Neuorganisation der Datenschutzaufsicht?
Das Land Niedersachsen hat einen Beschlussvorschlag erstellt, der die Datenschutzaufsicht in Deutschland neu ordnen soll. Demnach sollen die Bundesländer den Datenschutzbehörden die Aufsicht über Unternehmen, also nicht-öffentlichen Stellen, entziehen. Über den Vorschlag wird die Wirtschaftsministerkonferenz (WMK) Ende Juni 2020 in Bremen entscheiden. Laut Vorschlag sollen die Aufsichtsbehörden in Deutschland effektiver als bisher arbeiten. Deshalb wollen die Wirtschaftsminister die Aufgaben reorganisieren und eine Zusammenlegung der Aufsicht über Unternehmen prüfen.
Zwei mögliche Szenarien für die Datenschutzaufsicht werden diskutiert
Zwei Möglichkeiten liegen auf dem Tisch. Entweder sollen die Länder die Datenschutzaufsicht über die Unternehmen an den Bund abgeben. Oder die Länder sollen durch einen Staatsvertrag eine gemeinsame Einrichtung schaffen, die zentral die Datenschutzaufsicht für Unternehmen übernimmt.
Grund dafür ist – laut Beschlussvorlage – dass es in der Praxis in den Ländern immer wieder zu unterschiedlichen Umsetzungen des Datenschutzrechts komme. Das könne Unternehmen sehr belasten. Die Rede ist von regionalen Wettbewerbsnachteilen und Umsetzungsproblemen für Unternehmen mit mehreren Niederlassungen in verschiedenen Bundesländern.
Was gegen die föderale Struktur der Datenschutzaufsicht sprechen soll
Äußerst kritisch wird beurteilt, dass Deutschland das einzige Land innerhalb der Europäischen Union ist, das seine Datenschutzaufsicht dezentral organisiert hat. Denn in Deutschland kontrollieren die Länder sowohl die Landesbehörden als auch die im Land ansässigen Unternehmen.
Folgenden Punkte gegen die weitere föderale Struktur werden vorgebracht:
- Mit der DSGVO wollte die Europäische Union ein einheitliches Datenschutzniveau schaffen. Doch die Aufsichtsbehörden legen das Recht aber unterschiedlich aus. Das führe zu regionalen Unterschieden im Datenschutz.
- Die Datenschutzkonferenz von Bund und Ländern (DSK) hat keine rechtsverbindliche Weisungsbefugnis – anders als der Europäische Datenschutzausschuss (EDSA).
- Die DSK ist lediglich ein informeller Zusammenschluss.
- Der Bundesdatenschutzbeauftragte muss die Länder im EDSA vertreten, obwohl er nicht die zuständige Behörde ist.
- Bei strittigen Themen müssen Bund und Länder zu einem gemeinsamen Standpunkt finden.
- Im Zweifel kann das zu einer Enthaltung Deutschlands im EDSA führen, was die deutsche Position schwächen könnte.
Gutachten der Datenethikkommission
Der Beschlussvorschlag der WMK beruft sich auf ein Gutachten der Datenethikkommission. Die Datenethikkommission setzt sich in dem Gutachten für eine bessere Ausstattung und für den Aufbau spezialisierter Expertise bei den Aufsichtsbehörden ein. Dabei brachte die Kommission konkret auch eine „Zentralisierung der Datenschutzaufsicht für den Markt“ auf Bundesebene ins Spiel.
Datenschützer gegen Zentralisierung
Die DSK, das gemeinsame Gremium der unabhängigen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder, kritisierte das Gutachten. Dr. Stefan Brink, Landesbeauftragter für den Datenschutz und die Informationsfreiheit in Baden-Württemberg (LfDI BW), sagte auf Anfrage von golem.de: „Die föderale Struktur in Deutschland ist von unserer Verfassung garantiert – daran wird die EU nichts ändern.“
Man brauche eine breite Debattenkultur mit unterschiedlichen Lösungsansätzen, um daraus dann gemeinsame Entscheidungen abzuleiten. Auch beim Datenschutz.
In der föderalen Praxis gebe es bisher keinen einzigen Fall, so Brink weiter, in dem sich die Aufsichtsbehörden in Deutschland nicht geeinigt und deswegen im EDSA enthalten hätten.
„Wir sind handlungsfähig“, versichert Brink. Die deutschen Aufsichtsbehörden lägen bei der Behandlung von gemeldeten Datenpannen innerhalb der EU weit vorne, bei der Behandlung aller Beschwerden im oberen Drittel. Die gegenwärtige Diskussion führe nicht zu einer Stärkung der Aufsicht, sondern zu ihrer Schwächung.
Abwarten und Tee trinken
Es bleibt also nur abzuwarten, was die WMK Ende Juni beschließt. Selbst ein positiver Beschluss würde jedoch nicht zwingend auch zu einer Umsetzung durch die Länder führen. Schließlich müsste eine solche Änderung der Struktur der Datenschutzaufsicht entweder durch eine Grundgesetzänderung ermöglicht werden (denn dort sind die Kompetenzen von Bund und Ländern geregelt) oder es müsste ein Staatsvertrag für eine zentralisierte Aufsicht her, den alle Länderparlamente absegnen müssen. Das Verfahren ist also sehr komplex und langwierig. Und es müsste auch vom Willen aller Beteiligten Akteure getragen werden, was zu bezweifeln ist.
Trotz der Unterschiede in der Behandlung bestimmter Fragen ist die föderale Struktur der Datenschutzaufsicht meines Erachtens kein gravierendes Problem. Gerade diese Struktur fördert sogar den gegenseitigen Austausch, den Wettbewerb der “besten Ideen” und damit letztlich auch das Niveau der datenschutzrechtlichen Kompetenz.
Timo Schutt
IhrDatenschutzPartner
Fachanwalt für IT-Recht