Datenschutzrecht in Deutschland entbürokratisieren und Rechtssicherheit schaffen – den Beschlüssen der Datenschutzkonferenz muss eine rechtsverbindliche Wirkung zukommen

I. Ausgangslage

Der Datenschutz basiert in Deutschland auf unterschiedlichen Regelwerken, unter anderem der Datenschutzgrundverordnung (DSGVO). Die Aufsicht über die Einhaltung der Datenschutzbestimmungen liegt bei den 16 Bundesländern und ihren Datenschutzbeauftragten. Zusätzlich gibt es für Bundesangelegenheiten einen Datenschutzbeauftragten auf Bundesebene. Die insgesamt 17 Datenschutzbeauftragten in Deutschland haben in der Vergangenheit immer wieder die in Deutschland geltenden Datenschutzbestimmungen unterschiedlich ausgelegt. Dadurch sind Unternehmen, die in verschiedenen Bundesländern Standorte unterhalten, mit unterschiedlichen Anforderungen an den Datenschutz konfrontiert.

Dies führt bei den betroffenen Unternehmen nicht nur zu einer erheblichen Rechtsunsicherheit, sondern insbesondere zu massivem bürokratischen Aufwand, um den abweichenden Regelungen zu entsprechen. So beklagte der Chefjustiziar des Deutschen Industrie- und Handelskammertags (DIHK), Stephan Wernicke, bereits im Jahre 2020 bei der europaweiten Anwendung der DSGVO gar eine „Rechtszersplitterung“, die die Entwicklung neuer Geschäftsmodelle gefährde. „Auch in den Bundesländern wird der Datenschutz uneinheitlich angewandt – bei identischen Normen.“ Das muss ein Ende haben.

Es ist notwendig, dass die Datenschutzkonferenz, in der alle 17 Datenschutzbeauftragten organisiert sind, rechtsverbindliche Beschlüsse zur Auslegung des Datenschutzes fassen kann, die dann in ganz Deutschland eine einheitliche Auslegung des Datenschutzrechtes sicherstellen. Dafür ist eine Grundgesetzänderung notwendig, die von der Landesregierung Nordrhein- Westfalen unterstützt werden muss.

Aus diesem Grunde hat die CDU auf Bundesebene bereits im Jahre 2020 gefordert, die Datenschutzaufsicht –soweit sie Unternehmen betrifft –zu zentralisieren. Dazu sollten die Landesdatenschutzbeauftragten ihre Aufsichtskompetenz für diesen definierten Bereich auf den Bundesbeauftragen für den Datenschutz übertragen. Die SPD lehnte seinerzeit eine solche Zentralisierung ab: „Eine bessere Harmonisierung der Auslegungen sollte primär über eine verstärkte Zusammenarbeit in der Datenschutzkonferenz der Länder und des Bundes stattfinden.“

Auch aus Sicht des DIHK ist eine Zentralisierung der Datenschutzaufsicht nicht erforderlich, denn: „Eine bessere Harmonisierung der Auslegungen sollte primär über eine verstärkte Zusammenarbeit in der Datenschutzkonferenz der Länder und des Bundes stattfinden.“

Hinter diesen sehr fachlich anmutenden Diskussionen stehen jedoch ganz handfeste und ernste Probleme für Unternehmen und ihren wirtschaftlichen Erfolg: So gab es zwischen den Datenschutzbeauftragten der Länder divergierende Meinungen darüber, ob die cloudbasierte Software Microsoft Office365 den Anforderungen der DSGVO entspreche und damit von den Unternehmen verwendet werden dürfe oder ob diese Software nicht DSGVO-konform und ihre Verwendung durch deutsche Unternehmen daher zu untersagen sei. Mit einem knappen 9:8-Ergebnis stellten die Datenschutzbeauftragten der Länder und des Bundes im Rahmen der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (Datenschutzkonferenz) im Oktober 2020 fest, dass es sich bei Microsoft Office365 um eine nicht-datenschutzkonforme Software handele und diese daher nicht eingesetzt werden dürfe.

Dieser Beschluss der Datenschutzkonferenz hat jedoch für die Datenschutzbeauftragten von Bund und Ländern keine bindende Wirkung. Die jeweiligen Datenschutzbeauftragten können weiterhin frei entscheiden, ob sie diesem Beschluss der Datenschutzkonferenz folgen möchten oder nicht. Und von dieser Freiheit machen die Landesdatenschutzbeauftragten auch Gebrauch. Denn nach dem knappen Beschluss der Datenschutzkonferenz veröffentlichten vier Bundesländer eigene Pressemitteilungen, in denen sie klarstellten, dass sie –entgegen dem Beschluss der Datenschutzkonferenz –weiterhin davon ausgehen, dass Microsoft Office365 nicht gegen die DSGVO verstoße. Erst im November 2022 einigten sich die Datenschutzbeauftragten dann im Rahmen der Datenschutzkonferenz auf eine einheitliche Position.

Um hier für die Bürgerinnen und Bürger sowie für die Unternehmen von Beginn an einen rechtssicheren Datenschutz zu ermöglichen und gleichzeitig bürokratische Hemmnisse zu beseitigen, ist eine einheitliche Auslegung des Datenschutzrechts zu gewährleisten.

In seinem Gastbeitrag für das Handelsblatt vom 15.12.2023 schlägt Bundesjustizminister Dr. Marco Buschmann vor, die Rechtssicherheit dadurch sicherzustellen, dass den Beschlüssen der Datenschutzkonferenz zukünftig ein rechtsverbindlicher Charakter zukommt.

Diese Herangehensweise ist klug, verbindet sie doch die wichtigen Elemente eines effizienten und bürokratiearmen Datenschutzes. Zum einen würde durch eine Rechtsverbindlichkeit der Beschlüsse der Datenschutzkonferenz sichergestellt, dass die Auslegung des Datenschutzes im gesamten Bundesgebiet einheitlich und damit auch die Akzeptanz für die Belange des Datenschutzes gestärkt wird. Zum anderen würde die Rechtsdurchsetzung des Datenschutzes durch die Länder auch zukünftig gewährleistet.

Um den Beschlüssen der Datenschutzkonferenz, die mit Vertretern von Bund und Ländern besetzt ist, eine rechtsverbindliche Wirkung zukommen zu lassen, ist jedoch die Änderung des Grundgesetzes erforderlich. Das Grundgesetz sieht derzeit eine klare Trennung zwischen Kompetenzen von Bund und Ländern vor, und zwar sowohl bei der Gesetzgebung, Art. 70 ff. GG, wie auch bei dem Vollzug der Gesetze, Art. 83 ff. GG. Gemeinsame Gremien von Bund und Ländern – wie die Datenschutzkonferenz –, deren Beschlüsse rechtsverbindlich sein sollten, kennt unsere Verfassung auch für diese sachgerechte Ausnahme nicht.

Die Änderung des Grundgesetzes ist ein bedeutsames Vorhaben und sollte nicht leichtfertig „im Vorbeigehen“ durchgeführt werden. Jedoch rechtfertigt die große Bedeutsamkeit eines einheitlichen und rechtssicheren Datenschutzrechtes für die deutsche Wirtschaft und die Entwicklung unserer Unternehmen sowie die Akzeptanz datenschutzrechtlicher Belange als Wirtschaftsfaktor diese Verfassungsänderung.

In einer zunehmend digitalisierten Welt gehört ein funktionierendes und effizientes Datenschutzrecht zur notwendigen Infrastruktur einer Volkswirtschaft. Gleiches gilt für den Grundrechtsschutz. Auch dieser setzt in einer digitalen Welt ein einheitliches verbindliches Datenschutzrecht voraus.

II. Beschlussfassung:

Der Landtag stellt fest,

• dass ein für ganz Deutschland einheitlich ausgelegtes Datenschutzrecht ein wichtiger Beitrag für mehr Rechtssicherheit für Bürger und Unternehmen ist.
• dass diese Rechtssicherheit ein wichtiger Beitrag für die Wettbewerbsfähigkeit, die Entwicklung von Geschäftsmodellen und Produkten sowie die Organisation des eigenen Betriebs ist.
• dass ein für ganz Deutschland einheitlich ausgelegtes Datenschutzrecht ein wichtiger Beitrag zur Entlastung von Bürokratie für Wirtschaft, Vereine und Bürger ist.

Der Landtag beauftragt die Landesregierung,

• die Initiative von Bundesjustizminister Dr. Marco Buschmann zur Etablierung einer einheitlichen Auslegung des Datenschutzrechtes zu unterstützen.
• sich im Bundesrat für eine Grundgesetzänderung einzusetzen, die es ermöglicht, den Beschlüssen der Datenschutzkonferenz rechtsverbindliche Wirkung zukommen zu lassen.