Datenschutz entbürokratisieren!
Vor genau vierzig Jahren, am 15. Dezember 1983, fällte das Bundesverfassungsgericht sein Volkszählungsurteil. Das war ein Meilenstein. Denn die Karlsruher Richterinnen und Richter verboten eine Volkszählung mit Besuchen von Tür zu Tür, bei der auch noch weitere Daten erhoben werden sollten. Sie leiteten aus dem Grundgesetz ein individuelles Recht auf informationelle Selbstbestimmung ab. Das war ein historischer Sieg für die Bürgerrechte, weil von nun an juristisch anerkannt war, dass das uferlose Sammeln von Daten durch den Staat bürgerliche Freiheit und die Demokratie selbst gefährden könne.
Andererseits wissen wir heute, dass neue Geschäftsmodelle, die die Digitalisierung ermöglicht und die vielen Menschen Wohlstand und Nutzen bringen, auf Daten angewiesen sind – und zwar auf große Mengen von Daten. Das gilt gerade für die Revolutionen, die die Künstliche Intelligenz mit sich bringen wird. Ein Versuch, die Perspektiven des Freiheitsschutzes und der Datenökonomie zusammenzuführen, war die Datenschutz-Grundverordnung (DSGVO). Sie sollte klare und einheitliche Regelungen für den gesamten europäischen Binnenmarkt liefern.
Leider ist sie heute in weiten Teilen der Wirtschaft Synonym für Überbürokratisierung geworden. Ganz fair ist das nicht. Denn ein Großteil dieses Frusts über „den Datenschutz“ ist gar nicht Folge der Regelung selbst, sondern Folge der Struktur unserer Datenschutzaufsicht: Im föderalen Deutschland zeigte sich schnell, dass das Versprechen der Vereinheitlichung des Rechts nur unzureichend eingelöst werden konnte.
Die Aufsicht über die Einhaltung des Datenschutzes ist grundsätzlich Sache der Länder. Nur für einige, durchaus wichtige Bereiche wie zum Beispiel Telekommunikationsunternehmen liegt die Aufsicht beim Bundesdatenschutzbeauftragten. Die Aufsichtsbehörden in den Ländern und im Bund sind unabhängig.
Das bedeutet jedoch auch, dass jede Aufsichtsbehörde die Regelungen zum Datenschutz eigenständig auslegen und durchsetzen kann.
Dies führt immer wieder zu unterschiedlichen Auslegungen des Datenschutzrechts innerhalb Deutschlands. Statt eines europaweit einheitlichen Rechtsrahmens haben wir heute in Deutschland mitunter sechzehn verschiedene Datenschutzrechte. Das führt zu kuriosen Situationen, wie das folgende Beispiel zeigt: Viele Unternehmen und Privatpersonen nutzen die cloudbasierte Software Microsoft 365. Die Aufsichtsbehörden prüften, ob diese Software datenschutzkonform sei. Eine hauchdünne Mehrheit der Behörden verneinte das bei einer Datenschutzkonferenz im Juli 2020. Wenige Wochen später distanzierten sich die obersten Datenschützer aus vier Bundesländern per Pressemitteilung von diesem Ergebnis. Erst im November 2022 einigte man sich auf eine gemeinsame Position.
Das bedeutet: Über zwei Jahre mussten Unternehmen mit Standorten in mehreren Bundesländern davon ausgehen, dass für ihre unterschiedlichen Standorte unterschiedliche datenschutzrechtliche Anforderungen an ihre Nutzung der Software gelten – ein bürokratisches Ärgernis ersten Ranges. Es gibt zahlreiche ähnliche Beispiele.
Das ist kein befriedigender Zustand. Wir brauchen schneller mehr Berechenbarkeit. Es ist eine einheitliche Auslegung für ganz Deutschland nötig. Nur so gelingt Bürokratieabbau durch besseren Gesetzesvollzug. Wie können wir also mehr Rechtssicherheit erreichen? Wir brauchen im föderalen Miteinander Abstimmungsmechanismen, die zu verbindlichen Ergebnissen für die Datenschutzbehörden in ganz Deutschland führen. Zwischen den Behörden der EU-Mitgliedstaaten gibt es einen solchen Mechanismus mit dem Europäischen Datenschutzausschuss schon heute.
Auch in Deutschland stimmen sich die Behörden bereits in einem gemeinsamen Gremium ab, der Datenschutzkonferenz. Dort fassen sie zu wichtigen Themen Beschlüsse – allerdings bleiben die Abstimmungsergebnisse unverbindlich. An dieser Stelle sollten wir ansetzen.
Mein Vorschlag lautet daher, die Beschlüsse der Datenschutzkonferenz mit rechtlicher Verbindlichkeit für alle Datenschutzbehörden auszustatten. Das macht jedoch eine Änderung des Grundgesetzes erforderlich. Denn das Grundgesetz etabliert eine klare Verantwortungsteilung zwischen Bund und Ländern, auch beim Gesetzesvollzug.
Unsere Verfassung verbietet es daher, dass ein Gremium, dem Bund und Länder angehören, rechtlich bindende Beschlüsse fasst. Wenn wir aber ein einheitliches Datenschutzrecht für ganz Deutschland erreichen wollen, dann müssen wir hier eine Ausnahme zulassen. Die Folge wäre mehr Rechtssicherheit im Datenschutz – im Interesse aller, die tagtäglich mit personenbezogenen Daten umgehen. Mehr Rechtssicherheit würde auch die Akzeptanz der Regeln verbessern.
Diese ist gefährdet, wenn Datenschutz nur noch als bürokratische Belastung gesehen wird. Das wäre bedauerlich, denn das Recht auf informationelle Selbstbestimmung ist heute noch wichtiger als vor vierzig Jahren. Das wäre sicher auch im Sinne der Pioniere des Datenschutzes, die damals vor das Bundesverfassungsgericht zogen. Ihnen ging es um mehr Schutz ihrer Freiheit, nicht um mehr Bürokratie.