Die Datenschutzkonferenz des Bundes und der Länder befasst sich damit, wie das Gremium für eine wirksamere Kooperation ausgestattet werden kann. Über eine IFG-Anfrage wurde das im Protokoll der letzten DSK-Sitzung erwähnte Gutachten »Rechtliche Möglichkeiten zur Stärkung und Institutionalisierung der Kooperation der Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK 2.0)« von Eike Richter und Indra Spiecker gen. Döhmann öffentlich gemacht.

Die staatlichen Aufsichten haben kein gesteigertes Interesse daran, dass die spezifischen Aufsichten mehr Beteiligungsrechte erhalten. Das spiegelt sich auch im Auftragsgutachten wieder – eine zu enge Einbeziehung soll sogar verfassungs- und europarechtswidrig sein. Das überzeugt nur bedingt.

Wer darf Mitglied der DSK sein?

Bislang sind an der Datenschutzkonferenz die 18 staatlichen Aufsichten beteiligt (des Bundes sowie der Bundesländer, wobei Bayern getrennte Behörden für den öffentlichen sowie den nichtöffentlichen Bereich hat) – das soll auch so bleiben. Neben den staatlichen Aufsichten existieren aber auch noch die Rundfunkaufsichten (gemäß Art. 85 DSGVO) und die der Kirchen, die von den Möglichkeiten des Art. 91 DSGVO Gebrauch machen. In ihrem Bereich nehmen diese Behörden alle Aufgaben wahr, die ansonsten der staatlichen Aufsicht zukommen.

Position des Gutachtens

Das Gutachten argumentiert nun, dass es diese spezifischen Aufsichten gibt, »weil die Anforderungen des Datenschutzes in der Aufsicht in besonderem Maße in Ausgleich gebracht werden müssen mit besonderer Grundrechtsrelevanz«, namentlich der Religions- und der Pressefreiheit. Eine Mitgliedschaft dieser Aufsichten sei »rechtlich nicht geboten« und auch »rechtlich und verwaltungswissenschaftlich nicht wünschenswert«.

Die Begründung deckt sich mit der Argumentation, die auch die DSK in ihrem Beschluss zu spezifischen Aufsichten schon vertreten hat: Die DSK entscheidet über »allgemeine Anliegen, Auslegungen und Vorstellungen zur DSGVO«. Die spezifischen Aufsichten seien aber »eben nicht in die allgemeine Auslegung der DSGVO einbezogen, weil sie typischerweise besondere Grundrechtsabwägungen in ihre aufsichtsbehördliche Tätigkeit integrieren müssen«, so das Gutachten. Dem könne die DSK nicht gerecht werden, sie würde sogar ihre Handlungsfähigkeit gefährden, müsste sie den »spezifischen Belangen« Rechnung tragen, zugleich müssten sich die spezifischen Aufsichten eventuellen Mehrheitsbeschlüssen unterwerfen, »wären also damit auch nicht imstande, die besonderen Grundrechtspositionen der von ihnen Kontrollierten durchzusetzen«. Im Ergebnis führe das dazu, dass »dann auch nur die grundrechtssensiblen Bereiche der Kirchen bzw. von Medien/Rundfunk/Presse diesen spezifischen Aufsichtsbehörden unterstellt. Der allgemeine Bereich würde dann von den allgemeinen Aufsichtsbehörden übernommen werden und hier auch den allgemeinen Regelungen unterworfen sein«. Eine Einbeziehung würde also dazu führen, dass die »Grundrechtsbelange der Kirchen und religiösen Vereinigungen einerseits sowie der Presse/Rundfunk/Medien andererseits nicht berücksichtigt werden könnten«. Das wäre verfassungs- und europarechtswidrig. (Und über die Finanzierung müsste man dann auch nochmal reden.)

Bewertung

Die Position des Gutachtens zur Beteiligung der spezifischen Aufsichten gibt im wesentlichen das wieder, was die DSK schon beschlossen hat und praktiziert: Unverbindlicher Austausch ja, aber Beteiligung nur dann, »wenn spezifische Fragen der Verarbeitung personenbezogener Daten durch die der Aufsicht der spezifischen Aufsichtsbehörden unterliegenden Stellen betroffen sind«, wie es im einschlägigen DSK-Beschluss von 2019 heißt.

Dieser erklärte Wille, grundsätzlich als staatliche Aufsichten unter sich zu bleiben und die spezifischen Aufsichten nur dann zu beteiligen, wenn es unbedingt nötig ist, wird nun auch noch mit einer grundrechtlichen Argumentation unterfüttert. Die überzeugt aber nur zum Teil.

Die DSK soll über allgemeine Anliegen, Auslegungen und Vorstellungen zur DSGVO entscheiden, und das stehe in Spannung zu den spezifischen Aufgaben der spezifischen Aufsichten, die »typischerweise« besondere Grundrechtsabwägungen vornähmen. Das stimmt aber gerade nicht: Ein Blick in die Tätigkeitsberichte der kirchlichen Aufsichten zeigt, dass die überwiegende Mehrheit der behandelten Sachverhalte keine Kirchenspezifika betrifft und auch keine besonderen Grundrechtsabwägungen nötig sind. Nur weil etwas selbstverwaltet ist, heißt das nicht immer, dass es anders verwaltet wird. Nicht erwähnt wird auch die Anforderung, dass kirchliches Datenschutzrecht »im Einklang« mit den Wertungen der DSGVO stehen muss; der Harmonisierungswille des EU-Gesetzgebers spielt in der Argumentation des Gutachtens keine Rolle. Dabei wäre beides, die Befassung mit denselben allgemeinen Sachverhalten und der nötige Einklang im Datenschutzniveau, eigentlich ein Argument für die Einbeziehung der spezifischen Aufsichten.

Auch das Argument der Überfrachtung, da jede DSK-Entschließung auch die spezifischen Belange berücksichtigen müsste, überzeugt nicht. Es ist zwar nachvollziehbar, wenn man annimmt, dass jegliches Handeln einer spezifischen Aufsichtsbehörde von ihrem spezifischen Zuständigkeitsbereich getragen ist; aber das trifft gerade nicht zu. Dazu kommt, dass keineswegs alle Grundrechtsträger des Rechts auf freie Meinungsäußerung und Informationsfreiheit sowie der Religionsfreiheit einer spezifischen Aufsicht unterworfen sind. Von schlichtweg jedem Handeln einer staatlichen Aufsicht sind in der Regel auch entsprechende Grundrechtsträger betroffen, und bereits jetzt müssten die Aufsichten im Konfliktfall das Grundrecht auf Datenschutz mit dem konfligierenden Grundrecht in praktische Konkordanz bringen – aber eben nur in Fällen, in denen es Konflikte gibt. Selbst wenn die verbindlichen Rahmenbeschlüsse das nicht berücksichtigen: In den Einzelfallentscheidungen müsste die Abwägung auftauchen.

Das letzte Argument klingt zunächst schlüssiger: Dass nämlich die jeweilige Grundrechtsposition geschwächt würde, müssten sich die spezifischen Aufsichten verbindlichen Mehrheitsentscheidungen unterwerfen. Dieser Argumentation zufolge wären die spezifischen Aufsichten dann nicht in der Lage, die besonderen Grundrechtspositionen der von ihnen Kontrollierten durchzusetzen. Mit Blick auf das europarechtliche Erfordernis des Einklangs ist es aber bereits jetzt so, dass grundsätzlich im Ergebnis gilt, dass auch die durch spezifische Aufsichten Kontrollierten den allgemeinen Regelungen unterworfen sind. Die DSK soll nach dem Gutachten nur verbindliche Rahmenbeschlüsse fällen können, nicht aber über konkrete Einzelfälle entscheiden. Damit bestünde weiterhin die Möglichkeit, in den jeweiligen Einzelfällen spezifische Grundrechtserfordernisse zu berücksichtigen, die im allgemeinen Rahmen nicht auftauchen. Alternativ wäre es denkbar, den spezifischen Aufsichten ein bereichsspezifisches Recht auf Vorbehalte zuzugestehen; das wird nicht einmal angedacht.

Einbeziehungsmöglichkeiten

Position des Gutachtens

Immerhin: Austausch und Zusammenarbeit wird als wünschenswert erkannt. Dafür genüge aber auch der Status quo, also unverbindlicher Austausch in festen Terminen. (Im Gutachten werden »feste Termine« bereits als Institutionalisierung gefasst.) Denkbar sei auch eine Informationspflicht der DSK gegenüber den spezifischen Aufsichten oder sogar ein Stellungnahmerecht. Hier wird aber empfohlen, auf eine erweiterte Begründungspflicht zu verzichten. Schließlich sei auch eine wechselseitige Informationspflicht denkbar, bei der sich DSK und spezifische Aufsichten über anstehende wichtige Entscheidungen informieren.

Bewertung

Die diskutierten Einbeziehungsmöglichkeiten sind denkbar knapp. Selbst wenn man der Argumentation zur Vollmitgliedschaft folgt – zumindest die Möglichkeit einer Mitgliedschaft ohne Stimmrecht hätte noch behandelt werden können. Die Sympathien liegen aber erkennbar beim Katzentisch.

Fazit

Das Auftragsgutachten munitioniert die Datenschutzkonferenz, um die Position zur Beteiligung spezifischer Aufsichten auch juristisch zu vertreten, die ohnehin schon vorher feststand. Das ist erwartbar, aber enttäuschend – und so sehr das Argument der Europarechtswidrigkeit stark gemacht wird für die gewünschte Position, fehlt doch eine Berücksichtigung des Ziels des Einklangs und der Harmonisierung des Datenschutzrechts.

Bislang agieren die spezifischen Aufsichten mit dem deutlich erkennbaren Bemühen, in Einklang mit den Positionen der DSK zu entscheiden. Folgt man der Argumentation des Gutachtens, dass schlichtweg jede Entscheidung über Sachverhalte, mit der spezifische Aufsichten befasst sind, aus der spezifischen Grundrechtsposition speziell ist, wäre dieser Wille zum Einklang nicht mehr zwingend nötig: Schließlich könnte dann bei jeder Abweichung zumindest im kirchlichen Bereich argumentiert werden, dass das kirchliche Besonderheit ist – und darüber, was das ist, entscheiden nach bekanntem Argumentationsmuster nur die Kirchen selbst, nicht staatliche Institutionen. Kann man das als staatliche Datenschutzaufsicht wollen?