News
Vom Abwasser bis zur IT — Eigenbetriebe als potenziell wichtige oder besonders wichtige Einrichtungen nach dem BSIG
Hinsichtlich öffentlicher Stellen der Länder verhält sich das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik und über die Sicherheit in der Informationstechnik von Einrichtungen (BSI-Gesetz - BSIG) sehr zurückhaltend. Nicht zuletzt aufgrund der Verteilung der Gesetzgebungskompetenzen zwischen Bund und Ländern finden sich zwar insbesondere in § 29 und Teil 3 Kapitel 3 BSIG Regelungen betreffend die Bundesverwaltung. Entsprechende Regelungen in Bezug auf Verwaltungen der Länder fehlen indes, sodass man auf die Idee kommen könnte, dass insbesondere Einrichtungen außerhalb der Bundes- und Landesverwaltung nicht vom BSIG adressiert werden.
Doch dieser Eindruck kann bisweilen trügen, wie das Beispiel des Eigenbetriebs zeigt.
Der Eigenbetrieb – das unbekannte Wesen
Der Eigenbetrieb ist eine wirtschaftliche Betätigungsform auf Landes- und Kommunalebene (es gibt aber auch Eigenbetriebe auf Bundesebene, die sog. Bundesbetriebe). Beispiele hierfür sind die Münchener Stadtentwässerung, das Klinikum Südstadt Rostock oder aber der Eigenbetrieb IT-Dienstleistungen der Stadt Dresden.
In Berlin werden Eigenbetriebe insbesondere durch das Gesetz über die Eigenbetriebe des Landes Berlin (Eigenbetriebsgesetz - EigG) geregelt. Dort heißt es in § 1 Abs. 1 und 2:
„(1) Das Land Berlin (Träger) kann bestimmte öffentliche Aufgaben der Berliner Verwaltung nach diesem Gesetz in der Rechtsform des nicht rechtsfähigen Betriebs (Eigenbetrieb) selbständig und mit eigenen Organen (Geschäftsleitung, Verwaltungsrat) wahrnehmen lassen, wenn die öffentlichen Aufgaben die Errichtung des Eigenbetriebs rechtfertigen und anders nicht besser und wirtschaftlicher erfüllt werden können.
(2) Der Eigenbetrieb erfüllt die vom Träger vorgegebenen Aufgaben nach kaufmännischen Grundsätzen kostengünstig, benutzer- und umweltfreundlich. Er beachtet gemeinwirtschaftliche und sozial-, umwelt- und strukturpolitische Gesichtspunkte.“
Kurz ausgedrückt handelt es sich bei einem Eigenbetrieb also um ein kommunales Unternehmen, das nach wirtschaftlichen Grundsätzen tätig wird.
Wie der vorstehende § 1 Abs. 1 EigG zeigt, können die Eigenbetriebe ebenfalls über eigene Organe, nämlich die Geschäftsleitung oder den Verwaltungsrat, verfügen.
Eigenbetriebe und das BSIG
Wenn Eigenbetriebe auch über eine Geschäftsleitung verfügen, dann müssten für sie in der Folge auch z. B. die Vorschriften zur „Umsetzungs-, Überwachungs- und Schulungspflicht für Geschäftsleitungen besonders wichtiger Einrichtungen und wichtiger Einrichtungen“ aus § 38 BSIG gelten. So heißt es gemäß § 38 Abs. 3 Hs. 1 BSIG, dass die Geschäftsleitungen besonders wichtiger Einrichtungen und wichtiger Einrichtungen regelmäßig an Schulungen teilnehmen müssen. Demnach könnte man schlussfolgern, dass Eigenbetriebe auch die Umsetzungs-, Überwachungs- und Schulungspflichten für Geschäftsleitungen treffen, wenn es sich bei dem jeweiligen Eigenbetrieb um eine besonders wichtige oder wichtige Einrichtung i. S. v. § 28 Abs. 1 oder Abs. 2 BSIG handelt.
Ob ein Eigenbetrieb oder sonstige außerhalb der Bundes- und Landesverwaltung agierende öffentliche Betätigungen überhaupt als besonders wichtige oder wichtige Einrichtung in Betracht kommen, sagt das BSIG nicht explizit, auch wenn der Wortlaut von § 28 Abs. 1 Nr. 4 und Abs. 2 Nr. 3 BSIG ohne Einschränkung „sonstige natürliche oder juristische Personen oder rechtlich unselbstständige Organisationseinheiten einer Gebietskörperschaft“ erwähnt. Letzteres könnte also dafür sprechen, dass insbesondere auch Eigenbetriebe eine besonders wichtige oder wichtige Einrichtung i. S. d. BSIG darstellen könnten.
Deutlicher ist insoweit dagegen die Gesetzesbegründung zum BSIG, wo es auf S. 144 zur Reichweite von § 28 BSIG heißt: „Durch die Einbeziehung von rechtlich unselbstständigen Organisationseinheiten einer Gebietskörperschaft wird sichergestellt, dass Eigenbetriebe und Landesbetriebe, die entsprechende Dienste gemäß der Einrichtungsdefinitionen erbringen, adäquat adressiert werden können, auch wenn diese keine juristische oder natürliche Person sind“. Das heißt, Eigenbetriebe und ähnliche Organisationsformen können nach dem Willen der Gesetzesbegründung im Fall der Erfüllung der in § 28 Abs. 1 Nr. 4 oder Abs. 2 Nr. 3 BSIG definierten Schwellenwerte besonders wichtige oder wichtige Einrichtungen darstellen. Das bedeutet wiederum, dass Eigenbetriebe nicht nur die Pflichten zur Geschäftsleitungsschulung aus § 38 Abs. 3 BSIG, sondern – wie jede andere besonders wichtige oder wichtige Einrichtung – auch alle anderen relevanten Verpflichtungen aus dem BSIG einhalten muss. Zentral zu denken wäre dabei an die Risikomanagementmaßnahmen gemäß § 30 BSIG.
Fazit und Empfehlung
Eigenbetriebe, aber auch andere öffentlich-rechtliche Betriebsformen, sollten sich daher trotz der fehlenden ausdrücklichen Erwähnung im BSIG sicherheitshalber damit auseinandersetzen, ob sie die Schwellenwerte nach § 28 Abs. 1 Nr. 4 oder Abs. 2 Nr. 3 BSIG erfüllen sowie, ob sie in einen der vom BSIG in Anlage 1 oder 2 BSIG regulierten Sektoren fallen und daher die Vorgaben des Gesetzes zu beachten haben.
News
Werbung mit „DSGVO-konform“: Wo liegen die Grenzen des Zulässigen?
Zahlreiche Anbieter von Software und Cloud-Diensten werben mit dem Versprechen, ihre Lösung erfülle die Anforderungen der DSGVO. Auch im KI-Bereich bezeichnen insbesondere kleinere Anbieter ihre Produkte in Werbematerialien nicht selten als „100 % DSGVO-konform". Was hinter solchen Aussagen steht, lässt sich oft nur schwer nachvollziehen. Das Zertifizierungsregime der DSGVO ist bis heute kaum praxistauglich und der Markt behilft sich mit freien Siegeln und eigenen Prüfstandards. Wer als Anbieter mit Datenschutz-Compliance wirbt, muss daher nicht nur die Grenzen der jeweiligen Zertifizierungen kennen, sondern auch die wettbewerbsrechtlichen Folgen pauschaler oder inhaltlich nicht gedeckter Aussagen im Blick behalten.
Kontaktformular nur mit Einwilligung?
Kontaktformulare sind auf nahezu jeder Website zu finden und datenschutzrechtlich in mehrfacher Hinsicht relevant. Im Mittelpunkt steht regelmäßig die Frage nach einer tragfähigen Rechtsgrundlage für die Verarbeitung der übermittelten personenbezogenen Daten. Häufig wird hierfür eine Einwilligung angenommen und per Checkbox eingeholt. Ähnlich stellt sich die Situation bei der Kontaktaufnahme per E-Mail dar. Auch hier stützen Verantwortliche die Verarbeitung nicht selten auf eine (vermeintlich konkludente) Einwilligung des Betroffenen. Rechtlich kommen aber neben der Einwilligung auch andere Rechtsgrundlagen in Betracht, die in der Praxis vorzugswürdig erscheinen.
Entwurf der Europäischen Kommission für die Leitlinien zum CRA
Der Cyber Resilience Act (CRA) ist am 10. Dezember 2024 in Kraft getreten. Vollständig gilt der CRA allerdings erst ab dem 11. Dezember 2027. Nachdem bereits im Dezember 2025 ein FAQ einer Dienststelle der Kommission veröffentlicht wurde, hat die Europäische Kommission nun einen Entwurf für die offiziellen Leitlinien zum CRA nach Art. 26 CRA veröffentlicht.
Außerdienstliche Straftaten unter Nutzung betrieblicher Mittel: Zur Reichweite des § 26 Abs. 1 Satz 2 BDSG
§ 26 Abs. 1 Satz 1 BDSG erlaubt Verantwortlichen, personenbezogene Daten von Beschäftigten zu verarbeiten, so weit dies zur Aufdeckung einer „im Beschäftigungsverhältnis begangenen“ Straftat erforderlich ist. Die Reichweite dieser Rechtsgrundlage wurde in der Rechtsprechung bislang aber kaum behandelt. Insbesondere ist unklar, wann eine Straftat als „im Beschäftigungsverhältnis begangen“ gilt. In der Praxis können Straftaten auch außerhalb der Arbeitszeit begangen werden, wobei zugleich betriebliche Mittel (etwa Laptop oder Mobiltelefon) zum Einsatz kommen. Hier stellt sich die Frage, ob sich interne Untersuchungen in solchen Konstellationen auf § 26 Abs. 1 Satz 2 BDSG stützen lassen oder ob hierfür eine Einwilligung der betroffenen Person erforderlich ist.
Mit dieser Frage befasst sich der aktuelle Beitrag von Carlo Piltz und Ilia Kukin im Datenschutz-Berater (03/2026).
LAG Rheinland-Pfalz: Datenschutzverstoß als Kündigungsgrund?
Mit Urteil vom 30. Juli 2025 hat das Landesarbeitsgericht Rheinland-Pfalz (Az. 7 SLa 293/24) entschieden, dass ein Jobcenter-Mitarbeiter nach einem Datenschutzverstoß unrechtmäßig gekündigt wurde.
GDNG in der Praxis: Zuständigkeiten und Anzeigeverfahren bei länderübergreifender Gesundheitsforschung
Auch wenn verschiedene Fragen rund um das Gesetz noch nicht geklärt sind (wie z. B. die Frage des Verhältnisses zu anderen relevanten Regelungen – insbesondere § 27 BDSG, Datenschutz- und ggf. Krankenhausgesetze der Länder - oder aber ob das GDNG selbst die Anforderungen des Art. 89 DSGVO erfüllt) kommt das Gesetz immer mehr in der Praxis des Gesundheitswesens an. So hat etwa die Datenschutzbehörde des Landes Nordrhein-Westfalen bereits vor über einem Jahr im Rahmen einer Sitzung der Datenschutzkonferenz (DSK) zu Protokoll gegeben, dass zahlreiche Anträge nach dem GDNG erwartet werden (siehe TOP 12, S. 9).