Der Koalitionsvertrag zwischen CDU und SPD enthält unter der Überschrift „Datenschutz entbürokratisieren“ eine widersprüchliche Ankündigung. Zum einen steht dort „Wir reformieren die Datenschutzaufsicht und bündeln sie beim Bundesdatenschutzbeauftragten.“ Dem folgt im nächsten Absatz die Aussage: „Im Interesse der Wirtschaft streben wir eine Bündelung der Zuständigkeiten und Kompetenzen bei der Bundesdatenschutzbeauftragten an.“
Abgesehen davon, dass die sprachlichen Inkonsistenzen und Doppelungen dieser Formulierungen von der heißen Nadel zeugen, mit der der Text genäht wurde, ist der Unterschied zwischen „reformieren wir“ und „streben wir…an“ durchaus bedeutsam. Der SPD-Vorsitzende Klingbeil hat darauf hingewiesen, dass die Verfasser des Vertrags auch an anderer Stelle bewusst zwischen „werden“ und „wollen“ differenziert haben. Was aus dem Koalitionsvertrag für die Reform der Datenschutzaufsicht konkret folgt, ist also durchaus noch unklar.
Eine Zentralisierung der Datenschutzaufsicht wäre ohne Verfassungsänderung ohnehin nur für den Bereich der Wirtschaft möglich. Die Datenschutzbeauftragten der Bundesländer bleiben also in jedem Fall für die Kontrolle des Datenschutzes in der Landes- und Kommunalverwaltung zuständig. Europarechtlich wäre eine Bündelung der Datenschutzaufsicht in der Wirtschaft zwar zulässig. Nicht alles, was rechtlich zulässig, ist aber auch sinnvoll. Insbesondere führt eine solche Zentralisierung nicht zur Entbürokratisierung, sondern im Gegenteil zu mehr Bürokratie auf Bundesebene, wo die Bundesbeauftragte trotz knappster Kassen massiv ihr Personal aufstocken müsste, um die zusätzlichen Aufgaben bewältigen zu können. Bisher sind in den Aufsichtsbehörden der Länder mehr als 400 Fachleute mit der Beratung und Kontrolle von Wirtschaftsunternehmen befasst.
Zudem ginge mit der Bündelung der Datenschutzaufsicht auf Bundesebene etwas Entscheidendes verloren: die Bürgernähe. Das gilt in erster Linie für die betroffenen Menschen, deren Daten verarbeitet werden. Sie erhalten bisher „Datenschutz aus einer Hand“ vor Ort. Ihnen ist dabei gleichgültig, ob ihre Daten zu Unrecht von öffentlichen oder privaten Stellen verwendet werden, sie wollen, dass das abgestellt wird. Häufig können sie auch nicht selbst ohne weiteres erkennen, ob eine öffentliche oder private Stelle dafür verantwortlich ist, man denke nur an „joint ventures“ zwischen Behörden und Unternehmen. Auch gemeinsame Verantwortlichkeiten sind denkbar. Bürgerinnen und Bürger wollen einen einheitlichen Ansprechpartner, die ihnen in solchen Fällen zeitnah helfen. Das gilt übrigens auch für kleine und mittelständische Wirtschaftsunternehmen (zB Start-ups), die in Datenschutzfragen zeitnah beraten werden oder Datenpannen melden wollen. Das Know-how der Aufsichtsbehörden der Länder trägt häufig auch dazu bei, dass Rechtsstreitgkeiten vermieden werden.
Die Big Tech-Unternehmen aus dem Silicon Valley, die sich gern über die zu zahlreichen und angeblich uneinheitlich agierenden Datenschutzbehörden in Deutschland beklagen, verschweigen dabei, dass für sie in Europa nicht nur das materielle Datenschutzrecht, sondern auch die Datenschutzaufsicht durch die DSGVO vereinheitlicht worden ist. So ist zB für Google und Meta die irische Datenschutzbehörde federführend zuständig, für Amazon die entsprechende Behörde in Luxemburg. Deren Entscheidungen durchlaufen ein Abstimmungsverfahren im Europäischen Datenschutzausschuss, der auch Vorgaben für die Auslegung der Grundverordnung macht. Davon können die deutschen Datenschutzbehörden nicht abweichen.
Selbst wenn die Bundesbeauftragte Außenstellen im Bundesgebiet einrichtete, was wiederum zu mehr Bürokratie führen würde, könnte sie das bestehende Kompetenznetz der Aufsichtsbehörden der Länder nicht ersetzen. Es würde faktisch zu einem Rückzug der Datenschutzaufsicht aus der Fläche und damit zu einer Verringerung der Kontrolldichte kommen. Auch wenn man nicht unterstellt, dass dies beabsichtigt ist: die geplante Bündelung der Datenschutzaufsicht für die Wirtschaft auf Bundesebene wäre ein Schildbürgerstreich.
Dr. Alexander Dix, LL.M.