Verwaltungsdatenschutzrecht: Einfluss der DSGVO auf das Verwaltungshandeln

Lesezeit: ca. 6 Minuten

Nach dem Inkrafttreten der EU-Datenschutz-Grundverordnung (DSGVO) am 25.05.2018 ist die bisherige Trennung zwischen dem Datenschutzrecht, das für die öffentliche Verwaltung gilt, und dem Datenschutzrecht für Unternehmen in großen Teilen aufgehoben. Nach dem alten Datenschutzrecht galten die Vorschriften nach den Landesdatenschutzgesetzen für die Länderverwaltung und die Kommunen, die Vorschriften des Bundesdatenschutzgesetzes für die Bundesverwaltung und die Unternehmen.

Mit Inkrafttreten der DSGVO gelten diese europäischen Regelungen sowohl für Unternehmen als für Verwaltungen. Dennoch gibt es im Moment eine Tendenz, die behördliche Datenverarbeitung dem „Verwaltungsdatenschutzrecht“ zuzuordnen und in der juristischen Literatur wird in Bezug auf das Datenschutzrecht von einer „verwaltungsrechtlichen Querschnittsmaterie“ gesprochen.

Das Verwaltungsdatenschutzrecht soll dabei dem allgemeinen Verwaltungsrecht zugeordnet werden.

Die Verwendung des Begriffs „Verwaltungsdatenschutzrecht“ darf nicht darüber hinwegtäuschen, dass auch für alle Verwaltungen, seien es Bundesverwaltung, Landesverwaltung oder Kommune die Festsetzung und Festlegung der DSGVO zunächst entscheidend sind.

Die DSGVO in der allgemeinen Verwaltung

Die meisten Behörden werden ihre Geschäftsprozesse und ihre Organisation nach der DSGVO ausrichten müssen und dürfen. Die DSGVO ist unmittelbar auch für die öffentliche Verwaltung in Bund, Ländern und Kommunen anwendbar. Allerdings gibt es in der DSGVO verschiedene Öffnungsklauseln.

Im Einzelfall ist zu prüfen, ob spezialgesetzliche Regelungen auf Basis entsprechender Öffnungsklauseln auch das Verwaltungshandeln der allgemeinen Verwaltung datenschutzrechtlich prägen.

Für die praktische Bewertung empfiehlt es sich also, zunächst zu prüfen, ob die DSGVO im konkreten Einzelfall anwendbar ist. Für die öffentlichen Stellen des Bundes gilt ergänzend zur DSGVO im Verwaltungsdatenschutzrecht das Bundesdatenschutzgesetz 2018 (BDSG).

Daneben ist das BDSG in Einzelfällen auch auf öffentliche Stellen der Länder anwendbar. Allerdings nur unter zwei Voraussetzungen. Zum einen darf der fragliche Aspekt des Datenschutzes nicht im Landesgesetz geregelt sein und die Behörde muss Bundesrecht ausführen.

Ansonsten gelten die jeweiligen Länderdatenschutzgesetze für die Länderverwaltungen.

Weitere Spezialnormen gelten für die Verarbeitung personenbezogener Daten durch die Finanzbehörden und die Verarbeitung der Sozialdaten.

Finanzdatenschutz

Die Verarbeitung personenbezogener Daten durch die Finanzbehörden ist in einem eigenen „Finanzdatenschutzrecht“ geregelt. In den Steuergesetzen, insbesondere in den §§ 29b bis 31c und §§ 32a bis 32j Abgabenordnung (AO), finden sich entsprechende weitere Vorschriften.

Der Bereich des Finanzdatenschutzrechts steht im Zusammenhang mit allen Steuern, einschließlich der Steuervergütung, die durch Bundesrecht oder dem Recht der Europäischen Union geregelt sind. Hierbei wird insbesondere auf die Verwaltung durch die Bundesfinanzbehörden und durch die Landesfinanzbehörden abgestellt.

Weiterhin gilt das Finanzdatenschutzrecht im Zusammenhang mit Grund- und Gewerbesteuer, soweit deren Verwaltung landesgesetzlich den Gemeinden übertragen worden ist.

Dagegen ist im Bereich der übrigen Kommunalabgaben das Finanzdatenschutzrecht als solches nicht anwendbar, weil hier keine Aufgaben aus der Abgabenordnung von Bundes- und Landesfinanzbehörden bezogen werden und die Kommunalabgaben keine Realsteuern im Sinne des § 3 Abs. 2 AO darstellen.

In der Praxis sind also das jeweilige Verwaltungshandeln und die Geschäftsprozesse genau zu analysieren, welche datenschutzrechtlichen Regelungen anzuwenden sind.

Sozialdatenschutz

Ein weiterer Sonderbereich ist das sogenannte „Sozialdatenschutzrecht“ als Untergruppe zum Verwaltungsdatenschutzrecht. Das Sozialdatenschutzrecht ist im Wesentlichen in § 35 SGB I sowie in den §§ 67 bis 85a SGB X geregelt.

Mit diesen Regelungen nach dem Sozialdatenschutz werden die Vorschriften des BDSG und die entsprechenden Landesgesetze verdrängt. Hier ist zunächst zu prüfen, ob im konkreten Geschäftsprozess Sozialdaten verarbeitet werden.

Betroffen sind insbesondere Körperschaften, z. B. Krankenkassen oder Berufsgenossenschaften, sowie Leistungsträger, z. B. der Medizinische Dienst der Krankenkasse.

Auch Zollbehörden und staatliche sowie kommunale Behörden können Sozialdaten verarbeiten. Auch hier ist der jeweilige Geschäftsprozess genau zu analysieren, ob das Sozialdatenschutzrecht anwendbar ist.

Landesdatenschutz

Nicht nur der Bundesgesetzgeber, sondern auch die Länderparlamente haben die Öffnungsklausel nach der DSGVO genutzt, um für die Landesverwaltungen und die Kommunen datenschutzrechtliche Regelungen zu veröffentlichen. Da das europäische Datenschutzrecht in Form einer Verordnung verabschiedet wurde, ist es sowohl dem Bundes- als auch dem Landesgesetzgeber verwehrt, Regelungen für die Bereiche zu treffen, die keine Öffnungsklausel in der DSGVO enthalten.

Hier gibt es aktuell eine Diskussion, ob die neue Regelung zur Videoüberwachung im Bundesdatenschutzgesetz EU-konform ist und den Vorgaben der DSGVO entspricht. Zur Videoüberwachung hat die DSGVO keine eigenen und besonderen Regelungen getroffen und auch keine Öffnungsklausel mit aufgenommen.

Daher sprechen gewichtige und gute Gründe dafür, dass die aktuelle Regelung in § 6 BDSG zur Videoüberwachung so nicht zulässig ist.

Alle Ländergesetzgeber müssen daher genau prüfen, ob der von der DSGVO im Rahmen der Öffnungsklausel eingeräumte Rahmen nicht überschritten wird und insoweit die Landesdatenschutzgesetze den europäischen Vorgaben entsprechen.

Gesperrt sind darüber hinaus die Bereiche der Landesfinanzverwaltung, die dem Finanzdatenschutz der Abgabenordnung unterliegen, und der Vollzug des SGB, der dem Sozialdatenschutz unterliegt.

Einige Bundesländer haben sich daher darauf beschränkt, Ausführungsvorschriften zur DSGVO zu veröffentlichen. Entsprechendes wurde von den Ländern Baden-Württemberg, Bremen, Hamburg, Mecklenburg-Vorpommern, Saarland und Sachsen vorgesehen.

Sieben Länder orientieren sich am Vorbild des Bundesrechts und haben umfangreichere Datenschutzgesetze erlassen. Zu diesen Ländern gehört Berlin, Hessen, Niedersachsen, Nordrhein-Westfalen, Schleswig-Holstein, Rheinland-Pfalz und Thüringen.

Sicherheitsverwaltung und DSGVO

Im Bereich der DSGVO sind die datenschutzrechtlichen Anforderungen für die Behörden, die sich mit den Themen Verhütung, Ermittlung, Aufdeckung und Verfolgung von Straftaten befassen, sowie der Bereich Strafvollstreckung ausgenommen. Diese datenschutzrechtlichen Geschäftsprozesse unterliegen der Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rats vom 27. April 2016.

Die Datenschutzrichtlinie für Justiz und Inneres (JIRL) orientiert sich zwar in vielen Bereichen an der DSGVO, hat aber insbesondere für die Gefahrenabwehrtätigkeit der Polizei des Bundes und der Länder eigene Regelungen vorgesehen.

In der Praxis ist behördenintern zu prüfen, ob der jeweilige Verwaltungsbereich der Strafverfolgung und Strafvollstreckung dient. Innerverwaltliches Handeln, z. B. das Personalmanagement bei der Polizei, unterliegt nicht der Datenschutzrichtlinie für Justiz und Inneres, sondern den Normalvorschriften der DSGVO.

Sowohl bei den Gerichten als auch bei der Polizei und anderen Gefahrenabwehrbehörden führt dies zu einer notwendigen Unterscheidung, welche Datenschutzvorschrift einzeln jeweils angewandt und beachtet werden muss.

Verwaltungshandeln innerhalb der Behörden und der Verwaltung

Diskutiert wird aktuell, wer Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO ist. Im Gesetzestext der DSGVO wird darauf verwiesen, dass es sich dabei um Personen, Behörden, Einrichtungen oder sonstige Stellen handeln kann.

Insbesondere die Frage ist zu klären, was genau unter einer „Behörde“ zu verstehen ist. Wenn eine Behörde angenommen wird, wenn diese in eigenem Namen nach außen handelt, so würde beispielsweise eine Datenübermittlung innerhalb derselben Finanzbehörde oder zwischen den verschiedenen Dezernaten einer Verwaltung nicht von der DSGVO umfasst werden.

Wenn dagegen eine Behörde enger gefasst wird, kann auch ein verwaltungsinternes Handeln nach der DSGVO relevant sein.

Hier spielt eine aktuelle Diskussion auf Dauer eine wichtige Rolle.

Die Baden-Württembergische Landesdatenschutzaufsicht thematisierte in ihrem letzten Tätigkeitsbericht, dass Betriebsräte als „Verantwortliche“ auch hinsichtlich der Mitbestimmungstatbestände einzuordnen sind. Dabei verweist die Datenschutzaufsicht auf die Definition in Art. 4 Nr. 7 DSGVO. Verantwortlicher ist eine sonstige Stelle, die gemeinsam mit anderen oder alleine über Mittel und Zweck der Datenverarbeitung entscheidet.

Bei echten Mitbestimmungstatbeständen entscheiden Arbeitgeber und Betriebsrat paritätisch über Mittel und Zwecke der jeweiligen Datenverarbeitung und der Geschäftsprozesse. Hieraus leitet dann mit Verweis auf den Wortlaut des Art. 4 Nr. 7 DSGVO die Aufsichtsbehörde ab, dass der Betriebsrat selbst ein Verantwortlicher ist.

Dies steht im Widerspruch zu der bisherigen Rechtsprechung, die den Betriebsrat als Teil der verantwortlichen Stelle, sprich als Teil des Arbeitgebers gesehen hat.

Setzt sich diese Auffassung durch, ist in der Konsequenz damit zu rechnen, dass auch verwaltungsinternes Handeln zunehmend als Austausch von personenbezogenen Daten zwischen Verantwortlichen zu sehen ist. Zwischen Ministerien ist dies bereits nach unserer Beobachtung die Auffassung der Datenschutzaufsichtsbehörden.

In der Konsequenz bedeutet dies für das verwaltungsinterne Handeln, dass beispielsweise für eine rechtskonforme Übertragung von personenbezogenen Daten von einem Ministerium auf das nächste oder von einem Ministerium auf ein landeseigenes Rechenzentrum ein Vertrag zur Auftragsverarbeitung notwendig ist.

Aus den Gesprächen mit unseren Mandanten wissen wir, dass hier insbesondere die Landesrechenzentren einen solchen Aufwand scheuen. Es müsste dann mit jeder Behörde ein eigener Vertrag zur Auftragsverarbeitung abgeschlossen werden.

Die Vorgaben nach Art. 28 DSGVO sind umfangreich und bedeuten für die Landesrechenzentren und auch überregionale Rechenzentren, wie z. B. Dataport, einen erheblichen Aufwand.

Hier wird die Zukunft zeigen, wie der Begriff des „Verantwortlichen“ nach der DSGVO im behördeninternen Datenaustausch und der behördeninternen Kommunikation zu werten ist.

Beratung Datenschutz und DSGVO bundesweit

Wir beraten öffentliche Verwaltungen, Bundes- und Landesverwaltungen bundesweit bei der Umsetzung der DSGVO, dem Verwaltungsdatenschutzrecht, dem Finanzdatenschutzrecht und dem Sozialdatenschutzrecht.

Wir freuen uns auf Ihre Kontaktaufnahme.

 
1 Star2 Stars3 Stars4 Stars5 Stars 2 Bewertung(en), durchschnittlich: 5,00 von 5
Loading...

Rechtsanwalt Thomas Feil in den Medien

Schreibe einen Kommentar
Deine E-Mail-Adresse wird nicht veröffentlicht.

Sie können folgende HTML-Tags benutzen:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> 

*
*

Cookies werden von unserer Seite nur gesetzt, wenn Sie akzeptieren anklicken. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen