Die Koalition plant eine Zentralisierung der Datenschutzaufsicht im nicht-öffentlichen Bereich bei der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI). Was halten Sie davon?

Darauf habe ich wie meine Kolleg*innen in den Ländern eine klare Antwort: gar nichts. Solche Pläne sind noch nicht zu Ende gedacht. Das dokumentiert bereits der Koalitionsvertrag, der das Thema zwei Mal mit variierenden Aussagen aufgreift, nämlich bei den Randnummern 2094 und 2299. Die zweite Variante ist in ihrer Aussage zu Recht deutlich zurückhaltender. Die Zielsetzung ist klar, Wirtschaft und Ehrenamt sollen entlastet werden. Das begrüße ich. Aber man erreicht das nicht durch eine zentrale Datenschutzaufsicht. Solche Pläne bringen weder Bürokratieabbau noch sparen sie Kosten. Stattdessen nehmen sie den Unternehmen, den Bürger*innen und auch der Politik im Land Service, Rechte und Gestaltungsmöglichkeiten. Und das kann niemand wollen.

Das müssen Sie erklären...

Das Datenschutzrecht ist komplex. Das überfordert gerade kleine Unternehmen und das Ehrenamt. Diese Stellen brauchen unsere Datenschutzberatung und zwar ortsnah. Mit einer zentralen Aufsicht beim Bund verlieren sie leicht zugängliche Beratung und das stärkt sie überhaupt nicht. 

Nähe, die die dezentrale Datenschutzaufsicht bietet, bedeutet auch gute Kontakte, kurze Wege, schnelle und praxisnahe Lösungen. Die Unternehmen wie auch die Bürger*innen profitieren davon, dass sie Ansprechpartner*innen vor Ort in den einzelnen Bundesländern haben. Ob es etwa um Videoüberwachungen durch Nachbar*innen oder im Supermarkt geht oder um das unzulässige Verarbeiten von Gesundheitsdaten durch im Land ansässige Versicherungsunternehmen: wenn etwas schief läuft beim Datenschutz oder es Fragen zu klären gibt, wenn Beratung gewünscht ist oder Konflikte geschlichtet werden müssen, ist es wichtig, dass die Datenschützer*innen die Gegebenheiten vor Ort kennen, die Struktur der Wirtschaft im Land und die einzelnen Akteur*innen. Meine Kolleg*innen und ich haben über Jahre Beziehungen zu Unternehmer*innen, Verbänden und Vereinen aufgebaut. Außerdem kennen wir die Politik und die Politiker*innen im Land. Wir erkennen sofort, wenn etwa ein Gesetzgebungsverfahren falsche Akzente setzt, und können auch schon mal schnell zum Telefonhörer greifen, um zum Beispiel Landesminister*innen anzurufen und zu beraten.

Zentralisierung dagegen bedeutet das Gegenteil: lange Wege, Anonymität und das Untergehen in der Masse. 

Aber Wirtschaft, Verbände und Politik beklagen sich regelmäßig über uneinheitliche und widersprüchliche Auffassungen der Datenschutzbeauftragten. Was sagen Sie dazu? 

Ich denke, wenn man da einmal genau nachhakt, ist es das Datenschutzrecht, über das sie sich beklagen. Es ist nicht nur komplex, sondern es setzt der unternehmerischen Freiheit im Interesse der Betroffenen und im Rahmen unserer Werteordnung auch Grenzen. Datenschutzaufsicht hat die Einhaltung dieser Grenzen durchzusetzen. Das bleibt auch so, wenn die Datenschutzaufsicht zentral wahrgenommen wird. 

Die Behauptung der uneinheitlichen Datenschutzaufsicht wird meist durch uralte Anekdoten untermauert und bildet nicht das aktuelle Bild der Datenschutzaufsicht ab. Was wir Landesdatenschützer*innen dagegen belegen können, ist: eine einheitliche Auslegung des Datenschutzrechts in Deutschland durch die DSK. Das ist die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder. Insofern ist der auch im Koalitionsvertrag enthaltene Ansatz richtig, die Konferenz durch Institutionalisierung zu stärken. Außerdem gibt es in der Europäischen Union noch den Europäischen Datenschutzausschuss (EDSA), der eine einheitliche Auslegung und Anwendung des Datenschutzrechts in Europa im Blick hat.

Und noch etwas ist in diesem Zusammenhang wichtig: Die deutsche Wirtschaft besteht zu 99 Prozent aus kleineren und mittleren Unternehmen, die sowieso nur in einem Bundesland ansässig und tätig sind. Für diese Unternehmen gibt es sozusagen schon eine Zentralisierung, weil für sie immer nur die Aufsicht in ihrem Land zuständig ist. Für diese große Gruppe von Unternehmen spielt es folglich keine Rolle, sollte mal eine Landesdatenschutzbehörde in einem anderen Bundesland anderer Auffassung sein als diejenige in ihrem Bundesland. 

Aber bringt es nicht Bürokratieabbau und Kosteneinsparung, wenn man aus aktuell 17 Behörden eine macht?

Eben nicht. Man darf nicht übersehen: Es kann bei einer Zentralisierung ja immer nur um die Zuständigkeiten im nicht-öffentlichen Bereich gehen. Die Datenschutzkontrolle über die Behörden von Land und Kommunen wird weiterhin föderal bleiben. Die Landesdatenschutzaufsicht bleibt also in jedem Fall bestehen. Und wenn es um die Unternehmenskontrolle geht: wir bearbeiten hier in den Ländern jährlich mit 450 Mitarbeiter*innen rund 70.000 Beratungsanfragen, Eingaben und Beschwerden. Eine zentrale Behörde müsste deshalb immens Personal aufbauen, um diese Aufgaben zu übernehmen und bräuchte wegen der regionalen Besonderheiten zudem Spezialist*innen, die sich mit den Besonderheiten in den einzelnen Ländern auskennen. Diese Spezialist*innen gibt es aber längst bei uns. Das alles bringt keinen Bürokratieabbau, sondern führt in Wirklichkeit zu Mehrkosten in Millionenhöhe. 

Und: In der langen Zeit eines möglichen Behördenumbaus wären Unternehmen, Verbände und Bürger*innen ohne effektive Ansprechpersonen. Etablierte Netzwerke und viel Erfahrungswissen gingen verloren. Erfahrungswissen, über das die Bundesdatenschutzbeauftragte bisher nicht verfügt, da sie nur sehr spezialisierte Zuständigkeiten hat. Nur das Festhalten an einer Datenschutzaufsicht in den Ländern kann folglich verhindern, dass die Steuerzahler*innen mit hohen Kosten und den Folgen für einen effektiven Datenschutz belastest werden. 

Haben die Kritiker nicht auch einen Punkt, wenn Sie sagen, dass es innovationsfreundlichere, schnellere und einheitlichere Entscheidungen der Datenschutzbeauftragten braucht?

Unsere Entscheidungen sind – wie gesagt – in den wichtigsten Fragen einheitlich. Über Geschwindigkeit kann man immer reden. Hier kann eine institutionalisierte Datenschutzkonferenz mit dem geringen Aufwand für ein Sekretariat spürbare Verbesserungen in den bestehenden Strukturen erreichen. Man darf auch in Frage stellen, ob eine Zentralisierung und damit eine Sachbearbeitung in einer großen Behörde zu schnelleren Entscheidungen führen würde. Außerdem: Schafft man eine zentrale Behörde, dann landen gerichtliche Streitigkeiten nicht bei den örtlich nahen Gerichten im jeweiligen Bundesland, sondern an einem einzigen Gerichtsstandort am Sitz dieser Zentralbehörde, der für die meisten Betroffenen deutlich weiter entfernt liegen wird. Und man kann sich ja vorstellen, dass mit nur einem zuständigen Gericht die Dauer von Verfahren in die Höhe schießen wird. Dezentrale Datenschutzaufsicht steht hingegen für kurze Gerichtswege und viele zuständige Gerichte. Und nur das garantiert, dass Unternehmen wie Bürger*innen nicht davon abgeschreckt werden, ihre Rechte wahrzunehmen.

Datenschutz gilt trotzdem als Verhinderungsbürokratie – etwa, wenn es um Innovationen wie Künstliche Intelligenz geht. Was entgegnen Sie da?

Auch mit diesem Vorurteil müssen wir aufräumen. Moderne KI ist für alle Neuland, viele Datenschutzfragen sind in diesem Bereich einfach noch nicht geklärt. Das heißt aber nicht, dass man sie ignorieren darf. Die Fragen, vor denen nicht nur wir, sondern alle Datenschutzbehörden stehen, ist der Umgang mit Modellen, die außerhalb der EU trainiert wurden und unserem grundwerteorientierten Datenschutz widersprechen. Das ist nicht nur ein Datenschutzproblem, sondern tangiert zugleich auch die Konkurrenzfähigkeit europäischer Unternehmen. Da muss auch die Politik ehrlich sein und sich klar werden, ob wir den Grundrechteschutz im Interesse der Konkurrenzfähigkeit der Wirtschaft einschränken oder gar aufgeben wollen. Das ist keine Frage, die die Datenschutzaufsicht beantworten kann, das muss der Gesetzgeber entscheiden. 

Für manche Reibungen zwischen KI und Datenschutzrecht lassen sich unter Umständen spezielle und befriedigende Lösungen finden. Etwa die Verwirklichung von Betroffenenrechten, die die Datenschutz-Grundverordnung garantiert, ist in Large-Language-Modellen zum Beispiel ausgeschlossen. Hier müssen spezielle gesetzliche Lösungen her, die für Betroffene einen alternativen und ausreichenden Schutz ihrer Belange gewährleisten. All diese Überlegungen dürfen nicht übers Knie gebrochen werden, da wichtige Unternehmens- und Bürger*innenrechte auf dem Spiel stehen. 

Aber kein anderes europäisches Land hat eine dezentrale Datenschutzaufsicht. Warum macht das in Deutschland Sinn?

Die Mütter und Väter des Grundgesetzes haben Deutschland ganz bewusst zu einem föderalen Staat gemacht. Es ging vor allem auch darum, aus der Vergangenheit zu lernen und Machtkonzentrationen zu verhindern. Die Debatte um die Zentralisierung des Datenschutzes muss deshalb auch die Frage beantworten, ob wir dieses System weiter aushöhlen lassen wollen. Wir sind im Übrigen mit diesem System im europäischen Vergleich auch wirtschaftlich ziemlich gut gefahren. Vielleicht auch, weil fehlerhafte zentrale Entscheidungen die ganze Wirtschaft im Land negativ beeinflussen, während im Föderalismus Fehler in einem Land durch bessere Lösungen in anderen Ländern schneller neutralisiert werden. 

Ich hoffe, dass die Unternehmen, die Politiker*innen und Bürger*innen im Land sich die eigenen Gestaltungsspielräume nicht vorschnell wegnehmen lassen. Denn sind bestimmte Einflussmöglichkeiten erst einmal weg, bekommt man sie in der Regel nicht wieder.   

Was wollen Sie jetzt unternehmen?

Meine Kolleg*innen und ich werden den Dialog suchen, sowohl im Land als auch mit der neuen Bundesregierung. Wir sind die Spezialist*innen für die Datenschutzaufsicht und auch für die datenschutzrechtlichen Zusammenhänge. In anderen Politikbereichen haben die Regierungen eigene Vollzugserfahrungen. Es ist eine Besonderheit, dass ihnen diese Erfahrung wegen der Unabhängigkeit der Datenschutzaufsicht gänzlich fehlt. Es wäre jedenfalls klug, wenn sich die Bundesregierung, dazu unsere Expertise zu Nutze machen würde. Auch der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit dürfte unser Erfahrungswissen aus der praktischen Aufsicht über den nicht-öffentlichen Bereich mit all seinen breit gefächerten Fällen vom Kleingartenverein, über Freiberufler bis hin zu der Palette von Datenschutzthemen in großen Konzernen fehlen. 

Viel wird von Zentralisierung und Bürokratieabbau geredet, aber nicht darüber, wer dies fordert. Tatsächlich sind unter den Vorreiter*innen der Debatte nicht nur Politiker*innen, sondern vor allem auch diejenigen Unternehmen, die Unmengen von persönlichen Daten der Bürger*innen sammeln und verarbeiten. Denn die versprechen sich von Bürokratieabbau einen Abbau von Kontrolle. Nur eine Datenschutzaufsicht vor Ort in den Ländern kann dem entgegenwirken und die Rechte der Menschen effektiv schützen.