Zum Inhalt springen Zur Navigation springen
Landesdatenschutzbeauftragter: Aufgaben und Kompetenzen

Landesdatenschutzbeauftragter: Aufgaben und Kompetenzen

Wir haben bereits über die Aufgaben und Zuständigkeit des Bundesbeauftragten für Datenschutz und Informationsfreiheit (BfDI) berichtet. Dieses Mal wird der Landesdatenschutzbeauftragte näher unter die Lupe genommen. Welche Aufgaben hat ein Landesdatenschutzbeauftragter eigentlich und warum hat jedes Bundesland einen eigenen? Einen kompakten Überblick über die Aufgaben und Kompetenzen der Landesbehörde bietet dieser Beitrag.

Datenschutzaufsichtsbehörde: Der Landesbeauftrage für den Datenschutz

Wie auch beim Bundesbeauftragten für Datenschutz und Informationsfreiheit (BfDI) handelt es sich beim Landesbeauftragten für den Datenschutz (LfD) nicht nur um die Bezeichnung einer natürlichen Person, die das Amt ausübt, sondern auch um die einer Behörde – einer Aufsichtsbehörde. Der LfD ist damit Aufsichtsbehörde für den Datenschutz in öffentlichen Bereichen. Er überwacht und berät die öffentlichen Stellen des eigenen Bundeslandes in Fragen des Datenschutzes und übt insoweit seine Kontrollfunktion aus. Die Aufgaben leiten sich aus dem jeweiligen Landesdatenschutzgesetz ab.

Darüber hinaus erstreckt sich seine Zuständigkeit als Datenschutzaufsichtsbehörde auch auf den nicht-öffentlichen Bereich, wie bspw. auf private Wirtschaftsunternehmen oder Vereine. Nur Bayern schuf hierfür eine separate Aufsichtsbehörde, das Landesamt für Datenschutzaufsicht.

Jedes Bundesland hat jeweils ein eigenes Landesdatenschutzgesetz und einen eignen, örtlich zuständigen LfD. Da Bayern zwei Aufsichtsbehörden hat, existieren auf Länderebene also insgesamt 17 unterschiedliche Datenschutzaufsichtsbehörden. Das liegt an der mangelnden Zuweisung der Gesetzgebungskompetenz im Grundgesetz zur Regelung des Datenschutzes. Die Gesetzgebungskompetenz der Länder folgt damit aus Art. 70 Abs. 1 GG.

Dennoch kommt dem Bund in diesem Bereich eine ergänzende Gesetzgebungskompetenz kraft Sachzusammenhangs zu, wenn er

„eine ihm zur Gesetzgebung zugewiesene Materie verständigerweise nicht regeln kann, ohne dass die datenschutzrechtlichen Bestimmungen mitgeregelt werden.“

Das entschied das Bundesverfassungsgericht.

Gemeinsam mit dem Bundedatenschutzbeauftragten und dem Bayerischen Landesamt für die Datenschutzaufsicht bilden die LfD die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK).

Wie wird ein Landesdatenschutzbeauftragter gewählt?

Das Verfahren zur Wahl eines LfD birgt in der Praxis einige Probleme. Art. 53 DSGVO sieht vor, dass die Aufsichtsbehörden der Mitgliedsstaaten im Rahmen eines transparenten Verfahrens ernannt werden. Die jeweiligen Landtagsfraktionen eines Bundeslandes können dazu geeignete Kandidatinnen und Kandidaten für das Amt des LfD vorschlagen, die oder der anschließend vom Landtag gewählt wird. Das bestimmen die jeweiligen Landesgesetze.

Ob es einer öffentlichen Ausschreibung für das Amt des LfD bedarf, wird unterschiedlich beantwortet und ist Streitthema in der Literatur und Rechtsprechung. So hat das Verwaltungsgericht Schleswig-Holstein mit Beschluss vom 19.08.2020 (12 B 36/20) entschieden, dass es bei der Wahl des LfD keiner öffentlichen Ausschreibung bedarf, während andere Bundesländer mehr oder weniger routiniert eine öffentliche Stellenausschreibung praktizieren. Erfolgt die Besetzung ohne öffentliche Ausschreibung, wird kritisiert, dass die erforderliche (politische und rechtliche) Unabhängigkeit des Amtsinhabers angezweifelt werden könnte. Es sei nicht auszuschließen, dass bei intransparenten Bewerbungsverfahren interne Absprachen zwischen der jeweiligen Landtagsfraktion und der Kandidatin/ dem Kandidaten erfolgen, um eine politikgünstige Besetzung durchzusetzen.

Aber nicht nur die erforderliche Transparenz des Wahlverfahrens sorgt für Probleme bei der Amtsbesetzung. Dadurch, dass die Kandidatinnen und Kandidaten durch die jeweiligen Regierungsparteien vorgeschlagen werden, kann ein Wahlgang für die Besetzung des Amtes mangels erforderlicher Stimmmehrheit scheitern. So auch in Sachsen-Anhalt, wo jüngst erneut (seit 2017!) die Wahl eines LfD gescheitert ist. Das Amt ist seit 2020 unbesetzt. Aktuell überprüft der stellvertretende (und zuvor vom Landtag nicht gewählte) LfD die Fachkompetenz des nun designierten Landesdatenschutzbeauftragten. Und auch in Berlin konnte man sich länger nicht auf eine Besetzung der seit Oktober 2021 vakanten Stelle der Landesbeauftragten für Datenschutz trotz genügend zeitlichen Vorlaufs einigen. Die politischen Streitigkeiten um die Besetzung des Amts wurden dabei zudem durch eine öffentliche Initiativbewerbung Malte Engelers angeheizt, der damit auch Kritik am intransparenten Besetzungsverfahren übte. Erst im Oktober 2022, kurz vor der Neuwahl in Berlin, konnte man sich auf eine Nachfolgerin der Landesdatenschutzbeauftragten einigen.

Aufgaben und Befugnisse eines Landesbeauftragten für Datenschutz und Informationsfreiheit

Wird ein LfD erfolgreich gewählt, muss er sich seinen Aufgaben innerhalb seiner Befugnisse widmen. Neben den Aufgaben aus Art. 57 DSGVO haben die Landesgesetzgeber das Tätigkeitsfeld im jeweiligen Bundesland konkretisiert.

Überwachung und Ahndung von Datenschutzverstößen

Als Aufsichtsbehörde kontrolliert der LfD die Einhaltung der datenschutzrechtlichen Bestimmungen bei öffentlichen (z.B. Finanzämter, Polizeidienststellen oder städtische Krankenhäuser) und nicht-öffentlichen Stellen (z.B. Vereine oder Unternehmen). Die Kontrollfunktion bei nicht-öffentlichen Stellen nimmt nur in Bayern nicht der LfD, sondern eine eigens dafür geschaffene Aufsichtsbehörde wahr, das Landesamt für Datenschutzaufsicht. Die Aufsichtsaufgaben des Landesamtes stimmen aber mit denen der LfD überein.

Zur Ausübung seiner Überwachungsaufgabe ist der LfD mit den dafür erforderlichen Befugnissen ausgestattet. So hat er zu Prüfzwecken das Recht auf ungehinderten Zugang zu den verantwortlichen Stellen (bspw. bei öffentlichen Stellen sogar ohne vorherige Anmeldung, vgl. § 21 Abs. 5 Nr. 3 BremDSGVOAG).

Stellt der LfD Verstöße gegen geltendes Datenschutzrecht fest, kann er gem. Art. 58 Abs. 2 DSGVO Sanktionen und Bußgelder erlassen, sowie über weitere Abhilfemaßnahmen der Vorschrift verfügen. Bei rechtswidrigen Datenverarbeitungsvorgängen können gem. Art. 83 Abs. 7 DSGVO Geldbußen gegen öffentliche Stellen gänzlich ausgenommen werden. Von diesem Recht haben bspw. Brandenburg (§ 32 Abs. 3 BbgDSG) oder auch Bremen (§ 23 Abs. 3 BremDSGVOAG) Gebrauch gemacht.

Beratung und Öffentlichkeitsarbeit

In Datenschutzfragen wird der LfD aber auch beratend tätig. So stellt er sich den Fragen der Landesregierungen, Behörden und anderer öffentlichen Stellen, die im datenschutzrechtlichen Bereich aufkommen. Bei der Einführung neuer technischer Verfahren in der Verwaltung kann der LfD begleitend mitwirken. Stehen Gesetzesvorhaben im Raum, die den Datenschutz oder die Informationsfreiheit betreffen, kann die Landesregierung den LfD mit Untersuchungen oder der Erstellung von Gutachten beauftragen.

Aber auch Unternehmen, die ihren Sitz im jeweiligen Bundesland haben, kontrolliert und berät der LfD im Umgang mit Datenverarbeitungsvorgängen, bspw. bei der Frage zur Erstellung einer Datenschutzfolgenabschätzung (DSFA).

Darüber hinaus sensibilisiert er die Öffentlichkeit für das Thema Datenschutz, insbesondere über Risiken und Rechte, die bei einer Datenverarbeitung bestehen.

In ihrem Umfang hängen die Beratungstätigkeiten und Öffentlichkeitsarbeiten jedoch stark von der jeweiligen Kapazität der Dienststelle ab.

Tätigkeiten in der Informationsfreiheit

Viele LfD sind zusätzlich für die Beratung zur Informationsfreiheit zuständig. Die Beratung erfolgt über die Wahrnehmung von Rechten nach dem jeweiligen Landesinformationsfreiheitsgesetz, sowohl für öffentliche als auch nicht-öffentliche Stellen.

Mangelnde personelle Ausstattung der Landesdatenschutzbeauftragten

Zu Erfüllung ihrer Aufgaben benötigen die LfD ausreichende personelle und finanzielle Ausstattung. In der Realität fehlt es daran aber häufig. So hat der Europäische Datenschutzausschuss (EDSA) in seinem Bericht veröffentlicht, dass gerade einmal 18% der Aufsichtsbehörden der Mitgliedsstaaten davon ausgehen, dass ihre finanziellen Ressourcen zur Aufgabenwahrnehmung genügen. Düsterer sieht es sogar bei der personellen Ausstattung aus: Damit sind gerade einmal 14% der Aufsichtsbehörden zufrieden. Dabei enthält Art. 52 Abs. 4 DSGVO die Garantie zur ausreichenden personellen und finanziellen Ausstattung der Aufsichtsbehörden.

Der LfD für Sachsen-Anhalt ist in seinem Tätigkeitsbericht vom Juni 2020 auf die rudimentäre Ausstattung seiner Behörde eingegangen und spricht bei der Streichung von Stellen in seinem Fall sogar von einer

„gravierende(n), unzulässige(n) Einflussnahme in die völlige Unabhängigkeit des Landesbeauftragten“.

Viele weitere LfD erklären in ihren Tätigkeitsberichten, dass die zunehmende Aufgabenwahrnehmung aufgrund gleichbleibender personeller und/oder finanzieller Ausstattung nicht vollends gewährleistet werden könnte. Während der Umfang der Aufgaben wachse, stehe die Anpassung der Finanzen und Stellen in keinem Verhältnis.

Zwei Behörden, drei Meinungen: Zentralisierung der Datenschutzaufsicht oder reicht mehr Kooperation?

Jedes Jahr veröffentlichen die LfD einen Tätigkeitsbericht. Aufgrund der dünnen Rechtsprechung im Bereich des Datenschutzes ergeben sich aus den Berichten oftmals unterschiedliche Rechtsauffassungen, ganz der Faustregel „Wo zwei Behörden, da drei Meinungen“. Das führt auf Dauer zur Rechtsunsicherheit bei öffentlichen und nicht-öffentlichen Stellen, sollte doch die DSGVO gerade für das Gegenteil sorgen. Außerdem war da ja noch die Problematik mit der unzureichenden finanziellen Ausstattung der Landesbehörden…

Eine Bundesbehörde für die wirtschaftlichen Stellen

Aus diesen Gründen haben einige Stimmen in der Politik, sowie der Abschlussbericht der Datenethikkommission eine Zentralisierung der Aufsichtsbehörde ins Auge gefasst. Die Datenschutzaufsicht über den nicht-öffentlichen Bereich solle laut Vorschlag der Ethikkommission auf den BfDI übertragen werden, mit der Folge, dass nur noch eine zentrale Aufsichtsbehörde existiere. Befürworter dieser Meinung sehen darin die Möglichkeit der einheitlichen Rechtsauslegung. Die zentralisierte Bundesbehörde solle sich dann vielmehr der Beratungstätigkeit, als den Sanktionen widmen das käme gerade den kleineren Unternehmen und Start-Ups zugute, die auf eine solche Tätigkeit angewiesen wären. In der Praxis kämen sie derzeit viel zu kurz; oftmals werde nur kommuniziert, was rechtlich nicht vertretbar sei, statt bei einer datenschutzrechtlichen Lösung die passende Unterstützungstätigkeit zu leisten.

Der Großteil der LfD, sowie diverser Politiker äußern Bedenken hinsichtlich der Rechtmäßigkeit einer solchen Lösung und sprechen sich gegen eine Zentralisierung aus. Eine Dezentralisierung der LfD habe die räumliche Nähe zu den örtlichen Unternehmen, ihren Verantwortlichen und den jeweiligen Betroffenen zum Vorteil. Die andauernde, enge Arbeit mit den lokalen Unternehmen führe zu einem effektiven Datenschutz, dem eine einheitliche Bundesbehörde aufgrund fehlender regionaler Nähe nicht gewachsen sei. Eine Zentralisierung der Datenschutzaufsicht sei daher nicht notwendig, sondern berge viel eher die Gefahr der Schaffung einer (in der Praxis) handlungsunfähigen Bundesbehörde.

Kein Status quo bei den Landesbehörden

Das bedeutet aber nicht, dass die Gegner einer möglichen Zentralisierung den Status quo beibehalten möchten. Zur Lösung der Problematik divergierender Rechtsauslegungen wurden unterschiedliche Vorschläge veröffentlicht, bspw. der des ehemaligen BfDI, Peter Schaar. Sein Vorschlag sieht für die Datenschutzkonferenz (DSK) ein Kohärenzverfahren nach dem Vorbild der Art. 63 ff. DSGVO vor, um eine einheitliche Rechtsauslegung zu ermöglichen.

Sollten zwischen den Aufsichtsbehörden streitige Fragen bestehen, könnte die DSK eine verbindliche Mehrheitsentscheidung treffen und so zu einem einheitlichen Ergebnis beitragen. Zu verbindlichen Beschlussfassung sollten die DSK daher alle zwischen den einzelnen Bundesländern strittige Fälle vorgelegt werden. Im Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2021 des BfDI wird aufgrund des Zwischenberichts des Arbeitskreises DSK 2.0 der Bundesregierung „die im Koalitionsvertrag angekündigte Institutionalisierung der DSK“ empfohlen, um die „Kooperation unter Wahrung der Unabhängigkeit der Aufsichtsbehörden“ durch gesetzgeberische Maßnahmen anzugehen.

Gegen diesen Vorschlag wehrt sich jüngst der bayerische Ministerpräsident mit einem Antrag an den Bundesrat vom 10. Mai 2022. Darin folgt er der Auffassung des Bundesministeriums des Innern, für Bau und Heimat (BMI) und spricht sich gegen die „Befugnisse der DSK zu verbindlichen, mit der föderalen Kompetenzordnung des Grundgesetzes nicht vereinbaren Entscheidungen über Auslegungsmaximen des Datenschutzrechts und Angelegenheiten des Datenschutzes aus.“

Es bleibt also spannend, wie genau eine engere Kooperation zwischen den Aufsichtsbehörden ausgestaltet werden soll, um eine einheitlichere Rechtsauslegung anzugehen.

So erreichen Sie den für Sie zuständigen Landesbeauftragten für Datenschutz

Sie erreichen die jeweiligen örtlich zuständigen LfD unter folgenden Kontaktinformationen:

Aufsichtsbehörde mit Herausforderungen

Die LfD sind also eine Datenschutzaufsichtsbehörde mit vielschichtigen Aufgaben und Befugnissen. Ihre örtliche Nähe zu Verantwortlichen und Betroffenen zeichnen sie bei der Wahrnehmung ihrer Tätigkeiten aus. Die prekäre Lage ihrer personellen und finanziellen Ausstattung aber stellt sie vor vielen Herausforderungen. Deshalb, und weil die Rechtsauffassungen der insgesamt 17 unabhängigen Landesbehörden nicht immer übereinstimmen, fordern einige Stimmen eine Zentralisierung der Datenschutzaufsicht wirtschaftlicher Stellen auf Bundesebene. Ob mehr Kooperation zwischen den Aufsichtsbehörden ausreicht, um die Rechtsunsicherheiten zu beseitigen und wie diese konkret ausgestaltet werden soll, bleibt mit Spannung abzuwarten.

Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 31.12.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.