News
Vom Abwasser bis zur IT — Eigenbetriebe als potenziell wichtige oder besonders wichtige Einrichtungen nach dem BSIG
Hinsichtlich öffentlicher Stellen der Länder verhält sich das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik und über die Sicherheit in der Informationstechnik von Einrichtungen (BSI-Gesetz - BSIG) sehr zurückhaltend. Nicht zuletzt aufgrund der Verteilung der Gesetzgebungskompetenzen zwischen Bund und Ländern finden sich zwar insbesondere in § 29 und Teil 3 Kapitel 3 BSIG Regelungen betreffend die Bundesverwaltung. Entsprechende Regelungen in Bezug auf Verwaltungen der Länder fehlen indes, sodass man auf die Idee kommen könnte, dass insbesondere Einrichtungen außerhalb der Bundes- und Landesverwaltung nicht vom BSIG adressiert werden.
Doch dieser Eindruck kann bisweilen trügen, wie das Beispiel des Eigenbetriebs zeigt.
Der Eigenbetrieb – das unbekannte Wesen
Der Eigenbetrieb ist eine wirtschaftliche Betätigungsform auf Landes- und Kommunalebene (es gibt aber auch Eigenbetriebe auf Bundesebene, die sog. Bundesbetriebe). Beispiele hierfür sind die Münchener Stadtentwässerung, das Klinikum Südstadt Rostock oder aber der Eigenbetrieb IT-Dienstleistungen der Stadt Dresden.
In Berlin werden Eigenbetriebe insbesondere durch das Gesetz über die Eigenbetriebe des Landes Berlin (Eigenbetriebsgesetz - EigG) geregelt. Dort heißt es in § 1 Abs. 1 und 2:
„(1) Das Land Berlin (Träger) kann bestimmte öffentliche Aufgaben der Berliner Verwaltung nach diesem Gesetz in der Rechtsform des nicht rechtsfähigen Betriebs (Eigenbetrieb) selbständig und mit eigenen Organen (Geschäftsleitung, Verwaltungsrat) wahrnehmen lassen, wenn die öffentlichen Aufgaben die Errichtung des Eigenbetriebs rechtfertigen und anders nicht besser und wirtschaftlicher erfüllt werden können.
(2) Der Eigenbetrieb erfüllt die vom Träger vorgegebenen Aufgaben nach kaufmännischen Grundsätzen kostengünstig, benutzer- und umweltfreundlich. Er beachtet gemeinwirtschaftliche und sozial-, umwelt- und strukturpolitische Gesichtspunkte.“
Kurz ausgedrückt handelt es sich bei einem Eigenbetrieb also um ein kommunales Unternehmen, das nach wirtschaftlichen Grundsätzen tätig wird.
Wie der vorstehende § 1 Abs. 1 EigG zeigt, können die Eigenbetriebe ebenfalls über eigene Organe, nämlich die Geschäftsleitung oder den Verwaltungsrat, verfügen.
Eigenbetriebe und das BSIG
Wenn Eigenbetriebe auch über eine Geschäftsleitung verfügen, dann müssten für sie in der Folge auch z. B. die Vorschriften zur „Umsetzungs-, Überwachungs- und Schulungspflicht für Geschäftsleitungen besonders wichtiger Einrichtungen und wichtiger Einrichtungen“ aus § 38 BSIG gelten. So heißt es gemäß § 38 Abs. 3 Hs. 1 BSIG, dass die Geschäftsleitungen besonders wichtiger Einrichtungen und wichtiger Einrichtungen regelmäßig an Schulungen teilnehmen müssen. Demnach könnte man schlussfolgern, dass Eigenbetriebe auch die Umsetzungs-, Überwachungs- und Schulungspflichten für Geschäftsleitungen treffen, wenn es sich bei dem jeweiligen Eigenbetrieb um eine besonders wichtige oder wichtige Einrichtung i. S. v. § 28 Abs. 1 oder Abs. 2 BSIG handelt.
Ob ein Eigenbetrieb oder sonstige außerhalb der Bundes- und Landesverwaltung agierende öffentliche Betätigungen überhaupt als besonders wichtige oder wichtige Einrichtung in Betracht kommen, sagt das BSIG nicht explizit, auch wenn der Wortlaut von § 28 Abs. 1 Nr. 4 und Abs. 2 Nr. 3 BSIG ohne Einschränkung „sonstige natürliche oder juristische Personen oder rechtlich unselbstständige Organisationseinheiten einer Gebietskörperschaft“ erwähnt. Letzteres könnte also dafür sprechen, dass insbesondere auch Eigenbetriebe eine besonders wichtige oder wichtige Einrichtung i. S. d. BSIG darstellen könnten.
Deutlicher ist insoweit dagegen die Gesetzesbegründung zum BSIG, wo es auf S. 144 zur Reichweite von § 28 BSIG heißt: „Durch die Einbeziehung von rechtlich unselbstständigen Organisationseinheiten einer Gebietskörperschaft wird sichergestellt, dass Eigenbetriebe und Landesbetriebe, die entsprechende Dienste gemäß der Einrichtungsdefinitionen erbringen, adäquat adressiert werden können, auch wenn diese keine juristische oder natürliche Person sind“. Das heißt, Eigenbetriebe und ähnliche Organisationsformen können nach dem Willen der Gesetzesbegründung im Fall der Erfüllung der in § 28 Abs. 1 Nr. 4 oder Abs. 2 Nr. 3 BSIG definierten Schwellenwerte besonders wichtige oder wichtige Einrichtungen darstellen. Das bedeutet wiederum, dass Eigenbetriebe nicht nur die Pflichten zur Geschäftsleitungsschulung aus § 38 Abs. 3 BSIG, sondern – wie jede andere besonders wichtige oder wichtige Einrichtung – auch alle anderen relevanten Verpflichtungen aus dem BSIG einhalten muss. Zentral zu denken wäre dabei an die Risikomanagementmaßnahmen gemäß § 30 BSIG.
Fazit und Empfehlung
Eigenbetriebe, aber auch andere öffentlich-rechtliche Betriebsformen, sollten sich daher trotz der fehlenden ausdrücklichen Erwähnung im BSIG sicherheitshalber damit auseinandersetzen, ob sie die Schwellenwerte nach § 28 Abs. 1 Nr. 4 oder Abs. 2 Nr. 3 BSIG erfüllen sowie, ob sie in einen der vom BSIG in Anlage 1 oder 2 BSIG regulierten Sektoren fallen und daher die Vorgaben des Gesetzes zu beachten haben.
News
The Legal 500 Deutschland: Dr. Carlo Piltz als führender Name im Praxisbereich Datenschutz
Wir freuen uns sehr, dass Dr. Carlo Piltz in der neuesten Ausgabe des Handbuchs Legal 500 Deutschland unter den führenden Namen im Bereich Datenschutz vertreten ist.
Belgische Aufsichtsbehörde verhängt Bußgeld gegen IAB Europe wegen Transparency and Consent Framework (TCF)
Die belgische Datenschutzaufsichtsbehörde (APD-GBA) hat heute am 2.2.2022 ein Bußgeld in Höhe von 250.000 Euro gegen IAB Europe (IAB) verhängt. Zudem ordnete die Behörde Maßnahmen an, die zu einer umfassenden Anpassung des Transparency and Consent Framework (TCF) führen sollen.
Hervorzuheben ist dabei, dass die APD-GBA davon ausgeht, dass IAB zusammen mit den Publishern u.a. im Hinblick auf die Einholung der Einwilligung als Joint Controller agiert. Grundsätzlich könnten daher die angenommenen Verstöße auch App- und Webseitenbetreibern zu Last gelegt werden, die aktuell das TCF nutzen.
EDSA veröffentlicht Leitlinien zum Auskunftsrecht nach Art. 15 DSGVO
Der Europäische Datenschutzausschuss (EDSA), das Gremium der europäischen Datenschutzaufsichtsbehörden, hat in seiner Sitzung vom 18. Januar 2022 einen ersten Leitlinienentwurf zu einem der bedeutendsten Betroffenenrechte nach der DSGVO herausgegeben: dem Auskunftsrecht nach Art. 15.
Dieses Recht sorgt in der Praxis oft für Anwendungsunsicherheiten und lässt viel Raum für Interpretationen. Aus diesem Grund erschien es notwendig, dieses 60-seitige Dokument zu veröffentlichen, um für mehr Klarheit und Kohärenz zu sorgen. In dem Dokument widmet sich der EDSA einer Reihe von Themen, von denen einige in der Praxis äußerst umstritten sind.
Zusätzliche Schutzmaßnahmen für EU-Standardvertragsklauseln in der Praxis - Österreichische Datenschutzbehörde gibt eine erste Orientierung
Der Einsatz von Google Analytics steht nicht im Einklang mit der DSGVO. Zu diesem Schluss kam die österreichische Datenschutzbehörde (DSB) aufgrund einer Musterbeschwerde, die der Datenschutzverein "Noyb" (none of your business bzw. Europäisches Zentrum für digitale Rechte) eingereicht hatte. In ihrem Bescheid setzt sich die DSB (leider nicht vertieft) mit den zusätzlichen Schutzmaßnahmen von Google auseinander, die das Unternehmen für Datentransfers in die USA vorsieht. In diesem Beitrag finden Sie eine kurze Übersicht der technischen und organisatorischen Maßnahmen, die die österreichische DSB in ihrem Teilbescheid berücksichtigt, jedoch als ungenügend eingestuft hat.
Rechtswidrige Datenübermittlung zwischen EU und USA und weitere Verstöße: Der EDSB erlässt Unterlassungsanordnung gegen das Europäische Parlament
Anfang Januar veröffentlichte der Europäische Datenschutzbeauftragte (EDSB) eine Entscheidung, nachdem die Vereinigung noyb (none of your business bzw. European Centre for Digital Rights) bereits vor einem Jahr im Namen von sechs Mitgliedern des Europäischen Parlaments eine Beschwerde bzgl. einer Webseite des Europäischen Parlaments eingereicht hatte. In seiner Entscheidung geht der EDSB davon aus, dass die COVID-Testseite des Europäischen Parlaments gegen mehrere Datenschutzvorschriften verstößt. Kritisiert wurden in der Beschwerde von noyb insbesondere irreführende Cookie-Banner, vage und unklare Datenschutzinformationen und die illegale Übermittlung von personenbezogenen Daten in die USA. Der EDSB überprüfte den Fall und stellte einen Verstoß gegen die Verordnung (EU) 2018/1725 (nachfolgend „Verordnung)“, die zwar nur für EU-Institutionen gilt, der DSGVO jedoch sehr ähnelt, fest. Eine detaillierte Auflistung der einzelnen Verstöße sowie ihrer korrespondierenden Vorschriften in der Verordnung (EU) 2016/679 „EU-DSGVO“ finden Sie unter Nummer 4.
Musterverträge für internationale Geschäfte
Bei dem Münchner Verlag C.H.Beck ist die erste, von unserem Partner Prof. Dr. Burghard Piltz herausgegebene Edition zu Musterverträgen für das internationale Handels- und Vertriebsrecht erschienen.