Datenschutzaufsicht in Bayern

Ausgabe April 2018

1. Neues Datenschutzgesetz vom Bayer. Landtag beschlossen

Der Bayer. Landtag hat nach einigen Verzögerungen am 26. April 2018 das neue Bayer. Datenschutzgesetz (BayDSG) beschlossen. Das BayDSG wird am 25. Mai 2018 in Kraft treten. Zum gleichen Zeitpunkt wird die Datenschutz-Grundverordnung der EU (DSGVO) Geltung erlangen.

Mit einer Veröffentlichung des neuen BayDSG im Gesetz- und Verordnungsblatt ist in nächster Zeit zu rechnen.

2. Aufgabe des neuen Bayer. Datenschutzgesetzes

Während das bisherige BayDSG die Aufgabe hatte, den Datenschutz für alle bayerischen Verwaltungsbereiche vollständig zu regeln, die keine Spezialvorschriften kannten (wie das Melderecht oder das Sozialrecht), hat das neue BayDSG folgende Aufgaben:

• Das neue BayDSG bringt Bestimmungen zur Durchführung der Datenschutzgrundverordnung (DSGVO), soweit die DSGVO dies fordert oder erlaubt (Art. 1 bis 27 BayDSG).
  
  
• Zugleich dient das neue BayDSG der Umsetzung der Richtlinie zum Datenschutz bei Polizei und Justiz (Art. 28 bis 37 BayDSG).
  
  
• Das neue BayDSG regelt den Datenschutz in Bereichen, in denen weder die DSGVO noch die Richtlinie zum Datenschutz bei Polizei und Justiz anwendbar ist, indem es auch in diesen Bereichen die DSGVO für anwendbar erklärt (Art. 2 Satz 1 BayDSG).
  
  
• Unverändert gilt das allgemeine Auskunftsrecht aus dem bisherigen BayDSG, durch das Ansprüche unter dem Gesichtspunkt der Informationsfreiheit geregelt werden (Art. 39 BayDSG).

3. Datenschutzaufsichtsbehörden in Bayern

Wie bisher, gibt es in Bayern vier Aufsichtsbehörden:

• den Bayerischen Landesbeauftragten für den Datenschutz in München, zuständig für die Kontrolle der bayerischen Behörden (Art. 15 bis 17 BayDSG), (lediglich für Finanzbehörden auch der Länder ist seit einer umstrittenen Änderung der Abgabenordnung künftig der Bundesbeauftragte für den Datenschutz zuständig),
  
  
• das Bayerische Landesamt für Datenschutzaufsicht in Ansbach, zuständig für die Kontrolle der Privatwirtschaft (Art. 18 BayDSG),
  
  
• den Rundfunkdatenschutzbeauftragten, zuständig für die Kontrolle des Bayer. Rundfunks (Art. 21 BayRG),
  
  
• den Medienbeauftragten für den Datenschutz, zuständig für die Kontrolle der Landeszentrale für neue Medien und der Anbieter (Art. 20 BayMG).

4. Kompetenzen des Bayerischen Landesbeauftragten für den Datenschutz

Die Befugnisse des Landesbeauftragten finden sich in Art. 58 DSGVO sowie in Art. 16 BayDSG. Im Anwendungsbereich der Richtlinie zum Datenschutz bei Polizei und Justiz gibt es spezielle Regelungen in Art. 34 BayDSG.

a) Untersuchungsbefugnisse des Landesbeauftragten

Unverändert bestimmt das BayDSG, dass die öffentlichen Stellen den Landesbeauftragten in der Erfüllung seiner Aufgaben zu unterstützen haben. Hierzu zählt Art. 16 Abs. 1 BayDSG beispielhaft auf:

• Die öffentlichen Stellen haben alle zur Erfüllung der Aufgaben des Landesbeauftragten notwendigen Auskünfte zu geben.
  
  
• Die öffentlichen Stellen haben auf Anforderung alle Unterlagen über die Verarbeitung personenbezogener Daten zur Einsicht vorzulegen.
  
  
• Der Landesbeauftragte hat ungehinderten Zutritt zu allen Diensträumen, in denen öffentliche Stellen Daten verarbeiten.

Die Pflicht zur Auskunftserteilung und zur Vorlage von Unterlagen zur Einsicht gilt unabhängig davon, ob tatsächlich personenbezogene Daten verarbeitet werden, wenn das Auskunfts- und Einsichtsersuchen dazu dient, eine derartige Verarbeitung festzustellen oder auszuschließen.

b) Beanstandungen durch den Landesbeauftragten

Der bayerische Gesetzgeber hat die Möglichkeit der Beanstandung beibehalten (Art. 16 Abs. 4 BayDSG). Das Beanstandungsverfahren hat sich seit 1978 bewährt. Die Gesetzesbegründung sagt hierzu:

„Das Beanstandungsverfahren stellt auch nach der deutlichen Erweiterung der Überwachungsbefugnisse im öffentlichen Bereich eine eigenständige und je nach Einzelfall gegebenenfalls auch effektivere Möglichkeit zur Durchsetzung datenschutzgerechten Verwaltungshandelns und Abhilfe datenschutzrechtlicher Betroffenenbeschwerden dar. Es kann insbesondere bei Verstößen von grundsätzlicher Bedeutung, die sich nicht auf eine einzelne verantwortliche Stellen beschränken, die wirksame Durchsetzung der DSGVO und anderer datenschutzrechtlicher Anforderungen wie z.B. des Art. 39 BayDSG unterstützen. Durch die Befassung der Staatsministerien und gegebenenfalls des Landtages kann es anders als die am Einzelfall ausgerichteten Abhilfebefugnisse des Art. 58 Abs. 2 DSGVO auch den Impuls für rechtspolitische Abhilfemaßnahmen umfassen. Die Zusammenarbeit mit den für die Rechts- und Fachaufsicht zuständigen Stellen entlastet den Landesbeauftragten zudem von umfangreichen Nachprüfungen über die Umsetzung von Abhilfemaßnahmen vor Ort.“

c) Anordnungsbefugnisse des Landesbeauftragten

Weitere Befugnisse des Landesbeauftragten für den Datenschutz sind in Art. 58 Abs. 1 bis 3 DSGVO geregelt. Völlig neu ist die Befugnis des Landesbeauftragten, Anweisungen (also Verwaltungsakte) zu erlassen. So kann er u. a.

• verantwortliche Stellen und auch Auftragsverarbeiter anweisen, Verarbeitungsvorgänge in Einklang mit der DSGVO zu bringen (Art. 58 Abs. 2 Buchst. d DSGVO),
  
  
• eine vorübergehende oder endgültige Beschränkung der Verarbeitung, einschließlich eines Verbots, verhängen (Art. 58 Abs. 2 Buchst. e DSGVO),
  
  
• die Berichtigung bzw. Löschung von Daten anordnen (Art. 58 Abs. 2 Buchst. g DSGVO).

Die Anweisungsbefugnisse gelten nicht im Anwendungsbereich der Richtlinie zum Datenschutz bei Polizei und Justiz (Art. 34 BayDSG). Hier hat der Landesbeauftragte u. a. die Möglichkeit der Beanstandung.

5. Unterrichtung des Landesbeauftragten über Planungen

Wie bisher sind Staatskanzlei und die Staatsministerien verpflichtet, den Landesbeauftragten rechtzeitig über Entwürfe von Rechts- und Verwaltungsvorschriften des Freistaates Bayern sowie über ihre Planungen bedeutender Verfahren zur Verarbeitung personenbezogener Daten zu unterrichten (Art. 16 Abs. 3 BayDSG). Damit soll eine möglichst umfassende Information des Landesbeauftragten erreicht werden.

Christian Peter Wilde

Mitautor Datenschutz in Bayern