§ 11 Rechtsbehelfe, Haftung, Geldbußen und Sanktionen / A. Aufsichtsrechtliche Befugnisse und Maßnahmen

Rz. 1

Eine der zentralen und auch außerhalb der juristischen Fachwelt für breite Diskussionen sorgende Neuerung, die mit der DSGVO einhergeht, kann zweifelsohne in der umfassenden Neuausrichtung des Haftungs- und Sanktionsregimes gesehen werden. Der Bußgeldrahmen des Art. 83 DSGVO geht weit über das hinaus, was bislang in Europa in Sachen Datenschutz üblich war; Bußgeldandrohungen von bis zu 20.000.000 EUR oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs, haben das Datenschutzrecht von einem Randthema zu einem zentralen, auf Geschäftsführungsebene angesiedelten Kernthema werden lassen.

Rz. 2

Die zentralen Bestimmungen zu den Rechtsfolgen bei Verstößen gegen die DSGVO finden sich im Kapitel VIII. Sie werden auf bundesdeutscher Ebene durch die Vorschriften des 5. Kapitels des BDSG-Neu sowie § 20 BDSG-Neu ergänzt.

Rz. 3

Wie bereits im aktuellen Datenschutzrecht, werden die Aufsichtsbehörden auch innerhalb des Regelungsgefüges der DSGVO eine zentrale Rolle einnehmen. Einer näheren Betrachtung der in der DSGVO befindlichen Rechtsbehelfs-, Haftungs- und Sanktionsnormen muss daher zwangsläufig eine Darstellung des aufsichtsrechtlichen Konzeptes vorausgehen.

I. Aufsichtsbehörden

1. Anforderungen an die Unabhängigkeit

Rz. 4

Art. 51 DSGVO verpflichtet die Mitgliedstaaten zur Etablierung einer oder – wie in Deutschland bereits der Fall – mehrerer unabhängiger Behörden, denen die Aufgabe der Überwachung der Einhaltung der Verordnung übertragen wird (sog. Aufsichtsbehörden). Dabei spielt vor allem der Aspekt der Unabhängigkeit der Aufsichtsbehörde im Konzept einer wirksamen Datenschutzaufsicht eine entscheidende Rolle. Dieser hat bereits in der Datenschutzrichtlinie Niederschlag gefunden. Art. 28 Abs. 1 Unterabs. 2 der Richtlinie 95/46/EG fordert, dass die öffentlichen Datenschutzkontrollstellen die ihnen zugewiesenen Aufgaben in völliger Unabhängigkeit wahrnehmen. Art. 52 DSGVO behält diesen Ansatz bei.

Rz. 5

Man könnte annehmen, der Aspekt der Unabhängigkeit spiele gerade in Deutschland keine zentrale Rolle; sind hier doch neben dem Bundesbeauftragten für Datenschutz (§ 22 BDSG), in allen Bundesländern Landesdatenschutzbehörden eingerichtet worden, die Kontroll- und Überwachungsaufgaben übernehmen. Jedoch ist gerade die bundesdeutsche Umsetzung der Verpflichtungen aus Art. 28 Abs. 1 der Richtlinie 95/46/EG ist in der Vergangenheit gleich zwei Mal vom EuGH^[1] als unzureichend qualifiziert und kritisiert worden. Der EuGH hatte festgestellt, dass die Datenschutzaufsichtsbehörden für den nicht-öffentlichen Bereich in Deutschland nicht völlig unabhängig sind, was sich vornehmlich in der organisatorischen Einbindung zahlreicher Datenschutzaufsichtsbehörden für den nicht-öffentlichen Bereich in die jeweiligen Innenministerien und den damit verbundenen Aufsichtsrechten äußerte. Der Bundesgesetzgeber hat mit einer Änderung des § 22 BDSG reagiert und die Anbindung der Bundesbeauftragten für Datenschutz mit Wirkung zum 1.1.2016 aufgehoben und der Behörde den Status einer obersten Bundesbehörde zugebilligt, die ausschließlich parlamentarischer und gerichtlicher Kontrolle untersteht. Diese unabhängige Stellung wird auch im BDSG-Neu (§ 8 Abs. 1 BDSG-Neu und § 10 BDSG-Neu) beibehalten.

Rz. 6

Auf Landesebene haben die Urteile des EuGH ebenso für Änderungen in den Organisationsstrukturen gesorgt,^[2] auch wenn dies derzeit noch nicht durchgängig abgeschlossen ist. Problematisch dürfte sein, dass es bei den Datenschutzbehörden ein "offenkundiges Missverhältnis zwischen Aufgaben und Personalausstattung gibt".^[3] Dies könnte mit den neuen Anforderungen der DSGVO nicht in Einklang stehen. Sie fordert von den Mitgliedstaaten, die Aufsichtsbehörden mit "den personellen, technischen und finanziellen Ressourcen, Räumlichkeiten und Infrastrukturen" auszustatten, die sie für die wirksame Aufgabenerfüllung benötigen (Art. 52 Abs. 4 DSGVO). Es bleibt abzuwarten, ob die Landesgesetzgeber es schaffen, die Anforderungen, insbesondere des Art. 52 DSGVO bis zum 25.5.2017 umzusetzen. Für die unter der Aufsicht der Landesbehörden stehenden Verantwortlichen würden sich aus einer Nichtumsetzung der Vorgaben in Art. 52 DSGVO jedoch keine unmittelbaren Rechtsfolgen ergeben, so dass an dieser Stelle auf die Problematik nicht weiter eigegangen werden soll.

[1] EuGH, Urt. v. 9.3.2010 – C-518/07 und EuGH, Urt. v. 16.10.2012 – C–614/10.

[2] Vgl. den 25. Tätigkeitsbericht Datenschutz 2014/2015 des HmbBfDI, S. 14, abrufbar unter: https://www.buergerschaft-hh.de/ParlDok/dokument/51860/25-t%c3 %a4tigkeitsbericht-datenschutz-des-hamburgischen-beauftragten-f%c3 %bcr-datenschutz-und-informationsfreiheit.pdf; siehe für Hamburg auch das 17. Gesetz zur Änderung der Verfassung der Freien und Hansestadt Hamburg mit dem die Hamburgische Bürgerschaft einstimmig die organisatorische Loslösung der beziehungsweise des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit (HmbBfDI) vom Senat zum 1.1.2017 beschlossen hat. Hierzu auch: Senatsdrucksache ...