Aufsatz : Die DS-GVO und ihre Auswirkung auf die Bundesländer : aus der RDV 2/2018, Seite 65 bis 70
Komplementär zu der DS-GVO bleibt nicht zuletzt aufgrund der JIRL das einzelstaatliche Recht von Bedeutung. Trotz des zukünftig unmittelbar anwendbaren Sekundärrechts ist der nationale Gesetzgeber gefragt, auf die umfassende Reform des europäischen Datenschutzrechts in Form von eigener Rechtssetzung zu reagieren. Dieser Pflicht ist der Bund bereits Mitte des Jahres 2017, kurz vor Ende der letzten Legislatur, nachgekommen. Welchen Weg aber die Bundesländer vor sich haben und wie weit sie dabei schon sind, zeigt der vorliegende Beitrag auf.
I. Umsetzungsbedarf der DS-GVO und JIRL auf Landesebene
1. Wahl des EU-Rechtsakts und ihr Umsetzungsbedarf
Die Wahl einer Verordnung (VO) steht bewusst im Einklang mit dem Ziel einer Vollharmonisierung.[1] Doch genauso wie es Richtlinien (RL) geben kann, die wie Verordnungen wirken, gibt es auch Verordnungen, die etwa aufgrund von Öffnungsklauseln oder Verweisen an die Mitgliedstaaten letztendlich – zumindest in Teilen – wie eine Richtlinie wirken. Die Öffnungsklauseln der DS-GVO erinnern an die Umsetzungsmöglichkeiten der Mitgliedstaaten, die von einer Richtlinie ausgehen. Dementsprechend lässt sich die DS-GVO faktisch als Hybrid aus Richtlinie und Verordnung qualifizieren.[2] Trotz der mit einer Verordnung verbundenen Vorteile gegenüber der Richtlinie respektive der Rechtsvereinheitlichung kann und wird auch die DS-GVO keine komplette Harmonisierung des europäischen Datenschutzrechts schaffen.[3] Dafür mangelt es der EU u.a. auch an der Kompetenz, um beispielsweise Bereiche wie den Gesundheits- oder Beschäftigtendatenschutz selbst abschließend regeln zu können. Die Mitgliedstaaten müssen den ihnen verbleibenden Gestaltungsspielraum durch den Erlass von Datenschutzbestimmungen ausfüllen.[4] Aufgrund des föderalen Systems der BRD ist nicht nur der Gesetzgeber des Bundes, sondern auch die Länderebene in der Pflicht zu eruieren, in welchen Bereichen sie Gestaltungsspielräume besitzen und diese innerhalb der verbleibenden Grenzen gegenüber den anderen Akteuren im Mehrebenensystem sachgerecht auszufüllen.
Zeitgleich mit der DS-GVO trat die JIRL[5] in Kraft. Diese Form des Rechtsakts verlangt die Implementierung im nationalen Recht. Nach Art. 63 JIRL sind die der RL unterfallenden Staaten verpflichtet, die einzelstaatlichen Rechts- und Verwaltungsvorschriften zur Umsetzung der RL zu erlassen.
2. Zeitliche Anforderungen
Vielen Bundesländern stehen noch große Anstrengungen bevor, um die zwingenden Anpassungsschritte vorzunehmen. Zur Wahrnehmung des Regelungsspielraums müssen sie bis Mai 2018 tätig werden. Die von der JIRL an die Mitgliedstaaten gerichteten Regelungsaufträge sind bis zum 6. Mai 2018 zu erfüllen und bis zum 25. desselben Monats geht der noch viel größere gesetzliche Anpassungs- und Ausgestaltungsbedarf von der DS-GVO aus.
II. 16 neue Landesdatenschutzgesetze + X
1. Gesetzgebungskompetenz der Länder
Im Grundgesetz (GG) existiert keine Rechtsnorm, die den Datenschutz explizit normiert.[6] Es greift deswegen die allgemeine Kompetenzverteilung des GG. Die Parlamente der Länder können sich nach Art. 70 Abs. 1 GG als legislative Körperschaften mit der rechtlichen Ausgestaltung der Datenverarbeitung auf Grundlage ihrer Gesetzgebungskompetenz befassen, soweit keine Bundeskompetenz festgestellt wird.[7] Mangels einer einheitlichen Regelungskompetenz für datenschutzrechtliche Gesetze ist punktuell entsprechend der jeweiligen Materie nach Befugnissen zur Rechtssetzung zu suchen.[8] Danach ergibt sich die Gesetzgebungskompetenz der Länder im Datenschutzrecht u.a. für die Bereiche des Rundfunks oder innerhalb der klassischen Landesmaterien des Polizei-, Kommunal- und Schulrechts, aber auch im Gesundheitswesen und anderen Bereichen mit Landeskompetenzen.[9]
2. Anpassung des Landesdatenschutzrechts an die EU-Datenschutzreform
Insbesondere für den Datenschutz ihrer öffentlichen Stellen betreiben die Länder grundsätzlich Rechtssetzung in Form von Landesdatenschutzgesetzen (LDSG), welche ebenfalls mit dem Unionssekundärrecht in Einklang stehen müssen. Hinzu kommen bereichsspezifische Datenschutzregelungen, etwa im Bereich des Gesundheitsdatenschutzrechts die Landeskrankenhausgesetze.[10] Die Gesetzgebungskompetenz für den Datenschutz der nicht-öffentlichen Stellen liegt grundsätzlich allein beim Bund.[11]
a) Vorgehensweise
Im Unionsrecht bestehen neben der DS-GVO Spezialregelungen, wie die ebenfalls noch mit umzusetzende JIRL. Auch der Landesgesetzgeber differenziert zwischen allgemeinen und bereichsspezifischen Vorgaben und erlässt allgemeine LDSG und bereichsspezifische Regelungen wie etwa im Polizeirecht. Da sich durch die DS-GVO nun das übergeordnete allgemeine Datenschutzrecht grundlegend ändert, sind davon sämtliche landesrechtlichen Datenschutzvorschriften betroffen und müssen damit in Einklang gebracht werden. Es wird deswegen nie ausreichen, allein die LDSG anzupassen, sondern auch das datenschutzrechtliche Fachrecht gilt es nun nach der EU-Datenschutzreform zu überarbeiten. Es steht der Landesebene offen, sämtliche Änderungen in einem Gesetzgebungsverfahren zu vollziehen oder zunächst allein das LSDG zu novellieren und zusätzlich im Anschluss ein sog. Omnibusgesetz zur Anpassung des bereichsspezifischen Landesdatenschutzrecht zu erlassen. Nicht zu vergessen ist das Erfordernis, den zwischen allen Ländern getroffenen Staatsvertrag für Rundfunk und Telemedien (RStV) an das EU-Datenschutzrecht anzupassen. Den dafür nötigen Beschluss haben die Länder am 20. Oktober 2017 getroffen, und der daraus resultierende 21. Rundfunkänderungsstaatsvertrag tritt zum 25. Mai 2018 in Kraft.[12] Die Umsetzung der JIRL bedarf nicht zwingend eigener spezieller Vollregelungen. In der Regel wird sie partielle Berücksichtigung in jedem LDSG finden und darüber hinaus vor allem im Fachrecht umgesetzt. Hessen geht genauso wie Bayern den Weg, die JIRL auch umfänglich und allgemein im jeweiligen Landesdatenschutzgesetz umzusetzen (§§ 40-79 LDSG-E Hessen bzw. Art. 28-37 LDSG-E Bayern). Sachsen und Hamburg trennen den Umsetzungsbedarf der JIRL klar ab, indem sie einen dafür eigenen Gesetzesentwurf auf den Weg bringen. Alle weiteren bisher aktiven Länder vollziehen den Umsetzungsprozess gemeinschaftlich sowohl für die DS-GVO als auch für die JIRL. Das hat, wie z.B. in Hessen, die Anpassung des Landesdatenschutzgesetzes sowie die Änderung rund 30 weiterer Gesetze zur Folge.
b) Sachstandsbericht: Wie weit sind die Länder?
Hinsichtlich der wenigen verbleibenden Zeit haben viele Bundesländer Gesetzesentwürfe für die Neuordnung ihres Datenschutzrechts erlassen. Aus Baden-Württemberg, Niedersachsen, dem Saarland, Berlin und Rheinland-Pfalz sind keine Entwürfe bekannt (Stand: Februar 2018). Um das Landesrecht an die Vorgaben des EU-Rechts anzupassen, ist den Ländern kein Weg vorgegeben. Die Umsetzungsfreiheit dabei erstreckt sich auch auf die zeitliche Planung zur legislativen Umsetzung. Ohne bzw. bis zur Umsetzung gilt in den Ländern die DS-GVO unmittelbar.
3. Punktueller Blick auf geplante Regelungen
a) Die föderale Aufsichtsstruktur
aa) Aufgabenbereich, Errichtung und Rechtsstellung
Die Kontrollinstanzen auf Länderebene fokussieren sich analog zum Bund auf die Behörden und öffentlichen Stellen des Landes, wozu insbesondere sämtliche kommunale Verwaltungen zählen. Dies regeln sie aus ihrer eigenen Kompetenz heraus. Gleichwohl verfolgt die DS-GVO ein einheitliches Konzept, wonach die Aufsichtsbehörde über die Verarbeitung personenbezogener Daten im öffentlichen und nicht-öffentlichen Bereich wacht. Der Bundesgesetzgeber ermächtigt die Länder in § 40 BDSG-neu bzw. § 38 BDSG a.F. deswegen, die Aufsicht für nicht-öffentliche Stellen zu regeln. Den bereits in Art. 28 Abs. 1 S. 2 EG-DSRL verfassten und von der Unionsgerichtsbarkeit[13] bestätigten Gedanken der völligen Unabhängigkeit greift nunmehr die DS-GVO auf, indem sie die Unabhängigkeit und Weisungsfreiheit ausdrücklich und ganz überwiegend abschließend normiert (Art. 51-54 DS-GVO). Für die Errichtung jeder Länderaufsicht sind nach Art. 54 Abs. 1 lit. a DS-GVO Rechtsvorschriften zu erlassen. Damit ist den Landesgesetzgebern aufgrund der nach Art. 51 Abs. 1 i.V.m Abs. 3 DS-GVO zulässigen föderalen Aufsichtsstruktur ein obligatorischer Regelungsauftrag auferlegt. Innerhalb dessen besitzen die Länder einen, wenn auch nur eng begrenzten, Spezifizierungsspielraum. Das zeigt sich schon daran, dass die Bundesländer gleichermaßen wie der Bund ihrer Aufsicht aufgrund der Vereinbarkeit mit unionsrechtlichen Vorgaben die Rechtsstellung einer obersten Landesbehörde verleihen.[14] Es erscheint mindestens irritierend, dass in Schleswig-Holstein anstelle der Rechtsform einer obersten Landesbehörde eine Anstalt des öffentlichen Rechts vorgesehen ist.[15] Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) hat in seiner Stellungnahme zu dem Gesetzesentwurf darauf mit Unverständnis reagiert und für sich ebenfalls den Status einer obersten Landesbehörde reklamiert.[16] Die Rechtsstellung der Hamburger Aufsicht ist von außen nicht leicht zu erkennen und bedarf ggf. ebenfalls eines Umbaus hin zur obersten Landesbehörde.
bb) Persönliche Anforderungen
Qualifikation, Erfahrung und Sachkunde sind gem. Art. 54 Abs. 1 lit. b DS-GVO die Voraussetzungen für die Einstellung als Datenschutzaufseher und fürderhin national zu konkretisieren. Diese Vorgaben lassen sich vom Landesgesetzgeber natürlich schlicht übernehmen, so etwa geschehen in den allermeisten Bundesländern.[17] Oder die Voraussetzungen werden, wie in Hamburg beabsichtigt (§ 20 LDSG-E Hamburg), auf „Fachkunde“ reduziert, was jedoch den sekundärrechtlichen Vorgaben wohl nicht ausreichend Rechnung trägt. Eine eigene, aber dem Unionsrecht entsprechende Formulierung findet sich im bayerischen LDSG-E, wonach „durch einschlägige Berufserfahrung die erforderlichen Kenntnisse des Datenschutzrechts“[18] nachzuweisen sind. Die jeweilige Spezifizierung der beamtenrechtlichen Anforderungen richtet sich nach dem entsprechenden Landesrecht für die Landesbediensteten. Von Bedeutung wird der Aspekt auch bei der Ausgestaltung der in Art. 54 Abs. 2 S. 2 DS-GVO normierten Verschwiegenheitspflicht durch die Länder. Sind die Behördenleiter wie in Bayern (Art. 15 Abs. 1 S. 2 LDSG-E Bayern) verbeamtet, ergibt sich die Verschwiegenheitspflicht grundsätzlich aus den Landesbeamtengesetzen; im Falle der Zulässigkeit von nicht verbeamteten Bediensteten müssten jedoch Landesdatenschutzgesetze angepasst werden.[19] Dementsprechend hat z.B. Hessen die Verschwiegenheitspflicht ausdrücklich geregelt (§ 12 LDSG-E Hessen). Die Freie und Hansestadt Hamburg hat die DS-GVO zum Anlass genommen, die dienstrechtliche Einordnung des amtierenden Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit dahingehend zu ändern, dass er ab dem 25. Mai aus dem Beamtenverhältnis entlassen wird.[20] Diese Regelung ist weder zwingend von der DS-GVO verlangt, noch scheint sie einer unabhängigen Stellung des Landesbeauftragten dienlich. Nachvollziehbarerweise wird dieser Schritt vom Amtsinhaber in seiner Stellungnahme als „eine allgemeine Schlechterstellung“ qualifiziert.[21]
Das von Art. 54 Abs. 1 lit. b DS-GVO ausgehende Regelungsgebot erstreckt sich auch auf die sonstigen Voraussetzungen für die Ernennung als Landesdatenschutzbeauftragten. Hessen leitet daraus wie viele andere Bundesländer ab, ein Mindestalter von 35 Jahren gesetzlich festzulegen.[22] Diese Spezifizierung dürfte die vom Verordnungsgeber offen gelassenen Grenzen sprengen. Die sonstigen Voraussetzungen sollen teleologisch die Unabhängigkeit der DatenschutzAufsichtsbehörde fördern und diese nicht beeinträchtigen.[23] Ein Ausschluss aufgrund eines zu geringen Alters erscheint nicht mit den sekundärrechtlich vorrangigen Anforderungen vereinbar. Sachsen-Anhalt qualifiziert dies – ohne auf das Unionsrecht einzugehen – als Altersdiskriminierung und als unvereinbar mit dem Allgemeinen Gleichstellungsgesetz, weshalb diese Anforderungen in ihrem LDSG entfallen soll.[24] Vielmehr wird zutreffender Weise konstatiert, dass das Alter dem Kriterium der Sachkunde inhärent ist: „Regelmäßig wird diese ein Berufsanfänger nicht haben.“ Hamburg verwirft die Altersgrenze auch nicht aus unionsrechtlichen Gründen, sondern wegen der Unvereinbarkeit „mit Blick auf das beamtenrechtliche Leistungsprinzip“[25]
Bemerkenswert ist die geplante Regelung Hamburgs zur „Tätigkeit nach Beendigung des Amtsverhältnisses“ (§ 23 LDSG-E Hamburg). Nach Ablauf der Amtszeit als Datenschutzaufseher soll ein Verbot sämtlicher mit dem Amt nicht zu vereinbarenden Tätigkeiten auch für die Dauer von zwei Jahren nach Beendigung des Amtes dazu beitragen, das Risiko von Interessenkonflikten zu minimieren.[26] Die Regel für die Beendigung des Beschäftigungsverhältnisses findet sich ansonsten nur noch in § 7 Abs. 6 Errichtungsgesetz ULD-E und in § 18 Abs. 2 LDSG-E Sachsen. Es ist fraglich, ob sich ein Zeitraum von 18–24 Monaten als EU-weiter Mindeststandard durchsetzen wird,[27] oder ob die nationalen Gesetzgeber diesen zulässig nutzbaren Ausgestaltungsspielraum zur Spezifizierung der persönlichen Anforderungen weiter größtenteils ungenutzt lassen. Gleichwohl muss eine solche Regelung der verfassungsrechtlich garantierten Berufsfreiheit Rechnung tragen.
b) Videoüberwachung
Die Länder regeln die Voraussetzungen für die Videoüberwachung öffentlich zugänglicher Räume durch öffentliche Stellen des Landes, der Gemeinden oder Landkreise zum Zweck der Aufgabenerfüllung der jeweiligen öffentlichen Stelle, zur Wahrnehmung des öffentlichen Hausrechts oder zur Wahrnehmung berechtigter Interessen für konkret festgelegte Zwecke. Die Ausgestaltung durch die Länder erinnert in den meisten Fällen an § 4 BDSG-neu. Damit verbunden sind die Zweifel an der Zulässigkeit ebendieser Datenverarbeitung sowie die Frage über die Fortgeltung der Informationspflichten nach Art. 13 und 14 DS-GVO.[28]
Dabei reagiert das brandenburgische Gesetz gleich auf beide Vorwürfe in interessanter Weise: Die Landesregierung verzichtet zunächst auf die Exklusivität der Rechtsgrundlage für die Videoüberwachung, indem sie nicht die Verwendung „ist nur zulässig, wenn“ benutzt, sondern stattdessen von „ist zulässig, wenn“ spricht. Selbstbewusst wird in Hinsicht auf die Transparenz nur ein selektiver Teil der vielfältigen Informationen aus Art. 13 DS-GVO als Informationen der 1. Stufe[29] bewertet: neben der Videoüberwachung selbst, die Angaben nach Art. 13 Abs. 1 lit. a (Verantwortlicher und Vertreter), lit. b (ggf. bestellter Datenschutzbeauftragter) und lit. c (Zwecke und Rechtsgrundlage). Bei dieser Regelung handelt es sich der Gesetzesbegründung nach nicht um eine denkbare Beschränkung der Informationspflicht nach Art. 23 DS-GVO, „sondern um eine Konkretisierung, die erforderlich ist, um in den Fällen der Videoüberwachung die Einhaltung der Vorschriften der DS-GVO abzusichern“.[30] Komplementär dazu ist darauf hinzuweisen, wo die betroffenen Personen die weiteren Informationen nach Art. 13 DS-GVO erhalten können.
Ein Mittelweg zwischen den in § 4 Abs. 2 BDSG-neu und von Art. 13 DS-GVO geforderten Informationen findet das Land Sachsen: „Die Tatsache der Videoüberwachung, der Name und die Kontaktdaten des Verantwortlichen sowie die Möglichkeit, beim Verantwortlichen die weiteren Informationen nach [Art. 13 DS-GVO] zu erhalten, sind durch geeignete Maßnahmen erkennbar zu machen“.[31] Sehr ähnlich geht auch das Land Schleswig-Holstein vor.[32] Der Landesgesetzgeber regelt damit die Vorgehensweise in Form einer gestuften Informationsgewährung, wie sie sich inzwischen auch die DSK vorstellen kann.[33]
Vom Wortlaut der Vorschrift zur Videoüberwachung her geht Mecklenburg-Vorpommern einen ziemlich ähnlichen Weg wie der Bund, begründet die Zulässigkeit aber unzutreffender Weise mit der Wahrung berechtigter Interessen gem. Art. 6 Abs. 1 lit. f DS-GVO, was in dieser Pauschalität wenig überzeugend erscheint. Darauf stützt sich gleichermaßen Schleswig-Holstein und fühlt sich merkwürdigerweise trotz Gültig Werden der DS-GVO nicht von maßgeblichen Veränderungen konfrontiert: „Die Voraussetzungen, nach denen eine Videoüberwachung zulässig sein kann, bleiben auf einem mit dem bisherigen Niveau vergleichbaren Standard.“[34] Die geplante Regelung hat das ULD in vielen Belangen, u.a. hinsichtlich der Zulässigkeit, scharf kritisiert und vertritt die Auffassung, „dass die Vorschrift zumindest Irritationen hervorrufen wird“.[35]
Wenngleich die Begründung eines Gesetzes keinen verbindlichen Charakter zu entfalten vermag, begründet der sächsische Gesetzgeber seine Regelungsbefugnis nachvollziehbar. Sachsen stützt sich auf Art. 6 Abs. 1 lit. e i.V.m. Art. 6 Abs. 3 S. 1 und 3 DS-GVO und ordnet die Verarbeitung personenbezogener Daten gem. Art. 6 Abs. 3 S. 3 DSGVO als Wahrnehmung einer im öffentlichen Interesse liegenden Aufgabe oder in Ausübung öffentlicher Gewalt ein.[36] In dieser Weise begründet auch Thüringen die Zulässigkeit der Videoüberwachung durch öffentliche Stellen.[37]
c) Bußgelder
Da sich die Mitgliedstaaten hinsichtlich der Möglichkeit Bußgelder gegen öffentliche Stellen zu verhängen nicht einigen konnten,[38] findet sich mit Art. 83 Abs. 7 DS-GVO eine Öffnungsklausel in der Grundverordnung wieder. Dieser Ausgestaltungsspielraum gewährt in Deutschland neben dem Bund auch den Ländern das Recht, Vorschriften dafür festzulegen, ob und in welchem Umfang gegen Behörden und öffentliche Stellen Geldbußen verhängt werden können. Die DSK hat sich von dieser sekundärrechtlichen Gestaltungsbefugnis ausgehend für „effektive Sanktionen auch gegenüber Behörden“[39] ausgesprochen, was den Bundesgesetzgeber aber nicht dazu verleiten konnte, entsprechend zu handeln. Gem. § 43 Abs. 3 BDSG-neu ist vielmehr ausdrücklich geregelt: „Gegen Behörden und sonstige öffentliche Stellen im Sinne des § 2 Absatz 1 werden keine Geldbußen verhängt.“ Aufgrund der Positionierung im Jahr 2016 zur Effektivierung der Sanktionsmöglichkeit innerhalb des öffentlichen Bereichs ist es spannend zu sehen, welchen Weg die Länder gegangen sind. Bayern verneint ein solches Erfordernis grundlegend und gar deutschlandweit: „Sanktionen in der von Art. 83 [DS-GVO] vorgesehenen Form und Höhe sind in dem öffentlichen Bereich weder erforderlich noch angemessen und dem deutschen Verfassungsrecht fremd. Bei Verstößen gegen die in Art. 83 Abs. 1 bis 6 [DS-GVO] genannten Bestimmungen sind vielmehr die Rechtsaufsichtsbehörden zum Handeln aufgerufen.“[40] Wie der Bund verzichten die Länder größtenteils auf die Möglichkeit, Bußgelder gegen öffentliche Stellen auszusprechen, sofern sie nicht als öffentlich-rechtliche Unternehmen im Wettbewerb mit anderen Verarbeitern stehen, damit diese gegenüber ihren Wettbewerbern nicht bessergestellt werden.
Die besagte Öffnungsklausel des Art. 83 DS-GVO erlaubt nicht die Normierung von Bußgeldtatbeständen gegenüber Mitarbeitern von Behörden oder sonstigen öffentlichen Stellen. Dies hat eine Sanktionslücke zur Folge. Praktisch kann es nämlich vorkommen, dass Mitarbeiter öffentlicher Stellen – etwa im Kontext familiärer Streitigkeiten – unter Überschreitung ihrer Kompetenzen Daten rechtswidrig für eigene Zwecke nutzen.[41] Für die potenzielle Ahndung der handelnden Person wird häufig auf Art. 84 DS-GVO verwiesen. Diese Öffnungsklausel für Sanktionen erlaubt es den Unionsmitgliedern zwar – auch verwaltungsrechtliche – Sanktionen zu erlassen, jedoch nur abseits der unionsrechtlich harmonisierten Geldbußen bei Datenschutzverstößen gem. Art. 83 DS-GVO.[42] Das nationale Recht kann mithin nur Bußgeldvorschriften innerhalb des vom Verordnungsgeber überlassenen Bereichs implementieren, der ausschließlich von der für die Geldbußen geltenden Öffnungsklausel (Art. 83 Abs. 7 DS-GVO) geregelt ist. Art. 84 DS-GVO kann schlussendlich nicht als Grundlage für anderweitige Bußgeldtatbestände im einzelstaatlichen Recht herangezogen werden.
Thüringen und Sachsen sehen hingegen auch für Mitarbeiter öffentlicher Stellen, die ordnungswidrig handeln, Bußgelder vor. Brandenburg will in Fortführung seiner bisherigen Rechtslage die in Art. 84 Abs. 1 DS-GVO seiner Auffassung nach enthaltene Öffnungsklausel gleichermaßen nutzen. NRW verfolgt mit § 33 Abs. 1 LDSG-E NRW dasselbe Ziel und schließt sich der Rechtsauffassung an, dass Art. 84 Abs. 1 DS-GVO solche Bußgeldtatbestände erlaubt.[43] Aus den dargelegten Gründen ist die Vereinbarkeit dieser geplanten Sanktionierungen mit dem Unionsrecht zweifelhaft. Gem. Art. 84 Abs. 2 DS-GVO hat Deutschland die auf Grundlage des Art. 84 Abs. 1 DS-GVO erlassenen nationalen Rechtsvorschriften, wozu auch die Landesvorschriften zählen, der Kommission bis zum 25.5.2018 mitzuteilen.[44] Es ist denkbar, dass die Kommission aufgrund dessen ein Vertragsverletzungsverfahren gegen Deutschland anstrengt. In Deutschland besteht aber mit der Möglichkeit der Amtshaftung (Art. 34 GG), auch unabhängig von solchen etwaigen Regelungen innerhalb des Landesdatenschutzrechts, weiterhin eine anwendbare Rechtsfolge für Verstöße einzelner Mitarbeiter gegen den Datenschutz.[45]
III. Fazit
Bis März 2018 hat der Gesetzgebungsprozess im Landesdatenschutzrecht in den meisten Bundesländern begonnen. Es bleibt abzuwarten, in wie vielen Ländern die Anpassungen bis zum 25. Mai tatsächlich schon im Gesetzesblatt verkündet sind, zumal einige Landesregierungen bis dato noch nicht einmal einen Gesetzesentwurf verabschiedet haben. Diesem föderalen Gesetzgebungsprozess kommt im Allgemeinen insgesamt nur wenig Aufmerksamkeit zuteil, da das Länderrecht in erster Linie die Rechtsgrundlage für die öffentliche Datenverarbeitung darstellt. Die Datenschutzvorschriften im Fachrecht werden insbesondere im Bereich Sicherheit und Gesundheit Relevanz entfalten. Wie in Bezug auf den gesetzgeberischen Anpassungsprozess des Bundes, der vor allem das BDSG-neu als Resultat hat, werden auch hinsichtlich der prominent diskutierten Regelungen innerhalb des Landesdatenschutzrechts, wie der zur Videoüberwachung oder zum Bußgeld gegen öffentliche Stellen, Zweifel an der EU-Rechtskonformität bestehen. Durch die Wahl einer Verordnung als unmittelbar geltendes Recht in Verbindung mit teilweise verpflichtend auszufüllenden Öffnungsklauseln sind die Grenzen des legislativen Gestaltungsspielraum nicht klar konturiert, sodass Regelungslücken und nicht mit Unionsrecht vereinbarende Vorschriften in der Konsequenz durchaus denkbar erscheinen. Darüber wird aber allein der Gerichtshof der EU (EuGH) zu entscheiden haben. Setzen die Länder die DS-GVO nicht um und lassen die Regelungsspielräume aus den Öffnungsklauseln der DS-GVO ungenutzt, wird dort die DS-GVO ab dem 25. Mai 2018 – auch im Regelungsbereich der Länder – unmittelbar gelten.
Prof. Dr. Rolf Schwartmann Leiter der Kölner Forschungsstelle für Medienrecht an der Fachhochschule Köln, Mitherausgeber der Fachzeitschrift RDV sowie Vorstandsvorsitzender der GDD e.V., Bonn. Er ist Mitglied der Plattform „Sicherheit, Schutz und Vertrauen für Gesellschaft und Wirtschaft“ im Rahmen des nationalen IT-Gipfels der Bundesregierung und leitet dort die Fokusgruppe Datenschutz.
Dr. Tobias Jacquemain, LL.M. ist promovierter Datenschutzrechtler und veröffentlicht im Datenschutz ebenso wie im Europäischen Wirtschaftsrecht. Seit 2018 ist er Wissenschaftlicher Referent bei der Gesellschaft für Datenschutz und Datensicherheit e.V., Bonn.
[1] Siehe Gola/Schomerus, BDSG, 2015, Einleitung, Rn. 28 mit Verweis auf weitere Quellen. Die EG-DSRL führt zuvor zu einer „grundsätzlich umfassenden Harmonisierung“, so der EuGH, Urteil v. 06.11.2003, Rs. C-101/01, Rn. 96 – Bodil Lindqvist.
[2] So auch Greve, NVwZ 2017, 737, 743; Kühling/Martini et al., Die Datenschutz-Grundverordnung und das nationale Recht, 2016, 1; Piltz, Sachverständigenanhörung im Innenausschuss des Bundestages v. 27.03.2017, Protokoll-Nr. 18/110, 70.
[3] Freiherr von dem Bussche; Zeiter; Brombach, DB 2016, 1359, 1364; Kuner, BNA Bloomberg Privacy and Security Law Report 2012, 06.02.2012, 1, 3; Spindler, DB 2016, 937, 937.
[4] Die Übersicht über nationale Abweichungsmöglichkeiten leistet Kühling/Martini et al., Die Datenschutz-Grundverordnung und das nationale Recht, 2016; vgl. auch Spindler, DB 2016, 937, 938 f.; Kraska, ZD-Aktuell 2016, 04173. Wenngleich auf den Kommissionsentwurf bezogen, zutreffend Hornung, ZD 2012, 99, 100; Kuner, BNA Bloomberg Privacy and Security Law Report 2012, 06.02.2012, 1, 3
[5] RL Nr. 2016/680 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zweck der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates v. 27.04.2016, ABl. EU Nr. L 119, 89.
[6] Bundesregierung, Entwurf eines Gesetzes zum Schutz vor Missbrauch personenbezogener Daten bei der Datenverarbeitung (Bundes-Datenschutzgesetz – BDSG v. 21.09.1973), Drs. 7/1027, A. 3.2, 16.
[7] Tinnefeld; Ehmann; Gerling, Einführung in das Datenschutzrecht, 2005, 157 f. Ausführlich dazu Simitis, in: Simitis, BDSG, 2014, § 1, Rn. 4.
[8] Simitis, in: Simitis, BDSG, 2014, § 1, Rn. 6
[9] Vgl. Kühling; Klar; Sackmann, Datenschutzrecht, 2018, Kap. 1 C.II.
[10] Vgl. Kühling; Klar; Sackmann, Datenschutzrecht, 2018, Kap. 1 D.V.3.
[11] Vgl. LDSG-E Sachsen-Anhalt, LT-Drs. 7/1736, 11; Bäumler, Neue Wege im Datenschutz, 2000.
[12] Vgl. Landtag Rheinland-Pfalz, LT-Vorlage 17/2234, 1 ff
[13] Vgl. EuGH, Urteil v. 09.03.2010, Rs. C-518/07 – Kommission/ Deutschland.
[14] Vgl. Gesetzentwurf der Bundesregierung zur Änderung des Bundesdatenschutzgesetzes, BT-Drs. 18/2848, 1 f.
[15] Vgl. § 1 Abs. 1 S. 1 Errichtungsgesetz ULD-Entwurf, LT-Drs. 19/429, 72.
[16] Vgl. ULD, Stellungnahme des ULD zur Anpassung des Schleswig-Holsteinischen Landesrechts an die Datenschutz-Grundverordnung und an die JI-Richtlinie v. 24.01.2018, 4.
[17] Vgl. § 10 S. 2 LDSG-E Hessen, § 17 Abs. 1 S. 4 LDSG-E MecklenburgVorpommern, § 5 Abs. 2 S. 2 LDSG-E Schleswig-Holstein, § 16 Abs. 1 S. 2 LDSG-E Sachsen, § 15 Abs. 1 S. 3 LDSG-E Brandenburg, § 3 Abs. 2 S. 1 LDSG-E Thüringen oder auch § 20 Abs. 2 S. 2 LDSG-E Sachsen-Anhalt.
[18] Art. 19 Abs. 1 u. Abs. 1 S. 1 Ziff. 3 LDSG-E Bayern.
[19] Vgl. Boehm, in: Kühling; Buchner, DS-GVO, 2017, Art. 54, Rn. 25.
[20] Vgl. Art. 7 Abs. 2 S. 1, LT-Drs. 21/11638.
[21] Hamburgische Beauftragte für Datenschutz und Informationsfreiheit, Stellungnahme zum Senatsentwurf des Hamburgischen Datenschutzgesetzes und zum Entwurf des Justizvollzugsdatenschutzgesetzes v. 05.02.2018, 4.
[22] Vgl. LDSG-E Hessen, LT-Drs. 19/5728, Begründung, 102
[23] Vgl. Selmayr, in: Ehmann/ders., DS-GVO, 2017, Art. 54, Rn. 7.
[24] Vgl. LDSG-E Sachsen-Anhalt, LT-Drs. 7/1736, Begründung, 13.
[25] Vgl. LDSG-E Hamburg, LT-Drs. 21/11638, Begründung, 30.
[26] Vgl. LDSG-E Hamburg, LT-Drs. 21/11638, Begründung, 31.
[27] Für eine solche „cooling off“-Periode: Selmayr, in: Ehmann/ders., DSGVO, 2017, Art. 54, Rn. 11.
[28] Zur Zulässigkeit der Norm Schwartmann, in: ders. u.a., DS-GVO/BDSG, § 4 BDSG, Rn. 4 ff.
[29] Zur gestuften Informationsgewährung Schwartmann/Schneider, in: Schwartmann u.a., DS-GVO/BDSG, Art. 13, Rn. 23 ff.
[30] Vgl. LDSG-E Brandenburg, LT-Drs. 6/7365, Begründung, 25.
[31] § 13 Abs. 3 LDSG-E Sachsen.
[32] Vgl. § 14 Abs. 2 LDSG-E Schleswig-Holstein, LT-Drs. 19/429.
[33] Vgl. DSK, Kurzpapier Nr. 15, Videoüberwachung nach der Datenschutz-Grundverordnung, 3.
[34] LDSG-E Schleswig-Holstein, LT-Drs. 19/429, Begründung, 144.
[35] ULD, Stellungnahme des ULD zur Anpassung des Schleswig-Holsteinischen Landesrechts an die Datenschutz-Grundverordnung und an die JI-Richtlinie v. 24.01.2018, 5.
[36] Vgl. LDSG-E Sachsen, LT-Drs. 6/10918, Begründung, 64.
[37] Vgl. LDSG-E Thüringen, LT-Drs. 6/4943, Begründung, 32.
[38] Vgl. Nguyen, RDV 2014, 26, 29.
[39] Entschließung der 91. Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder v. 7.4.2016, Stärkung des Datenschutzes in Europa – nationale Spielräume nutzen.
[40] LDSG-E Bayern, LT-Drs. 17/19628, Begründung, 43 f.
[41] Vgl. ULD, Stellungnahme des ULD zur Anpassung des Schleswig-Holsteinischen Landesrechts an die Datenschutz-Grundverordnung und an die JI-Richtlinie v. 24.01.2018, 6.
[42] Vgl. nur Kühling/Martini u.a., Die Datenschutz-Grundverordnung und das nationale Recht, 2016, 280 ff. A.A. ULD, Stellungnahme des ULD zur Anpassung des Schleswig-Holsteinischen Landesrechts an die Datenschutz-Grundverordnung und an die JI-Richtlinie v. 24.01.2018, 6.
[43] Vgl. LDSG-E NRW, LT-Drs. 17/1981, 157.
[44] Vgl. Schwartmann/Jacquemain, in: Schwartmann et al., DS-GVO, 2018, Art. 84, Rn. 26.
[45] Vgl. Schwartmann/Jacquemain, in: Schwartmann et al., DS-GVO, 2018, Art. 83, Rn. 18