Kritik am deutschen Datenschutzsystem

Vor knapp über einem Jahr hatte der Europäische Gerichtshof (EuGH) das System der Datenschutzaufsicht in Deutschland für nicht vereinbar mit dem Europäischen Recht erklärt (EuGH, Urt. v. 09.03.2010, Rs. C-518/07).

Die Luxemburger Richter stellten fest, dass die Datenschutzaufsicht über die Privatwirtschaft in Deutschland nicht "in völliger Unabhängigkeit" ausgeübt wird. Die Anforderungen der EG-Datenschutzrichtlinie seien daher nicht hinreichend erfüllt.

Dem Urteil vorangegangen war ein fünf Jahre währendes Vertragsverletzungsverfahren der Kommission gegen Deutschland um die richtige Umsetzung von Art. 28 Abs. 1 der EG-Datenschutzrichtlinie (95/46/EG). Diese verpflichtet die Mitgliedsstaaten, eine Datenschutzaufsicht frei von jeglicher äußerer Einflussnahme zu gewährleisten.

EuGH: Unmittelbare oder mittelbare Beeinflussung nicht ausgeschlossen

Tatsächlich ist das System der Datenschutzaufsicht in Deutschland stark zersplittert. Die Aufsicht über die Behörden des Bundes wird durch den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit ausgeübt, die Landesdatenschutzbeauftragten kontrollieren die öffentlichen Stellen der Bundesländer.

Demgegenüber werden die Unternehmen der Privatwirtschaft und andere nicht-öffentliche Stellen durch Aufsichtsbehörden kontrolliert, die zu einem großen Teil selbst bei den Regierungspräsidien oder Innenministerien der Bundesländer angesiedelt sind. Diese Aufsichtsbehörden unterliegen damit letztlich der Fach- , Dienst- und Rechtsaufsicht der jeweiligen Landesregierungen. In einigen Bundesländern kontrollieren die Landesdatenschutzbeauftragten die Einhaltung datenschutzrechtlicher Vorschriften sowohl bei den öffentlichen als auch nicht-öffentlichen Stellen.

Der EuGH hatte mit seiner Entscheidung die Umsetzung der Datenschutzaufsicht für die Privatwirtschaft und andere nicht-öffentliche Stellen in Deutschland als nicht vereinbar mit der EG-Datenschutzrichtlinie bewertet. Indem die Datenschutzaufsicht über die Privatwirtschaft selbst einer staatlichen Kontrolle unterliegt, sei die völlige Unabhängigkeit nicht gewährleistet. Es ließe sich nicht ausschließen, dass auf die Entscheidungen der Datenschutzbehörden unmittelbar oder mittelbar Einfluss genommen werde. Die völlige Unabhängigkeit schließe jedoch jegliche äußere Einflussnahme aus, sei sie unmittelbar oder mittelbar.

Trotz Vorstoßes einzelner Länder weiterhin erhebliche Defizite

Damit hat das Urteil des EuGH unmittelbare Auswirkungen auf die in den Bundesländern angesiedelte Datenschutzaufsicht über die Privatwirtschaft und die nicht-öffentlichen Stellen. Einzelne Bundesländer haben bereits entsprechende Schritte zur Umsetzung des Urteils unternommen. Beispielsweise wurde zum 1. April 2011 die Datenschutzaufsicht über den nicht-öffentlichen und den öffentlichen Bereich in Baden-Württemberg beim unabhängigen Landesdatenschutzbeauftragten gebündelt.

Dennoch bestehen nach Ansicht der Kommission weiterhin erhebliche Defizite bei der Umsetzung des Urteils des EuGH. In einzelnen Bundesländern werde den Anforderungen der Datenschutzrichtlinie an eine unabhängige Datenschutzaufsicht  nach wie vor nicht Rechnung getragen.

Deutschland hat jetzt zwei Monate Zeit, die Anforderungen an eine unabhängige und effektive Datenschutzaufsicht zügig umzusetzen. Andernfalls kann die Kommission erneut den EuGH anrufen und die Verhängung einer Geldbuße oder eines Zwangsgeldes erwirken. Im Interesse einer Stärkung der Datenschutzaufsicht sollte es die Bundesrepublik dazu jedoch nicht kommen lassen.

Dr. Lars Mammen ist Referent beim Bundesbeauftragten für den Datenschutz und die Informationsfreiheit. Der Artikel spiegelt seine persönliche Meinung wider.

Mehr auf LTO.de:

Bestellung von Datenschutzbeauftragten: Risiken einer oft unbekannten Pflicht