Ausfalls hat er sich zwar nicht näher geäußert; da längere Ausfallzeiten aber oftmals auf gesundheitliche Ursachen zurückzuführen sind, wäre es nicht fernliegend gewesen, in der Äußerung zugleich eine Offenlegung von Gesundheitsdaten und gegebenenfalls auch Personalaktendaten zu erblicken, die eine qualifizierte Rechtsgrundlage benötigt.

Die Gemeinde konnte mir nicht darlegen, dass die Kommunikation der personenbezogenen Daten zur Erfüllung ihrer Aufgaben erforderlich gewesen wäre. Eine Bürgerversammlung dient zwar der Erörterung gemeindlicher Angelegenheiten (Art. 18 Abs. 1 Satz 1 Gemeindeordnung). Vor diesem Hintergrund bestünden keine datenschutzrechtlichen Bedenken gegen die Erörterung der allgemeinen Personalsituation ohne Personenbezug. Die Zweckbestimmung der Bürgerversammlung legitimiert aber nicht die vorliegende Offenlegung personenbezogener Beschäftigtendaten.

5.4.4. Äußerungen zu einem Krankheitsfall in der Gemeindeverwaltung im Rahmen der Pressearbeit

Soweit der Bürgermeister im Rahmen der Pressearbeit auf einen Krankheitsfall im Rathaus und die Neubesetzung des konkret genannten Amts innerhalb der Gemeinde Bezug nahm, war eine Identifizierung der betroffenen Person mit Hilfe der Internetpräsenz oder auf Grund von "Rathauswissen" kommunalpolitisch interessierter Bürgerinnen und Bürger möglich. Der Bürgermeister hat also auch in diesem Kontext ohne Namensnennung personenbezogene Daten offengelegt.

Krankheitsbedingte Fehlzeiten sind Personalaktendaten, deren Verarbeitung den personaldatenschutzrechtlichen Vorgaben gemäß § 50 Beamtenstatusgesetz, Art. 103 ff. Bayerisches Beamtengesetz (BayBG) entsprechen muss. Die Vorschriften finden gemäß Art. 145 Abs. 2 BayBG auch auf vertraglich Beschäftigte im öffentlichen Dienst grundsätzlich entsprechende Anwendung. Die Tatsache der Erkrankung selbst ist ein Gesundheitsdatum im Sinne von Art. 4 Nr. 15 DSGVO, das zu den besonderen Kategorien personenbezogener Daten gemäß Art. 9 Abs. 1 DSGVO gehört und dessen Verarbeitung nur unter zusätzlichen Voraussetzungen gemäß Art. 9 Abs. 2 DSGVO, Art. 8 BayDSG zulässig ist.

Eine Auskunft an die Presse zur Erkrankung der betroffenen Person hätte vorliegend gemäß Art. 108 Abs. 4 BayBG, Art. 9 Abs. 2 Buchst. a DSGVO grundsätzlich nur mit ihrer ausdrücklichen Einwilligung erteilt werden dürfen; für einen Ausnahmetatbestand nach Art. 108 Abs. 4 Satz 1 Halbsatz 2 BayBG war im konkreten Fall nichts ersichtlich (siehe zu Art. 108 Abs. 4 BayBG meine Ausführungen im 33. Tätigkeitsbericht 2023 unter Nr. 7.6). Eine - im Beschäftigungsverhältnis ohnehin nur selten freiwillig und damit wirksam (vgl. Art. 4 Nr. 11 DSGVO) erteilte - Einwilligung wurde nicht eingeholt. Ein Rückgriff auf Art. 5 Abs. 1 Satz 1 Nr. 1 Var. 1 BayDSG ist durch die abschließende fachgesetzliche Regelung versperrt (vgl. Art. 1 Abs. 5 BayDSG). Die Erkrankung der betroffenen Person wurde daher ohne Rechtsgrundlage offengelegt.

5.4.5. Ergebnis

Die Gemeinde hat damit in drei Fällen die Anforderung missachtet, personenbezogene Daten nur mit Rechtsgrundlage offenzulegen. Der Abwesenheitsvermerk auf der gemeindlichen Internetseite zu den betroffenen Beschäftigten war ebenso wenig zur Aufgabenerfüllung erforderlich wie die der Gemeinde zurechenbare Äußerung des Bürgermeisters auf einer Bürgerversammlung zum Ausfall dreier Beschäftigter. Die auf ein konkretes Amt und dessen Neubesetzung bezogene Äußerung des Bürgermeisters zu einem Krankheitsfall in einem Zeitungsartikel war nicht von der erforderlichen fachgesetzlichen Rechtsgrundlage gedeckt.

Im Ergebnis habe ich aufgrund der festgestellten unrechtmäßigen Verarbeitungen personenbezogener Daten gegenüber der Gemeinde eine förmliche datenschutzrechtliche Beanstandung ausgesprochen (Art. 16 Abs. 4 Satz 1 BayDSG).

5.5. Veröffentlichung privater Kontaktdaten von Bereichslehrkräften

Veröffentlicht eine bayerische öffentliche Stelle auf ihrer Internetseite Namen und dienstliche Kontaktdaten von bestimmten Beschäftigten, verfolgt sie damit regelmäßig den Zweck, Bürgerinnen und Bürger über behördliche Ansprechpersonen zu informieren und ihnen die Kontaktaufnahme zu erleichtern. Ein solche Veröffentlichung ist datenschutzrechtlich in gewissem Umfang zulässig; mit den Voraussetzungen und Grenzen der dabei einschlägigen Rechtsgrundlagen habe ich mich zuletzt in meinem 33. Tätigkeitsbericht 2023 unter Nr. 7.5 ausführlich befasst.

Die Veröffentlichung privater Kontaktdaten von Beschäftigten ist für bayerische Dienstherren und öffentliche Arbeitgeber allerdings tabu, wie auch der nachfolgende Fall anschaulich zeigt:

5.5.1. Sachverhalt

Bereichslehrkräfte sind mit der Unterstützung und Förderung der Kinder beruflich Reisender (Schaustellerfamilien, Zirkusangehörige, fahrende Personen) in ihrem Einsatzgebiet beauftragt. Hierzu veröffentlicht das Bayerische Staatsministerium für Unterricht und Kultus auf seiner Internetseite eine Liste mit Namen, Zuständigkeitsbereichen und dienstlichen Kontaktdaten der bayerischen Bereichslehrkräfte, um insbesondere für die Eltern eine einfache Erreichbarkeit zu gewährleisten.

Bei rein dienstlichen Kontaktdaten ist es dabei allerdings nicht geblieben: Gleich mehrere bayerische Bereichslehrkräfte wandten sich an mich und beschwerten sich darüber, dass das Kultusministerium auf seiner Homepage eine Liste im PDF-Format mit zum Teil privaten Kontaktdaten (darunter private Telefonnummern und E-Mail-Adressen) von mobilen Bereichslehrkräften veröffentlicht habe. Einwilligungen seien dazu nicht erteilt worden; mitunter seien die Beschwerdeführenden als Folge der Veröffentlichung privat von Dritten (telefonisch) kontaktiert worden. Nahezu zeitgleich meldete mir das Kultusministerium den bekannt gewordenen Sachverhalt als "Datenpanne" im Rahmen seiner Pflicht zur Meldung von Verletzungen des Schutzes personenbezogener Daten gemäß Art. 33 DSGVO.

Wie mir das Kultusministerium in seiner darauffolgenden Stellungnahme mitteilte, entstammten die privaten Kontaktdaten offenbar einer Liste, die zum Zweck der Datenaktualisierung von nachgeordneten Behörden zugeleitet worden war. Die privaten Kontaktdaten seien dabei nicht zur Veröffentlichung bestimmt gewesen; eine entsprechende Überprüfung habe vor Veröffentlichung jedoch nicht stattgefunden. Aufgrund eines Hinweises einer Bereichslehrkraft sei die Liste allerdings von der Homepage des Kultusministeriums genommen worden.

Dennoch war die Liste "aus technischen Gründen" zunächst noch abrufbar, bevor sie auf mein Hinwirken von der Webseite entfernt wurde. Zudem musste ich das Kultusministerium darauf hinweisen, dass die privaten Kommunikationsdaten der Lehrkräfte auch danach über das Vorschaufenster von Internetsuchmaschinen zunächst noch auffindbar waren. Erst auf meinen diesbezüglichen Hinweis hin konnte auch insofern eine Löschung erreicht werden.

5.5.2. Unrechtmäßige Veröffentlichung der privaten Kontaktdaten

Private Telefon- und Faxnummern sowie E-Mail-Adressen von Beschäftigten im bayerischen öffentlichen Dienst sind Personalaktendaten, deren Verarbeitung den Vorgaben gemäß § 50 Beamtenstatusgesetz, Art. 103 ff. Bayerisches Beamtengesetz (BayBG) unterfällt. Diese Vorschriften sind gemäß Art. 145 Abs. 2 BayBG auch auf die nichtverbeamteten Beschäftigten des bayerischen öffentlichen Dienstes im Grundsatz entsprechend anzuwenden. Eine Weitergabe dieser Personalaktendaten an Dritte - hier an die Internetöffentlichkeit - wäre allenfalls auf Grund von Art. 108 Abs. 4 BayBG in Betracht gekommen. Auskünfte aus der Personalakte sind danach grundsätzlich nur mit Einwilligung der betroffenen Person zulässig, es sei denn, dass die Abwehr einer erheblichen Beeinträchtigung des Gemeinwohls oder der Schutz berechtigter, höherrangiger Interessen des Dritten die Auskunftserteilung zwingend erfordert (Art. 108 Abs. 4 Satz 1 BayBG). Einwilligungen der Bereichslehrkräfte zur Veröffentlichung ihrer privaten Kontaktdaten lagen nicht vor. Im Übrigen sind Einwilligungen im Beschäftigungsverhältnis ohnehin nur selten freiwillig und damit wirksam (vgl. Art. 4 Nr. 11 DSGVO), weshalb ich von deren Einholung grundsätzlich abrate. Für das Vorliegen des erwähnten Ausnahmefalls war ebenfalls nichts ersichtlich.

Die privaten Kontaktdaten der Bereichslehrkräfte wurden deshalb ohne Rechtsgrundlage veröffentlicht.

5.5.3. Entfernung der Datensätze aus Vorschauanzeigen von Internetsuchmaschinen

Soweit private Kontaktdaten der Bereichslehrkräfte trotz Entfernung des Datensatzes von der Homepage des Kultusministeriums noch in Vorschauanzeigen von Internetsuchmaschinen auftauchten, hat das Kultusministerium auf meine Intervention hin auf deren Entfernung bei den Suchmaschinenbetreibern hingewirkt.

Hier kam das "Recht auf Vergessenwerden" zum Zuge: Gemäß Art. 17 Abs. 2 DSGVO hat ein zur Löschung verpflichteter Verantwortlicher, der personenbezogene Daten öffentlich gemacht hat (hier: das Kultusministerium), angemessene Maßnahmen zu treffen, um andere Verantwortliche (hier: die Betreiber der betreffenden Internetsuchmaschinen) darüber zu informieren, dass eine betroffene Person die Löschung verlangt hat. Diese Informationspflicht bedeutet im Ergebnis, dass dem Kultusministerium selbst kein eigener Anspruch auf Löschung gegenüber den Suchmaschinenbetreibern zustand, es aber auf eine Löschung hinwirken musste.

5.5.4. Ergebnis

Ich habe gegenüber dem Kultusministerium aufgrund der unrechtmäßigen Veröffentlichung privater Kontaktdaten bei Würdigung der geschilderten Begebenheiten eine datenschutzrechtliche Verwarnung (Art. 58 Abs. 2 Buchst. b DSGVO) ausgesprochen. Da der Datenschutzverstoß zwischenzeitlich behoben worden ist, konnte ich von weiteren aufsichtlichen Maßnahmen absehen.

5.6. Unverschlüsselte Übermittlung eines amtsärztlichen Gutachtens an eine private E-Mail-Adresse

Der Fall ist schnell zusammengefasst: Ein Beamter wird durch die Medizinische Untersuchungsstelle (MUS) einer bayerischen Regierung im Hinblick auf seine Dienstfähigkeit amtsärztlich begutachtet. Die MUS übermittelt ihr Gutachten an den Dienstvorgesetzten des Beamten. Dieser prüft auf Grundlage des Gutachtens, ob und wie der Beamte dienstlich weiter eingesetzt werden kann. Das Ergebnis seiner Prüfung übermittelt der Dienstvorgesetzte per unverschlüsselter und mit dem Betreff "Anhörung" versehener E-Mail unter anderem an die private
E-Mail-Adresse des betroffenen Beamten. Das Gutachten der MUS hat er dieser E-Mail als Anlage beigefügt. Der Beamte ist der Ansicht, dass sein Dienstvorgesetzter hierdurch gegen datenschutzrechtliche Vorgaben verstoßen hat, und wendet sich mit einer Beschwerde an mich.

Bevor ich mich der eigentlichen "Fallfrage" widme, möchte ich kurz wesentliche Aspekte des zugrunde liegenden Begutachtungsverfahrens darstellen:

  • Dienstunfähige Beamtinnen und Beamte sind unter den Voraussetzungen des § 26 Beamtenstatusgesetz, Art. 65 Abs. 2 Bayerisches Beamtengesetz (BayBG) in den Ruhestand zu versetzen. Bei Zweifeln an ihrer Dienstunfähigkeit kann der Dienstherr betroffene Beamtinnen und Beamte anweisen, sich (amts-)ärztlich untersuchen zu lassen. Grundlage hierfür ist Art. 65 Abs. 2 Satz 1 BayBG:

    "1Bestehen Zweifel über die Dienstunfähigkeit, so ist der Beamte oder die Beamtin verpflichtet, sich nach Weisung des oder der Dienstvorgesetzten ärztlich untersuchen und, falls ein Amtsarzt oder eine Amtsärztin dies für erforderlich hält, beobachten zu lassen. 2Auf Verlangen des Amtsarztes oder der Amtsärztin hat sich der Beamte oder die Beamtin zudem einer fachärztlichen Zusatzbegutachtung zu unterziehen. 3Wer sich trotz wiederholter schriftlicher Aufforderung ohne hinreichenden Grund der Verpflichtung, sich nach Weisung des oder der Dienstvorgesetzten untersuchen oder beobachten zu lassen, entzieht, kann so behandelt werden, wie wenn die Dienstunfähigkeit amtsärztlich festgestellt worden wäre."

  • Nähere Einzelheiten zu diesem Verfahren finden sich insbesondere in Art. 67 BayBG sowie in Abschnitt 8 der Verwaltungsvorschriften zum Beamtenrecht (VV-BeamtR). Das amtsärztliche Gutachten gibt die oder der jeweilige Dienstvorgesetzte in Auftrag. Der Gutachtensauftrag enthält neben einer umfassenden Schilderung des Sachverhalts, der Anlass für den Auftrag gegeben hat, insbesondere auch konkrete Fragen an die Begutachtungsärztin oder den Begutachtungsarzt. Die betroffene Beamtin oder der betroffene Beamte erhält eine Kopie des Gutachtensauftrags (Abschnitt 8 Nr. 1.3.2 VV-BeamtR).

  • Zuständig für Dienstfähigkeitsbegutachtungen sind grundsätzlich die Regierungen, Art. 5 Satz 1 Gesundheitsdienstgesetz (GDG). Diese verfügen dazu jeweils über eine MUS. Die Entscheidung, ob eine begutachtete Beamtin oder ein begutachteter Beamter tatsächlich dienstunfähig ist, treffen nicht die Amtsärztinnen oder Amtsärzte, sondern die jeweiligen Dienstvorgesetzten (vgl. Abschnitt 8 Nr. 1.8 Satz 1 VV-BeamtR). Das amtsärztliche (Gesundheits-)Zeugnis soll als "Ergebnis" der Begutachtung den Dienstvorgesetzten eine umfassende Entscheidungsgrundlage an die Hand geben (Abschnitt 8 Nr. 1.4.1 Satz 1 VV-BeamtR). Die Weitergabe amtsärztlicher Erkenntnisse an Dienstvorgesetzte bedarf, soweit sie zur Erfüllung des Gutachtenauftrags erforderlich ist, keiner (ausdrücklichen) Einwilligung der betroffenen Person - Art. 67 Abs. 1 BayBG normiert insoweit nämlich eine ausdrückliche gesetzliche Übermittlungsbefugnis für die Gesundheitsbehörde (vgl. auch Art. 27 Abs. 2 Satz 1 Nr. 1 GDG). In diesem Rahmen tritt auch die ärztliche Schweigepflicht nach § 203 Strafgesetzbuch von Amtsärztinnen und Amtsärzten zurück.

  • Es liegt auf der Hand, dass amtsärztliche Gesundheitszeugnisse über Dienstfähigkeitsuntersuchungen hochsensible Daten der begutachteten Beamtinnen und Beamten enthalten. Sie sind daher in besonderem Maße gegen eine unbefugte Einsichtnahme zu schützen. Für den Übermittlungsweg von den begutachtenden amtsärztlichen Stellen an die Dienstvorgesetzten sieht Art. 67 Abs. 2 BayBG daher vor, dass die amtsärztliche Mitteilung in einem gesonderten, verschlossenen und versiegelten Umschlag zu übersenden ist.

Im vorliegenden Fall gab es keine Anhaltspunkte dafür, dass die MUS hinter diesen Vorgaben zurückgeblieben wäre. Auf welche Weise Dienstvorgesetzte amtsärztliche Zeugnisse gegebenenfalls an betroffene Beamtinnen und Beamte übermitteln dürfen, ist hingegen in den Art. 65 ff. BayBG nicht spezifisch geregelt. Hier kommen neben personalaktenrechtlichen Aspekten insbesondere technische und organisatorische Vorgaben der Datenschutz-Grundverordnung ins Spiel:

Für die Übermittlung des Gutachtens an den betroffenen Beamten war vorliegend die personalverwaltende Stelle datenschutzrechtlich verantwortlich im Sinne von Art. 4 Nr. 7 DSGVO. Nach dem datenschutzrechtlichen Grundsatz der Integrität und Vertraulichkeit (Art. 5 Abs. 1 Buchst. f DSGVO) haben Verantwortliche bei der Verarbeitung personenbezogener Daten durch technische und organisatorische Maßnahmen eine angemessene Sicherheit dieser Daten zu gewährleisten. Dies schließt den Schutz vor unbefugter oder unrechtmäßiger Verarbeitung mit ein. Spezifizierend hierzu verpflichtet Art. 32 Abs. 1 DSGVO Verantwortliche, geeignete technische und organisatorische Maßnahmen zu ergreifen, um ein dem Risiko der Verarbeitung angemessenes Schutzniveau zu gewährleisten. Die letztgenannte Vorschrift zeigt verschiedene Kriterien auf, die der Verantwortliche bei der Maßnahmenauswahl zu berücksichtigen hat, darunter die Eintrittswahrscheinlichkeit und Schwere des mit der jeweiligen Verarbeitung einhergehenden Risikos für die Rechte und Freiheiten natürlicher Personen (vgl. auch Art. 32 Abs. 2 DSGVO).

In die danach durchzuführende Risikoanalyse war insbesondere einzustellen, dass es sich bei dem übermittelten amtsärztlichen Gutachten für den Dienstherrn um Personalaktendaten im Sinne von § 50 Satz 2 Beamtenstatusgesetz, Art. 103 ff. BayBG handelt, die ihrer Natur nach besonders sensibel sind; zugleich umfasst (jedenfalls) das übermittelte Gutachten inhaltlich Gesundheitsdaten des Beschwerdeführers und damit auch besondere Kategorien personenbezogener Daten nach Art. 9 Abs. 1 DSGVO. Solche unterliegen einem besonderen Schutz. Bei ihrer Verarbeitung hat der Dienstherr angemessene und spezifische Maßnahmen zur Wahrung der Interessen der betroffenen Person vorzusehen (Art. 103 Satz 1 Nr. 2 BayBG in Verbindung mit Art. 8 Abs. 2 Satz 1 BayDSG). Als technische und organisatorische Maßnahme im Sinne dieser Vorschriften kommt insbesondere die Verschlüsselung personenbezogener Daten in Betracht (vgl. Art. 32 Abs. 1 Buchst. a DSGVO sowie die Gesetzesbegründung zu Art. 8 BayDSG).

Die personalverwaltende Stelle hatte insoweit vorgetragen, betroffene Beschäftigte in vergleichbaren Konstellationen grundsätzlich schriftlich per Brief anzuhören. In diesem Rahmen werde auch das jeweilige Gutachten übersandt. Da der betroffene Beamte auf seiner damaligen Position dienstunfähig gewesen sei und so schnell wie möglich habe umgesetzt werden müssen, sei dieser im vorliegenden Fall ausnahmsweise aus Zeitgründen per einfacher E-Mail angehört worden. Die personalverwaltende Stelle räumte allerdings selbst ein, dass der Versand des Gutachtens an die private E-Mail-Adresse des betroffenen Beamten per einfacher, ungeschützter E-Mail nicht den datenschutzrechtlichen Anforderungen genügt hatte.

Bei meiner Bewertung des Sachverhalts habe ich berücksichtigt, dass es sich bei dem vorliegenden E-Mail-Versand nach Darstellung der personalverwaltenden Stelle um einen Einzelfall handelte. Anhaltspunkte für systematisch-organisatorische Mängel waren für mich nicht erkennbar. Die personalverwaltende Stelle hat den festgestellten Datenschutzverstoß eingeräumt, betont, dass sich dieser nicht wiederholen werde, und entsprechende interne Sensibilisierungsmaßnahmen ergriffen.

In Anbetracht der Sensibilität der übermittelten Daten, die sowohl Personalaktendaten als auch besondere Kategorien personenbezogener Daten nach Art. 9 Abs. 1 DSGVO umfassten, habe ich wegen des festgestellten Verstoßes gegen Art. 32 Abs. 1 DSGVO sowie Art. 103 Satz 1 Nr. 2 BayBG in Verbindung mit Art. 8 Abs. 2 Satz 1 BayDSG gleichwohl eine datenschutzrechtliche Verwarnung (Art. 58 Abs. 2 Buchst. b DSGVO) ausgesprochen.

5.7. Betriebsärztliche Gutachten im Betrieblichen Eingliederungsmanagement und im Präventionsverfahren: Weitergabe an die Schwerbehindertenvertretung?

Anlässlich einer Beratungsanfrage habe ich mich erneut mit datenschutzrechtlichen Aspekten des Betrieblichen Eingliederungsmanagements (BEM) und des Präventionsverfahrens beschäftigt. Diesmal ging es um die Frage, ob betriebsärztliche Gutachten im Rahmen dieser Verfahren durch den Arbeitgeber an die Schwerbehindertenvertretung weitergegeben werden dürfen.

5.7.1. Hintergrund

Nach § 178 Abs. 2 Satz 1 Neuntes Buch Sozialgesetzbuch - Rehabilitation und Teilhabe von Menschen mit Behinderungen - (SGB IX) hat der Arbeitgeber die Schwerbehindertenvertretung in allen Angelegenheiten, die einen einzelnen oder die schwerbehinderten Menschen als Gruppe berühren, unverzüglich und umfassend zu unterrichten und vor einer Entscheidung anzuhören. Ein eigenständiges, einwilligungsunabhängiges Recht auf Einsicht in die Personalakte von schwerbehinderten Beschäftigten steht der Schwerbehindertenvertretung dagegen nicht zu (vgl. § 178 Abs. 3 Satz 1 SGB IX). Vor diesem Hintergrund habe ich eine Anfrage erhalten, ob die Pflicht zur Unterrichtung der Schwerbehindertenvertretung möglicherweise auch die Weitergabe betriebsärztlicher Gutachten durch den Arbeitgeber an die Schwerbehindertenvertretung im BEM und bei Präventionsverfahren umfasst. Eine grundsätzliche Einbeziehung der Schwerbehindertenvertretung hat der Gesetzgeber bei beiden Verfahrensarten schließlich ausdrücklich vorgesehen.

Gemäß § 167 Abs. 2 Satz 1 SGB IX ist der Arbeitgeber verpflichtet, allen Beschäftigten, die innerhalb eines Jahres länger als sechs Wochen ununterbrochen oder wiederholt arbeitsunfähig sind, ein BEM anzubieten. Ein BEM bezweckt nach dieser Vorschrift, die Arbeitsunfähigkeit zu überwinden, erneuter Arbeitsunfähigkeit vorzubeugen und den Arbeitsplatz zu erhalten beziehungsweise eine Arbeitsunfähigkeit zu vermeiden. Das BEM umfasst also alle Aktivitäten, Maßnahmen und Leistungen, die im Einzelfall zur Wiedereingliederung nach längerer Arbeitsunfähigkeit erforderlich sind. Was hierfür konkret zu tun ist, hat der Arbeitgeber bei schwerbehinderten Menschen unter Beteiligung der Schwerbehindertenvertretung zu klären - dies allerdings unter der Voraussetzung, dass der oder die betroffene Beschäftigte dieser Beteiligung - wie auch dem BEM insgesamt - zugestimmt hat (§ 167 Abs. 2 Satz 1 SGB IX).

In einem vom BEM zu unterscheidenden Präventionsverfahren nach § 167 Abs. 1 SGB IX schaltet der Arbeitgeber frühzeitig unter anderem die Schwerbehindertenvertretung ein, wenn personen-, verhaltens- oder betriebsbedingte Schwierigkeiten eintreten, die das Beschäftigungsverhältnis mit einem schwerbehinderten oder ihm gleichgestellten Menschen gefährden könnten. Ziel dieses Verfahrens ist es, eine vorzeitige Beendigung des Beschäftigungsverhältnisses (insbesondere durch Kündigung) aufgrund dieser Schwierigkeiten möglichst zu vermeiden. Im Präventionsverfahren soll umfassend erörtert werden, wie die bestehenden Schwierigkeiten im Beschäftigungsverhältnis beseitigt werden können. Es dient damit vorrangig der Konfliktprävention. Das Präventionsverfahren bedarf im Vergleich zum BEM keiner Zustimmung der oder des betroffenen Beschäftigten.

Die Verpflichtungen aus § 167 Abs. 1 SGB IX und § 167 Abs. 2 Satz 1 SGB IX gelten auch für öffentliche Arbeitgeber. Im Zuge eines BEM wie auch eines Präventionsverfahrens werden Beschäftigtendaten verarbeitet. Jedenfalls im Rahmen eines BEM, das den Fokus auf die Gesundheit legt, sind auch sensible Gesundheitsdaten im Sinne des Art. 4 Nr. 15 DSGVO betroffen. Die datenschutzrechtlichen Anforderungen, die für das BEM zu beachten sind, habe ich bereits in meinem 25. Tätigkeitsbericht 2012 unter Nr. 11.2 ausführlich erläutert. Sowohl die Schwerbehindertenvertretung als auch die örtliche Personalvertretung haben nach § 167 Abs. 2 Satz 8 SGB IX darüber zu wachen, dass Arbeitgeber ihre Verpflichtungen zur Anbietung und - bei Annahme des Angebots - auch zur ordnungsgemäßen Durchführung eines BEM erfüllen. Zur Reichweite ihres diesbezüglichen Informationsanspruchs habe ich in meinem 26. Tätigkeitsbericht 2014 unter Nr. 11.3 sowie in meinem 27. Tätigkeitsbericht 2016 unter Nr. 11.3 Stellung genommen. Die Beiträge beziehen sich zwar auf die Vorgängervorschrift des heutigen § 167 Abs. 2 Satz 1 SGB IX und auf Berichtszeiträume vor Inkrafttreten der Datenschutz-Grundverordnung; ich halte an diesen Ausführungen aber weiterhin fest.

Nicht ausdrücklich befasst hatte ich mich bislang mit der Frage, inwieweit die Schwerbehindertenvertretung im Rahmen der genannten Verfahren in etwaige betriebsärztliche Gutachten von betroffenen Beschäftigten Einsicht nehmen darf.

5.7.2. Einsichtnahme in betriebsärztliche Gutachten durch die Schwerbehindertenvertretung

Bei der Schwerbehindertenvertretung handelt es sich nicht um einen eigenständigen Verantwortlichen im Sinne von Art. 4 Nr. 7 DSGVO. Vielmehr ist sie - ebenso wie etwa der Personalrat - als Teil der jeweiligen öffentlichen Stelle anzusehen. Die öffentliche Stelle ist damit auch für die Verarbeitung personenbezogener Daten durch die Schwerbehindertenvertretung datenschutzrechtlich verantwortlich.

Auch die interne Weitergabe oder Offenlegung personenbezogener Daten innerhalb einer verantwortlichen Stelle - beispielsweise durch Aushändigung von betriebsärztlichen Gutachten durch die Dienststelle an die Schwerbehindertenvertretung - stellt eine Verarbeitung personenbezogener Daten dar, die einer Rechtsgrundlage nach Art. 6 Abs. 1 DSGVO bedarf. Als Rechtsgrundlagen kämen vorliegend grundsätzlich Art. 103 Satz 1 Bayerisches Beamtengesetz (BayBG) und § 178 Abs. 2 Satz 1 SGB IX in Betracht: Die Weitergabe der Gutachten müsste also zur Personalverwaltung oder zur Erfüllung der sozialgesetzlichen Unterrichtungspflicht erforderlich sein. Im Übrigen käme als Rechtsgrundlage die Einwilligung der betroffenen Beschäftigten nach Art. 6 Abs. 1 UAbs. 1 Buchst. a, Art. 4 Nr. 11, Art. 7 DSGVO in Frage. Da betriebsärztliche Gutachten Gesundheitsdaten enthalten, ist auch Art. 9 DSGVO zu beachten.

5.7.2.1. BEM

Arbeitgeber haben die Schwerbehindertenvertretung zwar auch ohne Einwilligung der jeweils betroffenen Person zu informieren, welchen schwerbehinderten Beschäftigten ein BEM angeboten worden ist (vgl. hierzu meinen 26. Tätigkeitsbericht 2014 unter Nr. 11.3.2). Nach meiner Einschätzung dürfen Arbeitgeber im Rahmen der eigentlichen BEM-Durchführung jedoch betriebsärztliche Gutachten nicht ohne wirksame ausdrückliche Einwilligung der betroffenen Person im Sinne des Art. 6 Abs. 1 UAbs. 1 Buchst. a, Art. 9 Abs. 2 Buchst. a DSGVO an die Schwerbehindertenvertretung weitergeben (vgl. hierzu grundlegend meinen 25. Tätigkeitsbericht 2012 unter Nr. 11.2). Eine solche Einwilligung muss sich ausdrücklich auch auf Gesundheitsdaten beziehen; überdies ist darauf zu achten, dass sie insbesondere informiert und freiwillig erteilt werden muss (vgl. Art. 6 Abs. 1 UAbs. 1 Buchst. a, Art. 4 Nr. 11, Art. 7, Art. 9 Abs. 1, Abs. 2 Buchst. a DSGVO).

Dieses Einwilligungserfordernis ergibt sich für das BEM in der vorliegenden Konstellation aus folgenden Erwägungen: Zunächst setzt bereits die Durchführung eines BEM gemäß § 167 Abs. 2 Satz 1 SGB IX die Zustimmung der betroffenen Person voraus. Da die oder der Beschäftigte insoweit auch über die Beteiligung der Schwerbehindertenvertretung und gegebenenfalls die Einbeziehung einer Betriebsärztin oder eines Betriebsarztes frei entscheiden kann, kommt ein "Einsichtsrecht" der Schwerbehindertenvertretung in betriebsärztliche Gutachten ohnehin nur in Betracht, wenn sich die betroffene Person für eine Teilnahme der Schwerbehindertenvertretung entschieden hat.

Zur Durchführung des BEM hat das Bayerische Staatsministerium der Finanzen und für Heimat einen Leitfaden "Betriebliches Eingliederungsmanagement" herausgegeben. Hiernach soll im BEM-Gespräch zwischen den Beteiligten die derzeitige Situation des oder der betroffenen Beschäftigten umfassend analysiert werden; hierauf aufbauend sollen mögliche Maßnahmen vereinbart werden, um die Arbeitsunfähigkeit möglichst dauerhaft zu überwinden. Personenbezogene medizinische Daten dürfen dabei nur "in Textform" erfasst werden, wenn die betroffene Person dem zugestimmt hat (Leitfaden, S. 10 f.). Vor diesem Hintergrund und in Anbetracht der in einem medizinischen Gutachten regelmäßig enthaltenen spezifischen Angaben zum Gesundheitszustand Beschäftigter darf die Schwerbehindertenvertretung in betriebsärztliche Gutachten nur Einsicht nehmen, soweit eine entsprechende wirksame ausdrückliche Einwilligung der betroffenen Person vorliegt. Da das betriebsärztliche Gutachten regelmäßig Teil des jeweiligen Personalakts sein wird, stünde ohnehin § 178 Abs. 3 Satz 1 SGB IX einer einwilligungsunabhängigen Einsicht durch die Schwerbehindertenvertretung entgegen.

5.7.2.2. Präventionsverfahren

Bei Präventionsverfahren ist zwar zu berücksichtigen, dass eine Erörterung von Möglichkeiten und Hilfen, um bestehende Schwierigkeiten zu beseitigen und das Beschäftigungsverhältnis möglichst dauerhaft fortzusetzen (vgl. § 167 Abs. 1 SGB IX), eine Weitergabe personenbezogener Daten der betroffenen Person bedingt und das Gesetz - anders als beim BEM - für dieses Verfahren grundsätzlich auch keine Zustimmung der betroffenen Beschäftigten vorsieht. Unabhängig von der Frage, inwieweit im Falle krankheitsbedingter Fehlzeiten das Verfahren des BEM dem Präventionsverfahren als spezielleres Verfahren ohnehin vorgeht, ist für mich aus der Beratungsanfrage nicht ersichtlich geworden, inwieweit die Kenntnis der Schwerbehindertenvertretung vom Inhalt etwaiger betriebsärztlicher Gutachten angesichts der Zielsetzung des Präventionsverfahrens (siehe bereits oben) für diese Erörterung erforderlich wäre. Da betriebsärztliche Gutachten regelmäßig Teil des jeweiligen Personalakts sein werden, stünde ferner § 178 Abs. 3 Satz 1 SGB IX einer Einsicht der Schwerbehindertenvertretung ohne Zustimmung der betroffenen Person entgegen. Insofern gehe ich davon aus, dass für die Einsicht der Schwerbehindertenvertretung in betriebsärztliche Gutachten auch im Rahmen eines Präventionsverfahrens in aller Regel eine wirksame ausdrückliche Einwilligung der betroffenen Person erforderlich ist.

5.7.2.3. Ergebnis

Im Ergebnis verbleibt die Entscheidung über die Weitergabe betriebsärztlicher Gutachten im Rahmen des BEM oder des Präventionsverfahrens durch den Arbeitgeber an die Schwerbehindertenvertretung in aller Regel bei der betroffenen Person. Verantwortliche haben das Vorliegen etwaiger wirksamer ausdrücklicher Einwilligungen im Rahmen ihrer Rechenschaftspflicht nachzuweisen (vgl. Art. 5 Abs. 2, Art. 7 Abs. 1 DSGVO).

  1. Vgl. Bayerischer Verwaltungsgerichtshof, Beschluss vom 10. März 2009, 7 CE 08.3022, BeckRS 2010, 45074, Rn. 24. [Zurück]
  2. Vgl. nur Europäischer Gerichtshof, Urteil vom 9. Januar 2015, C-394/23, Rn. 49, wonach „die Voraussetzung der Erforderlichkeit der Datenverarbeitung gemeinsam mit dem Grundsatz der Datenminimierung zu prüfen ist“. [Zurück]
  3. Vgl. Bundesverwaltungsgericht, Urteil vom 26. Januar 1978, 2 C 66/73, BeckRS 1978, 108552. [Zurück]
  4. Vgl. Landtags-Drucksache 12/13988, S. 19. [Zurück]
  5. Vgl. Reich, in: Reich, Beamtenstatusgesetz, 4. Aufl. 2025, § 50 Rn. 3. [Zurück]
  6. Vgl. Landtags-Drucksache 12/13988, S. 19. [Zurück]
  7. Vgl. zum Folgenden auch Bayerischer Landesbeauftragter für den Datenschutz, Die Einwilligung nach der Datenschutz-Grundverordnung, Orientierungshilfe, Stand 9/2021, insbesondere Rn. 48 ff., 91 ff. und 117 ff., Internet: https://www.datenschutz-bayern.de, Rubrik „Infothek“. [Zurück]
  8. Vgl. Bayerisches Oberstes Landesgericht, Beschluss vom 6. August 2020, 1 VA 33/20, BeckRS 2020, 18859, Rn. 60. [Zurück]
  9. Vgl. zu Einzelheiten, Bayerischer Landesbeauftragter für den Datenschutz, Wann ist eine natürliche Person identifizierbar?, Aktuelle Kurz-Information 53, Stand 1/2024, Internet: https://www.datenschutz-bayern.de, Rubrik „Infothek“. [Zurück]
  10. Vgl. hierzu eingehend Bayerischer Landesbeauftragter für den Datenschutz, Risikoanalyse und Datenschutz-Folgenabschätzung – Systematik, Anforderungen, Beispiele, Stand 5/2022, Internet: https://www.datenschutz-bayern.de, Rubrik „DSFA“. [Zurück]
  11. Landtags-Drucksache 17/19628, S. 36. [Zurück]
  12. Vgl. Pahlen, in: Neumann/Pahlen/Greiner/Winkler/Westphal/Krohne, Sozialgesetzbuch IX, 15. Aufl. 2024, § 178 Rn. 13. [Zurück]
  13. Vgl. hierzu ausführlich Bayerischer Landesbeauftragter für den Datenschutz, Der Personalrat – Verantwortlicher im Sinne des Datenschutzrechts?, Aktuelle Kurz-Information 23, Internet: https://www.datenschutz-bayern.de, Rubrik „Infothek“ [Zurück]
  14. Der Leitfaden ist im Bayerischen Behördennetz von der Seite des Bayerischen Staatsministeriums der Finanzen und für Heimat abrufbar. [Zurück]
  15. Vgl. Karb, in: Conze/Karb/Reidel/Hahn/Krellig, Personalbuch Arbeits- und Tarifrecht öffentlicher Dienst, 8. Aufl. 2024, Präventionsverfahren Rn. 3. [Zurück]