1. Anforderungen an die Unabhängigkeit
Rz. 4
Art. 51 DSGVO verpflichtet die Mitgliedstaaten zur Etablierung einer oder – wie in Deutschland bereits der Fall – mehrerer unabhängiger Behörden, denen die Aufgabe der Überwachung der Einhaltung der Verordnung übertragen wird (sog. Aufsichtsbehörden). Dabei spielt vor allem der Aspekt der Unabhängigkeit der Aufsichtsbehörde im Konzept einer wirksamen Datenschutzaufsicht eine entscheidende Rolle. Dieser hat bereits in der Datenschutzrichtlinie Niederschlag gefunden. Art. 28 Abs. 1 Unterabs. 2 der Richtlinie 95/46/EG fordert, dass die öffentlichen Datenschutzkontrollstellen die ihnen zugewiesenen Aufgaben in völliger Unabhängigkeit wahrnehmen. Art. 52 DSGVO behält diesen Ansatz bei.
Rz. 5
Man könnte annehmen, der Aspekt der Unabhängigkeit spiele gerade in Deutschland keine zentrale Rolle; sind hier doch neben dem Bundesbeauftragten für Datenschutz (§ 22 BDSG), in allen Bundesländern Landesdatenschutzbehörden eingerichtet worden, die Kontroll- und Überwachungsaufgaben übernehmen. Jedoch ist gerade die bundesdeutsche Umsetzung der Verpflichtungen aus Art. 28 Abs. 1 der Richtlinie 95/46/EG ist in der Vergangenheit gleich zwei Mal vom EuGH als unzureichend qualifiziert und kritisiert worden. Der EuGH hatte festgestellt, dass die Datenschutzaufsichtsbehörden für den nicht-öffentlichen Bereich in Deutschland nicht völlig unabhängig sind, was sich vornehmlich in der organisatorischen Einbindung zahlreicher Datenschutzaufsichtsbehörden für den nicht-öffentlichen Bereich in die jeweiligen Innenministerien und den damit verbundenen Aufsichtsrechten äußerte. Der Bundesgesetzgeber hat mit einer Änderung des § 22 BDSG reagiert und die Anbindung der Bundesbeauftragten für Datenschutz mit Wirkung zum 1.1.2016 aufgehoben und der Behörde den Status einer obersten Bundesbehörde zugebilligt, die ausschließlich parlamentarischer und gerichtlicher Kontrolle untersteht. Diese unabhängige Stellung wird auch im BDSG-Neu (§ 8 Abs. 1 BDSG-Neu und § 10 BDSG-Neu) beibehalten.
Rz. 6
Auf Landesebene haben die Urteile des EuGH ebenso für Änderungen in den Organisationsstrukturen gesorgt, auch wenn dies derzeit noch nicht durchgängig abgeschlossen ist. Problematisch dürfte sein, dass es bei den Datenschutzbehörden ein "offenkundiges Missverhältnis zwischen Aufgaben und Personalausstattung gibt". Dies könnte mit den neuen Anforderungen der DSGVO nicht in Einklang stehen. Sie fordert von den Mitgliedstaaten, die Aufsichtsbehörden mit "den personellen, technischen und finanziellen Ressourcen, Räumlichkeiten und Infrastrukturen" auszustatten, die sie für die wirksame Aufgabenerfüllung benötigen (Art. 52 Abs. 4 DSGVO). Es bleibt abzuwarten, ob die Landesgesetzgeber es schaffen, die Anforderungen, insbesondere des Art. 52 DSGVO bis zum 25.5.2017 umzusetzen. Für die unter der Aufsicht der Landesbehörden stehenden Verantwortlichen würden sich aus einer Nichtumsetzung der Vorgaben in Art. 52 DSGVO jedoch keine unmittelbaren Rechtsfolgen ergeben, so dass an dieser Stelle auf die Problematik nicht weiter eigegangen werden soll.
2. Bestimmung der örtlichen Zuständigkeit
Rz. 7
Die Zuständigkeit der Aufsichtsbehörden bestimmt sich gemäß Art. 55 Abs. 1 DSGVO grundsätzlich nach dem Territorialprinzip, so dass jede Aufsichtsbehörde nur im Hoheitsgebiet ihres eigenen Mitgliedstaats für die dort vollzogenen Verarbeitungen zuständig ist. Soweit es sich bei der Verarbeitung um eine "grenzüberschreitende" Verarbeitung (Art. 4 Nr. 23 DSGVO) handelt, ist diejenige Aufsichtsbehörde zuständig in der der Verantwortliche oder der Auftragsverarbeiter seine Hauptniederlassung (Art. 4 Nr. 16 DSGVO) oder seine einzige Niederlassung unterhält (Art. 56 Abs. 1 DSGVO – sog. federführende Aufsichtsbehörde). In Deutschland ist diejenige Aufsichtsbehörde zuständig, in deren Bundesland sich die Haupt- ...