Rawpixel.com - stock.adobe.com
Die Datenschutzkonferenz soll den Datenschutz harmonisieren
Die Datenschutzkonferenz (DSK) soll mit verbindlichen Beschlüssen für einen möglichst einheitlichen Datenschutz in Deutschland sorgen und der Unsicherheit von Unternehmen begegnen.
„Unternehmen stehen beim Datenschutz unter permanenten Stress“, so Susanne Dehmel, Geschäftsleiterin Bitkom. „Sie wollen dem Datenschutz Genüge tun, aber dazu müssen sie nicht nur europaweit Gerichtsurteile verfolgen und die unterschiedliche Auslegung aus den Mitgliedsstaaten kennen, sondern sich zusätzlich mit 18 verschiedenen Lesarten von Datenschutzaufsichten allein in Deutschland auseinandersetzen. Das ist vor allem für kleinere Unternehmen immer schwerer zu stemmen.“
Mit dieser Kritik an der föderalen Struktur im Datenschutz in Deutschland und den unabhängigen Landesdatenschutzbeauftragten steht der Digitalverband Bitkom nicht allein. Auch andere Wirtschaftsverbände erklären, dass uneinheitliche Vorgaben durch Landesdatenschutzbehörden zu Verunsicherung bei den Unternehmen führen würden.
Doch auch die Datenschutzbeauftragten selbst wünschen sich mehr Harmonisierung im Datenschutz, innerhalb von Deutschland und insbesondere innerhalb der EU.
„Bürgerinnen und Bürger, Unternehmen und Verbände erwarten zu Recht, dass auch unter der föderalen Struktur der Datenschutzaufsicht in Deutschland vergleichbare Sachverhalte gleich behandelt werden und die Verfahren effizient und transparent ausgestaltet sind“, so der Bundesdatenschutzbeauftragte (BfDI).
Dazu hatten die Aufsichtsbehörden eine Initiative DSK 2.0 gegründet. Doch was genau ist die DSK 1.0, also die bestehende Datenschutzkonferenz (DSK), und was plant die zukünftige Bundesregierung in Sachen Datenschutzkonferenz?
DSK als Gremium der Datenschutzaufsichtsbehörden
Die Datenschutzkonferenz besteht aus den unabhängigen Datenschutzbehörden des Bundes und der Länder. Sie hat die Aufgabe, die Datenschutzgrundrechte zu wahren und zu schützen, eine einheitliche Anwendung des europäischen und nationalen Datenschutzrechts zu erreichen und gemeinsam für seine Fortentwicklung einzutreten. Dies geschieht durch Entschließungen, Beschlüsse, Orientierungshilfen, Standardisierungen, Stellungnahmen, Pressemitteilungen und Festlegungen.
Wenn man die Datenschutzkonferenz (DSK) in Datenschutzgesetzen sucht, wird man bislang nicht fündig. Die DSK wird somit bisher nicht im deutschen Bundesdatenschutzgesetz (BDSG) definiert. In der Datenschutz-Grundverordnung (DSGVO) findet man nur den Europäischen Datenschutzausschuss (EDSA/EDPB) und natürlich nicht ein nationales Gremium wie die DSK in Deutschland.
Doch es gibt eine Geschäftsordnung der Datenschutzkonferenz. Dort findet man als Aufgaben der DSK insbesondere: Die DSK fördert den Datenschutz und verständigt sich auf gemeinsame Positionen der Datenschutzaufsichtsbehörden des Bundes und der Länder.
Zur Erreichung gemeinsamer Positionen strebt die Konferenz Einvernehmen an. Sofern kein Einvernehmen erzielt werden kann, soll die Entscheidung der Mehrheit anerkannt werden.
Bei Mehrheitsentscheidungen zu gemeinsamen Positionen werden auf Wunsch abweichende Voten durch die Bezeichnung des jeweiligen Mitglieds der Konferenz in dem zur Veröffentlichung bestimmten Dokument kenntlich gemacht. Ein Beispiel war die Bewertung der Datenschutzkonferenz zu Office 365.
Die DSK hatte eine vorläufige Bewertung von „Microsoft Office 365“ vorgenommen und ein entsprechendes Positionspapier des Arbeitskreises Verwaltung mehrheitlich zustimmend zur Kenntnis genommen. Die Entscheidung der Datenschutzkonferenz erging mit einer knappen Mehrheit von 9 Stimmen bei 8 Gegenstimmen. Gegen die uneingeschränkte Zustimmung sprachen sich unter anderem die Landesbeauftragten für den Datenschutz Baden-Württemberg, Bayern, Hessen und im Saarland sowie der Präsident des Bayerischen Landesamts für Datenschutzaufsicht aus, dass für die Microsoft Deutschland GmbH zuständig ist.
Hier zeigt sich beispielhaft, dass einzelne Landesdatenschutzbehörden aufweichende Positionen zur DSK vertreten können.
Planungen für verbindliche Beschlüsse der DSK
Generell gilt: Die Datenschutzaufsichtsbehörden sind unabhängig, müssen sich also nicht zwingend an die Beschlüsse der DSK halten. So kann es kommen, dass es nicht nur abweichende Meinungen bei Landesdatenschutzbehörden gibt, sondern dass es diese auch dann gibt, wenn es bereits einen Beschluss dazu von der Datenschutzkonferenz gegeben hat.
Im aktuellen Koalitionsvertrag für eine neue Bundesregierung finden sich auch Vorhaben, die die Datenschutzkonferenz betreffen: „Zur besseren Durchsetzung und Kohärenz des Datenschutzes verstärken wir die europäische Zusammenarbeit, institutionalisieren die Datenschutzkonferenz im Bundesdatenschutzgesetz (BDSG) und wollen ihr rechtlich, wo möglich, verbindliche Beschlüsse ermöglichen.“
Daraus erkennt man, dass die Datenschutzkonferenz (DSK) als feste, definierte Institution in dem BDSG (Bundesdatenschutzgesetz) Einzug halten soll, dazu müsste das BDSG geändert werden.
Zudem wird sichtbar, dass man verbindliche Beschlüsse ermöglichen will, wo dies rechtlich möglich ist. Gemeint ist damit insbesondere, dass die Unabhängigkeit der Datenschutzaufsichtsbehörden der Länder und des Bundes davon nicht berührt werden darf.
So besagt die Datenschutz-Grundverordnung (DSGVO) in Artikel 52 (Unabhängigkeit): Jede Aufsichtsbehörde handelt bei der Erfüllung ihrer Aufgaben und bei der Ausübung ihrer Befugnisse gemäß dieser Verordnung völlig unabhängig. Das Mitglied oder die Mitglieder jeder Aufsichtsbehörde unterliegen bei der Erfüllung ihrer Aufgaben und der Ausübung ihrer Befugnisse gemäß dieser Verordnung weder direkter noch indirekter Beeinflussung von außen und ersuchen weder um Weisung noch nehmen sie Weisungen entgegen.
Es geht nun also darum, möglichst viel Harmonisierung und Einheitlichkeit im Datenschutz in Deutschland zu erreichen und gleichzeitig die Unabhängigkeit der einzelnen Aufsichtsbehörden zu wahren. Dabei kann und wird die Datenschutzkonferenz (DSK) die zentrale Rolle spielen, wobei eine Aufnahme der DSK als Institution im BDSG sicherlich zu begrüßen wäre.