3: Vorträge, Vorlesungen, Aufsätze
Rechtsbehelfe im Datenschutz - Die Rolle der Datenschutzbeauftragten
Beitrag für die Konferenz Europäische Rechtsakademie Sicherung des Grundrechts auf Datenschutz in der EU Paris
von Thilo Weichert, Landesbeauftragter für Datenschutz Schleswig-Holstein
I. Geschichte
Die unabhängige Datenschutzkontrolle gehört zum Kernbestand der datenschutzrechtlichen Instrumentariums seit den Anfangszeiten des Datenschutzes in den 70er und 80er Jahren des letzten Jahrhunderts. Das weltweit erste Datenschutzgesetz aus dem Jahr 1970 im deutschen Bundesland Hessen sah schon die Einrichtung eines Datenschutzbeauftragten vor. In Nr. 19 des „Übereinkommens zum Schutz des Menschen bei der automatisierten Verarbeitung personenbezogener Daten“ der OECD vom 01.10.1980 sind bei der Nichteinhaltung der vorgesehenen Datenschutzmaßnahmen entsprechende Sanktionen und Abhilfen vorgesehen. Verbindliche Vorgaben macht Artikel 28 der Europäischen Datenschutzrichtlinie aus dem Jahr 1995, die eine oder mehrere öffentliche Stellen beauftragt, die Anwendung des Datenschutzrechts „in völliger Unabhängigkeit“ zu überwachen und hierfür Untersuchungsbefugnisse, wirksame Einwirkungsbefugnisse sowie ein Klagerecht oder eine Anzeigebefugnis bei Verstößen vorzusehen. In einem Zusatzprotokoll zum „Übereinkommen zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten“ des Europarats (Europäische Datenschutzkonvention) vom 08.11.2001 wird die Einrichtung einer oder mehrerer unabhängiger Kontrollinstanzen gefordert.
II. Verfassungsrechtliche Grundlagen
Eine verfassungsrechtliche Legitimation der unabhängigen Datenschutzkontrolle erfolgte in Deutschland im Volkszählungsurteil des deutschen Bundesverfassungsgerichts (BVerfG) vom 15.12.1983: „Wegen der für den Bürger bestehenden Undurchsichtigkeit der Speicherung und Verwendung von Daten unter den Bedingungen der automatischen Datenverarbeitung und auch im Interesse eines vorgezogenen Rechtsschutzes durch rechtzeitige Vorkehrungen ist die Beteiligung unabhängiger Datenschutzbeauftragter von erheblicher Bedeutung für einen effektiven Schutz des Rechts auf informationelle Selbstbestimmung“.[i] Ganz aktuell präzisierte das deutsche BVerfG diese Funktion im Hinblick auf die polizeiliche und geheimdienstliche Datenverarbeitung in einer Anti-Terror-Datei: „Der Verhältnismäßigkeitsgrundsatz stellt auch Anforderungen an Transparenz, individuellen Rechtsschutz und aufsichtliche Kontrolle. … Die aufsichtliche Kontrolle flankiert die subjektiv-rechtliche Kontrolle durch die Gerichte objektiv-rechtlich. Sie … schließt dabei den Schutz der subjektiven Rechte der Betroffenen ein“. Die Anforderungen an die aufsichtliche Kontrolle tragen „dem Umstand Rechnung, dass es sich bei der Speicherung und Verarbeitung um Eingriffe handelt, die für die Betreffenden oftmals nicht unmittelbar wahrnehmbar sind und deren freiheitsgefährdende Bedeutung vielfach nur mittelbar oder erst später im Zusammenhang mit weiteren Maßnahmen zum Tragen kommt“.[ii] Die aufsichtliche Kontrolle „hat umso größeres Gewicht, je weniger eine subjektiv-rechtliche Kontrolle sichergestellt werden kann.“[iii] Die Gewährleistung einer wirksamen Aufsicht setzt „mit wirksamen Befugnissen ausgestattete Aufsichtsinstanzen“ voraus.[iv] Im Hinblick auf die konkrete Anti-Terror-Datei forderte das BVerfG zusätzlich, „dass deren Kontrolle nicht auf Grund föderaler Zuständigkeitsunklarheiten hinter der Effektivierung des Datenaustauschs zurückbleibt“. Es müsse den Datenschutzbeauftragten gestattet sein, „zusammenzuarbeiten und sich etwa im Wege der Amtshilfe durch Delegation oder Ermächtigung bei der Wahrnehmung ihrer Befugnisse gegenseitig zu unterstützen“.[v] Schließlich weist das BVerfG darauf hin, dass „angesichts der Kompensationsfunktion der aufsichtlichen Kontrolle für schwach ausgestalteten Individualrechtsschutz“ der regelmäßigen Durchführung von Kontrollen besondere Bedeutung zukommt. Bei einer hoheitlichen geheimen Sicherheitsdatei dürften die Kontrollabstände „ein gewisses Höchstmaß, etwa zwei Jahre, nicht überschreiten.“[vi] Seit 2009 sind Kontrollstellen auch in der Europäischen Grundrechte-Charta in Art. 8 Abs. 3 zum Schutz personenbezogener Daten, der Zweckbindung und der Auskunfts- und Berichtigungsansprüche von betroffenen Personen vorgesehen: „Die Einhaltung dieser Vorschriften wird von einer unabhängigen Stelle überwacht.“
Der Europäische Gerichtshof (EuGH) bestätigte diesen Status und wies darauf hin, dass sich eine „betroffene Person an die Kontrollstelle oder das zuständige Gericht wenden (kann), damit diese die erforderlichen Überprüfungen vornehmen und den für die Verarbeitung Verantwortlichen entsprechend anweisen (kann), bestimmte Maßnahmen zu ergreifen.“[vii] Auch der EuGH sieht die Kontrollstellen als die Hüter der Grundrechte und Grundfreiheiten, wobei diese „mit einer Unabhängigkeit ausgestattet sein müssen, die es ihnen ermöglicht, ihre Aufgaben ohne äußere Einflussnahme wahrzunehmen“.[viii] Diese Unabhängigkeit auch gegenüber den Regierungen hat den Hintergrund, dass diese „möglicherweise ein Interesse an der Nichteinhaltung der Vorschriften über den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten (haben), wenn es um die Verarbeitung solcher Daten im nicht-öffentlichen Bereich geht“, etwa wenn es um „bestimmte Unternehmen geht, die für das Land oder die Region wirtschaftlich von Bedeutung sind“.[ix]
III. Entwurf einer Datenschutz-Grundverordnung
Diese verfassungs- und europarechtlichen Vorgaben sollen in der Europäischen Datenschutz-Grundverordnung (EU-DSGVO-E) wirksam umgesetzt werden. Einen ersten Vorschlag machte die EU-Kommission mit ihrem Entwurf von Januar 2012[x] in den Art. 46 ff.. Danach werden unabhängige Aufsichtsbehörden eingerichtet, die miteinander und mit der Kommission zusammenarbeiten. Es muss sichergestellt werden, dass eine solche Aufsichtsbehörde „mit angemessenen personellen, technischen und finanziellen Ressourcen, Räumlichkeiten und der erforderlichen Infrastruktur ausgestattet wird“ (Art. 47 Abs. 5). In Art. 51 Abs. 2 ist vorgesehen, dass bei einer mitgliedstaatübergreifenden Datenverarbeitung alleine die Aufsichtsbehörde des Mitgliedstaats zuständig sein soll, in der sich die Hauptniederlassung der verantwortlichen Stelle bzw. des Auftragsverarbeiters befindet. Art. 55 regelt, dass die Aufsichtsbehörden einander Amtshilfe leisten. In Art. 56 sind gemeinsame Maßnahmen der Aufsichtsbehörden geplant. Die Art. 57 ff. beschreiben ein Kohärenzverfahren, wenn eine Aufsichtsbehörde eine Maßnahme erlässt, die eine wesentliche europaweite Relevanz hat. Gemäß Art. 64 soll ein Europäischer Datenschutzausschuss eingerichtet werden, der sich aus Vertretern aller EU-Mitgliedstaaten und dem Europäischen Datenschutzbeauftragten zusammensetzt. Dieser Ausschuss soll mit einer höheren Verbindlichkeit die bisherige rein koordinierende Tätigkeit der Artikel-29-Datenschutzgruppe ablösen. Gemäß dem geplanten Art. 68 Abs. 1 soll der Europäische Datenschutzausschuss seine Beschlüsse mit einfacher Mehrheit treffen.
In den Art. 33 f. erhalten die Aufsichtsbehörden Aufgaben bei der Datenschutz-Folgenabschätzung und zur vorherigen Konsultation. Gemäß Art. 73 Abs. 1 sowie 2 und 3 sollen Einzelpersonen ebenso wie Verbände ein Recht auf Beschwerde bei einer Aufsichtsbehörde erhalten. Es sollen zudem Möglichkeiten zu einer Individual- wie auch zu einer Verbandsklage sowohl gegen eine Aufsichtsbehörde als auch gegen Verantwortliche oder Auftragsverarbeiter eröffnet werden. Auch den Aufsichtsbehörden wird ein Klagerecht eingeräumt, „um die Bestimmungen dieser Verordnung durchzusetzen oder um einen einheitlichen Schutz der personenbezogenen Daten innerhalb der Union sicherzustellen" (Art. 73-76, 76 Abs. 2). In Art. 78 f. sind Sanktionen bei Datenschutzverstößen vorgesehen, u. a. „eine Geldbuße bis zu 500.000 Euro oder im Fall eines Unternehmens bis in Höhe von 1% seines weltweiten Jahresumsatzes“ (Art. 79 Abs. 5).
Am 12.03.2014 nahm das Europäische Parlament (EP) zu den Vorschlägen der Kommission in erster Lesung Stellung.[xi] Hierbei wird die Grundstruktur des von der Kommission vorgeschlagenen Vorgehens beibehalten, es werden jedoch einige Modifikationen eingefordert. Im Hinblick auf die Aufsichtstätigkeit sind zwei strukturell abweichende Vorschläge zu erwähnen: Zum einen soll nicht der Europäischen Kommission, sondern dem Europäischen Datenschutzausschuss die Funktion zukommen, verbindliche Entscheidungen zu fällen und dadurch die Einheitlichkeit der Anwendung der Grundverordnung in Europa zu gewährleisten. Außerdem wird ein alternatives Kohärenzverfahren mit einer federführenden Behörde am Sitz der Hauptniederlassung (Art. 54a) vorgeschlagen. Dieses Verfahren vertraut auf einer engen Zusammenarbeit der Behörden, die bei der Aufsicht gemeinsam zuständig sein sollen. Diese Vorschläge werden nun vom Europäischen Rat weiter erörtert.
IV. Kooperationsstrukturen
Die Zusammenarbeit der Aufsichtsbehörden ist heute schon eine grundlegende Voraussetzung für einen effektiven Rechtsschutz für die betroffenen Bürgerinnen und Bürger. Erfahrungen damit bestehen sowohl auf nationaler als auch auf europäischer Ebene. Die Erfahrungen in Deutschland mit einer föderalen Aufsichtsstruktur und einem (national) einheitlichen Recht sind auch für die europäischen Planungen von Relevanz, da die bestehende deutsche nationale Kooperation hinsichtlich Intensität und Problematik mit der künftigen Lage in Europa vergleichbar ist. In Deutschland besteht schon heute ein hoher Druck gegenüber den Aufsichtsbehörden, das Datenschutzrecht einheitlich auszulegen.
Die deutschen Aufsichtsbehörden im nicht-öffentlichen Bereich sind im sog. „Düsseldorfer Kreis“ zusammengeschlossen, der seit 1977 besteht und in dem diese sich austauschen, koordinieren und kooperieren. Der Düsseldorfer Kreis ist seit Frühjahr 2012 offiziell integriert in die übergreifende Kooperation aller Datenschutzbehörden, die für den öffentlichen wie den nicht-öffentlichen Bereich zuständig sind, in der „Konferenz der Datenschutzbeauftragten des Bundes und der Länder“ (DSB-Konferenz). Diese DSB-Konferenz traf sich erstmals im Jahr 1978. Ähnlich den Strukturen der Artikel-29-Datenschutzgruppe auf europäischer Ebene haben auch die DSB-Konferenz und der Düsseldorfer Kreis Arbeitsgruppen und Arbeitskreise zu besonderen Branchen, Bereichen und Fragestellungen. In dieser Struktur entstanden eine große Anzahl von Entschließungen, Beschlüssen und Orientierungshilfen, mit denen Betroffenen wie Daten verarbeitenden Stellen Hinweise zur Umsetzung des Datenschutzes und zur Anwendung des Datenschutzrechts gegeben werden. Etwa seit der Jahrtausendwende erwies sich in immer stärkerem Maße die Notwendigkeit der Definition verbindlicher Standards, weil v. a. im nicht-öffentlichen Bereich zunehmend das Instrumentarium datenschutzrechtlicher Sanktionen, also von Anordnungen und Bußgeldern, zum Einsatz kommen musste. Die Notwendigkeit von verbindlichen inhaltlichen Festlegungen und Abstimmungen nahm zu.
Als Mittel des Austauschs bieten sich für die Datenschutzaufsichtsbehörden Verfahren der Informations- und Kommunikationstechnik (IT) an. Damit kann eine schnelle problemangemessene stellenübergreifende Bearbeitung von Eingaben, Prüfungs- und Beratungsanforderungen gewährleistet werden. Diese IT-gestützten Verfahren müssen, nicht zuletzt zur Wahrung des Petentengeheimnisses und von Betriebs- und Geschäftsgeheimnissen der Daten verarbeitenden Unternehmen (vgl. Art. 50 EU-DSGVO-E), den hohen datenschutzrechtlichen Anforderungen, u. a. an Integrität, Authentizität, Vertraulichkeit und Transparenz, genügen. Auf nationaler wie auf internationaler Ebene gibt es eine Vielzahl von Kooperationsinstrumenten. Noch nicht immer ist dabei die rechtlich geforderte Verschlüsselung und damit die nötige Vertraulichkeit der Kommunikation gegeben.
Die Unabhängigkeit der deutschen Datenschutzkontrollinstanzen war und ist bis heute – jedenfalls in Bezug auf die Bundesbeauftragte – nicht hinreichend gewährleistet. Hinsichtlich der inhaltlich vertretenen Positionen bestand aber von Anfang an und besteht sicher auch in Zukunft eine große Unabhängigkeit voneinander, die teilweise ihren Ausdruck in stark divergierenden Ansichten findet. Dieses kann insofern positiv bewertet werden, dass die föderale Vielfalt zu einem Wettbewerb um die beste Lösung führen kann. Dessen ungeachtet war und ist die DSB-Konferenz bestrebt, sich auf gemeinsame Positionen zu verständigen. Es gilt bisher das Einstimmigkeitsprinzip bei inhaltlichen Beschlüssen und Entschließungen. Kommt keine Einigkeit zustande, so ist eine Entscheidung nicht möglich, wenn sich die abweichenden Datenschutzbeauftragten nicht der Stimme enthalten. Dies führt zwangsläufig dazu, dass in vielen Fragestellungen Formelkompromisse entstehen oder gemeinsame inhaltliche Positionen überhaupt nicht gefunden werden können.
Vor dem Hintergrund der geplanten Kohärenzregelungen der EU-DSGVO (Art. 46 Abs. 2, 55 ff. EU-DSGVO) wird in der DSB-Konferenz derzeit über eine Geschäftsordnung und die Einführung des Mehrheitsprinzips diskutiert. Angedacht ist nicht die relative, sondern eine qualifizierte Mehrheit von 2/3. Die abweichenden Positionen sollen dargestellt und auch begründet werden können. Diese Diskussion über eine gemeinsame Geschäftsordnung ist noch nicht abgeschlossen.
V. Erfahrungen bei der Zusammenarbeit
In Deutschland erweist sich das Bestreben der Aufsichtsbehörden, einheitliche Positionen zu finden, als äußerst wichtig. Zwar können einzelne Behörden dabei von ihnen angestrebte klare und weitgehende Positionen oft nicht durchsetzen. Der Zwang zum Kompromiss erhöht aber die Rationalität der Entscheidungen und ist zugleich für die Akzeptanz außerhalb der Aufsichtsbehörden von zentraler Bedeutung. Zudem sind Aufsichtsbehörden nicht gehindert, weitergehende Positionen zu äußern und zu kommunizieren. Es war bisher aber in Deutschland nicht Praxis, dass im Falle einer einheitlich getroffenen Kompromissentscheidung weitergehende Positionen verwaltungsrechtlich nicht durchgesetzt werden.
Die Kooperation zwischen den Aufsichtsbehörden in Deutschland ist alles andere als konfliktfrei. Die Unabhängigkeit und die bisher wenig formalisierte Kooperation führen zu teilweise heftigen Auseinandersetzungen. Ab und zu lässt sich nicht verhindern, dass diese zunächst intern ausgetragenen Konflikte an die Öffentlichkeit dringen. Ein extremes, aber deshalb vielleicht sehr aussagekräftiges Beispiel ist die Kontroverse zur Anonymisierung von Rezeptverschreibungsdaten in Apothekenrechenzentren. Hintergrund ist, dass diese Rechenzentren (angeblich anonymisierte) Daten an medizinische Informationsdienstleister weiterverkaufen. Da sämtliche Apothekenrechenzentren ihre Dienste bundesweit anbieten, wären gemeinsame Standards zur Anonymisierung und eine einheitliche Anwendung des Datenschutzrechts wünschenswert. Nachdem eine öffentliche Debatte über den Verkauf von unzureichend anonymisierten Apothekendaten stattfand, nahm eine Aufsichtsbehörde mit einem Rechenzentrum in seinem Bundesland Kontakt auf, prüfte dieses und bestätigte ihm ohne Absprache mit den anderen Aufsichtsbehörden nach einigen Änderungen des Verfahrens die Rechtmäßigkeit, obwohl die Datensätze eindeutig einzelnen Personen zugeordnet bleiben. Die anderen Aufsichtsbehörden erreichten, nach gegenseitiger Konsultation, dass bei anderen Rechenzentren die ungenügende Anonymisierung tatsächlich beendet und durch ein wirksames Verfahren ersetzt wurde.
Dies hat nun zur Folge, dass die Aufsichtsbehörden unterschiedliche Anforderungen an die Anonymisierung von Rezeptdaten stellen, was zu einer Verzerrung des nationalen Wettbewerbs führt. Als ich dies öffentlich kritisierte, wurde ich von dem betroffenen Rechenzentrum auf Unterlassung solcher Äußerungen verklagt. In dem Gerichtsverfahren nahm der Kollege der örtlichen Aufsichtsbehörde zugunsten des Unternehmens und gegen mich Partei und verweigerte zugleich mir wie auch sämtlichen anderen Aufsichtsbehörden jegliche Information über das aktuell dort praktizierte Anonymisierungsverfahren. Daraus resultierte nicht nur, dass das ULD eine Teilniederlage vor Gericht wegen der öffentlichen Äußerungen erlitt, sondern auch, dass das Anonymisierungsverfahren bei dem klagenden Rechenzentrum selbst unter den Aufsichtsbehörden nicht weiter hinterfragt werden kann. Nach meiner Überzeugung wurde so ein rechtswidriges Verarbeitungsverfahren zementiert und zugleich die qualifizierte öffentliche Debatte hierüber verhindert. Hintergrund ist, dass das Rechenzentrum durch den Verkauf der unzureichend anonymisierten Daten eine beachtliche zusätzliche Einnahmequelle hat, die anderen rechtskonform handelnden Wettbewerbern verschlossen bleibt.
Derartige Abschottungen und einseitige Parteinahmen für Unternehmen im eigenen Land, mit denen nicht nur Datenschutzverstöße, sondern auch eine Wettbewerbsverzerrung zugunsten der landeseigenen Unternehmen verbunden sein können, kommen leider immer wieder vor.
Ein Beispiel für dieses Phänomen auf europäischer Ebene ist die Auseinandersetzung um den Datenschutz bei Facebook. Der irische Datenschutzbeauftragte hat in zwei Audits dem Unternehmen, das in Dublin seinen europäischen Hauptsitz hat, bescheinigt, sich im Wesentlichen an das Datenschutzrecht zu halten. Die deutschen Aufsichtsbehörden sind geschlossen der Ansicht, dass bei Facebook vielfältige gravierende Datenschutzverstöße stattfinden. Selbst nach drei Jahren mit einigen gerichtlichen Auseinandersetzungen war es nicht möglich, Facebook zu einem datenschutzkonformen Verhalten zu veranlassen. Facebook verwies – bisher erfolgreich – regelmäßig auf die positiven Audits des irischen Kollegen und auf die angeblich bestehende Unzuständigkeit aller anderen Aufsichtsbehörden. Weder das Unternehmen noch die Aufsichtsbehörde zeigten sich bisher bereit, ihre positive Bewertung im Detail zu fundieren. Wie der EuGH[xii] ausgeführt hat, ist es nicht auszuschließen, dass datenschutzrechtliche Nachsicht damit motiviert ist, große IT-Unternehmen als Arbeitgeber und Steuerzahler im Lande zu halten.
Durch das Urteil des Europäischen Gerichtshofes vom 13.05.2014[xiii] hat sich nunmehr europaweit eine einheitliche Klärung dahingehend ergeben, dass bei einer Adressierung des nationalen Marktes von einer nationalen Niederlassung aus nationales Recht anwendbar ist und die nationalen Aufsichtsbehörden zuständig sind. Dieses Urteil schafft die Grundlage dafür, in jedem EU-Mitgliedstaat, soweit notwendig, auch getrennt gegen einen europaweiten Anbieter vorzugehen.
Unabhängig davon ist es natürlich sinnvoll, länderübergreifend Aktivitäten zu koordinieren, so wie dies anlässlich der Änderung der Geschäftsbedingungen von Google erfolgt ist. Hier zeigt sich dann aber ein weiteres aktuelles Problem des Rechtsschutzes durch Aufsichtsbehörden: Verhängte Sanktionen in Höhe von 900.000 Euro (Spanien) oder 150.000 Euro (Frankreich). sind für einen 300 Mrd. Euro schweren Konzern kein Grund, seine Datenverarbeitung zu ändern. Es ist zu befürchten, dass selbst die deutsche Untersagungsverfügung vom September 2014 kurzfristig keine Änderung bewirkt, wenn – wovon auszugehen ist – der Konzern sämtliche Rechtsmittel ausschöpft.[xiv]
Ein weiteres – banales, aber hohes – Hindernis für einen koordinierten europaweiten effektiven Rechtsschutz durch Aufsichtsbehörden ist das Sprachenproblem. Zwar hat sich inzwischen weitgehend durchgesetzt, dass Englisch als gemeinsame Sprache der Datenschutzaufsichtsbehörden verwendet wird. Doch wird diese Sprache nicht nur von vielen Betroffenen nicht hinreichend beherrscht. Auch viele Aufsichtsbehörden können mit Englisch nicht rechtssicher umgehen, was für eine qualifizierte Auseinandersetzung mit den oft ausschließlich in Englisch kommunizierenden Anbietern nötig ist. Dies dürfte einer der Gründe sein, weshalb sich die Versuche von europäischen Aufsichtsbehörden, Safe Harbor, wozu nur in Englisch kommuniziert wird, gegenüber der US-amerikanischen Federal Trade Commission (FTC) durchzusetzen, bisher in überschaubaren Grenzen hielten.
VI. Probleme der aufsichtsbehördlichen Rechtskontrolle
Die Situation der aufsichtsbehördlichen Rechtskontrolle war bei umfassenden Datenschutzverletzungen durch internationale Großkonzerne bisher desaströs: Sie konnten sich durch den Verweis auf eine Hauptniederlassung in einem EU-Staat mit Vollzugsdefiziten weitgehend der Aufsicht der anderen nationalen Aufsichtsbehörden und der Anwendung des nationalen Rechts entziehen.[xv] Zwar werden diese Ausflüchte weiterhin vorgetragen, doch dürfte diesen seit dem EuGH-Urteil zur Google-Suche vom 13.05.2014[xvi], das die Zuständigkeit der nationalen Aufsicht und die Anwendbarkeit nationalen Rechts bestätigte, kein Erfolg mehr beschieden sein.
Eng mit dem vorgenannten Problem verbunden sind die bisher bestehenden rechtlichen Unsicherheiten darüber, wer bei arbeitsteiliger Datenverarbeitung datenschutzrechtlich verantwortlich und damit zu Recht Adressat von Aufsichtsverfügungen ist. Das ULD vertritt hier mit guten Gründen einen weiten Begriff der Verantwortlichkeit, der z. B. dazu führt, dass Betreiber von Facebook-Fanpages auch für die Verarbeitung der beim Besuch anfallenden Nutzungsdaten eine Mitverantwortung tragen.[xvii] Dem widersetzte sich aber bisher die Rechtsprechung.[xviii] Würde man dieser folgen, so könnten sich inländische Unternehmen weitgehend ihrer datenschutzrechtlichen Verantwortung dadurch entziehen, dass sie die personenbezogene Datenverarbeitung mit ihren Kundinnen und Kunden vollständig auf ausländische Dienstleister übertragen. Dabei muss es sich nicht um US-Unternehmen handeln; es können z. B. auch chinesische Stellen sein, die wie Alibaba mit ihren eCommerce-Angeboten auf den europäischen Markt drängen.
Große IT-Unternehmen sind bei administrativen oder gerichtlichen Verfahren hinsichtlich ihrer rechtlichen Vertretung zu jeder erforderlich scheinenden Investition bereit und in der Lage. Die Konsequenz ist oft die Konfrontation der Aufsichtsbehörden mit buchdicken Schriftsätzen von qualifizierten, zumindest jedoch teuren und gut vernetzten Juristen, die zu parieren den Aufsichtsbehörden oft mit den beschränkten personellen und sachlichen Mitteln nur schwer möglich ist. Die Inanspruchnahme externer kostenintensiver rechtsanwaltlicher Hilfe ist in solchen Fällen unvermeidbar.
Selbst wenn die rechtliche Vertretung des Datenschutzstandpunktes gewährleistet ist, bleibt das Sanktionsproblem. Der bestehende Sanktionsrahmen ist nicht ansatzweise dazu geeignet, internationale IT-Unternehmen zur Beachtung des Datenschutzrechts zu veranlassen. Die rechtliche Überprüfung der Sanktionen eröffnet ein weiteres Umsetzungsproblem. Datenschutzrechtliche Bußgeldverfahren werden in Deutschland nicht von den Datenschutzbehörden vor Gericht vertreten, sondern von den Staatsanwaltschaften, die zumeist keine spezifischen Technik- und Datenschutzrechtskenntnisse haben. Die Bußgeldverfahren werden an die Gerichte nach sog. Pensenschlüsseln bzw. Personalbedarfsberechnungssystemen zugeteilt, was zur Folge hat, dass z. B. ein Amtsrichter in Kiel für ein teilweise aufwändiges und schwieriges Bußgeldverfahren ein Pensum von 90 Minuten verfügbar hat. Dies entspricht nicht ansatzweise dem tatsächlichen Bedarf. Dies wiederum trägt stark zur Einstellungsbereitschaft bei den Richtern bei und fördert nicht unbedingt die Motivation zur tatsächlichen und rechtlichen Klärung der teilweise hochkomplizierten Sachverhalte.
Ein zentrales Umsetzungsproblem ist generell die sachliche und personelle Ausstattung der Datenschutzaufsicht. Während die Anwendung der Informationstechnik weiterhin stark zunimmt, wird die Ausstattung der Aufsichtsbehörden, wenn überhaupt, nur zögerlich verbessert. Eklatantes Negativbeispiel ist in Deutschland der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit, der wegen den deutschen Hauptniederlassungen in Hamburg für viele internationale Internetkonzerne wie z. B. Facebook und Google deutschlandweit zuständig ist und insgesamt nur mit 16,7 Stellen ausgestattet ist.
Nicht nur die Anwendung personenbeziehbarer IT-Anwendungen nimmt zu, sondern auch der aus datenschutzwidriger Verarbeitung erzielte wirtschaftliche Profit. Es ist unter europäischen Datenschutzaufsichtsbehörden weitgehend Konsens, dass die Grundstrukturen der nutzerbezogenen Datenverarbeitungen von großen IT-Anbietern insbesondere aus den USA, in Europa unzulässig sind. Hieraus generieren diese Unternehmen, teilweise zum größten Teil, ihren Profit und ihre Bewertung an der Börse, etwa Facebook mit einem Marktwert 138 Mrd. Euro oder Google mit einem Marktwert von 300 Mrd, Euro. Deren Geschäftsmodell beruht in starkem Maße auf dem Verkauf personalisierter Werbung, die zumindest in Europa gegen die hier geltenden Datenschutzregeln verstößt. Es besteht ganz offensichtlich eine Diskrepanz zwischen der Ausstattung der datenschutzrechtlichen Aufsicht und dem ökonomischen Wert, der nicht zuletzt wegen der unzulässigen Datenverarbeitung und gleichzeitig ungenügenden aufsichtlichen Rechtsdurchsetzung erzielt werden kann. Zugleich ist der Datenschutz ein Beispiel dafür, wie Profite privatisiert die Kosten für die Aufsicht wie auch die Grundrechtskosten sozialisiert werden.
Angesichts der unbefriedigenden Ausstattung der Datenschutzaufsicht steht die auch rechtspolitisch zu beantwortende Frage im Raum, wie durch präventives Handeln kontrollierendes und sanktionierendes Vorgehen vermieden werden kann. Tatsächlich sehen einige Landesdatenschutzgesetze für die Aufsichtsbehörden derartige Aufgaben und Kompetenzen vor.[xix] Teilweise werden entsprechende Aktivitäten auch ohne explizite gesetzliche Regelung wahrgenommen: umfassende Beratung, Aus- und Fortbildung, Forschung, Zertifizierung, Auditierung, Standardisierung. Bei der aktuell geplanten Änderung des rechtlichen Status der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit sind leider derartige präventive Befugnisse und Aufgaben nicht vorgesehen. Ein praktisches Problem besteht in einer teilweise sehr restriktiven Rechtsprechung zum öffentlichen Äußerungsrecht der Aufsichtsbehörden, auch wenn es um Warnungen oder Selbstschutzhinweise geht.[xx] Insofern wären rechtliche Klarstellungen wünschenswert, um die Gefahr zu reduzieren, von Unternehmen über Unterlassungsklagen zum Schweigen gebracht zu werden.
VII. Schlussfolgerungen für die EU-DSGVO
Die Rolle der Datenschutzaufsichtsbehörden beim Rechtsschutz ist verfassungs- und europarechtlich begründet. Deren Wahrnehmung kann und sollte durch die Normierung in der EU-DSGVO verbessert werden. Anders als im bisherigen Recht müssen adäquate Sanktionen bei Datenschutzverstößen möglich sein (Art. 53, 78 f. EU-DSGVO-E). Wegen der hohen Relevanz für den Markt wie für die gesamte Gesellschaft sollten neben dem individualrechtlichen Ansatz zur Durchsetzung des Rechtes auch kollektivrechtliche Möglichkeiten eröffnet werden (Art. 73 Abs. 2 EU-DSGVO). Es ist darauf zu achten, dass durch die Regulierung des „One Stop Shop“ „Forum Shopping“ vermieden wird, mit dem ein „race to the bottom“ ausgelöst wird. Dies kann durch das geplante Kohärenzverfahren erreicht werden, wobei dieses – anders als das bisher geltende Recht – eine klare Kooperations- und Kommunikationspflicht beinhalten muss (Art. 55 EU-DSGVO-E). Diese Pflicht ist für die Entwicklung einheitlicher Standards unabdingbar und keine Beeinträchtigung der Unabhängigkeit der Aufsichtsbehörden. Werden europaweit verbindliche Festlegungen vorgenommen, so sollten diese – wie vom EP vorgeschlagen – durch den unabhängigen Europäischen Datenschutzausschuss erfolgen.
Den One-Stop-Shop muss es schon allein im Interesse der Bürgernähe nicht nur für Unternehmen, sondern auch für die betroffene Bevölkerung geben (Art. 52 Abs. 3, 73 EU-DSGVO-E). Versieht man die Kooperationspflicht der Aufsichtsbehörden mit konkreten rechtlich relevanten Ausschlussfristen, so müssen diese so ausgestattet werden, dass sie diese auch tatsächlich einhalten können. Allein die Regelung, es bedürfe einer angemessenen Ausstattung, die heute schon vielerorten existiert[xxi], genügt nicht, solange die Entscheidung hierüber ausschließlich dem Haushaltsgesetzgeber überlassen bleibt. Das bisherige nationale Verwaltungsrecht ist auf die Verwendung der nationalen Sprache ausgerichtet.[xxii] Die Europäisierung zwingt dazu, ein Übersetzungsverfahren zu etablieren (Art. 71 Abs. 3d). Ebenso wie im bestehenden Datenschutzrecht ist in den Entwürfen zur EU-DSGVO bisher ungenügend geregelt, welche Stellen inwieweit datenschutzrechtlich zur Verantwortung gezogen werden können. Zur Reduzierung der Notwendigkeit repressiver Vorgehensweisen sehen die Entwürfe zur EU-DSGVO ausgeweitet präventive Maßnahmen vor (z. B. Verhaltensregeln, Zertifizierung Art. 38 ff. EU-DSGVO). Diese könnten ergänzt werden durch ein explizites Veröffentlichungsrecht bei Datenschutzverstößen (vgl. Art. 52 Abs. 2 EU-DSGVO-E).
Die in mancher Hinsicht noch ergänzungsbedürftigen Vorschläge für eine EU-DSGVO zur Regulierung der Datenschutzkontrolle sind also geeignet, zur Effektuierung des Grundrechts auf Datenschutz und zur Verbesserung des Rechtsschutzes der Betroffenen beizutragen. Sie sind aber auch dringend notwendig angesichts der globalen Entwicklung und der sich immer stärker realisierenden Entrechtung der Betroffenen insbesondere in der Internet-Kommunikation.
[i] BVerfG NJW 1984, 422 f.
[ii] BVerfG NJW 2013, 1515, Rn. 204, 207.
[iii] BVerfG NJW 2013, 1516, Rn. 207.
[iv] BVerfG NJW 2013, 1516, Rn. 215.
[v] BVerfG NJW 2013, 1516 f., Rn. 216.
[vi] BVerfG NJW 2013, 1517, Rn. 217.
[vii] EuGH, U. v. 13.05.2014, C-131/12, AfP 2014, 251, Rn. 77.
[viii] EuGH U. v. 09.03.2010, C-518/07, NJW 2010, 1266, Rn. 23, 30; EuGH U. v. 16.10.2012, C-614/10, Rn. 37.
[ix] EuGH, NJW 2010, 1266, Rn. 35.
[x] COM (2012)0011-C7-0025/2012/0011(COD).
[xi] Entwurf vom 17.12.2013 2012/0011 (COD).
[xii] EuGH NJW 2010, 1266, Rn. 35.
[xiii] EuGH, C-131/12, AfP 2014, 245.
[xiv] PE HmbBfDI v. 30.09.2014, Wesentliche Änderungen bei der Datenverarbeitung von Google notwendig – Datenschutzaufsicht erlässt Anordnung.
[xv] Z. B. OVG Schleswig-Holstein, U. v. 22.04.2013, 4 MB 10 u. 11/13, NJW 2014, 1977.
[xvi] EuGH, C-131/12, AfP 2014, 245.
[xvii] Vgl. ULD-Webseite, https://www.datenschutzzentrum.de/facebook/index.html.
[xviii] OVG Schleswig-Holstein, U. v. 04.09.2014, 4 LB 20/13, https://www.datenschutzzentrum.de/facebook/20140904-OVG-U-FBFanpageAnon.pdf.
[xix] Vgl. z. B. §§ 4 Abs. 2, 39 Abs. 4 u. 5, 43 LDSG Schleswig-Holstein.
[xx] VG Schleswig, ZD 2014, 104; OVG Schleswig-Holstein, B. v. 28.02.2014, 4 MB 82/13.
[xxi] Z. B. § 22 Abs. 5 S. 2 BDSG; § 39 Abs. 6 LDSG SH, vgl. Art. 47 Abs. 5 EU-DSGVO-E.
[xxii] Vgl. § 23 Abs. 1 BVwVfG, § 82a Abs. 1 LVwG SH: „Die Amtssprache ist Deutsch.“