4. bis 6. Oktober 2018: Saarbrücken

Die Bedeutung der Datenschutz-Grundverordnung für die Verwaltungsgerichte

Dr. Heberlein, EU-Kommission (*)

Die Bedeutung der Datenschutz-Grundverordnung für die Verwaltungsgerichte

I. Die Datenschutz-Grundverordnung (DS-GVO)

1. Die Relevanz der DS-GVO für die Verwaltungsgerichte

Verwaltungsgerichte gewährleisten Rechtsschutz in Bezug auf die Datenverarbeitung durch Behörden und öffentliche Einrichtungen sowie gegen rechtsverbindliche Beschlüsse der Datenschutz-Aufsichtsbehörden. Die Gerichte sind bei ihrer eigenen Verarbeitung personenbezogener Daten aber auch selbst an die Verordnung gebunden.

2. Der Regelungsansatz der DS-GVO

Die DS-GVO schafft ein Europäisches Datenschutzrecht, das die bisherigen nationalen Datenschutz-Regime ersetzt. Als Europäische Verordnung gilt sie unmittelbar in allen Mitgliedstaaten (Art. 288 Abs. 2 AEUV). Die nationalen Datenschutz-Aufsichtsbehörden und der Europäische Datenschutzausschusses haben eine zentrale Rolle für die einheitliche Anwendung der DS-GVO.

3. Die Rolle des nationalen Rechts

Spezifizierungen der DS-GVO durch nationales Recht sind nur zulässig, wo und inwieweit die Verordnung selbst Präzisierungen oder Einschränkungen durch das Recht der Mitgliedstaaten vorsieht.

4. Gründe für das neue Datenschutzrecht

Die Gründe für ein neues Datenschutzrecht ergeben sich vor allem aus dem technologischen Fortschritt und der Globalisierung, dem Grundrecht auf den Schutz personenbezogener Daten und der Fragmentierung der nationalen Datenschutz-Systeme.

5. Der Weg zur DS-GVO

Der Kommissionsvorschlag war das Ergebnis umfassender Konsultationen, die über zwei Jahre andauerten und an denen die wichtigsten Interessengruppen beteiligt waren. Am 25.1.2012 legte die Europäische Kommission ihren Gesetzesvorschlag dem Europäischen Parlament und dem Rat vor, der nach einer Verhandlungsdauer von mehr als vier Jahren im Mai 2016 in Kraft trat.

6. Keine Revolution – Evolution des Europäischen Datenschutzrechts

Die DS-GVO folgt dem Ansatz der Datenschutzrichtlinie 95/46/EG. Aufbauend auf den zwanzigjährigen Erfahrungen mit dem EU-Datenschutzrecht und der einschlägigen Rechtsprechung präzisiert und modernisiert sie die Datenschutzvorschriften. Sie enthält eine Reihe neuer Elemente, die den Schutz der Rechte des Einzelnen und der Unternehmen stärken. Trotz ihrer neuen Regelungen ist die DS-GVO in materiell-rechtlicher Hinsicht keine Revolution, sondern eine Evolution des europäischen Datenschutzrechts.

II. Die Bedeutung der DS-GVO für die eigene Datenverarbeitung der Verwaltungsgerichte

1. Allgemeine Grundsätze

Die Gerichte müssen wie alle für die Datenverarbeitung Verantwortlichen die Grundsätze der DS-GVO (Art. 5) umsetzen und – entsprechend dem Grundsatz der Rechenschaftspflicht - in der Lage sein, deren Einhaltung auch nachzuweisen.

2. Rechtmäßigkeit der Verarbeitung

Art. 8 Abs. 2 der Charta der Grundrechte der EU bestimmt, dass personenbezogene Daten nur mit Einwilligung der betroffenen Person oder auf einer sonstigen gesetzlich geregelten legitimen Grundlage verarbeitet werden dürfen. Art. 6 Abs. 1 DS-GVO konkretisiert den Grundsatz der Rechtmäßigkeit und legt diese rechtlichen Gründe für die Verarbeitung abschließend fest. Für die Gerichte wie für alle Behörden sind die maßgebenden Rechtsgrundlagen vor allem rechtliche Verpflichtungen und Aufgaben im öffentlichen Interesse bzw. in Ausübung der ihnen übertragenen öffentlichen Gewalt, die durch Unionsrecht oder nationales Recht festgelegt sind.

3. Pflichten der Gerichte als für die Datenverarbeitung Verantwortliche

Die Verantwortung der Gerichte für ihre eigene Datenverarbeitung umfasst die Pflicht, geeignete technische und organisatorische Maßnahmen umzusetzen, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung im Einklang mit der DS-GVO erfolgt.

4. Interne Kontrolle: Datenschutzbeauftragte der Gerichte Behörden und andere öffentliche Stellen sind zur Benennung eines Datenschutzbeauftragten verpflichtet. Das gilt auch für die Gerichte. Art. 37 Abs. 1 Buchst. a bestimmt eine Ausnahme für Gerichte nur „soweit sie im Rahmen ihrer justiziellen Tätigkeit handeln“. Die Benennungspflicht für Gerichte greift deshalb nur dann nicht, wenn es um die Verarbeitung personenbezogener Daten für die Rechtsprechung als die eigentliche gerichtliche Tätigkeit geht.

5. Externe Kontrolle der Datenverarbeitung

Nach Art. 55 Abs. 3 sind die Aufsichtsbehörden „nicht zuständig für die Aufsicht über die von Gerichten im Rahmen ihrer justiziellen Tätigkeiten vorgenommenen Verarbeitung“. Auch hier beschränkt sich die Freistellung von der Aufsicht durch die Datenschutzbehörde auf die Tätigkeiten, die mit der gerichtlichen Entscheidungsfindung in Zusammenhang stehen und im Interesse der richterlichen Unabhängigkeit von einer behördlichen Kontrolle nicht beeinflusst werden sollen. Mit der Aufsicht für die Datenverarbeitung durch Gerichte im Rahmen ihrer justiziellen Tätigkeit sollten „besondere Stellen im Justizsystem des Mitgliedstaats“ betraut werden (EG 20).

III. Rechtsschutz gegen Behörden und öffentliche Einrichtungen

1. Dualismus von gerichtlichem Rechtsschutz und Beschwerde

Die betroffene Person hat das Recht, sich bei Verstößen gegen die Verordnung bei der Verarbeitung der sie betreffenden personenbezogenen Daten sowohl mit einer Beschwerde an die Datenschutzbehörde zu wenden als auch vor Gericht gegen Verantwortliche oder Auftragsverarbeiter vorzugehen.

2. Rechtsschutz gegen die Datenverarbeitung im öffentlichen Bereich

Erfolgt die Datenverarbeitung durch eine Behörde oder öffentliche Einrichtung in Wahrnehmung ihrer öffentlich-rechtlichen Aufgaben, hat die betroffene Person das Recht, einen gerichtlichen Rechtsbehelf geltend zu machen – und zwar zum Verwaltungsgericht, wenn das nationale Recht dessen Zuständigkeit bestimmt. Die DS-GVO regelt, welcher Mitgliedstaat die Gerichtszuständigkeit hat. Die Zuweisung zu einer bestimmten Gerichtsbarkeit und die Festlegung örtlichen und sachlichen Zuständigkeit der Gerichte ist hingegen Sache des nationalen Rechts. Die betroffene Person hat das Recht, eine Einrichtung, Organisation oder Vereinigung zu beauftragen, in ihrem Namen einen gerichtlichen Rechtsbehelf geltend zu machen. Die Mitgliedstaaten können vorsehen, dass diese Einrichtungen, Organisationen oder Vereinigungen auch von sich aus, also ohne Beauftragung durch eine betroffene Person, das Recht haben, bei der zuständigen Aufsichtsbehörde eine Beschwerde einzulegen und Klage zu erheben.

IV. Rechtsschutz für Verantwortliche und Auftragsverarbeiter gegen die Aufsichtsbehörde

1. Rechtsschutz gegen Beschlüsse der Aufsichtsbehörde

Die DS-GVO gewährleistet Verantwortlichen und Auftragsverarbeitern das Recht auf einen wirksamen gerichtlichen Rechtsbehelf gegen einen rechtsverbindlichen Beschluss einer Aufsichtsbehörde. Die Befugnisse jeder Aufsichtsbehörde zu solchen rechtsverbindlichen Beschlüssen sind in Art. 58 DS-GVO harmonisiert.

2. Rechtsschutz gegen Bußgeldbescheide der Aufsichtsbehörde

Bei Verstößen gegen Bestimmungen der DS-GVO oder bei Nichtbefolgung ihrer Anweisungen kann die Aufsichtsbehörde Geldbußen in einer Höhe von bis zu 20 Millionen Euro oder – im Fall eines Unternehmens – von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vergangenen Geschäftsjahres verhängen, je nachdem, welcher Betrag höher ist. Die Mitgliedstaaten können Rechtsbehelfe gegen Geldbußen auch einer anderen Gerichtsbarkeit zuweisen.

3. Rechtsschutz gegen Maßnahmen der federführenden Aufsichtsbehörde

Bei grenzüberschreitenden Sachverhalten findet der Kooperationsmechanismus (Art. 56, 60) Anwendung. Nach der Einigung der beteiligten Aufsichtsbehörden auf ein gemeinsames Vorgehen gegen grenzüberschreitend tätigen Verantwortlichen oder Auftragsverarbeitern erlässt die federführende Aufsichtsbehörde den rechtsverbindlichen Beschluss. Dieser kann vor dem zuständigen Gericht des Mitgliedstaates angefochten werden, dem die federführende Aufsichtsbehörde angehört.

4. Rechtsschutz gegen Maßnahmen des Europäischen Datenschutz-Ausschusses

Kommt es zu keiner Einigung der beteiligten Aufsichtsbehörden, erlässt der Europäische Datenschutz-Ausschuss im Kohärenzverfahren einen verbindlichen Beschluss über die streitigen Fragen (Art. 65). Dieser Beschluss kann mit der Nichtigkeitsklage nach Art. 263 AEUV vor dem Gerichtshof der Europäischen Union angefochten werden, wenn er den Kläger unmittelbar und individuell betrifft. Auf der Grundlage des Beschlusses des Ausschusses erlässt die federführende Aufsichtsbehörde den endgültigen Beschluss, der vor den Gerichten des Mitgliedstaates dieser Aufsichtsbehörde angefochten werden kann.

V. Rechtsschutz der betroffenen Person gegen die Aufsichtsbehörde

1. Rechtsschutz gegen negative Entscheidungen der Aufsichtsbehörde

Das Recht auf einen wirksamen gerichtlichen Rechtsbehelf besteht auch dann, wenn die Aufsichtsbehörde eine Beschwerde der betroffenen Person zurückweist oder ablehnt. Die Beschwerde kann bei jeder Aufsichtsbehörde in einem Mitgliedstaat erhoben werden. Danach richtet sich auch Zuständigkeit des Gerichts bei einer Zurückweisung oder Ablehnung der Beschwerde.

2. Rechtsschutz bei Untätigkeit der Aufsichtsbehörde

Die DS-GVO kennt auch eine Untätigkeitsklage gegen die Aufsichtsbehörde vor dem zuständigen Gericht des Mitgliedstaates in dem die Aufsichtsbehörde ihren Sitz hat. Diese Klage ist statthaft, wenn sich die Aufsichtsbehörde nicht mit der Beschwerde befasst oder die betroffene Person nicht innerhalb von drei Monaten über den Stand oder das Ergebnis der Beschwerde in Kenntnis gesetzt hat.

_______________________________________________________________________

(*) Das Manuskript des Vortrags des Referenten können Sie in seiner originalen Formatierung hier herunterladen (DOCX, 27 KB).