Stellungnahme der unabhängigen Datenschutzaufsichtsbehörden der Länder vom 6. September 2023 zum Entwurf eines Ersten Gesetzes zur Änderung des Bundesdatenschutzgesetzes mit Stand 9.8.2023
Die unabhängigen Datenschutzaufsichtsbehörden der Länder nehmen zu dem Gesetzentwurf insgesamt – mit Ausnahme der die Datenschutzkonferenz betreffenden Vorschläge – Stellung.
I. Besetzung der Position des Ländervertreters (§ 17 Abs. 2 BDSG-E)
Die Regelung sieht eine Art Rückfalloption vor, um sicherzustellen, dass im Europäischen Datenschutzausschuss ein Stellvertreter des gemeinsamen Vertreters vertreten ist. Jedoch wäre die Regelung im Fall der konkreten Anwendung dysfunktional, weil jährlich wechselnde Ländervertreter ohne Unterbau in einer schwierigen Lage wären. Schon mangels Einarbeitungszeit erscheint es praktisch unmöglich, aus dem Stand und auf die Schnelle ohne zusätzliche personelle Mittel eine wirkungsvolle Vertretung der Länder im Europäischen Datenschutzausschuss zu übernehmen. Letztlich wäre somit nur formal die gesetzlich vorgesehene Einbindung der Länderinteressen gewährleistet. Die Regelung erzeugt aber immerhin einen gewissen Druck, eine kontinuierliche Vertretung sicherzustellen. Angesichts dieser Rückfalloption ist davon auszugehen, dass der Bundesrat künftig dafür sorgt, dass keine Vakanz entsteht. In diesem Verständnis stehen der Vorschrift keine Bedenken entgegen.
II. Gemeinsame Standpunkte (§ 18 BDSG-E)
Die Betonung des erstrebenswerten Ziels der einheitlichen Anwendung der DS-GVO durch einen eigenständigen § 18 Abs. 1 BDSG entspricht Art. 51 Abs. 2 DS-GVO und dem Ziel der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK), wie es in Abschnitt II ihrer Geschäftsordnung festgelegt ist.
Infolge der Änderungen des § 18 BDSG durch den neuen Absatz 2 soll im Rahmen von Verfahren nach Art. 60 DS-GVO sowie Artt. 63 bis 65 DS-GVO ein Einvernehmen über gemeinsame Standpunkte hergestellt werden. Dies betrifft laut Gesetzesbegründung sowohl das Ob und Wie des Einspruchs als auch die inhaltliche Stellungnahme der deutschen Aufsichtsbehörden. Darin ist nicht lediglich eine Klarstellung, sondern eine Neuregelung zu sehen, da ausdrücklich auch in Verfahren nach Art. 60 DS-GVO ein gemeinsamer Standpunkt beschlossen werden soll. Kommt kein Einvernehmen zustande, soll das Verfahren des § 18 Abs. 3 BDSG-E (bisher Absatz 2) zur Anwendung gelangen.
Im Hinblick auf Art. 60 DS-GVO, insbesondere zur Einlegung von Einsprüchen, hat sich zuletzt eine einvernehmliche und überaus zügige Abstimmung der deutschen Aufsichtsbehörden als zielführende Praxis erwiesen. An den Abstimmungen beteiligen sich regelmäßig insbesondere die im konkreten Art. 60-Verfahren betroffenen Aufsichtsbehörden; die übrigen Aufsichtsbehörden werden informatorisch in die Entscheidungsfindung eingebunden. In der Sache wird dem mutmaßlichen Ziel der Neuregelung, eine einheitliche deutsche Position fristgerecht in den EDSA zu bringen, insoweit bereits umfassend Rechnung getragen. § 18 BDSG-E würde diese Abläufe formalisieren. Damit würde die derzeitige fallbezogene Schwerpunktbildung verdrängt, da mit der vorgesehenen Regelung ein Einvernehmen aller, nicht nur der betroffenen Aufsichtsbehörden, herzustellen wäre.
Bevor eine Zusammenarbeit der deutschen Aufsichtsbehörden in Verfahren nach Art. 60 DS-GVO gesetzlich festgelegt wird, sind einige Fragen durch den Gesetzgeber zu klären.
Zunächst wäre zu klären, zwischen welchen Aufsichtsbehörden ein gemeinsamer Standpunkt gebildet werden soll. In rechtlicher Hinsicht kommen hierfür nur die betroffenen Aufsichtsbehörden im Sinne von Art. 4 Nr. 22 DS-GVO in Betracht, da Art. 60 DS-GVO eine Zusammenarbeit zwischen federführender und betroffenen Aufsichtsbehörden vorsieht. Eine Abstimmung aller deutschen Aufsichtsbehörden, wie im Entwurf vorgesehen, weicht hiervon ab und hätte nicht nur rechtliche, sondern auch erhebliche praktische Auswirkungen:
Während eine Abstimmung unter den betroffenen deutschen Aufsichtsbehörden letztlich das in der Praxis herausgebildete Verfahren gesetzlich nachvollziehen würde, würde demgegenüber eine gesetzlich vorgesehene Einbindung aller deutschen Aufsichtsbehörden, also auch solcher, die nicht betroffen im Sinne des Art. 60 DS-GVO sind, nicht mehr dem nach Art. 60 DS-GVO geregelten Verfahren entsprechen.
Insbesondere würde dies zu einem erheblich höheren Ressourcenbedarf bei allen deutschen Aufsichtsbehörden führen. Auch Haftungsrisiken für die Aufsichtsbehörden wären zu betrachten.
Aus dem vorliegenden Gesetzentwurf geht nicht hervor, dass und mit welchem Ergebnis eine Prüfung dieser Fragen vorgenommen wurde.
Stattdessen sollte geprüft werden, ob eine Unterrichtungspflicht zwischen den Aufsichtsbehörden des Bundes und der Länder bei den Verfahren der Zusammenarbeit nach Art. 60 DS-GVO ausreichend wäre, um die bereits praktizierten schnellen und effektiven Abstimmungen gesetzlich zu verankern.
III. Ergänzende Zuständigkeitsregelungen (§§ 19, 40 BDSG-E)
Die Änderungen des § 19 BDSG sind laut der Gesetzesbegründung klarstellender Natur und sollen keine inhaltlichen Änderungen zur Folge haben. Danach ist das Verfahren nach § 18 Abs. 2 BDSG (wohl Redaktionsversehen, s. sogleich) auch dann anzuwenden, wenn eine Aufsichtsbehörde bestimmt werden muss aufgrund der Tatsache, dass ein Verantwortlicher oder Auftragsverarbeiter keine inländische Niederlassung hat sowie in dem Fall, dass bei mehreren inländischen Niederlassungen der Sitz der Hauptniederlassung zweifelhaft ist.
Damit dürfte eher nicht der neue § 18 Abs. 2 BDSG-E gemeint sein, wonach dann insoweit Einvernehmen hergestellt werden sollte. Vielmehr dürfte ein Redaktionsversehen vorliegen, da bisher § 19 Abs. 1 Satz 3 BDSG auf § 18 Abs. 2 BDSG, also den neuen Absatz 3, verweist.
Der Regelungsbedarf ist fraglich. Die Gesetzesbegründung bleibt hier sehr im Allgemeinen. Soweit ersichtlich, sind keine problematischen Fallgestaltungen im Zusammenhang mit der Bestimmung einer zuständigen Aufsichtsbehörde im Inland aufgetaucht; die Aufsichtsbehörden haben derartige Fragen kooperativ gelöst. Die Regelung des § 19 BDSG-E könnte zur Notwendigkeit interner Verfahrensregelungen der DSK führen, um die Kriterien für die Entscheidung und das Verfahren zu präzisieren.
Die ergänzende Reglung der Zuständigkeit in Fällen der Zusammenarbeit, bei denen es keine inländische Niederlassung gibt (§ 19 Abs. 1 Satz 4 BDSG-E), geht fehl und sollte gestrichen werden.
§ 19 BDSG dient dazu, die federführende Behörde in Deutschland zu bestimmen. Federführende Behörde i. S. d. DS-GVO ist in einem grenzüberschreitenden Fall die Behörde am Ort der Haupt- oder einzigen Niederlassung (Art. 56 Abs. 1 DS-GVO). Gibt es keine Niederlassung in Deutschland, kann es denklogisch auch keine federführende deutsche Aufsichtsbehörde geben. Es hat daher keinen Sinn, für diesen Fall eine federführende Behörde zu bestimmen.
Sollte eine Federführung für den Fall gemeint sein, dass keine federführende Behörde i. S. d. DS-GVO in Deutschland ist, wäre die Regelung sprachlich zu präzisieren. Zudem sollte klargestellt werden, welche Aufgaben und welche Entscheidungsprozesse mit der Rolle der Federführung verbunden sind.
Nach § 40 Abs. 2 Satz 3 BDSG-E bestimmen die Aufsichtsbehörden gemeinsam eine zuständige Behörde nach dem Verfahren des § 18 Abs. 2 BDSG, wenn ein Verantwortlicher keine Niederlassung in der Bundesrepublik Deutschland hat. Es wird aus dem Entwurf nicht ausreichend klar, welche Fälle damit gemeint sind und für welchen Zweck eine Zuständigkeit bzw. Federführung in Deutschland als erforderlich angesehen wird.
Nach Auffassung der Datenschutzaufsichtsbehörden der Länder kann die Regelung nicht den Marktortfall (Art. 3 Abs. 2 DS-GVO) betreffen, bei dem es zwar auch keine inländischen Niederlassungen gibt, aber die Zuständigkeit nicht „deshalb“ „zweifelhaft“ ist.
Vielmehr gibt es im Marktortfall auch nach der DS-GVO kein One-Stop-Shop-Verfahren, sondern es sind alle Aufsichtsbehörden der EU-Mitgliedstaaten zuständig. Außer dem Marktortfall ist kein Anwendungsbereich für den Fall ersichtlich, dass es keine inländische Niederlassung gibt.
Die Regelung ist daher zu streichen.
IV. Länderübergreifende Datenverarbeitungsvorhaben (§ 40a; § 27 Abs. 5 BDSG-E)
Die Datenschutzaufsichtsbehörden der Länder unterstützen das Ansinnen des Gesetzgebers, die einheitliche und effektive Durchsetzung des Datenschutzes in Deutschland zu stärken. Neben anderen Maßnahmen, vor allem der Stärkung der DSK durch Institutionalisierung (s. die Stellungnahme der DSK), kann dieses Ziel ergänzend auch durch Regelungen erreicht werden, die auf der dafür geeigneten Ebene Zuständigkeiten zusammenfassen und Entscheidungskompetenzen über die Ansätze des geltenden Rechts hinaus konzentrieren.
Die Festlegung einer (alleinigen oder federführenden) Aufsichtsbehörde für länderübergreifende Datenverarbeitungen nichtöffentlicher Stellen kann dafür eine geeignete Maßnahme sein, insbesondere um die Zahl der notwendigen Ansprechpartner für Unternehmen und Forschungseinrichtungen zu reduzieren und Parallelverfahren zu vermeiden.
Die Einführung solcher neuen Zuständigkeitszuweisungen bringt aber nur dann die angestrebte höhere Effektivität und Rechtssicherheit, wenn sie nicht selbst zur Rechtsunsicherheit beiträgt. Richtig ist es deshalb, die alleinige Zuständigkeit an klare Kriterien zu knüpfen (wie hier Jahresumsatz / Anzahl der Personen, die personenbezogene Daten verarbeiten). Konsequenterweise sollte die Zuständigkeitsverlagerung dann aber auch eine zwingende gesetzliche Folge sein und nicht vom Willen der Verantwortlichen abhängen.
Zur Rechtsunsicherheit trägt auch bei, wenn, wie in § 40a BDSG-E, die herangezogenen Tatbestandsmerkmale nicht so eindeutig sind, wie es erscheint. Die gemeinsame Verantwortlichkeit nach Art. 26 DS-GVO ist in der Praxis immer wieder im Einzelnen umstritten, etwa im Kontext von konzerninterner Datenverarbeitung. Es bedarf daher zumindest einer vorgeschalteten Prüfung durch die beteiligten Aufsichtsbehörden, ob eine gemeinsame Verantwortlichkeit überhaupt vorliegt und wie eine gemeinsam verantwortete Verarbeitung sich von anderen Verarbeitungen der beteiligten Unternehmen abgrenzen lässt. Diese Feststellung kann nicht in der Hoheit der verantwortlichen Unternehmen liegen.
Verbesserungsfähig ist die Definition des Adressatenkreises der Regelungen: „Verantwortliche, die nicht oder nicht ausschließlich Unternehmen sind“ (§ 27 Abs. 5 BDSG-E) ist nicht hinreichend bestimmt. Beispielsweise sind öffentliche Stellen nicht ausreichend klar vom Anwendungsbereich der Regelung ausgenommen. Auf die Kollision zu § 3 GDNG-E (Stand 03.07.2023)1 sei hingewiesen sowie darauf, dass im Forschungskontext die unterschiedlichen Rechtslagen durch divergierende Ländergesetze das eigentliche Problem sind, das allein durch Zuständigkeitsregeln nicht wirklich gelöst wird.
Zudem erscheint eine Beschränkung der Regelung des § 40a BDSG-E lediglich auf Verfahren von Unternehmen nicht schlüssig. Ein tatsächlich häufiger Anwendungsbereich von Verfahren mit gemeinschaftlicher Verantwortung ist auch bei anderen nichtöffentlichen Stellen, z. B. im Zusammenspiel von Vereinen und übergeordneten Verbänden, zu finden.
Zuletzt sei darauf hingewiesen, dass die Kohärenzregelungen zwar Vorteile für die beteiligten Verantwortlichen haben können; die Rechtsfolgen für die von der Datenverarbeitung betroffenen Personen sollten aber nicht aus dem Blick geraten.
V. Weitere Regelungen
Jenseits der in dieser Stellungnahme bisher behandelten Vorschriften des Gesetzentwurfs werden weitere Regelungen geändert.
Die Vorschrift des § 4 BDSG zur Videoüberwachung wird in einen europarechtskonformen Zustand gebracht. Das ist erforderlich und sinnvoll. Die Anwendbarkeit des Art. 6 Abs. 1 lit. f DS-GVO auf Videoüberwachung durch Private, die aufgrund der Rechtsprechung des Bundesverwaltungsgerichts und des Anwendungsvorrangs des Unionsrechts bereits gängige Praxis ist, bereitet keine Schwierigkeiten und ist von der Wirtschaft akzeptiert.
Die Klarstellung in § 34 BDSG, dass Auskunftsansprüche betroffene Personen nicht durch private Satzungen beschränkt werden können, bewegt den Regelungsgehalt näher zu Art. 15 DS-GVO. Dies ist zu begrüßen.
Die Regelung des § 34 Abs. 1 Satz 2 BDSG-E soll die Wahrung des Geschäfts- und Betriebsgeheimnisses bei der Durchsetzung von Auskunftsansprüchen sicherstellen. Allerdings ist ihre Vereinbarkeit mit Art. 23 DS-GVO zweifelhaft. Derartige Zweifel werden bereits gegenüber dem bestehenden § 34 Abs. 1 Nr. 2 BDSG geäußert, wenn und soweit kein Ausnahmetatbestand ersichtlich ist. Die Einschränkungen der Betroffenenrechte nach Art. 23 DS-GVO sind eng auszulegen. Als Ausnahmetatbestand für die Wahrung des Geschäfts- und Betriebsgeheimnisses kommt Art. 23 Abs. 1 lit. i DS-GVO in Betracht, wonach eine Beschränkung zum Schutz von Rechten und Freiheiten anderer Personen zulässig ist. Darüber hinaus sind die in § 34 Abs. 1 Satz 2 adressierten Aspekte bereits in Art. 15 Abs. 4 DS-GVO, konkretisiert durch Erwägungsgrund 63 Satz 5 zur DS-GVO, berücksichtigt.
Die Streichung des § 37 Abs. 1 Satz 1 Nr. 1 BDSG ist nachvollziehbar. Eine Entscheidung, die dem Begehren der betroffenen Person stattgibt, kann keine beeinträchtigende Wirkung entfalten und unterfällt daher nicht Art. 22 DS-GVO.
VI. Weitergehender Änderungsbedarf
Der Gesetzentwurf verfolgt neben der Umsetzung des Koalitionsvertrags auch das Ziel, Ergebnisse umzusetzen, die sich aus der Evaluierung des Bundesdatenschutzgesetzes ergeben haben. Im Rahmen der Evaluierung hat die DSK auf Änderungsbedarf zu vielen Regelungen hingewiesen, der im vorliegenden Entwurf nicht oder nicht ausreichend aufgegriffen wurde. Die Datenschutzaufsichtsbehörden der Länder halten an der Stellungnahme der DSK vom 2. März 20212 aus der Evaluierung des Bundesdatenschutzgesetzes und den darin formulierten Änderungsvorschlägen vollumfänglich fest.
Besonders hervorzuheben sind dabei folgende Regelungen:
Der Ausschluss der sofortigen Vollziehung von Verwaltungsakten in § 20 Abs. 7 BDSG führt in der Praxis dazu, dass die Datenschutzaufsicht in dringlichen Fällen nicht effektiv ausgeübt werden kann. Hierzu verweisen die Datenschutzaufsichtsbehörden der Länder auf die Stellungnahme des BfDI vom 13. März 2023 unter Ziffer III.1.
Die Datenschutzaufsichtsbehörden der Länder erinnern an die von der DSK bereits geäußerte Kritik an § 41 BDSG. Hierzu verweisen sie ebenfalls auf die Stellungnahme des BfDI vom 13. März 2023 unter Ziffer III.6.
VII. Gesamtbewertung
Die Regelung zu § 18 Abs. 2 BDSG-E bedarf einer näheren Klärung. Die Änderungen in §§ 19 und 40 BDSG-E sind nicht nachzuvollziehen und sollten unterbleiben. Im Hinblick auf die schwerpunktmäßige Bestimmung von Zuständigkeiten und die Konzentration von Entscheidungskompetenzen der Datenschutzaufsichtsbehörden erweist sich das Modell der § 27 Abs. 5 BDSG-E und § 40a BDSG-E als zu unbestimmt. Es führt nicht zu Rechtsklarheit und bedarf inhaltlicher Korrekturen.
Es sei angemerkt, dass der vorliegende Gesetzentwurf zum BDSG den weiteren Reformbedarf, wie in der Stellungnahme der DSK zur Evaluation des BDSG vom 2. März 2021 ausgeführt, unberücksichtigt lässt. Damit nutzt der Gesetzgeber die Chancen nicht in zufriedenstellendem Maße, erkannte Lücken im BDSG zu füllen und benannte Schwächen zu bereinigen.
1 Stellungnahme der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom 14. August 2023 zum Referentenentwurf des Bundesministeriums für Gesundheit: Entwurf eines Gesetzes zur verbesserten Nutzung von Gesundheitsdaten (Gesundheitsdatennutzungsgesetz – GDNG – Stand 03.07.2023), https://datenschutzkonferenz-online.de/media/st/23_08_14_DSK_Stellungnahme_GDNG-E.pdf.
2 Stellungnahme der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom 2. März 2021 zur Evaluierung des BDSG, https://www.datenschutzkonferenz-online.de/media/st/20210316_DSK_evaluierung_BDSG.pdf.