Rechtliche Möglichkeiten zur Stärkung und Institutionalisierung der Kooperation der Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK 2.0) Rechtsgutachten im Auftrag der AG DSK 2.0 Vorgelegt von Prof. Eike Richter, ORR Prof. Dr. iur. Indra Spiecker gen. Döhmann, LL.M. (Georgetown Univ.) Unter Mitarbeit von Ref. iur. Mona Winau Januar 2022

2

Inhaltsübersicht Zusammenfassung .............................................................................................................................. 7 A. Einleitung ..................................................................................................................................... 9 I.   Auftrag und Fragestellung: Rechtliche Möglichkeiten zur Stärkung der Kooperation, insbesondere in Form verbindlicher Beschlüsse ................................................................. 10 II.  Eingrenzung des Untersuchungsgegenstands ...................................................................... 12 III. Methodische Vorüberlegungen ........................................................................................... 13 IV. Gang der Untersuchung ....................................................................................................... 14 B.  Rechtliche Grenzen einer Kooperation ................................................................................... 17 I.   Aufbau ................................................................................................................................. 17 II.  Europarechtliche Grenzen der Kooperation ........................................................................ 17 III. Grundgesetzliche Grenzen der Kooperation ....................................................................... 25 IV. Landesverfassungsrechtliche Grenzen einer Kooperation .................................................. 59 V. Zwischenergebnis zu den rechtlichen Grenzen einer Kooperation ..................................... 59 C. Erwägungen und Optionen zur zweckmäßigen Umsetzung der Kooperation, insbesondere zur gemeinsamen, verbindlichen Beschlussfassung ........................................ 61 I.   Verbindlichkeit von Beschlüssen, insbesondere zu Sachfragen des Datenschutzrechts ..... 61 II.  Gemeinsame Öffentlichkeitsarbeit ...................................................................................... 62 III. Einrichtung einer gemeinsamen Geschäftsstelle ................................................................. 63 D. Rechtliche Ausgestaltung und Umsetzung .............................................................................. 65 I.   Funktion der rechtsförmlichen Ausgestaltung von Kooperationen ..................................... 65 II.  Eine Beispielskooperationsnorm ......................................................................................... 65 III. Wahl der richtigen Rechtsform ........................................................................................... 66 IV. Einzelfragen der rechtlichen Ausgestaltung ........................................................................ 90 V. Zwischenergebnis zur rechtlichen Ausgestaltung und Umsetzung ..................................... 92 E.  Gesamtergebnis ......................................................................................................................... 93 3

Inhaltsverzeichnis Zusammenfassung .............................................................................................................................. 7 A. Einleitung ..................................................................................................................................... 9 I.   Auftrag und Fragestellung: Rechtliche Möglichkeiten zur Stärkung der Kooperation, insbesondere in Form verbindlicher Beschlüsse ................................................................. 10 II.  Eingrenzung des Untersuchungsgegenstands ...................................................................... 12 III. Methodische Vorüberlegungen ........................................................................................... 13 IV. Gang der Untersuchung ....................................................................................................... 14 B.  Rechtliche Grenzen einer Kooperation ................................................................................... 17 I.   Aufbau ................................................................................................................................. 17 II.  Europarechtliche Grenzen der Kooperation ........................................................................ 17 1. Unabhängigkeit der Aufsichtsbehörden ......................................................................... 18 2. Effektivitäts- und Effizienzgrundsatz............................................................................. 21 3. Äquivalenzgrundsatz ...................................................................................................... 22 4. Vorgaben zur verwaltungsorganisatorischen Gliederung der mitgliedsstaatlichen Datenaufsicht.................................................................................................................. 23 5. Zwischenergebnis zu den europarechtlichen Grenzen der Kooperation ........................ 24 III. Grundgesetzliche Grenzen der Kooperation ....................................................................... 25 1. Grenzen aus der Kompetenzordnung zum Gesetzesvollzug (sog. Verbot der Mischverwaltung) .......................................................................................................... 25 a. Zum Begriff und zum Hintergrund des sog. Verbots der Mischverwaltung ............. 26 aa. Zur Regelung der Verwaltungskompetenzen im Grundgesetz ...........................26 bb. Zur Entwicklung der Rechtsprechung des Bundesverfassungsgerichts .............27 cc. Zwischenergebnis ...............................................................................................29 b. Verletzung der Vollzugskompetenzordnung............................................................. 30 aa. Gewährleistungsbereich der Vollzugskompetenzordnung .................................30 (1) Zuordnungen der Vollzugskompetenz für das Datenschutzrecht .............. 31 (a) Zuordnung des datenschutzrechtlichen Unionsrechts ........................ 32 (aa) Maßgeblichkeit der Gesetzgebungskompetenzen ...................... 32 (bb) Gesetzgebungskompetenz für das Datenschutzrecht.................. 32 (cc) Zwischenergebnis zur Zuordnung des datenschutzrechtlichen Unionsrechts ......................................... 33 (b) Zuordnung der Landesdatenschutzgesetze und der landesspezialgesetzlichen Regelungen .............................................. 33 (c) Zuordnung des BDSG und der bundesspezialgesetzlichen Regelungen als abweichendes und ergänzendes Bundesrecht im Rahmen der DSGVO-Öffnungsklauseln oder jenseits der Anwendbarkeit der DSGVO .............................................................. 34 (aa) Abweichungskompetenzen nach Art. 84 I 2 u. 5 GG ................. 34 (bb) Kompetenz des Bundes zur Errichtung selbständiger Bundesoberbehörden nach Art. 87 III 1 GG .............................. 35 (2) Verwaltungsmäßige Ausführung ............................................................... 36 4

(3) Eigenverantwortliche Wahrnehmung ........................................................ 37 (4) Zwischenergebnis zum Gewährleistungsbereich der Vollzugskompetenzordnung ...................................................................... 37 bb. Eingriff in die Kompetenzordnung (Vorliegen einer Mischverwaltung) ...........39 (1) Grundsätze ................................................................................................. 39 (2) Entscheidungen über Auslegungsmaximen und Stellungnahmen zu Angelegenheiten des Datenschutzes .......................................................... 40 (3) Öffentlichkeitsarbeit .................................................................................. 42 (4) Geschäftsstelle zur administrativen und inhaltlichen Begleitung der DSK ........................................................................................................... 43 (5) Zwischenergebnis zur Betroffenheit der Vollzugskompetenzordnung durch die DSK 2.0 ..................................................................................... 43 cc. Verfassungsrechtliche Rechtfertigung................................................................44 (1) Rechtfertigungsbedürftigkeit und -fähigkeit .............................................. 44 (2) Besonderer Sachgrund ............................................................................... 45 (3) Eng umgrenzte Sachmaterie ...................................................................... 48 c. Zwischenergebnis zu den Grenzen der Vollzugskompetenzordnung, insbesondere zum sog. Verbot der Mischverwaltung ............................................... 50 2. Grenzen aus der Kompetenzordnung zur Staatsfinanzierung (sog. Verbot der Mischfinanzierung) ........................................................................................................ 50 a. Verhältnis des Bundes zu Ländern: Getrennte Finanzierungsverantwortung als Regel und Mischfinanzierung als Ausnahme ............................................................ 51 aa. Verletzung des Trennungsgebots für Verwaltungsausgaben ..............................51 (1) Verwaltungsausgaben ................................................................................ 51 (a) Erfasste Ausgaben als Verwaltungsausgaben .................................... 52 (b) Keine Zweckausgaben ....................................................................... 52 (2) Ausgaben, die sich aus der Wahrnehmung zugewiesener Aufgaben ergeben....................................................................................................... 53 (3) Rechtsfolge: Gesonderte Tragung der Kostenlast ..................................... 56 (a) Grundsatz ........................................................................................... 56 (b) Relativierung der Rechtsfolge bei kooperativen Verwaltungstätigkeiten ...................................................................... 56 bb. Verletzung des allgemeinen Trennungsgebots ...................................................57 (1) Ausdrückliche Abweichungsmöglichkeiten .............................................. 58 (2) Relativierung der Rechtsfolge bei kooperativen Verwaltungstätigkeiten .............................................................................. 58 b. Verhältnis zwischen den Ländern: v.a. zur Grenze des Art. 107 II 1 GG ................. 58 c. Zwischenergebnis zum Verbot der Mischfinanzierung ............................................ 59 IV. Landesverfassungsrechtliche Grenzen einer Kooperation .................................................. 59 V. Zwischenergebnis zu den rechtlichen Grenzen einer Kooperation ..................................... 59 C. Erwägungen und Optionen zur zweckmäßigen Umsetzung der Kooperation, insbesondere zur gemeinsamen, verbindlichen Beschlussfassung ........................................ 61 I.   Verbindlichkeit von Beschlüssen, insbesondere zu Sachfragen des Datenschutzrechts ..... 61 II.  Gemeinsame Öffentlichkeitsarbeit ...................................................................................... 62 III. Einrichtung einer gemeinsamen Geschäftsstelle ................................................................. 63 5

D. Rechtliche Ausgestaltung und Umsetzung .............................................................................. 65 I.   Funktion der rechtsförmlichen Ausgestaltung von Kooperationen ..................................... 65 II.  Eine Beispielskooperationsnorm ......................................................................................... 65 III. Wahl der richtigen Rechtsform ........................................................................................... 66 1. Verfassungsrechtliche Gewichtigkeit der Kooperationsgegenstande ............................ 67 a. (Verbindliche) Entscheidungen über Auslegungsmaximen und Stellungnahmen zu Angelegenheiten des Datenschutzes.......................................... 68 b. Gemeinsame Öffentlichkeitarbeit ............................................................................. 69 c. Einrichtung einer gemeinsamen Geschäftsstelle ....................................................... 71 d. Finanzierung der Kooperation................................................................................... 72 e. Zwischenergebnis...................................................................................................... 72 f. Exkurs: Notwendigkeit einer (zusätzlichen) Verfassungsänderung? ........................ 73 2. Bewertung der in Betracht zu ziehenden Kooperationsrechtsformen ............................ 73 a. Kooperation durch (Bundes-)Gesetz ......................................................................... 75 aa. Gesetzgebungskompetenz ..................................................................................75 (1) Gesetzgebungskompetenz für die Normierung der gemeinsam verbindlichen Beschlussfassung der DSK 2.0 ........................................... 75 (a) Annexkompetenz des Bundes zu Art. 23 I 2 GG ............................... 75 (b) Hilfsweise: Ingerenzrechte des Bundes aus Art. 84 I 2 Hs. 1 u. S. 5 GG............................................................................................... 79 (aa) Reichweite .................................................................................. 79 (bb) Ausführung von Bundesgesetzen ............................................... 80 (c) Zwischenergebnis .............................................................................. 82 (2) Gesetzgebungskompetenz für die Zuweisung gemeinsamer Öffentlichkeitsarbeit .................................................................................. 83 (3) Gesetzgebungskompetenz für die Einrichtung einer gemeinsamen Geschäftsstelle ........................................................................................... 84 bb. Zwischenergebnis zur Kooperation durch (Bundes-)Gesetz ..............................84 b. Kooperation durch intraföderalen Staatsvertrag ....................................................... 84 aa. Notwendigkeit und Legitimationsreichweite eines Staatsvertrags .....................85 bb. Anwendungs- und Gegenstandsbereich .............................................................86 cc. Aspekte der Umsetzung......................................................................................87 dd. Exkurs: Staatsvertrag (nur) zwischen den Ländern ............................................88 ee. Zwischenergebnis ...............................................................................................89 3. Zwischenergebnis zur Wahl der richtigen Rechtsform .................................................. 89 IV. Einzelfragen der rechtlichen Ausgestaltung ........................................................................ 90 1. Mitgliedschaft ................................................................................................................ 90 a. Grundprinzip der 17 Beteiligten................................................................................ 90 b. Variation der Einbeziehungsmöglichkeiten .............................................................. 91 2. Abstimmungsmodus und Entscheidungsfindung ........................................................... 91 3. Kostentragungs- oder Erstattungsregelung .................................................................... 92 V. Zwischenergebnis zur rechtlichen Ausgestaltung und Umsetzung ..................................... 92 E. Gesamtergebnis ......................................................................................................................... 93 6

Zusammenfassung Die Einrichtung einer DSK 2.0, die  gemeinsame, verbindliche Entscheidungen über Auslegungsmaximen des Daten- schutzrechts und Angelegenheiten des Datenschutzes,  eine gemeinsame Öffentlichkeitsarbeit und  die gemeinsame Einrichtung einer Geschäftsstelle zur Begleitung der DSK 2.0 unter Beibehaltung der Stellung der einzelnen Aufsichtsbehörden als Herrinnen des Verfahrens zur Herstellung größerer Einheitlichkeit und Rechtssicherheit bezweckt, ist mit Europa- sowie nationalstaatlichem Recht vereinbar und kann im Rahmen eines Bundes- gesetzes, z.B. als Ergänzung zum BDSG, institutionalisiert werden. Ihre Ausgestaltung sollte verschiedene Elemente berücksichtigen, um eine möglichst große Zie- lerreichung sicherzustellen und etwaigen Rechtsproblemen zu begegnen. 7

8

A. Einleitung Auf der Basis des europäischen und nationalen Datenschutzrechts sowie der allgemeinen Rechtsgrundsätze einschließlich der Zuweisung von Kompetenzen für Gesetzgebung und Ver- waltung in verschiedenen Vorschriften des Grundgesetzes sind in Deutschland Datenschutz- aufsichtsbehörden in den Ländern sowie beim Bund eingerichtet worden. Dies entspricht dem föderalen Grundprinzip einer dezentralen Verwaltungsstruktur. Gleichwohl wird auch für die Datenschutzaufsicht immer wieder die Debatte über das nötige Maß an Zentralisierung geführt. Ein dabei häufig geäußerter Kritikpunkt gegenüber der Daten- schutzaufsicht in Deutschland ist die (angeblich) fehlende Einheitlichkeit im Handeln der Aufsichtsbehörden, die zu Rechtsunsicherheit bis hin zu Wettbewerbsnachteilen in Deutsch- land ansässiger Unternehmen führten. Es werden also vor allem Unterschiede der Vorgehens- weise und der Rechtsauffassungen der Aufsichtsbehörden bei Angelegenheiten thematisiert, die insbesondere die Wirtschaft betreffen. Die Erläuterungen und rechtlichen Einschätzungen des vorliegenden Rechtsgutachtens bezie- hen sich auf Möglichkeiten einer weitergehenden, institutionalisierten Verwaltungskoope- ration zwischen den Landesdatenschutzbeauftragten (LfDIs) und dem Bundesdatenschutzbe- auftragten (BfDI). Eine etablierte Kooperation zwischen den Aufsichtsbehörden in Deutschland besteht bereits in Form der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder, kurz „Datenschutzkonferenz“ (DSK) genannt. Es handelt sich um eine nicht-institutionalisierte Form der freiwilligen Zusammenarbeit zwischen Bund und Ländern, um den einheitlichen Vollzug des Datenschutzrechts im Bundesgebiet und die Fortentwicklung des Rechts zu 1 fördern. Sie hat die Aufgabe, die Datenschutzgrundrechte zu wahren und zu schützen, eine einheitliche Anwendung des europäischen und nationalen Datenschutzrechts zu erreichen und 2 gemeinsam für seine Fortentwicklung einzutreten. Hierzu bedient sich die DSK verschiedener Handlungsinstrumente mit dem Ziel der Konkretisierung des geltenden Rechts und der ge- 3 meinsamen Öffentlichkeitsarbeit. Dies geschieht durch Entschließungen, Beschlüsse, Orien- 4 tierungshilfen, Standardisierungen, Stellungnahmen, Pressemitteilungen und Festlegungen. Von besonderer Relevanz für die Gewährleistung eines einheitlichen Vollzugs und der damit verbundenen Rechtssicherheit über datenschutzrechtliche Fragen im Bundesgebiet sind die Be- schlüsse der DSK. Hierbei handelt es sich um Positionen zur Auslegung datenschutzrechtlicher 5 Normen und daraus abgeleitete Handlungsempfehlungen. Im Rahmen der aktuellen freiwilli- gen Kooperation als DSK entfalten die Beschlüsse keine Bindungswirkung für die beteilig- ten Behörden. Der BfDI sowie die LfDIs können in ihrer Vollzugspraxis ohne rechtliche Fol- gen abweichende Entscheidungen treffen. Umgekehrt können auch Betroffene und Verantwort- liche ihr Vorbringen in einem gerichtlichen Verfahren gegenüber einer Aufsichtsbehörde nicht auf die Beschlüsse der DSK stützen. 1    A.II GO DSK. 2    Leitbild, https://www.datenschutzkonferenz-online.de/dsk.html. 3    A.III. GO DSK. 4    Leitbild, https://www.datenschutzkonferenz-online.de/dsk.html. 5    A.III GO DSK. 9

I.    Auftrag und Fragestellung: Rechtliche Möglichkeiten zur Stärkung der Ko- operation, insbesondere in Form verbindlicher Beschlüsse Vor diesem Hintergrund stellt sich die Frage, ob und ggf. wie die DSK weiterentwickelt wer- den kann, um über sie eine stärker einheitliche Anwendung des Datenschutzrechts im Bundes- gebiet zu gewährleisten oder jedenfalls ein einheitliches Verständnis und eine einheitliche Um- setzung dieses Verständnisses noch mehr als bisher zu fördern – dies insbesondere dadurch, dass der DSK eine Kompetenz zur verbindlichen Beschlussfassung übertragen wird 6 (DSK 2.0). Auf Grundlage einer solchen Kompetenz könnten von den in der DSK 2.0 verbun- denen Aufsichtsbehörden der Länder und des Bundes einheitliche Vorgaben zu Anwendungs- fragen des geltenden Datenschutzrechts getroffen werden. Diese würden auf den im Übrigen weiterhin eigenständigen Vollzug des Datenschutzrechts durch die LfDIs und den BfDI steu- ernd einwirken und damit eine größere Einheitlichkeit und Rechtssicherheit im Bereich des Datenschutzrechts im Bundesgebiet schaffen. Bei dieser Zielvorstellung, die hinter dem vorlie- genden Gutachten liegt, geht es nicht nur um eine rechtliche Weiterentwicklung der DSK. Dies wird daran sichtbar, dass die Wirkkraft der DSK auch von organisatorischen Rahmenbedin- gungen und Weiterentwicklungsmaßnahmen abhängt, die unter Umständen ihrerseits wiede- rum der Verrechtlichung bedürfen – etwa den Aufbau einer Geschäftsstelle zur administrati- ven Unterstützung der Tätigkeit der DSK. In diesem Sinne hat der vorliegende Gutachtenauftrag die Frage nach der kooperativen Wahr- nehmung von Hoheitsrechten zum Gegenstand. Dabei geht es nicht darum, die Entschei- dungskompetenzen der Aufsichtsbehörden durch eine fortentwickelte DSK weitreichend oder sogar vollständig zu ersetzen. Die DSK 2.0 soll nicht etwa die Aufgaben der Aufsichtsbehörden an deren Stelle übernehmen und etwaige Verfahren als zuständige Behörde führen. Die einzel- nen Aufsichtsbehörden sollen Herrinnen der jeweiligen Verfahren bleiben, sollen dabei aber stärker und verbindlicher als bisher von Entscheidungen der DSK begleitet, gesteuert oder je- denfalls angeleitet werden. Um den Auftrag zu illustrieren und seine Bedeutung aus einer rechtspraktischen Sicht zu be- leuchten, kann sich gleichsam als Leitfall folgende Konstellation vorgestellt werden: Der BfDI oder ein LfDI trifft eine nach außen (an eine private oder öffentliche Stelle gerichtete) Entscheidung (z.B. eine Beanstandung im Sinne von § 18 Abs. 2 BDSG, weil die beanstandete Datenverarbeitung nicht hinreichend informiere). Die Beanstandung steht allerdings in einem Widerspruch zu einem gemeinsamen Beschluss der DSK, nach dem für die Informiertheit die Nennung bestimmter Parameter hinreichend sei. Diese Parameter hat die verantwortliche Stelle zutreffend genannt. Ist die Entscheidung des BfDI bzw. des LfDI (deswegen) rechtswidrig? Oder anders – im Sinne der rechtsgestal- tenden Perspektive des vorliegenden Gutachtens – gefragt: Unter welchen, an den ge- meinsamen Beschluss zu stellenden Anforderungen würde die Abweichung der Auf- sichtsbehörde vom Beschluss die Rechtswidrigkeit der Entscheidung des BfDI bzw. des LfDI nach sich ziehen? Der Leitfall lässt zugleich deutlich werden, dass die Frage nach den rechtlichen Anforderungen an die Verbindlichkeit des gemeinsamen Beschlusses einer DSK 2.0 und damit nach der Recht- mäßigkeit der Einzelfallentscheidung (im Sinne des obigen Leitfalls) auch von der Art, dem Gewicht und dem Inhalt des Gegenstands abhängen dürfte, auf die der gemeinsame Beschluss 6    Zur Diskussion Thiel, ZD 2021, 179. 10