10 BfDI als Zentrale Anlaufstelle (ZASt)
10.1 Die Zusammenarbeit der
nationalen Aufsichtsbehörden
zu europäischen Themen
Nach Art. 51 Abs. 3 i. V. m. dem Erwägungsgrund 119
der DSGVO muss Deutschland als Mitgliedstaat mit
mehreren Datenschutzbehörden eine Zentrale
Anlaufstelle (ZASt) einrichten, die eine wirksame
Beteiligung aller deutschen Aufsichtsbehörden sowie
eine reibungslose Zusammenarbeit mit den europäischen Stellen in den Verfahren der DSGVO gewährleistet. Die auf Ebene des EDSA vereinbarten Geschäftsprozesse werden von der ZASt auf das föderale deutsche
System angepasst.
Das Tagesgeschäft der ZASt besteht aus der Koordinierung des Informationsflusses zwischen den europäischen Aufsichtsbehörden bzw. dem Europäischen
Datenschutzausschuss (EDSA) einerseits und den Aufsichtsbehörden des Bundes und der Länder andererseits.
Daneben nimmt die gestaltende Tätigkeit einen vergleichsweise großen Raum ein. Diese Tätigkeit besteht
darin, die auf Ebene des EDSA vereinbarten Prozesse zur
europäischen Zusammenarbeit auf die föderal geprägte
Zusammenarbeit der Aufsichtsbehörden des Bundes
und der Länder in Deutschland anzupassen. Trotz der
föderal aufgeteilten Datenschutzaufsicht soll die Zusammenarbeit mit den europäischen Aufsichtsbehörden und
dem EDSA schnell und effektiv sein.
Die DSGVO regelt lediglich die Grundzüge der europäischen Zusammenarbeit und überlässt die weitere
Ausgestaltung dem EDSA. Der EDSA macht hiervon
umfänglich Gebrauch mit dem Ziel, die gesetzlichen Verfahren besser handhabbar zu machen. Die innerstaatliche Verwaltungsorganisation verbleibt jedoch bei den
Mitgliedstaaten und muss für Deutschland entsprechend
realisiert werden. Das Zusammenwirken der Prozesse
zur Zusammenarbeit auf europäischer und nationaler
Ebene soll anhand zweier Beispiele veranschaulicht
werden:
Bevor Aufsichtsbehörden verbindliche interne Datenschutzvorschriften (Binding Corporate Rules – BCRs)
von Unternehmen genehmigen dürfen, müssen sie eine
Stellungnahme des EDSA beantragen (Art. 64 Abs. 1 lit. f
DSGVO). Das Verfahren nach der DSGVO ist sehr formal
und unterliegt engen Entscheidungsfristen. Der Beantragung einer Stellungnahme des EDSA gehen meist
mehrere Jahre intensiver Abstimmungsarbeit zwischen
dem Unternehmen, der federführenden Aufsichtsbehörde (in der Regel diejenige Aufsichtsbehörde, in deren
Land das Unternehmen seinen Hauptsitz in der EU hat)
und regelmäßig zwei anderen Aufsichtsbehörden
(sog. Co-Prüfer) voraus.
Diese komplexen, iterativen Arbeiten können in dem
formellen Verfahren vor dem EDSA nach der DSGVO
nicht abgebildet werden. Daher wurde ein informelles
Vorverfahren zwischen den Aufsichtsbehörden vor
Einholung der Stellungnahme etabliert. In diesem
Verfahren werden alle europäischen Aufsichtsbehörden bei der Arbeit an den BCRs eingebunden, so
dass etwaige Anmerkungen oder Kommentare der einzelnen Aufsichtsbehörden schon vor der Befassung im
EDSA berücksichtigt werden können. Die Aufgabe der
ZASt ist es, auf nationaler Ebene die Zusammenarbeit
aller deutschen Aufsichtsbehörden zu koordinieren, um
eine einheitliche deutsche Auffassung zu den einzelnen
BCRs herauszuarbeiten und diese auf internationaler
Ebene einzubringen. Die ZASt hat hierfür einen ersten
Geschäftsprozess entworfen, der mit den Aufsichtsbehörden des Bundes und der Länder abgestimmt wird.
Die DSGVO enthält zudem nur wenige Vorgaben für Beschlussfassungen des EDSA. Der EDSA hat sich deshalb
ergänzende Regelungen in seiner Geschäftsordnung
gegeben. Dort ist auch ein schriftliches Abstimmungsverfahren vorgesehen, um gegebenenfalls außerhalb
der Sitzungstermine Entscheidungen treffen zu können.
Tätigkeitsbericht zum Datenschutz für 2019
81