Der externe Datenschutzbeauftragte

Als Dienstleister übernehmen wir alle Aufgaben des betrieblichen Datenschutzbeauftragten für Ihr Unternehmen.

Mehr Informationen

Datenschutz-Audits

Mit einer Zertifizierung nach dem Standard DS-BvD-GDD-01 kann Ihr Unternehmen nach außen dokumentieren, dass Sie den Datenschutz ernst nehmen und die Daten Ihrer Kunden bei Ihnen sicher sind.

Mehr Informationen

Computerforensik

Wer hat wann welche Tätigkeiten am PC oder Smartphone durchgeführt? Die Computerforensik findet die Antworten...

Mehr Informationen

Datenschutz

Ein hohes Datenschutzniveau ist heute ein wichtiges Qualitätsmerkmal für viele Unternehmen. Ein externer Datenschutzbeauftragter gewährleistet die Umsetzung der gesetzlichen Vorgaben.

Mehr Informationen

Datenschutz-Audits

Mit einem Datenschutz-Audit kann ein Unternehmen die Einhaltung der datenschutzrechtlichen Vorschriften nach außen dokumentieren. Für Auftragsdatenverarbeitungen ist insbesondere der Standard DS-BvD-GDD-01 interessant.

Mehr Informationen

Gutachten

Ob zur Strafverfolgung durch die Behörden, zur Beweisführung in zivilrechtlichen Verfahren oder zur Bewertung von Hard- und Software - häufig kann ein IT-Gutachen die benötigten Nachweise liefern.

Mehr Informationen

Computer-Forensik

Computerstraftaten haben in den letzten Jahren enorm zugenommen. Zur Beweisführung aber auch zur Verteidigung gegen unberechtigte Beschuldigungen können computerforensische Gutachten den entscheidenden Beitrag liefern.

Mehr Informationen

gdd-mitglied-pos
2016_01_29_Logo_Mitglieder_lowres

LDSG oder BDSG – was gilt wann?

28. Juni 2016

Der Datenschutz wird durch eine Vielzahl von Gesetzen und anderen Rechtsnormen, bis hin zu gerichtlichen Entscheidungen, bestimmt. Das bekannteste Gesetz zum Datenschutz dürfte das Bundesdatenschutzgesetz (BDSG) sein. Neben diesem Gesetz gibt es allerdings noch weitere reine Datenschutzgesetze, nämlich die Landesdatenschutzgesetze (LDSG) der einzelnen Bundesländer. Diese heißen übrigens häufig ganz anders, z. B. DSG NRW, also Datenschutzgesetz Nordrhein-Westfalen. Nun ist das BDSG ein sog. Auffanggesetz, das heißt jede andere Rechtsnorm, welches Regelungen zum Datenschutz enthält, geht dem BDSG vor. Muss nun in jedem Fall das LDSG zurate gezogen werden?

Ausnahme: LDSG für öffentliche Stellen

Die Antwort lautet erst einmal: Nein. Die LDSG wurden geschaffen, um die Datenverarbeitung der öffentlichen Stellen durch die Länder und Kommunen zu regeln. Das heißt allerdings nicht, dass die Entscheidung, ob das LDSG anzuwenden ist, immer so einfach und pauschal anhand der Frage „Haben wir hier eine öffentliche Stelle?“ zu klären wäre. Die LDSG enthalten beispielsweise in den ersten Paragrafen stets ein teilweise sehr ausführliches und komplexes Regelwerk, wann sie anzuwenden sind.

Hier finden sich dann Formulierungen, wie

Dieses Gesetz gilt für die Behörden, Einrichtungen und sonstigen öffentlichen Stellen des Landes, die Gemeinden und Gemeindeverbände sowie für die sonstigen der Aufsicht des Landes unterstehenden juristischen Personen des öffentlichen Rechts und deren Vereinigungen (öffentliche Stellen), soweit diese personenbezogene Daten verarbeiten. Für den Landtag und für die Gerichte sowie für die Behörden der Staatsanwaltschaft gilt dieses Gesetz, soweit sie Verwaltungsaufgaben wahrnehmen; darüber hinaus gelten für die Behörden der Staatsanwaltschaft, soweit sie keine Verwaltungsaufgaben wahrnehmen, nur die Vorschriften des Zweiten Teils dieses Gesetzes. Für den Landesrechnungshof und die Staatlichen Rechnungsprüfungsämter gelten der Dritte Abschnitt des Ersten Teils und der Zweite Teil sowie die §§ 8 und 32 a nur, soweit sie Verwaltungsaufgaben wahrnehmen. Für die Ausübung des Gnadenrechts findet das Gesetz keine Anwendung.

Das bedeutet im Klartext: Überall dort wo Teile des LDSG von der Anwendung ausgenommen werden, gilt dann doch wieder die entsprechende Regelung des BDSG. Eigentlich ganz einfach.

Und die Ausnahme von der Ausnahme

In Satz 1 der zuvor zitierten Regelung wird definiert, dass (etwas verallgemeinert ausgedrückt) alle Behörden und öffentlich-rechtlich organisierten Einrichtungen als öffentliche Stellen zu werten sind. Wirkt schon wieder einfach. Allerdings liegt hier der Teufel im Detail, genauer gesagt in Absatz 2 der Regelung:

Hier wird beispielsweise definiert, dass für öffentliche Stellen, die am Wettbewerb teilnehmen und Daten zu wirtschaftlichen Zwecken oder Zielen verarbeiten von den Regelungen des LDSG nur die Vorschriften des Zweiten Teils sowie die §§ 8, 28 bis 31 und 32a gelten und im Übrigen mit Ausnahme der §§ 4d bis 4g sowie des § 38 die für nicht-öffentliche Stellen geltenden Vorschriften des Bundesdatenschutzgesetzes einschließlich der Straf- und Bußgeldvorschriften anzuwenden sind.

Wettbewerb ist der entscheidende Faktor

Nehmen die eigentlich öffentlichen Stellen also am Wettbewerb teil, so gilt das LDSG nur in geringen Teilen, ansonsten ist der Abschnitt für nicht-öffentliche Stellen des BDSG anzuwenden.

An dieser Stelle wird es dann wirklich kompliziert: Wie wird entschieden, ob ein Unternehmen am Wettbewerb teilnimmt. Woran macht man das fest? Ein Beispiel: Universitätskliniken sind öffentlich-rechtlich organisiert. Sie betreiben Forschung und Lehre. Andererseits behandeln sie auch Patienten und rechnen gegenüber den Krankenkassen und Krankenversicherungen ganz normal nach den hierfür geltenden Regelungen ab. So wie jedes andere Krankenhaus, welches von einem privaten Träger betrieben wird, auch. Nehmen Universitätskliniken jetzt am Wettbewerb teil?

Wir wissen es auch nicht

Wir haben dieses Thema intern diskutiert und sind zu dem Schluss gekommen, dass wir diese Frage mit den uns zur Verfügung stehenden Informationen nicht beantworten können. Wir sehen zwei unterschiedliche Ansätze, dies Frage zu beantworten, können jedoch nicht entscheiden, welcher der „richtige“ ist.

Möglichkeit 1

Zu beantworten wäre die Frage: „Ist das Klinikum auf die Einnahmen, die durch die Behandlung von Patienten generiert werden, angewiesen?“

Folgende Informationen würden wir zur Beurteilung heranziehen:

  • Wie werden die Einnahmen durch Behandlung von Patienten verwendet?
  • Was passiert, wenn die Patienten ausbleiben und die dadurch generierten Einnahmen wegfallen?

Wird die Universitätsklinik über öffentliche Gelder (oder zumindest nicht primär über die Einnahmen aus der Behandlung von Patienten) finanziert, so kann davon ausgegangen werden, dass es sich um eine öffentliche Stelle handelt. Ist das Klinikum hingegen auf diese Einnahmen angewiesen und hätte ein Einbruch der Patientenzahl zur Folge, dass bspw. die Gelder für die Forschung gekürzt würden, kann von einer Teilnahme am Wettbewerb ausgegangen werden.

Möglichkeit 2

Zu beantworten wäre die Frage: „Hat das Klinikum dieselbe Zielgruppe, wie privatwirtschaftlich geführte Kliniken?“

Diese Frage dürfte sich mit „Ja“ beantworten lassen. Dennoch erscheint uns diese Art der Bewertung etwas einfach.

Fragen Sie die Aufsichtsbehörde

Letztlich ist die Entscheidung, ob für eine verantwortliche Stelle nach BDSG oder LDSG anzuwenden ist, nicht immer einfach und auch nicht immer eindeutig. Im Zweifel empfehlen wir, die Aufsichtsbehörde in den Entscheidungsprozess einzubeziehen. Spätestens bei einer Prüfung wird diese die Entscheidung ohnehin treffen.

Gerne übernehmen wir die Klärung von Sachverhalten mit den Aufsichtsbehörden für Sie. Erste allgemeine Anfragen können wir sogar so stellen, dass Sie als verantwortliche Stelle anonym bleiben können.