richter-spiecker-gutachten-dsk-2-0

Dieses Dokument ist Teil der Anfrage „Gutachten "Rechtliche Möglichkeiten zur Stärkung und Institutionalisierung der Kooperation der Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK 2.0)"

/ 95
PDF herunterladen
einwirkt. So dürfte es für die Relevanz für das Handeln einer Aufsichtsbehörde einen Unter- schied machen, ob eine DSK 2.0 (oder noch weiter entwickelte DSK 3.0) einen Beschluss fasst, der  die Befugnis oder die Zuständigkeit für Einzelfallentscheidungen überträgt, z.B. nach dem Prinzip, dass ein Beauftragter für bestimmte Sachthemen die Befugnisse der 7 anderen Beauftragten deutschlandweit übernimmt oder dass mit der DSK Einverneh- men hergestellt werden muss,  auf der Ebene der formellen Anforderungen ansetzt und z.B. vorsieht, dass die DSK vor der Einzelfallentscheidung konsultiert oder ins Benehmen gesetzt werden muss,  an die Öffentlichkeit gerichtete Einschätzungen zu aktuellen Fragestellungen im Da- tenschutz abgibt, oder  inhaltliche Vorgaben zur Auslegung materiell-rechtlicher Voraussetzungen (z.B. hinsichtlich der Tatbestandsmerkmale von Befugnisnormen oder zur Ausübung einge- räumten Ermessens) macht. Die Vorstellungen von den Gegenständen einer gewünschten Kooperation hängen wesent- lich nicht von rechtlichen Aspekten ab, sondern von den Zielvorstellungen der beteiligten Akteure und politischen Entscheider. Entsprechend ändert sich der rechtliche Rahmen, und es werden die Grenzen für solche Kooperationen mehr oder weniger erreicht. Vor dem Hintergrund dieses gegenständlichen Spektrums sollen die Prüfung und Klärung der verfassungsrechtlichen und verwaltungsorganisationsrechtlichen Rahmenbedingun- gen für eine engere Kooperation und eine Institutionalisierung der DSK im Mittelpunkt des Gutachtens stehen. Es soll unter Beachtung der europarechtlichen Vorgaben (insbesondere Artt. 51 ff. DSGVO) klären, welche regulativen Möglichkeiten für eine Stärkung der Koope- ration unter bestimmten Voraussetzungen bestehen, mit welchen Inhalten und auf welcher Ebene. Dabei wird ein gewisses Grundverständnis von einer DSK 2.0 vorausgesetzt (siehe dazu unter A.II), das aber im Rahmen der Ausgestaltung noch gewisse Flexibilitäten und Abwei- chungsmöglichkeiten vorsehen kann (siehe insbesondere D.IV). Das Gutachten ist insoweit je- denfalls in Teilen offen angelegt und will – neben dem vorrangigen Ausloten der Grenzen eines solchen kooperativen Miteinanders, wie es für das Rechtsgutachten im Raum steht – jedenfalls auch an ausgewählten Positionen Möglichkeiten zur Gestaltung aufzeigen. Dies schließt die Idee ein, eine gemeinsame Geschäftsstelle einzurichten, auch ohne dass der DSK 2.0 Rechts- persönlichkeit verliehen wird. Das besondere Augenmerk des Gutachtens wird auf Regelungsmaterien gelegt, die von der DSGVO erfasst sind. Bereiche, in denen es an einer Kompetenz der EU zur Regelung fehlt, in denen diese von ihren Kompetenzen keinen Gebrauch gemacht hat oder in denen die DSGVO 8 keine Anwendung findet, etwa im Bereich der JI-RL , sind nicht explizit Gegenstand des Gut- achtens, werden aber grundsätzlich mitgedacht. Die zentralen inhaltlichen Fragestellungen des Gutachtens können also wie folgt zusammen- gefasst werden: 7    Siehe dazu analog das vom IT-Planungsrat zur arbeitsteiligen Umsetzung des OZG beschlossene Kooperati- onsmodell „Einer für alle“, Beschluss 2021/21, www.it-planungsrat.de/beschluesse/sitzungen/32-sitzung. 8    Richtlinie (EU) 2016/680 des Europäischen Parlamentes und des Rates vom 27. April 2016 zum Schutz na- türlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwe- cke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung so- wie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates. 11
11

1. Welche rechtlichen Möglichkeiten und Grenzen (z.B. das sog. Verbot der Mischver- waltung) gibt es, die bisherige Kooperation zwischen den Aufsichtsbehörden im Rah- men der DSK rechtlich stärker zu verankern, so dass idealerweise eine Rechtspersön- lichkeit angenommen, jedenfalls aber eine Verbindlichkeit von Beschlüssen insbeson- dere in Hinblick auf die Wahrnehmung von Befugnissen, auf die Statuierung formeller Anforderungen oder Vorgaben zur Auslegung materiell-rechtlicher Voraussetzungen erzielt werden kann? 2. Punktuell: Welche Auswirkungen auf die interne Governance-Struktur wie Abstim- mungsmodalitäten, interne Kompetenz- und Ressourcenverteilung und insbesondere die Einrichtung einer Geschäftsstelle mit eigenen Ressourcen verbinden sich in einer über- blicksartigen Darstellung mit der jeweiligen rechtlichen Ausgestaltung der DSK 2.0? II.    Eingrenzung des Untersuchungsgegenstands Die rechtlichen und verwaltungswissenschaftlichen Fragestellungen, die sich im Zusammen- hang mit den verschiedenen Möglichkeiten einer Kooperationsstärkung oder einer Institutiona- lisierung der DSK ergeben können, können auftragsgemäß nur zum Teil in diesem Gutachten behandelt werden. Denn je nach konkreter Ausgestaltung der DSK 2.0 können sich wiederum neue Fragestellungen ergeben und fällt die jeweilige Beurteilung der Grenzen und Möglichkei- ten unterschiedlich aus. Um den Möglichkeitsraum einzugrenzen, liegt dem Gutachten fol- gende Zielvorstellung von einer DSK 2.0 auftragsgemäß zu Grunde:  Die DSK 2.0 richtet ihren Fokus, wie die gegenwärtige informelle Kooperation, vor allem auf allgemeine Fragestellungen im Zusammenhang mit dem Datenschutzrecht. Sie gibt diesbezüglich Auslegungshilfen, Leitlinien oder Empfehlungen zu Vorausset- zungen und Rechtsfolgen einschließlich allgemeiner Einschätzungen zur Vereinbar- keit von konkretisierten Datenverarbeitungen mit dem Datenschutzrecht. Auf solche Maßnahmen richtet sich die Frage nach der Verbindlichkeit. Der DSK 2.0 werden hingegen keine Entscheidungsbefugnisse für den Einzelfall übertragen. Die DSK 2.0 tritt nicht nach außen, insbesondere gegenüber Adressaten von Maßnahmen, als Urheber dieser Maßnahmen auf. Handelnde Behörde bleibt für alle Maßnahmen die jeweilige Aufsichtsbehörde. In ihren Begründungen stützen sich die Aufsichtsbe- hörden daher zwar auf Vorgaben der DSK, leisten aber eine eigenständige Ausgestal- tung des Verfahrens, Ermessensentscheidungen sowie eigenständige Begründungen ihres Vorgehens.  Die Vertretung der Aufsichtsbehörden im Europäischen Datenschutzausschuss (EDSA) nach §§ 17 ff. BDSG bleibt durch eine Institutionalisierung der DSK 2.0 un- verändert.  Beschlüsse und Entscheidungen werden in der DSK 2.0 grundsätzlich mit einfacher Mehrheit getroffen; jedes Land sowie der Bund verfügen über jeweils eine Stimme.  Eine Geschäftsstelle mit festem Sitz begleitet die DSK 2.0; den jeweiligen Vorsitz übernehmen wechselnd die einzelnen Aufsichtsbehörden. Diese Geschäftsstelle be- gleitet die DSK inhaltlich und administrativ; Maßnahmen der Rotation von Mitarbei- tern und Abordnungen von und in die Aufsichtsbehörden sind vorgesehen. Die Veror- tung erfolgt in Unabhängigkeit von einer einzelnen Aufsichtsbehörde mit guter Er- reichbarkeit aus dem Bundesgebiet.  Mitglieder der DSK 2.0 sind die allgemeinen Aufsichtsbehörden von Bund und Län- dern. Den Besonderheiten bereichsspezifischer Aufsichtsbehörden, insbesondere im 12
12

Bereich der Medien/des Rundfunks sowie der Kirchen, und deren gesteigerten Anfor- derungen an die Berücksichtigung ihrer grundrechtlichen Positionen kann im Rahmen der DSK 2.0 keine Rechnung getragen werden, so dass – wie bisher auch – diese Auf- sichtsbehörden ihre Zuständigkeit für den jeweiligen grundrechtssensiblen Bereich so- wie auch die allgemeinen Datenverarbeitungen behalten. Im Rahmen abschließender 9 Überlegungen werden einzelne Variationsmöglichkeiten kurz angesprochen. Auch wenn diese kooperativen Elemente die DSK als solche stärker als bisher als Akteur oder Subjekt erscheinen lassen dürfte, verbindet sich mit der der DSK 2.0 nicht das Ziel einer orga- nisatorischen Institutionalisierung, etwa im Sinne eines eigenständigen Verwaltungsträgers o- der auch nur einer Behörde oder eines Organs. Entsprechende Rechtsfragen, wie z.B. die Frage nach der Reichweite entsprechender Errichtungskompetenzen (vgl. Art. 83 GG), sind daher 10 nicht Gegenstand dieses Gutachtens. III. Methodische Vorüberlegungen Rechtswissenschaftliche und juristische Studien sind regelmäßig durch eine Kontrollperspek- tive geprägt, wie sie den Gerichten eigen ist. D.h. das Recht wird als Maßstab für die Bewertung bestimmter Sachverhalte (hier der Kooperation) angewendet und ausgewertet mit dem Ziel, rechtliche Zulässigkeiten oder Unzulässigkeiten festzustellen. Für eine solche Herangehens- weise an rechtliche Fragestellungen ist daher die binäre Bewertung des Tatsächlichen als „rechtmäßig-rechtswidrig“ leitend. Soweit dieses Gutachten sich mit den Grenzen einer DSK 2.0 im vorgestellten Sinne befasst, wird auftragsgemäß vorrangig diese Perspektive ein- genommen. Diese, von der gerichtlichen Prüfung angeleitete, Kontrollperspektive vernachlässigt naturge- mäß die Frage nach der rechtskonstruktiven Lösung, die verschiedene rechtliche Optionen erarbeitet und erwägt. Eine solche konstruktive Herangehensweise ist hingegen für die Perspek- tive der Kooperationsgestaltung typisch. Kooperationsgestaltung zielt darauf ab, durch (ihrer- seits rechtskonforme) Formulierung von Regeln Erwartungssicherheit bei den Kooperierenden zu erzeugen und präventiv Normen bereit zu stellen, die im Falle künftiger Konflikte rechtliche Lösungen gewährleisten. Im Öffentlichen Recht, das in besonderer Weise vom Dualismus zwischen Staat und Bürger und entsprechend besonderen Bindungen des Staats geprägt ist, sind solche rechtskonstruktiven Herangehensweisen in besonderer Weise herausfordernd, weil sie die Grenzen je nach Ausge- staltung neu herausfordern. Für diejenigen, die Kooperationen der datenschutzrechtlichen Auf- sichtsbehörden eingehen und gestalten wollen, bildet diese Perspektive der Kooperations- und Rechtsgestaltung aber den Ausgangspunkt. Daher weicht das vorliegende Gutachten von typi- schen rechtlichen Herangehensweisen jedenfalls in Teilen ab und begutachtet nicht nur – im 9    Siehe dazu unter D.IV.1.b. 10   Öffentlich-rechtliche Verwaltungseinheiten können unmittelbar einem Verwaltungsträger zugeordnet wer- den (Behörden des Bundes oder der Länder) oder mittelbar als selbstständige rechtliche Organisationseinhei- ten in Form von Körperschaften, Stiftungen und Anstalten des öffentlichen Rechts mit der Wahrnehmung von Verwaltungsaufgaben betraut werden. Bei einer Eingliederung der DSK in die unmittelbare Staatsver- waltung müsste jedenfalls sichergestellt sein, dass sie keiner staatlichen Aufsicht unterliegt, um den unions- rechtlichen Vorgaben der Unabhängigkeit zu genügen. Möglich (soweit verfassungsrechtlich vorgesehen) ist sowohl die Einrichtung einer institutionell gemeinsamen Behörde des Bundes und der Länder als auch einer gemeinsamen Behörde der Länder, die von einem Land errichtet wird. Vgl. das Beispiel der hessischen Film- bewertungsstelle, die eine gemeinsame Behörde aller Bundesländer ist und deren Bewertungen alle Länder binden, Maurer/Waldhoff, Allgemeines Verwaltungsrecht, 19. Aufl. 2017, § 22 Rn. 46 f. 13
13

Sinne einer gerichtlichen Kontrollperspektive – vorranging die Grenzen des rechtlichen Zu- lässigen, sondern wägt zudem auch punktuell Optionen und Gestaltungsmöglichkeiten im Rahmen des geltenden Rechts ab. Die Studie nimmt insoweit in Teilen auch eine gestaltende Perspektive ein, die Grenzen und Möglichkeiten gleichermaßen betrachtet. Dies tritt insbeson- dere im Teil D hervor, in dem die rechtliche Machbarkeit und Gestaltung von Kooperationen abgehandelt wird, wird aber auch in den übrigen Teilen immer wieder sichtbar. Dies bedingt gleichzeitig auch die Offenheit vieler Lösungsansätze zu rechtlichen Problemstellungen. Denn welche rechtliche Lösung gewählt wird, hängt auch von außerrechtlichen Faktoren der Koope- ration ab (politischer Wille, finanzielle Mittel, etc.) und umgekehrt. Das Recht kann eine Ko- operation nur in eine Form gießen, die von den Partnern nach deren Zielsetzungen ausgewählt wurde; gleichzeitig kann dies aber nur geschehen, wenn diese Kooperation den rechtlichen Rahmen einhält. In den unter A.I genannten zentralen, inhaltlichen Fragestellungen lassen sich dementsprechend drei Bewertungsebenen erkennen, die sich insbesondere auch in der Rolle unterscheiden, die sie dem Recht zuweisen:  Welche formalen und inhaltlichen Grenzen werden den Kooperationsbeteiligten durch (für sie – praktisch – nicht zur Disposition stehendes) Recht (z.B. Gesetze, Ver- fassung) für die Kooperation und die Kooperationsziele gezogen? → Rechtmäßigkeitserwägungen  Wie sollte der ggf. damit rechtlich eröffnete Kooperations- und Gestaltungsspiel- raum zweckmäßig (also etwa wirtschaftlich sinnvoll, effektiv oder strategisch klug) 11 ausgefüllt werden? → Zweckmäßigkeits- und Folgenerwägungen  Wie müssen die so in Betracht kommenden Kooperationslösungen rechtlich umge- setzt bzw. ausgestaltet werden, um die Kooperationslösung insbesondere rechtssicher zu machen? → Rechtsgestaltungserwägungen Das vorliegende Rechtsgutachten betrachtet unter den genannten Vorstellungen von einer zu- künftigen DSK 2.0 vor allem deren formalen und inhaltlichen Grenzen und erörtert zudem auf dieser Basis einige Rechtsgestaltungserwägungen. IV. Gang der Untersuchung Wie dargelegt, kann sich eine Kooperation auf die unterschiedlichsten Gegenstände und Ebe- nen beziehen. Sie kann beispielsweise die Erfüllung einer Aufgabe, die gemeinsame Regelbil- dung, das Zusammenwirken im Verfahren oder auch die gemeinsame Finanzierung betreffen. Der vorliegende Gutachtenauftrag fokussiert auf die Frage, wie die Kooperation zwischen den Datenschutzaufsichtsbehörden auf der Ebene der Entscheidungsfindung verstärkt werden 12 kann. Im Mittelpunkt steht die Frage, ob und wie erreicht werden kann, dass die von der DSK gemeinsam getroffenen Beschlüsse Verbindlichkeit für alle ihre Mitglieder entfalten und wie sie durch eine Geschäftsstelle darin unterstützt werden können. Dabei ist vor allem an Be- schlüsse gedacht, welche die Verfahren oder die materiell-rechtlichen Voraussetzungen von 11   Das Recht oder rechtliche Erwägungen spielen allerdings bei diesem zweiten Schritt und anderes als beim ersten und dritten Schritt allenfalls eine untergeordnete Rolle. 12   Die oben unter A.II genannten Kooperationsgegenstände (Übertragung von Befugnissen, Statuierung forma- ler Anforderungen und die Auslegung materiell-rechtlicher Voraussetzungen) betreffen alle die Entschei- dungsebene des Verwaltungshandelns. 14
14

datenschutzrechtlichen Befugnissen (z.B. deren Auslegung) betreffen, die von der jeweiligen Aufsichtsbehörde durchgeführt bzw. ausgeübt werden. Projiziert man die unter A.III dargestellten methodischen Schritte auf diesen Gegenstand der Kooperation, bietet sich folgender Fortgang der Untersuchung an: In einem ersten Schritt (Teil B) sind die Grenzen für eine solche Kooperation, d.h. für eine verbindliche Beschlussfassung oder auch für angrenzende Kooperationsgegenstände, zu ziehen bzw. zu definieren. Solche Grenzen ergeben sich vorliegend vor allem aus dem Recht der EU und dem Verfassungsrecht des Bundes und der Länder. Diese Rechtsebenen werden (jeden- falls) im Ausgangspunkt – und anders als das gesetzliche und untergesetzliche Gesetzesrecht – als den Kooperationsbeteiligten nicht zur Disposition stehend bzw. gestaltbar angesehen, weil ganz erhebliche Hürden der Verwirklichung überwunden werden müssten. Soweit sich in diesem ersten Schritt ein rechtlich zulässiger Spielraum für eine Kooperation (insbesondere in Form einer gemeinsamen, verbindlichen Beschlussfassung) ergibt, stellt sich in einem zweiten Schritt (Teil C) die – eher nicht-rechtliche, sondern organisatorisch-prakti- sche – Frage nach einer zweckmäßigen Ausgestaltung des Kooperationsgegenstandes und nach den Folgen, also etwa welche Abstimmungsmodalitäten zielführend wären, inwieweit Struktu- ren der verbindlichen Beschlussfassung organisatorisch und ressourcenbezogen unterfüttert werden müssen, um effektiv zu werden (z.B. durch die Einrichtung einer Geschäftsstelle mit eigenen Ressourcen). Solche Zweckmäßigkeiten und Folgen sind bereits an dieser Stelle fest- zustellen, weil sie zum Gegenstand der rechtsgestaltenden Betrachtung gehören und in den nachfolgenden dritten Schritt einfließen müssen. Denn nicht nur der Kooperationsgegenstand an sich – z.B. die verbindliche Beschlussfassung –, sondern auch die mit ihm verbundenen Folgen und notwendigen Begleitmaßnahmen – z.B. eine den Prozess der Beschlussfassung or- ganisatorisch stützende Geschäftsstelle – müssen ggf. auch rechtlich ausgestaltet und umgesetzt werden. Diese Rechtsgestaltung steht im dritten, abschließenden Schritt (Teil D) im Mittelpunkt. Es wird für einige zentrale Elemente erörtert, wie die in Betracht kommende Kooperationslösung rechtlich umgesetzt bzw. ausgestaltet werden kann, insbesondere um ihr in der Verwaltungs- praxis Rechtssicherheit und Effektivität zu verleihen. Teil E fasst die wesentlichen Ergebnisse des Gutachtens zusammen. Der Einleitung vorangestellt findet sich eine Zusammenfassung zum Ergebnis. 15
15

16
16

B. Rechtliche Grenzen einer Kooperation I.     Aufbau Wie jedes andere staatliche Verwaltungshandeln ist auch kooperatives Handeln zwischen den Mitgliedern der DSK an Recht und Gesetz gebunden (Art. 20 III GG). Das kooperative Han- deln, also etwa das hier interessierende verbindliche Beschlussfassen, darf also nicht im Wider- spruch zu Vorschriften, insbesondere der Verfassung des Bundes und der Länder, des EU- Rechts und des einfachen Gesetzesrechts, stehen (Vorrang der Verfassung und des Geset- 13 zes). Im Ausgangspunkt ist festzuhalten, dass weder das EU-Recht, das Grundgesetz noch das ein- 14 fache Gesetzesrecht ein ausdrückliches oder gar striktes Kooperationsverbot normieren. Gleiches gilt – soweit nach kursorischer Prüfung ersichtlich – für die Landesverfassungen. Im Gegenteil: in einer föderalen Staatsstruktur ist Kooperation zwischen den Rechtsträgern und 15 ihren Organen inbegriffen. Von daher geht es bei der Suche nach Grenzen der Kooperation von vornherein um das zulässige Maß an Kooperation, das sich im Sinne praktischer Kon- kordanz aus den – je nach Kooperationsgegenstand – einschlägigen Kompetenz- und Organi- sationsnormen oder sonstigen zwingenden Vorschriften insbesondere der Verfassungen von 16 Bund und Ländern ableiten lässt. Wegen der starken europarechtlichen Prägung des Daten- schutzrechts und der Datenschutzaufsichten kann auch das Primär- und Sekundärrecht der Union der Kooperation Grenzen ziehen. Um in diesem Sinne die Grenzen und damit die Spielräume für eine Ausweitung der Koopera- tion der Datenschutzaufsichten auszuloten, wird zunächst das Primär- und Sekundärrecht der Europäischen Union untersucht und auf die vorliegenden Ziele einer Kooperation insbe- sondere in Form verbindlicher Beschlussfassungen angewandt (dazu II). Anschließend wird das deutsche Verfassungsrecht, und zwar hier das Grundgesetz (dazu III und – allerdings nur an- deutend – die Landesverfassungen (dazu IV) auf Grenzziehungen hin untersucht. Der Schwer- punkt liegt hierbei auf der Erläuterung des sog. Verbots der Mischverwaltung und der Aus- lotung seiner Spielräume auf die vorliegenden Kooperationsziele. II.    Europarechtliche Grenzen der Kooperation Grenzen für die Einrichtung und Ausgestaltung der Datenschutzaufsicht in den Mitgliedstaaten könnten sich zunächst aus dem Primär- und dem Sekundärrecht der Europäischen Union erge- ben. Die Überwachung und Durchsetzung der datenschutzrechtlichen Vorschriften ist im europäi- schen Primärrecht in Art. 8 III GrCh und Art. 16 II 3 AEUV garantiert. Zwar regelt die DSGVO kein einheitliches europäisches Verwaltungsverfahren, das bei der Ausübung der Befug- 13   Jarass, in: ders./Pieroth (Hrsg.), GG (Kommentar), 16. Aufl. 2020, Art. 20 Rn. 53 m.w.N. 14   Vgl. Schoch, in ders./Schneider (Hrsg.), Verwaltungsverfahrensgesetz: VwVfG (Kommentar), Werkstand: Grundwerk Juli 2020, Einleitung Rn. 484. 15   Trute, in: v. Mangoldt/Klein/Starck (Hrsg.), GG (Kommentar), 7. Aufl. 2018, Art. 83 Rn. 36. 16   Vgl. Volkmann/Kaufhold, in: v. Mangoldt/Klein/Starck (Hrsg.), GG (Kommentar), 7. Aufl. 2018, Art. 91a Rn. 32 m.w.N. 17
17

nisse der Datenschutzaufsichtsbehörden anzuwenden wäre, weshalb vor allem das Verfahrens- 17 recht des jeweiligen Mitgliedstaats zum Tragen kommt (vgl. Art. 58 IV DSGVO). Im Sinne eines Grundrechtsschutzes durch Organisation und Verfahren stellt die DSGVO, welche den Gestaltungsauftrag des europäischen Verfassungsgebers aufnimmt, einzelne Anforderungen an die für den Datenschutz zuständigen Aufsichtsbehörden, um den Grundrechtsschutz effektiv zu gewährleisten. Eine zentrale Anforderung ist die Unabhängigkeit, die einer hier in Rede ste- henden Kooperation Grenzen ziehen könnte, soweit Kooperation ja auch immer bedeutet, Ent- scheidungen nicht mehr allein treffen zu können und sich in Abhängigkeit von Handeln anderer zu bringen (dazu 1). Ähnliches könnte sich aus den ungeschriebenen Anforderungen der Ef- fektivität und Effizienz (dazu 2) und der Äquivalenz (dazu 3) ergeben. Schließlich ist zu prü- fen, ob die Vorgaben zur mitgliedschaftlichen Gliederung der Aufsichtsverwaltung und zur Gewährleistung des Kohärenzverfahrens einer stärkeren Kooperation der Datenschutzauf- sichtsbehörden Grenzen ziehen (dazu 4). 1.     Unabhängigkeit der Aufsichtsbehörden Gemäß Art. 51 I DSGVO sieht jeder Mitgliedstaat vor, dass eine oder mehrere unabhängige Behörden für die Überwachung der Anwendung der DSGVO zuständig sind, damit die Grund- rechte und Grundfreiheiten natürlicher Personen bei der Verarbeitung geschützt werden und der freie Verkehr personenbezogener Daten in der Union erleichtert wird. Die Unabhängigkeit der Aufsichtsbehörden gehört also zu den grundlegenden Anforderungen an die Ausgestal- tung der Aufsichtsbehörden und bildet so einen wesentlichen Bestandteil des Schutzes natürli- cher Personen bei der Verarbeitung personenbezogener Daten (vgl. EG 117). Hieran knüpft Art. 52 DSGVO an und bestimmt in Abs. 1, dass jede Aufsichtsbehörde bei der 18 Erfüllung ihrer Aufgaben und bei der Ausübung ihrer Befugnisse völlig unabhängig handelt. Abs. 2 konkretisiert, dass das Mitglied oder die Mitglieder jeder Aufsichtsbehörde bei der Er- füllung ihrer Aufgaben und der Ausübung ihrer Befugnisse weder direkter noch indirekter Beeinflussung von außen unterliegen und weder um Weisung ersuchen noch Weisungen ent- gegen nehmen dürfen. Entsprechende einfachgesetzliche Bestätigungen finden sich in 19 § 10 I BDSG und in den Datenschutzgesetzen der Länder. Auch Abs. 3 des Art. 52 DSGVO konkretisiert die geforderte Unabhängigkeit, indem jeder Mitgliedstaat sicher zu stellen hat, dass jede Aufsichtsbehörde mit den personellen, technischen und finanziellen Ressourcen, Räumlichkeiten und Infrastrukturen ausgestattet wird, die sie benötigt, um ihre Aufgaben und 20 Befugnisse effektiv wahrnehmen zu können. Es ist aber auch der Abs. 3, der daraufhin hin- deutet, dass die geforderte Unabhängigkeit nicht jede Kooperation grundsätzlich aus- schließt, denn die geforderte Ausstattung soll nach dem Wortlaut der Norm auch die Amtshilfe, die Zusammenarbeit und die Mitwirkung im Ausschuss sicherstellen. Dennoch stellt sich die Frage, ob die nach Artt. 51 I, 52 DSGVO geforderte Unabhängigkeit gewahrt sein kann, wenn 17   EuGH, Urt. v. 1.10.2015 – C-230/14, ECLI:EU:C:2015:639, Rn. 50; EuGH, Urt. v. 28.7.2016 – C-191/15,, ECLI:EU:C:2016:612, Rn. 74 ff. Im Anschluss an Art. 58 Abs. 4 DSGVO spezifiziert EG 129 die Anforde- rungen an das mitgliedstaatliche Verfahrensrecht durch teils recht detaillierte Vorgaben, die neben allgemei- nen Aussagen zur Verhältnismäßigkeit von Maßnahmen auch Aussagen über rechtliches Gehör, angemes- sene Fristen und überflüssige Kosten treffen. 18   Siehe eine Darstellung der EuGH-Rechtsprechung zum Erfordernis der völligen Unabhängigkeit der Daten- schutzaufsicht bei Kibler, Datenschutzaufsicht im europäischen Verbund, 2020, § 2 (S. 99 ff). 19   S. z.B. § 10 Abs. 2 BInDSG; § 21 LDSG (BW); § 8 Abs. 2 HDSIG; § 14 Abs. 1 LDSG (RLP). 20   Näher zu den Grundsätzen der Unabhängigkeit und Effektivität und ihrer Verschränkung, Kibler, Daten- schutzaufsicht im europäischen Verbund, § 2 (S. 95 ff). 18
18

eine Aufsichtsbehörde im Rahmen eines Gremiums an gemeinsamen Entscheidungen mitwirkt und sich für ihr weiteres Handeln an diese Entscheidungen bindet. Was unter Unabhängigkeit zu verstehen ist, hat der EuGH in mehreren Entscheidungen kon- 21 kretisiert. Aus der Unabhängigkeit folgt bereits der Ausschluss jeder Gefahr einer politi- schen oder privaten Einflussnahme. Daraus ergibt sich insbesondere eine völlige Weisungs- freiheit gegenüber staatlichen Institutionen, also etwa keine Eingliederung in die normalerweise 22 im Verwaltungsrecht übliche Aufsichtsstruktur. Die in Art. 52 DSGVO verlangte Unabhän- gigkeit zielt also in erster Linie auf eine institutionelle Unabhängigkeit der Aufsichtsbehörden von der Regelverwaltung, wie sie sich nach deutschem Verständnis von der Regierung ausge- hend legitimiert. Telos ist der Schutz vor Einflussnahme durch öffentliche Stellen wie insbe- sondere der Regierung, die selbst Adressaten der Kontrollpflichten der Aufsichtsbehörden sind. Die Unabhängigkeit ist schon dann verletzt, wenn die bloße Gefahr der politischen Einfluss- 23 nahme besteht. Dies zeigt erneut, dass mit der Anforderung der völligen Unabhängigkeit nicht jegliche Koope- ration unterbunden werden soll. Die Aufsichtsbehörde soll vielmehr nicht mit solchen Akteuren in organisatorischem Zusammenhang agieren, zu denen sie in einer Kontrollbeziehung steht. Kooperation und Zusammenarbeit im Übrigen – also zwischen den Datenschutzaufsichtsbehör- den – ist aber nicht ausgeschlossen, wie auch in Art. 52 III DSGVO zum Ausdruck kommt. Betrachtet man mögliche Beschränkungen der Unabhängigkeit durch kooperatives Mitwirken, stellt sich die oben dargestellte Zielvorstellung einer DSK 2.0 als eine eher milde Beschrän- kung der Unabhängigkeit dar, wenn man eine solche überhaupt annehmen will. Sie geht über eine reine Beratung und einen reinen Austausch der Aufsichtsbehörden hinaus. Eine solche Art und Intensität des Zusammenwirkens bedroht typischerweise die Unabhängigkeit nicht: Sie führt zu einer Vermehrung des Wissens, zur Berücksichtigung von unterschiedlichen Interessen und zur gesamtheitlichen Positionierung. Unabhängigkeit bedeutet nicht Isolation. Umgekehrt wäre eine Ausgestaltung in der Form, dass die Entscheidungshoheit sowohl im Einzelfall als auch im allgemeinen Bereich der Auslegung und Interpretation auf die DSK 2.0 übertragen würde, als problematisch einzustufen. Die Institutionalisierung der DSK 2.0 bleibt aber hinter diesem Szenario deutlich zurück: Sie dient der Vereinheitlichung der Rechtsauffassungen und sorgt damit insgesamt für eine berechenbare, vorhersehbare und abgestimmte Vorgehensweise der Aufsichtsbehörden, ohne deren Handlungsspielraum erheblich zu beschränken. Die damit notwendig einhergehende – einer Kooperation gerade inhärente – Mitsteuerung der einzelnen Datenschutzaufsichtsbehörde durch die Kooperation (z.B. durch verbindliche Be- schlüsse der Kooperation zur Auslegung einer datenschutzrechtlichen Bestimmung) findet al- lerdings ihre Grenze unter dem Gesichtspunkt der Unabhängigkeit darin, dass die Entscheidun- gen und das Handeln der Kooperation ihrerseits in völliger Unabhängigkeit erfolgen muss. An- dernfalls bestünde die Gefahr, dass – vermittelt über die Kooperation – solche Akteure und Stellen auf die Einzelmaßnahmen der Datenschutzaufsichtsbehörden einwirken, deren Einfluss durch die europarechtlich gebotene Unabhängigkeit der Datenschutzaufsichtsbehörden gerade ausgeschlossen werden soll, etwa weil sie zu diesen Akteuren und Stellen in einer Kontrollbe- ziehung stehen. 21   EuGH, Urt. v.09.03.2010 - Rs. C-518/07 (Kommission/Deutschland), ECLI:EU:C:2010:125; EuGH, Urt. v. 16.10.2012 - C-614/10 (Kommission/Österreich), ECLI:EU:C:2012:631; EuGH, Urt. v. 8.4.2014 - C-288/12 (Kommission/Ungarn), ECLI:EU:C:2014:237. 22   EuGH, Urt. v. 09.03.2010 – Rs. C-518/07, ECLI:EU:C:2010:125. 23   EuGH, Urt. v. 8.4.2014 – C-288/12, Rn. 53, ECLI:EU:C:2014:237. 19
19

So würde sich – und dies ist auch die Intention einer Stärkung der Kooperation durch die DSK 2.0 – ein Beschluss der DSK 2.0 zur Auslegung einer datenschutzrechtlichen Bestimmung über eine Einzelfallentscheidung der einzelnen Aufsichtsbehörde mittelbar außenwirksam auch auf die Adressaten der Entscheidung auswirken, wenn der Beschluss für die Aufsichtsbehörde verbindlich ist. Dementsprechend wäre es jedenfalls denkbar, dass Adressaten von Einzelfall- entscheidungen versuchen könnten, auf Beschlüsse der DSK Einfluss zu nehmen, um so mit- telbar auf sie betreffende Einzelfallentscheidungen der jeweiligen Datenaufsichtsbehörde ein- zuwirken. Aus Artt. 51 III 3, 52 DSGVO folgt somit, dass auch die Kooperation die Anfor- derungen für eine völlige Unabhängigkeit erfüllen muss. Unabhängige Datenschutzauf- sichtsbehörden müssen auch in der Kooperation unabhängig sein, um ihre eigene Unabhängig- keit nicht zu verlieren. Daher ist die DSK 2.0 ihrerseits als Kooperationseinrichtung explizit mit Unabhängigkeit auszustatten, auch wenn die Mitglieder sämtlich ohnehin unabhängig im Sinne des Europarechts sind. Auch ist sicherzustellen, dass nicht etwa über eine mögliche Dienstherreneigenschaft des Rechtsträgers der DSK 2.0 eine gewisse Einflussnahme und damit womöglich eine Verletzung der Unabhängigkeit erreicht werden kann. Das Problem mittelbarer Einflussnahme stellt sich in ähnlicher Weise für den EDSA im Verhältnis zu den nationalen Aufsichtsbehörden. An den EDSA werden im Rahmen des Kohä- renzverfahrens nach Art. 65 DSGVO Entscheidungsbefugnisse der Aufsichtsbehörden der Mit- gliedstaaten übertragen, so dass diese durch die Verbindlichkeit der Entscheidungen des EDSA in ihrer Unabhängigkeit eingeschränkt sind. Gleichwohl wird allgemein angenommen, dass da- 24 mit keine Verletzung der Unabhängigkeit der Aufsichtsbehörden einhergeht. Begründet wird dies damit, dass zum einen der EDSA selbst mit Unabhängigkeit ausgestattet ist und zum anderen damit, dass die Kohärenzentscheidung dazu führe, dass die Behörde zwar in ihrer Ent- scheidung eingeschränkt sei, gleichwohl aber immer noch in der Zuständigkeit unbeschränkt 25 agiere. Denn Herrin des jeweiligen aufsichtsbehördlichen Verfahrens bleibt die jeweilige Auf- sichtsbehörde; sie ist lediglich inhaltlich durch die Entscheidungen des EDSA insoweit be- schränkt, wie dieser eine Entscheidung im Verfahren der Streitbeilegung getroffen hat. Vergleicht man die Vorstellungen zu einer DSK 2.0 mit der rechtlichen Ausgestaltung des EDSA, wird deutlich, dass eine potentielle Gefährdung der Unabhängigkeit der Aufsichtsbe- hörden durch die vorgesehene Kooperation in geringerem Maße eintritt als beim EDSA. Denn der Hauptanwendungsbereich verbindlicher Maßnahmen durch den EDSA betrifft nach Art. 65 I DSGVO konkrete Einzelmaßnahmen. Das aufwendige und die Unabhängigkeit grund- 26 sätzlich einschränkende Streitbeilegungsverfahren führt dazu, dass die handelnde Aufsichts- behörde in ihren konkreten Handlungsmöglichkeiten erheblich reduziert wird. Jedenfalls dort, wo ein verbindlicher Beschluss des EDSA vorliegt, sind wesentliche Inhalte der Einzelentschei- dung vorgegeben und verbleibt den Aufsichtsbehörden nur noch ein geringer Handlungsspiel- raum. Ein Abweichen von den Vorgaben des EDSA ist also gerade nicht vorgesehen; die Auf- sichtsbehörde muss sich insoweit für den konkreten Einzelfall unterordnen. Im Vergleich dazu wäre eine DSK 2.0, wie sie diesem Gutachten als Zielvorstellung zu Grunde liegt, anders und weniger beschränkend ausgestaltet als der EDSA. Sie beschränkt sich auf die Vorgabe von Auslegungen und Interpretationen, überlässt aber die Ausgestaltung des Ver- fahrens und die eigentliche Einzelentscheidung unverändert den einzelnen Aufsichtsbehörden. 24   Spiecker gen. Döhmann, in: Simitis/Hornung/Spiecker gen. Döhmann (Hrsg.), Datenschutzrecht (Kommen- tar), 2019, Art. 64 DSGVO Rn. 2. 25   Spiecker gen. Döhmann, in: Simitis/Hornung/Spiecker gen. Döhmann (Hrsg.), Datenschutzrecht (Kommen- tar), 2019, Art. 64 DSGVO Rn. 2. 26   Vgl. Spiecker gen. Döhmann, in: Simitis/Hornung/Spiecker genannt Döhmann (Hrsg.), Datenschutzrecht (Kommentar), 2019, Art. 65 DSGVO, Rn. 1. 20
20

Zur nächsten Seite