31 dicembre 2018
In
Relazioni
Die Rolle der Aufsichtsbehörden nach der DSGVO
1. Begrüßung
2. Einführung in die Thematik
„Da hat Europa uns wieder mal etwas eingebrockt!“. Diese oder ähnliche Sätze haben wir man im Zusammenhang mit der seit dem 25. Mai anwendbaren Europäischen Datenschutzgrundverordnung (DSGVO) immer wieder gehört. Und dem Thema Datenschutz und DSGVO konnte sich in diesem Jahr auch kaum jemand entziehen. Obwohl die DSGVO bereits im Mai 2016 mit einer Übergangsfrist von zwei Jahren in Kraft getreten ist, ist den Meisten erst seit etwa Anfang dieses Jahres bewusst geworden, dass ab dem 25. Mai neue datenschutzrechtliche Regelungen gelten.
Diese Erkenntnis hat vielfach zu großer Verunsicherung und teilweise auch zu Panik geführt. Die bestehenden Unsicherheiten und die Furcht vor hohen Bußgeldern bzw. vor einer großen Abmahnwelle haben dann bspw. dazu geführt, dass massenweise Online-Auftritte vom Netz genommen wurden und sonstige, teilweise schon kuriose Maßnahmen ergriffen wurden. So haben beispielsweise Kinder bei ihrem Kindergartenabschied Erinnerungsfotos erhalten, auf denen alle Gesichter bis auf das eigene geschwärzt worden waren. Als Grund wurde angegeben, die neuen Regelungen verlangten dies. Abgesehen davon, dass derlei Erinnerungsstücke an die Kindheit von äußerst geringem Wert sein dürften, sind solche Konsequenzen mit Sicherheit nicht im Sinne des Verordnungsgebers und bei vernünftiger Auslegung der Vorschriften auch nicht erforderlich.
Jetzt, etwas mehr als vier Monate nach Geltungsbeginn der DSGVO zeigt sich, dass – zumindest bislang – die befürchtete Abmahnwelle ausgeblieben ist und auch die Aufsichtsbehörden keinesfalls die neuen rechtlichen Gegebenheiten dazu genutzt haben, jeden noch so kleinen Datenschutzverstoß mit immens hohen Bußgeldern zu ahnden.
Aber gerade diese im Vergleich zur bisherigen Rechtslage hohen Bußgeldandrohungen sind es, die dem Datenschutz aktuell zu einer solchen Aufmerksamkeit verhelfen.
Völlig in den Hintergrund getreten ist dabei die Tatsache, dass sich auch bisher schon alle öffentlichen und nicht-öffentlichen Stellen, die personenbezogene Daten verarbeiten, an datenschutzrechtliche Vorgaben zu halten hatten und diese Vorgaben sich im Grundsatz gar nicht so sehr von der neuen Rechtslage unterschieden.
Allerdings war dies Vielen nicht bewusst bzw. es wurde nicht so ernst genommen. Ein Grund hierfür war sicherlich, dass die Wahrscheinlichkeit, wegen nicht rechtskonformer Datenverarbeitung in den Fokus der Aufsichtsbehörden zu gelangen und zur Rechenschaft gezogen zu werden, für die datenverarbeitenden Stellen sehr gering war. Und wenn es doch einmal zu Sanktionen kam, waren diese in der Regel nicht sehr schmerzhaft. Daher bestand auch keine große Motivation, sich vertieft mit dieser Materie zu befassen. Aufgrund der fehlenden Durchsetzung des Datenschutzrechts sind auch nicht so viele Fälle zu den Gerichten gekommen sind, so dass es bislang recht wenig Rechtsprechung zu dieser schon bisher nicht ganz einfachen Rechtsmaterie gibt, was wiederum dazu geführt hat, dass das Datenschutzrecht zum Teil sehr uneinheitlich umgesetzt worden ist.
Dies soll sich mit der DSGVO nunmehr ändern. Daher beinhaltet sie als einen wesentlichen Bestandteil eine Stärkung der Aufsichtsbehörden, die das Datenschutzrecht einheitlich durchsetzen sollen.
3. DSGVO
Bevor ich hierauf näher eingehe, noch einige allgemeine Worte zur DSGVO:
Diese ist nach einer Übergangszeit von zwei Jahren seit dem 25. Mai dieses Jahres in allen Mitgliedstaaten der EU und mittlerweile auch in den Ländern des Europäischen Wirtschaftsraums (Island, Liechtenstein; Norwegen) unmittelbar anwendbar. Als eine europäische Verordnung ist sie Teil der innerstaatlichen Rechtsordnungen geworden.
Anwendung findet die DSGVO auf die personenbezogene Datenverarbeitung durch alle nicht-öffentlichen Stellen, wie Unternehmen, Vereine und Verbände, aber auch auf die Verarbeitung durch öffentliche Stellen wie Behörden und Ministerien.
Ein wesentlicher Grund für die Neuregelung des Datenschutzrechts in Europa war, dass sich seit dem Erlass der bisher geltenden europäischen Datenschutzrichtlinie aus dem Jahre 1995 die technischen Gegebenheiten und damit die Datenverarbeitungsprozesse ganz erheblich verändert haben. Damals steckte das Internet noch in den Kinderschuhen; es gab zwar die ersten Mobiltelefone, aber an Smartphones war noch nicht zu denken.
Heute dagegen ist die Verarbeitung personenbezogener Daten allgegenwärtig und erfasst nahezu alle Lebensbereiche. Neben der globalen Vernetzung der Menschen über Soziale Netzwerke, wie Facebook und WhatsApp sind auch neuere Entwicklungen wie das „Internet der Dinge“, „Smart Home“ oder „autonomes Fahren“ zu nennen. Diese, mit der Digitalisierung verbundenen Neuerungen bringen jedoch auch immer neue Gefährdungen für das Grundrecht auf Datenschutz der Bürger mit sich. Daher wollte der Gesetzgeber neue Regelungen, die diese Entwicklungen aufgreifen und die in der Lage sind, die Kontrolle des Einzelnen über seine persönlichen Daten zu behalten.
Darüber hinaus hat sich auch gezeigt, dass die Richtlinie aus dem Jahre 1995 in allen Mitgliedstaaten sehr unterschiedlich in nationales Recht umgesetzt worden ist, was zu einer Zersplitterung des Datenschutzrechts in ganz Europa geführt hat.
Mit einer unmittelbar und allgemein geltenden Verordnung soll nun ein europaweit einheitlicher hoher Schutz bei der Verarbeitung der personenbezogenen Daten erreicht werden. Zugleich zielt die DSGVO auch darauf ab, die noch bestehenden Hemmnisse für den freien Verkehr personenbezogener Daten innerhalb der EU zu beseitigen.
Um diese Ziele eines hohen Datenschutzstandards in der ganzen EU zu erreichen, müssen sich jetzt auch außerhalb der EU ansässige Unternehmen an die europarechtlichen Datenschutzregeln halten, wenn sie ihre Angebote für Waren und Dienstleistungen an Personen innerhalb der EU richten. D.h. auch für die großen US-amerikanischen Player wie Amazon, Google und Facebook gilt jetzt europäisches Datenschutzrecht.
Zur der Rechte der betroffenen Personen sollen Datenverarbeitungsprozesse transparenter werden. Dies bedeutet, dass die betroffenen Personen umfangreicher als bisher durch die Verantwortlichen darüber informiert werden müssen, was mit ihren Daten geschieht. Zum anderen werden auch ihre Rechte gegenüber den datenverarbeitenden Stellen erweitert. Neben einem – gegenüber der bisherigen Rechtslage – deutlich gestärktem Auskunftsrecht über den Umfang der Datenverarbeitung, stehen den Betroffenen weitere – teilweise ganz neue Rechte zu, wie das „Recht auf Vergessenwerden“ und das Recht auf Datenübertragbarkeit.
Mit Blick auf die erweiterten Verarbeitungsmöglichkeiten im digitalen Informationszeitalter widmet die DS-GVO dem technischen Datenschutz ein besonderes Augenmerk.
An dem schon bisher geltenden, wesentlichen Grundprinzip des Datenschutzrechts, dem sog. Verbot mit Erlaubnisvorbehalt, wird festgehalten. Damit bedarf es für jede Datenverarbeitung eines Erlaubnistatbestandes in Gestalt einer gesetzlichen Grundlage oder einer Einwilligung des Betroffenen.
——
Die DSGVO ist mit ihren 99 Artikeln und insgesamt 173 Erwägungsgründen, die zur Auslegung der Vorschriften heranzuziehen sind, bereits für sich genommen ein recht umfangreiches Gesetzeswerk. Dennoch stellt sie – obwohl sie eine Verordnung ist und damit eigentlich keine Umsetzung in nationales Recht erforderlich ist – keinen abschließenden Rechtsrahmen dar.
Vielmehr enthält sie insgesamt mehr als 70 sog. Öffnungs- bzw. Anpassungsklauseln, die die Mitgliedstaaten verpflichten oder es ihnen erlauben, ergänzende nationale Vorschriften zu erlassen. Insbesondere für die Datenverarbeitung durch öffentliche Stellen und zur Erfüllung rechtlicher Pflichten wird dabei den Mitgliedstaaten ein sehr weitgehendes Ausgestaltungs- und Konkretisierungsrecht zugesprochen.
Als wichtigstes Anpassungsgesetz in Deutschland ist das völlig neu gefasste Bundesdatenschutzgesetz zu nennen, das im Wesentlichen die Datenverarbeitung durch nicht-öffentliche Stellen, also die Privatwirtschaft, regelt; daneben gibt es aber noch unzählige weitere Gesetze, die datenschutzrechtliche Anpassungsvorschriften enthalten. Diese betreffen vielfach den öffentlichen Bereich, da der Verordnungsgeber den Mitgliedstaaten hier – wie schon gesagt – größere Spielräume beim Erlass von nationalen Vorschriften eingeräumt hat. Auf Bundesebene ist bspw. derzeit ein Gesetzentwurf in Arbeit, mit dem mehr als 150 Gesetze an die DSGVO angepasst werden sollen, wobei allerdings aus meiner Sicht notwendige Anpassungsvorschriften an die Prozessordnungen, wie die VwGO, fehlen.
Nicht nur auf Bundes-, sondern auch auf Landesebene gab es bzw. gibt es noch zahlreiche Gesetzgebungsvorhaben. So wurden alle Landesdatenschutzgesetze, die für die öffentlichen Stellen des Landes gelten, neu gefasst.
Die Möglichkeit, trotz Geltung einer Verordnung noch nationale datenschutzrechtliche Regelungen erlassen zu können, ist für das Europarecht durchaus ungewöhnlich. Auch läuft sie in gewisser Weise dem Ziel zuwider, ein möglichst einheitliches Datenschutzniveau in ganz Europa zu bilden. Befürchtungen, dass es auch zukünftig wieder einen datenschutzrechtlichen Flickenteppich in Europa geben wird, sind daher nicht ganz von der Hand zu weisen.
Dies bedeutet aber trotzdem nicht, dass der europäische Gesetzgeber das Ziel eines einheitlichen europäischen Datenschutzrechts den verschiedenen nationalstaatlichen Bedürfnissen geopfert hätte. Er hat nämlich sehr umfangreich geregelt, dass und wie die Aufsichtsbehörden der Mitgliedstaaten auf eine einheitliche Auslegung des Datenschutzrechts in ganz Europa hinwirken sollen. Dies zeigt sich bereits daran, dass sich allein 27 der 99 Artikel der DSGVO mit der Struktur, den Aufgaben und Befugnissen der Aufsichtsbehörden zur verbesserten Durchsetzung des europäischen Datenschutzrechts befassen.
4. Aufsichtsbehörden
So sieht die DSGVO zunächst vor, dass jeder Mitgliedstaat verpflichtet ist, eine oder auch mehrere unabhängige Behörden für die Überwachung der Anwendung der DSGVO zu schaffen. Den Regelfall in Europa stellt dabei die Existenz einer zentralen staatlichen Aufsichtsbehörde dar. In Deutschland besteht aufgrund der föderalen Struktur hingegen die Besonderheit, dass insgesamt 18 Aufsichtsbehörden selbstständig mit der Überwachung des Datenschutzrechts betraut sind. Dies sind zunächst die Bundesbeauftragte für den Datenschutz, die insbesondere für die Einhaltung des Datenschutzes bei den öffentlichen Stellen des Bundes, also v.a. bei den Bundesministerien, zuständig ist.
Zusätzlich verfügt jedoch auch jedes Bundesland über eine Behörde, die die Aufsicht über die in dem Bundesland ansässigen Unternehmen sowie die dortigen öffentlichen Stellen führt. Eine Besonderheit bildet hierbei das Bundesland Bayern, in welchem zwei unabhängige Behörden – eine für die öffentlichen Stellen und eine für die nicht-öffentlichen Stellen – für die Datenschutzaufsicht zuständig sind.
Neben den staatlichen Aufsichtsbehörden existieren auch noch sog. spezifische Aufsichtsbehörden für die Datenschutzaufsicht bei den Kirchen und den Rundfunkanstalten.
—————–
Die DSGVO fordert ausdrücklich, dass die Aufsichtsbehörden ihre Aufgaben und Befugnisse in völliger Unabhängigkeit wahrnehmen können, d. h. dass sie keiner Weisung durch die Exekutive unterliegen. Ihr Handeln ist lediglich gerichtlich überprüfbar.
Zur Gewährleistung dieser Unabhängigkeit ist jeder Mitgliedstaat verpflichtet sicherzustellen, dass die Aufsichtsbehörden mit ausreichenden personellen, technischen und finanziellen Ressourcen ausgestattet sind, um ihren Aufgaben und Befugnissen effektiv nachkommen zu können.
Zwar ist mit Wirksamwerden der DSGVO die personelle Ausstattung bei allen Aufsichtsbehörden sukzessive verstärkt worden. Dass diese personelle Aufstockung hingegen in kaum einem Bundesland ausreichen wird, um alle gesetzlich zugewiesenen Aufgaben effektiv ausführen zu können, dürfte nicht ernsthaft anzuzweifeln sein. Ein zur Ermittlung der notwendigen Personalausstattung erstelltes Gutachten gelangt zu dem Ergebnis, dass im Schnitt pro Aufsichtsbehörde in den Bundesländern ein zusätzlicher Bedarf von bis zu 31 Vollstellen, davon alleine 12-19 Juristen, für eine adäquate Aufgabenerfüllung vonnöten sind.
Das Unabhängige Datenschutzzentrum Saarland erfüllt diese Anforderungen bei Weitem nicht und ist nach einem Zuwachs von vier Stellen in diesem Jahr mit nunmehr 17 Stellen nach wie vor eine der kleinsten Aufsichtsbehörden in Deutschland. Zum Vergleich: die Bundesbeauftragte für den Datenschutz, die – bis auf Telekommunikations- und Postdienstleistungen – ausschließlich für öffentliche Stellen des Bundes zuständig ist, verfügt mittlerweile bereits über mehr als 200 Stellen.
Die allgemein unzureichende personelle Ausstattung der Aufsichtsbehörden ist zwar bedauerlich, sie dürfte jedoch keine ausschließlich deutsche Problematik darstellen. Vermutlich wird auch in den anderen Mitgliedstaaten die personelle Ausstattung den Anforderungen, die die DSGVO an die Aufsichtsbehörden stellt, nicht entsprechen.
5. Örtliche Zuständigkeit/federführende Aufsicht
Zu den Zuständigkeiten der Aufsichtsbehörden ist zu sagen, dass grundsätzlich jede Aufsichtsbehörde für die Kontrolle der Datenverarbeitung in ihrem Hoheitsgebiet zuständig ist. Dies war auch nach der bisherigen Rechtslage so.
Neu sind allerdings die Zuständigkeiten dann geregelt, wenn ein Unternehmen über mehrere Niederlassungen in Europa verfügt. Für jedes Unternehmen gibt es nunmehr eine sog. federführende Aufsichtsbehörde am Ort der Hauptniederlassung als zuständige Behörde für die Datenverarbeitung durch dieses Unternehmen. Dies bedeutet für die Unternehmen einen erheblichen Vorteil gegenüber der bisherigen Rechtslage. Denn nach alter Rechtslage war für jede einzelne Niederlassung eines Unternehmens die jeweilige Aufsichtsbehörde vor Ort alleine zuständig. Aufgrund fehlender Abstimmungsregeln unter den Behörden sowie unterschiedlicher rechtlicher Vorgaben in den Mitgliedstaaten führte dies in der Vergangenheit häufig zu divergierenden Rechtsauffassungen, was die grenzüberschreitend tätigen Unternehmen teilweise vor große Schwierigkeiten stellte.
Nunmehr hat also die Aufsichtsbehörde am Sitz der Hauptniederlassung die Federführung bei der datenschutzrechtlichen Beurteilung eines Sachverhalts. Bei Vorgängen, die auch in anderen Mitgliedstaaten ansässige Niederlassungen des Unternehmens betreffen, sind die jeweiligen Aufsichtsbehörden vor Ort als sog. betroffene Aufsichtsbehörden in die datenschutzrechtliche Bewertung mit einzubeziehen. D.h. es können bis zu 27 Aufsichtsbehörden betroffen sein.
Nach den Vorgaben des Gesetzgebers sollen in solchen grenzüberschreitenden Fällen die federführende und die betroffenen Aufsichtsbehörden mit dem Ziel einer einheitlichen Bewertung des Sachverhalts zusammenarbeiten.
Wenn sich jedoch unterschiedliche rechtliche Bewertungen der federführenden und der betroffenen Aufsichtsbehörden nicht ausräumen lassen, wird mit dem sog. Kohärenzverfahren ein recht komplizierter Abstimmungsprozess vor dem Europäischen Datenschutzausschuss in Gang gesetzt. Das ist ein Gremium der Europäischen Union, in dem die Leiter aller europäischen Aufsichtsbehörden vertreten sind. In diesem Kohärenzverfahren entscheidet der Europäische Datenschutzausschuss die Sach- und Rechtslage verbindlich und endgültig. Lediglich dem EuGH steht es dann noch zu, diese Entscheidung aufzuheben.
Abgesehen von dem geschilderten Streitbeilegungsverfahren hat der Europäische Datenschutzausschuss aber auch noch zahlreiche weitere Befugnisse, die der Sicherstellung der einheitlichen Anwendung der DSGVO in den Mitgliedstaaten dienen. So kann er u.a. allgemeine Leitlinien und Empfehlungen zur Anwendung der Verordnung bereitstellen und damit das Ziel eines einheitlichen Datenschutzes in der EU fördern.
Im Ergebnis führt die Bindung der nationalen Aufsichtsbehörden an die Entscheidungen des Europäischen Datenschutzausschusses zwar wieder zu einer Einschränkung der Unabhängigkeit der einzelnen Behörden. Vor dem Hintergrund der Sicherstellung einer einheitlichen Rechtsanwendung innerhalb der Europäischen Union erscheint dieser Autonomieverlust indes verschmerzbar.
6. Befugnisse der Aufsichtsbehörden/Sanktionsmöglichkeiten
Da es die Aufgabe der nationalen Aufsichtsbehörden ist, einen Beitrag zur einheitlichen Anwendung der DSGVO innerhalb der Union zu leisten, stehen ihnen auch vielfältige Möglichkeiten zu, Verstöße gegen die DSGVO aufzuklären und zu sanktionieren.
Ich möchte jetzt nur kurz auf die in der DSGVO als sog. Abhilfebefugnisse bezeichneten Maßnahmen eingehen, da diese die datenverarbeitenden Stellen am stärksten belasten und die Gerichte am ehesten betreffen:
Die verschiedenen Sanktionsstufen gegenüber den Datenverarbeitern reichen von der Warnung, dass eine beabsichtigte Verarbeitung gegen das Datenschutzrecht verstößt, bis hin zur Untersagung einer Datenverarbeitung.
Ein Novum in Deutschland ist, dass die Aufsichtsbehörden nicht nur gegenüber privatrechtlichen Datenverarbeitern, sondern auch gegenüber öffentlichen Stellen Anordnungen in Form von Verwaltungsakten erlassen können. Bislang konnten hier nur Beanstandungen ausgesprochen werden, die gegenüber den Adressaten jedoch keine Verpflichtung zur Befolgung enthielten.
——————–
Zusätzlich oder anstelle der geschilderten verwaltungsrechtlichen Maßnahmen sieht die DSGVO vor, dass die Aufsichtsbehörden auch Geldbußen bei Verstößen gegen datenschutzrechtliche Bestimmungen verhängen dürfen. Dabei ist der Bußgeldrahmen deutlich erhöht worden. Während bisher die maximale Bußgeldhöhe 300.000 Euro betrug, können nunmehr bei schweren Datenschutzverstößen Bußgelder von bis zu 20 Mio. Euro bzw. 4 % des weltweiten Jahresumsatzes eines Unternehmens verhängt werden, je nachdem welcher Betrag höher ist. Das Bußgeldregime der DSGVO orientiert sich in diesem Zusammenhang an den Regelungen des europäischen Kartellrechts, wo zur unmittelbaren Gewinnabschöpfung bereits seit langem Bußgelder gegen Unternehmen auf der Basis ihres Umsatzes festgesetzt werden. Dies soll nun auch im Datenschutzrecht gelten, damit es den Unternehmen gerade nicht mehr lukrativ erscheinen soll, Datenschutzverstöße bewusst einzukalkulieren.
Gegenüber Behörden ist die Verhängung von Bußgeldern in Deutschland aber weitgehend ausgeschlossen worden.
7. Rechtsschutzmöglichkeiten
Die Datenschutzaufsichtsbehörden bieten auf der einen Seite Rechtsschutzmöglichkeiten für die betroffenen Personen, auf der anderen Seite besteht natürlich auch Rechtsschutz gegen Maßnahmen der Aufsichtsbehörden.
a) Rechtsschutz durch die Aufsichtsbehörde
Die von einer Datenverarbeitung betroffenen Personen können ihre Rechte – neben zivilrechtlichen Ansprüchen, die ich hier außen vor lassen möchte – unter Einbindung der Aufsichtsbehörden geltend machen und damit auch Sanktionen gegenüber den Datenverarbeitern durchsetzen.
Betroffene Personen haben – wie auch bisher schon – ein Beschwerderecht bei der Aufsichtsbehörde, wenn sie der Ansicht sind, in ihren Rechten verletzt zu sein. Während sie aber bislang diese Beschwerde immer bei der Behörde am Sitz des Unternehmens einreichen mussten, steht es ihnen nunmehr frei, an welche Aufsichtsbehörde sie sich wenden. Dies ist insbesondere dann von Vorteil, wenn ein mutmaßlicher Verstoß durch ein Unternehmen erfolgt, das in einem anderen Mitgliedstaat ansässig ist. Die betroffene Person muss sich dann nicht in einer ihr möglicherweise fremden Sprache an die dortige Aufsichtsbehörde wenden, sondern kann ihre Beschwerde bei „ihrer“ innerstaatlichen Aufsichtsbehörde vorbringen.
Den Betroffenen steht nunmehr auch ausdrücklich gerichtlicher Rechtsschutz gegenüber den Aufsichtsbehörden vor, wenn sich die Aufsichtsbehörde überhaupt nicht oder nicht innerhalb von drei Monaten mit einer Beschwerde befasst.
Letzteres ist neu, denn bislang wurden die Aufsichtsbehörden eher als eine Petitionsstelle für die Betroffenen angesehen, mit der Folge, dass diese in der Regel keinen Anspruch auf ein Tätigwerden der Behörde hatten.
b) Rechtsschutz gegen Entscheidungen der Aufsichtsbehörde
Natürlich hat auch jede natürliche oder juristische Person, gegen die eine Aufsichtsbehörde einen Bußgeldbescheid oder einen Verwaltungsakt erlassen hat, die Möglichkeit, hiergegen gerichtlich vorgehen.
Soweit es sich nicht um Bußgeldverfahren handelt, ist gegen Maßnahmen der Aufsichtsbehörden der Verwaltungsrechtsweg gegeben.
Beruht eine im Rahmen eines Rechtsstreits angegriffene Maßnahme einer Aufsichtsbehörde auf einer bindenden Entscheidung des Europäischen Datenschutzausschusses, hat das angerufene nationale Gericht jedoch nicht die Befugnis, diesen Beschluss des Ausschusses aufzuheben. Vielmehr muss das nationale Gericht, wenn es den Beschluss für nichtig hält, diese Angelegenheit dem EuGH vorlegen.
Schließlich verpflichtet die DSGVO die nationalen Gerichte auch dazu, sich mit Gerichten anderer Mitgliedstaaten in Kontakt zu setzen, wenn sie davon Kenntnis erlangen bzw. Anlass zu der Vermutung haben, dass bei einem dortigen Gericht ein Verfahren zu demselben Gegenstand in Bezug auf die Verarbeitung durch denselben Verantwortlichen anhängig ist. Das später angerufene Gericht kann das Verfahren aussetzen oder sich zugunsten des zuerst angerufenen Gerichts für unzuständig erklären.
7. Ausblick
Ob die umfangreichen neue Befugnisse der Aufsichtsbehörden und die Instrumentarien zur Kooperation tatsächlich dazu führen werden, dass die DSGVO künftig europaweit einheitlich ausgelegt werden wird, wird sich erst in den nächsten Jahren zeigen.
Insbesondere muss man abwarten, wie sich angesichts der zahlreichen nationalen Regelungsbefugnisse eine einheitliche Auslegung der DSGVO herausbilden wird. Hier werden die Aufsichtsbehörden und v.a. die Gerichte die zahlreichen teilweise sehr abstrakt formulierten Regelungen der DSGVO auslegen und präzisieren müssen. Durch die Vorlagemöglichkeit beim EuGH wird aber besonders diesem Gericht eine wichtige rechtsvereinheitlichende Funktion zukommen.
Insgesamt aber bin ich optimistisch, dass – nicht zuletzt aufgrund der abschreckenden Sanktionsmechanismen der DSGVO – das erhoffte Ziel eines hohen Datenschutzniveaus innerhalb Europas erreicht werden kann. Und dies auch mit Blick auf die großen Player wie Facebook und Co, die ja auch den europäischen Markt beherrschen und sich nunmehr auch an das europäische Recht halten müssen.
Und es sieht so aus, als ob das europäische Datenschutzrecht auch in anderen Teilen der Welt als Vorbild dient. Dies zeigt sich gerade in dem US-Bundesstaat Kalifornien, in dem jüngst ein Datenschutzgesetz verabschiedet wurde, welches sich die europäischen Datenschutzregelungen eindeutig zum Vorbild nimmt.