Rechtsbehelfe in der EU-Datenschutzgrundverordnung

Inhaltsverzeichnis

Abkürzungsverzeichnis

1. Einleitung

2. Rechtsbehelfsmöglichkeiten in der EU-Datenschutzgrundverordnung
2.1 Das Recht auf wirksamen Rechtsbehelf gegen eine Aufsichtsbehörde nach Art. 78 EU-DS-GVO
2.1.1 Verfahrensgegenstand
2.1.2 Verfahrensberechtigte
2.1.3 Verhältnis zum nationalen Prozessrecht
2.2 Recht auf wirksamen gerichtlichen Rechtsbehelf gegen Verantwortliche oder Auftragsverarbeiter nach Art. 79 EU-DS-GVO
2.2.1 Prozessuale Durchsetzung des materiellen Rechtsschutzes
2.2.2 Gerichtlicher Rechtsbehelf

3. Das Dreieck des unionsrechtlichen Datenschutzes

4. Durchsetzungsmöglichkeiten in der DGSVO

5. Zusammenfassung, Ausblick und bisherige Umsetzung in den Mitgliedstaaten der Europäischen Union

Literaturverzeichnis

Abkürzungsverzeichnis

Abbildung in dieser Leseprobe nicht enthalten

1. Einleitung

Insbesondere im Bereich der Rechtsbehelfe ergeben sich durch die neue EU-Datenschutzgrundverordnung, welche 2018 in Kraft treten soll, teils erhebliche Änderungen. Das derzeit geltende Datenschutzrecht innerhalb der EUbasiert auf der 1995 stammenden Datenschutzrichtlinie (95/46/EG). Durch die neue EU-DS-GVO soll das europäische Datenschutzrecht einheitlich modernisiert werden. Weite Teile des bisher in Deutschland geltenden Bundesdatenschutzgesetzes (BDSG) werden dann durch diese Verordnung ersetzt.^[1]

Diese Arbeit gibt einen Überblick über die bestehenden Rechtsbehelfe und stellt einen Vergleich zu den aktuell in Deutschland geltenden Regelungen her.

2. Rechtsbehelfsmöglichkeiten in der EU-Datenschutzgrundverordnung

Die entsprechenden Regelungen finden sich in der EU-Datenschutzgrundverordnung in den Artikeln 77 ff. der EU-DS-GVO. Darin wurden vor allem in Folge des Safe-Harbor-Urteils durch den EuGH eingeforderte Nachbesserungen umgesetzt.^[2] Es ergeben sich mithin sehr weitgehende Verbesserungen, die u. a. auch auf die Erwägungsgründe der EU-DS-GVO zurückgehen: Betroffene haben somit nicht nur gegenüber der Aufsichtsbehörde ein Beschwerderecht (Art. 77 EU-DS-GVO), Erwägungsgründe 141, 142. Sie erhalten darüber hinaus eine gerichtliche Rechtsbehelfsmöglichkeit gegen eine sie betreffende rechtsverbindliche Entscheidung, ferner auch, wenn eine Beschwerde nicht innerhalb von drei Monaten behandelt wurde. Die abschließende Entscheidung kann jedoch längere Zeit in Anspruch nehmen (Art. 78 EU-DS-GVO). Ein sich darüber hinaus erstreckender Informationsanspruch besteht nicht nur zu den Verfahrensergebnissen, sondern auch hinsichtlich des Bearbeitungsstandes. Mit dem nun neuen Instrument kann ein Betroffener eine materiell-rechtlich korrekte Entscheidung gegenüber der Aufsichtsbehörde einklagen, was bisher nicht anerkannt war.

Eine Rechtsschutzmöglichkeit besteht für den Betroffenen weiterhin gegenüber der verantwortlichen Stelle oder dem Auftragsdatenverarbeiter, wobei durchaus verbraucherfreundlich gegen private Verantwortliche die Klage im Mitgliedstaat des Betroffenen eingelegt werden kann. Um in Europa divergierende Entscheidungen bei parallelen Verfahren zu vermeiden, kann ein zuständiges Gericht zudem sein Verfahren aussetzen, wenn derselbe Gegenstand vor einem anderen Gericht innerhalb des Geltungsbereichs der Verordnung anhängig ist. Es erfolgt dann eine Abstimmung zwischen den Gerichten oder eine Zusammenführung der Verfahren (Art. 81).^[3]

Von besonderem Interesse sind die in der EU-DS-GVO vorgesehenen Verbandsklagen, ein Mittel, das bereits seit längerem auch für den Datenschutz gefordert wird. Zwar ist Verbandsklagen die Rede ist, jedoch sind zwei unterschiedlichen Ausgestaltungen zu unterscheiden. Einerseits besteht nachArt.-80 IEU-DS-GVO die Möglichkeit für eine betroffene Person, sich durch eine Einrichtung, Organisation oder Vereinigung vertreten und von dieser die ihr inArt.-77-79EU-DS-GVO zugebilligten Rechte wahrnehmen zu lassen. Zudem kann auch das Recht auf Schadensersatz gem.Art.-82EU-DS-GVO durch die Vertretung geltend gemacht werden. Andererseits stellt esArt.-80 IIEU-DS-GVO in das Ermessen der Mitgliedstaaten, den in Absatz 1 genannten Einrichtungen, Organisationen und Vereinigungen unabhängig von einer Beauftragung durch eine betroffene Person zu erlauben, Beschwerde einzulegen und die inArt.-78 und 79EU-DS-GVO enthaltenen Rechte geltend zu machen. Voraussetzung ist, dass die Einrichtung von einer Datenverarbeitung ausgeht, die die Rechte der betroffenen Personen verletzt. Schadensersatzansprüche können auf diesem Weg nicht geltend gemacht werden. Für die Umsetzung vonArt.-80 IIEU-DS-GVO in Deutschland spricht hier die aktuelle Novellierung des UKlaG. Verbraucherschutzverbänden, aber auch Wirtschaftsverbänden, Industrie- und Handelskammern sowie Handwerkskammern steht nunmehr auch außerhalb der AGB-Kontrolle ein eigenes Klagerecht bei bestimmten Datenschutzrechtsverstößen zu.Der Systematik des UKlaG folgend, entsteht durch einen datenschutzrechtlichen Verstoß i.S.d.§-2II 1 Nr.-11 UKlaGfür jede Einrichtung ein eigener Anspruch, der geltend gemacht werden kann, sofern nicht eine Wiederholungsgefahr durch Abgabe einer strafbewehrten Unterlassungserklärung, durch eine Abschlusserklärung, durch einen gerichtlichen Vergleich oder durch eine rechtskräftige Verurteilung ausgeschlossen wurde.Dabei können neben den Unterlassungs- und Widerrufsansprüchen gem.§-3I 1 UKlaGjetzt auch Beseitigungsansprüche durchgesetzt werden. Dieses nationale Verbandsklagerecht wurde auf einzelne Aspekte von Datenschutzrechtsverstößen beschränktund dessen Effektivität wird durchaus auch kritisch betrachtet.Gleichwohl zeigt der Vorstoß, dass eine Erweiterung der Durchsetzungsmöglichkeiten des Datenschutzrechts für sinnvoll erachtet wird und die bisher ablehnende Haltung derBundesregierungbzw. von Bundestagsfraktionen insoweit aufgegeben wurde.^[4]

2.1 Das Recht auf wirksamen Rechtsbehelf gegen eine Aufsichtsbehörde nach Art. 78 EU-DS-GVO

Jede Person, deren durch das Recht der Union garantierte Rechte oder Freiheiten verletzt worden sind, haben das Recht nach § 47 I EU-GR-Charta, einen wirksamen Rechtsbehelf einzulegen (vgl. Art. 19 IV GG).

Aufsichtsbehörden agieren damit im grundrechtsrelevanten Bereich, folglich finden Unionsgrundrechte über Art. 51 I EWG-DS-GVO der Grundrechtecharta Anwendung. Somit bedarf es einer Rechtsschutzgarantie. Nach Art 58 IV EU-DS-GVO regelt die Ausübung behördlicher Befugnisse „vorbehaltlich geeigneter Garantien einschließlich wirksamer gerichtlicher Rechtsbehelfe und ordnungsgemäßer Verfahren gem. dem Unionsrecht und dem Recht des Mitgliedsstaates in Einklang mit der Grundrechtecharta.“ Die maßgeblichen Rechtsbehelfe (Klagerechte) gegen Maßnahmen der Aufsichtsbehörde richten sich nach § 78 I EU-DS-GVO. Lücken lassen sich dabei durchaus über das nationale Prozessrecht schließen.

Rechtsbehelfe bestehen unbeschadet eines anderen verwaltungs-gerichtlichen oder außergerichtlichen Rechtsbehelfes.

Nach EWG 143 der EU-DS-GVO müssen Verfahren gegen Aufsichtsbehörden im Einklang mit dem Verfahrensrecht der Mitgliedstaaten erfolgen.^[5]

2.1.1 Verfahrensgegenstand

Der Verfahrensgegenstand betrifft rechtsverbindliche Beschlüsse einer Aufsichtsbehörde. Dazu zählen in erster Linie die allgemeinen Regelungen nach Art. 288 IV AEUV. Andererseits sind Aufsichtsbehörden jedoch nationale Einrichtungen, wonach man sie mit Verwaltungsakten vergleichen kann. Das bedeutet, sie richten sich gegen bestimmte Adressaten und weisen in allen ihren Teilen Verbindlichkeit auf. Somit handelt es sich um zulässige Verfahrensgegenstände, die auch im Übrigen in Deutschland als Verwaltungsakte gelten. Sofern unterfallen solche Beschlüsse dem letztlich Artikel 78 I der EU-DS-GVO.

Aus dem EWG 143 der EU-DS-GVO gehen weitere Beschlüsse hervor, die Artikel 78 I EU-DS-GVO unterfallen. Dabei handelt es sich z. B. auch um die Ausübung von Untersuchungs-, Abhilfe- und Genehmigungsbefugnissen durch die Aufsichtsbehörde oder die Ablehnung oder Abweisung von Beschwerden.“ Rechtsunverbindliche Maßnahmen sollen jedoch nicht erfasst werden. Zusammengefasst bedeutet dies, dass zulässige Klagegenstände sämtliche rechtsverbindliche Maßnahmen einer Aufsichtsbehörde sein können. Bzgl. der Rechtsverbindlichkeit ist dies so zu verstehen, dass sämtliche Handlungen gemeint, welche Auswirkungen auf die Rechte eines Adressaten haben könnten. Solche Auswirkungen sind auf allen Ebenen eines Verwaltungsverfahrens denkbar.

Den Ausführungen des Europäischen Gesetzgebers ist weiter zu entnehmen, dass die Bestimmung des Klagegegenstandes sich vorrangig an dessen Rechtsverbindlichkeit auszurichten hat. Zulässige Klagegegenstände können daher sämtliche rechtsverbindlichen Maßnahmen einer Aufsichtsbehörde sein.

Lückenhaft geregelt ist in der EU-DS-GVO nach wie vor der Rechtsschutz von Verantwortlichen oder Auftragsverarbeitern im Hinblick auf begehrte Leistungen der Aufsichtsbehörde wie die Erteilung von Genehmigungen (Art.58IIIlit.h, i, j), die Billigung von Verhaltensregeln (Art.58Abs.3lit.d), die Akkreditierung von Zertifizierungsstellen (Art.58IIIlit.e) und die Erteilung von Zertifizierungen (Art.58IIIlit.f). Wird ein Antrag auf eine Maßnahme abgelehnt, ist diese Entscheidung. der Aufsichtsbehörde als ein Beschluss i. S. d.Abs.1zu werten und unterliegt damit dem Rechtsschutz. Bleibt die Aufsichtsbehörde nach Antragstellung dagegen untätig, sind die Voraussetzungen desAbs.1und 2 nichterfüllt. Letzterer regelt ausschließlich die Ansprüche der betroffenen Person bei Untätigkeit der Aufsichtsbehörde, nicht jedoch die des Verantwortlichen oder Auftragsverarbeiters. Nach deutschem Recht besteht für Verantwortliche oder Auftragsverarbeiter in solchen Fällen Rechtsschutz in Form einer Verpflichtungsklage, soweit das Begehren auf den Erlass eines Verwaltungsakts (z. B. die Erteilung einer Genehmigung oder einer Zertifizierung) gerichtet ist, oder in Form der Leistungsklage, soweit die Vornahme schlichten Verwaltungshandelns begehrt wird.

Um eine Entscheidung der Aufsichtsbehörde handelt es sich auch, wenn sie Beschwerden von betroffenen Personen nach Prüfung des Sachverhalts und der Rechtslage zurückweist. Solche Entscheidungen ergehen auf der Grundlage. des geltenden§38BDSGnicht als Verwaltungsakt (VG Neustadt an der WeinstraßeZD 2016,150), so dass eine Anfechtungsklage nach§42VwGOhiergegen nicht in Betracht kommt. Gleichwohl besteht in solchen Fällen Rechtsschutz. Das Interesse der betroffenen Person liegt hier zumeist nicht in der Anfechtung der Entscheidung, sondern richtet sich vielmehr auf den Erlass der von ihr begehrten Entscheidung. Dies kann im Wege der allgemeinen Leistungsklage (VG Neustadt an der WeinstraßeZD 2016,150; VG DarmstadtMMR 2011,416) oder im Wege der Verpflichtungsklage nach§42VwGOgerichtlich geltend gemacht werden. Aufgrund des petitionsähnlichen Charakters des Beschwerderechts ist ein solcher Anspruch auf eine fehlerfreie Ermessensentscheidung beschrieben.^[6] (VG Darmstadt,MMR 2011,416). Ein Anspruch auf Einschreiten der Aufsichtsbehörde besteht daher nur im Ausnahmefall einer Ermessensreduzierung auf Null (VG DarmstadtMMR 2011,416).^[7]

Weiterhin werden vor allem Rechte aus der EU-Grundrechte-Charta und der Datenschutz-Grundverordnung in Betracht kommen. Denkbar sind darüber hinaus aber auch weitere subjektive Rechtspositionen, die dem Unionsrecht oder im Einzelfall auch dem nationalen Recht zu entnehmen sind. Orientiert werden kann sich bei der Bestimmung eines zulässigen Klagegegenstandes zudem an der Dogmatik, wie sie zu Art. 19 IV GG entwickelt wurde.^[8]

Nicht erfasst werden hingegen Klagemöglichkeiten bei Untätigkeit der Aufsichtsbehörde oder bei Ablehnung von beantragten Beschlüssen. Bei letzterer Fallgruppe besteht Rechtsschutz über EWG-DS-GVO Art. 78 I, soweit ein ablehnender Beschluss ergangen ist. Eine Klage auf Verpflichtung zum Erlass eines bestimmten Beschlusses wird dabei geführt, indem die Ablehnungsentscheidung angefochten wird.^[9]

Eine solche isolierte Anfechtungsklage des Ablehnungsbescheides ist im deutschen Prozessrecht lediglich in wenigen Ausnahmekonstellationen anerkannt.^[10] Im europäischen Prozessrecht stellt sie den Regelfall dar. Auch die Nichtigkeitsklage nach Art. 263 AEUV wird in einer bestehenden Verpflichtungskonstellation herangezogen, indem eine Anfechtung des ablehnenden Beschlusses betrieben wird. Anders liegt der Fall hingegen bei einer echten Untätigkeit einer Aufsichtsbehörde. Eine Untätigkeitsklage, wie sie das deutsche Verfahrensrecht kennt, ist lediglich in vorgesehen. Das Klagerecht beschränkt sich hier jedoch auf die Beschwerdefälle des 77 der EU-DS-GVO. Hinsichtlich einer behördlichen Untätigkeit enthält die Datenschutz-Grundverordnung daher keine abschließende Regelung. Da Art. 78 I EU-DS-GVO die nationalen Rechtsschutzmöglichkeiten jedoch unberührt lässt, können diese herangezogen werden, um die Lücke zu schließen. So kann sich ein Betroffener im Wege der Verpflichtungsklage gegen eine Untätigkeit der Aufsichtsbehörde wenden, die in einem Unterlassen eines Verwaltungsaktes besteht. Wird eine Maßnahme begehrt, die ein schlichtes Verwaltungshandeln zum Gegenstand hat, greift die allgemeine Leistungsklage. Damit besteht mit der Zuhilfenahme der nationalen Verfahrensmöglichkeiten auch im Bereich der behördlichen Untätigkeit ein umfassender Rechtsschutz.^[11]

[...]

^[1] Ulmer/Rath: „Die neue EU-Datenschutz-Grundverordnung“, S. 142 ff.

^[2] EuGH, 06.10.2015, C-362/14

^[3] Weichert „Die Europäische Datenschutz-Grundverordnung“, S. 19 f.

^[4] Dieterich: „Rechtsdurchsetzungsmöglichkeiten der DS-GVO“, S. 260 ff.

^[5] BeckOK DatenSR / Mundil DS-GVO Art. 78, Rn. 1 ff.

^[6] Datenschutzgrundverordnung OK Paal / Pauly / Körffer, Art. 78 DS.GVO, Rn. 3 ff.

^[7] BeckOK DatenSR / Brink BDSG Art. 38, Rn. 58 ff.

^[8] BeckOK GG / Enders GG Art. 19, Rn. 55

^[9] Datenschutzgrundverordnung OK Paal / Pauly / Körffer, Art. 78 DS-GVO, Rn. 4 f.

^[10] BeckOK VwGO / Schmidt-Kötters § 42 VwGO, Rn. 44 f.

^[11] Datenschutzgrundverordnung OK Paal / Pauly / Körffer, Art. 78 DS-GVO, Rn. 4 f.