Der Bürgermeister und seine Gesetzesverstöße seit 2006

Der Dienstherr der Marktgemeinde ist der Bürgermeister und er haftet eigentlich für seine Gesetzesverstöße. Aber nur eigentlich. Franz Schnitzenbaumer selbst sieht die nachgewiesene Gesetzeswidrigkeit selbstverständlich mit seiner offenbar „rosa Brille“ gar nicht so – und auch die Aufsicht scheint seit Jahren nicht richtig hinzusehen.

Bei der Marktgemeinderatssitzung am Dienstag war großes Kino angesagt. Wie die Lemminge folgte die Mehrheit der Gemeinderäte der Ignoranz des Bürgermeisters in Bezug auf den bestehenden und kommenden Datenschutz in Bayern. Die Daten der Bürger werden nach dem Gesetzeswortlaut unberechtigt benutzt, zumindest wenn man das Bayerische Datenschutzgesetz aufmerksam liest. Dieses gibt es bereits seit 1993 und sollte dem Bürgermeister und / oder seiner Verwaltung über die Jahre hinweg schon einmal über den Weg gelaufen sein.

Jeden Tag arbeiten die verschiedenen Ämter im Rathaus mit den jeweiligen sogenannten Fachverfahren (Computerprogrammen im Bürgerbüro, Kämmerei, etc.) an personenbezogenen Daten. Diese Arbeitsweise hat seit 24 Jahren keine Freigabe und darf eigentlich nicht verwendet werden. Eigentlich.

Hier ein Auszug aus der Korrespondenz vom Dezember, die schlußendlich vom Bürgermeister negiert und nicht beachtet wird – gemäß seiner bekannten Wegduckstrategie:

„Sehr geehrter Bürgermeister Schnitzenbaumer,

eigentlich dachte ich, dass dieses alte Gesetz schon lange umgesetzt ist und wir im Markt Schliersee rechtskonform sind. Aber dies ist offenbar leider nicht der Fall. Es ist schwer zu verstehen, dass es bisher kein Verfahrensverzeichnis bei Ihnen als Behördenleiter gibt.

Ich stelle hiermit, wie von Ihnen persönlich gewünscht, diesen schriftlichen Antrag auf die kostenfreie Einsicht in das Verfahrensverzeichnis als Bürger.

Bayerisches Datenschutzgesetz
(BayDSG)
Vom 23. Juli 1993

zuletzt geändert am 24. Juli 2017 (GVBl 2017, S. 388)

Ausgabe im Zusammenhang

Zur Inhaltsübersicht

Art. 27

Verfahrensverzeichnis

(1) Die behördlichen Datenschutzbeauftragten führen ein Verzeichnis der bei der öffentlichen Stelle eingesetzten und datenschutzrechtlich freigegebenen automatisierten Verfahren, mit denen personenbezogene Daten verarbeitet werden.

(2) In dem Verzeichnis sind für jedes automatisierte Verfahren die in Art. 26 Abs. 2 genannten Angaben fest zu halten.

(3) 1Das Verfahrensverzeichnis kann von jedem kostenfrei eingesehen werden. 2Dies gilt nicht bei Behörden der Staatsanwaltschaft, bei Justizvollzugsanstalten, bei Führungsaufsichtsstellen, bei Stellen der Gerichts- und Bewährungshilfe und bei Behörden der Finanzverwaltung, soweit sie personenbezogene Daten in Erfüllung ihrer gesetzlichen Aufgaben im Anwendungsbereich der Abgabenordnung zur Überwachung und Prüfung speichern. 3Art. 10 Abs. 5 gilt entsprechend.

Den Auszug aus dem Gesetzestext und das Formblatt, wie es eigentlich auszusehen hat, habe ich gestern der Einfachheit halber in der Gemeinde zurückgelassen. Bitte teilen Sie mir mit, wann ich das Verzeichnis der eingesetzten und datenschutzrechtlich freigegebenen Verfahren (Fachverfahren, etc.) einsehen kann.
Ich erlaube mir der Vollständigkeit halber die Datei mit der Verfahrensbeschreibung anzuheften.
Mit freundlichen Grüßen
Michael Dürr“
Der geschäftsführende Beamte Jörn Alkofer versuchte sich zu verteidigen, dass die AKDB die Fachverfahren betreut und dies das sicherste Rechenzentrum überhaupt sei. Es wurde also erklärt, dass die Marktgemeinde Schliersee also schon lang in der Cloud schwebt, der Datenwolke, die im AKDB Rechenzentrum in Bayreuth angesiedelt ist.
Aber dies steht eben anders im Gesetz und die Auslegung ist wieder einmal, wie so oft bei Fehlern in der Vergangenheit, Schliersee Style. „Des ham mir immer schon so gmacht!“ und was scheren wir uns um das Zeug, was aus Brüssel und Berlin kommt.
Der Bürgermeister flüchtete sich in der hitzigen Debatte in die Ausflüchte, da wird es dann schon eine Übergangsfrist oder eine Ausführungsverordnung geben wird, wenn man nicht ab dem 25. Mai das neue Bayerische Datenschutzgesetz erfüllt, das auf eben der EU-Datenschutz-Grundverordnung basiert, die seit 2006 Rechtskraft hat.
Der leitende Beamte der Gemeinde behauptete, dass „Sie davon ausgehen können, dass die AKDB das schon richtig macht.“ Um das geht es hier nicht, Herr Alkofer. Es gibt ein Gesetz und das hält die Gemeinde nicht ein:
„Art. 26 – Datenschutzrechtliche Freigabe automatisierter Verfahren
(1) 1Der erstmalige Einsatz von automatisierten Verfahren, mit denen personenbezogene Daten verarbeitet werden, bedarf der vorherigen schriftlichen Freigabe durch die das Verfahren einsetzende öffentliche Stelle. 2Eine datenschutzrechtliche Freigabe nach Satz 1 ist nicht erforderlich für Verfahren, welche durch den Vorstand der Anstalt für Kommunale Datenverarbeitung in Bayern bereits datenschutzrechtlich freigegeben worden sind, soweit diese Verfahren unverändert übernommen werden; das Gleiche gilt für Verfahren, welche durch das fachlich zuständige Staatsministerium oder die von ihm ermächtigte öffentliche Stelle für den landesweiten Einsatz datenschutzrechtlich freigegeben worden sind. 3Für wesentliche Änderungen von Verfahren gelten die Sätze 1 und 2 entsprechend.
(2)(3) Die datenschutzrechtliche Freigabe hat folgende Angaben zu enthalten:
1.
Bezeichnung des Verfahrens,
2.
Zweck und Rechtsgrundlage der Erhebung, Verarbeitung oder Nutzung,
3.
Art der gespeicherten Daten,
4.
Kreis der Betroffenen,
5.
Art der regelmäßig zu übermittelnden Daten und deren Empfänger,
6.
Regelfristen für die Löschung der Daten oder für die Prüfung der Löschung,
7.
verarbeitungs- und nutzungsberechtigte Personengruppen,
8.
im Fall des Art. 6 Abs. 1 bis 3 die Auftragnehmer,
9.
Empfänger vorgesehener Datenübermittlungen in Drittländer.
1Öffentliche Stellen haben ihren behördlichen Datenschutzbeauftragten rechtzeitig vor dem Einsatz oder der wesentlichen Änderung eines automatisierten Verfahrens eine Verfahrensbeschreibung mit den in Absatz 2 aufgeführten Angaben zur Verfügung zu stellen; zugleich ist eine allgemeine Beschreibung der Art der für das Verfahren eingesetzten Datenverarbeitungsanlagen und der technischen und organisatorischen Maßnahmen nach Art. 7 und 8 beizugeben. 2Die behördlichen Datenschutzbeauftragten erteilen die datenschutzrechtliche Freigabe, soweit nicht schon eine datenschutzrechtliche Freigabe nach Absatz 1 Sätze 2 und 3 vorliegt. 3Wird ihren datenschutzrechtlichen Einwendungen nicht Rechnung getragen, so legen sie die Entscheidung über die datenschutzrechtliche Freigabe den Personen vor, denen sie nach Art. 25 Abs. 3 Satz 1 unterstellt sind; bei den in Art. 15 Abs. 7 genannten Daten haben sie zuvor eine Stellungnahme des Landesbeauftragten für den Datenschutz einzuholen.“
So Herr Schnitzenbaumer und Herr Alkofer, was nun? Schlamperei ist nicht angebracht. Da scheint es auch nur folgerichtig, dass ihre Aussage unglaubwürdig klingt,  „der Bayerische Kommunale Prüfungsverband  sieht in dem letzten Gutachten aus den Jahren 2008 bis 2012 dieses Manko nicht als Prüfungsmassstab“. Wenn die staatliche Prüfung seit 24 Jahren dies wirklich nicht gesehen und beanstandet hat, dann ist etwas sehr beunruhigend in Schliersee. Bei was für Dingen schaut man dann auch sonst nicht so genau hin oder gar weg?
Wir werden den BKPV mit dieser Aussage und den Gesetzesverstößen des Dienstherren konfrontieren.