Aufsatz : Die Aufsichtsmechanismen der neuen europäischen Datenschutzgesetzgebung – nationaler Vollzug im Spannungsfeld supranationaler Zusammenarbeit und Entscheidungsfindung : aus der RDV 6/2017, Seite 273 bis 279
Das europäische Datenschutzrecht erfährt zurzeit eine Neuausrichtung transnationalen Verwaltungshandelns. Der vorliegende Aufsatz untersucht die neuen Vollzugs- und Aufsichtsmechanismen der im Mai 2018 in Kraft tretenden Datenschutz-Grundverordnung (DS-GVO), die eine notwendige Antwort auf die neuen Herausforderungen im digitalen Zeitalter gibt. Neben vielfältigen Compliance-Strategien finden sich in der DS-GVO auch neue Mechanismen supranationaler Zusammenarbeit zwischen europäischen und nationalen Aufsichtsbehörden. Kooperative Regulierungskonzepte wie das „Kohärenzverfahren“ oder das durch den Europäischen Datenschutzausschuss (EDSA) gesteuerte „Streitbeilegungsverfahren“ mögen das Datenschutzrecht vereinheitlichen. Diese neue Verwaltungsstruktur, die gerade erhöhte Effizienz zum Ziel hat, erfordert dazu jedoch von Behörden wie Unternehmen gleichzeitig vielerlei rechtliche und organisatorische Anpassungen, die nachfolgend ausführlich erläutert werden sollen.
I. Einleitung
Allerlei Online-Dienste digitaler Global Player besitzen nicht nur enorme Kapazitäten zur Verarbeitung personenbezogener Daten, sondern auch große finanzielle und strategische Kräfte. Als die langwierigen Gesetzgebungsverhandlungen der DS-GVO[1] am 14.4.2016 letztlich endeten, wurden Erwartungshaltungen dahingehend geschürt, ob mit der die Datenschutzrichtlinie 95/46/EG (DSRL 95/46/EG)[2] ersetzenden unmittelbar anwendbaren Verordnung der entscheidende Schritt zur einheitlichen Koexistenz des Schutzes von Privatsphäre und Wirtschaftswachstum in Europa gelungen sein könnte. Die Stärke dieser Balance muss sich jedenfalls an kohärenten und robusten Bedingungen präventiver Schutzmechanismen messen lassen. Um diese und weitere Datenschutzstandards effektiv durchzusetzen, stattet die neue DS-GVO Aufsichtsbehörden nicht nur mit Kompetenzen zur Zusammenarbeit aus, sondern unterwirft sie auch europäischen Entscheidungsmechanismen, die allerlei Fragen aufwerfen: Was sind die (neuen?) Kriterien für eine exklusive nationale Zuständigkeit und welche Lösungen sind bei sich überschneidenden territorialen Anknüpfungspunkten vorgesehen? Welche Rolle spielt der neue EDSA, wie funktioniert dieses System supranationaler Kontrolle und wo liegen dabei Vorteile und Grenzen? Wer kann im Falle dieser ineinander verwachsenen Verantwortungsbereiche rechtlich haftbar gemacht werden? Der Beitrag beleuchtet kritisch das Ausmaß an Kohärenz, Rechtssicherheit und Transparenz der Aufsichtsmechanismen, das die neue DS-GVO nicht nur betroffenen Personen, sondern auch gerade der digitalen Wirtschaft bieten soll, und gibt praktische Hinweise, um diese Bedingungen alsbald umsetzen zu können.
II. Compliance-Mechanismen: effektive oder trügerische Schutzstandards?
Es liegt in der modernen Natur des Datenschutzes, Regelungen zu finden, die nicht gegen multinationale Unternehmen, sondern mit diesen einen robusten Rahmen zur Sicherung von wirtschaftlichen Vorteilen und der Privatsphäre gleichermaßen setzen. Dieses System der Selbstregulierung ist ein zentrales Element der DS-GVO geworden.[3] Compliance-Mechanismen sind daher nicht nur ein Mittel, um Aufsichtsbehörden in einem gewissen Umfang zu entlasten, sondern auch um Rechte betroffener Personen direkt gegenüber den verantwortlichen Stellen geltend machen zu können. Dabei spielen die Umsetzung kohärenter Kriterien für die rechtmäßige Verarbeitung von Daten (Art. 6 Abs. 1 DSGVO) und im Besonderen für die vorherige Einwilligung (Art. 7 DS-GVO) eine maßgebliche Rolle.
1. Adäquate Kriterien von präventiven Kontrollen
Die Bewertung einer rechtmäßigen Verarbeitung hängt von den berechtigten Interessen der verantwortlichen Stelle oder eines Dritten ab, die nicht durch die Grundrechte der betroffenen Person außer Kraft gesetzt werden. Die Zweckbegrenzung bei der Weiterverarbeitung und Verwendung von Daten wurde dabei spürbar verwässert, da den Unternehmen nun die Möglichkeit gegeben wird, diese Zulässigkeit innerhalb verschiedener Leitlinien selbst zu beurteilen: eine Datenverarbeitung, die von ihrem ursprünglichen Zweck abweicht und nicht mehr von der Einwilligung gedeckt ist, gilt nicht als automatisch rechtswidrig, sodass auch die Beweislast letztlich zu Lasten des Betroffenen umgekehrt wird.[4] Aus praktischer Sicht sollten die Unternehmen sich hier trotz dieses privilegierten Freiraums über die Leitlinien (Zusammenhang, Verhältnis, Folgen der Weiterverarbeitung) hinausgehende interne adäquate Maßstäbe und Vorschriften setzen, um für mögliche unangekündigte Kontrollen der Behörden gerüstet zu sein: der risikobasierte Ansatz des früheren Art. 20 Abs. 1 DS-RL, der Aufsichtsbehörden präventive Kontrollen ermöglicht, wenn eine Verarbeitung spezifische Risiken für Rechte und Freiheiten der betroffenen Personen birgt, wurde in die Art. 35/36 DS-GVO übertragen.[5] Es bestehen dabei indes auch erweiterte Rechenschaftspflichten für Unternehmen, die in folgender Konstellation Anwendung finden. Diese führen zunächst eine Bewertung der potenziellen Auswirkungen der beabsichtigten Datenverarbeitung auf die Rechte und Freiheiten der betroffenen Personen durch. Ist durch diese vorherige Folgenabschätzung („privacy impact assessment“) ein hohes Risiko angezeigt, welches nicht durch geeignete Maßnahmen eingedämmt werden kann, muss gemäß Art. 36 Abs. 1 DS-GVO vor der Verarbeitung das Ergebnis dieser Analyse an die Aufsichtsbehörde übermittelt werden.[6] Diese vorherige Konsultation ersetzt das System einer strengeren Genehmigung in früheren Vorschlägen der DS-GVO.[7] Letztlich ist dieser Mechanismus sowohl für Unternehmen als auch für Behörden mit Vorsicht zu genießen und sollte extern beauftragte Kontrollen nicht ersetzen. Einerseits kann diese Selbsteinschätzung der Aufsichtsbehörde zwar dabei helfen, einen Überblick zur Durchführung intensiverer Kontrollen zu erhalten. Auf der anderen Seite kann die interne Folgenabschätzung aber dazu führen, dass spezifische Risiken auf beiden Seiten unterschätzt werden und somit die Wägung im datenschutzrechtlich sicheren Hafen nur ein trügerisches Ergebnis vor dem eigentlichen Schiffsbruch ist.
2. Spezielle Wege zur Setzung angemessener interner Standards
Compliance-Mechanismen erweisen sich also nicht immer als sichere Helfer des modernen Datenschutzes. Die systematische Selbstregulierung kann trotzdem das Ausmaß behördlicher Kontrolle reduzieren, da Unternehmen darauf abzielen, solche Aufsichtsmaßnahmen durch Einführung eigener, adäquater Datenschutzstandards zu vermeiden. Dieser Effekt könnte sich darüber hinaus noch verstärken, wenn Unternehmen, die gegenseitig im Wettbewerb stehen, Beschwerden gemäß Art. 80 Abs. 2 iVm. Art. 79 Abs. 1 DS-GVO an Aufsichtsbehörden richten, dabei entscheidende InsiderInformationen liefern, um so Geldbußen gegen Konkurrenten zu erwirken.[8] Auch den angesprochenen Risiken in der Folgenabschätzung lässt sich sowohl von Seiten der Unternehmen als auch Behörden in folgender Weise begegnen. Um kein unvollständiges Bild über den individuellen Datenschutzstandard zu geben, müssen auch gerade Verarbeitungsvorgänge mit erhöhter Sensibilität (bspw. Daten mit sozialer und ethischer Relevanz gemäß Art. 9 DS-GVO) innerbetrieblich ernsthaft geprüft werden. Dazu sollten bis zum in-Krafttreten der Verordnung im Mai 2018 neben dem internen Datenschutzbeauftragten auch externe Dritte, die die besonderen fachlichen und rechtlichen Fähigkeiten besitzen, eine solche Einschätzung vornehmen. Sollte die darauffolgende behördliche Konsultation die eigene Analyse bestätigen, könnte das Unternehmen diese gar gegenüber den Kunden zur medienwirksamen Werbung oder als Angaben auf Produkten nutzen. Dies kann gerade den für die eigene wirtschaftliche Reputation so wichtigen Schutz sensibler Verbraucherrechte stärken: Transparenz und die Entwicklung sektorspezifischer Standards sind in besonderem Maße dazu geeignet, das Vertrauen der Kunden zu gewinnen. Darüber hinaus kann es sich anbieten, Maschinenoder Softwaretechnologien so zu installieren, dass sie nur solche Datenverarbeitungsvorgänge durchführen, die nach der Folgenabschätzung von der Behörde als rechtmäßig bestätigt wurden. Dies ist umso wichtiger, als letztlich diese präventiven Maßnahmen verhindern können, dass irreversible Verstöße im Verborgenen ablaufen. Berücksichtigt man diese Vorgehensweisen, kann letztlich dahinstehen ob das alte Instrument der vorherigen Anzeige ein wirksameres Mittel als die nun für Unternehmen vermeintlich weniger aufwändigen Verpflichtungen der behördlichen Kontrolle ist. Am Schluss steht damit fest, dass die nun verstärkt implementierten Compliance-Mittel bei allen Vorzügen auch versteckte Risiken für beide Seiten bergen: für Behörden, Datenschutzverstöße erst zu spät zu entdecken, und für Unternehmen, Standards nicht richtig zu setzen und so plötzlich und unerwartet gemäß Art. 83 Abs. 4 und 5 DS-GVO hohen Bußgeldern von bis zu zwanzig Millionen Euro gegenüber zu stehen.
III. Der „neue” territoriale Anwendungsbereich: ist das Problem der MehrfachZuständigkeiten gelöst?
Art. 28 DS-RL verleiht seit jeher den Aufsichtsbehörden Befugnisse, die zunächst auf ihr nationales Hoheitsgebiet beschränkt sind. Im Zusammenhang mit der Frage grenzüberschreitender Kompetenzen hat der EuGH bereits in 2014 beschlossen, dass die nationale Behörde des Mitgliedstaats zuständig ist, in dem sich eine Niederlassung des Unternehmens befindet oder eine „effektive und tatsächliche Ausübung einer Tätigkeit durch eine feste Einrichtung“ stattfindet.[9] Die Kodifizierung dieser Rechtsprechung in Art. 3 Abs. 1 DS-GVO mag ein bemerkenswerter Fortschritt sein, weil Unternehmen, die nicht in der EU ansässig sind, auch dann an das Gesetz gebunden sind, wenn sie Daten von EUBürgern erheben. Das grundsätzliche Problem der Zuständigkeit mehrerer nationaler Behörden kann aber immer noch bestehen bleiben.[10] Erwägungsgrund (EG) 22 der DSGVO betont, dass in dieser Hinsicht die Rechtsform des Unternehmens, sei es durch eine Zweigniederlassung oder eine Tochtergesellschaft mit Rechtspersönlichkeit, nicht entscheidend ist. Dies bedeutet zwar, dass grds. mehrere nationale Datenschutzbehörden nebeneinander zuständig sein können, aber auch, dass gleichzeitige Maßnahmen dann unzulässig sind, wenn die ausschließliche Kompetenz eines Staates eröffnet ist.[11] Klarheit soll in dieser Hinsicht das neue System der „federführenden Aufsichtsbehörde“ (Art. 51-56 DS-GVO) bringen. Gemäß Art. 56 DS-GVO unterliegen die Unternehmen in der Regel nur der Aufsicht der Behörde, in der sie ihre Hauptniederlassung in Europa haben. Dies ist Teil des „One-Stop-Shops“ und damit der Idee grenzüberschreitende Befugnisse einer einzigen zuständigen Behörde zu übergeben und den Akteuren im digitalen Sektor weniger bürokratische Hindernisse und enorme wirtschaftliche Vorteile zu bereiten.[12] Dennoch kann es für Unternehmen, die in der EU zwei oder gar keine Hauptniederlassung haben dazu kommen, dass sie mit unterschiedlichen Maßnahmen mehrerer zuständiger Aufsichtsbehörden konfrontiert werden. Dies geht aus den allgemeinen Regeln der Art. 55 Abs. 1, 56 Abs. 2 DS-GVO hervor, die normieren, dass jede Aufsichtsbehörde kompetent sein soll, wenn die Zuwiderhandlung die Betroffenen in ihrem Mitgliedstaat erheblich beeinträchtigt. Letztendlich liefert auch die neue DS-GVO in diesen Einzelfällen keinen ausschließlichen territorialen Geltungsbereich, sondern führt Mechanismen der engen Zusammenarbeit (Art. 60 DS-GVO) und Streitbeilegung (Art. 65 DS-GVO) zwischen den betroffenen Aufsichtsbehörden ein. Dass dies zwar kompromissorientierte Lösungen, aber gleichzeitig auch überaus komplizierte Verfahrensfragen zur Folge hat, soll im Folgenden näher erläutert werden.
IV. Transnationale Verwaltungskooperation als Grundlage eines einheitlichen Datenschutzstandards
Bereits zu Beginn des Gesetzgebungsverfahrens der DS-GVO in 2012 stellte Viviane Reding in ihrer Rede „Sieben Grundbausteine für Europas Datenschutzreform“ klar, dass eine enge und konsequente Zusammenarbeit in allen Fragen des Binnenmarktes ein grundlegender Aspekt des europäischen Datenschutzes ist.[13] Diesen Gedanken hat die DS-GVO in ein System implementiert, das durch eine verstärkte Koordination zwischen den Behörden und dem neuen gemäß Art. 68 Abs. 1 DS-GVO mit einer eigenen Rechtspersönlichkeit ausgestatteten Europäischen Datenschutzausschuss (EDSA) ein gewisses Maß an Konsistenz gewährleisten soll (Art. 63 ff. DS-GVO). Dieses Gremium ersetzt die derzeitigen supranationalen Beratungen und Beschlüsse der Art. 29 Arbeitsgruppe, in denen die Aufsichtsbehörden freiwillig zusammenarbeiten. Diese Kooperation mag zwar eine vereinheitlichte Anwendung der Datenschutzbestimmungen erheblich fördern, birgt aber gleichzeitig auch Gefahren für die Unabhängigkeit nationaler Behörden sowie für die, für den individuellen Rechtsschutz erforderliche, Transparenz. In der Folge müssen daher die konkreten Strukturen der Kooperationsverfahren zunächst dargestellt und danach ihre Auswirkungen auf die Rechtspraxis untersucht werden.
1. Die verschiedenen Stadien grenzüberschreitender Zusammenarbeit
Die Analyse der territorialen Anwendungsbereiche offenbarte durch die Möglichkeit nebeneinanderstehender Kompetenzen ein Potenzial für verbleibende Konflikte.[14] Da Fragen zur Zuständigkeit und Tragweite von Maßnahmen der „federführenden“ Behörde nicht ausnahmslos durch hierarchische Entscheidungen des EDSA beantwortet werden können, gewinnt transnationale Kooperation an immenser Bedeutung.
a) Vorbereitendes kooperatives Verwaltungshandeln
Eine erste Möglichkeit der betroffenen Aufsichtsbehörden, grenzüberschreitende Entscheidungen treffen zu können, besteht darin, mit eben dieser „federführenden“ Behörde zusammenzuarbeiten. Demnach ist Sinn und Zweck des Art. 60 Abs. 1-3 DS-GVO vor und gerade während eines Verfahrens nicht nur der Austausch aller relevanten Informationen, sondern eine Konsensfindung sowie gegenseitige Unterstützung. Durch diese Bestimmung werden die Behörden, die sich selbst als zuständig erachten, zur vorherigen Interaktion und damit zur Vermeidung inkohärenter und widersprüchlicher Maßnahmen veranlasst. Für Unternehmen und nationale Datenschutzstellen gilt damit, frühzeitig grenzüberschreitende Sachverhalte zu prüfen und gemeinsame Schritte mit der „federführenden“ Behörde abzusprechen. Eine konkrete Beschreibung des Verfahrens der gegenseitigen Amtshilfe liefert Art. 61 DS-GVO. Danach muss jede Aufsichtsbehörde alle erforderlichen Maßnahmen treffen, um auf Gesuche anderer zu antworten, wozu insbesondere auch die Übermittlung maßgeblicher Informationen über die Durchführung einer Untersuchung zählt. Besonderes Augenmerk ist hierbei darauf zu legen, dass dieser Pflicht spätestens innerhalb eines Monats nach Eingang des Ersuchens nachzukommen ist (Art. 61 Abs. 2 DS-GVO). Dieser nicht unerhebliche Druck auf Behörden, Unterlagen rechtzeitig vorzulegen, welcher konsequenterweise auch an involvierte Unternehmen weitergegeben wird, garantiert, dass Vollzugsmaßnahmen nicht durch Abstimmungsprozesse faktisch außer Kraft gesetzt werden.
b) Gemeinsame Vollzugsmaßnahmen
Ein weiterer bemerkenswerter neuer Schritt sind gemeinsame Untersuchungen und Durchsetzungsmaßnahmen der betroffenen Aufsichtsbehörden, die die Übertragung von Ermittlungsbefugnissen miteinschließen (Art. 62 Abs. 1-3 DS-GVO). Auch hier wurden i.F.v. Art. 62 Abs. 7 DS-GVO Vorkehrungen für eine zügige Durchführung getroffen, sodass im Falle einer Untätigkeit der ersuchten Behörde einstweilige Maßnahmen ergriffen werden können. Es stellt sich an dieser Stelle die Frage für Behörden und Unternehmen gleichermaßen, warum trotz der DS-GVO als einheitlich unmittelbar anwendbarer Rechtsgrundlage in der EU diesen komplexen Verfahrensfragen besondere Beachtung geschenkt werden sollte. Erstens, eine Vielzahl von Normen besitzen Auslegungsspielräume, denen neben Beschlüssen durch den EDSA auch mit kohärenten Kooperationsinstrumente begegnet werden muss.[15] Zweitens, da die Idee des „One-Stop-Shops“ neben einer Einzelzuständigkeit auch die einheitliche Gesetzesanwendung insgesamt ist, müssen unterschiedliche Ansichten der nationalen Aufsichtsbehörden durch die Möglichkeit transnationaler Zusammenarbeit in Einklang gebracht werden. Erhöhte Aufmerksamkeit aller Beteiligten in der Praxis verdient der Dritte und letzte Punkt: durch die in Art. 77 DS-GVO neu eingeführte Beschwerdemöglichkeit nicht nur bei der „federführenden“ Behörde, sondern auch bei der am Ort des mutmaßlichen Verstoßes ansässigen, können Betroffene transnationale Exe kutivmaßnahmen geltend machen. Dies vereinfacht zwar die Rechtsschutzmöglichkeiten der Individuen erheblich, verlangt aber im Gegenzug von Unternehmen und Behörden organisatorisch eigenständige Fachabteilungen, die schnell und effektiv grenzüberschreitende Sachverhalte und Verantwortlichkeiten prüfen, aufklären und die Ergebnisse der entsprechenden Datenschutzstelle zur Verfügung stellt.
c) Haftungsfolgen transnationaler Verwaltungskompetenzen
Darüber hinausgehenden und praktisch extrem relevanten Herausforderungen bezüglich Haftungsfolgen bei gemeinsamen Verfahren wurde in Art. 62 Abs. 4 DS-GVO begegnet. Dieser kodifiziert, dass eine in einem anderen Mitgliedstaat tätige Aufsichtsbehörde nicht für Schäden haftbar gemacht werden kann, die während einer gemeinsamen Untersuchung verursacht wurden. Im Einzelnen übernimmt der Mitgliedstaat im Rahmen seiner innerstaatlichen Rechtsvorschriften die Verantwortung für alle dort begangenen hoheitlichen Handlungen der unterstützenden Aufsichtsbehörde. Im Anschluss daran, so sieht es Art. 62 Abs. 5 DSGVO vor, erstattet dieser außerhalb seiner Grenzen tätig gewordene Mitgliedstaat den dem anderen Mitgliedstaat entstandenen Schaden. Dieser Regresskreisel setzt nicht nur die für alle in der Praxis relevanten Mindesthaftungsbedingungen, sondern weiter im Umkehrschluss fest, dass Rechtsschutz auch gegen aus einem anderen Staat initiierte Untersuchungen nur vor den Gerichten ersucht werden kann, in dem diese tatsächlich stattgefunden haben. Letztlich muss aber auch hier gelten, dass gemeinsame Verwaltungsmaßnahmen dann unzulässig sind, wenn sie entweder kein höheres Datenschutzniveau bieten können oder der final verantwortlich handelnde Hoheitsträger bei der jeweiligen Maßnahme nicht mehr erkennbar ist. Dies verlangen die in Art. 5 Abs. 1 AEU verankerten Grundsätze der Subsidiarität und der Verhältnismäßigkeit.
2. Supranationale kooperative Entscheidungsfindung innerhalb des EDSA
Neben dem One-Stop-Shop garantiert das neuartige Kohärenzverfahren des Art. 63 DS-GVO, dass digitale Unternehmen nicht nur von einer einzigen Behörde kontrolliert werden, sondern dass eine einheitliche Durchsetzung der Datenschutzregeln erfolgt. Da die Möglichkeit des ForumShoppings unter der Konstellation der konkurrierenden Behörden in Europa für ein Unternehmen ohne Niederlassung oder durch Wahl der Hauptniederlassung noch bestehen kann, sollen die folgenden Kooperationsverfahren mit der EDSA dies endgültig ausschließen. Eine der wichtigsten Aufgaben der Plattform des EDSA ist gemäß Art. 64 DS-GVO nicht mehr nur, die konsequente Anwendung der Regeln zu gewährleisten, sondern Stellungnahmen zu konkreten Fragen oder Verwaltungspraktiken zu geben. Am Beginn eines solchen Verfahrens übermittelt die federführende nationale Aufsichtsbehörde dem EDSA einen Entscheidungsentwurf, bevor sie in den folgenden Bereichen konkrete Maßnahmen ergreift:
- Anforderungen an eine Datenschutz-Folgenabschätzung (Art. 35 Abs. 4 DS-GVO)
- Entwurf von Verhaltensregeln oder Änderungen dieser (Art. 40 Abs. 7 DS-GVO)
- Billigung von Kriterien für die Akkreditierung einer Stelle nach Art. 41 Absatz 3 oder einer Zertifizierungsstelle nach Art. 43 Absatz 3 DS-GVO – Festlegung von Standard-Datenschutzklauseln (Art. 46 Abs. 2 lit. d und Art. 28 Abs. 8 DS-GVO)
- Anforderungen an die Genehmigung von Vertragsklauseln (Art. 46 Abs. 3 lit. a).
Dass dies für Behörden rechtsverbindlich ist, garantiert Art. 64 Abs. 7, 8 DS-GVO, der normiert, dass die Aufsichtsbehörde der Stellungnahme weitestgehend Rechnung zu tragen hat und jede Verweigerung oder Änderung schriftlich begründet werden muss. Dementsprechend stellt dieser Mechanismus sicher, dass bestimmte Verwaltungsentscheidungen kontrolliert werden können und die Entscheidungen des EDSA nach aktiven Diskussionen zwischen den Aufsichtsbehörden allgemeine Akzeptanz finden. Zusammenfassend lässt sich das Kohärenzverfahren, in dem die Aufsichtsbehörden gemeinsam Lösungen unter der Leitung des EDSA festlegen, als ein starkes und diversifiziertes Instrument der supranationalen Zusammenarbeit beschreiben. Dieses Gremium wird mit einer unabhängigen und noch effektiveren Entscheidungsfindung die Leitinstrumente zur kohärenten Umsetzung der Datenschutzregeln bestimmen. In praktischer Hinsicht ist es daher für Unternehmen und nationale Behörden entscheidend, sich frühzeitig und gezielt mit den genannten spezifischen Themen des EDSA auseinanderzusetzen und sodann der eigenen Meinung in diesem Gremium Geltung zu verschaffen, denn hier werden in Zukunft die wesentlichen Auslegungsfragen im Vorfeld von Verwaltungsmaßnahmen verbindlich festgesetzt werden. Auch gilt es sich mit den im nachfolgenden Abschnitt dargestellten Rechtsschutzmöglichkeiten gegen diese Beschlüsse rechtzeitig zu befassen.
V. Die hierarchischen Kompetenzen des EDSA gegenüber Aufsichtsbehörden
Einer der bereits angedeuteten großen Unterschiede zwischen der kommenden DS-GVO und der noch anwendbaren DS-RL sind die vielfältigen Möglichkeiten, den Vollzug des Datenschutzrechts in Europa in Fragen von allgemeiner Bedeutung zentral-administrativ zu lenken. Konsequenterweise muss das neue Streitbeilegungsverfahren („Dispute Resolution System“ kurz „DRS“) des Art. 65 DS-GVO eingehend betrachtet werden.
1. Die Befugnisse des EDSA innerhalb des Streitbeilegungsverfahrens
Obwohl es Teil des allgemeineren Kohärenzmechanismus ist, weist dieses Verfahren einen strukturellen Unterschied auf, der die beschriebene kooperative Steuerung in einen faktisch- unmittelbaren supranationalen Vollzug umwandelt. Grundlage für diese Schlussfolgerung ist, dass der EDSA durch das Streitbeilegungsverfahren verbindliche Einzelfallbeschlüsse fassen kann.[16] In dieser Hinsicht bleibt jedoch der ernstzunehmende Einwand, dass diese Mechanismen ein supranationales Aufsichtssystem einführen, das mit der Unabhängigkeit und Autonomie der nationalen Behörden kollidieren kann.[17] Um diesen möglichen Verstoß gegen das Subsidiaritätsprinzip zu verhindern und diesen Mechanismus nicht zu überlasten, darf sich der Anwendungsbereich nicht auf die Kontrolle jeder einzelnen nationalen Entscheidung erstrecken. Im Gegenteil, der DRS muss als ein außergewöhnlicher Mechanismus betrachtet und auf die Fälle begrenzt werden, die eine grundlegende Bedeutung für die einheitliche Anwendung der DS-GVO aufweisen. Art. 65 Abs. 1 a-c DS-GVO grenzt die Eingriffsbefugnis des EDSA auf Interessenskonflikte bei Streitfragen über die Zuständigkeit der federführenden Behörde sowie deren Entscheidungsentwürfen bei grenzüberschreitenden Sachverhalten, die Kompetenzen anderer Aufsichtsbehörden berühren, ein. Neben dieser in der Praxis äußerst bedeutenden Konkretisierung muss der Fokus auch auf das Dringlichkeitsverfahren des Art. 66 DS-GVO gelegt werden. Dieses erlaubt den nationalen Aufsichtsbehörden von den beschriebenen Verpflichtungen abzuweichen, wenn außergewöhnliche Umstände vorliegen. So klar die damit verbundene Absicht ist, bestimmte Verfahren zu beschleunigen, so unklar bleibt für alle Beteiligten, wann „außergewöhnliche Umstände“ vorliegen. Die Bestimmung des Absatzes 1, dass „dringender Handlungsbedarf besteht [en muss], um Rechte und Freiheiten von betroffenen Personen zu schützen“ ist nicht hilfreich, da so fast jeder Fall darunter subsumiert werden könnte. Eine vernünftige Eingrenzung kann letztlich nur darin liegen, dass konkrete Gefahren für zusätzliche Grundrechtsverletzungen gegeben sein müssen. Ungeachtet dieser Auslegungsschwierigkeiten stellt der DRS einen bemerkenswerten Schritt für die Steuerung konkreten nationalen Verwaltungshandelns dar, der es dem EDSA zumindest immer dann ermöglicht einzugreifen, wenn Aufsichtsbehörden in grenzüberschreitenden Angelegenheiten agieren. Dies gibt zugleich die Möglichkeit, Druck auf federführende Datenschutzstellen auszuüben, die mit einer laxen Aufsichtspraxis für digitale Unternehmen wirtschaftlich attraktiv sein möchten: Wird bspw. ein Beschwerdebegehren, wie im Fall der irischen Aufsichtsbehörde gegenüber Max Schrems, verweigert,[18] muss das Verfahren nicht erst vor dem EuGH landen, sondern könnte auf europäischer Ebene durch das DRS-Verfahren der EDSA zumindest vorläufig entschieden werden. Die immense Bedeutung dieses Mechanismus wird auch durch die in Art. 65 Abs. 4 DS-GVO vorübergehende Aussetzung der bei den betroffenen Aufsichtsbehörden in der Zwischenzeit anhängigen Verfahren klar. Dies soll Unternehmen und betroffene Personen vor sich widersprechenden nationalen Ausgängen bis zum endgültigen Beschluss des EDSA gemäß Art. 65 Abs. 6 DS-GVO schützen.
2. Rechtsschutzmöglichkeiten nach Abschluss des Streitbeilegungsmechanismus
Ungeachtet der neuen komplexen europäischen Steuerungsmechanismen besteht der datenschutzrechtliche Mehrwert für den Einzelnen auch in einem wirksamen gerichtlichen Schutz gegen behördliche Entscheidungen. Die beschriebenen Verfahren führen jedoch auch gemischte Entscheidungsformen nationaler und europäischer Gremien ein, was aufgrund der verfassungsrechtlichen Grundsätze des Bestimmtheitsgebots und der vertikalen Gewaltentrennung als Mischverwaltung in Deutschland äußerst bedenklich wäre.[19]
In diesem Sinne ist unabdingbar, dass die endgültige autonome Vollzugsbefugnis bei den nationalen Behörden verbleibt. Werden auf europäischer Ebene konkrete nationale Verwaltungsentscheidungen faktisch vorformuliert, wirft dies für Unternehmen und Behörden gleichermaßen die Frage nach adäquatem gerichtlichen Schutz auf: Kann bereits gegen die vorgestuften Entscheidungen des EDSA vorgegangen werden, bzw. wer haftet letztlich für einen darauf gestützten unrechtmäßigen Vollzug? Eine explizite Antwort hierauf gibt Art. 78 Abs. 4 DS-GVO, der eine Klage iSd. Art. 263 AEUV vor dem EuGH auf Nichtigerklärung einer Stellungnahme oder eines anderen Beschlusses des EDSA ermöglicht. Voraussetzung dafür ist, dass der Beschwerdeführer unmittelbar und individuell betroffen ist und binnen zwei Monaten nach Veröffentlichung der betreffenden Beschlüsse Rechtsschutz ersucht hat.[20] Besondere Bedeutung kommt diesem Rechtsweg auch deswegen zu, weil dessen Nichtbeschreitung zur Folge hat, dass in einem nationalen Verfahren das betreffende Gericht die Frage über die Gültigkeit eines der Beschlüsse des EDSA nicht mehr dem EuGH im Rahmen eines Vorabentscheidungsverfahrens gemäß Art. 267 AEUV vorlegen kann. Es gilt also hier für die Praxis die Verfahren innerhalb dieses Gremiums stets wachsam zu verfolgen und diese Klagemöglichkeit bei rechtlichen Bedenken nicht verstreichen zu lassen. Obwohl damit die allgemeinen europäischen Rechtsschutzfragen durch die Art. 77/78 DS-GVO geklärt sind, kann die öffentliche Haftung für unrechtmäßige Vollzugsakte nur auf nationaler Ebene und vor den dortigen Gerichten erfolgen. Zu Recht wurden die diesbezüglichen Vorschläge der Kommission in den ehemaligen Art. 56 Abs. 3 a-c DS-GVO-Kom-E aus Gründen der nationalen Autonomie gestrichen.[21]
VI. Fazit
Die ab Mai 2018 greifenden Vollzugs- und Aufsichtsmechanismen mögen teilweise komplexer Natur sein, können aber bei Beachtung der beschriebenen rechtlichen Hinweise zu einem Gleichgewicht zwischen einheitlichem Datenschutz und nationaler Verwaltungsautonomie beitragen. Durch die gezielte Umsetzung dieser Strukturen können Behörden, Unternehmen und Betroffene gleichermaßen von den für sie geschaffenen transnationalen Rechten und Pflichten profitieren. Mit dem System der federführenden Aufsichtsbehörde wird es verbindliche Ansprechpartner und bei grenzüberschreitenden Unklarheiten einen durch die EDSA gesteuerten verbindlichen Streitbeilegungsmechanismus geben. Stellungnahmen zu konkreten Verwaltungspraktiken und andere Beschlüsse dieses supranationalen Gremiums gilt es in der Praxis aufmerksam zu verfolgen, da darauf basierende mögliche Verletzungen des EU-Rechts vor dem EuGH überprüft werden können und sollten. Für Behörden wird transnationale Zusammenarbeit verstärkte Bedeutung erlangen, da mögliche grenzüberschreitende Beschwerden für Verstöße in einem anderen Mitgliedstaat gegenseitige Unterstützung erfordern. Für Unternehmen sind durch die rechtzeitige und kohärente Vorbereitung von Compliance-Mechanismen immense wirtschaftliche Synergien im Bereich des Datenschutzes möglich. Am Ende könnten die DS-GVO und entsprechende Anpassungen an dessen Strukturen einen doppelten Effekt haben. Erstens können diese das eigene System in der Union robuster gestalten und das für die wirtschaftliche Entwicklung des digitalen Sektors immens wichtige Vertrauen der betroffenen Personen und Kunden langfristig sichern. Zweitens könnte die Signalwirkung, die bereits jetzt von der Datenschutzstruktur der EU ausgeht, zur Anpassung der weltweiten Standards beitragen und somit letztlich unseren eigenen Schutz außerhalb der europäischen Grenzen verbessern.
Marcel Kaiser, LL.M. ist Referendar am Landgericht Bonn und zurzeit in der Anwaltsstation bei der Kanzlei Oppenhoff & Partner im Bereich IT und Datenschutz in Köln. Er studierte Rechtswissenschaften an der Universität Bonn und Toulouse und erlangte den akademischen Grad des Master of Laws mit einer englischsprachigen Masterarbeit zu den Aufsichtsmechanismen der DS-GVO an der Universität Luxemburg. Vor der Anwaltsstage seines Referendariats war er in der Verwaltungsstation bei der BfDI im Bereich Europa und Internationales sowie als Wissenschaftliche Hilfskraft an der Professur für Öffentliches Recht der Universität Bonn für Herrn Prof. Dr. Shirvani tätig.
[1] Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung).
[2] Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr.
[3] Vgl. dazu: Schwartmann/Weiß, RDV 2016, 68.
[4] Als Umkehrschluss aus Art. 6 IV DS-GVO sieht dies auch so: Albrecht, EDPLR, Nr. 1, 2015, 3 f.
[5] Vgl. zu den weiteren konkreten Eingriffsbefugnissen der Behörden: Dieterich, ZD 2016, 260, 263.
[6] Zur grundrechtskonformen Ausgestaltung: Bieker/Hansen/Friedewald, RDV 2016, 188.
[7] Originaltitel von Art. 34 P-COM war “Vorherige Genehmigung und Konsultation” in: Proposal of the Com. for a GDPR, COM (2012) 11 final 2012/0011 (COD).
[8] Von dieser mitgliedstaatlichen Gestaltungsmöglichkeit wurde im BDSG 2018 zwar kein Gebrauch gemacht., aber vgl. dazu: Gola, RDV 2016, 17.
[9] EuGH, Weltimmo, C-230/14, Rn. 41 sowie Google Spain, C-131/12.
[10] So auch: Dieterich, ZD 2016, 260, 264.
[11] Vertiefend dazu: Cole/Giurgiu, EDPLR 1, no. 4 (2015), 309.
[12] Dies galt bereits mit Beginn des Gesetzgebungsverfahrens: Kranig, ZD 2013, 550, 556.
[13] Reding, „Sieben Grundbausteine für Europas Datenschutzreform”, S. 6, Berlin, 20.03.2012, SPEECH/12/200.
[14] Auch bleibt durch die Wahl der Hauptniederlassung ein „Forum Shopping“ grds. möglich: Caspar, ZD 2012, 555.
[15] Vgl. Caspar, ZD 2012, 555.
[16] Nguyen, ZD 2015, 265, 268 f.
[17] Dix, DuD, 2012, 320.
[18] EuGH, Schrems, C-362/14, Rn. 29.
[19] U.a dazu: BVerfG, Urteil vom 20.12.2007 – 2 BvR 2433/04, Rn. 128 ff.
[20] Diese Möglichkeit sieht EG 143 DS-GVO nicht nur für nationale Behörden, sondern ausdrücklich auch für die betroffenen Datenverarbeiter vor
[21] Proposal of the Com. for a GDPR, COM (2012) 11 final 2012/0011 (COD).