Datenschutzrecht

Grundlage des Datenschutzrechts ist das Recht des Einzelnen auf informationelle Selbstbestimmung. Der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten ist ein Grundrecht, auf dessen Wahrung das europäische und nationale Datenschutzrecht abzielt.

Da der Bayerische Landesbeauftragte für den Datenschutz die zuständige Aufsichtsbehörde für bayerische öffentliche Stellen ist, werden nachfolgend im Wesentlichen die für diese Stellen geltenden Regeln dargestellt.

a) Neue datenschutzrechtliche Regelungen

Das maßgebliche Datenschutzrecht für die meisten bayerischen öffentlichen Stellen (Ausnahme etwa: Landesamt für Verfassungsschutz) ergibt sich seit dem 25. Mai 2018 aus der Datenschutz-Grundverordnung (DSGVO) der Europäischen Union (EU) und dem sie ergänzenden nationalen Bundes- und Landesrecht.

Seit dem 25. Mai 2018 gilt in der gesamten EU die neue Datenschutz-Grundverordnung. Sie gilt verbindlich und unmittelbar und wird ohne weiteren Umsetzungsakt Bestandteil der in Deutschland geltenden Rechtsordnung. Gegenüber dem nationalen Recht genießt sie einen Anwendungsvorrang. Allerdings enthält die Datenschutz-Grundverordnung eine Reihe von Öffnungs- und Spezifizierungsklauseln, die den nationalen Gesetzgebern Gestaltungsspielräume eröffnen oder Regelungsaufträge erteilen.

Der Bundesgesetzgeber hat aus diesem Grund das Bundesdatenschutzgesetz (BDSG), das insbesondere für Behörden und andere öffentliche Stellen des Bundes sowie für die Verarbeitung von Daten bei nicht öffentlichen Stellen gilt, geändert.

Der bayerische Gesetzgeber hat mit Wirkung zum 25. Mai 2018 das Bayerische Datenschutzgesetz (BayDSG) geändert und an die Datenschutz-Grundverordnung angepasst. Gleiches gilt für weitere bayerische Gesetze, die datenschutzrechtliche Vorschriften enthalten. Das Bayerische Datenschutzgesetz gilt grundsätzlich für die Behörden und sonstigen öffentlichen Stellen des Freistaates Bayern, damit auch für Gemeinden, Gemeindeverbände und andere der Aufsicht des Freistaates Bayern unterstehenden juristischen Personen des öffentlichen Rechts. Öffentliche Stellen sind demnach auch Vereinigungen des privaten Rechts, die Aufgaben der öffentlichen Verwaltung wahrnehmen und an denen juristischen Personen des öffentlichen Rechts beteiligt sind.

Für bayerische Behörden gilt somit neben der Datenschutz-Grundverordnung ergänzend im Wesentlichen das Bayerische Datenschutzgesetz.

Darüber hinaus gibt es spezialgesetzliche datenschutzrechtliche Bestimmungen, z.B. im Anwendungsbereich des Sozialgesetzbuchs, die in Einklang mit der Datenschutzgrundverordnung stehen müssen, aber vorrangig vor dem Bayerischen Datenschutzgesetz zu beachten sind.

Sonderregelungen gibt es insbesondere auch im Bereich der Strafjustiz, der Polizei und beim Verfassungsschutz. Nähere Informationen hierzu finden Sie unter den jeweiligen Rubriken.

b) Ansprechpartner für Datenschutz

Wer der Ansicht ist, dass die Verarbeitung der ihn betreffenden personenbezogenen Daten gegen Datenschutzrecht verstößt, kann sich an den behördlichen Datenschutzbeauftragten der verarbeitenden Stelle oder an die zuständige Aufsichtsbehörde wenden.

Behörden und öffentliche Stellen, die über die Verarbeitung personenbezogener Daten entscheiden, werden - ebenso wie natürliche oder juristische Personen - in der Datenschutz-Grundverordnung als "Verantwortlicher" definiert (Art. 4 Nr. 7 DSGVO; zu den Grundbegriffen des neuen Rechts siehe auch die Reihe "Datenschutzreform 2018").

Jeder Verantwortliche, also auch jede Behörde und jede öffentliche Stelle, muss nach Art. 37 Abs. 1 Satz 1 Buchst. a DSGVO einen behördlichen Datenschutzbeauftragten benennen, wenn er personenbezogene Daten verarbeitet. Der Verantwortliche muss die Kontaktdaten des Datenschutzbeauftragten veröffentlichen (Art. 37 Abs. 7 DSGVO), so dass jeder Betroffene sich mit Fragen zur Verarbeitung der Daten sowie zur Wahrnehmung seiner Rechte an ihn wenden kann (Art. 38 Abs. 4 DSGVO).

Darüber hinaus kann sich jeder Betroffene auch bei der zuständigen Aufsichtsbehörde beschweren, wenn er der Ansicht ist, dass seine personenbezogenen Daten gesetzeswidrig verarbeitet werden (Art. 77 DSGVO).