und der Länder vom 6. und 7. April 2016 in Schwerin
Vorschläge zu ersten Strukturfolgerungen aus der DSGVO Unter der Annahme, dass
die dem BDSG zugrunde liegende föderative Aufgabenverteilung insbesonde-re im nichtöffentlichen Beinsbesonde-reich sich in einer nach der Europäischen Daten-schutz-Grundverordnung (EU-DSGVO) geforderten gesetzlichen Übergangs-regelung wieder findet,
eine rechtzeitige Einigung innerhalb der unabhängigen Aufsichtsbehörden (Datenschutzkonferenz – DSK) den Umsetzungsprozess der EU-DSGVO deutlich unterstützen würde,
es auf europäischer Ebene wichtig ist, über längere Zeiträume personelle Kon-tinuität im Umgang mit den anderen europäischen Aufsichtsbehörden, dem Europäischen Datenschutzausschuss und der Europäischen Kommission zu ermöglichen,
wegen der Sonderbedingungen der völligen Unabhängigkeit der beteiligten Behörden Vorbilder für die hierbei zu erfüllenden Regelungsaufgaben fehlen macht die Konferenz folgende Vorschläge (vorbehaltlich etwaiger Zuständigkeiten und Befugnisse weiterer Aufsichtsbehörden, z. B. für Kirchen oder Rundfunkanstal-ten) für weitere Beratungen:
1. Grundsatzregelung
Innerhalb einer gesetzlichen Regelung sollte Folgendes geregelt werden:
Die unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder bilden einen Zusammenschluss (Datenschutzkonferenz). Unbeschadet der Regelungen unter Ziffer 3 regeln sie das Nähere autonom, insbesondere
das Verfahren, mit dem sichergestellt wird, dass die Datenschutzaufsichtsbe-hörden in der Bundesrepublik Deutschland wirksam am Kohärenzverfahren nach der Europäischen Datenschutz-Grundverordnung teilnehmen,
den innerstaatlichen Koordinierungs- und Abstimmungsprozess zur Mitwirkung im Europäischen Datenschutzausschuss
die Bindungswirkung von Entscheidungen gegenüber der Vertretung im euro-päischen Datenschutzausschuss in Fällen des Art. 64 DSGVO
die fachliche Verantwortlichkeit des Leiters der zentralen Kontaktstelle nach Erwägungsgrund 119 gegenüber den unabhängigen Datenschutzbehörden des Bundes und der Länder und die damit korrespondierende Weisungsbe-fugnis über die Kontaktstelle.
2. Vertretung im europäischen Datenschutzausschuss Die DSK legt hierzu keinen Verfahrensvorschlag vor.
3. Zuständigkeiten und Beteiligungsverfahren
Zuständigkeitsregelungen sowie die Beteiligung in den Verfahren der Zusammenar-beit und der Kohärenz sind, soweit sie Außenwirkung entfalten, durch Gesetz zu tref-fen. Eine umfassende Zuständigkeitsregelung kann der Bundesgesetzgeber nicht treffen. Die Gesetzgebungskompetenz des Bundes aus Art. 84 Abs. 1, Satz 1 GG beschränkt sich auf den Vollzug von Bundesgesetzen. Auch die Landesgesetzgeber haben somit Zuständigkeitsregelungen zu treffen.
Für die Festlegung der Zuständigkeiten sind die folgenden Ansätze (laut Anlage) empfehlenswert. Sie haben das Ziel, soweit wie möglich eine bei einer Behörde kon-zentrierte Zuständigkeit zu erreichen und sich dabei an sachlichen Kriterien zu orien-tieren.
Damit ist im grenzüberschreitenden Fall häufig eine Abweichung vom Wortlaut der DSGVO verbunden. Ob dies mit den Vorgaben der DSGVO vereinbar ist, ist im Rahmen des Gesetzgebungsverfahrens zu prüfen.
Das Gesetz sollte sich darauf beschränken, die Aufsichtsbehörden zu verpflichten in den erforderlichen Fällen eine Abstimmung mit dem Ziel der einheitlichen Votierung vorzunehmen. Die Einzelheiten sollten die unabhängigen Aufsichtsbehörden auto-nom regeln.
4. Einrichtung einer zentralen Kontaktstelle 4.1. Anforderungen der Grundverordnung
Die EU-DSGVO berücksichtigt in Artikel 51 Abs. 3 (bisher: 46 Abs. 2) föderale Sys-teme der Mitgliedstaaten. Demnach hat jeder Mitgliedstaat, in dem es mehrere Auf-sichtsbehörden gibt, eine Aufsichtsbehörde zu bestimmen, die alle Behörden im EDSA vertritt. Zusätzlich hat der Mitgliedstaat ein Verfahren einzuführen, mit dem sichergestellt ist, dass die anderen Behörden die Regeln für das Kohärenzverfahren nach Artikel 63 (bisher: 57) einhalten. In Artikel 51 Abs. 3 (bisher: 46 Abs. 2) ist nicht konkret von einer zentralen Kontaktstelle die Rede.
Der Erwägungsgrund 119 (bisher: 93) konkretisiert Artikel 51 Abs. 3 (bisher: 46 Abs.
2) jedoch. Der Mitgliedstaat hat sicherzustellen, dass die Aufsichtsbehörden im Ko-härenzverfahren beteiligt werden und sollte zu diesem Zweck eine Aufsichtsbehörde bestimmen, die als zentrale Kontaktstelle für eine wirksame Beteiligung der Behör-den an dem Verfahren fungiert und eine rasche und reibungslose Zusammenarbeit mit den anderen Aufsichtsbehörden, dem EDSA und der Kommission gewährleistet.
Dabei muss es sich dem Wortlaut der genannten Regelungen nach nicht um diesel-be Aufsichtsdiesel-behörde handeln, wie in Artikel 51 Abs. 3 (bisher: 46 Abs. 2) vorgesehen ist. Die zentrale Kontaktstelle kann somit unabhängig von der vertretenden Auf-sichtsbehörde im EDSA durch den Mitgliedstaat bestimmt werden.
Da der Erwägungsgrund 119 (bisher: 93) von einer Aufsichtsbehörde spricht, ist die Aufgabe der Kontaktstelle entweder einer bestehenden Aufsichtsbehörde der Länder
oder der Aufsichtsbehörde des Bundes zu übertragen. Dies hat der Gesetzgeber zu regeln.
4.2. Gestaltungsvorschlag:
4.2.1 Rechtsgrundlage der zentralen Anlaufstelle
Der Erwägungsgrund 119 (bisher: 93) sieht vor, dass der Mitgliedstaat durch ein Rechtsinstrument sicherstellt, dass die anderen Aufsichtsbehörden am Kohärenzver-fahren wirksam beteiligt werden. In diesem Gesetz ist festzulegen, dass eine zentrale Kontaktstelle i.S.v. Erwägungsgrund 119 (bisher: 93) errichtet wird und wo diese Kontaktstelle errichtet wird. Die Dienstaufsicht über das bei der Kontaktstelle be-schäftigte Personal liegt bei der Aufsichtsbehörde, bei der die Kontaktstelle angesie-delt wird. Die Leitung der Kontaktstelle ist den unabhängigen Datenschutzbehörden des Bundes und der Länder gegenüber fachlich verantwortlich.
4.2.2 Ort der Kontaktstelle:
Die Kontaktstelle kann sowohl in Brüssel als auch in Deutschland errichtet werden. In Anbetracht der Lage und der Vernetzung liegt Brüssel als Standort nahe.
Gerade in den ersten Jahren der Anwendung der DSGVO werden eine Reihe wichti-ger Entscheidungen vom Europäischen Datenschutzausschuss und von der Kom-mission getroffen, die sich auf Jahre hinaus auswirken und die künftige Auslegung und konkrete Umsetzung der DSGVO entscheidend prägen. Insofern ist es von enormer Bedeutung, dass die Aufsichtsbehörden aus Deutschland – dem größten Mitgliedstaat – ihr dezentral vorhandenes hohes Knowhow an zentraler Stelle bün-deln und dort effektiv in die Entscheidungsprozesse einbringen können. Da alle maßgeblichen Entscheidungen in Brüssel vorbereitet und getroffen werden, bedarf es einer unmittelbaren und ständigen personellen Präsenz in Brüssel. Eine Kontakt-stelle in Brüssel kann als zentrale AnlaufKontakt-stelle für alle Europäischen Institutionen, Verbände und die Aufsichtsbehörden der anderen Mitgliedstaaten dienen und zu-gleich aktiv den unmittelbaren und persönlichen Kontakt zu allen Entscheidungsträ-gern herstellen und damit die Interessen der deutschen Aufsichtsbehörden im Sinne des Datenschutzes wirksam zur Geltung bringen.
Anlage 6 Beschluss der 91. Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder vom 6. und 7. April 2016 in Schwerin
Anlage zu den Vorschlägen zu ersten Strukturfolgerungen aus der DSGVO Fallkonstellation Gesetzliche Zuständigkeitsregelung
national und Abstimmungsverfahren Soweit die BfDI nicht allein zuständige Behörde ist (Post und Tele-kommunikation), bestehen folgende Zuständigkeiten der Aufsichtsbehörden der Länder insbesondere mit Blick auf den EU-Datenschutzausschuss:
1. Hauptniederlassung in Deutschland Aufsichtsbehörde am Ort der Hauptniederlassung
Aufsichtsbehörde am Ort der Hauptniederlassung ist auch zu-ständig für alle Eingaben, die ggf.
an sie abgegeben werden müssen
2. Keine Hauptniederlassung in Deutsch-land, aber eine einzige Niederlassung (ggf. mit mehreren Betriebsstätten)
Aufsichtsbehörde am Ort der Nie-derlassung (z. B. Eintragung ins Handelsregister) zuständig
keine Zuständigkeit der Aufsichts-behörden am Ort weiterer Betriebs-stätten, die keine Niederlassung sind
Aufsichtsbehörde i. S. d. ersten An-strichs ist auch zuständig für alle Eingaben, die ggf. an sie abgege-ben werden müssen
3. a)
Keine Hauptniederlassung in Deutschland aber mehrere Niederlassungen, von de-nen eine einzige selbstständig ist
Aufsichtsbehörde am Ort der selbstständigen Niederlassung ört-lich zuständig
3. b)
Keine Hauptniederlassung in Deutschland, aber mehrere Niederlassungen, von de-nen mehrere selbstständig sind
Lokale Zuständigkeit jeweils am Ort einer selbstständigen
Lokale Zuständigkeit jeweils am Ort einer unselbstständigen Be-troffenheit nach Art. 4 Abs. 22 (bisher.
Abs. 19a) lit. b) DSGVO
Anlage 7