01

Kernpunkte:


  • Fünf Jahre DSGVO
  • Zahlen und Fakten
  • Vorsitz der DSK im Jahr 2023
  • Institutionalisierung der DSK

 

1    Datenschutz und Informationsfreiheit

Der 42. Tätigkeitsbericht – das ist schon etwas Besonderes! Das Berichtsjahr 2023 war ein Jubiläumsjahr: Das Volkszählungsurteil des Bundesverfassungsgerichts vom 15.12.1983, in dem das Recht auf informationelle Selbstbestimmung aus dem Grundgesetz abgeleitet wurde, feierte 40 Jahre Jubiläum. Die – unberechtigterweise nicht ganz so bekannte – Entscheidung des BVerfG zum Computergrundrecht, also dem Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme, fiel am 27.02.2008, also vor 15 Jahren. Die Datenschutz-Grundverordnung ging am 25.05.2018[1] an den Start und feierte im Berichtsjahr ihr fünfjähriges Jubiläum. Und das erste Landesdatenschutzgesetz Schleswig-Holstein trat am 01.07.1978 in Kraft, also vor 45 Jahren. In dem Jahr gab es auch den ersten Landesdatenschutzbeauftragten in Schleswig-Holstein, Herrn Ernst Eugen Becker, meinen Vorvorvorgänger. Damals war er noch „Der Landesbeauftragte für den Datenschutz beim Innenminister des Landes Schleswig-Holstein“ – die Unabhängigkeit von der Regierung kam erst später.

Man würde vielleicht erwarten, dass die Zahl der Tätigkeitsberichte 45 betragen müsste, jedoch erschien der Bericht eine Zeit lang nur zweijährlich, sodass wir in der Zählung „erst“ beim 42. Tätigkeitsbericht sind. Die Zahl 42 ist dabei schon wieder etwas Besonderes, denn im Roman „Per Anhalter durch die Galaxis“ von Douglas Adams, der längst zur internationalen Popkultur gehört, ist „42“ die Antwort, die der Supercomputer auf die „endgültige Frage nach dem Leben, dem Universum und dem ganzen Rest“ gibt.

Der 42. Tätigkeitsbericht wird nicht die Antworten auf alle Fragen geben. Er ist auch nicht mit einem Supercomputer erstellt worden, noch nicht einmal mit einem Chatbot. Stattdessen schreiben meine Mitarbeitenden und ich als Menschen über unsere Tätigkeit in den Bereichen Datenschutz und Informationsfreiheit.
Der Bericht gibt auch in seiner 42. Ausgabe einen Einblick in die Tätigkeiten der Behörde der Landesbeauftragten für Datenschutz und, in Personalunion, der Landesbeauftragten für Informationszugang. Mit den ausgewählten Fällen und den behandelten Themen zeigen wir relevante Entwicklungen aus Recht und Technik und geben Hinweise darauf, wie man Fehler vermeidet oder Verbesserungsbedarfe umsetzen kann, um die Anforderungen aus dem Datenschutz- und aus dem Informationszugangsrecht zu erfüllen.

Bestimmt ist in unserer Zusammenstellung für den 42. Tätigkeitsbericht Neues, Interessantes oder auch Spannendes für Sie enthalten. Ich wünsche Ihnen viel Spaß bei der Lektüre!

Dr. h. c. Marit Hansen
Landesbeauftragte für Datenschutz Schleswig-Holstein
Landesbeauftragte für Informationszugang Schleswig-Holstein


[1]: Der 25. Mai ist übrigens auch als „Handtuchtag“ (englisch: „Towel Day“) bekannt – eine Referenz auf das Werk „Per Anhalter durch die Galaxis“, da der Held, der im Bademantel unterwegs ist, stets ein Handtuch dabeihat. Dies wird im Titelbild dieses Berichts visualisiert.

 

1.1          Fünf Jahre Datenschutz-Grundverordnung – oder: Leuchttürme, aber für alle

Am 25. Mai 2018 ging es los: Die Datenschutz-Grundverordnung (DSGVO) regelte von nun an die Verarbeitung personenbezogener Daten und damit die Pflichten der Verantwortlichen und die Rechte der betroffenen Personen. In den fünf (oder bei Erscheinen des Berichts fast sechs) Jahren ihrer Geltung hat sich die Datenverarbeitung in Europa verändert: Digitalisierung durchdringt fast alle Lebensbereiche, für viele sind Smartphones und Cloud Computing zur Selbstverständlichkeit geworden, und die Anwendungen der künstlichen Intelligenz übernehmen Aufgaben im Job und im Privatleben.

Das Bewusstsein über die Rechte auf Auskunft, Berichtigung oder auch Löschung von personenbezogenen Daten ist europaweit gestiegen. Die Datenschutzaufsichtsbehörden bearbeiten jedes Jahr Tausende von Beschwerden. Die Verantwortlichen kennen ihre Pflichten. Das Konzept eines einheitlichen Datenschutzrechts gilt als Erfolgsmodell. Mit dem Europäischen Datenschutzausschuss wurde ein wichtiges Gremium geschaffen, um durch gemeinsame Leitlinien für die Datenverarbeitung Hilfen zur Rechtsauslegung bereitzustellen. Die Datenschutzbeauftragten in Unternehmen und Behörden spielen eine bedeutende Rolle für den gelebten Datenschutz vor Ort.

Auch im Bereich der Selbstregulierungsinstrumente wie Verhaltensregeln (Codes of Conduct) oder Zertifizierungen sind Fortschritte zu verzeichnen. Wo Auslegungsfragen strittig sind, entscheiden Gerichte – teilweise in mehreren Instanzen bis zur endgültigen Klärung durch den Europäischen Gerichtshof.

Unsere Bewertung fällt positiv aus: Die Datenschutz-Grundverordnung funktioniert. Sie ist ein probates Mittel, um die Verarbeitung personenbezogener Daten zu ermöglichen und gleichzeitig die Grundrechte zu schützen. So hat sich die DSGVO zu einem bewährten Maßstab entwickelt, der auch international nachgefragt wird.

In der Zeit vor der DSGVO gab es allerdings auch kein Datenschutz-Vakuum. Seit 1995 war die EU-Datenschutzrichtlinie 95/46/EG in Kraft, die von den Mitgliedstaaten umzusetzen war. Dies geschah europaweit in verschiedener Art und Weise, auch wenn Grundregeln wie Betroffenenrechte oder Sicherheit – eigentlich ziemlich einheitlich – gesetzt waren. Für Deutschland waren insbesondere das Bundesdatenschutzgesetz (BDSG) und die Landesdatenschutzgesetze (LDSG) gemäß der EU-Datenschutzrichtlinie auszugestalten.

Der Landesgesetzgeber in Schleswig-Holstein hatte sich damals vom Landesbeauftragten für den Datenschutz beraten lassen, wie sich die Vorgaben der EU-Datenschutzrichtlinie in einer innovativen Form umsetzen ließen. So entstand das damalige Landesdatenschutzgesetz Schleswig-Holstein, das u. a. Begriffe wie Selbstdatenschutz, das Konzept der Pseudonymisierung als Gestaltungsinstrument und Verfahren der Auditierung und Zertifizierung kannte.
Zugegebenerweise waren nicht alle Personen, die im europäischen Gesetzgebungsprozess aktiv gewesen waren, von diesen „innovativen Gesetzes-Add-ons“ begeistert. Wäre hier weniger mehr gewesen?

In der Tat kann man sich fragen, warum die möglichst weitgehende Vereinheitlichung der europäischen Datenschutzvorgaben nicht schon früher möglich gewesen war. Das lag nun nicht gerade am schleswig-holsteinischen Gesetz. Vielleicht war die Zeit noch nicht reif, und es mussten erst alle Mitgliedstaaten Erfahrungen sammeln und in der Artikel-29-Datenschutzgruppe (dem Vorläufer des Europäischen Datenschutzausschusses) die Zusammenarbeit und einheitliche Bewertung einüben.

Das LDSG Schleswig-Holstein hatte jedenfalls Maßstäbe gesetzt, die in der Praxis erprobt werden konnten und – das ist jedenfalls unsere Überzeugung – dadurch wiederum Einfluss auf den Gesetzgebungsprozess der Datenschutz-Grundverordnung hatten. Besonders bei der Zertifizierung war der Landesgesetzgeber Schleswig-Holstein Impulsgeber, aber auch in anderer Hinsicht – beispielsweise mit stärkerer Orientierung zu Datenschutz durch (Technik-)Gestaltung konnten Regelungen aus dem LDSG Schleswig-Holstein und dem BDSG ein kleines bisschen Vorbild sein.

Doch die Zeiten ändern sich: Das damalige LDSG Schleswig-Holstein war ein Leuchtturm in der Datenschutzgesetzgebung, um einige Instrumente zu zeigen und zu erproben, die möglicherweise für den großen Maßstab sinnvoll sind. Jetzt allerdings muss das Ziel die Vereinheitlichung sein. Leuchttürme sind wichtig, doch es ist auch wichtig, dass sie den Weg für alle leuchten.

Übersetzt auf das Datenschutzrecht und die Umsetzung der Verarbeitung in Organisation und Technik bedeutet dies: Wir brauchen eine Kompatibilität der rechtlichen Grundlagen – das leistet die DSGVO – und des darauf aufbauenden gelebten Datenschutzes. Das gilt zumindest für alle Verarbeitungen, die Länder- und Staatengrenzen überschreiten: Abweichungen in den Formulierungen der Normen in den verschiedenen Regionen können es den Rechtsanwenderinnen und -anwendern schwer machen, ihren Pflichten nachzukommen.

Leuchttürme: ja. Aber nach Möglichkeit die Praxisprobleme in Anwendung und Aufsicht mitdenken.

 

1.2          Zahlen und Fakten zum Jahr 2023

Die Zahl der Beschwerden hat sich im Jahr 2023 auf einem recht hohen Niveau eingependelt, die Zahlen sind denen aus 2022 sehr ähnlich (41. TB, Tz. 1.2). Die Besonderheiten der Corona-Zeit sind nun wohl vorbei. Die Zahl der gemeldeten Datenpannen steigt jedoch wieder, auch wenn der Spitzenwert aus dem Jahr 2021 noch nicht wieder erreicht wurde. Dies liegt nach unserer Beobachtung daran, dass im Jahr 2021 zahlreiche Verantwortliche von gleichartigen Angriffen und Problemen in Bezug auf die von ihnen eingesetzte Technik betroffen waren und es daher zu Massenmeldungen in ähnlichen Konstellationen kam (40. TB, Tz. 6.3.3).

Im Folgenden sind die genauen Zahlen dargestellt:

Zahl der bearbeiteten Beschwerden im Jahr 2022

Zahl der bearbeiteten Beschwerden im Jahr 2022

2023 erreichten uns 1.344 schriftliche Beschwerden (Vorjahr: 1.334), von denen 284 (Vorjahr: 259) nicht in unserer Zuständigkeit (öffentliche und nichtöffentliche Stellen in Schleswig-Holstein mit Ausnahme bestimmter Bereiche in Bundeszuständigkeit, z. B. Telekommunikation) lagen und an die zuständigen Behörden abgegeben werden mussten.

Insgesamt wurden in eigener Zuständigkeit 1.060 (Vorjahr: 1.075) Beschwerden bearbeitet, davon richteten sich mehr als zwei Drittel der Beschwerden gegen Unternehmen und andere nichtöffentliche Stellen (799; Vorjahr: 757), der Rest gegen Behörden (261; Vorjahr: 318). Dazu kamen 570 (Vorjahr: 498) Beratungen für den öffentlichen und den nichtöffentlichen Bereich.

Ohne vorherige Beschwerde wurden eine (Vorjahr: 5) Prüfung im öffentlichen und zwei Prüfungen (Vorjahr: 5) im nichtöffentlichen Bereich begonnen und neue Verfahren eingeleitet; zahlreiche Prüfungen aus dem Vorjahr wurden fortgeführt.

Die Zahl von 527 (Vorjahr: 485) gemeldeten Verletzungen des Schutzes personenbezogener Daten nach Artikel 33 DSGVO, § 41 LDSG oder § 65 BDSG in Verbindung mit § 500 StPO (Datenpannen) ist im Vergleich zum Vorjahr wieder gestiegen, hat jedoch nicht den Stand aus dem Jahr 2021 mit den massenhaften Sicherheitsvorfällen aufgrund einiger Angriffswellen erreicht.

Diese Zahl zeigt, dass vielen Verantwortlichen ihre Pflicht zur Meldung des Schutzes personenbezogener Daten bekannt ist. Dennoch gibt es eine Dunkelziffer von Datenpannen, bei denen die Verantwortlichen der Meldepflicht nicht nachgekommen sind. Dies kann mit Unkenntnis oder Fehleinschätzungen zusammenhängen. Manchmal liegt es auch am Auftragsverarbeiter, der selbst seine Pflicht, seinen Auftraggeber – d. h. den datenschutzrechtlichen Verantwortlichen – zu informieren, vernachlässigt hat (Tz. 4.6.5).

Von den Abhilfemaßnahmen als Reaktion auf festgestellte Verstöße gegen das Datenschutzrecht wurde im Berichtsjahr insgesamt wie folgt Gebrauch gemacht:

  • 28 Warnungen (Vorjahr: 21),
  • 7 Verwarnungen (Vorjahr: 30),
  • eine Anordnung zur Änderung oder Einschränkung der Verarbeitung (Vorjahr: 1),
  • keine Geldbuße (Vorjahr: 2).

Nach unserem Eindruck wird die Dienststelle der Landesbeauftragten für Datenschutz in Gesetzgebungsvorhaben auf Landesebene weitgehend eingebunden, wenn Aspekte des Datenschutzes oder des Informationszugangs betroffen sein könnten. Dies geschah im Berichtsjahr über die Ministerien parallel zur Anhörung von Verbänden oder über die Ausschüsse im Landtag in zwölf (Vorjahr: 12) neuen Gesetzgebungsvorhaben; einige Themen aus Gesetzgebungsvorhaben des Vorjahres wurden auch im Berichtsjahr weiterverfolgt.

 

1.3          Schritte zur Evaluation und Anpassung der Gesetze zu Datenschutz und Informationsfreiheit

In den vorherigen Tätigkeitsberichten hatten wir auf die Evaluierungsklauseln in einigen Gesetzen zu Datenschutz und Informationsfreiheit hingewiesen (40. TB, Tz. 1.4; 41. TB, Tz. 1.3) und von der Evaluierung zum Bundesdatenschutzgesetz im Jahr 2021 berichtet, die auf die Evaluierung der DSGVO im Jahr 2020 (39. TB, Tz. 1.4) folgte.

Es gibt im Vergleich zum Vorjahr insoweit einen neuen Stand, als wir erfahren haben, dass sich die zuständigen Stellen mit den Anpassungsbedarfen des LDSG und des Informationszugangsgesetzes (IZG-SH) beschäftigen. Während das IZG-SH wohl demnächst einer Evaluierung unterzogen werden soll, wird beim LDSG noch die Reform auf Bundesebene beobachtet und abgewartet. Dies ist auch aus unserer Sicht vernünftig.


Was ist zu tun?

Wir haben unsere Unterstützung beim Herausarbeiten der Anpassungsbedarfe sowohl beim LDSG als auch beim IZG-SH angeboten.

 

1.4          Alle 17 Jahre …

... übernimmt Schleswig-Holstein den Vorsitz in der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder, auch Datenschutzkonferenz oder DSK genannt. Die DSK besteht aus den unabhängigen Datenschutzbehörden des Bundes und der Länder.

Datenschutzkonferenz

Die Datenschutzkonferenz hat die Aufgabe, die Datenschutzgrundrechte zu wahren und zu schützen, eine einheitliche Anwendung des europäischen und nationalen Datenschutzrechts zu erreichen und gemeinsam für seine Fortentwicklung einzutreten. Dies geschieht namentlich durch Entschließungen, Beschlüsse, Orientierungshilfen, Standardisierungen, Stellungnahmen, Pressemitteilungen und Festlegungen.

Die Reihenfolge des Vorsitzes richtet sich grundsätzlich nach dem Alphabet – mit Ausnahmen. So ist die Zahl „17 Jahre“ auch nicht ganz exakt. Das liegt daran, dass bei der Planung der Reihenfolge der Vorsitze berücksichtigt wird, dass der DSK-Vorsitz nicht im Vorsitzjahr aus dem Amt als Landes- oder Bundesbeauftragte(r) scheiden soll. Außerdem sollte sie oder er ausreichende Erfahrung im Zusammenspiel der DSK-Mitglieder (also der Datenschutzaufsichtsbehörden) mitbringen, denn der Vorsitz vertritt die DSK nach außen. Und nicht überraschend: Dienststellen ohne gewählte(n) und ernannte(n) Landes- oder Bundesbeauftragte(n) für Datenschutz werden ebenfalls in der Planung ausgespart.

Für das Jahr 2023 war Schleswig-Holstein dran und hat gern den Staffelstab vom Bundesbeauftragten für den Datenschutz und die Informationsfreiheit, Vorsitz im Jahr 2022, übernommen.

Die Anforderungen an den Vorsitz waren im Jahr 2023 so hoch wie selten zuvor. In Zahlen zu den Aufgaben, die wir erfüllt haben:

  • Leitung von neun Konferenzen (zwei Hauptkonferenzen, zwei Vorkonferenzen, drei Zwischenkonferenzen, zwei Austauschtreffen mit den spezifischen Aufsichtsbehörden),
  • Leitung von 40 Jour fixes (das sind die beinahe wöchentlich stattfindenden Online-Konferenzen der Leitungen aller DSK-Mitglieder),
  • Durchführung von 26 Umlaufverfahren,
  • Erarbeitung und Finalisierung von fünf Entschließungen, vier Beschlüssen, zwölf Stellungnahmen und elf Pressemitteilungen der DSK sowie
  • Bearbeitung zahlreicher Anfragen zu Auffassungen oder Materialien der DSK.

Die veröffentlichten Ergebnisse haben wir in Tz. 2.1 zusammengestellt. Hinzu kamen zahlreiche fachliche Gespräche und Austausche insbesondere mit Parlamentarierinnen und Parlamentariern, den Bund-Länder-Konferenzen in den Bereichen Bildung, Inneres und Justiz sowie Treffen mit Vertreterinnen und Vertretern aus dem BvD (Berufsverband der Datenschutzbeauftragten Deutschlands) e. V., dem DVD (Deutsche Vereinigung für Datenschutz) e. V. sowie dem GDD (Gesellschaft für Datenschutz und Datensicherheit) e. V.

Neu war im Jahr 2023, wie häufig der Vorsitz der DSK von Landes- oder Bundesministerien um unter allen Mitgliedern abgestimmte Positionen zu länderübergreifenden Verarbeitungen – z. B. die Umsetzung des Studierenden-Energiepreispauschalengesetzes (EPPSG) – oder für Deutschland geplanten Gesetzesvorhaben – z. B. das Gesundheitsdatennutzungsgesetz oder die BDSG-Reform – gebeten wurde. Für solche gemeinsamen Stellungnahmen ist zumeist nicht viel Zeit, alles muss schnell gehen. Aber diese Gelegenheiten nutzen wir gern.

 

1.5          Abgestimmte Position der DSK – nur auf Basis derselben Informationen

Für gemeinsame Positionierungen ist notwendig, dass alle Datenschutzaufsichtsbehörden über dieselben Informationen verfügen, um auch dieselben Sachverhalte bewerten zu können. Diese Selbstverständlichkeit konnten wir leider zum Start unseres DSK-Vorsitzes nicht voraussetzen:

Wir wurden nämlich im Januar 2023 als Vorsitz der DSK gebeten, zum EPPSG-Verfahren (Umsetzung des Studierenden-Energiepreispauschalengesetzes) eine abgestimmte Position in der DSK herbeizuführen und den Anfragenden mitzuteilen. Dazu erhielten wir in Schleswig-Holstein auch einige Dokumente. Es stellte sich heraus, dass andere Aufsichtsbehörden bereits früher über Teilinformationen zur geplanten Verarbeitung verfügten; es gab sogar schon erste Stellungnahmen einzelner Behörden gegenüber ihren zuständigen Ministerien. Andere Aufsichtsbehörden wurden in etwa zeitgleich mit bestimmen Dokumenten über die Verarbeitung versorgt, wieder andere wurden gar nicht angesprochen und hatten auch keinen Zugang zu den Materialien.

Kein Problem, so dachten wir, dann stimmen wir die gemeinsame Positionierung auf Basis der den DSK-Mitgliedern zusammen mit der Bitte um Stellungnahme übersandten und teilweise aktualisierten Informationen ab. Doch das gestaltete sich schwierig, weil diejenigen Aufsichtsbehörden, die von ihren zuständigen Ministerien mit den meisten oder neuesten (?) Materialien versorgt worden waren, die Unterlagen gar nicht weitergeben durften. Diese DSK-Mitglieder informierten die Kolleginnen und Kollegen, dass sie bedauerlicherweise keine Freigabe zur Weitergabe erhalten hätten, da ihr Ministerium nicht Urheber dieser Dokumente sei und sich damit nicht in der Lage sehe, eine Freigabe zu erteilen.

Das wäre dann kein Problem gewesen, wenn alle Datenschutzaufsichtsbehörden der Länder einzeln dieselben Dokumente von ihren jeweiligen Ministerien erhalten hätten. Was für ein Aufwand! Wir mussten zunächst versuchen, die Dokumente zum zu beurteilenden Stand herauszufiltern und Aktuelles von Veraltetem zu unterscheiden. Dies kann sogar eine unlösbare Aufgabe sein, denn diejenigen mit den aktuellen Dokumenten hatten ja gerade keine Freigabe zum Teilen dieser Materialien innerhalb der DSK und durften daher auch inhaltliche Informationen nicht weitergeben.

Es ist eine unbefriedigende Situation, wenn der DSK-Vorsitz als zentrale Ansprechstelle um eine gemeinsame Stellungnahme der DSK angefragt wird und dies auch gerne leisten möchte, doch die grundlegenden Dokumente nicht einheitlich zur Verfügung gestellt werden. In diesem Fall war es sogar noch schwieriger, weil die einzelnen Aufsichtsbehörden anfangs von unterschiedlichen – nämlich so, wie es ihnen gegenüber von den Länderbehörden mitgeteilt worden war – Sachverhalten der Verarbeitung personenbezogener Daten ausgehen mussten. Wo beispielsweise die einen Datenschutzaufsichtsbehörden Lücken in den Konzepten monieren wollten, lagen anderen dazu bereits Texte, teils in verschiedenen Fassungen, vor.

Erst nach einiger Zeit(verschwendung) erhielt schließlich eine Landesdatenschutzbehörde die Genehmigung aus dem zuständigen Ministerium ihres Landes, die (jedenfalls zu dem Zeitpunkt aktuellen) Dokumente innerhalb der DSK weiterzuleiten. Mittlerweile waren wohl die Fragen der Urheberrechte auch in Bezug auf die zur Erstellung der Konzepte und Materialien einbezogene Anwaltskanzlei geklärt worden.

Ende gut, alles gut? Nein, denn auch dieser Informationsstand war offensichtlich parallel weitergeschrieben worden, sodass die Stellungnahme der DSK nicht die allerletzten Änderungen im Konzept einbeziehen konnte, die zu dem Zeitpunkt durchaus hätten mitgeteilt werden können. Die an die Ministerien abgegebene Stellungnahme war also schon wieder in einigen Teilen überholt.

Wir werden jedenfalls jetzt zur Bedingung machen, dass diejenigen, unter denen eine abgestimmte Position herbeigeführt wird, auch auf dieselben Materialien zurückgreifen können und denselben Informationsstand erhalten.

Was ist zu tun?

Wenn geplant ist, abgestimmte Positionen von der DSK einzuholen, sollten die dafür benötigten Informationen einheitlich und für alle Beteiligten zu diesem Zweck verwendbar zur Verfügung gestellt werden. Dies ist auch effizienter, als Stellungnahmen einzelner Behörden mit unterschiedlichem Informationsstand einzuholen.

1.6          Die Datenschutzkonferenz wird institutionalisiert

Aus dem Koalitionsvertrag 2021-2025:
Zur besseren Durchsetzung und Kohärenz des Datenschutzes verstärken wir die europäische Zusammenarbeit, institutionalisieren die Datenschutzkonferenz im Bundesdatenschutzgesetz (BDSG) und wollen ihr rechtlich, wo möglich, verbindliche Beschlüsse ermöglichen.

In Tz. 1.4 haben wir berichtet, dass Schleswig-Holstein im Jahr 2023 Vorsitz der Datenschutzkonferenz (DSK) war, und auch die Aufgaben dargestellt. Hier plant der Bundesgesetzgeber eine Änderung: Die Datenschutzkonferenz soll institutionalisiert werden. Das war bereits eine Vorgabe im Koalitionsvertrag.


Vorschlag für einen neuen § 16a im BDSG-Entwurf:
Die Aufsichtsbehörden des Bundes und der Länder im Sinne des § 18 Abs. 1 Satz 1 bilden die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (Datenschutzkonferenz). Die Datenschutzkonferenz gibt sich eine Geschäftsordnung.

Diese Gesetzesänderung würde dazu führen, dass die Datenschutzkonferenz – anders als bisher – zu einem Gremium mit „Pflichtmitgliedschaft“ der unabhängigen Datenschutzaufsichtsbehörden wird. Das kann man so regeln. Die Vorgabe einer Geschäftsordnung würde nichts Neues bringen, denn es gibt eine solche schon seit vielen Jahren. Interessant ist vielmehr, was nicht im BDSG-Entwurf geregelt ist, aber aus Sicht der (bisherigen) DSK im Gesetz aufgenommen werden sollte: die dringend nötige organisatorische Unterstützung der Harmonisierungsmaßnahmen im Sinne einer einheitlichen Rechtsanwendung durch eine Geschäftsstelle. Diese Geschäftsstelle soll das organisatorische Fundament der Datenschutzkonferenz darstellen. Gerade angesichts der steigenden Erwartungen an die DSK wird die Geschäftsstelle benötigt, um eine einheitliche Anwendung des Datenschutzrechts zu erreichen. Die Stellungnahmen der DSK zum BDSG-Entwurf sind hier verfügbar:

https://www.datenschutzkonferenz-online.de/stellungnahmen.html[Extern]
Kurzlink: https://uldsh.de/tb42-1-6a

Was ist zu tun?

Als DSK-Vorsitz im Jahr 2023 haben wir einen großen Wunsch für die Zukunft: Die Datenschutzkonferenz möge bitte mit einer Geschäftsstelle ausgestattet werden. Damit soll dem Ziel der einheitlichen Rechtsanwendung durch weitere Professionalität Rechnung getragen und eine Steigerung der Kontinuität im Handeln erreicht werden.

Zum Inhaltsverzeichnis Zum nächsten Kapitel