Die 18 deutschen Datenschutz-Aufsichtsbehörden veröffentlichen regelmäßig in ihren Tätigkeitsberichten, was sie im letzten Jahr oder auch in den letzten zwei Jahren getan haben. Über was in diesen Berichten berichtet werden soll, definiert noch immer jede Behörde selbst. Vergleichbarkeit ist offenbar unerwünscht.

Die Berichte finden ein unterschiedliches Publikum: Zum einen die Landtage, die inzwischen mehrheitlich die Leitung und das Budget des Hauses bestellen. Zum anderen die Presse bzw. den interessierten Bürger sowie die von etwaigen Beratungen und Kontrollen betroffenen Datenverarbeiter in öffentlichen und privaten Organisationen.

Hauptzweck der Berichte sollte die Transparenz sein: Sie sollten Auskunft darüber geben, unter welchen organisatorischen Bedingungen die Behörde entsprechend ihrem gesetzlichen Auftrag handelte. Bis heute ist keine wissenschaftliche Auswertung der Tätigkeitsberichte bekannt. Über was berichtet werden muss, gibt es keine gemeinsame Auffassung, wie ein oberflächlicher Blick in die 18 Tätigkeitsberichte zeigt. Die Behörden setzen ihre Berichtsschwerpunkte unterschiedlich, sie unterscheiden sich auch in der Berichtstiefe. Meist reflektiert dies ihr Engagement in den Arbeitskreisen der Datenschutzkonferenz (DSK) bzw. Arbeitsgruppen des Düsseldorfer Kreises.

Individuelle Tätigkeitsberichte

Was in einem solchen Tätigkeitsbericht stehen soll, definieren letztendlich die Leitungen der Behörde. In den frühen Jahren des Datenschutzes handelte es sich dabei oftmals um juristische Erörterungen diverser Fragestellungen, die nicht selten Eingang in die Kommentarliteratur fanden.  Das hat sich mittlerweile etwas geändert, da es inzwischen viele verschiedene Publikationsorte für Datenschutzthemen gibt.

Inhaltlich geht es mittlerweile verstärkt um die Darstellung der eigenen Tätigkeit oder – wie jüngst der Hamburgische Datenschutzbeauftragte Johannes Caspar demonstrierte –  auch der ressourcenbedingten Untätigkeit. Legt man die 18 Tätigkeitsberichte nebeneinander, kommt man auf rund 4.000 Seiten – ohne die diversen Anhänge.

Es gibt jedoch auch einzelne Ausreißer: Der Thüringische Datenschutzbeauftragte beispielsweise kommt mit seinem aktuellen Tätigkeitsbericht auf fast 1000 Seiten, aufgeteilt auf zwei Bände. Ein Themenschwerpunkt ist die Videoüberwachung: 84 Fälle lässt er von seinen Mitarbeitern unter dem Oberbegriff „Videogaga“ akribisch beschreiben – in der Hoffnung, die Landtagsabgeordneten für den enormen Bearbeitungsaufwand zu sensibilisieren.

Vergleichsweise schmal gestaltet sich hingegen der aktuelle Tätigkeitsbericht des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein. Hier wiederum hätte man sich mehr gewünscht, beispielsweise mehr über die ULD-Position zum umstrittenen Abhörzentrum-Nord zu erfahren, zumal das ULD hier für fünf Länder federführend zuständig war.

Statistische Eigenheiten

Die inhaltlichen Positionen lassen sich nur mit relativ hohem Aufwand miteinander vergleichen. Die Annahme, dass statische Angaben wie die Anzahl der Bürgereingaben eine leichtere Vergleichbarkeit ermöglichen, läuft allerdings ebenfalls leer. In Thüringen zählt man beispielsweise nur den Posteingang, die Zahl der Eingaben lässt sich aus der Aktenführung nicht entnehmen.

Anders ist das in Hessen: Dort führte Amtsleiter Michael Ronellenfitsch 2011 einen neuen Aktenplan ein, der eine automatisierte Zählung des Eingabe- und Beratungsvolumens ermöglichte. Auch kann er dank des neuen Aktenplans die Bürgereingaben nach verschiedenen Prüfbereichen aufschlüsseln, was bundesweit einmalig eine Darstellung von Thementrends ermöglicht. In seinen Tätigkeitsberichten findet sich seit 2012 dazu eine „Arbeitsstatistik“.

 

Der Aktenplan des Hessischen Datenschutzbeauftragten erlaubt das Erkennen von Thementrends seit 2012. (Grafik: Schulzki-Haddouti)

Dank des neuen Systems stellte die hessische Behörde fest, dass die Schätzung des Eingangs- und Beratungsvolumens 2011 deutlich unter dem von 2012 lag: 2011 hatte Ronellenfitsch die Zahl der Beratungsanfragen auf 11 geschätzt. 2012 zählte das System 279 Anfragen. Vermutete er 2011 die telefonischen Eingaben und Beratungen bei 700, kam das System ein Jahr später auf 4032.

Im ihrem aktuellen Tätigkeitsbericht legte das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) erstmals eine Statistik über Bearbeitungszeiten vor. Dabei entschied sich das BayLDA dafür das Gesamtaufkommen von Beschwerden und Beratungen in jeweils vier gleiche große Segmente aufzuteilen, um eine Art Belastungsprofil zu erstellen. Demnach benötigte die Behörde für die Abarbeitung für jeweils ein Viertel des Beschwerdeaufkommens 4, 14, 52 und 141 Tage. Ähnlich intensiv sieht dies auch bei Beratungen von Unternehmen aus.

 

Belastungsprofil einer Datenschutz-Aufsichtsbehörde am Beispiel BayLDA.

Kranig entwickelte die neue Auswertung mit Blick auf die europäische Datenschutzgrundverordnung, die in Artikel 78,2 verlangt, dass ein Bürger innerhalb von drei Monaten über den Stand oder das Ergebnis seiner Beschwerde informiert werden muss.  Überdies sieht das neue One-Stop-Shop-Verfahren, das die Zusammenarbeit der Aufsichtsbehörden in einem grenzüberschreitenden Fall untereinander regelt, vor, dass Behörden binnen zwei Wochen zu einer Entscheidung kommen müssen.

Kein Interesse an Vergleichbarkeit

Thomas Kranigs Bericht zeichnet sich auch in anderen Bereich durch eine vergleichsweise vorbildliche Statistik aus. Nicht von ungefähr war er es auch, der vor knapp zwei Jahren im Düsseldorfer Kreis eine Arbeitsgruppe initiierte, die sich mit der zukünftigen Gestaltung der Tätigkeitsberichte unter der Geltung der Datenschutzgrundverordnung befassen sollte.  Dabei sollten die Behörden auch zu einer einheitlichen Statistik als wesentlichem Element der Tätigkeitsberichte finden.

Dazu gehört beispielsweise der Begriff der Bürgereingaben, der Kontrolle und der Sanktionen. Aber auch die Frage, mit welcher Zahl die Mitarbeiter dargestellt werden sollen – in Vollzeitäquivalenten, in Stellen oder Köpfen. Im Zeitverlauf könnten die Behörden mit diesen Zahlen darstellen, ob sie beispielsweise ressourcenmäßig den zusätzlichen Aufgaben überhaupt gewachsen sind.

Die Arbeitsgruppe kam nie zu Stande. Kranig: „Es fand sich seitens der Mehrheit keine Bereitschaft, die Tätigkeitsberichte zu vereinheitlichen. Die statistischen Kennzahlen sind ja auch nur eine Kann-Anforderung der Datenschutzgrundverordnung.“ Viele hätten sich auf das Argument zurückgezogen, dass sie eine „unabhängige“ Behörde seien, die ihre Berichte so gestalten könne, wie sie wolle.

Einheitlich definierte statistische Zahlen ermöglichen allerdings auch eine Vergleichbarkeit: Wenn eine Behörde beispielsweise 1000 Beschwerden abarbeitet und eine andere mit ähnlich hohem Bevölkerungsanzahl nur 500, könnten die Haushälter im Landtag auf die Idee kommen, Personal einsparen zu wollen. Zahlen ermöglichen Vergleichbarkeit und erzeugen damit auch Rechtfertigungsdruck. Auf Dauer wird das Wegschauen aber nicht helfen – im Gegenteil. „Wie soll Deutschland künftig seinen Beitrag zum europäischen Datenschutzbericht der Art. 29 Gruppe oder in Zukunft des Europäischen Datenschutzausschusses leisten, wenn wir uns über grundlegende Begriffe nicht einig sind“ fragt Kranig sich – und die Leitungen der anderen Aufsichtsbehörden.