Folgen des BGH-Urteils zu Cookies – welche Aufsichtsbehörde ist zuständig und dürfen Datenschutzbehörden Bußgelder verhängen?

Über das Urteil des BGH in der Sache „Cookie-Einwilligung II“ (zuvor am EuGH als „Planet49“) aus der letzten Woche (Urteil vom 28.5.2020, Az. I ZR 7/16) wurde bereits viel geschrieben, auch wenn bisher nur die Pressemitteilung veröffentlicht ist. Wir warten noch gespannt auf die Urteilsgründe und insbesondere die Unterfütterung der Ansicht, dass die fehlende Einwilligung nach Art. 5 Abs. 3 ePrivacy-Richtlinie in § 15 Abs. 3 TMG als per default existierender Widerspruch angesehen wird. Also „Schweigen = Nein“.

A. Vorrang des § 15 Abs. 3 S. 1 TMG gegenüber der DSGVO

In diesem Beitrag möchte ich mich mit einer praxisrelevanten Folgefrage auseinandersetzen, die sich aus der Begründung des BGH ergibt. Das Gericht geht davon aus, dass in § 15 Abs. 3 S. 1 TMG die Vorgaben des Art. 5 Abs. 3. S. 1 ePrivacy-Richtlinie umgesetzt sind („§ 15 Abs. 3 Satz 1 TMG als den Art. 5 Abs. 3 Satz 1 der Richtlinie 2002/58/EG umsetzende nationale Regelung“). Dies bedeutet im Verhältnis zur DSGVO, dass nach Art. 95 DSGVO der § 15 Abs. 3 S. 1 TMG als nationale Umsetzung der ePrivacy-Richtlinie in der Form einer lex specialis der DSGVO vorgeht (ausführlich zu dem Verhältnis von DSGVO und der ePrivacy-Richtlinie, EDSA Stellungnahme 5/2019 zum Zusammenspiel zwischen der e-Datenschutz-Richtlinie und der DSGVO; zum Vorrang der ePrivacy-Richtlinie insbesondere ab Rz. 38, pdf). Dies gilt zumindest soweit, wie der Anwendungsbereich Art. 5 Abs. 3 ePrivacy-Richtlinie und seiner Umsetzung reicht; also die Speicherung von Informationen und der Zugriff auf bereits gespeicherte Informationen im Endgerät eines Nutzers. Bespiele: das Setzen eines Cookies (= Speicherung von Informationen) oder Auslesen aus einem Cookie oder dem Storage (= Zugriff auf gespeicherte Informationen).

B. Aufsichtsbehördliche Zuständigkeit

Und nun zu der besonderen Praxisrelevanz: möchte eine Datenschutzbehörde diese Tätigkeiten (also die Speicherung von Informationen oder den Zugriff auf gespeicherte Informationen) prüfen, untersagen oder gar ein Bußgeld verhängen, ist sie hierzu überhaupt befugt?

Die Antwort auf diese Frage muss man grundsätzlich je nach Mitgliedstaat und nationaler Umsetzung der ePrivacy-Richtlinie beantworten. Und ich möchte gleich vorwegschicken, dass die Beantwortung nicht einfach ist.

Per se gilt: die ePrivacy-Richtlinie gewährt den Mitgliedstaaten die Möglichkeit, eine oder mehrere Stellen mit der Durchsetzung zu beauftragen. Und dies müssen gerade nicht die Datenschutzbehörden nach der DSGVO sein. Der EDSA in der oben genannten Stellungnahme hierzu (Rz. 64):

Die e-Datenschutz-Richtlinie belässt den Mitgliedstaaten die Flexibilität, darüber zu entscheiden, welcher Behörde oder Stelle sie ihre Durchsetzung anvertrauen wollen.

Das bedeutet, dass die Datenschutzbehörden für die Überwachung der Einhaltung der Vorgaben der ePrivacy-Richtlinie und im Speziellen auch die Ahndung von Verstößen durch Bußgelder nur zuständig sind, wenn dies national gesetzlich so vorgesehen und ihnen diese Aufgabe übertragen ist. Gerade für die Verhängung von Bußgeldern spielen die nationalen Regelungen eine wichtige Rolle. Für eine dem Zugriff auf Informationen oder der Speicherung von Informationen nachfolgende Verarbeitung personenbezogener Daten sind die Datenschutzbehörden dann aber zuständig, da die DSGVO unmittelbar greift.

Und nun kommen wir zu der Situation in Deutschland. Vorab eine Übersicht meiner aktuellen Einschätzung (allein bezogen auf den Datenschutz im Bereich des deutschen TMG, also konkret § 15 Abs. 3 S. 1 TMG).

Aufsichtsbehördliche Maßnahmen Verhängung Bußgelder
DSGVO Datenschutzbehörden (Art. 58 Abs. 1 und 2 DSGVO) Datenschutzbehörden (Art. 58 Abs. 2 lit. i), Art. 83 DSGVO)
ePrivacy-Richtlinie / TMG Datenschutzbehörden (§ 59 Abs. 1 S. 1 RStV) Es ist kompliziert…

C. Datenschutzaufsicht

Nach § 59 Abs. 1 S. 1 des noch geltenden Rundfunkstaatsvertrages (RStV, pdf) überwachen die nach den allgemeinen Datenschutzgesetzen des Bundes und der Länder zuständigen Aufsichtsbehörden für ihren Bereich die Einhaltung der allgemeinen Datenschutzbestimmungen und des § 57 RStV. (Hinweis: in Zukunft wird der RStV durch den Medienstaatsvertrag (MStV, pdf) ersetzt).

Nach § 1 Abs. 1 Hs. 2 RStV gelten für Telemedien der IV. bis VI. Abschnitt sowie § 20 Abs. 2 RStV; jedoch ganz allgemein, unabhängig davon, ob es sich um Rundfunk handelt. Daneben gelten die Vorgaben des TMG.

Dies bedeutet wohl, dass den Datenschutzbehörden die „Aufsicht“ in der Form der Überwachung der Einhaltung der Datenschutzbestimmungen für Telemedien zugewiesen ist. Jedoch enthält § 59 RStV keine Regelung zur Zuständigkeit für die Verhängung von Bußgeldern bei Verstößen gegen das TMG (dies könnte daran liegen, dass das TMG Bundesrecht ist und die Länder hier keine Regelungskompetenz für Bußgeldtatbestände haben).

Diese Ansicht wird auch durch die oben zitierte Stellungnahme des EDSA gestützt, welche klarstellt, dass sich die Datenschutzbehörde nicht automatisch auf die in der DSGVO vorgesehenen Aufgaben und Befugnisse stützen kann, um die nationalen Vorschriften zur Umsetzung der ePrivacy-Richtlinie durchzusetzen, da diese Aufgaben und Befugnisse aus der DSGVO an deren Durchsetzung gebunden sind (EDSA, Stellungnahme 5/2019, Rz. 65 ff.).

D. Vollzugszuständigkeit (Bußgelder)

I. Bußgeldregelung im TMG

Zunächst eine simple Feststellung: Verstöße gegen § 15 Abs. 3 S. 1 TMG sind nach § 16 TMG nicht ausdrücklich bußgeldbewehrt. Nur Verstöße gegen § 15 Abs. 1 S. 1 TMG und gegen § 15 Abs. 3 S. 3 TMG (bei Zusammenführung der Daten des Betroffenen mit dem Pseudonym) sind in dem Katalog des § 16 Abs. 2 TMG aufgeführt. Es wird in der Literatur aber diskutiert, ob nicht die Erstellung eines Nutzungsprofils gegen den Widerspruch (also nach BGH: ohne Einwilligung) des Nutzers eine unzulässige Datenerhebung bzw. -verwendung iSd § 15 Abs. 1 S. 1 darstellt, die dann vom Bußgeldtatbestand des § 16 Abs. 2 Nr. 4 TMG erfasst wird (so Bornemann, in: BeckOK Informations- und Medienrecht, 27. Edition, § 16 TMG, Rn. 16). Ob ein solcher Rückschluss mit dem im Rahmen der Verhängung von Bußgeldern zu beachtenden Bestimmtheitsgebot von Normen vereinbar ist, kann man aber meines Erachtens diskutieren. Nach dem in Art. 20 Abs. 3 GG verankerten Bestimmtheitsgebot muss staatliches Handeln (insbesondere in der Form von Sanktionen) für die Rechtsunterworfenen berechenbar sein.

II. Ergänzende Bußgeldregelungen im RStV

Selbst, wenn man von dem Verweis in § 59 Abs. 1 S. 1 RStV auch die Zuständigkeit zur Verhängung von Bußgeldern umfasst sehen möchte (was meines Erachtens nicht möglich ist), so müsste eine entsprechende landesrechtliche Zuständigkeitsregelung in den Bundesländern den Datenschutzbehörden diese auch konkret zuordnen (Stichwort: Bestimmtheitsgebot).

Denn: § 16 TMG enthält zwar Bußgeldtatbestände für Verstöße gegen bestimmte Normen des TMG. Das TMG selbst enthält aber keine Regelungen über die für die Verhängung der Bußgelder zuständige Verwaltungsbehörde. Das bedeutet, es gelten die allgemeinen Vorschriften des OWiG (umfassend hierzu schon im Jahr 2011 der Wissenschaftliche Dienst des Deutschen Bundestages, pdf). Nach § 36 Abs. 1 OWiG ist für die Verfolgung von Ordnungswidrigkeiten die Behörde sachlich zuständig, die durch Gesetz bestimmt wird bzw., wenn eine solche Bestimmung nicht vorliegt, die fachlich zuständige oberste Landesbehörde oder das fachlich zuständige Bundesministerium, soweit das Gesetz von Bundesbehörden ausgeführt wird.

Das bedeutet, dass wir nach entsprechenden landesrechtlichen Zuständigkeitsregelungen suchen müssen, die die Ahndung von Verstößen im Sinne der § 16 TMG einer Behörde zuweisen.

In jedem Fall gilt: Bußgelder auf Grundlage des § 16 TMG können maximal 50.000 EUR betragen (§ 16 Abs. 3 TMG). Damit also auch Bußgelder wegen eines Verstoßes gegen § 15 Abs. 3 S. 1 TMG (wie gesagt, wenn man dies überhaupt als möglich erachtet).

III. Zuständigkeitsregelungen für die Verhängung von Bußgeldern nach dem TMG

Spannend ist nun die Frage, welche Behörde für die Verhängung eines solchen Bußgeldes zuständig ist. Zumeist erfolgt diese Zuweisung, so sie ausdrücklich getroffen wurde, für Verstöße gegen § 16 Abs. 2 Nr. 2 – 5 TMG. Nachfolgend haben mein Kollege Johannes Zwerschke und ich uns an einer Übersicht versucht.

Eins noch vorab. Einige Länder haben in ihren Datenschutzgesetzen nur sehr allgemein die Zuständigkeit der Datenschutzbehörde auch für andere Datenschutzgesetze geregelt. Z. B. heißt es in § 6 Abs. 1 S. 2 ThürDSG: „Dabei kontrolliert er die Einhaltung der Verordnung (EU) 2016/679, dieses Gesetzes sowie anderer datenschutzrechtlicher Bestimmungen.“. Da es sich auch nach Ansicht des BGH bei § 15 Abs. 3 S. 1 TMG um eine datenschutzrechtliche Bestimmung handelt, ist es denkbar, dass der Datenschutzaufsichtsbehörde (z. B. im Fall von Thüringen) daher auch die Zuständigkeit zur Verhängung von Bußgeldern hinsichtlich des TMG obliegt. Allerdings könnte man insoweit ganz auf der Linie des Wissenschaftlichen Dienstes des Bundestags die fehlende Bestimmtheit der jeweiligen Regelung und daher die Unzuständigkeit der betreffenden Behörde für die Verhängung von Bußgeldern nach dem TMG monieren.

Die betreffenden Fälle wurden mit „*)“ markiert.

Bundesland

Behörde

Norm / Begründung

Nordrhein-Westfalen Landesbeauftragte für Datenschutz und Informationsfreiheit (LDI). § 2 Nr. 2 Telemedienzuständigkeitsgesetz (TMZ-Gesetz).
Bayern Bayerisches Landesamt für Datenschutzaufsicht (BayLDA – für den privaten Bereich). § 96 Zuständigkeitsverordnung(ZustV).
Sachsen Sächsische Datenschutzbeauftragte. § 15 Nr. 2 Ordnungswidrigkeiten-Zuständigkeitsverordnung.
Baden-Württemberg Regierungspräsidium Karlsruhe. § 4 Abs. 2 Nr. 4 Verordnung der Landesregierung überZuständigkeiten nach dem Gesetz über Ordnungswidrigkeiten

(OWiZuVO).

Niedersachsen Landesbeauftragte für den Datenschutz Niedersachsen. *) §§ 19 Abs. 1, 20 Abs. 1 NDSG (wenn man von dem Verweis auf „andere datenschutzrechtliche Bestimmungen“ auch § 15 Abs. 3 S. 1 TMG bzw. die Bußgeldnorm des § 16 Abs. 2 TMG umfasst sieht); evtl. auch § 1 Abs. 4 ZustVO-OWi (als Behörde, die die Einhaltung der Vorschriften zu überwachen hat (danke an Dr. Tobias Born für den Hinweis); (§ 2 Nr. 1 lit. d) ZustVO-OWi ist nicht einschlägig, da sich diese nicht auf § 16 Abs. 2 Nr. 4 und 5 TMG erstreckt).
Schleswig-Holstein Für Schleswig-Holstein haben wir keine einschlägige, landesrechtliche Regelung gefunden. Mangels einer gesetzlichen Regelung ist daher die fachlich zuständige oberste Landesbehörde für das Ordnungswidrigkeitenverfahren zuständig. § 36 Abs. 1 Nr. 2 lit. a) OWiG (§ 38 Abs. 6 Gesetz zum Staatsvertrag über das Medienrecht in Hamburg und Schleswig-Holstein ist nicht einschlägig, da sich diese nicht auf § 16 Abs. 2 Nr. 4 und 5 TMG erstreckt).
Hamburg Hamburgischer Beauftragterfür Datenschutz und Informationsfreiheit. IV Nr. 3 der Anordnung über Zuständigkeiten auf dem Gebiet des Rundfunkwesens und der Telemedien vom 25. März 1997.
Bremen Landesbeauftragte für Datenschutz und Informationsfreiheit Bremen. § 63 Nr. 3 BremLMG.
Mecklenburg-Vorpommern Medienanstalt Mecklenburg-Vorpommern (MMV) (nach vorheriger Stellungnahme des Landesbeauftragten für Datenschutz und Informationsfreiheit). § 67 Abs. 3 S. 1 und 6 RundfunkG M-V.
Brandenburg Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht Brandenburg. *) § 18 Abs. 4, Abs. 1 S. 2 BbgDSG (vgl. Gesetzesbegründung zu § 18 Abs. 4 BbgDSG: „Absatz 4 bestimmt … gemäß § 36 Absatz 1 Ziffer 1 des Ordnungswidrigkeitengesetzes die Landesbeauftragte oder den Landesbeauftragten als zuständige Verwaltungs-behörde für die Verfolgung und Ahndung von Ordnungswidrigkeiten“ (Drs. 6/7365).
Berlin Jeweiliges Bezirksamt. § 1 Nr. 1 d) ZustVO-OWiG (entsprechend § 1 ZustVO-OWiG wird davon ausgegangen, dass für die Verhängung von Bußgeldern keine gesetzliche Zuständigkeitszuweisung an die Berliner Datenschutzbehörde besteht).
Sachsen-Anhalt Für Sachsen-Anhalt haben wir keine einschlägige, landesrechtliche Regelung gefunden. Mangels einer gesetzlichen Regelung ist daher die fachlich zuständige oberste Landesbehörde für das Ordnungswidrigkeitenverfahren zuständig. § 36 Abs. 1 Nr. 2 lit. a) OWiG.
Thüringen Thüringer Landesbeauftragter für den Datenschutz und die Informationsfreiheit. *) §§ 6 Abs. 1 S. 2, 61 Abs. 1 und 6 ThürDSG iVm § 8 Abs. 1 InMinZustV TH („Zuständige Verwaltungsbehörde für die Verfolgung und Ahndung von Ordnungswidrigkeiten ist, soweit nichts anderes bestimmt ist, diejenige Behörde, der der Vollzug derjenigen Rechtsvorschriften obliegt, gegen die sich der Verstoß richtet“).
Hessen Hessische Beauftragte für Datenschutz und Informationsfreiheit. *) § 13 Abs. 1 HDSIG.
Rheinland-Pfalz Für Rheinland-Pfalz haben wir keine einschlägige, landesrechtliche Regelung gefunden. Mangels einer gesetzlichen Regelung ist daher die fachlich zuständige oberste Landesbehörde für das Ordnungswidrigkeitenverfahren zuständig. § 36 Abs. 1 Nr. 2 lit. a) OWiG.
Saarland Hier ist die Lage unklar. Es sind zwei mögliche Zuständigkeiten denkbar:1. Unabhängiges Datenschutzzentrum Saarland *)

oder

2. Ministerium für Inneres, Bauen und Sport.

Zu 1. §§ 20 Abs. 5 S. 1; 16 Abs. 2; 3 Abs. 1 SarlDSG.(Problem: nebenstehende Regelung könnte aber möglicherweise unionsrechtswidrig sein, da sie Art. 95 DSGVO umgeht, der besagt, dass die ePrivacy-Richtlinie lex specialis ist)

Zu 2. § 36 Abs. 1 Nr. 2 lit. a) OWiG iVm § 3 LOG und 4.13 Geschäftsverteilungsplan der Regierung.

(wenn jemand noch Hinweise zu konkreten Zuständigkeitsregelungen hat, freue ich mich über eine E-Mail)

E. Fazit

Man sieht, dass die Frage der Zuständigkeit für die Ahndung von Verstößen gegen § 15 Abs. 3 S. 1 TMG nicht einfach zu beantworten ist. Und sicher wird auch das hier gefundene Ergebnis zur Diskussion einladen. Aktuell würde ich aber davon ausgehen, dass in Deutschland je nach Bundesland zu prüfen und zu unterscheiden ist, ob tatsächlich die jeweilige Landesdatenschutzbehörde befugt ist, Bußgelder wegen eines Verstoßes gegen § 15 Abs. 3 S. 1 TMG zu verhängen. In einigen Bundesländern ist sie dies meines Erachtens nicht.

Diesen Blogbeitrag als PDF-Dokument herunterladen.

Rundfunkdatenschutzbeauftragter: Zweistufiges Auskunftsverfahren ist DSGVO-konform

In seinem aktuellen (und ersten) Tätigkeitsbericht für 2019 (pdf, S. 50 ff.) berichtet der  gemeinsame Rundfunkdatenschutzbeauftragter für den Bayerischen Rundfunk, den Saarländischen Rundfunk, den Westdeutschen Rundfunk, das Deutschlandradio und das Zweite Deutsche Fernsehen u.a. auch über die Erteilung von Auskünften durch den Beitragsservice.

In einigen Fällen beschwerten sich Betroffene, dass die ihnen erteilte Auskunft nicht vollständig gewesen sei. Hintergrund dieser Beschwerden ist, dass der Beitragsservice, Auskünfte grundsätzlich im Rahmen eines zweistufigen Verfahrens erteilt.

  • Die Erstauskunft umfasst die wichtigsten Informationen über die Umstände der Datenverarbeitung wie etwa die Herkunft der Daten, die Datenverarbeitungskategorien und die Verarbeitungszwecke. Hierbei orientiert man sich an Daten der Anzeigepflicht nach § 8 Abs. 4 RBStV.
  • Diese Erstauskunft wird um die Mitteilung der etwa vorhandenen weiteren Daten ergänzt, sofern die Antragsteller dies wünschen.

Nach Aussage des Rundfunkdatenschutzbeauftragten genügt den Antragstellern die auf diese Angaben beschränkte Erstauskunft des Beitragsservice in den weitaus meisten Fällen.

Nach Ansicht des Rundfunkdatenschutzbeauftragten erfüllt ein solches zweistufiges Verfahren

sowohl den Sinn und Zweck als auch materiell die Anforderungen des Art. 15 DSGVO.

Zur Begründung führt er aus, dass dies nicht zuletzt den Verwaltungsaufwand deutlich reduziert und damit im Interesse aller Beitragszahler unnötige Kosten vermeidet.

Zudem können Aspekte der

Verhältnismäßigkeit bzw. des vertretbaren Aufwands in die Anwendung bzw. Umsetzung der Vorgaben zum Auskunftsanspruch nach Art. 15 DSGVO einfließen.

Dies ergibt sich aus ErwG 63 DSGVO sowie Vorschriften wie etwa § 34 Abs. 1, 4 BDSG, § 12 Abs. 1 LDSG NRW, Art. 10 Abs. 2 Nr. 4 und 5 BayDSG oder § 9 Abs. 2 LDSG B-W. Dabei ist insbesondere zu berücksichtigen, dass der Beitragsservice einen außerordentlich großen Datenbestand zu verwalten und dabei auf ein Höchstmaß an Effizienz, Wirtschaftlichkeit und Sparsamkeit zu achten hat, vgl. § 14 RStV.

Der Rundfunkdatenschutzbeauftragte stellt für seine Begründung mit Blick auf ErwG 63 DSGVO wohl vor allem darauf ab, dass dort für Verantwortliche die Möglichkeit der Bitte um Präzisierung vorgesehen ist, wenn der Verantwortliche eine große Menge von Informationen über die betroffene Person verarbeitet.

Das interessante und praxisrelevante an der Begründung ist, dass hier per se ein gestuftes Auskunftsverfahren als zulässig angesehen wird. Der Rundfunkdatenschutzbeauftragte verlangt also nicht eine Prüfung im Einzelfall, ob wirklich eine große Menge an Daten verarbeitet werden. Dieser Faktor wird sicherlich auch bei vielen Unternehmen in der Privatwirtschaft (gerade im B2C Bereich) relevant sein.

Daneben ist die Begründung des Rundfunkdatenschutzbeauftragten basierend auf dem Gebot der Wirtschaftlichkeit interessant. Geht man davon aus, dass die Masse an Anfragen mit der ersten Stufe der Auskunft zufriedenstellend erfüllt ist, würde es unnötigen Aufwand und personellen als auch finanziellen Aufwand bedeuten, wenn man (quasi überschießend) immer eine Vollauskunft erteilt. Die Besonderheit im konkreten Fall dürfte hier darin liegen, dass aufgrund einer ausdrücklichen Regelung (nach § 14 RStV) der Finanzbedarf des öffentlich-rechtlichen Rundfunks regelmäßig entsprechend den Grundsätzen von Wirtschaftlichkeit und Sparsamkeit geprüft und ermittelt werden muss. Die Sparsamkeit also gesetzlich angeordnet ist.

Ob man dieses Argument auch auf den privatwirtschaftlichen Bereich übertragen kann, wird man diskutieren können. Unternehmen sind nicht gesetzlich zur Wirtschaftlichkeit oder Sparsamkeit verpflichtet. Andererseits müssen auch Unternehmen die „Kosten im Blick“ behalten, da sich eine Erhöhung eben dieser auch insgesamt negativ auf die wirtschaftliche Entwicklung auswirken kann.

Wichtig ist noch die Klarstellung des Rundfunkdatenschutzbeauftragten, dass das Recht auf Auskunft weder inhaltlich beschränkt noch unzumutbar erschwert werden darf. Der Beitragsservice informiert die Betroffenen hinreichend klar auf das abgestufte Verfahren und das Recht des Betroffenen, die Auskunft vervollständigen zu lassen. Bei einer entsprechenden Umsetzung in Unternehmen, sollten dieser Aspekt der Transparenz und Erleichterung der Geltendmachung des Auskunftsrechts (vgl. Art. 12 Abs. 2 DSGVO) ebenfalls besonders berücksichtigt werden.

Neue Datenschutzaufsichtsbehörde für den Norddeutschen Rundfunk

Bekanntlich verpflichtet Art. 85 Abs. 1 DSGVO die Mitgliedstaaten dazu, durch Rechtsvorschriften das Recht auf den Schutz personenbezogener Daten gemäß der DSGVO mit dem Recht auf freie Meinungsäußerung und Informationsfreiheit, einschließlich der Verarbeitung zu journalistischen Zwecken und zu wissenschaftlichen, künstlerischen oder literarischen Zwecken, in Einklang zu bringen. Es handelt sich um einen Regelungsauftrag an die Mitgliedstaaten. In Deutschland sowohl an den Bund als auch die Länder. Nach Art. 85 Abs. 2 DSGVO müssen die Mitgliedstaaten Ausnahmen von den meisten Kapiteln der DSGVO vorsehen, wenn die Verarbeitung zu journalistischen Zwecken erfolgt und die Ausnahmen erforderlich sind, um das Recht auf Schutz der personenbezogenen Daten mit der Freiheit der Meinungsäußerung und der Informationsfreiheit in Einklang zu bringen.

Bisher ist das sog. Medienprivileg in § 41 BDSG bzw. § 57 RStV geregelt. Im neuen, ab dem 25. Mai 2018 geltenden, BDSG wird eine solche Regelung bewusst fehlen. Dies bedeutet, dass in Deutschland die Bundesländer solche Ausnahmen schaffen müssen.

Derzeit wird länderübergreifend etwa der geltende Rundfunkstaatsvertrag (RStV) mit Blick auf die DSGVO überarbeitet.

Daneben sind jedoch auch einzelne Bundesländer mit Ergänzungen bzw. Anpassungen der rechtlichen Rahmenbedingungen für Rundfunkanstalten der Länder befasst. Hinsichtlich des Norddeutschen Rundfunks (NDR) haben sich die viel NDR-Staatsvertragsländer darauf geeinigt, die Umsetzung der DSGVO in einem eigenen „NDR-Datenschutz-Staatsvertrag“ vorzunehmen.

Der Entwurf dieses NDR-Datenschutz-Staatsvertrages vom 13.09.2017 ist nun öffentlich abrufbar (pdf). Die Unterzeichnung des NDR-Datenschutz-Staatsvertrages ist für Ende November / Anfang Dezember 2017 vorgesehen.

Mit dem Entwurf werden die datenschutzrechtlichen Normen im NDR-Staatsvertrag (§§ 41, 42) gestrichen und durch § 1 und § 2 Abs. 4 des neuen NDR-Datenschutz-Staatsvertrages ersetzt. Völlig neu sind hierbei die Regelungen in § 1 Abs. 1 bis 3 und die §§ 3 & 4 zur Ernennung des „Rundfunkbeauftragten für den Datenschutz beim NDR“ und sind gänzlich neu. Neben dem Datenschutzbeauftragten des NDR (der auch bisher schon existiert) wird ein Rundfunkbeauftragter für den Datenschutz beim NDR geschaffen. Er soll Behördenqualität erhalten und seine Funktion besteht darin, Datenschutzbeauftragten des NDR zu überwachen. Nach § 2 Abs. 1 soll der Rundfunkbeauftragte für den Datenschutz die zuständige Aufsichtsbehörde im Sinne des Art. 51 DSGVO sein. Nach § 3 Abs. 1 ist er in Ausübung seines Amtes unabhängig und nur dem Gesetz unterworfen. Er unterliegt auch keiner Rechts- oder Fachaufsicht. Hierdurch wird dem Erfordernis der völligen Unabhängigkeit der Datenschutzaufsichtsbehörden Rechnung getragen.

Hiermit soll also für den NDR eine eigene Datenschutzaufsichtsbehörde geschaffen werden, die von dem Datenschutzbeauftragten des NDR zu unterscheiden ist. Rundfunkbeauftragte für den Datenschutz überwacht die Einhaltung der Datenschutzvorschriften des Rundfunkstaatsvertrages, der DSGVO und anderer Vorschriften über den Datenschutz bei der gesamten Tätigkeit des NDR (§ 4 Abs. 1). Grundsätzlich sollen ihm auch alle Befugnisse nach Art. 57 und 58 Abs. 1 DSGVO zustehen. Geldbußen soll er gegenüber dem NDR jedoch nicht verhängen dürfen.