Die eigenen Rechte stärken: Datenschutz und Transparenz in der Verwaltung (Rheinland-Pfalz)

Datenschutz und Transparenz sind tragende Säulen einer modernen und bürgernahen Verwaltung. In Rheinland-Pfalz spielt der Landesbeauftragte für den Datenschutz und die Informationsfreiheit (LfDI) eine zentrale Rolle, um die Einhaltung dieser Grundsätze zu gewährleisten und sowohl Bürgern als auch Verwaltungen Orientierung zu bieten. Dieser Artikel fasst wichtige Informationen zusammen und zeigt Wege auf, wie die eigenen Rechte wahrgenommen werden können.

Sobald personenbezogene Daten im Rahmen öffentlicher Aufgaben verarbeitet werden, gilt die DSGVO – uneingeschränkt, unabhängig von Gemeindegröße, technischer Ausstattung oder gewachsenen Verwaltungsstrukturen.

Datenschutz in der kommunalen Kommunikation: Was gilt für wen?

Die Datenschutz-Grundverordnung (DSGVO) bildet das Fundament des europäischen Datenschutzrechts und gilt uneingeschränkt auch für Kommunen und deren Mandatsträger. Dies schließt nicht nur hauptamtliche, sondern auch ehrenamtlich tätige kommunale Mandatsträger ein. Selbst wenn diese in Ausübung ihres öffentlichen Amtes personenbezogene Daten über private oder nicht kommunal verwaltete E-Mail-Adressen verarbeiten, müssen die Vorgaben der DSGVO beachtet werden.

Der LfDI betont, dass die Wahl eines bestimmten E-Mail-Providers (wie Gmail oder web.de) oder die Nutzung einer privaten Adresse für dienstliche Korrespondenz nicht per se datenschutzwidrig ist. Entscheidend ist ob dabei personenbezogene Daten im Sinne der DSGVO verarbeitet werden.

Kommunen sind nicht grundsätzlich verpflichtet, ihren Amtsträgern zentrale, dienstliche E-Mail-Adressen bereitzustellen, um die Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO oder angemessene technische und organisatorische Maßnahmen nach Art. 32 DSGVO zu erfüllen. Es liegt vielmehr in der Verantwortung der Behörde, die Dokumentation von Verwaltungshandeln und politischen Entscheidungen sicherzustellen, unter Beachtung der Gewährleistungsziele des Art. 5 DSGVO wie Verfügbarkeit und Integrität der Daten.

Social Media und Gremienarbeit: Wo sind die Grenzen?

Die Nutzung von Plattformen wie WhatsApp oder Facebook für dienstliche Kommunikation in Kommunen ist datenschutzrechtlich komplex. Der LfDI verweist hier auf die Themenseite zu Social Media des LfDI. Dort sind weitere Informationen zu den Herausforderungen im Hinblick auf Zugriffsmöglichkeiten der Betreiber, fehlende revisionssichere Archivierung und die Kontrollmöglichkeiten der Kommune zu finden.

Werden in der kommunalen Praxis geschlossene Facebook-Gruppen oder Messenger-Dienste genutzt, an denen nicht alle Ratsmitglieder beteiligt sind, kann dies die demokratische Gleichbehandlung und die Beteiligungsrechte nicht eingebundener Mandatsträger beeinträchtigen. Dies ist jedoch keine datenschutzrechtliche Frage, sondern betrifft kommunalrechtliche Aspekte. Aus datenschutzrechtlicher Sicht ergeben sich die Transparenz- und Dokumentationspflichten für die Verarbeitung personenbezogener Daten aus den Art. 12 ff. DSGVO.

Datenübergabe und Archivierung beim Amtswechsel: Was geschieht mit den Daten?

Beim Wechsel im Bürgermeisteramt oder einer Systemmigration (z.B. neuer IT-Dienstleister) sind Maßnahmen zur lückenlosen, fälschungssicheren und DSGVO-konformen Archivierung von dienstlichen E-Mails und digitalen Datenbeständen zwingend sicherzustellen. Die Dokumentation von Verwaltungshandeln und politischen Entscheidungen ist Aufgabe der zuständigen Behörde. Dies muss unter Beachtung der Gewährleistungsziele des Art. 5 DSGVO wie Verfügbarkeit und Integrität der Daten erfolgen.

Ein häufiges Spannungsfeld besteht zwischen dem Recht auf Löschung (Art. 17 DSGVO) und der gesetzlichen Archivierungspflicht im kommunalen Bereich. Hier stellt der LfDI klar: Das Recht auf Löschung besteht nicht, wenn die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung oder zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt, erforderlich ist. Dies ist der Fall, solange die Dokumentationspflicht der Verwaltung besteht.

Transparenzpflichten: Wann erhalten Bürger Informationen von ihrer Verwaltung?

Das Landestransparenzgesetz Rheinland-Pfalz (LTranspG) ist ein wichtiges Instrument, um Informationen von der Verwaltung zu erhalten.

  • E-Mail-Kommunikation von Mandatsträgern: Das LTranspG RLP (§ 2 Abs. 1) gewährt Anspruch auf Zugang zu amtlichen Informationen, die bei einer informationspflichtigen Stelle tatsächlich vorhanden sind. Private Kommunikationsmittel von Mandatsträgern zählen nicht automatisch zum behördlichen Informationsbestand, selbst wenn sie dienstliche Themen betreffen. Allerdings kann ein solches Vorgehen den Grundsätzen ordnungsgemäßer Aktenführung widersprechen.
  • Dienstliche Inhalte über private Kommunikationsmittel, die bei der Verwaltung vorliegen: Werden dienstliche Inhalte über private Kommunikationsmittel (z.B. WhatsApp, private E-Mail) zwischen kommunalen Mandatsträgern und der Verwaltung übermittelt und liegen diese Informationen bei der Verwaltung vor, unterliegen sie grundsätzlich der Offenlegungspflicht nach dem LTranspG, sofern es sich um amtliche Informationen oder Umweltinformationen handelt und keine gesetzlichen Ausnahmetatbestände vorliegen.

Wichtig ist insbesondere, ob die Information bei der Behörde vorhanden ist – dann greift das LTranspG. Ansonsten gelten die Grundsätze ordnungsgemäßer Aktenführung und datenschutzrechtliche Pflichten.

Unabhängig von der Transparenzpflicht nach dem LTranspG muss auch die DSGVO beachtet werden:

  • Werden personenbezogene Daten über private Kommunikationsmittel (z.B. WhatsApp, private E-Mail) verarbeitet, kann dies gegen Art. 5 Abs. 1 DSGVO (Zweckbindung, Integrität, Vertraulichkeit) verstoßen.
  • Eine ordnungsgemäße Aktenführung (Aktenklarheit, Aktenwahrheit) verlangt, dienstlich relevante Informationen in behördliche Dokumentationssysteme zu überführen.

Verträge mit externen Dritten

Verträge zwischen Kommunen und externen Dritten (z.B. bei Infrastrukturprojekten) sind nach dem LTranspG grundsätzlich vollständig offenzulegen, es sei denn, es liegen gesetzliche Ausschlusstatbestände vor. Dazu gehören der Schutz von Betriebs- oder Geschäftsgeheimnissen, überwiegende schutzwürdige Interessen Dritter, Rechte am geistigen Eigentum oder die Offenbarung personenbezogener Daten. Die transparenzpflichtige Stelle muss im Einzelfall eine Abwägung zwischen dem Informationsinteresse und dem Geheimhaltungsinteresse vornehmen.

Die Rolle der Bürger: Aufsicht, Prävention und Meldung von Verstößen

Der LfDI in Rheinland-Pfalz ist die zuständige Aufsichtsbehörde bei Verstößen rheinland-pfälzischer Kommunen gegen die DSGVO oder das Landesdatenschutzgesetz (LDSG).

  • Informationspflichten des LfDI: Der LfDI informiert Kommunen in Rheinland-Pfalz aktiv und systematisch über Datenschutzrisiken im Zusammenhang mit digitaler Kommunikation. Dies erfolgt über Pressemitteilungen, Newsletter, die Internetseite des Landesbeauftragten, Rundschreiben und Informationsveranstaltungen sowie Netzwerktreffen für behördliche Datenschutzbeauftragte und den jährlichen „Datenschutztag Hessen & Rheinland-Pfalz“.
  • Melden von Datenschutzverstößen: Bei Verdacht auf datenschutzwidriges Verhalten öffentlicher Stellen in Rheinland-Pfalz kann man sich mit einer Beschwerde oder einem Hinweis an den LfDI wenden. Der LfDI stellt hierfür entsprechende Online-Formulare bereit auf der Themenseite des LfDI zu Online-Services. Er kann auch von Amts wegen aufsichtsbehördlich tätig werden.
  • Konsequenzen bei Verstößen: Mögliche Konsequenzen bei Datenschutzverstößen ergeben sich aus der DSGVO und dem LDSG (insbesondere Art. 58 DSGVO bzw. § 17 LDSG). Ein Praxisbeispiel ist die unzulässige Veröffentlichung personenbezogener Daten von Bürgern im Internet, die im Regelfall zu einer förmlichen Beanstandung führt. Eine generelle Zertifizierung oder ein Verfahren zur Überprüfung von Kommunen zur Vermeidung zukünftiger Verstöße gibt es nicht; die Maßnahmen sind einzelfallabhängig.
  • Anforderungen an externe Dienstleister: Wenn Kommunen externe Dienstleister beauftragen, die personenbezogene Daten verarbeiten, müssen diese ebenfalls alle datenschutzrechtlichen Bestimmungen, insbesondere die Vorschriften der Art. 28 ff. DSGVO zur Auftragsverarbeitung, einhalten. Eine Überprüfung durch den LfDI erfolgt in der Regel nur in Einzelfällen bei Hinweisen auf Verstöße.
  • Meldung von Datenschutzverletzungen (Datenpannen): Kommunen müssen Datenschutzverletzungen gemäß Art. 33 DSGVO melden. Die Form ist nicht explizit geregelt, aber der LfDI empfiehlt die Nutzung seines Meldeformulars für Datenpannen. Dabei sind die Fristen und Verfahren des Art. 33 DSGVO zu beachten.

Das Recht auf Information und Schutz: So wird man aktiv

Bürgern stehen wichtige Rechte zu, um den Umgang der Verwaltung mit Daten und Informationen zu kontrollieren und gegebenenfalls einzugreifen.

  1. Auskunftsanspruch nach dem LTranspG: Grundsätzlich besteht ein Auskunftsanspruch auf amtliche Informationen, die bei der Verwaltung vorliegen, sofern keine Ablehnungsgründe vorliegen. Informationen dazu sind auf der Themenseite des LfDI zu Informationsfreiheit zu finden.
  2. Beschwerde bei Datenschutzverstößen: Bei Verdacht auf Datenschutzverstöße durch Kommunen in Rheinland-Pfalz kann man sich direkt an den Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI) wenden. Die entsprechenden Beschwerdeformulare sind verfügbar.
  3. Sich informieren: Der LfDI stellt umfassende Informationen auf seiner Internetseite bereit. Diese Quellen können genutzt werden, um sich über aktuelle Themen, Fallbeispiele und die eigenen Rechte zu informieren.
  4. Der Datenschutzbeauftragte der Kommune: Jede Kommune muss einen Datenschutzbeauftragten benennen. Es genügt, dessen Kontaktdaten (z.B. eine nicht personenbezogene E-Mail-Adresse) öffentlich bekannt zu machen, zum Beispiel im Amtsblatt. Ortsgemeinden können den behördlichen Datenschutzbeauftragten der Verbandsgemeindeverwaltung nutzen. Bei Fragen zum Datenschutz in der Kommune ist der Datenschutzbeauftragte der erste Ansprechpartner. Zusätzliche Informationen zu behördlichen Datenschutzbeauftragten sind auf der Themenseite des LfDI zu finden.

Fazit: Der Schutz personenbezogener Daten und das Recht auf Transparenz sind in Rheinland-Pfalz durch die DSGVO und das Landestransparenzgesetz umfassend geregelt. Der LfDI ist der Ansprechpartner und eine wichtige Instanz, um diese Rechte zu wahren. Es ist empfehlenswert, die eigenen Rechte aktiv wahrzunehmen und die bereitgestellten Informations- und Beschwerdewege zu nutzen.

Hinweis: Dieser Beitrag beruht auf den offiziellen Auskünften des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz. Er dient der sachlichen Information über die Rechtslage und ersetzt keine individuelle Rechtsberatung.