Datenschutz bei öffentlichen Stellen in Bayern

Für eine leistungsfähige und bürgernahe Verwaltung sind moderne Informations- und Kommunikationstechnologien unverzichtbar. Viele moderne Informationstechnologien bringen zugleich neue Datenschutzrisiken mit sich. Daher müssen die Anforderungen an datenschutzgerechtes Verwaltungshandeln fortlaufend überprüft und angepasst werden.

Seit dem 25. Mai 2018 ist die von der Europäischen Union erlassene Datenschutz-Grundverordnung die wichtigste Grundlage für den Datenschutz bei staatlichen und kommunalen Behörden im Freistaat Bayern.  Als europäische Verordnung gilt die Datenschutz-Grundverordnung unmittelbar. Ergänzend zur Datenschutz-Grundverordnung als direkt geltendes Recht haben die bayerischen Behörden das im Jahr 2018 an die EU-Datenschutzreform angepasste Bayerische Datenschutzgesetz und – je nach Verwaltungsbereich – weiterhin auch datenschutzrechtliche Fachvorschriften zu beachten. Soweit bayerische öffentliche Stellen als Unternehmen am Wettbewerb teilnehmen, gelten für sie selbst und ihre Zusammenschlüsse und Verbände die Vorschriften für nicht öffentliche Stellen – also ergänzend zu den Vorschriften der Datenschutz-Grundverordnung insbesondere die Vorschriften des Bundesdatenschutzgesetzes (Art. 1 Abs. 3 BayDSG).

Verantwortlich für die Einhaltung datenschutzrechtlicher Vorschriften ist die für die jeweilige Datenverarbeitung zuständige öffentliche Stelle, d.h. eine Behörde oder sonstige öffentliche Stelle, z.B. die Gemeinde oder das Landratsamt. Die Datenschutz-Grundverordnung spricht hier vom sog. „Verantwortlichen“. Als Verantwortlicher hat die öffentliche Stelle nicht nur die Rechtmäßigkeit der von ihr verantworteten Verarbeitungen personenbezogener Daten zu gewährleisten, sondern muss auch den Nachweis dafür erbringen, dass die Datenverarbeitung im Einklang mit den Vorgaben der Datenschutz-Grundverordnung erfolgt. Der Verantwortliche ist zugleich Adressat der Rechte der betroffenen Personen.

Bei der Wahrnehmung seiner datenschutzrechtlichen Pflichten werden Verantwortliche von behördlichen Datenschutzbeauftragten beraten, die jede öffentliche Stelle zu bestellen hat. Durch die Datenschutz-Grundverordnung haben sich die Aufgaben und die Stellung von behördlichen Datenschutzbeauftragten geändert. Zu den wesentlichen Aufgaben gehört nunmehr insbesondere die Überwachung der Einhaltung der datenschutzrechtlichen Vorschriften und Strategien des Verantwortlichen. Mehrere Stellen können auch eine/n gemeinsame behördliche Datenschutzbeauftragte bestellen.

Trotz ihres Rechtscharakters als direkt geltendes europäisches Recht enthält die DSGVO weitreichende Öffnungsklauseln, d.h. die Befugnis für den nationalen Gesetzgeber zur Konkretisierung ihrer allgemeinen Vorschriften. Diese ermöglichen es im öffentlichen Bereich, wesentliche Kernelemente des nationalen Datenschutzrechts beizubehalten.

Da unter Geltung der Datenschutz-Grundverordnung somit die wesentlichen materiell-rechtlichen Kernelemente des nationalen Datenschutzrechts beibehalten werden können, ergeben sich kaum materielle Rechtsänderungen. Die neuen europäischen Vorgaben hatten bzw. haben für die bayerischen Behörden jedoch formalen und organisatorischen Anpassungsbedarf zur Folge. So müssen öffentliche Stellen nunmehr ein Verzeichnis der Verarbeitungstätigkeiten führen (Art. 30 DSGVO) und bestimmte Datenschutzpannen der Aufsichtsbehörde melden (Art. 33 DSGVO). Zudem wurden die Rechte der Betroffenen erheblich verstärkt. Dies gilt insbesondere für die Information der betroffenen Person bei einer Datenerhebung (Art. 13 DSGVO, Art. 9 BayDSG). Erheblich ausgeweitet wurde auch das Recht der betroffenen Person auf Auskunft (Art. 15 DSGVO, Art. 10 BayDSG). Die bisher im nationalen Datenschutzrecht vorgesehene datenschutzrechtliche Freigabe automatisierter Verfahren sowie die Führung eines öffentlich einsehbaren Verfahrensverzeichnisses entfallen hingegen.

Einen Überblick über die wichtigsten Anpassungsaufgaben sowie weitere Hilfestellungen und Muster hat das Bayerische Staatsministerium des Innern, für Sport und Integration in den Arbeitshilfen zur EU-Datenschutzreform zusammengestellt.

Für die Kontrolle über den Datenschutz bei öffentlichen Stellen in Bayern ist weiterhin der Bayerische Landesbeauftragte für den Datenschutz zuständig. Neben der Möglichkeit der Beanstandung ist der Landesbeauftragte im Anwendungsbereich der DSGVO u.a. auch dazu befugt, Anweisungen zu erlassen. Geldbußen können hingegen auch künftig nur verhängt werden, soweit die öffentliche Stelle als Unternehmen am Wettbewerb teilnimmt. Der Landesbeauftragte erstattet dem Landtag und der Staatsregierung nunmehr jährlich Bericht über seine Tätigkeit.