Gem. RdErl. d. MI, d. StK u. d. übr. Min. v. 26. 6. 2002 - 44.22-05419/2 -

Vom 26. Juni 2002 (Nds. MBl. S. 640)

- VORIS 20600 -

Bezug:

Gem. RdErl. v. 23. 6. 1994 (Nds. MBl. S. 1147), geändert durch Gem. RdErl. v. 11. 5. 1998 (Nds. MBl. S. 920)
- VORIS 20600 02 00 00 001 -

1.1
Neben den öffentlichen Stellen im engeren Sinne findet das NDSG auch Anwendung auf Vereinigungen des Landes, der Gemeinden und Landkreise sowie der sonstigen der Aufsicht des Landes unterstehenden juristischen Personen des öffentlichen Rechts, die privatrechtlich (z.B. als eingetragener Verein oder GmbH) organisiert sind (vgl. § 2 Abs. 2 des Bundesdatenschutzgesetzes [BDSG] ). Um eine Vereinigung in diesem Sinne handelt es sich allerdings nur, wenn sie von mehreren der in § 2 Abs. 1 Satz 1 Nrn. 1 bis 3 genannten Stellen gebildet wird. Eine nur vom Land oder einer Gemeinde gegründete Gesellschaft unterliegt nicht dem NDSG, sondern den Bestimmungen des BDSG, die für nicht öffentliche Stellen gelten. Dies gilt auch für Vereinigungen, an denen sowohl öffentliche Stellen als auch nicht öffentliche Stellen (natürliche Personen oder juristische Personen des privaten Rechts) beteiligt sind.

1.2
Die in § 2 Abs. 3 genannten wirtschaftlichen Unternehmen und sonstigen Einrichtungen, die überwiegend wirtschaftliche Aufgaben wahrnehmen bzw. am Wettbewerb teilnehmen, werden hinsichtlich der materiellen Datenschutzregelungen weitgehend wie private Stellen behandelt und unterliegen, soweit personenbezogene Daten in Ausübung ihrer wirtschaftlichen Tätigkeit verarbeitet werden, den Vorschriften des BDSG für nicht öffentliche Stellen. Hierzu zählen die Eigenbetriebe gemäß § 108 Abs. 2 Nr. 1 NGO (z.B. Verkehrs- und Versorgungsbetriebe) und die öffentlichen Einrichtungen, die entsprechend den Vorschriften über die Eigenbetriebe geführt werden. Krankenhäuser in öffentlich-rechtlicher Trägerschaft gehören unabhängig von ihrer Zuordnung nach § 116a Abs. 2 Satz 2 NGO zu den Einrichtungen i.S. des § 2 Abs. 3 Satz 1 Nr. 1, die am Wettbewerb teilnehmen. Dies gilt jedoch nicht, soweit Krankenhäuser hoheitliche Aufgaben (z.B. im Rahmen von Zwangseinweisungen) wahrnehmen.

Soweit Hochschulkliniken der Patientenversorgung dienen, gehören sie zu den Einrichtungen, die am Wettbewerb teilnehmen. Gleiches gilt für die Erbringung von Leistungen gewerblicher Art (z.B. Laboruntersuchungen und gutachterliche Stellungnahmen). Hinsichtlich der übrigen von ihnen wahrzunehmenden Aufgaben, z.B. Lehre und Forschung, unterliegen sie uneingeschränkt den Regelungen des NDSG.

Für die Verarbeitung personenbezogener Daten der Beschäftigten dieser Stellen ist ebenso wie bei den öffentlichen Stellen nach § 2 Abs. 1 Satz 1 das NDSG i.V.m. den bereichsspezifischen datenschutzrechtlichen Regelungen in den §§ 101 bis 101h i.V.m. § 261 Abs. 1 Nr. 2 NBG anwendbar, da sie nicht unmittelbar wirtschaftlichen Zwecken dient und die Daten damit nicht in Ausübung wirtschaftlicher Tätigkeit verarbeitet werden. Auch die Aufsichtsbefugnisse der oder des Landesbeauftragten für den Datenschutz ergeben sich uneingeschränkt aus dem NDSG.

1.3
Für öffentlich-rechtliche Kreditinstitute und Versicherungsanstalten sowie deren Vereinigungen enthält § 2 Abs. 4 eine spezielle Regelung. Auf diese Stellen findet abweichend von § 2 Abs. 3 nur § 24 i.d.F. vom 17.6.1993 als bereichsspezifische Regelung für die Datenverarbeitung personenbezogener Daten bei Dienst- und Arbeitsverhältnissen Anwendung.

1.4
§ 2 Abs. 7 enthält eine klarstellende Regelung für das Verhältnis des NDSG zum Nds. VwVfG. Die in § 1 Abs. 1 Satz 1 Nds. VwVfG i.V.m. § 24 VwVfG enthaltenen Regelungen über Art und Umfang der Ermittlungen und die Regelungen in § 1 Abs. 1 Satz 1 Nds. VwVfG i.V.m. § 26 VwVfG über die zugelassenen Beweismittel (insbesondere Einholung von Auskünften und Anhörung von Beteiligten, Zeugen sowie Beiziehung von Urkunden und Akten) werden durch die Regelungen des NDSG verdrängt, soweit personenbezogene Daten erhoben werden sollen. Auch eine Übermittlung personenbezogener Daten im Wege der Amtshilfe ist nur im Rahmen der einschränkenden Bestimmungen des NDSG, insbesondere über die Zweckbindung (§ 11 Abs. 1 i.V.m. § 10 Abs. 2), zulässig (vgl. § 5 Abs. 2 Nr. 1 VwVfG).

Die in § 29 VwVfG geregelte Akteneinsicht der Verfahrensbeteiligten besteht dagegen neben dem Recht auf Auskunft und Einsicht in Akten nach § 16. Dies gilt auch, soweit Verfahrensbeteiligte im Rahmen einer Akteneinsicht nach § 29 VwVfG personenbezogene Daten Dritter zur Kenntnis erhalten (vgl. § 13 Abs. 1 Satz 1 Nr. 2). Bereichsspezifische und damit dem NDSG vorgehende Regelungen sind insbesondere in den Bestimmungen im VwVfG über Planfeststellungsverfahren (Teil V) enthalten, soweit diese Regelungen die Verarbeitung personenbezogener Daten zwingend voraussetzen, z.B. durch die in § 74 Abs. 4 VwVfG vorgeschriebene Zustellung und öffentliche Auslegung des Planfeststellungsbeschlusses. Einschränkungen für die Zulässigkeit der damit verbundenen Datenübermittlung ergeben sich allerdings im Einzelfall aus dem Verhältnismäßigkeitsgrundsatz (vgl. Beschluss des Bundesverfassungsgerichts vom 24.7.1990 - BvR 1244/87 -, DVBl. S. 1041). Auch unter Berücksichtigung des in Massenverfahren besonders gewichtigen Gesichtspunktes der Verwaltungspraktikabilität muss danach geprüft werden, inwieweit eine ordnungsgemäße Begründung des Planfeststellungsbeschlusses notwendig voraussetzt, dass die inhaltliche Auseinandersetzung mit den geltend gemachten Einwendungen personenbezogen erfolgt und mit der Begründung veröffentlicht wird.

2.1
Das NDSG geht von einem umfassenden Begriff der Datenverarbeitung aus. § 3 Abs. 2 umfasst daher auch jede aktenmäßige Verarbeitungsform.

Bei der Weitergabe von Daten innerhalb einer Behörde im organisatorischen Sinne handelt es sich nicht um ein Übermitteln, das nach § 3 Abs. 2 Satz 2 Nr. 4 eine Bekanntgabe an Dritte voraussetzt, sondern um ein Nutzen personenbezogener Daten. Die Zulässigkeit der behördeninternen Datenweitergabe richtet sich nach § 11 Abs. 4.

2.2
Die Pflichten des NDSG treffen die für die Datenverarbeitung verantwortliche Stelle. Da im öffentlichen Bereich die Daten verarbeitende Stelle in der Regel auch die für die Datenverarbeitung verantwortliche Stelle ist, hat der Gesetzgeber von einer Anpassung an den Wortlaut der EG-Datenschutzrichtlinie abgesehen. Die Daten verarbeitende Stelle bleibt auch bei der Beauftragung anderer Behörden und externer Dienstleister für die Einhaltung der datenschutzrechtlichen Bestimmungen während der von ihr veranlassten Verarbeitungen verantwortlich.

2.3
Das novellierte NDSG verzichtet auf die Verwendung des Dateibegriffs. Sowohl die Begriffsbestimmung der automatisierten wie der nicht automatisierten Datei entfällt. An die Stelle der Dateibeschreibung ist die Verfahrensbeschreibung getreten. Da automatisierte Dateien nur mit Hilfe von automatisierten Verarbeitungen erzeugt oder ausgewertet werden können, sind sie stets als Bestandteil einer automatisierten Verarbeitung anzusehen. Soweit in bereichsspezifischen Regelungen der Begriff der automatisierten Datei verwendet wird, finden demzufolge darauf ergänzend die Bestimmungen für die automatisierte Verarbeitung Anwendung.

3.1
Soweit die Datenverarbeitung auf eine Rechtsgrundlage gestützt werden kann, widerspricht es den Zielen des NDSG, wenn von Betroffenen eine Einwilligungserklärung eingeholt wird.

3.2.
Eine wirksame Einwilligung setzt voraus, dass insbesondere der Zweck der Verarbeitung und beabsichtigten Übermittlungen Bestandteil der Einwilligungserklärung sind. Der Umfang der Ermächtigung zur Datenverarbeitung ergibt sich in diesen Fällen grundsätzlich aus den Festlegungen in der Einwilligungserklärung. Ausnahmen hiervon sind lediglich die aus überwiegendem Allgemeininteresse vorgesehenen speziellen Vorschriften über die zweckdurchbrechende Verarbeitung erhobener oder gespeicherter Daten (§ 10).

Die Verarbeitung personenbezogener Daten nach § 4 Abs. 2 Satz 2 setzt eine bereichsspezifische gesetzliche Ermächtigung oder eine Einwilligung voraus, in der ausdrücklich die zu verarbeitenden Kategorien von Daten nach § 4 Abs. 2 Satz 2 genannt werden.

4.1
Soweit personenbezogene Daten im Rahmen der Wartung oder Fernwartung von Datenverarbeitungssystemen zwingend genutzt werden müssen, ist dies als Datenverarbeitung im Auftrag i.S. des § 6 zulässig. Ob weitergehende Schutzvorschriften (z.B. § 203 des Strafgesetzbuches [StGB]) berührt sind, ist gesondert zu prüfen.

4.2
Lässt eine öffentliche Stelle des Landes personenbezogene Daten im Auftrag von einer Stelle außerhalb des Landes Niedersachsen verarbeiten, so hat der Auftraggeber die zuständige Datenschutzkontrollbehörde zu unterrichten. Handelt es sich bei dem Auftragnehmer um eine öffentliche Stelle eines anderen Landes oder des Bundes, so ist zuständige Datenschutzkontrollbehörde die oder der jeweilige Landesdatenschutzbeauftragte bzw. die oder der Bundesbeauftragte für den Datenschutz. Handelt es sich bei dem Auftragnehmer um eine nicht öffentliche Stelle, ist die nach § 38 BDSG zuständige Aufsichtsbehörde zu unterrichten.

Im Rahmen der vertraglichen Verpflichtung nicht öffentlicher Stellen als Auftragnehmer, jederzeitige vom Auftraggeber veranlasste Kontrollen zu ermöglichen, ist auch das Prüfungsrecht der oder des Landesbeauftragten für den Datenschutz zu gewährleisten. In jedem Fall haben sich die Auftraggeber von der Beachtung der Regelungen des § 7 und der Einhaltung der erteilten Weisungen zu vergewissern.