4 Min

Ist eine Datenschutzbehörde für jedes Bundesland wirklich notwendig?

Dr. Frank Schemmel
Dr. Frank Schemmel

  • Das System der Datenschutzbehörden in Deutschland ist föderalistisch geprägt.
  • Landesdatenschutzbeauftragte verschiedener Bundesländer können bei der Auslegung von Gesetzen unterschiedliche Ansichten haben.
  • Auch bei der Auslegung der DS-GVO kann es regionale Unterschiede geben.
  • Zahlreiche Instrumente erleichtern die Kooperation der verschiedenen Datenschutzbehörden.
  • Die Kommunikation vereinfacht der sogenannte One-Stop-Shop-Mechanismus, bei dem eine Aufsichtsbehörde der einzige Ansprechpartner für einen Antragsteller ist.

In diesem Beitrag

Datenschutz ist eine komplexe Angelegenheit – die Vielzahl an Datenschutzbehörden in Deutschland macht ihn nicht einfacher. Wir geben Ihnen einen Überblick über die verschiedenen Behörden und deren Zuständigkeiten und erklären, an wen Sie sich im Einzelfall wenden müssen.

Wie ist das System der Datenschutzbehörden in Deutschland aufgebaut?

Da Deutschland ein föderalistischer Staat ist, ist auch Datenschutz weitgehend Sache der Länder. Hier sind Landesdatenschutzbeauftragte für die Umsetzung und Wahrung des Datenschutzes zuständig. Daneben gibt es auf Bundesebene noch den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit. Für Rundfunk und Kirche gibt es wiederum eigene Aufsichtsbehörden.

Die Landesdatenschutzbeauftragten

Jedes Bundesland hat einen Landesdatenschutzbeauftragten. In den meisten Fällen ist dieser sowohl für den öffentlichen als auch für den nichtöffentlichen Bereich zuständig – also sowohl für Behörden und öffentliche Unternehmen als auch für Privatunternehmen, Vereine, Verbände und politische Parteien.

Einzige Ausnahme ist Bayern: Hier ist der Landesdatenschutzbeauftragte ausschließlich für den Datenschutz im öffentlichen Bereich zuständig. Um den nichtöffentlichen Bereich kümmert sich das Landesamt für Datenschutzaufsicht in Ansbach.

Der Bundesdatenschutzbeauftragte

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) wiederum ist für alle Bundesbehörden zuständig. Auch Unternehmen aus dem Telekommunikations- und Postbereich fallen in seinen Zuständigkeitsbereich.

Der Bundesdatenschutzbeauftragte und die insgesamt 17 Landesbehörden bilden zusammen die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder. Diese ermöglicht eine gegenseitige Abstimmung.

Rundfunkdatenschutzbeauftragte

Privatsender gehören der Privatwirtschaft an. Daher sind die jeweiligen Landesdatenschutzbeauftragten der Bundesländer zuständig – im Fall von Bayern ist es das Landesamt für Datenschutzaufsicht. Für die öffentlich-rechtlichen Sender gibt es Rundfunkdatenschutzbeauftragte.

In Deutschland existiert kein zentraler Rundfunkdatenschutzbeauftragter, sondern mehrere regionale. Auch dieser Bereich ist föderalistisch strukturiert. Zum Teil sind die Zuständigkeiten der Rundfunkdatenschutzbeauftragten allerdings so gebündelt, dass sich ein Rundfunkdatenschutzbeauftragter um mehrere Sender kümmert.

Kirchliche Datenschutzbeauftragte

In Deutschland existieren auch gesonderte Datenschutzbehörden für die christlichen Kirchen. Dabei gibt es unterschiedliche Regelungen für die evangelische und die katholische Kirche.

Die evangelische Kirche in Deutschland hat einen Beauftragten für Datenschutz. Eine Ausnahme bildet dabei nur die Nordkirche in Teilen Brandenburgs, in Teilen Hamburgs, in Schleswig-Holstein und in Mecklenburg-Vorpommern, die ihren eigenen Datenschutzbeauftragten hat.

In der katholischen Kirche ist die Situation komplexer: Jede Diözese hat einen eigenen Diözesandatenschutzbeauftragten. Zur Abstimmung untereinander gibt es eine Konferenz der Diözesandatenschutzbeauftragten. Auch der Datenschutzbeauftragte der evangelischen Kirche in Deutschland wird regelmäßig dazu eingeladen.

Daneben gibt es auch noch den Verband der Diözesen Deutschlands, der einen Verbandsdatenschutzbeauftragten benannt hat.

Hieraus wird erkenntlich: Die Struktur der Datenschutzbeauftragten ist in Deutschland viel komplexer als in anderen Ländern, in denen es meist nur eine einzige Aufsichtsbehörde gibt. Das hat vor allem historische Gründe.

Wie ist dieses System der Datenschutzbehörden in Deutschland entstanden?

Das erste Datenschutzgesetz weltweit wurde 1970 in Hessen erlassen. Nach und nach legten auch andere Bundesländer Datenschutzgesetze fest, dann folgten das Bundesdatenschutzgesetz (BDSG) und entsprechende Verordnungen auf europäischer Ebene.

Diese Entwicklungen führten also zur Verabschiedung individueller Landesdatenschutzgesetze für jedes Bundesland. Dies ist durchaus sinnvoll, da in manchen relevanten Bereichen – wie z. B. Bildung oder Polizei – die Zuständigkeit ohnehin bei den Ländern und nicht beim Bund liegt.

Inzwischen gibt es die europäische Datenschutz-Grundverordnung (DS-GVO). Sie gilt für alle Mitgliedsstaaten der Europäischen Union unmittelbar. Dennoch gibt es Ausnahmen, die besagen, dass die Mitgliedstaaten für bestimmte Bereiche auch eigene Regelungen erlassen können. Der deutsche Gesetzgeber nutzte diese Öffnungsklauseln sowohl im BDSG und passte auch die Landesdatenschutzgesetze an die DS-GVO an, sodass sie weiter bestehen können.

Welche Vorteile bietet das deutsche System der Datenschutzbehörden?

Die Landesdatenschutzbeauftragten legen (auch) Bundeslandverordnungen und -gesetze aus. Folglich kennen die Landesdatenschutzbeauftragten die landesspezifischen Regelungen und können entsprechend reagieren. Ein anschauliches Beispiel ist die Datenerfassung im Zuge der Coronakrise. Aufgrund der Pandemie erließen sämtliche Bundesländer Schutzverordnungen, die individuell an die Bedürfnisse des Bundeslandes angepasst waren.

Als nach den Lockerungen der Schutzmaßnahmen zum Beispiel Restaurants, Friseursalons oder Physiotherapiepraxen wieder öffnen durften, wurde in vielen Bundesländern beschlossen, dass Kontaktdaten der Gäste, Kunden oder Patienten aufgenommen werden müssen. Die Landesdatenschutzbeauftragten gaben dabei Hilfestellung und stellten Muster für Erfassungsbögen entsprechend den länderspezifischen Vorgaben zur Verfügung.  

Hätte es in diesem Fall eine einheitliche Bundesbehörde gegeben, hätte diese sich zunächst einen Überblick über die konkreten Schutzverordnungen der einzelnen Bundesländer verschaffen müssen. Da die Landesdatenschutzbeauftragten mit den länderspezifischen Regelungen bereits vertraut waren, konnten sie schneller handeln und darüber hinaus auf die individuelle Lage in den einzelnen Bundesländern eingehen.

Welche Nachteile birgt die föderale Datenschutzstruktur?

Die DS-GVO besagt, dass Datenschutzbehörden unabhängig sein müssen. Die Mitgliedstaaten müssen dies gewährleisten, auch für jede Landesdatenschutz­behörde. Viele Behörden in Deutschland berufen sich auf diese Unabhängigkeit, was zur Folge hat, dass die Landesdatenschutz­beauftragten verschiedene Ansichten zur Auslegung von Gesetzen, insbesondere der DS-GVO, haben können.

Wenn ein Unternehmen Standorte in verschiedenen Bundesländern hat, kann es schwierig werden, ein einheitliches Datenschutzkonzept für die gesamte Firma zu erstellen. Nehmen wir das Beispiel Betriebsrat. Ist er ein eigener datenschutzrechtlich Verantwortlicher oder Teil des Unternehmens? Wenn der Betriebsrat ein eigener Verantwortlicher wäre, müsste er ggf. auch einen eigenen Datenschutzbeauftragten benennen.

Bayern vertritt zum Beispiel die Ansicht, der Betriebsrat sei kein eigener Verantwortlicher, während Baden-Württemberg das genaue Gegenteil annimmt. Für ein Unternehmen, das sowohl in Baden-Württemberg als auch in Bayern Standorte hat, wäre es also schwierig, ein einheitliches Datenschutzkonzept und einheitliche Datenschutz-Governance zu erstellen.

Wie koordinieren die Behörden ihre Arbeit?

Ein Ziel der DS-GVO war die Vereinheitlichung des Datenschutzes in allen EU-Mitgliedstaaten. Die DS-GVO umfasst 99 Artikel, davon befassen sich allein 25 mit den Aufsichtsbehörden und deren Zusammenarbeit. Dieser beachtliche Anteil zeigt, wie wichtig es der europäischen Gesetzgebung war, eine Vereinheitlichung und mehr Koordination zu erreichen. Der Erfolg zeigt sich in der mittlerweile gut geregelten Zusammenarbeit der Aufsichtsbehörden.

Durch das föderale System in Deutschland kann es aber durchaus vorkommen, dass die DS-GVO in den verschiedenen Bundesländern unterschiedlich ausgelegt wird. Dies läuft dem Vollharmonisierungsgedanken der DS-GVO eigentlich zuwider und kann die Situation für Unternehmen verkomplizieren, die in mehreren deutschen Bundesländern und in mehreren EU-Mitgliedstaaten tätig sind.

In so einem Fall gilt: Aufsichtsbehörden können zwar unterschiedliche Meinungen vertreten, doch die finale Entscheidung, wie das Gesetz anzuwenden ist, obliegt dem Europäischen Gerichtshof.

Woher weiß ich, an wen ich mich wenden muss?

Privatpersonen und Unternehmen können sich zum Thema Datenschutz an eine Aufsichtsbehörde wenden. Doch in manchen Fällen ist nicht auf Anhieb ersichtlich, wer zuständig ist. Die gute Nachricht: Sollte die kontaktierte Behörde nicht zuständig sein, leitet sie die Anfrage im Normalfall an die tatsächlich zuständige Stelle weiter.

Das Leben leichter macht auch Artikel 56 Absatz 1 der DS-GVO. Damit wurde der sogenannten One-Stop-Shop-Mechanismus etabliert. Demnach gibt es eine federführende Aufsichtsbehörde als einzigen Ansprechpartner des Verantwortlichen oder Auftragsverarbeiters im Rahmen grenzüberschreitender Datenverarbeitung. Das heißt, ein Unternehmen muss sich wegen ein und derselben Datenverarbeitung nur mit einer Aufsichtsbehörde auseinandersetzen – unabhängig davon, ob weitere Behörden involviert werden.

Wie kooperieren Datenschutzbehörden in der EU bei grenzüberschreitenden Fällen?

Neben dem One-Stop-Shop-Mechanismus besteht auch die Möglichkeit des sogenannten Kohärenzverfahrens. Bei diesem Verfahren werden strittige Angelegenheiten dem Europäischen Datenausschuss zur verbindlichen Entscheidung vorgelegt.

Es gibt auch noch andere Formen der Zusammenarbeit, zum Beispiel die gegenseitige Amtshilfe. Im Rahmen einer Fallbearbeitung oder zum Informationsaustausch kann zum Beispiel eine Datenschutzbehörde bei einer anderen Datenschutzbehörde in Europa um Unterstützung bitten, also um Amtshilfe. Auch dies hilft dabei, eine möglichst europaweit einheitliche Auslegung und Anwendung der DS-GVO zu erreichen.

Wenn Aufsichtsbehörden sich abstimmen möchten oder gemeinsame Fälle bearbeiten, können sie auf europäischer Ebene auch das sogenannte IMI-System (Internal Market Information System), also ein Binnenmarktinformationssystem, nutzen. Es handelt sich dabei um ein elektronisches System, auf das jede Datenschutzbehörde Zugriff hat. Dort kann sie ihre Fälle eintragen und um Unterstützung bitten.

Fazit

Das föderalistisch geprägte deutsche System der Datenschutzbehörden ist komplexer als in anderen EU-Ländern. Dies führt in der Praxis gelegentlich zu Problemen und ist indirekt ein Wettbewerbsnachteil für deutsche Unternehmen. Die Einführung der DS-GVO hat zwar zur Harmonisierung der Datenschutzregeln in den einzelnen Mitgliedsstaaten beigetragen, doch gibt es nach wie vor regionale Unterschiede innerhalb Deutschlands. Diese sind manchmal auch sinnvoll, denn sie ermöglichen es den Bundesländern, wie im Fall der Coronakrise schneller zu handeln.

Allerdings würde man sich als Datenschutzbeauftragter und Praxisanwender durchaus wünschen, dass die deutschen Aufsichtsbehörden den Vollharmonisierungsgedanken der DS-GVO stärker beherzigen und sich hinsichtlich streitiger Punkte öfters intern abstimmen, bevor sie eine offizielle Position veröffentlichen oder Empfehlung aussprechen.

Nichtsdestotrotz ermöglichen verschiedene Instrumente eine bessere Koordination zwischen den Datenschutzbeauftragten der einzelnen Bundesländer auf nationaler Ebene ebenso wie zwischen den Behörden in verschiedenen EU-Mitgliedsstaaten auf europäischer Ebene im Vergleich zu Zeiten vor Wirksamwerden der DS-GVO im Mai 2018. Davon profitieren auch Unternehmen und Privatpersonen: Erreicht eine Anfrage die falsche Behörde, leitet diese sie an den richtigen Ansprechpartner weiter.
Veröffentlicht am Aktualisiert am

Über den Autor

Dr. Frank Schemmel Dr. Frank Schemmel
Dr. Frank Schemmel

Dr. Frank Schemmel, CIPP/E, CIPP/US, CIPM, CIPT, ist seit 2018 bei DataGuard in verschiedenen Managementpositionen tätig (zuletzt als Head of Privacy) und derzeit verantwortlich für die unternehmensweite inhaltliche und strategische Gestaltung sowie Optimierung der DataGuard Service Lines "Privacy" und "Compliance", einem hybriden Modell aus erstklassiger Beratung und Unterstützung durch selbstentwickelte, skalierbare Softwarelösungen. Als zertifizierter Datenschutzbeauftragter (TÜV) und Compliance Officer (Univ.) berät er zu allen Themen des Datenschutzes, der IT-Sicherheit und der allgemeinen Compliance. Vor seinem Wechsel zu DataGuard war er fünf Jahre für Allen & Overy LLP im Bereich Datenschutz und Arbeitsrecht als Berater und Legal Project Manager tätig. Er publiziert regelmäßig in einschlägigen Medien und gibt seine Erfahrung als Dozent an Hochschulen (u.a. Düsseldorf, Augsburg), Sprecher auf Konferenzen (u.a. euroforum Datenschutzkongress, bitkom Privacy Conference, IAPP Data Protection Intensive: Deutschland) und als Webinar-Host weiter.

Mehr Artikel ansehen

Diese Themen sollten Sie nicht verpassen:

Weitere Artikel

Was ist IT-Grundschutz?
Informationssicherheit

5 Min

Was ist IT-Grundschutz?

Schützen Sie Ihre IT-Systeme mit IT-Grundschutz: Ein Rahmen für effektive Sicherheitskontrollen und Schutz kritischer Daten.

Weiterlesen
Was sind die häufigsten Compliance-Verstöße?
Informationssicherheit

6 Min

Was sind die häufigsten Compliance-Verstöße?

Entdecken Sie mit uns die Bedeutung der Compliance für Unternehmen. Von häufigen Verstößen bis hin zu Präventionsmaßnahmen.

Weiterlesen
Was ist Compliance im Unternehmen?
Informationssicherheit

5 Min

Was ist Compliance im Unternehmen?

Erfahren Sie alles über Compliance: Definition, Bedeutung, Arten, Herausforderungen und Vorteile. Wir decken die Welt der Einhaltung von Vorschriften ab.

Weiterlesen
Welche Cybersicherheitsmaßnahmen sollten Sie als Dienstleistungsunternehmen ergreifen?
Informationssicherheit

10 Min

Welche Cybersicherheitsmaßnahmen sollten Sie als Dienstleistungsunternehmen ergreifen?

Jedes Dienstleistungsunternehmen ist einzigartig. Erfahren Sie, wie Sie Ihre Cybersicherheitsstrategie optimal an die spezifischen Bedrohungen Ihres Unternehmens anpassen können.

Weiterlesen
Welche Auswirkungen hat ein Hackerangriff auf ein Unternehmen?
Informationssicherheit

6 Min

Welche Auswirkungen hat ein Hackerangriff auf ein Unternehmen?

Ein Hackerangriff bedroht die Sicherheit eines Systems. Phishing, Malware & mehr: Wie schützen Sie sich? Wichtige Tipps zur Vorbereitung & Reaktion.

Weiterlesen
Welche Cybersicherheitsmaßnahmen sollten Sie als Tech-Unternehmen ergreifen?
Informationssicherheit

10 Min

Welche Cybersicherheitsmaßnahmen sollten Sie als Tech-Unternehmen ergreifen?

Jedes Tech-Unternehmen ist einzigartig. Erfahren Sie, wie Sie Ihre Cybersicherheitsstrategie optimal an die spezifischen Bedrohungen Ihres Unternehmens anpassen können.

Weiterlesen

Sprechen Sie unser Sales-Team an

Erfahren Sie, wie DataGuard Ihnen helfen kann.

Finden Sie heraus, wie unsere Datenschutz-, Informationssicherheits- und Compliance-Lösung Vertrauen stärkt, Risiken minimiert und Umsatz steigert.

  • bis heute 100% Erfolgsquote bei ISO 27001 Audits
  • 40% Reduzierung bei Gesamtbetriebskosten (TCO)
  • Eine skalierbare und einfach zu verstehende Web-Plattform
  • Praktisch umsetzbare Handlungsempfehlungen unserer Experten

Vertrauen von mehr als Kunden

Canon Logo Contact Holiday Inn Logo Contact Unicef Logo Contact Burger King Logo Contact Veganz Logo Contact Fressnapf Logo Contact Völkl Logo Contact Arri Logo Contact Free Now Logo Contact

Lernen Sie DataGuard kennen

Fordern Sie noch heute Ihr Angebot an

Ihre Vorteile im Überblick

  • Benennung eines externen Datenschutzbeauftragten
  • Audit Ihrer Datenverarbeitungsvorgänge
  • Unterstützung rund um AV-Verträge, VVT, TOM, Schulung, u.v.m.
  • Personalisierte Betreuung durch Ihren Ansprechpartner 
  • Skalierbar für KMU und Konzerne
  • 100+ Experten aus den Bereichen Recht, Wirtschaft & IT

Vertrauen von mehr als Kunden

Canon Logo Contact Holiday Inn Logo Contact Unicef Logo Contact Burger King Logo Contact Veganz Logo Contact Fressnapf Logo Contact Völkl Logo Contact Arri Logo Contact Free Now Logo Contact

Lernen Sie DataGuard kennen

Vereinfachung Ihrer Compliance-Prozesse

Ihre Vorteile im Überblick

  • Kontinuierliche Unterstützung auf Ihrem Weg zur Zertifizierung nach ISO 27001 und TISAX®️, sowie NIS2 Compliance
  • Profitieren Sie von persönlicher Beratung
  • Bauen Sie ein strukturiertes ISMS mit unserer InfoSec-Plattform auf
  • Automatische Erstellung verpflichtender Dokumente
Certified-Icon

100% Erfolgsquote unserer Kunden bei Audits nach ISO 27001

TISAX® ist eine eingetragene Marke der ENX Association. DataGuard steht in keiner geschäftlichen Verbindung zu ENX. Wir bieten lediglich Beratung und Unterstützung zur Vorbereitung auf das Assessment nach TISAX® an. Die ENX Association übernimmt keine Verantwortung für die auf der DataGuard-Website dargestellten Inhalte.

Vertrauen von mehr als Kunden

Canon Logo Contact Holiday Inn Logo Contact Unicef Logo Contact Burger King Logo Contact Veganz Logo Contact Fressnapf Logo Contact Völkl Logo Contact Arri Logo Contact Free Now Logo Contact

Lernen Sie DataGuard kennen

Jetzt durchstarten

  • Datenschutzkonforme und transparente Einholung von Einwilligungen
  • Konform mit DSGVO, CCPS, LGPD, ePrivacy
  • Langfristig wertvollere Daten
  • Zentraler Überblick: Ihre Single Source of Truth
  • Persönlicher Support durch Experten bei jedem Schritt
  • Einfache Integration in alle Ihre Marketing-Tools und CRM

Vertrauen von mehr als Kunden

Canon Logo Contact Holiday Inn Logo Contact Unicef Logo Contact Burger King Logo Contact Veganz Logo Contact Fressnapf Logo Contact Völkl Logo Contact Arri Logo Contact Free Now Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Proaktive statt reaktive Unterstützung
  • Erstellung der wichtigsten Dokumente und Richtlinien
  • Umfassendes Compliance-Management
  • Mitarbeiterschulungen
  • Digitales Compliance-Management-System
  • Beratung durch erfahrene Branchenexperten

Vertrauen von mehr als Kunden

Canon Logo Contact Holiday Inn Logo Contact Unicef Logo Contact Burger King Logo Contact Veganz Logo Contact Fressnapf Logo Contact Völkl Logo Contact Arri Logo Contact Free Now Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Einhalten der EU-Whistleblower-Richtlinie
  • Digitales Whistleblowing-System
  • Einfache und schnelle Implementierung
  • Zentrale Datenquelle
  • Sicher und gesetzeskonform
  • Klares und transparentes Reporting

Vertrauen von mehr als Kunden

Canon Logo Contact Holiday Inn Logo Contact Unicef Logo Contact Burger King Logo Contact Veganz Logo Contact Fressnapf Logo Contact Völkl Logo Contact Arri Logo Contact Free Now Logo Contact

Jetzt Termin vereinbaren