Kohärenzsicherung im unionalen Datenschutzrecht und ihre Grenzen

von MATTHIAS ZUSSNER

Daten haben für wirtschaftlichen Wettbewerb von jeher einen besonderen Stellenwert gehabt. In Verknüpfung mit dem passenden Kontext verschaffen Daten den Teilnehmern des allgemeinen Wirtschaftsverkehrs erst jene Informationen, die in der Folge über wirtschaftlichen Erfolg entscheiden. Hinzu kommt im digitalen Zeitalter, dass im Windschatten technischer Innovationen auch wirtschaftliche Geschäftsmodelle selbst einem umfassenden Digitalisierungsprozess unterliegen. Herkömmliche körperliche Wirtschaftsgüter erhalten immer weitreichendere und bisweilen auch sehr persönliche Datenbezüge und werden schon jetzt von einem breiten Angebot digitaler Dienstleistungen flankiert.

Der freie Verkehr von Daten wird damit zur notwendigen Grundlage eines gemeinsamen europäischen Datenraums und bleibt damit zentraler Baustein eines funktionsfähigen digitalen Binnenmarkts. Doch hat die Politik längst begriffen, dass die Abschaffung jedweder Blockaden des freien Datenverkehrs paradoxerweise die Selbstauflösung der europäischen Digitalwirtschaft bedeuten würde. Verbraucher müssen erst das notwendige Vertrauen in die Sicherheit von Datenverarbeitungen haben, damit sie personenbezogene Daten preisgeben und die Vorteile der Digitalisierung konsumieren wollen. Gewisse Blockaden des freien Datenverkehrs, nämlich aus Gründen der Privatsphäre und des Datenschutzes, bilden so gesehen eine entscheidende Voraussetzung dafür, dass Daten im Rahmen des Wirtschaftsverkehrs überhaupt fließen werden; umso eher freilich, wenn Daten Grenzen überschreiten sollen und sich deren Folgeverarbeitungen in der Folge für gewöhnlich ungleich schwerer kontrollieren lassen.

Kohärenz im Datenschutzrecht

Zumal datenbezogenes Recht für den wirtschaftlichen Wettbewerb hochrelevant ist, besteht eine entscheidende Schwierigkeit darin, nicht nur ein jeweiliges Mindestniveau an Datenschutz in den einzelnen Mitgliedstaaten zu gewährleisten, sondern zur Erreichung gleicher Wettbewerbsbedingungen überhaupt eine einheitliche Anwendung des Datenschutzrechts innerhalb der gesamten Europäischen Union (EU) sicherzustellen. Als neuer allgemeiner EU-Rechtsrahmen für den Schutz personenbezogener Daten enthält die Datenschutz-Grundverordnung (DSGVO) zu diesem Zweck in Kapitel VII neue Regeln über die Zusammenarbeit der nationalen Datenschutzaufsichtsbehörden als Instrument der Sicherung ihrer kohärenten Anwendung. Neben der Ermöglichung gemeinsamer Maßnahmen von Aufsichtsbehörden verschiedener Mitgliedstaaten auf eigenem oder fremden Territorium wird nicht nur die Rechtsgrundlage zur wechselseitigen Amtshilfeverpflichtung reformuliert, sondern auch ein besonders intensives Abstimmungsverfahren „betroffener“ Aufsichtsbehörden im Fall von grenzüberschreitenden Datenverarbeitungen eingeführt. Flankierend wird mit dem sogenannten Kohärenzverfahren auch ein Konfliktlösungsmechanismus für auftretende Streitfälle im Netzwerk der europäischen Datenschutzaufsicht zur Seite gestellt, die durch verbindlichen Beschluss des Europäischen Datenschutzausschuss (ESDA) entschieden werden können.

Konstruktion(-sfehler) der Datenschutzaufsicht

Wie die Zusammenarbeit im Netzwerk der nationalen und europäischen Aufsichtsbehörden nach Maßgabe der DSGVO genau funktioniert, lässt sich indes erst durch Gesamtzusammenschau verschiedenster Einzelbestimmungen der DS-GVO erschließen. Diese sind aber nicht nur von einer Vielzahl an Quer-und Wechselverweisen geprägt und daher schwer „zugänglich“. Sie weisen vielmehr schon ganz grundsätzliche Konstruktionsfehler auf. Wenn die EU-Kommission in einer Mitteilung meint, dass „der neu geschaffene Mechanismus der federführenden Aufsichtsbehörde […] sicher[stellt], dass in der EU für die Aufsicht über ein Unternehmen, das Daten grenzüberschreitend verarbeitet, nur noch eine Datenschutzbehörde zuständig ist“ (COM[2017] 9 final, 2), muss dem schon dem Grunde nach zweierlei entgegengehalten werden: Erstens geht die DS-GVO von einem ganz bestimmten Begriff der Grenzüberschreitung aus, die nicht jeden Fall tatsächlicher Grenzüberschreitung erfasst und das one-stop-shop-Prinzip schon insofern stark „durchlöchert“. Zweitens sieht die DS-GVO zum Teil selbst dann Ausnahmen vom one-stop-shop-Prinzip vor, wenn eine Grenzüberschreitung in ihrem selbst festgelegten Sinn vorliegt. Wo das one-stop-shop-Prinzip nicht zur Anwendung kommt bleibt es daher bei der als überwunden geglaubten Zuständigkeitszersplitterung zwischen den nationalen Aufsichtsbehörden mit entsprechenden Folgefragen in Bezug auf Reichweite und Grenzen der Befugnisse nationaler Aufsichtsbehörden im Zusammenhang mit – jedenfalls tatsächlich – grenzüberschreitenden Datenverarbeitungen.

Die übrigen Regelungen der Zusammenarbeit nationaler Aufsichtsbehörden innerhalb und außerhalb des Kohärenzverfahrens greifen zum Teil stark ineinander, sind aber auch nicht durchwegs miteinander verknüpft bzw einander nachgeschaltet. Der ESDA ist in der Folge nicht zwingend, sondern eher punktuell nach Anrufung in den Prozess der Sicherstellung einer einheitlichen Rechtsanwendung involviert, womit sich das System der Zusammenarbeit der Aufsichtsbehörden nach Maßgabe der DSGVO insgesamt als ein eher ernüchternder Versuch der gegenstandsnotwendigen Sicherung gleichmäßiger Rechtsanwendung durch alternative Steuerungsmodi qualifizieren lässt. Von weiteren Detailproblemen ganz zu schweigen.

Zitiervorschlag: Matthias Zußner, Kohärenzsicherung im unionalen Datenschutzrecht und ihre Grenzen, JuWissBlog Nr. 67/2019 v. 19.6.2019, https://www.juwiss.de/67-2019/

Creative Commons Lizenzvertrag
Dieses Werk ist lizenziert unter einer Creative Commons Namensnennung – Nicht kommerziell – Keine Bearbeitungen 4.0 International Lizenz.

, , , , ,
Nächster Beitrag
Herausforderungen des Europäischen Katastrophenschutzrechts
Vorheriger Beitrag
Legitimation und Kontrolle von Ausschussgremien in EU-Freihandelsabkommen

Ähnliche Beiträge

JuWiss-Schwerpunktwoche zum Datenschutzrecht von ANNA SCHIMKE Mit der zunehmenden „Datafizierung“ nimmt auch die Verarbeitung personenbezogener Daten zu, so dass der Anwendungsbereich des Datenschutzrechts stetig erweitert wird. Gleichzeitig bestehen für eine Vielzahl dieser nunmehr auch datenschutzrechtlich erfassten Gebiete bereits Regelungen, in denen die Datenkategorie nicht im Vordergrund steht. Datenschutzrecht muss an…
Weiterlesen

„Naughty or Nice?“ – Wie die DSGVO dem Weihnachtsmann das Handwerk legt

Jan D. Lüttringhaus/Andreas Zöllner
Von JAN D. LÜTTRINGHAUS und ANDREAS ZÖLLNER Jahr für Jahr nimmt der Weihnachtsmann auf der ganzen Welt Kinderwünsche entgegen und legt artigen Kindlein mancherlei Gaben unter den Weihnachtsbaum. Was zunächst nach reinem Altruismus klingt, ist in Wahrheit ein einträgliches und – wie noch zu zeigen sein wird – obendrein illegales Geschäft:…
Weiterlesen
JuWiss-Schwerpunktwoche zum Datenschutzrecht von BARTHOLOMÄUS REGENHARDT Mit der DSGVO wird eine neue europäische Datenschutz-Vision geschaffen. Das modernisierte europäische Regelungssystem fußt auf der Erkenntnis, dass Datentransfers an nationalen Grenzen nicht Halt machen, sodass – wie auch beim Umweltschutz oder der Finanzmarktregulierung – einheitliche, staatenübergreifende Regelungen erforderlich sind. Bevor jedoch diese Vision…
Weiterlesen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Bitte füllen Sie dieses Feld aus.
Bitte füllen Sie dieses Feld aus.
Bitte gib eine gültige E-Mail-Adresse ein.