Zum Inhalt springen Zur Navigation springen
Das Bundesamt für Datenschutz (BAfD) kommt!

Das Bundesamt für Datenschutz (BAfD) kommt!

APRILSCHERZ: Es ist soweit, die Kleinstaaterei im Datenschutz hat endlich ein Ende. Wie uns aus Kreisen der Datenschutzkonferenz der Aufsichtsbehörden der Länder mitgeteilt wurde, zeichnet sich eine Einigung zur Schaffung eines Bundesamts für Datenschutz (BAfD) ab. So soll in Zukunft die Zersplitterung der Rechtslandschaft in Deutschland verhindert werden.

Bleibt die DSGVO doch nur ein Papiertiger?

Anders als in anderen EU-Staaten gibt es in Deutschland 18 Aufsichtsbehörden. Sie haben sich bisher mehr schlecht als recht auf gemeinsame Leitlinien verständigen können.

Die Aufsichtsbehörden der Länder sind zudem schon seit Jahren chronisch unterbesetzt. Mit der Konsequenz, dass die Aufsichtsbehörden kaum mehr Kapazitäten haben, um eingehende Beschwerden, Meldungen und Beratungsanfragen zu bearbeiten.

Seit Anwendbarkeit der Datenschutz-Grundverordnung drohen die Aufsichtsbehörden der Länder unter der Last von Meldungen von Datenschutzverletzungen, Beratungsanfragen und Beschwerden zu kollabieren. Die Zahlen sind „explosionsartig“ gestiegen:

  • Beispielsweise stieg die Zahl der Beratungsanfragen an das Bayerische Landesamt für Datenschutz von rund 3.700 in 2017 auf etwa 9.200 in 2018.
  • In Bayern multiplizierten sich die Meldungen von Datenschutzverletzungen seit der DSGVO um den Faktor 18 auf 2.471 Meldungen, in Nordrhein-Westfalen sogar um den Faktor 22 auf 1.332 im Jahr 2018 und in Berlin um den Faktor 7 auf 357.
  • Die Zahl der Beschwerden in Nordrhein-Westfalen verdreifachte sich von 4.400 im Jahr 2017 auf 12.000 im Jahr 2018.

Die Berliner Datenschutzbeauftragte Maja Smoltcyk stellt in ihrem Tätigkeitsbericht fest: „Ein Rückgang ist nicht erkennbar.“

Die Konsequenz: Die Aufsichtsbehörden in Schleswig-Holstein, Niedersachsen und Berlin schränken die Beratungstätigkeit ein. Die Berliner Behörde könne „bei Weitem nicht mehr alle Anfragen sachgerecht beantworten“ und erforderliche Prüfungen seien „kaum noch machbar“. Vor-Ort-Prüfungen werden kaum noch durchgeführt und es gab kaum Sanktionen zur Durchsetzung der DSGVO. Die Aufsichtsbehörden befinden sich also in einer Art Dauer-Ausnahmezustand. Die DSGVO droht zu einem Papiertiger zu verkommen.

Unsicherheiten bei der Umsetzung der DSGVO

Die Experten sind sich einig: Angesichts der allgemeinen Rechtsunsicherheit seit Anwendbarkeit der DSGVO ist zumindest eine einheitliche Rechtsanwendung seitens der deutschen Aufsichtsbehörden unverzichtbar. Es kann nicht sein, dass sich die deutschen Unternehmen je nach Bundesland einem komplett anderen regulatorischen Umfeld ausgesetzt sehen. Das führt zu inakzeptablen Wettbewerbsverzerrungen.

Gemäß Art. 51 Abs. 2 DSGVO sind zwar alle Aufsichtsbehörden zur Zusammenarbeit im Hinblick auf die konsistente Anwendung der DSGVO verpflichtet. Es ist jedoch streitig, ob das nur für die Zusammenarbeit der europäischen Aufsichtsbehörden untereinander gilt oder auch für die Zusammenarbeit der nationalen Aufsichtsbehörden innerhalb Deutschlands.

Einerseits wird argumentiert, dass der europäische Gesetzgeber bereits gar nicht die Befugnis habe diese nationale Angelegenheit zu regeln. Andererseits wurde zu Recht eingeworfen, dass die Pflicht zur europäischen Kooperation nicht möglich sei, wenn sich bereits die Landesdatenschutzbeauftragten nicht auf einen gemeinsamen Standpunkt einigen können. Für eine Pflicht zur Zusammenarbeit spricht zudem § 18 BDSG.

Aufgrund der schleppenden Kooperation soll nun eine Bundesbehörde Abhilfe schaffen. Ähnlich wie der Bundesbeauftragte für Datenschutz und Informationssicherheit (BfDI), der gem. § 9 BDSG im öffentlichen Bereich die Einhaltung des Datenschutzes überwacht, soll das BAfD den nicht-öffentlichen Bereich überwachen und beraten.

Nieder mit den Behördenfürstentümern!

Die Datenschutzkonferenz ist sich einig: „Wir wollen das scharfe Schwert der DSGVO endlich schwingen“. Dafür waren die Aufsichtsbehörden bisher zu uneins, personell zu schwach aufgestellt und hatten keine Möglichkeit der effektiven europäischen Kooperation. Es ist daher einfach unvermeidbar, dass die knappen Ressourcen möglichst effektiv gebündelt werden und eine Bundesamt für Datenschutz gegründet wird.

Der Sprecher der Datenschutzkonferenz:

„Es ist ein wichtiger Schritt. Die Aufsichtsbehörden der Länder ähnelten immer mehr Patienten auf der Intensivstation mit multiplen Organversagen. Angesichts der Arbeitsbelastung konnten wir unseren Aufgaben kaum mehr nachkommen.“

Das Echo in Fachkreisen ist einhellig, die Aufsichtsbehörden haben in einem Akt selbstloser Aufopferung ihre Eigeninteressen hintangestellt und im Dienste der Rechtssicherheit Platz gemacht für eine mit umfassenden Befugnissen ausgestattete Bundesbehörde. Nur so könne die Einhaltung des Datenschutzes effektiv überwacht werden und eine kompetente Beratung sichergestellt werden.

Das BayLDA wird zur „Super-Behörde“

Es wird kolportiert, dass das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) zum B(ay)AfD ausgebaut werden soll. So wurde vom amtierenden Prinzregenten der CSU, Markus Söder, mit stichhaltigen Argumenten geworben:

  • Das BayLDA unterhalte bereits die gemeinsame Webseite der Datenschutzkonferenz.
  • Die bayerische Verwaltung sei viel effektiver als bspw. die in Nordrhein-Westfalen.
  • Das BayLDA habe sich bereits durch besondere Aktivität, Hilfestellungen, Überprüfungen und Beratung hervorgetan.
  • Bayern sei Marktführer und im Rahmen von Bavaria One investiere man in Digitalisierung und künstliche Intelligenz. Da mache es Sinn auch die Datenschutzbehörde zu finanzieren.
  • Das BayLDA solle mit seinem pragmatischen Ansatz von „Beratung vor Sanktion“ weiter den bayerischen Wirtschaftsstandort stärken.

Mehr Bußgelder eintreiben

Zwar hat insbesondere die baden-württembergische Aufsichtsbehörde 2018 insgesamt 138 Bußgeldverfahren eingeleitet, aber allgemein besteht die Auffassung, dass da noch mehr kommen müsse. So hat Schleswig-Holstein bisher noch kein Bußgeldverfahren nach der DSGVO abgeschlossen.

So äußerte sich ein hochrangiger Mitarbeiter einer Aufsichtsbehörde: „Es ist schon überraschend, dass es dort draußen nur so vor schwarzen Schafen wimmelt, wir aber kaum Bußgelder verhängen.“

Für effektivere Kontrollen soll das Personal massiv aufgestockt werden. Es wird wohl auch die Schaffung einer „Privacy Task Force“ mit umfassenden Befugnissen erwogen. Weitere Erwägungen sind:

  • Zukünftig soll es auch möglich sein, dass das BAfD Durchsuchungen anordnen kann.
  • Es soll eine neue Abteilung für verdeckte Ermittlungen gegründet werden. Diese soll als Verbraucher getarnt die Unternehmen und Behörden überprüfen.
  • Zudem plant die Behörde ein Ampelsystem für die Datenschutz-Konformität von Unternehmen, um eine leichtere Orientierung für Verbraucher zu ermöglichen.

Die zusätzlichen Kosten für die Aufstockung des Personals sollen durch eine bessere Kontrolle der Wirtschaft abgedeckt werden. Diese sollen demnächst umfassender stattfinden, um mehr Bußgelder einzutreiben. Nach dem Vorbild anderer europäischer Länder erwägt man zudem eine Gesetzesänderung, damit diese Gelder zukünftig direkt in die Kasse der Aufsichtsbehörde fließen.

So könne man zwei Fliegen mit einer Klappe schlagen. Zum einen wird die Rechtssicherheit erhöht und andererseits werden die Kosten des Staates durch eine effektivere Überwachung der Einhaltung des Datenschutzes gesenkt.

Europäische Kooperation

Auch die Kooperation mit den anderen europäischen Aufsichtsbehörden sollen vereinfacht werden. Bisher hat sich die Zusammenarbeit mit anderen europäischen Aufsichtsbehörden im One-Stop-Shop-Verfahren schwierig gestaltet. Die Position der deutschen Aufsichtsbehörden ähnelte in vieler Hinsicht eher eine Kakophonie als einer wohl orchestrierten Symphonie.

Die Berliner Datenschutzbehörde etwa berichtet über „komplizierte, arbeits- und zeitintensive Abstimmungs­verfahren mit den anderen Aufsichtsbehörden, die zudem in englischer Sprache und unter strengen Fristen geführt werden müssen“. Die Anzahl der abstimmungsbe­dürftigen Fälle überträfe „alle Erwartungen“.

Die Abstimmungs­verfahren mit den anderen Aufsichtsbehörden seien zu kompliziert, arbeits- und zeitintensiv. Durch die Kommunikation in englischer Sprache werde die Arbeit zusätzlich erschwert. Durch Schaffung einer „Abteilung für Europaangelegenheiten“ in der Bundesbehörde soll diesem Missstand abgeholfen werden.

Alles in allem äußerte der Sprecher der Datenschutzkonferenz der Aufsichtsbehörden der Länder sich uns gegenüber erleichtert: „Es war ein zähes Ringen, aber wir sind überzeugt, dass es der richtige Weg ist. Es ist ein entscheidender Schritt für die Sicherstellung einer einheitlichen Rechtsanwendung, Kooperation auf europäischer Ebene und kompetenter Beratung der Wirtschaft.“

Wir können uns dem nur anschließen. Chapeau oder April, April!

Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 31.12.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.