Privacy-Champion oder Bananenrepublik?

Ein äußerst beliebtes Vorgehen war es, aus Sicht der Regierungsfraktionen verdiente Politiker oder Ministerialbeamte auf die Position zu heben; Erfahrung und Kompetenz spielten oft eine untergeordnete und manchmal gar keine Rolle. Ja, man musste im Einzelfall sogar den Eindruck haben, dass Personen ausgewählt wurden, von denen mangels persönlicher Kompetenz wenig Widerstand gegen eine datenschutzunfreundliche Regierungspolitik erwartet wurde. Dies wirkte sich teilweise bundesweit negativ auf den Datenschutz aus - und das in Deutschland, einem Land, das weltweit als Datenschutzpionier agierte und dessen Bevölkerung als besonders datenschutzbewusst gilt.

Mit dem Volkszählungsurteil des deutschen BVerfG wurde der Datenschutz auf Grundrechtsniveau gehoben. In dem Urteil wird die unabhängige Datenschutzkontrolle als eine zentrale Rahmenbedingung für diesen Grundrechtsschutz benannt. Das wurde später über Art. 8 GRCh zum europaweit gültigen Standard.

Die Ernennung des „Mitglieds der Aufsichtsbehörde“, also nach nationaler Terminologie des „Datenschutzbeauftragten“, erfolgte ungeachtet der hohen verfassungsrechtlichen Erwartungen an das Amt in Deutschland in vielen Fällen fachfremd. Der Ernennungsprozess wurde in Einzelfällen sogar allgemeinpolitisch instrumentalisiert. In Schleswig-Holstein und in Sachsen-Anhalt diente die geheime Wahl des Datenschutzbeauftragten einigen Parlamentariern - selbst von Regierungsfraktionen - dazu, ihre Unzufriedenheit mit der jeweiligen Regierungspolitik zum Ausdruck zu bringen.

Mit den qualitativen Anforderungen der DS-GVO sollten solche politischen Manöver bei der Stellenbesetzung in Zukunft ausgeschlossen sein. Doch leider haben die Gesetzgeber im Bund und in den Ländern bei ihrer Umsetzung der DS-GVO wenig getan, um das politische Ausklüngeln dieser Personalien in Hinterzimmern zu verhindern: Die DS-GVO verlangt, dass die Wahl der Leitung der Aufsichtsbehörde „im Wege eines transparenten Verfahrens“ erfolgt. Doch gibt es hierzu zumeist keine weiteren Konkretisierungen. Im Gegenteil: In sieben Gesetzen ist eine Aussprache zur Wahl der Datenschutzbeauftragten ausdrücklich ausgeschlossen. Hinsichtlich eines transparenten Verfahrens enthält nur das Gesetz in Sachsen-Anhalt eine Festlegung, die zu einer öffentlichen Ausschreibung verpflichtet. Alle anderen Gesetze ermöglichen ein handverlesendes Vorgehen. In Bayern wird die Leitung der Datenschutzaufsicht im privaten Bereich sogar von der Staatsregierung bestimmt; in den meisten Bundesländern hat die Regierung das Vorschlagsrecht. Sicher ist auch bei einem Vorschlagsrecht des Parlaments zumeist eine gewisse Regierungsnähe gewährleistet, da die für die Wahl nötige Mehrheit regelmäßig die Regierungsfraktionen einschließt. Niedersachsen geht in der Praxis - ohne normative Grundlage - einen Sonderweg: Dort wird der Opposition das Vorschlagsrecht zugestanden. Aber auch hier ist das Ausklüngeln der Stellenbesetzung im Gesetz angelegt.

Dass es anders geht, zeigt der europäische Gesetzgeber bei der Ernennung des Europäischen Datenschutzbeauftragten: „Das Europäische Parlament und der Rat ernennen den Europäischen Datenschutzbeauftragten im gegenseitigen Einvernehmen für eine Amtszeit von fünf Jahren, auf der Grundlage einer von der Kommission im Anschluss an eine öffentliche Aufforderung zur Bewerbung aufgestellten Liste. Durch diese Aufforderung zur Bewerbung können alle Interessenten in der gesamten Union ihre Bewerbung einreichen. Die von der Kommission aufgestellte Liste der Bewerber ist öffentlich und umfasst mindestens drei Bewerber. Der zuständige Ausschuss des Europäischen Parlaments kann auf der Grundlage der von der Kommission aufgestellten Liste beschließen, eine Anhörung abzuhalten, um eine Präferenz kundtun zu können.“ Ausschreibungen sind zB auch in Italien, Litauen und Luxemburg bei der Ernennung der aufsichtsbehördlichen Leitung gesetzlich verpflichtend.

Es ist nachvollziehbar, dass die Politik oft kein gesteigertes Interesse an einem transparenten Ernennungsverfahren hat. Unabhängige und kompetente Datenschützer können bei staatlichen Überwachungsplänen und bei einer allzu eiligen Digitalisierung unbequem sein. Es ist aber offensichtlich, dass ein Ausklüngeln in Hinterzimmern dem Datenschutz schadet. Deutschland hat ja den Anspruch, keine Bananenrepublik zu sein.

Das Transparenzgebot der DS-GVO zielt darauf ab, vor der Entscheidung über die Personalie eine öffentliche Debatte und Kontrolle und damit die Qualifikation und Unabhängigkeit der Bewerbenden sicherzustellen. Mit der Transparenz soll auch die in Art. 33 Abs. 2 GG geforderte Bestenauswahl gewährleistet werden. Eine solche Auswahl über eine parlamentarische Abstimmung kann zwar nicht vollständig gerichtlich überprüfbar sein - sonst bliebe den Parlamentariern keine wirkliche Wahl. Doch muss sich deren Entscheidung am Grundsatz der Bestenauswahl orientieren. Dies steht nicht im Widerspruch zur parlamentarischen Entscheidungsfreiheit, wie das BVerfG im Hinblick auf die Wahl der ähnlich unabhängigen Richter an den obersten Gerichtshöfen festgestellt hat (BVerfG Beschl. v. 20.9.2016 - 2 BvR 2453/15).

Die unabhängigen Datenschutzaufsichtsbehörden haben eine hohe grundrechtliche, rechtsstaatliche und demokratische Bedeutung - deren Leitungen mithin auch. Ihre Funktion ist es, in einer digitalen Gesellschaft einen frühzeitigen, effektiven vorgezogenen Rechtsschutz zu sichern. Sie sollen für Gesellschaft und Betroffene bei der personenbezogenen Datenverarbeitung Transparenz und Kontrolle schaffen. Sie sind durch ihre Entscheidungs- und Beratungspraxis, ihre Öffentlichkeitsarbeit und ihre Normenkonkretisierung an der Rechtsfortbildung und Rechtsgestaltung beteiligt. Sie sind daher auch nicht eindeutig einer der drei staatlichen Gewalten zuzuordnen und nehmen eine Zwischenposition zwischen Exekutive, Legislative und Judikative ein. Angesichts ihrer Rolle als Wächter der Grundrechte muss die Bestellung der Mitglieder so ausbalanciert sein, dass keine einseitige Einflussnahme stattfindet. Auf dieser Gleichgewichtserwägung beruht die Transparenzanforderung in Art. 53 DS-GVO. Sie soll verhindern, dass Personen in das wichtige öffentliche Amt gelangen, ohne dass zuvor eine öffentliche Debatte möglich war, über welche die geforderte Balance hergestellt wird.

Die Zeiten von geräuschlosen Stellenbesetzungen sind vorbei - und das ist gut so. Erstmalig wurde in Schleswig-Holstein die Ernennung der Landesbeauftragten für den Datenschutz gerichtlich angegriffen. Das Verwaltungsgericht wies diesen Angriff - im Ergebnis zu Recht - zurück (VG Schleswig Beschl. v. 19.8.2020 - 12 B 36/20). Dass ihre Wahl nicht gemäß den Transparenzanforderungen der DS-GVO entsprach, fand auch die Gewählte Marit Hansen misslich. Sie wünschte, dass sie sich in einen offenen Wettbewerb hätte stellen können, was sowohl ihrem Ansehen als auch der Akzeptanz des Datenschutzes generell förderlich gewesen wäre. Auch andere Amtsinhaber beklagen aus diesen Gründen die Intransparenz des Bestellungsprozesses.

Welche Schlussfolgerungen sind für die kommenden Ernennungsprozesse zu ziehen? Zunächst muss klar sein, dass die in Art. 53 DS-GVO enthaltene Transparenzpflicht in den Verfahren konkret umgesetzt werden muss. Mindestvoraussetzung ist, dass eine anstehende Auswahl der jeweiligen Datenschutzbeauftragten öffentlich bekannt gemacht werden muss, was am sinnvollsten über eine offizielle Ausschreibung erfolgt. Das kann aber nicht genügen: Eine wirksame Debatte über die Auswahl setzt ein öffentliches Verfahren voraus, so wie dies beim Europäischen Datenschutzbeauftragten über eine öffentliche Anhörung und die Veröffentlichung einer Liste gesichert ist. Damit wird, anders als manchmal behauptet, die Würde des Amts oder das Persönlichkeitsrecht der Kandidaten nicht beeinträchtigt. Selbst bei der Auswahl von obersten Richtern findet teilweise ein öffentliches parlamentarisches Anhörungsverfahren statt. Beeinträchtigungen von Amt und Person ergeben sich eher, wenn es wegen einer unqualifizierten Auswahl zu einer unqualifizierten Amtsführung kommt.

Auch in Zukunft ist nicht auszuschließen, dass es trotz einer DS-GVO-konformen parlamentarischen Auswahl zu gerichtlichen Auseinandersetzungen über die Stellenbesetzung kommt. Hier ist der gerichtliche Beurteilungsrahmen angesichts der demokratischen Entscheidung eingeschränkt. Wohl aber muss ein angerufenes Gericht darüber befinden, ob die qualitativen Anforderungen der DS-GVO bei der Auswahl berücksichtigt worden sind. Andernfalls blieben diese Erwartungen an das Amt unverbindliches Programm. Dies will die DS-GVO definitiv nicht.

Dieser rechtliche Rahmen wird in einem aktuellen Gutachten ausführlich dargelegt und begründet (https://www.netzwerk-datenschutzexpertise.de/dokument/bestellung-oeffentlicher-datenschutzbeauftragter). Kurzfristig muss es darum gehen, dass bei den anstehenden Ernennungsverfahren für die Landesdatenschutzbeauftragten zumindest eine öffentliche Ausschreibung und möglichst auch eine Anhörung erfolgt. Mittelfristig sollte die Transparenz des Verfahrens ausdrücklich und klar geregelt werden. Auf Bundesebene kann dies eine neue Bundesregierung in Angriff nehmen, für die - glaubt man der getroffenen Koalitionsvereinbarung - digitaler Grundrechtsschutz und transparentes staatliches Handeln ein Herzensanliegen ist. Dies wäre ein Beitrag dazu, dass Deutschland wieder zum Privacy-Champion wird.