Antonia Buchmann ist Leiterin des Bereichs Sicherheit, Justiz und Europa beim Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz in Mainz.
ZD-Aktuell 2026, 01137 Anlässlich seines 10-jährigen Dienstjubiläums lud der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Prof. Dr. Dieter Kugelmann am 10.10.2025 Kolleginnen und Kollegen sowie Wegbegleiter aus der Aufsicht und der Wissenschaft ein, um in drei spannenden Panels den Datenschutz im Wandel gemeinsam zu beleuchten.
Im Vordergrund der von Prof. Dr. Kugelmann konzipierten Veranstaltung standen zehn Jahre Entwicklung von Digitalisierung und Datenschutzrecht. Dabei konzentrierte er sich auf drei Schwerpunkte seiner wissenschaftlichen als auch aufsichtlichen Praxis: Sicherheit im digitalen Wandel, die europäische Harmonisierung des Datenschutzes sowie Aufsicht und Durchsetzung des Datenschutzrechts auch im Zeichen der EU-Digitalrechtsakte.
1. Sicherheit und Grundrechtsschutz in der digitalen Welt
Das erste Panel behandelt das Thema Sicherheit in der digitalen Welt. Die Sicherheitsbehörden müssen mit effektiven Befugnissen ausgestattet sein, um neuen Kriminalitätsphänomenen entgegentreten zu können. Die Freiheitsrechte der Bürgerinnen und Bürger müssen dabei jedoch gleichermaßen gewahrt bleiben. Dieses Spannungsfeld zwischen Sicherheit und Freiheit diskutierte Prof. Dr. Bettina Schöndorf-Haubold, Professorin für Öffentliches Recht an der Justus-Liebig-Universität Gießen, mit dem Präsidenten des Landeskriminalamts Rheinland-Pfalz, Mario Germano, sowie Prof. Dr. Matthias Bäcker, Stiftungsprofessor für Öffentliches Recht und Informationsrecht, insb. Datenschutzrecht an der Johannes-Gutenberg-Universität Mainz.
Dabei wurden zunächst die informations- und datenschutzrechtlichen Perspektiven des Sicherheitsrechts unter Berücksichtigung des technischen Wandels der letzten zehn Jahre beleuchtet, um nachfolgend die rechtlichen und praktischen Perspektiven einer zukunftsgewandten und gleichzeitig rechtssicheren Arbeit der Sicherheitsbehörden zu diskutieren. „Lässt sich eine Symbiose zwischen Sicherheitsverfassungs- und Datenschutzrecht und der effektiven Polizeiarbeit der Sicherheitsbehörden ausmachen?“, fragte dazu Schöndorf-Haubold.
Der technische Wandel beeinflusste sowohl die Polizeiarbeit als auch die Kriminalitätsphänomene in den vergangenen Jahren maßgeblich. Die Polizeiarbeit unterlag ganz unterschiedlichen technischen Herausforderungen. Germano erinnerte sich daran zurück, dass verdeckte Maßnahmen, wie Telekommunikationsüberwachungen von Mobiltelefonen, in der Vergangenheit eine „technische Herausforderung“ darstellten. Mit der Entwicklung des Internets habe sich Kriminalität maßgeblich gewandelt. Nunmehr seien andere Kommunikationsformen in bestimmten Phänomenbereichen relevant, die auch einer anderen ermittlungstechnischen Aufarbeitung bedürften; zB die Nutzung von Deepfakes und Künstlicher Intelligenz im Bereich des Callcenter-Betrugs. Zudem seien in den vergangenen Jahren hybride Bedrohungen aus dem Bereich der Cyberkriminalität hinzugetreten, um etwa Sabotageakte zu begehen und die kriminale Infrastruktur zu destabilisieren. Nicht unterschätzen dürfe man dabei die Datenmengen, die aufkommen und der Untersuchung der Polizei unterliegen. Die Folgen seien mehrschichtig; das Kriminalitätsvolumen steige an, sodass auch mehr Ressourcen zur Aufklärung und Prävention erforderlich seien und die zur Verfügung stehenden Ermittlungsbefugnisse an ihre Grenzen kämen.
Das Recht habe sich entsprechend fortentwickelt, führte Bäcker aus. Früher habe sich das Polizeirecht stark an den Kriminalitätsformen und Bedrohungslagen, zB organisierte Kriminalität, orientiert. Ein einschränkendes Element stellte dabei allein der Verhältnismäßigkeitsgrundsatz dar. Überbordende Grundrechtseingriffe seien vom BVerfG in entsprechenden Entscheidungen konstruktiv korrigiert worden. Durch die Berücksichtigung der Rspr. des BVerfG und des EuGH seien dabei komplexe und teilweise verkomplizierte Gesetzestexte entstanden, die kleinteilig rechtstaatliche Sicherungen enthalten, um eingriffsintensive Maßnahmen zu ermöglichen, fasste Bäcker die Entwicklungen zusammen.
Eine Lösung könnte darstellen, ein gesundes Mittelmaß an Anleitung, Direktion und Flexibilität für die Bedürfnisse der Sicherheitsbehörden zu finden. Um der verdichteten und verkomplizierten Regelungslage Herr zu werden, schlug Bäcker vor, eine Konsolidierung des Rechts einzuleiten, von Neuerungen abzusehen und den Bestand an Regelungen aufzuarbeiten. So könne extrapoliert werden, welche aus der Praxis bergründeten Bedürfnisse aus dem bestehenden Bestand befriedigt werden können.
Diesen Gedanken spiegelte Schöndorf-Haubold mit der Praxis. Sie fragte Germano, ob gute rechtliche Lösungen für die polizeiliche Arbeit bestünden oder ob die Sicherheitsbehörden automatisch „immer mehr“ wollten. Dazu stellte Germano klar: „Die Polizei will nicht immer mehr, die Polizei bekommt teilweise immer mehr Daten, mit denen wir umgehen müssen.“ Zudem bestehe eine Erwartungshaltung der Gesellschaft und der Politik, was die Felder Gefahrenabwehr und Sicherheit betreffe – fast schon hin zum Predictive Policing. Die Grenzen zwischen Repression und Gefahrenabwehr würden dabei erodieren, weil es Aufgabe der Polizei sei, Straftaten zu verhüten und in diesem Zusammenhang „vor die Lage“ zu kommen und die Gefahr frühzeitig zu erkennen, um sie abzuwenden. Digitales Agieren von Täterinnen und Tätern hinterlasse auch digitale Spuren und digitale Beweismittel – diesen Ansprüchen könne man mit digitalen Hilfsmitteln gerecht werden. Dabei müsse abgewogen werden, wie viel Freiheit aufgegeben werden könne, um die geforderte Sicherheit zu erreichen. Für das Austarieren sollte man im Dialog bleiben mit Gesellschaft und Gesetzgeber, damit Bedarfe erkannt und Lösungen geschaffen werden. Eine wichtige Rolle spielen dabei Verfahrenssicherungen und Verfahrensvorkehrungen, auch wenn diese zu den kleinteiligen Regelungskonstrukten führen, die Bäcker kritisiert hatte. Am Beispiel des im Jahr 2025 eingeführten § 65a POG Mario Germano jedoch aus, dass die detaillierte und mit hohen Eingriffsschwellen, Prüfungs- und Einzelfallvorbehalten und anderen Verfahrenssicherungen ausgestattete Regelung nicht etwa ein Korsett darstelle, sondern sicherstelle, dass der Einsatz in einem verfassungsrechtlich tragbaren Rahmen bleibe. Die Fortentwicklung des Rechts sei dabei ein fortwährender Prozess, der dem technischen und phänomenbezogenen Wandel Rechnung trage und gleichzeitig verhältnismäßige Regelungen schaffe.
Für Schöndorf-Haubold stellte sich dazu die Frage: „Ist eine Vereinfachung des Rechts angesichts der praktischen Erfordernisse möglich?“ Passen die bekannten rechtsstaatlichen Mechanismen und Beschränkungen zu den Möglichkeiten, die Analyse- und KI-Tools den Sicherheitsbehörden bieten? Für Bäcker knüpft dieses Themenfeld an eine „schmerzhafte“ Leerstelle der Diskussion und Rechtsentwicklung im Sicherheitsrecht an: Die nachgelagerte Informationsordnung. Bei der Fortentwicklung des Sicherheitsinformationsrechts seien der Anknüpfungspunkt und auch Entscheidungsgegenstand des BVerfG und damit auch die dogmatischen Folgen immer an Datenerhebungsbefugnissen ausgerichtet. Die Frage, wie die Polizei mit den Daten umgeht, die sie gewonnen hat – das sog. „polizeiliche Gedächtnis“ –, sei bislang nur in wenigen Entscheidungen des BVerfG behandelt worden. Auch die Regelungslage sei in diesem Zusammenhang unterkomplex. Fragen zur Auswertung von Informationen und darauf aufbauende prädiktive Entscheidungen sollten auf Basis einer klaren und einheitlichen Informationsordnung beantwortet werden.
Welches Potenzial in der Integration von Künstlicher Intelligenz und Algorithmen in der polizeilichen Arbeit steckt, skizzierte Germano anhand von polizeilichen Forschungsprojekten und insb. der sog. Datenintegrationsplattform. Auf dieser sollen Daten aus verschiedenen Quellen auf Verknüpfungen hin analysiert werden können – eine Aufgabe, die per se auch Ermittlungsbeamtinnen und -beamte erfüllen könnten, allerdings nicht in derselben Geschwindigkeit. Menschliche Entscheidungen sollten nicht ersetzt, sondern assistierend vorbereitet werden. Gefahrenvorhersagen mittels sog. „Heatmaps“ müssten nicht personenbezogen erfolgen, sondern lokalisierend iSe Häufigkeitsprognose. Dabei sei die Nachvollziehbarkeit des Algorithmus und die Erklärbarkeit der vorbereiteten Entscheidung wichtig, auch um Bias und Diskriminierungen zu vermeiden. Dies könne man mit eigenen polizeilichen Entwicklungen und durch Auswahl der Testdatensätze steuern.
Abschließend fragte Schöndorf-Haubold: „Was würden Sie sich für das Zusammenspiel von Praxis, Rechtsetzung, Politik, Wissenschaft und Gesellschaft wünschen?“ Dr. Bäcker bezog sich in seiner Antwort auf eine Sensibilität dafür, dass gute Polizeiarbeit nicht für selbstverständlich genommen werde, sondern es eine fortlaufende Aufgabe von Polizei, Politik und Recht bleiben solle, diesen Zustand so zu erhalten. Dazu zähle auch, etwaiges Missbrauchspotenzial durch andere Regime und politische Veränderung zu erkennen und in diesem Zusammenhang Grenzen einzuziehen. Germano machte deutlich, dass Sicherheit und Datenschutz zusammengehören: Er nannte „Schutz und Sicherheit für alle Bürgerinnen und Bürger und Schutz und Sicherheit für die Daten und Persönlichkeitsrechte“.
2. „Auswirkungen der DS-GVO“
10 Jahre ist es her, dass die DS-GVO in ihren letzten Zügen politisch verhandelt wurde. Die Datenschutzaufsichtsbehörden stellten sich auf, um die Verantwortlichen und betroffenen Personen zu den Neuerungen und den erwarteten „Umbruch“ im Datenschutzrecht zu informieren und zu beraten. Das zweite Panel zum Thema „Auswirkungen der DS-GVO“ griff dieses Momentum auf. Darin erörterten Dr. h.c. Marit Hansen, Landesbeauftragte für Datenschutz und für Informationszugang Schleswig-Holstein, Thomas Zerdick, Head of Unit Supervision and Enforcement beim Europäischen Datenschutzbeauftragten, und Prof. Dr. Alexander Roßnagel, Hessischer Beauftragter für Datenschutz und Informationsfreiheit, die europäische Perspektive des Datenschutzrechts.
Einführend erläuterte Roßnagel, dass der erste Entwurf eines einheitlichen, verbindlichen Gesetzes zur europäischen Datenschutzharmonisierung bereits 2012 von der Kommission eingebracht wurde, 2016 in Kraft getreten und 2018 wirksam geworden sei. Handele es sich also um ein „altes Gesetz? Hat die DS-GVO technisch den Anschluss verloren? Oder sind es zeitlose Regeln und Pflichten für Verantwortliche? Kann die Verordnung erreichen und erzielen, was sie sich vorgenommen hat?“ Dieses Spannungsfeld wolle er in dem Panel beleuchten.
Zerdick rief noch einmal die mit der DS-GVO verbundenen Ziele in Erinnerung: Ein europäischer Datenschutz, „der zur Wirklichkeit einer vernetzten, globalen und datengestützten Wirklichkeit“ passt. Ein Paradigmenwechsel durch die Stärkung der Rechte der Bürgerinnen und Bürger, durch die Harmonisierung im EU-Binnenmarkt und die Schaffung von Vertrauen für eine digitale Gesellschaft. „Die Menschen sollten wieder die Kontrolle über ihre personenbezogenen Daten erhalten und nicht in der Hinsicht dem Staat oder Unternehmen ausgeliefert sein.“ Die Unternehmen sollten in dem europäischen Binnenmarkt durch eine einheitliche Regelung Rechtssicherheit bekommen. Dies sei zudem verbunden gewesen mit der Hoffnung des sog. Brussels Effect, darauf also, dass die DS-GVO als erster europäischer Digitalrechtsakt als europäisches Markenzeichen und Vorbild für andere Staaten fungiere. Beim Schutz der Würde des Menschen im digitalen Raum habe die DS-GVO als Referenzmodell für andere Drittstaaten gedient. Immer schon als eine Herausforderung sei dabei die föderale Aufsichtsstruktur erkannt worden, aber der dezentrale Ansatz wurde verfolgt, denn: „Zum Datenschutz brauchen wir einen dezentralen Ansatz, denn zum Datenschutz braucht man Bürgernähe“, stellte Zerdick klar.
Für Roßnagel stellte sich dabei die Frage, ob der Geburtsfehler, der zu unterschiedlichen Auffassungen und deswegen erforderlichen Abstimmungs- und Kohärenzverfahren geführt habe, nicht die Gesetzestechnik der sehr allgemeinen und unspezifischen Regelungen und Grundprinzipien gewesen sei, die branchen- und technikübergreifend gelten sollten. Nach Zerdick sei es das Ziel gewesen, Grundprinzipien festzulegen, aus denen sich Recht und Lösungen fortentwickeln. Diese Dogmatik werde dem Umstand gerecht, dass es sich bei der DS-GVO um ein grundrechtsbasiertes Recht handele. In der gesellschaftlichen Resonanz habe sich allerdings gezeigt, dass die Veranschaulichung für die Bürgerinnen und Bürger nicht geglückt sei.
Der in der DS-GVO nur punktuell geregelte risikoorientierte Ansatz reichte für Roßnagel noch nicht weit genug, da zB die Grundprinzipien und Erlaubnistatbestände unabhängig des Risikos gelten würden. Ist die fehlende Differenzierung der Grund dafür, dass die DS-GVO als zu aufwändig und bürokratisch wahrgenommen werde? Nach Ansicht von Zerdick sei der DS-GVO ein ausreichender risikobasierter Ansatz zuzuschreiben. Da es sich um ein Regelungswerk handele, das Grundrechtschutz im alltäglichen Leben durchsetzen soll, sei es nicht möglich, Bereiche aus dem Anwendungsbereich herauszunehmen.
Hat sich die DS-GVO denn technisch bewährt? Die DS-GVO sei bewusst technikoffen gestaltet, damit sie technische Neuerungen als Regelungswerk standhalten könne und damit nachhaltig sei. Das Abstraktionslevel im Hinblick auf die Grundprinzipien und Betroffenenrechte, die Risikoabschätzung und Verhältnismäßigkeit sei dazu grundsätzlich geeignet, führt die Informatikerin Hansen an. Als problematisch erkennt sie dabei, dass der gestalterische Aspekt des Datenschutzes dazu führe, dass insb. globale Player es vorzogen, nicht datenschutzkonforme Geschäftsmodelle weiter zu betreiben – ohne die Grundsätze der DS-GVO angemessen zu berücksichtigen. Dies habe als schlechtes Vorbild für kleinere Unternehmen gedient. Standardisierungen von Datenschutzanforderungen und Selbstregulierungen hätten sich in vielen Branchen wenig durchgesetzt.
Mit Spannung sehe sie dem Zusammenwirken der DS-GVO mit anderen EU-Digitalrechtsakten entgegen. Synergien etwa im Falle des Cyberresilience Acts als Produktsicherheitsrecht könnten auch zu einer Stärkung des Datenschutzrechts führen, zB iRd Nutzerinformationen. Hier seien u.a. die Hersteller Adressaten der Pflichten; fehlende Herstellerhaftung sei ein Makel der DS-GVO, den Hansen weiterhin bedauere. Generell sei der Start der DS-GVO auch von den Datenschutzaufsichtsbehörden verstolpert worden. Themen wie Zertifizierungen, Verhaltensregelungen und andere echte Neuerungen wurden verspätet angegangen und man habe sich auf bekannte, auf der Datenschutzrichtlinie aufbauende Interpretationen gestützt. Aber es sei noch nicht zu spät: „Ich wünsche mir, dass es endlich losgeht“, resümiert Hansen.
„Wenn man Grundrechte in einer technisch geprägten Welt schützen will, dann muss man Technik gestalten.“ Vor diesem Hintergrund sollte der Art. 25 DS-GVO – Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen – nach Ansicht von Roßnagel eine größere Rolle in der Datenschutzpraxis spielen. Die Herausforderung für Hansen besteht darin, dass die Probleme in der Praxis und technischen Gestaltungsmöglichkeiten weit vorgelagert seien. Die Hersteller stünden dabei aber, wie zuvor skizziert, nach der DS-GVO nicht in der Pflicht. In diesem Zusammenhang gebe es ein erhebliches Entwicklungspotenzial. Hansen vernehme dabei jedoch auch, dass der Komplex der technischen Datenschutzgestaltung durch das Zusammenspiel von Rechtsakten insb. des Produktsicherheitsrechts oder des Europäischen Gesundheitsdatenraumes einen „Drive“ erfahre.
Orientiert an Fragen aus dem Auditorium diskutierten die Panelisten zum Schluss die Frage der Harmonisierungsbestrebungen der DS-GVO vor dem Hintergrund nationaler und europäischer föderaler Aufsichtsstrukturen. Zerdick betonte, dass es wichtig sei, dass die Bürgerinnen und Bürger vor Ort Ansprechpartner hätten, die ihre Grundrechte durchsetzten. Erforderlich sei es dabei aber, dass die Aufsichtsbehörden mit einem guten, effizienten Ergebnis zusammenarbeiteten. Hansen ergänzte, dass die bestehende Vielfalt der Schwerpunkte und der fachliche „Flavour“ der Aufsichtsbehörden dann vorteilhaft seien, wenn man voneinander lernen könne; „dass man von den einzelnen Spezialistinnen und Spezialisten insgesamt profitiert“. Dies griff einen strategischen Ansatz auf, der auch bei der Fortentwicklung der Datenschutzkonferenz iRd Arbeitskreises DSK 2.0 diskutiert wird.
Als Erfolgsgeschichte der DS-GVO wurde auf Nachfrage des Auditoriums der klare und krisenfeste Umgang mit Daten in der Covid Pandemie benannt. Zerdick rief in Erinnerung, dass Europa durch den klaren Rechtsrahmen schnell handlungsfähig war. In diesem Zusammenhang lobte Hansen auch die großen Plattformunternehmen, die dazu beigetragen hätten, dass iRv Covid-Apps mit wenig Datenmaterial Näheabgleiche von Bürgerinnen und Bürger vorgenommen werden konnten und damit datenminimierend ein Beitrag zum Schutz der Bevölkerung geleistet werden konnte.
Den Schutz der Bürgerinnen und Bürger, der ein erklärtes Ziel der DS-GVO ist, griff auch Roßnagel in seinen Abschlussworten auf. Zu der Frage des Fortgangs der DS-GVO zitierte er einen Kollegen der italienischen Aufsichtsbehörde, Guido Scorza: „Wir müssen die Bürger dazu bringen, ihre Grundrechte zu lieben.“
3. „Die Durchsetzung des Datenschutzrechts und seine künftige Entwicklung“
Die Datenschutzkonferenz beschäftigt sich iRd Arbeitskreis DSK 2.0 bereits seit mehreren Jahren mit Fragen zur effektiven Zusammenarbeit und strategischen Aufstellung der Datenschutzaufsichtsbehörden. Dabei wurden bislang nicht nur die internen Kooperationsmechanismen der Datenschutzkonferenz optimiert, sondern es werden auch die weiteren Aufsichtsstrukturen und -akteure, die durch die Europäische Digitalgesetzgebung hinzutreten, in den Blick genommen. Ziel ist es, dass trotz der Vielfalt an Strukturen und – zum Teil – an Auffassungen eine effektive Durchsetzung des Datenschutzrechts durch die Aufsichtsbehörden gewahrt bleibt.
Im dritten und abschließenden Panel diskutierte Michael Will, Präsident des Bayerischen Landesamts für Datenschutzaufsicht, mit Prof. Dr. Indra Spiecker genannt Döhmann, Lehrstuhlinhaberin und Professorin für das Recht der Digitalisierung an der Universität zu Köln, und Prof. Dr. David Roth-Isigkeit, Lehrstuhlinhaber und Professor für Öffentliches Recht, insb. Recht der Digitalisierung an der Deutschen Universität für Verwaltungswissenschaften Speyer, über „Die Durchsetzung des Datenschutzrechts und seine künftige Entwicklung“. Die Aufsichtspraxis der deutschen Datenschutzbehörden wurde dabei ebenso in den Blick genommen wie die Frage, in welcher Weise sich die Wirksamkeit des Datenschutzrechts wissenschaftlich messen lässt.
Zu Beginn griff Will die jüngste FORSA-Umfrage der Bundesbeauftragten auf, die u.a. zum Ergebnis kam, dass die Erwartungen der Bürgerinnen und Bürger an den Datenschutz überwiegend unerfüllt geblieben seien. Dabei stelle sich die Frage, was genau der Maßstab der Wissenschaft an eine erfolgreiche Rechtsdurchsetzung sei. Laut Spiecker gen. Döhmann sei es ein gängiger rechtswissenschaftlicher Weg zu schauen, welche Instrumente und Mechanismen es gebe und wie wirkmächtig diese seien. „Je mehr sich über eine Regulierung beschwert wird, umso eher kann man sagen, demnach scheint sie zu greifen.“ Die durch die DS-GVO verursachte stärkere Durchsetzungskraft durch eine mit stärkeren Befugnissen ausgestattete Aufsicht sei für die Verantwortlichen schmerzhaft spürbar – für Bürgerinnen und Bürger eher nicht. Diesbezüglich führte sie das sog. „Privacy Paradoxum“ an. Grundsätzlich sei es den Bürgerinnen und Bürgern wichtig, dass ihre Daten geschützt werden, trotzdem würden sie Dienste in Anspruch nehmen und dabei erhebliche Datenspuren hinterlassen, „weil es alternativlos scheint“. Dies liege nicht zuletzt an unzureichend berücksichtigtem „Privacy by Design“, womit Spiecker gen. Döhmann auf die Diskussion im zweiten Panel verwies.
Roth-Isigkeit beleuchtete demgegenüber die institutionelle Seite: Sind die Datenschutzaufsichtsbehörden genügend ausgestattet, um gute Rechtsdurchsetzung zu leisten? Aus seiner Praxis könne er dabei die Auffassung der Ministerien wiedergeben: „Es gibt zwei Institutionen, die ihren Job richtig gut machen. Das sind die Datenschutzaufsichtsbehörden und das Bundesverfassungsgericht.“ Die Aufgabe guter Durchsetzung sei es aber nicht, sich nur an den positivrechtlichen Normen zu orientieren und den engmaschigen Rechtsrahmen durchzusetzen. Auch die grundrechtliche Situation müsse beachtet und reflektiert werden, wie sich in der Praxis gewisse „Pole“ verändert haben könnten.
„Welche Rolle für die Durchsetzungskraft spielen in diesem Zusammenhang Bußgelder der Datenschutzaufsichtsbehörden?“, fragte Will, der als Präsident der Aufsicht über den privatwirtschaftlichen Bereich in Bayern den Eindruck habe, der Erfolg der Aufsicht werde häufig ausschließlich anhand der Arbeiten der Bußgeldstelle der Aufsichtsbehörden gemessen. Spiecker gen. Döhmann griff in ihrer Antwort auf die im Volkszählungsurteil von 1983 zum informationellen Selbstbestimmungsrecht ausgeformte Dogmatik zurück: Eine dogmatische Besonderheit des Datenschutzgrundrechts sei die Konkretisierung der Schutzpflichtenlehre dahingehend, dass es nicht reicht, den Einzelnen mit Rechten auszustatten, sondern dass es eine institutionelle Absicherung durch die Datenschutzaufsichtsbehörden brauche. Ein Instrument stelle die Verhängung von Geldbußen dar. Die Verfahren richteten sich ihrer wissenschaftlichen Untersuchung nach vielerorts allerdings gegen die „Big Player“ und gegen schwerwiegende Fälle. Die „low hanging fruits“ würden weit weniger häufig geerntet. Will führte diese Feststellung mit der aufsichtlichen Perspektive zusammen: Dies folge einem risikobasierten Ansatz mit dem Ziel, zunächst den schwerwiegenden Datenschutzverstößen abzuhelfen und diese zu sanktionieren, bevor die knappen Ressourcen weniger invasiven Datenschutzverstößen zugeführt würden.
Will stellte dazu auch in diesem Panel die DS-GVO auf den Prüfstand: Gehen die Aufsichtsbehörden mit den praktischen Bedingungen der Grundrechtsausübung – etwa im Hinblick auf Unternehmen, die zu groß seien, um reguliert zu werden („too big to regulate“) – richtig um oder gebe es in der Hinsicht systemische Mängel der DS-GVO? Für Roth-Isigkeit stellt weniger die bewährte DS-GVO mit ihrem komplexen, dabei jedoch klaren Aufsichtsregime eine Herausforderung dar, sondern die durch die weiteren Digitalrechtsakte hinzutretenden Aufsichtsstrukturen, die in weiten Teilen noch ungeklärt sind und bei denen sich spannende Fragen des Zusammenspiels stellen werden, auch für die beaufsichtigten Stellen. Bedeutsam werden dabei Abstimmungsmechanismen zwischen unterschiedlichen unabhängigen Aufsichtsbehörden, die auch Auswirkungen auf das angewandte materielle Recht haben könnten. Für die Datenschutzaufsichtsbehörden werde dies bedeuten, dass funktionierendes Recht und eine funktionierende Aufsicht konfrontiert werde mit einer Masse von Regulierung, die in Einklang mit dem Datenschutzrecht gebracht werden müsse. Dazu brauchen die Datenschutzaufsichtsbehörden laut Roth-Isigkeit neue Strategien.
Spiecker gen. Döhmann ergänzte, dass auch in dem Geflecht von unterschiedlichen Regulierungsrechtsakten, die verschiedenen Regimen folgen, der „Vollzug des Vollzugs“ nicht mitgedacht wurde sowie der Rechtsschutz der Individuen. Wenn Aufsichtsbehörden keine grundrechtsschützende, weil Individuen unterstützende Funktion mehr hätten, bestehe die Gefahr, dass sie zu „politisch steuerbaren Regulierungsinstrumenten“ werden.
Hinsichtlich der Zusammenarbeit mit dem Bundeskartellamt bestünden schon erste Erfahrungswerte der Datenschutzaufsichtsbehörden, die für weitere Kooperations- und Koordinationsmechanismen genutzt werden könnten. Auch das deutsche Verwaltungsrecht kenne Verfahren, in denen unterschiedliche Rechtsrahmen und Interessen verschiedener Akteure berücksichtigt würden – als Beispiel führte Will das Planfeststellungsverfahren an, das kontrovers von den Diskutierenden bewertet wird. Eine Lösung könnte nach Roth-Isigkeit ein koordiniertes Abstimmungsverfahren sein, der politische Wind gehe aber in eine andere, zentralisierende Richtung. Dies würden die Pläne der Bundesregierung im Zusammenhang mit der Überwachung über die KI-Verordnung zeigen, die vollends der Bundesnetzagentur übertragen werden soll, auch in den hoheitlichen Bereichen der Justiz und Polizei.
Damit schnitt Will das kontroverse Thema der Vereinfachung des Datenschutzes durch Bündelung der Aufsicht an, wie es iRd Koalitionsvertrags von der Bundesregierung skizziert ist. „Funktioniert das denn, dass wir eine allein zuständige Behörde haben werden, ohne dass innerstaatliche Abstimmungen erfolgen müssen?“ Laut Spiecker gen. Döhmann wäre dies „mit einem Federstrich“ durch den Verfassungsgesetzgeber – nicht mittels einfachen Rechts – möglich und sie würde auch eine festere Verankerung des Datenschutzes und der Digitalisierung im Grundgesetz befürworten. Die Frage sei aber, ob eine starke Aufsicht überhaupt politisch gewollt sei, denn die Tendenzen gingen eher dahin, eine starke Regulierung mit einem schwachen Vollzug zu kombinieren. Damit verliere das Regulierungsregime seine Kraft. Durch die in der DS-GVO eingezogenen Kohärenzmechanismen seien in der DS-GVO diesbezüglich Grenzen gesetzt. Die neuen Digitalrechtsakte kennen aber keine solchen Mechanismen – es gibt zwar die Gremien, aber keine entsprechenden Verfahren.
Ein weiterer Lösungsansatz könnten Gremien sein, in denen die unterschiedlichen Akteure vertreten sind und Abstimmungen erfolgen können – wäre das möglich oder stehe dem das Verbot der Mischverwaltung entgegen? Spiecker gen. Döhmann erläuterte, dass das Verbot der Mischverwaltung die Länder davor schützen sollte, dass der Bund überbordend in deren Kompetenzbereiche eingreife. Wenn dagegen die Institutionalisierung der Datenschutzkonferenz und die Verrechtlichung und Verbindlichkeit einer Kooperation der Datenschutzaufsichtsbehörden geregelt seien, würden die Länder gemeinsam mit dem Bund gestärkt. Insofern würde die Intention des Verbots nicht greifen. In dem Moment, wo durch Verbindlichkeit Souveränität beschnitten werde, müsse der Verfassungsgesetzgeber jedoch zunächst die Voraussetzungen dafür schaffen. Damit bestünden die Grundvoraussetzungen für ein „deutsches Board mit Ländern“, hielt Will fest. Dieses müsse dann aber mit einer guten Governance ausgestattet werden, die dafür Sorge trage, dass die relevanten Akteure zusammenwirkten und dazu auch mit ausreichenden Ressourcen ausgestattet seien.
Der Vollzug sollte dabei über die europäische Ebene harmonisiert und gebündelt werden, betonte Roth-Isigkeit. Auch deswegen, weil der Mitgliedstaat in vielen Rechtsakten eher die Rolle eines Akteurs als die eines Regulators einnehme. Diesbezüglich sollte laut Spiecker gen. Döhmann jedoch die geopolitische Dimension mitgedacht werden. Die Europäische Union habe im Zusammenhang mit der Digitalisierung einerseits eine enorme Marktmacht, andererseits dürfe der Vollzug nicht politisch verhandelbar sein, wie es bei dem Vollzug durch einen Akteur schneller möglich sei. „Wichtig ist es, Regelungen zu schaffen, die auch dann noch funktionieren, wenn sie böswillig eingesetzt werden“, so Spiecker gen. Döhmann.
4. Fazit und Ausblick
Die Tagung zeigte, dass wichtige Fragen des Datenschutzes, des Grundrechtsschutzes und der Digitalisierung von Aufsicht, Wissenschaft und Praxis in einem interdisziplinären Austausch gemeinsam diskutiert werden müssen, um zu nachhaltigen und durchdachten Lösungen zu gelangen. Datenschutz ist dabei als Schutz der Freiheitsrechte der Bürgerinnen und Bürger zu verstehen, der durch die Datenschutzaufsichtsbehörden institutionell abgesichert werden muss. Eine effektive Durchsetzung des Datenschutzes erfordert einen konstruktiven Austausch mit den Verantwortlichen, um den freien Datenverkehr im europäischen Binnenmarkt und damit die Rechtssicherheit der Verantwortlichen zu garantieren. Die DS-GVO hat dazu einen wertvollen Beitrag geleistet; der Rechtsrahmen lässt sich jedoch noch weiterentwickeln. Eine vielfältige Aufsichtsstruktur ist dabei als Ressource zu begreifen, wenn gute Abstimmungs- und Kooperationsmechanismen etabliert werden. Dieser bereits in Deutschland durch die Datenschutzkonferenz praktizierte Gedanke muss jetzt in das neue Geflecht von Digitalrechtsakten und Aufsichtsstrukturen überführt werden. Da in den kommenden Jahren sowohl auf gesetzgeberischer als auch auf institutioneller Ebene entscheidende Weichen gestellt werden, ist ein fortgesetzter, offener und perspektivenreicher Diskurs von zentraler Bedeutung für eine zukunftsfähige Fortentwicklung des Datenschutz- und Digitalisierungsrechts.