In Deutschland wird es auch weiterhin verschiedene Aufsichtsbehörden für die Kontrolle und Beratung in Datenschutzangelegenheiten geben. Nach der Verordnung muss bei mehreren Aufsichtsbehörden in einem Mitgliedsstaat für bestimmte Verfahren und die Vertretung in europäischen Gremien eine innerstaatliche Koordinierung erfolgen. So ist beispielsweise die Errichtung einer „Zentralen Anlaufstelle“ vorgesehen (Erwägungsgrund 119) sowie die Benennung eines „Gemeinsamen Vertreters im Europäischen Datenschutzausschuss“
(Art. 68 Abs. 4 DSGVO). Ich habe mich dafür eingesetzt, diese Aufgaben der BfDI zuzuweisen, um eine einheitliche Vertretung der deutschen Aufsichtsbehörden in Europa zu gewährleisten. Dabei sind die Interessen der
Länder in angemessener Weise zu berücksichtigen, denn ihre Datenschutzaufsichtsbehörden sind für die Datenschutzaufsicht im nicht-öffentlichen Bereich zuständig. In das DSAnpUG-EU müssen zudem klare und eindeutige Regelungen zum Verfahren der Kommunikation und Entscheidungsfindung zwischen den verschiedenen
Aufsichtsbehörden in Deutschland aufgenommen werden, damit die deutschen Aufsichtsbehörden gemeinsam
eine starke Position in Europa einnehmen können.
1.2.2
Umsetzung der JI-Richtlinie: Mindestharmonisierung heißt nicht Vereinheitlichung
Die Datenschutzrichtlinie für den Bereich von Polizei und Justiz (JI-Richtlinie) bildet den zweiten Teil des neuen Datenschutzpaketes der EU und verpflichtet die Mitgliedstaaten, die darin enthaltenen Vorgaben bis zum
6. Mai 2018 in ihr nationales Recht umzusetzen.
Ziel der JI-Richtlinie ist es, erstmalig für den Datenschutz in den Bereichen Polizei und Justiz eine Mindestharmonisierung innerhalb der EU herbeizuführen. Diese Absicht ist uneingeschränkt zu begrüßen. Mindestharmonisierung bedeutet, ein hohes Schutzniveau in der gesamten Union zu gewährleisten. Keinesfalls soll aber in
Staaten, die bereits ein höheres Datenschutzniveau haben, eine Angleichung „nach unten“ erfolgen. Dies wird in
den Erwägungsgründen der Richtlinie ausdrücklich betont. Die Mitgliedstaaten sollen gerade nicht daran gehindert werden, zum Schutz der Rechte und Freiheiten ihrer Bürgerinnen und Bürger Garantien festzulegen, die
strenger sind als die der JI-Richtlinie.
Das bedeutet für die Umsetzung in Deutschland: Dort, wo die JI-Richtlinie strengere Anforderungen stellt als
das nationale Recht, muss dieses Recht angepasst werden, und dort, wo das nationale Recht strenger ist, sollte es
ausnahmslos erhalten bleiben.
Schon während der Verhandlungen auf europäischer Ebene war der Anwendungsbereich der JI-Richtlinie im
Verhältnis zur DSGVO ein besonderer Streitpunkt. Im Ergebnis ist im Richtlinientext nicht abschließend geklärt
worden, ob und welche anderen Gefahrenabwehrbehörden bei welchen Tätigkeiten neben Polizeibehörden in
den Anwendungsbereich fallen sollen. Um Abgrenzungsschwierigkeiten zu vermeiden, empfehle ich dem Gesetzgeber, weitgehend parallele Regelungen für alle diese Behörden zu treffen.
Ich gehe sogar noch einen Schritt weiter: Auch wenn die Tätigkeit der Nachrichtendienste als Teil der nationalen Sicherheit weder in den Anwendungsbereich der Richtlinie noch in den der Datenschutz-Grundverordnung
fällt, sollten hier aus meiner Sicht im Wesentlichen die gleichen Anforderungen gelten.
Von zentraler Bedeutung für meine eigene Tätigkeit und die der anderen Aufsichtsbehörden sind die künftigen
Befugnisse der Datenschutzaufsicht. Hier gibt die Richtlinie zwingend eine Erweiterung der bestehenden Möglichkeiten vor. Die Aufsichtsbehörden müssen in die Lage versetzt werden, bei Verstößen wirksam Abhilfe zu
schaffen, beispielsweise durch Anordnungen oder Untersagungen.
Außerdem muss für sie die Möglichkeit geschaffen werden, eine gerichtliche Überprüfung einzuleiten. Ich empfehle deswegen dem Gesetzgeber, die Untersuchungs-, Anordnungs- und Klagebefugnisse wie in der DSGVO
zu regeln.
– 34 –
BfDI 26. Tätigkeitsbericht 2015-2016