Deutschland ist ein föderalistischer Staat. Aus diesem Grund gibt es auch mehr als nur eine einzige Datenschutzbehörde. Für jedes Bundesland gibt es einen eigenen Landesdatenschutzbeauftragten. Weitere Aufsichtsbehörden gibt es darüber hinaus für Rundfunk und Kirche.

Ist eine eigene Datenschutzbehörde für jedes Bundesland wirklich notwendig?

Das Wichtigste in Kürze

  • Das System der Datenschutzbehörden in Deutschland ist föderalistisch geprägt.
  • Landesdatenschutzbeauftragte verschiedener Bundesländer können bei der Auslegung von Gesetzen unterschiedliche Ansichten haben.
  • Auch bei der Auslegung der DS-GVO kann es regionale Unterschiede geben.
  • Zahlreiche Instrumente erleichtern die Kooperation der verschiedenen Datenschutzbehörden.
  • Die Kommunikation vereinfacht der sogenannte One-Stop-Shop-Mechanismus, bei dem eine Aufsichtsbehörde der einzige Ansprechpartner für einen Antragsteller ist.

In diesem Beitrag

Datenschutz ist eine komplexe Angelegenheit – die Vielzahl an Datenschutzbehörden in Deutschland macht ihn nicht einfacher. Wir geben Ihnen einen Überblick über die verschiedenen Behörden und deren Zuständigkeiten und erklären, an wen Sie sich im Einzelfall wenden müssen.

Wie ist das System der Datenschutzbehörden in Deutschland aufgebaut?

Da Deutschland ein föderalistischer Staat ist, ist auch Datenschutz weitgehend Sache der Länder. Hier sind Landesdatenschutzbeauftragte für die Umsetzung und Wahrung des Datenschutzes zuständig. Daneben gibt es auf Bundesebene noch den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit. Für Rundfunk und Kirche gibt es wiederum eigene Aufsichtsbehörden.

Die Landesdatenschutzbeauftragten

Jedes Bundesland hat einen Landesdatenschutzbeauftragten. In den meisten Fällen ist dieser sowohl für den öffentlichen als auch für den nichtöffentlichen Bereich zuständig – also sowohl für Behörden und öffentliche Unternehmen als auch für Privatunternehmen, Vereine, Verbände und politische Parteien.

Einzige Ausnahme ist Bayern: Hier ist der Landesdatenschutzbeauftragte ausschließlich für den Datenschutz im öffentlichen Bereich zuständig. Um den nichtöffentlichen Bereich kümmert sich das Landesamt für Datenschutzaufsicht in Ansbach.

Der Bundesdatenschutzbeauftragte

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) wiederum ist für alle Bundesbehörden zuständig. Auch Unternehmen aus dem Telekommunikations- und Postbereich fallen in seinen Zuständigkeitsbereich.

Der Bundesdatenschutzbeauftragte und die insgesamt 17 Landesbehörden bilden zusammen die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder. Diese ermöglicht eine gegenseitige Abstimmung.

Rundfunkdatenschutzbeauftragte

Privatsender gehören der Privatwirtschaft an. Daher sind die jeweiligen Landesdatenschutzbeauftragten der Bundesländer zuständig – im Fall von Bayern ist es das Landesamt für Datenschutzaufsicht. Für die öffentlich-rechtlichen Sender gibt es Rundfunkdatenschutzbeauftragte.

In Deutschland existiert kein zentraler Rundfunkdatenschutzbeauftragter, sondern mehrere regionale. Auch dieser Bereich ist föderalistisch strukturiert. Zum Teil sind die Zuständigkeiten der Rundfunkdatenschutzbeauftragten allerdings so gebündelt, dass sich ein Rundfunkdatenschutzbeauftragter um mehrere Sender kümmert.

Kirchliche Datenschutzbeauftragte

In Deutschland existieren auch gesonderte Datenschutzbehörden für die christlichen Kirchen. Dabei gibt es unterschiedliche Regelungen für die evangelische und die katholische Kirche.

Die evangelische Kirche in Deutschland hat einen Beauftragten für Datenschutz. Eine Ausnahme bildet dabei nur die Nordkirche in Teilen Brandenburgs, in Teilen Hamburgs, in Schleswig-Holstein und in Mecklenburg-Vorpommern, die ihren eigenen Datenschutzbeauftragten hat.

In der katholischen Kirche ist die Situation komplexer: Jede Diözese hat einen eigenen Diözesandatenschutzbeauftragten. Zur Abstimmung untereinander gibt es eine Konferenz der Diözesandatenschutzbeauftragten. Auch der Datenschutzbeauftragte der evangelischen Kirche in Deutschland wird regelmäßig dazu eingeladen.

Daneben gibt es auch noch den Verband der Diözesen Deutschlands, der einen Verbandsdatenschutzbeauftragten benannt hat.

Hieraus wird erkenntlich: Die Struktur der Datenschutzbeauftragten ist in Deutschland viel komplexer als in anderen Ländern, in denen es meist nur eine einzige Aufsichtsbehörde gibt. Das hat vor allem historische Gründe.

Wie ist dieses System der Datenschutzbehörden in Deutschland entstanden?

Das erste Datenschutzgesetz weltweit wurde 1970 in Hessen erlassen. Nach und nach legten auch andere Bundesländer Datenschutzgesetze fest, dann folgten das Bundesdatenschutzgesetz (BDSG) und entsprechende Verordnungen auf europäischer Ebene.

Diese Entwicklungen führten also zur Verabschiedung individueller Landesdatenschutzgesetze für jedes Bundesland. Dies ist durchaus sinnvoll, da in manchen relevanten Bereichen – wie z. B. Bildung oder Polizei – die Zuständigkeit ohnehin bei den Ländern und nicht beim Bund liegt.

Inzwischen gibt es die europäische Datenschutz-Grundverordnung (DS-GVO). Sie gilt für alle Mitgliedsstaaten der Europäischen Union unmittelbar. Dennoch gibt es Ausnahmen, die besagen, dass die Mitgliedstaaten für bestimmte Bereiche auch eigene Regelungen erlassen können. Der deutsche Gesetzgeber nutzte diese Öffnungsklauseln sowohl im BDSG und passte auch die Landesdatenschutzgesetze an die DS-GVO an, sodass sie weiter bestehen können.

Welche Vorteile bietet das deutsche System der Datenschutzbehörden?

Die Landesdatenschutzbeauftragten legen (auch) Bundeslandverordnungen und -gesetze aus. Folglich kennen die Landesdatenschutzbeauftragten die landesspezifischen Regelungen und können entsprechend reagieren. Ein anschauliches Beispiel ist die Datenerfassung im Zuge der Coronakrise. Aufgrund der Pandemie erließen sämtliche Bundesländer Schutzverordnungen, die individuell an die Bedürfnisse des Bundeslandes angepasst waren.

Als nach den Lockerungen der Schutzmaßnahmen zum Beispiel Restaurants, Friseursalons oder Physiotherapiepraxen wieder öffnen durften, wurde in vielen Bundesländern beschlossen, dass Kontaktdaten der Gäste, Kunden oder Patienten aufgenommen werden müssen. Die Landesdatenschutzbeauftragten gaben dabei Hilfestellung und stellten Muster für Erfassungsbögen entsprechend den länderspezifischen Vorgaben zur Verfügung.  

Hätte es in diesem Fall eine einheitliche Bundesbehörde gegeben, hätte diese sich zunächst einen Überblick über die konkreten Schutzverordnungen der einzelnen Bundesländer verschaffen müssen. Da die Landesdatenschutzbeauftragten mit den länderspezifischen Regelungen bereits vertraut waren, konnten sie schneller handeln und darüber hinaus auf die individuelle Lage in den einzelnen Bundesländern eingehen.

Welche Nachteile birgt die föderale Datenschutzstruktur?

Die DS-GVO besagt, dass Datenschutzbehörden unabhängig sein müssen. Die Mitgliedstaaten müssen dies gewährleisten, auch für jede Landesdatenschutz­behörde. Viele Behörden in Deutschland berufen sich auf diese Unabhängigkeit, was zur Folge hat, dass die Landesdatenschutz­beauftragten verschiedene Ansichten zur Auslegung von Gesetzen, insbesondere der DS-GVO, haben können.

Wenn ein Unternehmen Standorte in verschiedenen Bundesländern hat, kann es schwierig werden, ein einheitliches Datenschutzkonzept für die gesamte Firma zu erstellen. Nehmen wir das Beispiel Betriebsrat. Ist er ein eigener datenschutzrechtlich Verantwortlicher oder Teil des Unternehmens? Wenn der Betriebsrat ein eigener Verantwortlicher wäre, müsste er ggf. auch einen eigenen Datenschutzbeauftragten benennen.

Bayern vertritt zum Beispiel die Ansicht, der Betriebsrat sei kein eigener Verantwortlicher, während Baden-Württemberg das genaue Gegenteil annimmt. Für ein Unternehmen, das sowohl in Baden-Württemberg als auch in Bayern Standorte hat, wäre es also schwierig, ein einheitliches Datenschutzkonzept und einheitliche Datenschutz-Governance zu erstellen.

Wie koordinieren die Behörden ihre Arbeit?

Ein Ziel der DS-GVO war die Vereinheitlichung des Datenschutzes in allen EU-Mitgliedstaaten. Die DS-GVO umfasst 99 Artikel, davon befassen sich allein 25 mit den Aufsichtsbehörden und deren Zusammenarbeit. Dieser beachtliche Anteil zeigt, wie wichtig es der europäischen Gesetzgebung war, eine Vereinheitlichung und mehr Koordination zu erreichen. Der Erfolg zeigt sich in der mittlerweile gut geregelten Zusammenarbeit der Aufsichtsbehörden.

Durch das föderale System in Deutschland kann es aber durchaus vorkommen, dass die DS-GVO in den verschiedenen Bundesländern unterschiedlich ausgelegt wird. Dies läuft dem Vollharmonisierungsgedanken der DS-GVO eigentlich zuwider und kann die Situation für Unternehmen verkomplizieren, die in mehreren deutschen Bundesländern und in mehreren EU-Mitgliedstaaten tätig sind.

In so einem Fall gilt: Aufsichtsbehörden können zwar unterschiedliche Meinungen vertreten, doch die finale Entscheidung, wie das Gesetz anzuwenden ist, obliegt dem Europäischen Gerichtshof.

Woher weiß ich, an wen ich mich wenden muss?

Privatpersonen und Unternehmen können sich zum Thema Datenschutz an eine Aufsichtsbehörde wenden. Doch in manchen Fällen ist nicht auf Anhieb ersichtlich, wer zuständig ist. Die gute Nachricht: Sollte die kontaktierte Behörde nicht zuständig sein, leitet sie die Anfrage im Normalfall an die tatsächlich zuständige Stelle weiter.

Das Leben leichter macht auch Artikel 56 Absatz 1 der DS-GVO. Damit wurde der sogenannten One-Stop-Shop-Mechanismus etabliert. Demnach gibt es eine federführende Aufsichtsbehörde als einzigen Ansprechpartner des Verantwortlichen oder Auftragsverarbeiters im Rahmen grenzüberschreitender Datenverarbeitung. Das heißt, ein Unternehmen muss sich wegen ein und derselben Datenverarbeitung nur mit einer Aufsichtsbehörde auseinandersetzen – unabhängig davon, ob weitere Behörden involviert werden.

Wie kooperieren Datenschutzbehörden in der EU bei grenzüberschreitenden Fällen?

Neben dem One-Stop-Shop-Mechanismus besteht auch die Möglichkeit des sogenannten Kohärenzverfahrens. Bei diesem Verfahren werden strittige Angelegenheiten dem Europäischen Datenausschuss zur verbindlichen Entscheidung vorgelegt.

Es gibt auch noch andere Formen der Zusammenarbeit, zum Beispiel die gegenseitige Amtshilfe. Im Rahmen einer Fallbearbeitung oder zum Informationsaustausch kann zum Beispiel eine Datenschutzbehörde bei einer anderen Datenschutzbehörde in Europa um Unterstützung bitten, also um Amtshilfe. Auch dies hilft dabei, eine möglichst europaweit einheitliche Auslegung und Anwendung der DS-GVO zu erreichen.

Wenn Aufsichtsbehörden sich abstimmen möchten oder gemeinsame Fälle bearbeiten, können sie auf europäischer Ebene auch das sogenannte IMI-System (Internal Market Information System), also ein Binnenmarktinformationssystem, nutzen. Es handelt sich dabei um ein elektronisches System, auf das jede Datenschutzbehörde Zugriff hat. Dort kann sie ihre Fälle eintragen und um Unterstützung bitten.

Fazit

Das föderalistisch geprägte deutsche System der Datenschutzbehörden ist komplexer als in anderen EU-Ländern. Dies führt in der Praxis gelegentlich zu Problemen und ist indirekt ein Wettbewerbsnachteil für deutsche Unternehmen. Die Einführung der DS-GVO hat zwar zur Harmonisierung der Datenschutzregeln in den einzelnen Mitgliedsstaaten beigetragen, doch gibt es nach wie vor regionale Unterschiede innerhalb Deutschlands. Diese sind manchmal auch sinnvoll, denn sie ermöglichen es den Bundesländern, wie im Fall der Coronakrise schneller zu handeln.

Allerdings würde man sich als Datenschutzbeauftragter und Praxisanwender durchaus wünschen, dass die deutschen Aufsichtsbehörden den Vollharmonisierungsgedanken der DS-GVO stärker beherzigen und sich hinsichtlich streitiger Punkte öfters intern abstimmen, bevor sie eine offizielle Position veröffentlichen oder Empfehlung aussprechen.

Nichtsdestotrotz ermöglichen verschiedene Instrumente eine bessere Koordination zwischen den Datenschutzbeauftragten der einzelnen Bundesländer auf nationaler Ebene ebenso wie zwischen den Behörden in verschiedenen EU-Mitgliedsstaaten auf europäischer Ebene im Vergleich zu Zeiten vor Wirksamwerden der DS-GVO im Mai 2018. Davon profitieren auch Unternehmen und Privatpersonen: Erreicht eine Anfrage die falsche Behörde, leitet diese sie an den richtigen Ansprechpartner weiter.

Über den Autor

Dr. Frank Schemmel

Seine langjährige Erfahrung als Datenschutzspezialist hat Dr. Frank Schemmel, heute Head of Privacy (Corporate) bei DataGuard, in einer internationalen Großkanzlei erworben, wo er den Aufbau der datenschutzrechtlichen Praxis für Deutschland verantwortete. Heute verfolgt der Wirtschaftsjurist vor allem ein Ziel: „Pionierarbeit an der Digitalisierung leisten – der größten Herausforderung des 21. Jahrhunderts“. Dafür verbindet er rechtswissenschaftliche Forschung und Praxis, um seinen Kunden das bestmögliche Ergebnis zu liefern. Außerhalb des Datenschutzes kann Frank beim Schmökern in historischen Romanen, beim Spielen von Video-Games oder beim Streamen seiner koreanischen Lieblings-Musikshows besonders gut abschalten.

Weitere Beiträge von Dr. Frank Schemmel

Keine Beiträge mehr verpassen!

Möchten Sie zu Datenschutz und Datensicherheit auf dem Laufenden bleiben? Praktische Tipps und Einladungen zu Webinaren und Online-Fragestunden erhalten Sie über unser monatliches E-Mailing.

Weitere Informationen finden Sie in unserer Datenschutzerklärung.

close

Vielen Dank

für Ihre Anfrage.

Wir setzen uns zeitnah mit Ihnen in Verbindung, um Ihr persönliches Erstgespräch zu terminieren.

01

Sie erhalten innerhalb weniger Minuten eine Bestätigungs-E-Mail mit allen wichtigen Informationen. Sie sind nur noch einen Klick von Ihrem Erstgespräch entfernt.

02

Wir rufen Sie zu der vereinbarten Zeit unter der angegebenen Telefonnummer an. Alle Fragen die Sie haben sollten, beantworten wir dann gerne. Wir freuen uns auf das Gespräch mit Ihnen!

Wir machen Ihnen umgehend ein passendes Angebot. Gerne können Sie uns auch einfach anrufen:
089 442 550 - 62649 (wir arbeiten bundesweit)

Buchen sie hier direkt einen Termin mit einem unserer Experten.

Jetzt direkt Termin buchen

Oder senden Sie dieses Formular ab und erhalten erste Informationen. Einer unserer Experten wird Sie daraufhin kontaktieren.






Sie können der Verwendung Ihrer E-Mail-Adresse jederzeit widersprechen. Weitere Informationen finden Sie in unserer Datenschutzerklärung.

[honeypot fc_website_h]


































Angebot erhalten
089 442 550 - 62649 bundesweiter Service