Der Entwurf des Gesetzes zur Anpassung des allgemeinen Datenschutzrechts und sonstiger Vorschriften an die Verordnung (EU) 2016/679 konnte auf dem Beteiligungsportal zwischen dem 20. Dezember 2017 und dem 31. Januar 2018 kommentiert werden. Es wurden acht Kommentare ohne Namensnennung abgegeben.
Zu den eingegangenen Kommentaren im Beteiligungsportal zum Gesetz zur Anpassung des allgemeinen Datenschutzrechts und sonstiger Vorschriften an die Verordnung (EU) 2016/679 nimmt das Innenministerium wie folgt Stellung:
1. Bußgelder für öffentliche Stellen
In einem Kommentar wurde verlangt, die Verhängung von Bußgeldern auch gegen öffentliche Stellen zuzulassen.
Das Gesetz macht von der Möglichkeit nach Artikel 83 Absatz 7 der Verordnung (EU) 2016/679 Gebrauch, Behörden und öffentliche Stellen von der Verhängung von Bußgeldern auszunehmen. Bußgelder sind nicht erforderlich, um dem Datenschutzrecht in der öffentlichen Verwaltung Geltung zu verschaffen. Die öffentliche Verwaltung ist an Recht und Gesetz gebunden; die Rechts- und/oder Fachaufsicht wacht über die Einhaltung der Gesetze. Durch den Landesbeauftragten für den Datenschutz und die Informationsfreiheit ist außerdem eine unabhängige Aufsicht sichergestellt, die auch über Anordnungsbefugnisse gegenüber den öffentlichen Stellen verfügt.
2. Öffentliche Stellen als Unternehmer
Außerdem wurde die Befürchtung geäußert, dass öffentliche Stellen, soweit sie privatwirtschaftlich tätig werden, durch die Befreiung von Bußgeldern Wettbewerbsvorteile erlangen könnten. Des Weiteren würde um die Präzisierung des Begriffs „Öffentliche Stellen, [die] als Unternehmen mit eigener Rechtspersönlichkeit am Wettbewerb“ teilnehmen, gebeten.
Öffentliche Stellen, die als Unternehmen mit eigener Rechtspersönlichkeit am Wettbewerb teilnehmen, werden den für nichtöffentliche Stellen geltenden datenschutzrechtlichen Vorschriften unterworfen (vgl. § 2 Absatz 6 des seit dem 21. Juni 2018 geltenden Landesdatenschutzgesetzes – LDSG). Damit wird dem Gedanken der Wettbewerbsgleichheit Rechnung getragen; folgerichtig drohen diesen öffentlichen Stellen daher ebenfalls Geldbußen (§ 28 LDSG).
Teilnahme am Wettbewerb steht im Gegensatz zum hoheitlichen Handeln und setzt die Datenverarbeitung zu wirtschaftlichen Zwecken oder Zielen voraus. Dies trifft auf private Schulen und Hochschulen in der Regel nicht zu. Entscheidend ist, dass die öffentlichen Stellen Leistungen erbringen, die entsprechend auch von privaten Unternehmen erbracht werden könnten.
3. Wissenschaftliche Forschung
3.1 Unabhängigkeit des Datenschutzbeauftragten
Weitere Kommentare beschäftigen sich mit der Unabhängigkeit des Datenschutzbeauftragten an Hochschulen und dem Koalitionspartner der Hochschule im Sinne von Artikel 88 Absatz der Verordnung (EU) 2016/679.
Die Verordnung (EU) 2016/679 regelt die Unabhängigkeit des jeweiligen Datenschutzbeauftragten in Artikel 38 Absatz 3. Der Datenschutzbeauftragte darf keinem Weisungsrecht unterworfen sein und wegen der Erfüllung seiner Aufgaben nicht abberufen oder benachteiligt werden.
Von dem Datenschutzbeauftragten, der für jede öffentliche Stelle zu bestellen ist, zu unterscheiden ist der in § 27 LDSG geregelte Rundfunkbeauftragte für den Datenschutz. Dieser fungiert als Aufsichtsbehörde im Sinne von Artikel 51 Absatz 1 der Verordnung (EU) 2016/679 in Bezug auf den SWR und seine Beteiligungsunternehmen nach § 16c Absatz 3 Satz 1 des Rundfunkstaatsvertrags an Stelle des Landesbeauftragten für den Datenschutz. Damit wird, wie von Artikel 85 Absatz 1 der Verordnung (EU) 2016/679 verlangt, der grundrechtlich geschützten Rundfunkfreiheit Rechnung getragen, die Staatsferne verlangt.
Eine eigene Aufsichtsbehörde für die Hochschulen ist im LDSG nicht enthalten. Dies wird von der Verordnung (EU) 2016/679 nicht verlangt.
Das Landesdatenschutzgesetz lässt das Personalvertretungsrecht unberührt.
3.2 Förderung der Wissenschaft
Die Förderung der Wissenschaft ist weiteren Kommentaren ein wichtiges Anliegen
Der Forschungsfreiheit wird in § 13 LDSG Rechnung getragen, indem das Recht auf Auskunft und weitere Betroffenenrechte zugunsten der wissenschaftlichen Forschung eingeschränkt werden. Die landesrechtliche Regelung entspricht der bundesgesetzlichen Regelung in § 27 Bundesdatenschutzgesetz.
Die Übermittlung personenbezogener Daten an Drittländer richtet sich nach den Artikeln 44 ff. der Verordnung (EU) 2016/679. Danach ist die Übermittlung zulässig, wenn die Europäische Kommission beschlossen hat, dass das betreffende Drittland ein angemessenes Datenschutzniveau bietet. Im Amtsblatt der Europäischen Union und auf der Website der Kommission wird die Liste der geprüften Länder veröffentlicht.