BDSG oder doch LDSG? - Wann gilt welches Datenschutzrecht?

mistake 1966448 640Seit dem Inkrafttreten der DSGVO am 25. Mai 2018 bildet ein weitgehend einheitlicher Europäischer Datenschutz den primären datenschutzrechtlichen Rahmen für das Handeln öffentlich-rechtlicher und privatwirtschaftlich organisierter Stellen. Doch trotz Inkrafttreten dieser - unmittelbar in den Mitgliedsstaaten geltenden - EU-Verordnung, existieren in Deutschland weiterhin diverse datenschutz-rechtliche Regelungen. Die relevantesten sind das Bundesdatenschutzgesetz (BDSG), sowie die 16 Landesdatenschutzgesetze der einzelnen Bundesländer auf Landesebene.

Zudem gibt es zum Teil auch spezifische Regelungen wie z.B. die Regelungen des Sozialdatenschutzes oder der jeweiligen Krankenhausgesetze der Länder. Dabei ergänzen die Regelungen die Vorgaben der DSGVO. Sie füllen die sogenannten Öffnungsklauseln aus, also Regelungsbereiche, in denen die Europäische Union den einzelnen Mitgliedstaat ausdrücklich eine Regelungsbefugnis überragen hat. Und dann sollte man auch noch das kirchliche Datenschutzrecht nicht vergessen.

Welches der oben benannten Datenschutzgesetze neben der DSGVO zur Anwendung kommt, hat dabei oftmals einen nicht unerheblichen Einfluss auf die datenschutzrechtliche Rechtslage und sollte im Rahmen eines Beratungsprojektes immer zuerst geklärt werden.

Dieser Artikel zeigt die Abgrenzungsschwierigkeiten auf, die im Bereich des Datenschutzrechts existieren und verschafft einen Überblick darüber, in welchen Fällen welches datenschutzrechtliche Gesetz anzuwenden ist. Den kirchlichen Datenschutz klammert dieser Artikel bewusst weitgehend aus. Hier gilt die Faustregel, dass dieser nur für kirchliche Träger relevant werden kann.

DSGVO ist immer vorrangiges Gesetz

Bzgl. der DSGVO gilt die Grundregel, dass an der DSGVO keiner vorbeikommt, unabhängig davon, ob ein privates Unternehmen, ein krichlicher Träger oder die öffentliche Hand handelt.

Nur dort, wo die DSGVO Öffnungsklauseln vorsieht oder schlichtweg nichts regelt, dürfen der bundesdeutsche Gesetzgeber und die Länder ihre Gesetzgebungskompetenz nutzen und spezielle datenschutzrechtliche Regelungen erlassen.

Bundesdatenschutzgesetz oder Landesdatenschutzgesetz?

Die Folgefragee, ob das jeweilige Landesdatenschutzgesetz oder aber doch das Bundesdatenschutzgesetz neben der DSGVO zur Anwendung kommt, bestimmt sich nach den jeweiligen, teils sehr weit ausdifferenzierten Regelungen zum Anwendungsbereich in den Landesdatenschutzgesetzen und im BDSG. Diese bestimmen für welche Stellen bzw. Institutionen das jeweilige Datenschutzgesetz anwendbar ist (vgl. bspw. § 1 BDSG; § 2 BW LDSG; Art. 1 BayDSG).

Dabei tauchen vor allem bei der Fragestellung, welches datenschutzrechtliche Regelwerk beim Handeln einer Behörde oder anderer öffentlicher Stellen einschlägig ist, immer wieder erhebliche Abgrenzungsschwierigkeiten zwischen den Anwendungsbereichen der landesgesetzlichen Regelungen und dem Anwendungsbereich des BDSG auf.

Welche Regelungen muss ich als Bundesbehörde beachten?


Unproblematisch gestalten sich die Anwendungsgegebenheiten zunächst, wenn eine öffentliche Stelle des Bundes handelt. Dann ist gemäß § 1 Abs. 1 Satz 1 Nr. 1 BDSG in der Regel das BDSG anwendbar, und nicht etwa eines der Landesdatenschutzgesetze. Eine Legaldefinition der öffentlichen Stellen des Bundes findet sich in § 2 Abs. 1 BDSG. Danach sind von diesem Begriff


„Behörden, die Organe der Rechtspflege und andere öffentlich-rechtlich organisierte Einrichtungen des Bundes, der bundesunmittelbaren Körperschaften, der Anstalten und Stiftungen des öffentlichen Rechts sowie deren Vereinigungen ungeachtet ihrer Rechtsform“
erfasst.


Verarbeitet also beispielsweise eine Bundesbehörde wie das Bundesamt für Sicherheit in der Informationstechnik personenbezogene Daten, so kann von der Anwendbarkeit der Regelungen des BDSG ausgegangen werden.

Welche Regelungen muss ich als Landesbehörde oder kommunaler Träger / kommunaler Eigenbetrieb beachten?

Handelt hingegen keine öffentliche Stelle des Bundes, sondern eine öffentliche Stelle des Landes (z.B. einer Landesbehörde) oder bei kommunalen Rechtsträgern, insb. kommunalen Eigenbetrieben, so ist die Suche nach der maßgeblichen Rechtsgrundlage komplizierter.

So sehen die einzelnen Landesdatenschutzgesetze allesamt vor, dass bei Vorliegen einer öffentlichen Stelle im Grundsatz das jeweilige Landesdatenschutzgesetz anwendbar ist (vgl. bspw. § 2 Abs. 1 Satz 1 LDSG BaWü, § 2 Abs. 1 BlnDSG , § 2 Abs. 1 LDSG SH). Allerdings sind dabei einige Ausnahmen zu beachten.

Was ist eine öffentliche Stelle der Länder und was ist mit kommunalen Trägern / kommunalen Eigenbetrieben?

Für die Frage, ob eine öffentliche Stelle der Länder vorliegt, kann auf die Definitionen der „öffentlichen Stelle“ in den Datenschutzgesetzen der einzelnen Bundesländer zurückgegriffen werden. Nach diesen werden öffentliche Stellen teilweise als


Behörden, Einrichtungen und sonstigen öffentlichen Stellen des Landes, die Gemeinden und Gemeindeverbände sowie für die sonstigen der Aufsicht des Landes oder der Gemeinden oder Gemeindeverbände unterstehenden juristischen Personen des öffentlichen Rechts und deren Vereinigungen“ (vgl. § 2 Abs. 1 Satz 1 BBDSG, fast Wortgleich: § 2 Abs. 1 DSG M-V; § 5 Abs. 1 Satz 1 DSG NRW; § 2 Abs. 1 Satz 1 LDSG BaWü)


oder auch als


Behörden, Organe der Rechtspflege und andere öffentlich-rechtlich organisierte Einrichtungen des Landes, der Kommunen und der sonstigen der Aufsicht des Landes unterstehenden Körperschaften, Anstalten und Stiftungen des öffentlichen Rechts“ (vgl. § 1 Abs. 1 Nr. 1 NDSG)
definiert.


Andere Landesdatenschutzgesetze sehen spezifischere Definitionen vor, so definiert § 2 Abs. 1 BlnDSG den Begriff der öffentlichen Stelle als


Behörden und sonstige öffentliche Stellen (insbesondere nichtrechtsfähige Anstalten, Krankenhausbetriebe, Eigenbetriebe und Gerichte) des Landes Berlin und der landesunmittelbaren Körperschaften, Anstalten und Stiftungen des öffentlichen Rechts im Sinne des § 28 des Allgemeinen Zuständigkeitsgesetzes“.


Im Ergebnis ist jedoch nach all diesen Definitionen entscheidend, dass eine Behörde oder sonstige öffentliche Stelle des Landes oder einer Gemeinde/ ein Gemeindeverband (Kommune) oder aber eine juristische Person des öffentlichen Rechts vorliegt, die der Aufsicht des jeweiligen Landes oder der Gemeinden unterliegt.
Kann dies bejaht werden, weil beispielsweise eine Behörde oder eine Gemeinde Daten verarbeitet, ist eine öffentliche Stelle gegeben.

Bzgl. kommunaler Träger gilt also die Faustformel, dass diese im Regelfall vom Landesdatenschutzrecht erfasst werden, soweit keine Ausnahme eingreift. Man muss hier in das jeweilige Landesdatenschutzrecht schauen und prüfen, ob dort eine Ausnahme geregelt ist. Dies kann z.B. bzgl. Zweckverbänden der Fall sein oder bei kommunalen Eigenbetrieben der Fall sein, die wie ein Marktteilnehmer privatwirtschaftlich agieren.

Nicht jede öffentliche Stelle unterliegt automatisch dem Landesdatenschutz

Die Datenschutzgesetze einiger Länder sehen vor, dass bestimmte öffentliche Stellen, unabhängig von ihrer Einordnung nach den oben aufgezeigten allgemeinen Kriterien, nicht als öffentliche Stellen einzuordnen sind. So sieht beispielsweise in Bayern Art. 1 Abs. 2 Satz 2 Bay DSG vor, dass öffentlich-rechtliche Finanzdienstleistungsunternehmen sowie ihre Zusammenschlüsse und Verbände als nicht-öffentliche Stellen gelten.

Insoweit bedarf es - wenn man rechtlich auf der sicheren Seite sein möchte - immer einer Einzelfallprüfung des jeweils einschlägigen Landesrechts. Nur im Einzelfall kann man sicher ermitteln, ob eine auf den ersten Blick als öffentliche Stelle einzuordnenden Institution nicht doch aufgrund einer Ausnahmevorschrift im konkreten Fall als nicht-öffentliche Stelle einzuordnen ist.

Grundsätzliche Einschlägigkeit des Landesdatenschutzgesetzes aber Ausnahmen sind möglich

Liegt entsprechend der obigen Ausführungen eine öffentliche Stelle vor, und ist auch kein Ausnahme einschlägig, nach der die öffentliche Stelle nicht als eine solche gilt, ist grundsätzlich das jeweilige Landesdatenschutzgesetz anwendbar (vgl. bspw. § 1 Abs. 1 Satz 1 NDSG; § 2 Abs. 1 Satz 1 DSGA LSA). Generell lässt sich jedenfalls nicht klären, ob ein Träger dem Landesdatenschutzrecht unterfällt. Die Landesdatenschutzgesetze unterscheiden sich bzgl. ihres Anwendungsbereiches teilweise voneinander. Ein Träger, der in einem Bundesland dem Landesdatenschutzgesetz unterfällt, könnte - wenn er in einem anderen Bundesland angesiedelt wäre - dort nicht dem Landesdatenschutzgesetz unterfallen.

Wettbewerbsteilnahme als Einfallstor für das BDSG und Ausschlusskriterium für das Landesdatenschutzrecht?

Eine öffentliche Stelle gilt auch dann als nicht-öffentliche Stelle bzw. es finden zumindest die für nicht-öffentliche Stellen geltenden Vorschriften des BDSG Anwendung, wenn sie am Wettbewerb teilnimmt (vgl. bspw. § 2 Abs. 3 HmbDSG; § 2 Abs. 1 Satz 2 SDSG; § 2 Abs. 7 Satz 1 Nr. 1 DSAG LSA). Einige Landesdatenschutzgesetze sprechen dabei nicht von einer Wettbewerbsteilnahme, sondern von einer Verarbeitung personenbezogenen Daten zu wirtschaftlichen Zwecken oder Zielen (vgl. § 5 Abs. 5 Satz 2 DSG NRW). An diese Formulierung dürften aber ähnliche Maßstäbe anzulegen sein, wie bei der Frage nach einer Wettbewerbsteilnahme.

Entgegen einer weiterverbreiteten Vermutung ist für die Entscheidung, welches datenschutzrechtliche Regelwerk einschlägig ist, also nicht die Organisationsform der öffentlichen Stelle (mit-) entscheidend (bspw. als GmbH, AG, Körperschaft des öffentlichen Rechts) sondern es kommt vielmehr darauf an, ob bzgl. einer bestimmten Verarbeitungstätigkeit eine Teilnahme am Wettbewerb erfolgt.

Zweck dieser Regelungen ist es, dass öffentlich-rechtliche Unternehmen, soweit sie am Wettbewerb teilnehmen, keine Wettbewerbsnachteile gegenüber privaten Konkurrenten unterliegen (vgl. HK HDSIG/Roßnagel, 1. Auflage 2021, § 2 Rn. 24). Somit will der Gesetzgeber gewährleisten, dass öffentlich-rechtliche Unternehmen vollumfänglich auch mit privaten Unternehmen konkurrieren können.

Grundsätzlich nimmt eine öffentliche Stelle dann am Marktwettbewerb teil, wenn sie sich als Hauptzweck wirtschaftlich betätigt, also mit dem Angebot anderer privater Unternehmen in Konkurrenz steht (vgl. HK HDSIG/Roßnagel, 1. Auflage 2021, § 2 Rn. 26; für eine vergleichbare Regelung im BDSG: HK BDSG/Böken, 3. Auflage 2022, § 2 Rn. 22). Dabei verbietet sich eine pauschale Betrachtung, sondern es ist anhand der einzelnen Verarbeitungstätigkeiten zu differenzieren. Bei der Einstufung ist eine Gewinnerzielungsabsicht irrelevant, es kommt lediglich auf ein Agieren am Markt an (vgl. HK HDSIG/Roßnagel, 1. Auflage 2021, § 2 Rn. 25; bezüglich einer vergleichbaren Regelung im BDSG: Gola/Heckmann/Schulz, 3. Auflage 2022, BDSG § 2 Rn. 27). Vor allem Unternehmen, die Leistungen der Daseinsvorsorge erbringen wie zum Beispiel ein Energieversorgungsunternehmen, sind als am Wettbewerb teilnehmende Unternehmen anzusehen.

Keine Teilnahme am Marktwettbewerb liegt vor, wenn das betreffende Unternehmen ein Monopol besitzt, bspw. es für die Büger einen Anschluss- und Benutzungszwang gibt (vgl. HK HDSIG/Roßnagel, 1. Auflage 2021, § 2 Rn. 27; HK BayDSG/Engelbrecht, 1. Auflage 2021, Art. 1 Rn. 51). In diesem Fall fehlt es an einer Konkurrenz mit privaten Unternehmen. Schreibt also eine Gemeinde durch Satzung verbindlich vor, dass Grundstücke auf Ihrem Gebiet einen Anschluss an das Fernwärmenetz, die Wasserversorgung oder Kanalisation haben müssen, so liegt in diesem Bereich keine Teilnahme am Marktwettbewerb vor. Demzufolge gilt z.B. auch ein privatwirtschaftlich organisierter Eigenbetrieb weiterhin als öffentliche Stelle, wenn er Kunden mit Fernwärme versorgt. Auch wenn die öffentliche Stelle eine Leistung erbringt, die ein privater Anbieter nicht erbringen kann, bspw. weil dies rechtlich nicht möglich ist, fehlt es an einer Teilnahme am Markt (vgl. HK BayDSG/Engelbrecht, 1. Auflage 2021, Art. 1 Rn. 50).

Allerdings ist die Marktteilnahme einer öffentlichen Stelle nicht bereits dadurch ausgeschlossen, dass sie auf dem jeweiligen Markt der einzige Anbieter ist, solange es jederzeit möglich ist, dass weitere Marktakteure hinzutreten (vgl. HK BayDSG/Engelbrecht, 1. Auflage 2021, Art. 1 Rn. 49). In diesen Fällen bedarf es des Schutzes der öffentlichen Stelle vor Wettbewerbsnachteilen gegenüber privater Konkurrenz.

Kommt man nach der obigen Ausführung zu dem Ergebnis, dass eine öffentliche Stelle am Markt teilnimmt, ist sie nach der entsprechenden landesdatenschutzrechtlichen Vorschrift sodann grundsätzlich als nicht-öffentliche Stelle einzuordnen. Damit wäre für diese nur das BDSG anwendbar, nicht das jeweilige Landesdatenschutzrecht (vgl. § 1 Abs. 1 Satz 2 BDSG).

Führt eine Wettbewerbsteilnahme auch immer zu einer Anwendbarkeit des BDSG?


Als nächster Schritt ist in einigen Landesgesetzen zu prüfen, ob eine Sondervorschrift bspw. für Zweckverbände oder andere öffentliche Stellen besteht.
Ein Beispiel für diese Sondervorschriften ist § 2 Abs. 6 Satz 2 BW LDSG für das Bundesland Baden-Württemberg. Dieser sieht vor, dass Zweckverbände auch dann keine nicht-öffentliche Stellen darstellen bzw. die für nicht-öffentliche Stellen geltenden datenschutzrechtlichen Vorschriften unzutreffend sind, wenn der Zweckverband am Wettbewerb teilnimmt. Ein solcher ist damit auch bei Marktteilnahme als eine öffentliche Stelle einzuordnen und unterliegt entgegen allgemeinen Grundsätzen nicht der DSGVO.
Das LDSG NRW sieht wiederum in § 5 Abs. 5 Satz 2 vor, dass der (teilweise) Anwendungsausschluss der Anwendbarkeit der landesdatenschutzrechtlichen Vorschriften bei einer Verarbeitung zu wirtschaftlichen Zwecken, auf Hochschulen unter bestimmten Voraussetzungen entfällt.

Außerdem ist bezüglich staatlicher Krankenhäuser, die mit privaten Kliniken konkurrieren, zu beachten, dass die Verarbeitung von Patientendaten speziell in landesrechtlichen Krankenhausgesetzen geregelt ist. Für diese gilt das BDSG in diesen Fällen auch dann nicht, wenn sie am Wettbewerb teilnehmen.

An diesen Ausnahmen zeigt sich bereits, dass es in jedem Einzelfall sorgfältig zu prüfen gilt, ob für die konkrete öffentliche Stelle eine Marktteilnahme wirklich dafür sorgt, dass das BDSG anwendbar ist, oder aber vielmehr nicht doch eine landesrechtliche (Rück-)Ausnahme einschlägig ist.

Die Marktteilnahme ist für jeden Vorgang isoliert zu prüfen


Jedoch ist jeder Vorgang innerhalb einer öffentlichen Stelle isoliert zu betrachtet. Somit gilt es darüber hinaus zu beachten, dass eine Anwendung des BDSG bei einer Marktteilnahme auf einen bestimmten Vorgang die jeweilige öffentliche Stelle nicht vor der Anwendung des Landesdatenschutzrechtes auf einen anderen Vorgang bewahrt. Letztlich ist also jede Verarbeitungstätigkeit innerhalb des Verfahrensverzeichnisses daraufhin zu überprüfen, welcher Rechtsrahmen anzuwenden ist.

So kann sich durchaus ein Vorgang als Marktteilnahme darstellen, womit auf diesen im Grundsatz das BDSG anwendbar ist. Während ein anderer Vorgang sich nicht als Marktteilnahme einordnen lässt, und auf diesen mithin das einschlägige Landesdatenschutzgesetz anwendbar ist.

So kann bzw. können bspw. die Vermietung von zahlreichen Wohnungen bzw. die damit verbunden Datenverarbeitungen durch eine gemeinnützige Wohnungsbaugesellschaft einer Kommune als Marktteilnahme nur den Regelungen des BDSG unterfallen, wenn die Vermietung normale Miewohnungen betrifft, es sich also nicht sozialen Wohnungsbau zu soialen Zwecken handelt (je nach Bundesland kann das LDSG jedoch weiterhin teilweise anwendbar bleiben, siehe dazu oben). Das Handeln der Personalabteilung derselben privatwirtschaftlich organisierten Wohnungsbaugesellschaft (in kommunaler Hand) kann jedoch dem Landesdatenschutzrecht unterworfen sein, da es hier an einer Marktteilnahme fehlt.

In einigen Bundesländer bleibt auch bei einer Marktteilnahme das jeweilige Landesdatenschutzgesetz neben dem BDSG anwendbar


Einige Bundesländer haben im Rahmen ihrer Landesdatenschutzgesetze aber festgelegt, dass für am Marktwettbewerb teilnehmende öffentliche Stellen neben dem BDSG einige Vorschriften des jeweiligen Landesdatenschutzgesetzes angewendet werden müssen.

So sieht bspw. § 2 Abs. 6 Satz 2 BlnDSG für das Bundesland Berlin vor, dass im Fall einer öffentlichen Stelle, die als Unternehmen am Wettbewerb teilnimmt, neben der Reglungen des BDSG auch Regelungen des BlnDSG Anwendung finden Entsprechende Regelungen gelten auch in anderen Bundesländern, bspw. in Nordrhein-Westfalen (§ 5 Abs. 5 DSGNRW).
Bereits diese exemplarischen Beispiele zeigen, dass die bei einer am Markt teilnehmenden öffentlichen Stelle anwendbare datenschutzrechtliche Vorschriften ohne eine tiefergehende Einzelfallprüfung nicht zu ermitteln sind.

Je nach Bundesland, in dem die entsprechende öffentliche Stelle bzw. nach Landesdatenschutzgesetzen als nicht-öffentliche Stelle zu behandelnde Institution tätig ist, sind neben dem BDSG unter Umständen noch einige Vorschriften des jeweiligen Landesdatenschutzgesetzes anwendbar. Zudem sind, je nach Bundesland, einige Vorschriften des BDSG für nicht-öffentliche Stellen durch einen ausdrücklichen Ausschluss im Landesrecht nicht anwendbar.

Bei bestimmten öffentlichen Stellen - wie Gerichte und die Landtagsverwaltung - gelten Sonderregelungen

Zudem gibt es in vielen Landesdatenschutzgesetzen Regelungen, wonach das jeweilige Landesdatenschutzgesetz für einige öffentliche Stellen, wie bspw. den Landtag oder die Gerichte, nur dann anwendbar ist, wenn diese auch Verwaltungsaufgaben wahrnehmen (vgl. bspw. Art. 1 Abs. 1 Satz 2, 3 BayDSG; § 2 Abs. 1 Satz 2 HS 1 BBG DSG; § 2 Abs. 1 Satz 4 SDSG).
Im Umkehrschluss folgt daraus, dass in allen anderen Fällen für diese Institutionen zumindest nicht das jeweilige Landesdatenschutzgesetz gilt. Insoweit bedarf es auch hier einer Prüfung im Einzelfall, ob eine Verwaltungsaufgabe wahrgenommen wird oder nicht, und falls nein, welche datenschutzrechtlichen Gesetze zu beachten sind.

Gibt es noch weitere Fälle, in denen das BDSG für öffentliche Stellen der Länder vorrangig anwendbar ist?

Nach § 1 Abs. 2 Nr. 2 BDSG gilt auch für öffentliche Stellen der Länder nicht das jeweilige Landesdatenschutzrecht, sondern das BDSG, soweit der Datenschutz nicht durch Landesgesetz geregelt ist und soweit sie

  1. Bundesrecht ausführen oder
  2. als Organe der Rechtspflege

tätig werden und es sich nicht um Verwaltungsangelegenheiten handelt.

Welche landesdatenschutzrechtlichen Regelungen muss ich als privates Unternehmen beachten?

Ist ein privates Unternehmen bzw. nach der Terminologie der Datenschutzgesetze eine nicht-öffentliche Stelle gegeben, so ist im Grundsatz neben der DSGVO nur das BDSG anwendbar (vgl. § 1 Abs. 1 Satz 2 BDSG). Allerdings gilt auch hier, dass es zumindest eine Ausnahme zu beachten gilt.

Nehmen nicht-öffentliche Stellen hoheitliche Aufgaben der öffentlichen Verwaltung wahr, so gelten sie als öffentliche Stelle im Sinne der Landesdatenschutzgesetze (vgl. bspw. Art. 1 Abs. 4 BayDSG; § 2 Abs. 1 Satz 2 HDSIG; § 2 Abs. 2 Satz 3 DSG M-V). Dies hat zur Folge, dass in einem solchen Fall nicht das BDSG, sondern eben doch das jeweilige Landesdatenschutzgesetz einschlägig ist.

Somit ist beispielsweise. für einen Bezirksschornsteinfeger, der als Beliehener agiert, im Grundsatz das jeweilige Landesdatenschutzgesetz anwendbar (vgl. zu diesem Beispiel HK HDSIG, 1. Auflage 2021, § 2 Rn. 21).

Info: Beliehener bezeichnet in der Regel eine natürliche oder juristische Person, der Befugnisse der Verwaltung übertragen worden sind. Ein Beliehener nimmt mithin hoheitliche Aufgaben der öffentlichen Verwaltung wahr.

Mithin ist bei dem Vorliegen einer nicht-öffentlichen Stelle stets zu prüfen, ob diese im Einzelfall hoheitliche Aufgaben der Verwaltung wahrnimmt und aus diesem Grund Landesdatenschutzrecht gilt. Schwierige Abgrenzungsfragen treten z.B. auch bei Notaren auf, insb. wenn es sich um Anwaltsnotare handelt.

Fazit

Wie bei der obigen Darstellung der Rechtslage deutlich geworden ist, lässt sich die Frage nach der maßgeblichen datenschutzrechtlichen Kodifikation, insbesondere wenn es um das Handeln öffentlicher Stellen geht, nicht pauschal beantworten. Gerade bei kommunalen Eigenbetrieben, Anstalten des öfftl. Rechts oder Beliehenen treten Abgrenzungsschwierigkeiten auf und er hat eine Differenzierung nach einzelnen Verarbeitungstätigkeiten zu erfolgen.

Für die Frage, ob das BDSG oder das jeweilige Landesdatenschutzgesetz anwendbar, ist dabei im konkreten Einzelfall nicht zuletzt entscheidend, in welchem Bundesland das Unternehmen bzw. die Körperschaft der öffentlichen Hand tätig ist. Je nach Tätigkeitsort können sich bei der Frage nach der maßgeblichen datenschutzrechtlichen Rechtslage teils erhebliche Unterschiede ergeben. Hier bedarf es einer Prüfung des einschlägigen Landesdatenschutzgesetzes im Einzelfall unter Heranziehung der entsprechenden Gesetzeskommentierung.

Für die Frage nach der Anwendbarkeit von BDSG oder Landesdatenschutzgesetz auf öffentliche Stellen / Behörden ist im Grundsatz entscheidend, ob das Unternehmen oder die Körperschaft des öffentlichen Rechts im Wettbewerb tätig sind. Liegt eine Wettbewerbsteilnahme vor, so gilt die Faustformel, dass wohl nur das BDSG einschlägig ist, ansonsten das jeweilige Landesdatenschutzgesetz. Allerdings kann auch dieser Grundsatz in keinem Fall pauschalisiert auf jeden einzelnen Fall übertragen werden. Insbesondere, da es in einigen Bundesländern in diesem Fall zu einer kumulativen Anwendung von Vorschriften der Landesdatenschutzgesetze und des Bundesdatenschutzgesetzes kommen kann.

Darüber hinaus sollte immer im Hinterkopf behalten werden, dass bei der Frage, ob eine öffentliche Stelle im Wettbewerb tätig ist, jeder Vorgang getrennt zu betrachten ist.

Aus all dem folgt, dass zum Beispiel bei der Erstellung einer Datenschutzerklärung für eine Internetseite einer öffentlichen Stelle, eines privaten Unternehmens das öffentliche Aufgaben wahrnimmt oder sonstiger Unternehmen, die in den Anwendungsbereich der Landesdatenschutzgesetze fallen können, grundsätzlich eine individuelle Prüfung des Einzelfalles erfolgen muss. Diese individuelle Prüfung bezieht sich zum einen auf die gesellschaftliche rechtliche Struktur des Unternehmens, zum anderen auch auf die jeweils einschlägigen Landesdatenschutzvorschriften zur Abgrenzung des Anwendungsbereichs. Und zuletzt betrachtet die Prüfung die genaue Abgrenzung der jeweils auf der Internetseite verarbeiteten und erhobenen personenbezogenen Daten.

Es ist also stets ratsam, die durch Ihr Unternehmen oder Ihre Behörde durchgeführten Verarbeitungen individuell auf die Einhaltung datenschutzrechtliche Vorgaben zu prüfen, insbesondere darauf, welche Vorschriften im konkreten Fall einzuhalten sind. Dabei gibt es neben der Frage der Einschlägigkeit des BDSG oder der Landesdatenschutzgesetzen zu klären, ob im konkreten Fall ein spezielleres datenschutzrechtliches Regelwerk anwendbar ist.

Sollten Sie bei der datenschutzrechtlichen Einordnung Ihrer datenverarbeitenden Vorgänge eine Beratung benötigen, stehen wir Ihnen als bei DURY LEGAL gerne zur Seite und sichern Ihre Datenverarbeitungen rechtlich ab.

Co-Autor: Wissenschaftlicher Mitarbeiter – Stud. jur. Manuel Thomas