In der Datenschutzberatung ist es häufig gelebte Praxis, dass Positionen der deutschen Datenschutz-Aufsichtsbehörden in der Beratung und der unternehmerischen Positionsfindung übernommen werden. Diese Praxis ist jedoch nicht immer angemessen, wir erklären, wie der richtige Umgang mit Datenschutzaufsichtsbehörden aussehen kann.

1 Die Aufsichtsbehörden sind Teil der Exekutive

Und dies ist schon Grund genug, nicht uneingeschränkt auf diese zu hören. Das letzte Wort in der datenschutzrechtlichen Auslegung obliegt den Gerichten (der Judikative) und diese Gewaltenteilung existiert aus guten Gründen. Darüber hinaus ist es verwunderlich, wie häufig Stellungnahmen und Positionen der Exekutive in der Praxis Einfluss auf die Beratung von Unternehmen und Unternehmensführung finden, ohne dass dies entsprechend eingeordnet und reflektiert wird.

Um der Verwunderung dieser gelebten Praxis weiter zu verdeutlichen, reicht ein Blick in andere Rechtsgebiete; im Strafrecht wäre ein Strafverteidiger, welcher seine Mandanten anhand der Rechtsauslegung der Polizei berät, nicht nur nicht haltbar. Schauen wir auf ein vergleichbares Umfeld, nämlich im Bankenrecht, ist es Standard und üblich, den Aufsichtsbehörden Stellungnahmen entgegenzuhalten und in die Diskussion zu treten. Nur, wenn solche Mittel zur Verfügung stehen, kann der richtige Umgang mit Datenschutzaufsichtsbehörden entstehen.

2 Politische Motivation und fehlende Rechtsdurchsetzung

Die Aufsichtsbehörden sind nach Art. 52 DSGVO unabhängig und weisungsfrei, dies bedeutet aber nicht, dass die Aufsichtsbehörden keine politisch motivierten Entscheidungen treffen.

Ein Musterbeispiel hierfür ist die irische Aufsichtsbehörde, deren Auslegung der Datenschutzgesetze mit Blick auf Facebook und Co. zwar sehr gute Wirtschaftsförderung für den Standort ist, aber ebenfalls eine ungenügende Ausübung der eigenen Aufgaben darstellt.

Für die deutschen Aufsichtsbehörden verhält sich dies nicht maßgeblich anders, weiterhin setzten diese weder das Schrems II Urteil (EuGH, Urteil vom 16. Juli 2020, C-311/18) noch das Planet49 Urteil (EuGH, Urteil vom 1. Oktober 2019, C-673/17) konsequent durch, obwohl dies Teil ihrer Aufgaben ist.

Dies mag aus Unternehmenssicht erfreulich scheinen, weil in beiden Fällen der Gesetzgeber nacharbeiten müsste; andererseits ist dies ein weiteres Indiz dafür, dass die Positionen der Aufsichtsbehörden nicht (immer) Deckungsgleich mit der geltenden, höchstrichterlichen Rechtsprechung sind. Das führt im Ergebnis zu einer hohen Rechtsunsicherheit für die Unternehmen, die ihr Verhalten und ihre Prozesse zur Datenverarbeitung nicht zwischen diesen Stühlen einrichten können, sondern klare Regeln benötigen.

Allein dadurch sind Unternehmen und Datenschützer angehalten, eine eigene Position zu entwickeln, ansonsten ist der richtige Umgang mit Datenschutzaufsichtsbehörden nicht möglich.

3 Die Professionalisierung der Aufsichtsbehörden ist noch nicht abgeschlossen

Die Aufsichtsbehörden befinden sich weiterhin im Aufbau. Dies soll keine Kritik an den Behörden selbst sein, im Gegenteil. Die deutschen Aufsichtsbehörden demonstrieren meist sowohl Kompetenz und gesundes Augenmaß. Das allein reicht aber für eine funktionierende und ernstzunehmende Aufsicht nicht aus.

Die Aufsichtsbehörden sind einerseits unterbesetzt und unterfinanziert und andererseits untereinander in zentralen Fragen häufig nicht einig [1].

Ein maßgebliches Ziel der Datenschutzgrundverordnung war die Schaffung eines einheitlichen, europäischen Rechtsrahmens und somit ein einheitliches Datenschutzniveau und Rechtssicherheit für europäische Bürger und Unternehmen. Gemessen an diesem Ziel ist es kontraproduktiv, dass sich die Bewertungen bestimmter Sachverhalte durch Aufsichtsbehörden teilweise aufgrund der Grenzen der Bundesländer unterscheiden und bereits hierdurch für Digitalisierungsvorhaben ein ungenügender Gradmesser sind.

Und weil die Aufsichtsbehörden in Deutschland das wissen, versuchen diese ihr Vorgehen dem Föderalismus zum Trotz abzustimmen und zu vereinheitlichen. Das Gremium das hierfür verantwortlich ist, ist die Datenschutzkonferenz (DSK), in der sich die 16 Landesbehörden zusammen mit der Bundesbehörde regelmäßig verständigen. Wie dies funktioniert, kann man an der Positionsfindung zum „Schrems II-Urteil“ nachvollziehen, das am 16. Juli 2020 gefallen ist. Hierzu die Auszüge der Protokolle der DSK (Datum beachten).

Protokoll vom 29. Sept. 2020 TOP 5 (Sitzung vom 22 Sept.):

Die Datenschutzkonferenz richtet eine Task Force „Schrems II“ ein …Aufgabe dieser TaskForce ist es, zum einen eine Strategie sowie konkrete Vorschläge für ein gemeinsames Vorgehen der deutschen Aufsichtsbehörden zur Umsetzung des EuGH-Urteils „Schrems II“ zu erarbeiten …“.

[2] https://www.datenschutzkonferenz-online.de/media/pr/20201030_protokoll_3_zwischenkonferenz.pdf

Protokoll vom 14. Januar 2021 TOP (Sitzung vom 25 und 26. November)

„Die Task Force habe bisher einmal getagt und habe den Aufgabenbereich definiert… Es wird vorgeschlagen, hinsichtlich der Rechtssituation in den USA ein Gutachten zu beauftragen…. Der DSK-Vorsitz wird gebeten, ein Umlaufverfahren hinsichtlich der Beauftragung eines Gut-achtens sowie dessen Finanzierung einzuleiten.“

[3] https://www.datenschutzkonferenz-online.de/media/pr/20210203_%2020201030_protokoll_100_100.pdf

Mit viel Glück gibt es nach aktuellem Verlauf bis zum Jahrestag der Urteilsverkündung eine einheitliche deutsche Position, zu einem der wichtigsten Urteile seit der Einführung der Datenschutzgrundverordnung.

4 Ein einheitliches Datenschutzrecht existiert noch nicht lange

Obwohl das Datenschutzrecht in Deutschland schon seit den 60ern eine lange Tradition hat, besteht erst seit der DSGVO ein europaweit einheitliches Datenschutzrecht. Die Datenschutzrichtlinie von 1995 war für eine solche Harmonisierung nicht geeignet. Das führt dazu, dass sich die Rechtsprechung zur DSGVO noch bilden muss; die ersten Grundsatzurteile sind zwar bereits gefallen, im Vergleich zu anderen Rechtsgebieten mit jahrzehntelanger, europäischer Rechtstradition, ist das einheitliche Datenschutzrecht noch jung.

Zentrale Begriffe im Datenschutzrecht, wie z.B. der der Übermittlung, sind noch weitgehend unbestimmt und für die Praxis bisher nur bedingt brauchbar.  

Was heißt das? Dass die Datenschutzbehörden an vielen Stellen nur so schlau sind wie jeder andere auch, zumal die Definitionen des europäischen Datenschutzrechts nicht nur mit diesen, sondern eben auch gegen diese erfolgt, wie z.B. im Bereich der Bußgelder (Vgl. LG Bonn, Urteil vom 11.11.2020, 29 OWi 1/20).


Im Ergebnis heißt dies für Unternehmen, dass man durchaus der eigenen Expertise bzw. der Expertise der eigenen Fachleute vertrauen und eigene Positionen entwickeln darf und sogar muss. Dies bedeutet nicht, dass die Positionierung der Aufsichtsbehörden nicht wichtig sind, im Gegenteil. Die Stellungnahmen und Bewertungen der Datenschutzbehörden sind relevant und bedeutsam für die Mit-Entwicklung geeigneter Maßstäbe für die Erhöhung und Sicherung des Datenschutzes und der Datensicherheit. Wirkliche Unabhängigkeit von politischen Fragestellungen und mehr Kooperation wären hier angebracht. Doch trotz dieser Bedeutung sollten Äußerungen von Datenschutzbehörden auch kritisch hinterfragt werden und nicht „plump“ umgesetzt.

Den Aufsichtsbehörden muss man gut zuhören und das Gesagte in die eigene Risikobewertung mit einbeziehen, doch dies sollte nie ohne eine kritische Einordnung erfolgen. Unter Beachtung dieser Grundsätze ist der richtige Umgang mit Datenschutzaufsichtsbehörden möglich.


[1] U.a. gab es hier unter Aufsichtsbehörden lange Zeit unterschiedliche Auffassungen darüber, für die Steuerberatung eine Auftragsverarbeitungsvertrag notwendig ist. (Vgl. Hanses-Oest, Online abgerufen am 13.03.2021; https://www.datenschutz-guru.de/steuerberater-sind-keine-auftragsverarbeiter/