Unternehmen und Forschungseinrichtungen sollen künftig nur einer einzigen Datenschutzaufsichtsbehörde unterstellt sein und mit dieser zusammenarbeiten müssen. Dadurch hätten Forscher nur noch eine Aufsichtsbehörde als Ansprechpartner für ihre länderübergreifenden Forschungsprojekte. Das soll Unsicherheiten beseitigen, die durch unterschiedliche rechtliche Interpretationen der zuständigen Aufsichtsbehörden bei länderübergreifenden Projekten entstehen können. Das geht aus einem Referentenentwurf des Bundesinnenministeriums hervor, der heise online vorliegt.

Anzeige

Die Ampelkoalition hatte im Koalitionsvertrag bereits versprochen, den Datenschutz einheitlicher und praktikabler zu gestalten. Der Datenschutz solle die europäische Zusammenarbeit stärken, die Datenschutzkonferenz im Bundesdatenschutzgesetz (BDSG) verankern und ihr, soweit möglich, rechtlich verbindliche Entscheidungen ermöglichen.

Der neue § 40a BDSG sieht vor, dass Unternehmen gemeinsam in einem Projekt datenschutzrechtlich verantwortlich sind. Es ist die Aufsichtsbehörde desjenigen Unternehmens zuständig, das im vorangegangenen Geschäftsjahr den höchsten Umsatz erzielt hat. Diese Regelung gilt auch für gemeinsam Verantwortliche, etwa in einem länderübergreifenden Forschungsprojekt. Hierbei ist die Aufsichtsbehörde des Forschungspartners zuständig, der die meisten Personen beschäftigt, die kontinuierlich personenbezogene Daten automatisiert verarbeiten. Darüber müssen alle Aufsichtsbehörden informiert werden, die für die gemeinsam verantwortlichen Unternehmen zuständig sind.

Die Bundesregierung will damit "Rechtsunsicherheit beim Auftreten unterschiedlicher Rechtsauffassungen der für ein länderübergreifendes Vorhaben zuständigen Aufsichtsbehörden" ausschließen. Für Projekte wie dem Deutschen Forschungsdatenportal für Gesundheit (FDPG) bedeutet das eine erhebliche bürokratische Entlastung. Das Portal, das von der Technologie- und Methodenplattform für die vernetzte medizinische Forschung e. V. (TMF) betrieben wird, untersteht bisher der Berliner Datenschutzbeauftragten. Doch die Dateninformationszentren der Universitätskliniken an rund 30 Standorten in Deutschland unterstehenden verschiedenen Landesdatenschutzbehörden, denen sie etwa auf Verlangen eine Datenschutzfolgenabschätzung zur Überprüfung vorlegen müssten.

Institutionalisierung der Datenschutzkonferenz

Mit § 16a wird die Datenschutzkonferenz von Bund und Ländern (DSK) wie im Koalitionsvertrag vereinbart institutionalisiert. Ziel ist es, die Datenschutzgrundrechte zu wahren und zu schützen, eine einheitliche Anwendung des europäischen und nationalen Datenschutzrechts zu erreichen und das Recht fortzuentwickeln.

Anzeige

Allerdings enthält der Referentenentwurf keine Regelung zur rechtlichen Verbindlichkeit von DSK-Beschlüssen. Grund ist, dass diese die Kompetenzen von Bund- und Länderbehörden betrifft und damit verfassungsrechtliche Grenzen berühren würde. Nach Rechtsprechung des Bundesverfassungsgerichts ist die sogenannte Mischverwaltung von Bund und Ländern nur in Fällen erlaubt, die das Grundgesetz ausdrücklich vorsieht – was im Datenschutz allerdings nicht der Fall ist. Das heißt, es gibt weiterhin keine Vorgaben darüber, wie die verschiedenen Aufsichtsbehörden in der DSK zusammenarbeiten und einheitliche Entscheidungen treffen sollen.

Engere Zusammenarbeit

"Es führt kein Weg daran vorbei, dass die unabhängigen Datenschutzaufsichtsbehörden eng – und noch enger als früher – zusammenarbeiten müssen", erklärte dazu die DSK-Vorsitzende Marit Hansen gegenüber heise online. Sie wünscht sich hier "Unterstützung von Bund und Ländern, dass wir für die oft eiligen Abstimmungsfragen Mittel für organisatorische und technische Unterstützung erhalten." Dazu gehörten auch eine Geschäftsstelle und Kollaborationswerkzeuge.

Die aktuellen Vorschläge der BDSG-Reform würden dieses Problem nicht lösen. Angesichts der aktuellen Technikentwicklung wie dem Einsatz von KI und der neuen EU-Gesetzgebung zum Teilen von Daten sei es wichtig, auch im Bereich der Kartell- oder Medienaufsicht gemeinsam mit den deutschen und europäischen Aufsichtsbehörden zu agieren, betont Hansen. Auch dafür sollten zeitnah funktionierende Strukturen geschaffen werden.

In der Zusammenarbeit mit dem EDSA sind die Aufsichtsbehörden in jedem Fall verpflichtet, "im Einvernehmen einen gemeinsamen Standpunkt" zu erzielen, zu dem sie sich "frühzeitig" informieren sollen. Damit sollen Alleingänge einzelner Behörden vermieden werden. Wenn die Zuständigkeit zweifelhaft ist, etwa weil ein Unternehmen wie OpenAI keine Niederlassung im Inland hat, bestimmten die Aufsichtsbehörde gemeinsam die zuständige Behörde.

Stärkung für Bundesdatenschutzbeauftragten

Neu ist die Regelung, dass der Bundesdatenschutzbeauftragte die 18 deutschen Datenschutzaufsichtsbehörden als sogenannter gemeinsamer Vertreter im Europäischen Datenschutzausschuss (EDSA) vertritt und damit für Fragen, die den EDSA betreffen, die zentrale Anlaufstelle ist. Damit wird die Rolle des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit gestärkt.

Bisher konnten auch die Bundesländer einen Vertreter entsenden – in der Vergangenheit war das zum Beispiel der damalige Hamburgische Datenschutzbeauftragte Johannes Caspar. Allerdings hatten die Länder im Bundesrat Probleme, sich auf einen Nachfolger zu einigen, weshalb Caspar die Stelle auch über längere Zeit kommissarisch wahrgenommen hatte. Künftig können die Länder jedoch einen Stellvertreter des gemeinsamen Vertreters auf fünf Jahre wählen.

Bis zum 6. September haben Interessensvertreter und Verbände Zeit, den Entwurf zu prüfen und zu kommentieren. Die Stellungnahmen sollen auf der Internetseite des Innenministeriums veröffentlicht werden. Ein Beschluss der Bundesregierung zum Entwurf steht noch aus.

(mack)