Kürzlich hat der Senat von Berlin das Abgeordnetenhaus über den beabsichtigten Abschluss des neuen Staatsvertrages über den Rundfunk Berlin-Brandenburg (rbb-Staatsvertrag) unterrichtet und den Entwurf veröffentlicht (PDF, Stand: 30. Oktober 2023).
Interessant und aus meiner Sicht europarechtlich kritisch zu bewerten, sind die vorgeschlagenen Regelungen zu den Aufgaben einerseits des Rundfunkdatenschutzbeauftragten und andererseits des Datenschutzbeauftragten des rbb.
Rundfunkdatenschutzbeauftragte
Nach § 47 Abs. 1 ernennt der Rundfunkrat des rbb mit Zustimmung des Verwaltungsrates als zuständige Aufsichtsbehörde im Sinne des Art. 51 DSGVO für die Dauer von vier Jahren eine Person zur oder zum Rundfunkdatenschutzbeauftragten. Es wird hier also eine spezielle Aufsichtsbehörde nach Art. 51 DSGVO geschaffen, was für sich betrachtet erst einmal noch nicht ungewöhnlich ist.
Aufgabe des Rundfunkdatenschutzbeauftragten ist nach § 48 Abs. 1 die Überwachung der Einhaltung der Datenschutzvorschriften des Staatsvertrages, des Medienstaatsvertrages, der DSGVO und anderer Vorschriften über den Datenschutz bei der gesamten Tätigkeit des Rundfunk Berlin-Brandenburg und seiner Hilfs- und Beteiligungsunternehmen.
Achtung: der Rundfunkdatenschutzbeauftragte soll also insgesamt für alle Fragen des Datenschutzes beim rbb zuständig werden. Dies ist eine Neuerung zum derzeitigen § 38 des rbb-Staatsvertrages. Nach § 38 Abs. 2 des aktuellen rbb-Staatsvertrages überwacht er die Einhaltung der Datenschutzvorschriften, soweit der rbb personenbezogene Daten zu eigenen journalistisch-redaktionellen oder literarischen Zwecken verarbeitet (vgl. auch die Zuständigkeitsübersicht auf der Webseite des Rundfunkdatenschutzbeauftragten). Aktuell ist also eigentlich für die Datenverarbeitung zu nicht-journalistischen Zwecken die Berliner Beauftragte für Datenschutz und Informationsfreiheit zuständig.
Da4 der Rundfunkdatenschutzbeauftragte eine Aufsichtsbehörde im Sinne der DSGVO (also natürlich nicht selbst Teil des rbb) ist, soll nach § 48 Abs. 7 jede Person das Recht haben, sich unmittelbar an den Rundfunkdatenschutzbeauftragten zu wenden, wenn sie der Ansicht ist, bei der Verarbeitung ihrer personenbezogenen Daten durch den rbb in ihren schutzwürdigen Belangen verletzt zu sein.
Also praktisch: im Fall von Beschwerden können sich hiernach Mitarbeiter des rbb oder z.B. Webseitenbesucher an den Rundfunkdatenschutzbeauftragten werden.
Datenschutzbeauftragte des rbb
Daneben muss der rbb als Verantwortlicher aber natürlich auch noch eine eigene, betriebliche Datenschutzbeauftragte nach Art. 37 DSGVO haben. Nach § 48 Abs. 8 wird die Datenschutzbeauftragte des rbb gemäß Art. 37 DSGVO von der Intendantin oder dem Intendanten mit Zustimmung des Verwaltungsrates benannt.
Nach Art. 38 Abs. 4 DSGVO können daher alle (!) betroffene Personen die Datenschutzbeauftragte zu allen mit der Verarbeitung ihrer personenbezogenen Daten und mit der Wahrnehmung ihrer Rechte gemäß der DSGVO im Zusammenhang stehenden Fragen zu Rate ziehen. Also sowohl Mitarbeiter des rbb, Kontaktpersonen bei Lieferanten oder auch Besucher der vom rbb betriebenen Webseite.
Wirklich?
Ja, so müsste es eigentlich sein.
Die Landesregierungen von Brandenburg und Berlin sehen das aber wohl etwas anders. Auch wenn man zugestehen muss, dass sich diese andere Sichtweise „nur“ aus der Begründung zum neuen rbb-Staatsvertrag ergibt.
Zu § 47 heißt es in der Begründung:
„Während die oder der Rundfunkdatenschutzbeauftragte Kontaktperson für Dritte bezogen auf deren Datenschutzrechte gegenüber dem rbb ist, ist die oder der betriebliche Datenschutzbeauftragte Kontaktperson für Mitarbeitende bezogen auf deren Datenschutzrechte gegenüber dem rbb als Arbeitgeber“.
Bitte? Die interne Datenschutzbeauftragte soll, entgegen den Vorgaben des Art. 38 Abs. 4 DSGVO, nur für Mitarbeiteranfragen zuständig sein?
Ich habe erst gedacht, dass das ja wohl so nicht gemeint sein kann. Aber die Begründung geht weiter.
Zu § 48 Abs. 8 heißt es in der Begründung:
„Die oder der betriebliche Datenschutzbeauftragte des rbb ist eine Aufsichtsbehörde im Sinne des Artikels 37 der Datenschutz-Grundverordnung und ist von der oder dem Rundfunkdatenschutzbeauftragten zu unterscheiden.“
Gut, dass das falsch ist, dürfte offensichtlich sein. Die betriebliche Datenschutzbeauftragte ist natürlich niemals Aufsichtsbehörde im Sinne der DSGVO. Denn dann würde der rbb-Staatsvertrag hier zwei Datenschutzaufsichtsbehörden schaffen.
Es geht weiter:
„Während die oder der Rundfunkdatenschutzbeauftragte Kontaktperson für Dritte bezogen auf deren Datenschutzrechte gegenüber dem rbb ist, ist der oder die betriebliche Datenschutzbeauftragte Kontaktperson für Mitarbeitende bezogen auf deren Datenschutzrechte gegenüber dem rbb als Arbeitgeber.“
Tatsache. Hier wiederholt der Entwurf noch einmal genau die oben bereits dargestellte Zuständigkeitsverteilung. Der Rundfunkdatenschutzbeauftragte soll wohl Ansprechpartner für alle Betroffenen außerhalb des rbb sein. Die interne Datenschutzbeauftragte, entgegen den unmittelbar geltenden Vorgaben der DSGVO, aber nur für die Mitarbeiter des rbb.
Was würde das in der Praxis bedeuten?
- Wenn ein Webseitenbsucher Fragen zu Cookies auf der Webseite des rbb hat, dürfte die Datenschutzbeauftragte des rbb hierzu gar nichts sagen. Denn sie soll ja dafür nicht zuständig sein. Die Aufsichtsbehörde (!) des rbb müsste dann, auch außerhalb einer förmlichen Beschwerde, Auskünfte und Informationen zur Datenverarbeitung des rbb durch Cookies geben. Wie soll das gehen?
- Wenn ein Teilnehmer eines Gewinnspiels des rbb Fragen zur Aufbewahrung seiner Daten durch den rbb hat, dürfte die Datenschutzbeauftragte des rbb hierbei nicht unterstützen oder Auskunft geben.
Sollte diese Aufgabenzuweisung zwischen Rundfunkdatenschutzbeauftragten und der internen Datenschutzbeauftragten des rbb tatsächlich so im rbb-Staatsvertrag verbindlich vorgesehen werden, würde dies aus meiner Sicht klar einen Verstoß gegen Art. 38 Abs. 4 DSGVO darstellen. Die Stellung der Datenschutzbeauftragten würde massiv und entgegen der DSGVO beschränkt.
In dem Entwurf des rbb-Staatsvertrages finden sich auch keinerlei Hinweise darauf, ob man hier eventuell Öffnungsklauseln oder Ausnahmevorschriften der DSGVO nutzen möchte. Art. 23 Abs. 1 DSGVO greift hier meines Erachtens nicht, dass sich die Ausnahmen nicht auf Art. 37 oder 38 DSGVO erstrecken können.
Und auch Art. 85 Abs. 2 DSGVO ist meines Erachtens nicht einschlägig, da es ja laut der Begründung im rbb-Staatsvertrag eben nicht nur um Verarbeitungen zu journalistischen Zwecken geht, sondern schlicht um eine Abgrenzung zu ganzen Personengruppen.
Ich bin gespannt, wie diese Regelungen, sollten sie in dieser Form kommen, praktisch umgesetzt. Wie gesagt, verstößt diese Aufspaltung von Kompetenzen und Aufgaben aber gegen die DSGVO.