DSGVO-Chaos: Deutschland droht EU-Verfahren wegen Datenschutz

Deutschland gilt in der Welt als Land des Datenschutzes. Nach sechs Monaten Datenschutz-Grundverordnung wird es aber peinlich: Behörden hierzulande schaffen ihre Arbeit nicht.

In mehreren Bundesländern gehen Datenschutzbehörden unter in Arbeit, die seit der Einführung der Datenschutz-Grundverordnung (DSGVO) am 25. Mai über sie hereingebrochen ist. Nach derzeitigem Stand sind Selbstanzeigen bei der EU wahrscheinlich: Datenschutzbeauftragte melden dann, dass ihre Behörde wegen fehlender Mitarbeiter ihre Pflichten nicht erfüllen kann.

Das ist derzeit zumindest in Sachsen, Mecklenburg-Vorpommern und Hamburg der Fall, wie die drei Bundesländer t-online.de bestätigten. Von der vom Bund gegründeten Stiftung Datenschutz heißt es, der hohe Beratungsbedarf für Bürger und Unternehmen sei offenkundig. Stiftungsvorstand Frederick Richter zu t-online.de: "Die Unterausstattung der Datenschutz-Aufsichtsbehörden durch die meisten Länder ist ein Skandal."*

Baden-Württembergs Datenschutzbeauftragter Stefan Brink sagte zu t-online.de, er gehe davon aus, gehe davon aus, dass es ein Vertragsverletzungsverfahren gegen Deutschland geben werde. "Die EU-Kommission ist bei Deutschland besonders sensibel und wird besonders schnell agieren, weil Deutschland beim Datenschutz Vorbild war."

Kommission schon vorgewarnt?

Der EU sei aus Gesprächen mit Datenschützern bereits bekannt, dass es in einigen Bundesländern Probleme gibt. Eine Sprecherin der Kommission teilte t-online.de mit, es habe zahlreiche Gespräche und EU-Angebote zur Unterstützung der Behörden gegeben. "Die Kommission überwacht nun die Anwendung der Verordnung in allen Mitgliedstaaten".

Brink ist Chef einer der Behörden, die deutlich aufrüsten konnten, als die DSGVO zum 25. Mai wirksam wurde. 60 Prozent mehr Planstellen, nun sind es 53,5. "Aber auch wir haben allergrößte Schwierigkeiten bekommen, in angemessener Zeit Fälle abzuschließen." Zu den neuen Aufgaben komme hinzu, dass mehr Fälle gemeldet werden, die schon nach altem Recht problematisch waren: "Die Menschen beschweren sich schneller."

Mehr Aufgaben bei unverändertem Personal

In einigen anderen Bundesländern hätten die Behörden aber bereits vor der DSGVO nur sehr eingeschränkt ihren Aufgaben nachkommen können – und keine oder kaum Verstärkung bekommen. Vor allem bei den Bundesländern im Osten und den Stadtstaaten ist das der Fall.

Daran hat auch die DSGVO nichts geändert: Mecklenburg-Vorpommerns Datenschutzbehörde etwa hat nach wie vor 21 Mitarbeiter; nach Inkrafttreten der DSGVO wurden lediglich aus Aushilfsmitteln bezahlte Stellen in feste umgewandelt. Behördenleiter Heinz Müller hat deshalb einen Appell an die SPD-geführte Staatskanzlei geschickt: "Sie soll uns im Wege der Amtshilfe Personal zur Verfügung stellen. Uns fehlen Juristen, Techniker und Sachbearbeiter, und das wird nicht vorüber gehen."

"Wie Rat an Bettler, andere Bettler nach einem Kredit zu fragen"

Mit der Bitte um Abstellungen folgt Müller, früher parlamentarischer Geschäftsführer der SPD-Fraktion, einem Rat des Landesrechnungshofs. Der Landtag hatte zwar neun weitere Stellen bewilligt, aber sofort zur Überprüfung durch den Rechnungshof gesperrt. "Dessen Gutachten ist das Papier nicht wert", so Müller. Dort sei ihm auch geraten worden, andere Datenschutzbeauftragte um Amtshilfe zu bitten. "Das ist so intelligent wie der Ratschlag an einen Bettler, einen anderen Bettler um Kredit zu fragen."

Mit einem Kredit aus Sachsen wäre nicht zu rechnen: Im Haus des dortigen Datenschutzbeauftragten sagt Referatsleiter Andreas Schneider, seine Behörde könne mit der "personellen Ausstattung nicht in der Fläche wirklich wirksam werden". Zu 22 bestehenden Vollzeitstellen waren 15 Vollzeitstellen als zusätzlicher Bedarf ermittelt, sagt Schneider. "Angestrebt ist, dass wir nun mittelfristig vier Stellen erhalten."

Schonungslos offen in Antwort an Bürger

Schneider spricht von "Tausenden Meldungen, die noch zu bearbeiten sind". Eine weitere Digitalisierung des Meldeprozesses bei Datenschutzverstößen werde die Arbeit etwas vereinfachen, aber das grundsätzliche Problem zu knapper Ressourcen nicht lösen. Die Behörde teilt den Bürgern die Überlastung auch so offen mit.

In einer t-online.de vorliegenden Antwort mehr als zwei Monate nach der Anfrage heißt es: "Wegen der mit der (...) DSGVO einhergehenden Flut von Anfragen und Beschwerden (...) sowie des (...) enormen Aufgabenzuwachses in Verbindungen damit, dass personelle Verstärkungen meiner Behörde bislang immer noch ausstehen und mir auch für die Zukunft nur in vollkommen unzureichendem Maße zugestanden worden sind, muss ich (...) mitteilten, dass es zu erheblichen zeitlichen Verzögerungen kommt."

Keine Prüfungen auf eigene Initiative möglich

Hamburg, wo Deutschlands vielleicht bekanntester Datenschutzbeauftragter Johannes Caspar tätig ist, berichtet von einer "seit einigen Jahren defizitären Ausstattungssituation". Referent Martin Schemm: "Wir laufen den quantitativen und qualitativen Veränderungen des Aufgabenbereichs der Aufsichtsbehörde hinterher."

Folgen bekommen nicht nur Bürger zu spüren, sagt Mecklenburg-Vorpommerns oberster Datenschützer Müller: "Wir schaffen es auch nicht, Verwaltungsverfahren des Landes mit unserer Expertise zu begleiten. Es reicht gerade so für Stellungnahmen in Gesetzgebungsverfahren."

• Schnell erklärt: Das ändert sich durch die DSGVO für Verbraucher

Unangekündigte Prüfungen auf eigene Initiative hin seien kaum vorstellbar. Zudem sei es fast unmöglich, Veranstaltungen für Multiplikatoren anzubieten, obwohl es dazu den Wunsch aus der Wirtschaft gebe. "Es gibt viele Unternehmen, die die Regeln der DSG-VO einhalten wollen, aber Hilfe brauchen, die wir gerne leisten würden."

In anderen EU-Ländern kassieren Behörden groß ab

Die schlechte Ausstattung auch ein Standortnachteil, heißt es aus Sachsen. "Wir sind nicht nur Aufsichtsbehörde, sondern auch Berater und Service-Dienstleister."

Unter Landespolitikern haben Datenschützer neben Unverständnis auch Unwillen gespürt, für eine Aufgabe zu zahlen, die von der EU kommt. Andere EU-Länder haben zum Teil andere Finanzierungsmodelle gefunden. "Behörden finanzieren sich aus den Bußgeldern selbst und können hohe Bußgelder erzielen", erläutert Brink. "Deutsche Datenschutzbeauftragte haben von Bußgeldverfahren nur den Aufwand, weil das Geld in den Landeshaushalt fließt."

Allerdings führt das andere Modell auch zu Auswüchsen: In Portugal wurde ein Bußgeld von 400.000 Euro gegen ein Krankenhaus mit schlechtem Datenzugriffskonzept verhängt, was in Deutschland vielleicht zu einer Geldbuße von 20.000 Euro führen würde, so Brink. "Mittelfristig werden die unterschiedlichen Maßstäbe auch zum Thema auf EU-Ebene werden. Es ist auch eine Frage ungleichen Wettbewerbs, wenn ein Automobilkonzern in Frankreich eine massive Millionenstrafe zahlen muss und in Deutschland für den gleichen Verstoß mit einer besseren Ermahnung davon kommt."

• Mehr Verbraucherrechte: Das wird mit der DSG-VO geregelt
• Druck aus Europa: EU-Datenschutz lässt Amerikaner umdenken
• Datenschützer zum Start: So wollen wir nun sanktionieren

Noch will kein deutscher Datenschützer offiziell in Brüssel erklären, die Arbeit nicht zu schaffen. "Eine Anzeige bei der EU wollen wir noch nicht anstrengen, sie wäre aber ultima ratio", heißt es von Sachsens Datenschutzbehörde. "Wir können nicht glauben, dass der Missstand von der Politik dauerhaft so vertreten wird und haben die Erwartung, dass wir mit unseren Argumenten überzeugen können."

Mecklenburg-Vorpommern wartet auf Reaktion auf das Schreiben. Hamburgs Datenschützer verfolgen gespannt die Haushaltsberatungen. Von dort heißt es: "Die nächste Datenschutzkonferenz im Frühjahr ist der Zeitpunkt, die Situation zu analysieren und sich auf ein gemeinsames Vorgehen der Aufsichtsbehörden zu verständigen. Hier liegen dann alle Handlungsoptionen auf dem Tisch."

*Die Stellungnahme der Stiftung Datenschutz wurde nachträglich ergänzt.