Die bundesweiten Datenschutzgesetze und Spezialregelungen in den Ländern zielen darauf ab, die schutzwürdigen Interessen von Einzelpersonen zu gewährleisten. Gerade im Hinblick auf die zunehmenden Möglichkeiten, die der technische Fortschritt im Bereich der Datenerhebung, Datenverarbeitung und Datenverschneidung bietet, hat der sensible Umgang mit personenbezogenen Daten an Wichtigkeit gewonnen.
Am 25.05.2016 ist die Verordnung (EU) 2016/679 des europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung, DSGVO) (ABl. L 119 vom 4. Mai 2016, S. 1 ff.) in Kraft getreten. Gemäß Artikel 99 Absatz 2 der Verordnung (EU) 2016/679 gilt sie ab dem 25. Mai 2018 unmittelbar in allen Mitgliedstaaten der Europäischen Union. Mit der Verordnung (EU) 2016/679 soll unionsweit ein gleichmäßiges Schutzniveau für die Rechte und Freiheiten von natürlichen Personen bei der Verarbeitung personenbezogener Daten gewährleistet werden.
Der öffentliche Sektor unterlag hierzulande bislang eigenen datenschutzrechtlichen Regularien. So unterscheidet das Bundesdatenschutzgesetz zwischen öffentlichen und nichtöffentlichen Stellen und enthält – neben den für beide gültigen Bestimmungen – auch gesonderte Abschnitte. Dazu kommen primär anwendbare bereichsspezifische Normen und bei öffentlichen Stellen der Länder die jeweils vorrangigen Landesdatenschutzgesetze. Der Grund hierfür liegt in anderen Interessenslagen und Strukturen von öffentlichen Einrichtungen und privatwirtschaftlichen Unternehmen.
Die Regelungen der DSGVO gelten nun für beide Stellen gleichermaßen und beziehen neben natürlichen oder juristischen Personen auch Behörden und Einrichtungen mit ein. Eine Aufteilung in gesonderte Regelungsabschnitte existiert nicht. Lediglich einzelne Normen enthalten Spezialvorschriften und Ausnahmeregelungen. So sind unter anderem nach Artikel 2 Absatz 2 (d) DSGVO diejenigen Behörden ausgenommen, die personenbezogene Daten zum Zweck der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten verarbeiten. Das schließt auch die Strafvollstreckung inklusive des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit mit ein.
Artikel 83 Absatz 7 DSGVO enthält zudem eine Öffnungsklausel für die nationalen Vorschriften. Obgleich die Verordnung (EU) 2016/679 unmittelbar geltendes Recht setzt, besteht ein erheblicher Regelungsbedarf für die nationalen Gesetzgeber aufgrund der verschiedenen Öffnungsklauseln sowie der konkreten Regelungsaufträge. Hieraus ergibt sich gesetzlicher Anpassungsbedarf im Landesdatenschutzrecht.
In Schleswig-Holstein gilt für alle öffentlichen Stellen auf allen Ebenen das schleswig-holsteinische Gesetz zum Schutz personenbezogener Informationen, kurz Landesdatenschutzgesetz (LDSG), im Bund für alle öffentlichen Stellen und privaten Geodatenanbieter das Bundesdatenschutzgesetz (BDSG). Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) ist die Datenschutzaufsichtsbehörde für Schleswig-Holstein und überwacht die Einhaltung der Vorschriften über den Datenschutz bei öffentlichen und nicht-öffentlichen Stellen gemäß § 17 Abs. 1 LDSG.
Im Mai 2018 wurde das LDSG neu gefasst und darüber hinaus wurden auch Fachgesetzte punktuell angepasst.
Personenbezogene Daten dürfen bei öffentlichen Stellen nur erhoben, verarbeitet und genutzt werden, wenn gesetzliche Regelungen vorliegen. Sind schutzwürdige Interessen von Einzelpersonen betroffen, ist eine Einzelfallabwägung vorzunehmen bzw. die Einwilligung der betroffenen Person einzuholen. Personenbezogene Daten sind "Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person" (§ 2 LDSG). Prinzipiell kann heutzutage für fast jedes Datum durch Automation ohne größeren Aufwand ein Personenbezug hergestellt werden. Ein entscheidendes Kriterium für die datenschutzrechtliche Abwägung bei Verwendung von Geodaten ist die Bestimmbarkeit. Diese ist aber nicht eindeutig und endgültig geklärt. Bei Geodaten handelt es sich zumeist um Informationen über Sachen, die durch Verschneidungen und sonstige Auswertungen, Aussagen über natürliche Personen vermitteln können. Voraussetzung für den Personenbezug von Geodaten ist die Existenz einer Beziehung zwischen dem Geodatum und der Person. Durch die INSPIRE-Richtlinie sind die geodatenhaltenden Stellen des Landes Schleswig-Holstein verpflichtet, ihre gesetzlich erhobenen digitalen Geodaten auf elektronischem Wege bereitzustellen. Damit wäre nach LDSG einzelfallbezogen zu prüfen, ob ein Personenbezug bei den betroffenen Geodaten gegeben ist. Auf Grund der Datenmenge und des zeitlich eng abgesteckten Terminplans wurde in Schleswig-Holstein in Zusammenarbeit mit dem ULD eine pragmatische Lösung im GDIG verankert. Diese erlaubt eine Kategorisierung der Geodaten und ersetzt die Einzelfallprüfung. Die Kategorisierung erfolgt in drei Gefährdungsstufen:
Sie ist vor der Bereitstellung der Geodaten durchzuführen. Weitere Informationen zur Thematik "Datenschutz" können gängigen Studien entnommen werden (zum Beispiel der Ampelstudie des ULD). Im Rahmen des INSPIRE-Bereitstellungsprozesses wird in Schleswig-Holstein für den Datenschutz ein Prüfverfahren eingeführt, welches für Massendatenverarbeitung geeignet ist.
