Bitte den Datenschutz nicht vergessen!

Nach dem Inkrafttreten der Datenschutzgrundverordnung (DSGVO) vor drei Jahren war die Verunsicherung groß: Welche Anforderungen gelten künftig für die Datenerhebung und Datenspeicherung und was ist bei den Informations- und Einwilligungspflichten zu beachten? Die Aufregung hat sich mittlerweile gelegt. Dennoch sollte der Datenschutz in Unternehmen und Behörden nicht vernachlässigt werden. Dies gilt auch für die öffentlich-rechtlichen Entsorgungsträger (örE), die große Datensätze der Gebührenpflichtigen verwalten. Die Landesdatenschutzbeauftragten haben auch zunehmend ein „waches Auge“ und die Privatpersonen achten stärker auf die Verwendung ihrer Daten. Thema war dies beim diesjährigen Info-Seminar von [GGSC] am 10.06.2021.


Voller Zugriff auf den Tagesanzeiger – Registrieren Sie sich jetzt kostenlos!

Um den vollständigen Artikel im Tagesanzeiger zu lesen, melden Sie sich bitte in Ihrem Themennetzwerke®-Konto an. Die Registrierung bei Themennetzwerke® ist kostenlos und ermöglicht Ihnen den vollständigen Zugang zum Tagesanzeiger und vielem mehr.

Falls Sie den Tagesanzeiger bereits auf kommunalwirtschaft.eu abonniert hatten und davor keinen Themennetzwerke® Account registriert hatten, dann klicken Sie auf den folgenden Link, um Ihr Passwort zu Ihrer bereits registrierten E-Mail-Adresse hinzuzufügen: Passwort für kommunalwirtschaft.eu Abonnenten hinzufügen

Jetzt einloggen Kostenlos registrieren

Personenbezogene Daten und deren Verarbeitung

Es ist wichtig, sich vor Augen zu führen, dass der von der DSGVO geschützte Datenverarbeitungsprozess sehr umfassend ist. Dies betrifft nicht nur die Datenerhebung (z.B. bei der Datenabfrage beim Zuzug von Personen in das Entsorgungsgebiet), sondern reicht über die Art der Speicherung und Übermittlung von Daten (z.B. an Drittbeauftragte der örE oder an die Systembetreiber) bis hin zu deren Löschung. Die DSGVO fokussiert dabei auf die personenbezogenen Daten. Das sind alle Daten, mit denen eine natürliche Person identifiziert werden kann. Klassisch sind der Name und die Anschrift, aber auch die Füllstände von Abfallbehältern oder die Abfallzusammensetzung, wenn diese Informationen einer Hausnummer

und den dort lebenden Personen zugeordnet werden können. Dies sollte beachtet werden, wenn verstärkt sog. Smart-Bins eingesetzt werden.

Zulässigkeit der Datenverarbeitung

Die DSGVO nennt insgesamt sechs Gründe, weshalb personenbezogene Daten überhaupt verarbeitet werden dürfen. Ein Grund ist die Wahrnehmung hoheitlicher Aufgaben. Davon dürften fast alle Tätigkeiten des örE erfasst sein, die die überlassungspflichtigen Abfälle betreffen, d.h. vor allem die Datenerhebung bei den Gebührenpflichtigen, die Speicherung von Adress- und Kontodaten sowie die Datennutzung für die Abfallberatung. Allerdings sollte stets im Einzelfall kritisch überprüft werden, ob der konkrete Vorgang noch dem hoheitlichen Bereich oder nicht schon anderen Bereichen zugeordnet werden kann. Grenzfragen in der Praxis sind oft das zulässige Maß der Datenweitergabe an Systembetreiber oder auch die Datenerfassung bei der Annahme gewerblicher Abfällen.

Wichtige Grundsätze nach DSGVO

In Zeiten der zunehmenden Datenflut ist ebenso wichtig, die Grundsätze für die Datenverarbeitung zu beachten. Allen voran muss jeder Verarbeitungsvorgang mit einem legitimen Zweck unterlegt sein. Des Weiteren sind unbedingt die Löschfristen einzuhalten. Die DSGVO beschränkt sich darauf, vorzuschreiben, dass Daten zu löschen sind, wenn es für deren Aufbewahrung keinen Zweck mehr gibt. Damit wird verhindert, dass Datenarchive über Jahre entstehen, ohne dass klar ist, weshalb bestimmte Daten vorgehalten werden. Konkrete Löschfristen ergeben sich ansonsten z.B. aus der Abgabenordnung oder anderen landesrechtlichen Vorschriften.

Außerdem sollte der Datensicherheit Aufmerksamkeit geschenkt werden. Datenverarbeitende Stellen, d.h. der örE, sind verpflichtet, die gespeicherten Daten so gut wie möglich vor Angriffen von außen und vor Missbrauch zu schützen. Cyberkriminalität nimmt gerade auch gegen öffentliche Stellen zu, sodass die IT auf dem Stand der Technik sein sollte.

DSGVO-konforme Durchführung von Vergabeverfahren

Führt ein örE die Entsorgungsleistungen nicht selbst durch, sondern überträgt die Durchführung auf private Entsorgungsunternehmen, ist der Datenschutz auch in dem vorgelagerten Vergabeverfahren zu beachten. Insbesondere sind die Vergabeunterlagen DSGVO-konform auszugestalten. Das beinhaltet v.a. eine Datenschutzerklärung.

Umfasst die zu vergebene Leistung selbst die Verarbeitung personenbezogener Daten Dritter durch den Auftragnehmer, hat der örE mit dem Auftragnehmer einen Auftragsverarbeitungsvertrag für den Leistungszeitraum abzuschließen. Das wäre bspw. der Fall bei der Beauftragung zum Aufstellen neuer Abfalltonnen und zur Abfallsammlung: Für die Leistungserbringung müsste der örE dem Auftragnehmer personenbezogene Daten der Überlassungspflichtigen übermitteln.

Auf den Einzelfall kommt es an

Ansonsten lassen sich viele Fragen im Datenschutz oft nur anhand des konkreten Einzelfalls beantworten. Das betrifft bspw. die Praxisfragen, wann IBAN-Daten unverschlüsselt übermittelt werden dürfen, welchen Regelungen ggf. in einer Satzung zu treffen sind oder wie mit Auskunftsersuchen von Privatpersonen umzugehen ist, die über die Verarbeitung ihrer Daten informiert werden müssen.

[GGSC] berät öffentlich-rechtliche Entsorgungsträger und kommunale Entsorgungsunternehmen regelmäßig auch in Fragen des Datenschutzrechts.

Link zur Homepage: www.ggsc.de 

Gaßner, Groth, Siederer & Coll. [GGSC]