Artikel 44 EU-DSGVO: Allgemeine Grundsätze der Datenübermittlung
Jedwede Übermittlung personenbezogener Daten, die bereits verarbeitet werden oder nach ihrer Übermittlung an ein Drittland oder eine internationale Organisation verarbeitet werden sollen, ist nur zulässig, wenn der Verantwortliche und der Auftragsverarbeiter die in diesem Kapitel niedergelegten Bedingungen einhalten und auch die sonstigen Bestimmungen dieser Verordnung eingehalten werden; dies gilt auch für die etwaige Weiterübermittlung personenbezogener Daten durch das betreffende Drittland oder die betreffende internationale Organisation an ein anderes Drittland oder eine andere internationale Organisation. Alle Bestimmungen dieses Kapitels sind anzuwenden, um sicherzustellen, dass das durch diese Verordnung gewährleistete Schutzniveau für natürliche Personen nicht untergraben wird.
Kommentar zu Artikel 53 DSGVO
Was sagt Art. 53 DSGVO aus?
Artikel 53 DSGVO enthält Anforderungen an die Mitglieder von Aufsichtsbehörden. Nach Abs. 1 müssen die Mitglieder durch eine der höchsten nationalen Staatsstellen im Rahmen eines transparenten Verfahrens ernannt werden. Dazu gehören:
Welches der genannten Ernennungsorgane mit der Durchführung dieses transparenten Verfahrens betraut wird, liegt in der Entscheidung der Mitgliedstaaten. Auch die Anforderungen an das Verfahren werden von den Mitgliedstaaten selbst durch Rechtsvorschrift vorgesehen (Art. 54 Abs 1 lit. c DSGVO). In Deutschland erfolgt die Ernennung nach Vorschlag der jeweiligen Regierung durch den Bundestag. Jeder Mitgliedstaat kann zwischen einer monokratischen oder kollegialen Variante der Ausgestaltung der Leitungsspitze der Aufsichtsbehörden wählen, wobei sich Deutschland für eine monokratische Ausgestaltung entschieden hat. Dies bedeutet, dass die deutschen Aufsichtsbehörden aus nur jeweils einer Person bestehen. Dazu gehören der Bundesdatenschutzbeauftragte für die Aufsichtsbehörde des Bundes sowie die Landesdatenschutzbeauftragten für die jeweiligen Aufsichtsbehörden der Länder. Somit zählen zu den Mitgliedern der Aufsichtsbehörde auch nur die jeweiligen Datenschutzbeauftragten.
Abs. 2 bestimmt die nötigen Qualifikationen und sonstigen Anforderungen an die Mitglieder der Aufsichtsbehörden. Es werden dabei eine hinreichende Qualifikation in Bezug auf die Erfüllung der Aufgaben und Ausübung der Befugnisse der Mitglieder sowie Erfahrung und Sachkunde, insbesondere im Bereich des Datenschutzes, als Voraussetzungen genannt. Die Ausgestaltung dieser Voraussetzungen wird gem. Art. 54 Abs. 1 lit. b DSGVO den Mitgliedstaaten durch Rechtsvorschrift aufgetragen.
Den Regelungsaufträgen der Abs. 1 und 2 hat der deutsche Gesetzgeber in § 11 BDSG Rechnung getragen. Darüber hinaus hat jedes Bundesland ein eigenes Datenschutzgesetz erlassen.
Die Frage der Beendigung der Amtszeit eines Mitglieds wird in Abs. 3 geregelt. Demnach kann das Amt entweder
Die konkrete Dauer sowie die Frage der Wiederernennung wird den Mitgliedstaaten ebenfalls nach Art. 54 Abs. 1 lit. d und e DSGVO zur Regelung durch Rechtsvorschrift überlassen. Danach muss die Amtszeit mindestens vier Jahre betragen. Auch das Beendigungsverfahren muss durch Rechtsvorschrift vorgesehen werden. Gem. § 11 Abs. 3 BDSG beträgt die Amtszeit in Deutschland fünf Jahre und eine Wiederernennung ist einmalig zulässig. Gemäß Abs. 4 werden Mitglieder nur des Amtes enthoben, sofern sie eine schwere Verfehlung begangen haben oder nicht mehr die Voraussetzungen für die Wahrnehmung ihrer Aufgaben erfüllen. Es fehlt allerdings sowohl in Art. 53 DSGVO als auch in Art. 54 Abs. 1 DSGVO ein konkreter Regelungsauftrag für die Mitgliedstaaten. Daher müssen die „Regeln für die Beendigung des Beschäftigungsverhältnisses“ des Art. 54 Abs. 1 lit. f DSGVO dahingehend ausgelegt werden, dass darunter auch die außerordentliche Amtsenthebung fällt. Diese Vorgabe wurde durch § 12 Abs. 2 BDSG für den Vollzug umgesetzt.
Was ist neu?
Im Vergleich zu Art. 28 der alten DSRL, welche nur Strukturvorgaben (teilweise optional) zu Aufsichtsbefugnissen traf, wurden die Vorgaben für die Organisation der Aufsichtsbehörden weitaus genauer ausgestaltet und die Anforderungen an deren Mitglieder erstmals konkret vorgeschrieben.
Welche Folgen ergeben sich aus Art. 53 DSGVO?
Die Organisationsvorgaben des Art. 53 DSGVO in Verbindung mit den Regelungsaufträgen des Art. 54 Abs. 1 DSGVO lassen wenig Spielraum, da der effektiven behördlichen Datenschutzaufsicht eine große Bedeutung zukommt. Nur so kann sichergestellt werden, dass das materielle Datenschutzrecht auch durchgesetzt wird. Daher müssen §§ 11, 12 BDSG und die jeweiligen Landesgesetze unbedingt vollzogen werden.