Aufsatz : Gesetzliche Strukturänderungen bei Datenschutz- Aufsichtsbehörden in EU, Bund und Ländern : aus der RDV 6/2020, Seite 309 bis 314
Ein Beitrag auch zur aktuellen Zentralisierungs-Debatte
Der vorliegende Beitrag geht der Frage nach, inwieweit die Gesetzgeber auf Ebene der Europäischen Union und in den Mitgliedstaaten berechtigt sind, Zahl, Sitz, Ausstattung, Zuständigkeiten, Aufgaben und Befugnisse ihrer DatenschutzAufsichtsbehörden zu verändern. Besonderes Augenmerk soll der Situation in Deutschland gelten, wo föderal wie sektoral unterschiedliche Aufsichtsbehörden bestehen. Es soll herausgearbeitet werden, dass sich hier zwei Pole gegenüberstehen: einerseits die grundsätzlich weite Berechtigung des Gesetzgebers, Behördenstrukturen zu verändern, und andererseits die völlige Unabhängigkeit der Datenschutzaufsicht, die aufgedrängten Änderungen entgegensteht. Daraus wird zu folgen sein, dass Strukturänderungen zwar möglich bleiben müssen, aber nur in der Weise gegen die Aufsichtsbehörde durchgesetzt werden können, dass die Unabhängigkeit der betroffenen Behörden bzw. ihrer „Mitglieder“ (Leiter) maximal geschont wird und auch kein gegenteiliger böser Schein entsteht. Änderungen werden daher in der Regel nur mit Wirkung für die jeweils nächste Amtsperiode erzwungen werden können.
I. Ausgangslage: Errichtung durch Übernahme bestehender Behördenstrukturen
1. Die Pflicht zur Errichtung von Datenschutz-Aufsichtsbehörden
Die Gesetzgeber auf Ebene der Europäischen Union und ihrer Mitgliedstaaten sind aufgrund Primär- und Sekundärrechts verpflichtet, unabhängige Datenschutz-Aufsichtsbehörden zu errichten.[1]
Primärrechtlich ist eine unabhängige Datenschutzaufsicht in Art. 16 Abs. 2 S. 2 AEUV[2] und in Art. 8 Abs. 3 GRCh[3] vorgesehen.[4]
Sekundärrechtlich wird diese Pflicht durch Art. 52 VO (EU) 2018/1725[5] für die Ebene der Europäischen Union konkretisiert.
Für die Ebene der Mitgliedstaaten gibt Art. 51 Abs. 1 DSGVO vor, dass für den sachlichen Anwendungsbereich der DS-GVO eine oder mehrere Datenschutz-Aufsichtsbehörden errichtet werden muss bzw. müssen.
Welche und wie viele Behörden das sind und wie die Zuständigkeiten zwischen verschiedenen Behörden verteilt sind, ist durch mitgliedstaatliches Recht zu regeln.
Dasselbe gilt gem. Art. 41 ff. JI-RL[6] in deren Anwendungsbereich,[7] jedoch enthält sie weniger detaillierte Vorgaben als die DS-GVO.
2. Erfüllung der Pflicht zur Errichtung von Datenschutz-Aufsichtsbehörden
Die Pflicht zur Errichtung von Datenschutz-Aufsichtsbehörden darf als erfüllt angesehen werden.
Die Europäische Union verfügt mit dem Europäischen Datenschutzbeauftragten über eine unabhängige Aufsichtsbehörde, die die Datenverarbeitungen der EU-Institutionen beaufsichtigt, Art. 52 ff. VO (EU) 2018/1725.
In Deutschland wurden die bereits vor Wirksamwerden der DS-GVO bestehenden „Datenschutz-Kontrollstellen“ i.S.d. Art. 28 DS-RL[8] im Wesentlichen übernommen. Im Bund ist dies aufgrund der §§ 8-16 BDSG der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI).
In fast allen deutschen Ländern gibt es je eine Aufsichtsbehörde, die im jeweiligen Landesdatenschutzgesetz vorgesehen und hinsichtlich ihrer Strukturen konkretisiert ist.[9] Der Freistaat Bayern hat sich zulässigerweise[10] entschieden, an zwei Behörden festzuhalten, nämlich dem Landesbeauftragten für den Datenschutz (zuständig für öffentliche Stellen) und dem Landesamt für Datenschutzaufsicht (zuständig für nichtöffentliche Stellen).[11]
Auch wenn das gesetzlich nicht zwingend ist, werden die Aufgaben der Aufsicht nach der DS-GVO und der JI-RL grundsätzlich[12] jeweils von denselben Behörden wahrgenommen.
Besondere Zuständigkeiten bestehen in Deutschland mit Rücksicht auf die Religions- und die Medienfreiheit im Bereich der Kirchen[13] und der Rundfunkanstalten.[14] Hierauf soll im Folgenden nicht weiter eingegangen werden.
II. Denkbare Strukturänderungen
Was der Gesetzgeber einmal festgelegt hat, muss nicht ewig gleich bleiben. Aus seiner Befugnis, etwas zu regeln, folgt gewöhnlich die Befugnis, die Regelung auch wieder zu ändern. Es wäre mit dem Demokratieprinzip (Art. 20 Abs. 2 GG) nicht vereinbar, wenn einmal erfolgte Regelungen durch nachfolgende Parlamente nie wieder geändert werden könnten.[15] Auch der EuGH erkennt an, dass Strukturen durch den Gesetzgeber geändert werden können.[16]
Änderungen sind in verschiedener Hinsicht denkbar. So könnten organisatorische Festlegungen wie der Sitz der Behörde, ihre finanzielle, sächliche und personelle Ausstattung (im Folgenden: „Organisationsänderungen“) ebenso verändert werden wie ihre sachliche und örtliche Zuständigkeit, ihre zu erfüllenden Aufgaben und die hierfür zur Verfügung stehenden Befugnisse (im Folgenden: „Tätigkeitsänderungen“).
„Organisationsänderungen“ und „Tätigkeitsänderungen“ sollen für die Zwecke dieses Beitrags unter dem gemeinsamen Oberbegriff der „Strukturänderung“ zusammengefasst werden.
1. Tätigkeitsänderungen
Neben einer Neuverteilung von Zuständigkeiten, Aufgaben und Befugnissen zwischen bestehenden Behörden ist auch die Gründung neuer und die Auflösung bisheriger Behörden theoretisch denkbar.
a) Zuständigkeiten
Behörden können neue Zuständigkeiten übertragen oder bestehende Aufgaben entzogen werden.
Derartiges ist in der Vergangenheit bereits geschehen. So wurde dem BfDI die Zuständigkeit übertragen für die Aufsicht über Finanzbehörden der Länder und über Steuerämter der Kommunen, soweit diese Daten in Bezug auf Realsteuern verarbeiten (§ 1 Abs. 2 Nr. 1 Var. 5 i.V.m. § 32 h Abs. 1 AO).[17] Die Landesgesetzgeber können die Zuständigkeit des BfDI insoweit noch erweitern, soweit es um bestimmte andere Steuerarten geht (§ 32h Abs. 3 AO).
Bei solchen Gelegenheiten wird dem BfDI die Last neuer Zuständigkeiten auferlegt, den Landesbehörden werden Zuständigkeiten genommen. Nehmen Landesgesetzgeber die o.g. Regelungen zurück, erfolgt eine Änderung mit umgekehrten Vorzeichen.
Auch andere Sachmaterien könnten zwischen Bundesund Landesbehörden wechseln. Die „Datenethikkommission“ etwa schlägt vor, die Aufsicht über nichtöffentliche Stellen weitgehend auf den BfDI zu verlagern.[18]
Ebenso scheint der Referentenentwurf eines TT-DSG in § 27 Abs. 1 d S. 1 i.V.m. § 9 TTDSG-RefE eine jedenfalls teilweise Aufsicht des BfDI im Bereich Telemedien vorzusehen.[19]
Zudem sind nicht nur die Zuständigkeiten nach der DSGVO zu verteilen. Weitere Sachmaterien, wie die Aufsichtstätigkeit im Bereich der JI-RL, im Bereich Informationsfreiheit und dergleichen können einer Behörde auferlegt, aber auch wieder entzogen werden.[20]
Ebenso könnte die örtliche Zuständigkeit neu verteilt werden.
b) Aufgaben
Innerhalb der örtlichen und sachlichen Zuständigkeit ist die Neuordnung der zu erfüllenden Aufgaben denkbar, soweit diese nicht unionsrechtlich zwingend vorgegeben sind und daher einer Änderung durch mitgliedstaatliche Gesetzgeber entzogen sind. Freilich ist eine Änderung des Sekundärrechts denkbar; so könnte etwa die Aufgabe, an Zertifizierung und Akkreditierung (Art. 42, 43 DS-GVO) mitzuwirken, auf eine andere als die bisherige Behörde verlagert werden.
c) Befugnisse
Schließlich sind auch Befugnisse Änderungen zugänglich (s. zur unionsrechtlichen Bindung soeben unter 2.). Da die Datenschutzaufsicht in der Auswahl von Befugnissen unabhängig ist, kann die Unabhängigkeit durch Verleihung neuer Befugnisse nicht beeinträchtigt werden. Eine Beeinträchtigung ist aber durch Abschaffung von Befugnissen ebenso denkbar wie durch die Neuerrichtung materiell- oder verfahrensrechtlicher Hürden für die Ausübung von Befugnissen (vgl. z.B. § 16 Abs. 1 S. 2 BDSG).
2. Organisationsänderungen
Neben Änderungen hinsichtlich der Tätigkeit (Zuständigkeit, Aufgaben, Befugnisse) einer Behörde könnte auch organisatorisch die Behördenstruktur verändert werden.
So könnte auf Bundes- oder Landesebene eine Behörde durch eine andere (schon bestehende oder neu zu schaffende) Behörde ersetzt werden. Es könnten die beiden bayerischen Behörden fusionieren oder in anderen Ländern (oder im Bund) die Zuständigkeit gesplittet werden.
Zu den Organisationsänderungen sind auch erzwungene Umzüge der Behörde zu zählen.[21] Sie etwa von der Hauptstadt in die Provinz zu verlegen oder auch innerhalb derselben Stadt (womöglich wiederholt) umziehen zu lassen, bindet Kräfte, hält sie von ihrer Aufgabenerfüllung ab und kann auch als Repressalie für unliebsame Entscheidungen der Behörde verstanden werden.[22]
Eine Verkürzung der Amtszeit, Verringerung der Besoldung, Verschlechterung der Wiederwahlmöglichkeiten usw. sind ebenfalls als mögliche Organisationsänderungen zu nennen, ebenso wie Verschärfungen hinsichtlich Qualifikationserfordernissen, Höchst- oder Mindestalter oder bei Inkompatibilitäten.
III. Die völlige Unabhängigkeit der Datenschutz-Aufsichtsbehörden
Schon Art. 28 DS-RL sah vor, dass die „Datenschutz-Kontrollstellen“ völlig unabhängig zu sein hatten. In Art. 16 Abs. 2 AEUV wurde dies primärrechtlich übernommen, wobei trotz des Fehlens des Wortes „völlig“ im AEUV das Maß an Unabhängigkeit nicht etwa gesunken ist.[23]
Auch Art. 51 Abs. 1 und insbesondere Art. 52 DS-GVO betonen die Unabhängigkeit, indem sie strikte Vorgaben machen zum Verbot direkter wie indirekter Beeinflussung und der Weisungsfreiheit der „Mitglieder“, also obersten Leiter der Behörden. Art. 53 Abs. 4 DS-GVO schränkt die Möglichkeit, ein „Mitglied“ vorzeitig abzuberufen, ein. Denn eine Aufsichtsbehörde, deren Leiter jederzeit entlassen werden könnte, wäre weit von Unabhängigkeit entfernt.[24]
Ähnliches hat aufgrund der JI-RL in deren Anwendungsbereich in den Mitgliedstaaten zu gelten und gilt übrigens auch für den EDSB aufgrund der VO (EU) 2018/1725.
Die völlige Unabhängigkeit wurde durch Rechtsprechung des EuGH näher konkretisiert; diese Konkretisierung hat die neuen primär- und sekundärrechtlichen Regelungen (z.B. Art. 52 DS-GVO) geprägt, die daher ebenfalls im Sinne „völliger“ Unabhängigkeit zu lesen sind.[25]
Gerade die gegen Deutschland[26] und Österreich[27] ergangenen Urteile des EuGH betonen die völlige Unabhängigkeit der Datenschutzaufsicht.[28]
Danach haben die Datenschutz-Aufsichtsbehörden selbstverständlich unabhängig von den zu beaufsichtigenden Institutionen zu sein,[29] aber auch unabhängig von Weisungen oder direkten oder indirekten Beeinflussungen von außen, wozu auch die Politik, einschließlich Regierung,[30] Gesetzgeber und politischen Parteien, gehört.[31] Sie müssen „bei der Wahrnehmung ihrer Aufgaben objektiv und unparteiisch vorgehen. Hierzu müssen sie vor jeglicher Einflussnahme von außen einschließlich der unmittelbaren oder mittelbaren Einflussnahme des Bundes oder der Länder sicher sein“.[32]
IV. Bedrohung der Unabhängigkeit der Aufsichts behörden durch Strukturänderungen
Strukturänderungen, die gegen den Willen einer Aufsichtsbehörde erfolgen sollen, greifen offensichtlich in deren Unabhängigkeit ein.
Nach der Rechtsprechung des EuGH ist etwa die Auflösung einer Datenschutz-Aufsichtsbehörde ein Einbruch in deren Unabhängigkeit.[33] Nichts anderes würde es bedeuten, etwa die Aufsicht über den nichtöffentlichen Bereich von den Aufsichtsbehörden der Länder auf den BfDI zu übertragen: Das Bayerische Landesamt für Datenschutzaufsicht wäre dann ohne Tätigkeitsbereich, den übrigen Aufsichtsbehörden der übrigen Länder ginge ein wichtiger Teil ihrer Tätigkeitsbereiche verloren.
Die „Wegnahme“ von Zuständigkeiten, Aufgaben oder Befugnissen geht zwar nicht so weit wie die Auflösung einer Behörde, aber in dieselbe Richtung. Es würde sich um Maßnahmen handeln, die eine indirekte Beeinflussung der Behörde durch die Politik darstellen.
Zu berücksichtigen ist, dass nicht erst eine einzelne, konkrete Änderung in die Unabhängigkeit eingreift, sondern bereits die Möglichkeit der Änderung als Damoklesschwert einer Repressalie über der Aufsichtsbehörde schwebt. Wer weiß, dass ihm eine Zuständigkeit jederzeit entzogen, er jederzeit mit ungewollten Zuständigkeiten überladen, seine Behörde in die Provinz verlegt oder gar aufgelöst werden kann, wird möglicherweise Konflikte scheuen, die auszuhalten im Interesse des effektiven Grundrechtsschutzes[34] zu seinen Amtspflichten gehören. Jedenfalls entsteht ein entsprechender böser Schein.
Der EuGH hat in gefestigter Rspr. entschieden, „dass Art. 28 Abs. 1 UnterAbs. 2 der RL 95/46 dahin auszulegen ist, dass die für die Überwachung der Verarbeitung personenbezogener Daten zuständigen Kontrollstellen mit einer Unabhängigkeit ausgestattet sein müssen, die es ihnen ermöglicht, ihre Aufgaben ohne äußere Einflussnahme wahrzunehmen. Diese Unabhängigkeit schließt u.a. jede Anordnung und jede sonstige wie auch immer geartete äußere Einflussnahme aus, sei sie unmittelbar oder mittelbar, an denen ihre Entscheidungen ausgerichtet werden könnten und durch die in Frage gestellt werden könnte, dass die genannten Kontrollstellen ihre Aufgabe erfüllen, zwischen dem Schutz des Rechts auf Privatsphäre und dem freien Verkehr personenbezogener Daten ein ausgewogenes Verhältnis herzustellen (vgl. in diesem Sinne Urteile Kommission/Deutschland, Rn. 30, und Kommission/Österreich, Rn. 41 und 43).“[35]
Der EuGH führt im Urteil Kommission/Ungarn weiter aus, „dass schon die bloße Gefahr einer politischen Einflussnahme auf die Entscheidungen der Kontrollstellen ausreicht, um deren unabhängige Wahrnehmung ihrer Aufgaben zu beeinträchtigen. Zum einen könnte daraus nämlich ein „vorauseilender Gehorsam“ dieser Stellen im Hinblick auf die Entscheidungspraxis der Aufsichtsstelle folgen. Zum anderen erfordert Art. 28 Abs. 1 UnterAbs. 2 der RL 95/46 angesichts der Rolle der Kontrollstellen als Hüter des Rechts auf Privatsphäre, dass ihre Entscheidungen, also sie selbst, über jeglichen Verdacht der Parteilichkeit erhaben sind (Urteile Kommission/Deutschland, Rn. 36, und Kommission/Österreich, Rn. 52).
Dürfte aber ein Mitgliedstaat das Mandat einer Kontrollstelle vor seinem ursprünglich vorgesehenen Ablauf beenden, ohne die von den anwendbaren Rechtsvorschriften zu diesem Zweck im Voraus festgelegten Grundsätze und Garantien zu beachten, könnte die Drohung einer solchen vorzeitigen Beendigung, die dann während der gesamten Ausübung des Mandats über dieser Stelle schwebte, zu einer Form des Gehorsams dieser Stelle ggü. den politisch Verantwortlichen führen, die mit dem Unabhängigkeitsgebot nicht vereinbar wäre (vgl. in diesem Sinne Urteil Kommission/Österreich, Rn. 51). Dies gilt auch dann, wenn das vorzeitige Ende des Mandats auf einer Umstrukturierung oder einer Änderung des Modells beruht; diese sind in einer Weise zu gestalten, dass sie die Anforderungen der geltenden Rechtsvorschriften an die Unabhängigkeit erfüllen.
Zudem könnte in einer solchen Situation nicht davon ausgegangen werden, dass die Kontrollstelle bei ihrer Tätigkeit in jedem Fall über jeden Verdacht der Parteilichkeit erhaben ist. Das Unabhängigkeitsgebot in Art. 28 Abs. 1 UnterAbs. 2 der RL 95/46 ist daher notwendigerweise dahin auszulegen, dass es die Verpflichtung umfasst, die Dauer des Mandats der Kontrollstellen bis zu seinem Ablauf zu beachten und sie nur unter Einhaltung der Grundsätze und Garantien der anwendbaren Rechtsvorschriften vorzeitig zu beenden.“[36]
Die vorzeitige Abberufung des Mitglieds oder die vorzeitige Auflösung seiner Behörde dürften abseits persönlicher Verfolgung die schwerwiegendsten Beeinträchtigungen der Unabhängigkeit darstellen. Die nachteilige Änderung der Tätigkeit (Zuständigkeit, Aufgaben, Befugnisse) oder der Organisation der Behörde beeinträchtigt die Unabhängigkeit zwar graduell weniger, strukturell aber eben auch.
Denn es handelt sich auch bei solchen Änderungen um „sonstige wie auch immer geartete äußere Einflussnahme […], sei sie unmittelbar oder mittelbar, an denen ihre Entscheidungen ausgerichtet werden könnten und durch die in Frage gestellt werden könnte, dass die genannten Kontrollstellen ihre Aufgabe erfüllen“.[37] Sie sind daher grundsätzlich unzulässig.
V. Lösungsansatz
1. Grundsatz
Will man die völlige Unabhängigkeit der Datenschutz-Aufsichtsbehörde ernstnehmen und dennoch die Rechte des Gesetzgebers nicht unnötig beschneiden, so muss zwischen den beiden Positionen „praktische Konkordanz“ hergestellt werden. Beide Positionen müssen möglichst ohne Verletzung der Gegenposition berücksichtigt werden.
Spätere Parlamente dürfen nicht auf ewig auf Entscheidungen früherer Parlamente festlegt werden,[38] Strukturänderungen müssen also prinzipiell möglich sein. Gleichzeitig ist die Unabhängigkeit zu wahren, vor allem, indem Willkür und der Eindruck der „Bestrafung“ der Behörde vermieden werden.
Dazu sollten Strukturänderungen nur bei wirklich bestehender „Not-Wendigkeit“ im Wortsinn überhaupt angedacht werden. Kommission und Europäischer Datenschutzbeauftragter haben im Verfahren Kommission/Ungarn vertreten, Änderungen (dort: Verkürzungen der Amtszeit vor ihrem Ablauf) seien nur, aber immerhin, „aus schwerwiegenden und objektiv nachprüfbaren Gründen“ möglich.[39] Dem ist der EuGH indes nicht gefolgt, sondern er hat politisch gewillkürte vorzeitige Beendigungen der Amtszeit schlechthin für unzulässig erklärt.[40]
Hält der Gesetzgeber Änderungen für nötig, ist das Einvernehmen mit der Aufsichtsbehörde zu suchen. Kann kein Einvernehmen hergestellt werden, sollte der Änderungswunsch noch einmal überdacht werden.
Wird er weiterhin für unumgänglich gehalten, so scheint ein die Unabhängigkeit respektierender Weg nur wie folgt gegeben zu sein: Es ist eine so lange Übergangsfrist bis zum Inkrafttreten der Änderung vorzusehen, dass bis dahin die Amtszeit des Mitglieds der Aufsichtsbehörde (also aller Mitglieder aller betroffener Aufsichtsbehörden ohne Einvernehmen) abgelaufen und entweder nach Wiederwahl die neue Amtszeit des bisherigen Mitglieds begonnen hat oder ein neues Mitglied im Amt ist.[41]
Denn in diesen beiden Fällen besteht kein böser Schein unzulässiger Einflussnahme.
Ein neues Mitglied wird kaum für Handlungen des Vorgängers „abgestraft“ werden. Auch ein wiedergewähltes Mitglied dürfte nicht „abgestraft“ worden sein: es hätte ja gar nicht wiedergewählt werden müssen.
Nach kursorischer Prüfung zeigt sich, dass Änderungen, die alle Aufsichtsbehörden in Bund und Ländern beträfen, bei fehlendem Einvernehmen eine lange Vorlaufzeit benötigten. So endet die im Sommer begonnene Amtszeit in Schleswig-Holzstein 2026.[42] Allerdings können Unschärfen nicht ausgeschlossen werden. Vorzeitige Beendigungen von Amtszeiten (wie in Hessen wegen der früheren Koppelung an die Legislaturperiode), unterjährige Beginn- und Enddaten, Weiterbeschäftigung bis zur Ernennung eines Nachfolgers sowie Übergangsvorschriften anlässlich des Wirksamwerdens der DS-GVO machen es nicht immer leicht, das korrekte Datum des Endes einer Amtszeit zu prognostizieren.
In Sachsen-Anhalt etwa scheint die Amtsdauer im März 2017 abgelaufen, ein Nachfolger nicht gewählt und der Amtsinhaber bis heute nur übergangsweise im Amt zu sein.[43] Auch diese Konstellation ist ob ihrer jederzeitigen Beendbarkeit keine, die völliger Unabhängigkeit gerecht wird – auch wenn das Funktionieren in der Praxis für eine für alle Beteiligten annehmbare Situation zu sprechen scheint und ein in einer „Bonusamtszeit“ befindlicher, keine Nachteile im persönlichen Fortkommen mehr befürchten müssender Amtsinhaber sicherlich besonders immun gegen unsachliche Beeinflussungsversuche ist.
2. Ausnahmen
Es ist denkbar, dass es zu der unter I. aufgestellten Regel Ausnahmen gibt.
a) Objektiv unabweisbare Notwendigkeit
Denkbar sind etwa objektiv unabweisbare Notwendigkeiten. Ist etwa das Amtsgebäude durch Bombendrohung oder wegen schwerer baulicher Mängel gefährdet, mag die Polizei die Evakuierung oder die Baubehörde eine Nutzungsuntersagung verfügen und die Aufsichtsbehörde so zu Arbeitsunterbrechungen oder zum Umzug „zwingen“. Auch infektionsschutzrechtliche Anordnungen können sich auf die Tätigkeit der Aufsichtsbehörde auswirken.
Hier ist freilich höchste Rücksichtnahme auf die völlige Unabhängigkeit geboten.
b) Bagatelländerungen
Eine Ausnahme können auch solche Strukturänderungen darstellen, die so geringfügig wirken, dass sie als Bagatelle keinen unzulässigen Einfluss auf die Tätigkeit haben und auch keinen derartigen bösen Schein erzeugen können. Sollten sie sich allerdings auffällig häufen, so wäre dem mit Misstrauen zu begegnen.
VI. Fazit
Die Gesetzgeber in Bund und Ländern, aber auch auf europäischer Ebene, behalten zwar das Recht, Strukturänderungen, also Tätigkeits- und Organisationsänderungen, hinsichtlich der Datenschutz-Aufsichtsbehörden vorzunehmen.
Diese stellen jedoch erhebliche Eingriffe in deren primär- und sekundärrechtlich angeordnete völlige Unabhängigkeit dar. Sie haben daher grundsätzlich im Einvernehmen mit der Aufsichtsbehörde zu erfolgen.
Wenn dieses nicht erreichbar ist, kann die Änderung frühestens nach Ablauf der Amtszeit des Mitglieds der Aufsichtsbehörde erfolgen, also entweder wenn nach Wiederwahl die neue Amtszeit des bisherigen Mitglieds begonnen hat oder wenn ein neues Mitglied im Amt ist. Sind mehrere Aufsichtsbehörden betroffen, so ist das Ende der Amtszeiten aller das Einvernehmen nicht herstellender „Mitglieder“ abzuwarten.
Dr. Wolfgang Ziebarth ist Referent in Abt. 4 (Datenschutz im nichtöffentlichen Bereich) beim Landesbeauftragten für den Datenschutz und die Informationsfreiheit Baden-Württemberg. Er gibt in diesem nicht dienstlich veranlassten Beitrag ausschließlich seine persönliche Auffassung wieder.
[1] Roßnagel, ZD 2015, 106, 107.
[2] Vertrag über die Arbeitsweise der Europäischen Union.
[3] Charta der Grundrechte der Europäischen Union.
[4] Von Lewinski, DuD 2012, 564, 567.
[5] Verordnung (EU) 2018/1725 des Europäischen Parlaments und des Rates vom 23. Oktober 2018 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union, zum freien Datenverkehr und zur Aufhebung der Verordnung (EG) Nr. 45/2001 und des Beschlusses Nr. 1247/2002/EG.
[6] Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates.
[7] Bresich/Riedl/Sourhada-Kirchmayer, ZfRV 2014, 52, 60.
[8] Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24.10.1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr.
[9] Wilhelm, in: Wolff/Brink (Hrsg.), BeckOK Datenschutzrecht, 32. Edition, Stand: 01.11.2019, § 40 Rn. 12.
[10] Ziebarth, CR 2013, 60, 67.
[11] Art. 15, 18 des bayerischen Datenschutzgesetzes. Erstaunlicherweise scheint das Bayerische Landesamt für Datenschutzaufsicht, soweit es selbst Verantwortlicher ist, als öffentliche Stelle der Aufsicht des Landesbeauftragten zu unterstehen. Jedenfalls sind gegenteilige Regelungen nicht ersichtlich. Eine solche Aufsicht, die ja z.B. auch die Bewertung der Erforderlichkeit von Datenverarbeitungen zur Aufgabenerfüllung umfassen würde, wäre ein Einbruch in die völlige Unabhängigkeit des Landesamts und damit unionsrechtswidrig. Über entsprechende Aktivitäten ist dem Verfasser allerdings nichts bekannt.
[12] Eine Ausnahme dürfte das Bayerische Landesamt für Datenschutzaufsicht darstellen, weil es keine Behörden beaufsichtigt. Ähnliches gilt für Aufsichtsbehörden der Rundfunkanstalten und Kirchen.
[13] Dazu von Lewinski (o. Fn. 4), 566.
[14] Smolle, in: Zilkens/Gollan, Datenschutz in der Kommunalverwaltung, 5. Aufl. 2019, Rn. 1071; König, DuD 2013, 101 ff.; Herb, ZUM 2004, 530, 531 f.
[15] Vgl. EuGH, Urteil vom 09.03.2010 – C-518/07 (Kommission/Deutschland), Rn. 43, 44.
[16] EuGH, Urteil vom 08.04.2014, C-288/12 (Kommission/Ungarn), Rn. 60.
[17] Will, DuD 2020, 369, 371.
[18] Gutachten der Datenethikkommission, https://datenethikkommission. de/gutachten/, S. 18, 28, 103, 101; vgl. auch Schulzki-Haddouti, Landesdatenschützer sollen Kontrolle über Firmen verlieren, 03.06.2020, https://glm.io/148872; zu diesbezüglichen verfassungsrechtlichen Fragen ausführlich Will (o. Fn. 17), 372.
[20] Vgl. Art. 52 Abs. 3 DS-GVO und dazu Ziebarth, in: Sydow, DS-GVO, 2. Aufl. 2018, Art. 52 Rn. 34.
[21] Vgl. zum sächsischen Rechnungshof und dessen Umzug nach Döbeln VerfGH Sachsen, Urteil vom 25.02.2014 – Vf. 71-I-12, NJOZ 2014, 705; kritisch dazu Ziebarth (o. Fn. 19), Art. 54 Rn. 12.
[22] Ziebarth (o. Fn. 19), Art. 54 Rn. 12.
[23] Selmayr, in: Selmayr/Ehmann, DS-GVO, 2. Aufl. 2018, Art. 52 Rn. 13.
[24] Ziebarth (o. Fn. 10), 64
[25] Kühling/Martini et al., Die DS-GVO und das nationale Recht, 2016, S. 160 ff.
[26] EuGH (o. Fn. 15).
[27] EuGH, Urteil vom 16.12.2012, C-614/10 (Kommission/Österreich); dazu Bresich/Riedl/Sourhada-Kirchmayer (o. Fn. 7), 55 ff.
[28] Vgl. im Detail Thomé, Reform der Datenschutzaufsicht – Effektiver Datenschutz durch verselbstständigte Aufsichtsbehörden, 2015, S. 66 ff.
[29] Kühling/Martini et al (o. Fn. 24), S. 20 f.
[30] EuGH (o. Fn. 26), Rn. 45 ff, 56 ff., 62 ff.; Schwartmann/Theodorou, RDV 2014, 61, 64 ff.
[31] Wilhelm (o. Fn. 9), § 40 Rn. 12; Roßnagel (o. Fn. 1), 107 ff; Ziebarth (o. Fn. 10), 64; vgl. auch Giesen, RDV 1998, 15, 16; Wippermann, DÖV 1994, 929.
[32] EuGH (o. Fn. 15), Rn. 25; ähnlich Groß, DuD 2002, 684, 685; vgl. auch Hellermann/Wieland, DuD 2000, 284, 285.
[33] EuGH (o. Fn. 16).
[34] Vgl. schon BVerfG, Urteil vom 15.12.1983, 1 BvR 209 u.a. = BVerfGE 65, 1, 46; EuGH (o. Fn. 16), Rn. 48.
[35] EuGH (o. Fn. 16), Rn. 51
[36] EuGH (o. Fn. 16), Rn. 53-55.
[37] Dazu EuGH (o. Fn. 16), Rn. 51.
[38] Vgl. Ziebarth (o. Fn. 10), 64.
[39] Dazu EuGH (o. Fn. 16), Rn. 38.
[40] Dazu EuGH (o. Fn. 16), Rn. 53 ff.
[41] So zu erzwungenen Umzügen auch schon Ziebarth (o. Fn. 19), Art. 54 Rn. 12 und Ziebarth, in: Sydow (Hrsg.), BDSG, 1. Aufl. 2020, § 8 Rn. 6.
[42] § 1 Abs. 1 S. 1 Errichtungsgesetz ULD SH; VG Schleswig, Beschluss vom 19.08.2020, 12 B 36/20, Beck RS 2020, 21000.
[43] Vgl. das Vorwort zum 16. Tätigkeitsbericht des Landesbeauftragten für den Datenschutz Sachsen-Anhalt (https://datenschutz.sachsen-anhalt.de/fileadmin/Bibliothek/Landesaemter/LfD/PDF/binary/Informationen/Veroeffentlichungen/Taetigkeitsberichte/TB_16/16._Taetigkeitsbericht_Datenschutz.pdf).