bdsg-neu abdsg recht gesetz ldsg bdsg landesdatenschutzgesetz bundesdatenschutzgesetz datenschutzbeauftragter besondere arten kategorien personenbezogener daten ds-gvo bundesrat bundestag ausweis kopieren scannen pauswg personalausweisgesetz beschäftigtendatenschutz abmahnung eprivacy-verordnung epvo stberg steuerberater auftragsverarbeitung

LDSG oder BDSG – was gilt wann?

/von

[Update 2019]

Offenbar hat die Aufsichtsbehörde Hamburg „aufgeräumt“ und alte (veraltete) Inhalte entfernt. Daher sind die in diesem Artikel verlinkten Dokumente und/oder Seiten nicht mehr aufrufbar.

[Update Ende]

Der Datenschutz wird durch eine Vielzahl an Gesetzen und anderen Rechtsnormen, bis hin zu gerichtlichen Entscheidungen, geregelt. Das bekannteste Gesetz zum Datenschutz dürfte das Bundesdatenschutzgesetz (BDSG) sein. Neben diesem Gesetz gibt es allerdings noch weitere reine Datenschutzgesetze, nämlich die Landesdatenschutzgesetze (LDSG) der einzelnen Bundesländer. Diese heißen übrigens häufig ganz anders, z. B. HmbDSG, also Hamburgisches Datenschutzgesetz [Link entfernt – nicht mehr erreichbar]. Nun ist das BDSG ein sog. Auffanggesetz, das heißt jede andere Rechtsnorm, welches Regelungen zum Datenschutz enthält, geht dem BDSG vor. Muss nun in jedem Fall das LDSG zurate gezogen werden?

Ausnahme: LDSG für öffentliche Stellen

Die Antwort lautet erst einmal: Nein. Die LDSG wurden geschaffen, um die Datenverarbeitung der öffentlichen Stellen durch die Länder weiter zu regeln. Das heißt allerdings nicht, dass die Entscheidung, ob das LDSG anzuwenden ist, immer so einfach und pauschal anhand der Frage „Haben wir hier eine öffentliche Stelle?“ zu klären wäre. Die LDSG enthalten beispielsweise in den ersten Paragrafen stets ein teilweise sehr ausführliches und komplexes Regelwerk, wann sie anzuwenden sind.

Hier finden sich dann Formulierungen, wie

Für juristische Personen, Gesellschaften und andere Personenvereinigungen des privaten Rechts, an denen die Freie und Hansestadt Hamburg oder eine ihrer Aufsicht unterstehende juristische Person des öffentlichen Rechts beteiligt ist, gelten nur die auf nicht-öffentliche Stellen anzuwendenden Vorschriften des Bundesdatenschutzgesetzes in der jeweils geltenden Fassung, wenn sie keine öffentlichen Stellen des Bundes gemäß § 2 Absatz 3 des Bundesdatenschutzgesetzes sind.

Das bedeutet im Klartext: Wenn die Stadt (bzw. das Bundesland) Hamburg z. B. an einem Unternehmen der Rechtsform GmbH beteiligt ist, so gilt für diese GmbH das BDSG, es sei denn das Unternehmen nimmt Aufgaben der öffentlichen Verwaltung wahr (s. § 2 Abs. 1 Satz 2 BDSG). Eigentlich ganz einfach.

Und die Ausnahme von der Ausnahme

In Satz 1 des eben zitierten Paragrafen wird zuvor definiert, dass (stark verallgemeinert ausgedrückt) alle Behörden und öffentlich-rechtlich organisierten Einrichtungen als öffentliche Stellen zu werten sind. Wirkt schon wieder einfach. Allerdings liegt hier der Teufel im Detail, genauer gesagt in Satz 2 des Paragrafen:

Soweit die in Absatz 1 Satz 1 genannten Stellen als Unternehmen am Wettbewerb teilnehmen, gelten von den Vorschriften dieses Gesetzes nur die §§ 10, 28, 29 und der Vierte Abschnitt. 2 Im Übrigen sind die für nicht-öffentliche Stellen geltenden Vorschriften des Bundesdatenschutzgesetzes mit Ausnahme des § 38 in der jeweils geltenden Fassung anzuwenden

Wettbewerb ist der entscheidende Faktor

Nehmen die eigentlich öffentlichen Stellen also am Wettbewerb teil, so gilt das LDSG nur in geringen Teilen, ansonsten ist der Abschnitt für nicht-öffentliche Stellen des BDSG anzuwenden.

An dieser Stelle wird es dann wirklich kompliziert: Wie wird entschieden, ob ein Unternehmen am Wettbewerb teilnimmt. Woran macht man das fest? Ein Beispiel: Universtätskliniken sind öffentlich-rechtlich organisiert. Sie betreiben Forschung und Lehre. Andererseits behandeln sie auch Patienten und rechnen gegenüber den Krankenkassen und Krankenversicherungen ganz normal nach den hierfür geltenden Regelungen ab. So wie jedes andere Krankenhaus, welches von einem privaten Träger betrieben wird, auch. Nehmen Universitätskliniken jetzt am Wettbewerb teil?

Wir wissen’s auch nicht

Wir haben dieses Thema intern diskutiert und sind zu dem Schluss gekommen, dass wir diese Frage mit den uns zur Verfügung stehenden Informationen nicht beantworten können. Wir sehen zwei unterschiedliche Ansätze, dies Frage zu beantworten, können jedoch nicht entscheiden, welcher der „richtige“ ist.

Möglichkeit 1

Zu beantworten wäre die Frage: „Ist das Klinikum auf die Einnahmen, die durch die Behandlung von Patienten generiert werden, angewiesen?“

Folgende Informationen würden wir zur Beurteilung heranziehen:

  • Wie werden die Einnahmen durch Behandlung von Patienten verwendet?
  • Was passiert, wenn die Patienten ausbleiben und die dadurch generierten Einnahmen wegfallen?

Wird die Universitätsklinik über öffentliche Gelder (oder zumindest nicht primär über die Einnahmen aus der Behandlung von Patienten) finanziert, so kann davon ausgegangen werden, dass es sich um eine öffentliche Stelle handelt. Ist das Klinikum hingegen auf diese Einnahmen angewiesen und hätte ein Einbruch der Patientenzahl zur Folge, dass bspw. die Gelder für die Forschung gekürzt würden, kann von einer Teilnahme am Wettbewerb ausgegangen werden.

Möglichkeit 2

Zu beantworten wäre die Frage: „Hat das Klinikum dieselbe Zielgruppe, wie privatwirtschaftlich geführte Kliniken?“

Diese Frage dürfte sich mit „Ja“ beantworten lassen. Dennoch erscheint uns diese Art der Bewertung etwas einfach.

Fragen Sie die Aufsichtsbehörde

Letztlich ist die Entscheidung, ob für eine verantwortliche Stelle nach BDSG oder LDSG anzuwenden ist, nicht immer einfach und auch nicht immer eindeutig. Im Zweifel empfehlen wir, die Aufsichtsbehörde in den Entscheidungsprozess einzubeziehen. Spätestens bei einer Prüfung wird diese die Entscheidung ohnehin treffen.

Gerne übernehmen wir die Klärung von Sachverhalten mit den Aufsichtsbehörden für Sie. Erste allgemeine Anfragen können wir sogar so stellen, dass Sie als verantwortliche Stelle anonym bleiben können.

Das könnte Sie auch interessieren
konzern unternehmensgruppeDatenschutz in Unternehmensgruppen und Konzernen – was ist zu beachten?
facebook fanpageEuGH-Urteil zu Fanpages bei Facebook
aufsichtsbehörde bußgeld eprivacy verordnung epvo schadensersatzDie ePrivacy-Verordnung – alles zurück auf Anfang!
hacker pentest penetrationstest abmahnung abmahnfähigSind Verstöße gegen die DSGVO abmahnfähig? – Bislang keine Abmahnwelle
standard-datenschutzmodell datenschutz-folgenabschätzung datenübermittlung ausland prüfung dsms datenschutzmanagementsystem dsfa zertifizierung forschung zweckänderung prüfung fragebogenDatenschutz-Folgenabschätzung und Standard-Datenschutzmodell
berechtigtes interesse 6 1 f dsgvo bundesgerichtshof bgh eugh europäischer gerichtshof privacyshield gericht bußgeld 1&1 risiko bgh auskunftsrecht lag sachsen olg münchen schadenersatz google fonts eugh löschbegehren sicherheit e-mail auskunft frist unverzüglichEuGH kippt PrivacyShield – was ist jetzt zu tun?
Datenschutz-gerechte Datenlöschung nach BGSGdatenlöschung löschen schreddern vernichten 17 dsgvoeu-dsgvo europa datenschutz-grundverordnung arbeitnehmerdatenschutz privacy shield safe harbor eprivacy verordnung dsgvo epvo brexit angemessenheitsbeschluss uk einwilligung newsletter werbung soft opt-inBeschäftigtendatenschutz unter der DSGVO