Home / Aktuelles & Termine / it.sec blog

Die DSGVO sieht im öffentlichen Bereich Regelungsaufträge und Öffnungsklauseln vor, die die Mitgliedstaaten ermächtigen, in einigen Bereichen eigene Regelungen zu erlassen. Das BayDSG wurde daher neu gefasst und ist am 25.05.2018 in Kraft getreten.

Die Regelungssystematik, nach der bayerische öffentliche Stellen personenbezogene Daten verarbeiten dürfen, ist eher ein Regelungschaos:

Sofern diese Stellen personenbezogene Daten verarbeiten, gilt die DSGVO, Art. 2 S. 1 BayDSG. Eine Ausnahme von diesem Grundsatz besteht, wenn es eine anderweitige Regelung gibt, Art. 2 Abs. 1 S. 1 BayDSG. Diese anderweitige Regelung kann sich aus dem BayDSG selbst ergeben (z.B. Art. 2 S. 2 BayDSG) oder auch aus bereichsspezifischen Rechtsvorschriften, die dem BayDSG vorgehen, Art. 1 Abs. 5 BayDSG. Beispiele für bereichsspezifische Rechtsvorschriften sind z.B. Regelungen der DSGVO selbst oder Art. 103 ff. Bayerisches Beamtengesetz (BayBG). Hierbei muss immer beachtet werden, dass diese anderweitigen Regelungen oder bereichsspezifischen Rechtsvorschriften der DSGVO nicht widersprechen.

Der Bayerische Landesbeauftragte für den Datenschutz sagt in einem Überblick hierzu: „Der Regelungsgehalt des neuen Bayerischen Datenschutzgesetzes ist aus sich heraus in der Regel nicht mehr verständlich“ und die „Regelungssystematik (…) anspruchsvoll.“

Die wichtigsten Vorschriften zum BayDSG, bezogen auf die DSGVO, sollen nachfolgend dennoch aufgelistet werden:

Anwendungsbereich: Die Vorschriften des BayDSG gelten für Behörden und sonstige öffentliche Stellen in Bayern, Art. 1 Abs. 1 S. 1 BayDSG.

Für nicht-öffentliche Stellen sowie öffentliche Stellen, die als Unternehmen am Wettbewerb teilnehmen, gelten die Vorschriften des BayDSG nicht, Art. 1 Abs. 3 S. 1 BayDSG. Ausnahmen:

  • Für nicht-öffentliche Stellen, die hoheitliche Aufgaben der öffentlichen Verwaltung in Bayern wahrnehmen, gelten die Vorschriften BayDSG, Art. 1 Abs. 4 BayDSG.
  • Art. 38 BayDSG gilt auch für nicht-öffentliche Stellen, Art. 1 Abs. 1 S. 4 BayDSG.

Zuständige Aufsichtsbehörde für sämtliche öffentliche Stellen, d.h. auch solche, die als Unternehmen am Wettbewerb teilnehmen, ist der Bayerische Landesbeauftragte für den Datenschutz, Art. 1 Abs. 3 S. 2 BayDSG.

Bußgelder: Gegen öffentliche Stellen werden keine Bußgelder verhängt, wenn sie gegen datenschutzrechtliche Bestimmungen verstoßen, Art. 22 BayDSG. Eine Ausnahme besteht gegenüber öffentlichen Stellen, die als Unternehmen am Wettbewerb teilnehmen.

Datengeheimnis: Die Beamten sowie nicht-verbeamteten Beschäftigten der öffentlichen Stellen sind zur Wahrung des Datengeheimnisses zu verpflichten. Diese Pflicht besteht auch nach Beendigung ihrer Tätigkeit bei der öffentlichen Stelle fort, Art. 11 BayDSG.

Datenverarbeitung:

  • Die Erhebung personenbezogener Daten bestimmt sich nach Art. 4 Abs. 1, Abs. 2 BayDSG. Es gilt ein Direkterhebungsgebot.
  • Die Verarbeitung der personenbezogenen Daten bestimmt sich nach Art. 4 Abs. 1 BayDSG.
  • Die Übermittlung bzw. Offenlegung personenbezogener Daten bestimmt sich nach Art. 5 BayDSG. Hiermit ist wohl nicht nur die Datenübermittlung an Dritte, sondern generell die Offenlegung gegenüber Empfängern (z.B. auch Auftragsverarbeitern) gemeint.
  • Die spätere Verarbeitung personenbezogener Daten zu geänderten Zwecken (Weiterverarbeitung) bestimmt sich nach Art. 6 Abs. 2 BayDSG.
  • Die Einrichtung automatisierter Verfahren zur Übermittlung personenbezogener Daten durch Abruf oder der gemeinsame Betrieb automatisierter Verfahren i.S.v. Art. 26 DSGVO bestimmt sich nach Art. 7 BayDSG.
  • Die Verarbeitung besonderer Kategorien personenbezogener Daten i.S.v. Art. 9 Abs. 1 DSGVO bestimmt sich nach Art. 8 BayDSG.
  • Die Verarbeitung personenbezogener Daten im Rahmen der Videoüberwachung bestimmt sich nach Art. 24 BayDSG.
  • Die Verarbeitung personenbezogener Daten zu journalistischen, künstlerischen oder literarischen Zwecken bestimmt sich nach Art. 38 BayDSG. Diese Vorschrift gilt für öffentliche und nicht-öffentliche Stellen, Art. 1 Abs. 1 S. 4 BayDSG.
  • Bei der Löschung personenbezogener Daten ist zusätzlich Art. 26 Abs. 6 BayDSG zu beachten.

Auftragsverarbeitung: Es gilt Art. 28 DSGVO. IT-Dienstleister, die die Prüfung und (Fern-)Wartung von Datenverarbeitungssystemen und -anlagen übernehmen, gelten als Auftragsverarbeiter, Art. 5 Abs. 3 S. 1 BayDSG.

Joint Control: Es gilt Art. 26 DSGVO, ergänzt durch Art. 7 Abs. 2 BayDSG.

Informationspflichten: Die betroffenen Personen müssen über die Datenverarbeitung informiert werden gemäß Art. 13, 14 DSGVO („mit deren Kenntnis“, Art. 4 Abs. 2 S. 1 BayDSG).

Ausnahmen von der Informationspflicht sind gemäß Art. 4 Abs. 2 S. 4, Art. 9 BayDSG vorgesehen für die Fälle von Art. 4 Abs. 2 Nr. 1, Nr. 2 BayDSG, Art. 6 Abs. 2 Nr. 3 lit. a), b), d) BayDSG. Eine Ausnahme kann ggf. auch für den Fall von Art. 10 Abs. 1 S. 2 BayDSG bestehen.

Auskunftsrecht: Betroffene Personen haben in den Fällen des Art. 10 Abs. 1 S. 1 und 2, Abs. 2 Nr. 1 bis 5 lit. a), b) BayDSG kein Recht, Auskunft zu den über sie verarbeiteten personenbezogenen Daten zu verlangen.

Benachrichtigungspflicht aus Art. 34 DSGVO: Die Benachrichtigung betroffener Personen über Datenschutzverletzungen kann in den Fällen von Art. 6 Abs. 2 Nr. 3 lit. a), b), d) BayDSG unterbleiben, Art. 13 BayDSG.

Verzeichnisses von Verarbeitungstätigkeiten: Das Führen eines solchen Verzeichnisses wird in Art. 2 S. 2 BayDSG eingeschränkt.

Datenschutz-Folgenabschätzung: Die Pflicht zur Durchführung einer Datenschutz-Folgenabschätzung wird in Art. 2 S. 2 sowie Art. 14 BayDSG eingeschränkt.

S. Kieselmann

Beraterin für Datenschutz

Dipl.sc.pol.Univ.

50 Millionen Abbinder Abmahnung Abmahnungen Abo-Falle ADCERT Airbnb Angemessenheitsbeschluss Angriff Anklage Anwendbarkeit Anwendung Arbeitgeber Arbeitnehmer Arbeitsmittel Arbeitsrecht Art. 17 DSGVO Art. 25 DSGVO Art. 26 DSGVO Art. 32 DSGVO Art. 37 DSGVO Art. 4 Nr. 12 DSGVO Art. 45 DSGVO Art. 8 MRK Art. 9 DSGVO Auchfsichtsbehörde Audit Aufsichtsbehörde Auftragsverarbeiter Auftragsverarbeitung Auskunftei Auskunftsansprüche Auskunftsrecht Ausspähen Austritt Authentizität Automatisierte Einzelentscheidung Autsch Backup Baden-Württemberg BAG BayDSG Bayerisches Datenschutzgesetz BDSG-Neu BEAST Begrifflichkeiten Beherbergungsstätten BEM Benachrichtigungspflicht Berufsgeheimnis Beschäftigtendatenschutz Beschäftigtenumfragen besondere Kategorien personenbezogener Daten betriebliche Eingliederungsmanagement betriebliche Nutzung betrieblicher E-Mail-Account betrieblicher Internetzugang Betriebsvereinbarung betroffene Personen Betroffenenrechte Bewerberdaten BfDI BGH Bildberichterstattung Bildrechte biometrische Daten Biometrische und genetische Daten Bitcoins Bitkom Bonität Bonitätsprüfung Brexit Browser BSI Bund Bundesarbeitsgericht Bundesnetzagentur Bußgeld Bußgelder BVG Cambridge Analytics Citizen-Score Cloud CNIL Compliance Computer Cookie Cookies Custom Audience Cyber Dashcam Daten Daten-für-alle-Gesetz Datenaustausch Datenerhebung Datenlöschung Datenminimierung Datenmonopol Datenpanne Datenschutz Datenschutz Grundverordnung Datenschutz-Folgenabschätzung Datenschutz-Schulungen Datenschutzabkommen Datenschutzauskunft-Zentrale Datenschutzbeauftragte Datenschutzbeauftragter Datenschutzerklärung Datenschutzgrundsätze Datenschutzgrundverordnung datenschutzkonform Datenschutzprinzipien Datenschutzverletzung Datenschutzverstöße Datensicherheit Datentransfer Datenübermittlung Datenübermittlung an Dritte Datenübermittlung in Drittstaaten Datenverarbeitung Dating Dating-Portale Deutsche Bahn Diebstahl Dienstleister Diesel-Fahrverbot Dieselfahrverbot Dieselskandal Direktwerbung Do not track-Funktion Donald Trump Dritter Drittstaat Drittstaat ohne angemessenes Datenschutzniveau Drittstaaten DSAnpUG-EU DSG DSGVO DSK Durchsuchung dynamische IP-Adresse E-Mail e-Privacy-Verordnung E-Rechnung eCall-Technologie EES EFAIL Eigentum Einwilligung Einwilligungserklärung Einwilligungserklärungen Empfänger Entsorgung Erhebung Erhebung personenbezogener Daten Erwägungsgrund 48 der DSGVO eSafety-Initiative ETIAS EU EU-Datenschutz-Grundverordnung EU-Parlament EU-Vertreter EuGH Europa Europäische Aufsichtsbehörde Europäische Union Extra-Bezahlung Extra-Kosten Facebook Facebook-Fanpages Facebook-Pixel Fachbereich Fahrzeugdaten Fahrzeuge Fanpage Fanpagebetreiber FBI Feedback Fernmeldegeheimnis Firmensitz FlugDaG Fluggastdaten Folgenabschätzung Foto freiwillig Funkmäuse Funktastaturen Fürsorgepflicht Geheimhaltung Geldbörse Geldstrafe Gemeinsam Verantwortliche Gericht Gesetz gegen den Unlauteren Wettbewerb gestohlen Gesundheitsdaten Gewährleistung Google Google Analytics grenzüberschreitend Groß-Britannien hacken Hacker Hackerangriff Hash-Verfahren Hausverwaltung Head of Cyber Security Architectur Hinweisgeber Höchstvermietungsdauer Home Office Immobilienmakler Informationspflicht Informationspflichten Informationssicherheit Infrastruktur Inhalteanbieter Insights Integrität interner Datenschutzbeauftragter Investition IP-Adresse Irland ISO/IEC 27001 IT Governance IT GRC IT-Forensik IT-forensische Untersuchung IT-Security IT-Sicherheit IT-Systeme ITSECX Japan Jin-hyok Joint Control Kanada Kennzeichen-Scan Keynote Klagebefugnis Klingelschilder kollektive Daten Kommune Konferenz Kontaktdaten Kontakte Konzern konzerninterner Datentransfer KoSIT Kriminalität KUG Kundenbindung Kundenzufriedenheit Kunsturhebergesetz Laptop Lazarus Leistungs- und Verhaltenskontrolle LfDI Baden-Württemberg Löschung personenbezogener Daten Löschungsrecht Lösegeld Makler Malware Markennamen Markenrecht Marktortprinzip MD5 Meldepflicht Meldescheine Meldesystem Meldung Meltdown Messenger Microsoft Mieter Mietverhältnis Misch-Account Mitarbeiter Mitbewerber MouseJack-Angriffe Nebenjob Nebentätigkeit Netzwerklabor NIST No-Deal-Brexit Nordkorea Notebook Nutzung Nutzungsbedingungen Öffnungsklauseln One Stop Shop One-Stop-Shop OpenPGP Österreich Papierrechnung Passenger Name Records Passwort Passwörter Passwörter. 2016 Passwortfilters Passwortregeln Passwortschutz Patientendaten Penetrationstest Personalausweiskopien Personalfragebogen Personalverantwortliche personenbezogene Daten Personenbilder persönliche Daten Persönlichkeitsrechte Pflichten Pharmalobbyist Plattformbetreiber PNR-Daten PNR-Instrumente POODLE Praxistipps Privacy by Default Privacy by Design Privacy Shield privat private Handynummer private Mobilfunknummer Privatnutzung Privatnutzungsverbot Privatsphäre Profiling Quantencomputer Ransomware reale Infrastruktur Rechenzentren Rechenzentrum Recht auf Achtung des Privat- und Familienlebens Recht auf Berichtigung Recht auf Datenübertragbarkeit Recht auf Einschränkung Recht auf Löschung Rechte Rechte der betroffenen Person Referenten Regelungsaufträge Reichweitenanalyse Risiko Risikomanagement Risk & Compliance Management Rufschädigung Ruhezeiten S/MIME SamSam Sanktionen Schaden Schadprogramm schutzwürdige Interessen Schwachstellen Schweiz Seitenbetreiber SHA1 sicher Sicherheitsvorfall Sicherheitsvorfälle kritische Infrastrukturen IT-Sicherheitsbeauftragten ISMS Sicherung der Daten Siegel Signatur Skype Smartphone Software Software-Entwicklung Sony Sony PSN Soziale Netzwerke SPD Spectre Speicherdauer Sponsoren Standardvertragsklauseln Steuerberater Strafe Strafverfolgung Studenten Supercomputer Risikolage Support Systemadministrator Technische & organisatorische Maßnahmen technische & organisatorische Maßnahmen Telefonnummer Telefonwerbung Telemediendienst Telemediengesetz Telstra Security Report TKG TLS TMG Tracking Tracking Tools Tracking-Tools Twitter Übermittlung personenbezogener Daten Überwachungssoftware Umfrage Umsetzungsfrist unerlaubt unpersonalisierter Benutzer-Account Unternehmensgruppe unzulässig US-Regierung USA UWG Verantwortlicher Verantwortung Verbot Vereinbarung Vereinigtes Königreich Großbritannien und Nordirland verloren Verlust Vermieter Vernichtung von Datenträgern Veröffentlichung Verordnung (EU) 2015/758 verschlüsseln Verschlüsselte E-Mails Verschlüsselung Verschlüsselungsverfahren Verstoß Verstöße Vertrag zur Auftragsverarbeitung Vertragsanbahnung Verwaltungsakt Verwaltungsgericht Karlsruhe Videoüberwachung Virus Vorteile WannaCry Webseite Webseiten Webtracking Webtrecking weisungsunabhängig Weitergabe an Dritte Werbeaussage Werbung Wettbewerb Wettbewerbsrecht wettbewerbsrechtliche Abmahnung Wettbewerbsverstöße WhatsApp Whistleblower Whistleblowing Widerruf Widerrufsrecht Widerspruchsrecht Wohnung X-Rechnung Zertifikat Zertifizierung Zugangsdaten Zugriff zulässig Zulässigkeit zuständig § 15 TMG § 26 BDSG-Neu § 32 BDSG § 32 DSGVO § 35 BDSG-Neu § 38 BDSG-Neu § 3a UWG § 42a BDSG § 42b BDSG § 88 TKG

Tags

Mo Di Mi Do Fr Sa So
          1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28 29 30