Datenschutz Verstehen – Datenschutz im öffentlichen Sektor
Die Relevanz des Datenschutzes für Behörden und weiteren öffentlichen Einrichtungen ist so hoch wie nie. Während sich der Großteil der privatwirtschaftlichen Unternehmen maßgeblich auf die Anforderungen der Datenschutz-Grundverordnung (DSGVO) und dem Bundesdatenschutz-Gesetz konzentrieren, liegt der Fokus beim Datenschutz im öffentlichen Dienst oder anderen öffentlichen Stellen auch auf den Landesdatenschutz-Gesetzen (LDSG).
Die Vorgaben der Landesdatenschutz-Gesetze richten sich in erster Linie an öffentliche Stellen und Unternehmen, die Aufgaben der öffentlichen Verwaltung wahrnehmen. Durch die Öffnungsklauseln der DSGVO bekommen nationale Gesetzgeber die Möglichkeit, weitere spezifische Regelungen zum Datenschutz für die öffentliche Verwaltung vorzunehmen. Vor diesem Hintergrund stellen wir in diesem Beitrag einige Unterschiede vor, als Ratgeber für die Umsetzung des Datenschutzes im öffentlichen Dienst.
Datenschutz im öffentlichen Dienst
Was ist denn eigentlich eine öffentliche Stelle im Sinne der datenschutzrechtlichen Gesetzgebung? Zur Einordnung ist es zunächst wichtig, dass öffentliche Stellen datenschutzrechtlich definiert werden. Nachdem in der DSGVO eine Definition der öffentlichen Stelle fehlt, wurde dies durch den nationalen Gesetzgeber im §2 BDSG vorgenommen. Die Abgrenzung zwischen öffentlichen Stellen und nicht-öffentlichen Stellen hat somit nach funktionalen Gesichtspunkten zu erfolgen. In § 2 Abs. 4 S. 2 BDSG wird bestimmt, dass nicht-öffentliche Stellen insoweit öffentliche Stellen im Sinne des BDSG sind, als sie hoheitliche Aufgaben der öffentlichen Verwaltung wahrnehmen.
Ist eine öffentliche Stelle über den Aufgaben der öffentlichen Verwaltung hinaus tätig, läuft die Behörde Gefahr, dass diese für die betreffenden Aufgaben als nicht-öffentliche Stelle definiert wird. Das wäre zum Beispiel der Fall, wenn eine Behörde hingegen als Unternehmen im Wettbewerb handelt. Also vertriebliche Aktivitäten ausübt, wie z.B. eine Veranstaltung eines Gewinnspiels oder ähnlichen Marketingmaßnahmen.
Rechtsgrundlagen öffentlicher Stellen
Für die eben beschriebenen öffentlichen Stellen gelten Besonderheiten im Sinne der einschlägigen datenschutzrechtlichen Gesetzgebung. Unter anderem finden sich hier Unterschiede in der Auslegung von Rechtsgrundlagen für Verarbeitungen von personenbezogenen Daten wieder. Allgemein gilt für Behörden, oder der öffentlichen Verwaltung, dass Verarbeitungen personenbezogener Daten durch eine öffentliche Stelle zulässig sind, wenn sie zur Erfüllung der in der Zuständigkeit des Verantwortlichen liegenden Aufgabe oder in Ausübung öffentlicher Gewalt, die dem Verantwortlichen übertragen wurde, erforderlich ist, vgl. § 3 BDSG. Daher hat der nationale Gesetzgeber die Öffnungsklausel aus Art. 6 Abs. 2 DSGVO genutzt und den Bereich der Rechtsmäßigkeit einer Verarbeitung erweitert.
Ferner definiert bereits die Datenschutz-Grundverordnung eine der häufigsten Rechtsgrundlagen für die öffentliche Verwaltung im Art. 6 Abs. 1 lit. e) DSGVO. Demnach ist eine Verarbeitung gestattet, welche für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die der Behörde übertragen wurde.
Ergänzend werden in § 47 BDSG die allgemeinen Grundsätze für die Verarbeitung personenbezogener Daten angeführt, gefolgt von den Rechtsgrundlagen für öffentliche Stellen der Verarbeitung personenbezogener Daten in den §§ 48 – 54 BDSG. Demnach finden sich hier Regelungen zu folgenden Sachverhalten wieder:
- Verarbeitung besonderer Kategorien personenbezogener Daten (§ 48 BDSG);
- Verarbeitung zu anderen Zwecken (§ 49 BDSG);
- Verarbeitung zu archivarischen, wissenschaftlichen und statistischen Zwecken (§ 50 BDSG);
- Einwilligung (§ 51 BDSG);
- Verarbeitung auf Weisung des Verantwortlichen (§ 52 BDSG);
- Datengeheimnis (§ 53 BDSG);
- Automatisierte Einzelentscheidung (§ 54 BDSG).
Die öffentlichen Stellen sollten diese Regelungen im Detail für die Rechtmäßigkeit einer Verarbeitung in der Behörde überprüfen. Hierbei hilft in jedem Falle der Betrieb eines intelligenten Datenschutz-Management-Systems in öffentlichen Verwaltungen.
Videoüberwachung öffentlich zugänglicher Räume
Abweichend zu privatwirtschaftlichen Verantwortlichen, welche die maßgeblichen Rechtsgrundlagen durch die Art. 6 und Art. 9 DSGVO für den Einsatz der Videoüberwachung bilden, definiert der § 4 BDSG die datenschutzrechtliche Zulässigkeit für den Einsatz von Videoüberwachungen öffentlicher Stellen. Für diese konkrete Art der Verarbeitung müssen öffentliche Stellen eine Abwägung folgender Kriterien vornehmen:
Die Videoüberwachung von öffentlichen Stellen ist nur zulässig, soweit sie
- zur Aufgabenerfüllung öffentlicher Stellen,
- zur Wahrnehmung des Hausrechts oder
- zur Wahrnehmung berechtigter Interessen für konkret festgelegte Zwecke
erforderlich ist und keine Anhaltspunkte bestehen, dass schutzwürdige Interessen der betroffenen Personen überwiegen. Bei der Videoüberwachung von
- öffentlich zugänglichen großflächigen Anlagen, wie insbesondere Sport-, Versammlungs- und Vergnügungsstätten, Einkaufszentren oder Parkplätzen, oder
- Fahrzeugen und öffentlich zugänglichen großflächigen Einrichtungen des öffentlichen Schienen-, Schiffs- und Busverkehrs
gilt der Schutz von Leben, Gesundheit oder Freiheit von dortigen Personen als ein besonders wichtiges Interesse. Darüber hinaus gilt es die vollständigen Informationspflichten zum frühestmöglichen Zeitpunkt zu erfüllen (optimalerweise vor Verarbeitung).
Datenschutzbeauftragter für Behörden
Die Pflicht eines datenschutzrechtlichen Verantwortlichen zur Benennung eines Datenschutzbeauftragten ergibt sich unmittelbar aus dem Art. 37 DSGVO. Während für die Privatwirtschaft die Benennungspflicht von bestimmten Voraussetzungen abhängt, die in der nationalen Regelung des § 38 BDSG noch ergänzt werden, ist der öffentliche Dienst oder die öffentliche Verwaltung generell zur Benennung eines behördlichen Datenschutzbeauftragten verpflichtet, sofern die generellen Anwendungsvoraussetzungen nach Art. 2 Abs. 1 DSGVO gegeben sind.
“Die Pflicht zur Benennung eines Datenschutzbeauftragten nach § 5 betrifft jede öffentliche Stelle.” (§ 5 BDSG)
Die Aufgaben und Tätigkeitsbereiche, sowie die Rechtsstellung des Datenschutzbeauftragten können vom nationalen Gesetzgeber jedoch nicht in Abweichung von der DSGVO geregelt werden. Somit ergeben sich hieraus keine Abweichungen zwischen dem öffentlichen Sektor und der Privatwirtschaft.
Gemeinsamer Datenschutzbeauftragter von Behörden
Nach Art. 37 Abs. 3 DSGVO können auch Behörden oder öffentliche Stellen einen gemeinsamen Datenschutzbeauftragten benennen. Hierbei kommt es nicht darauf an, ob dieser Datenschutzbeauftragte intern oder extern ist, sondern ob die Bestellung des Datenschutzbeauftragten nach der Organisationsstruktur bzw. der Größe angemessen ist. Schon bislang sahen einige LDSGe die Möglichkeit vor, dass mehrere öffentliche Stellen einen gemeinsamen Datenschutzbeauftragten bestellen können (Vgl. § 11 Abs. 1 SächsDSG; Art. 25 BayDSG).
Öffentliche Stellen unterliegen generell nach Art. 37 Abs. 1 lit. a) DSGVO einer Bestellpflicht eines Datenschutzbeauftragten. Da es sehr viele kleine Behörden gibt, wollte der Gesetzgeber der Arbeits- und Personalsituation bei kleineren Behörden oder Einrichtungen (z.B. Schulen) und bei Organisationen mit wenigen personenbezogenen Daten nachkommen gemäß Art. 39 DSGVO. Hierbei ist stets darauf zu achten, dass eine Ernennung des Datenschutzbeauftragten nur in dem Umfang erfolgen darf, wie eine Aufgabenerfüllung durch ihn bei den einzelnen Behörden auch sichergestellt ist.
Wer darf Datenschutzbeauftragter in einer Behörde sein?
Grundsätzlich darf jede Person zum Datenschutzbeauftragten bestellt werden, welche die fachliche Qualifikation nachweisen kann. Die Basis für die fachliche Qualifikation wird durch juristische Kenntnisse und Erfahrungen gebildet. Ergänzt werden sollte diese Qualifikation durch eine Zertifizierung zum Datenschutzbeauftragten oder Datenschutz-Auditor. Sofern eine Behörde einen internen Datenschutzbeauftragten bestellt, muss die jeweilige Behörde sicherstellen, dass die Aufgaben und Pflichten des behördlichen Datenschutzbeauftragten nicht zu einem Interessenkonflikt führen, vgl. Art. 38 Abs. 6 DSGVO. Vor diesem Hintergrund kann eine Bestellung eines externen Datenschutzbeauftragten empfohlen werden!
Kündigung behördlicher Datenschutzbeauftragter
Die Kündigung eines behördlichen Datenschutzbeauftragten, welcher intern bestellt worden ist, stellt eine besondere Situation dar. Die Abberufung der oder des behördlichen Datenschutzbeauftragten ist nur in entsprechender Anwendung des § 626 des Bürgerlichen Gesetzbuchs zulässig. Somit ist die Kündigung des Arbeitsverhältnisses unzulässig, es sei denn, dass Tatsachen vorliegen, welche die öffentliche Stelle zur Kündigung aus wichtigem Grund ohne Einhaltung einer Kündigungsfrist berechtigen.
Nach dem Ende der Tätigkeit als behördliche Datenschutzbeauftragte oder behördlicher Datenschutzbeauftragter ist die Kündigung des Arbeitsverhältnisses innerhalb eines Jahres unzulässig. Dies gilt nicht, wenn die öffentliche Stelle zur Kündigung aus wichtigem Grund ohne Einhaltung einer Kündigungsfrist berechtigt ist gem. § 31 Abs. 4 DSG NRW.
Datenschutz-Bußgelder bei öffentlichen Stellen
Grundsätzlich sind Behörden und öffentliche Stellen von der Verhängung von Bußgeldern befreit. Gemäß Art. 83 Abs. 7 DSGVO kann jeder EU-Mitgliedstaat gesetzlich festlegen, ob und in welchem Umfang Bußgelder gegen Behörden und öffentliche Stellen verhängt werden können. Der § 43 Abs. 3 BDSG bestimmt, dass gegen Behörden und sonstige öffentliche Stellen des Bundes keine Bußgelder verhängt werden.
Auf dieses Bußgeldprivileg des § 43 As. 3 BDSG und weiteren landesrechtlichen Entsprechungen dürfen sich öffentliche Stellen nicht verlassen. Zu Anfang des Beitrages wurde die Definition einer öffentlichen Stelle vorgenommen. Handelt eine öffentliche Stelle über die Aufgaben der öffentlichen Verwaltung hinaus, gilt dieses Bußgeldprivileg für diese Aufgaben (Verarbeitungstätigkeiten) nicht mehr.
Die Konsequenzen dessen bekam bereits die AOK Baden-Württemberg zu spüren. Die AOK musste ein Bußgeld in Höhe von 1.240.000 € zahlen. Zwischen 2015 und 2019 hatte die gesetzliche Krankenkasse verschiedene Gewinnspiele ausgelobt. Die dabei erhobenen personenbezogenen Daten wurden rechtswidrig zu Werbezwecken genutzt.
Ob ein Bußgeldprivileg tatsächlich angenommen werden kann, können öffentliche Stellen nur nach sorgfältiger rechtlicher Prüfung der jeweiligen Verarbeitungstätigkeit abschließend beurteilen. Bei den Herausforderungen, die Ihnen im Laufe der datenschutzkonformen Optimierung einer öffentlichen Stelle begegnen, können wir Sie als erfahrene Experten gerne als Datenschutzbeauftragter oder Berater für Datenschutz begleiten oder wir unterstützen Sie unverbindlich in einer kostenfreien Erstberatung.
Herr Nils Möllers ist Gründer und Geschäftsführer der Keyed GmbH. Als Experte für Datenschutz in Konzernen, Unternehmensgruppen und Franchise-Systemen, ist Herr Möllers ebenfalls als zertifizierter Datenschutzbeauftragter tätig. Ergänzend zur datenschutzrechtlichen Expertise ist Herr Möllers im Bereich der IT-Sicherheit, begleitend zur ISO27001 und TISAX-Assessments, beratend tätig.