≡ Sitemap

Der Bayerische Landesbeauftragte für den Datenschutz; Stand: 16.10.2017

Datenschutzreform 2018

Die bereitgestellten Informationen sollen die bayerischen öffentlichen Stellen bei der Umstellung auf die Datenschutz-Grundverordnung unterstützen.
Sie wollen einen Beitrag zum Verständnis des neuen Rechts leisten, nehmen aber keine Verbindlichkeit in Anspruch.

Der Gesetzentwurf zum neuen Bayerischen Datenschutzgesetz (Stand: 28. September 2017)

1. Einführung

Die Datenschutz-Grundverordnung (DSGVO) beansprucht ab dem 25. Mai 2018 in der gesamten Europäischen Union (EU) - und damit auch im Freistaat Bayern - unmittelbare Geltung. Bis zum 6. Mai 2018 ist zudem die Richtlinie (EU) 2016/680 (im Folgenden: Datenschutz-Richtlinie für Polizei und Strafjustiz) in nationales Recht umzusetzen. Dieser neue europäische Rechtsrahmen erfordert es, das nationale Datenschutzrecht zu ändern und anzupassen. Dies betrifft sowohl das allgemeine Datenschutzrecht als auch die (fach-)bereichsspezifischen Datenschutzregelungen.

Auf Bundesebene ist das neue Bundesdatenschutzgesetz bereits verabschiedet und verkündet worden. Für bayerische öffentliche Stellen wird jedoch - wie bislang auch - als allgemeines Datenschutzgesetz in aller Regel nicht das Bundesdatenschutzgesetz, sondern das Bayerische Datenschutzgesetz maßgeblich sein.

Am 4. Oktober 2017 hat nunmehr die Bayerische Staatsregierung einen Gesetzentwurf zur Neufassung des Bayerischen Datenschutzgesetzes (Stand: 28. September 2017 - im Folgenden: Gesetzentwurf bzw. BayDSG-E) beschlossen. Im Rahmen der Verbandsanhörung besteht bis Anfang November 2017 Gelegenheit, zu diesem Entwurf Stellung zu nehmen.

Die nachfolgenden Ausführungen sollen einen Überblick über Inhalt und Struktur des Gesetzentwurfs vermitteln. Nicht zuletzt aufgrund möglicher Änderungen im weiteren Gesetzgebungsverfahren verfolgt dieses Informationspapier dabei nicht das Ziel, die neuen Regelungen umfassend vorzustellen oder zu bewerten. Vielmehr soll es als eine Art "Lesehilfe" den Zugang zum zukünftigen Bayerischen Datenschutzgesetz erleichtern.

2. Regelungsziele

Die Neufassung des Bayerischen Datenschutzgesetzes verfolgt im Wesentlichen drei Ziele:

  • Das allgemeine bayerische Datenschutzrecht sowie Teile des (fach-)bereichsspezifischen bayerischen Datenschutzrechts sollen angesichts des Anwendungsvorrangs der Datenschutz-Grundverordnung (vgl. bereits Überblick Teil 1 Nr. 1) mit deren rechtlichen Vorgaben in Einklang gebracht und an diese angepasst werden.

    Zugleich sollen diverse Regelungsaufträge und Gestaltungsspielräume der Datenschutz-Grundverordnung ausgeführt bzw. genutzt werden (vgl. zu den sog. "Öffnungsklauseln" bereits Überblick Teil 1 Nr. 2).

  • Der Gesetzentwurf dient ferner dazu, allgemeine und organisationsrechtliche Datenverarbeitungsanforderungen der Datenschutz-Richtlinie für Polizei und Strafjustiz umzusetzen. Die darüber hinausgehende Umsetzung erfolgt durch entsprechende Änderungen im Fachrecht, insbesondere im Polizeirecht.

  • Schließlich sollen auch Regelungen für Bereiche getroffen werden, die weder dem Anwendungsbereich der Datenschutz-Grundverordnung noch der Datenschutz-Richtlinie für Polizei und Strafjustiz unterfallen.

3. Anwendungsbereich

Nach Art. 1 Abs. 1 Satz 1 BayDSG-E gilt - ebenso wie schon das bisherige Bayerische Datenschutzgesetz - auch das zukünftige Bayerische Datenschutzgesetz für alle Behörden und sonstigen öffentlichen Stellen des Freistaates Bayern, der Gemeinden, Gemeindeverbände und der sonstigen der Aufsicht des Freistaates Bayern unterstehenden juristischen Personen des öffentlichen Rechts. Für den Landtag, den Obersten Rechnungshof und die Gerichte findet das Gesetz jedoch nur eingeschränkt Anwendung (siehe Art. 1 Abs. 1 Sätze 2 und 3 BayDSG-E).

Art. 1 Abs. 3 Satz 1 BayDSG-E überführt die Regelung des bisherigen Art. 3 Abs. 1 BayDSG in das neue Recht: Soweit öffentliche Stellen als Unternehmen am Wettbewerb teilnehmen, gelten für diese die Vorschriften für nicht öffentliche Stellen. Im Unterschied zur bisherigen Rechtslage schließt dies nun auch die Anstalt für Kommunale Datenverarbeitung in Bayern mit ein, da eine dem derzeitigen Art. 3 Abs. 3 BayDSG entsprechende Vorschrift nicht in den Gesetzentwurf übernommen wurde.

Aus dem in Art. 1 Abs. 3 Satz 1 BayDSG-E eingangs verwendeten Wort "soweit" wird deutlich, dass - wie bislang auch - die Vorschriften des Bayerischen Datenschutzgesetzes dann zur Anwendung kommen, wenn die Tätigkeit einer öffentlichen Stelle als Unternehmen keinen Wettbewerbsbezug aufweist.

Zuständig für die datenschutzrechtliche Aufsicht bleibt unverändert der Bayerische Landesbeauftragte für den Datenschutz, unabhängig davon, ob die Tätigkeit der öffentlichen Stelle als Unternehmen einen Wettbewerbsbezug aufweist oder nicht (Art. 1 Abs. 3 Satz 2 BayDSG-E).

Nach Art. 1 Abs. 2 Satz 2 BayDSG-E gelten "öffentlich rechtliche Finanzdienstleitungsunternehmen sowie ihre Zusammenschlüsse und Verbände" als nicht öffentliche Stellen. Der Regelungsgehalt dieser Vorschrift entspricht dem derzeitigen Art. 3 Abs. 2 BayDSG: Der Begriff "öffentlich rechtliche Finanzdienstleistungsunternehmen" umfasst ausweislich der Gesetzbegründung (vgl. S. 67 des Gesetzentwurfs) dabei die bisherigen Begriffe der "öffentlich-rechtlichen Versicherungsunternehmen" (dies betrifft vor allem die Versicherungskammer Bayern) und der "öffentlich-rechtlichen Kreditinstitute" (hiervon umfasst sind vor allem die Sparkassen).

Mit Art. 38 BayDSG-E ("Verarbeitung zu journalistischen, künstlerischen oder literarischen Zwecken") enthält der Gesetzentwurf zudem eine Vorschrift, die auch für nicht öffentliche Stellen gilt (vgl. Art. 1 Abs. 1 Satz 4 BayDSG-E).

Unverändert zur geltenden Rechtslage behält das zukünftige Bayerische Datenschutzgesetz seinen Charakter als "Auffanggesetz" bei: Soweit bereichsspezifische Rechtsvorschriften einen bestimmten Sachverhalt datenschutzrechtlich erfassen, gehen diese Vorschriften den Regelungen des Bayerischen Datenschutzgesetzes vor (Art. 1 Abs. 5 BayDSG-E).

4. Regelungssystematik

Der neue europäische Rechtsrahmen und die dargestellten Regelungsziele erfordern eine grundlegende Neukonzeption des zukünftigen Bayerischen Datenschutzgesetzes:

  1. Verarbeitung personenbezogener Daten im Anwendungsbereich der Datenschutz-Grundverordnung

    Die Datenschutz-Grundverordnung wird ab dem 25. Mai 2018 unmittelbar gelten. Das nationale Datenschutzrecht kann daher im Anwendungsbereich der Datenschutz-Grundverordnung lediglich ergänzende Bestimmungen treffen, und dies auch nur insoweit, als das Unionsrecht dem mitgliedstaatlichen Gesetzgeber rechtliche Regelungsspielräume belässt bzw. ihm entsprechende Regelungsaufträge auferlegt.

    Angesichts des unionsrechtlichen "Wiederholungsverbots" im Zusammenhang mit europäischen Verordnungen sind zudem der wörtlichen ("wiederholenden") Übernahme des Verordnungstextes in das Landesrecht enge Grenzen gesetzt (vgl. Vorblatt zum Gesetzentwurf, S. 3).

    Um das hieraus resultierende Wechselspiel zwischen der Datenschutz-Grundverordnung und dem neuen Bayerischen Datenschutzgesetz zu verdeutlichen, führt der Gesetzentwurf in den Überschriften der einschlägigen Landesvorschriften die jeweiligen korrespondierenden Regelungen der Datenschutz-Grundverordnung als Klammerzusatz auf.

    Das folgende Beispiel veranschaulicht diese Regelungssystematik:

    Als Aufsichtsbehörde im Sinne der Art. 51 ff. DSGVO ergeben sich die Rechte und Befugnisse des Bayerischen Landesbeauftragten für den Datenschutz im Anwendungsbereich der Datenschutz-Grundverordnung künftig unmittelbar aus Art. 57 und 58 DSGVO. Im Rahmen des bestehenden Regelungsspielraums trifft das Landesrecht hierzu ergänzende Bestimmungen in Art. 16 BayDSG-E.

  2. Verarbeitung personenbezogener Daten außerhalb des Anwendungsbereichs der Datenschutz-Grundverordnung

    Der Gesetzentwurf verfolgt das Ziel, im Bereich des allgemeinen Datenschutzes einen "einheitlichen Rechtsrahmen zu schaffen, der von allen öffentlichen Stellen gleichermaßen zu beachten ist" (Vorblatt zum Gesetzentwurf, S. 3).

    Art. 2 Satz 1 BayDSG-E sieht daher vor, dass die Vorschriften der Datenschutz-Grundverordnung auch dann Anwendung finden, wenn eine Verarbeitung personenbezogener Daten nicht dem sachlichen Anwendungsbereich der Datenschutz-Grundverordnung nach Art. 2 Abs. 1 und 2 DSGVO unterfällt. Damit sind sowohl Verarbeitungen im Bereich der Datenschutz-Richtlinie für Polizei und Strafjustiz als auch Verarbeitungen in Bereichen, die überhaupt nicht vom Unionsrecht erfasst werden, grundsätzlich an den Vorgaben der Datenschutz-Grundverordnung zu messen.

    Allerdings gilt dies gemäß Art. 2 Satz 1 BayDSG-E nur "vorbehaltlich anderweitiger Regelungen". Dies bedeutet, dass für Verarbeitungen außerhalb des Anwendungsbereichs der Datenschutz-Grundverordnung stets sorgfältig zu prüfen ist, ob spezielle Regelungen die Anwendbarkeit der Datenschutz-Grundverordnung nicht doch ganz oder stellenweise ausschließen.

  3. Im Speziellen: Verarbeitung personenbezogener Daten im Anwendungsbereich der Datenschutz-Richtlinie für Polizei und Strafjustiz

    Ergänzend zu den obigen Ausführungen (Nr. 4 Buchst. b)) stellt sich die Systematik für Verarbeitungen im Anwendungsbereich der Datenschutz-Richtlinie für Polizei und Strafjustiz wie folgt dar:

    Sofern keine besonderen Rechtsvorschriften über den Datenschutz vorrangig anzuwenden sind (vgl. Art. 1 Abs. 5 BayDSG-E) - wie hier etwa das bayerische Polizeiaufgabengesetz oder die Strafprozessordnung -, gelten für die Verarbeitung personenbezogener Daten durch bayerische öffentliche Stellen im Anwendungsbereich der Datenschutz-Richtlinie für Polizei und Strafjustiz grundsätzlich die Regelungen des zukünftigen Bayerischen Datenschutzgesetzes und über Art. 2 Satz 1 BayDSG-E auch die Vorgaben der Datenschutz-Grundverordnung.

    Teil 2 Kapitel 8 (Art. 28 ff. BayDSG-E) des Gesetzentwurfs enthält jedoch Sondervorschriften für Verarbeitungen im Anwendungsbereich der Datenschutz-Richtlinie für Polizei und Strafjustiz. Die diesbezüglich zentrale Bestimmung ist Art. 28 BayDSG-E:

    • Art. 28 Abs. 1 BayDSG-E regelt, welche Verarbeitungen personenbezogener Daten überhaupt von Teil 2 Kapitel 8 des zukünftigen Bayerischen Datenschutzgesetzes erfasst werden.

      Dies betrifft etwa Datenverarbeitungen durch die Polizei, die Staatsanwaltschaften, die Strafgerichte und die Justizvollzugsbehörden zu den in Art. 28 Abs. 1 Satz 1 BayDSG-E genannten Zwecken.

    • Art. 28 Abs. 2 BayDSG-E schränkt die in Art. 2 Satz 1 BayDSG-E vorgesehene umfassende Geltung der Datenschutz-Grundverordnung wieder ein, ist also eine "anderweitige Regelung" im Sinne des Art. 2 Satz 1 Bay-DSG-E:

      Nach Art. 28 Abs. 2 Satz 1 BayDSG-E sind nur die dort genannten Bestimmungen der Datenschutz-Grundverordnung auf Verarbeitungen nach Art. 28 Abs. 1 BayDSG-E anzuwenden. Im Übrigen finden die in Art. 28 Abs. 2 Satz 2 BayDSG-E genannten Regelungen der Datenschutz-Grundverordnung Anwendung, allerdings nur "nach Maßgabe der nachfolgenden Vorschriften dieses Kapitels."

      Zu beachten ist, dass die in Art. 28 Abs. 2 Satz 1 BayDSG-E enthaltenen Anwendungsbefehle ihrerseits speziellere Rechtsvorschriften unberührt lassen (siehe die Eingangsformulierung: "Unbeschadet anderer Rechtsvorschriften").

      Diese - durchaus komplexe - Regelungssystematik soll an nachfolgendem Beispiel verdeutlicht werden:

      Die Rechte und Befugnisse des Bayerischen Landesbeauftragten für den Datenschutz im Hinblick auf Verarbeitungen, die nicht in den Anwendungsbereich der Datenschutz-Grundverordnung fallen, richten sich gemäß Art. 2 Satz 1 BayDSG-E grundsätzlich (ebenfalls) nach Art. 57 und 58 DSGVO. Für Verarbeitungen im Bereich der Datenschutz-Richtlinie für Polizei und Strafjustiz sieht Art. 28 Abs. 2 Satz 2 BayDSG-E als "anderweitige Regelung" jedoch vor, dass Art. 57 und 58 DSGVO nur nach Maßgabe der Vorschriften von Teil 2 Kapitel 8 des neuen Bayerischen Datenschutzgesetzes anwendbar sind. Die diesbezüglich einschlägige Regelung findet sich in Art. 34 Abs. 1 Satz 1 BayDSG, wonach einzelne Rechte und Befugnisse des Bayerischen Landesbeauftragten für den Datenschutz nach Art. 57 und 58 DSGVO im Anwendungsbereich der Datenschutz-Richtlinie für Polizei und Strafjustiz ausgeschlossen werden.

    • Art. 28 Abs. 3 BayDSG-E erklärt zudem einzelne Regelungen des neuen
      Bayerischen Datenschutzgesetzes für Verarbeitungen im Bereich der Datenschutz-Richtlinie für Polizei und Strafjustiz - wiederum "unbeschadet anderer Rechtsvorschriften" - für nicht anwendbar.

  4. Zusammengefasst bedeutet dies:

    • Ausgehend vom Gesetzentwurf wird der Regelungsgehalt des zukünftigen Bayerischen Datenschutzgesetzes aus sich heraus in der Regel nicht mehr verständlich sein. Vielmehr müssen die jeweils einschlägigen Vorschriften des Bayerischen Datenschutzgesetzes und der Datenschutz-Grundverordnung im Zusammenhang gelesen und angewendet werden.

    • Auf die Verarbeitung personenbezogener Daten durch bayerische öffentliche Stellen finden die Regelungen der Datenschutz-Grundverordnung gemäß Art. 2 Satz 1 BayDSG-E grundsätzlich auch dann Anwendung, wenn deren sachlicher Anwendungsbereich nicht eröffnet ist. Somit besteht dem Grunde nach ein einheitlicher Rechtsrahmen für sämtliche Datenverarbeitungen durch bayerische öffentliche Stellen.

    • Es ist jedoch stets sorgfältig zu prüfen, ob eine speziellere Regelung hiervon Abweichungen vorsieht. Für Verarbeitungen im Bereich der Datenschutz-Richtlinie für Polizei und Strafjustiz enthält Teil 2 Kapitel 8 des Gesetzentwurfs (Art. 28 ff. BayDSG-E) entsprechende Sonderregelungen.

5. Überblick über die einzelnen Regelungen

In inhaltlicher Hinsicht zielt der Gesetzentwurf darauf ab, den bisherigen Datenschutzstandard in Bayern aufrechtzuerhalten. Es sollen vorhandene Regelungsspielräume genutzt werden, "um bewährte Grundfunktionen und Strukturen des geltenden Datenschutzrechts in Bayern zu bewahren" (Vorblatt zum Gesetzentwurf, S. 4).

Auch wenn der Gesetzentwurf - wie unter Nr. 4 dargestellt - eine neue Systematik aufweist, findet sich in materiell-rechtlicher Hinsicht eine Reihe vertrauter Regelungen wieder. Zu beachten ist ferner, dass der Gesetzentwurf auch fachrechtliche Anpassungen an das neue europäische Datenschutzrecht enthält (Art. 39b BayDSG-E).

Die nachfolgenden Ausführungen sollen einen schnellen Überblick über den Inhalt des Gesetzentwurfs vermitteln und ausgewählte Vorschriften kurz vorstellen:

  1. Teil 1 sowie Teil 2 Kapitel 1 des Gesetzentwurfs bestimmen den Anwendungsbereich des Gesetzes sowie die grundsätzlich umfassende Geltung der Vorschriften der Datenschutz-Grundverordnung (Art. 1 und 2 BayDSG-E; vgl. ausführlich bereits Nrn. 3 und 4).

  2. Teil 2 Kapitel 2 enthält Bestimmungen zu den "Grundsätzen der Verarbeitung", unter anderem:

    • Die im bisherigen Art. 25 Abs. 1 BayDSG enthaltene "Sicherstellungsverpflichtung", die beispielsweise Staatsministerien und Staatskanzlei für ihren jeweiligen Bereich betrifft, findet sich in Art. 3 Abs. 1 BayDSG-E wieder. Dessen ungeachtet bleibt selbstverständlich jede öffentliche Stelle für ihre jeweiligen Datenverarbeitungen "Verantwortlicher" im Sinne des Art. 4 Nr. 7 DSGVO.

    • Art. 4 Abs. 1 BayDSG-E enthält eine allgemeine Rechtsgrundlage für die Verarbeitung personenbezogener Daten durch öffentliche Stellen. Dabei gilt
      - wie bislang auch - der Grundsatz der Direkterhebung (Art. 4 Abs. 2 BayDSG-E).

    • Die Übermittlungsvorschrift des Art. 5 BayDSG-E greift inhaltlich im Wesentlichen die derzeitigen Regelungen der Art. 18 und 19 BayDSG auf. Art. 5 Abs. 3 BayDSG-E unterstellt zudem (mögliche) Datenzugriffe im Rahmen der Prüfung oder Wartung automatisierter Verfahren oder Datenverarbeitungsanlagen den Regelungen der Auftragsverarbeitung (vgl. den derzeitigen Art. 6 Abs. 4 BayDSG).

    • Art. 6 BayDSG-E greift in Abs. 1 den bisherigen Art. 17 Abs. 3 BayDSG auf; Art. 6 Abs. 2 BayDSG-E normiert allgemeine Zweckänderungstatbestände.

    • Ergänzende Regelungen zur Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne des Art. 9 Abs. 1 DSGVO trifft Art. 8
      BayDSG-E.

  3. Teil 2 Kapitel 3 des Gesetzentwurfs schränkt die Rechte der betroffenen Person auf Information nach Art. 13 und 14 DSGVO sowie auf Auskunft nach Art. 15 DSGVO ein (Art. 9 und 10 BayDSG-E).

  4. Teil 2 Kapitel 4 enthält unter der Kapitelüberschrift "Verantwortlicher und Auftragsverarbeiter" eine Regelung zum Datengeheimnis (Art. 11 BayDSG-E - entspricht dem derzeitigen Art. 5 BayDSG), ergänzende Bestimmungen zu behördlichen Datenschutzbeauftragten (Art. 12 BayDSG-E) und zur Datenschutz-Folgenabschätzung (Art. 14 BayDSG-E) sowie eine Einschränkung des Rechts der betroffenen Person auf Benachrichtigung bei Datenschutzverletzungen nach Art. 34 DSGVO (Art. 13 BayDSG-E).

  5. Teil 2 Kapitel 5 enthält Vorschriften zu den unabhängigen Aufsichtsbehörden im Sinne der Art. 51 ff. DSGVO, insbesondere zum Bayerischen Landesbeauftragten für den Datenschutz (Art. 15 ff. BayDSG-E) und zum Bayerischen Landesamt für Datenschutzaufsicht (Art. 18 BayDSG-E).

  6. Teil 2 Kapitel 6 trifft ergänzende Regelungen zu den "Sanktionen". Gemäß Art. 22 BayDSG-E dürfen Geldbußen nach Art. 83 DSGVO gegen bayerische öffentliche Stellen nur verhängt werden, soweit diese als Unternehmen am Wettbewerb teilnehmen.

  7. Teil 2 Kapitel 7 ("Besondere Verarbeitungssituationen") enthält neben speziellen Vorschriften zur Videoüberwachung (Art. 24 BayDSG-E) und zur Verarbeitung personenbezogener Daten zu Forschungs- und Archivzwecken (Art. 25 und 26 BayDSG-E) nun erstmals auch eine gesetzliche Regelung zur Verarbeitung personenbezogener Daten im Zusammenhang mit der Vorbereitung und Durchführung staatlicher oder kommunaler Auszeichnungen und Ehrungen (Art. 27 BayDSG-E).

  8. Teil 2 Kapitel 8 enthält Sondervorschriften für Verarbeitungen im Anwendungsbereich der Datenschutz-Richtlinie für Polizei und Strafjustiz (siehe bereits Nr. 4 Buchst. c)).

  9. Teil 3 ("Meinungsäußerungs- und Informationsfreiheit") enthält mit Art. 38 BayDSG-E eine Bestimmung zur Verarbeitung personenbezogener Daten zu journalistischen, künstlerischen oder literarischen Zwecken. Diese Vorschrift gilt - ausnahmsweise - grundsätzlich auch für nicht öffentliche Stellen (vgl. Art. 1 Abs. 1 Satz 4 BayDSG-E).

    Das bisher in Art. 36 BayDSG normierte allgemeine Auskunftsrecht wird in Art. 39 BayDSG-E überführt.

  10. Mit Art. 39b BayDSG-E werden insgesamt 21 Fachgesetze an das geänderte europäische Datenschutzrecht angepasst.

6. Zusammenfassung

  • Die Regelungssystematik des zukünftig geltenden bayerischen Datenschutzrechts ist anspruchsvoll: Die Regelungen des neuen Bayerischen Datenschutzgesetzes und der Datenschutz-Grundverordnung müssen im Zusammenhang gelesen und angewendet werden.

  • Auch wenn die Vorschriften der Datenschutz-Grundverordnung nach dem Konzept des Gesetzentwurfs grundsätzlich für sämtliche Verarbeitungen personenbezogener Daten durch bayerische öffentliche Stellen gelten sollen, muss stets sorgfältig geprüft werden, ob nicht vorrangige Rechtsvorschriften diesen Anwendungsbefehl im Hinblick auf den konkreten Verarbeitungsvorgang ändern. Dies betrifft insbesondere die Verarbeitung personenbezogener Daten im Anwendungsbereich der Datenschutz-Richtlinie für Polizei und Strafjustiz.

Den bayerischen öffentlichen Stellen wird daher dringend empfohlen, sich frühzeitig mit der Regelungssystematik und dem Regelungsinhalt des neuen Bayerischen Datenschutzgesetzes vertraut zu machen.

Da sich künftig natürlich noch Änderungen des Gesetzentwurfs ergeben können, sollte das weitere Gesetzgebungsverfahren aufmerksam verfolgt werden.