Für den Datenschutz in Deutschland sind nicht nur die Aufsichtsbehörden der Länder zuständig. Auch auf der Bundesebene gibt es eine Behörde, die sich dem Datenschutz in Deutschland und in Europa verschrieben hat. Die Rede ist vom Bundesbeauftragten für Datenschutz und Informationssicherheit (BfDI). Welche Zuständigkeiten die Behörde hat, haben wir in diesem Beitrag kompakt zusammengefasst.
Der Inhalt im Überblick
Behörde: Bundesbeauftragter für Datenschutz und Informationsfreiheit (BfDI)
Bundesbeauftragter für Datenschutz und Informationssicherheit, ein ungewöhnlicher Name für eine Behörde. Dieser ist aber schnell erklärt. Ursprünglich war das Amt als Bundesbeauftragter konzipiert, der nicht nur die Einhaltung des neu geschaffenen Datenschutzgesetzes überwachen, sondern auch die Regierung zu Fragen des Datenschutzes beraten sollte. Er war im Innenministerium angesiedelt und unterstand der Rechtsaufsicht der Bundesregierung (vgl. § 17 BDSG 1977).
Mit der Zeit wuchs die Bedeutung des Datenschutzes und somit auch die Aufgaben sowie Befugnisse des Bundesdatenschutzbeauftragten. Schließlich forderte die 1995 verabschiedete Datenschutzrichtlinie, dass die Stellen, welche die Einhaltung der Richtlinie kontrollieren, völlig unabhängig zu sein haben. Viele Diskussionen, Vertragsverletzungsverfahren und zwei EuGH Urteile später wurde der Bundesbeauftragte für Datenschutz und Informationssicherheit 2016 offiziell eine eigenständige oberste Bundesbehörde und somit funktionell und strukturell unabhängig. Den früheren Namen aber hat die Behörde beibehalten.
Wer ist der aktuelle Bundesdatenschutzbeauftragte?
Aufgrund dieser Geschichte beschreibt der Begriff Bundesbeauftragter für Datenschutz und Informationsfreiheit (BfDI) nicht nur eine Behörde, sondern immer auch eine Person, nämlich den Behördenleiter (oder die Behördenleiterin, wodurch sich auch das Geschlecht der Behörde zu Bundesbeauftragte ändert). Seit Anfang 2019 ist Ulrich Kelber Bundesbeauftragter für den Datenschutz und Informationsfreiheit. Prof. Kelber hat Biologie und Informatik studiert und ist viele Jahre Mitglied des Deutschen Bundestages gewesen.
Die oder der Bundesdatenschutzbeauftragte wird von der Bundesregierung vorgeschlagen und anschließend vom Bundestag gewählt. Die Person bleibt 5 Jahre im Amt. Eine einmalige Wiederwahl ist möglich. Der Bundesdatenschutzbeauftragte wird auch als Hüter des Grundrechts auf informationelle Selbstbestimmung bezeichnet.
Auswahlverfahren zum Behördenleiter des BfDI
Das Auswahlverfahren des Bundesdatenschutzbeauftragten steht schon seit Inkrafttreten der Datenschutzgrundverordnung in der Kritik. Die DSGVO sieht in Art. 53 Abs. 1 vor, dass die Leitung von Aufsichtsbehörden im Rahmen eines transparenten Verfahrens ernannt wird. Außerdem regelt Art. 53 Abs. 2 Folgendes:
„Jedes Mitglied muss über die für die Erfüllung seiner Aufgaben und Ausübung seiner Befugnisse erforderliche Qualifikation, Erfahrung und Sachkunde insbesondere im Bereich des Schutzes personenbezogener Daten verfügen.“
Der Vorschlag eines künftigen BfDIs durch die Bundesregierung erfolgt jedoch nicht auf der Grundlage eines transparenten und definierten Auswahlverfahrens. Auf eine öffentliche Ausschreibung der Stelle und eine Auswahl anhand von festgelegten Kriterien (z.B. fundierte datenschutzrechtliche Vorkenntnisse), wird bisher verzichtet.
Aufgaben und Befugnisse des Bundesbeauftragten für Datenschutz und Informationsfreiheit
Zu den Aufgaben des Bundesdatenschutzbeauftragte gehören u.a. die datenschutzrechtliche Beratung und Kontrolle von Bundesbehörden, der Telekommunikations- und Postdienstunternehmen und anderer öffentlicher Stellen des Bundes. Er ist nicht für die Kontrolle der privaten Wirtschaft zuständig. Allerdings haben Bereiche seines Tätigkeitsfelds auch sehr direkte Auswirkungen auf Unternehmen. Seine Arbeit präsentiert er dem Parlament und der Öffentlichkeit in einem jährlichen Tätigkeitsbericht.
Überwachung von Öffentlichen Stellen sowie Post- und Telekommunikationsunternehmen
In erster Linie soll der BfDI überwachen, ob sich Post- und Telekommunikationsunternehmen sowie öffentliche Stellen des Bundes an die datenschutzrechtlichen Vorgaben halten. Unter den Begriff der öffentlichen Stelle fallen die Behörden, die Organe der Rechtspflege und andere öffentlich-rechtlich organisierte Einrichtungen des Bundes, der bundesunmittelbaren Körperschaften, der Anstalten und Stiftungen des öffentlichen Rechts sowie deren Vereinigungen ungeachtet ihrer Rechtsform. Im Fall von Datenschutzverstößen spricht der BfDI Verwarnungen oder Verbote aus oder verhängt Geldbußen.
Jedoch sind die Durchsetzungsbefugnisse der Bundesdatenschutzbehörde beschränkt. Nach § 43 Abs. 3 BDSG können gegen Behörden und sonstige öffentliche Stellen grundsätzlich keine Bußgelder verhängt werden. Ihm bleiben gem. § 16 Abs. 1 BDSG die übrigen Abhilfebefugnisse des Art. 58 Abs. 2 DSGVO wie Verwarnungen oder Anordnungen eine Datenverarbeitung anzupassen oder einzustellen.
Doch auch diese werden im Bereich abseits der DSGVO nach § 16 Abs. 2 BDSG weiter eingeschränkt. Dies betrifft vor allem den Bereich der Strafverfolgung und Gefahrenabwehr, also die Bundespolizei und die Geheimdienste. Dort können Datenschutzverstöße nur beanstandet werden. Hinzu kommt aktuell in diesem Bereich, dass die Bundesregierung die Richtlinie Justiz/Inneres EU 2016/680 (JI-Richtlinie) noch nicht vollständig in nationales Recht umgesetzt hat. Sie regelt den durch Behörden einzuhaltenden Datenschutz bei der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten andernfalls der Strafvollstreckung. Die Richtlinie sieht vor, dass Datenschutzaufsichtsbehörden in nationalen Gesetzen zwingend eine Anordnungskompetenz gegenüber den Behörden eingeräumt werden muss. Ulrich Kelber hat die mangelnde Umsetzung der JI-Richtlinie bereits öffentlich stark kritisiert:
„(…) Das untergräbt die demokratische Legitimation der Datenschutzaufsicht und der Strafverfolgungsbehörden gleichzeitig. Hier muss der Gesetzgeber sofort handeln.“
Auch die EU-Kommission hat im April reagiert und ein Vertragsverletzungsverfahren gegen Deutschland eingeleitet.
Bundesdatenschutzbeauftragter vertritt Deutschland im Europäischen Datenschutzausschuss
Für Unternehmen sehr relevant ist die Tätigkeit des Bundesdatenschutzbeauftragten im Europäischen Datenschutzausschuss (EDSA). In diesem vertritt Herr Kelber als Gemeinsamer Vertreter Deutschland. Die Landesdatenschutzbeauftragten hingegen stellen lediglich seinen Stellvertreter. Der Ausschuss beschäftigt sich mit grenzüberschreitenten, datenschutzrechtlich relevanten Sachverhalten. Das Hauptziel ist die Sicherstellung der einheitlichen Anwendung der DSGVO in den Mitgliedsstaaten.
Kein Wunder also, dass die Datenschutzbehörden der Länder sich eine Reform der Vertretung Deutschlands im EDSA wünschen. Da Deutschland nur eine Stimme im Ausschuss abgeben kann, müssen sich der Bundesdatenschutzbeauftragte und sein Stellvertreter abstimmen und versuchen, die Standpunkte des Bundes und der Länder zu vereinen. Die Aufsichtsbehörden der Länder kritisieren, dass ihnen der Vollzug von Datenschutzregelugen nach dem föderativen System obliegt und ihnen demnach autonome Entscheidungen im EDSA ermöglicht werden sollten. Während der BfDI in allen Arbeitsgruppen des Europäischen Datenschutzausschusses vertreten ist, sind die Landesdatenschutzbehörden nur in einigen Gruppen eingebunden.
Beratung, Sensibilisierung und Mitarbeit in der Datenschutzkonferenz
Der Bundesbeauftragte arbeitet außerdem in zahlreichen Arbeitskreisen mit und ist bei Konferenzen zum Thema Datenschutz oder Informationsfreiheiten aktiv. Unter anderem wirkt der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit bei der Konferenz der Informationsfreiheitsbeauftragten gemeinsam mit den Informationsfreiheitsbeauftragten der Länder mit. Für das Jahr 2022 hat der BfDI auch den Vorsitz über die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) inne. Die Konferenz hat die Aufgabe, das Grundrecht auf informationelle Selbstbestimmung zu wahren und zu schützen, und eine einheitliche Anwendung des europäischen sowie des nationalen Datenschutzrechts zu fördern. Außerdem soll die Fortentwicklung des Datenschutzes vorangetrieben werden. Die DSK will sich 2022 vor allem mit Forschungsdaten, dem Einsatz künstlicher Intelligenz im Sicherheitsbereich und elektronischen Identitäten beschäftigen. Auch von diesen Tätigkeiten profitieren Unternehmen.
Ombudsfunktion des BfDI bei der Informationsfreiheit
Neben den datenschutzrechtlichen Aufgaben ist der Bundesbeauftragte auch noch für informationsfreiheitliche Belange zuständig. Jedermann kann sich auf die Informationsfreiheit berufen und Zugang zu amtlichen Informationen der öffentlichen Stellen des Bundes sowie Einsicht in deren Verwaltungsvorgänge fordern. Die Informationsfreiheit schützt das öffentliche Informationsinteresse und steht somit in einem natürlichen Spannungsverhältnis zum Datenschutz.
Im Informationsfreiheitsgesetz (IFG) ist die Funktion des BfDI verankert. Durch das Gesetz soll der Informationszugang und somit die Transparenz und Nachvollziehbarkeit des Verwaltungshandelns gesichert werden. Der Bundesbeauftragte nimmt eine vermittelnde Rolle ein und kann von jedem angerufen werden, der eine Verletzung des Rechts auf Informationszugang nach dem IFG vermutet. Der Bundesbeauftragte kann den Bundesbehörden zwar keine Weisungen erteilen, aber die betroffenen Stellen zu einer Stellungnahme auffordern und vermitteln. Wenn der BfDI der Meinung ist, dass eine Verletzung der Informationsfreiheit vorliegt, kann er dies formell anmerken und die nächsthöhere Behörde oder sogar den Deutschen Bundestag über den Vorfall informieren.
Die Aufgaben des BfDI sind vielschichtig
Das BfDI ist eine relativ junge Behörde mit vielschichtigen Aufgaben und sorgt dafür, dass sich auch die öffentlichen Stellen des Bundes an datenschutzrechtliche Vorgaben halten. In einigen Punkten gibt es allerdings immer wieder den Wunsch nach Reformen. Ob die Wahl des Behördenleiters und die Position des BfDI in der EDSA in Zukunft anders gestaltet werden, bleibt abzuwarten.