}

DS-GVO - Braucht es eine Neuorganisation der Datenschutzaufsicht?

Überlegungen zu möglichen Veränderungen

Von Barbara Thiel, Landesbeauftragte für den Datenschutz Niedersachsen

 

Im November werden die Wirtschaftsminister der Länder erneut über einen Beschlussvorschlag beraten, den das Land Niedersachsen bereits im April d. J. eingebracht hat. Darin wird die Bundesregierung aufgefordert, „die Handlungsempfehlung der Datenethikkommission, die Datenschutzaufsicht für den Markt zu vereinheitlichen, umzusetzen“ (Protokoll der Wirtschaftsministerkonferenz am 25./26. Juni 2020 in Bremen, TOP 17 Vereinheitlichung der Datenschutzaufsicht für den Markt, Beschlussvorschlag des Landes Niedersachsen, S. 1.). Begründet wird der Antrag mit der auch von der im Jahr 2018 durch die Bundesregierung eingesetzten Datenethikkommission (DEK) geäußerten These, dass „in der in Einzelfragen abweichenden Auslegung von datenschutzrechtlichen Anforderungen und der divergierenden Vollzugspraxis eine zusätzliche Belastung deutscher Unternehmen im ohnehin anspruchsvollen Bereich der Datenschutz-Compliance“ gesehen werde (a.a.O.). Konkrete Beispiele für die behauptete Uneinheitlichkeit unter den deutschen Datenschutzaufsichtsbehörden enthält der Beschlussvorschlag nicht.

 

Vereinheitlichungsbestrebungen

Für die vorgeschlagene Vereinheitlichung kommt neben einer Zentralisierung der Datenschutzaufsicht über den Markt beim Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) alternativ auch die Schaffung einer gemeinsamen Einrichtung der Länder qua Staatsvertrag in Betracht (Gutachten der Datenethikkommission, S. 103), vorausgesetzt, eine solche ist grundsätzlich verfassungsrechtlich zulässig. Eine Diskussion über diese Alternativen dürfte zum gegenwärtigen Zeitpunkt als nicht zielführend, zumindest aber als verfrüht zu betrachten sein. Erklärtes Ziel der Datenschutz-Grundverordnung (DS-GVO) war es, ein einheitliches Datenschutzrecht in ganz Europa zu etablieren. Hier stehen deshalb auch die deutschen Aufsichtsbehörden vor der besonderen Herausforderung, das nationale Recht mit den europäischen Regelungen in Einklang zu bringen und einhergehend damit das europäische Recht, das eine Vielzahl von Generalklauseln und unbestimmten Rechtsbegriffen enthält, für die Praxis handhabbar zu machen.

 

Hohe Expertise im Datenschutz in Deutschland

Diese neue Aufgabe der Rechtsgestaltung nehmen die deutschen Aufsichtsbehörden mit großer Verantwortung wahr. Die Pluralität der Rechtsmeinungen ist in diesem Zusammenhang als besonderer Vorteil zu werten, verfügt doch gerade Deutschland im Datenschutzrecht über eine lange Tradition und daraus resultierend über eine hohe Expertise. Zudem werden erst im Diskurs Streitpunkte sichtbar und können als solche einer abgewogenen Entscheidung zugeführt werden. Auch die Datenethikkommission verkennt in ihrem Gutachten nicht, dass bis zur Herausbildung einer einheitlichen Rechts- und damit auch einer einheitlichen Anwendungspraxis bei neuen Gesetzen, zumal von dieser Tragweite wie sie bei der DS-GVO festzustellen ist, immer „Jahre bis Jahrzehnte“ (a.a.O., S. 99) vergehen.

 

Forderung nach einheitlicher Anwendung des Datenschutzrechts

Bei der Anwendung und Auslegung der DS-GVO sieht die Datenethikkommission vor allem die Datenschutzkonferenz (DSK) in der Pflicht und betont, dass die Abstimmung unter den deutschen Datenschutzaufsichtsbehörden zu verstärken und zu formalisieren sei, um so eine einheitliche und kohärente Anwendung des Datenschutzrechts zu gewährleisten (a.a.O., S. 103). Dem ist uneingeschränkt zuzustimmen, und in den 2 ½ Jahren seit Geltung der DS-GVO hat die DSK nicht nur eine Vielzahl von Auslegungshilfen zur DS-GVO herausgegeben, sondern sie hat in ihrer Geschäftsordnung zugleich festgelegt, dass die rechtlichen Fragestellungen mit einfacher Mehrheit und nicht einvernehmlich zu entscheiden sind. Diese positive Entwicklung sollte aus meiner Sicht wohlwollend wahrgenommen und begleitet werden, denn auch die Datenethikkommission fordert eine Vereinheitlichung der Datenschutzaufsicht über die Wirtschaft durch eine neue Behördenstruktur erst dann, wenn die notwendige Abstimmung tatsächlich nicht gelingt.

 

Trotz föderaler Struktur mehr Einheitlichkeit

Die Aufsichtsbehörden von Bund und Ländern verstehen die Aussagen der DEK darüber hinaus als Aufforderung, Zusammenarbeit und Arbeitsweise innerhalb der DSK zu überdenken und ggf. grundlegend neu auszurichten. Sie sind bereit, diese Herausforderung anzunehmen und Lösungen zu entwickeln, mit denen unter Beibehaltung der föderalen Struktur mehr Einheitlichkeit erreicht werden kann. Das Ergebnis dieser Arbeit bleibt abzuwarten und sollte nicht voreilig organisatorischen Überlegungen der geschilderten Art geopfert werden.

 

Institutionalisierung der DSK vorantreiben

Es ist darüber hinaus an der Zeit, einen Ansatz weiterzuverfolgen, dem bislang zu wenig Beachtung geschenkt wurde. Der Zusammenschluss der deutschen Datenschutzbehörden in der DSK ist bislang lediglich informell, und so wird im niedersächsischen Beschlussvorschlag zutreffend festgestellt, dass für die DSK „keine Möglichkeit besteht, rechtlich verbindliche Beschlüsse zu fassen“ (Protokoll der Wirtschaftsministerkonferenz am 25./26. Juni 2020 in Bremen, TOP 17 Vereinheitlichung der Datenschutzaufsicht für den Markt, Beschlussvorschlag des Landes Niedersachsen, S. 3.). Diese Situation ist angesichts der Anforderungen der DS-GVO nicht mehr zeitgemäß. Die aktuelle Debatte sollte der Bundesgesetzgeber deshalb zum Anlass nehmen, eine Institutionalisierung der DSK voranzutreiben. Zugleich müssten in diesem Zusammenhang Regelungen geschaffen werden, die denen vergleichbar sind, die die DS-GVO für die europäischen Datenschutzaufsichtsbehörden im Kapitel VII getroffen hat. Danach besteht für diese eine Verpflichtung zur Zusammenarbeit und Mitwirkung an der einheitlichen Anwendung. Zugleich ist mit dem Europäischen Datenschutzausschuss eine Institution geschaffen worden, die die einheitliche Anwendung der DS-GVO sicherstellt und im Verfahren der Kohärenz abschließend und verbindlich zu entscheiden hat. Die aktuellen Regelungen der §§ 40 Abs. 2, 18 Abs. 2 des Bundesdatenschutzgesetzes sind hierfür nicht ausreichend, weil aus ihnen insbesondere eine Verpflichtung zur Zusammenarbeit nicht abgeleitet werden kann. Das, was auf der europäischen Ebene zu funktionieren scheint, sollte auch auf der nationalen Ebene nicht nur als Chance, sondern auch als Lösung für die Zukunft verstanden werden. Es bleibt zu hoffen, dass sich diese Einsicht auch beim Bundesgesetzgeber durchsetzt.

 

Über neuere Entwicklungen zum Thema Neuorganisation der Datenschutzaufsicht informiert Sie dieser Beitrag

Bleiben Sie immer aktuell

ZD • Zeitschrift für Datenschutz

ZD • Zeitschrift für Datenschutz

In Kooperation mit: bitkom e.V., BvD e.V., davit im DAV, eco e.V., VAUNET

sofort lieferbar!

ab 0,00 €

Auf die Merkliste setzen

Mehr zur DSGVO

Autoren

  • Rezensionen

    Dieses Set enthält folgende Produkte:
      Auch in folgendem Set erhältlich:
      • nach oben

        Ihre Daten werden geladen ...