Struktur und Inhalt
496
Die DSGVO ist ein umfangreiches und komplexes Regelwerk, das aus 99 Artikeln in 11 Kapiteln besteht und durch 173 Erwägungsgründe eingeleitet wird. Die Regelungsbereiche der DSGVO lassen sich grob unterteilen in Allgemeines und Grundsätzliches (Kapitel I und II), Rechte Betroffener und Pflichten Verantwortlicher (Kapitel III und IV), Datenübermittlung (Kapitel V), Aufsicht und Kontrolle (Kapitel VI und VII), Rechtsschutz und Rechtsdurchsetzung (Kapitel VIII) sowie besondere und abschließende Bestimmungen (Kapitel IX bis XI).
497
Die Bestimmungen der DSGVO konkretisieren das primärrechtlich verbürgte Grundrecht auf den Schutz personenbezogener Daten. Dabei festigen und verstärken die in Kapitel II formulierten Grundsätze den hergebrachten Datenschutzstandard, indem sie unterschiedlichste Bedingungen an die Rechtmäßigkeit von Datenverarbeitungen bzw. eine für die Datenverarbeitung im Übrigen erforderliche Einwilligung knüpfen und unter den Vorbehalt einer Zweckbindung stellen.
498
Deutlich fortschrittlicher als der bisherige Standard zeigt sich die DSGVO mit ihren Betroffenenrechten (Kapitel III). Hier werden umfangreiche Informationspflichten für Verwender und Ansprüche auf Benachrichtigung und Löschung für Betroffene formuliert. In diesem Zusammenhang ist auch das viel bemühte „Recht auf Vergessenwerden“ relevant, das als solches ausdrücklich nicht nur in den Erwägungsgründen Nr. 65, 66 und 156 genannt wird, sondern auch Bestandteil im Klammerzusatz zu der amtlichen Überschrift von Art. 17 DSGVO ist. In dieser Norm zeigt sich der wahre Gehalt dieses Rechts: Es handelt sich tatsächlich um eine besondere Form eines Anspruchs auf Löschung personenbezogener Daten. Neu ist in diesem Zusammenhang eine über die bloße Datenlöschung hinausgehende Pflicht von Verantwortlichen, bei vorheriger öffentlicher Zugänglichmachung betroffener Daten Vorkehrungen (auch technischer Art) dafür zu treffen, dass auf eine Datenlöschung durch Dritte hingewirkt wird (Art. 17 Abs. 2 DSGVO). Dies sind letztlich erweiterte Informationspflichten darüber, dass die entsprechende Datennutzung nunmehr unzulässig ist. Es wird Aufgabe der Rechtsprechung sein, Inhalt und Reichweite dieser Pflicht abzustecken und damit dem „Recht auf Vergessenwerden“ Konturenschärfe zu verleihen.
499
Schließlich bekräftigt auch die DSGVO i.R. ihrer Kontrollbestimmungen das Institut des Datenschutzbeauftragten (Art. 37 ff.). Damit wird für jedes auf dem Binnenmarkt tätige Unternehmen mit Berührungspunkten zu personenbezogenen Daten die Pflicht statuiert, dauerhaft die Position eines Datenschutzbeauftragten zu besetzen.
500
Neben den umfangreich statuierten materiell- und verfahrensrechtlichen Ausgestaltungen des Grundrechts auf den Schutz personenbezogener Daten verdient besonders die von der DSGVO ebenfalls berücksichtigte Durchsetzungsebene besondere Beachtung. Nicht nur wird ein eigener datenschutzrechtlicher Schadensersatzanspruch normiert (Art. 82), sondern es wird den zuständigen Datenschutzbehörden ein scharfer Sanktionsmechanismus an die Hand gegeben, um die Vorgaben der DSGVO auch gegenüber wirtschaftsmächtigen Unternehmen zur Durchsetzung zu bringen. Die in Art. 83 aufgeführten Tatbestände für die Verhängung von Geldbußen sind umfangreich, doch sind v.a. die zulässigen Sanktionshöhen entscheidend, die sich erstmals am unternehmerischen Umsatz orientieren. So gestattet Art. 83 Abs. 6 unter bestimmten Voraussetzungen die Verhängung von Geldbußen „im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs“. Erst ein solcher umsatzorientierter Sanktionsrahmen ermöglicht ein effektives Durchgreifen der Datenschutzbehörden, die zuvor gegenüber multinationalen Unternehmen wie Google oder Facebook strukturell deutlich unterlegen waren.
4. Anwendung und Ausblick
501
Wie weit sich die DSGVO auf die Rechtsanwendungspraxis insbesondere zwischen Privatpersonen auswirken und welche Konflikte sie dabei hervorrufen wird, lässt sich wenige Monate nach ihrem Geltungsbeginn noch nicht messen. Bereits jetzt (Stand: Juli 2018) ist aber erkennbar, dass die DSGVO in der öffentlichen Wahrnehmung äußerst präsent ist und unterschiedliche Reaktionen hervorruft, die zuweilen auf lückenhafter oder unscharfer Berichterstattung beruhen. Aus Sicht des Europäischen Datenschutzrechts ist einerseits das Ziel zu begrüßen, ein einheitlich hohes Datenschutzniveau in allen Mitgliedstaaten der Union zu schaffen. Andererseits bereiten die auch Privatpersonen (jedenfalls unterhalb der Schwelle zu Wirtschaftsunternehmen, d.h. vor allem selbständige Erwerbstätige und sogar gemeinnützige Vereinigungen) treffenden Pflichten zur Gewährleistung dieses Niveaus nicht wenigen Menschen Unbehagen, weil sie Zeit und Verantwortung in Anspruch nehmen sowie bei Schlechterfüllung zu Sanktionierungen führen können. Die behördliche und rechtsprechende Praxis wird daher v.a. im horizontalen Verhältnis noch auszutarieren haben, wie viele und wie umfangreiche Pflichten einzelnen Personen vernünftigerweise zuzumuten sind, um die Kehrseite solcher Pflichten – die auf informationeller Selbstbestimmung fußenden Rechte betroffener Personen – effektiv, aber nicht übermäßig zu gewährleisten.
D › Datenschutz, Europäischer (Björn Schiffbauer) › IV. Insbesondere „Safe Harbor“ und „Privacy Shield“
IV. Insbesondere „Safe Harbor“ und „Privacy Shield“
502
Im datenschutzrechtlichen Kontext wurde der Name „Safe Harbor“ im Zuge der gleichnamigen Entscheidung des EuGH (Urteil vom 6.10.2015, C-362/14 – Schrems/Data Protection Commissioner –) bekannt. Die Bezeichnung „Safe Harbor“ steht für eine vom US-Handelsministerium herausgegebene freiwillige Selbstverpflichtung US-amerikanischer Unternehmen zu Grundsätzen über den Schutz personenbezogener Daten. Auf Grundlage der Datenschutz-RL hat die Kommission mit ihrer Entscheidung 2000/520/EG vom 26.7.2000 den „Sicheren Hafen“ in das (heutige) Unionsrecht inkorporiert und festgestellt, dass das auf dieser Grundlage in den USA herrschende Datenschutzniveau angemessen sei. Der EuGH jedoch hat 15 Jahre später diese Entscheidung für ungültig erklärt, weil „Safe Harbor“ gerade kein mit den unionsrechtlichen Vorgaben vergleichbares Datenschutzniveau gewährleistet.
503
Als Reaktion auf das Safe-Harbor-Urteil des EuGH wurde zwischen der EU und den USA eine Folgevereinbarung ausgearbeitet, die den Namen „EU-US Privacy Shield“ trägt. Sie implementiert ein System der Selbstzertifizierung, wonach sich US-amerikanische Organisationen zu einem Katalog von Datenschutzgrundsätzen verpflichten, die vom Handelsministerium der USA herausgegeben wurden. Vom System (jedoch nicht vom Inhalt) her unterscheidet sich der „Privacy Shield“ vom „Safe Harbor“ also allenfalls marginal. Diesen „Datenschutzschild“ hat die Kommission mit ihrem Durchführungsbeschluss (EU) 2016/1250 vom 12.7.2016 (weiterhin auf Grundlage der alten Datenschutz-RL) in das Unionsrecht überführt. Die einzelnen Bestandteile des „Privacy Shield“ sind diesem Beschluss als Anlage beigefügt.
D › Demokratieprinzip (Stephan Hobe)
Demokratieprinzip (Stephan Hobe)[1]
I.Entwicklung des Demokratieprinzips im Unionsrecht505, 506