Menu Expand

Der Europäische Datenschutzverbund

Strukturen, Legitimation, Rechtsschutz

Kawohl, Claudia

Schriften zum Europäischen Recht, Vol. 209

(2022)

Additional Information

Book Details

Pricing

About The Author

Claudia Kawohl studierte Rechtswissenschaften an der Universität des Saarlandes. Nach dem ersten juristischen Staatsexamen absolvierte sie ihre Promotion unter der Betreuung von Professor Dr. Jan Henrik Klement an der Universität des Saarlandes. Während dieser Zeit arbeitete sie zunächst als wissenschaftliche Mitarbeiterin an dessen Lehrstuhl für Staats- und Verwaltungsrecht, bevor sie anschließend als wissenschaftliche und administrative Mitarbeiterin am CISPA – Helmholtz-Zentrum für Informationssicherheit in Saarbrücken tätig war. Seit 2020 ist sie Rechtsreferendarin am Landgericht Zweibrücken.

Abstract

Die EU-Datenschutzgrundverordnung steht im Blickpunkt der Rechtswissenschaft, wobei die verwaltungsorganisationsrechtlichen Regelungen bisher jedoch kaum beleuchtet wurden. Claudia Kawohl zeigt, dass nicht in den materiell-rechtlichen Regelungen, sondern gerade in der grundlegend neustrukturierten Datenschutzaufsicht aber der eigentliche Innovationsgehalt der Verordnung liegt. Ausgehend vom allgemeinen Konzept des Europäischen Verwaltungsverbundes unterzieht die Arbeit die Akteure und Verfahren einer detaillierten Analyse und beantwortet dabei zahlreiche rechtsdogmatische Fragen. Auf dieser Grundlage wendet sie sich aus einer unionsverfassungsrechtlichen Perspektive verbundstypischen Gefährdungen für rechtsstaatliche Sicherungen und der demokratischen Legitimation zu und untersucht dabei vor allem das Konzept der Unabhängigkeit der Datenschutzaufsicht. Die Arbeit leistet damit nicht nur einen Beitrag zu einer kohärenten und primärrechtskonformen Weiterentwicklung des Datenschutzrechts, sondern auch des europäischen Verwaltungsrechts insgesamt.

Die Arbeit wurde mit dem Wissenschaftspreis 2021 der Gesellschaft für Datenschutz und Datensicherheit e. V. (GDD) ausgezeichnet.
»The Integrated European Data Protection Administration. Structures, Legitimacy, Legal Protection«: With the adoption of the EU General Data Protection Regulation, data protection supervision was fundamentally restructured. Claudia Kawohl shows that the actual innovative content of the regulation does not lie in the substantive regulations, but rather in these administrative organization regulations. Starting from the general concept of the European integrated administration, the dissertation subjects the new administrative structure to a detailed analysis and examines it for typical threats to the rule of law and democratic legitimacy.

Table of Contents

Section Title Page Action Price
Vorwort 7
Inhaltsverzeichnis 13
Abkürzungsverzeichnis 22
Einleitung 25
A. Ausgangspunkt der Untersuchung: Die Neustrukturierung der Datenschutzaufsicht als eigentliche Innovation der Datenschutz-Grundverordnung 25
B. Gegenstand und These der Untersuchung: Die Datenschutzaufsicht als Verwaltungsverbund 33
C. Gang der Untersuchung 35
Erster Teil: Der „Europäische Verwaltungsverbund” als Verwaltungskonzept im Unionsrecht 37
A. Entwicklung des Begriffes 37
B. Das Konzept des Europäischen Verwaltungsverbundes als Ordnungsidee 40
C. Primärrechtliche Verankerung 45
D. Einordnung des Verbundverwaltungsrechts in das Europäische Verwaltungsrecht 50
E. Grundlegende Formen der Kooperation 53
I. Kooperation als Leitidee des Verbundes 53
II. Horizontale und vertikale Kooperation 56
III. Erscheinungsformen 57
1. Informationelle Kooperation 59
2. Operative Kooperation 61
3. Prozedurale Kooperation 63
4. Institutionelle Kooperation in Gremien und Behördennetzwerken 66
F. Der Verbund oder die Verbünde? 68
I. Verschiedene Verwendungsmöglichkeiten des Begriffs „Verwaltungsverbund” 68
II. Typisierung von Verbünden 69
1. Typisierung nach Erscheinungsformen der Kooperation 69
2. Typisierung nach Verwaltungsaufgabe 70
3. Eigene Ansätze zur Typisierung 74
4. Alternative: Gleitende Skala 75
G. Bedeutung des Konzepts des Verwaltungsverbundes für das Europäische Verwaltungsrecht 76
Zweiter Teil: Die Datenschutzaufsicht als Verwaltungsverbund 79
A. Hintergrund der neuen Regelungen 79
B. Ausgangsthese: Die Datenschutzaufsicht als Verwaltungsverbund 82
C. Terminologie: „Datenschutzverbund” oder „Aufsichtsverbund”? 83
D. Der Datenschutzverbund als Metamorphose bekannter und neuer Verbundelemente 85
I. Horizontale Zentralisierung im Falle einer grenzüberschreitenden Datenverarbeitung: Das „One-Stop-Shop”-Prinzip 85
II. Die Akteure der Datenschutzaufsicht 89
1. Die mitgliedstaatlichen Datenschutzaufsichtsbehörden 89
a) Grundsatz des dezentralen Vollzugs in der Datenschutz-Grundverordnung 90
b) „Völlige Unabhängigkeit” der Aufsichtsbehörden als wesentliches Element des Datenschutzrechts 91
c) Behördennetzwerk 95
2. Der Europäische Datenschutzausschuss 100
a) Grundlagen 100
b) Rechtsnatur 102
aa) Komitologie- oder sonstiger Ausschuss 103
bb) Netzwerk 105
cc) Europäische Agentur 108
(1) Ausgangsproblematik: Fehlendes gesetzliches Leitbild 109
(2) Agenturtypische Merkmale 113
(3) EDSA als Agentur? 116
3. Die Europäische Kommission 119
III. Informationelle Kooperation 121
1. Allgemeine Pflicht zum durchgängigen Informationsaustausch 121
2. Punktuelle Informationspflichten 121
IV. Operative Kooperation: Gemeinsame Maßnahmen 122
1. Grundsätze 124
2. Teilnahmerecht und Einladungspflicht im Falle grenzüberschreitender Datenverarbeitungen 126
3. Art. 62 Abs. 3 DS-GVO: Ausübung von Hoheitsbefugnissen auf fremdem Hoheitsgebiet 128
a) Art. 62 Abs. 3 S. 1 Var. 1 DS-GVO: Mandat oder Delegation? 131
b) Art. 62 Abs. 3 S. 1 Var. 2 DS-GVO: Exterritoriale Befugnisausübung 133
4. Verantwortung und Haftung 136
V. Prozedurale Kooperation 137
1. Art. 61 DS-GVO 137
a) Gegenseitige Amtshilfe 137
b) Vorkehrungen für gemeinsame Zusammenarbeit 140
2. Artt. 60, 63ff. DS-GVO: Verfahren der Zusammenarbeit und Kohärenzverfahren 141
a) Das Verfahren der Zusammenarbeit 143
aa) Grundprinzipien der Zusammenarbeit 145
bb) Konsultationsverfahren 147
cc) Beschlusserlass und Umsetzungspflicht 151
(1) Zuständigkeits- und Verfahrensregelungen nach Art. 60 Abs. 7 bis 9 DS-GVO 151
(2) Wirkung und Rechtsnatur des Beschlusses 152
(3) Umsetzungspflicht nach Art. 60 Abs. 10 DS-GVO 158
dd) Praktische Bedeutung des Verfahrens 158
b) Das Kohärenzverfahren 159
aa) Stellungnahmeverfahren nach Art. 64 DS-GVO 161
(1) Differenzierung zwischen obligatorischen und fakultativen Stellungnahmen 162
(2) Abgabe von Stellungnahmen 163
(3) Rechtswirkungen von Stellungnahmen 164
bb) Streitbeilegungsverfahren nach Art. 65 DS-GVO 166
(1) Anwendungsfälle 166
(2) Beschlussfassung im EDSA 167
(3) Erlass des endgültigen Beschlusses 168
(4) Rechtswirkung des Beschlusses 168
cc) Dringlichkeitsverfahren nach Art. 66 DS-GVO 169
(1) Einstweilige Maßnahmen und Dringlichkeitsverfahren nach Art. 66 Abs. 1 und 2 DS-GVO 170
(2) Untätigkeitsbeschwerde nach Art. 66 Abs. 3 DS-GVO 173
dd) Vereinbarkeit des Kohärenzverfahrens mit der Unabhängigkeit der nationalen Aufsichtsbehörden 174
VI. Kooperation außerhalb grenzüberschreitender Datenverarbeitungen 179
VII. Fazit 181
E. Exkurs: Der Datenschutzverbund in der Praxis 182
Dritter Teil: Vereinbarkeit des Datenschutzverbundes mit der unionsrechtlichen Kompetenzordnung 195
A. Überblick 196
B. Kompetenzgrundlage für die Schaffung des Datenschutzverbundes 197
I. Anforderungen an eine Kompetenz zur Schaffung eines Verwaltungsverbundes 198
1. Administrative Kompetenzen der EU 199
2. Kompetenz zur Errichtung einer Europäischen Agentur 203
a) Art. 352 AEUV 205
b) Sachspezifische Einzelkompetenzen 208
c) Kritik 209
d) Eigene Stellungnahme: Erweiterung des Kompetenzenkatalogs notwendig 212
II. Art. 16 AEUV als sachspezifische Kompetenzgrundlage 214
1. Horizontale Kooperationsstrukturen 215
2. Vertikale Kooperation: Errichtung des Europäischen Datenschutzausschusses 216
a) Art. 16 AEUV als Kompetenzgrundlage? 216
b) Unabhängig i.S.d. Art. 16 Abs. 2 UAbs. 1 S. 2 AEUV 218
aa) Ausgangspunkt: Art. 69 DS-GVO 218
bb) Anwendbarkeit der EuGH-Rechtsprechung auf Art. 16 Abs. 2 UAbs. 1 S. 2 AEUV 219
cc) Auslegung der „völligen Unabhängigkeit” durch den EuGH 221
dd) Einordnung der Rechtsprechung des EuGH 224
ee) Anwendung der Rechtsprechung auf den EDSA 227
c) Fazit 231
C. Kompetenzausübungsschranken 233
I. Subsidiaritätsprinzip gemäß Art. 5 Abs. 3 EUV 234
1. Anwendbarkeit 234
2. Prüfungsmaßstab 236
3. Horizontale Verwaltungskooperation 238
4. Vertikale Verwaltungskooperation 241
a) Art. 65 Abs. 1 lit. a DS-GVO 243
b) Art. 65 Abs. 1 lit. b DS-GVO 245
c) Art. 65 Abs. 1 lit. c i.V.m. Art. 64 DS-GVO 246
d) Fazit 247
II. Verhältnismäßigkeitsgrundsatz gemäß Art. 5 Abs. 4 EUV 247
1. Anwendbarkeit 248
2. Prüfungsmaßstab 249
3. Verhältnismäßigkeit des Datenschutzverbundes 251
a) Geeignetheit 251
b) Erforderlichkeit 254
aa) Inhaltliche Erforderlichkeit 256
bb) Erforderlichkeit im Hinblick auf die Handlungsform 258
c) Angemessenheit 259
d) Fazit 260
III. Grundsatz des institutionellen Gleichgewichts 260
1. Begriffsdefinition 261
2. Die Meroni-Rechtsprechung des EuGH 262
a) Meroni-Kriterien 263
b) Anwendbarkeit auf Europäische Agenturen 264
c) Lockerung der ursprünglichen Meroni-Rechtsprechung 266
d) Abgrenzung unzulässiger Befugnisse mit politischer Tragweite von zulässigen sonstigen Befugnissen mit Ermessensspielraum 270
3. Anwendung der Meroni-Kriterien auf den EDSA 273
a) Formelle Kriterien 273
b) Materielle Kriterien 274
aa) Spannungsverhältnis der Unabhängigkeit des EDSA zur Meroni-Rechtsprechung 274
bb) Befugnisse im Einzelnen 278
(1) Verwaltungsmäßige Hilfsbefugnisse 278
(2) Erlass von soft law 278
(3) Unterstützung der Kommission 279
(4) Entscheidungsbefugnisse 280
(a) Befugnisse mit Tatbestandsermessen 280
(b) Beurteilung anhand des Grundsatzes des institutionellen Gleichgewichts 281
c) Fazit 285
IV. Prozedurale Vorgaben des Subsidiaritätsprotokolls 286
D. Ergebnis 287
Vierter Teil: Verbundstypische Gefährdungslagen im Datenschutzverbund 289
A. Verantwortungsklarheit und -diffusion 290
I. Mangelnde Verantwortungsklarheit als grundlegendes Strukturdefizit der Verbundstruktur 290
II. Verantwortungsklarheit im Datenschutzverbund 294
1. Verantwortlichkeit im Netzwerk der Aufsichtsbehörden 294
a) Bestimmung der beteiligten Aufsichtsbehörden 294
aa) Federführende Behörde gemäß Art. 56 Abs. 1 DS-GVO 295
bb) Betroffene Aufsichtsbehörden gemäß Art. 4 Nr. 22 DS-GVO 298
b) Verfahren der Zusammenarbeit 298
c) Gemeinsame Maßnahmen 301
d) Zwischenfazit 302
2. Verantwortlichkeit des EDSA 302
a) Streitbeilegungsverfahren 303
b) Stellungnahmen gegenüber den nationalen Aufsichtsbehörden 304
3. Fazit 305
B. Verbundstypische Herausforderungen demokratischer Legitimation 306
I. Verwaltungslegitimation in der Union 306
1. Das unionsrechtliche Demokratieprinzip 306
2. Grundmodell demokratischer Verwaltungslegitimation 308
3. Unional zulässige Legitimationsmechanismen 310
a) Übertragbarkeit des traditionellen monistischen Modells auf die Union 310
aa) Das „Demokratiedefizit” der Union 311
bb) Kritik am rein input-orientierten Modell 314
cc) Notwendigkeit der integrationsbezogenen Anpassung 317
b) Nicht input-orientierte Legitimationsmechanismen 320
aa) Legitimation durch Transparenz 321
bb) Legitimation durch Partizipation 323
cc) Legitimation durch Technokratie 325
dd) Legitimation durch Deliberation 326
c) Fazit 328
II. Demokratische Legitimation des Datenschutzverbunds 328
1. Legitimation der unabhängigen Datenschutzaufsicht 329
a) Das Unabhängigkeitsregime der Datenschutzaufsicht 330
aa) Sachlich-inhaltliches Legitimationsdefizit aufgrund von Unabhängigkeit 330
bb) Notwendigkeit einer unabhängigen Datenschutzaufsicht? 333
cc) Zwischenfazit 339
b) Legitimation der nationalen Datenschutzaufsichtsbehörden 340
aa) Institutionelle und funktionelle Legitimation 340
bb) Organisatorisch-personelle Legitimation 341
cc) Sachlich-inhaltliche Legitimation 341
dd) Legitimation durch Transparenz, Technokratie und Deliberation 342
ee) Hinreichendes Legitimationsniveau? 343
c) Legitimation des EDSA 347
aa) Institutionelle und funktionelle Legitimation 348
bb) Organisatorisch-personelle Legitimation 348
cc) Sachlich-inhaltliche Legitimation 349
dd) Legitimation durch Transparenz 354
ee) Legitimation durch Partizipation 355
ff) Legitimation durch Technokratie 356
gg) Legitimation durch Deliberation 357
hh) Hinreichendes Legitimationsniveau? 358
d) Ergebnis 360
2. Legitimation transnationaler Maßnahmen im Behördennetzwerk 361
a) Gemeinsame Maßnahmen 362
b) Verfahren der Zusammenarbeit 362
III. Fazit: Der integrationsbezogene „Legitimationsverbund” 366
C. Gerichtlicher Rechtsschutz und Haftung 367
I. Das Rechtsschutzsystem der Union 369
1. Das prozessuale Trennungsprinzip 369
2. Anwendung auf das Konzept eines Verwaltungsverbundes 372
a) Primärer und sekundärer Rechtsschutz 372
b) Beeinträchtigung der Garantie effektiven gerichtlichen Individualrechtsschutzes 374
aa) Effektiver Rechtsschutz im Unionsrecht 374
bb) Defizite in einer Verbundstruktur 376
II. Primärer Rechtsschutz im Datenschutzverbund 378
1. Ausgangspunkt: Art. 78 DS-GVO 378
2. Primärer Rechtsschutz im Horizontalverhältnis 380
a) Verfahren der Zusammenarbeit 380
aa) Endgültige Beschlüsse nach Art. 60 Abs. 7 bis 9 DS-GVO 380
(1) Unionsebene 381
(2) Mitgliedstaatliche Ebene 383
bb) Einsprüche und Stellungnahmen 385
b) Gemeinsame Maßnahmen 387
c) Interadministrative Rechtsstreitigkeiten 389
3. Primärer Rechtsschutz im Vertikalverhältnis 392
a) Beschlüsse des EDSA im Streitbeilegungsverfahren 392
aa) Unionsebene 392
(1) Rechtsschutzmodelle für Europäische Agenturen 393
(2) Aufsichtsbehörde als Klägerin 395
(a) Begriff der juristischen Person im Unionsrecht 397
(b) Streitstand in der Literatur 397
(c) Eigene Stellungnahme 400
(3) Betroffener als Kläger 404
bb) Mitgliedstaatliche Ebene 406
cc) Inzidenter Individualrechtsschutz im Wege des Vorabentscheidungsverfahren 407
dd) Auswirkungen auf die Gewährleistung eines effektiven Individualrechtsschutzes 408
(1) Gebot der Rechtswegklarheit 408
(2) Zugang zu Gericht 409
(3) Rechtzeitiger Rechtsschutz 411
(4) Fazit 412
b) Stellungnahmen des EDSA 412
aa) Unionsebene 413
(1) Privater als Kläger 413
(2) Aufsichtsbehörde als Klägerin 416
(a) Adressierte Aufsichtsbehörde 416
(b) Andere Aufsichtsbehörden 417
bb) Mitgliedstaatliche Ebene 418
cc) Inzidenter Individualrechtsschutz im Wege des Vorabentscheidungsverfahrens 418
c) Interadministrative Rechtsstreitigkeiten im Kohärenzverfahren 419
4. Fazit 420
III. Sekundärer Rechtsschutz im Datenschutzverbund 421
1. Materiellrechtliche Grundlagen 421
a) Haftung im Außenverhältnis 421
aa) Anspruchsgrundlagen 421
bb) Modell der Stellvertreterhaftung 422
cc) Gemeinsame Haftung mehrerer Akteure im Verbund 426
b) Regress im Innenverhältnis 429
aa) Regress im Vertikalverhältnis 429
bb) Regress im Horizontalverhältnis 433
2. Sekundärer Rechtsschutz im Horizontalverhältnis 434
a) Verfahren der Zusammenarbeit 434
b) Amtshilfe 436
c) Gemeinsame Maßnahmen 438
3. Sekundärer Rechtsschutz im Vertikalverhältnis 440
a) Streitbeilegungsverfahren 440
b) Stellungnahmeverfahren 442
IV. Das Modell des Rechtsschutzverbundes 446
Schluss 453
Literaturverzeichnis 457
Sachverzeichnis 480