Drucksache 17/5200
– 26 –
über die Datenschutzaufsichtsbehörde stattfinde. Schon
der Anschein einer solchen möglichen Einflussnahme
müsse ausgeschlossen werden.
Um das Urteil des EuGH umzusetzen, müssen in den
meisten Bundesländern Änderungen bei der organisatorischen Stellung der Datenschutzaufsichtsbehörden vorgenommen werden. Denn in der Regel unterliegen die Aufsichtsbehörden einer Rechtsaufsicht oder sind unmittelbar
Teil der Innenverwaltung und unterliegen sogar einer
Fachaufsicht. Beides ist mit dem europäischen Recht unvereinbar. Eine Dienstaufsicht ist so weit zu beschränken,
dass sie nicht zu einer unmittelbaren oder mittelbaren
Einflussnahme auf Entscheidungen der Datenschutzbehörde führen kann. Hierfür bietet sich als Vorbild das Modell der richterlichen Unabhängigkeit der Mitglieder der
Rechnungshöfe in Bund und Ländern an.
Infolge des Urteils sind daher in nahezu allen Ländern
entsprechende Aktivitäten zu beobachten, um den vom
EuGH definierten Anforderungen gerecht zu werden. Die
weit überwiegende Zahl der Länder, in denen die Aufsicht über den nicht-öffentlichen Bereich noch von Behörden der Innenverwaltung ausgeübt wird, beabsichtigen, diese Aufgabe den Landesdatenschutzbeauftragten
zu übertragen oder haben dies bereits getan.
Die 79. Konferenz der Datenschutzbeauftragten des Bundes und der Länder am 17./18. März 2010 hat hierzu eine
Entschließung verabschiedet, in der die zügige Umsetzung des Urteils angemahnt wird (vgl. Kasten zu Nr. 2.1).
Auch wenn sich das Urteil des EuGH formal lediglich auf
die bei den Ländern angesiedelte Datenschutzaufsicht für
den nicht-öffentlichen Bereich bezieht, wirkt es sich inhaltlich auch auf die Datenschutzkontrolle für den öffentlichen Bereich aus, denn die Anforderungen an die völlige Unabhängigkeit der Datenschutzkontrolle sind in der
EG-Datenschutzrichtlinie nicht auf den nicht-öffentlichen
Bereich beschränkt. Im öffentlichen Bereich kommt es
sogar in noch viel stärkerem Maße darauf an, dass die
Exekutive keinerlei Einfluss auf die Aufgabenwahrnehmung der Kontrollbehörde nehmen kann, denn die Exekutive wird ja ihrerseits durch die Datenschutzkontrollbehörde überwacht. Insofern gelten die vom EuGH
aufgestellten Maßstäbe hier erst recht.
Deswegen muss auch meine Unabhängigkeit gestärkt werden, insbesondere im Hinblick auf meine Rechtsstellung.
Der BfDI unterliegt in der Wahrnehmung seiner Aufgaben
der Rechtsaufsicht der Bundesregierung. Auch wenn auf
Grund der Rechtsaufsicht – anders als bei der Fachaufsicht – keine direkte Einflussnahme auf meine Entscheidungen ausgeübt werden kann, können doch grundlegende
Interpretationsfragen von der Bundesregierung vorgegeben und damit Richtungsentscheidungen darüber, wie ich
meine Aufgaben wahrnehme, festgelegt werden. Dies ist
mit europäischem Recht nicht vereinbar. Auch wenn von
der Rechtsaufsicht bisher noch kein Gebrauch gemacht
wurde, widerspricht schon die Möglichkeit einer solchen
Einflussnahme der durch die Richtlinie vorgegebenen völligen Unabhängigkeit. Zudem erweckt dies genau den An-
BfDI 23. Tätigkeitsbericht 2009-2010
Deutscher Bundestag – 17. Wahlperiode
schein der Einflussnahme, der nach dem Urteil des EuGH
vermieden werden muss. Zudem ist die Dienstaufsicht des
BMI über die Beschäftigten des BfDI und dessen Recht
zur Stellenbesetzung ebenso zu hinterfragen wie die Bestellung des Leitenden Beamten durch das BMI.
Auch fehlt es mir im Hinblick auf die Datenschutzkontrolle bei Post- und Telekommunikationsunternehmen und
öffentlich-rechtlichen Wettbewerbsunternehmen an den
nach europäischem Recht notwendigen Durchsetzungsbefugnissen. So habe ich – anders als die Datenschutzbehörden der Länder – gegenüber den meiner Datenschutzkontrolle unterliegenden Unternehmen nicht die Möglichkeit,
die unzulässige Verarbeitung personenbezogener Daten
zu untersagen, betriebliche Datenschutzbeauftragte, die
nicht den gesetzlichen Anforderungen genügen, abzuberufen oder Bußgelder zu verhängen. Stattdessen muss ich
an die jeweiligen fachlichen Aufsichtsbehörden (etwa an
die Bundesnetzagentur für die Bereiche Post und Telekommunikation) herantreten und diese zu überzeugen
versuchen, selbst tätig zu werden. In der Vergangenheit
hat es Fälle gegeben, bei denen ich anderer Auffassung
war als diese gegenüber den Ministerien weisungsgebundenen Stellen.
Aber selbst diese Aufsichtsbehörden üben nicht dieselben
Aufgaben aus wie die Aufsichtsbehörden für den Datenschutz gemäß § 38 BDSG und können – soweit ihnen nicht
ausdrücklich weitergehende gesetzliche Befugnisse eingeräumt wurden – nur gegen Verstöße gegen spezialgesetzliche Regelungen (etwa gegen Datenschutzbestimmungen
im TKG) vorgehen. Verstöße gegen sonstige Datenschutzbestimmungen – etwa gegen das BDSG – können sie hingegen nicht sanktionieren. Schließlich besitzen sie nicht
die Befugnis, bei schwerwiegenden Verstößen die Datenverarbeitung zu untersagen oder betriebliche Datenschutzbeauftragte abzuberufen. Aus diesem Grund sollten dem
BfDI für die genannten Bereiche die Befugnisse eingeräumt werden, die den Datenschutzaufsichtsbehörden der
Länder zustehen. Dazu gehört auch die Verfolgung und
Ahndung von Ordnungswidrigkeiten nach dem BDSG.
Das BMI sieht bislang allerdings keinen Handlungsbedarf, da die Rechtsstellung des BfDI nicht Gegenstand
des Urteils gewesen sei.
Darüber hinaus muss auch die autonome Datenschutzaufsicht bei Religionsgemeinschaften und im Verwaltungsbereich der öffentlich-rechtlichen Rundfunkanstalten auf
den Prüfstand, da auch hier eine völlige Unabhängigkeit
im Sinne der europäischen Vorgaben nicht gegeben ist.
Unabhängig von seiner konkreten Umsetzung könnte das
Urteil zum Anlass genommen werden, das zersplitterte
System der Datenschutzaufsicht in Deutschland zu überprüfen. Gerade bei deutschland-, europa- und weltweit
agierenden Unternehmen ist angesichts der Zuständigkeit
einer Vielzahl von Aufsichtsbehörden trotz intensiver Abstimmung in Gremien und Arbeitsgruppen wie dem Düsseldorfer Kreis nicht immer eine effektive und schnelle
Datenschutzaufsicht gewährleistet.