Bundesländer passen Datenschutzgesetze an – Aktueller Stand der Gesetzesvorhaben und Anmerkungen (aktualisiert)

Der Bundesgesetzgeber hat es (zumindest teilweise) bereits hinter sich: die Anpassung des nationalen Datenschutzrechts an die ab 25. Mai 2018 anwendbare EU Datenschutz-Grundverordnung (DSGVO). Am 25. Mai 2018 tritt das neue Bundesdatenschutzgesetz (pdf) in Kraft. Die Aufgabe ist nur teilweise erledigt, da der Bundesgesetzgeber noch eine Vielzahl von Bundesgesetzen und auch Verordnungen anpassen muss. Aus der Antwort von Staatssekretär Engelke vom 12.9.2017 (pdf, S. 10) auf eine Anfrage von Konstantin von Notz ergibt sich ein durchaus noch umfassender Anpassungsbedarf. Demnach wird derzeit auch an einem Arbeitsentwurf für ein Zweites Datenschutz-Anpassungs- und Umsetzungsgesetz EU (2. DSAnpUG-EU) gearbeitet. Der Prozess der Anpassung der Bundesvorschriften an die DSGVO sei zudem noch nicht abgeschlossen.

Auch die Bundesländer müssen ihre Datenschutzregeln, vor allem die Landesdatenschutzgesetze, an die Vorgaben der DSGVO anpassen. Erst seit Mitte August gelangen allmählich die ersten offiziellen Entwürfe ans Tageslicht:

Brandenburg: Gesetz zur Anpassung des Allgemeinen Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (pdf)

Sachsen: Gesetz zur Anpassung landesrechtlicher Vorschriften an die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (pdf) (Sächsisches Datenschutzdurchführungsgesetz)

Sachsen-Anhalt: Entwurf eines Gesetzes zur Organisationsfortentwicklung des Landesbeauftragten für den Datenschutz (pdf) (wobei dieser Gesetzentwurf nur einen sehr kleinen Teilbereich der Vorgaben der DSGVO abdeckt und sich auf die Stellung und Aufgaben des Landesdatenschutzbeauftragten beschränkt; vglö hierzu meinen älteren Blogbeitrag)

Update vom 4.10.2017:

Bayern: Gesetzentwurf der Staatsregierung für ein Bayerisches Datenschutzgesetz (pdf) (derzeit zunächst in der Verbandsanhörung)

Auffällig ist, dass sich die Landesgesetzgeber sehr stark an dem neuen BDSG und den Vorschriften für nicht öffentliche Stellen orientieren. Zum Teil sind jedoch auch ganz individuelle Abweichungen vorgesehen. Nachfolgend möchte ich einige Gesetzentwürfe und dort enthaltene Regelungen vorstellen und kritisch kommentieren.

Brandenburg:

In § 3 soll der Begriff des „Anonymisieren“ ergänzend zu Art. 4 DSGVO definiert werden. Der Ausdruck bezeichnet das Verändern personenbezogener Daten dergestalt, dass die Einzelangaben über persönliche oder sachliche Verhältnisse nicht mehr oder nur mit einem unverhältnismäßigen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können.

Aufgrund der bindenden Wirkung der DSGVO und ihres grundsätzlich abschließenden Regelungscharakters wird man aber die Frage stellen müssen, ob der nationale Gesetzgeber den Begriff des „Anonymisierens“ legal definieren darf. Laut der Gesetzesbegründung ergebe sich die Regelungsbefugnis hierfür aus Art. 6 Abs. 2 und 3 DSGVO (diese beiden Vorschriften nutzt der Gesetzentwurf aus Brandenburg im Übrigen sehr extensiv für verschiedenste Regelungen). Danach dürfen Mitgliedstaaten Regelungen einführen oder beibehalten, die spezifischen Anforderungen für die Verarbeitung sowie sonstige Maßnahmen präziser bestimmen, um eine rechtmäßig und nach Treu und Glauben erfolgende Verarbeitung zu gewährleisten. In ErwG 26 erwähnt die DSGVO anonyme Informationen. Dies sind Informationen, die sich nicht auf eine identifizierte oder identifizierbare natürliche Person beziehen, oder personenbezogene Daten, die in einer Weise anonymisiert worden sind, dass die betroffene Person nicht oder nicht mehr identifiziert werden kann. Die DSGVO nutzt folglich zum einen eine andere Umschreibung als § 3. Zum anderen dürfte die nationale Regelung an sich schon nicht zulässig sein, da die DSGVO (zumindest in einem ErwG) den Begriff abschließend umschreibt.

In § 4 Abs. 3 sieht der Gesetzesentwurf, abweichend von Art. 30 Abs. 4 DSGVO, vor, dass das Verzeichnis der Verarbeitungstätigkeiten von jedermann eingesehen werden kann. Auch diese Regelung stützt der Gesetzesentwurf auf Art. 6 Abs. 2 und 3 DSGVO, da es um eine Vorgabe zur Transparenz der Datenverarbeitung geht. Auch hier stellt sich aber die Frage, ob der nationale Gesetzgeber die Vorgaben der DSGVO (hier Art. 30 Abs. 4 DSGVO) insoweit aufbrechen darf, dass die Pflicht zur Offenlegung des Verzeichnisses auf jedermann erweitert wird.

Extensiv nutzt der Gesetzesentwurf in § 6 Abs. 1 Nr. 1 bis 8 die Erlaubnis nach Art. 6 Abs. 4 iVm Art. 23 Abs. 1 DSGVO, eine nationale Rechtsgrundlage für die Verarbeitung personenbezogener Daten zu einem anderen Zweck als zu demjenigen, zu dem sie ursprünglich erhoben wurden, zu schaffen. Jedoch ergibt sich aus der Gesetzesbegründung nicht, welche in Art. 23 Abs. 1 DSGVO abschließend benannten Ziele die jeweilige Erlaubnis in § 6 Abs. 1 Nr. 1 bis 8 nutzt. So soll die zweckändernde Verarbeitung nach Nr. 8 etwa zulässig sein, wenn die Daten aus allgemein zugänglichen Quellen erhoben werden können oder die verantwortliche Stelle sie veröffentlichen dürfte, es sei denn, dass das Interesse der betroffenen Person an dem Ausschluss der Speicherung oder einer Veröffentlichung der gespeicherten Daten offensichtlich überwiegt. Es bleibt unklar, welche in Art. 23 Abs. 1 DSGVO benannte Ziel mit dieser Regelung verfolgt. Eine Möglichkeit zur Weiterverarbeitung von Daten aus allgemein zugänglichen Quellen listet Art. 23 Abs. 1 DSGVO aber nicht auf. Auch hier besteht also das Risiko einer Europarechtswidrigkeit.

Sachsen:

Anders als die finale Fassung des neuen BDSG sieht § 22 Abs. 1 die Möglichkeit vor, dass auch Mitarbeiter öffentlicher Stellen ordnungswidrig handeln und als Folge mit einem Bußgeld von bis zu 50.000 EUR (Abs. 2) geahndet werden können. Eine solche Regelung dürfte jedoch europarechtswidrig sein.

Denn nationale Bußgeldtatbestände, die Sanktionen gegen Mitarbeiter öffentlicher Stellen vorsehen würden, sind nicht mit Art. 83 DSGVO vereinbar. Art. 83 Abs. 7 DSGVO enthält zwar eine Öffnungsklausel für Bußgeldtatbestände, die öffentliche Stellen adressieren. Dem ausdrücklichen Wortlaut nach bezieht sich die Regelungsbefugnis der Mitgliedstaaten aber allein darauf, ob und in welchem Umfang gegen Behörden und öffentliche Stellen, die in dem betreffenden Mitgliedstaat niedergelassen sind, Geldbußen verhängt werden können. Art. 83 Abs. 7 DSGVO erwähnt nicht die Mitarbeiter der öffentlichen Stellen.

Weitere Landesdatenschutzgesetze sind derzeit in Arbeit bzw. liegen in Referentenentwürfen vor. Man darf gespannt sein, ob jedes Bundesland bis zum 25.5.2018 ein angepasstes Landesdatenschutzgesetz vorweisen kann.

Mecklenburg-Vorpommern:

Auch für Mecklenburg-Vorpommern liegt nun ein Gesetzentwurf (pdf), u.a. auch für ein neues Landesdatenschutzgesetz, vor. Wie der Entwurf aus Sachsen, will auch der Landesgesetzgeber Bußgeldtatbestände für die direkte Sanktionierung von Mitarbeitern der öffentlichen Stellen schaffen. Auch hierzu lässt sich meines Erachtens feststellen, dass eine solche Regelung europarechtswidrig wäre.

Hessen:

In Hessen wurde am 5.12.2107 ein Gesetzentwurf (pdf) für ein Hessisches Gesetz zur Anpassung des Hessischen Datenschutzrechts an die Verordnung (EU) Nr. 2016/679 und zur Umsetzung der Richtlinie (EU) Nr. 2016/680 und zur Informationsfreiheit vorgelegt. Mit diesem Gesetz möchte der Landesgesetzgeber zudem einen gesetzlichen Anspruch auf Informationszugang für Bürger schaffen (ab §§ 80 ff.). Anders als in den übrigen Bundesländern, möchte der hessische Gesetzgeber die Vorgaben der JIRL nicht (nur) im speziellen Fachrecht (etwa im Polizeirecht), sondern allgemein im Hessischen Landesdatenschutzgesetz umsetzen (ab §§ 40 ff.). Mit Blick auf die Anpassung des Hessischen Landesdatenschutzgesetzes an die DSGVO, orientiert sich der Gesetzgeber zu einem großen Teil an dem neuen BDSG. Meines Erachtens mit dem bestehenden Risiko der Schaffung europarechtswidrigen Rechts, wie etwa § 4 Abs. 1 HDSIG zur Videoüberwachung.

Wie in dem Entwurf aus Brandenburg soll in Hessen eine gesetzliche Definition der “anonymen Informationen” eingeführt werden. Auch hier wird man durchaus darüber streiten können, ob der nationale Gesetzgeber im Anwendungsbereich der DSGVO überhaupt befugt ist, diesen Begriff landesgesetzlich zu definieren. Zwar enthält die DSGVO keine Begriffsbestimmung der “Anonymisierung” in ihrem verfügenden Teil; jedoch kennt sie den Begriff und umschreibt ihn in ErwG 26.

In § 19 Abs. 5 HDSIG wird, richtigerweise, die Möglickeit des Insichprozesses aufgenommen. Nach der DSGVO dürfen die Aufsichtsbehörden ihre Befugnisse, also etwa auch den Erlass untersagender Verwaltungsakte, gegenüber öffentlichen Stellen ausüben. Mit § 19 Abs. 5 wird klargestellt, dass in Zukunft der Hessische Datenschutzbeauftragte auch gegenüber Landesbehörden Verwaltungsakte erlassen kann und es hierüber eventuell auch zu einem gerichtlichen Verfahren kommt. Entweder kann die Landesbehörde gegen die Entscheidung des Hessischen Datenschutzbeauftragten klagen oder aber der Hessische Datenschutzbeauftragte darf selbst die Rechtmäßigkeit seiner Entscheidung feststellen lassen.

Leider wird auch mit dem Entwurf auf Hessen wieder deutlich, wie unterschiedlich die einzelnen Landesgesetzgeber an die Anpassung des Landesrechts an die DSGVO und die Umsetzung der JIRL herangehen. Die Entwürfe unterscheiden sich zum Teil erheblich und dürften, wenn sie in dieser Form Gesetz werden, für zusätzliche Rechtsunsicherheit sorgen.

2 thoughts on “Bundesländer passen Datenschutzgesetze an – Aktueller Stand der Gesetzesvorhaben und Anmerkungen (aktualisiert)

  1. Was sagen Sie denn dazu, dass in Brandenburg anscheinend die Situation geschaffen werden soll, die man in Sachsen-Ahnalt für europarechtswidrig hielt? Das Amt des/der Landesbeauftragten wird nämlich nach § 14 des neuen DSG beim LT-Präsidenten oder bei der LT-Präsidentin errichtet. Auf die Schnelle konnte ich nicht erkennen, wodurch sich das im Hinblick auf die Unabhängigkeit der Aufsichtsbehörde gemäß DS-GVO von der Situation in Sachsen-Anhalt unterscheidet.

    • Danke für den Kommentar. Ja, auch das kann man durchaus kritisch sehen. Ich bin mir gerade nicht sicher, ob die Situation 1 zu 1 vergleichbar ist, da in § 14 DSG Brandenburg nicht die Geschäftsstelle erwähnt wird. Es scheint jedoch darum zu gehen, da auch erwähnt wird, dass die LfDI im Einzelplan des Landtages “nur” ein eigenes Kapitel erhält (Abs. 2). Ausgaben und Einnahmen sind als Teil des Einzelplanes des Landtages. Klingt nicht absolut unabhängig (in Sachsen-Anhalt ist genau das auch ein Grund für die Änderung). Jedoch kann man, unabhängig von der Verortung der Geschäftsstelle, wohl zudem kritisch anmerken, dass die LfDI in Brandenburg keine oberste Staats-/Landesbehörde ist, wie dies aber zB in Sachsen (§ 15 Abs. 1 des Entwurfs) vorgesehen ist.

      Der Entwurf aus Brandenburg ist insgesamt ohnehin recht interessant. Diese Herangehensweise, über Art. 6 Abs. 2 und 3 DSGVO praktisch jegliche Regelung zu erlauben, habe ich bisher noch nicht gesehen. Beste Grüße

Kommentar verfassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Du kannst folgende HTML-Tags benutzen: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>