Nachdem der europäische Gesetzgeber mit der DS-GVO auch in Deutschland für den Datenschutz den Takt vorgibt, trifft ihn natürlich auch zuerst Kritik an sinnarmen und -losen Regelungen. Beispiele aus Sicht des Verfassers: Pflicht zur generellen ungefragten Datenschutzinformation; Verantwortung des Blumenhändlers für sein PC-Betriebssystem und die Internet-Suchmaschine sowie gemeinsame Verantwortlichkeit mit Meta und Sophos. Aber daneben bleiben beträchtliche Regelungskompetenzen für Bund und Länder. Auch dort bestehen durchaus Möglichkeiten, datenschutzrechtliche Gesetze zu verbessern und zu vereinfachen. Die folgenden Punkte beziehen sich auf Sachsen, lassen sich aber fast durchweg auf alle oder die meisten anderen Bundesländer übertragen.

Strafverfolgung

Das europäische Recht regelt den Datenschutz in der DS-GVO sehr detailliert, in der sogenannten JI-Richtlinie – vor allem für die Bereiche Polizei und Strafjustiz – mit größerem Umsetzungsspielraum. Aber ist es wirklich klug, diesen Spielraum auszunutzen? Tut man es, entstehen in Deutschland mindestens 17 verschiedene Regelungswerke – beim Bund und den 16 Ländern.

Einige Bundesländer und der Bund haben ihr Datenschutzrecht in einem Gesetz gebündelt. Andere – zum Beispiel Sachsen – haben die DS-GVO und die JI-Richtlinie jeweils durch ein eigenes Gesetz beantwortet. Im Ergebnis haben sächsische Polizeibeamte die DS-GVO mit dem Sächsischen Datenschutz-Durchführungsgesetz (SächsDSDG) und die JI-Richtlinie mit dem Sächsischen Datenschutz-Umsetzungsgesetz (SächsDSUG) anzuwenden – daneben natürlich die Datenschutz-Regeln in den Fachgesetzen wie zum Beispiel dem Sächsischen Beamtengesetz oder dem Sächsischen Polizeigesetz. Das geht besser und einfacher.

Spezifische Datenschutz-Aufsichten

An anderen Stellen gewährt die DS-GVO selbst Spielraum. So erlaubt Art. 85 DS-GVO Abweichungen und Ausnahmen bei der Datenverarbeitung zu journalistischen, wissenschaftlichen, künstlerischen oder literarischen Zwecken. Und wieder gilt: Es gibt keine Pflicht, Spielräume auszunutzen. Manchmal ist es klüger, darauf zu verzichten. Umsetzung leider – soweit erkennbar in allen Bundesländern: Neben der allgemeinen Datenschutz-Aufsicht zusätzliche Mini-Aufsichten (1) für die öffentlich-rechtlichen Medien und (2) für die privaten Medien. Für die Presse existiert keinerlei effektive Datenschutz-Aufsicht. Zu manchen dieser Aufsichtsstellen ist auch bei wiederholter Anfrage kein Kontakt möglich. Die Abgrenzung der Zuständigkeiten fällt schwer, kostet Kraft und ist fehleranfällig. Das deutsche Datenschutzrecht bleibt – trotz DS-GVO – ein Flickenteppich.

Landesparlamente

Richtig skurril wird die Ausnutzung von Spielräumen zum Beispiel, wenn die Landesparlamente ihre eigenen Datenschutzpflichten regeln. Was für Privatwirtschaft und Normalbehörden gilt, vom jeweiligen Landtag für die Landesbehörden in den Landesdatenschutzgesetzen teils selbst geregelt wird, möchten die Parlamente in eigener Sache oft nicht anwenden. Deshalb hat sich zum Beispiel der Sächsische Landtag eine eigene Datenschutzordnung gegeben.

Ausreichend wäre, die Besonderheiten der parlamentarischen Datenverarbeitung in einem Paragraphen eines Landesdatenschutzgesetzes zu regeln. Stattdessen findet sich der Versuch, in 21 Paragraphen einen eigenständigen Datenschutz zu normieren. Das wirkt holprig und seltsam. Teils ist es ganz sicher EU-rechtswidrig. Zum Beispiel befasst sich § 7 Abs. 2 der Datenschutzordnung des Sächsischen Landtags mit der Veröffentlichung von Daten durch den Petitionsausschuss. Inzwischen hat aber der EuGH – Urt. v. 9.7.2020, Rs. C-272/19 – geklärt, dass die Datenverarbeitung von Petitionsausschüssen der Parlamente an die DS-GVO gebunden ist.

Hochschulrecht

Noch ein Beispiel landesrechtlicher Überregulierung: Bekanntlich verlangt die DS-GVO für jede Verarbeitung personenbezogener Daten eine Rechtsgrundlage. Sie verlangt jedoch nicht, dass der nationale Gesetzgeber – oder sonst irgendeine Stelle – sämtliche zulässigen Datenkategorien und die zugehörigen Verwendungszwecke abschließend aufzählt. Eine solche Aufgabe wäre auch gar nicht umsetzbar.

Der sächsische Gesetzgeber (und nicht nur er) hat aber zum Beispiel für die Datenverarbeitung durch Hochschulen genau diese unlösbare Aufgabe gestellt: Gemäß § 15 Abs. 4 Satz 1 des Sächsischen Hochschulgesetzes (SächsHSG) regelt an den Hochschulen jeweils „der Senat […] welche Daten […] verarbeitet werden dürfen, welche Organe, Gremien, Kommissionen, Amtsträgerinnen und Amtsträger der Hochschule welche Daten verarbeiten dürfen sowie das Verfahren der Verarbeitung dieser Daten.“

Das heißt: Auch wenn eine Datenverarbeitung durch die Hochschule erforderlich ist, um eine Prüfung durchzuführen (§ 15 Abs. 1 Satz 1 Nr. 2 SächsHSG) darf sie nur durch jene Stellen und für jene Daten stattfinden, die zusätzlich in der Datenschutzordnung des Senats der Hochschule aufgelistet sind (§ 15 Abs. 4 Satz 1 SächsHSG). Das ist weder notwendig, noch verbessert es den Datenschutz. Wahrscheinlich ist die Regelung sogar EU-rechtswidrig mit Blick auf Art. 6 Abs. 1 lit. e) i. V. m. Abs. 3 Satz 4 DS-GVO, wonach nationale Regeln „ein im öffentlichen Interesse liegendes Ziel verfolgen und in einem angemessenen Verhältnis zu dem verfolgten legitimen Zweck stehen“ müssen.

Informationssicherheit

Und abschließend aus dem gerade novellierten Sächsischen Informationssicherheitsgesetz (SächsISichG) ein Beispiel für das Gegenteil von gut ist gut gemeint: § 12 Abs. 1 SächISichG erlaubt Datenprotokollierung unter anderem zur Verhinderung und Abwehr von Angriffen auf die IT-Systeme. § 13 Abs. 2 Satz 5 i. V. m. Abs. 4 desselben Gesetzes verlangt für die „nicht automatisierte Verarbeitung“ der Protokolldaten – zwecks Beseitigung von Gefahren für IT-Systeme – eine Anordnung durch die Behördenleitung und eine/n Bedienstete/n mit Befähigung zum Richteramt – landläufig: Volljuristen.

Bemerkt ein IT-Administrator also am Freitagnachmittag technische Probleme, dann beschafft er sich vor dem Blick in die Protokolldaten des Servers eine Anordnung durch Behördenleiter und Volljuristen… . Hoffen wir, dass beide Personen stets schnellstens greifbar sind. Anordnen werden sie dann sicher, denn wie sollen sie mangels eigener technischer Kenntnisse die Gefahrenlage einschätzen?

Um zum Jahresbeginn – in der Zeit guter Vorsätze – ein positives Fazit zu ziehen: Es gibt Verbesserungspotenzial im Datenschutzrecht, auch auf Landesebene und nicht nur im fernen Brüssel.

Über den Autor: Prof. Dr. Ralph Wagner ist Vorstand des DID Dresdner Institut für Datenschutz sowie Vorsitzender des ERFA-Kreis Sachsen der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD). Als Honorarprofessor an der Technischen Universität Dresden hält er regelmäßig Vorlesungen und Seminare zum Thema Datenschutzrecht. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Im NOMOS-Verlag ist nun in der Reihe NOMOS Handkommentar, die nach und nach Kommentierungen der Landesdatenschutzgesetze veröffentlicht, der von Stephanie Schiedermair (Universität Leipzig) herausgegebene Kommentar zum Sächsischen Datenschutzdurchführungsgesetz (SächsDSDG) erschienen. Warnung vorab: Der Blog-Autor ist Mitverfasser, eine neutrale Beurteilung des Kommentars deshalb von ihm nicht zu erwarten. Leserinnen und Leser sind eingeladen, sich ein eigenes Urteil zu bilden.

Zum Sächsischen Datenschutzdurchführungsgesetz

Relevant ist die Kommentierung vor allem für die behördlichen Datenschutzbeauftragten in Sachsen und die dortigen Rechtsanwender sowie Berater. An dieser Stelle lohn ein Blick auf die „Gesetzeslandschaft“:

Das Sächsische Datenschutzdurchführungsgesetz regelt die Umsetzung der DS-GVO, soweit hierfür Kompetenzen beim sächsischen Gesetzgeber liegen, also in erster Linie für die Stellen des Freistaates Sachsen. Daneben existiert das Sächsische Datenschutzumsetzungsgesetz (SächsDSUG) zur Umsetzung der Datenschutz-Richtlinie 2016/680 „zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung und Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr […]“. Für das SächsDSUG ist keine eigene Kommentierung zu erwarten. Bei zahlreichen Einzelfragen kann man aber auf die Kommentierung der – teils identischen, teils sehr ähnlichen – Regeln im Sächsischen Datenschutzdurchführungsgesetz zurückgreifen.

Der Bundesgesetzgeber und einige Landesgesetzgeber (z.B. der Freistaat Bayern) haben sich für die Zusammenfassung beider Bereiche in einem Gesetz entschieden. Dieser „monistische“ Ansatz bietet tatsächlich große Vorteile: Auch in denjenigen Behörden, die nach JI-RL zu arbeiten haben, gelten die entsprechenden Regeln schließlich nur für die Datenverarbeitung z.B. im Zusammenhang mit der Strafverfolgung. Bei der Verarbeitung der eigenen Beschäftigtendaten greifen dann wieder die DS-GVO und in Sachsen das Sächsische Datenschutzdurchführungsgesetz.

Es lag und liegt sehr nahe, die Normen in verschiedene Abschnitte eines Gesetzes zu fassen, weitestmöglich themenidentisch zu regeln und solche (einheitlichen) Regelungen in gesetzestechnisch bewährter Art als allgemeinen Teil „vor die Klammer zu ziehen“ (vgl. im BDSG: Teil 1 Gemeinsame Bestimmungen, Teil 2 Durchführungsbestimmungen zur DS-GVO, Teil 3 Durchführungsbestimmungen zur JI-RL). Ebenso nahe liegt, einem entsprechenden Gesetz dann als letzten Teil noch diejenigen Datenschutznormen anzufügen, die sich weder auf DS-GVO, noch auf JI-RL beziehen. Das sind im Bereich der Bundesländer z.B. die Regeln zu den Datenverarbeitungen des Parlaments (insoweit keine Gesetzgebungskompetenz der EU). Der Freistaat Sachen ist jedoch auch insoweit den Weg der Rechtszersplitterung gegangen und hat eine gesonderte Datenschutzordnung für den Sächsischen Landtag erlassen (selbes Vorgehen z.B. in Baden-Württemberg). Anders der Bundesgesetzgeber, der im Teil 4 des BDSG die Datenverarbeitungen außerhalb DS-GVO und JI-RL regelt.

Ein Nachteil (sicher nicht der größte) des sächsischen Vorgehens besteht nun darin, dass nur ein Teil des Landesdatenschutzrechts wissenschaftlich und publizistisch überhaupt vertiefter Bearbeitung lohnt. Das SächsDSUG und die Landtagsdatenschutzordnung werden wegen der zwergenhaften Anwendungsbereiche hingegen dauerhaft kaum Beachtung in der Fachliteratur finden. Soweit der Ausflug in die Gesetzesstruktur und der Blick auf den bedauerlichen „Datenschutz-Flickenteppich“.

Der Kommentar

Zurück zu den „hard facts“ des Kommentars: 289 Seiten, 69 Euro, Autoren aus Aufsichtsbehörde, Richterschaft, Wissenschaft und Anwaltschaft. Wer in sächsischen Behörden mit Datenschutz befasst ist, sollte testen, ob das Werk die Tagesarbeit erleichtert. Behördliche Datenschutzbeauftragte dürfen ihre Dienststelle dazu auf Art. 38 Abs. 2 DS-GVO (Bereitstellung erforderlichen Ressourcen) hinweisen. Kritik und Hinweise (natürlich auch Lob) sind dem Verlag und den Autoren – u.a. auch mit Blick auf eine mögliche Aktualisierung – willkommen.

Über den Autor: Prof. Dr. Ralph Wagner ist Vorstand des DID Dresdner Institut für Datenschutz, Vorsitzender des ERFA-Kreis Sachsen der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD) sowie Mitglied des Ausschusses für Datenschutzrecht der Bundesrechtsanwaltskammer (BRAK). Als Honorarprofessor an der Technischen Universität Dresden hält er regelmäßig Vorlesungen und Seminare zum Thema Datenschutzrecht. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.