„Völlig unabhängig“ – völlig unzureichend?

von MALTE KRÖGER

photo_KROEGER MALTENachdem Deutschland vom Europäischen Gerichtshof wegen der mangelnden Unabhängigkeit seiner Datenschutzbehörden verurteilt wurde, soll ein Gesetzentwurf der Bundesregierung nun die unabhängige und effektive Kontrolle des Datenschutzes sichern. Der Entwurf gleicht das Bundesdatenschutzgesetz im Aufsichtsrecht dem Unionsrecht an und regelt auch die Entlassung neu. Ferner soll es dem Datenschutzbeauftragten in bestimmten Fällen nur im Einvernehmen mit der Bundesregierung möglich sein, in Gerichtsverfahren oder vor Untersuchungsausschüssen wie dem NSA-Ausschuss auszusagen. Ist dies mit seiner Unabhängigkeit vereinbar?

Die unionsrechtlich gebotene Unabhängigkeit der mitgliedstaatlichen Datenschutzbehörden

Im Jahr 1995 hat die Europäische Union eine Datenschutzrichtlinie verabschiedet, welche die Mitgliedstaaten dazu verpflichtet, ihre Datenschutzbehörden „völlig unabhängig“ zu stellen. In zwei Vertragsverletzungsverfahren gegen Deutschland und Österreich entschied der EuGH, dass die völlige Unabhängigkeit „nicht nur jegliche Einflussnahme seitens der kontrollierten Stellen ausschließt, sondern auch jede Anordnung und jede sonstige äußere Einflussnahme, sei sie unmittelbar oder mittelbar, durch die in Frage gestellt werden könnte, dass die genannten Kontrollstellen ihre Aufgabe, den Schutz des Rechts auf Privatsphäre und den freien Verkehr personenbezogener Daten ins Gleichgewicht zu bringen, erfüllen.“

Das erklärte Ziel des Gesetzentwurfs

Das reformierte Bundesdatenschutzgesetz soll nach dem Entwurf jegliche Verbindungen zwischen dem Bundesdatenschutzbeauftragten und der Regierung vermeiden, um hierdurch die unionsrechtlich geforderte Unabhängigkeit zu sichern. Dazu soll dieser auch den Rang einer obersten Bundesbehörde erhalten. Die Kontrolle soll ausschließlich durch das Parlament und die Gerichte erfolgen.

Aufsicht durch die Regierung

Der Gesetzentwurf hebt damit endlich die seit den Urteilen höchstrichterlich festgestellte unionsrechtswidrige Rechts- und Dienstaufsicht über den Bundesdatenschutzbeauftragten auf. Eine Fachaufsicht bestand ohnehin nicht. Damit geht die Regelung über die Bestimmungen der meisten Bundesländer hinaus, die noch die Dienstaufsicht vorsehen.

Obwohl Deutschland im EuGH-Verfahren noch argumentierte, dass das Prinzip demokratischer Legitimation nicht mit der Aufhebung der Aufsicht zu vereinbaren sei, erkennt der Gesetzentwurf nun an, dass die unmittelbare parlamentarische Kontrolle ausreichend Legitimation vermittelt.

Ernennung und Entlassung

Die Bundesregierung beansprucht weiterhin exklusiv das Vorschlagsrecht zur Wahl des Datenschutzbeauftragten. Wird er hierdurch nicht von der Regierung abhängig? Nein, lautet die Antwort des EuGH, denn die Regierung könnte den Datenschutzbeauftragten auch einfach ernennen. Die bestehende Wahl durch das Parlament und die Forderung nach einem Vorschlagsrecht der Fraktionen sind aber aus demokratischer Sicht zu begrüßen. Das Gesetz sollte jedoch sicherstellen, dass nur Personen zur Wahl gestellt werden dürfen, die über ausreichend Expertise im Datenschutzrecht verfügen.

Die vorzeitige Entlassung soll nur der Bundestagspräsident verlangen dürfen, wenn Gründe vorliegen, die bei einem Richter auf Lebenszeit die Entlassung aus dem Dienst rechtfertigen. Die Unabhängigkeit wäre noch vielversprechender geschützt, wenn ein Gericht entscheiden müsste, ob ein Entlassungsgrund vorliegt. Eine entsprechende Verfahrensweise gilt für den Hessischen Datenschutzbeauftragten und ist im Entwurf der Datenschutzgrundverordnung für die nationalen Datenschutzbehörden enthalten.

Beschränkungen des Aussagerechts

An einer Stelle bindet der Gesetzentwurf den Datenschutzbeauftragten jedoch an den Willen der Bundesregierung. Sofern er als Zeuge zu Vorgängen, die dem „Kernbereich exekutiver Eigenverantwortung“ zuzurechnen sind, aussagen soll, muss er das Einvernehmen der Bundesregierung einholen. Dass Gründe bestehen, die das Aussagerecht beschränken, ist nachvollziehbar, wenn Dritten durch die Aussage Schaden drohen würde. Dass das Aussagerecht pauschal unter Verweis auf den Kernbereich exekutiver Eigenverantwortung beschränkt werden kann, ist hingegen zweifelhaft. Als Kontrollinstitution für den Datenschutz gehört es auch zu den Aufgaben, Datenschutzverstöße der Regierung publik zu machen. Sofern dies auf eine Art und Weise erfolgt, die keine konkreten Rückschlüsse auf Kernbereichselemente zulässt, müsste es dem Datenschutzbeauftragten möglich sein, allgemeine Aussagen vor Gericht oder in Untersuchungssausschüssen zu treffen. Die Gleichsetzung des Bundesdatenschutzbeauftragten mit Amtsträgern oder Beamten beachtet die besondere Funktion des Datenschutzes nicht ausreichend.

Wie schwierig die Grenzziehung im Einzelfall jedoch ist, lässt sich anhand eines Strafverfahrens gegen den Sächsischen Datenschutzbeauftragten zeigen. Dieser verlas auf einer Pressekonferenz Verfügungen des Justizministers, mit denen dieser im Rahmen eines Ermittlungsverfahrens gegen einen Parteifreund auf die Staatsanwaltschaft eingewirkt und seinen Parteikollegen über den Stand der Ermittlungen informiert hatte. Der Datenschutzbeauftragte sah dadurch das Datenschutzrecht verletzt und seine Veröffentlichung für gerechtfertigt. Die Staatsanwaltschaft war hingegen davon überzeugt, dass durch dieses Vorgehen der Schutz von Dienstgeheimnissen verletzt wurde und klagte den Datenschutzbeauftragten an. Sowohl das Landgericht Dresden als auch der BGH erkannten an, dass der Inhalt der Verfügungen dem Dienstgeheimnis unterfällt, beurteilten das Vorgehen des Datenschutzbeauftragten jedoch als legitim, um auf ein gesetzmäßiges Verhalten des Justizminister hinzuwirken. Dies entspreche seiner gesetzlich vorgesehenen Funktion. Er wurde deshalb frei gesprochen. In anderen Konstellationen könnte sich aber eine andere Beurteilung ergeben.

Eine Behörde mit zu wenig Personal?

Effektive Datenschutzkontrolle verlangt auch nach einer angemessenen Ausstattung der Behörde. Da die Aufgaben der Datenschutzkontrolle zugenommen haben, wird teilweise die mangelhafte Ausstattung zum Problem, nicht nur in Deutschland. Der Datenschutzbeauftragte Irlands beispielsweise hat 29 Mitarbeiter und sitzt über einem Supermarkt im Kleinstädtchen Portarlington. Irland gehört zwar nicht zu den größeren Mitgliedstaaten, allerdings überwacht der irische Datenschutzbeauftragte die Europaaktivitäten großer Internetkonzerne wie Facebook. Da die Datenschutzkontrolle in Deutschland föderal gegliedert ist, werden entsprechende Aufgaben von den Behörden der Länder wahrgenommen. Die Überwachung von Google obliegt beispielsweise dem Hamburgischen Datenschutzbeauftragten, dessen Stärkung vor kurzem gefordert wurde.

Dem Bundesdatenschutzbeauftragten sollen laut Gesetzentwurf etwa 90 Stellen zur Verfügung stehen, um die Bundeseinrichtungen, insbesondere die Ministerien, aber auch die etwa 500 bundesunmittelbaren Sozialversicherungsträger, deren Spitzenverbände sowie etwa 3.000 Telekommunikations- und weitere 1.500 Postdienstleister zu überwachen. Zudem ist er für die Zusammenarbeit mit den Datenschutzbeauftragten in Europa zuständig – angesichts der im Entwurf vorgesehenen Ausstattung eine erhebliche Herausforderung.

Keine neuen Kompetenzen

Der Gesetzentwurf erfüllt auch nicht die Hoffnungen, die Kompetenzen des Bundesdatenschutzbeauftragten zu stärken. Dieser kann weder Anordnungen gegenüber den Bundeseinrichtungen treffen noch Bußgelder festlegen. Dies würde sich aber ändern, wenn die im Entwurf der Datenschutzgrundverordnung bislang vorgesehenen Kompetenzen in nationales Recht umgesetzt werden müssen. Sofern der Bundestag den Entwurf der Bundesregierung nicht noch abändert, kann nur auf einen neuen Gesetzentwurf gewartet werden. Oder auf ein Urteil des EuGH.

, , , , ,
Nächster Beitrag
Die Schweiz ist vaterschaftsurlaubsreif
Vorheriger Beitrag
Ist die Gesundheitsversorgung migrationspolitisch relativierbar?

Ähnliche Beiträge

Ein Bericht aus der mündlichen Verhandlung vor dem BVerwG von CHRISTIAN HOFFMANN und SÖNKE E. SCHULZ Seit längerer Zeit wird diskutiert, ob ein Unternehmen, das auf Facebook eine Fanseite betreibt, selbst für etwaige Datenschutzverstöße, die Facebook begeht, verantwortlich sein kann, alleine deshalb, weil es sich dafür entschieden hat, eine Fanseite…
Weiterlesen
von JONAS BOTTA Der von Edward Snowden öffentlich gemachte Umfang des Datenzugriffs US-amerikanischer Nachrichtendienste erschütterte die transatlantischen Beziehungen nachhaltig. Getrieben von der Rechtsprechung des EuGHs (Rs. C-362/14) war es der EU-Kommission daher ein besonderes Anliegen, den Datenschutz europäischer Bürger gegenüber US-Behörden entscheidend zu stärken, als 2015 Verhandlungen über eine neue Grundlage…
Weiterlesen
von ELISABETH KATH Die EU hat sich zum Ziel gesetzt, den Schutz von Kinderrechten zu fördern. Unbegleitete minderjährige Flüchtlinge (umF) gelten als besonders schutzbedürftig. Mit seinem Urteil vom 12.04.2018 bestätigt der EuGH diese Zielsetzung im Hinblick auf umF. Er hatte sich mit der Frage auseinanderzusetzen, welcher Zeitpunkt für die Qualifizierung…
Weiterlesen

2 Kommentare. Hinterlasse eine Antwort

  • Christoph Smets
    12. September 2014 10:08

    Vielen Dank für den Beitrag. Hinsichtlich der Ӓnderungen frage ich mich aber, wie die von Dir beschriebene “unmittelbare parlamentarische Kontrolle” aussieht. Gibt es ein Zitierrecht o. ӓ. oder erschöpft sich diese unmittelbare Kontrolle in der Möglichkeit des Verlangens durch den Bundestagsprӓsidenten auf (die ja auch schon bisher bestehende) vorzeitige Entlassung bei Vorliegen der genannten Gründe? Falls dem so wӓre, bestünde natürlich keine wirkliche Kontrolle durch das Parlament, sondern nur eine ӓußerst begrenzte, de facto strafrechtliche Kontrolle (Verurteilung wegen staatsschӓdigender Straftaten oder Verurteilung zu wenigstens einem Jahr Freiheitsstrafe) Wer entscheidet nach dem Entwurf eigentlich endgütig? Der BT-Prӓsident alleine oder auf seinen Vorschlag wie bisher der BPrӓs?

    Wenn nun keinerlei Aufsicht mehr besteht (weder Dienst-, Recht-, noch Fachaufsicht) und der BDatenschutzbeauftragte den Rang einer obersten Bundesbehörde erhӓlt, wird er in eine Stellung erhoben, die teils dem Bundeskanzler, teils einem Gerichtgleicht: Vom Parlament gewӓhlt und ohne Aufsicht gleicht er dem Kanzler; einem Richter, ınsofern nur bei gleichen Gründen die vorzeitige Entlassung stattfinden kann, anders als gegenüber diesem jedoch keine Dienstaufsicht besteht.
    Ich bin auch von der Wichtigkeit des Datenschutzes überzeugt, denke aber, dass hierdurch eine enorm heraugehobene Stellung erzeugt wird, die den Kompetenzen nicht entspricht und folgerichtig forderst Du ja auch bereits schon mehr und weiterreichende Kompetenzen. Anordnungen gegenüber Bundeseinrichtungen zu treffen, war jedoch bisher den Aufsichten, sprich letztendlich den Ministern vorbehalten oder aufgrund von Rechtsverletzungen Gerichten. Auch das Festsetzen von Bußgeldern erscheint auf Bundesebene eher abstrus: An wen sollten diese Bußgelder fließen? Den Bundesbeauftragten oder den Bundeshaushalt, aus dem die Ministerien ohnehin finanziert werden und bei durch ein Bußgeld entstehenden Lücken (nachtrags)finanziert werden müssten?

    Zu guter Letzt wundert mich die zitierte Urteilsstelle (könntest Du hier vielleicht eine Fundstelle für die Lektüre angeben?): Aufgabe des BUNDESbeauftragten (im Ggstz. zu den Landesbauftragten) ist ja nur die Kontrolle der öffentlichen Stellen des Bundes auf die Einhaltung der Vorschriften des BDSG und anderer Gesetze; “den Schutz des Rechts auf Privatsphäre und den freien Verkehr personenbezogener Daten ins Gleichgewicht zu bringen” erscheint mir hingegen als eine klassische parlamentarische, höchstens noch gerichtliche Aufgabe. Ergingen die Urteile allgemein oder bezogen sie sich auf den Bundesbeauftragten?

    Allgemein zeichnete das BDSG bisher ein Kooperationsverhӓltnis zwischen Bundesbeauftragtem und Bundesbehörden, so etwa die Pflicht, dem B.beauftragten Zutritt zu Dienstrӓumen zu verschaffen und Auskunft zu erteilen und die Beanstandung von Rechtsverstößen bei der jeweilgen Aufsichtsbehörde und deren Pflicht zu einer Stellungnahme, die die von der Behörde getroffenen Maßnahmen bezeichnet. Dieses eher kooperative Verhӓltnis (sozusagen von einer Behörde zur anderen) wird durch die neuen Regelungen (und die gewünschten weiteren Kompetenzen) m. E. in ein eher repressives verwandelt, in dem eine staatsanwaltsӓhnliche, unbeaufsichtigte und weisungsunabhӓngige Behörde sogleich mit Anweisung und strafrechtlichen Mitteln (Bußgeld) vor der Tür steht. Sofern im bisherigen System nicht erhebliche Verfehlungen festgestellt wurden, ist es vielleicht nicht immer das Beste, ein Kooperations- in ein Repressionsverhӓltnis verwandeln zu wollen.

    Antworten
    • Malte Kröger
      15. September 2014 08:17

      Lieber Christoph, vielen Dank für Deine interessanten Anmerkungen.
      Die Entlassung soll auf Vorschlag des Präsidenten des Bundestages vom Bundespräsidenten vorgenommen werden. Ein wirkliches Prüfungsrecht des Bundespräsidenten scheint mir an dieser Stelle nicht vorgesehen zu sein. Zu den parlamentarischen Kontrollrechten verweist der Entwurf auf die Berichtspflichten des Bundesdatenschutzbeauftragten. Neben den periodischen Berichtspflichten kann der Bundestag zudem weitere Berichte vom Bundesdatenschutzbeauftragten fordern (§ 26 Abs. 2 BDSG). Ein Zitierrecht des Bundestags ist nicht explizit vorgesehen, wäre aber für eine effektive Kontrolle sinnvoll.
      Der Bundesdatenschutzbeauftragte hat primär die Aufgabe, die Kontrolle des Datenschutzes im öffentlichen Bereich zu sichern – wie Du ja auch vollkommen richtig anmerkst. Der Schwerpunkt der Kontrolle im nicht-öffentlichen Bereich liegt aber bei den Landesdatenschutzbeauftragten – wie angesprochen beispielsweise für Google. In bestimmten Sonderbereichen kontrolliert der Bundesdatenschutzbeauftragte aber auch Unternehmen wie beispielsweise die Deutsche Post AG oder die Deutsche Telekom AG. Nur in diesem Bereich wären Bußgelder eine Alternative zur jetzigen Regelung. Damit hätte der Bundesdatenschutzbeauftragte die gleichen Kompetenzen wie die Landesdatenschutzbeauftragten. Eine Alternative besteht natürlich darin, die Datenschutzkontrolle in diesen Bereichen einem Landesdatenschutzbeauftragten anzuvertrauen.
      Das angegebene Zitat findet sich unter EuGH, Rs. C-518/07, Rn. 30. Der EuGH legt an dieser Stelle Art. 28 der Datenschutzrichtlinie aus. Im Verfahren ging es nur um die Kontrolle im nicht-öffentlichen Bereich. Da die Richtlinie aber nicht zwischen der Datenschutzkontrolle im öffentlichen und nicht-öffentlichen Bereich unterscheidet, wird das Urteil auch auf den Bereich der Datenschutzkontrolle im öffentlichen Bereich angewendet.
      Dein Verweis auf die unterschiedlichen Konzepte (Kooperationsverhältnis vs. „repressive Aufsicht“) spricht ein wichtiges Konfliktfeld zwischen dem in Deutschland bestehenden und dem vom Unionsrecht favorisierten Modell an. In Deutschland scheint mir in vielen Fällen der Datenschutzbeauftragte als „Kooperationsorgan“ mit dem Parlament konstruiert zu sein. Dies zeigt sich beispielsweise daran, dass in einigen Bundesländern die Dienstaufsicht vom Präsidenten des Landtags ausgeübt wird. Die europäische Perspektive nimmt diesen Aspekt nur zum Teil auf.

      Antworten

Schreibe einen Kommentar zu Christoph Smets Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Bitte füllen Sie dieses Feld aus
Bitte füllen Sie dieses Feld aus
Bitte gib eine gültige E-Mail-Adresse ein.

Menü