Lade Inhalt...

Die Datenschutzaufsicht und ihre Verwaltungstätigkeit im nicht-öffentlichen Bereich

von Tobias Born (Autor:in)
©2014 Dissertation XXIV, 446 Seiten

Zusammenfassung

Die Arbeit stellt die Tätigkeit der Datenschutzaufsicht im nicht-öffentlichen Bereich umfassend dar. Der erste Teil hat deren Rechtsstellung zum Gegenstand. Untersucht wird die Zugehörigkeit zur Verwaltung, die Ausgestaltung der Aufsicht sowie deren Vereinbarkeit mit der Datenschutzrichtlinie, insbesondere deren Forderung nach völliger Unabhängigkeit der Aufsicht. Der zweite Teil widmet sich den Befugnissen der Datenschutzaufsicht. Ein zentrales Thema ist dabei die Rechtsnatur der Beratungs- und Informationstätigkeit sowie deren Bindungswirkung. Ferner wird die Bedeutung der teilweise europarechtswidrigen Rechtsstellung der Aufsichtsbehörden für die Rechtmäßigkeit deren Verwaltungshandelns erörtert. Rechtsschutzmöglichkeiten gegen die Aufsicht und die Staatshaftung sind weitere Schwerpunkte.

Inhaltsverzeichnis

  • Cover
  • Titel
  • Copyright
  • Autorenangaben
  • Über das Buch
  • Widmung
  • Zitierfähigkeit des eBooks
  • Inhaltsverzeichnis
  • Abkürzungsverzeichnis
  • A. Einleitung
  • I. Gegenstand und Ziel
  • II. Vorgehen
  • III. Berücksichtigung des Entwurfs für eine Datenschutz-Grundverordnung
  • IV. Weitere Hinweise
  • B. Die Datenschutzaufsicht im nicht-öffentlichen Bereich als Verwaltungstätigkeit und deren Rechtsstellung
  • I. Überblick: Struktur und nationaler Rechtsrahmen
  • 1. Der nicht-öffentliche Bereich
  • 2. Begriff der Aufsichtsbehörde
  • 3. Sachlich zuständige Aufsichtsbehörden
  • 4. Aufsichtszuständigkeit für Telemediendatenschutz
  • 5. Sektorspezifische Aufsicht
  • a) Aufsicht im Bereich der Telekommunikation und des Postwesens
  • aa) Doppelzuständigkeit des Bundesbeauftragten für den Datenschutz und der Bundesnetzagentur
  • bb) Zwingende Abweichung vom Grundsatz der Länderexekutive
  • b) Datenschutzaufsicht im Bereich der Presse und des privaten Rundfunks
  • aa) Datenschutzaufsicht bei der Presse
  • bb) Elektronische Presse in Telemedien
  • cc) Privater Rundfunk
  • 6. Sachliche Zuständigkeit für Ordnungswidrigkeitenverfahren
  • II. Die Anforderungen der Datenschutzrichtlinie an die Rechtsstellung (Art. 28 RL 95/46/EG)
  • 1. Umstrittene Auslegung
  • 2. Die Rechtsprechung des Europäischen Gerichtshofs zum Begriff der „völligen Unabhängigkeit“
  • a) Das Urteil in der Rechtssache C-518/07
  • b) Das Urteil in der Rechtssache C-614/10
  • c) Richtigkeit der Auslegung der „völligen Unabhängigkeit“ durch den Europäischen Gerichtshof
  • aa) Wortlaut
  • bb) Sinn und Zweck (Ziel)
  • cc) Systematik
  • dd) Reichweite des Verbots mittelbarer Einflussnahme
  • d) Zwischenergebnis
  • III. Struktur und Unabhängigkeit nach dem Entwurf der Datenschutz-Grundverordnung
  • 1. Struktur der Aufsichtsbehörden
  • 2. Unabhängigkeit der Aufsicht
  • IV. Derzeitige Ausgestaltung und Rechtsstellung der Datenschutzaufsicht der Bundesländer nach § 38 BDSG
  • 1. Öffentlich-rechtliches Amtsverhältnis oder Beamte auf Zeit – anwendbares Recht
  • 2. Wahl, Ernennung, Wiederwahl und Wiederbestellung
  • 3. Amtsdauer
  • 4. Fach- und Rechtsaufsicht
  • 5. Dienstaufsicht
  • a) Inhalt und Grenzen der Dienstaufsicht entsprechend § 26 DRiG
  • b) Zwischenergebnis
  • 6. Vorzeitige Beendigung der Amtszeit und Amtsenthebung
  • a) Abwahl
  • b) Richterähnliche Stellung
  • c) Entsprechende Anwendung beamtenrechtlicher Vorschriften
  • d) Nach Entwurf der Datenschutz-Grundverordnung nur Enthebung nach gerichtlicher Entscheidung
  • 7. Nebentätigkeiten und Inkompatibilität
  • 8. Stellvertretung
  • 9. Haushaltsrechtliche Stellung
  • 10. Personalauswahl und Rechtsstellung des Personals
  • 11. Verpflichtungen gegenüber anderen Stellen
  • 12. Datenschutzbeirat und Parlamentsausschuss
  • 13. Vertretung im Prozess
  • 14. Zwischenergebnis: Erhebliche Rechtsunsicherheit
  • V. Europarechtswidrige Rechtsstellung des Bundesbeauftragten für den Datenschutz und der Bundesnetzagentur
  • VI. Die Datenschutzaufsichtsbehörden als ministerialfreie Verwaltung
  • 1. Begriff und Problematik des ministerialfreien Raums
  • 2. Zentrale Bedeutung der Zuordnung zur Verwaltung
  • 3. Die Datenschutzaufsicht nach § 38 BDSG als Verwaltungstätigkeit
  • a) Ausgangspunkt: Begriffe der Exekutive und der Verwaltung
  • b) Exekutive und Gewaltenteilung
  • c) Unterschiedliche Begriffe der Verwaltung
  • d) Verwaltung im organisatorischen (institutionellen) Sinne
  • e) Verwaltung im organisatorischen Sinne nach Landesverfassungsrecht
  • f) Verwaltung im formellen Sinne
  • g) Methode zur Bestimmung der Verwaltung im materiellen Sinne
  • h) Datenschutzaufsicht als Verwaltung im materiellen Sinne
  • aa) Abgrenzung von der Rechtsprechung
  • bb) Abgrenzung von der Legislative
  • cc) Gesetzesvollzug als typisch exekutivische Befugnis
  • dd) Keine Regierungstätigkeit
  • ee) Unabhängige, unechte Hilfsorgane der Regierung
  • ff) Unabhängige, unechte Hilfsorgane des Parlaments
  • gg) Keine Instanz sui generis oder vierte Gewalt
  • hh) Ministerialfreiheit kein Gegenargument
  • ii) Argumente des Europäischen Gerichtshofs
  • jj) Organisatorische Zuordnung zur Exekutive
  • i) Zwischenergebnis
  • 4. Keine Ministerialfreiheit des Bundesbeauftragten für den Datenschutz und der Bundesnetzagentur
  • VII. Zulässigkeit der Datenschutzaufsicht als ministerialfreie Verwaltung und die Bindungswirkung des Urteils in der Rechtssache C-518/07
  • 1. Der Anwendungsvorrang des Europarechts
  • 2. Europarechtsfreundlichkeit des Grundgesetzes und Durchbrechung des Anwendungsvorrangs
  • 3. Zulässigkeit nach dem Grundgesetz
  • a) Ausübung von Staatsgewalt
  • b) Keine generelle Unzulässigkeit ministerialfreier Räume
  • c) Kriterium der politischen Tragweite
  • d) Ausreichendes Legitimationsniveau
  • aa) Funktionell-institutionelle Legitimation
  • bb) Personelle Legitimation
  • cc) Sachlich-inhaltliche Legitimation
  • dd) Kein offensichtlicher Verstoß gegen das Demokratieprinzip
  • e) Verfassungsrechtliche Gründe
  • aa) Vorgabe der Ministerialfreiheit durch Landesverfassungen (funktionell-institutionelle Legitimation)
  • (1) Anwendbarkeit der Regelungen auf die Aufsicht im nicht-öffentlichen Bereich
  • (2) Bedeutung für die demokratische Legitimation
  • bb) Das Recht auf informationelle Selbstbestimmung
  • f) Datenschutzaufsicht im Schutzbereich der Rundfunkfreiheit
  • 4. Zwischenergebnis
  • VIII. Alternativlösung einer bundesweit zentralen Datenschutzaufsicht
  • C. Die kontrollierende Verwaltungstätigkeit der Aufsichtsbehörden
  • I. Sachlicher Umfang der Tätigkeit
  • 1. Personenbezogene Daten
  • 2. Ausführung des Bundesdatenschutzgesetzes sowie anderer Vorschriften über den Datenschutz
  • 3. Recht der Mitgliedsstaaten der Europäischen Union
  • 4. Von der Kontrolle erfasste Datenverwendungen
  • 5. Erweiterungen des Kontrollumfangs
  • 6. Richtlinienkonforme Auslegung und unmittelbare Anwendbarkeit europäischer Richtlinien
  • 7. Sachlicher Umfang der Tätigkeit nach der Datenschutz-Grundverordnung
  • II. Örtliche Zuständigkeit
  • 1. § 3 VwVfG
  • a) § 3 Abs. 1 Nr. 1 VwVfG
  • b) § 3 Abs. 1 Nr. 2 VwVfG
  • aa) Angelegenheit
  • bb) Betrieb eines Unternehmens oder einer einzelnen Betriebstätte
  • cc) Ausüben eines Berufs oder einer anderen dauernden Tätigkeit
  • c) § 3 Abs. 1 Nr. 3 und 4 VwVfG
  • 2. Sonderregelung für Telemediendatenschutz, § 59 Abs. 6 S. 1 RStV
  • 3. Örtliche Zuständigkeit bei Ordnungswidrigkeitenverfahren
  • 4. Örtliche Zuständigkeit nach dem Entwurf der Datenschutzgrundverordnung
  • III. Gesetzes- und Grundrechtsbindung
  • 1. Bindung an die Charta der Grundrechte der Europäischen Union
  • a) Umfassende Bindung an die Charta der Grundrechte der Europäischen Union
  • b) Verhältnis zum Grundgesetz
  • c) Doppelte Grundrechtsbindung
  • d) Stellungnahme
  • 2. Mittelbare Drittwirkung der Chartagrundrechte
  • 3. Grundrechtsbindung nach Inkrafttreten der Datenschutzgrundverordnung
  • IV. Durchführung der Aufsicht gemäß § 38 BDSG
  • 1. Datenschutzkontrolle von Amts wegen, § 38 Abs. 1 S. 1 BDSG
  • 2. Anrufungsrecht, § 38 Abs. 1 S. 8 i.V.m. § 21 Abs. 1 S. 1 BDSG
  • a) Behandlung der Eingaben und Prüfungsumfang
  • b) Verpflichtung zum Tätigwerden der Aufsicht
  • 3. Auskunftsrecht gegenüber kontrollierten Stellen, § 38 Abs. 3 BDSG
  • a) Voraussetzungen, Rechtsnatur und Umfang der Auskunftspflicht
  • b) Anordnung der sofortigen Vollziehbarkeit
  • c) Bußgeldbewährung und Zwangsmitteleinsatz
  • d) Verweigerungsrecht
  • e) Verhältnis zu Geheimhaltungsvorschriften
  • 4. Betretungs-, Prüfungs- und Einsichtsrechte, § 38 Abs. 4 BDSG
  • a) Erforderlichkeit und Umfang
  • aa) Grundstücke und Geschäftsräume
  • bb) Keine Kontrolle bei Dritten
  • cc) Während der Betriebs- und Geschäftszeiten
  • dd) Kopienanfertigung, Mitwirkungspflichten und Verhältnismäßigkeit
  • b) Realakt und dessen Durchsetzung
  • c) Bußgeldbewehrung
  • 5. Amtsermittlungsgrundsatz
  • V. Unterrichtungsmöglichkeiten im Rahmen der Aufsichtstätigkeit
  • 1. Benachrichtigung der Betroffenen
  • 2. Umfang der Benachrichtigungspflicht
  • 3. Benachrichtigung anderer Behörden
  • VI. Verarbeitung und Nutzung personenbezogener Daten
  • VII. Anordnungsbefugnisse gemäß § 38 Abs. 5 BDSG
  • 1. Anordnung von Maßnahmen, § 38 Abs. 5 S. 1 BDSG
  • a) Feststellung eines Datenschutzverstoßes
  • aa) Feststellung als Verwaltungsakt
  • bb) Recht zur Beanstandung
  • b) Reichweite der Anordnungsbefugnis
  • 2. Untersagungsbefugnisse, § 38 Abs. 5 S. 2 BDSG
  • 3. Ausnahmsweise sofortige Untersagung
  • 4. Keine Beseitigung technischer Einrichtungen
  • 5. Ermessensausübung, Verhältnismäßigkeit und sofortige Vollziehbarkeit
  • a) Auswirkungen der Bindung an die Charta der Grundrechte der Europäischen Union
  • b) Anordnung der sofortigen Vollziehung
  • 6. Anordnung der Abberufung des betrieblichen Datenschutzbeauftragten, § 38 Abs. 5 S. 3 BDSG
  • VIII. Keine Eingriffsbefugnisse aufgrund polizei- oder ordnungsrechtlicher Generalklauseln
  • 1. Datenschutzaufsicht als Gefahrenabwehr
  • 2. § 38 Abs. 5 BDSG als lex specialis
  • a) Reichweite der Sperrwirkung von § 38 Abs. 5 BDSG
  • b) Abschließende Regelung durch den Bund
  • c) Enger Anwendungsbereich für polizei- und ordnungsrechtliche Generalklauseln
  • IX. Durchführung von Ordnungswidrigkeitenverfahren
  • X. Auswirkungen der Datenschutz-Grundverordnung auf die kontrollierende Verwaltungstätigkeit der Datenschutzaufsicht
  • 1. Abschließende Regelung der Befugnisse
  • 2. Die Befugnisse im Entwurf der Datenschutz-Grundverordnung
  • a) Untersuchungsbefugnisse
  • b) Hinweis- und Anordnungsbefugnisse
  • 3. Sanktionen und verwaltungsrechtliche Sanktionen, Art. 78 und 79 DSGVO-E
  • a) Strafrechtliche Sanktionen
  • b) Ordnungswidrigkeiten (verwaltungsrechtliche Sanktionen)
  • D. Beratungs- und Informationstätigkeit
  • I. Kein informales Verwaltungshandelns
  • II. Individuell oder an die Allgemeinheit und Medien gerichtet
  • III. Beratung und Unterstützung
  • 1. Beratung und Unterstützung gemäß § 38 Abs. 1 S. 2 BDSG
  • a) Adressaten der Beratung und Unterstützung
  • b) Beratung und Unterstützung als Amtspflicht
  • c) Anspruch auf Beratung und Unterstützung
  • d) Kooperationspflicht
  • e) Mit Rücksicht auf typische Bedürfnisse
  • aa) Umfassende Beratungspflicht
  • bb) Prüfbescheide und Unbedenklichkeitsbescheinigungen als einseitige Verwaltungstätigkeit
  • cc) Konsensuale und kooperative Beratung und Unterstützung statt Einsatz hoheitlicher Mittel
  • dd) Kooperation und Absprachen
  • (1) Regelungsvorbereitende Absprachen
  • (2) Norminterpretierende und normkonkretisierende Absprachen
  • (3) Normergänzende Absprachen
  • (4) Regelungsersetzende Absprachen
  • (5) Absprachen im Vorfeld von Prüfbescheiden und Unbedenklichkeitsbescheinigungen
  • (6) Keine strikte Trennung möglich
  • ee) Kooperation und Einsatz hoheitlicher Mittel Hand in Hand
  • ff) Zwischenergebnis
  • f) Schulungen und Fortbildungsveranstaltungen
  • 2. Beratung Betroffener und der Bürger
  • a) Spezielle landesrechtliche Regelungen
  • b) Keine Analogie zur Beratungs- und Unterstützungspflicht gegenüber verantwortlichen Stellen
  • c) Zulässigkeit der Beratung bei fehlender spezieller Rechtsgrundlage
  • d) Beratungspflicht
  • IV. Rechtsnatur und Bindungswirkung der einseitigen individuellen Beratungs- und Unterstützungstätigkeit - Prüfbescheide und Unbedenklichkeitsbescheinigungen
  • 1. Genehmigung
  • 2. Feststellender Verwaltungsakt
  • a) Erfordernis einer Rechtsgrundlage
  • b) Rechtsgrundlage
  • aa) Ermittlung der Rechtsgrundlage durch Auslegung
  • (1) Wortlaut
  • (2) Systematik und Entstehungsgeschichte
  • (3) Rechtsstaatsprinzip
  • (4) Grundrechte
  • (5) Vergleich mit Genehmigungsfällen
  • bb) Vorgaben der Datenschutzrichtlinie
  • cc) Zwischenergebnis: § 38 Abs) 1 S) 2 i.V.m) Abs) 5 S) 1 BDSG als Rechtsgrundlage
  • dd) Feststellende Verwaltungsakte im Rahmen von § 4c Abs) 2 S) 1 BDSG
  • c) Vorliegen der Merkmale eines Verwaltungsaktes
  • aa) Hoheitliche Maßnahme
  • bb) Regelungswirkung
  • (1) Keine formalen Verwaltungsakte
  • (2) Wortlaut
  • (3) Gesamtumstände
  • cc) Widerspruchsbescheid
  • dd) Feststellende Verwaltungsakte ohne vorherige Anfrage
  • d) Anspruch auf Erlass eines feststellenden Verwaltungsaktes
  • e) Formelle Rechtmäßigkeit
  • f) Materielle Rechtmäßigkeit
  • g) Wirkungen des feststellenden Verwaltungsaktes
  • aa) Tatbestandswirkung
  • bb) Folgen der Tatbestandswirkung
  • cc) Keine unmittelbare Bindung gegenüber Betroffenen
  • h) Aufhebung des feststellenden Verwaltungsaktes
  • aa) Widerruf eines rechtmäßigen feststellenden Verwaltungsaktes, § 49 VwVfG
  • (1) Belastender feststellender Verwaltungsakt
  • (2) Begünstigender feststellender Verwaltungsakt
  • bb) Aufhebung eines rechtswidrigen feststellenden Verwaltungsaktes
  • (1) Widerruf belastender Prüfbescheide gemäß § 49 Abs. 1 VwVfG
  • (2) Widerruf begünstigender Prüfbescheids gemäß § 49 Abs. 2 VwVfG
  • (3) Rücknahme belastender Prüfbescheide gemäß § 48 Abs. 1 VwVfG
  • (4) Rücknahme begünstigender Prüfbescheide gemäß § 48 Abs. 2 bis 4 VwVfG
  • 3. Zusicherung und Zusage
  • a) Zusage, einen bestimmten Verwaltungsakt später zu erlassen oder zu unterlassen
  • b) Zusicherung und Zusage als Verwaltungsakt
  • c) Bestimmter Regelungsgehalt im Einzelfall und Abgrenzung zur Auskunft
  • aa) Zusicherung
  • bb) Zusage
  • d) Hoheitliche Maßnahme
  • e) Besondere Wirksamkeitsvoraussetzungen
  • f) Zusicherung als auch-feststellender Verwaltungsakt
  • 4. Schlichte Auskunft
  • a) Keine Bindung an rechtswidrige Auskunft nach Treu und Glauben
  • aa) Unionsrecht und Effektivitätsprinzip
  • bb) Nationales Verfassungs- und Verwaltungsrecht
  • b) Auswirkungen auf Ermessensentscheidungen
  • c) Auswirkungen auf das Zivilrecht
  • V. Bindungswirkung und Rechtmäßigkeit zweiseitiger individueller Beratung und Unterstützung – Absprachen
  • 1. Öffentlich-rechtlicher Vertrag
  • a) Fehlender Rechtsbindungswille
  • b) Schriftformerfordernis
  • c) Vertragsformverbot und Nichtigkeit
  • 2. Zulässige öffentlich-rechtliche Verträge als Handlungsoption
  • a) Vergleichsvertrag
  • b) Austauschvertrag
  • 3. Absprachen als Realakte
  • a) Faktische Bindungswirkung
  • b) Rechtmäßigkeit und Vertrauensschutz
  • 4. Auswirkungen auf das Zivilrecht
  • VI. Beratungstätigkeit und deren Bindungswirkung nach dem Entwurf für eine Datenschutzgrundverordnung
  • 1. Verstärkte Kodifikation der Beratung
  • 2. Bindungswirkung
  • a) Feststellender Verwaltungsakt
  • b) Öffentlich-rechtliche Verträge und Zusicherung
  • VII. An die Allgemeinheit und die Medien gerichtete Informationstätigkeit
  • 1. Die Begriffe Öffentlichkeitsarbeit und staatliches Informationshandeln
  • 2. Kommunikationsformen der Informationstätigkeit
  • a) Sonderfall: Veröffentlichung von Tätigkeitsberichten
  • aa) Adressaten
  • bb) Funktion und Inhalt der Tätigkeitsberichte
  • b) Landesrechtliche Regelungen
  • c) Veröffentlichung von Verwaltungsakten
  • 3. Einordnung nach Steuerungswirkung des Informationshandeln
  • VIII. Verwaltungsrechtliche Handlungsform und Bindungswirkung
  • 1. Hinweise keine feststellende Allgemeinverfügung
  • 2. Fehlende Rechtsgrundlage für Allgemeinverfügung
  • IX. An die Allgemeinheit und Medien gerichtete Informationstätigkeit und Grundrechte
  • 1. Prüfungsmaßstab
  • 2. Charta der Grundrechte der Europäischen Union
  • a) Personenkreise, die in Grundrechten verletzt sein können
  • aa) Stellen, die Gegenstand der Information sind
  • bb) Sonstige Marktteilnehmer
  • cc) Von Datenverwendungen Betroffene und potentiell Betroffene
  • b) Eingriff
  • aa) Kein Eingriff im klassischen Sinne
  • bb) Eingriff durch Datenverarbeitung
  • cc) Kriterien für das Vorliegen eins Grundrechtseingriffs
  • dd) Chartaspezifische Eingriffsformel
  • ee) Notwendigkeit der weiten Auslegung des Eingriffsbegriffs
  • ff) Folgen für die Beurteilung des Informationshandelns der Datenschutzaufsichtsbehörden
  • gg) Beispiele aus der Praxis
  • 3. Grundgesetz
  • a) Personenkreise, die in Grundrechten verletzt sein können
  • aa) Stellen, die Gegenstand der Information sind
  • bb) Sonstige Marktteilnehmer
  • cc) Von Datenverwendungen Betroffene und potentiell Betroffene
  • b) Eingriff
  • aa) Eingriff in das Recht auf informationelle Selbstbestimmung
  • bb) Moderner Eingriffsbegriff
  • cc) Die Schwelle des funktionalen Äquivalents
  • dd) Keine Übertragbarkeit der verfassungsgerichtlichen Rechtsprechung zur Informationstätigkeit
  • ee) Aufsichtsbehördliches Informationshandeln als funktionales Äquivalent
  • ff) Keine Offenbarung von Betriebs- und Geschäftsgeheimnissen
  • c) Identischer Schutz durch Charta der Grundrechte der Europäischen Union und Grundgesetz
  • X. Rechtliche Zulässigkeit der Informationstätigkeit mit Grundrechtseingriff
  • 1. Keine Sonderbefugnis der Datenschutzaufsicht aus Aufgabenstellung in Verbindung mit Schutzpflichten des Staates
  • 2. Keine Verzichtbarkeit einer Rechtsgrundlage wegen Schwierigkeit der Normierbarkeit
  • 3. Informationspflichten nach Landesrecht
  • 4. Keine Zulässigkeit als Minusmaßnahme zu § 38 Abs. 5 BDSG
  • a) Systematik
  • b) Gesetzeshistorie
  • c) Telos
  • d) Wesentlichkeitsdoktrin
  • e) Keine bereichsspezifische und hinreichend bestimmte Rechtsgrundlage zur Gestattung der Verwendung personenbezogener Daten
  • f) Keine richtlinienkonforme Auslegung
  • g) Zwischenergebnis
  • 5. Polizei- und ordnungsrechtliche Generalklauseln und Parlamentsvorbehalt
  • 6. Gesetze zur Informationsfreiheit und Transparenz
  • 7. Auskunftsansprüche der Medien
  • 8. Keine Zulässigkeit als Annexkompetenz
  • 9. Zwischenergebnis
  • XI. Beschränkung der Grundfreiheiten
  • XII. Weitere Aspekte betreffend das Informationshandeln unter Nennung beteiligter Personen oder Unternehmen
  • 1. Rechtsstaatliches Verfahren
  • 2. Unschuldsvermutung
  • XIII. Keine Notwendigkeit der Schaffung einer Rechtsgrundlage für eingreifendes Informationshandeln
  • 1. Information mit Nennung beteiligter Personen und Unternehmen
  • 2. Sonstiges eingreifendes Informationshandeln
  • XIV. Rechtliche Zulässigkeit der Informationstätigkeit ohne Grundrechtseingriff
  • XV. Information der Allgemeinheit nach dem Entwurf der Datenschutz-Grundverordnung
  • 1. Umfang der Informationspflichten
  • 2. Kein Regelungsbedürfnis für in Grundrechte eingreifende Informationstätigkeit
  • E. Weitere Aufgaben der Datenschutzaufsicht
  • I. Genehmigung von Übermittlungen gemäß § 4c Abs. 2 S. 1 BDSG
  • II. Führung des Registers meldepflichtiger automatisierter Verarbeitungen gemäß § 38 Abs. 2 BDSG
  • III. Überprüfung von Verhaltensregeln gemäß § 38a BDSG
  • IV. Weitere Unterrichtungs- und Berichtspflichten
  • F. Auswirkungen der europarechtswidrigen Rechtsstellung der Datenschutzaufsicht auf die Rechtmäßigkeit des Verwaltungshandelns
  • I. Verwaltungsakte
  • 1. Keine Nichtigkeit
  • 2. Formelle Rechtmäßigkeit
  • 3. Materielle Rechtmäßigkeit
  • II. Fallkonstellationen
  • 1. Beeinflussung ausgeschlossen
  • 2. Beeinflussung steht fest oder ist offensichtlich
  • 3. Beeinflussung ist möglich
  • III. Realakte
  • G. Rechtsschutz und Staatshaftungsansprüche
  • I. Verwaltungsgerichtliche Verfahren
  • 1. Betroffene
  • 2. Verantwortliche Stellen
  • a) Maßgeblicher Zeitpunkt für Beurteilung der Rechtmäßigkeit von Verwaltungsakten
  • b) Verwaltungsakte der Datenschutzaufsicht als Dauerverwaltungsakt
  • II. Staatshaftung
  • 1. Maßgebliches Staatshaftungsrecht
  • 2. Nationales Staatshaftungsrecht
  • a) Unzureichendes Tätigwerden
  • b) Rechtswidrige, feststellende Verwaltungsakte
  • c) Absprachen
  • aa) Rechtmäßige Absprachen
  • bb) Rechtswidrige Absprachen
  • d) Rechtswidriges Informationshandeln
  • aa) Öffentlich-rechtlicher Unterlassungsanspruch
  • bb) Folgenbeseitigungsanspruch
  • cc) Schadensersatzanspruch wegen Datenschutzverstoß nach den Landesdatenschutzgesetzen
  • (1) Fehlende Ursächlichkeit und Anspruchsberechtigung
  • (2) Europarechtswidrige Haftungshöchstsummen
  • dd) Amtshaftungsanspruch
  • 3. Unionsrechtlicher Staatshaftungsanspruch
  • a) Unzureichendes Tätigwerden
  • b) Rechtswidrige feststellende Verwaltungsakte und Absprachen
  • c) Rechtswidriges Informationshandeln
  • d) Rechtsfolgen und sonstige Aspekte zur Durchsetzung des Anspruchs
  • H. Die Tätigkeit des Bundesbeauftragten für den Datenschutz und der Bundesnetzagentur im Bereich der Telekommunikation und des Postwesens
  • I. Sachlicher Umfang der Zuständigkeit
  • II. Bindung an die Grundrechte
  • III. Befugnisse des Bundesbeauftragten für den Datenschutz
  • IV. Tätigkeit und Befugnisse der Bundesnetzagentur
  • V. Beratungs- und Informationstätigkeit
  • 1. Beratung und Information gegenüber verantwortlichen Stellen und Betroffenen sowie deren Bindungswirkung
  • 2. An die Allgemeinheit gerichtete Information
  • I. Zusammenarbeit der Aufsichtsbehörden
  • I. Nationale Zusammenarbeit der Aufsichtsbehörden im Düsseldorfer Kreis
  • II. Zusammenarbeit nach dem Entwurf der Datenschutz-Grundverordnung
  • J. Zusammenfassung der wichtigsten Ergebnisse in Thesen
  • I. Zum Kapitel B
  • II. Zu den Kapiteln C. – I
  • Literaturverzeichnis

← XX | XXI → Abkürzungsverzeichnis

Soweit hier nicht anders angegeben, wird für Abkürzungen verwiesen auf:

Kirchner, Abkürzungsverzeichnis der Rechtssprache, 7., völlig neu bearbeitete und erweiterte Auflage, Berlin 2012.

← XXIV | 1 → A. Einleitung

Kaum vergeht ein Tag, an dem die Medien, Zeitungen, Radio- und Fernsehsender, nicht über aktuelle Entwicklungen des Datenschutzes berichten. Ein noch vor wenigen Jahren völlig unvorstellbarer Vorgang. Datenschutz und die Beschäftigung mit diesem sind, so scheint es, allgegenwärtig. Gerade die Nutzung des Internets und die weit verbreitete aktive Betätigung in sozialen Netzwerken lässt die Menschen die Bedeutung und auch die Notwendigkeit des Datenschutzes erkennen. Jeder ist betroffen, oftmals auch ohne es zu wissen. Und der Datenschutz wird in seiner Bedeutung nicht abnehmen. „Big Data“ ist hier das Stichwort: Die automatisierte Auswertung von riesigen Mengen gesammelter Daten, einschließlich personenbezogener Daten, sei es zur Verbesserung von Produkten oder Dienstleistungen, für gezieltes Marketing oder sonstige Zwecke, nicht nur im Bereich der Privatwirtschaft.1 Festzustellen ist jedenfalls, dass der Datenschutz kein Nischendasein mehr führt, sondern allgemein als auch gesellschaftlich bedeutsam wahrgenommen wird und entsprechend mehr Aufmerksamkeit erfährt.2 Dies gilt für den Datenschutz insgesamt, aber – trotz der derzeitigen Dominanz der Berichterstattung über Datenschutz im Verhältnis zum Staat3, angestoßen durch den sogenannten NSA-Skandal4 – gerade auch für den Datenschutz unter Privaten, den Datenschutz im Verhältnis Bürger und Unternehmen, den Datenschutz im nicht-öffentlichen Bereich. Beispiele dafür, dass der Datenschutz in der Mitte der Gesellschaft angekommen ist, gibt es zuhauf. Die Einführung einer Neuerung namens „Timeline“ bei dem sozialen Netzwerk Facebook – eine Funktion, die die Aktivitäten eines angemeldeten Nutzers anhand einer Zeitleiste darstellt und somit eine Art Lebenschronik vorzuhalten ← 1 | 2 → erlaubt, und zwar von der Geburt an – schaffte es in der Süddeutschen Zeitung, wegen ihres Bezugs zum Datenschutz, bis auf die Titelseite.5 Über die Änderung der Nutzungsbedingungen dieses Dienstes wurde genauso berichtet6, wie über die Anpassung der Teilnahmebedingungen am Bonusprogramm der Deutschen Bahn und der damit einhergehenden Weitergabe personenbezogener Daten an andere Unternehmen7. Auch Datenskandale und Datenpannen in verschiedenen Unternehmen wie Lidl, Aldi, Telekom oder Deutsche Bank, haben in der jüngeren Vergangenheit hierzu beigetragen.8 Ein neuerer Fall ist die Verhängung eines Bußgeldes in Höhe von 145.000 EUR gegen den Suchmaschinenbetreiber Google, der nach Ansicht des Hamburgischen Datenschutzbeauftragten während Fahrten mit Kamerawagen zur Erfassung von Bildern für den Dienst Google Street View rechtswidrig Inhaltsdaten von privaten Drahtlosnetzwerken (WLAN‘s) aufgezeichnet hatte.9 Welch hoher Stellenwert dem Datenschutz in der Öffentlichkeit heute zukommt, dürfte damit deutlich gemacht sein. Mit dem wachsenden Interesse an datenschutzrechtlichen Themen steigt auch die Wahrnehmung der Datenschutzaufsichtsbehörden und ihrer Tätigkeit in der Öffentlichkeit. Eine ganz entscheidende Rolle spielt dabei, dass die Datenschutzbehörden immer wieder gezielt an die Öffentlichkeit herantreten, etwa Pressemeldungen herausgeben. In Fragen des Datenschutzes sind die Aufsichtsbehörden, insbesondere der Leiter des Unabhängigen Landeszentrums für Datenschutz in Schleswig-Holstein, zudem beliebte Ansprechpartner der Medien und auch dadurch in der Öffentlichkeit präsent.10

I. Gegenstand und Ziel

Trotz der großen Bedeutung der Aufsichtstätigkeit und des Einflusses, den diese auf die Wirtschaft hat, ist das wissenschaftliche Interesse an ihr bislang vergleichsweise gering. An dem dürftigen Erkenntnisstand, den Wind im Jahre 1994 konstatierte, hat sich bis heute kaum etwas geändert.11 Über die Gründe ← 2 | 3 → kann nur spekuliert werden. Einer könnte zu sehen sein in der bisher spärlichen Rechtsprechung zur Tätigkeit der Datenschutzaufsichtsbehörden. Sie ist, mehr noch als im materiellen Datenschutzrecht, absolute Mangelware. Ausgehend von der Bedeutung des Datenschutzes und der Wahrnehmung der Datenschutzaufsichtsbehörden in der Öffentlichkeit, soll diesem Missstand mit dieser Arbeit zumindest entgegengetreten werden. Die Rechtsstellung und die gesamte (Verwaltungs-) Tätigkeit der Datenschutzaufsichtsbehörden über nicht-öffentliche Stellen näher zu beleuchten, ist daher deren Gegenstand.

Die Arbeit verfolgt nun zwei Ziele: Erstes Ziel ist es, die Stellung der Datenschutzaufsicht im nicht-öffentlichen Bereich innerhalb des Staatsaufbaus unter Berücksichtigung des europarechtlichen Einflusses aufzuklären und dafür die Zugehörigkeit zur Verwaltung untersuchen. Darauf aufbauend ist es das zweite Ziel, dies ist das Hauptziel dieser Arbeit, die Verwaltungstätigkeit, wie sie tatsächlich stattfindet, und ihre rechtliche Einordnung innerhalb und anhand des Verwaltungs-, Verfassungs- und auch Europarechts umfassend zu untersuchen. Der Fokus liegt dabei auf der Datenschutzaufsicht der Länder gemäß § 38 BDSG, die hauptsächlich für den Vollzug des Datenschutzrechts im nicht-öffentlichen Bereich zuständig sind. Die sektorspezifische Datenschutzaufsicht über Private durch den Bundesbeauftragten für den Datenschutz, die Bundesnetzagentur und weitere Stellen, sollen nur am Rande Berücksichtigung finden.

II. Vorgehen

Ausgehend von den genannten Zielen gliedert sich die vorliegende Arbeit im Wesentlichen in zwei Teile. Die Tätigkeit der Datenschutzaufsicht kann ohne Kenntnis des komplexen Rechtsrahmens, innerhalb dessen diese tätig ist, nicht näher untersucht werden. Diesem ist der erste Teil der Arbeit gewidmet (B.). Die Tätigkeit der Aufsicht als solcher ist Gegenstand des zweiten Teils (C. ff.). Auch wenn der Schwerpunkt der Arbeit auf der Untersuchung der Verwaltungstätigkeit der Aufsicht beruht, ist für das Verständnis die Darstellung von deren Rechtsstellung unabdingbar. Diese wirkt sich an vielen Stellen unmittelbar oder mittelbar auf die Beurteilung und rechtliche Zulässigkeit der Tätigkeitsausübung aus. Einleitend werden im ersten Teil die Regelungen zur sachlichen Zuständigkeit im Überblick dargestellt, schließlich muss klargestellt sein, welche Stellen die Aufgabe der Datenschutzaufsicht im nicht-öffentlichen Bereich wahrnehmen und damit Gegenstand dieser Arbeit sind.

Der die Datenschutzaufsichtsbehörden (§ 38 BDSG) betreffende Rechtsrahmen hat seit dem Jahre 2010 beträchtliche Änderungen erfahren. Dies ist darauf zurückzuführen, dass die Regelungen zur Datenschutzaufsicht durch europäische ← 3 | 4 → Richtlinienvorgaben determiniert sind, und die Vorgaben betreffend die Unabhängigkeit der Datenschutzaufsicht vom Europäischen Gerichtshof durch Urteil vom 9. März 2010 konkretisiert wurden.12 In diesem hat dieser festgestellt, dass die Bundesrepublik Deutschland gegen die Vorgaben der Datenschutzrichtlinie (RL 95/46/EG) verstoßen habe, indem sie die für die Überwachung von nicht-öffentlichen Stellen und öffentlich-rechtlichen Wettbewerbsunternehmen zuständigen Kontrollstellen in den Bundesländern staatlicher Aufsicht unterstelle und damit anders, als von der Richtlinie gefordert, nicht „in völliger Unabhängigkeit“ eingerichtet habe. Diese Rechtsprechungslinie hat der Europäische Gerichtshof in einer weiteren Entscheidung gegen die Republik Österreich bestätigt.13 An dieser Stelle des ersten Teils gilt es (unter B. II.) die Frage zu beantworten, ob dem Europäischen Gerichtshof in seiner Auslegung der Datenschutzrichtlinie überhaupt gefolgt werden kann. Dies wird mit Hilfe eines Vergleichs mit anderen Richtlinien und unter Heranziehung des europäischen Primärrechts untersucht. Durch die weitgehenden Forderungen des Europäischen Gerichtshofs sind entsprechend gravierende Änderungen nationalen Rechts notwendig geworden, um der Datenschutzaufsicht eine europarechtskonforme Rechtsstellung zu verschaffen. Hierzu wird untersucht (unter B. IV. und V.), ob die Bundesrepublik, genauer die in erster Linie zuständigen Gesetzgeber der Länder, diese Vorgaben in ausreichendem Maße in die nationale Gesetzgebung haben einfließen lassen, und dabei zugleich die für die Unabhängigkeit wesentlichen Regelungen systematisch auf ihre Bedeutung für die Rechtsstellung der Aufsichtsbehörden bei Ausübung ihrer Tätigkeit durchleuchtet.

Die extensive Auslegung der Unabhängigkeit durch den Gerichtshofs verschafft einer bereits seit Einführung der Datenschutzrichtlinie kontrovers diskutierten Problematik Aktualität. Die Rede ist von den sogenannten ministerialfreien Räumen, in denen eine staatliche Aufsicht nicht stattfindet, und deren verfassungsrechtliche Zulässigkeit, speziell auch für die Datenschutzaufsicht, bisher nicht abschließend geklärt ist. Aufgezeigt wird das Spannungsfeld, das zwischen zwingenden europarechtlichen Vorgaben und nationalem Verfassungsrecht, zwischen Anwendungsvorrang des Europarechts und nationalen Staatsstrukturprinzipien, die durch die europäischen Vorgaben in Frage gestellt werden, besteht (B. VI. und VII.). In diesem Zusammenhang wird auch die Verortung der Datenschutzaufsicht in die Staatsorganisation, welche für die Beurteilung der Zulässigkeit der ministerialfreien Räume notwendig ist, herausgearbeitet und ausführlich behandelt.

← 4 | 5 → Aufbauend auf der daraus folgenden These, dass es sich bei der Datenschutzaufsicht um Verwaltung und damit einen Teil der Exekutive handelt, werden im zweiten Teil der Arbeit die Befugnisse, Rechte und Pflichten der Datenschutzaufsicht untersucht und dabei die notwendigen Bezüge zum Verfassungsrecht, dem Europarecht und insbesondere dem allgemeinen Verwaltungsrechts hergestellt. Neben den grundlegenden Fragen des sachlichen Umfangs der Tätigkeit (dazu C. I.) und der örtlichen Zuständigkeit der Aufsichtsbehörden (dazu C. II.), wird zum Anfang dieses Teils die grundrechtliche Bindung der Aufsichtsbehörden bei Durchführung ihrer Verwaltungstätigkeit herausgearbeitet, die sich nicht auf das Grundgesetz beschränkt, sondern sich vorrangig aus der Europäischen Grundrechtecharta ergibt (dazu C. III.). Ein Umstand, der bislang praktisch unbeachtet geblieben ist, sich aber in allen Belangen der Verwaltungstätigkeit deutlich auswirkt. Dies zeigt sich schon bei der Ausübung der in § 38 Abs. 3, 4 und 5 BDSG geregelten Kontroll- und Anordnungsbefugnisse (zu diesen C. IV bis VII.). Nimmt man diese Befugnisse aus, hat eine Auseinandersetzung mit der praktischen Tätigkeit der Datenschutzaufsichtsbehörden bislang kaum stattgefunden, und das, obwohl dieser Teil eine große Rolle in der alltäglichen Aufsichtstätigkeit einnimmt. Eine tiefer gehende Auseinandersetzung ist daher mit zwei Themenkomplexen notwendig, die beide die Informationstätigkeit der Aufsicht im weiteren Sinne betreffen, welche einen Schwerpunkt der Aufsichtstätigkeit ausmacht, obwohl sie nur teilweise und dann auch nur rudimentär gesetzlich geregelt ist (dazu D.). Der erste Komplex betrifft die individuell beratende und unterstützende Informationstätigkeit gegenüber verantwortlichen Stellen oder deren Datenschutzbeauftragten und diejenige gegenüber Betroffenen und Bürgern (dazu D. III.). Hier wird zunächst dargelegt, welch immense Bedeutung diese Tätigkeit für die Aufsicht hat und, dass sie, trotz fehlender gesetzlicher Regelungen, untrennbar mit den klassischen Aufsichtsinstrumenten verbunden ist. Anschließend wird die Rechtsnatur und die von dieser Tätigkeit ausgehende Bindungswirkung systematisch untersucht (dazu D. IV. Bis VI.). Eingegangen wird dabei auf die Möglichkeiten der Aufsicht, die Bindungswirkung wieder zu beseitigen. Es wird gezeigt, dass sich dieser Tätigkeitsbereich in das System des allgemeinen Verwaltungsrechts einfügt, das aber speziell mit Blick auf die Datenschutzaufsicht unter einem bislang nicht hinreichend berücksichtigten Einfluss des Europarechts, insbesondere der bereits angesprochenen Grundrechtecharta, steht. Gegenstück zur Beratungstätigkeit ist die Information der Allgemeinheit (dazu D. VII. Bis XV.). Zu dieser gehört nicht nur die gesetzlich vorgeschriebene Veröffentlichung von Tätigkeitsberichten, sondern insbesondere die direkt oder über die Medien an die Öffentlichkeit gerichtete Informationstätigkeit der Datenschutzaufsicht, deren Auslöser oftmals Datenschutzverstöße sind. Diese ← 5 | 6 → Tätigkeit bedarf wegen ihrer Außenwirkung, der Möglichkeit, das Verbraucherverhalten und die wirtschaftliche Betätigung datenverwendender Stellen zu beeinflussen, ebenfalls einer näheren Betrachtung. Obwohl staatliches Informationshandeln Gegenstand zahlreicher Untersuchungen, mit dem Schwerpunkt der verfassungsrechtlichen Würdigung, gewesen ist, wird hier gezeigt, dass unter dem Einfluss der Europäischen Grundrechtecharta, die den Rang europäischen Primärrechts genießt, bisher unerkannte Probleme eine Rolle bei der rechtlichen Beurteilung der Information durch die Datenschutzbehörden spielen.

Nur kurz und der Vollständigkeit halber dargestellt werden anschließend die weiteren Aufgaben der Datenschutzaufsicht (dazu E.), insbesondere die Befugnis Verhaltensregeln zu überprüfen gemäß § 38a BDSG (E. III.).

Zur Untersuchung der Rechtmäßigkeit des Verwaltungshandelns der Aufsicht gehört es ferner, auf die möglichen Auswirkungen der ehemals und teilweise immer noch bestehenden europarechtswidrigen Rechtsstellung der Datenschutzaufsicht auf diese einzugehen (dazu F.). Eine Thematik, die soweit ersichtlich, bisher keinerlei Beachtung gefunden hat. Im Anschluss werden der Rechtsschutz gegen gegenüber den Aufsichtsbehörden im verwaltungsgerichtlichen Verfahren (G. I.) und Staatshaftungsansprüche gegen diese behandelt (G. II.).

Vor dem abschließenden, kurzen Abschnitt zur Zusammenarbeit der Aufsichtsbehörden (dazu I.) wird in einem Überblick die sektorspezifische Aufsichtstätigkeit des Bundesbeauftragten für den Datenschutz und der Bundesnetzagentur dargestellt und auf die Übertragbarkeit der zu den Aufsichtsbehörden entwickelten Grundsätze eingegangen (dazu H.).

III. Berücksichtigung des Entwurfs für eine Datenschutz-Grundverordnung

Zum 25. Januar 2012 wurde von der Europäischen Kommission ein Entwurf für eine europäische Datenschutzverordnung vorgestellt, bezeichnet als Datenschutz-Grundverordnung (hier bezeichnet als DSGVO-E).14 Diese ist als Teil eines neu gefassten europäischen Rahmens für den Datenschutz geplant. Zu diesem gehören soll neben der Verordnung eine Richtlinie für den Bereich der polizeilichen und justiziellen Zusammenarbeit.15 Die Vorstellung des ← 6 | 7 → Verordnungsentwurfs könnte der erste große Schritt in Richtung eines in weiten Teilen vereinheitlichten, weil unmittelbar geltenden und damit wirkenden, Datenschutzrechts in der Europäischen Union und ein ebensolcher für den Datenschutz in Europa insgesamt sein.16 Dieser Entwurf bringt, sollte er im Wesentlichen in der geplanten Form in Kraft treten, vor allem in Bezug auf die Befugnisse der nationalen Aufsicht zahlreiche Neuerungen. Er kann, auch wenn sicher nur zahlreiche Änderungen zu erwarten sind, nicht unberücksichtigt bleiben, weshalb sich nachfolgend immer wieder kurze Abschnitte finden, in dem die Regelungen des Verordnungsentwurfs und ihre Bedeutung für die Datenschutzaufsichtsbehörden berücksichtigt werden.

IV. Weitere Hinweise

Wenn im Folgenden Paragraphen in Zusammenhang mit der Verwaltungstätigkeit der Datenschutzaufsichtsbehörden der Länder als solche des Verwaltungsverfahrensgesetz (VwVfG) bezeichnet sind, dient die Nennung nur der vereinfachten Darstellung, um nicht stets alle inhaltlich entsprechenden Regelungen der Länder zum Verwaltungsverfahren nennen zu müssen. Soweit erforderlich werden die entsprechenden Landesgesetze ausdrücklich zitiert.

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) wird, wegen der Fokussierung auf die Tätigkeit als Datenschutzaufsichtsbehörde, jeweils nur als Bundesbeauftragter für den Datenschutz bezeichnet. ← 7 | 8 →

__________

1 Zu „Big Data“ etwa Fischermann/Hamann, Wer hebt das Datengold, Die Zeit, 02.02.2013, No. 2, S. 17 f.; Müller/Rosenbach/Schulz, Die gesteuerte Zukunft, Der Spiegel, 13.05.2013, S. 64 ff.; speziell zur Auswertung von Daten zu Verbrauchsgewohnheiten durch eine Supermarktkette, Jungclausen, Oma will kein Megapack, Die Zeit, 02.02.2013, No. 2, S. 18; zu datenschutzrechtlichen Fragen Weichert, ZD 2013, 251 ff.

2 Siehe auch LfD Rheinland-Pfalz, 23. Tätigkeitsbericht 2010/2011, LT-Drs. 16/882, S. 27.

3 Siehe etwa Wefing, Die Daten sind los, Die Zeit, 18.07.2013, No. 30, S. 1.

4 Ausführlich Poitras/Rosenbach/Schmid/Stark/Stock, Angriff aus Amerika, Der Spiegel, 01.07.2013, Nr. 27, S. 76 ff.

5 Boie, Chronik wider Willen, Süddeutsche Zeitung, 26.01.2012, S. 1.

6 Bernau, Trügerische Transparenz, Süddeutsche Zeitung, 23.03.2012, S. 22

7 Klawitter, Schnüffelei auf der Schiene, Der Spiegel, 18.03.2013, Nr. 12, S. 74.

8 Dazu Amann/Grill, „Befruchtung nicht funktioniert“, Der Spiegel, 06.04.2009, Nr. 15, S. 78; Bartsch/Dohmen/Pauly/Reuter/Schiessl, Im Netz der Späher, 70 Der Spiegel, 08.06.2009, Nr. 24, S. 70.

9 Mückenstich für den Internet-Elefanten; Google muss 145.000 Euro zahlen, weil seine Street-View-Autos Internetdaten mitschnitten, Die Tageszeitung, 23.04.2013, S. 24.

10 Wiegand, Ein Mann wie eine Firewall, Süddeutsche Zeitung, 22.06.2013, S. V2/6.

11 Wind, Die Kontrolle des Datenschutzes im nicht-öffentlichen Bereich, S. 12.

12 EuGH, Urteil vom 09.03.2010, Rs. C518/07, Slg. 2010, I-1897.

13 EuGH, Urteil vom 16.10.2012, Rs. C-614/10, ZD 2012, 563 ff.

14 Vorschlag für Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Grundverordnung), KOM (2012) 11 endgültig.

15 Vorschlag für Richtlinie des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Aufdeckung, Untersuchung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr, KOM (2012) 10 endgültig.

16 So auch der EDSB, Stellungnahme des Europäischen Datenschutzbeauftragten zum Datenschutzreformpaket, vom 7. März 2012, Rn. 41, abrufbar unter: https://secure.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/Consultation/Opinions/2012/12-03-07_EDPS_Reform_package_DE.pdf (zuletzt abgerufen am 19.06.2014).

← 8 | 9 → B. Die Datenschutzaufsicht im nicht-öffentlichen Bereich als Verwaltungstätigkeit und deren Rechtsstellung

I. Überblick: Struktur und nationaler Rechtsrahmen

Den grundlegenden Rahmen für die Tätigkeit der Datenschutzaufsicht im nicht-öffentlichen Bereich, die Gegenstand der vorliegenden Arbeit ist, bilden die gesetzlichen Regeln zur Zuständigkeit, der Organisation und Rechtsstellung. Sie bilden die Grundstruktur der Aufsichtstätigkeit und sind wegen des föderalistischen Systems der Bundesrepublik Deutschland vielfältig, aber auch unübersichtlich und kompliziert. Um klarzustellen, was mit der Datenschutzaufsicht im nicht-öffentlichen Bereich gemeint ist, sind zunächst der Begriff des nicht-öffentlichen Bereichs und der der Aufsichtsbehörde kurz zu erläutern, bevor die Besonderheiten in der Struktur der Datenschutzaufsicht in diesem Bereich im Überblick dargestellt werden können.

1. Der nicht-öffentliche Bereich

Wenn hier, wie auch schon in der Einleitung, von Datenschutzaufsicht im nicht-öffentlichen Bereich die Rede ist, so ist damit ausschließlich die Aufsicht nach § 38 BDSG gemeint, auf die sich die vorliegende Arbeit konzentrieren soll. § 38 BDSG findet sich im Dritten Abschnitt des Bundesdatenschutzgesetzes und gilt nach § 27 Abs. 1 S. 1 Hs. 1 BDSG nur für nicht-öffentliche Stellen (§ 27 Abs. 1 S. 1 Nr. 1 BDSG). Was für Stellen nicht-öffentliche Stellen sind, wird durch die Aufzählung in § 2 Abs. 4 BDSG aufgezeigt. Danach sind dies natürliche und juristische Personen (z.B. GmbH), Gesellschaften (z.B. OHG) und andere Personenvereinigungen (z.B. nicht-rechtsfähige Vereine) des privaten Rechts. Durch die Aufzählung wird erreicht, dass grundsätzlich jede Stelle, die nicht öffentlich ist und Daten verwendet, erfasst wird.17 Hauptgegenstand der Datenschutzaufsicht ← 9 | 10 → durch die Aufsichtsbehörden nach § 38 BDSG ist damit die Datenverwendung bei allen Privaten. Für einige Bereiche, die demnach dem nicht-öffentlichen Bereich zuzuordnen sind, gelten jedoch nicht nur bereichsspezifische Sondervorschriften für den Datenschutz, sondern teilweise auch spezielle abweichende, sektorspezifische Zuständigkeiten bei der Datenschutzaufsicht (dazu sogleich unter 4.). Eine nicht-öffentliche Stelle ist im Übrigen als öffentliche Stelle anzusehen, soweit sie hoheitliche Aufgaben der Verwaltung wahrnimmt, zum Beispiel als Beliehener (§ 2 Abs. 4 S. 2 BDSG). Ebenfalls von der Aufsicht nach § 38 BDSG erfasst sind die in § 27 Abs. 1 S. 1 Nr. 2 BDSG genannten öffentlichen Stellen, die als öffentlich-rechtliche Unternehmen am Wettbewerb teilnehmen. Zum Teil bestehen auch spezielle landesrechtliche Regelungen, die bestimmte öffentlich-rechtliche Unternehmen der Aufsicht nach § 38 BDSG unterstellen, wie etwa § 2 Abs. 3 SächsDSG. Auf die Einzelheiten und Schwierigkeiten bei der Bestimmung der sachlichen Zuständigkeit für die Aufsicht über öffentlich-rechtliche Wettbewerbsunternehmen und Unternehmen, die im Auftrag von öffentlichen Stellen personenbezogene Daten verarbeiten, kann an dieser Stelle nicht eingegangen werden, da dies den Rahmen dieser Arbeit sprengen würde und keine Frage ist, die die Rechtsstellung und insbesondere die Ausübung der Aufsicht als solche betrifft.18 Entsprechendes gilt für die Bestimmung der sachlichen Zuständigkeit für die Aufsicht im Bereich des Sozialdatenschutzes19 und bei Kirchen20, was bei letzteren vor allem bei privatrechtlichen Organisationsformen Probleme ergeben kann. Ausgenommen, da schon der Anwendungsbereich des Bundesdatenschutzgesetzes nicht eröffnet ist, sind Stellen, soweit sie personenbezogene Daten ausschließlich für persönliche oder familiäre Tätigkeiten verwenden (§ 1 Abs. 2 Nr. 3, § 27 Abs. 1 S. 2 BDSG).21

Details

Seiten
XXIV, 446
Erscheinungsjahr
2014
ISBN (PDF)
9783653048841
ISBN (MOBI)
9783653980172
ISBN (ePUB)
9783653980189
ISBN (Paperback)
9783631655061
DOI
10.3726/978-3-653-04884-1
Sprache
Deutsch
Erscheinungsdatum
2014 (August)
Schlagworte
Datenschutzbeauftragter Datenschutzrecht Datenschutzaufsichtsbehörde
Erschienen
Frankfurt am Main, Berlin, Bern, Bruxelles, New York, Oxford, Wien, 2014. XXIV, 446 S.
Produktsicherheit
Peter Lang Group AG

Biographische Angaben

Tobias Born (Autor:in)

Tobias Born studierte Rechtswissenschaft in Bielefeld, Münster und Melbourne. Er war für mehrere internationale Wirtschaftskanzleien als Wissenschaftlicher Mitarbeiter im Bereich des IT- und Datenschutzrechts tätig. Derzeit ist er Rechtsreferendar beim Landgericht Düsseldorf.

Zurück

Titel: Die Datenschutzaufsicht und ihre Verwaltungstätigkeit im nicht-öffentlichen Bereich