rehm-verlag
  Online-Produkte öffnen

Newsübersicht < Newsbeitrag

Vermeidbare Datenschutzverstöße im Meldewesen

Nahezu jeder Tätigkeitsbericht einer Datenschutzaufsichtsbehörde bietet Beispiele für Datenschutzverstöße im Meldewesen, die leicht zu vermeiden wären. Manchmal wird es allerdings auch kompliziert. Dieser Newsletter greift einige Fälle auf, die von allgemeinem Interesse sind.

Jetzt bewerten!

Vermeidbare Datenschutzverstöße im Meldewesen

  1. Unzulässige Nutzung behördeninterner Auskunftssysteme
    1.1 Sachverhalt
    1.2 Rechtliche Bewertung
    1.3 Ergänzende Hinweise
  2. Wahlauskünfte über nicht wahlberechtigte Personen
    2.1 Sachverhalt
    2.2 Rechtliche Bewertung
    2.3 Ergänzende Hinweise
  3. Berechtigtes Interesse bei einer erweiterten Melderegisterauskunft
    3.1 Sachverhalt
    3.2 Rechtliche Bewertung
    3.3 Ergänzende Hinweise
  4. Rechtliche Konsequenzen von Datenschutzverstößen
    4.1 Pflicht zur Meldung von Datenschutzverletzungen an die Datenschutzaufsicht
    4.2 Maßnahmen der Datenschutzaufsicht
    4.3 Rechtliche Schritte betroffener Personen

1. Unzulässige Nutzung behördeninterner Auskunftssysteme

1.1 Sachverhalt

Jemand spricht bei einer Meldebehörde persönlich vor und beantragt eine einfache Melderegisterauskunft (§ 44 Abs. 1 Bundesmeldegesetz – BMG) über eine Person. Der Antragsteller nennt den Familiennamen, den Vornamen, das Geburtsdatum und eine frühere Anschrift dieser Person. Er weist mehrfach darauf hin, die Sache sei außergewöhnlich dringend. Es gehe um größere finanzielle Forderungen gegen die gesuchte Person. Die Verjährung dieser Forderungen stehe unmittelbar bevor.

Die Sachbearbeiterin stellt fest: Eine Person mit diesen Daten ist im Melderegister nicht enthalten. Der Sachbearbeiterin ist klar: Mit der neutralen Antwort (siehe Nr. 44.1.3.3 Abs. 3 Verwaltungsvorschrift zum Bundesmeldegesetz – BMG-VwV), die sie jetzt geben müsste, wird der Antragsteller voraussichtlich nicht zufrieden sein. Deshalb gibt sie die Daten der gesuchten Person auch noch in das Behördeninformationssystem ein, das in Ihrem Bundesland zur Verfügung steht (zum Beispiel in Bayern BayBIS - Bayerisches Behördeninformationssystem, in Nordrhein-Westfalen MpB – Meldeportal für Behörden NRW oder in Thüringen Thüringer Beauskunftungssystem).

Dort ist die gesuchte Person tatsächlich mit einer aktuellen Anschrift zu finden. Diese Anschrift ist im Melderegister der Meldebehörde, bei der der Antragsteller gerade vorspricht, nicht enthalten, und zwar weder als Rückmeldeadresse noch als weitere Wohnung an einem anderen Ort. Die Sachbearbeiterin erteilt dem Antragsteller gleichwohl eine Auskunft über diese Anschrift. Der Antragsteller entrichtet gerne die für eine einfache Melderegisterauskunft vorgesehene Gebühr und geht zufrieden seiner Wege.

Ehmann / Stark

Deutsches Staatsangehörigkeitsrecht online

Vorschriftensammlung mit Überblick zum Staatsangehörigkeitsrecht

Jahrespreis‎ 78,00 €
Online-Produkt
Jetzt bestellen
Deutsches Staatsangehörigkeitsrecht online

1.2 Rechtliche Bewertung

Die Recherche der Meldebehörde im Behördeninformationssystem war nicht zulässig. Sie hätte für diesen Zweck nicht durchgeführt werden dürfen. Das ergibt sich aus folgenden Überlegungen:

  • Eine Melderegisterauskunft darf die Meldebehörde nur aus dem eigenen örtlichen Melderegister erteilen. Nur auf dieses Melderegister bezieht sich die gesetzliche Aufgabe der Meldebehörde, Melderegisterauskünfte zu erteilen (siehe § 2 Abs. 1 BMG).

  • Davon zu unterscheiden sind Abfragen der Meldebehörde über das Behördeninformationssystem ihres Bundeslandes. Für sie gelten die gesetzlichen Vorgaben für die Abfrage von Meldedaten durch Meldebehörden als öffentliche Stellen (§ 34 Abs. 1 BMG i. V. m. § 34 Abs. 2 Nr. 1 BMG). § 33 BMG, der Datenübermittlungen zwischen den Meldebehörden regelt, ist insoweit nicht einschlägig. Er betrifft andere Konstellationen, wie etwa die Durchführung von Rückmeldungen (siehe seine Absätze 1 und 2) sowie bestimmte Benachrichtigungen zwischen Meldebehörden bei Fortschreibungen (siehe seinen Absatz 3) und im Zusammenhang mit Auskunftssperren (siehe seinen Absatz 4).

  • Aus den Melderegistern andere Meldebehörden darf eine Meldebehörde Daten nur abrufen, „soweit dies zur Erfüllung einer öffentlichen Aufgabe erforderlich ist“, die in ihrer Zuständigkeit als Datenempfänger liegt (§ 34 Abs. 1 Einleitungssatz BMG).

  • Es gehört jedoch nicht zu den Aufgaben von Meldebehörden, für private Antragsteller Recherchen über Personen durchzuführen, die nicht im Zuständigkeitsbereich der Meldebehörde wohnen. Aufgabe einer Meldebehörde ist es lediglich, Personen zu registrieren, die in ihrem Zuständigkeitsbereich wohnhaft sind, um deren Wohnungen feststellen und nachweisen zu können (§ 2 Abs. 1 BMG).

Daraus folgt:

  • „War die Person, über die Auskunft begehrt wird, nie in der angefragten Gemeinde gemeldet, gehört die Beauskunftung über diese Person folglich nicht zu den öffentlichen Aufgaben der Gemeinde und der Datenabruf über BayBIS ist daher nicht erforderlich.

  • Selbst wenn die Person früher in der Gemeinde gewohnt hat, darf die Meldebehörde die neue Adresse ebenfalls nicht im zentralen Datenbestand recherchieren, da die Erteilung der Melderegisterauskunft nur aus dem örtlichen Melderegister erfolgt und darauf die öffentliche Aufgabe beschränkt ist.“

(Zitat aus: Bayerischer Landesbeauftragter für den Datenschutz, 32. Tätigkeitsbericht für das Jahr 2022, Nr. 6.2.3; der Bericht ist abrufbar unter https://ogy.de/muiq).

18469-HJR-Website2023-04-RZ-Newsletter.webp

Beste Antworten.

Newsletter Pass-, Ausweis- und Melderecht

Unsere Experten stehen im direkten Kontakt mit den Praktikern und berichten anschaulich über neue Änderungen und Lösungen zu wiederkehrenden Problemen aus dem Amts-Alltag. Außerdem erhalten Sie wertvolle Hinweise zu Veranstaltungen und neuen Produkten.

1.3 Ergänzende Hinweise

Da sich der Beispielsfall in Bayern ereignet hat, nimmt das Zitat Bezug auf das Bayerische Behördeninformationssystem BayBIS. Für die anderen Bundesländer gelten diese Ausführungen entsprechend. Dies ist auch dann der Fall, wenn – wie in Nordrhein-Westfalen - die Recherche nicht in einem zentralen Datenbestand erfolgt, sondern über ein Meldeportal, das auf die örtlichen Melderegister zugreift (siehe dazu § 11 Meldedatenübermittlungsverordnung NRW).

2. Wahlauskünfte über nicht wahlberechtigte Personen

2.1 Sachverhalt

Vor der Landtagswahl in Brandenburg im Jahr 2024 beantragte eine Partei bei einer Meldebehörde dieses Bundeslandes eine Melderegisterauskunft über die bei ihr gemeldeten Erstwählerinnen und Erstwähler. Das von der Meldebehörde verwendete EDV-System lässt die Auswahl dieser Personengruppe nur in der Form zu, dass als Auswahlkriterium die Einstellung des Geburtsdatums „von … bis“ erfolgt. Dabei wurde das Geburtsdatum versehentlich so gesetzt, dass an die Partei auch die Daten von etwa 1500 minderjährigen Personen übermittelt wurden, die noch gar nicht wahlberechtigt waren. Der Fehler war für die Partei nicht erkennbar, denn eine Mitteilung der Geburtsdaten an sie erfolgte nicht. Siehe dazu die entsprechende gesetzliche Vorgabe in § 50 Abs. 1 Satz 2 BMG.

Erst als die Partei die Daten bereits für die Wahlwerbung verwendet hatte, fiel der Fehler auf. Die Meldebehörde forderte die Partei auf, die dort noch gespeicherten Daten zu löschen. Dieser Aufforderung kam die Partei umgehend nach.

2.2 Rechtliche Bewertung

Die Einbeziehung von nicht wahlberechtigten Personen in die „Wahlauskunft“ stellt einen Verstoß gegen § 50 Abs. 1 BMG dar. Gemäß dieser Vorschrift darf an Parteien in Zusammenhang mit Wahlen nur Auskunft über „Gruppen von Wahlberechtigten“ erteilt werden. Wer wahlberechtigt ist, bestimmt sich nach den wahlrechtlichen Vorschriften, die für die jeweilige Wahl maßgeblich sind. Ein einheitliches Mindestalter für alle Wahlen gibt es nicht. So ist bei der Europawahl die Wahlberechtigung an die Vollendung des 16. Lebensjahres geknüpft (§ 6 Abs. 1 Nr. 1 Europawahlgesetz). Bei der Bundestagswahl ist stattdessen die Vollendung des 18. Lebensjahres erforderlich (§ 12 Abs. 1 Nr. 1 Bundeswahlgesetz). Die Wahlgesetze der Länder sehen unterschiedliche Altersgrenzen vor. Bei der Wahl für den Landtag in Brandenburg ist wahlberechtigt, wer am Wahltag das 16. Lebensjahr vollendet hat (§ 5 Abs. 1 Nr. 1 Brandenburgisches Landeswahlgesetz).

Schon diese je nach Wahl unterschiedlichen Altersgrenzen können dazu führen, dass es zu Fehlern bei einer „Wahlauskunft“ kommt. Im konkreten Fall war dies allerdings nicht die Ursache. Vielmehr wurde das für die Auswahl maßgebliche Geburtsdatum infolge eines Versehens schlicht falsch gesetzt. Daran, dass ein Verstoß gegen § 50 Abs. 1 BMG vorliegt, ändert dies allerdings nichts.

Der Beispielsfall ereignete sich in Brandenburg, siehe Landesbeauftragte für Datenschutz Brandenburg, Tätigkeitsbericht Datenschutz 2024, Nr. 7; der Bericht ist abrufbar unter https://ogy.de/eznf.

Einen im Wesentlichen gleichgelagerten Fall gab es jedoch auch Niedersachsen im Vorfeld der Europawahl 2024, siehe Landesbeauftragte für den Datenschutz Niedersachsen, Tätigkeitsbericht 2024, S. 115. Dieser Bericht ist abrufbar unter https://ogy.de/spfn. Das spricht dafür, dass die Bedienung der entsprechenden EDV-Systeme in der Praxis durchaus fehlerträchtig ist.

2.3 Ergänzende Hinweise

Wie sich die Gefahr solcher Fehler deutlich verringern lässt, ist dem bereits genannten Tätigkeitsbericht aus Brandenburg entnehmen. Demnach hat die betreffende Stadt der Landesbeauftragten für den Datenschutz mitgeteilt, „für die Zukunft das Vier-Augen-Prinzip bei der Selektion und dem Versand der Daten einführen zu wollen.“ Die Landesbeauftragte meint dazu: „Dies kann bei konsequenter Umsetzung ein wirksames Mittel sein, um solche Fehler zu vermeiden.“

3. Berechtigtes Interesse bei einer erweiterten Melderegisterauskunft

3.1 Sachverhalt

Ein Rechtsanwalt beantragte im Auftrag einer Mandantin eine erweiterte Melderegisterauskunft über einen Mann, der von dieser Mandantin eine Wohnung gemietet hat. Der Mann hatte die Miete für die Wohnung seit einiger Zeit nicht mehr bezahlt.

Gegenstand der erweiterten Melderegisterauskunft sollte die Wohnanschrift der Ehefrau des Mieters sein. Die Ehefrau lebte von ihrem Mann getrennt. Sie war nicht Vertragspartnerin des Mietvertrages.

Die Meldebehörde erteilte die Auskunft, weil sie der Auffassung war, der Rechtsanwalt habe für seine Mandantin ein berechtigtes Interesse an der erweiterten Melderegisterauskunft glaubhaft gemacht.

Kurze Zeit später erschienen mehrere Personen an der Wohnung der Ehefrau und verlangten von ihr, die rückständige Miete zu zahlen.

3.2 Rechtliche Bewertung

Ausgangspunkt ist die Regelung der erweiterten Melderegisterauskunft in § 45 BMG. Danach ist eine erweiterte Melderegisterauskunft unter anderem über die „Anschrift des Ehegatten“ denkbar (siehe § 45 Abs. 1 Nr. 8 BMG). Dies setzt allerdings voraus, dass die Person, die eine erweiterte Melderegisterauskunft erhalten soll, ein „berechtigtes Interesse“ glaubhaft macht. Als berechtigtes Interesse kommt auch ein wirtschaftliches Interesse in Betracht (Nr. 45 Abs. 1 Satz 1 BMG-VwV).

Dabei ist das berechtigte Interesse „für jedes einzelne Datum geltend zu machen, auf das sich die Auskunft erstrecken soll“ (so Nr. 45 Abs. 1 Satz 2 BMG-VwV). Der hier verwendete Begriff „Datum“ ist nicht im Sinn einer Terminangabe zu verstehen. Vielmehr handelt es sich bei ihm um die Einzahl (den Singular) des Begriffs „Daten“. Im konkreten Fall bedeutet dies, dass die Vermieterin, die den Rechtsanwalt beauftragt hat, ein berechtigtes Interesse daran glaubhaft machen muss, die Anschrift der Ehefrau ihres Mieters zu erhalten.

Bei näherem Hinsehen zeigt sich, dass sich die Vermieterin hier nicht auf ein derartiges berechtigtes Interesse berufen kann:

(1) Kein berechtigtes Interesse aufgrund des Mietvertrags

Wenn die Ehefrau, um deren Anschrift es geht, den Mietvertrag unterschrieben hätte, wäre sie als Vertragspartnerin der Vermieterin anzusehen. Daraus würde sich ein berechtigtes Interesse der Vermieterin ergeben. Denn die Ehefrau wäre dann aufgrund des Vertrages neben ihrem Ehemann zur Zahlung der Miete verpflichtet. Deshalb hätte die Vermieterin ein berechtigtes Interesse daran, im Rahmen einer erweiterten Melderegisterauskunft über ihren Mieter die Anschrift von dessen Ehefrau zu erfahren.

Vorliegend ist es allerdings so, dass die Ehefrau des Mieters gerade nicht Vertragspartnerin des Mietvertrages war. Deshalb sind die eben angestellten Überlegungen im konkreten Fall ohne Bedeutung.

(2) Kein berechtigtes Interesse aufgrund einer „Ehegattenhaftung“ gemäß BGB

Eine Haftung der Ehefrau kraft Gesetzes, also nicht aufgrund des Vertrages, könnte sich aus der Regelung über die „Ehegattenhaftung“ in § 1357 BGB ergeben. Diese Regelung lautet: „Jeder Ehegatte ist berechtigt, Geschäfte zur angemessenen Deckung des Lebensbedarfs der Familie mit Wirkung auch für den anderen Ehegatten zu besorgen. Durch solche Geschäfte werden beide Ehegatten berechtigt und verpflichtet, es sei denn, dass sich aus den Umständen etwas anderes ergibt.“

Aus dieser Regelung würde sich eine Haftung der Ehefrau für die Mietzahlungen ergeben, wenn das Anmieten der Wohnung durch den Ehemann als ein „Geschäft zur angemessenen Deckung des Lebensbedarfs der Familie“ anzusehen wäre. Davon könnte man ausgehen, wenn die Ehefrau ebenfalls in der Wohnung leben würde. Das ist jedoch gerade nicht der Fall, denn das Ehepaar lebt getrennt.

Zwar gibt es im Melderegister kein Merkmal „getrennt lebend“, sondern nur die Angabe des Familienstandes (§ 3 Abs. 1 Nr. 14 BMG) in Form eines der Schlüssel, die Blatt 1401 des Datensatzes für das Meldewesen (DSMeld) vorsieht. Beispiele sind die Schlüssel „VH“ für „verheiratet“ und „GS“ für „geschieden“. Allerdings ist Melderegister zu sehen, dass die Ehefrau nicht (oder nicht mehr) in der Wohnung ihres Ehemannes lebt. Das ist ein deutliches Indiz dafür, dass das Ehepaar getrennt lebt und die Wohnung gerade keine Familienwohnung darstellt.

(3) Keine generelle gegenseitige Haftung von Ehepaaren

Immer wieder ist die Vorstellung zu hören, dass ein Ehegatte ganz generell „automatisch“ für Schulden des anderen Ehegatten haften würde. Dies gehört jedoch in die Kategorie der „rechtlichen Märchen“. Das Familienrecht des BGB enthält eine solche Regel gerade nicht. Nur wenn – wie im vorstehend behandelten § 1357 BGB – eine Haftung für Geschäfte des anderen Ehegatten ausdrücklich gesetzlich vorgesehen ist, besteht eine solche Haftung.

Der geschilderte Fall hat sich in Hessen ereignet, siehe Hessischer Beauftragter für Datenschutz, 51. Tätigkeitsbericht 2022, S. 101-103. Der Bericht ist abrufbar unter https://ogy.de/f76a.

3.3 Ergänzende Hinweise

Folgender Hinweis in dem Bericht erscheint sehr berechtigt: „Werden Name und Anschrift des Ehegatten des Betroffenen verlangt, § 45 Abs. 1 Nr. 8 BMG, ist besonders sorgfältig zu prüfen, ob hierfür ein berechtigtes Interesse besteht.“

Davon, dass ein Rechtsanwalt in Erscheinung tritt, sollte sich die Meldebehörde gerade in solchen Fällen nicht beeindrucken lassen. Für die Prüfung, ob ein berechtigtes Interesse vorliegt, ist die Meldebehörde nämlich gleichwohl alleine selbst verantwortlich.

4. Rechtliche Konsequenzen von Datenschutzverstößen

4.1 Pflicht zur Meldung von Datenschutzverletzungen an die Datenschutzaufsicht

Wenn es in einer Behörde (auch in einer Meldebehörde) zu Datenschutzverstößen kommt, besteht eine Meldepflicht gegenüber der zuständigen Aufsichtsbehörde für den Datenschutz (siehe Art. 33 Abs. 1 DSGVO). Ausgenommen sind lediglich Bagatellfälle, also Fälle, bei denen „die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt“ (Art. 33 Abs. 1 Satz 1 letzter Halbsatz DSGVO).

Jedenfalls bei den oben unter 2. geschilderten beiden Fällen von Wahlauskünften über nicht wahlberechtigte Personen sind solche Meldungen an die zuständige Datenschutzaufsicht erfolgt. Dies war dort schon aufgrund des Umstandes, dass die Betroffenen durchweg minderjährig waren, zwingend geboten. Ob eine Meldung an die Datenschutzaufsicht erforderlich ist, klärt in einer Behörde üblicherweise der Datenschutzbeauftragte der Behörde.

4.2 Maßnahmen der Datenschutzaufsicht

Sowohl Verstöße unmittelbar gegen die Datenschutz-Grundverordnung (DSGVO) als auch Verstöße gegen nationales Recht wie das BMG, das die DSGVO modifiziert oder ergänzt, haben rechtliche Konsequenzen. Welche Behörde für die Verfolgung und Ahndung solcher Verstöße zuständig ist, legt das Recht des jeweiligen Bundeslandes fest. In den meisten Bundesländern ist der/die Landesbeauftragte/n für den Datenschutz zuständige Aufsichtsbehörde (siehe etwa § 60 Datenschutzgesetz Nordrhein-Westfalen und Art. 15 Bayerisches Datenschutzgesetz). Betroffene Personen können sich dorthin mit Beschwerden wenden. Die Aufsichtsbehörden können aber auch von sich aus aktiv werden, wenn sie in sonstiger Weise von Datenschutzverstöße erfahren.

In allgemeiner Form ergeben sich die Befugnisse der Datenschutzaufsichtsbehörden aus Art. 58 DSGVO. Das Recht des jeweiligen Bundeslandes kann darüber hinaus ergänzende Befugnisse vorsehen. Von ihren Befugnissen machen die Aufsichtsbehörden durchweg mit Augenmaß Gebrauch. Manchmal führt dies dazu, dass die Aufsichtsbehörden lediglich festhalten, dass es zu einem Verstoß gekommen ist:

  • Beim oben unter 1. geschilderten Fall der unzulässigen Nutzung behördeninterner Auskunftssysteme hat der Bayerische Landesbeauftragte für den Datenschutz lediglich festgehalten, dass die bei ihm eingereichte Beschwerde des betroffenen Bürgers berechtigt gewesen sei.

  • Beim oben unter 3. geschilderten Fall des fehlenden berechtigten Interesses an einer erweiterten Melderegisterauskunft hat sich der Hessische Beauftragte für den Datenschutz auf die Feststellung beschränkt, die Meldebehörde habe ihr Ermessen fehlerhaft ausgeübt.

Insbesondere, wenn ein Verstoß zahlreiche Personen betrifft oder die betroffenen Personen minderjährig sind, rügen die Aufsichtsbehörden Verstöße aber durchaus in förmlicher Weise:

  • Beim oben unter 2. geschilderten Fall aus Brandenburg zu der Wahlauskunft, in der auch nicht wahlberechtigte Personen enthalten waren, sprach die Landesbeauftragte für den Datenschutz gegenüber der Stadt eine Verwarnung nach Art. 58 Absatz 2 Buchstabe b DSGVO aus.

  • Sie begründete dies damit, dass die Anzahl der fehlerhaft herausgegebenen Datensätze außerordentlich hoch war, alle betroffenen Personen minderjährig und damit besonders schutzwürdig waren und zudem die von der Stadt durchaus getroffenen Maßnahmen den Verstoß nicht mehr ungeschehen machen konnten.

  • Es ist davon auszugehen, dass die Tatsache der Verwarnung im Stadtrat erörtert wurde, weil es sich dabei um einen außergewöhnlichen Vorgang handelt.

4.3 Rechtliche Schritte betroffener Personen

Je nach Lage des Einzelfalles kann betroffenen Personen ein Anspruch auf Schadensersatz gemäß Art. 82 DSGVO zustehen. Ein solcher Anspruch kommt auch bei einem „immateriellen Schaden“ in Betracht, also bei einem Schaden, der sich nicht unmittelbar in Geld messen lässt. Ein Ersatz für immateriellen Schaden entspricht dabei dem, was das BGB als „Schmerzensgeld“ bezeichnet. Nach der Rechtsprechung des Europäischen Gerichtshofs kann ein immaterieller Schaden auch in einem „Kontrollverlust über die eigenen Daten“ bestehen. Kommt es, wie im oben geschilderten Fall unter 4. zu unangenehmen Folgen wie dem Erscheinen von Personen, die auf Zahlung drängen, kann auch dies als immaterieller Schaden anzusehen sein.

Gerichtsentscheidungen, in denen Kommunen wegen Datenschutzverstößen ihrer Meldebehörde zu Schadensersatz verurteilt wurden, sind bisher noch nicht bekannt geworden. Es dürfte allerdings nur eine Frage der Zeit sein, bis solche Verurteilungen vorkommen.

Dr. Eugen Ehmann

SX_LOGIN_LAYER

SX_CONTINUE_ORDER_AS_GUEST

Passwort vergessen?

SX_OPENACCOUNT