Reform der Datenschutzaufsicht: Alle Macht nach Bonn?

Eine Mammutbehörde für den Datenschutz in der alten Bundeshauptstadt? Manche lesen das in den Koalitionsvertrag von CDU/CSU und SPD hinein. Dieser sieht eine "Bündelung der Zuständigkeiten und Kompetenzen bei der Beauftragten für den Datenschutz und die Informationsfreiheit" (BfDI) vor. Das schürt Sorgen vor einer Zentralisierung mit hunderten neuen Stellen und Millionen-Kosten – trotz knapper Kassen. Gleichzeitig will die Koalition aber die föderale Datenschutzkonferenz (DSK) stärken; dort arbeiten bisher alle Landesbehörden und die BfDI zusammen an einer einheitlichen Aufsichtspraxis.  

Auf den ersten Blick ein Widerspruch, der Fragen aufwirft. Brisant ist das Vorhaben auch, weil der Bundesrechnungshof erst im Mai 2022 feststellte, dass die BfDI den höchsten relativen Stellenzuwachs aller Bundesbehörden aufwies: Zwischen 2017 und 2021 wuchs die Behörde um 116 Prozent; 2024 waren es 424 Planstellen. Schätzungen zufolge umfasst die heutige Wirtschaftsaufsicht der Landesdatenschutzbehörden rund 450 Beschäftigte, die jährlich ca. 70.000 Bürgerbeschwerden bearbeiten. Ein Aufgabenpaket, das die Stellen bei der BfDI – erneut – mehr als verdoppeln würde, obwohl der Koalitionsvertrag eigentlich einen Stellenabbau in der Bundesverwaltung vorsieht.

Warum jetzt die Reformdebatte?

Die aktuellen Pläne sind auch eine Reaktion auf Europas Wettbewerbsprobleme. Der Draghi-Report vom Herbst 2024 beklagt Europas schwindendes Wachstum und die Innovationslücke zu USA und China. Eine Ursache: regulatorische Zersplitterung und ineffiziente Behörden. Harmonisierung und einfachere Verfahren sollen Europas Wirtschaft wiederbeleben.

Hier gerät auch Deutschlands föderale Datenschutzaufsicht in den Fokus. Bundesweit oder europaweit tätige Unternehmen fordern einfachere Zuständigkeiten und schnellere Abstimmung. Diesen Ruf greift der Koalitionsvertrag auf und stellt die bereits genannten Ziele – Stärkung der DSK und Kompetenzbündelung bei der BfDI – in Aussicht.

Deutschlands zersplitterte Datenschutz-Landschaft

Deutschland hat eines der wenigen föderalen Datenschutzkontrollsysteme in der EU. Die BfDI überwacht nur Bundesbehörden, Telekommunikations- und Postdienste sowie bundesunmittelbare Körperschaften wie Krankenkassen.

Für den Großteil der Privatwirtschaft – von Banken über Handel bis zur Industrie – sind dagegen 16 Landesdatenschutzbehörden zuständig. Ein Unternehmen mit Sitz in einem Land hat meist nur eine Behörde als Ansprechpartner. Ein Konzern mit Niederlassungen in mehreren Ländern kann es aber mit mehreren Aufsichtsbehörden zu tun bekommen.

BfDI und Landesbehörden stimmen sich bisher in der Datenschutzkonferenz (DSK) ab. Dieses Gremium arbeitet informell und ohne gesetzliche Grundlage. Beschlüsse und Orientierungshilfen der DSK sind rechtlich nicht bindend. Ein Versuch der Ampel-Koalition, die DSK gesetzlich zu verankern, scheiterte mit der nicht erfolgten Reform des Bundesdatenschutzgesetzes (BDSG).

Wie lässt sich diese Aufsicht nun reformieren? Drei Ansätze stehen zur Debatte

Maximalzentralisierung: Teuer und unrealistisch

Die radikalste Lesart des Koalitionsvertrags wäre, die gesamte Aufsicht über die Privatwirtschaft beim Bund zu zentralisieren. Die BfDI wäre dann alleiniger Ansprechpartner. Das wäre ein tiefer Einschnitt in die deutsche Verwaltungsstruktur mit enormen Kosten, wie eingangs beschrieben. Er widerspräche auch dem Ziel des Stellenabbaus.

Zudem bezweifelt der Bundesrechnungshof angesichts des Fachkräftemangels schon jetzt, dass die BfDI aktuell etwa 100 unbesetzte Stellen zeitnah füllen kann. Eine riesige Zentralisierung würde dieses Problem verschärfen. Eine jahrelange Umstrukturierung brächte zudem Rechtsunsicherheit bei laufenden Verfahren und der Gültigkeit alter Bescheide. Alle Klagen würden zudem beim Verwaltungsgericht Köln landen – eine Überlastung wäre vorprogrammiert.

Diese Maximalvariante ist anscheinend auch politisch nicht gewollt. Ursprünglich hieß es in Verhandlungspapieren der Unterarbeitsgruppe Digitales, die "Federführung und die Aufsicht über die Wirtschaft" sollten zur BfDI. Im Koalitionsvertrag steht nur noch die schwächere Formulierung einer "Bündelung der Zuständigkeiten und Kompetenzen". Dies legt nahe, dass ein anderes Vorgehen angezeigt ist – eines, dass sich mit dem zweiten Ziel des Koalitionsvertrages, der Stärkung der DSK, vereinbaren lässt.

Zentrale Koordinierung, starke Datenschutzkonferenz

Statt einer teuren Vollzentralisierung verknüpft eine zweite Option beide im Koalitionsvertrag genannten Vorgaben – Bündelung von Kompetenzen bei der BfDI und die Stärkung der DSK. Die Grundidee ist, die föderale Aufteilung beizubehalten, aber die Zusammenarbeit durch eine Kombination aus zentraler Koordination und gestärkten gemeinsamen Strukturen effektiver und verbindlicher zu gestalten.

Die "Bündelung bei der BfDI" würde in diesem Modell auf zentrale Koordinierungsaufgaben fokussiert. Konkret könnte man die bei der BfDI bereits bestehende Zentrale Anlaufstelle (ZASt), welche bisher die Entscheidungsfindung der deutschen Aufsichtsbehörden für den Europäischen Datenschutzausschuss steuert, zur zentralen Geschäftsstelle der Datenschutzkonferenz ausbauen.  

Solche Modelle funktionieren auch in ähnlichen Kontexten: Im Europäischen Datenschutzausschuss (EDSA) etwa koordiniert ein zentrales Sekretariat die nationalen Behörden – angesiedelt beim Europäischen Datenschutzbeauftragten. Ähnlich arbeitet auf nationaler Ebene der Digital Services Coordinator bei der Bundesnetzagentur (BNetzA): Die Stelle koordiniert die Durchführung des Digital Services Act (DSA) in Deutschland, ohne jedoch alle Aufsichtskompetenzen an sich zu ziehen.

Geringer Aufwand: "Einer-für-Alle"-Prinzip  

Ebenso dient zentrale Geschäftsstelle dazu, die gleichzeitig angestrebte Stärkung der DSK ins Werk zu setzen, die auch von den Landesdatenschutzbehörden gefordert wird. Aufbauend auf einer gesetzlichen Verankerung müsste auch die Befugnis zu verbindlichen Mehrheitsbeschlüssen sowie ein "Einer-für-Alle"-Prinzip geregelt werden, bei dem die Prüfung eines Systems oder Verfahrens durch eine Behörde für alle anderen verbindlich wird.

Unternehmen müssten nicht mehr befürchten, dass identische Verfahren in verschiedenen Bundesländern unterschiedlich bewertet werden. Für länderübergreifend tätige verbundene Unternehmen und Forschungsvorhaben kann dann ein One-Stop-Shop-Verfahren vorgesehen werden, um die Zuständigkeit abschließend zu regeln. Schließlich würde die Einrichtung eines einheitlichen Meldekanals bei der Geschäftsstelle der Datenschutzkonferenz für Beschwerden, Datenschutzverletzungen und Anfragen sowohl Unternehmen als auch Bürgern zugutekommen – eine echte "No-Wrong-Door-Policy".  

Die Umsetzung dieser Reformoption wäre mit vergleichsweise geringem Aufwand möglich. Da die BfDI mit der ZASt bereits entsprechende Strukturen unterhält, könnte diese mit begrenzten zusätzlichen Ressourcen erweitert werden. Die bestehenden Personalressourcen der Landesdatenschutzbehörden blieben erhalten, während ihre Arbeit durch die verbesserte Koordinierung effektiver würde.

Bündelung nach Sachgebieten: Kompliziert und ineffektiv

Eine dritte Option wäre, Zuständigkeiten nach sachlichen Kriterien aufzuteilen: etwa nach Unternehmensgröße, Branche oder räumlicher Tätigkeit. Das klingt zunächst plausibel, ist aber problematisch.  

Die Abgrenzung über unbestimmte Rechtsbegriffe schüfe neue Streitigkeiten. Statt Einheitlichkeit gäbe es nur eine neue Art der Zersplitterung. Identische Datenverarbeitungsvorgänge würden je nach Zuständigkeitskriterium wieder von unterschiedlichen Behörden mit potenziell abweichenden Maßstäben bewertet werden.

Haushaltsvorgaben zu beachten

Vor diesem Hintergrund lässt sich festhalten: Die Analyse der Reformoptionen zeigt klare Unterschiede bei Machbarkeit und Wirkung. Die beschriebene Maximalzentralisierung stünde vor erheblichen finanziellen und personellen Hürden, was sich aus den Berichten des der Bundesrechnungshof ergibt. Bei der Aufteilung nach Sachgebieten wiederum droht, dass durch unbestimmte Abgrenzungskriterien neue Rechtsunsicherheiten und Zersplitterung geschaffen werden.

Die zentrale Koordinierung stellt hingegen einen Ansatz dar, der die beiden – auf den ersten Blick widersprüchlichen – Ziele des Koalitionsvertrags kostengünstig und schnell erfüllen kann: Sie ermöglicht eine Bündelung von Kompetenzen bei der BfDI für Koordinationsaufgaben und stärkt zugleich die Rolle der DSK als Gremium der Länder.

Bei ihrer anstehenden politischen Entscheidung wird die neue Koalition zeigen müssen, wie sie die Anforderungen an Effektivität der Aufsicht, Wahrung des Grundrechtsschutzes und Berücksichtigung der föderalen Balance gegeneinander abwägt – und das im Rahmen der strengen Haushaltsvorgaben. 

Auf einen konkreten Gesetzentwurf darf man insoweit gespannt sein.

Dr. Markus Wünschelbaum ist Referent beim Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit. Der Beitrag wurde nicht in dienstlicher Eigenschaft verfasst und gibt ausschließlich persönliche Auffassungen des Autors wieder.