Datenschutz-Berater 11/20: "Zentral oder dezentral, das ist hier die Frage"

Einheitliches Recht braucht einheitliche Umsetzung

„Die DSGVO ist nur so stark wie die schwächste europäische Datenschutzaufsichtsbehörde“ sagte kürzlich Max Schrems, der österreichische Jurist und Datenschutzaktivist. Der Erfolg der EU-Datenschutzgrundverordnung werde ihm zufolge ganz erheblich davon abhängen, wie konsequent sie durchgesetzt wird. Wenn man „konsequent“ nicht nur als „hart und entschlossen“ begreift, sondern auch als „konsistent“, dann werden Herrn Schrems sicher auch die Praktikerinnen und Praktiker in den Unternehmen zustimmen: Damit das einheitliche europäische Datenschutzrecht seine volle Wirkung entfalten und Gesellschaft und Wirtschaft gleichermaßen zugutekommen kann, muss das Recht möglichst einheitlich angewendet werden. Das erfordert weitestgehende Einigkeit unter den Aufsichtsbehörden.

Diese wird im föderal organisierten Deutschland nicht immer vollständig erreicht. Oder, um es deutlicher auszudrücken: Manchmal liegen die datenschutzrechtlichen Wertungen ganz schön weit auseinander. Gelegentlich gibt es sogar offenen Streit. Dies geht nicht immer so weit wie 2013/2014, als sich im legendären Disput um die Bewertung eines Datenschutzverstoßes am Ende die nördlichste und die südlichste Landesaufsicht gegenseitig in Pressemitteilungen Inkompetenz vorwarfen.

Doch erst kürzlich traten Differenzen zur DSGVO-Anwendung wieder klar zu Tage. Es ging um die Bewertung der vom Unternehmen Microsoft für sein Produkt Office365 bereitgestellten Vertragsunterlagen. Die Konferenz der Datenschutzaufsichtsbehörden von Bund und Ländern beschloss, dass auf Basis der Unterlagen kein datenschutzgerechter Einsatz von Microsoft Office365 möglich sei. Nur fiel dieser Beschluss nicht etwa einhellig, sondern mit hauchdünner Mehrheit von neun zu acht Stimmen. Und nicht nur das. Fünf der acht bei der Abstimmung unterlegenen Behörden hielten es für angebracht, neben der Verlautbarung der Datenschutzkonferenz (DSK), dem Gremium der Datenschutzaufsichtsbehörden des Bundes und der Länder, eine eigene Pressemitteilung zu veröffentlichen – in der sie die Bewertung der DSK als „zu undifferenziert“ einstufen und sie lediglich „als relevante Arbeitsgrundlage ansehen“.

Vielfalt in der Praxis

Öffentlich sichtbare Uneinigkeit bei der Anwendung des Datenschutzrechts gibt es seit jeher. Manchmal geht es dabei nur um eher symbolische Streitfragen, wie um die rechtliche Einordnung von Klingelschildern (Ist die DSGVO überhaupt anwendbar? Braucht es eine Einwilligung als Rechtsgrundlage?). Manchmal haben die Streitfragen aber auch handfeste, praktische Folgen für die Anwendung: Ist ein Steuerberater bezüglich der Lohnbuchhaltung datenschutzrechtlich als Auftragsverarbeiter einzuordnen? Der Aufwand für hunderttausende eventuell neu abzuschließende Auftragsverarbeitungsverträge wäre nicht unerheblich.

Doch obwohl das Steuerrecht und das Berufsrecht für Steuerberater bundesweit einheitlich geregelt sind und das Recht zur Auftragsverarbeitung von personenbezogenen Daten sogar europaweit, bewerteten die Landesbehörden den Sachverhalt unterschiedlich. Die Stiftung Datenschutz versuchte zu vermitteln und versammelte Landesbehörden sowie Interessenvertretung und Kammer der Steuerberater an ihrem runden Tisch. Doch war am Ende eine gesetzgeberische Klarstellung nötig, um den Dissens in der Bewertung abzuräumen.

Gründe für eine Neubewertung der Aufsichtsstruktur lassen sich also durchaus finden. Und entsprechende Reformvorschläge gibt es mittlerweile gleich mehrere. Nach einem Vorschlag der Datenethikkommission der Bundesregierung etwa könnte die Aufsicht über den nicht-öffentlichen Bereich, also die Unternehmen, dem Bundesbeauftragten übertragen werden. Damit entfiele allerdings einer der Vorteile der föderalen Lösung – die regionale Nähe und die daraus resultierende Beratungskompetenz vor Ort. Dem könnte man wohl nur begegnen, indem man die mit der Wirtschaft befassten Teile der Landesaufsichten zu „Satelliten“ der Bundesaufsicht machte. Eine solche Lösung mit regionaler Präsenz bei Zuständigkeit des Bundes brächte sicher bundesstaatliche Fragen und verfassungsrechtliche Problemen mit sich.

Kompromisse sind möglich

Wie die Zukunft der Datenschutzaufsicht aussehen könnte oder sollte hat die Stiftung Datenschutz im September 2020 gemeinsam mit dem Berufsverband der Datenschutzbeauftragten Deutschlands in einer öffentlichen Veranstaltung erörtert.

Hochrangige Expertinnen und Experten aus Politik, Aufsichtsbehörden, Wirtschaft und Datenschutzpraxis waren eingeladen, über das Für und Wider einer etwaigen Zentralisierung der Aufsicht über den nicht-öffentlichen Bereich zu diskutieren, über mögliche Folgen für die Praxis und über Chancen für Kompromisslösungen (zum Video-Mitschnitt der Veranstaltung).

Dabei wurde im Konsens zwischen allen Beteiligten deutlich, dass das Ziel aller Bemühungen nicht unbedingt eine Veränderung der Behördenstrukturen sein muss, wohl aber eine deutliche Verbesserung der Abstimmung. Einen Kompromiss schlug Paul Nemitz von der EU-Kommission vor (Video-Mitschnitt Teil1, ab 34:33). Ihm zufolge biete es sich an, die Datenschutzaufsicht des Bundesbeauftragten (nur) auf solche Unternehmen auszuweiten, die im Dax- oder MDax gelistet sind, sowie auf Unternehmen gleicher oder größerer Kapitalisierung aus dem In– und Ausland, die in Deutschland Dienste oder Güter anbieten. Für alle übrigen Unternehmen wären weiterhin die Landesbehörden zuständig.

Warum nicht vom Rundfunkrecht lernen?

In eine andere Richtung gehen Vorschläge, die die überkommene Aufsichtsstruktur nicht grundlegend verändern, sondern durch eine weitere Einrichtung ergänzen bzw. modifizieren wollen. So schlägt der Rechtsanwalt und Datenschutzspezialist Simon Assion vor, eine Parallele zur Rundfunkaufsicht zu ziehen und sich an deren Struktur zu orientieren. Bei den Aufsichtsbehörden für den privaten Rundfunk habe sich nämlich genau wie auch beim Datenschutz die Frage gestellt: Wie kann eine Aufsicht organisiert werden, die zwar aus sachlichen Gründen bundeseinheitlich erfolgen muss – der Rundfunk macht ebenso wie die Datenströme nicht an Bundeslandgrenzen halt – aber dennoch aus föderalen Erwägungen bei den Ländern verbleiben soll?

Die Landesgesetzgeber haben auf diese Fragen geantwortet mit einer Vereinheitlichung des Landesrechts, mit der Delegation gewisser Entscheidungskompetenzen und mit der Errichtung einer gemeinsamen Geschäftsstelle. Während die Rechtsvereinheitlichung im Datenschutz durch die EU-weite Konsolidierung nur noch in Randbereichen eine Rolle spielt (beispielsweise im Presserecht), wäre die Möglichkeit zur Kompetenzabgabe von der Ebene des jeweils einzelnen Bundeslandes auf eine höhere Ebene der Datenschutzkonferenz eine interessante Perspektive. Analog zu dem im Rundfunkrecht bestehenden Kommissionenkönnten die DSK-Arbeitskreise zur Festlegung von für alle Bundesländer verbindlichen Rechtsauslegungen ermächtigt werden. In einer gemeinsamen Geschäftsstelle der Landesaufsichten würden die Positionen ausgearbeitet. Im Effekt würden die Länder in diesem Modell eine bundeseinheitliche Regelungen erarbeiten, ohne Kompetenzen an eine Bundesbehörde abgeben zu müssen.

Warum nicht von Europa lernen?

Einen anderen Ansatz zur Stärkung der föderalen Entscheidungsfindung empfiehlt der ehemalige Bundesbeauftragte für den Datenschutz, Peter Schaar. Ebenso wie der baden-württembergische Landesbeauftragte Stefan Brink plädiert er vor allem deshalb dafür, die Datenschutzaufsicht weiterhin in der Fläche zu belassen, weil sie nah bei den Unternehmen und bei den Bürgerinnen und Bürgern ist. Gleichwohl ist auch er der Ansicht, dass eine deutlich bessere Koordination notwendig ist. Der von manchen geforderten Zentralisierung der Behördenstruktur stellt er ein Alternativmodell entgegen. Es sieht ein Kohärenzverfahren für die DSK vor, nach dem Vorbild des bereits nach der DSGVO für die europäische Ebene vorgesehenen Kohärenzverfahrens. Als Schritt in Richtung verbesserter Effektivität sieht Peter Schaar einen Bund-Länder-Staatsvertrag, der die Koordinationsmechanismen der DSGVO auf den Bundesstaat Deutschland überträgt. In streitigen Fragen würde dann die DSK verbindliche Mehrheitsentscheidungen treffen – unter Umständen auch gegen das Votum der federführenden Landesbehörde. Ein solches Modell ist deutschen Aufsicht nicht völlig fremd, denn das BDSG sieht es bereits vor – für die Vorbereitung von Beschlüssen des Europäischen Datenschutzausschusses. Bei einer Übertragung des EU-Kohärenzverfahrens auf Deutschland rät Schaar weiterhin dazu, dass alle strittigen Fälle, die mehrere Bundesländer betreffen, der DSK zur verbindlichen Beschlussfassung vorgelegt werden müssen. Feste Fristen könnten Schaar zufolge eine zeitnahe Befassung der Datenschutzaufsicht mit dringenden und kontroversen Themen sicherstellen. Auf diese Weise ließe sich vermeiden, dass „unwillige oder unfähige Datenschutzbehörden“ Entscheidungen verhindern oder verschleppen.

Es bleibt spannend

Die kommenden Monate werden zeigen, ob die Politik die Forderungen nach einer Zentralisierung der Aufsicht über die Wirtschaft weiterverfolgt oder ob einer der – sehr unterschiedlichen – Kompromissansätze Chancen auf Realisierung hat. In jedem Fall ist auf einen dynamischen Prozess zu hoffen, damit das einheitliche EU-Datenschutzrecht auch im föderalen Deutschland einheitlicher als bisher interpretiert werden kann.