Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein

 

1    Datenschutz und Informationsfreiheit

Das Jahr 2024 war ein besonderes Jahr für den Datenschutz in Deutschland und auf der europäischen Ebene. In Deutschland, weil die Datenschutzkonferenz – der Zusammenschluss der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder – nicht wie üblich einen Vorsitz hatte, sondern insgesamt drei Landesbeauftragte nacheinander beauftragt wurden, für die Datenschutzkonferenz zu sprechen: Die Landesbeauftragte für Datenschutz und Informationsfreiheit der Freien Hansestadt Bremen, die eigentlich das ganze Jahr lang Vorsitzende der Datenschutzkonferenz sein sollte, stand ab Ende Januar nicht mehr zur Verfügung, sodass wir gebeten wurden, unsere Vorsitzrolle aus dem Jahr 2023 für mehrere Monate fortzuführen, bis der Hessische Datenschutzbeauftragte für Datenschutz und Informationsfreiheit übernehmen konnte. Unsere Amtszeit als Vorsitz der Datenschutzkonferenz erstreckte sich damit über 15 ½ Monate – so lange wie noch nie zuvor.

Auf europäischer Ebene war das Jahr ebenfalls besonders, da Rechtsakte zu künstlicher Intelligenz und Cyberresilienz verabschiedet wurden und in Kraft traten. Bereits in den vergangenen Jahren waren die weiteren Bausteine der europäischen Gesetzgebung für den digitalen Bereich auf den Weg gebracht worden. Dazu gehören – neben der Datenschutz-Grundverordnung (DSGVO) – der Daten-Governance-Rechtsakt (DGA), das Gesetz über digitale Märkte (DMA), das Gesetz über digitale Dienste (DSA), die Datenverordnung (DA), die KI-Verordnung (KI-VO) und im Bereich der Informationssicherheit die NIS-2-Richtlinie, die CER-Richtlinie und das Cyberresilienzgesetz (CRA).

Soweit die Verarbeitung personenbezogener Daten betroffen ist, ist das Datenschutzrecht einzuhalten. Hier zeigen sich zahlreiche Schnittmengen der DSGVO mit diesen Digitalrechtsakten, die u. a. den fairen Umgang mit Daten und eine Verbesserung der Informationssicherheit zum Ziel haben. Diese Digitalrechtsakte bilden die Grundlage für den Weg in eine Zukunft, in der die Informationsgesellschaft im Sinne der europäischen Grundrechte weiterentwickelt werden soll.

Unser Titelbild für den gedruckten Tätigkeitsbericht visualisiert den Weg in die Zukunft in Form einer Treppe, deren Stufen die verschiedenen europäischen Digitalrechtsakte repräsentieren. Die Treppe ist insgesamt stabil, allerdings sind die Stufen nicht gleichartig, sondern in Form und Höhe verschieden gestaltet. In einigen historischen Bauwerken, in denen man ähnlich unterschiedliche Stufen findet, ist damit das Konzept verbunden, dass man auf seinen Weg achten und jeden Schritt bewusst gehen soll.

Die Europäische Union verfolgt mit den Digitalrechtsakten sicherlich kein derartiges spirituelles Konzept. Als Sinnbild erschien es uns jedoch geeignet, um deutlich zu machen, dass die Beteiligten auf dieser insgesamt tragfähigen Treppe in die Zukunft noch nicht trittsicher sind und es noch nötig ist, sich in den einzelnen Schritten auszubalancieren. Denn bisher sind viele Fragen in Bezug auf die europäischen Rechtsakte offen, beispielsweise welche Best-Practice-Lösungen und Standards leitend sein und wie die Prüfungen und Beratungen der verschiedenen zuständigen Aufsichtsbehörden zu einer Rechtssicherheit für Unternehmen und Behörden insgesamt führen können.

Unser Bericht für das Jahr 2024 beschreibt die Tätigkeiten der Behörde der Landesbeauftragten für Datenschutz und, in Personalunion, der Landesbeauftragten für Informationszugang. Die ausgewählten Einzelfälle und im Bericht behandelten Themen geben einen Einblick in wichtige Entwicklungen aus Recht und Technik. Sie zeigen beispielhaft, wie man Fehler vermeidet oder Verbesserungsbedarfe umsetzen kann, um die Anforderungen aus dem Datenschutz- und Informationszugangsrecht zu erfüllen.

Ich wünsche Ihnen viel Spaß beim Lesen!

Dr. h. c. Marit Hansen
Landesbeauftragte für Datenschutz Schleswig-Holstein
Landesbeauftragte für Informationszugang Schleswig-Holstein

 

1.1          Zwischenfazit Datenschutz-Grundverordnung – vieles verstanden, vieles auf dem Weg

2012 hatte die Europäische Kommission den ersten Entwurf für eine Datenschutz-Grundverordnung (DSGVO) veröffentlicht. Nach intensiven Verhandlungen trat im Jahr 2016 die DSGVO in Kraft, und wirksam wurden die Regeln ab dem 25. Mai 2018. Zeit für ein Zwischenfazit.

Die meisten Verantwortlichen sind nach unserer Beobachtung recht gut über ihre Pflichten im Bilde. Websites sind mit Datenschutzerklärungen versehen, viele Verantwortliche haben ihre Prozesse passabel dokumentiert, auf Auskunftsersuchen von betroffenen Personen wird zumindest reagiert (Tz. 11.2). Bei der Einführung neuer Technik (Stichwort künstliche Intelligenz (KI)) bestehen allerdings Unsicherheiten – dazu gibt es auch seit Kurzem Hinweise, Orientierungshilfen oder Leitlinien vonseiten der Aufsichtsbehörden (Tz. 2.1, Tz. 6.2.5 und Tz. 6.2.6), und weitere sind in Arbeit. Aufgefallen ist uns, dass einige Organisationen es bei der Benennung von Datenschutzbeauftragten nicht immer so genau mit Interessenkonflikten nehmen (Tz. 5.1). Das geht so natürlich nicht. Das Bewusstsein für meldepflichtige Datenpannen ist gewachsen, doch in der Handhabung besteht noch viel Verbesserungspotenzial (Tz. 6.3.1).

Ein gesteigertes Beschwerdeaufkommen (Tz. 1.2) zeigt, dass vielen Menschen bewusst ist, dass es Datenschutzaufsichtsbehörden gibt. Jedoch vermuten einige Beschwerdeführenden Verstöße, wo es keine gibt. Andere scheinen die Erwartung zu haben, dass die Aufsichtsbehörden als schnelle Eingreiftruppe agieren, direkt vor Ort unzulässige Datenverarbeitungssysteme abbauen und standardmäßig Bußgelder in Millionenhöhe verhängen. So ist es gerade nicht. Ein rechtsstaatliches Vorgehen auf Basis unserer gesetzlichen Befugnisse mit Anhörungen und Aufklärung des Sachverhalts dauert diesen Personen zu lange. Sie sind dann nicht nur unzufrieden mit dem Verantwortlichen, sondern auch mit den Datenschutzaufsichtsbehörden. Einige machen dann von ihrem Recht Gebrauch, die Aufsichtsbehörde vor dem Verwaltungsgericht zu verklagen – auch das gehört zum Rechtsstaat.

Einige Instrumente der Datenschutz-Grundverordnung entwickeln sich nur langsam. So existieren erst wenige Verhaltensregeln (Codes of Conduct) nach Artikel 40 DSGVO. Zertifizierungen nach Artikel 42 DSGVO stecken noch im Anfangsstadium, sind jetzt aber möglich (Tz. 9.2). Die Umsetzung des Prinzips „Datenschutz by Design und by Default“ nach Artikel 25 DSGVO steckt ebenfalls noch in den Kinderschuhen. Da gibt es jedenfalls Luft nach oben.

Die Notwendigkeit der Risikobeherrschung nach der DSGVO ist vielen Verantwortlichen bewusst, selbst wenn immer noch eine Interpretation vorherrscht, die sich an den Risiken der Informationssicherheit orientiert, sodass noch zu wenig Übung darin besteht, darüber hinausgehende Datenschutzrisiken – z. B. Diskriminierung oder Rufschädigungen von betroffenen Personen – zu identifizieren. Gerade in Bezug auf neue Technologien (wieder das Stichwort KI) besteht Verbesserungsbedarf bei der Datenschutz-Folgenabschätzung nach Artikel 35 DSGVO. Die Anforderungen für Hochrisiko-KI-Systeme nach der KI-VO werden übergreifende Risikobewertungen erforderlich machen (siehe Tz. 8.2 für Grundrechte-Folgenabschätzungen).

Von Vorteil ist es, dass Compliance und Risikobeherrschung in vergleichbarer Art und Weise auch von den neuen europäischen Digitalrechtsakten verlangt werden. Hier besteht die Herausforderung sowohl für die Verantwortlichen als auch für die Aufsichtsbehörden, zu rechtssicheren Lösungen zu kommen, die alle rechtlichen Anforderungen erfüllen. Das wird nur klappen, wenn die verschiedenen Bereiche und Zuständigkeiten in den Organisationen ebenso wie die verschiedenen zuständigen Aufsichtsbehörden miteinander kommunizieren und sich abstimmen. Dies ist eigentlich keine neue Anforderung, denn zumindest für die Schnittmengen zwischen Informationssicherheit und Datenschutz war dies in der Vergangenheit schon wichtig. Doch in der Praxis besteht aus unserer Sicht in vielen Fällen Verbesserungsbedarf – faktisch bedeutet dies auch, Klarheit über die verschiedenen Begriffswelten zu erlangen und Brücken zwischen den unterschiedlichen Disziplinen und organisationsüblichen Methoden zu bauen, damit sich das nötige Verständnis im Sinne der umfassenden Risikobeherrschung entwickelt.

 

 

1.2          Zahlen und Fakten zum Jahr 2024

Nachdem in den Jahren 2022 und 2023 die Zahl der von uns bearbeiteten Beschwerden gegenüber dem Wert aus 2021 leicht zurückgegangen war (2021: 1.464, 2022: 1.334, 2023: 1.344), war im Jahr 2024 mit 1.628 Beschwerden ein neuer Spitzenwert zu verzeichnen. Dies stellt eine Steigerung von 21 Prozent gegenüber dem Vorjahreswert dar.

Auch die Zahl der gemeldeten Verletzungen des Schutzes personenbezogener Daten (sogenannte Datenpannen) ist gestiegen: Im Jahr 2024 sind 602 Meldungen bei uns eingegangen. Im Vergleich zum Vorjahr mit 527 Meldungen handelt es sich um eine Steigerung von 14 Prozent.

Die Höchstzahl von 649 Meldungen im Jahr 2021 wurde allerdings noch nicht erreicht; jenes Jahr war durch eine Häufung von Massenmeldungen bei mehreren Angriffswellen und Schwachstellen in weithin eingesetzter Technik gekennzeichnet gewesen (40. TB, Tz. 6.3.3).

Abb. 1: Zahl der bearbeiteten Beschwerden 2024

Abb. 2: Zahl der bearbeiteten Beschwerden nach Artikel 33 DSGVO

Im Folgenden sind die genauen Zahlen dargestellt:

Im Jahr 2024 erreichten uns 1.628 schriftliche Beschwerden (Vorjahr: 1.344), von denen 301 (Vorjahr: 284) nicht in unserer Zuständigkeit (öffentliche und nichtöffentliche Stellen in Schleswig-Holstein mit Ausnahme bestimmter Bereiche in Bundeszuständigkeit, z. B. Telekommunikation) lagen und an die zuständigen Behörden abgegeben werden mussten.

Insgesamt wurden in eigener Zuständigkeit 1.327 (Vorjahr: 1.060) Beschwerden bearbeitet, davon richteten sich mehr als 80 Prozent der Beschwerden gegen Unternehmen und andere nichtöffentliche Stellen (1.087; Vorjahr: 799), der Rest gegen Behörden (240; Vorjahr: 261). Dazu kamen 443 (Vorjahr: 570) Beratungen für den öffentlichen und den nichtöffentlichen Bereich.

Ohne vorherige Beschwerde wurden zehn (Vorjahr: eine) Prüfungen im öffentlichen und zwölf Prüfungen (Vorjahr: zwei) im nichtöffentlichen Bereich begonnen und neue Verfahren eingeleitet; zahlreiche Prüfungen aus dem Vorjahr wurden fortgeführt.

Die Zahl von 602 (Vorjahr: 527) gemeldeten Verletzungen des Schutzes personenbezogener Daten nach Artikel 33 DSGVO, § 41 LDSG oder § 65 BDSG i. V. m. § 500 StPO (Datenpannen) ist im Vergleich zum Vorjahr wieder signifikant gestiegen. Vielen Verantwortlichen ist die Pflicht zur Meldung von Datenpannen bekannt, dennoch sehen wir auch immer wieder Fälle in unseren Prüfungen, bei denen nicht ordnungsgemäß gemeldet wurde. Wir gehen von einer hohen Dunkelziffer von Fällen aus, in denen die Verantwortlichen der Meldepflicht nicht nachgekommen sind. Die Gründe dafür sind vielfältig: Unkenntnis, Fehleinschätzungen, eine entgegenstehende Fehlerkultur in der Organisation oder auch nur der Glaube daran, dass bestimmt keiner das Malheur bemerken würde.

Von den Abhilfemaßnahmen als Reaktion auf festgestellte Verstöße gegen das Datenschutzrecht wurde im Berichtsjahr insgesamt wie folgt Gebrauch gemacht:

• 29 Warnungen (Vorjahr: 28),
• 7 Verwarnungen (Vorjahr: 7),
• 2 Anordnungen zur Änderung oder Einschränkung der Verarbeitung (Vorjahr: 1),
• 3 Geldbußen (Vorjahr: 0).

Nach unserem Eindruck wird die Dienststelle der Landesbeauftragten für Datenschutz in Gesetzgebungsvorhaben auf Landesebene weitgehend eingebunden, wenn Aspekte des Datenschutzes oder des Informationszugangs betroffen sein könnten. Dies geschah im Berichtsjahr über die Ministerien parallel zur Anhörung von Verbänden oder über die Ausschüsse im Landtag in 18 (Vorjahr: 12) neuen Gesetzgebungsvorhaben; einige Themen aus Gesetzgebungsvorhaben des Vorjahres wurden auch im Berichtsjahr weiterverfolgt.

 

1.3         Beschwerde-Dauerbrenner Videoüberwachung

Welcher Anteil an Beschwerden war im Jahr 2024 am größten? Seit mehreren Jahren ist der ständige Dauerbrenner die Videoüberwachung: Mehr als 20 Prozent aller Beschwerden betrifft diese Art der Verarbeitung personenbezogener Daten. Im Vergleich zum Jahr 2022 haben sich die absoluten Zahlen der von uns bearbeiteten Beschwerden über Videoüberwachung fast verdoppelt (2022: 191; 2023: 255; 2024: 352).

Ein großer Teil der Beschwerden zu Videoüberwachung bezieht sich auf den Einsatz von Kameras durch Privatpersonen, typischerweise in der Nachbarschaft. Über die letzten Jahre beträgt dieser Anteil um die 40 Prozent aller Videoüberwachungsbeschwerden (2022: 40 Prozent, 2023: 49 Prozent, 2024: 39 Prozent, siehe auch 42. TB, Tz. 5.12). Wir vermuten, dass für den Einsatz von Videoüberwachungskameras entscheidend ist, dass sie so leicht verfügbar sind: Nicht nur in Fachgeschäften, sondern auch in Discountern vor Ort oder auf Einkaufsplattformen im Internet werden Videoüberwachungskameras für den Außeneinsatz zu recht geringen Kosten angeboten.

Nicht allen, die solche Kameras einsetzen, ist bewusst, dass sie Datenschutzanforderungen erfüllen müssen – jedenfalls soweit nicht nur das eigene Grundstück, sondern der öffentliche Raum betroffen ist. Wenn sich die Videoüberwachung ausschließlich auf das eigene, private Grundstück richtet, ohne dass öffentliche Flächen oder benachbarte Grundstücke erfasst werden, handelt es sich um eine Datenverarbeitung, die einer persönlichen oder familiären Tätigkeit gleichkommt. Auf diese Videoüberwachungsanlagen findet die Datenschutz-Grundverordnung daher gemäß Art. 2 Abs. 2 Buchst. c DSGVO (sogenannte Haushaltsausnahme) keine Anwendung. Erfasst die Videoüberwachung jedoch Bereiche außerhalb des privaten Grundstücks, ist die Datenschutz-Grundverordnung vollständig anzuwenden.

Die meisten Beschwerden in Bezug auf Videoüberwachung durch Privatpersonen stammen von Nachbarn, die sich beobachtet fühlen. Vielfach sind den Beschwerden Nachbarschaftsstreitigkeiten aus ganz anderen Gründen vorausgegangen, manchmal hat man einander bereits mit Anzeigen bei der Polizei überzogen. Es wird dann gar nicht erst versucht, ein klärendes Gespräch mit dem Nachbarn zu suchen, der vermeintlich auch Teile des eigenen Grundstücks überwacht, sondern die Betroffenen wenden sich direkt an das ULD.

Wir sind verpflichtet, jeder berechtigten Beschwerde nachzugehen. Sofern ein hinreichend konkreter Verdacht auf einen datenschutzrechtlichen Verstoß besteht, wird ein Verwaltungsverfahren gegen den kamerabetreibenden Nachbarn eröffnet. Hierbei wird er unter Zuhilfenahme eines Fragebogens angehört. Nach Vorlage der erbetenen Stellungnahme wird eine datenschutzrechtliche Bewertung der Videoüberwachung vorgenommen, gegebenenfalls werden vorhandene Anpassungsbedarfe aufgezeigt und die Umsetzung eingefordert. In den meisten Fällen überwachen die Kamerabetreiber jedoch nur das eigene Grundstück – auch wenn der Kamerawinkel anderes vermuten lässt.

Entgegen dem oft kommunizierten Wunsch vieler Beschwerdeführenden findet bei Videoüberwachung unter Nachbarn grundsätzlich keine Prüfung vor Ort statt. Das ginge in diesen Fällen zumeist auch gar nicht: Uns steht für Privatgrundstücke kein Betretungsrecht zu.

Liefert die Beschwerde keinen konkreten Verdacht auf einen datenschutzrechtlichen Verstoß oder ist von vornherein ersichtlich, dass es sich um eine Datenverarbeitung im rein persönlichen oder familiären Bereich handelt, wird auf die Einleitung eines Verwaltungsverfahrens verzichtet. In diesem Fall erhält die kamerabetreibende Person einen rechtlichen Hinweis nach Art. 58 Abs. 1 Buchst. d DSGVO. Die Person, die sich bei uns beschwert hat, erhält ebenso ein informatorisches Schreiben mit rechtlicher Einordnung und dem Verweis auf den Zivilrechtsweg.

Was viele Beschwerdeführende überrascht, ist die Tatsache, dass allein das Vorhandensein einer Kamera noch keinen datenschutzrechtlichen Verstoß begründet. Trotz einer vermeintlichen Ausrichtung der Kamera des Nachbarn auf das eigene Grundstück kann eine Kamera datenschutzrechtlich zulässig sein, z. B. wenn Bereiche durch technische Maßnahmen wie Schwärzung oder Verpixelung ausgenommen werden.

Vielfach heißt es, dass die Videoüberwachung aus Gründen der Sicherheit betrieben wird. Für ein Mehr an Sicherheit kann es aber besser sein, wenn es ein gutes Miteinander mit den Nachbarn gibt und man im positiven Sinne aufmerksam ist (z. B. wenn man einen Einbruch oder eine Bedrohungslage erkennt) und Bereitschaft zur Hilfe und an einem konstruktiven Miteinander zeigt. Technisch helfen beispielsweise Sicherungen an Fenstern und Türen oder Alarmanlagen. Und wenn Videoüberwachung zum Einsatz kommt, hilft ein direktes klärendes Gespräch oft mehr als das Einschalten von Polizei oder Datenschutzbehörde.

Die Broschüre in unserer Praxisreihe „Datenschutzbestimmungen praktisch umsetzen“ zur Videoüberwachung ist hier verfügbar:

https://www.datenschutzzentrum.de/uploads/praxisreihe/Praxisreihe-5-Videoueberwachung.pdf

Kurzlink: https://uldsh.de/tb43-1-3a

 

1.4          Evaluation und Anpassung der Gesetze zu Datenschutz und Informationsfreiheit

Wir hatten in den vorherigen Tätigkeitsberichten auf die Evaluierungsklauseln in einigen Gesetzen zu Datenschutz und Informationsfreiheit hingewiesen (40. TB, Tz. 1.4; 41. TB, Tz. 1.3; 42. TB, Tz. 1.3) und von der Evaluierung des Bundesdatenschutzgesetzes im Jahr 2021 berichtet, die auf die Evaluierung der DSGVO im Jahr 2020 (39. TB, Tz. 1.4) folgte. In Schleswig-Holstein betrifft dies das Landesdatenschutz (LDSG) sowie das Informationszugangsgesetz (IZG-SH).

Nach unseren Informationen wird das IZG-SH nunmehr wissenschaftlich evaluiert, sodass im Laufe des Jahres 2025 mit Ergebnissen und vielleicht schon Vorschlägen für eine Novellierung zu rechnen ist.

Für das LDSG hatte die Regierung bereits vor einiger Zeit Änderungsbedarfe abgefragt. Im letzten Bericht (42. TB, Tz. 1.3) hatten wir optimistisch formuliert, dass die Reform auf Bundesebene – nämlich in Bezug auf das Bundesdatenschutzgesetz (BDSG) – beobachtet und abgewartet werden solle. Dies erschien uns vernünftig. Leider ist die Novellierung des BDSG nicht mehr vor der Wahl im Februar 2025 gelungen, sodass der neue Zeitplan auf Bundesebene völlig unklar ist. Die Anpassungsbedarfe, die wir aus unserer Sicht der Praxis einer Aufsichtsbehörde identifiziert haben, haben wir bereits kommuniziert.

Was ist zu tun?
Wir bieten unsere Unterstützung beim Herausarbeiten der Anpassungsbedarfe sowohl beim LDSG als auch beim IZG-SH an.

 

1.5          Vorsitz der DSK – auch im Jahr 2024

Im Jahr 2023 hatten wir den Vorsitz der Datenschutzkonferenz (DSK) inne. Die Datenschutzkonferenz ist der Zusammenschluss der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder. Ein zeitlich und natürlich auch inhaltlich erfüllender Job, ein Jahr lang für die Datenschutzkonferenz sprechen zu dürfen und sprechen zu müssen. Organisatorisch galt es, die neun Tagungen und 40 Wochenbesprechungen der DSK auszurichten und zu leiten. Es gab viele Diskussionen und vor allem viele Ergebnisse – so wie wir es uns vorgestellt hatten. Damit die Lasten fair verteilt sind, wird der Staffelstab des Vorsitzes nach zwölf Monaten weitergegeben. Im Prinzip gilt: Jedes Land sowie der Bund kommen einmal dran, und zwar im Durchschnitt alle 17 Jahre.

Doch im Jahr 2024 kam es anders: Der Vorsitz war zum Jahresbeginn auf die Landesbeauftragte für Datenschutz und Informationsfreiheit der Freien Hansestadt Bremen übergegangen, Frau Dr. Imke Sommer. Doch bereits im Januar 2024 wurde sie zur Präsidentin des Rechnungshofs der Freien Hansestadt Bremen gewählt. Was tun? Ein Vorziehen des bereits ausgewählten Vorsitzes für das Jahr 2025 kam aus organisatorischen Gründen nicht infrage, da in der dortigen Behörde bereits alle Planungen auf das Folgejahr ausgerichtet waren.

Die DSK reagierte schnell und beschloss einstimmig, den Vorsitz erneut nach Schleswig-Holstein zu geben. Schließlich waren wir eingearbeitet und konnten ohne große Anlaufzeiten die Rolle inhaltlich und organisatorisch erneut übernehmen. Wir haben uns der Verantwortung gestellt – ja, sogar sehr gern. Jedoch hatten wir im Jahr 2023 gemerkt, wie viel Zusatzbelastung mit der Vorsitzrolle einhergeht, die zwar mit den vorhandenen Ressourcen zu stemmen gewesen war. Eine Verlängerung, dazu noch ungeplant, sollte sich aber nach Möglichkeit nicht bis zum Jahresende erstrecken. In dieser Situation bot der Hessische Beauftragte für Datenschutz und Informationsfreiheit an, nach der ersten großen Tagung Mitte Mai den Vorsitz zu übernehmen.

Datenschutzkonferenz
Die Datenschutzkonferenz (DSK) hat die Aufgabe, die Datenschutzgrundrechte zu wahren und zu schützen, eine einheitliche Anwendung des europäischen und nationalen Datenschutzrechts zu erreichen und gemeinsam für seine Fortentwicklung einzutreten. Dies geschieht namentlich durch Entschließungen, Beschlüsse, Orientierungshilfen, Standardisierungen, Stellungnahmen, Pressemitteilungen und Festlegungen.

Und so wurden wir ab Ende Januar 2024 wieder Vorsitz der DSK, nahmen erneut die besonderen Aufgaben wahr und coachten parallel das eilig zusammengestellte Team aus Hessen, um einen geschmeidigen Übergang nach der ersten großen Tagung der DSK im Mai 2024 zu erreichen. Auf diese Weise haben wir den nahtlosen Wechsel vom Bremer Vorsitz über Schleswig-Holstein nach Hessen erreicht. Natürlich standen wir auch in der Folgezeit dem neuen Vorsitz der DSK mit Rat und Tat zur Seite. Laut Geschäftsordnung der DSK waren wir nach Abgabe des Vorsitzes zum ersten stellvertretenden Vorsitz geworden und wurden in dieser Rolle auch dann eingebunden, wenn der Vorsitz verhindert war.

Für das Jahr 2024 hatten wir erwartet, dass das Versprechen aus dem Koalitionsvertrag der früheren Bundesregierung erfüllt werden würde, die Datenschutzkonferenz zu institutionalisieren. Durch den Bruch der Ampelkoalition im November 2024 wurde dieses Unterfangen, für das erste Regeln in einem nicht mehr verabschiedeten Gesetzentwurf zum Bundesdatenschutzgesetz (BDSG) aufgenommen worden waren, erst einmal auf Eis gelegt. Diese Gesetzesänderung hätte dazu geführt, dass die Datenschutzkonferenz – anders als bisher – zu einem Gremium mit „Pflichtmitgliedschaft“ der unabhängigen Datenschutzaufsichtsbehörden geworden wäre. Wichtiger wäre uns aber eine ständige Geschäftsstelle der DSK, die den jeweiligen Vorsitz unterstützt. Wir könnten uns außerdem gut eine technische Plattform bei einer solchen Geschäftsstelle vorstellen, die Verantwortlichen die Möglichkeit bieten soll, Datenpannenmeldungen und Mitteilungen von Datenschutzbeauftragten in einem einheitlichen Format und über eine einheitliche Schnittstelle an die zuständigen Datenschutzaufsichtsbehörden in der DSK weiterzuleiten.

Was ist zu tun?
Unser Wunsch für die Zukunft auf Basis unserer Erfahrungen als DSK-Vorsitz in den Jahren 2023 und 2024: Die Datenschutzkonferenz möge bitte mit einer Geschäftsstelle ausgestattet werden. Damit soll dem Ziel der einheitlichen Rechtsanwendung durch weitere Professionalität Rechnung getragen und eine Steigerung der Kontinuität im Handeln erreicht werden.

 

Zum Inhaltsverzeichnis

Zum nächsten Kapitel