Datenschutz: Gesetzlicher Rahmen der Körperschaft öffentlichen Rechts

Beitrag von Herrn Rechtsanwalt Dr. Stephan Gärtner, Berlin.

09.12.2011 - Körperschaften des öffentlichen Rechts (wie zum Beispiel die Industrie- und Handelskammern) sind solche Organisation, deren Rechtssubjektivität auf einem öffentlich-rechtlichen Hoheitsakt beruht. Auch diese Körperschaften verarbeiten und nutzen personenbezogene Daten. Der nachfolgende Beitrag stellt in groben Zügen die für Körperschaften des öffentlichen Rechts geltenden Datenschutzbestimmungen dar.

Rechtsquellen

Als für eine Körperschaft des öffentlichen Rechts relevante Datenschutzvorschriften kommen zunächst die Datenschutzgesetze der Länder und das Bundesdatenschutzgesetz (BDSG) in Betracht. Die für das Verhältnis beider Rechtsquellen maßgebliche Norm ist § 1 Abs. 2 BDSG. Grob vereinfacht ist das BDSG hiernach stets anwendbar für nicht-öffentliche Stellen (sprich: Unternehmen). Öffentliche Stellen unterliegen dem BDSG nur soweit sie dem Bund unterstehen. In den übrigen Fällen sind im Grundsatz die Landesdatenschutzgesetze anwendbar.

Öffentliche vs. nicht-öffentliche Stelle

Maßgeblich ist damit zunächst, ob die jeweilige Körperschaft des öffentlichen Rechts als öffentliche oder nicht-öffentliche Stelle anzusehen ist. Diese Frage ist in vielen Fällen nicht unumstritten. Hintergrund ist, dass unter die Kategorie der Körperschaften des öffentlichen Rechts nicht nur Gebietskörperschaften oder Behörden fallen, die offenkundig als öffentliche Stelle agieren. Einordnungsschwierigkeiten bestehen insbesondere bei Stiftungen, Handwerksinnungen oder Unternehmen, an denen der Staat beteiligt ist. Soweit eine herrschende Meinung überhaupt auszumachen ist, muss in diesen Grenzfällen allein die Struktur der Mitgliedschaft maßgeblich sein (so Gola/Schomerus, Bundesdatenschutzgesetz, 10. Auflage, 2010, § 2 Rn. 14). Mithin ist diese Frage häufig nur im Einzelfall zu klären.

Rechtsquellen für die Körperschaft öffentlichen Rechts

Damit steht als Zwischenergebnis fest: Körperschaften des öffentlichen Rechts, deren Mitgliedschaftsstruktur privatrechtlich ist oder die dem Bund unterstehen müssen das BDSG beachten. Körperschaften des öffentlichen Rechts, die einem Bundesland unterstehen (z.B. Kreis- und Stadtverwaltungen) müssen das jeweilige Landesdatenschutzgesetz befolgen. Nach ganz herrschender Auffassung ist auf die Industrie- und Handelskammern das Landesdatenschutzrecht anwendbar, da sie zumindest der Landesaufsicht unterstehen (Gola/Schomerus, Bundesdatenschutzgesetz, 10. Auflage 2010, § 2 Rn. 18).

„Verbot mit Erlaubnisvorbehalt“ und „Abschottungsgebot“

Grundsätzlich gilt für alle Körperschaften des öffentlichen Rechts das so genannte „Verbot mit Erlaubnisvorbehalt“, wonach jede Erhebung, Verarbeitung und/oder Nutzung personenbezogener Daten grundsätzlich verboten ist (Regel), es sei denn der Betroffene hat eingewilligt oder ein Gesetz erlaubt die Datenverarbeitung oder ordnet diese an (Ausnahme). Für die Körperschaften des öffentlichen Rechts des Bundes folgt dies aus § 4 Abs. 1 BDSG, für diejenigen der Länder aus den entsprechenden Landesdatenschutzgesetzen (z.B. § 6 BlnDSG, Art. 15 BayDSG).

Für die Körperschaften des öffentlichen Rechts wird das Verbot mit Erlaubnisvorbehalt zudem durch das sog. „Abschottungsgebot“, das auch als „informationelle Gewaltenteilung“ bezeichnet wird, ergänzt. Hierzu hat das Bundesverfassungsgericht (BVerfG NJW 1988, 959-961) entschieden, dass die öffentliche Hand keine einheitliche verantwortliche Stelle ist, sondern aus vielen einzelnen verantwortlichen Stellen besteht. Das heißt, dass der datenschutzrechtlich relevante Kontakt zwischen einer Körperschaft des öffentlichen Rechts und einer anderen Körperschaft oder Behörde ebenfalls grundsätzlich verboten ist, soweit kein Erlaubnistatbestand eingreift.

Einwilligung als Rechtsgrundlage

Mithin ist ein wesentlicher Erlaubnistatbestand zur Verarbeitung personenbezogener Daten die Einwilligung des Betroffenen. Sie muss freiwillig, widerruflich und informiert erfolgen. Im BDSG folgt dies aus etwa aus § 4a, in den Landesgesetzen gibt es vergleichbare Normen (z.B. § 6 Abs. 3 – 6 BlnDSG, Art. 15 Abs. 2 – 4 BayDSG).

Einwilligungsunabhängige Erlaubnistatbestände

Daneben stellt für die Datenverarbeitung durch Körperschaften des öffentlichen Rechts der häufigste Erlaubnisgrund die Annahme einer Pflichtaufgabe dar, soweit die Interessen des Betroffenen nicht entgegenstehen (z.B. für den Bund: § 13 Abs. 1 BDSG; für die Länder z.B. § 10 Abs. 1 BlnDSG, Art. 16 BayDSG).

Im Beispiel der Industrie- und Handelskammern (mit einer gesetzlich normierten Zwangsmitgliedschaft; vgl. § 2 Abs. 1 IHKG) folgt hieraus, dass eine Erhebung, Verarbeitung und/oder Nutzungen personenbezogener Daten regelmäßig nur dann zulässig ist, wenn dies der Aufgabenerfüllung des IHKG entspricht. Ansonsten muss eine Datenverarbeitung im Grundsatz auf eine Einwilligung der Betroffenen gestützt werden.

Fazit

Es zeigt sich, dass auch Körperschaften des öffentlichen Rechts wie bspw. die Industrie- und Handelskammern den Datenschutzbestimmungen unterliegen. Hervorzuheben ist hierbei der Grundsatz der so genannten „informationellen Gewaltenteilung“, der auch kleinste öffentliche Einheiten zur Abschottung gegenüber anderen öffentlichen Stellen zwingt.

Sebastian Kraska Var2

Über den Autor - Rechtsanwalt Dr. Sebastian Kraska

Herr Dr. Sebastian Kraska gründete die IITR Datenschutz GmbH, die auf den Bereich des betrieblichen Datenschutzes spezialisiert ist und als Anbieter von Datenschutz-Management-Systemen mehr als 2.500 Unternehmen bei der Bewältigung datenschutzrechtlicher Anforderungen unterstützt.

Herr Dr. Kraska selbst ist als Rechtsanwalt ausschließlich im Datenschutzrecht sowie gemeinsam mit Regionalpartnern als externer Datenschutzbeauftragter tätig und betreut dabei Unternehmen und Behörden. Er ist zudem Beirat der Zeitschrift ZD des Beck-Verlages.

Jetzt beraten lassen

Rückrufservice

 

Beratung vereinbaren