die Katholischen Bistümer und die EKD jeweils eigene
Datenschutzbeauftragte benannt bzw. eigene Daten‑
schutzbehörden eingerichtet (zur Deutschen Welle vgl.
u. Nr. 10.1.1). Da jeder Mitgliedstaat unabhängig von der
Zahl der eingerichteten Datenschutzbehörden im EDSA
mit nur einer Stimme sprechen kann, haben in Deutsch‑
land entsprechende Abstimmungen unter den Aufsichts‑
behörden voranzugehen (vgl. u. Nr. 17.3). Bei diesen
Abstimmungen haben die allgemeinen Datenschutzauf‑
sichtsbehörden des Bundes und der Länder auch die
nach Art. 85 und 91 DSGVO eingerichteten spezifischen
Aufsichtsbehörden zu beteiligen, soweit diese betroffen
sind (§ 18 Abs. 1 S. 4 BDSG). Zu dieser Thematik haben in
meinem Haus mehrere konstruktive Gesprächsrunden
mit Vertreterinnen und Vertretern der Datenschutz
behörden der Kirchen, Religionsgemeinschaften sowie
von Medien und Rundfunk stattgefunden, bei denen
auch der DSK-Vorsitz einbezogen wurde.
Ich empfehle dem Gesetzgeber klarzustellen, dass auch
gegenüber den gesetzlichen Krankenkassen bei Verstößen gegen die DSGVO Geldbußen verhängt werden
können, soweit diese als Wirtschaftsunternehmen tätig
werden.
1.2 Umsetzung der Richtlinie (EU)
2016/680
Für die Datenverarbeitung bei Polizei und Justiz müssen seit dem 6. Mai 2018 einheitliche Mindeststandards
in allen Mitgliedstaaten umgesetzt sein.
In meinem letzten Tätigkeitsbericht hatte ich über die
Pflicht zur Umsetzung der Mindestvorgaben aus der
Richtlinie (EU) 2016/680 des europäischen Parlaments
und des Rates vom 27. April 2016 zum Schutz natürli‑
cher Personen bei der Verarbeitung personenbezogener
Daten durch die zuständigen Behörden zum Zwecke der
Verhütung, Ermittlung, Aufdeckung oder Verfolgung
von Straftaten oder der Strafvollstreckung sowie zum
freien Datenverkehr und zur Aufhebung des Rahmen
beschlusses 2008/977/JI des Rates (JI-Richtlinie) berich‑
tet (vgl. 26. TB Nr. 1.2.2). Inzwischen ist die Umsetzungs‑
frist abgelaufen und der Bundesgesetzgeber hat mit
dem neuen Bundesdatenschutzgesetz die Vorgaben der
Richtlinie allgemein in nationales Recht umgesetzt. Der
wesentliche Teil dieser Regelungen ist im dritten Teil des
Gesetzes zusammengefasst, einige finden sich im ersten
Teil mit den gemeinsamen Regelungen für alle Bereiche.
Auch verschiedene Fachgesetze mussten und müssen
noch sukzessive angepasst werden. Den Auftakt hat der
Bundesgesetzgeber mit dem neuen Bundeskriminalamt‑
gesetz (BKAG) gemacht (vgl. u. Nr. 9.1.3). Für das Zollfahn‑
30
Tätigkeitsbericht zum Datenschutz für die Jahre 2017 und 2018
dungsdienstgesetz (ZfDG) und die Strafprozessordnung
liegen Gesetzentwürfe zur Umsetzung der JI-Richtlinie
vor (vgl. u. Nr. 9.1.4 und Nr. 11.1.2). Ein Entwurf zur An‑
passung des Bundespolizeigesetzes steht noch aus.
Zu den Spezifika der Richtlinie gehören die Protokollie‑
rungspflichten und Vorgaben zur Gestaltung von Daten‑
banken, die besondere Kontrollfunktion der Aufsichts
behörden bei der Einschränkung von Betroffenenrechten
(sogenannter indirekter Zugang) und die nur ihrer Art
nach geregelten Befugnisse der Aufsichtsbehörden.
Meiner Empfehlung, die Befugnisse der Aufsichtsbehör‑
den analog der DSGVO zu regeln (vgl. 26. TB Nr. 1.2.2),
ist der Gesetzgeber auf Bundesebene nicht gefolgt. So
habe ich zwar umfassende Informations- und Untersu‑
chungsbefugnisse, bei der Abhilfe bleibe ich jedoch wie
früher auf das Mittel der Beanstandung beschränkt. Das
neue BKAG sieht immerhin eine Anordnungsbefugnis
nach Beanstandung erheblicher Datenschutzverstöße
vor. Auch der Entwurf für ein neues ZfDG enthält einen
entsprechenden Vorschlag und ich gehe davon aus, dass
auch im Bundespolizeigesetz eine entsprechende Rege‑
lung geschaffen werden muss. Denn die Beanstandung
alleine reicht nicht aus, um die Vorgaben der Richtlinie
zu erfüllen, wonach die Aufsichtsbehörden in die Lage
versetzt werden müssen, wirksam Abhilfe zu schaffen.
Als insgesamt ungünstige Entwicklung sehe ich einen
uneinheitlichen Anwendungsbereich bei der Umsetzung
der Richtlinie. Der Anwendungsbereich knüpft an den
Begriff der Straftat an, der in der Richtlinie nicht ab‑
schließend definiert ist. Hierdurch besteht Umsetzungs‑
spielraum insbesondere im Bereich der Verfolgung und
Abwehr von Ordnungswidrigkeiten. Sowohl innerhalb
Deutschlands als auch EU-weit wird dieser Raum unter‑
schiedlich ausgefüllt. Dies reicht von der vollständigen
Einbeziehung der Verfolgung von Ordnungswidrigkei‑
ten (so auf Bundesebene in Deutschland) bis hin zur
Beschränkung auf formale Straftaten nach nationalem
Recht (so in verschiedenen anderen Mitgliedstaaten).
Bedingt durch die unscharfe Vorgabe konnte hier eine
Mindestharmonisierung leider nicht erreicht werden.
In den nächsten Jahren wird sich zeigen, wie sich die
neuen Regelungen in der Praxis bewähren. Noch sind
viele Einzelfragen zu beantworten, wie etwa zur Ausge‑
staltung der obligatorischen Verfahrensverzeichnisse,
zur Durchführung von Datenschutzfolgenabschätzun‑
gen, zu den Melde- und Informationspflichten bei Daten‑
schutzverstößen oder zum Umfang der Protokollierung.
Ich empfehle dem Gesetzgeber, Abhilfebefugnisse für
den BfDI ins neue BPolG aufzunehmen. Diese sollten
zumindest den bereits im neuen BKAG enthaltenen
Befugnissen entsprechen.