EAID: Aktuelle Diskussion und Einblicke in die Welt der Aufsichtsbehörden

Die Europäische Akademie für Informationsfreiheit und Datenschutz (EAID e.V.) hat unter dem Titel „Zentralisierung der Digitalaufsicht?“ zur spannenden Online-Diskussion eingeladen – und über 100 Teilnehmende waren am 05.08.2025 dabei, um dem Impulsvortrag von Thomas Fuchs, dem Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit (HmbBfDI) sowie dem anschließenden Austausch zu folgen. Auch dank der guten Einblicke in die Arbeitsweise der Hamburger Aufsichtsbehörde war das Event ein voller Erfolg.

Der ehemalige Bundesbeauftragter für den Datenschutz und die Informationsfreiheit (BfDI) und Vorsitzende des Vorstands von der EAID, Peter Schaar, leitete die Veranstaltung ein und stellte zunächst dieses „neue“ Format des Vereins vor. Dies sei auf rund eine Stunde als Online-Event ausgelegt und könnte nun mehrfach im Jahr mit aktuellen Themen stattfinden. Die hohe Anzahl an teilnehmenden Personen bestätigte das Interesse an solch einem virtuellen Austausch.

Angedacht war ein kurzer Impulsvortrag von Thomas Fuchs, der sodann durch anschließende Fragen durch die Moderation, aber auch durch die Teilnehmenden mittels Fragen im Chat abgerundet wurde.

Das Hauptthema der Veranstaltung war das derzeit an vielen Stellen, also sowohl auf europäischer Ebene als auch vor allem hierzulande in der Politik, diskutierte Vorhaben der „Zentralisierung“ der Aufsichtsbehörden. Bedarf es wirklich einer Aufsicht pro Bundesland oder könnte nicht eine einzige, zentrale Behörde diese Aufgabe allein und dadurch vielleicht viel effizienter wahrnehmen?

Mehrere Rechtsakte erfordern mehrere Aufsichtsbehörden?

Thomas Fuchs kennt diese Fragestellung als derzeitiger Landesdatenschutzbeauftragter im Datenschutz in Hamburg und früherer Direktor der Medienanstalt Hamburg Schleswig-Holstein (MA HSH) seit vielen Jahren. Und so verwies er gleich zu Beginn seines Impulsvortrags auf die digitalen Rechtsakte der EU-Kommission, die mittlerweile alle in Kraft getreten sind. Jeder dieser Rechtsakte, wie z.B. die DSGVO oder die KI-Verordnung, sehe laut Fuchs eine eigene Behördenaufsicht mit eigener Struktur vor. Anders als in den europäischen Nachbarländern gelte aber in Deutschland der sog. Föderalismus (gem. Art. 83 GG), wonach bei vielen Aufgaben die Bundesländer die Ländergesetze ausführen.

Diese Problematik sei schon in der Vergangenheit bei der Einführung und Umsetzung des Digital Services Act (DSA) ein großes Thema gewesen. Wie schon die Medienaufsicht, hätte auch der DSA bei den einzelnen Landesmedienanstalten umgesetzt werden müssen. Man entschied sich aber den Bund mit dieser Aufgabe zu betrauen und setzte die Bundesnetzagentur als Digital Service Coordinator ein – der DSA wurde also als Bundesgesetz erlassen.

Auch die Aufsicht über die KI-Verordnung werde nun komplett bei der Bundesnetzagentur angesiedelt, was auch Fragen hinsichtlich der Unabhängigkeit aufwerfe. Denn all diese Rechtsakte verlangten generell eine (Bundes-/Landes)-Behörde, die unabhängig ist.

Daneben stellte Thomas Fuchs allgemein aber auch die etwaigen Vorteile der Zentralisierung zur Diskussion. Denn für eine neue zentrale Aufsichtsbehörde müssten viele neue Stellen geschaffen und besetzt, neue Aufgaben und neue Strukturen festgelegt werden.

(K)eine große Debatte?

Im neuen Koalitionsvertrag wird dieses Vorhaben an einigen Stellen erwähnt. Gleichwohl vermisse der HmbBfDI derzeit die politische Debatte hierzu, unter anderem zur Frage: Welche Rolle sollen zukünftig die Länder bei der digitalen Aufsicht spielen? Denn die Aufgabe der Wirtschaftsverwaltung läge generell im Rahmen des deutschen Föderalismus bei den einzelnen Bundesländern. Eine Zentralisierung der Aufsicht würden den Föderalismus aushöhlen.

Bei aller Kritik an der (früheren) Arbeitsweise in der Datenschutz-Aufsicht in Deutschland, hob Thomas Fuchs die einheitliche und zunehmend bessere Zusammenarbeit der Landesaufsichtsbehörden, z.B. durch die deutsche Datenschutzkonferenz (DSK) und europaweit durch den Europäischen Datenschutzausschuss (EDSA) hervor.

Das Motto von Thomas Fuchs lautet: „Konzentration statt Zentralisierung!“.  Das würde eine thematische, übergreifende Zuständigkeit (z.B. bei Fragen der Forschung oder Sachverhalten von Konzernen) bedeuten. Hierfür habe es in der letzten Zeit ein paar gute Beispiele dieser Zuständigkeitskonzentration gegeben. Dadurch könnte ein intelligenter Föderalismus entstehen. Und so räumte Thomas Fuchs ein, dass einige Themen sinnvollerweise zentralisiert werden könnten, wie z.B. ein einheitliches Meldesystem bei Datenschutzvorfällen nach Art. 33 DSGVO. Hingegen ergebe es wenig Sinn, wenn im Hinblick auf die Bewertung von IT-Systemen bzw. Verarbeitungstätigkeiten seine Landesaufsichtsbehörde die Umsetzung nach der DSGVO prüfe und die Bundesnetzagentur hingegen separat die KI-Verordnung, also im Ergebnis ein IT-System von zwei unterschiedlichen Behörden geprüft werde. Im Hinblick auf den bevorstehenden Data Act sei es noch komplexer, aber da sei derzeit noch nicht einmal klar, wo hier die Aufsicht letztlich anzusiedeln sei. Eigentlich müsse seiner Auffassung jeder digitale Rechtsakt eine eigene Compliance Struktur besitzen, also die jeweils vorgesehenen Aufsichtsbehörden als unabhängige Stellen agieren. Wenn aber die Bundesnetzagentur mehrere Rechtsakte überwache, dann könnte diese Zentralisierung ja ggfs. gegen diese Vorgabe verstoßen?

Im Datenschutz funktioniert die Zusammenarbeit

Auf die Nachfrage, wie eine koordinierte Aufsicht von mehreren Rechtsakten gelinge, antwortete Thomas Fuchs mit Verweis auf die Erfahrung aus der Datenschutzaufsicht. Hier haben Datenschutzaufsichtsbehörden europaweit seit Jahren ein gutes Kooperationssystem (EDSA), was die anderen Aufsichtsbehörden so nicht haben würden.

Im weiteren Verlauf der Diskussionsrunde wurde auch das mögliche Argument für eine Zentralisierung der Aufsicht in der digitalen Agenda aufgeworfen: Was ist mit Spezialwissen bei anderen Rechtsakten? Haben das alle Behörden? Spricht das nicht eher für Zentralisierung, also eine zentrale, gut ausgestattete Behörde? Hier konterte der HmbBfDI: Ein solches Fachwissen könne auch bei Landesaufsichtsbehörden geschaffen werden. Ein gutes Beispiel dafür sei die frühere Einführung von Google Streetview, bei der die Hamburger Aufsichtsbehörde das umfangreiche Verfahren in Deutschland zentral geprüft und begleitet hat.

Lokale Besonderheiten

Selbst, wenn die zentrale Aufgabe bei einer Bundesbehörde läge, die bundesweite Sachverhalte neu regeln solle wie z.B. nach der KI-Verordnung, so sollte laut Thomas Fuchs die Durchführung der Aufsicht dann wiederum bei den Ländern erfolgen. Das wäre intelligenter Föderalismus. Die Arbeitsweise der Hamburg Datenschutz-Aufsichtsbehörde mache deutlich, was lokale Besonderheiten seien. Leider werde diese lokale Datenschutzaufsicht nicht hinreichend beachtet. Ein gutes Beispiel sei die Videoüberwachung, z.B. auf einem Privatgrundstück, im Supermarkt oder in einer Tankstelle in der Schanze in Hamburg. Schließlich würde seine Behörde jedes Jahr viele Fälle von (un-)zulässiger Videoüberwachung oder auch immer wieder rechtswidrige Aufnahmen von Privatpersonen prüfen und ahnden. Das verstehe der HmbBfDI als Bürgernähe, quasi der „kleine Datenschutz vor Ort“, z.B. auch bei den Handwerksbetrieben. Insgesamt prüfe die Hamburger Aufsichtsbehörde rund 4.000 Einzelbeschwerden pro Jahr, was wohl kaum zentral von einer Bundesbehörde in dieser Kleinteiligkeit wahrgenommen werden könne.

Ferner äußerte sich Thomas Fuchs kurz zu dem Zusammenspiel der diversen Rechtsakte, wie z.B. zwischen der KI-Verordnung und dem Datenschutzrecht. Seiner Auffassung nach ändere sich auch dadurch die Auslegung des Datenschutzes, weil die anderen Rechtsakte wohl neue Rechtsgrundlagen schaffen oder zumindest bei der Rechtsgrundlage des berechtigten Interesses (Art. 6 Abs. 1 S. 1 lit. f DSGVO) zu berücksichtigen seien.

Des Weiteren wurde besprochen, wie sich die neuen Rechtsakte auf die Arbeitsweise eines externen Datenschutzbeauftragten auswirken würden, der nun dadurch zusätzliche Aufgaben innehabe und bei einer Bündelung der Themen Data Act, KI-Verordnung und Datenschutzrecht nun viel mehr zu tun habe. Dies hänge von den Unternehmen ab.

Die Frage aller Fragen: Wie verhält sich die Zentralisierung vor dem Hintergrund des gewünschten Bürokratieabbaus? Das Fazit von Thomas Fuchs lautete: Wenn neue zentrale Aufsichtsbehörden mehrere hundert neue Stellen mit neuer Struktur vorsähen, würde die Zentralisierung eher ein Bürokratieaufbau sein. Beide Ziele würden sich nicht vertragen. Sein Wunsch lautet deshalb: Die Debatte zur Zentralisierung der Aufsichtsbehörden sollte etwas mehr in die Öffentlichkeit gelangen. Eine derzeit wohl erkennbare „nationale Verengung“ in der Verwaltung, und dass trotz europäischer Rechtsakte, sieht Thomas Fuchs allerdings kritisch. Viele Probleme seien nur europäisch lösbar.

Bis zum nächsten Mal?

Der Hamburger Datenschutzbeauftragte, Thomas Fuchs war wie gewohnt eloquent und beantwortete jede Frage äußerst ausführlich und direkt – und gab darüber hinaus noch ein paar tiefere Einblicke in die Arbeit seiner Behörde. Insgesamt war das Event lohnenswert und macht bereits Freude auf den nächsten Termin!