Abo

Aufsätze : Datenschutz in NRW – exemplarische Probleme des DSG NRW

Wichtige Bereiche des öffentlichen Datenschutzes sind in den Landesdatenschutzgesetzen der Bundesländer geregelt. In diesem Beitrag werden Schlaglichter auf für die Praxis relevanten Fragen und Herausforderungen geworfen, die sich mit dem Datenschutzgesetz Nordrhein-Westfalen (DSG NRW) stellen.

I. EU-Recht verlangt Anpassungen und Umsetzungen auch im Landesrecht

1. DS-GVO und JI-Richtlinie

Am 17. Mai 2018 verabschiedete der nordrhein-westfälische Landtag das Datenschutz-Anpassungs- und Umsetzungsgesetz (NRWDSAnpUG-EU) für Nordrhein-Westfalen (NRW). Hauptergebnis des NRWDSAnpUG-EU ist das neue Datenschutzgesetz Nordrhein-Westfalen (DSG NRW). Der legislative Akt erfolgte aufgrund der notwendigen Anpassung des Landesdatenschutzrechts an zwei Regelungsinstrumente der EU: die Datenschutz-Grundverordnung (DS-GVO) und die Richtlinie zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zweck der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr (JI-RL). Insbesondere die JI-Richtlinie verlangt aufgrund ihrer Rechtsnatur als umsetzbedürfte EU-Richtlinie eine Umsetzung im nationalen Recht. Dies erstreckt sich in einem föderalen Gebilde wie der Bundesrepublik Deutschland (BRD) jedoch nicht allein auf den Bund, der dieser Aufgabe im Bundesdatenschutzgesetz (BDSG) nachgekommen ist, sondern gleichermaßen auch auf die Länder. Analog zum Bund hat der Landesgesetzgeber in NRW im Rahmen seiner legislativen Umsetzungsfreiheit den Weg gewählt, die JI-RL im Landesdatenschutzgesetz NRW umzusetzen.

Aber auch in Bezug auf die DS-GVO lässt sich festhalten, dass die Verordnung trotz ihres unmittelbar anwendbaren Charakters durch die vielfältigen nationalen Umsetzungspflichten und fakultativen Regelungsoptionen einem hybriden Status aus Richtlinie und Verordnung gleicht. Gerade die zahlreich in der DS-GVO vorhandenen Öffnungsklauseln eröffnen einen Gestaltungsspielraum für die nationalen Gesetzgeber zur Konkretisierung und Spezifizierung des Datenschutzrechts. Somit wird die Europarechtskonformität durch das Verhältnis von unmittelbar geltender DS-GVO in Verbindung mit den nationalen Regelungen determiniert. Das von der EU kodifizierte Schutzniveau für den Datenschutz in Form der DS-GVO darf von den Mitgliedstaaten jedoch nicht geändert und schon gar nicht unterschritten werden, sondern muss vielmehr durch konkretisierende Normen ausgefüllt werden.

2. Regelungsbereich und -adressaten des Landesdatenschutzrechts

Aufgrund des BDSG als bereits existierendem nationalem Datenschutzrecht in Ergänzung und Umsetzung der DS-GVO stellt sich die Frage, warum auch die Länder neben dem Bund eine Gesetzgebungskompetenz im Bereich des Datenschutzrechts überhaupt besitzen. Die exakte Differenzierung zwischen den Bundes- und Landeskompetenzen für die Datenschutzgesetzgebung ist sehr komplex. Verkürzt lässt sich für den Datenschutz aus Sicht des Bundes eine Zuständigkeit im vom Art. 70 Abs. 1 GG normierten Umfang ausmachen. Zur Abgrenzung zwischen Bundes- und Landeskompetenz ist auf den Regelungsinhalt der Landesdatenschutzgesetze hinzuweisen, der sich grundsätzlich nur auf Landesbehörden sowie Stellen bezieht, die der Aufsicht des Landes unterstellt sind. Demnach kann jedes Land für seine eigene Verwaltung Rechtssetzung betreiben. Die Gesetzgebungskompetenz für den Datenschutz in der Privatwirtschaft liegt allein beim Bund. Landesgesetzgeber haben somit keine Gesetzgebungskompetenz für den Datenschutz der nichtöffentlichen Stellen, sondern ausschließlich der Bund.

Des Weiteren beurteilt sich der zulässige Gestaltungsspielraum nationaler Gesetzgeber nach dem Regelungsbereich der DS-GVO. Nicht abgeschlossene unionsrechtliche Vorschriften lassen dem nationalen Gesetzgeber Gestaltungsspielräume offen und erlauben eigene, individuelle Vorgaben im einzelstaatlichen Recht vorzunehmen. Konkret betrifft dies bspw. den Gesundheits- oder Beschäftigtendatenschutz.

Landesrechtliche Besonderheiten werden ausschließlich für die klassischen Landeskompetenzen im Bereich des Rundfunks oder des Polizei-, Kommunal- und Schulrechts und im Gesundheitswesen entstehen und verbleiben im Bereich der öffentlichen Stellen als grundsätzlich einzige Regelungsadressaten. Regelungslücken und nicht mit dem Unionsrecht zu vereinbarende Vorschriften können in der Konsequenz aus einem unscharf gestalteten Umsetzungsspielraum zugunsten der Mitgliedstaaten erwachsen, der in föderalen Staaten auch noch von der konkurrierenden Gesetzgebung potenziert wird. Regulatorische Kollisionen sollte der Landesgesetzgeber vermeiden, um eine praktikable Rechtsanwendung zu gewährleisten und Rechtsunsicherheiten auszuschließen. Inwiefern dies tatsächlich erreicht wird, bleibt aufgrund der Vielschichtigkeit zwischen dem Mehrebenensystem von supranationaler Ebene, Bundesebene und Landesebene und der zusätzlichen Differenzierung zwischen allgemeinem und bereichsspezifischem Datenschutzrecht abzuwarten.

II. Ausgewählte Regelungsbereiche des DSG NRW

1. Pseudonymisierung (§ 4 DSG NRW)

§ 4 DSG NRW ergänzt die Begriffsbestimmungen der Art. 4 Nr. 1 und 5 DS-GVO und enthält eine Definition des Begriffs Anonymisierung. Unter den Begriff fällt nach dem DSG NRW nun auch das Verändern personenbezogener Daten dergestalt, dass die Einzelangaben über persönliche oder sachliche Verhältnisse nicht mehr oder nur mit einem unverhältnismäßigen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können.

Die Norm steht in enger Verbindung mit den Definitionen zu „Personenbezogenen Daten“ (Art. 4 Nr. 1 DS-GVO) und „Pseudonymisieren“ (Art. 4 Nr. 5 DS-GVO) und kann nicht für sich allein betrachtet werden. Mit der Anonymisierung wollte der Landesgesetzgeber dem Schutz der personenbezogenen Daten sowie der Rechte und Freiheiten der betroffenen Person und als Maßnahme zur Gewährleistung einer rechtmäßig nach Treu und Glauben erfolgenden Datenverarbeitung Rechnung tragen. Der Zweck der Anonymisierung wird vom DSG NRW unmittelbar konturiert. So ergibt sich aus § 15 Nr. 5 DSG NRW, dass die Anonymisierung das Instrument zur Gewährleistung geeigneter Garantien zum Schutz personenbezogener Daten und anderer Grundrechte im Rahmen von Datenverarbeitungen ist. Auch in besonderen Verarbeitungssituationen wird die Anonymisierung zur Gewährleistung einer rechtmäßigen Datenverarbeitung herangezogen, etwa bei Datenverarbeitungen personenbezogener Daten zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken (vgl. § 17 Abs. 1 bis 3 DSG NRW).

Der Anwendungsbereich des DSG NRW steht in unmittelbarer Verbindung mit der Anonymisierung. So begrenzt § 5 DSG NRW den Anwendungsbereich auf die Verarbeitung personenbezogener Daten durch die Stellen, die von den Normen genannt werden. Somit fallen die anonymen Daten auch aus dem Anwendungsbereich des DSG NRW. Dies überschneidet sich auch mit der DS-GVO, die gem. ErwG 26 S. 5 und 6 DS-GVO anonyme Daten vom Anwendungsbereich ebenfalls ausschließt.

Relevanz erlangt der Begriff der Anonymisierung in den §§ 4, 15 Nr. 5, 17 Abs. 2 und 3, 36 Nr. 6 und 40 DSG NRW. Davon dienen die §§ 4, 15 Nr. 5 und 17 Abs. 2 und 3 DSG NRW der Umsetzung der DS-GVO und §§ 36 Nr. 6 und 40 DSG NRW der Umsetzung der JI-RL.

2. Videoüberwachung (§ 20 DSG NRW)

In § 20 DSG NRW werden verschiedene Rechtfertigungstatbestände zur Videoüberwachung normiert. Dies geschieht der Gesetzesbegründung nach auf Grundlage des Art. 6 Abs. 1 lit. e DS-GVO, welcher für das Vorliegen öffentlichen Interesses sowie der Ausübung öffentlicher Gewalt durch den Verantwortlichen Rechtfertigungsmöglichkeiten für die personenbezogene Datenverarbeitung vorsieht. Die Struktur der Norm ähnelt bis auf wenige Ausnahmen der Neufassung des § 4 BDSG. Allerdings normiert § 20 DSG NRW lediglich die Videoüberwachung für öffentliche Stellen, da nur hierfür die Ländergesetzgebungskompetenz gegeben ist. Ein öffentliches Interesse ist dem Gesetzgeber nach gegeben, da die Videoüberwachung für die Gewährleistung der Funktionsfähigkeit der betroffenen Behörden, Gerichte und der anderen öffentlichen Stellen bestimmt ist. Sowohl die Erhebung durch die Beobachtung als auch die Speicherung sind durch die weite Legaldefinition des Verarbeitungsbegriffs in Art. 4 Nr. 2 DS-GVO umfasst, womit alle Verarbeitungsschritte zulässig sind.

Bei § 20 DSG NRW und § 4 BDSG handelt es sich um selbstständige Regelungen eines bedeutenden Bereichs der Verarbeitung personenbezogener Daten. In der DS-GVO selbst findet sich kein Verweis auf die Videoüberwachung, lediglich in ErwG 91 S. 3 DS-GVO wird der Begriff der optoelektronischen Vorrichtungen erwähnt. Obwohl dieser Sachverhalt von der DS-GVO nicht eigenständig geregelt wird, muss die nationale Regelung zur Videoüberwachung mit dem Primärrecht zum Schutz personenbezogener Daten im Allgemeinen und mit dem unmittelbar geltenden Sekundärrechtsakt im Besonderen vereinbar sein, damit sie unionsrechtskonform ist.

Außerhalb des Anwendungsbereichs der DS-GVO besteht kein Regelungsbedarf, § 20 DSG NRW an das Sekundärrecht anzupassen. Das Datenschutzrecht der EU ist nicht einschlägig, solange die Videoüberwachung keinen Dritten innerhalb eines rein persönlichen oder familiären Bereichs berührt. Im Rahmen der DS-GVO wird in zulässiger Weise von der Öffnungsklausel in Art. 6 Abs. 3 S. 3 DS-GVO Gebrauch gemacht.

Der Anwendungsbereich des DSG NRW (§ 5) nach wird aber ebendiese Datenverarbeitung mit § 20 nicht geregelt, sondern dient lediglich öffentlichen Stellen als Erlaubnistatbestand.

Zulässige Formen der Videoüberwachung sind nach § 20 DSG NRW zunächst solche, die mittels optisch-elektronischer Einrichtungen in öffentlich zugänglichen Bereichen personenbezogene Daten verarbeiten. Unter öffentlich zugänglichen Bereichen können Bereiche gefasst werden, die von einem unbestimmten und nur nach allgemeinen Merkmalen abgrenzbaren Personenkreis betreten und genutzt werden können und ihrem Zweck nach auch dazu bestimmt sind. Relevant sind hierbei die Zweckbestimmung und Nutzungsmöglichkeiten für die Allgemeinheit, nicht die Eigentumsverhältnisse.

Die von § 20 für die Zulässigkeit verlangte Verwendung optisch-elektronischer Einrichtungen kann als Legaldefinition für den Begriff Videoüberwachung angesehen werden. Die DS-GVO selbst äußert sich hierzu aufgrund ihrer Technikneutralität nicht. Als optisch-elektronische Einrichtungen umfassen BDSG und DSG NRW solche Geräte jeder Art, die für derartige Beobachtungen geeignet sind, sofern sie Licht in elektrische Signale umwandeln können. Hierunter fallen klassische Kameras, Webcams oder Mobiltelefone mit integrierter Kamera, jedoch keine Attrappen, Spiegel oder auch Ferngläser.

Drei alternative Tatbestände werden normiert, die jeweils für die Zulässigkeit einer Videoüberwachung sorgen: zur Wahrnehmung des Hausrechts, zum Schutz des Lebens, der Gesundheit, des Eigentums oder Besitzes oder zur Kontrolle von Zugangsberechtigungen. Das Hausrecht dient der Verhinderung von Straftaten und sonstigen Vergehen, womit das Hausrecht präventiv abgesichert werden soll.

Eine Einschränkung finden die Ausnahmetatbestände in der gesetzlich vorgeschriebenen Interessenabwägung mit schutzwürdigen Interessen der Betroffenen. Hierbei muss insbesondere die Eingriffsintensität der Videoüberwachung berücksichtigt werden. Relevant sind hierbei die Art der erfassten Informationen (Informationsgehalt), Umfang der erfassten Informationen (Informationsdichte, zeitliches und räumliches Ausmaß), der betroffene Personenkreis, die Interessenlage der betroffenen Personengruppen, das Vorhandensein von Ausweichmöglichkeiten sowie Art und Umfang der Verwertung der erhobenen Daten.

Die vernünftigen Erwartungen der betroffenen Personen, die auf ihrer Beziehung zu dem Verantwortlichen beruhen, sind ebenfalls zu berücksichtigen. Diese Abwägung ist notwendig für alle Phasen der Verarbeitung, einschließlich der Speicherung und späteren Auswertung der Daten. Die kurzfristige Speicherung einer üblichen Videoüberwachung wird in der Regel als von geringer Eingriffsintensität angesehen.

Weitere Rechtfertigungen werden in § 20 Abs. 3 DSG NRW genannt. Der Zweckbindungsgrundsatz kann aufgehoben werden, „soweit dies zur Abwehr von Gefahren für die öffentliche Sicherheit, zur Verfolgung von Straftaten oder zur Geltendmachung von Rechtsansprüchen gegenüber betroffenen Personen erforderlich ist“. Dies befreit die Sicherheitsbehörden von bestimmten verfassungsrechtlichen Vorgaben zur Videoüberwachung durch öffentliche Stellen, wobei auch hier eine zwingende Erforderlichkeitsprüfung und eine anlassbezogene Interessenabwägung mit den schutzwürdigen Interessen der betroffenen Personen erforderlich ist.

Insofern stellt § 20 Abs. 3 eine Spezialnorm zu § 9 DSG NRW („Zulässigkeit der Datenverarbeitung im Hinblick auf die Zweckbindung“) dar. Durch das Wort „nur“ wird klargestellt, dass die zulässigen Zweckänderungen für Datenverarbeitungen, die aus der Videoüberwachung stammen, begrenzt sind. Die Videoüberwachung kann insbesondere zur Beweissicherung im Strafprozess oder zur Durchsetzung zivilrechtlicher Ansprüche des Verantwortlichen und Dritter dienen.

3. Professor*innen als eigene Verantwortliche (§ 17 DSG NRW)

Als Sonderfall regelt § 17 DSG NRW die Verarbeitung personenbezogener Daten für wissenschaftliche oder historische Forschungszwecke sowie für statistische Zwecke. In diesen Fällen wird die Verarbeitung personenbezogener Daten ohne Einwilligung der betroffenen Person ermöglicht, solange eine Erforderlichkeitsprüfung und eine Interessenabwägung mit den schutzwürdigen Belangen der betroffenen Personen durchgeführt wird.

Die unionsrechtliche Grundlage für diese Sonderregelungen bieten die Öffnungsklauseln in Art. 89 und 9 Abs. 2 lit. j DS-GVO, die den Mitgliedstaaten erlauben, eigene Regelungen in bestimmten Bereichen, wie der Forschung, zu erlassen. Diese Regelungen tragen der großen Bedeutung der Verarbeitung großer Datenmengen im Forschungsbereich Rechnung.

§ 17 DSG NRW stieß jedoch auf erhebliche Kritik seitens der nordrhein-westfälischen Hochschulen. In einer Stellungnahme an den zuständigen Hauptausschuss des Landtags äußerten sich die Hochschulen dahingehend, dass § 17 DSG NRW nicht als geeignete Rechtsgrundlage für die wissenschaftliche Verarbeitung nicht-sensibler Daten tauge. Sie argumentierten, dass die bisherige Regelung des § 28 DSG NRW a.F. eine „klare, sachgerechte und praxisbewährte Ermächtigungsnorm“ darstellte. Die neue Regelung im DSG NRW hingegen führe zu Rechtsunsicherheit und sei nicht praktikabel. Insbesondere sei fraglich, ob Hochschulen bei Forschungsvorhaben tatsächlich als Verantwortliche im Sinne von Art. 4 Nr. 7 DS-GVO angesehen werden könnten, da die Entscheidungen über Zwecke und Mittel der Datenverarbeitung allein durch die Wissenschaftler getroffen würden, die dabei ihre verfassungsrechtlich garantierte Wissenschaftsfreiheit ausübten.

Die Hochschulen forderten daher, dass sich die wissenschaftliche Forschung an Hochschulen, ähnlich wie nicht-öffentliche Stellen, auf Art. 6 Abs. 1 lit. f DS-GVO (berechtigtes Interesse) stützen solle, da die Wissenschaftsfreiheit als höchstpersönliches Grundrecht nicht in den Anwendungsbereich von Art. 6 Abs. 1 S. 2 DS-GVO fallen sollte, der für öffentliche Stellen gilt.

4. Möglichkeit der Stellvertretung für Datenschutzbeauftragte (§ 31 DSG NRW)

§ 31 DSG NRW eröffnet die Möglichkeit, neben dem behördlichen Datenschutzbeauftragten auch Stellvertreter zu benennen. Diese Regelung trägt dem praktischen Bedürfnis Rechnung, in Übergangsphasen oder während der Abwesenheit des Datenschutzbeauftragten eine Vertretung sicherzustellen.

Diese Regelung ergänzt Art. 37 und 39 DS-GVO, die die Stellung und Aufgaben des Datenschutzbeauftragten regeln. In Art. 37 Abs. 1 DS-GVO wird gefordert, dass Verantwortliche „auf jeden Fall einen Datenschutzbeauftragten“ zu benennen haben, was bei entsprechender Auslegung auch die Möglichkeit der Benennung mehrerer Datenschutzbeauftragter eröffnet. Um Missverständnissen vorzubeugen, fordert § 31 DSG NRW jedoch eine klare Aufgabentrennung zwischen Datenschutzbeauftragtem und Stellvertreter, beispielsweise in die Bereiche Mitarbeiterdatenschutz und die Kommunikation mit Bürgern oder Lieferanten.