Der Bayerische Landesbeauftragte für den Datenschutz; Stand: 25.05.2018

Um diese Seite zu drucken, benutzen Sie bitte die "Drucken"-Funktion Ihres Browsers (etwa im Menü Datei->Drucken). Danach dieses Fenster bitte wieder schließen.

Welche grundlegenden Regeln enthält das neue Datenschutzrecht, die Sie als öffentliche Stelle zu beachten haben? 

Zu den grundlegenden Themen der Datenschutz-Grundverordnung (DSGVO) verweise ich auf die Reihe "Datenschutzreform 2018", in der Grundzüge des neuen Rechts dargestellt werden.

Hier nur einige Punkte in Kurzform:

Zentrale Begriffe des neuen Datenschutzrechts sind:

"Personenbezogene Daten" sind nach Art. 4 Nr. 1 DSGVO alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (sogenannte "betroffene Person") beziehen.

Die "Verarbeitung" umfasst nach Art. 4 Nr. 2 DSGVO grundsätzlich jeden Verarbeitungsvorgang im Zusammenhang mit personenbezogenen Daten einschließlich deren Erhebung. Die bislang im deutschen Datenschutzrecht gebräuchliche Begriffs-Trias "Erhebung, Verarbeitung und Nutzung" wird daher künftig durch den einheitlichen Begriff der Verarbeitung zu ersetzen sein.

Zentraler Adressat der materiellen Regelungen der Datenschutz-Grundverordnung ist der "Verantwortliche". Nach Art. 4 Nr. 7 DSGVO ist "Verantwortlicher" im Sinne der Datenschutz-Grundverordnung "die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet". Damit trägt die Leitung der jeweiligen öffentlichen Stelle die Verantwortung für den Datenschutz in ihrem Zuständigkeitsbereich.

Die Grundsätze der Datenverarbeitung finden Sie in Art. 5 DSGVO: Demnach müssen Daten rechtmäßig, nach Treu und Glauben und transparent verarbeitet werden. Die Daten unterliegen einer Zweckbindung und dürfen nur in erforderlichem Maße erhoben und gespeichert werden. Die verarbeiteten Daten müssen sachlich richtig sein und in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet.

Über die Einhaltung dieser Grundsätze sind Sie als Verantwortlicher nach Art. 5 Abs. 2 DSGVO rechenschaftspflichtig. Dies stellt ein Novum der Datenschutz-Grundverordnung dar.

Darüber hinaus müssen Sie als öffentliche Stelle Maßnahmen treffen, die eine gesetzeskonforme Datenverarbeitung sicherstellen. Dazu zählen regelmäßig die Benennung eines behördlichen Datenschutzbeauftragten (Art. 37 DSGVO), das Erstellen eines Verarbeitungsverzeichnisses (Art. 30 DSGVO), die Durchführung von Datenschutzfolgenabschätzungen (Art. 35 DSGVO) sowie das Treffen technischer und organisatorischer Maßnahmen (Art. 24, 25, 32 DSGVO).

Die Datenschutz-Grundverordnung sieht auch vor, dass Personen, die von Ihrer Datenverarbeitung betroffen sind, bestimmte Schutzrechte genießen. Dazu gehören das Auskunftsrecht (Art. 15 DSGVO) sowie das Recht auf Berichtigung (Art. 16 DSGVO) oder Löschung (Art. 17 DSGVO) der Daten.

Jede betroffene Person hat zudem das Recht, den behördlichen Datenschutzbeauftragten zu Rate zu ziehen (Art. 38 Abs. 4 DSGVO) oder sich bei der Aufsichtsbehörde zu beschweren (Art. 77 DSGVO).

Um diese Schutzrechte zu ermöglichen, müssen Sie die betroffenen Personen nach Art. 13 bzw. 14 DSGVO über die Erhebung der Daten sowie über die ihnen zustehenden Rechte informieren.