Diese Webseite verwendet Cookies. Cookies werden zur Benutzerführung und Webanalyse verwendet und helfen dabei, diese Website besser zu machen.

EU-Datenschutzreform berührt auch das Landesrecht

Was der Bund bereits Mitte des Jahres 2017 – kurz vor Ende der letzten Legislatur – geschafft hat, haben die meisten Bundesländer inzwischen auch gemeistert. Alle 16 Bundeslänger haben Gesetze erlassen, um die zwingenden Anpassungsschritte vorzunehmen. Zur Wahrnehmung des von der DS-GVO ausgehenden Regelungsspielraums sollten sie bis Mai 2018 tätig werden. Nicht nur für zahlreiche Unternehmen kam das Gesetzesvorhaben scheinbar plötzlich, sondern auch für manche Landesparlamente. So haben Thüringen und Baden-Württemberg für die Verabschiedung entsprechender Gesetze bis in den Juni gebraucht, auch das Land Berlin wurde erst nach dem 25.5.2018 fertig. Da sich durch die DS-GVO nun das übergeordnete allgemeine Datenschutzrecht unionsweit grundlegend ändert, sind davon sämtliche landesrechtlichen Datenschutzvorschriften betroffen und müssen damit im Landesrecht in Einklang gebracht werden. Es reicht deswegen nie aus allein die Landesdatenschutzgesetze (LDSG) anzupassen, sondern auch das datenschutzrechtliche Fachrecht in jedem Bundesland, wie etwa im Bereich des Gesundheitsdatenschutzrechts die Landeskrankenhausgesetze, muss überarbeitet werden.

Datenschutz-Richtlinie im Bereich Justiz und Inneres (JIRL)

Zeitgleich mit der DS-GVO trat die Datenschutz-Richtlinie im Bereich Justiz und Inneres (JIRL) in Kraft. Diese Form des Rechtsakts verlangt die Implementierung im nationalen Recht. Es steht der Landesebene offen sämtliche Änderungen in einem Gesetzgebungsverfahren zu vollziehen oder zunächst allein das jeweilige LSDG zu novellieren und zusätzlich im Anschluss ein sog. Omnibusgesetz zur Anpassung des bereichsspezifischen Landesdatenschutzrechts zu erlassen. Die Länder Hessen oder Nordrhein-Westfalen (NRW) gehen etwa den Weg, die JIRL umfänglich und allgemein im jeweiligen Landesdatenschutzgesetz umzusetzen und zusätzlich rund zahlreiche weitere Gesetze mit Fachbezug an das europäische Datenschutzrecht anzupassen.

Diesem föderalen Gesetzgebungsprozess kommt insgesamt nur wenig Aufmerksamkeit zuteil, da das Länderrecht in erster Linie die Rechtsgrundlage für die öffentliche Datenverarbeitung darstellt. Unterschiedliche Regelungen sind die Konsequenz aus den zahlreichen, einzelnen Gesetzgebungsverfahren in den Ländern.

Die nach DS-GVO weiterhin zulässige föderale Aufsichtsstruktur ist auch für die privaten datenverarbeitenden Stellen von Bedeutung, da der Bundesgesetzgeber den „nach Landesrecht zuständigen Behörden“ die Überwachung der nicht-öffentlichen Stellen aufträgt (§ 40 BDSG). Für die Errichtung jeder Länderaufsicht sind nach Art. 54 Abs. 1 lit. a DS-GVO Rechtsvorschriften zu erlassen. Damit ist den Landesgesetzgebern ein obligatorischer Regelungsauftrag auferlegt. Innerhalb dessen besitzen die Länder einen, wenn auch nur eng begrenzten, Spezifizierungsspielraum. Die Anforderungen des Unionsrechts, die Aufsicht mit völliger Unabhängigkeit und Weisungsfreiheit auszustatten, muss der Gesetzgeber mit Leben füllen. In der Regel wählt er dafür den Status einer obersten Landesbehörde.

Bußgelder im Landesrecht

Der von der Öffnungsklausel in Art. 83 Abs. 7 DS-GVO ausgehende Ausgestaltungsspielraum gewährt in Deutschland neben dem Bund auch den Ländern das Recht Vorschriften festzulegen, ob und in welchem Umfang gegen Behörden und öffentliche Stellen Geldbußen verhängt werden können.

Bayern hat ein solches Erfordernis grundlegend und gar deutschlandweit verneint: „Sanktionen in der von Art. 83 [DS-GVO] vorgesehenen Form und Höhe sind in dem öffentlichen Bereich weder erforderlich noch angemessen und dem deutschen Verfassungsrecht fremd. Bei Verstößen gegen die in Art. 83 Abs. 1 bis 6 [DS-GVO] genannten Bestimmungen sind vielmehr die Rechtsaufsichtsbehörden zum Handeln aufgerufen.“ Wie der Bund verzichten die Länder größtenteils auf die Möglichkeit Bußgelder gegen öffentliche Stellen auszusprechen, sofern sie nicht als öffentlich-rechtliche Unternehmen im Wettbewerb mit anderen Verarbeitern stehen (wie z.B. bei Stadtwerken, die Strom anbieten), damit diese gegenüber ihren Wettbewerbern nicht bessergestellt werden. Die besagte Öffnungsklausel des Art. 83 DS-GVO erlaubt jedoch nicht die Normierung von Bußgeldtatbeständen gegenüber Mitarbeitern von Behörden oder sonstigen öffentlichen Stellen. Dies hat zwar eine Sanktionslücke zur Folge.

Die Praxis kann abweichen

Praktisch kann es nämlich vorkommen, dass Mitarbeiter öffentlicher Stellen – etwa im Kontext familiärer Streitigkeiten – unter Überschreitung ihrer Kompetenzen Daten rechtswidrig für eigene Zwecke nutzen. Aber auch Art. 84 DS-GVO als zwingende Öffnungsklausel zum Erlass von – auch verwaltungsrechtlichen – Sanktionen kann nicht als Grundlage für anderweitige Bußgeldtatbestände im einzelstaatlichen Recht herangezogen werden. Thüringen, Brandenburg und Sachsen sehen hingegen auch für Mitarbeiter öffentlicher Stellen, die ordnungswidrig handeln, Bußgelder vor. Als Hüterin der Verträge könnte die EU-Kommission, der die Gesetze gegenüber zu notifizieren sind, aufgrund dessen ein Vertragsverletzungsverfahren gegen Deutschland anstrengen.

Letztes Update:29.06.18

  • Der LfDI Mecklenburg-Vorpommern legt seinen Tätigkeitsbericht vor

    Der Landesbeauftragte für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern, Heinz Müller, hat vergangene Woche den Tätigkeitsbericht seiner Behörde für das Jahr 2018 vorgelegt. DS-GVO macht Arbeit Die Anwendung der DS-GVO ab dem 25. Mai 2018 führte zu einer breiten Hysterie sowohl im öffentlichen als auch im privaten Sektor. Zwar war die DS-GVO bereits 2016 in ganz Europa

    Mehr erfahren
  • Rechtswidrige Videoüberwachung aufgrund mangelhafter TOMs

    In Schwerin betreibt das Land Mecklenburg-Vorpommern eine Videoüberwachungsmaßnahme auf dem Schweriner Marienplatz. Diese zielt nach Angaben des Innenministeriums primär darauf ab, potenzielle Täter von einer Tatbegehung abzuhalten. Der Landesbeauftragte für Datenschutz und Informationsfreiheit, Heinz Müller, erklärt diese Videoüberwachung nun aufgrund von unzureichenden technischen und organisatorischen Maßnahmen (TOM) für rechtswidrig. Was war passiert? Der Landesbeauftragte war

    Mehr erfahren
  • Informationspflichten des Verantwortlichen

    Neue Orientierungshilfe „Informationspflichten des Verantwortlichen“

    Der Bayerische Landesbeauftragte für den Datenschutz hat seine Orientierungshilfe „Informationspflichten des Verantwortlichen“ zum Download bereit gestellt.  Die Orientierungshilfe berücksichtigt die Erfahrungen aus Beratungspraxis der Behörde, die sie in den vergangenen sechs Monaten mit der DS-GVO gemacht hat. Darin werden die einschlägigen Bestimmungen der Datenschutz-Grundverordnung umfassend und praxisgerecht erläutert. Die Verwaltungen erhalten zudem zahlreiche Formulierungsvorschläge und

    Mehr erfahren