BDSG oder LDSG – Welches Recht gilt?

gesetz 05
Fachbeitrag

In Deutschland existieren aufgrund des föderalistischen Systems neben dem Bundesdatenschutzgesetz (BDSG) noch 16 Landesdatenschutzgesetze. Zwar sind diese größtenteils deckungsgleich mit dem BDSG, allerdings ergeben sich teilweise auch zu beachtende Unterschiede. Privatrechtliche Unternehmen, wie GmbH, KG, AG oder OHG sind keine öffentlichen Stellen. Nach § 2 Abs. 4 BDSG und § 1 Abs. 2 Nr. 3 BDSG gilt für diese somit das BDSG und nicht etwa das jeweilige Landesdatenschutzgesetz (LDSG). Auch für öffentliche Stellen des Bundes, beispielsweise für Bundesbehörden und Bundesämter sowie für die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit gilt das BDSG.

Wann kommt das LDSG zur Anwendung?

Das jeweils einschlägige LDSG kommt somit grundsätzlich nur zur Anwendung, wenn öffentliche Stellen eines Bundeslandes wie z.B. die jeweiligen Landesbehörden und Kommunalverwaltungen personenbezogene Daten verarbeiten bzw. wenn es um Befugnisse des jeweiligen Landesbeauftragten für den Datenschutz geht. Ausnahmen hiervon sind, dass die öffentliche Stelle des Landes

  • Bundesrecht ausführen würde, oder
  • als Organ der Rechtspflege tätig ist und es sich nicht um Verwaltungsangelegenheiten handelt,

dann gilt gem. § 1 Abs. 2 Nr. 2 BDSG wieder das BDSG.

§ 11 BDSG ist keine Ermächtigung zur Aufgabenverlagerung

Bei der Auftragsdatenverarbeitung (ADV) gem. § 11 BDSG kann es durchaus vorkommen, dass der Auftraggeber eine öffentliche Stelle des Landes ist und der Auftragnehmer ein privatwirtschaftliches Unternehmen. Nicht stark genug hervorheben kann man aber, dass § 11 BDSG nur eine spezifische Form technischer Hilfe und damit nicht die viel wichtigeren Arten einer Behördengrenzen überschreitenden Arbeitsteilung betrifft. § 11 BDSG stellt daher keine Ermächtigung für derartige Aufgabenverlagerungen dar. Ob eine öffentliche Stelle ihre öffentlichen Aufgaben an private Stellen delegieren darf, unterliegt somit einer eigenständigen Prüfung. Erforderlich ist eine doppelte Zulässigkeitsprüfung:

  • einmal unter dem Gesichtspunkt der Beauftragung eines Dritten zur Verarbeitung personenbezogener Daten (§ 11 BDSG bzw. Spezialregelungen einschlägig), und
  • zusätzlich unter dem Aspekt der Einschaltung Dritter in Verwaltungsvorgänge (funktionale Privatisierung).

Nach dem Bundesverwaltungsgericht bedarf eine Beteiligung eines Privaten an der staatlichen Aufgabenerledigung, die einer abschließenden Kompetenzwahrnehmung nahe- oder gleichkommt, einer spezialgesetzlichen Ermächtigung. Die folgenden Ausführungen beziehen sich nur auf die Einschaltung eines Dritten durch eine öffentliche Stelle des Landes nach § 11 BDSG.

LDSG kann auch bei ADV eine Rolle spielen

Bei dieser Konstellation stellt sich dann die Frage, ob der Auftragnehmer auch Regelungen des jeweils einschlägigen LDSG zu beachten hat, wenn diese Verpflichtungen die öffentliche Stelle des Landes treffen. Müssen dann die Mitarbeiter des Auftragnehmers z. B. auch auf das Datengeheimnis nach landesrechtlichen Vorschriften verpflichtet werden, wenn diese ein solches vorsehen?
Hierzu ist z. B. § 3 HmbDSG, der explizit die Datenverarbeitung im Auftrag regelt, zu sehen:

“Die Vorschriften dieses Gesetzes gelten für die in § 2 Absatz 1 Satz 1 genannten Stellen auch insoweit, als personenbezogene Daten in deren Auftrag durch andere Stellen verarbeitet werden.”

Das bedeutet für ein privatwirtschaftliches Unternehmen, dass bei einer ADV mit einer öffentlichen Stelle eines Bundeslandes auch die einschlägigen Regelungen des LDSG Anwendung finden.
Lediglich das Datenschutzgesetz Schleswig-Holstein enthält keinerlei gesonderte Regelung über das Datengeheimnis. Im Übrigen lassen sich zwei Gruppen von Regelungen unterscheiden, nämlich eine kleinere Gruppe von Vorschriften, die eine förmliche Verpflichtung auf das Datengeheimnis vorsehen und eine größere Gruppe von Normen, bei denen dies – wie in § 5 BDSG – nicht der Fall ist. Die Landesdatenschutzgesetze statuieren somit – mit Ausnahme von Schleswig-Holstein – ein gleiches Datengeheimnis, wobei sie teilweise den angesprochenen Personenkreis auch noch erweitern. So z. B. § 7 HmbDSG mit Bezug auf alle Personen, die Zugang zu personenbezogenen Daten haben:

“Denjenigen Personen, die bei den in § 2 Absatz 1 Satz 1 genannten Stellen oder ihren auftragnehmenden Stellen dienstlichen Zugang zu personenbezogenen Daten haben, ist es untersagt, geschützte personenbezogene Daten unbefugt zu einem anderen als dem zur jeweiligen Aufgabenerfüllung gehörenden Zweck zu verarbeiten, insbesondere bekanntzugeben oder zugänglich zu machen.”

Praxistipp

Daraus folgt, dass privatrechtlich organisierte Auftragnehmer, die im Zuge einer ADV mit öffentlichen Stellen eines Bundeslandes Verträge schließen, gut daran tun, ihre Mitarbeiter zusätzlich zum Datengeheimnis nach § 5 BDSG auch auf das jeweilige Datengeheimnis nach dem einschlägigen Landesdatenschutzgesetz zu verpflichten.

2 Kommentare zu diesem Beitrag

  1. Sehr geehrter Dr. Datenschutz,

    ein sehr interessanter Artikel. Bei Durchsicht des LDSG BaWü (§2) kann ich jedoch diesbezüglich keinen Handlungsbedarf feststellen (wir als nicht-öffentliche Stelle haben mit einer Kommune eine ADV nach LDSG).
    Daher meine Frage:
    Ist an anderer Stelle im LDSG BaWü ein Hinweis zu finden – bezogen auf Ihren Praxistipp.

    Vielen Dank und mit freundlichem Gruß
    bekerwit

    • Im LDSG BaWü wird das Datengeheimnis in § 6 geregelt. Im BDSG in § 5. Zumindest bei zukünftigen ADV´s mit Kommunen empfehle ich Ihnen, Ihre Mitarbeiter in der ADV mit der Kommune sowohl auf § 6 LDSG BaWü als auch auf § 5 BDSG zu verpflichten.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.