44 Organisationen haben sich an der Verbändeanhörung zum Referentenentwurf des Änderungsgesetzes zum Bundesdatenschutzgesetz beteiligt. Mittlerweile hat das Innenministerium die Beiträge online gestellt. In Religionsgemeinschaften, die eigenes Datenschutzrecht anwenden, spielt das BDSG eine untergeordnete Rolle. Relevant ist hier vor allem die innderdeutsche Kohärenz – und damit die Frage nach der Organisation der Datenschutzkonferenz.
Im Referentenentwurf bekommt die Datenschutzkonferenz zwar erstmals nicht nur einen eigenen Paragraphen 16a, sondern sogar ein eigenes Kapitel. Inhaltlich bleibt aber der große Wurf aus – die verfassungsrechtliche Hürde des Verbots der Mischverwaltung scheint dem Innenministerium trotz klarer Zielvorgabe im Koalitionsvertrag doch zu hoch. Eine Analyse der 44 Rückmeldungen bringt einiges an Kritik an den Plänen für eine Institutionalisierung der DSK an den Tag – aber nur ein Verband denkt daran, dass es noch mehr Aufsichten gibt als nur die des Bundes und der Länder.
Grundsätzliche Einschätzungen
Von den 44 Institutionen, die sich an der Verbändeanhörung beteiligt haben, gibt es von 16 keine Position zur Institutionalisierung der DSK (dazu kommt eine Rückmeldung von Digitalcourage, die vergessen wurde einzustellen). 26 Organisationen bewerten eine Institutionalisierung grundsätzlich positiv. Wirklich neutral positioniert sich nur der Bundesverband E-Commerce und Versandhandel Deutschland e.V. (bevh), der einheitlichen Vollzug wünscht, aber egal wie: »Ob diese Vereinheitlichung durch eine einheitliche Behörde oder – wie vorliegend – durch Vorgaben in der bereits existierenden Geschäftsordnung der DSK hergestellt wird, ist für den bevh von nachrangiger Bedeutung.«
Angemessen ohne Wunsch nach mehr Verbindlichkeit halten den Entwurf nur fünf Rückmeldungen (Bundesverband E-Commerce und Versandhandel Deutschland e.V. (bevh), DIHK, Verband der Anbieter von Telekommunikations- und Mehrwertdiensten e.V. (VATM), Wirtschaftsauskunfteien, Zentralverband des Deutschen Handwerks). Die Deutsche Industrie- und Handelskammer begrüßt ausdrücklich, dass es keine Regelung zur rechtlichen Verbindlichkeit von DSK-Beschlüssen und keine Änderungen an der Rechtsnatur der DSK gibt: Die grundsätzlich wünschenswerte Harmonisierung müsse auf EU-Ebene erfolgen, da ansonsten den Unternehmen in Deutschland Wettbewerbsnachteile drohten. Daraus darf man wohl ableiten, dass Teile der Wirtschaft (dezidiert anders: der VDA) in der gegenwärtigen Struktur nach dem Ansatz »Teile und herrsche« Vorteile sieht.
Die meisten Positionen wünschen sich eine stärkere Institutionalisierung als im Referentenentwurf. Eine einheitliche Anwendung des Datenschutzrechts ist dabei das Hauptargument. Vorgeschlagen wird häufig eine gemeinsame Geschäftsstelle (wie von der DSK selbst auch gefordert) und die Möglichkeit verbindlicher Beschlüsse.
Kompakt und dabei detaillierter als andere formuliert etwa die GDD ihre Vorstellungen: »Sinnvoll wäre die Schaffung eines effizient arbeitenden, rechtlich institutionalisierten Gremiums nach dem Vorbild des EDSA geschaffen werden[sic], das Rechtsauffassungen in angemessener Frist mehrheitlich und verbindlich beschließen darf. Dieses kann in den Ländern oder bei Wahrung der Kompetenzen (Recht der Wirtschaft) auf Bundesebene geschehen. In letzterem Fall müsste es sich um ein Gremium nach dem Vorbild eines gerichtlichen Spruchkörpers handeln, um eine Machtkonzentration in einer Person zu verhindern und einen effizienten Rechtsvollzug im Datenschutz zu gewährleisten.«
Die DSK zeigt sich in ihrer Stellungnahme zufrieden mit dem bisherigen Arrangement, das die Unabhängigkeit der einzelnen Aufsichten sichert.
Strategien für die stärkere Institutionalisierung
Einige Stellungnahmen nehmen es einfach hin, dass das BMI offensichtlich keine Ambitionen auf eine größere Verbindlichkeit hat: Die vom Ministerium festgestellten verfassungsrechtlichen Grenzen werden mehr oder weniger bedauernd zur Kenntnis genommen.
Grundgesetzänderung
Die GDD, der CCC und die Familienunternehmer bringen eine Grundgesetzänderung ins Spiel. Letztere schreiben sich in ihrer Stellungnahme in Rage: »Alles in allem sind diese Reformschritte als eine Scheinlösung zu bewerten, denn die Ursache der Notwendigkeit zur datenschutzrechtlichen Koordinierung liegt ja erst dadurch vor, dass man die Aufsichten auf viel zu viele Träger verteilt hat – ein Luxus, den sich internationale Wettbewerber Deutschlands nicht leisten.« Die Reform habe sich in »formaljuristisch verbastelten Parallelwelten« verheddert, ohne eine Grundgesetzänderung auch nur zu bedenken. Der CCC dagegen bleibt nüchtern: »Eine Änderung des Abschnitts VIIIa GG hätte die verfassungsrechtlichen Bedenken beseitigen können. Hiervon sieht der Referentenentwurf jedoch ab.«
Landesgesetzgebung
Eine andere Möglichkeit wäre der Weg über Initiativen der Länder. Dazu gibt es zwei unterschiedliche Ideen.
Die Stiftung Datenschutz schlägt vor, dass die Länder ihre Aufsichten gesetzlich an die Entscheidungen der DSK binden – die offensichtliche Trittbrettfahrerproblematik kann über solche dezentralen Verpflichtungen aber nicht gelöst werden. Alle Länder (und den Bund) zu entsprechenden Verpflichtungsgesetzen zu bewegen, wäre ein Gefangenendilemma mit 16+1 Mitspielern.
Der Deutsche Anwaltsverein will Anleihen beim Medienrecht nehmen und schlägt die Lösung über einen Staatsvertrag vor: »Nach dem Vorbild von Institutionen wie der Kommission für Zulassung und Aufsicht (ZAK, vgl. § 104 Abs. 2 Nr. 1 und § 105 MStV) könnte die DSK umgestaltet werden in eine Aufsichtsbehörde, die den 18 einzelnen Datenschutzbehörden als Organ bei der Erfüllung ihrer Aufgaben dient. Ebenso wenig wie dem Wirken der ZAK das „Verbot der Mischverwaltung“ entgegensteht, wäre dies bei einem Wirken der DSK auf staatsvertraglicher Grundlage der Fall.« Das trifft zu. Zugleich sind die Querelen um den Rundfunkbeitrag ein deutliches Zeichen, dass Länderstaatsverträge durch die Vetomacht jedes einzelnen Landes auch keine Patentlösung sind.
Positionen zu spezifischen Aufsichten
Der bisherige Entwurf hat das Ziel, dass die DSK ihre Zusammensetzung aus den Aufsichtsbehörden des Bundes und der Länder nicht verändert. (Die DSK hat allerdings auf einen Fehler im Entwurf hingewiesen, der dazu führen würde, dass der für den öffentlichen Bereich zuständige BayLfD nicht dabei wäre.) Die spezifischen Aufsichten wären damit dauerhaft außen vor, wie sie es jetzt schon sind.
Explizit widmet sich nur eine einzige Rückmeldung den spezifischen Aufsichten, die der Arbeitsgemeinschaft für wirtschaftliche Verwaltung e.V.. Die Institutionalisierung wird grundsätzlich begrüßt: »Dabei regen wir an, bereits im BDSG eine Aufnahme bzw. Berücksichtigung der sektorspezifischen Datenschutzaufsichtsbehörden nicht von vornherein auszuschließen.«
Grundsatzkritik gibt es von der Bundesrechtsanwaltskammer. Sie begrüßt zwar allgemein die Pläne einer Vereinheitlichung der Datenschutzaufsicht, fordert aber deutlich weitergehende Änderungen: Die Kammer favorisiert eine Zentralisierung bei gleichzeitiger sektoraler Ausgestaltung der Datenschutzaufsicht. Unter anderem soll dazu die Datenschutzaufsicht über Rechtsanwaltskanzleien in die anwaltliche Selbstverwaltung überführt werden – mithin eine neue spezifische Aufsicht geschaffen werden. Schon beim Anwaltskammer-Beitrag zur Evaluierung des BDSG wurden entsprechende Forderungen erhoben – inklusive eines Lobs der bestehenden spezifischen Aufsichten.
Fazit
Wirklich glücklich ist kaum jemand mit der halbherzigen Institutionalisierung, die das Innenministerium sich vorstellen kann. Mindestens eine Geschäftsstelle sollte im Gesetzgebungsprozess noch nachgelegt werden, um eine spürbare und zugleich einfach machbare Verbesserung zu erreichen. Für eine Verbindlichkeit brauchte es den Willen, politisches Kapital in einem Umfang einzusetzen, den diese Bundesregierung in eine solche vergleichsweise nachrangige Frage kaum zu investieren bereit sein dürfte. Die Alternativen zu einer Grundgesetzgebung über Landesgesetzgebung oder Staatsverträge sind zwar originell, wirken aber angesichts der dazu nötigen Einmütigkeit unter den Ländern kaum praktikabel.
Bedauerlich ist, dass die spezifischen Aufsichten mit zwei Ausnahmen gar nicht im Blick sind. Die erklärte Position der DSK ist, dass sie weiter außen vor bleiben sollen – auch auf Kosten einer stärkeren innerdeutschen Kohärenz. Rückmeldungen von Vertretungen aus dem kirchlichen Bereich gab es nicht: Weder das Katholische Büro oder die Bevollmächtigte der EKD noch die evangelische oder katholische Datenschutzkonferenz haben sich an der Verbändeanhörung beteiligt, auch nicht die hier eigentlich rührige Rundfunkdatenschutzkonferenz. Es ist also sehr wahrscheinlich, dass der randständige Status der spezifischen Aufsichten mit der BDSG-Novelle noch zementiert wird.