Liebe Lage,
Ein paar Ideen/Anregungen/Korrekturen (?) zur rechtlichen Situation. Hinweis: ich bin kein Experte für Datenschutzrecht.
Der Erwägungsgrund 50 zur DSGVO spricht von „möglichen Straftaten“ oder „Bedrohungen der öffentlichen Sicherheit“. Wenn ich mich nicht irre, habt ihr den Unterschied zwischen Straftat und Ordnungswidrigkeit hier übergangen und unter die erste Alternative (mögliche Straftat) subsumiert. Das wäre ein Fehler. Die Position der Bayerischen Landesdatenschutzbehörde könnte sein, dass nur bei möglichen Straftaten, eine Verarbeitung zulässig ist - also bei (möglichen) Ordnungswidrigkeiten im Umkehrschluss ausscheidet. Insb. das argumentum ad absurdum mit der Anzeige wegen (möglichen) Mordes geht also mMn fehl.
Man könnte in diesem Sinne auch versuchen Erwägungsgrund 47 S. 6 für die Bayern fruchtbar zu machen:
Die Verarbeitung personenbezogener Daten im für die Verhinderung von Betrug unbedingt erforderlichen Umfang stellt ebenfalls ein berechtigtes Interesse des jeweiligen Verantwortlichen dar.
Der Betrug (eine Straftat), wird extra erwähnt wieder könnte man einen Umkehrschluss ziehen.
Alternativ könnte man die Anzeige wegen Ordnungswidrigkeiten unter „Bedrohung der öffentlichen Sicherheit“ subsumieren. Anhaltspunkt war für mich die Kommentierung zu Art. 23 I c) DSGVO. Ich bin also davon ausgegangen, dass der Begriff in der gesamten DSGVO und den Erwägungsgründen einheitlich verwendet wird. Paal/Pauly, DS-GVO, Art. 23 Rn 21 f. (Hervorhebungen nicht original):
Rn 21: Der Begriff öffentl. Sicherheit ist autonom unionsrechtlich (Bäcker in Kühling/Buchner DS-GVO Art. 23 Rn. 19; Dix in NK-DatenschutzR DS-GVO Art. 23 Rn. 25) auszulegen und umfasst lediglich Grundinteressen der Gesellschaft (vgl. zum jetzigen Art. 65 AEUV EuGH BeckRS 2004, 77551 Rn. 17 – Église de scientologie; zum jetzigen Art. 36 AEUV EuGH BeckRS 2011, 81813 Rn. 59 – Kommission/Belgien) bzw. besonders bedeutsame Rechtsgüter und elementare rechtstaatliche Grundsätze (vgl. Bäcker in Kühling/Buchner DS-GVO Art. 23 Rn. 19 f.). Hierzu zählt auch der Schutz von Menschenleben, so insbes. bei Naturkatastrophen oder vom Menschen verursachten Katastrophen (ErwGr 73). Gemeint ist nach stRspr des EuGH sowohl die innere als auch die äußere Sicherheit (s. hierzu etwa EuGH NJW 2000, 499 Rn. 17 – Sirdar; EuGH NJW 2003, 709 Rn. 32 – Dory). Im Verhältnis zu lit. d stellt lit. c auch und gerade aus kompetenzrechtlichen Gründen einen Auffangtatbestand dar (vgl. Art. 2 Abs. 2 lit. d; → Art. 2 Rn. 22 f.; zur Abgrenzung s. Bäcker in Kühling/Buchner DS-GVO Art. 23 Rn. 20).
Rn 22: Regelungen zum Schutz der öffentl. Sicherheit sind va auch in den nationalen Polizei- und Ordnungsgesetzen zu finden (für mögliche Anwendungsbsp. s. Stender-Vorwachs in BeckOK DatenschutzR DS-GVO Art. 23 Rn. 22).
Es scheint mir ziemlich eindeutig, dass Parkverstöße nach diesem Maßstab keine Bedrohung für die öffentliche Sicherheit sind. Auch aus Randnummer 22 ergibt sich mMn ichts anderes. In Art. 23 DSGVO geht es um eine völlig andere Perspektive: nicht um Verarbeitung von Daten durch Private, sondern Gesetzgebungs- und Verordnungsakte der Union oder der Mitgliedsstaaten. Die Existenz des Ordnungsrechts selbst mag teils durch öffentlichen Sicherheit gerechtfertigt sein. Daraus ergibt sich aber nicht, dass diese auch durch jeden Verstoß gegen das Ordnungsrecht bedroht wird.
Auf der anderen Seite schließen Paal/Pauly Art. 6 Rn 28 aus Erwägungsgrund 47 S. 2, 6, 7, dass der Begriff des berechtigten Interesses „weit zu verstehen sei“. Wie weit steht dann natürlich in den Sternen.
Ich glaube, im Ergebnis liegt ihr richtig, weil man eine sinnvolle Ausnahme (wie hier) schon irgendwie unter schwammige Begriffe wie „berechtigtes Interesse“ unterwurschteln wird. Jedenfalls eure Argumentation scheint mir eine Einordnung der Rechtsauffassung der Bayern als absurd aber nicht zu rechtfertigen.
Liebe Grüße
Jakob