EG-Datenschutzrichtlinie

Denn eine Benachrichtigung, die zur Wahrung schutzwürdiger Interessen des Betroffenen nicht erforderlich ist, stellt ­ als überflüssige Datenübermittlung ­ einen unnötigen Eingriff in seine Rechte dar. Dies kann nicht im Interesse der mit der EG-Datenschutzrichtlinie verfolgten Ziele liegen: Wenn schon nach Art. 12 Buchst. c der EG-Datenschutzrichtlinie die Mitteilungspflicht entfällt, wenn mit ihr ein unverhältnismäßiger Aufwand verbunden ist, so ist sie erst recht nicht notwendig, wenn die Mitteilung zur Wahrung schutzwürdiger Interessen des Betroffenen überhaupt nicht erforderlich ist. Z. B. hätte es keinen Sinn, eine Nachmeldung an einen Datenempfänger vorzunehmen, wenn der übermittelnden Stelle bekannt ist, dass die empfangende Stelle die ursprünglich erhaltenen Daten stets nach kurzer Zeit wieder löscht. Dann würde eine nachträgliche Benachrichtigung auf keinen Datensatz treffen, der korrigiert werden könnte.

Zu Nr. 5

Die Schadensersatzregelung in Art. 14 musste geändert werden, weil sie mit Art. 23 der EG-Datenschutzrichtlinie teilweise nicht vereinbar ist. Art. 23 der EG-Datenschutzrichtlinie sieht eine der Höhe nach unbeschränkte Haftung vor, die allerdings Verschulden voraussetzt. Das Verschulden wird jedoch gemäß Art. 23 Abs. 2 EG-Datenschutzrichtlinie vermutet; der für die Verarbeitung Verantwortliche kann einen Entlastungsbeweis führen. Bislang war im Bayer. Datenschutzgesetz nur ein Gefährdungshaftungstatbestand enthalten. Hierbei hätte es grundsätzlich bleiben können, da dies für den Geschädigten günstiger ist; jedoch würden dann die Haftungshöchstgrenzen des Art. 14 Abs. 3 a. F. der Richtlinie widersprechen. Das Entfallenlassen der mit der Gefährdungshaftung üblicherweise verbundenen Haftungshöchstgrenze kam jedoch nicht in Betracht, da das Haftungsrisiko zu groß werden würde. Die bestehende Haftungsregelung musste daher dahingehend erweitert werden, dass zu der bestehenden Gefährdungshaftung mit Haftungshöchstgrenzen (nunmehr Art. 14 Abs. 2 in dem von der EG-Datenschutzrichtlinie geforderten Rahmen eine Haftung für vermutetes Verschulden ohne Haftungsbegrenzung hinzutritt (nunmehr Art. 14 Abs. 1 Mit Art. 14 Abs. 1 Satz 2 wird die Möglichkeit der Haftungsbefreiung nach Art. 23 Abs. 2 der EGDatenschutzrichtlinie umgesetzt.

Art. 14 Abs. 1 und Art. 14 Abs. 2 stellen eigenständige Anspruchsgrundlagen dar.

Die bisherigen Absätze 5 bis 8 sind nunmehr Absätze 3 bis 6.

Aufgrund der Umstellung auf die Euro-Währungseinheit war der DM-Betrag durch einen Euro-Betrag zu ersetzen.

Zu Nr. 6

(Änderung des Art. 15

Zu a (Art. 15 Abs. 2 Art. 2 Buchst. h der EG-Datenschutzrichtlinie gibt Veranlassung zu verdeutlichen, dass die schon bisher vorgesehene Aufklärung des Betroffenen eine Information über die wesentlichen Gesichtspunkte der beabsichtigten Datenerhebung, -verarbeitung oder -nutzung umfasst.

Zu b Art. 15 Abs. 5 bis 8 Absatz 5: Art. 14 Buchst. a der EG-Datenschutzrichtlinie schreibt vor, dass der Betroffene ein besonderes Widerspruchsrecht gegen die Erhebung, Verarbeitung und Nutzung seiner Daten erhalten muss, wenn überwiegende, schutzwürdige, sich aus seiner besonderen Situation ergebenden Gründe entgegenstehen. Aus den Erwägungsgründen der EG-Datenschutzrichtlinie ergibt sich, dass dieses Recht jede betroffene Person besitzen soll, auch wenn die Daten Gegenstand einer rechtmäßigen Verarbeitung aufgrund eines öffentlichen Interesses oder der Ausübung hoheitlicher Gewalt sind. Es geht also nicht darum, auf Wunsch des Betroffenen die Rechtmäßigkeitsvoraussetzungen nochmals zu überprüfen, sondern unabhängig davon, zusätzliche Überlegungen aufgrund der besonderen persönlichen Lage des Betroffenen anzustellen.

Als bisher schon gegebener bereichsspezifischer Anwendungsfall könnte man das Widerspruchsrecht des Betroffenen gegen die Übermittlung bestimmter Sozialdaten nach § 76 Abs. 2 Nr. 1 SGB X sowie die Eintragung von Auskunftssperren nach Art. 34 Abs. 5 und 6 nennen.

Die Anwendungsfälle der Vorschrift dürften voraussichtlich gering bleiben. Denkbar ist z. B., dass ein Betroffener verlangt, dass ein Vorgang, der seine höchstpersönlichen Daten zum Gegenstand hat, nicht vom zuständigen Bediensteten bearbeitet wird, weil dieser zu seinem Bekanntenkreis gehört, ohne den im Verwaltungsverfahrensgesetz geregelten Tatbestand der Befangenheit zu erfüllen. Wenn die Behörde aufgrund der gebotenen Abwägung zu dem Ergebnis kommt, dass die vom Betroffenen vorgetragenen besonderen persönlichen Gründe das öffentliche Interesse an der Verarbeitung der Daten durch den an sich zuständigen Bediensteten überwiegen, dann muss diese unterbleiben oder so gestaltet werden, wie es dem Anliegen des Betroffenen, z. B. die Zuweisung der Bearbeitung an einen anderen Bediensteten, entspricht.

Das begründete Ergebnis der Abwägung ist dem Betroffenen mitzuteilen.

Das Widerspruchsrecht gilt nicht, wenn eine Rechtsvorschrift die Erhebung, Verarbeitung oder Nutzung anordnet. Denn das Widerspruchsrecht ist nach Art. 14 Buchst. a EG-Datenschutzrichtlinie zwingend nur für die Fälle von Art. 7 Buchst. e und f EGDatenschutzrichtlinie, nicht aber für den Fall des Art. 7 Buchst. c EG-Datenschutzrichtlinie, nämlich für Fälle einer rechtlichen Verpflichtung zur Erhebung, Verarbeitung oder Nutzung, vorgeschrieben.

Absatz 6: Art. 15 Abs. 6 setzt Art. 15 der EG-Datenschutzrichtlinie um. Dort ist bestimmt, dass die Mitgliedstaaten jeder Person das Recht einräumen, keiner für sie rechtliche Folgen nach sich ziehenden und keiner sie erheblich beeinträchtigenden Entscheidung unterworfen zu werden, die ausschließlich aufgrund einer automatisierten Verarbeitung von Daten zum Zwecke der Bewertung einzelner Aspekte ihrer Person ergeht, wie beispielsweise ihrer beruflichen Leistungsfähigkeit, ihrer Kreditwürdigkeit, ihrer Zuverlässigkeit oder ihres Verhaltens. Mit dieser Vorschrift soll verhindert werden, dass Entscheidungen aufgrund von Persönlichkeitsprofilen ergehen, ohne dass der Betroffene die Möglichkeit hat, die zugrunde liegenden Angaben und Bewertungsmaßstäbe zu erfahren. Der Anwendungsbereich der Vorschrift ist dadurch eingeengt, dass es sich um eine Entscheidung handeln muss, die rechtliche Folgen nach sich zieht oder zumindest eine erheblich beeinträchtigende Wirkung hat. Rechtliche Folgen hat beispielsweise die Entscheidung, eine behördliche Genehmigung zu erteilen, zu versagen oder zurückzunehmen. Die Entscheidung muss ausschließlich aufgrund einer automatisierten Verarbeitung erfolgen, d. h. eine erneute Überprüfung durch einen Menschen darf nicht vorgesehen sein. Nur in diesen Fällen greift das Verbot des Art. 15 Abs. 6 Keine Entscheidungen i. S. d. Abs. 5 sind Seite 14 Bayerischer Landtag 14. Wahlperiode Drucksache 14/3327 etwa bloße Vorentscheidungen, wie etwa die automatisierte Vorauswahl im Vorfeld einer Personalbesetzung (automatisierter Abgleich des Personalbestandes anhand bestimmter Suchkriterien, wie etwa Alter, Ausbildung, Zusatzqualifikation u. ä.). Art. 15 Abs. 6 Satz 2 setzt Art. 15 Abs. 2 Buchst. a der EG-Datenschutzrichtlinie um und enthält Ausnahmen von Art. 15 Absatz 6 Satz 1 Sinn und Zweck des Art. 15 der EGDatenschutzrichtlinie gebieten jedenfalls dann kein Verbot von automatisierten Einzelfallentscheidungen, wenn damit den Begehren eines Betroffenen stattgegeben wird; diesen Rechtsgedanken gibt Art. 15 Absatz 6 Satz 2 Nr. 2 wieder. Als weitere Ausnahme ist in Art. 15 Absatz 6 Satz 2 Nr. 3 der Fall festgelegt, dass der Betroffene über die Tatsache des Vorliegens einer Entscheidung nach Satz 1 informiert wird und ihm Gelegenheit gegeben wird, seinen Standpunkt geltend zu machen; in diesem Fall ist die öffentliche Stelle verpflichtet, ihre Entscheidung erneut zu prüfen.

Absatz 7: Art. 8 Abs. 1 der EG-Datenschutzrichtlinie untersagt die Verarbeitung besonderer Kategorien personenbezogener Daten. Die Aufzählung dieser so genannten sensitiven Daten ist wörtlich aus der EG-Datenschutzrichtlinie in Art. 15 Abs. 7 Satz 1 übernommen worden. Das Verbot der Verarbeitung dieser besonderen Kategorien personenbezogener Daten gilt jedoch nicht unbeschränkt. So enthalten die folgenden Absätze des Art. 8 der EG-Datenschutzrichtlinie Ausnahmen. Diese sind in Art. 15 Abs. 7 Satz 1 positiv gefasst. Im Einzelnen: Nr. 1 setzt Art. 8 Abs. 4 der EG-Datenschutzrichtlinie um. Eine solche bereichsspezifische Regelung muss sich im Rahmen des Art. 8 der EG-Richtlinie bewegen. Nicht jede einfache Rechtsvorschrift begründet die Zulässigkeit der Verarbeitung der in Art. 15 Abs. 7 Satz 1 genannten besonderen Kategorien personenbezogener Daten begründen kann. Wenn eine Rechtsvorschrift dies jedoch ausdrücklich vorsieht, so liegt darin eine Entscheidung, dass die Verarbeitung aufgrund eines wichtigen öffentlichen Interesses im Sinn des Art. 8 Abs. 4 der EG-Datenschutzrichtlinie erfolgt.

Nr. 2 entspricht Art. 8 Abs. 2 Buchst. a der EG-Datenschutzrichtlinie.

Nr. 3 entspricht Art. 8 Abs. 2 Buchst. c der EG-Datenschutzrichtlinie.

Nr. 4 entspricht Art. 8 Abs. 2 Buchst. e Alternative 1 der EGDatenschutzrichtlinie.

Nr. 5 setzt Art. 8 Abs. 4 der EG-Datenschutzrichtlinie um.

Nr. 6 setzt Art. 8 Abs. 4 der EG-Datenschutzrichtlinie um.

Nr. 7 entspricht Art. 8 Abs. 2 Buchst. b der EG-Datenschutzrichtlinie.

Nr. 8 entspricht Art. 8 Abs. 3 der EG-Datenschutzrichtlinie. Die entsprechende Geheimhaltungspflicht der sonstigen Personen bezieht sich dabei auf die Geheimhaltungspflicht für ärztliches Personal.

Durch die Worte über die Vorschriften dieses Abschnittes hinaus wird klargestellt, dass die Anforderungen des Art. 15 Abs. 7 zusätzlich zu den Vorschriften des Dritten Abschnittes des Gesetzes gelten.

Art. 15 Abs. 7 Satz 2 dient der Klarstellung, dass die in Art. 20 geregelten Datenübermittlungen an öffentlichrechtliche Religionsgemeinschaften weiterhin zulässig sind.

Im Übrigen gelten bereichsspezifische Normen weiterhin. So gelten schon jetzt bereichsspezifische Regelungen für das Kirchensteuerrecht und für das Meldewesen. Z. B. darf im Meldewesen das Datum rechtliche Zugehörigkeit zur einer Religionsgesellschaft gespeichert werden (Art. 3 Abs. 1 Nr. 11 und es dürfen Daten der Meldebehörden an öffentlich-rechtliche Religionsgesellschaften übermittelt werden (Art. 32 Unberührt bleibt auch die Datenübermittlung durch die Finanzämter an die Kirchensteuerämter gemäß § 31 Abs. 1 Abgabenordnung und § 17 Abs. 2 Satz 1 der Verordnung zur Ausführung des Kirchensteuergesetzes.

Absatz 8:

Für die in Art. 15 Abs. 8 genannten Stellen konnte die Geltung der Absätze 5 bis 7 ausgeschlossen werden, da auf die Tätigkeiten der dort genannten Stellen die EG-Datenschutzrichtlinie keine Anwendung findet, weil es sich dabei um Tätigkeiten des Staates im strafrechtlichen Bereich handelt (Art. 3 Abs. 2 Spiegelstrich 1 der EG-Datenschutzrichtlinie).

Die Vorschrift regelt die Datenübermittlung an Stellen im Ausland. Art. 21 Abs. 1 Alt. 1 enthält eine Privilegierung für die Übermittlung an öffentliche Stellen der Mitgliedstaaten der EU. Art. 21 Abs. 1 trägt dem Umstand Rechnung, dass nach Umsetzung der EG-Datenschutzrichtlinie in deren Geltungsbereich die Übermittlung personenbezogener Daten nicht von strengeren Voraussetzungen abhängig gemacht werden darf als im Inland. Damit soll vermieden werden, dass der gemäß Art. 1 Abs. 2 der EG-Datenschutzrichtlinie garantierte freie Datenverkehr behindert wird.

Die Übermittlung an Stellen außerhalb der Mitgliedstaaten der Europäischen Union ist nach Art. 21 Abs. 2 Satz 1 nur zulässig, wenn die Voraussetzungen für eine Datenübermittlung an nicht-öffentliche Stellen innerhalb des Geltungsbereichs des gegeben sind. Dies entspricht der Regelung des bisherigen Art. 21 Abs. 1 Satz 1 Art. 21 Abs. 2 Satz 2 bestimmt nunmehr ­ in Umsetzung von Art. 25 Abs. 1 der EGDatenschutzrichtlinie ­, dass die Datenübermittlung in ein Drittland darüber hinaus nur zulässig ist, wenn dort ein angemessenes Datenschutzniveau gewährleistet ist.

In Art. 21 Abs. 2 Satz 3 werden die Kriterien für die Bestimmung der Angemessenheit näher dargelegt. Diese Kriterien sind in Art. 25 Abs. 2 der EG-Datenschutzrichtlinie enthalten.

Auch wenn im Drittland kein angemessenes Datenschutzniveau besteht, lässt Art. 26 der EG-Datenschutzrichtlinie Ausnahmen vom Übermittlungsverbot zu, die in Art. 21 Abs. 2 Satz 4 Nrn. 1 bis 6 übernommen wurden. Art. 26 Abs. 2 der EGDatenschutzrichtlinie wird von Art. 21 Abs. 2 Satz 4 Nr. 7 umgesetzt.

Um die Verpflichtung nach Art. 26 Abs. 3 der EG-Datenschutzrichtlinie ­ Unterrichtung der Kommission und der anderen Mitgliedstaaten von Fällen des Art. 21 Abs. 2 Satz 4 Nr. 7 ­ nachkommen zu können, sind nach Art. 21 Abs. 2 Satz 5 solche Datenübermittlungen dem Staatsministerium des Innern mitzuteilen.

In Art. 25 Abs. 2 Satz 1 wird die bisher in einer Verwaltungsvorschrift (Nr. 3 der Vollzugsbekanntmachung zum vom 5. Oktober 1994) für staatliche öffentliche Stellen vorgeschriebene Bestellung behördlicher Datenschutzbeauftragter durch Gesetz für alle öffentlichen Stellen vorgeschrieben. Lediglich die Sozialversicherungsträger und ihre Verbände waren bislang gesetzlich zur Bestellung behördlicher Datenschutzbeauftragter verpflichtet (§ 81 Abs. 4 SGB X). Die Notwendigkeit für eine solche Regelung ergibt sich aus Art. 18 Abs. 2 der EGDatenschutzrichtlinie. Nach dieser Vorschrift entfallen sämtliche Meldepflichten der Behörden gegenüber der Kontrollstelle ­ in Bayern dem Landesbeauftragten für den Datenschutz ­ nur dann, wenn die Behörden interne Datenschutzbeauftragte bestellen. Auf die Verpflichtung der Bestellung von Datenschutzbeauftragten könnte der Gesetzgeber daher nur dann verzichten, wenn das Bayer. Datenschutzgesetz eine Verpflichtung aller Behörden vorsähe, sämtliche automatisierten Verfahren (praktisch der Inhalt des gesamten Verfahrensregisters) dem Landesbeauftragten für den Datenschutz zu melden. Gerade diese Meldung und die Führung eines zentralen Verfahrensregisters für Bayern wurde 1993 durch den bayerischen Gesetzgeber im Interesse der Verwaltungsvereinfachung abgeschafft.

Die Forderung, grundsätzlich alle bayerischen öffentlichen Stellen zur Berufung behördlicher Datenschutzbeauftragter zu verpflichten, wird auch vom Landesbeauftragten für den Datenschutz erhoben (vgl. 18. Tätigkeitsbericht des Landesbeauftragten, LTDrs. 14/187, Nr. 2.2.2).

Aus Gründen der Verwaltungsvereinfachung können nach Art. 25 Abs. 2 Satz 2 mehrere öffentliche Stellen gemeinsam einen ihrer Beschäftigten zum Datenschutzbeauftragten bestellen.

So können z. B. mehrere Gemeinden miteinander oder auch ein Landratsamt mit Gemeinden einen gemeinsamen behördlichen Datenschutzbeauftragten bestellen. Da die Verwaltungsgemeinschaften und ihre Mitgliedsgemeinden als einheitliche öffentliche Stelle anzusehen sind, ist in diesem Fall ohnehin nur ein Datenschutzbeauftragter zu bestellen.

Die Bestellung behördlicher Datenschutzbeauftragter ist entbehrlich, wenn nach Art. 28 Abs. 2 durch Rechtsverordnung festgelegt wird, welche automatisierten Verarbeitungen eingesetzt werden dürfen. Dies setzt allerdings voraus, dass eine abschließende Regelung möglich ist, welche automatisierten Verarbeitungen (mit genauer Festlegung der zu verarbeitenden Daten, die Verarbeitungszwecke und Datenübermittlungen) künftig von bestimmten öffentlichen Stellen eingesetzt werden.

Um die Stellung des behördlichen Datenschutzbeauftragten zu stärken und um ihm einen direkten Zugang zur Leitung der öffentlichen Stelle zu ermöglichen, ist der behördliche Datenschutzbeauftragte in dieser Funktion direkt der Leitung der öffentlichen Stelle oder deren ständiger Vertretung zu unterstellen. § 36 Abs. 3 Satz 1 Bundesdatenschutzgesetz enthält für betriebliche Datenschutzbeauftragte schon seit 1978 die Bestimmung, dass der Beauftragte für den Datenschutz dem Inhaber, dem Vorstand, dem Geschäftsführer oder dem sonstigen gesetzlich oder nach der Verfassung des Unternehmens berufenen Leiter unmittelbar zu unterstellen ist. Es ist sachgerecht, dass er bei obersten Dienstbehörden auch dem Ministerialdirektor (Amtschef), in Gemeinden auch einem berufsmäßigen Gemeinderatsmitglied unterstellt werden kann.

Die Weisungsfreiheit des behördlichen Datenschutzbeauftragten in Art. 25 Abs. 3 Satz 2 folgt aus Art. 18 Abs. 2 Spiegelstrich 2 der EG-Datenschutzrichtlinie. Danach ist die Unabhängigkeit des behördlichen Datenschutzbeauftragten bei der Überwachung der Anwendung datenschutzrechtlicher Bestimmungen Voraussetzung dafür, dass die sonst vorgesehene Meldung sämtlicher automatisierter Verfahren an den Landesbeauftragten für den Datenschutz zu einem zentralen Verfahrensregister entfällt.

Hat der behördliche Datenschutzbeauftragte Zweifel über die Auslegung von Datenschutzvorschriften, so kann er sich nach Art. 25 Abs. 2 Satz 3 unmittelbar ­ d. h. ohne Einhaltung des Dienstweges ­ an den Landesbeauftragten für den Datenschutz wenden.

Der Unabhängigkeit des behördlichen Datenschutzbeauftragten dient auch das in Art. 25 Abs. 3 Satz 4 festgelegte Benachteiligungsverbot: er darf wegen der Erfüllung seiner Aufgaben als behördlicher Datenschutzbeauftragter nicht benachteiligt werden. Umsetzungen, Versetzungen, Kündigungen oder disziplinarische Maßnahmen, die aus der Wahrnehmung der Funktion als behördlicher Datenschutzbeauftragter herrühren, sind daher unzulässig. Auch das Benachteiligungsverbot ist Voraussetzung für die von Art. 18 Abs. 2 der EG-Datenschutzrichtlinie geforderte Unabhängigkeit des behördlichen Datenschutzbeauftragten.

In der Regel wird der behördliche Datenschutzbeauftragte bei kleineren und mittleren öffentlichen Stellen nicht ausschließlich in dieser Funktion tätig sein. Es muss ihm allerdings ausreichend Zeit zur Verfügung stehen, diese Tätigkeit auszuüben. Nach Art. 25 Abs. 3 Satz 5 ist er daher im erforderlichen Umfang von der Erfüllung sonstiger dienstlicher Aufgaben freizustellen.

Art. 25 Abs. 3 Satz 6 räumt den Beschäftigten öffentlicher Stellen das Recht ein, sich in allen Angelegenheiten des Datenschutzes unmittelbar an ihre Datenschutzbeauftragten zu wenden. Dieses Recht besteht auch für den Fall, dass die Beschäftigten nicht Betroffene i. S. d. Art. 4 Abs. 1 sind.

Absatz 4: Art. 25 Abs. 4 Satz 1 umschreibt die Aufgabe des behördlichen Datenschutzbeauftragten. Dessen wesentliche Aufgabe ist es, die bei der Verarbeitung personenbezogener Daten tätigen Personen in der öffentlichen Stelle bei der Ausführung des und anderer Vorschriften über den Datenschutz zu beraten und zu unterstützen. Andere Vorschriften über den Datenschutz liegen vor, wenn sie die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten im Hinblick auf das Recht auf informationelle Selbstbestimmung regeln. Dazu zählen insbesondere solche Vorschriften, die als Spezialvorschriften den Regelungen des Bayer. Datenschutzgesetzes vorgehen, aber auch Verordnungen, Satzungen und Verwaltungsvorschriften, die datenschutzrechtliche Regelungen enthalten. Der behördliche Datenschutzbeauftragte führt außerdem das Verfahrensverzeichnis nach Art. 27 und erteilt die datenschutzrechtliche Freigabe nach Art. 26

Die Bestellung des behördlichen Datenschutzbeauftragten befreit die öffentliche Stelle allerdings nicht von ihrer Verantwortung.

Verantwortlich für die Rechtmäßigkeit der Datenverarbeitung ­ insbesondere für die Erforderlichkeit der Erhebung, Verarbeitung oder Nutzung von Daten zur Aufgabenerfüllung der speichernden Stelle ­ bleibt weiterhin deren Leitung.

Die Einsicht in Daten und Akten der öffentlichen Stelle zur Erfüllung seiner Aufgaben als behördlicher Datenschutzbeauftragter ist nach Art. 25 Abs. 4 Satz 2 zulässig, soweit nicht gesetzliche Regelungen entgegenstehen.