Peter Schaar war von 2003 bis 2013 Bundesbeauftragter für den Datenschutz und die Informationsfreiheit (BfDI). Heute ist er Vorsitzender der Europäischen Akademie für Informationsfreiheit und Datenschutz (EAID). In unserem exklusiven Interview blicken wir gemeinsam auf den Datenschutz im Jahr 2016 zurück:
Interview
Herr Schaar, wichtigstes Thema im Jahr 2016 in Sachen Datenschutz war natürlich die Verabschiedung der EU-Datenschutz-Grundverordnung (DSGVO). Wie sehen Sie das neue europäische Gesetz insgesamt – eher Fluch oder eher Segen?
Peter Schaar: Ich bewerte das von den EU-Gremien beschlossene Datenschutzpaket positiv. Datenschutz lässt sich einfach nicht mehr auf rein nationaler Ebene realisieren. Auch Deutschland als mittelgroßes Land kann alleine nicht mit riesigen Wirtschaftsräumen wie China oder den USA auf Augenhöhe sein, das schafft nur Europa. Allein deshalb ist es ein großer Schritt nach vorne für den europäischen Datenschutz.
Den europäischen Ansatz gibt es aber doch schon seit der Datenschutzrichtlinie von 1995.
Ich halte es für richtig, dass wir innerhalb Europas gemeinsame verbindliche Datenschutzregeln haben, die eben nicht mehr durch nationales Recht umgesetzt werden müssen wie die Richtlinie von 1995. Deren unterschiedliche nationale Umsetzung in den 28 EU-Mitgliedstaaten hat ja dazu geführt, dass wir heute ein hohes Maß an Zersplitterung haben.
Das Ziel der Vollharmonisierung scheint allerdings wieder in Gefahr zu sein, wenn man sich den Entwurf des neuen BDSG anschaut…
Wenn man sich vorstellt, wir bekommen anstelle der 28 Datenschutzgesetze bald 28 Datenschutzanpassungsgesetze, welche die derzeitige uneinheitliche Rechtslage konservieren, könnte man schon an der Weisheit der Initiatoren zweifeln. Bisher liegt ja nur ein Referentenentwurf aus dem Bundesinnenministerium vor und es wird sich zeigen, ob und wie dieser Entwurf das Gesetzgebungsverfahren übersteht. Ich kann nur hoffen, dass die dort vorgesehenen geplanten Absenkungen des derzeitigen Datenschutzniveaus und die damit verbundenen deutschen Sonderwege vermieden werden können.
Ihre Prognose: Wird das neue BDSG im nächsten Jahr verabschiedet?
Prognosen sind schwierig, sofern sie die Zukunft betreffen. Dieser alte Satz gilt auch hier.
Weitere wichtige Ziele der Grundverordnung sind die Verbesserung der Rechtsdurchsetzung und die damit einhergehende Stärkung der Aufsichtsbehörden. Erwarten Sie hier spürbare Effekte?
Auf jeden Fall! Allein die neuen Sanktionsmöglichkeiten mit drastisch erhöhtem Bußgeldrahmen von 20 Mio. Euro bzw. 4% des Weltjahresumsatzes werden bewirken, dass selbst große Unternehmen datenschutzrechtliches Fehlverhalten nicht mehr auf der Ebene der Portokasse betrachten können.
Und die neue Rolle der Aufsichtsbehörden?
Die in der Verordnung vorgesehenen Kohärenzmechanismen werden zu einem höheren Maß an Zusammenarbeit zwischen den europäischen Datenschutzbehörden führen. Auch das sehe ich positiv, aber es ist auch eine große Herausforderung für die Datenschutzbehörden.
Wobei die Abstimmung zwischen den Aufsichtsbehörden schon innerhalb Deutschlands zwischen Landesbehörden und dem BfDI schwierig ist, man muss nur an den Streit um die Frage denken, wer Deutschland im Europäischen Datenschutzausschuss [Nachfolger der Art-29-Gruppe, Anm. d. Red.] vertreten soll.
Das ist ein speziell deutsches Problem, kein anderer Mitgliedstaat kennt diese Schwierigkeiten. Wir werden bei Beibehaltung des föderalen Aufsichtssystems, zu dem es schon aus verfassungsrechtlichen Gründen keine Alternative gibt, auch hier zu mehr Effektivität kommen müssen.
Wie konkret?
Die Datenschutzaufsicht muss sich zunächst innerhalb Deutschlands viel besser abstimmen, als es bisher der Fall war. In der Vergangenheit gab es teils sehr divergente Auffassungen und Praktiken der Datenschutzbehörden. Hier muss – wie in der DSGVO für den Europäischen Datenschutzausschuss vorgesehen – die Mehrheitsregel gelten.
Da in Deutschland die Landesbehörden für die Aufsicht der Unternehmen zuständig sind, wäre es aber auch unpassend, wenn allein die Bundesbeauftragte für den Datenschutz die Vertretung im Europäischen Datenschutzausschuss übernehmen würde, oder?
Selbst dem Bundesinnerministerium ist ja aufgefallen, dass wir hier eine andere Regelung benötigen, was zunächst dafür spricht, dass die Problemlage dort bekannt ist. Es kommen verschiedene Lösungen in Betracht, wichtig ist nur, dass Deutschland letztlich mit einer Stimme im europäischen Datenschutzkonzert mitspielt und dass die unabhängigen Datenschutzbehörden selbst darüber entscheiden, mit welchen Positionen Deutschland in den EU-Datenschutzausschuss geht und wer die Außenvertretung wahrnimmt.
Welche Lösung würden Sie präferieren?
Ich fände eine gleichberechtigte Vertretung des Bundes und der Länder sehr sinnvoll. Ich könnte mir zum Beispiel ein Modell vorstellen, bei dem immer eine Landesaufsichtsbehörde und die bzw. der Bundesbeauftragte im Wechsel Vertreter und Stellvertreter für den Europäischen Datenschutzausschuss stellen. Über die deutsche Position entscheidet immer die Ebene, deren Aufgabengebiet berührt ist. Bei der Fragen, welche die Datenschutzaufsicht über die Wirtschaft betreffen, müsste die deutsche Datenschutzkonferenz dem deutschen Vertreter mit einem entsprechenden Mandat ausstatten. Ein solches Verfahren setzt klare Regelungen voraus und ich würde mir wünschen, dass sich die deutschen Datenschutzbehörden zügig darüber verständigen.
Zweiter Teil
Morgen folgt der zweite Teil unseres Interviews, in dem wir mit Peter Schaar über das Privacy Shield und drohende Aufweichungen des Datenschutzrechts in Deutschland sprechen konnten.