Datenschutz im Landkreis Hildesheim/Meldung von Verstößen gegen Rechtsbereiche

Landkreis Hildesheim
Herrn Landrat Bernd Lynack
Marie-Wagenknecht-Str. 3
31134 Hildesheim

 

Hildesheim, 16.05.2024

  

Datenschutz im Landkreis Hildesheim/Meldung von Verstößen gegen Rechtsbereiche
Anfrage gem. § 56 NKomVG

 

Sehr geehrter Herr Landrat Lynack,

mit Schreiben vom 23.02.2024 (Anlage 1) hatten wir an Sie gem. § 56 NKomVG um Beantwortung folgender Frage gebeten:

Gab es in den vergangenen zwölf Monaten innerhalb der Kreisverwaltung Meldungen oder Offenlegungen von Informationen über Verstöße a) gegen Rechtsbereiche im Sinne des Artikel 2 Abs. 1 Buchstabe a) der RICHTLINIE (EU) 2019/1937 vom 23. 10.2019 oder b) im Sinne des § 2 Hinweisgeberschutzgesetz (HinSchG), die in den Zuständigkeitsbereich des Landkreises fallen? Wenn ja, wann und an wen wegen Verletzung welcher Vorschriften?

Haben in den vergangenen zwölf Monaten innerhalb der Kreisverwaltung zureichende tatsächliche Anhaltspunkte vorgelegen, die den Verdacht des Verstoßes gegen ein Schutzgesetz begründen? Wenn ja, wann und wegen Verletzung welcher Gesetze?

Haben in den vergangenen zwölf Monaten zureichende tatsächliche Anhaltspunkte vorgelegen, die den Verdacht eines Dienstvergehens rechtfertigten? Wenn ja, wann und wegen Verletzung welcher Vorschriften haben Sie über die Einleitung oder Einstellung a) sog. „Vorermittlungen“ und b) eines Disziplinarverfahrens entschieden?“

Auf diese Anfrage ist uns in Ihrem Auftrag am 07.03.2024 (siehe Anlage 2) „Fehlanzeige“ gemeldet worden. Im Gegensatz dazu ist uns auf unsere Anfrage vom 13.03.2024 (Anlage 3) in Ihrem Auftrag am 04.04.2024 (siehe Anlage 4) u. a. mitgeteilt worden, dass es in den Jahren 2021 bis 2023 elf datenschutzrechtliche Vorfälle gab, wovon drei der Landesdatenschutzbeauftragten gemeldet werden mussten.

Und ebenfalls im Gegensatz zu Ihrer Antwort vom 07.03.2024 ist uns auf unsere Anfrage vom 09.04.2024 (Anlage 5) in Ihrem Auftrag am 26.04.2024 (Anlage 6) u. a. folgendes mitgeteilt worden:

  1. Die Landesdatenschutzbeauftragte habe in zwei Fällen eine Verwarnung ausgesprochen, weil im Gesundheitsamt (im Dezember 2021 und Juli 2022) zum Nachteil von Bürgerinnen/Bürgern entgegen Art. 5 Abs. 1 Buchstabe f DSGVO Daten nicht in einer Weise verarbeitet worden seien, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“).
  2. Die Landesbeauftragte habe noch nicht zu dem Fall reagiert, in dem zum Nachteil Beschäftigter im August 2023 entgegen Art. 5 Abs. 1 Buchstabe a DSGVO Daten nicht auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet worden seien („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“).

Daraus ergibt sich, dass es in den zwölf Monaten vor unserer Anfrage vom 23.02.2024 Meldungen oder Offenlegungen von Informationen über Verstöße a) gegen Rechtsbereiche im Sinne des Artikel 2 Abs. 1 Buchstabe a) der RICHTLINIE (EU) 2019/1937 oder b) im Sinne des § 2 Hinweisgeberschutzgesetz (HinSchG) gab und auch zureichende tatsächliche Anhaltspunkte vorgelegen haben, die den Verdacht des Verstoßes gegen ein Schutzgesetz (hier das Datenschutzgesetz) begründet haben.

Also ist mit der Antwort „Fehlanzeige“ unsere Anfrage vom 23.02.2024 nicht wahrheitsgemäß und auch nicht vollständig beantwortet worden. Denn durch den Verstoß gegen das Datenschutzgesetz (im August 2023) wurde in dem abgefragten Zeitraum gegen ein Schutzgesetz verstoßen. Zu diesem bei der Landesdatenschutzbeauftragten angezeigten Verstoß vom August 2023, der Ihnen zum Zeitpunkt der Anfrage (Ende Februar 2024) vermutlich seit sechs Monaten bekannt war, haben Sie am 07.03.2024 nicht die Frage beantwortet, wann und wegen Verletzung welcher Vorschriften Sie über die Einleitung oder Einstellung a) sog. „Vorermittlungen“ und b) eines Disziplinarverfahrens entschieden haben.

Aus den zuvor genannten Gründen bitten wir Sie um Beantwortung folgender Fragen:

  1. Wann und in welcher Form ist a) Ihnen und b) Ihrer allgemeinen Stellvertreterin die o. a. Antwort vom 07.03.2024 c) vor Abgang und d) nach Abgang vorgelegt worden?
  2. Welche Regelungen haben Sie wann getroffen, dass Antworten auf Anfragen nach § 56 NKomVG a) Ihnen oder b) Ihrer allgemeinen Stellvertreterin zur Unterzeichnung oder
    c) vor Abgang oder d) nach Abgang vorgelegt werden müssen?
  3. 29 DSGVO bestimmt:

„Der Auftragsverarbeiter und jede dem Verantwortlichen oder dem Auftragsverarbeiter unterstellte Person, die Zugang zu personenbezogenen Daten hat, dürfen diese Daten ausschließlich auf Weisung des Verantwortlichen verarbeiten, es sei denn, dass sie nach dem Unionsrecht oder dem Recht der Mitgliedstaaten zur Verarbeitung verpflichtet sind.“

Wann und in welcher Form sind Sie von welchen Personen a) erstmalig und b) wiederholt über welchen der elf datenschutzrechtlichen Vorfälle informiert worden? Welche Personen waren in welchen Fällen für die Einhaltung der Vorschriften des Art. 5 Abs. 1 verantwortlich und musste und müssen deren Einhaltung nachweisen können („Rechenschaftspflicht“)? Welche Personen haben oder hatten in welchen der elf Fälle als Verantwortliche über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten zu entscheiden?

Wem wird oder wurde seit wann und von wem vorgeworfen, in welchen der elf Fällen gegen Art. 5 Abs. 1 DSGVO oder § 59 NDSG oder welche anderen Datenschutzvorschriften verstoßen zu haben? Welche Betroffenen haben Anspruch auf Schadenersatz und welche Personen haben für welches Verhalten in welchem der elf Fälle gem. Art. 82 DSGVO zu haften oder aus welchen Gründen nicht zu haften?

  1. Wann wurden in welchen der elf Fälle welche Verletzungen des Schutzes personenbezogener Daten vom wem festgestellt, wann welchem Verantwortlichen bekannt und wann gem. Art. 33 DSGVO von welchen Verantwortlichen „unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde“, der zuständigen Aufsichtsbehörde in welcher Form gemeldet? Wann wurden in welchen der elf Fälle die betroffene Person/betroffenen Personen von welchen Verantwortlichen wie benachrichtigt (siehe
    33, 34 und 4 Nr. 12 DS-GVO)?
  2. Von wem wurden zu welchem der elf Fälle wann und für wen Vermerke, Berichte oder Stellungnahmen gefertigt und mit welchen Ergebnissen Ermittlungen, Untersuchungen usw. auch wegen Dienstpflichtverletzungen durchgeführt und dokumentiert? Welche Beweismittel wurden von wem und wann gesichert oder aus welchen Gründen bisher nicht gesichert?
  3. Von wem sind gem. Art. 30 DSGVO in welchem Verzeichnis die Verarbeitungstätigkeiten in den o. a. elf Fällen dokumentiert worden und wo überprüfbar hinterlegt?
  4. Wer hat wann und aus welchen Gründen entschieden, welche der elf Vorfälle der Landesdatenschutzbeauftragte zu berichten oder nicht zu berichten sind?
  5. Wann und in welcher Form wurden welche Beamten oder Beschäftigten des Landkreises, der Datenschutzbeauftragte des Landkreises, die Datenschutzkoordinatorin und Landesdatenschutzbeauftragte von wem über den Verdacht eines Verstoßes gegen die DSGVO oder § 59 NDSG informiert? Was wurde daraufhin wann und von wem, insbesondere von Ihnen, dem Datenschutzbeauftragten des Landkreises, der Datenschutzkoordinatorin und der Landesdatenschutzbeauftragte unternommen?

Wessen Rechte welcher betroffenen Personen im Sinne der DSGVO, die sich aus dem Datenschutz ergeben, wurden in den o.a. elf Fällen wann und durch welche konkrete Tätigkeit verletzt und welche Daten wurden dabei von wem in welcher Form verarbeitet: z. B. ausgelesen oder sonst verwendet? Welche betroffenen Personen haben wann Auskunft über die konkret verarbeiteten Daten (z. B. ausgelesen oder sonst verwendet) erhalten oder verlangt und von wem die Auskunft darüber erhalten oder aus welchen Gründen nicht oder nur unvollständig erhalten?

  1. Ein innerhalb des Dienstes begangener Verstoß gegen Art. 5 Abs. 1 DSGVO oder andere Datenschutzvorschriften begründet grundsätzlich auch eine Dienstpflichtverletzung mit der Folge, dass Maßnahmen hinsichtlich eines Disziplinarverfahrens einzuleiten sind. Welche Maßnahmen sind von Ihnen dazu insbesondere hinsichtlich der an die Landesdatenschutzbeauftragte gemeldeten Verstöße wann getroffen oder angeordnet oder aus welchen Gründen unterlassen worden? In diesem Zusammenhang ist darauf hinzuweisen, dass ein Disziplinarverfahren dann nicht einzuleiten ist, wenn feststeht, dass eine Disziplinarmaßnahme nicht angezeigt erscheint. Dazu heißt es jedoch in der Gesetzesbegründung (LT-Drs.: 15/1130 vom 17.06.2015) zum Niedersächsischen Disziplinargesetz (NDiszG): „Diese Umstände müssen allerdings von vornherein eindeutig feststehen … Sofern jedoch letzte Zweifel vorhanden sind, ist die Einleitung eines Disziplinarverfahrens geboten, welches, wenn sich das Vorliegen der vorgenannten Gründe nachträglich bestätigen sollte, gemäß § 32 Abs. 1 Nrn. 2 bis 4 einzustellen ist.“
  2. Welche konkreten technischen und organisatorischen Maßnahmen haben Sie oder welche anderen verantwortlichen Stellen wann getroffen oder angeordnet, damit welche Verletzungen des Schutzes personenbezogener Daten (siehe oben) zukünftig vereitelt oder erschwert werden bzw. um mögliche Verletzungen des Schutzes personenbezogener Daten zu vermeiden?
  3. 24 DSGVO bestimmt:

„Der Verantwortliche setzt unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen um, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß dieser Verordnung erfolgt. Diese Maßnahmen werden erforderlichenfalls überprüft und aktualisiert.“

Wer war in welchen der elf Fälle (siehe oben) der Verantwortliche oder wer waren die Verantwortlichen, sofern es gem. Art. 26 DSGVO für die Verarbeitung der in den o. a. elf Fällen relevanten Daten zwei oder mehr Verantwortliche gab? Welche Vereinbarungen nach Art. 26 DSGVO, insbesondere was die Wahrnehmung der Rechte der betroffenen Person angeht, sind für die Verwaltung des Landkreises bisher wann geschlossen worden und derzeit gültig?

  1. Wer hat aus welchen Gründen die o. a. Verweise der Landesdatenschutzbeauftragten mit welchen Maßgaben oder welcher Begründung wann erhalten?
  2. Aus welchen Gründen ist Ihre Antwort vom 26.04.2024 (siehe oben) nicht im öffentlichen Teil des Kreistagsinformationssystems einsehbar?

Begründung:

1. Das Ziel der DSGVO besteht darin, einen wirksamen Schutz der Grundfreiheiten und Grundrechte natürlicher Personen und insbesondere ein hohes Schutzniveau für das Recht jeder Person auf Schutz der sie betreffenden personenbezogenen Daten zu gewährleisten (siehe EuGH, Urteil vom 5.12.2023 – C-807/21).

Nach Art. 4 Ziffer 7 DSGVO ist derjenige Verantwortlicher, der über die Mittel

und den Zweck der Verarbeitungen von Daten entscheidet. Folglich tragen Sie als Hauptverwaltungsbeamter persönlich entscheidende Verantwortung für die Datensicherheit in der Kreisverwaltung. Dies betrifft die in der DSGVO geforderten präventiven und repressiven Maßnahmen. Daher sind Verletzungen des Schutzes personenbezogener Daten im Interesse der Betroffenen und zum Erhalt des Vertrauens in die öffentliche Verwaltung auch gegenüber den Abgeordneten vollständig aufzuklären.

 

Zu den Verantwortlichen hat der EuGH in dem o.a. Urteil entschieden: „Deren Verantwortung und Haftung erstreckt sich nach den Ausführungen im 74. Erwgr. der DS-GVO auf jedwede Verarbeitung personenbezogener Daten, die durch sie oder in ihrem Namen erfolgt. In diesem Rahmen müssen sie nicht nur geeignete und wirksame Maßnahmen treffen, sondern sie müssen auch nachweisen können, dass ihre Verarbeitungstätigkeiten im Einklang mit der DS-GVO stehen und die Maßnahmen, die sie ergriffen haben, um diesen Einklang sicherzustellen, auch wirksam sind. Diese Haftung ist es, die bei einem der in Art. 83 IV–VI DS-GVO genannten Verstöße die Grundlage dafür bildet, nach Art. 83 DS-GVO eine Geldbuße gegen den Verantwortlichen zu verhängen.“

 

Aus den zuvor genannten Gründen bedarf die Sache der weiteren Aufklärung.

2. Ergänzend zum Fragerecht der Abgeordneten und der Antwortpflicht des Hauptverwaltungsbeamten nach § 56 NKomVG bestimmt § 18 Abs. der Geschäftsordnung des Kreistages und seiner Ausschüsse:

„Die Anfragen werden von dem Landrat innerhalb von 3 Wochen schriftlich oder durch ein elektronisches Dokument beantwortet. Die anderen Fraktionen und Gruppen und die fraktionslosen Kreistagsmitglieder erhalten eine Kopie der Antwort. Ist eine Beantwortung innerhalb von 3 Wochen nicht möglich, ist eine kurze Zwischenmitteilung mit entsprechender Begründung zu erteilen …“

Welche Rechte sich aus § 56 Satz 2 NKomVG auch für Kreistagsabgeordnete ergeben, hat das Nds. OVG in seinem Urteil vom 4.3.2014 – 10 LB 93/13 – verdeutlicht. Es hat klargestellt, dass sich das „Auskunftsrecht gegen den … Hauptverwaltungsbeamten richtet und, dass sie oder er persönlich auskunftspflichtig ist und daher selbst Rede und Antwort stehen muss. Die Informationserteilung im Wege der Auskunft erfolgt in Form eines Dialogs (Frage und Antwort).“  Und weiter: „Das Auskunftsrecht … ist – wie der Informationsanspruch von Abgeordneten gegenüber der Landesregierung … – Ausfluss der Mitgliedschaft im (Kommunal-)Parlament, dem im demokratischen Rechtsstaat vor allem die Aufgabe zukommt, an der Gesetzgebung mitzuwirken und die Kontrolle über die Exekutive auszuüben.“ Diese Rechte, auf die das Gericht verweist, ergeben sich aus Artikel 24 unserer Landesverfassung, die bestimmt: „Anfragen von Mitgliedern des Landtages hat die Landesregierung im Landtag und in seinen Ausschüssen nach bestem Wissen unverzüglich und vollständig zu beantworten.“

3. Die Antwort auf unsere Anfrage vom 23.02.2024 erfolgte zwar innerhalb der Frist
von 3 Wochen, aber nicht wahrheitsgemäß und nicht vollständig. Damit wurden unser Fragerecht und Ihre Antwortpflicht aus § 56 NKomVG verletzt und wir an der Ausübung unserer Abgeordnetenrechte behindert.

Erst aufgrund weiterer Anfragen (vom 13.03 und 09.04.2024) haben Sie uns über wiederholte Verstöße gegen das Datenschutzrecht informiert, dies aber auch nur unvollständig (siehe Ihre Antworten vom 04.04. und 26.04.2024).

Die Verletzung unseres Fragerechts und Ihrer Antwortpflicht stehen im völligen Gegensatz zur Bedeutung dieser Rechte und Pflichten für unser demokratisches System und sind nicht unbeanstandet hinzunehmen.

Das LVerfG Mecklenburg-Vorpommern hat betont (Urteil v. vom 23.01.2014 – 8/13): “Das Fragerecht, das in einem unlösbaren Zusammenhang mit dem Demokratieprinzip und dem Grundsatz der Gewaltenteilung steht, gehört zu den grundlegenden Rechten des Abgeordneten.“ Und der VerfGH Sachen hat u. a. entschieden (Urteil vom 28.07.2017 – Vf. 115-I-16): „Mit dem Frage- und Informationsrecht korrespondiert grundsätzlich eine Antwortpflicht …, die nicht nur gegenüber dem Fragesteller, sondern gegenüber allen Abgeordneten und in der Öffentlichkeit hin angelegt ist.“ Und das VG Braunschweig (Urteil vom 25.04.2013 – 1 A 225/12) hat zum „Verfassungsrang des Auskunftsrechts“ u. a. festgestellt: Dem Abgeordneten erwachse „aus seinem Status ein Recht darauf, dass ihm diejenigen Informationen nicht vorenthalten werden, die ihm eine sachverständige Beurteilung ermöglichen… Daher darf nicht der zu kontrollierende Hauptverwaltungsbeamte dem zur Kontrolle berufenen Rat Regeln und Voraussetzungen für das Auskunftsrecht vorgeben … Vielmehr bedürfen Abgeordnete einer umfassenden Information, um ihren Aufgaben genügen zu können; dies gilt insbesondere für parlamentarische Minderheiten.“

Mit freundlichen Grüßen

 Friedhelm Prior
Fraktionsvorsitzender

Andreas Koschorrek
Sprecher der CDU-Kreistagsfraktion
für Finanzen, Personel, Digitalisierung und Innere Dienste

2024_05_16_Anlagen zu Anfrage zum Datenschutz

Die Kommentarfunktion ist geschlossen.