Kurzbeitrag : Die Struktur der Aufsichtsbehörden in den EU-Staaten und deren Kompetenzen – ein aktueller Überblick : aus der RDV 6/2014, Seite 319 bis 321
Auch wenn der europäische Gesetzgeber über die EU-Datenschutzrichtlinie 95/46/EG (EU-DSRL) Vorgaben für eine Vereinheitlichung der Datenschutzaufsicht in den Mitgliedstaaten gemacht hat, zeigen sich bei näherer Betrachtung strukturelle Unterschiede der behördlichen Aufsicht, die im Folgenden anhand ausgewählter Beispiele[1] aufgezeigt werden sollen.
Bereits die Frage nach der Etablierung einer oder mehrerer Kontrollstellen zur Wahrnehmung gesetzlich übertragender Aufgaben lässt dabei nationalstaatliche Abweichungen erkennen. Im Gegensatz zur föderalen Struktur der Aufsichtsbehörden in Deutschland und der Etablierung auf Bundes- und Länderebene werden verantwortliche Stellen im europäischen Vergleich in der Regel mit nur einer zentralen Aufsicht für Datenschutz-Fragen konfrontiert. Diese ist sodann sowohl für den öffentlichen als auch für den privaten Bereich zuständig. Abweichungen von diesem Grundsatz bestehen nur vereinzelt und betreffen sodann bestimmte Datenverarbeitungen im öffentlichen Bereich, die überdies aus gesetzlichen Autonomiestatuten resultieren[2]. Folglich erübrigen sich in Mitgliedstaaten mit nur einer zentralen Aufsicht beispielsweise zusätzliche Koordinierungstreffen, wie sie in Deutschland über den Düsseldorfer Kreis stattfinden. Ferner ist die Kontrolle der Datenverarbeitungen nicht vom Sitz des jeweiligen Unternehmens abhängig.
Ob die jeweilige Aufsicht sich allein auf die Einhaltung der Datenschutzgesetze bezieht oder auch andere Regelungsbereiche mit berücksichtigt, kann variieren. Ein besonderes Augenmerk ist dabei insbesondere auf die elektronische Kommunikation zu legen, die hierzulande primär unter den Begriff der Telemedien gefasst wird. Die diesbezüglichen Vorgaben der Richtlinie 2002/58/EG wurden innerhalb der Mitgliedstaaten in unterschiedlichen Normen bzw. Gesetzen verankert, was Auswirkungen auf die diesbezügliche Aufsicht hat. So wurde in Schweden die Kontrollstelle über den Electronic Communications Act (2003:389) der schwedischen Post- und Kommunikationsbehörde[3] und nicht der allgemeinen Datenschutzaufsicht[4] übertragen. Auch sind besondere Kompetenzzuweisungen möglich, so geschehen in Deutschland, das die Überwachung der datenschutzrelevanten Normen des Telemediengesetzes gem. § 59 Abs. 1 S. 1 Rundfunkstaatsvertrag (RStV) den für den Datenschutz zuständigen Kontrollbehörden zuweist.
Die Verwendung sog. Cookies, als Beispiel einer Querschnittsmaterie zwischen Datenschutz und elektronischer Kommunikation, wäre daher in Schweden[5] der Datenschutzaufsicht entzogen, während dies in Deutschland nicht der Fall ist. Ebenso unterfällt in den Niederlanden die Durchsetzung der Bestimmungen zum Einsatz von Cookies gem. Sect. 11.7a des Dutch Telecommunication Act (Telecommunicatiewet) der Kontrollbehörde für Verbraucher und Märkte[6]und nicht der allgemeinen Datenschutzaufsicht[7].
Die Aufgabenwahrnehmung der jeweiligen Kontrollstelle hat im Sinne der Vorgaben des Art. 28 Abs. 1 EU-DSRL in völliger Unabhängigkeit zu erfolgen, was in Teilen der Mitgliedstaaten nicht im Sinne der EU-DSRL umgesetzt wurde[8]. Neben der Unabhängigkeit sind auch die Kompetenzen der staatlichen Aufsicht europarechtlich geprägt und dementsprechend harmonisiert. Insbesondere verfügt jede Kontrollstelle über Untersuchungsbefugnisse, wie das Recht auf Zugang zu Daten, die Gegenstand von Verarbeitungen sind, und das Recht auf Einholung aller für die Erfüllung ihres Kontrollauftrags erforderlichen Informationen. Ebenso stehen ihr Einwirkungsbefugnisse bis hin zur Löschung von Daten zu. Bezüglich der nationalstaatlichen Kompetenzzuweisungen lassen sich keine gravierenden Unterschiede im europäischen Vergleich ausmachen. Auch die in § 38 Abs. 4 BDSG normierten Zutrittsberechtigungen der Kontrollpersonen finden im europäischen Vergleich ein gesetzliches Pendant[9].
Dass die Kontrollbefugnisse der Aufsicht nicht nur im Falle von Beschwerden angewandt werden, sondern als Dienstleistung verstanden werden können, zeigt ein Blick nach Großbritannien. Das dortige Information Commissioner’s Office (ICO) bietet die Möglichkeit eines einvernehmlichen Audits an, im Rahmen dessen sich öffentliche wie nicht-öffentliche Stellen einer behördlichen Kontrolle unterziehen lassen können. Die daraus gewonnenen Erkenntnisse werden sodann in einer Zusammenfassung veröffentlicht[10].
Ob die harmonisierten Grundsätze hinsichtlich Unabhängigkeit und Kompetenzen der Datenschutzaufsicht durch eine uneinheitliche Praxis der Rechtsdurchsetzung ins Leere laufen, lässt sich pauschal nicht beantworten. Zwar divergiert die Personalstärke unter den europäischen Aufsichtsbehörden zum Teil erheblich, jedoch ist dabei die Anzahl der datenverarbeitenden Stellen ebenso zu berücksichtigen wie Kompetenzüberschneidungen zu anderen staatlichen Kontrollorganen. Nichtsdestotrotz ist ein Vergleichswert von 400 Beschäftigen beim ICO Großbritanniens zu 40 Mitarbeitern der schwedischen Aufsicht bemerkenswert. Dass die Personalstärke Auswirkungen auf die Regelmäßigkeit von Datenschutzkontrollen haben kann, dürfte dabei nicht von der Hand zu weisen sein.
In engem Zusammenhang mit der personellen Ausstattung sind Budgets der Kontrollbehörden zu sehen, wobei an dieser Stelle für Italien ein Spitzenwert von 18,67 Mio. EUR an Ausgaben für 2013 zu Buche schlägt[11], an den sich Spanien mit einem Jahresbudget für 2012 in Höhe von 13,93 Mio. EUR zumindest annähert[12]. Schweden bildet mit Ausgaben für seine Datenschutzaufsicht in Höhe von 4,2 Mio. EUR[13] für 2013 das europäische Schlusslicht.
Mit Blick auf die Bußgeldpraxis europäischer Aufsichtsbehörden lassen sich gravierende Unterschiede ausmachen. Der Bußgeldrahmen, in dem ein Datenschutzverstoß sanktioniert wird, ist seitens des EU-Gesetzgebers nicht vorgegeben und variiert zwischen ermittelten maximalen 50.000 EUR[14] und 600.000 EUR[15]. Einzelne Mitgliedstaaten geben zwar eine maximale Bußgeldhöhe an, lassen aber ein Überschreiten des Höchstbetrags zu, um einen erzielten wirtschaftlichen Vorteil abzuschöpfen[16]. Überdies gibt es Datenschutzgesetze, die sich zum Bußgeldrahmen überhaupt nicht äußern[17].
Die im Zuge des vorgenommenen Vergleichs ebenfalls festgestellte stetige Erhöhung von Bußgeldern bzw. des zugrunde liegenden gesetzlichen Rahmens legt die Vermutung nahe, dass hierdurch zunehmend eine abschreckende Wirkung erzielt werden soll. So soll die Datenschutzaufsicht der Niederlande hinsichtlich einer unterbliebenen Meldung einer Verarbeitung personenbezogener Daten ein Bußgeld in Höhe von maximal 4.500 EUR verhängen können (vgl. Art. 66 Personal Data Protection Act), was sich nach einem neuen Gesetzesvorhaben[18] bei einem Verstoß gegen Vorgaben zur Meldung einer sog. Datenschutzpanne nunmehr auf bis zu 450.000 EUR erhöhen kann.
Spitzenreiter in Bezug auf jährlich verhängte Bußgelder ist die spanische Aufsichtsbehörde AEPD, die in 2012 einen Wert von 20.73 Mio. EUR[19] erreichte. Ein hoher Bußgeldwert muss jedoch nicht zwingend ein Indikator für ein schwaches nationales Datenschutzniveau sein, zumal die spanische Behörde ihre Ausgaben durch Sanktionierungen refinanziert[20]. In Kontrast hierzu steht die französische Aufsicht CNIL, die mit einem veröffentlichten Wert von 43.000 EUR[21] ihren Schwerpunkt eher auf die Sensibilisierung als die Sanktionierung zu setzen scheint.
Der kurze Aufriss zur europäischen Datenschutzaufsicht hat gezeigt, dass der europäische Gesetzgeber im Zuge seiner Reformbestrebungen über eine EU-Datenschutz-Grundverordnung (EU-DS-GVO) und den dabei geplanten Vereinfachungsgedanken, so insbesondere zum „one-stop-shop“ Verfahren, vor der Herausforderung steht, bestehende strukturelle Unterschiede ebenso in Einklang bringen zu müssen, wie abweichende personelle und finanzielle Ausstattungen von Aufsichtsbehörden. Ob die dargelegte divergierende Bußgeldpraxis durch eine neue europarechtliche Vorgabe nivelliert werden kann, darf in Anbetracht des bestehenden Ermessenspielraums[22] im Übrigen bezweifelt werden.
* Der Autor ist Repräsentant Internationales bei der Gesellschaft für Datenschutz und Datensicherheit (GDD) e.V., Bonn
[1] In den durchgeführten Vergleich wurden folgende EU-Mitgliedstaaten einbezogen: Frankreich, Großbritannien, Irland, Italien, die Niederlande, Polen, Schweden und Spanien.
[2] So in Spanien, vgl. Art. 148 de la Constitución española de 1978 i.V.m. Art. 41 Ley Ogánica 15/1999 bezogen auf die autonomen Regionen.
[3] Post- och telestyrelsen.
[4] Datainspektionen.
[5] Vgl. Sect. 6 Electronic Communications Act.
[6] Autoriteit Consument & Markt.
[7] College bescherming persoonsgegevens (CBP).
[8] EuGH C-518/07 – Europäische Kommission gegen Bundesrepublik Deutschland.
[9] Vgl. § 38 BDSG; Art. 14 Act of August 29, 1997 on the Protection of Personal Data (Polen); Sect. 158 Data Protection Code (Italien); Sect. 24 Data Protection Acts 1988 and 2003 (Irland); Sect. 50 sowie schedule 9 Data Protection Act 1998 (Großbritannien).
[10] Http://ico.org.uk/what_we_cover/audits_advisory_visits_and_self_assessments/audits.
[11] Vgl. Garante per la protezione dei dati personali, relazione annnuale 2013, S. 231 („Totale spese“).
[12] Vgl. Agencia Española de la Protección de Datos, Memoria AEPD 2012, S. 111 („crédito ejercicio“).
[13] Datainspektionen, Årsredovisning 2013, S. 53 („Utgifter“).
[14] Art. 121 of the Act of 17 June 1966 on enforcement proceedings in administration (Polen).
[15] Art. 45.4 Ley Orgánica 15/1999 (Spanien).
[16] Vgl. § 43 Abs. 3 Satz 3 BDSG.
[17] So Personal Data Act 1998:204 (Schweden).
[18]Http://www.dataguidance.com/dataguidance_privacy_this_week.asp?id=1693.
[19] Bezogen auf die Bereiche Telekommunikation, Finanzinstitute, Energie-, Wasserversorger, SPAM, Videoüberwachung, vgl. AEPD, Memoria AEPD 2012, S. 72.
[20] So die AEPD, vgl. http://www.elmundo.es/encuentros/invitados/2009/04/3580/.
[21] Commission Nationale de l’Informatique et des Libertés, rapport d’activité 2013, S. 55.
[22] Vgl. Art. 79 Abs. 2 des Vorschlags für eine Verordnung des europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Grundverordnung), KOM(29129) 11 endg.