Dr. Sebastian Kraska

80331, München
08.12.2011

Datenschutz: Gesetzlicher Rahmen für Körperschaften des öffentlichen Rechts

Körperschaften des öffentlichen Rechts (wie zum Beispiel die Industrie- und Handelskammern) sind solche Organisation, deren Rechtssubjektivität auf einem öffentlich-rechtlichen Hoheitsakt beruht. Auch diese Körperschaften verarbeiten und nutzen personenbezogene Daten. Der nachfolgende Beitrag stellt in groben Zügen die für Körperschaften des öffentlichen Rechts geltenden Datenschutzbestimmungen dar.

Rechtsquellen

Als für eine Körperschaft des öffentlichen Rechts relevante Datenschutzvorschriften kommen zunächst die Datenschutzgesetze der Länder und das Bundesdatenschutzgesetz (BDSG) in Betracht. Die für das Verhältnis beider Rechtsquellen maßgebliche Norm ist § 1 Abs. 2 BDSG. Grob vereinfacht ist das BDSG hiernach stets anwendbar für nicht-öffentliche Stellen (sprich: Unternehmen). Öffentliche Stellen unterliegen dem BDSG nur soweit sie dem Bund unterstehen. In den übrigen Fällen sind im Grundsatz die Landesdatenschutzgesetze anwendbar.

Öffentliche vs. nicht-öffentliche Stelle

Maßgeblich ist damit zunächst, ob die jeweilige Körperschaft des öffentlichen Rechts als öffentliche oder nicht-öffentliche Stelle anzusehen ist. Diese Frage ist in vielen Fällen nicht unumstritten. Hintergrund ist, dass unter die Kategorie der Körperschaften des öffentlichen Rechts nicht nur Gebietskörperschaften oder Behörden fallen, die offenkundig als öffentliche Stelle agieren. Einordnungsschwierigkeiten bestehen insbesondere bei Stiftungen, Handwerksinnungen oder Unternehmen, an denen der Staat beteiligt ist. Soweit eine herrschende Meinung überhaupt auszumachen ist, muss in diesen Grenzfällen allein die Struktur der Mitgliedschaft maßgeblich sein (so Gola/Schomerus, Bundesdatenschutzgesetz, 10. Auflage, 2010, § 2 Rn. 14). Mithin ist diese Frage häufig nur im Einzelfall zu klären.

Rechtsquellen für die Körperschaften des öffentlichen Rechts

Damit steht als Zwischenergebnis fest: Körperschaften des öffentlichen Rechts, deren Mitgliedschaftsstruktur privatrechtlich ist oder die dem Bund unterstehen müssen das BDSG beachten. Körperschaften des öffentlichen Rechts, die einem Bundesland unterstehen (z.B. Kreis- und Stadtverwaltungen) müssen das jeweilige Landesdatenschutzgesetz befolgen. Nach ganz herrschender Auffassung ist auf die Industrie- und Handelskammern das Landesdatenschutzrecht anwendbar, da sie zumindest der Landesaufsicht unterstehen (Gola/Schomerus, Bundesdatenschutzgesetz, 10. Auflage 2010, § 2 Rn. 18).

„Verbot mit Erlaubnisvorbehalt“ und „Abschottungsgebot“

Grundsätzlich gilt für alle Körperschaften des öffentlichen Rechts das so genannte „Verbot mit Erlaubnisvorbehalt“, wonach jede Erhebung, Verarbeitung und/oder Nutzung personenbezogener Daten grundsätzlich verboten ist (Regel), es sei denn der Betroffene hat eingewilligt oder ein Gesetz erlaubt die Datenverarbeitung oder ordnet diese an (Ausnahme). Für die Körperschaften des öffentlichen Rechts des Bundes folgt dies aus § 4 Abs. 1 BDSG, für diejenigen der Länder aus den entsprechenden Landesdatenschutzgesetzen (z.B. § 6 BlnDSG, Art. 15 BayDSG).

Für die Körperschaften des öffentlichen Rechts wird das Verbot mit Erlaubnisvorbehalt zudem durch das sog. „Abschottungsgebot“, das auch als „informationelle Gewaltenteilung“ bezeichnet wird, ergänzt. Hierzu hat das Bundesverfassungsgericht (BVerfG NJW 1988, 959-961) entschieden, dass die öffentliche Hand keine einheitliche verantwortliche Stelle ist, sondern aus vielen einzelnen verantwortlichen Stellen besteht. Das heißt, dass der datenschutzrechtlich relevante Kontakt zwischen einer Körperschaft des öffentlichen Rechts und einer anderen Körperschaft oder Behörde ebenfalls grundsätzlich verboten ist, soweit kein Erlaubnistatbestand eingreift.

Einwilligung als Rechtsgrundlage

Mithin ist ein wesentlicher Erlaubnistatbestand zur Verarbeitung personenbezogener Daten die Einwilligung des Betroffenen. Sie muss freiwillig, widerruflich und informiert erfolgen. Im BDSG folgt dies aus etwa aus § 4a, in den Landesgesetzen gibt es vergleichbare Normen (z.B. § 6 Abs. 3 – 6 BlnDSG, Art. 15 Abs. 2 – 4 BayDSG).

Einwilligungsunabhängige Erlaubnistatbestände

Daneben stellt für die Datenverarbeitung durch Körperschaften des öffentlichen Rechts der häufigste Erlaubnisgrund die Annahme einer Pflichtaufgabe dar, soweit die Interessen des Betroffenen nicht entgegenstehen (z.B. für den Bund: § 13 Abs. 1 BDSG; für die Länder z.B. § 10 Abs. 1 BlnDSG, Art. 16 BayDSG).

Im Beispiel der Industrie- und Handelskammern (mit einer gesetzlich normierten Zwangsmitgliedschaft; vgl. § 2 Abs. 1 IHKG) folgt hieraus, dass eine Erhebung, Verarbeitung und/oder Nutzungen personenbezogener Daten regelmäßig nur dann zulässig ist, wenn dies der Aufgabenerfüllung des IHKG entspricht. Ansonsten muss eine Datenverarbeitung im Grundsatz auf eine Einwilligung der Betroffenen gestützt werden.

Fazit

Es zeigt sich, dass auch Körperschaften des öffentlichen Rechts wie bspw. die Industrie- und Handelskammern den Datenschutzbestimmungen unterliegen. Hervorzuheben ist hierbei der Grundsatz der so genannten „informationellen Gewaltenteilung“, der auch kleinste öffentliche Einheiten zur Abschottung gegenüber anderen öffentlichen Stellen zwingt.

Autor:
Rechtsanwalt Dr. Stephan Gärtner, Berlin

Kontakt:
Rechtsanwalt Dr. Sebastian Kraska, externer Datenschutzbeauftragter

Telefon: 089-5130 3920
E-Mail-Kontaktformular
E-Mail: email@iitr.de

Information bei neuen Entwicklungen im Datenschutz

Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über aktuelle Entwicklungen im Datenschutzrecht.