Datenschutz: Standardisierung auf Bundesebene möglich?

Die Kontrolle vom Datenschutz in der Wirtschaft übernehmen in Deutschland die Länder – und genau das stößt auf Kritik. Deshalb fordert der CDU-Wirtschaftsrat eine Neuorganisation der Datenschutzaufsicht auf Bundesebene.

Datenschutz in Deutschland: Jeder kocht sein eigenes Süppchen

Gegenüber dem Handelsblatt forderte der Wirtschaftsrat der CDU e. V., dass die Kontrolle des Datenschutzes umgestaltet wird. Anstatt wie bisher die Datenschutzkontrolle der Wirtschaft den Ländern zu überlassen, sollte sie auf Bundesebene gebündelt werden. Generalsekretär Wolfgang Steiger erklärte gegenüber dem Handelsblatt: „Es kann nicht sein, dass in Deutschland ein Flickenteppich bei der Beurteilung von gleichen Sachverhalten existiert. […] Es ist an der Zeit, diesen Missstand zu beseitigen“, findet Steiger.

Deshalb fordert Steiger die SPD zum offenen Diskurs auf. Steiger empfindet die unterschiedliche Auslegung der DSGVO in der EU als problematisch – es entstünde ein Widerspruch zum digitalen Binnenmarkt. „Dass diese Praxis in Deutschland fortgeführt wird, potenziert das Problem“, verdeutlicht Steiger.

Wie wir in unserem Beitrag „DSGVO-Geburtstag: 2 Jahre Datenschutz-Grundverordnung“ im Absatz „DSGVO: Kritik gibt es nach wie vor“ dargelegt haben, kritisiert der Digitalverband Bitkom diese Praxis ebenfalls: Dass Datenschutz Ländersache sei, führe zu verschiedenen Bewertungen. Bundesdatenschutzbeauftragter Ulrich Kelber fand zum 2-jährigen DSGVO-Geburtstag die Vorstellung bereits attraktiv, Datenschutzverfahren auf EU-Ebene auszulagern: „Auf Dauer wäre es sinnvoll, wenn der Europäische Datenschutzausschuss (EDSA) wichtige, grenzüberschreitende und ressourcenfressende Fälle an eine europäische Serviceeinheit übertragen könnte, die ihm zugeordnet ist“, erklärte Kelber seinerzeit gegenüber dem Handelsblatt.

Steiger sieht jedoch auch eine Gefahr in dieser Idee, den Datenschutz auf Bundesebene zu bringen: Eine Zentralisierung der Datenschutzaufsicht dürfe keinesfalls zum verschärften Auslegen der DSGVO führen. Schon jetzt verfolge Deutschland im europäischen Vergleich eine „besonders rigide“ Umsetzung. Innovative und digitale Geschäftsmodelle sollen keinesfalls ausgebremst werden. Vielmehr müsse das Ziel sein, „dass die Einheitlichkeit der Rechtsanwendung sichergestellt wird und Unternehmen die erforderliche Beratung bekommen“, so Wolfgang Steiger.

18 Datenschutzbehörden für ein Land

Wie kommt es zu so unterschiedlichen Auslegungen der DSGVO in nur einem Land? Tatsächlich haben wir hierzulande 18 Datenschutzbehörden. Von diesen Behörden zeigt sich eine für den Bund zuständig, 17 für die Bundesländer. Bayern verfügt über zwei Datenschutzbehörden: Während sich die eine mit der Einhaltung des Datenschutzes in der Wirtschaft befasst, zeigt sich die andere für staatlich erhobene Daten zuständig.

Schauen wir noch weiter in die Tiefe: Jedes Bundesland hat also eine (oder im Falle Bayerns: zwei) Datenschutzbehörden mit einem oder einer jeweils zuständigen Landesdatenschutzbeauftragte/n. Hinzu kommt ein Zusammenschluss sämtlicher Aufsichtsbehörden für den Datenschutz im nicht öffentlichen Bereich. Dieser Arbeitskreis der Datenschutzkonferenz (DSK) heißt „Düsseldorfer Kreis“ und er hat es sich zum Ziel gemacht, Einheitlichkeit beim Auslegen, Anwenden sowie Weiterentwickeln des Datenschutzrechts zu schaffen.

Darüber hinaus gibt es noch den Bundesdatenschutzbeauftragten (BfDI); dieses Amt wird derzeit vom bereits zitierten Ulrich Kelber bekleidet. Der BfDI ist jedoch nicht etwa den Landesdatenschutzbeauftragten vorgesetzt, sondern er kümmert sich um den Datenschutz bei übergeordneten (trotz aller Privatisierung) staatlichen Instanzen, beispielsweise Post, Bundeswehr, Bahn oder Bundesnachrichtendienst.

Und was machen dann die Landesdatenschutzbeauftragten (LfD)? Zum einen sind sie damit betraut, beratend und kontrollierend den öffentlichen Stellen der Bundesländer bei datenschutzrechtlichen Fragestellungen zur Seite zu stehen. Diese öffentlichen Stellen können Schulen oder Gemeinden sein, jedoch auch die IHK. Zum anderen fungiert der LfD als Aufsichtsbehörde für nicht öffentliche Stellen – also privatwirtschaftliche Unternehmen. Der LfD wird bei Datenschutzanfragen tätig, aber auch bei Beschwerden gegen privatwirtschaftliche Unternehmen. Er steht allerdings auch Privatpersonen zur Seite und klärt etwaige datenschutzrechtliche Fragen. Der LfD als Aufsichtsbehörde kann Bußgelder bei Datenschutzverletzungen verhängen.

Kritiken am aktuellen Datenschutz

Eigentlich sollte die DSGVO Europas Datenschutz vereinheitlichen. So ganz geglückt ist das nicht, und IHK-Vertreter Mario Bauer erkennt ein Grundproblem: „Viele Unternehmen sind ja auch grenzüberschreitend im Geschäft. Und wenn sie sich jetzt vorstellen, es gibt 27 EU-Mitgliedsstaaten und es gibt 69 Öffnungsklauseln in der EU-Datenschutz-Grundverordnung, die so ein Nationalstaat individuell ausfüllen kann. Auf was sich hier ein Unternehmer einlassen muss, ist schon eine große Herausforderung.“

Ursprünglich forderte die DSGVO mit ihren 69 Öffnungsklauseln eine explizite, europaweit einheitliche rechtliche Klärung eines neuen Datenschutzes, wie Art. 85 DSGVO zeigt: „Die Mitgliedstaaten bringen durch Rechtsvorschriften das Recht auf den Schutz personenbezogener Daten gemäß dieser Verordnung mit dem Recht auf freie Meinungsäußerung und Informationsfreiheit […] in Einklang.“

Ist Datenschutz auf Bundesebene die Lösung?

Derzeit regelt das Bundesdatenschutzgesetz (BDSG) auf Bundesebene den Datenschutz – sowohl für die Bundesbehörden als auch für den privaten Bereich einschließlich privatwirtschaftlicher Unternehmen, Vereinen, Institutionen etc. Die Datenschutzgesetze der Länder sollen den Datenschutz auf Landes- und Kommunalebene regeln. Hinzu kommen datenschutzrechtliche Regelungen in etlichen weiteren Gesetzen: Das Telekommunikationsgesetz (TKG) oder das Telemediengesetz (TMG) sind nur zwei von ihnen. Diese Gesetze enthalten die jeweils für ihren Anwendungsbereich spezifischen Regeln zum Datenschutz. Grundsätzlich gelten diese spezifischen Regelungen vor dem BDSG, welches lediglich ergänzend Anwendung findet.

Würde nun eine Vereinheitlichung vom Datenschutz auf Bundesebene irgendetwas bewirken, wo doch der Datenschutz so viele bereichsspezifische Regelungen enthält? Zweifelsfrei gäbe es eine bessere allgemeine Orientierung, insbesondere für privatwirtschaftliche Unternehmen, die sich zum Beginn der DSGVO sehr orientierungslos inmitten vieler Fragen und weniger Antworten wiederfanden. Eine Vereinheitlichung hätte also Vorteile:

• Klare Richtlinien: Durch klar strukturierte Richtlinien wüssten alle Organisationen, was gefordert, was erlaubt und was verboten ist.
• Vereinfachte Bearbeitung: Eine Vereinheitlichung des Datenschutzes würde die Bearbeitung länderübergreifender Fälle wesentlich vereinfachen.
• Beratung: Da alle Unternehmen dieselben datenschutzrechtlichen Ziele verfolgen würden, wäre die Beratung von Unternehmen nicht nur einfacher, sondern auch gezielter möglich.
• Optimierte Umsetzung: Insgesamt führt eine Vereinheitlichung zu einer flächendeckenderen und damit besseren Umsetzung von Datenschutz.

Und warum warten wir bei all diesen Vorteilen noch? Warum wird die Politik nicht gute zwei Jahre nach DSGVO-Start wieder aktiv und optimiert weiter? Nun ja, das Vereinheitlichen des Datenschutzes ist nicht so ganz einfach. Wir sprechen von derzeit 18 Datenschutzbehörden allein in der Bundesrepublik – es handelt sich also um einen langwierigen Prozess; eine Umstellung von jetzt auf gleich ist undenkbar. Lange Prozesse ziehen hohe Kosten nach sich: Es bräuchte Beratungen, Entwicklungen, Einigungen. Das dauert – und Zeit ist Geld. Hinzu kommt, dass die Zusammenarbeit mit Experten aus verschiedenen Fachrichtungen unabdingbar wäre: Juristen, Datenschutz-, IT-Sicherheits- und weitere Experten müssen an einem runden Tisch zusammenfinden, um Grundsätzliches zu klären. Insgesamt also kein leichtes Unterfangen – es gibt viele potenzielle Beteiligte, viele Ansichten und Meinungen.

Datenschutz ist ein Grundrecht. Es zu wahren, ist kein leichtes Unterfangen – es wird jedoch noch weitaus schwieriger, wenn es keine Einheitlichkeit gibt, nach der man sich richten kann. Das Ziel bei der Neu- oder Weiterentwicklung entsprechender Gesetzestexte muss immer sein, den Datenschutz auf die nächste Stufe zu heben, ihn weiter zu optimieren. Die Vereinheitlichung des Datenschutzes kann definitiv dazu beitragen.

Wie sehen Sie das: Ist eine Neuorganisation der Datenschutzaufsicht sinnvoll? Sollte die Kontrolle des Datenschutzes Ihrer Meinung nach weiterhin Ländersache sein, auf Bundesebene oder sogar – wie von Kelber favorisiert – auf EU-Ebene laufen? Kommen Sie mit unseren Leserinnen, Lesern und uns ins Gespräch – wir freuen uns auf Ihre Kommentare!