Stellungnahme vom 6. September 2023 zum Entwurf eines Ersten Gesetzes zur Änderung des Bundesdatenschutzgesetzes mit Stand 9.8.2023

I. Vorbemerkung

Die unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder nehmen als Datenschutzkonferenz (DSK) gemeinsam zu dem Vorschlag der Institutionalisierung der DSK Stellung.

Die in der Datenschutzkonferenz vereinten Datenschutzaufsichtsbehörden des Bundes und der Länder sind sich der Verantwortung bewusst, die sie für eine einheitliche Rechtsanwendung tragen. Sie haben im Rahmen ihrer Selbstorganisationsmöglichkeiten bereits wichtige Schritte unternommen, die einen weitgehend einheitlichen Vollzug des Datenschutzrechts in Deutschland sicherstellen sollen. Jedoch stößt die Erreichung des Ziels einer vollständig einheitlichen Anwendung des Datenschutzrechts auf Grenzen. Die Regelungen sind oft abstrakt und bedürfen der Auslegung, um sie anzuwenden. Die bereits umfangreiche Rechtsprechung des Europäischen Gerichtshofes und die von ihm noch zu entscheidenden Rechtsfragen verdeutlichen die Komplexität der Materie. Zudem bestehen oft Unterschiede der Datenverarbeitungsverfahren im Detail und darüber hinaus Unterschiede in der im Einzelfall zu berücksichtigenden Gesetzeslage in den jeweiligen Ländern und dem Bund. Allein die bisher heterogene Rechtsprechung unterschiedlicher Fachgerichtsbarkeiten zum datenschutzrechtlichen Auskunftsrecht verdeutlicht beispielhaft, dass die einheitliche Anwendung von Datenschutzvorschriften kein kurzfristig und einfach erreichbares Ziel darstellt.

Soweit Interpretationsspielräume bestehen, tauschen sich die Mitglieder der DSK systematisch über eine große Zahl von Fachfragen aus und stimmen sich über eine einheitliche Auslegung ab.

II. Institutionalisierung (§ 16a BDSG‐E)

Mit der Vorschrift des § 16a BDSG‐E wird die in der Koalitionsvereinbarung vorgesehene Institutionalisierung der DSK vollzogen. Die DSK wird so als wichtiges, national und international geachtetes Datenschutz‐Gremium anerkannt, unbeschadet der insbesondere nach Maßgabe der Datenschutz‐Grundverordnung bestehenden Zuständigkeiten, Aufgaben und Befugnisse.

Der im Gesetzentwurf vorgesehene Wortlaut der Vorschrift des § 16a Satz 1 BDSG‐E kann allerdings so keinen Bestand haben, da er die DSK unzutreffend umschreibt. Die DSK soll danach durch den oder die BfDI sowie die Aufsichtsbehörden der Länder im Sinne des § 40 BDSG gebildet werden. Durch den Verweis auf § 40 BDSG werden nur die nach Landesrecht für die Datenschutzaufsicht im nichtöffentlichen Sektor zuständigen Behörden erfasst. Damit wäre der Bayerische Landesbeauftragte für den Datenschutz, der für bayerische öffentliche Stellen zuständig und zudem derzeit vom Bundesrat gewählter Stellvertreter des gemeinsamen Vertreters im Europäischen Datenschutzausschuss ist, aus der DSK ausgeschlossen, aber nicht eventuell andere nach Landesrecht vorgesehene sektorspezifische Datenschutzaufsichtsbehörden. Eine solche Zusammensetzung der DSK ist mit dem Regelungsziel des Gesetzentwurfs nicht vereinbar. Dies kann nicht gewollt sein und bedarf daher einer klarstellenden Änderung. Mitglieder der DSK müssen die allgemeinen unabhängigen Datenschutzaufsichtsbehörden nach Art. 51 DS‐GVO sein. Dies gilt umso mehr, als es bei der Zusammenarbeit der Aufsichtsbehörden nach §§ 17, 18 BDSG‐E gerade auch um die Koordinierung der Tätigkeiten auf der europäischen Ebene geht. Folglich ist der Wortlaut des § 16a Satz 1 des Entwurfs wie folgt zu ändern.

„Die oder der Bundesdatenschutzbeauftragte sowie die allgemeinen unabhängigen Datenschutzaufsichtsbehörden der Länder bilden die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (Datenschutzkonferenz); wird in einem Land die Datenschutzaufsicht gegenüber den öffentlichen Stellen des Landes und die Datenschutzaufsicht nach § 40 von getrennten Datenschutzaufsichtsbehörden wahrgenommen, gehören der Datenschutzkonferenz beide Datenschutzaufsichtsbehörden an.“

Nach der Regelung des § 16a Satz 2 BDSG‐E ist ein wesentliches Instrument zur Arbeit in der DSK ihre Geschäftsordnung. Damit würdigt der Gesetzgeber insbesondere die Arbeiten der DSK in deren Arbeitskreis DSK 2.0, die zu Änderungen der Geschäftsordnung geführt haben, mit denen Anwendungsbereich und Verfahren von Mehrheitsentscheidungen ausgeweitet wurde. Diese Festlegung erzeugt eine Selbstbindung der Mitglieder und hat sich als tragfähig erwiesen. Die völlige Unabhängigkeit der Datenschutzaufsichtsbehörden wird gewahrt; zugleich werden die in der Geschäftsordnung verankerten Ziele verfolgt, die Koordinierung und Zusammenarbeit ihrer Mitglieder und die einheitliche Anwendung des Datenschutzrechts zu fördern. Die DSK wird die ihr zur Verfügung stehenden Spielräume weiter in diesem Sinne nutzen.

Die DSK bekräftigt die Notwendigkeit der Errichtung einer Geschäftsstelle. Eine solche ist in § 16a BDSG‐E nicht vorgesehen. Eine ständige Geschäftsstelle bringt einen Gewinn an Professionalität und eine Steigerung der Kontinuität im Handeln der DSK. Die Wahrung dieser Kontinuität bei gleichzeitiger effektiver Aufgabenwahrnehmung wird auch vor dem Hintergrund der fortschreitenden Technologien auf Dauer eine Herausforderung bleiben, die einen eigenen, überschaubaren aber angemessenen Verwaltungsunterbau erfordert. Der jeweilige Vorsitz wird unterstützt und zugleich insbesondere von administrativen Aufgaben entlastet. Für den jeweiligen Vorsitz der DSK ist das kontinuierliche Anstoßen, Koordinieren und Nachhalten von Abstimmungen ein aufwendiges Geschäft geworden, das insbesondere bei personell knapp ausgestatteten Datenschutzaufsichtsbehörden einen erheblichen Teil der vorhandenen Ressourcen bindet. Ein Aufbau von Routinen wird durch den in bundesstaatlicher Tradition etablierten kontinuierlichen Wechsel im Vorsitz erschwert.

Die DSK hat bereits die Aufgaben einer Geschäftsstelle umschrieben und wird den Weg zu deren Einrichtung weiterverfolgen. Dazu wird sie die Bitte an die Länder und den Bund richten, eine entsprechende Verwaltungsvereinbarung abzuschließen. Einen Entwurf für eine solche Verwaltungsvereinbarung kann die DSK zur Verfügung stellen.

III. Gesamtbewertung

Die gesetzliche Verankerung der Datenschutzkonferenz (DSK) und die Festlegung der Geschäftsordnung als wesentliches Instrument zur Regelung ihrer Tätigkeit tragen der Bedeutung der DSK und der Unabhängigkeit der Datenschutzaufsichtsbehörden des Bundes und der Länder angemessen Rechnung. Die Regelung muss aber sicherstellen, dass alle der DSK bisher angehörenden Aufsichtsbehörden ihre erfolgreiche Arbeit für den Datenschutz im nichtöffentlichen wie auch im öffentlichen Sektor fortführen können.

Die einheitliche Anwendung des Datenschutzrechts gehört bereits jetzt zu den Aufgaben der DSK, die sie in vielfältiger Weise erfüllt. Sie verwirklicht eine konsistente Datenschutzaufsicht, die Verantwortlichen, Auftragsverarbeitern und betroffenen Personen Rechtssicherheit bietet. Dazu hat sie zahlreiche Materialien herausgegeben. Hinzu kommen abgestimmte Stellungnahmen zu Gesetzentwürfen oder Praxisfragen der Verarbeitung in Deutschland und Europa, die regelmäßig in kurzer Frist von der DSK erwartet werden. Die organisatorische Unterstützung dieser Harmonisierungsmaßnahmen durch eine Geschäftsstelle wird im Gesetzentwurf nicht geregelt. Gerade angesichts der gestiegenen und weiter steigenden Erwartungen an die DSK hemmt dies eine kontinuierliche Weiterverfolgung der einheitlichen Anwendung des Datenschutzrechts.

Die DSK weist darauf hin, dass die Herausforderungen der neuen EU‐Digitalrechtsakte an die Datenschutzaufsichtsbehörden und ihre Zusammenarbeit mit anderen Behörden in einem nächsten Änderungsgesetz zum BDSG Gegenstand sein müssen, wie das parallel von der Bundesregierung vorgestellte Digitale‐Dienste‐Gesetz verdeutlicht. Denn spezifische Regelungen mit vielfältigen Kooperationsanforderungen werden die Arbeit der Datenschutzaufsichtsbehörden mitprägen. Die Sorge vor parallelen oder unübersichtlichen Verfahrensregelungen und Entscheidungswegen besteht, die zu Rechtsunsicherheit bei Verantwortlichen führen könnten.