Unterschiede zwischen den Revisionen 1 und 55 (über 54 Versionen hinweg)
Revision 1 vom 2011-01-12 14:08:40
Größe: 1122
Autor: anonym
Kommentar:
Revision 55 vom 2020-10-10 09:36:55
Größe: 19699
Autor: anonym
Kommentar: DSR -> JI-RL
Gelöschter Text ist auf diese Art markiert. Hinzugefügter Text ist auf diese Art markiert.
Zeile 1: Zeile 1:
<<TableofContents>>

= Datenschutzbeauftragter =

== Grundsätzliches ==

Nach den Datenschutzgesetzen sind die Behörden und Unternehmen (ab einer bestimmten Größe) einen Datenschutzbeauftragten zu stellen. Kontrolliert werden sie von den Datenschutzbeuaftragten des Bundes und der Länder.

== Bundesbeauftragter für Datenschutz ==

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) ist der Beauftragte des Bundes sowohl für den Datenschutz, als auch (seit Inkrafttreten des Informationsfreiheitsgesetzes des Bundes zum 1. Januar 2006) für die Informationsfreiheit.

[[http://www.bfdi.bund.de|Webseite des BfDI]]

== Datenbeauftragte der Länder ==

Der Landesbeauftragte für den Datenschutz (LfD, auch Landesdatenschutzbeauftragter) ist der Datenschutzbeauftragte eines deutschen Bundeslands. Er überwacht und berät die öffentlichen Stellen des Landes in Fragen des Datenschutzes. Im Rahmen dieser Aufgabenerfüllung ist er unabhängig, weisungsfrei und nur dem Gesetz unterworfen.

[[http://datenschutz-ratgeber.info/aufsichtsbehoerden.html|Links zu den LfDI]]		 <<TableOfContents>>

= Grundsätzliches =

Der Begriff „Datenschutzbeauftragte“ (im Folgenden in der Regel BfD) hat
zwei sehr verschiedene Bedeutungen, und es ist schon fast böser Wille,
dass das gleiche Wort für beide verwendet wird.

== Behördliche BfDs ==

Behördliche oder betriebliche Datenschutzbeauftragte nach Art. 37ff
DSGVO bzw. Art. 32ff der JI-RL sind Personen, die von den jeweiligen
Leitungen ernannt werden Ihre Aufgaben werden in Art 34ff umschrieben;
die Kurzfassung ist: „Behördliche Bf``Ds sind dafür da, dass sich Chefs
und andere Mitarbeiter_innen nicht um Datenschutz kümmern müssen”. In
der Tat gilt es zumindest im Arbeitsrecht als ausgemacht, dass
betriebliche Bf``Ds als ausführende Organe der Unternehmensseite keine
Vertrauenspersonen für die Mitarbeitenden sind.

Zumindest vor der DSGVO waren behördliche Bf``Ds recht häufig Leute, die
aufs Abstellgleis geschoben wurden. Alternativ haben auch externe
Firmen oder Dienststellen (z.B. ZENDAS für die Unis in
Baden-Württemberg) diesen Job gemacht. Im letzteren Fall gab es zwar
durchaus Kompetenzen im Datenschutz, die Einrichtungen hüteten sich
aber, allzu forsch für Datenschutz einzutreten, da immer das
Damoklesschwert des Auftragsentzugs über ihnen schwebte. Die
Entwicklung unter Vorzeichen der DSGVO bleibt abzuwarten.

Im Bereich der Polizeidatenbanken habt ihr beim AuskunftErsuchen in der
Regel mit den behördlichen Bf``Ds zu tun; diese bearbeiten die Anfrage,
laufen hinter den jeweiligen Dienststellen her und formulieren am Ende
den Brief. Sie sind dabei fast immer mehr auf der Seite der Behörde als
auf der Seite des Datenschutzes.


== Aufsichtsbehörden ==

Die Landes- oder Bundesbeauftragten für Datenschutz (LfD, BfDI) sind die
Aufsichtsbehörden nach Kapitel VI DSR (oder analog Kapitel IV der DSGVO
außerhalb des Repressionsbereichs). Dies sind Stellen, die zwar
normalerweise drastisch unterbesetzt sind und inzwischen gerne mit eher
autoritär gesinnten Personen besetzt werden, aber dennoch im
Wesentlichen dem Datenschutz verpflichtet sind. Selbst Menschen wie
Andrea Voßhoff, die 2014 als Befürworterin der Vorratsdatenspeicherung
BfDI wurde, entwickelte im Amt relativ schnell Rudimente
bürgerrechtlicher Instinkte. Ein mahnendes Gegenbeispiel war Jörg
Klingbeil als baden-württembergischer LfD, der während seiner ganzen
Amtszeit 2008-2016 nie das autoritäre Erbe seiner Arbeit im
Innenministerium hatte ablegen können.

Beschwerden bei ihnen können durchaus sinnvoll sein und führen dann und
wann auch tatsächlich zu Abhilfe bei groben Misständen. Wunder sind
von ihnen natürlich nicht zu erwarten – die, für ihre Verhaltnisse,
„nukleare“ Option, nach Artikel 47 (2c) DSR ein EDV-Vefahren kurzerhand
zu verbieten, haben sie (auch nach analogen Vorläufernormen) praktisch
nie genutzt. Rügen in den Berichten haben aber gelegentlich doch
Wirkungen.


= Bundesbeauftragte für Datenschutz =

Die [[http://www.bfdi.bund.de|Bundesbeauftragte für den Datenschutz und die Informationsfreiheit]]
(BfDI) ist für die Datenschutzaufsicht bei Bundesbehörden und anderen
auf nationaler Ebene operierenden Entietäten (etwa
Telekommunikationsunternehmen oder der Bahn) ebenso zuständig wie
seit Inkrafttreten des Informationsfreiheitsgesetzes [[IFG]] des Bundes 2006
für die Informationsfreiheit in diesem Rahmen.

Seit 1.1.2016 ist die BfDI eine unabhängige oberste Bundesbehörde; zuvor war
sie trotz langjähriger Kritik auch europäischer Stellen (vgl. unten) Teil
ausgerechnet des konsequent bürgerrechtsfeindlichen Innenministeriums.

Im <<Doclink(2015-BfDI-tb25.pdf,25. TB (2015))>> diskutiert die BfDI
selbst die neuen Regelungen; darin beklagt sie unter anderem, dass die
BRD hier (wie üblich, wenn es um Menschenrechte geht) nur die
„unabdingbaren Mindestanforderungen, die das europäische Recht
aufstellt“ erfüllt. Neben einer angemessenen materiellen Ausstattung
fehlt ihr auch die Möglichkeit zur Einrichtung von Außenstellen oder
etwa die Möglichkeit, bei schweren Verstößen Bußgelder im Telekombereich
zu verhängen.

Tief blicken lässt auch der Bericht der BfDI, der Regierungsentwurf habe
ursprünglich eine Pflicht vorgesehen, ihre Stellungnahmen bei Gericht
oder im Gesetzgebungsprozess mit der Bundesregierung abzustimmen.
Immerhin das ist im Gesetzgebungsprozess abgebogen worden.


== BfDI in der Praxis ==

=== Der Fall Gössner ===

Ende 2008 wurde nach 38 Jahren die Langezeitbeobachtung durch den Bundes-VS von
[[http://www.ilmr.de/2008/11/18/geheimdienstliche-langzeit-beobachtung-von-rolf-gossner-mit-sofortiger-wirkung-eingestellt|Rolf Gössner]]
eingestellt (oder so ähnlich; der Fall selbst ging noch endlos weiter, aber das
ist eine andere Sache). Dieses geschah erst, nachdem er Klage gegen die
Beobachtung durch den Verfassungsschutz eingereicht hatte. Laut
[[http://www.stern.de/politik/deutschland/verfassungsschutz-schlapphuete-sehen-rot-612872.html|Stern vom 7.03.2008]]
hatte der BfDI die Beobachtung nicht beanstandet.

Entgegen häufiger anwaltlicher Einschätzung ist also die Beurteilung eines
Sachverhalts durch xfDs nicht immer ein sicherer Indikator für ein
späteres Urteil.



=== Rügen aus der EU ===

Im März 2011
[[http://www.unwatched.org/20110327_Kritik_an_Abhaengigkeit_deutscher_Datenchutzbehoerden|kritisiert die EU-Justizkommissarin]]
zum wiederholten Mal die BRD, weil die xfDs dort zu nah an der
Exekutive stehen – im (typischen) Fall des BfDI war die Behörde gar
Teil des konstant auf Bürgerrechtsabbau drängenden Innenministeriums.

Der EuGH hat dann 2010, 2012 und 2014 drei Urteile (nacheinander gegen
die BRD, Österreich und Ungarn) gefällt, die jeweils die
Datenschutzbehörden der jeweiligen Länder für unzureichend befanden.
Beim 2010er-Urteil wieselte sich die Regierung noch raus, erst nach dem
2012er-Urteil bequemte sich die Regierung, den menschenrechtlichen
Appellen der EU-Gerichtsbarkeit nachzukommen. Das Ergebnis war ein
Gesetz, das die BfDI zu einer (wenn auch der bei weitem kleinsten)
obersten Bundesbehörde macht.

Die Geschichte wird auch Sicht der BfDI in ihrem
<<Doclink(2015-BfDI-tb25.pdf,25. TB (2016))>>, 2.4, behandelt.

= Datenschutzbeauftragte der Länder =

Die Landesbeauftragten für den Datenschutz und Informationsfreiheit
(LfDI, auch Landesdatenschutzbeauftragte) überwachen und
beraten die öffentlichen Stellen der [[Datenbanken auf Länderebene|Länder]]
in Fragen des Datenschutzes (in den meisten
Ländern sind sie auch für den nichtöffentlichen Bereich zuständig). Im
Rahmen dieser Aufgabenerfüllung sind sie (auf dem Papier) unabhängig,
weisungsfrei und nur dem Gesetz unterworfen.

== Problematik der mangelnde Unabhängigkeit ==

Traditionell waren die meisten Landesbehörden für Datenschutz den
Innenministerien angegliedert, womit die die Unabhängigkeit bei den
Sachbearbeiter_innen in der Regel nur auf dem Papier stand. Dennoch
wuchsen viele Lf``Ds in ihren Ämtern.

Es waren etliche Urteile des Europäischen Gerichtshofs
nötig, bis sich die Länder bewegt haben –
Schleswig-Holstein gebührt Lob, weil es mit seinem ULD in der
Hinsicht als einziges Land von Anfang an das Richtigte getan hat.

Die entsprechenden Gesetzesänderungen liefen in der Regel in den Jahren zwischen 2009 und 2014, so etwa in [Berlin]] 2010
([[http://www.heise.de/newsticker/meldung/Datenschutzaufsicht-in-Berlin-wird-unabhaengig-1192890.html|heise dazu]]) und in Rheinland-Pfalz 2011
([[http://www.datenschutz.de/news/detail/?nid=4810|datenschutz.de dazu]]).

== Personal ==

Das
[[http://www.xamit-leistungen.de/downloads/XamitDatenschutzbarometer2011.pdf|Datenschutzbarometer 2011]]
der Xamit GmbH gab einen Überblick über den Personalstand der
verschiedenen LfDs. Dabei ist zu bedenken, dass zur Kontrolle der
Repressions-EDV nur ein Bruchteil dieser Kapazität genutzt werden kann.
In Klammern jeweils Zahlen für 2010; die Quelle gibt noch Anmerkungen,
die hier unterschlagen sind..

                             
||Bundesland || Stellen öffentlicher Bereich 2011 (2010)||
||Baden-Württemberg || 17,0 (17,0 )||
||Bayern || 26,0 (26,0)||
||Berlin || 22,8 (22,8 )||
||Brandenburg || 14,7 (-)||
||Bremen || k. A. (k. A.)||
||Hamburg || 8,9 (8,9 )||
||Hessen || 24,5 (24,5)||
||Mecklenburg-Vorpommern || 10,0 (13,0)||
||Niedersachsen || 6,0 (-)||
||Nordrhein-Westfalen || 21,75 (29,3 )||
||Rheinland-Pfalz || 13,7 (9,4 )||
||Saarland || 10,0 (-)||
||Sachsen || 14,7 (14,7 )||
||Sachsen-Anhalt || 15,0 (15,0)||
||Schleswig-Holstein || 13,0 (13,5)||
||Thüringen || 13,0 (13,0)||
||Gesamt gemeldet || 231,5||

== Webseiten der LfDIs ==

Übericht: [[http://datenschutz-ratgeber.info/aufsichtsbehoerden.html|Links zu den LfDIs]]

Archiv der Berichte: [[https://www.zaftda.de/|ZAfTDa]].

 * [[http://www.baden-wuerttemberg.datenschutz.de/|LfD BaWü]]
 * [[http://www.datenschutz-bayern.de/|Bayrischer Datenschutzbeauftragter]]
 * [[http://www.datenschutz-berlin.de/|Berliner Datenschutzbeauftragter]]
 * [[http://www.lda.brandenburg.de/cms/detail.php?gsid=5lbm1.c.60066.de&template=start_lda|Brandenburgischer Datenschutzbeauftragter]]
 * [[https://www.datenschutz.bremen.de/|Bremer Datenschutzbeauftragte]]
 * [[http://www.landtag.sachsen.de/en/index.aspx|Sächsischer Datenschutzbeauftragter]]
 * [[http://www.datenschutz.hessen.de/|Hessischer Datenschutzbeauftragter]]
 * [[http://www.lfd.niedersachsen.de/live/live.php?navigation_id=12908&_psmand=48|Niedersächsicher Datenschutzbeauftragter]]
 * [[https://www.ldi.nrw.de/|Datenschutzbeauftragter NRW]]
 * [[http://www.datenschutz.rlp.de/de/|Datenschutzbeauftragter RLP]]
 * [[http://www.thueringen.de/datenschutz/|Datenschutzbeauftragter Thüringen]]
 * [[http://www.datenschutzzentrum.de/|Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein]]
 * [[http://www.bfdi.bund.de/nn_531524/DE/AnschriftenUndLinks/Landesdatenschutzbeauftragte/AnschriftenLandesdatenschutzbeauftragte.html|Links auf die LfDs]]


= Datenschutzaufsicht auf EU-Ebene =

== EDPS ==

Der [[http://www.edps.europa.eu/EDPSWEB/|Europäische Datenschutzbeauftragte]]
(engl. EDPS, European Data Protection Supervisor, frz. Contrôleur européen de
la protection des données, CEPD) ist nach <<Richtline(45/2001)>>
(2018 in Überarbeitung im Hinblick auf die DSGVO) eine unabhängige
Kontrollbehörde der Europäischen Union und soll die EG-Organe und
-Einrichtungen datenschutzrechtlich zu beraten und zu überwachen. Er hat
seinen Sitz in Brüssel und ist seit 2004 Mitglied der Internationalen
Konferenz der Beauftragten für den Datenschutz und den Schutz der
Privatsphäre.

Der
[[https://edps.europa.eu/sites/edp/files/publication/18-03-15_annual_report_2017_en.pdf|Jahresbericht von 2017]]
gibt einen Einblick in seine Arbeit an kurz vor dem Inkrafttreten der
DSGVO. Als die drei Säulen der Arbeit stehen dort:

{{{#!blockquote
 * Supervision: We monitor the processing of personal data by the EU administration and ensure that they comply with data protection rules. Our tasks range from prior checking processing operations likely to present specific risks, to handling complaints and conducting inquiries.
 * Consultation: We advise the European Commission, the European Parliament and the Council on proposals for new legislation and other issues related to data protection.
 * Cooperation: We work with national data protection authorities (DPAs) to promote consistent data protection across the EU. Our main platform for cooperation with DPAs is the Article 29 Working Party (WP29).
}}}

Der EDPS beaufsichtigt insbesondere die „großen Datenbanken” der EU
([[VIS]], [[SIS]], [[CIS]], [[EURODAC]], [[IMI]]). Seit 1.5.2017 ist
der EDPS auch für die Datenschutzaufsicht bei [[Europol]] zuständig.

In diesem Zusammenhang können sich auch Einzelpersonen an den EDPS wenden,
soweit es um Datenschutz bei den EU-Institutionen geht. Wir haben keine
Erfahrung damit, ob das im Umgang mit z.B. Europol eine gute Idee ist
oder nicht und freuen uns über Erfahrungsberichte. Im Bericht für 2017
berichtet der EDPS von 141 Eingaben von Einzelpersonen (2016: 173; 2015:
143; in den zehn Jahren zuvor eher um 100 pro Jahr). Erstaunlicherweise
tauchen in der Aufschlüsselung nach betroffenen Institutionen Europol
und LISA nur jeweils ein Mal auf (aber die Aufschlüsselung ist
offensichtlich unvollständig).

Ein Beispiel für „consultation“ wird in Abschnitt 4.3.3 des 2017er
Berichts gegeben: Dabei hat die Kommission einen Verordnungsentwurf zu
einer Verrechtlichung von [[LISA]] vorgelegt und dort gleich zwei kleine
Bomben für künftigen Abbau von Datenschutz gelegt. Einerseits wurde auf
„Interoperabilität“ der großen Systeme gedrungen (was zumindest mal die
Zweckbindung in Frage stellt), andererseits die Möglichkeit, die
jeweiligen nationalen Komponenten der Systeme ebenfalls bei LISA
anzusiedeln. Dem EDPS ist diese Deregulierung durch die Hintertür
aufgefallen, und er hat (in relativ deutlichen Worten) Alarm geschlagen.

== EDPB ==

Das European Data Protection Board (deutsch: Europäischer
Datenschutzausschuss) wird durch Artikel 68ff DSGVO geregelt. In ihn
entsendet die oberste DSGVO-Aufsichtsbehörde jedes Landes eine_n
Vertreter_in (gewünscht sind „Leiter [...] oder ihren jeweiligen
Vertretern“). Dazu tritt der EDPS. Die Kommission darf zuschauen, aber
nicht mitstimmen.

Art. 70 DSGVO zählt ca. 20 Aufgaben auf, von denen die meisten eher auf
„Bereitstellung von Leitlinien” und „Förderung von” oder die Details der
Akkreditierung von Zertifizierungsstellen hinauslaufen. Ganz groß ist
auch noch „Abgabe einer Stellungnahme“.

So bleibt insbesondere die Feststellung der „Angemessenheit des
Datenschutzniveaus“, nach der weitgehend unkontrolliert Daten in
Drittstaaten fließen dürfen, bei der EU-Kommission (Art. 36 DSR), und
wenigstens bisher wogen Opportunitätserwägungen dabei immer stärker als
Opinions von Hippie-Behörden (ganz drastisch vorgeführt beim „privacy
shield“).

Im Repressionsbereich gibt Art. 51 DSR dem Ausschuss einen
überschaubareren Satz von Quatschkompetenzen („Förderung von
Schulungsprogrammen”).

In Summe ist nicht zu erwarten, dass das EDPB politische Wirkung
entfalten wird.


== Artikel 29-Gruppe („WP29”) ==

Eine nach Artikel 29 der (von der DSGVO ersetzten) Datenschutzrichtline
94/46/EC vorgesehen Arbeitsgruppe, in der Vertreter der nationalen
Datenschutzbehörden, des EDPS und der EU-Kommission zusammensitzen und
sich über Datenschutzfragen beraten. Wird in der DSGVO durch das
[[#EDPB]] ersetzt.

== Artikel 31-Kommission ==

Eine nach Artikel 31 der (von der DSGVO ersetzten) Datenschutzrichtline
94/46/EC vorgesehen Kommission, die von den Regierungen der
Mitgliedsstaaten besetzt wird und insbesondere den Segen gab, dass
Drittstaaten ein „ausrichendes Datenschutzniveau“ haben und also Daten
aus der EU frei dorthin fließen können.


== JSB für Europol und SIS ==

Für supranationale Organisationen, wie [[Europol]] und [[Eurojust]] ist der EU-Datenschutzbeauftragte allerdings nicht zuständig, dafür gibt es Joint Supervisory Bodys ([[JSB]]s). Die noch weniger Einfluss haben als die normalen Datenschutzbeauftragten. Sie setzen sich zusammen aus Mitarbeiter_innen der nationalen Datenschutzbehörden der Mitgliedsstaaten.

 [[http://www.edps.europa.eu/EDPSWEB/edps/site/mySite/pid/79|Liste der JSBs auf der Webseite des EU-Datenschutzbeauftragten]]

= Datenschutzbeauftragte in anderen EU-Ländern =

== Dänemark ==

 [[http://www.datatilsynet.dk/|Dänischer Datenschutzbeauftragter]]

== Finnland ==

 [[http://www.om.fi/1548.htm|Finnischer Datenschutzbeauftragter]]

== Frankreich ==

Die [[http://fr.wikipedia.org/wiki/CNIL|Commission nationale de l'informatique et des libertés]] gibt es seit 1978, das zu Grunde liegende Gesetz ist [[http://fr.wikipedia.org/wiki/Loi_relative_%C3%A0_l%27informatique,_aux_fichiers_et_aux_libert%C3%A9s_du_6_janvier_1978|Loi relative à l'informatique, aux fichiers et aux libertés du 6 janvier 1978]]. Auskunft über gespeicherte Daten bei der Französischen Polizei gibt es laut [[http://www.cnil.fr/vos-libertes/vos-droits/vos-droits-en-questions/|CNIL Webseite]] nur [[indirektes Auskunftsrecht|indirekt]] durch den Französichen Datenschutzbeauftragten. Dieses wird zum Problem bei europäischen Datenbanken wie [[SIS]] und [[Europol]], wenn dort auch Daten von der Französischen Polizei eingegeben wurden (Die Rechte zur Polizeikontrolle des CNIL wurden laut [[http://fr.wikipedia.org/wiki/CNIL#La_CNIL_en_question|Wikipedia Frankreich]] seit 2007 auch eingeschränkt, es gab deswegen eine Besetzung des CNIL um darauf Aufmerksam zu machen).

 [[http://www.cnil.fr/|Französischer Datenschutzbeauftragter]]

== Niederlande ==

College Bescherming Persoonsgegevens

 [[http://www.cbpweb.nl| Niederländischer Datenschutzbeauftragter]]


== UK ==

In [[Datenbanken UK|UK]] ist das Information_Commissioner's_Office für den Datenschutz zuständig. Sie ist eine nationale Behörde, welche direkt dem Parlament berichtet. Sie wird vom Justiz Ministerium finanziert. Sie ist zuständig für England, Wales und Nordirland. Für Schottland ist sie mit Einschränkungen zuständig. Die Rechtsgrundlage ist der WikiPedia:Data_Protection_Act_1998. Das Gesetz und die Kompentenzen des Britischen Datenschutzbeauftragten genügen sogar nach Auffassung der EU-Komission nicht der Europäischen Datenschutzrichtlinie (siehe [[http://www.unwatched.org/20110222_EU-Kommission_kritisiert_britisches_Datenschutzgesetz|unwatched.org]]).

 [[http://www.dataprotection.gov.uk/|Britischer Datenschutzbeauftragter]]

== Schweiz ==

Der [[Datenbanken Schweiz|Schweizerische]] Datenschutzbeauftragte:

 [[http://www.edoeb.admin.ch/|Schweizer Datenschutzbeauftragter]]

== Österreich ==
Die Datenschutzkommission (DSK) ist die für den Datenschutz in [[Datenbanken Austria|Österreich]] zuständige Stelle. Sie ist beim Bundeskanzleramt eingerichtet. Wegen ihrer mangelnden Unabhängigkeit steht sie unter Kritik von Bürgerrechtsorganisationen.

 [[http://www.dsk.gv.at/|Webseite der österreichischen Datenschutzkommission]]

== Spanien ==

In [[Datenbanken Spanien|Spanien]] gibt es einen nationalen Datenschutzbeauftragten
( [[http://es.wikipedia.org/wiki/Agencia_Espnola_de_Proteccion_de_Datos|Agencia Espanola de Proteccion de Datos]] ) und daneben noch Datenschutzbeauftragte für die autonomen Provinzen Katalonien, und das Baskenland.

 [[https://www.agpd.es/portalwebAGPD/index-ides-idphp.php|Spanischer Datenschutzbeauftragter]]

 [[http://www.apdcat.net/ca/index.php|Katalonischer Datenschutzbeauftragter]]

 [[http://www.avpd.euskadi.net/s04-5213/es/|Baskischer Datenschutzbeauftragter]]


== Weitere Datenschutzbeauftragte in Europa ==

Eine Liste mit allen nationalen Datenschutzbeauftragten in Europa befindet sich auf der Webseite des Hessischen LfDI:

 [[http://www.datenschutz.hessen.de/adr_eur.htm#entry1907|Datenschutzbeauftragte in Europa]]

Inhaltsverzeichnis

  1. Grundsätzliches
    1. Behördliche BfDs
    2. Aufsichtsbehörden
  2. Bundesbeauftragte für Datenschutz
    1. BfDI in der Praxis
      1. Der Fall Gössner
      2. Rügen aus der EU
  3. Datenschutzbeauftragte der Länder
    1. Problematik der mangelnde Unabhängigkeit
    2. Personal
    3. Webseiten der LfDIs
  4. Datenschutzaufsicht auf EU-Ebene
    1. EDPS
    2. EDPB
    3. Artikel 29-Gruppe („WP29”)
    4. Artikel 31-Kommission
    5. JSB für Europol und SIS
  5. Datenschutzbeauftragte in anderen EU-Ländern
    1. Dänemark
    2. Finnland
    3. Frankreich
    4. Niederlande
    5. UK
    6. Schweiz
    7. Österreich
    8. Spanien
    9. Weitere Datenschutzbeauftragte in Europa

Grundsätzliches

Der Begriff „Datenschutzbeauftragte“ (im Folgenden in der Regel BfD) hat zwei sehr verschiedene Bedeutungen, und es ist schon fast böser Wille, dass das gleiche Wort für beide verwendet wird.

Behördliche BfDs

Behördliche oder betriebliche Datenschutzbeauftragte nach Art. 37ff DSGVO bzw. Art. 32ff der JI-RL sind Personen, die von den jeweiligen Leitungen ernannt werden Ihre Aufgaben werden in Art 34ff umschrieben; die Kurzfassung ist: „Behördliche BfDs sind dafür da, dass sich Chefs und andere Mitarbeiter_innen nicht um Datenschutz kümmern müssen”. In der Tat gilt es zumindest im Arbeitsrecht als ausgemacht, dass betriebliche BfDs als ausführende Organe der Unternehmensseite keine Vertrauenspersonen für die Mitarbeitenden sind.

Zumindest vor der DSGVO waren behördliche BfDs recht häufig Leute, die aufs Abstellgleis geschoben wurden. Alternativ haben auch externe Firmen oder Dienststellen (z.B. ZENDAS für die Unis in Baden-Württemberg) diesen Job gemacht. Im letzteren Fall gab es zwar durchaus Kompetenzen im Datenschutz, die Einrichtungen hüteten sich aber, allzu forsch für Datenschutz einzutreten, da immer das Damoklesschwert des Auftragsentzugs über ihnen schwebte. Die Entwicklung unter Vorzeichen der DSGVO bleibt abzuwarten.

Im Bereich der Polizeidatenbanken habt ihr beim AuskunftErsuchen in der Regel mit den behördlichen BfDs zu tun; diese bearbeiten die Anfrage, laufen hinter den jeweiligen Dienststellen her und formulieren am Ende den Brief. Sie sind dabei fast immer mehr auf der Seite der Behörde als auf der Seite des Datenschutzes.

Aufsichtsbehörden

Die Landes- oder Bundesbeauftragten für Datenschutz (LfD, BfDI) sind die Aufsichtsbehörden nach Kapitel VI DSR (oder analog Kapitel IV der DSGVO außerhalb des Repressionsbereichs). Dies sind Stellen, die zwar normalerweise drastisch unterbesetzt sind und inzwischen gerne mit eher autoritär gesinnten Personen besetzt werden, aber dennoch im Wesentlichen dem Datenschutz verpflichtet sind. Selbst Menschen wie Andrea Voßhoff, die 2014 als Befürworterin der Vorratsdatenspeicherung BfDI wurde, entwickelte im Amt relativ schnell Rudimente bürgerrechtlicher Instinkte. Ein mahnendes Gegenbeispiel war Jörg Klingbeil als baden-württembergischer LfD, der während seiner ganzen Amtszeit 2008-2016 nie das autoritäre Erbe seiner Arbeit im Innenministerium hatte ablegen können.

Beschwerden bei ihnen können durchaus sinnvoll sein und führen dann und wann auch tatsächlich zu Abhilfe bei groben Misständen. Wunder sind von ihnen natürlich nicht zu erwarten – die, für ihre Verhaltnisse, „nukleare“ Option, nach Artikel 47 (2c) DSR ein EDV-Vefahren kurzerhand zu verbieten, haben sie (auch nach analogen Vorläufernormen) praktisch nie genutzt. Rügen in den Berichten haben aber gelegentlich doch Wirkungen.

Bundesbeauftragte für Datenschutz

Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) ist für die Datenschutzaufsicht bei Bundesbehörden und anderen auf nationaler Ebene operierenden Entietäten (etwa Telekommunikationsunternehmen oder der Bahn) ebenso zuständig wie seit Inkrafttreten des Informationsfreiheitsgesetzes IFG des Bundes 2006 für die Informationsfreiheit in diesem Rahmen.

Seit 1.1.2016 ist die BfDI eine unabhängige oberste Bundesbehörde; zuvor war sie trotz langjähriger Kritik auch europäischer Stellen (vgl. unten) Teil ausgerechnet des konsequent bürgerrechtsfeindlichen Innenministeriums.

Im 25. TB (2015) diskutiert die BfDI selbst die neuen Regelungen; darin beklagt sie unter anderem, dass die BRD hier (wie üblich, wenn es um Menschenrechte geht) nur die „unabdingbaren Mindestanforderungen, die das europäische Recht aufstellt“ erfüllt. Neben einer angemessenen materiellen Ausstattung fehlt ihr auch die Möglichkeit zur Einrichtung von Außenstellen oder etwa die Möglichkeit, bei schweren Verstößen Bußgelder im Telekombereich zu verhängen.

Tief blicken lässt auch der Bericht der BfDI, der Regierungsentwurf habe ursprünglich eine Pflicht vorgesehen, ihre Stellungnahmen bei Gericht oder im Gesetzgebungsprozess mit der Bundesregierung abzustimmen. Immerhin das ist im Gesetzgebungsprozess abgebogen worden.

BfDI in der Praxis

Der Fall Gössner

Ende 2008 wurde nach 38 Jahren die Langezeitbeobachtung durch den Bundes-VS von Rolf Gössner eingestellt (oder so ähnlich; der Fall selbst ging noch endlos weiter, aber das ist eine andere Sache). Dieses geschah erst, nachdem er Klage gegen die Beobachtung durch den Verfassungsschutz eingereicht hatte. Laut Stern vom 7.03.2008 hatte der BfDI die Beobachtung nicht beanstandet.

Entgegen häufiger anwaltlicher Einschätzung ist also die Beurteilung eines Sachverhalts durch xfDs nicht immer ein sicherer Indikator für ein späteres Urteil.

Rügen aus der EU

Im März 2011 kritisiert die EU-Justizkommissarin zum wiederholten Mal die BRD, weil die xfDs dort zu nah an der Exekutive stehen – im (typischen) Fall des BfDI war die Behörde gar Teil des konstant auf Bürgerrechtsabbau drängenden Innenministeriums.

Der EuGH hat dann 2010, 2012 und 2014 drei Urteile (nacheinander gegen die BRD, Österreich und Ungarn) gefällt, die jeweils die Datenschutzbehörden der jeweiligen Länder für unzureichend befanden. Beim 2010er-Urteil wieselte sich die Regierung noch raus, erst nach dem 2012er-Urteil bequemte sich die Regierung, den menschenrechtlichen Appellen der EU-Gerichtsbarkeit nachzukommen. Das Ergebnis war ein Gesetz, das die BfDI zu einer (wenn auch der bei weitem kleinsten) obersten Bundesbehörde macht.

Die Geschichte wird auch Sicht der BfDI in ihrem 25. TB (2016), 2.4, behandelt.

Datenschutzbeauftragte der Länder

Die Landesbeauftragten für den Datenschutz und Informationsfreiheit (LfDI, auch Landesdatenschutzbeauftragte) überwachen und beraten die öffentlichen Stellen der Länder in Fragen des Datenschutzes (in den meisten Ländern sind sie auch für den nichtöffentlichen Bereich zuständig). Im Rahmen dieser Aufgabenerfüllung sind sie (auf dem Papier) unabhängig, weisungsfrei und nur dem Gesetz unterworfen.

Problematik der mangelnde Unabhängigkeit

Traditionell waren die meisten Landesbehörden für Datenschutz den Innenministerien angegliedert, womit die die Unabhängigkeit bei den Sachbearbeiter_innen in der Regel nur auf dem Papier stand. Dennoch wuchsen viele LfDs in ihren Ämtern.

Es waren etliche Urteile des Europäischen Gerichtshofs nötig, bis sich die Länder bewegt haben – Schleswig-Holstein gebührt Lob, weil es mit seinem ULD in der Hinsicht als einziges Land von Anfang an das Richtigte getan hat.

Die entsprechenden Gesetzesänderungen liefen in der Regel in den Jahren zwischen 2009 und 2014, so etwa in [Berlin]] 2010 (heise dazu) und in Rheinland-Pfalz 2011 (datenschutz.de dazu).

Personal

Das Datenschutzbarometer 2011 der Xamit GmbH gab einen Überblick über den Personalstand der verschiedenen LfDs. Dabei ist zu bedenken, dass zur Kontrolle der Repressions-EDV nur ein Bruchteil dieser Kapazität genutzt werden kann. In Klammern jeweils Zahlen für 2010; die Quelle gibt noch Anmerkungen, die hier unterschlagen sind..

Bundesland

Stellen öffentlicher Bereich 2011 (2010)

Baden-Württemberg

17,0 (17,0 )

Bayern

26,0 (26,0)

Berlin

22,8 (22,8 )

Brandenburg

14,7 (-)

Bremen

k. A. (k. A.)

Hamburg

8,9 (8,9 )

Hessen

24,5 (24,5)

Mecklenburg-Vorpommern

10,0 (13,0)

Niedersachsen

6,0 (-)

Nordrhein-Westfalen

21,75 (29,3 )

Rheinland-Pfalz

13,7 (9,4 )

Saarland

10,0 (-)

Sachsen

14,7 (14,7 )

Sachsen-Anhalt

15,0 (15,0)

Schleswig-Holstein

13,0 (13,5)

Thüringen

13,0 (13,0)

Gesamt gemeldet

231,5

Webseiten der LfDIs

Übericht: Links zu den LfDIs

Archiv der Berichte: ZAfTDa.

Datenschutzaufsicht auf EU-Ebene

EDPS

Der Europäische Datenschutzbeauftragte (engl. EDPS, European Data Protection Supervisor, frz. Contrôleur européen de la protection des données, CEPD) ist nach <<Richtline(45/2001)>> (2018 in Überarbeitung im Hinblick auf die DSGVO) eine unabhängige Kontrollbehörde der Europäischen Union und soll die EG-Organe und -Einrichtungen datenschutzrechtlich zu beraten und zu überwachen. Er hat seinen Sitz in Brüssel und ist seit 2004 Mitglied der Internationalen Konferenz der Beauftragten für den Datenschutz und den Schutz der Privatsphäre.

Der Jahresbericht von 2017 gibt einen Einblick in seine Arbeit an kurz vor dem Inkrafttreten der DSGVO. Als die drei Säulen der Arbeit stehen dort:

  • Supervision: We monitor the processing of personal data by the EU administration and ensure that they comply with data protection rules. Our tasks range from prior checking processing operations likely to present specific risks, to handling complaints and conducting inquiries.
  • Consultation: We advise the European Commission, the European Parliament and the Council on proposals for new legislation and other issues related to data protection.
  • Cooperation: We work with national data protection authorities (DPAs) to promote consistent data protection across the EU. Our main platform for cooperation with DPAs is the Article 29 Working Party (WP29).

Der EDPS beaufsichtigt insbesondere die „großen Datenbanken” der EU (VIS, SIS, CIS, EURODAC, IMI). Seit 1.5.2017 ist der EDPS auch für die Datenschutzaufsicht bei Europol zuständig.

In diesem Zusammenhang können sich auch Einzelpersonen an den EDPS wenden, soweit es um Datenschutz bei den EU-Institutionen geht. Wir haben keine Erfahrung damit, ob das im Umgang mit z.B. Europol eine gute Idee ist oder nicht und freuen uns über Erfahrungsberichte. Im Bericht für 2017 berichtet der EDPS von 141 Eingaben von Einzelpersonen (2016: 173; 2015: 143; in den zehn Jahren zuvor eher um 100 pro Jahr). Erstaunlicherweise tauchen in der Aufschlüsselung nach betroffenen Institutionen Europol und LISA nur jeweils ein Mal auf (aber die Aufschlüsselung ist offensichtlich unvollständig).

Ein Beispiel für „consultation“ wird in Abschnitt 4.3.3 des 2017er Berichts gegeben: Dabei hat die Kommission einen Verordnungsentwurf zu einer Verrechtlichung von LISA vorgelegt und dort gleich zwei kleine Bomben für künftigen Abbau von Datenschutz gelegt. Einerseits wurde auf „Interoperabilität“ der großen Systeme gedrungen (was zumindest mal die Zweckbindung in Frage stellt), andererseits die Möglichkeit, die jeweiligen nationalen Komponenten der Systeme ebenfalls bei LISA anzusiedeln. Dem EDPS ist diese Deregulierung durch die Hintertür aufgefallen, und er hat (in relativ deutlichen Worten) Alarm geschlagen.

EDPB

Das European Data Protection Board (deutsch: Europäischer Datenschutzausschuss) wird durch Artikel 68ff DSGVO geregelt. In ihn entsendet die oberste DSGVO-Aufsichtsbehörde jedes Landes eine_n Vertreter_in (gewünscht sind „Leiter [...] oder ihren jeweiligen Vertretern“). Dazu tritt der EDPS. Die Kommission darf zuschauen, aber nicht mitstimmen.

Art. 70 DSGVO zählt ca. 20 Aufgaben auf, von denen die meisten eher auf „Bereitstellung von Leitlinien” und „Förderung von” oder die Details der Akkreditierung von Zertifizierungsstellen hinauslaufen. Ganz groß ist auch noch „Abgabe einer Stellungnahme“.

So bleibt insbesondere die Feststellung der „Angemessenheit des Datenschutzniveaus“, nach der weitgehend unkontrolliert Daten in Drittstaaten fließen dürfen, bei der EU-Kommission (Art. 36 DSR), und wenigstens bisher wogen Opportunitätserwägungen dabei immer stärker als Opinions von Hippie-Behörden (ganz drastisch vorgeführt beim „privacy shield“).

Im Repressionsbereich gibt Art. 51 DSR dem Ausschuss einen überschaubareren Satz von Quatschkompetenzen („Förderung von Schulungsprogrammen”).

In Summe ist nicht zu erwarten, dass das EDPB politische Wirkung entfalten wird.

Artikel 29-Gruppe („WP29”)

Eine nach Artikel 29 der (von der DSGVO ersetzten) Datenschutzrichtline 94/46/EC vorgesehen Arbeitsgruppe, in der Vertreter der nationalen Datenschutzbehörden, des EDPS und der EU-Kommission zusammensitzen und sich über Datenschutzfragen beraten. Wird in der DSGVO durch das #EDPB ersetzt.

Artikel 31-Kommission

Eine nach Artikel 31 der (von der DSGVO ersetzten) Datenschutzrichtline 94/46/EC vorgesehen Kommission, die von den Regierungen der Mitgliedsstaaten besetzt wird und insbesondere den Segen gab, dass Drittstaaten ein „ausrichendes Datenschutzniveau“ haben und also Daten aus der EU frei dorthin fließen können.

JSB für Europol und SIS

Für supranationale Organisationen, wie Europol und Eurojust ist der EU-Datenschutzbeauftragte allerdings nicht zuständig, dafür gibt es Joint Supervisory Bodys (JSBs). Die noch weniger Einfluss haben als die normalen Datenschutzbeauftragten. Sie setzen sich zusammen aus Mitarbeiter_innen der nationalen Datenschutzbehörden der Mitgliedsstaaten.

Datenschutzbeauftragte in anderen EU-Ländern

Dänemark

Finnland

Frankreich

Die Commission nationale de l'informatique et des libertés gibt es seit 1978, das zu Grunde liegende Gesetz ist Loi relative à l'informatique, aux fichiers et aux libertés du 6 janvier 1978. Auskunft über gespeicherte Daten bei der Französischen Polizei gibt es laut CNIL Webseite nur indirekt durch den Französichen Datenschutzbeauftragten. Dieses wird zum Problem bei europäischen Datenbanken wie SIS und Europol, wenn dort auch Daten von der Französischen Polizei eingegeben wurden (Die Rechte zur Polizeikontrolle des CNIL wurden laut Wikipedia Frankreich seit 2007 auch eingeschränkt, es gab deswegen eine Besetzung des CNIL um darauf Aufmerksam zu machen).

Niederlande

College Bescherming Persoonsgegevens

UK

In UK ist das Information_Commissioner's_Office für den Datenschutz zuständig. Sie ist eine nationale Behörde, welche direkt dem Parlament berichtet. Sie wird vom Justiz Ministerium finanziert. Sie ist zuständig für England, Wales und Nordirland. Für Schottland ist sie mit Einschränkungen zuständig. Die Rechtsgrundlage ist der Data_Protection_Act_1998. Das Gesetz und die Kompentenzen des Britischen Datenschutzbeauftragten genügen sogar nach Auffassung der EU-Komission nicht der Europäischen Datenschutzrichtlinie (siehe unwatched.org).

Schweiz

Der Schweizerische Datenschutzbeauftragte:

Österreich

Die Datenschutzkommission (DSK) ist die für den Datenschutz in Österreich zuständige Stelle. Sie ist beim Bundeskanzleramt eingerichtet. Wegen ihrer mangelnden Unabhängigkeit steht sie unter Kritik von Bürgerrechtsorganisationen.

Spanien

In Spanien gibt es einen nationalen Datenschutzbeauftragten ( Agencia Espanola de Proteccion de Datos ) und daneben noch Datenschutzbeauftragte für die autonomen Provinzen Katalonien, und das Baskenland.

Weitere Datenschutzbeauftragte in Europa

Eine Liste mit allen nationalen Datenschutzbeauftragten in Europa befindet sich auf der Webseite des Hessischen LfDI: