Kohärenzsicherung im unionalen Datenschutzrecht und ihre Grenzen

von MATTHIAS ZUSSNER

Daten haben für wirtschaftlichen Wettbewerb von jeher einen besonderen Stellenwert gehabt. In Verknüpfung mit dem passenden Kontext verschaffen Daten den Teilnehmern des allgemeinen Wirtschaftsverkehrs erst jene Informationen, die in der Folge über wirtschaftlichen Erfolg entscheiden. Hinzu kommt im digitalen Zeitalter, dass im Windschatten technischer Innovationen auch wirtschaftliche Geschäftsmodelle selbst einem umfassenden Digitalisierungsprozess unterliegen. Herkömmliche körperliche Wirtschaftsgüter erhalten immer weitreichendere und bisweilen auch sehr persönliche Datenbezüge und werden schon jetzt von einem breiten Angebot digitaler Dienstleistungen flankiert.

Der freie Verkehr von Daten wird damit zur notwendigen Grundlage eines gemeinsamen europäischen Datenraums und bleibt damit zentraler Baustein eines funktionsfähigen digitalen Binnenmarkts. Doch hat die Politik längst begriffen, dass die Abschaffung jedweder Blockaden des freien Datenverkehrs paradoxerweise die Selbstauflösung der europäischen Digitalwirtschaft bedeuten würde. Verbraucher müssen erst das notwendige Vertrauen in die Sicherheit von Datenverarbeitungen haben, damit sie personenbezogene Daten preisgeben und die Vorteile der Digitalisierung konsumieren wollen. Gewisse Blockaden des freien Datenverkehrs, nämlich aus Gründen der Privatsphäre und des Datenschutzes, bilden so gesehen eine entscheidende Voraussetzung dafür, dass Daten im Rahmen des Wirtschaftsverkehrs überhaupt fließen werden; umso eher freilich, wenn Daten Grenzen überschreiten sollen und sich deren Folgeverarbeitungen in der Folge für gewöhnlich ungleich schwerer kontrollieren lassen.

Kohärenz im Datenschutzrecht

Zumal datenbezogenes Recht für den wirtschaftlichen Wettbewerb hochrelevant ist, besteht eine entscheidende Schwierigkeit darin, nicht nur ein jeweiliges Mindestniveau an Datenschutz in den einzelnen Mitgliedstaaten zu gewährleisten, sondern zur Erreichung gleicher Wettbewerbsbedingungen überhaupt eine einheitliche Anwendung des Datenschutzrechts innerhalb der gesamten Europäischen Union (EU) sicherzustellen. Als neuer allgemeiner EU-Rechtsrahmen für den Schutz personenbezogener Daten enthält die Datenschutz-Grundverordnung (DSGVO) zu diesem Zweck in Kapitel VII neue Regeln über die Zusammenarbeit der nationalen Datenschutzaufsichtsbehörden als Instrument der Sicherung ihrer kohärenten Anwendung. Neben der Ermöglichung gemeinsamer Maßnahmen von Aufsichtsbehörden verschiedener Mitgliedstaaten auf eigenem oder fremden Territorium wird nicht nur die Rechtsgrundlage zur wechselseitigen Amtshilfeverpflichtung reformuliert, sondern auch ein besonders intensives Abstimmungsverfahren „betroffener“ Aufsichtsbehörden im Fall von grenzüberschreitenden Datenverarbeitungen eingeführt. Flankierend wird mit dem sogenannten Kohärenzverfahren auch ein Konfliktlösungsmechanismus für auftretende Streitfälle im Netzwerk der europäischen Datenschutzaufsicht zur Seite gestellt, die durch verbindlichen Beschluss des Europäischen Datenschutzausschuss (ESDA) entschieden werden können.

Konstruktion(-sfehler) der Datenschutzaufsicht

Wie die Zusammenarbeit im Netzwerk der nationalen und europäischen Aufsichtsbehörden nach Maßgabe der DSGVO genau funktioniert, lässt sich indes erst durch Gesamtzusammenschau verschiedenster Einzelbestimmungen der DS-GVO erschließen. Diese sind aber nicht nur von einer Vielzahl an Quer-und Wechselverweisen geprägt und daher schwer „zugänglich“. Sie weisen vielmehr schon ganz grundsätzliche Konstruktionsfehler auf. Wenn die EU-Kommission in einer Mitteilung meint, dass „der neu geschaffene Mechanismus der federführenden Aufsichtsbehörde […] sicher[stellt], dass in der EU für die Aufsicht über ein Unternehmen, das Daten grenzüberschreitend verarbeitet, nur noch eine Datenschutzbehörde zuständig ist“ (COM[2017] 9 final, 2), muss dem schon dem Grunde nach zweierlei entgegengehalten werden: Erstens geht die DS-GVO von einem ganz bestimmten Begriff der Grenzüberschreitung aus, die nicht jeden Fall tatsächlicher Grenzüberschreitung erfasst und das one-stop-shop-Prinzip schon insofern stark „durchlöchert“. Zweitens sieht die DS-GVO zum Teil selbst dann Ausnahmen vom one-stop-shop-Prinzip vor, wenn eine Grenzüberschreitung in ihrem selbst festgelegten Sinn vorliegt. Wo das one-stop-shop-Prinzip nicht zur Anwendung kommt bleibt es daher bei der als überwunden geglaubten Zuständigkeitszersplitterung zwischen den nationalen Aufsichtsbehörden mit entsprechenden Folgefragen in Bezug auf Reichweite und Grenzen der Befugnisse nationaler Aufsichtsbehörden im Zusammenhang mit – jedenfalls tatsächlich – grenzüberschreitenden Datenverarbeitungen.

Die übrigen Regelungen der Zusammenarbeit nationaler Aufsichtsbehörden innerhalb und außerhalb des Kohärenzverfahrens greifen zum Teil stark ineinander, sind aber auch nicht durchwegs miteinander verknüpft bzw einander nachgeschaltet. Der ESDA ist in der Folge nicht zwingend, sondern eher punktuell nach Anrufung in den Prozess der Sicherstellung einer einheitlichen Rechtsanwendung involviert, womit sich das System der Zusammenarbeit der Aufsichtsbehörden nach Maßgabe der DSGVO insgesamt als ein eher ernüchternder Versuch der gegenstandsnotwendigen Sicherung gleichmäßiger Rechtsanwendung durch alternative Steuerungsmodi qualifizieren lässt. Von weiteren Detailproblemen ganz zu schweigen.

Zitiervorschlag: Matthias Zußner, Kohärenzsicherung im unionalen Datenschutzrecht und ihre Grenzen, JuWissBlog Nr. 67/2019 v. 19.6.2019, https://www.juwiss.de/67-2019/

Creative Commons Lizenzvertrag
Dieses Werk ist lizenziert unter einer Creative Commons Namensnennung – Nicht kommerziell – Keine Bearbeitungen 4.0 International Lizenz.

, , , , ,
Nächster Beitrag
Herausforderungen des Europäischen Katastrophenschutzrechts
Vorheriger Beitrag
Legitimation und Kontrolle von Ausschussgremien in EU-Freihandelsabkommen

Ähnliche Beiträge

Von SÖNKE E. SCHULZ Mit Urteil vom 13.5.2014 hat der EuGH Google verpflichtet, auf Verlangen des Betroffenen bestimmte Ergebnisse aus dem Suchindex zu entfernen (sog. Recht auf Vergessenwerden). Die Bewertung des Urteils ist ambivalent – von einer überfälligen Durchsetzung des Datenschutzrechts ist ebenso die Rede wie von einer Bedrohung der Meinungsvielfalt…
Weiterlesen
von LORIN-JOHANNES WAGNER Freude, schöner Götterfunken Ja, es kam, wie es kommen musste! Die Vorratsdatenspeicherungsrichtlinie (VDSRL), das Produkt einer europäischen Sicherheitsvision, das die Kommunikation einer/s jeden in den Blick nimmt und zum Gegenstand permanenter Überwachung macht, ist, so zumindest Generalanwalt (GA) Villalón in seinen Schlussanträgen vom 12.12.2013 (EuGH, Rs C-293/12,…
Weiterlesen
von SEBASTIAN GOLLA und ANNA MICHEL Der polizeiliche Datenschutz befindet sich im Umbruch. Ein Grund hierfür ist die Umsetzung der Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates vom 27. April 2016 (Richtlinie Justiz und Inneres, im Folgenden: JIRL). Neben der gleichzeitig verabschiedeten Verordnung (EU) 2016/679 (DSGVO) ist die…
Weiterlesen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Bitte füllen Sie dieses Feld aus
Bitte füllen Sie dieses Feld aus
Bitte gib eine gültige E-Mail-Adresse ein.

Menü