Datenschutzkontrolle auf Bundesebene – unabhängiger und effektiver?*
aus: vorgänge Nr. 210/211 (2-3/2015), S. 245-250
Am 18. Dezember 2014 verabschiedete der Deutsche Bundestag Änderungen am Bundesdatenschutzgesetz (BDSG), die vor allem die institutionelle Stellung der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit betreffen. Ihre Dienststelle wird Anfang 2016 aus dem Geschäftsbereich des Bundesinnenministeriums herausgelöst und damit unabhängiger gegenüber den Behörden, die sie kontrollieren soll. Dieser Beitrag untersucht die Hintergründe sowie verbleibende Hindernisse für eine effektive Datenschutzkontrolle auf Bundesebene.
Deutschland gehörte in mancher Hinsicht zu den Vorreitern beim Datenschutz, z. B. als das Bundesverfassungsgericht dem Datenschutz in den 1980er Jahren als Recht auf informationelle Selbstbestimmung Grundrechtsrang zuschrieb. [1] Das gilt jedoch längst nicht für alle Bereiche des Datenschutzes. So war die oder der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit bisher organisatorisch in das Bundesinnenministerium eingebunden. Dies entsprach schon lange nicht mehr internationalen Standards. Nicht ganz freiwillig hat die Bundesregierung daher Ende 2014 einen Gesetzentwurf mit dem programmatischen Untertitel „Stärkung der Unabhängigkeit der Datenschutzaufsicht im Bund durch Errichtung einer obersten Bundesbehörde“ in den Bundestag eingebracht. [2] Trotz Kritik bei einer Anhörung im Innenausschuss wurde der Entwurf mit nur geringfügigen Änderungen verabschiedet. Die Neuregelungen treten Anfang 2016 in Kraft. [3] Diese Gesetzesänderungen sind ein Schritt zur Stärkung einer unabhängigen Datenschutzaufsicht. Manches bleibt aber in der Perspektive effektiver Datenschutzkontrolle unzulänglich.
Unabhängigkeit der Datenschutzkontrolle als europäischer Standard
In der internationalen verwaltungswissenschaftlichen Fachdiskussion besteht heute Einigkeit darüber, dass Institutionen, die Kontrollfunktionen gegenüber der Exekutive wahrnehmen sollen, ein hohes Maß an Unabhängigkeit gegenüber Regierung und Verwaltung brauchen. Anderenfalls besteht die Gefahr, dass die Kontrolle Rücksicht auf vorgesetzte Exekutivstellen nimmt und damit ineffektiv bleibt. Daher genießen z. B. die Mitglieder der Rechnungshöfe in vielen Ländern sogar eine richterliche Unabhängigkeit, [4] so auch in Deutschland gemäß Art. 114 Abs. 2 Grundgesetz (GG). Die bisherige Fassung des § 22 Abs. 4 des Bundesdatenschutzgesetzes (BDSG), der zwar die Unabhängigkeit erwähnte (Satz 2), zugleich aber die Rechtsaufsicht der Bundesregierung vorsah (Satz 3), war daher unzulänglich.
Erst zwei Entscheidungen des Gerichtshofs der Europäischen Union, in denen Deutschland und Österreich auf Initiative der Europäischen Kommission wegen Vertragsverletzungen verurteilt wurden, veranlassten die CDU/CSU/SPD-Koalition dazu, diese Grundsätze auch in Deutschland umzusetzen. Bereits die Datenschutz-Richtlinie 95/46/EG aus dem Jahr 1995 forderte eine Wahrnehmung der Kontrollaufgaben durch die Datenschutzaufsicht „in völliger Unabhängigkeit“ (Art. 28 Abs. 1). Heute ist die Unabhängigkeit der Datenschutzaufsicht sogar im EU-Primärrecht verankert, nämlich in Art. 8 Abs. 3 der EU-Grundrechte-Charta und in Art. 16 Abs. 2 Satz 2 des Vertrages über die Arbeitsweise der EU (AEUV).
In einem Vertragsverletzungsurteil gegen Deutschland beanstandete der Gerichtshof im März 2010, dass nicht in allen Bundesländern die Datenschutzbeauftragten für die Aufsicht über private Unternehmen („nichtöffentliche Stellen“) und öffentlich-rechtliche Wirtschaftsunternehmen zuständig sind. [5] Diese Aufgabe wurde in manchen Bundesländern von Verwaltungsbehörden wahrgenommen, [6] was nach der Entscheidung des Gerichtshofs keine unabhängige Kontrolle gewährleistet. Ausschlaggebend für die jetzt erfolgten Änderungen war ein weiteres Vertragsverletzungsverfahren gegen Österreich, wo die Datenschutzaufsicht im Bundeskanzleramt angesiedelt war. Auch diese Anbindung an die Exekutive erklärte der Gerichtshof für unvereinbar mit der in Art. 28 Abs. 1 der Richtlinie 95/46/EG geforderten Unabhängigkeit – mit Folgen für die ähnliche Konstruktion in Deutschland. Nicht zufällig hatte die deutsche Bundesregierung Österreich vor dem Gerichtshof bei der Ablehnung der Argumente der Kommission und des Europäischen Datenschutzbeauftragten unterstützt, um bei der Anbindung des Datenschutzes an das Bundesinnenministeriums bleiben zu können. [7]
Schritte in Richtung Unabhängigkeit der Datenschutzkontrolle
Das Kernanliegen der Gesetzesänderung, den Datenschutz aus der Exekutivverwaltung herauszulösen und direkt an den Bundestag anzubinden, stärkt tatsächlich die Unabhängigkeit der Datenschutzaufsicht gegenüber den Regierungs- und Verwaltungsstellen, deren Datenschutzpraxis sie kontrollieren soll. Die Vorgaben des EU-Rechts und der hierzu ergangenen Rechtsprechung werden damit für die Bundesebene umgesetzt. Die Institution der oder des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit wird zu einer obersten Bundesbehörde und damit formal gleichrangig mit den Bundesministerien. Die Anbindung an den Bundestag ersetzt die bisherigen Aufsichtsfunktionen des Innenministeriums. Dies stärkt nicht nur die Unabhängigkeit, sondern auch die demokratische Legitimation des Datenschutzes in Deutschland.
Für die Unabhängigkeit problematisch ist dagegen, dass weiterhin nur die Bundesregierung ein Vorschlagsrecht für die Besetzung der Position der oder des Bundesbeauftragten haben soll. Diese Regelung in § 22 Abs. 1 Satz 1 BDSG wurde nicht geändert. Für die Unabhängigkeit wäre es erforderlich gewesen, zumindest auch den Fraktionen und den zuständigen Fachausschüssen des Bundestages ein Vorschlagsrecht zu verleihen.
Beharrliche Geheimhaltungsinteressen
Das von der großen Koalition verabschiedete Gesetz ließ weitere Chancen für Reformen im Interesse eines effektiveren Datenschutzes ungenutzt. Der vom Bundesinnenministerium erarbeite Gesetzentwurf stieß im Gesetzgebungsverfahren insbesondere dort auf Kritik, wo versucht wurde, öffentliche Interventionen der Datenschutzaufsicht zu verhindern, wenn die Regierung Geheimhaltungsinteressen geltend macht. Umstritten waren daher insbesondere die Befugnisse der Bundesdatenschutzbeauftragten, öffentlich und in Gerichtsverfahren zu Vorgängen Stellung zu nehmen, die von den kontrollierten Stellen als geheimhaltungsbedürftig eingestuft worden sind. Bisher brauchte der oder die Bundesdatenschutzbeauftragte in solchen Fällen eine Aussagegenehmigung des Bundesinnenministeriums (§ 23 Abs. 5 BDSG alter Fassung). Nach der verabschiedeten Fassung ist für solche Entscheidungen jetzt die oder der Bundesbeauftragte selbst zuständig. Allerdings wurde für die Befugnis, als Zeuge auszusagen, eine Sonderregelung für Fragen geschaffen, die dem „Kernbereich exekutiver Eigenverantwortung der Bundesregierung zuzurechnen sind oder sein könnten“ (§ 23 Abs. 6 Satz 3 BDSG in der geänderten Fassung). In diesen Fällen soll eine Aussage nur „im Benehmen mit der Bundesregierung“ zulässig sein. Im Rahmen der parlamentarischen Beratung wurde die Formulierung zwar geringfügig abgeschwächt („Benehmen“ statt „Einvernehmen“). Sie bleibt aber problematisch, da der Regierung so ein „Kernbereich“ von Aktivitäten zugebilligt wird, in dem festgestellte Datenschutzmängel nur eingeschränkt in dazu anhängigen Gerichtsverfahren erörtern werden dürfen.
Zum Vergleich: Das Bundesrechnungshofgesetz (BRHG) sieht solche Beschränkungen nicht vor. § 10a der Bundeshaushaltsordnung legt in Verbindung mit § 19 BRHG nur fest, dass bei geheimhaltungsbedürftigen Vorgängen der Kreis der im Rechnungshof Beteiligten enger gefasst ist. Über Aussagegenehmigungen entscheidet der Bundesrechnungshof als oberste Bundesbehörde gemäß § 68 Abs. 3 Bundesbeamtengesetz ebenfalls selbst. Weitergehende Regelungen wären auch für den Datenschutz nicht erforderlich.
Problematisch ist auch die Regelung, nach der eine Zeugenaussage der Datenschutzaufsicht unzulässig ist, wenn diese „dem Wohle des Bundes oder eines deutschen Landes Nachteile bereiten“ könnte. Im Interesse eines effektiven Datenschutz und der notwendigen öffentlichen Diskussion über erkannte Missstände wird diese Vorschrift in der Praxis eng auszulegen und insbesondere auf sicherheitsrelevante Themen zu beschränken sein.
Unnötige Zuständigkeitsbeschränkungen bei der Kontrolle von Sicherheitsbehörden
Die verabschiedete Gesetzesänderung sieht für § 24 BDSG nur redaktionelle Anpassungen vor, insbesondere für die Gender-Neutralität der Formulierungen. Indes enthält § 24 Abs. 4 Satz 4 BDSG eine sehr problematische Beschränkung der Auskunftspflicht von öffentlichen Stellen des Bundes gegenüber der Datenschutzaufsicht, „soweit die oberste Bundesbehörde im Einzelfall feststellt, dass die Auskunft oder Einsicht die Sicherheit des Bundes oder eines Landes gefährden würde.“ Diese Regelung ist mit einer effektiven und unabhängigen Datenschutzkontrolle unvereinbar. Denn sie legt es in das Ermessen des geprüften Ministeriums, die Datenschutzkontrolle unter Verweis auf Sicherheitsbelange zu verweigern. Die in § 24 Abs. 4 Satz 3 BDSG vorgesehene Beschränkung des Personenkreises ist für den Schutz von Sicherheitsbelangen völlig ausreichend (ähnlich § 19 BRHG).
Für die Zuständigkeitsfelder der G 10-Kommission, also insbesondere für die Anordnung von Telekommunikationsüberwachung durch die Nachrichtendienste, schließt § 24 Abs. 2 Satz 3 BDSG auch weiterhin die Zuständigkeit der Datenschutzaufsicht aus. Sie kann hier nur auf Ersuchen der G 10-Kommission tätig werden. Dies hat zur Folge, dass die Datenschutzaufsicht für die Kontrolle der anderen Formen von Datenerhebung und Datenverarbeitung durch die Nachrichtendienste zuständig ist, nicht aber für Eingriffsmaßnahmen, die Art. 10 GG einschränken. Hierzu schreibt der damalige Bundesbeauftragte in seinem Tätigkeitsbericht für die Jahre 2011 und 2012:
„Sobald mir ein Nachrichtendienst bei einer Kontrolle erklärt, das Vorliegen legitimierender Voraussetzungen sei durch Informationen belegt, die im Rahmen einer G 10-Maßnahme gewonnen worden seien, werden mir diese Informationen vorenthalten. In der Praxis führt das dazu, dass ich die Gesetzmäßigkeit von Maßnahmen nach dem Bundesverfassungsschutzgesetz, die meiner ausschließlichen Kontrolle unterliegen, überhaupt nicht mehr prüfen kann.
Eine entsprechende Untersuchung kann aber auch nicht durch die G 10-Kommission erfolgen. Nach § 15 Absatz 5 Satz 2 Artikel 10-Gesetz erstreckt sich deren Kontrollbefugnis nur auf die Erhebung, Verarbeitung und Nutzung der nach dem Artikel 10-Gesetz erlangten personenbezogenen Daten durch Nachrichtendienste des Bundes. Aus diesen Erkenntnissen resultierende Maßnahmen nach Bundesverfassungsschutzgesetz darf die G 10-Kommission nicht beurteilen.“ [8]
Vergleichbare Probleme treten auch im Landesrecht auf, das sich hier weitgehend am Bundesrecht orientiert.
Das Bundesverfassungsgericht hat in seiner Entscheidung vom 14. Juli 1999 zur Telekommunikationsüberwachung durch den Bundesnachrichtendienst betont, dass die G 10-Kommission im Interesse rechtsstaatlicher Verfahrenssicherung bei schwerwiegenden Grundrechtseingriffen nicht nur für die Anordnung der G 10-Maßnahmen, sondern auch für die Kontrolle ihrer Durchführung zuständig sein muss. [9] Daraufhin wurde die Kontrollzuständigkeit der G 10-Kommission entsprechend erweitert (heute: § 15 Abs. 5 Artikel 10-Gesetz). Diese Entscheidung kann aber keinesfalls so interpretiert werden, dass eine Zuständigkeit der Datenschutzaufsicht dadurch ausgeschlossen werden sollte. Im Gegenteil – das Bundesverfassungsgericht intendierte seinerzeit gerade eine Stärkung der Kontrolle, nicht ihre faktische Schwächung durch Zersplitterung.
Eine Streichung des § 24 Abs. 2 Satz 3 BDSG würde zwar zu einer gewissen Zuständigkeitsüberschneidung zwischen Datenschutzaufsicht und G 10-Kommission führen. Dies ist aber bei Kontrollbefugnissen verfassungsrechtlich und auch in der praktischen Durchführung unproblematisch. Die Gesetzgebung könnte der G 10-Kommission und der Datenschutzbeauftragten daher die praktische Ausgestaltung einer solchen Parallelzuständigkeit überlassen, die durch eine Streichung von Satz 3 entstünde. Die jetzt verabschiedete Gesetzesänderung belässt dieses Kontrolldefizit.
Kontrollkapazitäten
Neben der Unabhängigkeit und den Kompetenzen gegenüber den zu kontrollierenden Stellen ist die Ausstattung der Datenschutzaufsicht entscheidend für ihre Effektivität. Nur wenn sie über genügend Personal und Sachmittel verfügt, kann sie regelmäßig Kontrollen in ihrem Zuständigkeitsbereich durchführen und Beschwerden intensiv nachgehen.
Die Ausstattung ist nicht primär Gegenstand der Datenschutzgesetzgebung, sondern der parlamentarischen Haushaltsbewilligung. Das jetzt verabschiedete Gesetz wertet nur die Position der oder des Bundesbeauftragten selbst auf, indem sie einer höheren Besoldungsstufe zugeordnet wird (B 11 statt bisher B 9). Die Beratungen für die nächsten Bundeshaushalte werden zeigen, ob die nun unabhängigere Datenschutzaufsicht auch durch eine bessere Ausstattung gestärkt wird.
Fazit und Ausblick
Die Änderungen des Bundesdatenschutzgesetzes, die Anfang 2016 in Kraft treten, stärken die Unabhängigkeit der Datenschutzkontrolle auf Bundesebene. Vor dem Hintergrund großer Herausforderungen für den Datenschutz, z. B. durch weitgehend unkontrollierte und international vernetzte Datensammlungen von Geheimdiensten und durch die umfangreiche Sammlung und Auswertung persönlicher Daten durch Privatunternehmen (z. B. für Werbezwecke) sollten die Befugnisse der Datenschutzaufsicht von weiteren Restriktionen befreit und erweitert werden. [10] Die in absehbarer Zeit voraussichtlich nötige Anpassung des deutschen Rechts an die Datenschutz-Grundverordnung der EU wird hierzu eine neue Gelegenheit bieten.
HARTMUT ADEN ist Jurist und Politikwissenschaftler. Er ist Professor für Öffentliches Recht und Europarecht an der Hochschule für Wirtschaft und Recht Berlin, dort Mitglied des Forschungsinstituts für Öffentliche und Private Sicherheit (FÖPS) sowie behördlicher Datenschutzbeauftragter der Hochschule. Webseite: www.hwr-berlin.de/prof/hartmut-aden.
Anmerkungen:
* Teile dieses Beitrages basieren auf der Stellungnahme des Verfassers anlässlich der Sachverständigenanhörung zu dem Gesetzentwurf im Innenausschuss des Deutschen Bundestages am 1.12.2014. Die Stellungnahmen der Sachverständigen sowie das Protokoll der Anhörung sind online verfügbar unter http://www.bundestag.de/bundestag/ausschuesse18/a04/anhoerungen/30_sitzung_inhalt/341986 (aufgerufen am 8.8.2015).
[1] BVerfGE 65, 1 (Volkszählung).
[2] BT-Drs. 18/2848 vom 13.10.2014.
[3] Verabschiedete Fassung: BGBl. I, 2015, S. 162; hierzu auch Alexander Roßnagel, Unabhängigkeit der Datenschutzkontrolle, in: Zeitschrift für Datenschutz 2015, S. 106-111; Sarah Thomé, Die Unabhängigkeit der Bundesdatenschutzaufsicht, in: Verbraucher und Recht 2015, S. 130-133.
[4] Vgl. hierzu Paul L. Posner & Asif Shahan, Audit Institutions, in: Mark Bovens et al. (Hg.), The Oxford Handbook of Public Accountability, Oxford 2014, S. 488 ff.
[5] Gerichtshof der EU, Rechtssache C-518/07, Europäische Kommission ./. Bundesrepublik Deutschland, Urteil vom 9.3.2010.
[6] Überblick über die Datenschutzkontrolle in den deutschen Bundesländern bei Sarah Thomé, Reform der Datenschutzaufsicht, Wiesbaden 2015, S. 23 ff.
[7] Gerichtshof der EU, Rechtssache C-614/10, Europäische Kommission ./. Republik Österreich, Urteil vom 16.10.2012; zur Unvereinbarkeit der vorzeitigen Beendigung der Amtszeit von Datenschutzbeauftragten mit der Unabhängigkeit: Gerichtshof der EU, Rechtssache C-288/12, Europäische Kommission ./. Ungarn, Urteil vom 8.4.2014.
[8] Bundesbeauftragter für den Datenschutz und die Informationsfreiheit, Tätigkeitsbericht 2011 und 2012, BT-Drs. 17/13000, S. 105 f. und ebd., S. 110.
[9] BVerfGE 100, 313 (401) = NJW 2000, 55 (68).
[10] Zu verbleibenden Defiziten der Neuregelung vgl. auch Sarah Thomé, in: Verbraucher und Recht 2015, S. 133.