31.07.2018 Drucksache 6/6004Thüringer LandTag 6. Wahlperiode Druck: Thüringer Landtag, 13. August 2018 Auswirkungen der Datenschutz-Grundverordnung (DSGVO) auf die richterliche und staatsanwaltliche Tätigkeit Die Kleine Anfrage 3113 vom 8. Juni 2018 hat folgenden Wortlaut: Seit dem 25. Mai 2018 ist die Datenschutz-Grundverordnung (Verordnung [EU] 2016/679) geltendes Recht in den Mitgliedstaaten der Europäischen Union und nach herrschender Meinung auch für die Tätigkeit der Gerichte und Staatsanwaltschaften einschlägig. Daraus ergibt sich unter anderem die Notwendigkeit, das Datenschutzrecht der Mitgliedstaaten anzupassen, wobei dem nationalen Gesetzgeber gemäß Artikel 23 Abs.1 Buchst. f DSGVO die Möglichkeit eröffnet ist, zum Schutz der Unabhängigkeit der Justiz und zum Schutz der Gerichtsverfahren Ausnahmen vorzunehmen, andernfalls ergäbe sich die Notwendigkeit, an den Gerichten und Staatsanwaltschaften Datenschutzbeauftragte vorzuhalten. Die Voraussetzungen, unter denen ein Datenschutzbeauftragter ernannt werden muss, sind in Artikel 37 DSGVO geregelt. Darin heißt es im Absatz 1 Buchst. a: "Der Verantwortliche und der Auftragsverarbeiter benennen auf jeden Fall einen Datenschutzbeauftragten , wenn die Verarbeitung von einer Behörde oder öffentlichen Stelle durchgeführt wird, mit Ausnahme von Gerichten, soweit sie im Rahmen ihrer justiziellen Tätigkeit handeln". Dies wird im "Erwägungsgrund 97" zu dieser Verordnung ausdrücklich nochmals herausgestellt. Ich frage die Landesregierung: 1. Was ist nach Ansicht der Landesregierung unter justizieller Tätigkeit im Sinne der Datenschutz-Grundverordnung zu verstehen? 2. Ist justizielle Tätigkeit jede Tätigkeit einer Richterin/eines Richters, einer Staatsanwältin/eines Staatsanwaltes oder der von diesen beauftragten Geschäftsstellen, die diese entfalten, um in den ihnen zugewiesenen Fällen (einschließlich der Erhebung aller hierzu notwendigen Daten) zu entscheiden? 3. Ist die Vorschrift gegebenenfalls dahin gehend auszulegen, dass Datenschutzbeauftragte für die nicht justizielle Tätigkeit zu ernennen sind und der Landesdatenschutzbeauftragte den justiziellen Bereich überwacht? 4. Gilt das sogenannte Spruchrichterprivileg auch für Richterinnen und Richter als Datenschutzbeauftragte ? Könnten sich andernfalls individuelle haftungsrechtliche Fragen stellen? 5. Kann die Übertragung des Amtes "Datenschutzbeauftragter" auf Richterinnen und Richter sowie Staatsanwältinnen und Staatsanwälte gegen deren Willen erfolgen, gegebenenfalls auf welcher Rechtsgrundlage ? Nach welchen Kriterien ist gegebenenfalls von wem ein Auswahlverfahren durchzuführen? K l e i n e A n f r a g e der Abgeordneten Dr. Martin-Gehl (DIE LINKE) und A n t w o r t des Thüringer Ministeriums für Migration, Justiz und Verbraucherschutz 2 Thüringer Landtag - 6. WahlperiodeDrucksache 6/6004 6. In welcher Form findet die gegebenenfalls erforderliche Ernennung statt? 7. Ist § 42 Deutsches Richtergesetz gegebenenfalls für die Ernennung von Datenschutzbeauftragten einschlägig ? 8. Hat die Landesregierung gegebenenfalls den Umfang der Pflichten für Datenschutzbeauftragte in Gerichten und Staatsanwaltschaften definiert? Ist eine Haftungsfreistellung vorgesehen? 9. Wie wird die Tätigkeit von gegebenenfalls zu ernennenden Datenschutzbeauftragten in Gerichten und Staatsanwaltschaften vergütet? Erfolgt gegebenenfalls eine Entlastung? 10. Sieht die Landesregierung die Gefahr einer Interessenkollision, wenn sich Richterinnen und Richter oder Staatsanwältinnen und Staatsanwälte als Datenschutzbeauftragte faktisch selbst kontrollieren müssen? Das Thüringer Ministerium für Migration, Justiz und Verbraucherschutz hat die Kleine Anfrage namens der Lan desre gierung mit Schreiben vom 30. Juli 2018 wie folgt beantwortet: Zu 1.: Von einem Handeln im Rahmen einer justiziellen Tätigkeit ist auszugehen, wenn ein Gericht in seiner Funktion als Organ der Rechtsprechung tätig wird. Nicht erfasst von diesem Begriff sind Tätigkeiten zur Erfüllung von Aufgaben der Gerichtsverwaltung (vergleiche Paal in Paal/Pauly, Kommentar, DSGVO und BDSG, 2. Auflage, 2018, Artikel 37, Rdnr. 6). Die Datenschutz-Grundverordnung (DSGVO) gilt zwar grundsätzlich auch für die Tätigkeiten der innerstaatlichen Gerichte. Damit die Unabhängigkeit der Justiz bei der Ausübung ihrer gerichtlichen Aufgaben einschließlich ihrer Beschlussfassung unangetastet bleibt, sollen die Aufsichtsbehörden aber nicht für die Verarbeitung personenbezogener Daten durch Gerichte im Rahmen ihrer justiziellen Tätigkeit zuständig sein (Erwägungsgrund 20 Satz 2 DSGVO). Zu 2.: Es wird auf die Antwort zu Frage 1 verwiesen. Darüber hinaus besteht insoweit eine Einschränkung, als der Anwendungsbereich der Datenschutz-Grundverordnung für die Gerichte bei Aufgaben im Rahmen der Strafverfolgung, der Strafvollstreckung, auch im Bereich der Ordnungswidrigkeiten, nach Artikel 2 Abs. 2 Buchst. d DSGVO nicht eröffnet ist. Gleiches gilt für die Staatsanwaltschaften, so dass für sie die Datenschutz-Grundverordnung nur dann anzuwenden ist, soweit sie im Rahmen allgemeiner Verwaltungsaufgaben tätig werden. Zu 3.: Nein Artikel 37 Abs. 1 Buchst. a DSGVO normiert: "Der Verantwortliche und der Auftragsverarbeiter benennen auf jeden Fall einen Datenschutzbeauftragten, wenn die Verarbeitung von einer Behörde oder öffentlichen Stelle durchgeführt wird, mit Ausnahme von Gerichten , die im Rahmen ihrer justiziellen Tätigkeit handeln." Dementsprechend sind Gerichte von der Pflicht zur Benennung eines Datenschutzbeauftragten ausgenommen , soweit sie im Rahmen ihrer justiziellen Tätigkeit handeln. Sie müssen jedoch einen behördlichen Datenschutzbeauftragten für die Erfüllung der Aufgaben der Gerichtsverwaltung benennen, der insoweit in seiner Kompetenz auf diese nicht justiziellen Tätigkeiten beschränkt ist. Die Befugnisse des Thüringer Landesbeauftragten für den Datenschutz und die Informationsfreiheit ergeben sich aus den Vorschriften des Artikels 51 ff. DSGVO. Nach Artikel 55 Abs. 3 DSGVO sind die Aufsichtsbehörden nicht für die Aufsicht über die von Gerichten im Rahmen ihrer justiziellen Tätigkeit vorgenommenen Verarbeitungstätigkeiten zuständig. Auf Landesebene normiert § 2 Abs. 9 Satz 2 Thüringer Datenschutzgesetz (ThürDSG), dass die Bestimmungen über die Aufsichtsbehörde und den Datenschutzbeauftragten für die Gerichte nur im Rahmen ihrer 3 Drucksache 6/6004Thüringer Landtag - 6. Wahlperiode Verwaltungstätigkeit gelten. Der Landesbeauftragte für den Datenschutz überwacht daher gemäß Thüringer Datenschutzgesetz nur die Verwaltungstätigkeit. Im Rahmen der justiziellen Tätigkeit gelten die Vorschriften bezüglich Aufsichtsbehörde und Datenschutzbeauftragten nicht. Zu 4.: Das sogenannte "Spruchrichterprivileg" ist in § 839 Abs. 2 Satz 1 Bürgerliches Gesetzbuch (BGB) normiert. Danach begründet eine Amtspflichtverletzung bei dem Urteil in einer Rechtssache nur dann eine Haftung, wenn die Pflichtverletzung in einer Straftat besteht. Nach der Stellung und den Aufgaben der Datenschutzbeauftragten entsprechend den Vorschriften der Datenschutz -Grundverordnung werden diese nicht im Rahmen der Urteils- beziehungsweise Beschlussfindung tätig, so dass der Anwendungsbereich des § 839 Abs. 2 Satz 1 BGB nicht eröffnet ist. Die Frage, ob und inwieweit Datenschutzbeauftragte bei Nicht- oder Schlechterfüllung ihrer Aufgaben nach Artikel 39 DSGVO haften, ist in der Datenschutz-Grundverordnung nicht geregelt. Dies ist auf der Grundlage des nationalen Rechts zu beantworten, indem - wie bisher auch - eine Prüfung im konkreten Einzelfall unter Berücksichtigung der neuen Aufgaben und der Stellung eines Datenschutzbeauftragten zu erfolgen hat. Zu 5.: Staatsanwältinnnen/Staatsanwälte sind Beamte und können bereits im Rahmen der beamtenrechtlichen Vorschriften auch gegen ihren Willen mit Aufgaben betraut werden. Für Richterinnen/Richter gelten die Besonderheiten der §§ 4 und 42 Deutsches Richtergesetz (DRiG). Sie dürfen in der Regel Aufgaben der rechtsprechenden Gewalt und Aufgaben der gesetzgebenden oder der vollziehenden Gewalt nicht zugleich wahrnehmen. Dies gilt nicht, soweit es sich um Aufgaben der Gerichtsverwaltung handelt, zu der ein Richter/eine Richterin auch verpflichtet werden kann. Es wird grundsätzlich davon ausgegangen, dass eine Übertragung der Aufgaben des Datenschutzbeauftragten dem nicht entgegensteht . Die Bestellung des Datenschutzbeauftragten sollte auf freiwilliger Basis erfolgen, was mit einer Entlastung in anderen Bereichen auf der Grundlage der Vorgaben des Artikels 39 Abs. 2 DSGVO in Verbindung mit § 14 Abs. 2 ThürDSG einhergehen kann. Eine Verpflichtung von Staatsanwältinnnen/Staatsanwälten und Richterinnen/Richtern ist aufgrund der allgemeinen Fürsorgepflicht des Dienstherrn (§ 45 Beamtenstatusgesetz, gegebenenfalls in Verbindung mit § 11 Abs. 1 Thüringer Richtergesetz, § 71 DRiG) ohnehin nur dann möglich, wenn die Tätigkeit der Vorbildung oder Berufsausbildung des Betroffenen entspricht und er durch die Aufgaben nicht über Gebühr beansprucht wird (Schmidt-Räntsch, DRiG, 6. Auflage, § 42, Rdnr. 9). Zu berücksichtigen sind dabei auch die Auswahlkriterien für die Benennung eines Datenschutzbeauftragten, die in Artikel 37 Abs. 5 DSGVO in Verbindung mit § 13 Abs. 4 ThürDSG normiert sind. Nach der Datenschutz-Grundverordnung und den flankierenden datenschutzrechtlichen Regelungen ist es darüber hinaus bei den Gerichten nicht erforderlich, dass der Datenschutzbeauftragte Richterin/Richter im Hauptamt ist. Soweit die persönlichen und fachlichen Voraussetzungen vorliegen, können dementsprechend auch andere Personen des Gerichts zum Datenschutzbeauftragten bestellt werden. Zudem zwingt das Unionsrecht nicht dazu, bei jeder Behörde oder öffentlichen Stelle eigene Datenschutzbeauftragte einzurichten (vergleiche Leopold, ZFSH SGB, Heft 3, 2018, S. 140). Mit Artikel 37 Abs. 3 DSGVO in Verbindung mit § 13 Abs. 3 ThürDSG ist die Möglichkeit eröffnet, unter den dort genannten Voraussetzungen einen gemeinsamen Datenschutzbeauftragten zu benennen. Darüber hinaus können gemäß Artikel 37 Abs. 6 DSGVO in Verbindung mit § 13 Abs. 5 ThürDSG externe Datenschutzbeauftragte bestellt werden. Zu 6.: Nach Artikel 37 DSGVO erfolgt keine Ernennung, sondern eine Benennung des Datenschutzbeauftragten, deren Form nicht vorgeschrieben ist. Aufgrund der Rechtsfolgen der Benennung und zur Erfüllung der Nachweis - und Dokumentationspflichten wird jedoch allgemein die Schriftform empfohlen. (vergleiche Bergt in Kühling/Buchner, Datenschutz-Grundverordnung Kommentar, Auflage 2017, Artikel 37, Rdnr. 32). 4 Thüringer Landtag - 6. WahlperiodeDrucksache 6/6004 Zu 7.: Eine Notwendigkeit zur Anwendung des § 42 DRiG besteht nach derzeitiger Auffassung nicht. Es wird insoweit auf die Antwort zu Frage 5 verwiesen. Zu 8.: Der Umfang der Pflichten für Datenschutzbeauftragte in Gerichten und Staatsanwaltschaften wurde nicht definiert. Eine Haftungsfreistellung ist nicht vorgesehen, da diese aufgrund der allgemeinen Haftungsgrundsätze - wie in Antwort zu Frage 4 ausgeführt - nicht erforderlich ist. Zu 9.: Die Tätigkeit als Datenschutzbeauftragter wird nicht gesondert vergütet. Auch bisher haben Gerichte bereits Datenschutzbeauftragte bestellt. Im Rahmen der PEBB§Y-Erhebungen (PEBB§Y - Personalbedarfsberechnungssystem) ist diese Aufgabe in die Personalbedarfsplanung eingeflossen . Die Bestellung des Datenschutzbeauftragten erfolgt bei den Gerichten durch den Behördenleiter. Dieser entscheidet auch darüber, inwieweit im Geschäftsverteilungsplan für diese Aufgabe eine Freistellung oder Entlastung erfolgt. Zu 10.: Eine Kontrolle im Bereich der justiziellen Tätigkeit erfolgt nicht. Es wird auf die Ausführungen in den Antworten zu den Fragen 1 und 3 verwiesen. In Vertretung von Ammon Staatssekretär Auswirkungen der Datenschutz-Grundverordnung (DSGVO) auf die richterliche und staatsanwaltliche Tätigkeit Ich frage die Landesregierung: Zu 1.: Zu 2.: Zu 3.: Zu 4.: Zu 5.: Zu 6.: Zu 7.: Zu 8.: Zu 9.: Zu 10.: