Deutsche Datenschutzbehörden: Die Frage der Zentralisierung
Die Aufsicht über Unternehmen und öffentliche Stellen wird grundsätzlich durch die Datenschutzbeauftragten der einzelnen Bundesländer wahrgenommen. Auf Bundesebene beschränkt sich die zentrale Aufsicht durch den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) mit Sitz in Bonn auf die Aufsicht über den öffentlichen Sektor sowie über die privatwirtschaftlichen Unternehmen aus den Bereichen Telekommunikation und Post.
Die Herausforderung für Deutschland in einer sich schnell verändernden globalen Wirtschaft besteht daher darin, Rechtssicherheit zu schaffen – durch konsistente und einheitliche Grundsätze für die Umsetzung des Datenschutzrechts, die für inländische und internationale Unternehmen unterschiedslos gelten. Die Datenschutzbehörden in den einzelnen deutschen Bundesländern sind jedoch in ihrer Rechtsauslegung grundsätzlich frei.
Mit der Datenschutz-Grundverordnung (DSGVO) und der Schaffung des Europäischen Datenschutzausschusses (EDSA) wurde die Komplexität des deutschen Systems weiter erhöht. Der BfDI vertritt die 16 Bundesländer im EDSA derzeit allein. Zumindest theoretisch übt der BfDI diese Funktion in Zusammenarbeit mit einem vom Bundesrat ausgewählten Leiter einer Landesdatenschutzbehörde aus. Diese Position wurde jedoch bislang noch nicht besetzt.
Diskussion über Zentralisierung
Vor diesem Hintergrund lebte im November 2019 die schon länger schwelende Diskussion über eine Zentralisierung der deutschen Datenschutzlandschaft wieder auf, angestoßen durch einen Bericht des Ausschusses für Datenethik der Bundesregierung. Darin wurde – mit der Zustimmung der Datenschutzbeauftragten Marit Hansen (Datenschutzbehörde Schleswig-Holsteins) und des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit Ulrich Kelber – erneut eine solche Zenralisierung propagiert.
In der Folge wurden im Mai 2020 in Berlin gezielte Gespräche geführt, um Änderungen des Bundesdatenschutzgesetzes (BDSG) zu prüfen, mit denen die Aufsichtszuständigkeiten privatwirtschaftlicher Unternehmen dem BfDI unterstellt werden sollten. Die Landesdatenschutzbeauftragten, insbesondere aus Bayern und Baden-Württemberg, äußerten daraufhin Bedenken hinsichtlich der Praktikabilität und Rechtmäßigkeit einer solchen Umstrukturierung.
Nur in Deutschland dezentrale, sonst einheitliche und zentrale Datenschutzaufsicht
Wie eingangs geschildert, zeichnet sich das deutsche System der Datenschutzaufsicht durch teils unterschiedliche Rechtsauffassungen und demzufolge heterogene Durchsetzungsmaßnahmen in den verschiedenen Bundesländern aus. Insoweit stellt Deutschland in vielerlei Hinsicht ein Unikum innerhalb Europas dar, sind doch die anderen EU-Mitgliedstaaten durch eine einheitliche und zentrale Datenschutzaufsicht geprägt.
In einem kürzlich vom Berufsverband der Datenschutzbeauftragten Deutschlands e.V. (BvD) veranstalteten und von Datenschutz PRAXIS gesponserten Workshop zu dieser Frage sprach sich Ulrich Kelber nachdrücklich für eine einheitliche und zentrale Einheit aus, um eine einheitlichere Auslegung der DSGVO und der sonstigen Datenschutzregeln zu gewährleisten. Kelber war davon überzeugt, dass ein effektiver Datenschutz unter 17 einzelnen Behörden unmöglich sei.
Darüber hinaus stellte er fest, dass es von Vorteil sei, eine einheitliche europäische Aufsicht statt einer Vielzahl von Aufsichtsbehörden in den einzelnen EU-Mitgliedsstaaten zu installieren. Kelber begrüßte den Wettbewerb, der sich aus der föderalen Struktur in Deutschland ergebe. Der erleichterte zwar den Zugang zu lokalen Datenschutzbehörden, schwäche aber im Ergebnis die wirksame Durchsetzung eines effektiven Datenschutzes.
Um die föderale Struktur in Deutschland zu berücksichtigen, schlug Kelber die Einsetzung einer ständigen zentralen Aufsichtsbehörde in Berlin vor, unter Beibehaltung einer lokalen Präsenzenz in den Bundesländern. Ein entscheidende Herausforderung, vor der man aufgrund der bisherigen Zersplitterung stehe, sei es, die Datenschutzbehörden der Länder dazu zu bringen, sich auf eine gemeinsame Kommunikation oder Positionen zu verständigen.
Dabei lobte der BfDI die jüngste Einheit und Zusammenarbeit zwischen den Datenschutzbehörden in Bezug auf die deutsche COVID-19-App – die mit derzeit ca. 18 Millionen Downloads erfolgreicher zu sein scheint als entsprechende Apps in den übrigen EU-Ländern –, aber wies auch darauf hin, dass diese Errungenschaften seltene Erfolge seien. Sein Bekenntnis zu einem bundesweit einheitlichen Ansatz war klar, und er betonte, dass dieser dringend notwendig sei.
Industrie befürwortet zentralen Ansatz
Während des BvD-Workshops sprach auch Iris Plöger, Mitglied der Hauptgeschäftsführung des Bundesverbands der Deutschen Industrie. Plöger stellte – ähnlich wie Kelber – die Vorteile des föderalen System nicht in Abrede, kam aber zu dem Schluss, dass dieses für die Datenschutzpolitik kontraproduktiv sei.
Für ein effizientes Funktionieren der deutschen Wirtschaft sei ein einziger deutscher Datenschutzbeauftragter die optimale Lösung. Sie bezog sich auf den jüngsten Fall „Schrems II“, der die Industrie im Hinblick auf Datentransfers verwundbar gemacht habe und forderte einen einheitlichen und gemeinsamen Ansatz aller Landesdatenschutzbehörden, um Leitlinien zu erarbeiten. Uneinheitlichkeit und Rechtsunsicherheit würden als Bedrohung für das Wachstum und die Entwicklung der deutschen Wirtschaft angesehen.
Argumente der Befürworter der dezentralen Struktur
Doch die föderale Aufsichtsstruktur hat auch erhebliche Vorteile, wie ihre Befürworter, insbesondere ein Großteil der Leiter der Landesdatenschutzbehörden, unterstreichen. Sie trage zur differenzierten und verhältnismäßigen Auslegung der Datenschutzgesetze bei. Lokale Datenschutzbehörden seien wahrscheinlich auch agiler in ihrer Umsetzung, was zu schnellerer Rechtssicherheit führe. Vor allem hätten lokale Datenschutzbehörden den Vorteil der räumlichen Nähe – sowohl zu den Unternehmen und Verantwortlichen in ihrem Zuständigkeitsbereich als auch zu den betroffenen Personen.
In der Praxis sei dabei Folgendes zu beachten: Jede deutsche Datenschutzbehörde unterhält in der Regel eine recht enge, oft über Jahre hinweg aufgebaute Arbeitsbeziehung zu den großen Unternehmen in ihrem Zuständigkeitsbereich. Diese Nähe sorge sehr oft für eine reibungslose Zusammenarbeit und damit im Ergebnis für einen verbesserten Datenschutz. Aus geschäftlicher Sicht könne dies ein essentieller Vorteil sein.
Betrachtet man darüber hinaus die derzeitige dezentrale Struktur aus der Sicht eines Betroffenen, so ist es offensichtlich, dass es für eine lokale Behörde einfacher sei, auf etwaige Bedenken oder Beschwerden einzugehen. Daher habe ein dezentralisierter Ansatz auch im Hinblick auf die DS-GVO in einem Land von der Größe Deutschlands klare Vorteile.
Nach der Darstellung der Vor- und Nachteile des dezentralen sowie des zentralisierten Ansatzes stellte sich die Frage der Auswirkung auf die zukünftige Datenschutzpraxis, die in der sich anschließenden Diskussion jedoch nicht abschließend geklärt werden konnte.
Dabei ist zunächst zu bedenken, dass es sich insoweit in erster Linie um eine politische Frage handelt. Rein formell wären Bundestag und Bundesrat befugt, unabhängig voneinander einen Beschluss zur Übertragung der Regulierungskompetenz des Privatsektors auf den BfDI ohne Konsultation oder Zustimmung der Länder beschließen.
Unklar bleibt jedoch, inwieweit die Landesregierungen bereit sind, ihre Kompetenzen aufzugeben oder umgekehrt gewillt sind, die bisherige Struktur beizubehalten. Der Datenschutz steht derzeit sicher nicht ganz oben auf ihrer Prioritätenliste und könnte sogar als ein politisches Minenfeld wahrgenommen werden, das einige gerne nach Berlin/Bonn verlagern würden.
Die Landesregierungen sind sich jedoch zunehmend der künftigen Bedeutung des Datenschutzes bewusst, und daher würde man erwarten, dass sie ein Interesse daran haben, diese Schlüsselkompetenz nicht abzugeben. Die vollständige Zentralisierung und Positionierung eines neuen „Super-Datenschutzbeauftragten“ für ganz Deutschland erscheint zudem zumindest kurzfristig nicht unbedingt praktikabel – zusätzlich zu den verfassungsrechtlichen und anderen rechtlichen Herausforderungen, die ein solcher Ansatz mit sich bringen würde.
Kommt ein Kompromiss?
Vor diesem Hintergrund erscheint derzeit ein politischer Kompromiss als das wahrscheinlichste Ergebnis. Dieser könnte etwa so aussehen, dass die derzeitige Struktur der deutschen Aufsicht im Wesentlichen unverändert bleibt, jedoch mit einigen zusätzlichen zentralisierten sektoralen Kompetenzen für den BfDI. Ein neuer Entwurf der deutschen Bundesregierung zur Umsetzung der Cookie-Richtlinie schlägt genau dies vor und sieht eine zentrale Zuständigkeit Berlins für die Cookie-Compliance vor. Außerdem ist eine Verbesserung der Zusammenarbeit und Koordination innerhalb der Struktur der Datenschutzkonferenz (DSK) zu erwarten.
Die Frage der Harmonisierung und Zentralisierung ist eine politisch aufgeladene Debatte, die in Deutschland nach wie vor anhält. Sie ist und bleibt ein emotionales und offenes Thema – und es bleibt abzuwarten, ob es ausreichenden politischen Willen gibt, sie in die Realität umzusetzen.