LandesdatenschutzgesetzRechtsgrundlagen
Datenschutzbehörde (Landesdatenschutzgesetz)
Neben dem Bundesdatenschutzgesetz (BDSG) gelten in Deutschland außerdem die sechzehn Landesdatenschutzgesetze (LDSG) für die jeweiligen Bundesländer. Größtenteils sind diese deckungsgleich mit den Regelungen des Bundesdatenschutzgesetzes; es ergeben sich jedoch auch ein paar Unterschiede. Die Gesetze regeln allgemein den Datenschutz in öffentlichen Stellen des Landes. Für Unternehmen gelten sie damit grundsätzlich nicht; allerdings gibt es auch vereinzelt Ausnahmen für die jeweiligen Bundesländer.
Anwendungsbereich der Landesdatenschutzgesetze
Die Datenschutzgesetze der Bundesländer gelten also insbesondere für die jeweiligen öffentlichen Stellen
des einzelnen Bundeslandes, etwa für Landesbehörden und Kommunalverwaltungen. Erheben und verarbeiten
diese personenbezogene Daten, ist das jeweilige LDSG anzuwenden. Sie regeln außerdem die Befugnisse der
Landesdatenschutzbeauftragten. Privatrechtlich organisierte Unternehmen, wie beispielsweise eine AG,
GmbH, KG oder OHG, sind nicht öffentliche Stellen im Sinne des § 2 Abs. 4 BDSG. Grundsätzlich gelten für
sie die Landesdatenschutzgesetze damit nicht. In diesem Fall ist also das Bundesdatenschutzgesetz
anzuwenden. Dieses ermächtigt in § 38 Abs. 6 BDSG die einzelnen Landesregierungen aber dazu,
Aufsichtsbehörden zu bestimmen, die für die Kontrolle der Durchführung des Datenschutzes in nicht
öffentlichen Stellen zuständig sind. Insofern sind Landesdatenschutzgesetze für Unternehmen dann
relevant, wenn es um die Bestimmung der zuständigen Datenschutzbehörde geht.
Außerdem können in der Auftragsdatenverarbeitung (ADV) die Datenschutzgesetze der Bundesländer für
Unternehmen relevant werden, wobei sich dabei die Regelungen in den einzelnen Ländern unterscheiden.
Landesdatenschutz bei Behörden als Auftraggeber für Unternehmen
Im Rahmen der in § 11 BDSG geregelten Auftragsdatenverarbeitung sind Auftragsverhältnisse zwischen
Landesbehörden als Auftraggeber und Unternehmen als Auftragnehmer durchaus mögliche Konstellationen.
Gleichwohl ist in dieser Norm keine Ermächtigung zur Aufgabenverlagerung zu sehen. Dass eine öffentliche
Stelle demnach ihre Aufgaben an privatrechtlich organisierte Unternehmen übertragen darf, ist nur unter
besonderen Voraussetzungen zulässig. Sollte ein Unternehmen an der Wahrnehmung von Staatsaufgaben
beteiligt sein, was einer Kompetenzübertragung nahe- oder gleichkommt, bedarf es einer gesetzlichen
Ermächtigung. Bei einer Auftragsdatenverarbeitung zwischen einer Landes- oder Kommunalbehörde und einem
Unternehmen können daher auch die Landesdatenschutzgesetze zu beachten sein.
Bis auf das LDSG Schleswig-Holstein enthalten alle Landesdatenschutzgesetze Regelungen, nach welchen
Unternehmen und ihre Mitarbeiter in solchen Fällen das landesgesetzliche Datengeheimnis wahren müssen.
Eben dieses Datengeheimnis legt eben das jeweilige LDSG fest. Unternehmen sollten ihre Mitarbeiter
gegebenenfalls also darauf aufmerksam machen.
Landesdatenschutzbehörden und Landesdatenschutzbeauftragte
Das Bundesdatenschutzgesetz ermächtigt in § 38 Abs. 6 BDSG die Länder zudem, die zuständigen
Datenschutzbehörden zu bestimmen. Mit Ausnahme von Bayern und Schleswig-Holstein sind das die jeweiligen
Landesdatenschutzbeauftragten. Sie sind für die Kontrolle der Unternehmen hinsichtlich der Vorschriften
des dritten Abschnitts des BDSG zuständig. Dieser umfasst alle Regelungen zur Erhebung, Nutzung und
Verarbeitung personenbezogener Daten in und durch Unternehmen. Erkennt die Landesdatenschutzbehörde bei
einer Kontrolle eine Missachtung dieser Vorschriften, ist mit den schmerzlichen Sanktionen des BDSG zu
rechnen.
Auch wenn also die einzelnen Landesdatenschutzgesetze grundsätzlich nicht auf Unternehmen anwendbar
sind, sollten Unternehmen sie im Rahmen der Auftragsdatenverarbeitung und hinsichtlich der zuständigen
Datenschutzbehörde immer im Hinterkopf behalten.
