Datenschutz: Was machen eigentlich die Aufsichtsbehörden?

Bußgelder sind in den Schlagzeilen, aber nicht das Ziel

Im Mai 2023 wurde Meta Platforms Ireland Limited (Meta IE) im Anschluss an eine Untersuchung seines Facebook-Dienstes durch die irische Datenschutzbehörde (IE DPA) eine Geldbuße in Höhe von 1,2 Milliarden Euro auferlegt. Dieses Bußgeld, das bisher höchste DSGVO-Bußgeld überhaupt, wurde für Metas Übermittlungen personenbezogener Daten in die USA auf der Grundlage von Standardvertragsklauseln (SCCs) seit dem 16. Juli 2020 verhängt. Darüber hinaus wurde Meta angewiesen, seine Datenübermittlungen in Einklang zu bringen mit der DSGVO.

Andrea Jelinek, Vorsitzende des Europäischen Datenschutzausschusses (EDSA), sagte dazu: „Der EDSA stellte fest, dass der Verstoß von Meta IE sehr schwerwiegend ist, da es sich um systematische, wiederholte und kontinuierliche Übermittlungen handelt. Facebook hat Millionen von Nutzern in Europa, daher ist die Menge der übertragenen personenbezogenen Daten enorm. Das beispiellose Bußgeld ist ein starkes Signal für Organisationen, dass schwerwiegende Verstöße weitreichende Folgen haben.“

Dieses Rekordbußgeld füllte schnell die Schlagzeilen, die aber bereits durch den fünften Jahrestag der Anwendbarkeit der Datenschutz-Grundverordnung (DSGVO) den Datenschutz im Fokus hatten. Viele Berichte enthalten dabei Kritik an den Datenschutzaufsichtsbehörden, gerade in Deutschland. Dabei haben die Aufsichtsbehörden nicht ausschließlich die Bußgelder im Sinn. Manche Kritik lässt dies aber glauben.

Kritik an den Aufsichtsbehörden wird laut

Ein Beispiel für die Kritik an der Datenschutzaufsicht liefert zum Beispiel der Digitalverband Bitkom. Konkret fordert der Bitkom, die Datenschutzaufsicht stärker zu vereinheitlichen. Zudem müsse sich der Datenschutz stärker an realen Gefahren als an theoretischen Risiken orientieren. Das solle insbesondere auch bei den derzeit laufenden Diskussionen zum deutschen Beschäftigtendatenschutz gelten.

Nun sehen die Datenschutzaufsichtsbehörden selbst Optimierungsbedarf und -potenzial und haben zum Beispiel einen Arbeitskreis DSK 2.0, der sich mit Veränderungen der Organisation der Arbeit der Aufsichtsbehörden befasst. Dazu gehört auch der Wunsch nach mehr Einheitlichkeit im Vorgehen der deutschen Aufsichtsbehörden.

Aufsichtsbehörden wollen stärker harmonisieren

Die Datenschutzkonferenz (DSK) hat sich deshalb für Mehrheitsentscheidungen ausgesprochen: „Beschlüsse verabschiedet die Konferenz mit einer Mehrheit von mindestens 12 Stimmen (2/3). Sie haben für die Mitglieder der DSK bindende Wirkung. Sie dienen nicht dem Schutz Dritter und begründen keine einklagbaren Rechte. Jedes Mitglied der DSK, das der Mehrheitsentscheidung nicht zustimmt, kann zusätzlich zu seiner Stimmabgabe erklären, dass es sich dieser Bindung nicht unterwirft. Diese Erklärung wird zusammen mit dem Beschluss veröffentlicht. Jedes Mitglied kann die Aufhebung oder Abänderung bindender Beschlüsse beantragen.“

Für ein Unternehmen bedeutet dies: In aller Regel werden in Zukunft die Entscheidungen der deutschen Aufsichtsbehörden stärker vereinheitlicht werden. Die Sorge, in jedem Bundesland gelte etwas anderes, ist also unbegründet, auch wenn es Abweichungen geben wird.

So sagte zum Beispiel der Bayerische Landesbeauftragte für den Datenschutz, eine Aufsichtsbehörde könne verfassungsrechtlich nicht durch Mehrheitsentscheidungen gebunden werden, die gegen ihr Votum getroffen wurden. Der Bayerische Landesbeauftragte für den Datenschutz erklärte deshalb generell, dass er sich an keine gegen sein Votum getroffene Mehrheitsentscheidungen gebunden fühlt.

Manche Kritik an den Aufsichtsbehörden ist aber unbegründet

Die Aufsichtsbehörden sollten aus Bitkom-Sicht auch verpflichtet werden, nicht nur Verbote oder gar pauschale Produktwarnungen auszusprechen und Bußgelder zu verhängen, sondern auch bei datenschutzkonformer Umsetzung zu unterstützen.

Dieser Kritikpunkt jedoch ist entweder missverständlich oder aber unbegründet. So müssen die Aufsichtsbehörden für den Datenschutz gar nicht dazu verpflichtet werden, „auch bei datenschutzkonformer Umsetzung zu unterstützen“, denn sie sind bereits dazu verpflichtet und tun dies auch.

Wie die DSGVO in Artikel 57 ja besagt, gehört es zu den expliziten Aufgaben einer Datenschutzaufsichtsbehörde, die Öffentlichkeit für die Risiken, Vorschriften, Garantien und Rechte im Zusammenhang mit der Verarbeitung zu sensibilisieren und sie darüber aufzuklären, die Verantwortlichen und die Auftragsverarbeiter für die ihnen aus dieser Verordnung entstehenden Pflichten zu sensibilisieren, auf Anfrage jeder betroffenen Person Informationen über die Ausübung ihrer Rechte aufgrund dieser Verordnung zur Verfügung zu stellen und gegebenenfalls zu diesem Zweck mit den Aufsichtsbehörden in anderen Mitgliedstaaten zusammenzuarbeiten, um nur einige Beispiele zu nennen.

Wichtig erscheint es deshalb, dass Unternehmen die Unterstützung und Beratung durch die Aufsichtsbehörden auch wahrnehmen. Der Bitkom hatte im September 2021 einmal berichtet: „Bei konkreten Fragen erhält nur eine Minderheit Unterstützung durch die Aufsicht. So hat ein Viertel (24 Prozent) dort bereits nach Hilfestellungen für die Umsetzung von Datenschutzvorgaben angefragt, aber keine Antwort erhalten. Ähnlich viele (28 Prozent) haben zwar Antwort bekommen, diese habe aber nicht geholfen. Nur 3 von 10 (29 Prozent) geben an, auf ihre Frage hin auch Hilfestellung erhalten zu haben: 64 Prozent von ihnen in Form von Leitfäden, 32 Prozent mit Einzelberatung, 27 Prozent in einer Gruppenberatung.“

Um dies zu bewerten, muss man daran denken, dass die Aufsichtsbehörden personell nicht stark ausgestattet sind, also Einzelberatungen eher die Ausnahme bleiben werden. Dafür aber gibt es zahlreiche Leitfäden und Hilfestellungen, die für Unternehmen nützlich sein können. Diese gilt es noch stärker einzusetzen im betrieblichen Alltag.