Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

Cover Cover Jetzt testen
Betriebsrat ChatGPT Checklisten Cookies Data Privacy Framework EuGH Fotos HinSchG Homeoffice Hybrid Work KI KRITIS Rechenschaftspflicht TTDSG Urteil Vorlagen
Menü
Aktuelle Ausgabe

Datenschutz PRAXIS 04/24

Zeitschrift - Aktuelle Ausgabe

jetzt informieren
Betriebsrat ChatGPT Checklisten Cookies Data Privacy Framework EuGH Fotos HinSchG Homeoffice Hybrid Work KI KRITIS Rechenschaftspflicht TTDSG Urteil Vorlagen
07. Dezember 2020

Deutsche Datenschutzbehörden: Die Frage der Zentralisierung

Ein Ansprechpartner bei einer zentralen Datenschtzaufsicht oder besser lokal?
Bild: iStock.com / ismagilov
5,00 (1)
drucken
Gastbeitrag
Die Struktur der Datenschutzaufsicht in Deutschland ist weitaus komplexer als in den restlichen Mitgliedstaaten der EU. Das Grundgesetz und die föderale Struktur Deutschlands delegieren mehrere politische Bereiche an die 16 Bundesländer, darunter die Aufsicht über die Umsetzung der Datenschutzgesetze. Ist es sinnvoll, diese Aufsicht zu zentralisieren?

Die Aufsicht über Unternehmen und öffentliche Stellen wird grundsätzlich durch die Datenschutzbeauftragten der einzelnen Bundesländer wahrgenommen. Auf Bundesebene beschränkt sich die zentrale Aufsicht durch den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) mit Sitz in Bonn auf die Aufsicht über den öffentlichen Sektor sowie über die privatwirtschaftlichen Unternehmen aus den Bereichen Telekommunikation und Post.

Die Herausforderung für Deutschland in einer sich schnell verändernden globalen Wirtschaft besteht daher darin, Rechtssicherheit zu schaffen – durch konsistente und einheitliche Grundsätze für die Umsetzung des Datenschutzrechts, die für inländische und internationale Unternehmen unterschiedslos gelten. Die Datenschutzbehörden in den einzelnen deutschen Bundesländern sind jedoch in ihrer Rechtsauslegung grundsätzlich frei.

Mit der Datenschutz-Grundverordnung (DSGVO) und der Schaffung des Europäischen Datenschutzausschusses (EDSA) wurde die Komplexität des deutschen Systems weiter erhöht. Der BfDI vertritt die 16 Bundesländer im EDSA derzeit allein. Zumindest theoretisch übt der BfDI diese Funktion in Zusammenarbeit mit einem vom Bundesrat ausgewählten Leiter einer Landesdatenschutzbehörde aus. Diese Position wurde jedoch bislang noch nicht besetzt.

Diskussion über Zentralisierung

Vor diesem Hintergrund lebte im November 2019 die schon länger schwelende Diskussion über eine Zentralisierung der deutschen Datenschutzlandschaft wieder auf, angestoßen durch einen Bericht des Ausschusses für Datenethik der Bundesregierung. Darin wurde – mit der Zustimmung der Datenschutzbeauftragten Marit Hansen (Datenschutzbehörde Schleswig-Holsteins) und des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit Ulrich Kelber – erneut eine solche Zenralisierung propagiert.

In der Folge wurden im Mai 2020 in Berlin gezielte Gespräche geführt, um Änderungen des Bundesdatenschutzgesetzes (BDSG) zu prüfen, mit denen die Aufsichtszuständigkeiten privatwirtschaftlicher Unternehmen dem BfDI unterstellt werden sollten. Die Landesdatenschutzbeauftragten, insbesondere aus Bayern und Baden-Württemberg, äußerten daraufhin Bedenken hinsichtlich der Praktikabilität und Rechtmäßigkeit einer solchen Umstrukturierung.

Nur in Deutschland dezentrale, sonst einheitliche und zentrale Datenschutzaufsicht

Wie eingangs geschildert, zeichnet sich das deutsche System der Datenschutzaufsicht durch teils unterschiedliche Rechtsauffassungen und demzufolge heterogene Durchsetzungsmaßnahmen in den verschiedenen Bundesländern aus. Insoweit stellt Deutschland in vielerlei Hinsicht ein Unikum innerhalb Europas dar, sind doch die anderen EU-Mitgliedstaaten durch eine einheitliche und zentrale Datenschutzaufsicht geprägt.

In einem kürzlich vom Berufsverband der Datenschutzbeauftragten Deutschlands e.V. (BvD) veranstalteten und von Datenschutz PRAXIS gesponserten Workshop zu dieser Frage sprach sich Ulrich Kelber nachdrücklich für eine einheitliche und zentrale Einheit aus, um eine einheitlichere Auslegung der DSGVO und der sonstigen Datenschutzregeln zu gewährleisten. Kelber war davon überzeugt, dass ein effektiver Datenschutz unter 17 einzelnen Behörden unmöglich sei.

Darüber hinaus stellte er fest, dass es von Vorteil sei, eine einheitliche europäische Aufsicht statt einer Vielzahl von Aufsichtsbehörden in den einzelnen EU-Mitgliedsstaaten zu installieren. Kelber begrüßte  den Wettbewerb, der sich aus der föderalen Struktur in Deutschland ergebe. Der erleichterte zwar den Zugang zu lokalen Datenschutzbehörden, schwäche aber im Ergebnis die wirksame Durchsetzung eines effektiven Datenschutzes.

Um die föderale Struktur in Deutschland zu berücksichtigen, schlug Kelber die Einsetzung einer ständigen zentralen Aufsichtsbehörde in Berlin vor, unter Beibehaltung einer lokalen Präsenzenz in den Bundesländern. Ein entscheidende Herausforderung, vor der man aufgrund der bisherigen Zersplitterung stehe, sei es, die Datenschutzbehörden der Länder dazu zu bringen, sich auf eine gemeinsame Kommunikation oder Positionen zu verständigen.

Dabei lobte der BfDI die jüngste Einheit und Zusammenarbeit zwischen den Datenschutzbehörden in Bezug auf die deutsche COVID-19-App – die mit derzeit ca. 18 Millionen Downloads erfolgreicher zu sein scheint als entsprechende Apps in den übrigen EU-Ländern –, aber wies auch darauf hin, dass diese Errungenschaften seltene Erfolge seien. Sein Bekenntnis zu einem bundesweit einheitlichen Ansatz war klar, und er betonte, dass dieser dringend notwendig sei.

Industrie befürwortet zentralen Ansatz

Während des BvD-Workshops sprach auch Iris Plöger, Mitglied der Hauptgeschäftsführung des Bundesverbands der Deutschen Industrie. Plöger stellte – ähnlich wie Kelber – die Vorteile des föderalen System nicht in Abrede, kam aber zu dem Schluss, dass dieses für die Datenschutzpolitik kontraproduktiv sei.

Für ein effizientes Funktionieren der deutschen Wirtschaft sei ein einziger deutscher Datenschutzbeauftragter die optimale Lösung. Sie bezog sich auf den jüngsten Fall „Schrems II“, der die Industrie im Hinblick auf Datentransfers verwundbar gemacht habe und forderte einen einheitlichen und gemeinsamen Ansatz aller Landesdatenschutzbehörden, um Leitlinien zu erarbeiten. Uneinheitlichkeit und Rechtsunsicherheit würden als Bedrohung für das Wachstum und die Entwicklung der deutschen Wirtschaft angesehen.

Argumente der Befürworter der dezentralen Struktur

Doch die föderale Aufsichtsstruktur hat auch erhebliche Vorteile, wie ihre Befürworter, insbesondere ein Großteil der Leiter der Landesdatenschutzbehörden, unterstreichen. Sie trage zur differenzierten und verhältnismäßigen Auslegung der Datenschutzgesetze bei. Lokale Datenschutzbehörden seien wahrscheinlich auch agiler in ihrer Umsetzung, was zu schnellerer Rechtssicherheit führe. Vor allem hätten lokale Datenschutzbehörden den Vorteil der räumlichen Nähe – sowohl zu den Unternehmen und Verantwortlichen in ihrem Zuständigkeitsbereich als auch zu den betroffenen Personen.

In der Praxis sei dabei Folgendes zu beachten: Jede deutsche Datenschutzbehörde unterhält in der Regel eine recht enge, oft über Jahre hinweg aufgebaute Arbeitsbeziehung zu den großen Unternehmen in ihrem Zuständigkeitsbereich. Diese Nähe sorge sehr oft für eine reibungslose Zusammenarbeit und damit im Ergebnis für einen verbesserten Datenschutz. Aus geschäftlicher Sicht könne dies ein essentieller Vorteil sein.

Betrachtet man darüber hinaus die derzeitige dezentrale Struktur aus der Sicht eines Betroffenen, so ist es offensichtlich, dass es für eine lokale Behörde einfacher sei, auf etwaige Bedenken oder Beschwerden einzugehen. Daher habe ein dezentralisierter Ansatz auch im Hinblick auf die DS-GVO in einem Land von der Größe Deutschlands klare Vorteile.

Nach der Darstellung der Vor- und Nachteile des dezentralen sowie des zentralisierten Ansatzes stellte sich die Frage der Auswirkung auf die zukünftige Datenschutzpraxis, die in der sich anschließenden Diskussion jedoch nicht abschließend geklärt werden konnte.

Dabei ist zunächst zu bedenken, dass es sich insoweit in erster Linie um eine politische Frage handelt. Rein formell wären Bundestag und Bundesrat befugt, unabhängig voneinander einen Beschluss zur Übertragung der Regulierungskompetenz des Privatsektors auf den BfDI ohne Konsultation oder Zustimmung der Länder beschließen.

Unklar bleibt jedoch, inwieweit die Landesregierungen bereit sind, ihre Kompetenzen aufzugeben oder umgekehrt gewillt sind, die bisherige Struktur beizubehalten. Der Datenschutz steht derzeit sicher nicht ganz oben auf ihrer Prioritätenliste und könnte sogar als ein politisches Minenfeld wahrgenommen werden, das einige gerne nach Berlin/Bonn verlagern würden.

Die Landesregierungen sind sich jedoch zunehmend der künftigen Bedeutung des Datenschutzes bewusst, und daher würde man erwarten, dass sie ein Interesse daran haben, diese Schlüsselkompetenz nicht abzugeben. Die vollständige Zentralisierung und Positionierung eines neuen „Super-Datenschutzbeauftragten“ für ganz Deutschland erscheint zudem zumindest kurzfristig nicht unbedingt praktikabel – zusätzlich zu den verfassungsrechtlichen und anderen rechtlichen Herausforderungen, die ein solcher Ansatz mit sich bringen würde.

Kommt ein Kompromiss?

Vor diesem Hintergrund erscheint derzeit ein politischer Kompromiss als das wahrscheinlichste Ergebnis. Dieser könnte etwa so aussehen, dass die derzeitige Struktur der deutschen Aufsicht im Wesentlichen unverändert bleibt, jedoch mit einigen zusätzlichen zentralisierten sektoralen Kompetenzen für den BfDI. Ein neuer Entwurf der deutschen Bundesregierung zur Umsetzung der Cookie-Richtlinie schlägt genau dies vor und sieht eine zentrale Zuständigkeit Berlins für die Cookie-Compliance vor. Außerdem ist eine Verbesserung der Zusammenarbeit und Koordination innerhalb der Struktur der Datenschutzkonferenz (DSK) zu erwarten.

Die Frage der Harmonisierung und Zentralisierung ist eine politisch aufgeladene Debatte, die in Deutschland nach wie vor anhält. Sie ist und bleibt ein emotionales und offenes Thema  – und es bleibt abzuwarten, ob es ausreichenden politischen Willen gibt, sie in die Realität umzusetzen.

Paul Jordan

Paul Jordan
zu den Kommentaren
Wie nützlich war dieser Beitrag für Sie?
Jetzt teilen:
drucken
Verfasst von
DP
Paul Jordan
Paul Jordan ist European Managing Director von IAPP (International Association of Privacy Professionals) und diskutiert in diesem Gastbeitrag den politischen und rechtlichen Rahmen der deutschen Datenschutzbehörden. 
Verwandte Beiträge
15. April 2024
Datenschutz-Sicherheit
Bild: iStock/Getty Images Plus/Funtap

Geschäftsführer-Daten im Handelsregister

Urteil
EuGH Urteil
08. April 2024
DP+
Verantwortlicher, Auftragsverarbeiter oder Joint Controller?
Bild: iStock.com / PeopleImages

Verantwortlicher, Auftragsverarbeiter oder Joint Controller?

Analyse
02. April 2024

Muster: Gliederungspunkte einer IT-Sicherheitsrichtlinie

Downloads
IT-Sicherheit Vorlagen
02. April 2024
Die DSGVO ist nur anwendbar, wenn die Daten, die Gegenstand der mündlichen Auskunft sind, in einem „Dateisystem gespeichert sind“ oder „in einem Dateisystem gespeichert werden sollen“.
Bild: iStock.com / bymuratdeniz

Löschung von Daten – auf wessen Veranlassung?

Urteil
EuGH Urteil
27. März 2024
DP+

Checkliste: Datenschutz-Audit von Auftragsverarbeitern

Downloads
Checklisten Vorlagen
weitere Beiträge laden
0 Kommentare
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.