Kredit
2. Kontrollzuständigkeit des Hessischen Datenschutzbeauftragten
Allgemeines:
Die Datenschutzkontrolle des öffentlichen Bereichs ist nicht auf die öffentlich-rechtliche Organisationsform, sondern auf die Aufgabenstellung der Daten verarbeitenden Stellen bezogen. Sie umfasst alle Stellen, die bei ihrer Aufgabenerfüllung öffentlich-rechtlichen Bindungen unterliegen.
Die einleitend angedeuteten Entwicklungen namentlich bei der Erfüllung staatlicher Aufgaben sowie im Staatsorganisationsrecht bieten Anlass für wenige klarstellende Bemerkungen zur Aufgabenstellung und Kontrollzuständigkeit des Hessischen Datenschutzbeauftragten.
Öffentlicher Bereich
Gemäß § 24 Abs. 1 Satz 1 HDSG überwacht der Hessische Datenschutzbeauftragte die Einhaltung der datenschutzrechtlichen Vorschriften bei den Daten verarbeitenden Stellen. Daten verarbeitende Stelle ist jede Behörde und sonstige öffentliche Stelle des Landes, der Gemeinden und Landkreise sowie der sonstigen der Aufsicht des Landes unterstehenden juristischen Personen des öffentlichen Rechts und deren Vereinigungen ungeachtet ihrer Rechtsform, die Daten für sich selbst verarbeitet oder durch andere verarbeiten lässt (§ 2 Abs. 3 i. V. m. § 3 Abs. 1 Satz 1 HDSG). Erfasst werden auch nichtöffentliche Stellen, soweit sie hoheitliche Aufgaben unter Aufsicht der vorstehend aufgeführten Stellen wahrnehmen.
§ 2 Abs. 3 HDSG Daten verarbeitende Stelle ist jede der in § 3 Abs. 1 genannten Stellen, die Daten für sich selbst verarbeitet oder durch andere verarbeiten lässt.
§ 3 Abs. 1 HDSG
Dieses Gesetz gilt für Behörden und sonstige öffentliche Stellen des Landes, der Gemeinden und Landkreise sowie der sonstigen der Aufsicht des Landes unterstehenden juristischen Personen des öffentlichen Rechts und für deren Vereinigungen ungeachtet ihrer Rechtsform. Dieses Gesetz gilt auch für nicht-öffentliche Stellen, soweit sie hoheitliche Aufgaben unter Aufsicht der in Satz 1 genannten Stellen wahrnehmen.
Die komplementäre Regelung findet sich in § 2 Abs. 4 BDSG. § 2 Abs. 4 BDSG Nicht-öffentliche Stellen sind natürliche und juristische Personen, Gesellschaften und andere Personenvereinigungen des privaten Rechts, soweit sie nicht unter die Absätze 1 bis 3 fallen. Nimmt eine nicht-öffentliche Stelle hoheitliche Aufgaben der öffentlichen Verwaltung wahr, ist sie insoweit öffentliche Stelle im Sinne dieses Gesetzes.
Nach § 2 Abs. 3 BDSG gelten Vereinigungen des privaten Rechts von öffentlichen Stellen des Bundes und der Länder, die Aufgaben der öffentlichen Verwaltung wahrnehmen, ungeachtet der Beteiligung nicht-öffentlicher Stellen als öffentliche Stellen des jeweiligen Landes, wenn sie entweder nicht über den Bereich des Landes hinaus tätig werden oder dem Bund nicht die absolute Mehrheit der Anteile oder Stimmen zusteht.
§ 2 Abs. 3 BDSG Vereinigungen des privaten Rechts von öffentlichen Stellen des Bundes und der Länder, die Aufgaben der öffentlichen Verwaltung wahrnehmen, gelten ungeachtet der Beteiligung nicht-öffentlicher Stellen als öffentliche Stellen des Bundes, wenn
1. sie über den Bereich eines Landes hinaus tätig werden oder
2. dem Bund die absolute Mehrheit der Anteile gehört oder die absolute Mehrheit der Stimmen zusteht.
Andernfalls gelten sie als öffentliche Stellen der Länder.
Bei der Auftragsdatenverarbeitung für öffentliche Stellen durch nicht-öffentliche Stellen haben sich diese der Kontrolle des Hessischen Datenschutzbeauftragten zu unterwerfen (§ 4 Abs. 3 Satz 1 i. V. m. § 24 Abs. 1 Satz 4 HDSG).
§ 4 Abs. 3 Satz 1 HDSG
Sofern die Vorschriften dieses Gesetzes auf den Auftragnehmer keine Anwendung finden, ist der Auftraggeber verpflichtet, vertraglich sicherzustellen, dass der Auftragnehmer die Bestimmungen dieses Gesetzes befolgt und sich der Kontrolle des Hessischen Datenschutzbeauftragten unterwirft.
Die Gesamtschau dieser Bestimmungen ergibt, dass die Datenschutzkontrolle des öffentlichen Bereichs nicht auf die öffentlich-rechtliche Organisationsform, sondern auf die Aufgabenstellung der Daten verarbeitenden Stellen bezogen ist. Erfasst werden alle Stellen, die bei ihrer Aufgabenerfüllung öffentlich-rechtlichen Bindungen unterliegen. Das sind zum einen alle Stellen, die hoheitliche Aufgaben im engeren Sinne wahrnehmen. Handelt es sich um Personen des privaten Rechts, müssen diese ohnehin mit Hoheitsgewalt beliehen werden, so dass sie dann als Behörden nach § 1 Abs. 2 HVwVfG handeln.
§ 1 Abs. 2 HVwVfG Behörde im Sinne dieses Gesetzes ist jede Stelle, die Aufgaben der öffentlichen Verwaltung wahrnimmt.
Zum öffentlichen Bereich zählen daher ferner Tätigkeiten zur Erfüllung des öffentlichen Daseinsvorsorgeauftrags.
Die Zuordnung der Daseinsvorsorgeaufgaben zum öffentlichen Bereich folgt nicht nur aus einfachem Recht, sondern ist auch verfassungsrechtlich geboten. Das Grundgesetz und die Hessische Verfassung haben sich für den Staat als Organisationsform des sozialen Zusammenlebens entschieden. Die Selbstqualifizierung der Bundesrepublik Deutschland als sozialer Rechtsstaat zwingt dazu, hieraus die gebotenen verfassungsrechtlichen Konsequenzen zu ziehen. Der Staat wird im Innenverhältnis durch seine Zwecke und Aufgaben definiert. Hierbei gibt es Aufgaben, die der Staat selbst erfüllen muss, und Aufgaben, deren Erfüllung er jedenfalls zu ermöglichen und zu gewährleisten hat. So mögen Versorgungs-, Transport-, Kommunikations- und Entsorgungsnetze dank privater Initiative entstehen. Zwangsweise durchsetzen können Private solche Netze nicht. Sie sind darauf angewiesen, dass der Staat in ihrem Interesse enteignet, weil sie auf die Mitbenutzung fremden Eigentums angewiesen sind. Eine Enteignung ist dann aber nur zum Wohl der Allgemeinheit zulässig. Wo obendrein Private generell nicht in der Lage sind, eine flächendeckende Infrastruktur aufzubauen und dem Markt zu öffnen, besteht eine entsprechende unmittelbare Einstandspflicht des Staats. Der Staat bzw. die kommunalen und sonstigen Selbstverwaltungskörperschaften müssen kraft Verfassungsauftrags Aufgabenträger der Daseinsvorsorge sein. Das bedeutet freilich nur, dass der Staat die Leistungsaufgaben der Daseinsvorsorge nicht dem freien Spiel der Kräfte überlassen darf. Für die Daseinsvorsorge gelten öffentlich-rechtliche Grundsätze. Öffentlich-rechtlich sind nicht nur die Regelungen, die das hoheitlichobrigkeitliche Verwaltungshandeln betreffen. Öffentlich-rechtlich sind vielmehr die Regelungen, die den Interessen des Staates und der Allgemeinheit dienen, während privatrechtlich die Regelungen sind, die das Verhalten Privater in deren eigener Interessensphäre betreffen. Da vielfach eine kongruente Interessenlage besteht, sind Überschneidungen nicht ausgeschlossen. Auch eine unternehmerische Betätigung kommt bei der Daseinsvorsorge in Betracht. Erforderlich ist dann aber, dass sich im Wettbewerb eine ausreichende Erfüllung der Daseinsvorsorgeaufgabe sicherstellen lässt. Auch bei den „wirtschaftlichen Leistungen im öffentlichen Interesse" nach Art. 16 des Vertrags zur Gründung der Europäischen Gemeinschaft (EG) ist der Wettbewerb nur Mittel der optimalen Leistungserbringung und nicht Selbstzweck. Das Vorliegen einer Daseinsvorsorgeaufgabe hat somit die rechtliche Konsequenz, dass die Aufgabe dem öffentlichen Bereich zuzuordnen ist.
Dieses Verständnis der „Daseinsvorsorge" liegt der Rechtsprechung namentlich des Bundesverfassungsgerichts zugrunde (vgl. BVerfG-Urteil vom 10. Dezember 1974 2 BvK 1/73; 2 BvR 902/73, BVerfGE 38, 258 (270 f.); Beschluss vom 7. Juni 1977 1 BvR 108, 424/73 und 226/4, BVerfGE 45, 63 (78); Beschluss vom 20. März 1984 1 BvL 26/82 BVerfGE 66, 248 (258); Beschluss vom 14. April 1987 1 BvR 775/84, BVerfGE 75,192 (199f.); Kammerbeschluss vom 23. September 1994 2 BvR 1547/85, NVwZ 1995, 370; Kammerbeschluss vom 7. Januar 1999 2 BvR 927/97, NVwZ 1999, 520; Kammerbeschluss vom18. Februar 1999 1 BvR 1367/88, 146 und 147/91, NVwZ 1999, 1103). Gegen den Rechtsbegriff der Daseinsvorsorge wird zwar gelegentlich eingewandt, er sei zu unbestimmt. Darin liegt aber gerade seine Stärke, denn auf diese Weise ist er in der Lage, mit der technischen und sozialen Entwicklung Schritt zu halten. Im Übrigen lassen sich die Anwendungsfelder der Daseinsvorsorge an Hand einer reichhaltigen judiziellen Kasuistik induktiv abstecken.
Erfasst werden Bereiche der Versorgungswirtschaft (Ver- und Entsorgung), des Verkehrswesens (Infrastruktur, Verkehrswirtschaft), des Rundfunks („Grundversorgung"), der Telekommunikation („Universaldienste") und des Kreditwesens ferner Bildungs-, Sozial-, Gesundheits-, Kultur- und Freizeiteinrichtungen.
Gerichte
Die Kontrollbefugnis des Hessischen Datenschutzbeauftragten erstreckt sich nicht funktionell auf die Recht sprechende Gewalt, die allein den Richtern zusteht (Art. 92 GG). Die Gerichte unterliegen jedoch der Kontrolle des Hessischen Datenschutzbeauftragten, soweit sie nicht in richterlicher Unabhängigkeit tätig werden (§ 24 Abs. 1 Satz 3 HDSG).
Kontrolle der Kontrolleure?
Die Aufsicht über den nicht-öffentlichen Bereich obliegt dem Regierungspräsidium, das seinerseits der Fachaufsicht des Hessischen Ministeriums des Innern und für Sport untersteht. Eine Kontrollzuständigkeit des Hessischen Datenschutzbeauftragten im Hinblick auf die Datenschutzaufsicht durch die für nicht-öffentliche Stellen zuständigen Aufsichtsbehörden besteht nicht. Mit diesen Behörden hat der Hessische Datenschutzbeauftragte indessen zusammenzuarbeiten (§ 24 Abs. 3 HDSG). Zum Zwecke der Zusammenarbeit kann er auch von diesen Aufsichtsbehörden Auskünfte verlangen (§ 24 Abs. 4 Satz 1 HDSG). Als unabhängige oberste Landesbehörde hat der Hessische Datenschutzbeauftragte darüber hinaus darauf zu achten, dass die der parlamentarischen Kontrolle unterliegenden Staatsorgane, ihre datenschutzrechtliche Aufgaben nach Gesetz und Recht wahrnehmen (vgl. § 24 HDSG). Eine derartige mittelbare Kontrolle des nicht-öffentlichen Bereichs wird freilich nur in Extremfällen in Betracht kommen, die der Gefährdung des verfassungsmäßigen Staatsgefüges vergleichbar sind, auf die der Hessische Datenschutzbeauftragte gemäß § 24 Abs. 2 Satz 2 HDSG ohnehin zu achten hat.
§ 24 HDSG
(1) Der Hessische Datenschutzbeauftragte überwacht die Einhaltung der Vorschriften dieses Gesetzes sowie anderer Vorschriften über den Datenschutz bei den datenverarbeitenden Stellen. Zu diesem Zwecke kann er Empfehlungen zur Verbesserung des Datenschutzes geben; insbesondere kann er die Landesregierung und einzelne Minister sowie die übrigen datenverarbeitenden Stellen in Fragen des Datenschutzes beraten. Die Gerichte unterliegen der Kontrolle des Hessischen Datenschutzbeauftragten, soweit sie nicht in richterlicher Unabhängigkeit tätig werden. Der Hessische Datenschutzbeauftragte kontrolliert die Einhaltung der Datenschutzvorschriften auch bei den Stellen, die sich und soweit sie sich nach § 4 Abs. 3 Satz 1 seiner Kontrolle unterworfen haben.
(2) Der Hessische Datenschutzbeauftragte beobachtet die Auswirkungen der automatisierten Datenverarbeitung auf die Arbeitsweise und die Entscheidungsbefugnisse der datenverarbeitenden Stellen. Er hat insbesondere darauf zu achten, ob sie zu einer Verschiebung in der Gewaltenteilung zwischen den Verfassungsorganen des Landes, zwischen den Organen der kommunalen Selbstverwaltung und zwischen der staatlichen und der kommunalen Selbstverwaltung führen. Er soll Maßnahmen anregen, die ihm geeignet erscheinen, derartige Auswirkungen zu verhindern.
(3) Der Hessische Datenschutzbeauftragte arbeitet mit den Behörden und sonstigen Stellen, die für die Kontrolle der Einhaltung der Vorschriften über den Datenschutz im Bund und in den Ländern zuständig sind, zusammen.
(4) Zum Zwecke der Zusammenarbeit kann der Hessische Datenschutzbeauftragte von den nach den Vorschriften des Bundesdatenschutzgesetzes in Hessen für nicht-öffentliche Stellen zuständigen Aufsichtsbehörden Auskünfte verlangen. Bei der Überprüfung nicht-öffentlicher Stellen kann er mit seiner Zustimmung beteiligt werden. Gibt er der zuständigen Aufsichtsbehörde Verstöße gegen Datenschutzvorschriften bei nicht-öffentlichen Stellen bekannt, unterrichtet ihn die Aufsichtsbehörde von Zeitpunkt, Umfang und Ergebnis der Überprüfung.
Fraport AG
Soweit die Fraport AG Aufgaben der öffentlichen Daseinsvorsorge wahrnimmt, ist sie öffentliche Stelle nach dem Hessischen Datenschutzgesetz und unterliegt meiner Kontrolle.
Die Fraport AG wird in wesentlichen Teilen auf dem Gebiet der Daseinsvorsorge tätig und unterliegt insoweit der Kontrolle des Hessischen Datenschutzbeauftragten. Die gegenteilige Ansicht, von der uns das Hessischen Ministerium des Inneren und für Sport mit Schreiben vom 28. Dezember 2004 „nach eingehender Prüfung der Sach- und Rechtslage", jedoch ohne nähere Begründung nachrichtlich in Kenntnis gesetzt hat, halte ich für unzutreffend. Die Fraport AG ist zwar auch ein nicht-öffentliches Unternehmen, das sich in verschiedenen Bereichen ausschließlich marktorientiert betätigt. In diesem Zusammenhang untersteht es der Datenschutzaufsicht des Regierungspräsidiums Darmstadt. Der Frankfurter Flughafen ist jedoch in erster Linie Flughafen und nicht Shopping Center. Angesichts des Flugplatzzwangs lässt sich der Gemeingebrauch am Luftraum nur durch Nutzung von Verkehrsflugplätzen verwirklichen. Verkehrsflughäfen sind damit unverzichtbarer Bestandteil der Verkehrsinfrastruktur. Alle Tätigkeiten, die in unmittelbarem Zusammenhang mit der Planung, Errichtung, Erweiterung und dem Betrieb von Verkehrsflughäfen stehen, erfolgen in Erfüllung einer öffentlichen Aufgabe. In der Startbahn-West-Entscheidung vom 7. Juli 1978 (BVerwG 4 C 79.76 u. a., BVerwGE 56,110) ging das Bundesverwaltungsgericht ebenfalls davon aus, dass die Errichtung und der Betrieb von Verkehrsflughäfen eine unternehmerische Betätigung ist.
Es qualifizierte Verkehrsflughäfen gleichwohl als Einrichtungen, mit denen öffentliche Zwecke verfolgt werden, zu deren Gunsten somit eine gemeinnützige Planung betrieben werden kann. Da der Fraport AG Eingriffe in entgegenstehende Rechte Dritter zugebilligt werden, ist für deren planfeststellungsbedürftige Vorhaben eine Planrechtfertigung erforderlich. Planungsrechtlich erfüllt die Fraport AG als Vorhabenträger eine öffentliche Aufgabe. Es wäre inkonsequent, die öffentliche Aufgabenerfüllung der Fraport AG planungs- und datenschutzrechtlich unterschiedlich zu behandeln.