(Faktische) Durchsetzungsdefizite im Vollzugssystem der DSGVO
BOOK
Cite BOOK
Style
Fleischer, L. (2025). (Faktische) Durchsetzungsdefizite im Vollzugssystem der DSGVO. Eine praxisbezogene Analyse unter besonderer Berücksichtigung der aufsichtsbehördlichen Warn- und Kontrollpraxis. Duncker & Humblot. https://doi.org/10.3790/978-3-428-59500-6
Fleischer, Lukas Emanuel. (Faktische) Durchsetzungsdefizite im Vollzugssystem der DSGVO: Eine praxisbezogene Analyse unter besonderer Berücksichtigung der aufsichtsbehördlichen Warn- und Kontrollpraxis. Duncker & Humblot, 2025. Book. https://doi.org/10.3790/978-3-428-59500-6
Fleischer, L (2025): (Faktische) Durchsetzungsdefizite im Vollzugssystem der DSGVO: Eine praxisbezogene Analyse unter besonderer Berücksichtigung der aufsichtsbehördlichen Warn- und Kontrollpraxis, Duncker & Humblot, [online] https://doi.org/10.3790/978-3-428-59500-6
Format
(Faktische) Durchsetzungsdefizite im Vollzugssystem der DSGVO
Eine praxisbezogene Analyse unter besonderer Berücksichtigung der aufsichtsbehördlichen Warn- und Kontrollpraxis
Internetrecht und Digitale Gesellschaft, Vol. 76
(2025)
Additional Information
Book Details
Pricing
About The Author
Der Autor hat Rechtwissenschaft an der Universität Passau studiert (1. Staatsexamen) und war für eineinhalb Jahre als wissenschaftlicher Mitarbeiter an der Forschungsstelle For..Net der Universität Passau bei Herrn Prof. Heckmann tätig. Seit dem erfolgreichen Abschluss des 2. Staatsexamens – ebenfalls in Passau – ist der Autor als Rechtsanwalt in einer auf Daten- und IT-Sicherheitsrecht spezialisierten Kanzleiboutique in München tätig.Abstract
Der Vollzug des europäischen Datenschutzrechts ist ein mittlerweile seit Jahrzehnten heiß diskutiertes Thema. Auch unter der Geltung der Datenschutz-Grundverordnung begegnet das Datenschutzrecht regelmäßig dem Vorwurf an einem »Vollzugsdefizit« zu leiden. Als »Hauptschuldigen« für die (angeblich) unzureichende Durchsetzung des Datenschutzrechts machen beachtliche Teile der Rechtsliteratur und -praxis die (Datenschutz-)Aufsichtsbehörden aus. Ob dieser Vorwurf gegenüber den deutschen (Datenschutz-)Aufsichtsbehörden gerechtfertigt ist, welche Ursachen und Abhilfemaßnahmen dafür in Betracht kommen und welche Rolle die übrigen Vollzugsakteure spielen, untersucht diese Arbeit.Eine eingehende Betrachtung des aufsichtsbehördlichen Rechtsvollzugs zeigt, dass die deutschen Aufsichtsbehörden bei öffentlichen Warnungen eine Rechtsdurchsetzung betreiben, die gesetzlich nicht ausdrücklich vorgesehen ist. Andererseits führen sie aufsichtsbehördliche Kontrollen nicht oder unzureichend durch, obwohl diese ausdrücklich im Gesetz vorgesehen sind.»(Factual) Enforcement Deficits in the GDPR’s Enforcement System. A Practical Analysis with Special Consideration of the Warning and Control Practices of the Supervisory Authorities«: This thesis deals with the enforcement system of data protection law under the European General Data Protection Regulation and examines whether European data protection law suffers from a practical enforcement deficit, particularly with regard to the enforcement practice of the German supervisory authorities. To this end, the author takes an empirical and legal view of the enforcement practice by the German supervisory authorities.
Table of Contents
| Section Title | Page | Action | Price |
|---|---|---|---|
| Vorwort | 7 | ||
| Inhaltsverzeichnis | 9 | ||
| Abbildungsverzeichnis | 23 | ||
| Einleitung | 25 | ||
| A. Einführung in die Thematik und Problemstellung | 25 | ||
| B. Themenabgrenzung und Gang der Untersuchung | 27 | ||
| Erster Teil: Grundlagen | 31 | ||
| A. Inhalte und Bedeutung des Rechtsvollzugs im deutschen Recht | 31 | ||
| I. Der Staat als Souverän des Rechtsvollzugs | 31 | ||
| 1. Die Bedeutung der Grundrechte für den Rechtsvollzug | 33 | ||
| a) Die Grundrechte als Rechte gegenüber dem Staat | 33 | ||
| b) Die Grundrechte im Privatrechtsschutz | 35 | ||
| 2. Die Rechtsschutzgarantie des Art. 19 Abs. 4 S. 1 GG | 36 | ||
| a) Die öffentliche Gewalt i. S. d. Art. 19 Abs. 4 S. 1 GG | 36 | ||
| b) Der Grundsatz des effektiven Rechtsschutzes | 39 | ||
| aa) Die Anfänge des effektiven Rechtsschutzes in der obergerichtlichen Rechtsprechung | 40 | ||
| bb) Inhaltliche Konkretisierung des effektiven Rechtsschutzes | 42 | ||
| (1) Die Effektivität der Rechtsweggarantie | 42 | ||
| (2) Die Wirksamkeit des Rechtsschutzes | 45 | ||
| (3) Das verfahrensrechtliche Beschleunigungsgebot | 46 | ||
| 3. Der Justizgewährungsanspruch | 48 | ||
| 4. Die Rolle der Gerichte und Richter bei der Durchsetzung des Rechts | 49 | ||
| a) Das Rechtsprechungsmonopol der Richter | 49 | ||
| b) Das Erfordernis einer wirksamen Gerichtsorganisation | 50 | ||
| II. Der außergerichtliche Rechtsvollzug | 51 | ||
| 1. Das Schlichtungsverfahren | 52 | ||
| a) Begriffsdefinition | 52 | ||
| b) Obligatorisches Schlichtungsverfahren | 53 | ||
| 2. Schiedsverfahren | 54 | ||
| 3. Mediation | 56 | ||
| B. Die Grenzen einzelstaatlicher, ordnungsrechtlicher Steuerung im europäischen Datenschutzrecht | 58 | ||
| I. Faktisches Anforderungsprofil an den europäischen Datenschutzvollzug | 58 | ||
| 1. Grenzüberschreitende Verarbeitungstätigkeiten | 59 | ||
| 2. Tägliches Wachstum der Nutzer- und Anbietergruppen elektronischer Devices | 60 | ||
| 3. Automatisierte Datenverarbeitung in jedem Lebensbereich | 61 | ||
| 4. Flexible Vernetzung automatischer Datenverarbeitungen | 62 | ||
| 5. Disruptive, neue Technologien als Multiplikatoren | 65 | ||
| II. Zwischenfazit | 67 | ||
| C. Die vollzugsrechtliche Entwicklung des deutschen und europäischen Datenschutzrechts bis zur DSGVO | 67 | ||
| I. Anfängliche landesrechtliche und bundesrechtliche Regelungskonzepte | 67 | ||
| 1. Das 1. Hessische Datenschutzgesetz (1970) | 67 | ||
| a) Die Datenverarbeitung in der öffentlichen Verwaltung | 68 | ||
| b) Die Datensicherung im Zentrum einer automatisierten Datenverarbeitung | 69 | ||
| c) Rechtsdurchsetzungsspezifische Regelungen | 69 | ||
| aa) Benennung eines (Landes-)Datenschutzbeauftragten | 69 | ||
| bb) Grundzüge des Betroffenenschutzes | 70 | ||
| 2. Das Bundesdatenschutzgesetz (1978) | 70 | ||
| a) Anwendungsbereich und wesentlicher materieller Inhalt – Überblick | 70 | ||
| b) Rechtsdurchsetzungsspezifische Regelungen | 72 | ||
| aa) Der Bundesbeauftragte für Datenschutz im öffentlichen Bereich | 72 | ||
| bb) Die Landesdatenschutzaufsichtsbehörden und die betrieblichen Datenschutzbeauftragten im nicht-öffentlichen Bereich | 72 | ||
| cc) Ausweitung der datenschutzrechtlichen Betroffenenrechte | 73 | ||
| II. Die Wirkkraft der Konvention 108 des Europarats | 73 | ||
| 1. Die Idee der Konvention 108 | 74 | ||
| 2. Die wesentlichen Regelungsinhalte der Konvention 108 – Überblick | 74 | ||
| 3. Vollzugsrechtliche Regelungen der Konvention 108 | 75 | ||
| III. Das Volkzählungsurteil des BVerfG | 76 | ||
| 1. Die materiell-rechtlichen Aussagen des Volkzählungsurteils | 76 | ||
| 2. Rechtsdurchsetzungsspezifische Aussagen des Volkzählungsurteils | 77 | ||
| IV. Die Europäisierung des Datenschutzrechts durch die Datenschutzrichtlinie – Richtlinie 95/46/EG | 78 | ||
| 1. Hintergründe der Datenschutzrichtlinie | 78 | ||
| 2. Der materiell-rechtliche Inhalt der DSRL – Überblick | 79 | ||
| 3. Durchsetzungsspezifische Regelungen der DSRL | 80 | ||
| a) Verpflichtung zur Einrichtung sog. Kontrollstellen | 80 | ||
| b) Konkretisierung und Erweiterung der Informationspflichten und Selbstdatenschutzes des Betroffenen | 81 | ||
| c) Datenschutzrechtliche Verhaltensregeln | 82 | ||
| d) Verbindliche Unternehmensregelungen | 82 | ||
| e) Betrieblicher Datenschutzbeauftragter | 82 | ||
| D. Rechtliche Grundprämissen des Datenschutzvollzugs unter der DSGVO | 83 | ||
| I. Forderung nach einem klar durchsetzbaren Rechtsrahmen | 84 | ||
| II. Ziel eines hohen und gleichwertigen Datenschutzniveaus | 84 | ||
| III. Forderung nach einer gleichmäßigen und europaweit einheitlichen Anwendung der DSGVO | 86 | ||
| IV. Vollzugskompetenzen im europäischen Datenschutzvollzug | 86 | ||
| 1. Beschränkte Vollzugsermächtigung der europäischen Kommission im europäischen Datenschutzrecht | 87 | ||
| a) Delegierte Rechtsakte, Art. 290 AEUV | 87 | ||
| b) Durchführungsrechtsakte, Art. 291 AEUV | 88 | ||
| 2. Der EDSA als ‚Förderer‘ der einheitlichen Rechtsanwendung | 88 | ||
| a) Vollzugsspezifische Aufgaben des EDSA | 89 | ||
| aa) Stärkung/Koordination der Zusammenarbeit zwischen den (europäischen) Aufsichtsbehörden | 89 | ||
| bb) Bereitstellung von Leitlinien, Empfehlungen und bewährten Verfahren | 89 | ||
| cc) Beratungsauftrag zu Gunsten der Kommission | 90 | ||
| dd) Förderung von datenschutzrechtlichen Verhaltensregeln und Akkreditierungen sowie Durchführung von Konsultationen | 91 | ||
| b) Zusammensetzung des EDSA | 91 | ||
| aa) Der Europäische Datenschutzbeauftragte | 92 | ||
| (1) Aufgabe der Zusammenarbeit mit den nationalen Aufsichtsbehörden | 92 | ||
| (2) Funktion des Sekretariats für den EDSA | 93 | ||
| bb) Expertengruppen | 93 | ||
| 3. Die Auslegungshoheit des EuGH | 94 | ||
| 4. Die Hauptvollzugslast bei den Mitgliedstaaten | 95 | ||
| Zweiter Teil: Die Systematik des Rechtsvollzugs im Datenschutz unter der DSGVO: Akteure und Instrumente beim Rechtsvollzug | 96 | ||
| A. Rechtsdurchsetzung durch die Aufsichtsbehörden der Mitgliedstaaten | 96 | ||
| I. Die Institutionalisierung und inhaltliche Ausgestaltung der Aufsichtsbehörden im europäischen Primär- und Sekundärrecht | 97 | ||
| 1. Rechtliche Leitplanken für die aufsichtsbehördliche Tätigkeit in der DSGVO | 98 | ||
| a) Aufsichtsbehördliche Tätigkeit in vollkommener Unabhängigkeit, Art. 52 Abs. 1 DSGVO | 98 | ||
| aa) Weisungsfreiheit und Verbot der Beeinflussung | 99 | ||
| bb) Vermeidung von Interessenkonflikten | 99 | ||
| cc) Angemessene Ausstattung | 100 | ||
| (1) Personelle Ausstattung | 100 | ||
| (a) Das haushaltsrechtlich zur Verfügung stehende Stellenvolumen | 101 | ||
| (aa) Deutlicher Personalanstieg bei den personalstärksten Aufsichtsbehörden | 102 | ||
| (bb) Moderater Personalanstieg bei den personalschwächeren Aufsichtsbehörden | 103 | ||
| (cc) Gesamtanstieg | 104 | ||
| (b) Die Stellenbesetzung in der Datenschutzpraxis | 105 | ||
| (2) Finanzielle Ausstattung | 106 | ||
| (a) Ungleiche finanzielle Mehrausstattung zwischen den kleinen und großen Aufsichtsbehörden | 106 | ||
| (b) Deutliche finanzielle Mehrausstattung der finanzschwächeren Aufsichtsbehörden | 108 | ||
| (c) Nahezu 50 %ige Gesamtmehrausstattung der Aufsichtsbehörden zwischen 2019 und 2023 | 109 | ||
| (d) Der Finanzzufluss in der Aufsichtspraxis | 109 | ||
| (3) Innerdeutsche Ungleichheit zwischen aufsichtsbehördlicher Ressourcenausstattung und Arbeitslast | 110 | ||
| (4) Gesamtdeutsche Unterversorgung (?) | 112 | ||
| dd) Personalhoheit | 113 | ||
| b) Das One-Stop-Shop-Prinzip auf europäischer Ebene | 114 | ||
| aa) Allgemeine Zuständigkeit der federführenden Aufsichtsbehörde | 115 | ||
| bb) Ausnahmsweise Zuständigkeit der betroffenen Aufsichtsbehörde | 115 | ||
| c) Das Kohärenzverfahren | 116 | ||
| aa) Handlungsoptionen des EDSA im Kohärenzverfahren | 117 | ||
| bb) Das „kleine“ Kohärenzverfahren im deutschen Recht | 118 | ||
| 2. Ausgestaltung der Aufsichtsbehörden durch das deutsche Recht | 119 | ||
| a) Gesetzgebungskompetenzen im Datenschutz | 119 | ||
| b) Zuständigkeiten der Landesdatenschutzaufsichtsbehörden | 120 | ||
| aa) Sachliche Zuständigkeit im nicht-öffentlichen Bereich | 120 | ||
| bb) Sachliche Zuständigkeit im öffentlichen Bereich | 121 | ||
| cc) Die örtliche Zuständigkeit bei mehreren Niederlassungen | 123 | ||
| dd) Bereichsspezifische Unzuständigkeiten | 124 | ||
| (1) Kirchen, Art. 91 DSGVO, Art. 137 Abs. 3 WRV i. V. m. Art. 140 GG | 124 | ||
| (2) Medien und Presse, Art. 85 DSGVO | 125 | ||
| (3) Rundfunk und Telemedien, Art. 85 DSGVO | 127 | ||
| (4) Gerichte, Art. 55 Abs. 3 DSGVO | 128 | ||
| c) Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) | 129 | ||
| d) Die Datenschutzkommission (DSK) | 130 | ||
| aa) Was ist die DSK? | 130 | ||
| bb) Was macht die DSK? | 130 | ||
| cc) Arbeitskreise und Expertengruppen der DSK | 131 | ||
| II. Aufgabenbereiche der Aufsichtsbehörden im Datenschutzvollzug | 132 | ||
| 1. Pflichtaufgaben der Aufsichtsbehörden (Art. 57 DSGVO) | 133 | ||
| a) Überwachung und Durchsetzung der Anwendung der DSGVO | 133 | ||
| b) Bearbeitung von Beschwerden | 134 | ||
| c) Kommunikation i. e. S. | 135 | ||
| d) Verhaltensregeln und Zertifizierungen | 137 | ||
| e) Internationale Datenübermittlungen | 138 | ||
| f) Datenschutz-Folgenabschätzung (DSFA) | 139 | ||
| 2. Sonstige Aufgabenzuweisungen außerhalb von Art. 57 DSGVO | 139 | ||
| a) Die Anfertigung von Tätigkeitsberichten (Art. 59 DSGVO) | 140 | ||
| b) Die Aufsicht im Bereich der Informationszugangsansprüche nach dem IFG-Bund, den Landes-IFG und den Landesdatenschutzgesetzen | 140 | ||
| c) Aufgabenzuweisungen durch die JI-Richtlinie | 142 | ||
| d) Sonstige bundes- und landesrechtliche Aufgabenzuweisungen – exemplarisch | 142 | ||
| III. Befugnisse der Aufsichtsbehörden | 143 | ||
| 1. Untersuchungsbefugnisse, Art. 58 Abs. 1 DSGVO | 144 | ||
| a) Informationsbereitstellung und Informationszugang | 145 | ||
| b) Aufsichtsbehördliche Datenschutzüberprüfungen | 146 | ||
| c) Zertifizierungsüberprüfung | 146 | ||
| d) Hinweismöglichkeit bei „vermeintlichen“ DSGVO-Verstößen | 147 | ||
| 2. Abhilfebefugnisse, Art. 58 Abs. 2 DSGVO | 147 | ||
| a) Die aufsichtsbehördliche Praxis im Bereich der präventiven Abhilfe – die Warnung, Art. 58 Abs. 2 lit. a DSGVO | 148 | ||
| aa) Die behördliche Warnpraxis | 148 | ||
| bb) Statistische Werte aus der Warnpraxis | 149 | ||
| b) Aufsichtsbehördliche Praxis nim Bereich der repressiven Abhilfemaßnahmen | 151 | ||
| aa) Die Verwarnung, Art. 58 Abs. 2 lit. b DSGVO | 151 | ||
| (1) Gesetzlicher Anwendungsbereich und Rechtsform | 152 | ||
| (2) Die behördliche Verwarnungspraxis | 153 | ||
| (3) Statistische Werte aus der Verwarnungspraxis | 154 | ||
| bb) Anweisungen und Anordnungen | 156 | ||
| (1) Entsprechungsanweisung und -anordnung | 156 | ||
| (2) Anpassungsanweisung | 157 | ||
| (3) Benachrichtigungsanweisung | 158 | ||
| (4) Beschränkungsanweisung | 158 | ||
| (5) Zertifizierungsanweisung | 160 | ||
| (6) Aussetzungsanordnung | 161 | ||
| (7) Statistische Werte aus der Anweisungs- und Anordnungspraxis | 162 | ||
| cc) Verhängung einer Geldbuße, Art. 58 Abs. 2 lit. i, 83 DSGVO | 164 | ||
| (1) Ausschluss der Geldbuße im öffentlichen Bereich und Anwendbarkeit im nicht-öffentlichen Bereich | 165 | ||
| (2) Rechtliche Anforderungen an die Verhängung einer Geldbuße | 166 | ||
| (3) Bußgeldzumessung | 166 | ||
| (a) Das DSK-Konzept bei der Bußgeldzumessung in Verfahren gegen Unternehmen | 167 | ||
| (b) Leitlinien des EDSA zur Berechnung von Geldbußen nach der DSGVO | 168 | ||
| (aa) Sachlicher und räumlicher Anwendungsbereich | 169 | ||
| (bb) Inhaltliche Berechnungsmethode | 169 | ||
| (4) Statistische Werte aus der Bußgeldpraxis | 171 | ||
| (5) Schwerpunkte der aufsichtsbehördlichen Bußgeldpraxis | 174 | ||
| 3. Beratungs- und Genehmigungsbefugnisse, Art. 58 Abs. 3 DSGVO | 176 | ||
| a) Gesetzliche Befugnisse zur Beratung Betroffener, verantwortlicher Stellen und Auftragsverarbeiter | 176 | ||
| aa) Fehlen einer ausdrücklichen Befugnisnorm für die Beratung Betroffener, Verantwortlicher und Auftragsverarbeiter | 177 | ||
| bb) Statistische Werte aus der Beratungspraxis der Aufsichtsbehörden | 178 | ||
| b) Die Möglichkeit zur Stellungnahme | 180 | ||
| c) Genehmigungsbefugnisse | 181 | ||
| B. Der Betroffene als zentraler Akteur des Rechtsvollzugs im Datenschutz | 182 | ||
| I. Selbstvollzug im Wege der Geltendmachung von Betroffenenrechten | 182 | ||
| 1. Formen der außergerichtlichen Durchsetzung der Betroffenenrechte | 183 | ||
| a) Die antragsgemäße Geltendmachung der Betroffenenrechte | 183 | ||
| b) Rechtsdurchsetzung durch förmliche Aufforderung | 183 | ||
| 2. Der Auskunftsanspruch als wesentlicher Bestandteil des Selbstvollzugs | 184 | ||
| a) Der Anspruch auf Bestätigung, Art. 15 Abs. 1 HS. 1 DSGVO | 184 | ||
| b) Der originäre Auskunftsanspruch, Art. 15 Abs. 1 HS. 2, Abs. 2 DSGVO | 185 | ||
| c) Das Recht auf Datenkopie, Art. 15 Abs. 1 S. 1, Abs. 3 DSGVO | 186 | ||
| 3. Der Auskunftsanspruch als ambivalentes Instrument des Selbstdatenschutzes | 187 | ||
| a) Präventives Element des Auskunftsanspruchs | 187 | ||
| b) Repressives Element des Auskunftsanspruchs | 188 | ||
| 4. Abnahme der Auskunftswilligkeit verpflichteter Stellen in der Datenschutzpraxis | 189 | ||
| a) Keine oder unzureichende Auskünfte der verantwortlichen Stellen | 190 | ||
| b) Aufsichtsbehördliche Abhilfemaßnahmen als Problemabhilfe | 191 | ||
| II. Das Beschwerderecht bei der Aufsichtsbehörde | 191 | ||
| 1. Restriktive Auslegung bei der Bestimmung des Inhalts und der Reichweite des Beschwerderechts | 192 | ||
| 2. Konkretisierungspflicht des Betroffenen | 194 | ||
| 3. Beschwerdebezogene Mitteilungen – Statistik | 195 | ||
| a) Beschwerdebezogene Mitteilungen als prägende Elemente der aufsichtsbehördlichen Tätigkeit | 195 | ||
| b) Uneinheitliche Auslegung des Beschwerdebegriffs in der aufsichtsbehördlichen Praxis | 195 | ||
| c) Beschwerdebezogene Mitteilungen im Verhältnis zwischen öffentlichem und nicht-öffentlichem Bereich | 198 | ||
| d) Inhaltliche Schwerpunkte der Beschwerdepraxis | 199 | ||
| III. Rechtswahrnehmung durch eine beauftragte Stelle, Art. 80 Abs. 1 DSGVO | 200 | ||
| 1. Keine Gewinnabsicht | 200 | ||
| 2. Wirksamer Gründungsakt | 200 | ||
| 3. Satzungsmäßige Ziele im öffentlichen Interesse | 201 | ||
| 4. (Neben-)Tätigkeit im Bereich des Schutzes von pbD | 201 | ||
| IV. Die Anrufung innerstaatlicher Gerichte | 201 | ||
| 1. Rechtsbehelfe gegen das Handeln der (Datenschutz-)Aufsichtsbehörden | 202 | ||
| a) Gerichtliche Überprüfbarkeit aufsichtsbehördlicher Maßnahmen nach Art. 78 Abs. 1 DSGVO | 202 | ||
| aa) Die Anfechtung aufsichtsbehördlicher Verwaltungsakte | 204 | ||
| bb) Die Verpflichtungsklage bei aufsichtsbehördlichen Abweisungen und auf Erteilung einer datenschutzrechtlichen Genehmigung | 205 | ||
| cc) Die Leistungs- und Feststellungklage gegen aufsichtsbehördliche Realakte | 206 | ||
| dd) Gerichtliche Überprüfung aufsichtsbehördlicher Bußgelder | 206 | ||
| b) Gerichtliche Prüfung bei Untätigkeit der (Datenschutz-)Aufsichtsbehörde, Art. 78 Abs. 2 DSGVO | 207 | ||
| aa) Sonderfall: Die unzulässige Beschwerde | 208 | ||
| bb) Untätigkeitsrüge durch Erhebung einer allg. Leistungsklage oder Verpflichtungsklage | 208 | ||
| c) Rechtsbehelfe gegen aufsichtsbehördliches Handeln in der Praxis – Statistik | 209 | ||
| 2. Gerichtliche Überprüfung von Datenverarbeitungen von Verantwortlichen oder Auftragsverarbeitern nach Art. 79 DSGVO | 209 | ||
| a) Die Klagebefugnis des datenschutzrechtlich Betroffenen | 210 | ||
| b) Der Verantwortliche und Auftragsverarbeiter als Rechtsbehelfsadressat | 210 | ||
| c) Klage auf Vornahme einer unvertretbaren Handlung und Schadensersatzklage | 212 | ||
| d) Unterlassungsanspruch (im einstweiligen Rechtsschutz) | 213 | ||
| aa) Ablehnende Ansicht | 214 | ||
| bb) Bejahende Ansicht | 215 | ||
| cc) Streitentscheid | 215 | ||
| dd) Rechtsgrundlagen des Unterlassungsanspruchs | 216 | ||
| (1) Herleitung aus nationalen Vorschriften | 216 | ||
| (2) Unmittelbare Ableitung aus der DSGVO | 217 | ||
| (3) Zwischenfazit | 217 | ||
| C. Rechtsdurchsetzung durch den Verantwortlichen und Auftragsverarbeiter | 218 | ||
| I. Unmittelbare Rechtsdurchsetzung durch die datenverarbeitenden Stellen | 218 | ||
| 1. Allgemeine Informationspflichten des Verantwortlichen | 218 | ||
| a) Die Bedeutung der datenschutzrechtlichen Pflichtinformationen für den Datenschutzvollzug | 219 | ||
| b) Der Vollzugsgehalt der Datenpannenmeldung an den Betroffenen, Art. 34 DSGVO | 220 | ||
| 2. Datenverarbeitungsbezogene Pflichten | 221 | ||
| a) Die Rechenschaftspflicht als Ausgangsnorm für die datenverarbeitungsbezogenen Pflichten | 221 | ||
| b) Gesetzliche Konkretisierung der Verantwortungsbedeutung | 222 | ||
| aa) Data protection by Design, Art. 25 Abs. 1 DSGVO | 223 | ||
| bb) Data protection by Default, Art. 25 Abs. 2 DSGVO | 224 | ||
| cc) TOMs, Art. 32 DSGVO | 225 | ||
| dd) Datenschutzfolgenabschätzung, Art. 35 DSGVO | 226 | ||
| c) Umsetzung datenverarbeitungsbezogener Pflichten in der Anwendungspraxis | 227 | ||
| aa) Das Standard-Datenschutzmodell (SDM-V. 3.0) | 228 | ||
| bb) ISO/IEC-Normreihe 27000 | 230 | ||
| cc) Die IT-Grundschutz-Methodik des BSI | 231 | ||
| dd) Praxishilfen ausgewählter Aufsichtsbehörden | 232 | ||
| (1) Die „Good Practice Check-Liste“ des BayLDA | 232 | ||
| (2) Der Prozess „ZAWAS“ des LfD Niedersachsen | 233 | ||
| II. Der kooperative Rechtsvollzug mit den Aufsichtsbehörden | 234 | ||
| 1. Data-Breach-Notification, Art. 33 DSGVO | 234 | ||
| a) Vollzugsrechtlicher Gehalt der Meldepflicht | 234 | ||
| b) Statistische Werte aus der Meldepraxis | 236 | ||
| c) Bereichsspezifische Datenpannenmeldungen | 237 | ||
| aa) Schwerpunkt der Datenpannenmeldungen im nicht-öffentlichen Bereich | 237 | ||
| bb) Der Arbeitnehmer als Hauptsicherheitsrisiko | 238 | ||
| cc) Wachsende Bedeutung von Fällen der Cyberkriminalität | 239 | ||
| dd) Der Verlust und Diebstahl personenbezogener Daten | 240 | ||
| 2. Regulierte Selbstregulierung der datenverarbeitenden Stelle | 240 | ||
| a) Begriffsdefinition der regulierten Selbstregulierung | 241 | ||
| aa) Regulierte Selbstregulierung als Mittelweg zwischen staatlicher und privater Regulierung | 241 | ||
| bb) Der Mehrwert der regulierten Selbstregulierung für den Datenschutzvollzug | 242 | ||
| b) Der interne DSB | 243 | ||
| aa) Der interne DSB als verpflichtende Selbstregulierungsmaßnahme | 243 | ||
| (1) Vollumfängliche Benennungspflicht im öffentlichen-Bereich | 243 | ||
| (2) Umfangreiche Benennungspflicht im nicht-öffentlichen Bereich | 243 | ||
| bb) Die ambivalente Funktion des internen DSB | 245 | ||
| (1) Die Rolle als ‚In-House-Aufsichtsbehörde‘ | 245 | ||
| (2) Die Rolle als ‚In-House-Berater‘ | 246 | ||
| cc) Wirkungsgrad des DSB in der Vollzugspraxis | 247 | ||
| (1) Quantitative und qualitative Unklarheiten | 247 | ||
| (2) Koordinierte Prüfung zur Stellung und den Aufgaben von Datenschutzbeauftragten des EDSA | 248 | ||
| c) Datenschutzrechtliche Verhaltensregeln | 250 | ||
| aa) Förderung des Datenschutzvollzugs durch Verhaltensregeln | 250 | ||
| bb) Staatlich regulatives Element bei der Genehmigung von Verhaltensregeln | 251 | ||
| cc) Die Überwachung von Verhaltensregeln durch akkreditierte Stellen | 252 | ||
| dd) Die Verhaltensregeln in der Datenschutzpraxis | 252 | ||
| (1) Geringe praktische Relevanz vor dem Inkrafttreten der DSGVO | 252 | ||
| (2) Gründe für diese Entwicklung in der Vergangenheit | 254 | ||
| (3) Vergeblicher Reanimationsversuch der Verhaltensregeln unter der DSGVO? | 255 | ||
| (4) Hemmung durch beachtlichen Kosten- und Personalaufwand | 256 | ||
| d) Datenschutzrechtliche Zertifizierungen | 257 | ||
| aa) Die Bedeutung der Zertifizierung für den Datenschutzvollzug | 258 | ||
| (1) Zertifizierung als Maßnahme der Transparenzsteigerung | 258 | ||
| (2) Auswirkungen des Transparenzgedankens auf die vollzugbeteiligten Akteure | 259 | ||
| bb) Begriffsbestimmung von Zertifizierung, Datenschutzsiegel und Datenschutzprüfzeichen | 259 | ||
| cc) Durchführung eines datenschutzrechtlichen Zertifizierungsverfahrens | 260 | ||
| dd) Staatlich regulatives Element bei datenschutzrechtlichen Zertifizierungsverfahren | 261 | ||
| (1) Umfassende regulative Einflussnahme bei der Eigenzertifizierung | 262 | ||
| (2) Umfangreiche regulative Einflussnahme bei der Fremdzertifizierung | 262 | ||
| ee) Zertifizierungen in der Anwendungspraxis der DSGVO | 263 | ||
| e) Binding Corporate Rules (BCR) | 264 | ||
| aa) Die Bedeutung der BCR für den Datenschutzvollzug | 264 | ||
| (1) BCR als Rechtsrahmen für den Nachweis geeigneter Garantien | 264 | ||
| (2) Mögliche Gestaltungsformen von BCR | 266 | ||
| (3) Anforderungen und Regelungsinhalte von BCR | 267 | ||
| bb) Staatlich regulatives Element bei der Ausarbeitung von BCR | 269 | ||
| cc) Vergleichbar hoher Stellenwert der BCR unter der DSLR | 269 | ||
| dd) BCR in der Anwendungspraxis der DSGVO | 270 | ||
| D. Kollektive Rechtsdurchsetzung | 271 | ||
| I. Eigeninitiative Rechtsdurchsetzung durch privilegierte Stelle nach Art. 80 Abs. 2 DSGVO | 271 | ||
| 1. Deutsches Verbandsklagerecht nach dem UKlaG und dem UWG unter Art. 80 Abs. 2 DSGVO | 272 | ||
| a) Entscheidung des EuGH in der Rs. C-319/20 v. 28.04.2022 | 273 | ||
| b) Verbleibende Unklarheiten in Bezug auf das Tatbestandsmerkmal einer Rechtsverletzung „infolge einer Verarbeitung“ | 275 | ||
| 2. Verbandsklagen nach dem VDuG | 275 | ||
| a) Die Abhilfeklage, §§ 1 Abs. 1 Nr. 1, 14 ff., 43 ff. VDuG | 276 | ||
| aa) Zulässigkeit der Abhilfeklage | 277 | ||
| bb) Ablauf des Abhilfeklageverfahrens | 277 | ||
| (1) Einstufiges Abhilfeverfahren | 277 | ||
| (2) Mehrstufiges Abhilfeverfahren | 278 | ||
| cc) Verbraucherbeteiligung | 279 | ||
| b) Die Musterfeststellungsklage, §§ 1 Abs. 1 Nr. 2, 41 f. VDuG | 279 | ||
| II. Mitbewerberklagen unter Art. 80 Abs. 2 DSGVO | 280 | ||
| III. Private Rechtsdienstleister bei der Durchsetzung von Datenschutzverstößen am Beispiel des Zessionsmodels | 281 | ||
| 1. Kein Fall des Art. 80 Abs. 1 und 2 DSGVO | 282 | ||
| 2. Keine Klagebefugnis außerhalb des Art. 80 DSGVO | 283 | ||
| Dritter Teil: Ausgewählte Vollzugsdefizite im Befugnisbereich der Aufsichtsbehörden | 285 | ||
| A. Außergesetzliche Befugniswahrnehmung am Beispiel der aufsichtsbehördlichen (Produkt-)Warnung gegenüber der Öffentlichkeit | 285 | ||
| I. Begriffsbestimmung staatlicher Öffentlichkeitsarbeit | 285 | ||
| 1. Abgrenzung zwischen formalen Staatshandeln und formfreier staatlicher Öffentlichkeitsarbeit | 286 | ||
| 2. Erscheinungsformen staatlicher Öffentlichkeitsarbeit | 287 | ||
| a) Klassisches Informationshandeln und lenkende Öffentlichkeitsinformation | 287 | ||
| aa) Die staatliche Warnung als verhaltenslenkendes und -steuerndes Informationshandeln | 289 | ||
| bb) Die öffentliche Warnung als staatliches Nudging | 290 | ||
| b) Abgrenzung anhand des zugrundliegenden Äußerungsauftrags | 292 | ||
| aa) Gesetzlich unregulierte Öffentlichkeitsarbeit | 292 | ||
| bb) Gesetzlich ausdrücklich bestimmte Öffentlichkeitsarbeit insb. im Verbraucherrecht | 293 | ||
| c) Abgrenzung anhand der Kommunikationsrolle der staatlichen Stelle bei der Öffentlichkeitsarbeit | 294 | ||
| aa) Aktive Öffentlichkeitsarbeit | 294 | ||
| bb) Passive Öffentlichkeitsarbeit | 295 | ||
| 3. Erscheinungsformen staatlicher Öffentlichkeitsarbeit durch die Datenschutzaufsichtsbehörden | 296 | ||
| a) Zweckbestimmung Kommunikationsmittel bei der praktischen Öffentlichkeitsarbeit der Aufsichtsbehörden | 296 | ||
| b) Die datenschutzrechtliche (Produkt-)Warnung als verhaltenslenkende Maßnahme der aktiven Öffentlichkeitarbeit der Aufsichtsbehörden | 297 | ||
| II. Rechtswidrigkeit der aktuellen aufsichtsbehördlichen (Produkt-)Warnpraxis im Datenschutz | 299 | ||
| 1. Anwendbarkeit der Grundrechte des GG | 299 | ||
| a) Aufsichtsbehördliche (Produkt-)Warnungen in „Durchführung“ der DSGVO | 299 | ||
| aa) Fehlende abschließende Regelung aufsichtsbehördlicher Produktwarnungen in der DSGVO | 300 | ||
| (1) Art. 59 S. 1 DSGVO | 301 | ||
| (2) Art. 57 Abs. 1 lit. b DSGVO | 302 | ||
| (3) Art. 58 Abs. 2 lit. a DSGVO | 302 | ||
| (4) Art. 58 Abs. 3 lit. b DSGVO | 303 | ||
| (a) Die begriffliche Geltung des aufsichtsbehördlichen Stellungnahmerechts für (Produkt-)Warnung | 303 | ||
| (b) Fehlende Bestimmtheit der Norm | 304 | ||
| bb) Die inhaltliche Ausgestaltung aufsichtsbehördlicher (Produkt-)Warnungen durch Mitgliedstaatliches Recht | 306 | ||
| (1) Meinungsstreit | 306 | ||
| (2) Streitentscheid | 308 | ||
| b) Eröffnung des Prüfmaßstabs anhand der Grundrechte nach dem GG und der GRCh | 308 | ||
| aa) Eröffnung des Anwendungsbereichs der Grundrechte der GRCh | 308 | ||
| bb) Primäre Anwendung der Grundrechte des GG | 309 | ||
| 2. Mögliche Grundrechtsbetroffenheit durch datenschutzrechtliche (Produkt-)Warnungen | 311 | ||
| a) Die Berufsausübungsfreiheit | 311 | ||
| b) Das Eigentumsrecht | 313 | ||
| aa) Das Recht auf Erhaltung des bestehenden Kundenstamms | 313 | ||
| bb) Das Recht auf Wahrung von Geschäfts- und Betriebsgeheimnissen | 313 | ||
| c) Das Unternehmerpersönlichkeitsrecht | 314 | ||
| 3. Die aufsichtsbehördliche (Produkt-)Warnung als Grundrechtseingriff | 314 | ||
| a) Kein Fall des klassischen Eingriffsbegriffs | 315 | ||
| b) Mittelbar-faktischer Eingriff vs. Beeinträchtigung des Gewährleistungsgehalts des Grundrechts | 315 | ||
| aa) Die Glykol- und die Osho-Entscheidung des BVerfG | 316 | ||
| bb) Die aufsichtsbehördliche (Produkt-)Warnung im Datenschutz als funktionales Äquivalent eines Grundrechtseingriffs | 318 | ||
| c) Übertragbarkeit der Rechtsprechung auf aufsichtsbehördliche Produktwarnungen im Datenschutz | 319 | ||
| 4. Fehlende Rechtsgrundlage im deutschen Datenschutzrecht | 320 | ||
| a) Keine Rechtsgrundlage im BDSG | 320 | ||
| b) Keine Rechtsgrundlage in den Landesdatenschutzgesetzen | 321 | ||
| aa) § 24 Abs. 2 HmbDSG | 322 | ||
| bb) § 21 Abs. 3 Nr. 1 S. 1 BremDSGVOAG | 322 | ||
| III. Anforderungen an die Rechtmäßigkeit aufsichtsbehördlicher Warnungen | 323 | ||
| 1. Vorliegen eines sachlichen Grundes für die (Produkt-)Warnung | 323 | ||
| a) Forderung einer großen Wahrscheinlichkeit einer Rechtsverletzung beim Gefahrenverdacht | 324 | ||
| b) Umfang der Maßnahmen zur Sachverhaltsaufklärung | 325 | ||
| 2. Vornahme der (Produkt-)Warnung durch die zuständige Aufsichtsbehörde im deutschen Raum | 326 | ||
| a) Sachliche Zuständigkeit des Bundes- und der Landesdatenschutzbeauftragten | 327 | ||
| b) Das Reichweitenproblem von (Produkt-)Warnungen bei der Bestimmung der örtlichen Zuständigkeit | 327 | ||
| c) Stellungnahme | 328 | ||
| 3. Beachtung des verfassungsrechtlichen Willkürverbots | 329 | ||
| a) Anforderungen des Gebots der Richtigkeit | 330 | ||
| aa) Fachliche und rechtliche Vertretbarkeit der (Produkt-)Warnung als Rechtsmeinung | 330 | ||
| bb) Eingeschränkte aufsichtsbehördliche Normverwerfungskompetenz (vermeintlich) europarechtswidriger nationaler Rechtsvorschriften | 332 | ||
| (1) Beschränkung auf evidente Rechtsverstöße | 333 | ||
| (2) Rechtsfolge für aufsichtsbehördliche Rechtsmeinungen | 334 | ||
| b) Anforderungen des Gebots der Sachlichkeit | 335 | ||
| aa) Unterlassen sachfremder Erwägungen | 335 | ||
| bb) Einhaltung des sachlich gebotenen Rahmens | 336 | ||
| c) Die Pflicht zur Korrektur | 337 | ||
| 4. Bestimmtheit der Rechtsgrundlage für aufsichtsbehördliche (Produkt-)Warnungen | 337 | ||
| a) Konkrete Zweckbestimmung | 338 | ||
| b) Inhaltliche Berechenbarkeit | 338 | ||
| c) Beschränkung des Ausmaßes der (Produkt-)Warnung | 338 | ||
| 5. Verhältnismäßigkeit i.Ü. | 339 | ||
| a) Erforderlichkeit | 339 | ||
| aa) Keine Pflicht zur vorherigen Anhörung des Warnungsbetroffenen nach § 28 Abs. 1 VwVfG (analog) | 340 | ||
| bb) Verfassungsrechtliche Herleitung einer Anhörungspflicht | 341 | ||
| cc) Entbehrlichkeit einer vorherigen Anhörung | 343 | ||
| dd) Keine vorrangige Pflicht zur Ergreifung repressiver Abhilfemaßnahmen nach Art. 58 Abs. 2 DSGVO | 343 | ||
| b) Angemessenheit | 344 | ||
| aa) Das Erfordernis einer Löschpflicht | 345 | ||
| (1) Einschlägige Verfassungsrechtsprechung im lebensmittelrechtlichen Kontext | 345 | ||
| (2) Wirksamkeit einer gesetzlichen Löschpflicht nach der Rechtsprechung des BVerfG | 345 | ||
| (3) Das Internet als informatorischer ‚WORM-Speicher‘ | 346 | ||
| (4) Beschränkte Geeignetheit einer statischen zeitlichen Befristung | 348 | ||
| bb) Zulässigkeit der namentlichen Nennung des Warnungsbetroffenen | 349 | ||
| cc) Veröffentlichung aufsichtsbehördlicher (Produkt-)Warnungen in den sozialen Medien | 350 | ||
| (1) Erhöhte Eingriffswirkung aufsichtsbehördlicher (Produkt-)Warnungen in den sozialen Netzwerken | 351 | ||
| (2) Die Einhaltung des Sachlichkeitsgebots bei aufsichtsbehördlichen (Produkt-)Warnungen in sozialen Netzwerken | 352 | ||
| B. Faktischer Befugnisnichtgebrauch durch die unzureichende Durchführung aufsichtsbehördlicher Kontrollen | 354 | ||
| I. Begriffsbestimmung der ‚aufsichtsbehördlichen Datenschutzkontrolle‘ | 354 | ||
| 1. Systematische Unterscheidung zwischen Kontrollverfahren im Aufsichtsrecht und im Ordnungswidrigkeitenrecht | 355 | ||
| a) Kontrollbefugnisse im Bußgeldverfahren | 355 | ||
| b) Kontrollbefugnisse im Aufsichtsverfahren | 356 | ||
| 2. Gestaltungsmöglichkeiten der aufsichtsbehördlichen Kontrolle im Aufsichtsverfahren | 357 | ||
| a) Einzelprüfungen und (koordinierte) Branchen-/Themenprüfungen | 358 | ||
| b) Fernprüfungen und Vor-Ort-Prüfungen | 359 | ||
| c) Anlassbezogene Prüfungen als reaktive Kontrollmaßnahmen | 360 | ||
| d) Die anlasslose Kontrolle als präventive Prüfmaßnahme | 361 | ||
| II. Die aufsichtsbehördliche Kontrolltätigkeit in der Praxis | 362 | ||
| 1. Durchführung von Pflichtkontrollen | 362 | ||
| 2. Beschränkte Kontrollwirkung anlassbezogener Prüfungen | 363 | ||
| a) Auswirkungen einer von Bürgerinformationen geleiteten Kontrolltätigkeit auf den Datenschutzvollzug | 364 | ||
| b) Unzureichende Prüftätigkeit im Bereich anlassbezogener Kontrollen | 365 | ||
| 3. Geringe Kontrolltätigkeit im präventiv-anlasslosen Bereich | 367 | ||
| III. Der Stellenwert aufsichtsbehördlicher Kontrollen für den Datenschutzvollzug – Ein Vergleich zwischen dem Straßenverkehrs- und dem Datenschutzrecht | 368 | ||
| 1. Vergleichbarkeit beider Vollzugssysteme | 369 | ||
| a) Liberales Regelungskonzept | 369 | ||
| b) Große Alltagsrelevanz und hohes Verstoßpotenzial | 370 | ||
| c) Der Staat als zentraler Akteur im Rechtsvollzug | 371 | ||
| d) Einheitliche Wirksamkeitsbedingungen beider Vollzugssysteme | 371 | ||
| aa) Der Normgeber | 371 | ||
| bb) Wertevorstellungen der Bevölkerung | 372 | ||
| cc) Der Normadressat und seine Bezugsgruppen | 373 | ||
| dd) Vollzugs- und Sanktionsregime | 374 | ||
| 2. Kontrollbefugnisse für die Überwachung des Straßenverkehrs | 375 | ||
| a) Präventive Kontrollbefugnisse im Straßenverkehrsrecht | 375 | ||
| b) Repressive Kontrollbefugnisse und -mittel im Straßenverkehrsrecht | 377 | ||
| c) Kontrollmittel im Straßenverkehrsrecht | 378 | ||
| 3. Bedeutung der straßenverkehrsrechtlichen Kontrolltätigkeit für einen effektiven und wirksamen Rechtsvollzug im Straßenverkehr | 379 | ||
| a) Allgemeine Wirksamkeit von Straßenverkehrskontrollen für die Rechtsbefolgung im Straßenverkehr | 379 | ||
| b) Wirkweisen von Straßenverkehrskontrollen auf den Rechtsvollzug | 380 | ||
| c) Übertragbarkeit dieser Wirkweisen auf das Datenschutzrecht | 382 | ||
| Vierter Teil: Zusammenfassung | 384 | ||
| Literaturverzeichnis | 394 | ||
| Stichwortverzeichnis | 416 |