– 18 –
Auswirkungen der aktuellen Aufsichtsstruktur
Unabhängig von der wichtigen Frage der vollständigen
Unabhängigkeit der Aufsichtsbehörden für den nicht-öffentlichen Bereich, die Gegenstand des Vertragsverletzungsverfahrens ist, ergeben sich aus der sehr komplexen
Struktur der Datenschutzaufsicht in Deutschland
(vgl. 20. TB Nr. 2.3) weitere Schwierigkeiten. Die Vielzahl verschiedener und jeweils unabhängiger Aufsichtsbehörden hat zur Konsequenz, dass gleiche Sachverhalte
und Rechtsfragen möglicherweise unterschiedlich beurteilt und gewertet werden, was im Einzelfall im nicht-öffentlichen Bereich für bundesweit operierende Unternehmen und Dienstleister zu Problemen führen kann, aber
auch im öffentlichen Bereich, z. B. bei den Sicherheitsbehörden. Um diesen Schwierigkeiten zu begegnen, bemühen sich die Konferenz der Datenschutzbeauftragten des
Bundes und der Länder für den öffentlichen Bereich und
der sog. „Düsseldorfer Kreis“ für den nicht-öffentlichen
Bereich um gegenseitige Information und Abstimmung,
um zu einer möglichst einheitlichen Rechtsauffassung
und Vorgehensweise zu gelangen. Dieses Verfahren ist
aber sehr zeit- und arbeitsaufwendig und kann wegen der
Unabhängigkeit der jeweiligen Aufsichtsbehörden nur zu
einer Abstimmung, nicht aber zu bindenden Entscheidungen führen. Will z. B. ein bundesweit operierender
Konzern oder ein Branchenverband eine datenschutzrechtliche Fragestellung mit der Datenschutzaufsicht verbindlich klären, kann es viele Monate dauern, bis eine abschließende Meinungsbildung im Düsseldorfer Kreis
erzielt ist, die aber letztlich niemanden bindet und deswegen auch für die Unternehmen nicht die angestrebte
Rechtssicherheit bringt. Hierüber wird auch in der Wirtschaft immer wieder geklagt.
Es könnte deswegen ein wichtiger Beitrag zur Verwaltungsmodernisierung und Entbürokratisierung sein, eine
grundlegende Reform der Datenschutzaufsicht in Angriff
zu nehmen.
2.3
Das Mittelstandsentlastungsgesetz zeigt
für den Datenschutz nicht den richtigen
Weg auf
Das Mittelstandsentlastungsgesetz schränkt für weite Bereiche des Handwerks, des Handels und der freien Berufe
die Pflicht ein, betriebliche Datenschutzbeauftragte zu
bestellen, und verstößt damit gegen europäisches Recht.
Artikel 1 des „Ersten Gesetzes zum Abbau bürokratischer
Hemmnisse insbesondere in der mittelständischen Wirtschaft“ vom 22. August 2006 (Mittelstandsentlastungsgesetz, BGBl. I S. 1970) hat das Bundesdatenschutzgesetz
(BDSG) in mehreren Punkten geändert. Die Regelungen,
die im BDSG und in § 203 StGB die Möglichkeit verbessern, externe Datenschutzbeauftragte insbesondere auch
bei so genannten Berufsgeheimnisträgern zu bestellen,
sind uneingeschränkt zu begrüßen, nicht zuletzt auch deswegen, weil damit eine Klarstellung verbunden ist, dass
das BDSG auch für Rechtsanwälte, Ärzte und andere
freie Berufe gilt, die einer besonderen Schweigepflicht
unterliegen.
Besonders kritisch sehe ich aber die Regelungen, die die
Pflicht zur Bestellung betrieblicher Datenschutzbeauftragter einschränken. Die beschlossenen Änderungen in
§§ 4d und 4f Abs. 1 BDSG lassen sowohl die Pflicht zur
Meldung von Verfahren automatisierter Verarbeitungen
als auch zur Berufung eines betrieblichen Datenschutzbeauftragten bis zu einer Grenze von zehn Arbeitnehmern,
die mit automatisierter Verarbeitung personenbezogener
Daten beschäftigt sind, entfallen. Da nach Angaben des
Statistischen Bundesamtes über 90 v.H. der deutschen
Unternehmen weniger als zehn Mitarbeiter haben, sind
durch die Gesetzesänderung weite Teile des Handels, des
Handwerks und der freien Berufe aus der Meldepflicht
herausgefallen, ohne dass stattdessen ein betrieblicher
Datenschutzbeauftragter über die Einhaltung des Datenschutzes wachen würde.
Diese neue Rechtslage steht zudem nach meiner Einschätzung nicht im Einklang mit europäischem Recht,
nämlich mit Artikel 18 Abs. 1 der Richtlinie 95/46/EG
des Europäischen Parlaments und des Rates vom
24. Oktober 1995 zum Schutz natürlicher Personen bei
der Verarbeitung personenbezogener Daten und zum
freien Datenverkehr (Amtsbl. L 281 vom 23. November 1995, S. 31). Das europäische Datenschutzrecht sieht
die Meldepflicht ohne Einschränkung und „Bagatellgrenze“ zwingend vor. Ausnahmen sind nach Artikel 18
Abs. 2 der Richtlinie nur möglich, wenn entweder ein betrieblicher Datenschutzbeauftragter bestellt wird oder
wenn für Verarbeitungskategorien, bei denen unter Berücksichtigung der zu verarbeitenden Daten eine Beeinträchtigung der Rechte und Freiheiten der betroffenen
Personen unwahrscheinlich ist, die Zweckbestimmungen
der Verarbeitung, die Daten oder Kategorien der verarbeiteten Daten, die Kategorien der betroffenen Personen, die
Empfänger oder Kategorien der Empfänger, denen die
Daten weitergegeben werden, und die Dauer der Aufbewahrung gesetzlich festgelegt sind. Diese Voraussetzungen sind im deutschen Recht nicht erfüllt. Ich halte es
deshalb für europarechtlich unabdingbar, dass entweder
die Meldepflicht oder ein betrieblicher Datenschutzbeauftragter verbindlich vorgesehen wird.
Es erscheint bereits fraglich, ob der bisherige § 4d
Abs. 3 BDSG den europarechtlichen Anforderungen genügt hat. Die Ausweitung dieser Ausnahme steht aber mit
Sicherheit nicht mehr mit der Datenschutzrichtlinie im
Einklang. Die Europäische Kommission hat deswegen
bereits im November 2006 gegenüber der Bundesrepublik Deutschland Bedenken geäußert und um Stellungnahme gebeten, auch zu der Frage, ob und wie die Datenschutzkontrollbehörden in Deutschland zu diesen
Änderungen angehört worden sind.
Eine solche Beteiligung meiner Dienststelle hat es – entgegen der Gemeinsamen Geschäftsordnung der Bundesregierung – nicht gegeben, obwohl hier einschneidende
Veränderungen des Datenschutzrechts vorgenommen
worden sind. Dies bedauere ich um so mehr, als ich damit
keine Möglichkeiten hatte, Alternativen vorzuschlagen
und zu diskutieren, die unter Bewahrung des Prinzips der
betriebsinternen Datenschutzkontrolle Unternehmen und
R
BfDI 21. Tätigkeitsbericht 2005-2006