Schutz für Informanten der Verwaltung

Die Datenschutz-Grundverordnung (DSGVO) gibt Anlass, die mit dem Schutz von Informanten zusammenhängenden Fragen zu durchdenken.

Was sind klassische Praxisfälle?

Bestimmte Arten von Hinweisen an Behörden kommen nahezu ständig vor. Hier einige Klassiker:

• Ein Informant übermittelt an die Fahrerlaubnisbehörde detaillierte Angaben zum Gesundheitszustand, Fahrverhalten und Drogenkonsum eines Führerscheininhabers. Die Behörde leitet ein Verfahren ein, um dem Betreffenden die Fahrerlaubnis zu entziehen.
• Ein Hinweisgeber sendet der zuständigen Baubehörde Fotos zu, die Schwarzbauten seines Nachbarn belegen. Die Behörde fordert den Nachbarn dazu auf, die Schwarzbauten zu beseitigen.
• Ein Informant wendet sich an die Datenschutzaufsichtsbehörde. Er legt detailliert dar, dass ein Hauseigentümer die Grundstücke seiner Nachbarn in rechtswidriger Weise per Video überwacht.

Welche Beispiele bieten Tätigkeitsberichte der Aufsichten?

Aktuelle Tätigkeitsberichte von Datenschutzaufsichtsbehörden enthalten weitere Beispiele:

• Eine Stadtverwaltung erhält Hinweise auf Sicherheitsbedenken bei einer Veranstaltung, die demnächst stattfinden soll. Sie konfrontiert den Veranstalter mit den Hinweisen (Bayerischer Landesbeauftragter für den Datenschutz, BayLfD, 29. Tätigkeitsbericht 2019, Nr. 5.3.1, https://ogy.de/baylfd-tb-29).
• Ein Informant teilt dem Sozialamt mit, dass sich ein Bezieher von Grundsicherung (früher: Sozialhilfe) bereits seit über vier Wochen im Ausland aufhalte. Deshalb dürfe er keine Leistungen mehr beziehen. Die Sozialbehörde stellt daraufhin ihre Leistungen zunächst ein (Hessischer Landesbeauftragter für den Datenschutz, 48. Tätigkeitsbericht 2019, Nr. 6.3).

Welche Motive haben Informanten?

Manchem Hinweisgeber geht es ausschließlich darum, drohende Schäden abzuwenden. Andere Hinweisgeber wollen dagegen jemanden aus sachfremden Motiven „anschwärzen“. Im Streit ausgeschiedene Arbeitnehmer, Partner oder Partnerinnen aus früheren Beziehungen und missgünstige Nachbarn treten hierbei besonders oft in Erscheinung.

Solange ein Hinweis objektiv zutrifft, spielt die individuelle Motivation aus der Sicht der Behörde keine Rolle. Anders sieht es aus, wenn sich Darstellungen als haltlos, grob unwahr oder gar verleumderisch erweisen. Dann sind sie für die Behörde wertlos und kosten sie nur unnötig Zeit. Solche Fälle sind in der Praxis jedoch seltener, als manche glauben.

Wie gehen Behörden mit dem Thema Vertraulichkeit um?

Behörden haben ein Interesse daran, die Identität von Informanten vertraulich zu behandeln. Ansonsten müssen sie befürchten, keine Hinweise mehr zu erhalten. Können sich Informanten nicht auf Vertraulichkeit verlassen, geben sie Hinweise – wenn überhaupt – nur noch anonym.

Das macht der Behörde Rückfragen unmöglich. Zudem kann die Behörde dann nicht mehr so gut einschätzen, wie belastbar eine Information ist. Denn von wem ein Hinweis kommt, kann bei dieser Einschätzung eine Rolle spielen. Wer von einem „Tipp“ betroffen ist, teilt diese positive Sichtweise von Behörden meist nicht.

Manchmal handelt eine Behörde jedoch völlig anders als beschrieben. Es kommt vor, dass Behörden der betroffenen Person von sich aus „einfach so“ mitteilen, wer der Informant ist. Das führt häufig zu Beschwerden durch den Informanten.

Welche Rechtsvorschriften gelten beim Schutz von Informanten?

Für das Handeln von Behörden gilt prinzipiell die Datenschutz-Grundverordnung (DSGVO). Dabei sind jedoch einige Besonderheiten zu beachten.

OwiG & SGB

Falls eine Behörde Angaben eines Informanten verwendet, um ein Ordnungswidrigkeitenverfahren („Bußgeldverfahren“) einzuleiten, spielt die DSGVO keine Rolle. Europarechtlich maßgeblich ist dann die Datenschutzrichtlinie für Polizei und Justiz (Richtlinie EU 2016/680).

Auf konkrete Fälle ist die Datenschutzrichtline allerdings nicht direkt anwendbar. Dafür gelten vielmehr die Vorschriften der Mitgliedstaaten, die diese Richtlinie in nationales Recht umsetzen. Das ist in Deutschland in erster Linie das Gesetz über Ordnungswidrigkeiten (OwiG). Es enthält eine spezielle Regelung über die Akteneinsicht (siehe § 49 Abs. 1 OwiG).

Soweit es um Sozialdaten geht, sind die Regelungen des Sozialgesetzbuchs (SGB) maßgeblich. Dabei sind insbesondere die Beschränkungen der Informationspflicht gegenüber betroffenen Person wichtig (siehe § 83 Abs. 1 Nr. 1 SGB X), aber auch die Beschränkungen des Auskunftsanspruchs der betroffenen Person (siehe § 82a Abs. 1 Nr. 2 SGB X). Art. 23 DSGVO erlaubt es den Gesetzgebern der Mitgliedstaaten, solche Beschränkungen vorzusehen.

Landesdatenschutzgesetze

Art. 6 DSGVO, die Grundregelung für die Rechtmäßigkeit der Verarbeitung personenbezogener Daten, ist – geht es um die Tätigkeit von Behörden – auf eine Ergänzung durch die Mitgliedstaaten angelegt. Nach Art. 6 Abs. 3 DSGVO haben die Mitgliedstaaten insoweit die Rechtsgrundlagen in ihrem eigenen Recht festzulegen. Handeln Behörden der Bundesländer, ist dies im jeweiligen Landesdatenschutzgesetz geschehen.

Als Beispiel hierfür führen wir in diesem Beitrag jeweils die Regelungen des Bayerischen Datenschutzgesetzes (BayDSG) an. Dort weist bei jeder Regelung die Überschrift aus, an welche Vorschrift der DSGVO sie anknüpft. Das erleichtert die Übersicht. Der Text des BayDSG ist abzurufen unter https://www.gesetze-bayern.de/Content/Document/BayDSG/.

Dürfen Behörden Hinweise von Informanten festhalten?

Eine Behörde muss den Hinweis eines Informanten jederzeit wiederfinden können. Deshalb wird sie als ersten Schritt einen „Vorgang“ anlegen. Er enthält die Angaben des Informanten und manchmal weitere Dokumente oder Notizen. Ob der Vorgang aus einer klassischen Papier-Akte besteht oder elektronisch geführt wird, spielt für die Anwendbarkeit der DSGVO keine Rolle (siehe Art. 2 Abs. 1 DSGVO).

Im Anlegen eines Vorgangs liegt eine Verarbeitung personenbezogener Daten (Erhebung und Speicherung personenbezogener Daten, siehe Art. 4 Nr. 2 DSGVO). Dafür ist eine Rechtsgrundlage erforderlich (Art. 6 Abs. 1 DSGVO). Sie besteht

• in Art. 6 Abs. 1 Buchst. c DSGVO (Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung, der der Verantwortliche unterliegt) oder
• in Art. 6 Abs. 1 Buchst. e DSGVO (Verarbeitung für die Wahrnehmung einer Aufgabe, die in Ausübung öffentlicher Gewalt erfolgt).

Das gilt jeweils in Verbindung mit den Regelungen der Mitgliedstaaten, die beide genannten Vorschriften ausfüllen (Art. 6 Abs. 3 Satz 1 DSGVO).

Hierfür ein Beispiel: Sollten bayerische Behörden handeln, wäre Art. 4 Abs. 1 BayDSG) maßgeblich. Er legt fest, dass eine Übermittlung zulässig ist, wenn sie zur Erfüllung der Aufgaben der Behörde erforderlich ist.

Dass die Behörde den Namen und die Anschrift des Informanten speichert, ist erforderlich. Nur so sind Rückfragen bei ihm möglich. Der Hinweis eines Informanten enthält regelmäßig Informationen zu der Person, um deren Verhalten es ihm geht. Auch die Angaben zu dieser Person darf die Behörde speichern. Das ist erforderlich, um die Informationen zuordnen zu können.

Dürfen Behörden die Identität eines Informanten „einfach so“ offenbaren?

Der Bayerische Landesbeauftragte für den Datenschutz berichtet folgenden Fall:

Ein Kind meldete sich bei der Gemeindeverwaltung, weil eine Hundehalterin gegen die Anleinpflicht verstoßen hat. Die freilaufenden Hunde haben das Kind bedrängt. Die Kommune forderte die Hundehalterin auf, die Anleinpflicht künftig zu beachten. Dabei nannte die Kommune von sich aus Namen und Anschrift des Kindes.

Die Folge: Die Hundehalterin stellte das Kind zur Rede (BayLfD, 24. Tätigkeitsbericht 2010, Nr. 6.10). Der Landesbeauftragte beanstandete das Verhalten der Kommune.

Der Fall zeigt, welche negativen Konsequenzen es haben kann, wenn eine Behörde die Identität eines Informanten offenlegt. Unabhängig davon stellt sich aber die generelle Frage, ob eine Behörde von sich aus einen Informanten nach außen nennen darf – insbesondere gegenüber der Person, die von der Darstellung des Informanten betroffen ist.

Eine solche Offenbarung ist eine Form der Verarbeitung personenbezogener Daten (Art. 4 Nr. 2 DSGVO). Dafür ist eine Rechtsgrundlage erforderlich (Art. 6 Abs. 1 DSGVO). Wie schon bei der Speicherung ist von Art. 6 Abs. 1 Buchst. c DSGVO (Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung, der der Verantwortliche unterliegt) oder von Art. 6 Abs. 1 Buchst. e DSGVO (Verarbeitung für die Wahrnehmung einer Aufgabe, die in Ausübung öffentlicher Gewalt erfolgt) auszugehen. Wie dort sind ergänzend die Regelungen der Mitgliedstaaten heranzuziehen, die diese beiden Vorschriften ausfüllen.

Am Beispiel der bayerischen Regelungen hat der BayLfD aufgezeigt, worauf es dabei in der Sache ankommt (siehe BayLfD, 29. Tätigkeitsbericht 2019, Nr. 5.3.1 am Ende):

• Nach Art. 5 Abs. 1 Nr. 1 BayDSG darf die Behörde die Identität des Informanten aufdecken, wenn dies zur Erfüllung ihrer Aufgaben erforderlich ist. Die Behörde kann den Sachverhalt, den der Informant mitgeteilt hat, jedoch anhand der rechtlichen Vorgaben objektiv bewerten. Auf die Person des Informanten kommt es dabei nicht an. Deshalb ist es auch nicht erforderlich, seine Identität aufzudecken.
• Denkbar wäre weiterhin, dass die betroffene Person ein berechtigtes Interesse daran hat, die Identität des Informanten zu erfahren. Dann dürfte die Behörde seine Identität aufdecken, wenn dieses berechtigte Interesse schwerer wiegt als mögliche schutzwürdige Belange des Informanten (siehe Art. 5 Absatz 1 Nr. 2 BayDSG).
• Das ist jedoch durchweg nicht der Fall. Die schutzwürdigen Belange des Informanten zählen mehr. Durch wahrheitsgemäße Informationen an eine Behörde sollen einem Informanten keine Nachteile entstehen. Dabei ist zu berücksichtigen, dass Behörden zur Erfüllung ihrer Aufgaben auf derartige Informationen angewiesen sind.

Was gilt für die Information der betroffenen Person?

Erhebt und speichert eine Behörde Daten, muss sie die betroffene Person davon unterrichten. Stammen die Daten von einem Informanten, ist dafür Art. 14 DSGVO maßgeblich. Er regelt die Informationspflicht für den Fall, dass personenbezogene Daten nicht bei der betroffenen Person erhoben wurden, sondern von woanders kommen. Zu einer solchen Information gehört auch die Angabe, aus welcher Quelle die personenbezogenen Daten stammen (Art. 14 Abs. 2 Buchst. f DSGVO).

Eine solche Unterrichtung würde die Identität des Informanten aufdecken. Eine Behörde ist jedoch berechtigt, die Information über die Quelle der Daten zu verweigern, wenn sonst „die Verwirklichung der Ziele dieser Verarbeitung … ernsthaft beeinträchtigt“ würden.

Das ist regelmäßig der Fall, wenn sie sonst die Identität des Informanten preisgeben müsste. Würde man dies anders beurteilen, würde das den Schutz des Informanten durch die Information gemäß Art. 14 DSGVO unterlaufen.

Haben betroffene Personen einen Anspruch auf Auskunft über den Informanten?

Zwar darf eine Behörde betroffenen Personen nicht unaufgefordert mitteilen, wer der Informant war. Das schließt aber nicht von vornherein aus, dass eine betroffene Person einen Auskunftsanspruch gemäß Art. 15 DSGVO hat oder einen Anspruch auf Akteneinsicht (§ 29 Verwaltungsverfahrensgesetz des Bundes bzw. der Länder).

Jedenfalls bei wahrheitsgemäßen Angaben ist das jedoch nicht der Fall. Darüber sind sich Aufsichtsbehörden und Gerichte einig. Sie verneinen einen solchen Anspruch, um Informanten zu schützen. Das hat das Unabhängige Datenschutzzentrum Saarland (UDS) genauso gesehen wie der Hessische Verwaltungsgerichtshof.

In beiden Fällen ging es um einen Informanten, der die Datenschutzaufsicht auf eine rechtswidrige Videoüberwachung hingewiesen hatte (siehe UDS, 28. Tätigkeitsbericht 2019, Nr. 4.18.1 sowie Hessischer Verwaltungsgerichtshof, Beschluss vom 31.10.2019, Aktenzeichen 10 B 1869/19, Seite 6; dieser Beschluss ist bisher nicht veröffentlicht).

Was ist, wenn ein Informant bewusst die Unwahrheit sagt?

In diesem Fall kann er nicht auf den Schutz hoffen. Die Behörde darf der zu Unrecht „angeschwärzten“ Person mitteilen, wer die falschen Behauptungen in die Welt gesetzt hat. Das gilt sogar dann, wenn die Behörde dem Informanten Vertraulichkeit zugesichert hatte (so z.B. BayLfD, 29. Tätigkeitsbericht 2019, Nr. 5.3.1 am Ende).