EU-Datenschutzreform berührt auch das Landesrecht

Was der Bund bereits Mitte des Jahres 2017 – kurz vor Ende der letzten Legislatur – geschafft hat, haben die meisten Bundesländer inzwischen auch gemeistert. Alle 16 Bundeslänger haben Gesetze erlassen, um die zwingenden Anpassungsschritte vorzunehmen. Zur Wahrnehmung des von der DS-GVO ausgehenden Regelungsspielraums sollten sie bis Mai 2018 tätig werden. Nicht nur für zahlreiche Unternehmen kam das Gesetzesvorhaben scheinbar plötzlich, sondern auch für manche Landesparlamente. So haben Thüringen und Baden-Württemberg für die Verabschiedung entsprechender Gesetze bis in den Juni gebraucht, auch das Land Berlin wurde erst nach dem 25.5.2018 fertig. Da sich durch die DS-GVO nun das übergeordnete allgemeine Datenschutzrecht unionsweit grundlegend ändert, sind davon sämtliche landesrechtlichen Datenschutzvorschriften betroffen und müssen damit im Landesrecht in Einklang gebracht werden. Es reicht deswegen nie aus allein die Landesdatenschutzgesetze (LDSG) anzupassen, sondern auch das datenschutzrechtliche Fachrecht in jedem Bundesland, wie etwa im Bereich des Gesundheitsdatenschutzrechts die Landeskrankenhausgesetze, muss überarbeitet werden.

Datenschutz-Richtlinie im Bereich Justiz und Inneres (JIRL)

Zeitgleich mit der DS-GVO trat die Datenschutz-Richtlinie im Bereich Justiz und Inneres (JIRL) in Kraft. Diese Form des Rechtsakts verlangt die Implementierung im nationalen Recht. Es steht der Landesebene offen sämtliche Änderungen in einem Gesetzgebungsverfahren zu vollziehen oder zunächst allein das jeweilige LSDG zu novellieren und zusätzlich im Anschluss ein sog. Omnibusgesetz zur Anpassung des bereichsspezifischen Landesdatenschutzrechts zu erlassen. Die Länder Hessen oder Nordrhein-Westfalen (NRW) gehen etwa den Weg, die JIRL umfänglich und allgemein im jeweiligen Landesdatenschutzgesetz umzusetzen und zusätzlich rund zahlreiche weitere Gesetze mit Fachbezug an das europäische Datenschutzrecht anzupassen.

Diesem föderalen Gesetzgebungsprozess kommt insgesamt nur wenig Aufmerksamkeit zuteil, da das Länderrecht in erster Linie die Rechtsgrundlage für die öffentliche Datenverarbeitung darstellt. Unterschiedliche Regelungen sind die Konsequenz aus den zahlreichen, einzelnen Gesetzgebungsverfahren in den Ländern.

Die nach DS-GVO weiterhin zulässige föderale Aufsichtsstruktur ist auch für die privaten datenverarbeitenden Stellen von Bedeutung, da der Bundesgesetzgeber den „nach Landesrecht zuständigen Behörden“ die Überwachung der nicht-öffentlichen Stellen aufträgt (§ 40 BDSG). Für die Errichtung jeder Länderaufsicht sind nach Art. 54 Abs. 1 lit. a DS-GVO Rechtsvorschriften zu erlassen. Damit ist den Landesgesetzgebern ein obligatorischer Regelungsauftrag auferlegt. Innerhalb dessen besitzen die Länder einen, wenn auch nur eng begrenzten, Spezifizierungsspielraum. Die Anforderungen des Unionsrechts, die Aufsicht mit völliger Unabhängigkeit und Weisungsfreiheit auszustatten, muss der Gesetzgeber mit Leben füllen. In der Regel wählt er dafür den Status einer obersten Landesbehörde.

Bußgelder im Landesrecht

Der von der Öffnungsklausel in Art. 83 Abs. 7 DS-GVO ausgehende Ausgestaltungsspielraum gewährt in Deutschland neben dem Bund auch den Ländern das Recht Vorschriften festzulegen, ob und in welchem Umfang gegen Behörden und öffentliche Stellen Geldbußen verhängt werden können.

Bayern hat ein solches Erfordernis grundlegend und gar deutschlandweit verneint: „Sanktionen in der von Art. 83 [DS-GVO] vorgesehenen Form und Höhe sind in dem öffentlichen Bereich weder erforderlich noch angemessen und dem deutschen Verfassungsrecht fremd. Bei Verstößen gegen die in Art. 83 Abs. 1 bis 6 [DS-GVO] genannten Bestimmungen sind vielmehr die Rechtsaufsichtsbehörden zum Handeln aufgerufen.“ Wie der Bund verzichten die Länder größtenteils auf die Möglichkeit Bußgelder gegen öffentliche Stellen auszusprechen, sofern sie nicht als öffentlich-rechtliche Unternehmen im Wettbewerb mit anderen Verarbeitern stehen (wie z.B. bei Stadtwerken, die Strom anbieten), damit diese gegenüber ihren Wettbewerbern nicht bessergestellt werden. Die besagte Öffnungsklausel des Art. 83 DS-GVO erlaubt jedoch nicht die Normierung von Bußgeldtatbeständen gegenüber Mitarbeitern von Behörden oder sonstigen öffentlichen Stellen. Dies hat zwar eine Sanktionslücke zur Folge.

Die Praxis kann abweichen

Praktisch kann es nämlich vorkommen, dass Mitarbeiter öffentlicher Stellen – etwa im Kontext familiärer Streitigkeiten – unter Überschreitung ihrer Kompetenzen Daten rechtswidrig für eigene Zwecke nutzen. Aber auch Art. 84 DS-GVO als zwingende Öffnungsklausel zum Erlass von – auch verwaltungsrechtlichen – Sanktionen kann nicht als Grundlage für anderweitige Bußgeldtatbestände im einzelstaatlichen Recht herangezogen werden. Thüringen, Brandenburg und Sachsen sehen hingegen auch für Mitarbeiter öffentlicher Stellen, die ordnungswidrig handeln, Bußgelder vor. Als Hüterin der Verträge könnte die EU-Kommission, der die Gesetze gegenüber zu notifizieren sind, aufgrund dessen ein Vertragsverletzungsverfahren gegen Deutschland anstrengen.

Letztes Update:29.06.18

  • Trusted Processor

    LfDI BW genehmigt Verhaltensregel „Trusted Data Processor“

    Gemäß Art. 40 Abs. 2 DS-GVO dürfen „Verbände und andere Vereinigungen, die Kategorien von Verantwortlichen oder Auftragsverarbeitern vertreten“ Verhaltensregeln ausarbeiten. Verhaltensregeln (auch „Code of Conduct“ genannt) sind verbindliche Vorgaben eines (Branchen-) Verbands oder einer anderen Vereinigung, die datenschutzrechtliche Verhaltensweisen der jeweiligen Mitglieder festlegen. Verbände oder andere Vereinigungen, die bestimmte Kategorien von Verantwortlichen oder Auftragsverarbeitern vertreten, sollten

    Mehr erfahren
  • Viel los im Datenschutz – DAFTA + RDV-Forum liefern Antworten

    Online-Datenschutz – Internationaler Datentransfer – Schadensersatz für Datenschutzverletzungen  45. DAFTA und 40. RDV-Forum | 17.-19.11.2021 Auch nach über drei Jahren mit der Datenschutz-Grundverordnung (DS-GVO) gehen die aktuellen Datenschutz-Themen nicht aus und viele Fragen stehen zur Debatte. Nach dem „Schrems II“-Urteil durch den Europäischen Gerichtshof (EuGH) ist weiterhin unklar, wie eine Datenübermittlung in die USA und

    Mehr erfahren
  • Prüfung Aufsichtsbehörde

    Internationaler Datentransfer: Koordinierte Prüfung durch Aufsichtsbehörden

    In seiner Schrems-II-Entscheidung hat der EuGH festgestellt, dass Übermittlungen in die USA nicht länger auf Basis des sogenannten Privacy Shields erfolgen können. Der Einsatz der Standarddatenschutzklauseln für Datenübermittlungen in Drittstaaten ist nur noch unter Verwendung wirksamer zusätzlicher Maßnahmen ausreichend, wenn die Prüfung des Verantwortlichen ergeben hat, dass im Empfängerstaat kein gleichwertiges Schutzniveau für die personenbezogenen

    Mehr erfahren