© 2018 Deutscher Bundestag WD 3 - 3000 - 421/18 

 

Anforderungen an behördliche Datenschutzerklärungen und  
Sanktionierung von Verstößen 
 

Sachstand 

Wissenschaftliche Dienste 



 
 
 

 

Die Wissenschaftlichen Dienste des Deutschen Bundestages unterstützen die Mitglieder des Deutschen Bundestages 
bei ihrer mandatsbezogenen Tätigkeit. Ihre Arbeiten geben nicht die Auffassung des Deutschen Bundestages, eines seiner 
Organe oder der Bundestagsverwaltung wieder. Vielmehr liegen sie in der fachlichen Verantwortung der Verfasserinnen 
und Verfasser sowie der Fachbereichsleitung. Arbeiten der Wissenschaftlichen Dienste geben nur den zum Zeitpunkt der 
Erstellung des Textes aktuellen Stand wieder und stellen eine individuelle Auftragsarbeit für einen Abgeordneten des 
Bundestages dar. Die Arbeiten können der Geheimschutzordnung des Bundestages unterliegende, geschützte oder andere 
nicht zur Veröffentlichung geeignete Informationen enthalten. Eine beabsichtigte Weitergabe oder Veröffentlichung ist 
vorab dem jeweiligen Fachbereich anzuzeigen und nur mit Angabe der Quelle zulässig. Der Fachbereich berät über die 
dabei zu berücksichtigenden Fragen. 

Wissenschaftliche Dienste Sachstand 
WD 3 - 3000 - 421/18 

Seite 2 

Anforderungen an behördliche Datenschutzerklärungen und Sanktionierung von Verstößen 
 

Aktenzeichen: WD 3 - 3000 - 421/18 
Abschluss der Arbeit: 6. Dezember 2018 
Fachbereich: WD 3: Verfassung und Verwaltung  

 

  



 
 
 

 

 

Wissenschaftliche Dienste Sachstand 
WD 3 - 3000 - 421/18 

Seite 3 

1. Fragestellung 

Der Sachstand behandelt datenschutzrechtliche Fragen im Zusammenhang mit dem Informationshandeln
 einer Bundesbehörde. Er geht auf die Voraussetzungen rechtmäßiger Datenverarbeitung, 
auf Informationspflichten des Verantwortlichen, und auf die Sanktionierung von Verstößen gegen 
das Datenschutzrecht ein. 

2. Rechtmäßigkeit der Verarbeitung 

Die Verarbeitung personenbezogener Daten durch Bundesbehörden unterliegt insbesondere der 
Datenschutzgrundverordnung (DSGVO)1 und dem Bundesdatenschutzgesetz (BDSG)2. Die DSGVO 
gilt grundsätzlich für nichtöffentliche und öffentliche Stellen gleichermaßen, wobei sie den Mitgliedstaaten
 durch unbestimmte Rechtsbegriffe und Öffnungsklauseln Spielraum für ein besonderes 
Datenschutzregime der öffentlichen Stellen lässt.3 Hiervon hat der deutsche Gesetzgeber im BDSG 
teilweise Gebrauch gemacht. 

Nach Art. 6 Abs. 1 DSGVO ist die Verarbeitung personenbezogener Daten nur rechtmäßig, wenn 
einer der dort genannten Erlaubnistatbestände erfüllt ist. Für die Datenverarbeitung durch Behörden
 ist neben Art. 6 Abs. 1 UAbs. 1 lit. c und lit. f DSGVO insbesondere lit. e von Bedeutung. 
Nach lit. e ist die Verarbeitung rechtmäßig, wenn sie „für die Wahrnehmung einer Aufgabe erforderlich
 [ist], die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die 
dem Verantwortlichen übertragen wurde“. Dieser Erlaubnistatbestand verweist wiederum auf 
Normen des Unionsrechts oder des mitgliedstaatlichen Rechts, die ihrerseits den Anforderungen 
der DSGVO genügen müssen, vgl. Art. 6 Abs. 3 DSGVO.4 Für die Rechtmäßigkeit kommt es daher 
entscheidend auf das Bestehen einer solchen Ermächtigungsgrundlage an. 

Zu beachten ist außerdem der zentrale datenschutzrechtliche Grundsatz der Zweckbindung: Nach 
Art. 5 Abs. 1 lit. b DSGVO müssen personenbezogene Daten stets „für festgelegte, eindeutige 
und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu 
vereinbarenden Weise weiterverarbeitet werden“.5 Eine mit dem Erhebungszweck unverträgliche 
Zweckänderung ist demnach grundsätzlich ausgeschlossen und nur ausnahmsweise in einem 
der in Art. 6 Abs. 4 DSGVO genannten Fälle zulässig. 

                                     

1 Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher 
Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 
95/46/EG (Datenschutz-Grundverordnung), ABl. L 119, S. 1. 

2 Bundesdatenschutzgesetz vom 30. Juni 2017, BGBl. I S. 2097.  

3 Vgl. nur Schaller, in: Roßnagel (Hrsg.), Das neue Datenschutzrecht, 2018, § 7 Rn. 1, 28 ff. 

4 Schaller, in: Roßnagel (Hrsg.), Datenschutzrecht, § 7 Rn. 8. 

5 Vgl. dazu nur Wolff, in: Schantz/Wolff, Das neue Datenschutzrecht, 2017, Rn. 397 ff. 



 
 
 

 

 

Wissenschaftliche Dienste Sachstand 
WD 3 - 3000 - 421/18 

Seite 4 

3. Informationspflichten des Verantwortlichen 

Entsprechend dem Transparenzprinzip, das dem europäischen Datenschutzrecht nach Art. 5 Abs. 1 
lit. a DSGVO zugrunde liegt, sehen die Art. 13 f. DSGVO Informationspflichten des für die Datenverarbeitung
 Verantwortlichen gegenüber dem Betroffenen vor. Die Artikel unterscheiden danach, ob 
die Daten bei der betroffenen Person selbst (Art. 13 DSGVO) oder in anderer Weise (Art. 14 DSGVO) 
erhoben wurden. Unterschieden bestehen vor allem hinsichtlich des Zeitpunkts der Information 
und hinsichtlich der Ausnahmen von der Informationspflicht.6 

Werden die Daten bei der betroffenen Person erhoben, muss sie vor oder bei der Datenerhebung 
informiert werden, Art. 13 Abs. 1, 2 DSGVO. Die Informationspflicht entfällt nur, wenn der Betroffene
 bereits über alle Informationen verfügt, Art. 13 Abs. 4 DSGVO. 

Werden die Daten nicht bei der betroffenen Person erhoben, muss die Information innerhalb einer 
angemessenen Frist nach Erhebung der Daten erfolgen, spätestens nach einem Monat; werden die 
Daten zur Kommunikation mit dem Betroffenen genutzt, müssen die Informationen spätestens bei 
der ersten Mitteilung übermittelt werden, Art. 14 Abs. 3 DSGVO. Die Informationspflicht entfällt 
in den in Art. 14 Abs. 5 DSGVO genannten Fällen. 

Inhaltlich unterscheiden sich die Informationspflichten kaum (Art. 13 Abs. 1, 2 bzw. Art. 14 Abs. 1, 
2). Die Datenschutzerklärung muss insbesondere folgende Angaben enthalten: 

- Name und Kontaktdaten des Verantwortlichen und seines Vertreters,  
- Kontaktdaten des Datenschutzbeauftragten, 
- Zweck und Rechtsgrundlage der Verarbeitung, 
- ggf. berechtigte Interessen des Verantwortlichen oder eines Dritten, 
- ggf. Empfänger der Daten, 
- ggf. Angaben zur Übermittlung ins Ausland, 
- die Speicherdauer, 
- die Betroffenenrechte, 
- ggf. das Recht, eine Einwilligung zu widerrufen, 
- das Beschwerderecht bei der Aufsichtsbehörde, 
- die gesetzliche oder vertragliche Grundlage der Datenerhebung, 
- ggf. Angaben zu einer automatisierten Entscheidungsfindung 

sowie nur in Fällen des Art. 14 DSGVO 

- die Kategorien der Daten und 
- die Quelle der Daten. 

Unabhängig von der Art der Datenerhebung löst eine Zweckänderung sowohl nach Art. 13 Abs. 3 
als auch nach Art. 14 Abs. 4 DSGVO eine erneute Informationspflicht aus. 

                                     

6 Vgl. nur Schantz, in: Schantz/Wolff, Datenschutzrecht, Rn. 1149 ff. 



 
 
 

 

 

Wissenschaftliche Dienste Sachstand 
WD 3 - 3000 - 421/18 

Seite 5 

4. Sanktionen 

Die DSGVO sieht in ihren Art. 83 f. Sanktionen für Verstöße gegen das Datenschutzrecht vor. Die 
Aufsichtsbehörden können insbesondere Geldbußen verhängen. Nach Art. 83 Abs. 7 DSGVO bleibt 
es jedoch den Mitgliedstaaten überlassen, ob und in welchem Umfang auch gegen Behörden und 
öffentliche Stellen Geldbußen verhängt werden können. Das deutsche Recht verweist in § 41 BDSG 
auf das Ordnungswidrigkeitengesetz, das keine Bußgelder gegen Behörden kennt, sondern nur auf 
Privatrechtssubjekte anwendbar ist: „In der Logik der Gesetzmäßigkeit der Verwaltung, von Aufsicht
 und Weisung und des effektiven Rechtsschutzes […] mit der Möglichkeit der Amtshaftung 
(Art. 34 GG) bedürfe es einer Ahndung von Verstößen auch gar nicht.“7 

*** 

                                     

7 Frenzel, in: Paal/Pauly (Hrsg.), Datenschutz-Grundverordnung, Bundesdatenschutzgesetz, 2. Aufl. 2018, Art. 83 
Rn. 27.