Internet Explorer: Unsere Empfehlung

×
Sie nutzen noch den Interenet Explorer 11 (IE11) und wir empfehlen Ihnen, bis zum 15. Juni 2022 auf den neuen Browser „Microsoft Edge“ oder eine aktuelle Version eines anderen gängigen Internet-Browsers (Firefox, Chrome, usw.) umzusteigen. Wir folgen damit den Empfehlungen des Unternehmens Microsoft, das ebenfalls schrittweise begonnen hat, die Unterstützung dieser Browserversion einzustellen. Bei Fragen wenden Sie sich bitte an unsere Hotline unter der Telefonnummer 089-38189-421.
CHB_RSW_Logo_mit_Welle_trans
Zeitschrift für Datenschutz | Banner

Weg mit den Landesdatenschutzbeauftragten?

Prof. Dr. Alexander Roßnagel ist Der Hessische Beauftragte für den Datenschutz und die Informationsfreiheit und Vorsitzender der DSK im Jahr 2024 sowie Wissenschaftsbeirat der ZD.

ZD 2025, 181   Im Wahlkampf überboten sich mal wieder Parteien, Politiker und Lobbyisten mit Vorschlägen zur Neustrukturierung der Datenschutzaufsicht: Sie wollen die Datenschutzaufsicht über die Wirtschaft von den Landesdatenschutzbeauftragten (LfD) auf die Bundesdatenschutzbeauftragte (BfDI) übertragen oder die LfD gleich ganz abschaffen. In die gleiche Richtung geht die Absicht, bei der Umsetzung nationaler EU-Digitalrechtsakte, wie zB des Data Act, die Datenschutzaufsicht – entgegen unions- und verfassungsrechtlicher Vorgaben – bei der BfDI zentralisieren zu wollen.

Fake News divergierender Entscheidungspraxis

Grundlage all dieser Vorschläge ist die weitverbreitete Ansicht, dass die Aufsichtsbehörden das Datenschutzrecht unterschiedlich auslegen und anwenden (Dirk Freytag, Präsident des BVDW, 20.2.2025: „18 Datenschutzbehörden, 18 unterschiedliche Auslegungen“). Dies führe zu Rechtsunsicherheit und damit zu Innovationshemmnissen. Eine Vereinheitlichung und Harmonisierung der Auslegung sei notwendig und könne nur durch eine Zentralisierung der Datenschutzaufsicht erreicht werden.

Dieser falschen Behauptung ist entgegenzutreten. Wenn man nach gravierenden Meinungsunterschieden fragt, kommt immer nur der Hinweis auf den Dissens im Jahr 2020, als die Konferenz der Datenschutzbehörden (DSK) mit einer Mehrheit von 9 zu 8 Stimmen entschieden hat, dass eine datenschutzgerechte Nutzung von Microsoft 365 nicht möglich ist. Richtig ist, dass die DS-GVO eine Vielzahl von Generalklauseln und unbestimmten Rechtsbegriffen enthält. Diese müssen die Aufsichtsbehörden für vielfältigste Anwendungsbereiche handhabbar machen. Daher ist es unvermeidlich, dass bei – insbesondere technologieoffenen – Vorgaben mit weitem Interpretationsspielraum in neuen Situationen (wie am Beispiel von LLM) für eine kurze Zeit unterschiedliche Lösungsmöglichkeiten diskutiert werden. Eine vertiefte Betrachtung der Herausforderungen und eine differenzierte Reflexion unterschiedlicher Rechtsmeinungen dient der Qualitätssicherung und ist positiv zu bewerten.

Der DSK ist aber bewusst, dass diese unterschiedlichen Impulse rasch (wie in Fragen zur KI) in einheitliche Bewertungen aller Aufsichtsbehörden überführt werden müssen. Die DSK hat sich diese Erwartung des Art. 51 DS-GVO zu eigen gemacht und verfolgt in ihrer Geschäftsordnung in Abschnitt A.II das Ziel, „eine einheitliche Anwendung des europäischen und nationalen Datenschutzrechts zu erreichen“. Sie hat seit dem Jahr 2020 große Anstrengungen unternommen, uneinheitliche Meinungen zu vermeiden oder zu korrigieren. Sie hat eine Vielzahl von rechtlichen Klarstellungen wie Kurzpapieren, Handreichungen, Orientierungshilfen und Positionsbestimmungen vorgelegt. Um eine einheitliche Sichtweise sicherzustellen, führt die DSK jeden Montag einen Jour fixe durch. Seit drei Jahren sieht ihre Geschäftsordnung (A.IV.3) für Beschlüsse zur Auslegung datenschutzrechtlicher Regelungen bindende Mehrheitsentscheidungen vor. Von einer solchen kann eine Aufsichtsbehörde nur abweichen, wenn sie zur Stimmabgabe erklärt hat, dass sie sich nicht an diese halten kann. Dies ist seitdem nicht einmal vorgekommen.

Für eine zutreffende Einschätzung der Situation ist weiter zu berücksichtigen, dass die Aufsichtsbehörden Teil eines europäischen Systems sind, das für eine gleichartige Auslegung und Anwendung der DS-GVO in der Union sorgt. Zusammen mit dem Europäischen Datenschutzausschuss (EDSA) haben sie Richtlinien, Empfehlungen und Positionsbestimmungen veröffentlicht. Auch der EuGH hat inzwischen sehr viele Rechtsfragen zur DS-GVO geklärt (s. Roßnagel/Wallmann, Der Europäischen Gerichtshof als Gestalter des Datenschutzrechts, 2024). Für alle diese einheitlichen Klarstellungen bedarf es einer Zentralisierung der Datenschutzaufsicht nicht.

Unveränderbare Aufgaben der LfD

Was ist von den genannten Vorschlägen zu halten? Die LfD durch Bundesgesetz abzuschaffen, ist nicht umsetzbar. Der Vollzug von Landesdatenschutzgesetzen ist nur durch Behörden des jeweiligen Landes möglich. Dies gilt auch für die Vorschriften der DS-GVO, die auf öffentliche Stellen des Landes Anwendung finden.

Auch für den nicht-öffentlichen Bereich gilt die Grundregel des Art. 83 GG, dass Bundesgesetze durch Landesbehörden vollzogen werden. Vollzugskompetenzen von den LfD auf die BfDI zu übertragen, wäre nach Art. 87 Abs. 3 S. 1 GG nur für die Bereiche möglich, die der Gesetzgebungskompetenz des Bundes unterliegen. Hier käme vor allem die Gesetzgebungskompetenz nach Art. 74 Nr. 11 GG für den Bereich der Wirtschaft in Betracht. „Wirtschaft“ ist aber nicht identisch mit dem nicht-öffentlichen Bereich. Die Bereiche, in denen die Länder die Gesetzgebungskompetenz haben, bleiben von dieser Übertragung ausgeschlossen – wie zB die Bereiche der medizinischen Versorgung, Lehre und Forschung, Schulen, Kultur, Medien und Gerichte. Neben der Aufsicht über den Datenschutz in den öffentlichen Stellen der Länder bliebe also auch die Aufsicht in diesen Bereichen Aufgabe der LfD.

Abstimmungsbedarf bleibt

Da die LfD und viele ihrer Aufgaben bleiben, kann der Abstimmungsbedarf in Bezug auf angeblich „unterschiedliche Auslegungen“ von Regeln und Begriffen nicht durch eine Übertragung von Vollzugsaufgaben im Bereich der Wirtschaft beseitigt werden. Die DS-GVO unterscheidet nicht zwischen unterschiedlichen Bereichen. Daher müssen ihre Regeln und Begriffe für alle Anwendungsbereiche gleich ausgelegt und praktiziert werden. Dies erfordert immer eine Abstimmung unter allen Aufsichtsbehörden. Diese Notwendigkeit ist auch deswegen nicht durch veränderte Vollzugskompetenzen zu beseitigen, weil Deutschland in allen Abstimmungen des EDSA immer nur mit einer Stimme sprechen kann. Diese einheitliche Meinung kann nur im Wege der Abstimmung zwischen den deutschen Aufsichtsbehörden nach §§ 17 ff. BDSG erreicht werden.

Somit kann eine einheitliche Auslegung des Datenschutzrechts in Deutschland nur durch die DSK und in der Union durch den EDSA gewährleistet werden, nicht jedoch dadurch, dass ein Teil der Datenschutzaufsicht zentralisiert wird. Diese Vereinheitlichung der Auslegung und Anwendung des Datenschutzrechts in Deutschland ist der DSK in den letzten Jahren sehr erfolgreich gelungen.

Vorteile einer dezentralen Aufsicht

Wäre eine Zentralisierung der Datenschutzaufsicht aber nicht doch mit Vorteilen verbunden? Solche Vorteile sind vorstellbar für große Konzerne, die mit ihren selbstständigen Tochterunternehmen in mehreren Bundesländern tätig sind. Sie müssten sich nur mit der BfDI auseinandersetzen.

Diese Vorteile wären jedoch spiegelbildlich für sehr viele mittelständische, kleine und kleinste Unternehmen, Handwerksbetriebe, freie Berufsträger, Vereine, Verbände, Parteien, NGOs und viele weitere Akteure mit großen Nachteilen verbunden. Das Gleiche gilt für alle Bürgerinnen und Bürger. Statt von LfD, die die regionalen Verhältnisse kennen und die in der Region ansprechbar sind, wäre eine große zentrale Behörde hunderte Kilometer vom Geschehen entfernt für die Beratung und Kontrolle in Datenschutzfragen zuständig. Es ist fraglich, ob eine zentrale Bundesbehörde als regionaler Ansprechpartner dienen und den heterogenen Bedürfnissen der regionalen Wirtschaft gerecht werden kann.

Diesen Nachteil kann die BfDI nicht durch Außenstellen in der Fläche ausgleichen, weil Art. 87 Abs. 3 S. 1 GG nur ermöglicht, eine Bundesbehörde mit weiteren Vollzugsaufgaben zu betrauen, nicht aber nachgeordnete Mittel- und Unterbehörden mit regionaler Zuständigkeit zu errichten. Die Umsetzung von Bundesrecht in der Fläche ist Aufgabe der Länder.

Der große Vorteil der föderal gegliederten Datenschutzaufsicht ist die Nähe zu den betroffenen Personen sowie eine bessere Beratung der Unternehmen vor Ort. Die LfD kennen die Akteure in ihrem Bundesland, die wirtschaftlichen und gesellschaftlichen Besonderheiten der Region, haben über Jahre Beratungsnetzwerke aufgebaut und beraten ständig viele Akteure auf Nachfrage. Es geht jeweils darum, rechtlich tragfähige, aber praktikable Lösungen zu finden – ausgerichtet an den Bedürfnissen und Anforderungen der örtlichen Unternehmen. Hier kommt es auf passgenaue Empfehlungen an. Der Standortvorteil einer Datenschutzaufsicht vor Ort mit kurzen Wegen und bewährten Kommunikationszusammenhängen sollte daher nicht zugunsten einer vermeintlichen Verwaltungsvereinfachung aufgegeben werden.

Eine föderale Aufsichtsstruktur ist auch hinsichtlich des Rechtsschutzes sowohl für die meisten Wirtschaftsakteure als auch die betroffenen Personen mit Vorteilen verbunden. Fühlen sie sich in ihren Rechten verletzt, können sie ihre Beschwerden oder Anträge bei ihrem LfD einlegen. Sie müssen sich nicht an eine weit entfernte Behörde wenden. Wollen sie gegen Aufsichtsentscheidungen den Rechtsweg beschreiten, können sie vor dem örtlich zuständigen Verwaltungsgericht klagen und müssen sich nicht an das VG Köln wenden. Da bei einer teilweisen Zentralisierung neben dem VG Köln in allen nicht übertragenen Anwendungsbereichen der DS-GVO weiterhin die örtlich zuständigen Verwaltungsgerichte für die Auslegung der gleichen Vorschriften und Begriffe zuständig bleiben, wäre dadurch für die Rechtssicherheit nichts gewonnen.

Eine Zentralisierung der Datenschutzaufsicht wäre auch mit keinem Gewinn an Entbürokratisierung verbunden. Eine Konzentration der Datenschutzaufsicht über den Bereich der Wirtschaft erforderte eine Umstrukturierung bei der BfDI. Im nicht-öffentlichen Bereich bearbeiten bei den LfD etwa 450 Mitarbeitende jedes Jahr ca. 70.000 Beschwerden, Hinweise und Beratungsanfragen. Da diese Landesstellen nicht zur BfDI verschoben werden können, müsste der Bund diese Stellen neu schaffen.

Gewaltenteilung und Freiheitsschutz

Die Datenschutzbehörden sind unabhängige Vertreter der Freiheitsrechte der Bürgerinnen und Bürger. LfD sind in ihrem Zusammenwirken eine Garantie dafür, dass dieser Schutz der Grundrechte nicht durch die Einflussnahme auf eine einzige Behörde ausgehebelt werden kann. Förderale Strukturen ermöglichen Partizipation, Nachvollziehbarkeit, Machtausgleich und vor allen Dingen Qualitätssicherung und Best Practice in der gemeinsamen Abstimmung unter den Aufsichtsbehörden.

Bessere Bedingungen der Abstimmung

Eine verbesserte Abstimmung der Aufsichtsbehörden für einheitliche Datenschutzpraktiken ist notwendig. Sie kann erreicht werden, ohne auf die Vorteile der bestehenden föderalen Aufsichtsstruktur zu verzichten. Die Aufsichtsbehörden sind bereit, hierzu weitere Anstrengungen zu unternehmen. Die positive Entwicklung der DSK sollte wohlwollend wahrgenommen und weiterhin unterstützt und nicht durch falsche Erzählungen und voreilige Schlussfolgerungen unterlaufen werden. Die Verbesserung ihrer Zusammenarbeit ist durch geeignete gesetzliche Rahmensetzungen zu fördern. So sollte die Institutionalisierung der DSK, ihre Zielsetzung, die Möglichkeit verbindlicher Entscheidungen und ihre Ausstattung mit einer Geschäftsstelle ins BDSG aufgenommen werden. Gesetzliche Regelungen könnten eine Entbürokratisierung des Datenschutzrechts unterstützen, indem sie zB Schwerpunktsetzungen, federführendes oder arbeitsteiliges Vorgehen und zentrale Abwicklungen von Meldungen, das Erstellen von verbindlichen Prüfkriterien und harmonisierte Prüfungen ermöglichen.

Anzeigen:

 

beck-online DatenschutzR

Teilen:

Menü