Rückansicht von Servern
© Bayerisches Landesamt für Statistik und Datenverarbeitung

Schutz persönlicher Daten

In unserer Gesellschaft wird die Verarbeitung von Daten - z.B. durch Verkehrsleitsysteme, Videoüberwachungsanlagen oder Smartphones - im Alltag kaum noch wahrgenommen. Dabei ist die Verarbeitung personenbezogener Daten im Berufs- und Privatleben nahezu allgegenwärtig. Datenschutz zählt daher zu den unverzichtbaren Grundbedingungen für die Gewährleistung persönlicher Freiheit.

Datenschutz ist Grundrecht

Anders als fast alle anderen Grundrechte, wie zum Beispiel das Recht auf Meinungsfreiheit oder auf Unverletzlichkeit der Wohnung, ist ein Grundrecht auf Datenschutz weder im Grundgesetz noch in der Bayerischen Verfassung ausdrücklich zu finden. Allerdings hat das Bundesverfassungsgericht bereits im Jahr 1983 im sogenannten Volkszählungsurteil festgestellt, dass der Schutz des allgemeinen Persönlichkeitsrechts das „Recht auf informationelle Selbstbestimmung“ umfasst.

Dieses „Grundrecht auf Datenschutz“ gewährleistet jeder und jede die Befugnis, grundsätzlich selbst über die Preisgabe und Verwendung der persönlichen Daten zu bestimmen. Dieses Grundrecht setzt nicht nur Maßstäbe für die staatliche Datenverarbeitung, sondern verpflichtet den Gesetzgeber auch, wirksame Datenschutzstandards für private Datenverarbeitungen, zum Beispiel zwischen Kundinnen und Kunden und Unternehmen, zu schaffen und durchzusetzen. Dies gilt auch für das sogenannte IT-Grundrecht, welches das Bundesverfassungsgericht im Jahr 2008 aus der Verfassung abgeleitet hat. Dieses Grundrecht gewährleistet die Vertraulichkeit und Integrität informationstechnischer Systeme und soll den Schutz der Privatsphäre erweitern. Schließlich können Dritte weitreichende Rückschlüsse auf die Persönlichkeit von Nutzerinnen und Nutzern ziehen oder Verhaltensprofile bilden, wenn sie auf digitale Datenbestände in Form von Texten, Bildern oder Tondateien zugreifen.

Die Europäische Grundrechtecharta (GRCh) hingegen enthält in Art. 8 ausdrücklich das Recht einer jeden Person auf Schutz der sie betreffenden Daten. Auch der Vertrag über die Arbeitsweise der Europäischen Union enthält in Art. 16 eine entsprechende Regelung. Aus Art. 7 der GRCh ergibt sich ergänzend ein Recht auf Achtung des Privat- und Familienlebens, der Wohnung sowie der Kommunikation.

Die Reform des Europäischen Datenschutzrechts

Rasche technologische Entwicklungen, die fortschreitende Digitalisierung und die Globalisierung haben das Datenschutzrecht in den letzten Jahren vor neue Herausforderungen gestellt. Um einen einheitlichen und klar durchsetzbaren Rechtsrahmen in diesem Bereich zu schaffen, haben sich das Europäische Parlament und der Rat der Europäischen Union im April 2016 auf eine umfassende Reform des europäischen Datenschutzrechts verständigt.

Im Mittelpunkt der Reform steht die Datenschutz-Grundverordnung (DSGVO). Ihre Regelungen gelten seit 25. Mai 2018 unmittelbar in ganz Europa sowohl für Behörden und sonstige öffentliche Stellen als auch für nicht öffentliche Stellen wie z.B. Unternehmen, Selbständige, Verbände und Vereine. Durch ihren einheitlichen Maßstab schafft die Datenschutz-Grundverordnung gleiche Wettbewerbsbedingungen und gewährleistet einen freien Verkehr personenbezogener Daten innerhalb der Europäischen Union; gerade für den Freistaat Bayern mit seinem vielen starken, innovationsfreudigen und global agierenden Unternehmen hat das besondere Bedeutung. Zugleich werden durch die Datenschutz-Grundverordnung die Rechte der betroffenen Personen erheblich gestärkt. Dies gilt insbesondere für die Information der betroffenen Person bei einer Datenerhebung und das Recht auf Auskunft. Die Betroffenen erhalten so mehr Kontrolle und Transparenz bei der Datenverarbeitung gerade im digitalen Zeitalter.

Neben der Datenschutz-Grundverordnung bildet die Richtlinie zum Datenschutz bei Polizei und Justiz die zweite Säule der Europäischen Datenschutzreform. Sie enthält besondere Vorgaben für die Verarbeitung personenbezogener Daten zu Zwecken der Strafverfolgung und der Gefahrenabwehr und ist damit insbesondere für Polizei- und Justizbehörden, aber auch für Behörden, die Ordnungswidrigkeiten verfolgen, von Bedeutung. Anders als die Regelungen der Datenschutz-Grundverordnung gelten die Vorschriften der Richtlinie nicht unmittelbar. Vielmehr waren diese bis Mai 2018 vom Gesetzgeber in Bundes- und Landesrecht umzusetzen.

Einen weiteren wichtigen Schritt auf dem Weg zu einem einheitlichen europäischen digitalen Binnenmarkt soll darüber hinaus die e-Privacy-Verordnung darstellen, die eigentlich zeitglich mit der Datenschutz-Grundverordnung auf EU-Ebene in Kraft treten sollte. Mit ihr sollten die Regelungen zum Schutz der Vertraulichkeit der elektronischen Kommunikation modernisiert werden. Ziel der Verordnung sollte es sein, gleiche Marktchancen für hiesige Internetunternehmen und ihre dominante internationale Konkurrenz zu schaffen und zugleich das Vertrauen der Menschen in digitale Kommunikationsdienste zu stärken. Angesichts stark unterschiedlicher Vorstellungen der Mitgliedstaaten zur Ausgestaltung der Regelungen insbesondere zu Cookies befindet sich die e-Privacy Verordnung allerdings nach wie vor im Gesetzgebungsverfahren. Bis dahin existiert lediglich eine e-Privacy-Richtlinie, welche ebenfalls der Umsetzung in nationales Recht bedarf und welche gemäß Art. 95 DSGVO auch weiterhin neben der DSGVO beachtlich ist. Der Bundesgesetzgeber hat daher ein Telekommunikations-Telemedien-Datenschutzgesetz verabschiedet, welches die Vorgaben der e-Privacy-Richtlinie normenklarer als bisher umsetzen soll.

Anpassungen des nationalen Datenschutzrechts an die EU-Datenschutzreform

Neben der Datenschutz-Grundverordnung (DSGVO) sind das Bundesdatenschutzgesetz (BDSG) und die Datenschutzgesetze der Länder weiterhin die wichtigsten Rechtsgrundlagen des Datenschutzes im nationalen Recht. Da der Datenschutz-Grundverordnung Anwendungsvorrang vor nationalem Recht zukommt, gelten die Regelungen des Bundesdatenschutzgesetzes und der Datenschutzgesetze der Länder jedoch nur noch ergänzend zu den Bestimmungen der Datenschutz-Grundverordnung, soweit diese Öffnungsklauseln für nationale Regelungen enthalten.

Das Bundesdatenschutzgesetz gilt sowohl für die Behörden des Bundes als auch für alle Datenverarbeitungen durch Private, insbesondere durch Unternehmen. Das Bundesdatenschutzgesetz wurde zum 25. Mai 2018 neu gefasst und an die EU-Datenschutz-Reform angepasst. Darüber hinaus hat der Bundesgesetzgeber weitere Änderungen datenschutzrechtlicher Vorschriften verabschiedet, z.B. auch eine Neufassung der Datenschutzvorschriften in der Abgabenordnung und im Ersten und Zehnten Buch des Sozialgesetzbuches.

Auf Landesebene hat der Bayerische Landtag am 15. Mai 2018 ein neues Bayerisches Datenschutzgesetz verabschiedet, das zum 25. Mai 2018 in Kraft getreten ist. Das Bayerische Datenschutzgesetz (BayDSG) gilt für alle bayerischen Behörden und sonstigen öffentlichen Stellen des Freistaates Bayern, der Gemeinden, Gemeindeverbände und der sonstigen der Aufsicht des Freistaates Bayern unterstehenden juristischen Personen des öffentlichen Rechts. Eine neue Regelung im Bayerischen Datenschutzgesetz zum sog. Medienprivileg gilt darüber hinaus auch für nicht öffentliche Stellen, wenn sie Daten jeweils zu journalistischen, wissenschaftlichen, künstlerischen oder literarischen Zwecken verwenden.

Zusammen mit der Neufassung des Bayerischen Datenschutzgesetzes wurde auch eine Reihe fachrechtlicher Bestimmungen an die Datenschutz-Grundverordnung angepasst. Die Mehrzahl der weiteren Änderungen beschränkt sich dabei auf Anpassungen an die Systematik und den Wortlaut der Datenschutz-Grundverordnung. Über die Anpassung an die Datenschutz-Grundverordnung hinausgehend wurde in der Gemeindeordnung ferner eine gesetzliche Rechtsgrundlage für den Einsatz und Betrieb elektronischer Wasserzähler geschaffen, um Rechtsunsicherheiten in der kommunalen Praxis auszuräumen. Weitere Fachrechtsanpassungen an die Datenschutz-Grundverordnung und an die Richtlinie zum Datenschutz bei Polizei und Justiz wurden im Rahmen eigenständiger Gesetzgebungsverfahren aufgegriffen (u.a. Gesetz zur Änderung personalaktenrechtlicher und weiterer dienstlicher Vorschriften; Gesetz zum weiteren Nachvollzug der Datenschutz-Grundverordnung im Landesrecht; Gesetz zur Neuordnung des bayerischen Polizeirechts).

Trotz der mit der EU-Datenschutzreform einhergehenden Strukturveränderungen ist seit der Geltung der Datenschutz-Grundverordnung im Datenschutz nicht alles neu. Wesentliche materiellen Kernelemente und damit viele bekannte und handhabbare Regelungen sind erhalten geblieben. Gleichwohl hat die Datenschutz-Grundverordnung eine Reihe neuer – und im bisherigen Datenschutzrecht noch nicht enthaltener - datenschutzrechtlicher Verpflichtungen und Verfahrensänderungen mit sich gebracht, die in die Organisationsstrukturen und Verwaltungsabläufe öffentlicher und nicht öffentlicher Stellen einzupassen waren.

Das Bayerische Datenschutzgesetz (BayDSG)

Das zum 25. Mai 2018 neugefasste Bayerische Datenschutzgesetz regelt folgende drei Bereiche:

  • Regelungen im Geltungsbereich der Datenschutz-Grundverordnung: Das neugefasste Bayerische Datenschutzgesetz enthält ergänzende Bestimmungen zur Datenschutz-Grundverordnung. Um den Umgang mit dem europäischen Datenschutzrecht zu erleichtern, sind der Aufbau sowie die einzelnen Kapitel- und Artikelüberschriften des Bayerischen Datenschutzgesetzes so gewählt, dass sie denjenigen der Datenschutz-Grundverordnung entsprechen. Klammerzusätze zu den Artikelüberschriften verdeutlichen zudem, welche konkrete Vorschrift der Datenschutz-Grundverordnung die jeweilige Regelung im Bayerischen Datenschutzgesetz ergänzt. Unionsrechtlich verbliebene Regelungsspielräume werden des Weiteren im Interesse einer effektiven Verwaltung genutzt, um bewährte Grundfunktionen und Strukturen des geltenden Datenschutzrechts in Bayern zu bewahren.
     
  • Umsetzung der Richtlinie zum Datenschutz bei Polizei und Justiz: Im neugefassten Bayerischen Datenschutzgesetz werden in einem gesonderten Kapitel allgemeine und organisationsrechtliche Datenverarbeitungsanforderungen der Richtlinie zum Datenschutz bei Polizei und Justiz umgesetzt. Ergänzt wird die Umsetzung der Richtlinie zum Datenschutz bei Polizei und Justiz durch weitere Änderungen im Fachrecht (im bayerischen Fachrecht insbesondere im Bayerischen Polizeiaufgabengesetz und im Bayerischen Strafvollzugsgesetz). Um Abgrenzungsschwierigkeiten zur Datenschutz-Grundverordnung zu vermeiden und um einen einheitlichen datenschutzrechtlichen Rechtsrahmen zu gewährleisten, hat der Bayerische Gesetzgeber die Regelungen der Datenschutz-Grundverordnung weitgehend auch im Anwendungsbereich der Richtlinie zum Datenschutz bei Polizei und Justiz für entsprechend anwendbar erklärt (Art. 2 BayDSG). Nur dort, wo dies aus sachlichen Gesichtspunkten geboten erscheint, sieht das Bayerische Datenschutzgesetz einschränkende oder modifizierende Regelungen vor (Art. 28 bis 37 BayDSG). Beim Vollzug von Straf- sowie Ordnungswidrigkeitenverfahren ist außerdem § 500 StPO zu beachten.
     
  • Regelungen im verbleibenden Landesbereich: Das neue Bayerische Datenschutzgesetz enthält außerdem Datenschutzbestimmungen für Bereiche, die weder dem Anwendungsbereich der Datenschutz-Grundverordnung noch der Richtlinie für den Datenschutz bei Polizei und Justiz unterfallen, wie z.B. bestimmte nicht-elektronische Nutzungen personenbezogener Daten etwa in unstrukturierten Handakten sowie Verarbeitungen, die keiner europarechtlichen Regelung zugänglich sind, beispielsweise Datenverarbeitungen durch Verfassungsschutzbehörden. Auch diesen verbleibenden landesrechtlichen Zuständigkeitsbereich regelt das neue Bayerische Datenschutzgesetz dadurch, dass es die Regelungen der Datenschutz-Grundverordnung grundsätzlich für anwendbar erklärt (Art. 2 Satz 1 BayDSG).

Neue Elemente im Bayerischen Datenschutzgesetz

Das im Jahr 2018 neugefasste Bayerische Datenschutzgesetz enthält folgende Neuregelungen:

  • Neu ist eine als Auffangvorschrift konzipierte Vorschrift über die Verarbeitung personenbezogener Daten zu journalistischen, künstlerischen und literarischen Zwecken (Art. 38). Die Regelung knüpft an das vormals im Bundesrecht geregelte sog. Medienprivileg für Presseunternehmen an. Sie gilt auch für nicht öffentliche Stellen.
  • Die Neuregelung über die Verarbeitung personenbezogener Daten für die Verleihung staatlicher und kommunaler Auszeichnungen und Ehrungen in Art. 27 sichert die geltende Praxis ab, wonach die für Auszeichnungen und Ehrungen verarbeiteten Daten einer strikten Zweckbindung unterliegen.

Hilfen zum aktuellen Datenschutzrecht

Um den Umgang mit den aktuellen Datenschutzbestimmungen zu erleichtern, stehen vielfältige Hilfestellungen und Beratungsmöglichkeiten bereit.

Häufig gestellte Fragen und Antworten werden auf der Homepage des Bayerischen Landesamts für Datenschutzaufsicht veröffentlicht. Dort finden sich u.a. auch spezifische Handreichungen für kleine Unternehmen und Vereine mit konkreten Praxisbeispielen.

Zudem stellt das Bayerische Landesamt für Datenschutzaufsicht einen Online-Beratungs-Service zur Verfügung, durch welchen Privatpersonen, Unternehmen, Freie Berufe u.a. schriftliche Beratungsanfragen stellen können.

Für staatliche und kommunale Verwaltungen stellt das Bayerische Staatsministerium des Innern, für Sport und Integration in Abstimmung mit und unter Beteiligung des Bayerischen Landesbeauftragten für den Datenschutz und der Kommunalen Spitzenverbände „Arbeitshilfen zur EU-Datenschutzreform“ zur Verfügung.

Darüber hinaus hat der Bayerische Landesbeauftragte für den Datenschutz im Rahmen einer eigenen Informationsreihe zur „Datenschutzreform 2018“ Hinweise und aktuelle Kurzinformationen bereitgestellt, die die Änderungen für die Datenschutzpraxis der öffentlichen Stellen in Bayern ausführlich erläutern.

Änderungen im Fachrecht

Die Änderungen im Fachrecht beschränken sich in der Mehrzahl auf Anpassungen an die Systematik und den Wortlaut der Datenschutz-Grundverordnung. Über die Anpassung an die Datenschutz-Grundverordnung hinausgehend wurde dieses Gesetzgebungsverfahren zum Anlass genommen, in der Gemeindeordnung eine gesetzliche Rechtsgrundlage für den Einsatz und Betrieb elektronischer Wasserzähler zu schaffen, um Rechtsunsicherheiten in der kommunalen Praxis auszuräumen.

Losgelöst von den Anpassungen an die EU-Datenschutzreform enthält der Gesetzentwurf außerdem Rechtsvereinfachungen im Presserecht, insbesondere die Übernahme der Verordnung zur Durchführung des Gesetzes über die Presse in ihr Stammgesetz sowie aus aktuellen sicherheitspolitischen Gründen eine seit Juni 2017 durch das Bundesrecht neu zugelassenen Ermächtigung des Landesamts für Verfassungsschutz zum Abruf von Kontostammdaten im Bayerischen Verfassungsschutzgesetz.

Datenschutz im Bayerischen Innenministerium

Das Bayerische Staatsministerium des Innern, für Sport und Integration ist in Bayern federführend für Grundsatzfragen des Datenschutzes zuständig. Neben grundsätzlichen Fragen beim Vollzug datenschutzrechtlicher Vorschriften in der behördlichen Praxis begleitet das Bayerische Staatsministerium des Innern, für Sport und Integration zentrale datenschutzpolitische Vorhaben im Bundes- und Landesrecht sowie in der Europäischen Union. Ein immer wichtigeres Handlungsfeld ist die Verbesserung der Medienkompetenz, um Bürgerinnen und Bürgern im Alltag bei der Wahrnehmung informationeller Selbstbestimmung zu stärken und mit Hilfestellungen zu unterstützen.

Die Fachministerien und die nachgeordneten Dienststellen sind für die Einhaltung der datenschutzrechtlichen Vorschriften in ihren jeweiligen Zuständigkeitsbereichen grundsätzlich selbst verantwortlich. In allen öffentlichen Stellen gibt es Datenschutzbeauftragte, die auf die Einhaltung des Datenschutzes hinwirken. Der Bayerische Landesbeauftragte für den Datenschutz überwacht diese bezüglich des Vollzugs der datenschutzrechtlichen Regelungen als unabhängiges Kontrollorgan.