Ab dem 25. Mai 2018 muss die europäische Datenschutz-Grundverordnung (DSGVO) umgesetzt werden. Derzeit überarbeiten 16 Bundesländer ihre Landesdatenschutzgesetze und erste Verbändeanhörungen finden statt. Entwürfe liegen inzwischen aus Bayern, Brandenburg, Mecklenburg-Vorpommern, Sachsen und Sachsen-Anhalt vor. In Niedersachsen gibt es einen Referentenentwurf, der aber wegen den Neuwahlen nicht mehr ins Kabinett eingebracht wurde.

Die Länder müssen mehrere Bereiche neu regeln, andere werden vollständig entfallen. Rudi Kramer vom Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) hofft, dass sich die Länder „auf eine möglichst einheitliche Umsetzung der übertragenen Gestaltungsmöglichkeiten verständigen.“ Im Moment scheint das aber ein frommer Wunsch zu sein: Aus einer Arbeitsgruppe der Innenministerien der Länder ist zu hören, dass es im Moment für die Umsetzung keine einheitliche Linie gibt. Ähnlich auch die Geschäftsstelle der Datenschutzkonferenz von Bund und Ländern, die PinG mitteilte: „Einen Musterentwurf für die Umsetzung der DSGVO in den Ländern wird es nicht geben.“

Koordination ist möglich

In Sachen Medienprivileg haben sich die Staatskanzleien allerdings erst vor kurzem zu einem einheitlichen Vorgehen bei der Anpassung der Medienstaatsverträge entschlossen, nachdem der Gesetzesentwurf in Sachsen bereits fertig war. Er stieß bei den Datenschutzbeauftragten von Bund und Ländern auf Kritik, da er den journalistischen Bereich vom Geltungsbereich der Datenschutzgrundverordnung sowie der Kontrolle durch Datenschutzbeauftragte weiterhin pauschal ausnehmen will, was aber nicht von der Grundverordnung gedeckt sei.

Auch wenn der Vorschlag nicht unbedingt die Zustimmung der Aufsichtsbehörden findet, zeigt er aber, dass ein koordiniertes Vorgehen der Länder durchaus möglich ist. Einigkeit gibt es auch hinsichtlich der Beschränkung der Betroffenenrechte, heißt es aus der Geschäftsstelle der Datenschutzkonferenz, wobei eine Bewertung noch nicht vorgenommen wurde: „Hier kann nach bisheriger Prüfung jedoch noch nicht abschließend geklärt werden, ob die landesrechtlichen Formulierungen jeweils die Voraussetzungen für die Beschränkungsmöglichkeiten nach der DSGVO erfüllen.“ Die Geschäftsstelle findet überdies „in weiten Teilen“ Parallelen zur Novellierung des Bundesdatenschutzgesetzes.

In Bayern fand kürzlich eine erste Verbändeanhörung zum Regierungsentwurf statt. Änderungen nahm man dort vor allem vor, um geltende Landesregeln etwa zum allgemeinen Auskunftsrecht, zur Datenübermittlung oder auch zu automatisierten Abrufverfahren und gemeinsamen Verfahren zu bewahren. Der bayerische Entwurf verleitete den BvD zu der Hoffnung, dass die anderen Länder sich an ihm orientieren könnten.

Das ist aber wohl nicht der Fall, etwa was die Systematik anbelangt: Die Länder regeln unterschiedlich, ob inhaltsgleiche Teilbereiche der DSGVO und der JI-Richtlinie gemeinsam im Landesdatenschutzgesetz „vor die Klammer“ gezogen werden sollen. Alternativ könnte zunächst nur die DSGVO im Landesdatenschutzgesetz und die JI-Richtlinie in den Fachgesetzen wie dem Polizeirecht umgesetzt werden. Sachsen etwa hat sich für eine separate Umsetzung entschieden, Brandenburg und Bayern hingegen für eine einheitliche Umsetzung im Landesdatenschutzgesetz. Eine einheitliche Lösung wird auch von den Datenschutzaufsichtsbehörden favorisiert.

Ein Vergleich mit dem Entwurf aus Mecklenburg-Vorpommern zeigt auch erwartungsgemäß Unterschiede bei großen Öffnungsklauseln: So erlaubt Artikel 86 der DSGVO den Mitgliedstaaten den Zugang zu amtlichen Dokumenten, was in Bayern mangels Informationsfreiheitsgesetz anders geregelt ist als in Mecklenburg-Vorpommern. Etliche Regelungen lassen sich wiederum zunächst schwer vergleichen, da es in vielen Fällen darum geht, welche Vorgaben einfach nur gestrichen werden und welche nicht.

Differenzen gibt es auch in Details, wie etwa den maximalen Bußgeldern, die gegen Behörden oder Personen in Behörden verhängt werden können. Grundlage dafür ist Artikel 84 DSGVO, wonach die Mitgliedstaaten Sanktionen für Verstöße gegen die DSGVO, insbesondere für Verstöße, die keiner Geldbuße gemäß Artikel 83 DSGVO unterliegen, festlegen können. Hierbei wäre jedoch zu beachten, dass die Schaffung nationaler Vorschriften zur Verhängung von Bußgeldern gegenüber Mitarbeitern öffentlicher Stellen bei Verstößen gegen die DSGVO als nicht europarechtskonform angesehen wird (Kühling/Martini, Die Datenschutzgrundverordung und das nationale Recht, S. 275; Piltz, Neue Datenschutzaufsichtsbehörde für den Norddeutschen Rundfunk). Überdies kann mit Bußgeldregeln auch Art. 57 der Richtlinie zum Datenschutz bei Polizei und Justiz umgesetzt werden, wonach die Mitgliedstaaten Verstöße gegen die aufgrund der Richtlinie erlassenen nationalen Vorschriften mit Sanktionen ahnden dürfen.

In Bayern beschränkt sich der Betrag auf 30.000 Euro, in Mecklenburg-Vorpommern und Brandenburg auf 50.000 Euro. Im Moment legt Sachsen die Latte mit 25.000 Euro am niedrigsten. Der Entwurf aus Sachsen-Anhalt nennt keine maximale Bußgeldhöhe. Die Regelung der DSGVO gegenüber Unternehmen bleibt in allen Entwürfen unangetastet.

Warnung vor föderalem Flickenteppich

Aus Perspektive der datenverarbeitenden Organisationen, die in mehreren Bundesländern aktiv sind, ist ein möglichst einheitliches Vorgehen hinsichtlich der Spezifizierungs- und Öffnungsklauseln wesentlich. So sieht auch der IT-Dienstleister Dataport, der für mehrere Bundesländer als Full-Service-Provider für die öffentliche Verwaltung agiert, die Entwicklung mit Sorge. Für Dataport-Chef Johann Bizer ist klar: „Für die Digitalisierung brauchen wir einen einheitlichen Datenschutz und keinen föderalen Flickenteppich.“ Eine höhere Effizienz sowie Synergien durch eine länderübergreifende Zusammenarbeit könnten nur durch eine einheitliche Gesetzgebung geschaffen werden.

Bizer hat ein Gutachten in Auftrag gegeben, welches die Umsetzung der Europäischen Datenschutzgrundverordnung in Landesrecht betrachtet. Das PinG vorliegende Gutachten zeigt die Unterschiede in den geltenden Landesgesetzen auf, stellt die Anpassungen des Bundesdatenschutzgesetzes sowie die „zwingend“ erforderlichen Anpassungen in den Landesdatenschutzgesetzen dar und schließt mit Empfehlungen. Es erinnert auch vorsorglich daran, dass „jegliche Gesetzgebung, die bereits unter Verdacht steht, gegen europäische Vorgaben zu verstoßen, zu einer nicht zu unterschätzenden Rechtsunsicherheit bei allen Normadressaten führt.“

Einheitliche Verfahrensregeln für Dataport-Länder?

Das Gutachten sieht in dem laufenden Gesetzgebungsprozess in den Ländern die „seltene Gelegenheit“ die Vorschriften zu vereinheitlichen. Beispielsweise könnten Verfahrensregeln einheitlich festlegen, „unter welchen Voraussetzungen verschiedene Fachverwaltungen Daten austauschen oder gemeinsame Verfahren nutzen dürfen“, was für viele Digitalisierungsprojekte in der öffentlichen Verwaltung entscheidend ist. So könnte man beispielsweise die Regeln für die Übermittlung und Verarbeitung von personenbezogenen Daten aus einem Datenbestand vereinheitlichen, um die organisatorische Zusammenarbeit der Verwaltungen zu erleichtern.

Davon ist in den aktuellen Entwürfen noch nichts zu sehen. In der ersten Dezemberwoche findet allerdings ein Treffen der Datenschutzbeauftragten der der Dataport-Länder statt, die darüber befinden wollen, ob sie diesen Regelungsvorschlag von Dataport in die Landesgesetzgebungen übernehmen wollen.