Im Kontext der Verwaltungsdigitalisierung wird der Datenschutz allzu oft als Bremse verstanden. Dann heißt es, die gleiche IT-Lösung werde von den 17 Datenschutzbehörden einzeln geprüft – im schlimmsten Fall mit 17 unterschiedlichen Ergebnissen. Die neue Koalition hat nun eine Reform der Aufsicht versprochen. Wird so das Ziel eines einheitlichen und einfacheren Datenschutzes erreicht? Und welche anderen Wege gibt es?
„Die Risiken für die Rechte und Freiheiten der Bürgerinnen und Bürger sind bei allen Projekten der Verwaltungsdigitalisierung frühzeitig in den Blick zu nehmen“, betont die Berliner Datenschutzbeauftragte und diesjährige Vorsitzende der Datenschutzkonferenz (DSK), Meike Kamp. Auch für Regina Mühlich und Thomas Spaeing, Vorstandsmitglied bzw. Vorstandsvorsitzender des Berufsverbands der Datenschutzbeauftragten Deutschlands (BvD) e. V., ist klar: Der Datenschutz muss in der Verwaltungsdigitalisierung von Anfang an mitgedacht und als Qualitätsmerkmal verstanden werden. Denn er sei kein Hemmschuh, sondern „Garant für Vertrauen, Transparenz und Rechtssicherheit“. Um dies zu gewährleisten, brauche es klare Zuständigkeiten und einheitliche Standards. Doch wie können diese erreicht werden?
Einer für alle
Der BvD befürwortet zum Beispiel die einheitliche datenschutzrechtliche Bewertung zentraler Komponenten von EfA-Lösungen, also solcher Verwaltungsleistungen, die über das „Einer für alle“-Prinzip (EfA) von einer Behörde entwickelt und anderen zur Nachnutzung zur Verfügung gestellt werden. Die DSK hat dieses Potenzial ebenso erkannt: „Wir setzen uns innerhalb der Konferenz der Datenschutzaufsichtsbehörden des Bundes und der Länder dafür ein, einheitliche Prüfstandards für länderübergreifende Online-Dienste nach dem Onlinezugangsgesetz zu entwickeln“, erklärt Kamp. Als Reaktion auf die Koalitionsverhandlungen empfahl die DSK in einem Statement zudem die Ausweitung des EfA-Prinzips auf die Datenschutzbehörden, um sich die Arbeit effizient aufzuteilen. Das Ergebnis der Prüfung von länderübergreifend eingesetzten Verfahren durch eine Landesbehörde soll die anderen Behörden demnach binden.
Die Experten sind sich also einig: Datenschützer müssen früh eingebunden und Standards etabliert werden. Das große Ziel ist mehr Einheit und Effizienz im Datenschutz. Die Reformpläne der neuen Regierung gehen jedoch vielen zu weit.
Was die Koalition ändern will
CDU, CSU und SPD wollen laut Koalitionsvertrag die Aufsicht über die Privatwirtschaft bei der Bundesdatenschutzbehörde (BfDI) bündeln (Behörden Spiegel berichtete). Bislang sind die Landesbehörden für die Aufsicht über Unternehmen in ihrer Region zuständig. Die BfDI beaufsichtigt einige bundesweit tätige Wirtschaftsunternehmen mit datengetriebenen Geschäftsmodellen und unterschiedlichen Standorten, beispielsweise Telekommunikations- und Postdienste.
Während die aktuelle BfDI, Prof. Dr. Louisa Specht-Riemenschneider, grundsätzlich zur Übernahme der neuen Verantwortung bereit ist, gibt es in den Ländern Widerstände: Bettina Gayk, die Datenschutzbeauftragte von NRW, verweist auf die guten Kontakte, welche die Landesbehörden über die Jahre aufgebaut hätten und die zu „schnellen und praxisnahen Lösungen“ führten. Mit einer zentralen Aufsicht beim Bund würden Bürger und Unternehmen die „leicht zugängliche Beratung“ verlieren. Auch der baden-württembergische Landesbeauftragte für Datenschutz, Prof. Dr. Tobias Keber, hält die Bündelung für den „falschen Weg“ und erklärt, dass dezentrale Aufsichtsstrukturen die Resilienz sicherten.
Die DSK befürwortet zwar eine zentrale Datenschutzbehörde als Ansprechpartnerin – jedoch nur für „länderübergreifende Sachverhalte“, etwa bei Forschungsprojekten oder bei Konzernen mit mehreren Standorten. Eine bessere Lösung sehen Keber und seine Kollegen darin, die Datenschutzkonferenz zu stärken, um ein kohärenteres Vorgehen zu ermöglichen. Immerhin: Dieser Vorschlag hat es ebenso in den Koalitionsvertrag geschafft.
Die Rolle der DSK
„Die Datenschutzkonferenz verankern wir im Bundesdatenschutzgesetz (BDSG), um gemeinsame Standards zu erarbeiten“, heißt es im Dokument der drei Parteien. Doch welche Vorteile würde dieser Schritt tatsächlich bringen? BvD-Vorstandsmitglied Regina Mühlich ist überzeugt: „Eine gesetzlich verankerte Datenschutzkonferenz könnte wesentlich zur Vereinheitlichung der Datenschutzaufsicht in Deutschland beitragen.“ Die DSK könnte eine abgestimmte Auslegung der Vorgaben fördern und damit für mehr Rechtsklarheit sorgen. Außerdem könnte die Position der deutschen Aufsichtsbehörden auf europäischer Ebene gestärkt werden.
Die aktuelle Vorsitzende der DSK, Kamp, glaubt, die Institutionalisierung trage der Bedeutung des Gremiums Rechnung und könne seine Reichweite ausbauen. Es gibt aber ein weiteres Anliegen: die Einrichtung einer Geschäftsstelle in der DSK. Bisher rotiert der Vorsitz jährlich, was insbesondere kleinere Aufsichtsbehörden vor Herausforderungen stelle.
Der Berliner Weg
Aus Berlin kommt derweil ein anderer Ansatz für mehr Einheitlichkeit im Datenschutz. Unter Leitung von Dr. Claudia Federrath wurde ein Standardprozess entwickelt, welcher der Verwaltung helfe, „Datenschutzrisiken bei der Digitalisierung selbst frühzeitig erkennen und minimieren zu können“. Die Datenschutzprüfung werde in den ohnehin verpflichtend zu durchlaufenden Prozess eingebettet – Schritt für Schritt und mit konkreten Anforderungen. „So kann verhindert werden, dass nachträgliche Anpassungen notwendig werden, die zu Verzögerungen bei der Umsetzung führen“, erläutert die Abteilungsleiterin der Berliner Datenschutzbehörde.
Der Standardprozess wurde im Herbst 2024 veröffentlicht und wird gerade in der Praxis erprobt. Die Berliner gehen davon aus, dass er auch von anderen Ländern genutzt werden könnte. Die dort betrachteten Datenschutzanforderungen würden schließlich in allen Ländern gleichermaßen gelten. „Wichtig erscheint uns, dass die Prozesse der Verwaltungsdigitalisierung möglichst standardisiert erfolgen, damit sich auch die Datenschutzprüfungen daran anlehnen können“, bekräftigt Federrath.
Schwer vereinbare Regelungen
Ein weiteres Spannungsfeld liegt in der Vereinbarkeit der Datenschutzgrundverordnung (DSGVO) mit neuen EU-Digitalverordnungen wie dem Data Act oder dem AI Act. Kamp kritisiert, dass die DSGVO in manchen Punkten mit den neuen Rechtsakten „schwer vereinbar“ sei. Beispielsweise kollidiere das Recht von Betroffenen auf Löschung von Daten mit der technischen Realität von KI-Modellen. Die Berliner Datenschutzbeauftragte spricht sich für die Schaffung von Synergien aus, etwa durch die Zusammenfassung von Meldepflichten, z. B. der NIS-2-Richtlinie und der DSGVO. Mühlich und Spaeing zufolge braucht es eine klare Abgrenzung der Anwendungsbereiche, konsistente Begriffsdefinitionen sowie einen strukturierten Austausch zwischen Datenschutzbehörden, Gesetzgebern und der Fachöffentlichkeit.
Die Debatte ist angestoßen – ob die DSK künftig an Bedeutung gewinnt, die Koalition ihre Bündelungspläne umsetzt oder andere Länder das Berliner Modell übernehmen, wird sich zeigen.
