- Das System der Datenschutzbehörden in Deutschland ist föderalistisch geprägt.
- Landesdatenschutzbeauftragte verschiedener Bundesländer können bei der Auslegung von Gesetzen unterschiedliche Ansichten haben.
- Auch bei der Auslegung der DS-GVO kann es regionale Unterschiede geben.
- Zahlreiche Instrumente erleichtern die Kooperation der verschiedenen Datenschutzbehörden.
- Die Kommunikation vereinfacht der sogenannte One-Stop-Shop-Mechanismus, bei dem eine Aufsichtsbehörde der einzige Ansprechpartner für einen Antragsteller ist.
In diesem Beitrag
- Wie ist das System der Datenschutzbehörden in Deutschland aufgebaut?
- Wie ist dieses System der Datenschutzbehörden in Deutschland entstanden?
- Wie koordinieren die Behörden ihre Arbeit?
- Woher weiß ich, an wen ich mich wenden muss?
- Wie kooperieren Datenschutzbehörden in der EU bei grenzüberschreitenden Fällen?
- Fazit
Datenschutz ist eine komplexe Angelegenheit – die Vielzahl an Datenschutzbehörden in Deutschland macht ihn nicht einfacher. Wir geben Ihnen einen Überblick über die verschiedenen Behörden und deren Zuständigkeiten und erklären, an wen Sie sich im Einzelfall wenden müssen.
Wie ist das System der Datenschutzbehörden in Deutschland aufgebaut?
Da Deutschland ein föderalistischer Staat ist, ist auch Datenschutz weitgehend Sache der Länder. Hier sind Landesdatenschutzbeauftragte für die Umsetzung und Wahrung des Datenschutzes zuständig. Daneben gibt es auf Bundesebene noch den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit. Für Rundfunk und Kirche gibt es wiederum eigene Aufsichtsbehörden.
Die Landesdatenschutzbeauftragten
Jedes Bundesland hat einen Landesdatenschutzbeauftragten. In den meisten Fällen ist dieser sowohl für den öffentlichen als auch für den nichtöffentlichen Bereich zuständig – also sowohl für Behörden und öffentliche Unternehmen als auch für Privatunternehmen, Vereine, Verbände und politische Parteien.
Einzige Ausnahme ist Bayern: Hier ist der Landesdatenschutzbeauftragte ausschließlich für den Datenschutz im öffentlichen Bereich zuständig. Um den nichtöffentlichen Bereich kümmert sich das Landesamt für Datenschutzaufsicht in Ansbach.
Der Bundesdatenschutzbeauftragte
Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) wiederum ist für alle Bundesbehörden zuständig. Auch Unternehmen aus dem Telekommunikations- und Postbereich fallen in seinen Zuständigkeitsbereich.
Der Bundesdatenschutzbeauftragte und die insgesamt 17 Landesbehörden bilden zusammen die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder. Diese ermöglicht eine gegenseitige Abstimmung.
Rundfunkdatenschutzbeauftragte
Privatsender gehören der Privatwirtschaft an. Daher sind die jeweiligen Landesdatenschutzbeauftragten der Bundesländer zuständig – im Fall von Bayern ist es das Landesamt für Datenschutzaufsicht. Für die öffentlich-rechtlichen Sender gibt es Rundfunkdatenschutzbeauftragte.
In Deutschland existiert kein zentraler Rundfunkdatenschutzbeauftragter, sondern mehrere regionale. Auch dieser Bereich ist föderalistisch strukturiert. Zum Teil sind die Zuständigkeiten der Rundfunkdatenschutzbeauftragten allerdings so gebündelt, dass sich ein Rundfunkdatenschutzbeauftragter um mehrere Sender kümmert.
Kirchliche Datenschutzbeauftragte
In Deutschland existieren auch gesonderte Datenschutzbehörden für die christlichen Kirchen. Dabei gibt es unterschiedliche Regelungen für die evangelische und die katholische Kirche.
Die evangelische Kirche in Deutschland hat einen Beauftragten für Datenschutz. Eine Ausnahme bildet dabei nur die Nordkirche in Teilen Brandenburgs, in Teilen Hamburgs, in Schleswig-Holstein und in Mecklenburg-Vorpommern, die ihren eigenen Datenschutzbeauftragten hat.
In der katholischen Kirche ist die Situation komplexer: Jede Diözese hat einen eigenen Diözesandatenschutzbeauftragten. Zur Abstimmung untereinander gibt es eine Konferenz der Diözesandatenschutzbeauftragten. Auch der Datenschutzbeauftragte der evangelischen Kirche in Deutschland wird regelmäßig dazu eingeladen.
Daneben gibt es auch noch den Verband der Diözesen Deutschlands, der einen Verbandsdatenschutzbeauftragten benannt hat.
Hieraus wird erkenntlich: Die Struktur der Datenschutzbeauftragten ist in Deutschland viel komplexer als in anderen Ländern, in denen es meist nur eine einzige Aufsichtsbehörde gibt. Das hat vor allem historische Gründe.
Wie ist dieses System der Datenschutzbehörden in Deutschland entstanden?
Das erste Datenschutzgesetz weltweit wurde 1970 in Hessen erlassen. Nach und nach legten auch andere Bundesländer Datenschutzgesetze fest, dann folgten das Bundesdatenschutzgesetz (BDSG) und entsprechende Verordnungen auf europäischer Ebene.
Diese Entwicklungen führten also zur Verabschiedung individueller Landesdatenschutzgesetze für jedes Bundesland. Dies ist durchaus sinnvoll, da in manchen relevanten Bereichen – wie z. B. Bildung oder Polizei – die Zuständigkeit ohnehin bei den Ländern und nicht beim Bund liegt.
Inzwischen gibt es die europäische Datenschutz-Grundverordnung (DS-GVO). Sie gilt für alle Mitgliedsstaaten der Europäischen Union unmittelbar. Dennoch gibt es Ausnahmen, die besagen, dass die Mitgliedstaaten für bestimmte Bereiche auch eigene Regelungen erlassen können. Der deutsche Gesetzgeber nutzte diese Öffnungsklauseln sowohl im BDSG und passte auch die Landesdatenschutzgesetze an die DS-GVO an, sodass sie weiter bestehen können.
Welche Vorteile bietet das deutsche System der Datenschutzbehörden?
Die Landesdatenschutzbeauftragten legen (auch) Bundeslandverordnungen und -gesetze aus. Folglich kennen die Landesdatenschutzbeauftragten die landesspezifischen Regelungen und können entsprechend reagieren. Ein anschauliches Beispiel ist die Datenerfassung im Zuge der Coronakrise. Aufgrund der Pandemie erließen sämtliche Bundesländer Schutzverordnungen, die individuell an die Bedürfnisse des Bundeslandes angepasst waren.
Als nach den Lockerungen der Schutzmaßnahmen zum Beispiel Restaurants, Friseursalons oder Physiotherapiepraxen wieder öffnen durften, wurde in vielen Bundesländern beschlossen, dass Kontaktdaten der Gäste, Kunden oder Patienten aufgenommen werden müssen. Die Landesdatenschutzbeauftragten gaben dabei Hilfestellung und stellten Muster für Erfassungsbögen entsprechend den länderspezifischen Vorgaben zur Verfügung.
Hätte es in diesem Fall eine einheitliche Bundesbehörde gegeben, hätte diese sich zunächst einen Überblick über die konkreten Schutzverordnungen der einzelnen Bundesländer verschaffen müssen. Da die Landesdatenschutzbeauftragten mit den länderspezifischen Regelungen bereits vertraut waren, konnten sie schneller handeln und darüber hinaus auf die individuelle Lage in den einzelnen Bundesländern eingehen.
Welche Nachteile birgt die föderale Datenschutzstruktur?
Die DS-GVO besagt, dass Datenschutzbehörden unabhängig sein müssen. Die Mitgliedstaaten müssen dies gewährleisten, auch für jede Landesdatenschutzbehörde. Viele Behörden in Deutschland berufen sich auf diese Unabhängigkeit, was zur Folge hat, dass die Landesdatenschutzbeauftragten verschiedene Ansichten zur Auslegung von Gesetzen, insbesondere der DS-GVO, haben können.
Wenn ein Unternehmen Standorte in verschiedenen Bundesländern hat, kann es schwierig werden, ein einheitliches Datenschutzkonzept für die gesamte Firma zu erstellen. Nehmen wir das Beispiel Betriebsrat. Ist er ein eigener datenschutzrechtlich Verantwortlicher oder Teil des Unternehmens? Wenn der Betriebsrat ein eigener Verantwortlicher wäre, müsste er ggf. auch einen eigenen Datenschutzbeauftragten benennen.
Bayern vertritt zum Beispiel die Ansicht, der Betriebsrat sei kein eigener Verantwortlicher, während Baden-Württemberg das genaue Gegenteil annimmt. Für ein Unternehmen, das sowohl in Baden-Württemberg als auch in Bayern Standorte hat, wäre es also schwierig, ein einheitliches Datenschutzkonzept und einheitliche Datenschutz-Governance zu erstellen.
Wie koordinieren die Behörden ihre Arbeit?
Ein Ziel der DS-GVO war die Vereinheitlichung des Datenschutzes in allen EU-Mitgliedstaaten. Die DS-GVO umfasst 99 Artikel, davon befassen sich allein 25 mit den Aufsichtsbehörden und deren Zusammenarbeit. Dieser beachtliche Anteil zeigt, wie wichtig es der europäischen Gesetzgebung war, eine Vereinheitlichung und mehr Koordination zu erreichen. Der Erfolg zeigt sich in der mittlerweile gut geregelten Zusammenarbeit der Aufsichtsbehörden.
Durch das föderale System in Deutschland kann es aber durchaus vorkommen, dass die DS-GVO in den verschiedenen Bundesländern unterschiedlich ausgelegt wird. Dies läuft dem Vollharmonisierungsgedanken der DS-GVO eigentlich zuwider und kann die Situation für Unternehmen verkomplizieren, die in mehreren deutschen Bundesländern und in mehreren EU-Mitgliedstaaten tätig sind.
In so einem Fall gilt: Aufsichtsbehörden können zwar unterschiedliche Meinungen vertreten, doch die finale Entscheidung, wie das Gesetz anzuwenden ist, obliegt dem Europäischen Gerichtshof.
Woher weiß ich, an wen ich mich wenden muss?
Privatpersonen und Unternehmen können sich zum Thema Datenschutz an eine Aufsichtsbehörde wenden. Doch in manchen Fällen ist nicht auf Anhieb ersichtlich, wer zuständig ist. Die gute Nachricht: Sollte die kontaktierte Behörde nicht zuständig sein, leitet sie die Anfrage im Normalfall an die tatsächlich zuständige Stelle weiter.
Das Leben leichter macht auch Artikel 56 Absatz 1 der DS-GVO. Damit wurde der sogenannten One-Stop-Shop-Mechanismus etabliert. Demnach gibt es eine federführende Aufsichtsbehörde als einzigen Ansprechpartner des Verantwortlichen oder Auftragsverarbeiters im Rahmen grenzüberschreitender Datenverarbeitung. Das heißt, ein Unternehmen muss sich wegen ein und derselben Datenverarbeitung nur mit einer Aufsichtsbehörde auseinandersetzen – unabhängig davon, ob weitere Behörden involviert werden.
Wie kooperieren Datenschutzbehörden in der EU bei grenzüberschreitenden Fällen?
Neben dem One-Stop-Shop-Mechanismus besteht auch die Möglichkeit des sogenannten Kohärenzverfahrens. Bei diesem Verfahren werden strittige Angelegenheiten dem Europäischen Datenausschuss zur verbindlichen Entscheidung vorgelegt.
Es gibt auch noch andere Formen der Zusammenarbeit, zum Beispiel die gegenseitige Amtshilfe. Im Rahmen einer Fallbearbeitung oder zum Informationsaustausch kann zum Beispiel eine Datenschutzbehörde bei einer anderen Datenschutzbehörde in Europa um Unterstützung bitten, also um Amtshilfe. Auch dies hilft dabei, eine möglichst europaweit einheitliche Auslegung und Anwendung der DS-GVO zu erreichen.
Wenn Aufsichtsbehörden sich abstimmen möchten oder gemeinsame Fälle bearbeiten, können sie auf europäischer Ebene auch das sogenannte IMI-System (Internal Market Information System), also ein Binnenmarktinformationssystem, nutzen. Es handelt sich dabei um ein elektronisches System, auf das jede Datenschutzbehörde Zugriff hat. Dort kann sie ihre Fälle eintragen und um Unterstützung bitten.
Fazit
Das föderalistisch geprägte deutsche System der Datenschutzbehörden ist komplexer als in anderen EU-Ländern. Dies führt in der Praxis gelegentlich zu Problemen und ist indirekt ein Wettbewerbsnachteil für deutsche Unternehmen. Die Einführung der DS-GVO hat zwar zur Harmonisierung der Datenschutzregeln in den einzelnen Mitgliedsstaaten beigetragen, doch gibt es nach wie vor regionale Unterschiede innerhalb Deutschlands. Diese sind manchmal auch sinnvoll, denn sie ermöglichen es den Bundesländern, wie im Fall der Coronakrise schneller zu handeln.
Allerdings würde man sich als Datenschutzbeauftragter und Praxisanwender durchaus wünschen, dass die deutschen Aufsichtsbehörden den Vollharmonisierungsgedanken der DS-GVO stärker beherzigen und sich hinsichtlich streitiger Punkte öfters intern abstimmen, bevor sie eine offizielle Position veröffentlichen oder Empfehlung aussprechen.
Nichtsdestotrotz ermöglichen verschiedene Instrumente eine bessere Koordination zwischen den Datenschutzbeauftragten der einzelnen Bundesländer auf nationaler Ebene ebenso wie zwischen den Behörden in verschiedenen EU-Mitgliedsstaaten auf europäischer Ebene im Vergleich zu Zeiten vor Wirksamwerden der DS-GVO im Mai 2018. Davon profitieren auch Unternehmen und Privatpersonen: Erreicht eine Anfrage die falsche Behörde, leitet diese sie an den richtigen Ansprechpartner weiter.