23. März 2010 - Überraschende Entscheidung des EuGH

Datenschutzaufsicht in Deutschland muss neu organisiert werden

Eine Entscheidung des Europäischen Gerichtshofs zwingt dazu, die Datenschutzaufsicht über die Privatwirtschaft in allen 16 Bundesländern neu zu strukturieren – vom Unabhängigen Landeszentrum für Datenschutz in Schleswig-Holstein bis zum Landesamt für Datenschutzaufsicht in Bayern. Das kann mittelfristig erhebliche Auswirkungen auf den Datenschutzalltag haben. Einstweilen allerdings ändert sich für Unternehmen, die der Datenschutzaufsicht unterliegen, erst einmal nichts.

datenschutzaufsicht-in-deutschland-muss-neu-organisiert-werden.jpeg
Organisation der Datenschutzaufsicht: Neue Entscheidung zur EG-Datenschutzrichtlinie (pixelio.de - Gerd Altmann)

Wie ein EU-Mitgliedstaat seine Behörden organisiert, geht außer ihm selbst niemanden etwas an. Diesen Satz hätten bis 9. März 2010 wohl fast alle Juristen unterschrieben. Aber wie so oft gehen jedenfalls im Datenschutz die Uhren auch hier anders.

Die EG-Datenschutzrichtlinie fordert „völlige Unabhängigkeit“ der Aufsichtsbehörden

Ausgangspunkt ist die ebenso kurze wie äußerlich harmlose Regelung des Art. 28 Absatz 1 der  EG-Datenschutzrichtlinie. Sie lautet: „Die Mitgliedstaaten sehen vor, dass eine oder mehrere öffentliche Stellen beauftragt werden, die Anwendung der von den Mitgliedstaaten zur Umsetzung dieser Richtlinie erlassenen einzelstaatlichen Vorschriften in ihrem Hoheitsgebiet zu überwachen. Diese Stellen nehmen die ihnen zugewiesenen Aufgaben in völliger Unabhängigkeit wahr.“

Update: Übersicht – Wie sind die Aufsichtsbehörden in Deutschland nun nach dem Urteil organisiert?

Eine Privatperson führt Beschwerde bei der EU-Kommission

Um die Frage, unter welchen Voraussetzungen die in dieser Vorschrift angesprochenen Aufsichtsbehörden für den Datenschutz in der Privatwirtschaft über die nötige „völlige Unabhängigkeit“  verfügen, entbrannte vor einigen Jahren ein Streit.

Ein Bürger aus Deutschland war der Auffassung, keine einzige der deutschen Aufsichtsbehörden für die Privatwirtschaft verfüge in vollem Umfang über die notwendige Unabhängigkeit. Denn manche dieser auf Landesebene geschaffenen Behörden seien völlig in normale Verwaltungsbehörden eingebunden (so etwa in Baden-Württemberg, wo die Aufsichtsbehörde einen Teil des Innenministeriums bildet), andere unterlägen zumindest einer Fachaufsicht oder Rechtsaufsicht durch eine vorgesetzte Behörde (in der Regel ein Ministerium).

Die Europäische Kommission formuliert aus der Beschwerde über die Datenschutzaufsicht eine Klage

Die Europäische Kommission griff diesen Gedanken auf und verklagte die Bundesrepublik Deutschland wegen Verletzung der EG-Datenschutzrichtlinie vor dem Europäischen Gerichtshof. Die Klage wurde am 22.11.2007 eingereicht, seither zog sich das Verfahren etwas hin. Allzu ernst nahmen es viele Beobachter nicht.

Das Gericht wirft Deutschland eine „falsche Umsetzung“ der Vorgaben zu Aufsichtsbehörden vor

Umso stärker nun der Eindruck, den die folgende  Entscheidung des Gerichtshofs zur Datenschutzaufsicht hinterlassen hat: „Die Bundesrepublik Deutschland hat gegen ihre Verpflichtungen….verstoßen, indem sie die für die Überwachung der Verarbeitung personenbezogener Daten durch nichtöffentliche Stellen und öffentlich-rechtliche Wettbewerbsunternehmen zuständigen Kontrollstellen in den Bundesländern staatlicher Aufsicht unterstellt und damit das Erfordernis, dass diese Stellen ihre Aufgaben „in völliger Unabhängigkeit“ wahrnehmen, falsch umgesetzt hat.“

Die Argumente des Gerichts sind recht knapp

Die Argumente des Gerichts für diese Auffassung sind an den entscheidenden Stellen recht knapp ausgefallen. So heißt es zum Stichwort „Bedeutung der völligen Unabhängigkeit“:

„Entgegen dem Standpunkt der Bundesrepublik Deutschland deutet nichts darauf hin, dass das Unabhängigkeitserfordernis allein das Verhältnis zwischen den Kontrollstellen und den ihrer Kontrolle unterstellten Einrichtungen beträfe. Im Gegenteil wird der Begriff „Unabhängigkeit“ durch das Adjektiv „völlig“ verstärkt, was eine Entscheidungsgewalt impliziert, die jeglicher Einflussnahme von außerhalb der Kontrollstelle, sei sie unmittelbar oder mittelbar, entzogen ist.“

Das Gericht fordert den Ausschluss jeder denkbaren Einflussnahme auf die Datenschutzaufsicht

Daraus zieht das Gericht dann die Folgerung, dass die „Kontrollstellen“ (Aufsichtsbehörden) „mit einer Unabhängigkeit ausgestattet sein müssen, die es ihnen ermöglicht, ihre Aufgaben ohne äußere Einflussnahme wahrzunehmen. Diese Unabhängigkeit schließe nicht nur jegliche Einflussnahme seitens der kontrollierten Stellen aus, sondern auch jede Anordnung und jede sonstige äußere Einflussnahme, sei sie unmittelbar oder mittelbar, durch die in Frage gestellt werden könnte, dass die genannten Kontrollstellen ihre Aufgabe, den Schutz des Rechts auf Privatsphäre und den freien Verkehr personenbezogener Daten ins Gleichgewicht zu bringen, erfüllen.“

Erst beanstandet es jede Form staatlicher Aufsicht

Mit diesen Vorgaben sei jegliche Form staatlicher Aufsicht über die Kontrollstellen unvereinbar. Denn, so das Gericht, es sei festzustellen, „dass die staatliche Aufsicht gleich welcher Art es der Regierung des betroffenen Landes oder einer Stelle der ihr untergeordneten Verwaltung grundsätzlich ermöglicht, auf Entscheidungen der Kontrollstellen unmittelbar oder mittelbar Einfluss zu nehmen bzw. diese Entscheidungen aufzuheben und zu ersetzen.“

Schließlich unterstellt es den nationalen Regierungen pauschal rechtswidrige Absichten

Da diese Aussagen doch etwas „in der Luft hängen“, beginnt das Gericht recht wild zu spekulieren, wie eine solche Einflussnahme auf die Aufsichtsbehörde  den aussehen könnte: „Die Regierung des betroffenen Landes hat nämlich…möglicherweise ein Interesse an der Nichteinhaltung der Vorschriften über den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, wenn es um die Verarbeitung solcher Daten im nichtöffentlichen Bereich geht.“

Und weiter: „Sie kann selbst involvierte Partei dieser Verarbeitung sein, wenn sie davon betroffen ist oder sein könnte, z. B. im Fall einer Kooperation von öffentlichen und privaten Stellen oder im Rahmen öffentlicher Aufträge an den privaten Bereich. Außerdem könnte sie ein besonderes Interesse haben, wenn sie für bestimmte ihrer Aufgaben, insbesondere zu Zwecken der Finanzverwaltung oder der Strafverfolgung, Zugang zu Datenbanken benötigt oder ein solcher Zugang einfach nur sachdienlich ist.“

Dass solche „Schurkenregierungen“ sich nicht bremsen lassen würden, wird übergangen

Dass solche Praktiken grobe Rechtsbrüche wären, möglicherweise sogar strafbar, stört das Gericht nicht weiter. Und an dieser Stelle setzt schon rein von der Logik her berechtigte Kritik an: Einmal unterstellt, die Befürchtungen des Gerichts wären berechtigt. Glaubt wirklich jemand, eine solche Regierung würde nicht auch gegenüber einer formal noch so unabhängigen Datenschutzaufsicht Mittel und Wege finden, um sie in ihrem Sinn zu beeinflussen? Dass sie der Aufsichtsbehörde keine förmlichen – inhaltlich rechtswidrige – Weisungen geben darf, wäre dann sicher kein Hindernis.

Doch wer solche Schwachstellen nicht sehen will, sieht sie auch nicht. Und so verwundert es kaum, dass vor allem die oberflächlich lesenden Kommentatoren die Entscheidung als „Stärkung des Datenschutzes“ begrüßen. Dass Weisungen an Aufsichtsbehörden in Deutschland in der Praxis jemals vorgekommen wären, wird in diesen Kommentaren weder behauptet noch gar belegt

Die Aufsichtsbehörden der Länder könnten sogar geschwächt werden

Ob die überwachten Unternehmen die angebliche „Stärkung des Datenschutzes“ als solche erkennen, bleibt abzuwarten. Denn angenommen, jedes Bundesland macht jetzt seine Aufsichtsbehörde im geschilderten Sinn „völlig unabhängig“. Dann wird es zum Alltag gehören, dass Unternehmen, die deutschlandweit tätig sind, sich von Aufsichtsbehörde zu Aufsichtsbehörde völlig unterschiedlichen Rechtsauffassungen ausgesetzt sehen. Im Extremfall sind das dann 16 verschiedene Auffassungen zu ein- und derselben Frage.

Von einer Pflicht zur Harmonisierung der Auffassungen zwischen den Aufsichtsbehörden schreibt das Gericht nämlich nichts. Dann bliebe bei solchen Konstellationen in letzter Konsequenz nur die Verlagerung der betreffenden Aktivitäten in ein Land, in dem es nur eine einzige zentrale Aufsichtsbehörde gibt (etwa Österreich, Frankreich oder Großbritannien).

Kein Wunder, dass schon Stimmen laut werden, doch die Zuständigkeit für möglichst viele Branchen beim Bundesbeauftragten für den Datenschutz zu konzentrieren – so wie das für den Bereich der Telekommunikation  schon der Fall ist. Den Aufsichtsbehörden der Länder blieben dann nur weniger attraktive Restzuständigkeiten.

Anordnungen der Aufsichtsbehörden können weiterhin ergehen

Die Entscheidung ändert übrigens nichts daran, dass die jetzt vorhandenen Aufsichtsbehörden weiterhin Anordnungen gegenüber Unternehmen treffen und bei gravierenden Verstößen auch Bußgelder verhängen können.

Wer also meint, er könne jetzt folgenlos gegen Datenschutzvorschriften verstoßen, weil die Datenschutzaufsicht erst wieder aktiv werden könnte, wenn ihre ausreichende Unabhängigkeit durch Gesetzesänderungen hergestellt ist, darf sich auf ein böses Erwachen einstellen.

Die Entscheidung des Europäischen Gerichtshofs ist abrufbar unter http://curia.europa.eu/jurisp/cgi-bin/gettext.pl?lang=de&num=79899690C19070518&doc=T&ouvert=T&seance=ARRET.

Dr. Eugen Ehmann
Dr. Eugen Ehmann ist Regierungsvizepräsident von Mittelfranken (Bayern). Er befasst sich seit über 20 Jahren intensiv mit Fragen des Datenschutzes in Unternehmen und Behörden.

 

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln