Landesdatenschutzgesetze: Begriff und rechtliche Einordnung
Landesdatenschutzgesetze sind Datenschutzgesetze der deutschen Bundesländer. Sie regeln den Umgang mit personenbezogenen Daten durch öffentliche Stellen der Länder, etwa Landesbehörden, Kommunen, Schulen, Hochschulen, Landespolizeibehörden, Landesministerien und andere Einrichtungen der Landesverwaltung. Sie ergänzen den europäischen und bundesrechtlichen Datenschutzrahmen.
Der Begriff gehört zum Datenschutzrecht, Verwaltungsrecht, Verfassungsrecht, Informationsrecht und öffentlichen Recht. Landesdatenschutzgesetze stehen im Zusammenspiel mit der Datenschutz-Grundverordnung, dem Bundesdatenschutzrecht und besonderen Fachgesetzen. Ihre Bedeutung liegt vor allem dort, wo öffentliche Stellen eines Bundeslandes personenbezogene Daten verarbeiten und keine abschließende bundesrechtliche Regelung eingreift.
Für Laien lässt sich der Begriff so erklären: Jedes Bundesland hat eigene Regeln dazu, wie seine Behörden und öffentlichen Einrichtungen mit personenbezogenen Daten umgehen dürfen. Diese Regeln heißen Landesdatenschutzgesetze.
Funktion der Landesdatenschutzgesetze
Landesdatenschutzgesetze dienen dem Schutz personenbezogener Daten im Verantwortungsbereich der Länder. Sie konkretisieren, wann öffentliche Stellen Daten erheben, speichern, nutzen, übermitteln oder löschen dürfen. Zugleich regeln sie Rechte der betroffenen Personen und Aufgaben der Landesdatenschutzaufsicht.
Die Gesetze schaffen einen Ausgleich zwischen Verwaltungsaufgaben und Datenschutz. Behörden benötigen Daten, um Aufgaben zu erfüllen. Bürger haben zugleich ein Recht darauf, dass ihre Daten nur rechtmäßig, zweckgebunden, transparent und verhältnismäßig verarbeitet werden.
Schutz personenbezogener Daten
Personenbezogene Daten sind Informationen, die sich auf eine bestimmte oder bestimmbare Person beziehen. Dazu können Name, Anschrift, Geburtsdatum, Aktenzeichen, Gesundheitsdaten, Bildungsdaten, Steuerdaten, Sozialdaten oder digitale Kennungen gehören.
Rechtsgrundlage für Verwaltungshandeln
Öffentliche Stellen dürfen personenbezogene Daten nicht beliebig verarbeiten. Landesdatenschutzgesetze können hierfür rechtliche Grundlagen und Verfahrensregeln schaffen.
Kontrolle staatlicher Datenverarbeitung
Die Landesdatenschutzgesetze regeln auch Kontrollmechanismen. Dazu gehören unabhängige Landesdatenschutzbeauftragte, Beschwerderechte, Prüfungsbefugnisse und Vorgaben zur Dokumentation.
Verhältnis zur Datenschutz-Grundverordnung
Die Datenschutz-Grundverordnung gilt unmittelbar in allen Mitgliedstaaten der Europäischen Union. Landesdatenschutzgesetze stehen daher nicht neben ihr als vollständig eigenständiges System, sondern ergänzen und konkretisieren sie in den Bereichen, in denen nationale oder landesrechtliche Regelungen zulässig oder erforderlich sind.
Unmittelbare Geltung der Datenschutz-Grundverordnung
Die Datenschutz-Grundverordnung enthält allgemeine Grundsätze, Rechte betroffener Personen, Pflichten verantwortlicher Stellen und Regeln zur Aufsicht. Diese gelten auch für viele öffentliche Stellen der Länder.
Öffnungsklauseln
Die Datenschutz-Grundverordnung erlaubt in bestimmten Bereichen nationale oder landesrechtliche Konkretisierungen. Landesdatenschutzgesetze nutzen solche Spielräume, um die Datenverarbeitung öffentlicher Stellen näher zu regeln.
Vorrang des europäischen Rechts
Landesrecht muss mit dem europäischen Datenschutzrecht vereinbar sein. Widerspricht eine landesrechtliche Regelung höherrangigem europäischem Recht, kann sie nicht uneingeschränkt angewendet werden.
Verhältnis zum Bundesdatenschutzgesetz
Das Bundesdatenschutzgesetz regelt vor allem Datenschutzfragen für Bundesbehörden und bestimmte nichtöffentliche Stellen. Landesdatenschutzgesetze betreffen dagegen insbesondere öffentliche Stellen der Länder. Beide Regelungsbereiche müssen voneinander abgegrenzt werden.
Bundesbehörden
Bundesbehörden unterliegen grundsätzlich dem Datenschutzrecht des Bundes, soweit keine besonderen Regelungen gelten. Dazu gehören etwa Bundesministerien, Bundesämter und sonstige Einrichtungen des Bundes.
Landesbehörden
Landesbehörden und kommunale Stellen unterliegen regelmäßig dem Datenschutzrecht des jeweiligen Bundeslandes, soweit keine vorrangigen besonderen Vorschriften eingreifen.
Nichtöffentliche Stellen
Unternehmen, Vereine und private Organisationen unterliegen vor allem dem europäischen Datenschutzrecht und den bundesrechtlichen Ergänzungen. Landesdatenschutzgesetze gelten für sie nur in besonderen Konstellationen.
Anwendungsbereich der Landesdatenschutzgesetze
Der Anwendungsbereich eines Landesdatenschutzgesetzes bestimmt, welche Stellen und welche Datenverarbeitungen erfasst werden. Typischerweise geht es um öffentliche Stellen des jeweiligen Bundeslandes. Dazu können auch juristische Personen des öffentlichen Rechts, kommunale Einrichtungen und bestimmte öffentlich-rechtlich organisierte Stellen gehören.
Landesbehörden
Landesbehörden sind zentrale Adressaten der Landesdatenschutzgesetze. Sie verarbeiten Daten etwa im Zusammenhang mit Verwaltung, Sicherheit, Bildung, Umwelt, Gesundheit, Verkehr oder Wirtschaftsförderung.
Kommunale Stellen
Auch Gemeinden, Landkreise und kommunale Einrichtungen können dem Landesdatenschutzrecht unterliegen. Dies betrifft etwa Meldedaten, Bauakten, Gebühren, Sozialverwaltung oder kommunale Dienstleistungen.
Hochschulen und Schulen
Öffentliche Hochschulen und Schulen verarbeiten zahlreiche personenbezogene Daten von Studierenden, Schülern, Lehrkräften und Beschäftigten. Landesdatenschutzgesetze bilden hierfür einen wichtigen Rahmen, ergänzt durch Schul- und Hochschulrecht.
Öffentlich-rechtliche Einrichtungen
Auch andere öffentlich-rechtliche Einrichtungen können erfasst sein, wenn sie Aufgaben der öffentlichen Verwaltung wahrnehmen und personenbezogene Daten verarbeiten.
Grundsätze der Datenverarbeitung
Landesdatenschutzgesetze knüpfen an allgemeine Datenschutzgrundsätze an. Diese Grundsätze bestimmen, wie personenbezogene Daten verarbeitet werden dürfen. Sie gelten als Leitlinien für Behörden und andere öffentliche Stellen.
Rechtmäßigkeit
Datenverarbeitung braucht eine rechtliche Grundlage oder einen sonstigen anerkannten Erlaubnistatbestand. Öffentliche Stellen müssen begründen können, warum sie Daten verarbeiten dürfen.
Zweckbindung
Personenbezogene Daten dürfen grundsätzlich nur für den Zweck verarbeitet werden, für den sie erhoben oder rechtmäßig weiterverarbeitet wurden. Eine spätere Zweckänderung benötigt eine rechtliche Grundlage.
Datenminimierung
Es dürfen nur solche Daten verarbeitet werden, die für den jeweiligen Zweck erforderlich sind. Übermäßige Datenerhebung widerspricht dem Grundsatz der Datenminimierung.
Richtigkeit
Personenbezogene Daten sollen sachlich richtig und aktuell sein. Unrichtige Daten können Verwaltungsentscheidungen verfälschen und Rechte betroffener Personen beeinträchtigen.
Speicherbegrenzung
Daten dürfen nicht unbegrenzt gespeichert werden. Wenn sie für den Zweck nicht mehr erforderlich sind und keine Aufbewahrungspflichten bestehen, müssen sie gelöscht oder anderweitig datenschutzgerecht behandelt werden.
Rechtsgrundlagen für öffentliche Stellen
Öffentliche Stellen der Länder verarbeiten Daten meist zur Erfüllung gesetzlicher Aufgaben. Landesdatenschutzgesetze enthalten allgemeine Erlaubnisregelungen und werden durch Fachgesetze ergänzt. Fachgesetze können etwa Polizei, Schule, Hochschule, Gesundheit, Bau, Verwaltungsvollstreckung oder Kommunalrecht betreffen.
Aufgabenerfüllung
Eine Datenverarbeitung kann zulässig sein, wenn sie für die Erfüllung einer öffentlichen Aufgabe erforderlich ist. Dabei muss die jeweilige Aufgabe rechtlich zugewiesen sein.
Einwilligung
Auch öffentliche Stellen können Daten auf Grundlage einer Einwilligung verarbeiten. Wegen des möglichen Machtgefälles zwischen Behörde und Bürger sind Freiwilligkeit und Transparenz besonders wichtig.
Gesetzliche Pflicht
Manche Datenverarbeitungen sind erforderlich, weil eine öffentliche Stelle gesetzlich verpflichtet ist, bestimmte Informationen zu verarbeiten, aufzubewahren oder zu übermitteln.
Schutz lebenswichtiger Interessen
In besonderen Notlagen kann Datenverarbeitung zum Schutz lebenswichtiger Interessen erforderlich sein, etwa bei akuten Gesundheits- oder Sicherheitsgefahren.
Betroffenenrechte nach Landesdatenschutzgesetzen
Landesdatenschutzgesetze und der europäische Datenschutzrahmen gewähren betroffenen Personen verschiedene Rechte. Diese Rechte sollen Transparenz schaffen und ermöglichen, unrichtige, unzulässige oder nicht mehr erforderliche Datenverarbeitungen überprüfen zu lassen.
Auskunftsrecht
Betroffene Personen können Auskunft darüber verlangen, ob und welche personenbezogenen Daten über sie verarbeitet werden. Dazu gehören Informationen über Zwecke, Datenkategorien, Empfänger und Speicherdauer.
Berichtigungsrecht
Wenn personenbezogene Daten unrichtig oder unvollständig sind, kann eine Berichtigung verlangt werden. Dies ist besonders wichtig, wenn Behördenentscheidungen auf diesen Daten beruhen.
Löschungsrecht
Unter bestimmten Voraussetzungen können betroffene Personen die Löschung ihrer Daten verlangen. Dies gilt etwa, wenn die Daten nicht mehr erforderlich sind oder unrechtmäßig verarbeitet wurden.
Einschränkung der Verarbeitung
In bestimmten Situationen kann verlangt werden, dass Daten vorläufig nicht weiter oder nur eingeschränkt verarbeitet werden. Dies kann relevant sein, wenn die Richtigkeit oder Zulässigkeit streitig ist.
Widerspruchsrecht
Bei bestimmten Datenverarbeitungen kann ein Widerspruch möglich sein. Die öffentliche Stelle muss dann prüfen, ob überwiegende Gründe für die weitere Verarbeitung bestehen.
Informationspflichten öffentlicher Stellen
Öffentliche Stellen müssen betroffene Personen grundsätzlich über die Verarbeitung ihrer personenbezogenen Daten informieren. Diese Informationspflichten sollen Transparenz schaffen und ermöglichen, Datenschutzrechte wahrzunehmen.
Information bei Datenerhebung
Werden Daten direkt bei einer Person erhoben, muss die Stelle regelmäßig über Verantwortlichen, Zwecke, Rechtsgrundlagen, Empfänger und Rechte informieren.
Information bei Dritterhebung
Werden Daten nicht bei der betroffenen Person selbst erhoben, können ebenfalls Informationspflichten bestehen. Ausnahmen können greifen, wenn besondere öffentliche Interessen oder gesetzliche Gründe entgegenstehen.
Grenzen der Information
Informationspflichten können eingeschränkt sein, etwa bei laufenden Ermittlungen, Sicherheitsinteressen, Geheimhaltungspflichten oder unverhältnismäßigem Aufwand. Solche Einschränkungen müssen rechtlich begründet sein.
Landesdatenschutzbeauftragte
Die Landesdatenschutzgesetze regeln die Stellung und Aufgaben der Landesdatenschutzbeauftragten. Diese Aufsichtsstellen überwachen die Einhaltung des Datenschutzrechts im jeweiligen Bundesland und sind unabhängig tätig.
Unabhängigkeit
Die Datenschutzaufsicht muss unabhängig arbeiten können. Sie darf bei ihrer Kontrolltätigkeit nicht politischen oder verwaltungsinternen Weisungen unterliegen.
Kontrollbefugnisse
Landesdatenschutzbeauftragte können öffentliche Stellen prüfen, Auskünfte verlangen, Beanstandungen aussprechen und Empfehlungen geben. Je nach Rechtsrahmen können weitere Befugnisse bestehen.
Beratung und Sensibilisierung
Neben Kontrolle gehört auch Beratung zu den Aufgaben der Datenschutzaufsicht. Öffentliche Stellen können Hinweise zur datenschutzgerechten Gestaltung ihrer Verfahren erhalten.
Beschwerden betroffener Personen
Betroffene Personen können sich an die Datenschutzaufsicht wenden, wenn sie der Ansicht sind, dass ihre Daten unzulässig verarbeitet wurden. Die Aufsicht prüft solche Beschwerden nach den geltenden Regeln.
Datenschutzbeauftragte öffentlicher Stellen
Viele öffentliche Stellen müssen eigene Datenschutzbeauftragte benennen. Diese unterstützen die jeweilige Behörde oder Einrichtung bei der Einhaltung datenschutzrechtlicher Vorgaben und dienen als interne Anlaufstelle.
Beratungsfunktion
Datenschutzbeauftragte beraten die öffentliche Stelle bei Datenschutzfragen, etwa bei neuen Verfahren, digitalen Systemen, Löschkonzepten oder Auskunftsersuchen.
Überwachungsfunktion
Sie überwachen die Einhaltung datenschutzrechtlicher Vorgaben innerhalb der Stelle. Dazu können Kontrollen, Schulungen, Dokumentationsprüfungen und Hinweise an die Leitung gehören.
Ansprechperson für Betroffene
Datenschutzbeauftragte können auch Ansprechpersonen für Bürger, Beschäftigte oder sonstige betroffene Personen sein, deren Daten verarbeitet werden.
Besondere Kategorien personenbezogener Daten
Landesdatenschutzgesetze betreffen auch den Umgang mit besonders sensiblen Daten. Dazu gehören etwa Gesundheitsdaten, Daten zur religiösen Überzeugung, politische Meinungen, biometrische Daten, genetische Daten oder Angaben zur Gewerkschaftszugehörigkeit. Solche Daten unterliegen erhöhten Schutzanforderungen.
Gesundheitsdaten
Gesundheitsdaten werden etwa in Gesundheitsämtern, Schulen, Hochschulen, Justizvollzug, Beihilfestellen oder sozialen Einrichtungen verarbeitet. Ihr Schutz ist besonders wichtig, weil sie intime Lebensbereiche betreffen.
Biometrische Daten
Biometrische Daten können zur eindeutigen Identifikation einer Person verwendet werden. Dazu können Fingerabdrücke, Gesichtsdaten oder andere körperbezogene Merkmale gehören.
Daten über politische oder religiöse Überzeugungen
Solche Daten können besonders empfindlich sein, weil ihre Offenlegung zu Benachteiligung führen kann. Ihre Verarbeitung ist nur unter besonderen Voraussetzungen zulässig.
Datenverarbeitung im Beschäftigungskontext
Landesdatenschutzgesetze können auch für Beschäftigte öffentlicher Stellen bedeutsam sein. Dazu gehören Beamte, Angestellte, Auszubildende, Bewerber und ehemalige Beschäftigte. Die Verarbeitung von Personaldaten muss auf die Zwecke des Beschäftigungsverhältnisses beschränkt und verhältnismäßig sein.
Bewerbungsdaten
Bei Bewerbungen dürfen öffentliche Stellen solche Daten verarbeiten, die für das Auswahlverfahren erforderlich sind. Nach Abschluss des Verfahrens stellt sich die Frage der weiteren Speicherung oder Löschung.
Personalakten
Personalakten enthalten besonders wichtige Daten über Beschäftigte. Zugriff, Aufbewahrung, Berichtigung und Einsicht unterliegen besonderen Anforderungen.
Kontrolle am Arbeitsplatz
Technische oder organisatorische Kontrollen am Arbeitsplatz können datenschutzrechtlich sensibel sein. Sie müssen durch einen legitimen Zweck getragen und verhältnismäßig ausgestaltet sein.
Videoüberwachung durch öffentliche Stellen
Landesdatenschutzgesetze enthalten häufig Regelungen zur Videoüberwachung durch öffentliche Stellen. Diese kann etwa in Behördengebäuden, öffentlichen Einrichtungen, Verkehrsanlagen oder Schulen relevant werden. Wegen des Eingriffs in Persönlichkeitsrechte gelten besondere Anforderungen.
Zweck der Videoüberwachung
Videoüberwachung kann etwa dem Schutz von Personen, Gebäuden, Anlagen oder Sicherheitsinteressen dienen. Der Zweck muss klar bestimmt sein.
Erforderlichkeit
Videoüberwachung darf nicht eingesetzt werden, wenn mildere Mittel denselben Zweck erreichen. Erforderlichkeit ist daher ein zentraler Prüfpunkt.
Kennzeichnung
Betroffene Personen müssen grundsätzlich erkennen können, dass eine Videoüberwachung stattfindet. Hinweise müssen verständlich und sichtbar sein.
Speicherdauer
Aufzeichnungen dürfen nicht länger gespeichert werden, als es für den Zweck erforderlich ist. Danach müssen sie gelöscht werden, soweit keine besonderen Gründe entgegenstehen.
Datenübermittlung zwischen Behörden
Öffentliche Stellen übermitteln Daten häufig an andere Behörden oder Einrichtungen. Landesdatenschutzgesetze regeln, wann eine solche Übermittlung zulässig ist. Dabei sind Zweckbindung, Erforderlichkeit und gesetzliche Aufgaben zu beachten.
Übermittlung innerhalb des Landes
Eine Übermittlung zwischen Landesbehörden kann zulässig sein, wenn sie zur Aufgabenerfüllung erforderlich ist und eine rechtliche Grundlage besteht.
Übermittlung an Bundesbehörden
Werden Daten an Bundesbehörden übermittelt, treffen Landes- und Bundesrecht aufeinander. Die Zulässigkeit richtet sich nach den jeweiligen Aufgaben und Rechtsgrundlagen.
Übermittlung an private Stellen
Die Übermittlung personenbezogener Daten an private Stellen ist besonders prüfungsbedürftig. Sie benötigt eine klare rechtliche Grundlage oder eine sonstige tragfähige Erlaubnis.
Akteneinsicht, Informationsfreiheit und Datenschutz
Landesdatenschutzgesetze stehen häufig in einem Spannungsverhältnis zu Informationszugangsrechten. Bürger können ein Interesse an Akteneinsicht oder Informationen der Verwaltung haben. Gleichzeitig müssen personenbezogene Daten Dritter geschützt werden.
Informationszugang
Informationszugangsrechte ermöglichen Einblick in staatliche Informationen. Sie fördern Transparenz der Verwaltung, dürfen aber Datenschutzrechte nicht unbeachtet lassen.
Schutz personenbezogener Daten Dritter
Wenn Akten personenbezogene Daten Dritter enthalten, müssen diese geschützt werden. Es kann eine Schwärzung, Teilzugang oder Abwägung erforderlich sein.
Abwägung widerstreitender Interessen
Bei Informationszugang und Datenschutz treffen Transparenzinteressen und Persönlichkeitsrechte aufeinander. Die Entscheidung hängt vom jeweiligen Recht, Zweck und Schutzbedarf der Daten ab.
Technische und organisatorische Maßnahmen
Landesdatenschutzgesetze und der europäische Datenschutzrahmen verlangen, dass öffentliche Stellen personenbezogene Daten durch geeignete technische und organisatorische Maßnahmen schützen. Dies betrifft Sicherheit, Verfügbarkeit, Vertraulichkeit und Integrität der Daten.
Zugriffskontrolle
Zugriffskontrolle stellt sicher, dass nur berechtigte Personen personenbezogene Daten einsehen oder bearbeiten können. Rollen- und Berechtigungskonzepte sind hierfür wichtig.
Verschlüsselung
Verschlüsselung kann Daten vor unbefugtem Zugriff schützen, insbesondere bei elektronischer Kommunikation, mobilen Geräten oder sensiblen Datensätzen.
Protokollierung
Protokollierung kann nachvollziehbar machen, wer wann auf bestimmte Daten zugegriffen hat. Sie dient Kontrolle, Sicherheit und Aufklärung möglicher Datenschutzvorfälle.
Löschkonzepte
Löschkonzepte legen fest, wann Daten zu löschen sind. Sie helfen öffentlichen Stellen, Speicherbegrenzung und Aufbewahrungspflichten rechtssicher zu ordnen.
Datenschutz-Folgenabschätzung
Bei besonders risikoreichen Verarbeitungsvorgängen kann eine Datenschutz-Folgenabschätzung erforderlich sein. Sie dient dazu, Risiken für betroffene Personen frühzeitig zu erkennen und geeignete Schutzmaßnahmen festzulegen.
Risikoreiche Verarbeitung
Risikoreich kann eine Verarbeitung sein, wenn sie umfangreich, sensibel, systematisch oder technisch komplex ist. Beispiele können Videoüberwachung, große Datenbanken oder automatisierte Auswertungen sein.
Bewertung der Risiken
Die Folgenabschätzung untersucht, welche Risiken für Rechte und Freiheiten betroffener Personen entstehen können. Dazu gehören Missbrauch, Fehlentscheidungen, Diskriminierung oder unbefugte Offenlegung.
Schutzmaßnahmen
Geeignete Schutzmaßnahmen können technische Sicherheit, Zugriffsbeschränkungen, Pseudonymisierung, Transparenz, Schulungen oder organisatorische Kontrollen umfassen.
Datenschutzverletzungen und Meldepflichten
Kommt es zu einer Verletzung des Schutzes personenbezogener Daten, können Melde- und Benachrichtigungspflichten entstehen. Datenschutzverletzungen können etwa durch Fehlversand, Hackerangriffe, Verlust von Datenträgern oder unbefugten Zugriff auftreten.
Datenschutzverletzung
Eine Datenschutzverletzung liegt vor, wenn personenbezogene Daten unbeabsichtigt oder unrechtmäßig vernichtet, verloren, verändert, offengelegt oder zugänglich gemacht werden.
Meldung an die Aufsicht
Bei bestimmten Datenschutzverletzungen muss die zuständige Aufsichtsbehörde informiert werden. Dies dient der Kontrolle und Schadensbegrenzung.
Benachrichtigung betroffener Personen
Wenn hohe Risiken für betroffene Personen bestehen, kann eine Benachrichtigung erforderlich sein. Betroffene sollen wissen, welche Daten betroffen sind und welche Folgen drohen können.
Sanktionen und Beanstandungen
Bei Verstößen gegen Landesdatenschutzgesetze können verschiedene Folgen eintreten. Im öffentlichen Bereich stehen häufig Beanstandungen, Anordnungen, organisatorische Maßnahmen, Berichte und verwaltungsinterne Folgen im Vordergrund. Je nach Rechtslage können auch weitere Sanktionen möglich sein.
Beanstandung
Eine Beanstandung durch die Datenschutzaufsicht stellt fest, dass eine öffentliche Stelle gegen Datenschutzvorgaben verstoßen hat. Sie kann mit Forderungen nach Abhilfe verbunden sein.
Anordnung
Aufsichtsbehörden können unter bestimmten Voraussetzungen Maßnahmen anordnen, um datenschutzwidrige Zustände zu beenden oder zu verhindern.
Disziplinarische und arbeitsrechtliche Folgen
Bei schweren Datenschutzverstößen durch Beschäftigte können dienst-, disziplinar- oder arbeitsrechtliche Folgen in Betracht kommen. Dies hängt von Art und Schwere des Verstoßes ab.
Landesunterschiede im Datenschutzrecht
Da jedes Bundesland ein eigenes Landesdatenschutzgesetz hat, können Unterschiede bestehen. Die Grundprinzipien sind wegen des europäischen Datenschutzrahmens ähnlich, aber Details zu Zuständigkeiten, Befugnissen, Ausnahmen, Videoüberwachung, Forschung, Archivierung oder öffentlichen Stellen können abweichen.
Unterschiedliche Behördenstrukturen
Die Länder haben eigene Verwaltungsstrukturen. Landesdatenschutzgesetze berücksichtigen diese Besonderheiten, etwa bei Kommunen, Schulen, Hochschulen oder Landesbetrieben.
Abweichende Detailregelungen
Unterschiede können sich bei Verfahrensregeln, Ausnahmen, Meldewegen, Kontrollbefugnissen oder besonderen Verarbeitungssituationen ergeben.
Gemeinsame Grundprinzipien
Trotz landesrechtlicher Unterschiede gelten gemeinsame Grundprinzipien wie Rechtmäßigkeit, Zweckbindung, Transparenz, Datenminimierung, Sicherheit und Betroffenenrechte.
Abgrenzung zu ähnlichen Begriffen
Landesdatenschutzgesetze sind von verwandten Begriffen wie Datenschutz-Grundverordnung, Bundesdatenschutzgesetz, Fachdatenschutzrecht, Informationsfreiheitsgesetzen und Polizeidatenschutzrecht zu unterscheiden. Diese Regelungen können nebeneinander gelten oder sich gegenseitig ergänzen.
Datenschutz-Grundverordnung
Die Datenschutz-Grundverordnung ist der europäische Grundrahmen für Datenschutz. Landesdatenschutzgesetze ergänzen und konkretisieren sie in bestimmten Bereichen.
Bundesdatenschutzgesetz
Das Bundesdatenschutzgesetz gilt vor allem für Bundesbehörden und bestimmte private Stellen. Landesdatenschutzgesetze betreffen vor allem öffentliche Stellen der Länder.
Fachdatenschutzrecht
Fachdatenschutzrecht enthält besondere Datenschutzregeln für bestimmte Bereiche, etwa Polizei, Schule, Gesundheit, Sozialleistungen oder Justiz. Es kann den allgemeinen Landesdatenschutzvorschriften vorgehen.
Informationsfreiheitsrecht
Informationsfreiheitsrecht regelt den Zugang zu staatlichen Informationen. Es muss mit Datenschutzrechten betroffener Personen in Einklang gebracht werden.
Häufig gestellte Fragen zu Landesdatenschutzgesetzen
Was sind Landesdatenschutzgesetze?
Landesdatenschutzgesetze sind Datenschutzgesetze der deutschen Bundesländer. Sie regeln vor allem die Verarbeitung personenbezogener Daten durch öffentliche Stellen der Länder und Kommunen.
Für wen gelten Landesdatenschutzgesetze?
Sie gelten insbesondere für Landesbehörden, kommunale Stellen, öffentliche Schulen, Hochschulen und andere öffentlich-rechtliche Einrichtungen des jeweiligen Bundeslandes, soweit keine vorrangigen Sonderregelungen gelten.
Wie verhalten sich Landesdatenschutzgesetze zur Datenschutz-Grundverordnung?
Die Datenschutz-Grundverordnung gilt unmittelbar. Landesdatenschutzgesetze ergänzen und konkretisieren sie dort, wo europäisches Recht nationale oder landesrechtliche Regelungen zulässt.
Was ist der Unterschied zum Bundesdatenschutzgesetz?
Das Bundesdatenschutzgesetz betrifft vor allem Bundesbehörden und bestimmte private Stellen. Landesdatenschutzgesetze regeln vor allem die Datenverarbeitung öffentlicher Stellen der Bundesländer.
Welche Rechte haben betroffene Personen?
Betroffene Personen können unter bestimmten Voraussetzungen Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung oder Widerspruch verlangen. Die konkrete Reichweite hängt vom jeweiligen Verarbeitungsvorgang ab.
Wer kontrolliert die Einhaltung der Landesdatenschutzgesetze?
Die Kontrolle erfolgt durch die unabhängigen Landesdatenschutzbeauftragten oder die zuständigen Datenschutzaufsichtsstellen des jeweiligen Bundeslandes.
Gelten Landesdatenschutzgesetze auch für Unternehmen?
Für private Unternehmen gelten in der Regel vor allem die Datenschutz-Grundverordnung und das Bundesdatenschutzgesetz. Landesdatenschutzgesetze betreffen Unternehmen nur in besonderen Konstellationen.
Warum unterscheiden sich Landesdatenschutzgesetze zwischen den Bundesländern?
Die Bundesländer haben eigene Zuständigkeiten und Verwaltungsstrukturen. Deshalb können sich Detailregelungen unterscheiden, obwohl die Grundprinzipien des Datenschutzes weitgehend einheitlich sind.
Wirtschaftsrechtliche Kanzlei · Empfohlen von Handelsblatt & Best Lawyers
Letzte Bearbeitung: 6. Mai 2026
