Abo

Kurzbeitrag : Staatshaftung bei Untätigkeit der (irischen) Aufsichtsbehörde? : aus der RDV 4/2022, Seite 198 bis 202

Thomas Kahler
Lesezeit 1 Min.

Die Folgen von EuGH Schrems II für die Aufsichtsbehörden

Die DS-GVO hat den Umsetzungsdruck für Unternehmen und Behörden im Datenschutz auf ein neues, hohes Niveau gehoben. Gleichwohl betonen einige Autoren, dass die DS-GVO das „Umsetzungsdefizit“ im Datenschutz bisher nicht beseitigt habe. Als Achillesferse in dieser Konstellation gilt vielen die irische Datenschutzbehörde.[1]

Die irische Aufsichtsbehörde ist für mehrere internationale Konzerne, wie Facebook und Google, die ihre europäische Zentrale in Irland haben, als federführende Aufsichtsbehörde für ganz Europa zuständig. Nicht zuletzt der Bundesbeauftragte für Datenschutz macht das „Umsetzungsdefizit“ gegenüber diesen Konzernen an der zögerlichen Haltung der irischen Datenschutzaufsicht fest.[2] Gleichzeitig hat der EuGH in seinem Urteil Schrems II aber festgestellt, dass die Aufsichtsbehörden nicht frei entscheiden können, ob sie tätig werden oder nicht. Vielmehr seien die Aufsichtsbehörden dazu „verpflichtet, mit aller gebotenen Sorgfalt ihre Aufgabe zu erfüllen, die darin besteht, über die umfassende Einhaltung der DS-GVO zu wachen.“[3]

Deshalb stellt sich die Frage, ob die Aufsichtsbehörden selbst mit rechtlichen Konsequenzen rechnen müssen, wenn sie ihren gesetzlichen Pflichten nicht nachkommen. Unabhängig davon, ob man die rechtspolitische Einschätzung des Bundesbeauftragten teilt, rückt deshalb die Frage der Staatshaftung für untätige Aufsichtsbehörden in den Fokus der datenschutzrechtlichen Diskussion.[4]

I. Die Pflichten einer Aufsichtsbehörde nach EuGH Schrems II

Eine Aufsichtsbehörde hat vor allem die Aufgabe gem. Art. 51 Abs. 1 DS-GVO das Recht auf Datenschutz des Einzelnen zu schützen und muss gem. Art. 57 Abs. 1 lit. a) DS-GVO „…die Anwendung dieser Verordnung überwachen und durchsetzen.

Damit die Aufsichtsbehörde ihrer Verpflichtung nachkommen kann, werden dieser umfangreiche Befugnisse eingeräumt. Diese Befugnisse unterteilen sich gem. Art. 58 DS-GVO im Wesentlichen in Untersuchungsbefugnisse, Abhilfebefugnisse und Genehmigungsbefugnisse, wobei hier nur auf die Abhilfebefugnisse eingegangen werden soll. Die Abhilfebefugnisse untergliedern sich insbesondere in:

  • die Beschränkung der Verarbeitung inklusive des Verbots der Verarbeitung,
  • die Anweisung, Datenverarbeitungen in Einklang mit der DS-GVO zu bringen,
  • die Verwarnung, wenn Datenverarbeitungen gegen die DSGVO verstoßen,
  • die Verhängung einer Geldbuße,
  • die Anordnung der Berichtigung oder Löschung von personenbezogenen Daten und
  • die Aussetzung der Übermittlung von Daten in ein Drittland.

In der Entscheidung Schrems II wurde der EuGH durch den Irischen High Court um Entscheidung darüber gebeten, welche Aufgaben eine Aufsichtsbehörde in Hinblick auf den Drittlandverkehr außerhalb der EU habe. Der EuGH beantwortete diese Frage im Wege einer weiten Auslegung der Aufgaben der Aufsichtsbehörde. Die Aufsichtsbehörde müsse danach sogar rechtliche Zweifel an einem sog. Angemessenheitsbeschluss in Hinblick auf ein sicheres Drittland in einem gerichtlichen Verfahren geltend machen, obwohl ein solcher Beschluss von der EU-Kommission getroffen werde. Die Prüfungspflicht der Aufsicht bestehe in umfassender Weise. Diese umfassende Prüfungspflicht gelte auch in Ansehung der Tatsache, dass die Verwerfungskompetenz für einen solchen Angemessenheitsbeschluss der Kommission ausschließlich beim EuGH und nicht etwa bei den Aufsichtsbehörden liege. Aus den Ausführungen des EuGH lässt sich ableiten, dass die Prüfpflicht der Aufsicht erst recht dort besteht, wo der Aufsicht eigene Abhilfebefugnisse zur Verfügung stehen.

Zudem lässt der EuGH in seiner Entscheidung Schrems II keinen Zweifel daran, dass die zentrale Aufgabe der Überwachung der Einhaltung der DS-GVO nicht nur eine bloße Möglichkeit darstelle, die einer Aufsichtsbehörde zustehe. Die Aufgabe der Überwachtung enthalte vielmehr eine rechtliche Verpflichtung, die von einer Aufsichtsbehörde auch tatsächlich zu erfüllen sei. Der EuGH führt dazu aus:[5]

„Auch wenn die Aufsichtsbehörde das geeignete und erforderliche Mittel zu wählen hat und dabei alle Umstände der fraglichen Übermittlung personenbezogener Daten berücksichtigen muss, ist sie gleichwohl verpflichtet, mit aller gebotenen Sorgfalt ihre Aufgabe zu erfüllen, die darin besteht, über die umfassende Einhaltung der DS-GVO zu wachen.“

Deshalb stellt sich die Frage, welche rechtlichen Konsequenzen die Untätigkeit einer Aufsichtsbehörde nach sich zieht, wenn diese Untätigkeit zu einer Verkürzung des Rechts auf Datenschutzes des Einzelnen führt. Eine mögliche Folge ist ein Schadensersatzanspruch nach den Grundsätzen des europarechtlichen Staatshaftungsrechts.

II. Entwicklung und Voraussetzungen des europarechtlichen Staatshaftungsrechts

Der EuGH entwickelte das europäische Staatshaftungsrecht gerade mit dem Ziel, den Einzelnen für die Verletzung von individuellen Rechten zu entschädigen, die dem Einzelnen durch EU-Recht verliehen wurden und die durch einen Mitgliedsstaat verletzt werden. Das Europarecht räume nicht nur den Mitgliedsstaaten sondern auch den einzelnen Bürgern Rechte ein. Die effektive Umsetzung des EU-Rechts erfordere, dass dem einzelnen Bürger ein Anspruch auf Schadensersatz gegenüber einem Mitgliedsstaat zusteht, wenn dieser Mitgliedsstaat seinen Pflichten aus dem EU-Recht nicht nachkommt und damit dem Bürger die Gewährleistung dessen individueller Rechte vorenthält. Der Gerichtshof leitete dabei das europäische Staatshaftungsrecht unmittelbar aus dem Wesen des damaligen EG-Vertrages ab.[6]

Das europäische Staatshaftungsrecht ist also eine Rechtsfortbildung durch Richterrecht, das der EuGH bereits in einer frühen Phase der Gemeinschaft entwickelt hat, um die Effektivität der Umsetzung des EU-Rechts durch die Mitgliedsstaaten zu gewährleisten.

Wegen der besonderen Rechtsstellung einer Aufsichtsbehörde könnte man allerdings annehmen, dass die Unabhängigkeit der Aufsichtsbehörde[7] eine Haftung des Mitgliedsstaates ausschließt, da der Mitgliedsstaat gar keine Möglichkeit hat, auf die Aufsichtsbehörde Einfluss zu nehmen. Der EuGH betrachtet den Nationlstaat allerdings in Ansehung der Staatshaftung als Einheit. Daher sei es unbeachtlich, welche Gewalt den Verstoß gegen das EU-Recht zu verantworten hat.[8] Verstöße kämen sowohl seitens der Exekutive, der Legislative als auch der Judikative in Betracht. Genauso wie bei den Gerichten ist also die Unabhängigkeit der Aufsichtsbehörden für den Datenschutz kein Grund, die Haftung des Mitgliedstaates für die Aufsichtsbehörden auszuschließen.

Konkret hat der EuGH drei Voraussetzungen aufgestellt, die gleichzeitig erfüllt sein müssen, um einen Schadensersatzanspruch des Einzelnen zu begründen:

a) Die verletzte Rechtsnorm bezweckt, dem Einzelnen Rechte zu verleihen.

b) Der Verstoß ist hinreichend qualifiziert.

c) Zwischen dem unmittelbaren Kausalzusammenhang

Die Voraussetzungen des europarechtlichen Staatshaftungsanspruches unterscheiden sich grundlegend von den Voraussetzungen des nationalen Amtshaftungsanspruches im deutschen Recht. Im Gegensatz zum nationalen Amtshaftungsanspruch gem. Art. 34 GG i.V.m. § 839 BGB verlangt der europäische Staatshaftungsanspruch u.a. keine Pflichtverletzung eines Amtsträgers.[9] Ein Verschulden im Sinne des Vorsatzes oder der Fahrlässigkeit der Leitung der Aufsichtsbehörde oder aber eines Mitarbeiters der Aufsichtsbehörde gem. § 276 BGB ist also nicht gefordert. Ein bloßer Verstoß gegen die DS-GVO ist dagegen ausreichend, um den Anspruch zu begründen.

Der BGH sieht deshalb den europarechtlichen Staatshaftungsanspruch als einen vollkommen eigenständigen Anspruch an, der unabhängig neben dem nationalen Amtshaftungsanspruch besteht. Laut EuGH dürfen zumindest die im nationalen Staatshaftungsrecht festgelegten Voraussetzungen nicht ungünstiger sein und dürfen nicht so ausgestaltet werden, dass die Erlangung der Entschädigung praktisch unmöglich oder übermäßig erschwert wird, wenn der europarechtliche Staatshaftungsanspruch als Teil des nationalen Amtshaftungsanspruch angesehen werden sollte.[10]

III. Untätigkeit der Aufsichtsbehörde als qualifizierter Verstoß i.S.d. Staatshaftungsrechts?

Zunächst lässt sich festhalten, dass die DS-GVO gem. Art. 1 Abs. 2 DS-GVO die Grundrechte und Grundfreiheiten natürlicher Personen und dabei insbesondere das Recht auf Datenschutz gem. Art. 8 EU-Grundrechtecharta schützt. Daher verleiht die DS-GVO dem Einzelnen auch unmittelbar bestimmte Rechte.[11] Darüber hinaus dienen die Aufsichtsbehörden gerade dazu, diese Rechte in der Lebenswirklichkeit der Betroffenen wirksam werden zu lassen.

Die zweite Voraussetzung des Staatshaftungsanspruches ist, dass der Verstoß der Aufsichtsbehörde hinreichend qualifiziert sein muss. Ein Verstoß gegen das Gemeinschaftsrecht ist dabei als hinreichend qualifiziert anzusehen, wenn ein Mitgliedstaat die Grenzen, die seinem Ermessen gesetzt sind, offenkundig und erheblich überschritten hat.[12]

Die Anforderungen an einen qualifizierten Verstoß unterscheiden sich, je nach dem welche Staatsgewalt diesen Verstoß begeht und wie detailliert die Regelungstiefe des betroffenen Rechtsgebietes ist.[13]

Naheliegend ist, die Verstöße der Aufsichtsbehörden als eine Form des „administratives Unrechts“ einzustufen. Zwar sind die Aufsichtsbehörden im Gegensatz zu herkömmlichen Behörden unabhängig. Im Übrigen sind die Handlungsformen der Aufsichtsbehörden allerdings dem allgemeinen Verwaltungsrecht entlehnt, das auch für sonstige Behörden gilt.

Beim administrativen Unrecht kann bereits die bloße Verletzung des Gemeinschaftsrechts für einen hinreichend qualifizierten Verstoß ausreichen. Dies gilt nach Ansicht des EuGH insbesondere dann, wenn das relevante Gesetz keine alternativen Handlungsmöglichkeiten enthält und nur einen geringfügigen oder gar keinen Ermessensspielraum vorsieht.[14]

Allerdings ist darauf hinzuweisen, dass der EuGH das Ermessen nicht als alleinigen Maßstab für die Beurteilung eines qualifizierten Verstoßes heranzieht, sondern eine Gesamtschau aller Gesichtspunkte des Sachverhaltes verlangt.[15] Zu diesen Gesichtspunkten gehören u.a die Regelungstiefe der verletzten Vorschrift, ob der Verstoß bzw. der Schaden vorsätzlich zugefügt wurde, eine mögliche Entschuldbarkeit eines Rechtsirrtums und die Frage, ob auch ein Gemeinschaftsorgan zum Verstoß durch die nationalen Maßnahmen beigetragen habe.[16] Ein Verschulden ist dabei allerdings – wie oben erwähnt – keine echte Tatbestandsvoraussetzung. Die Subsumtion unter diese Voraussetzungen des EuGH obliegt dabei den nationalen Gerichten.

Wendet man diese Grundsätze auf den Sachverhalt des EuGH Schrems II an, so verbleiben Zweifel am Vorliegen eines qualifizierten Verstoßes, als die Irische Aufsichtsbehörde keine Handlungspflicht dort sah, wo die Aufsichtsbehörden keine Verwerfungskompetenz für einen Angemessenheitsbeschluss der EU-Kommission besitzen. Zeitlich mit dem Urteil Schrems II ist die Handlungspflicht der Aufsichtsbehörde allerdings auch in dieser Hinsicht geklärt.

Darüber hinaus ist ein qualifizierter Verstoß gegen eine hinreichend detaillierte Regelung der DS-GVO wohl insofern zu sehen, als eine generelle Prüfpflicht der Aufsicht im Falle einer Beschwerde eines Betroffenen besteht, bei der die Aufsicht auch eine eindeutige Verwerfungskompetenz hat. Nach einer eingehenden Prüfung der Beschwerde hat die Aufsicht dann auch „geeignete und erforderliche Mittel zu wählen“[17], um einer festgestellten Unzulänglichkeit abzuhelfen.[18]

Aufgrund der insofern detaillierten Regelung der Aufsichtsbefugnisse der DS-GVO, die jetzt zusätzlich durch das Urteil EuGH Schrems II konkretisiert wurden, kann die Prüfung des Ernessens nach dem deutschen Verwaltungsrecht gem. § 40 VwVfG i.V.m. § 114 VwGO durchaus eine erste Orientierung für einen qualifizierten Verstoß geben. Beim Ermessen wird zunächst zwischen dem Entschließungsermessen und dem Auswahlermessen unterschieden. Als erstes entscheidet eine Behörde, ob sie überhaupt tätig wird, und im zweiten Schritt, welche Maßnahmen sie ergreift. Dabei kommen als Ermessensfehler die Ermessensunterschreitung, der Ermessenfehlgebrauch und die Ermessensüberschreitung in Betracht. Am klarsten ist der Verstoß einer Aufsichtsbehörde gegen die Ermessensgrundsätze bei der sog. Ermessensreduzierung auf Null, bei der nur eine einzige Handlungsalternative der Aufsichtsbehörde ermessensfehlerfrei ist.

Einen solchen Fall hat kürzlich das VG Wiesbaden entschieden.[19] Dabei wandte sich ein Betroffener an die Hessische Aufsichtsbehörde (HBDI), um die Löschung eines negativen Eintrages bei der Schufa zu erwirken. Der Betroffene geriet zwar in Zahlungsschwierigkeiten, vereinbarte allerdings eine Ratenzahlung mit seiner Bank, so dass eine parallele Schufameldung des beauftragten Inkassounternehmens unzulässig gewesen sei. Der Betroffene hat laut VG Wiesbaden insofern einen Anspruch auf ermessenfehlerfreie Entscheidung gegenüber dem HBDI. Der HBDI hätte die Schufa zur Löschung der rechtswidrig gespeicherten Daten auffordern müssen.

Die vom VG Wiesbaden festgestellte Ermessensreduzierung auf Null wäre also vermutlich als qualifizierter Verstoß i.S.d. Staatshaftungsanspruches zu bewerten, da der HBDI keine Handlungsalternative hatte, sondern verpflichtet war, die Löschung der Daten anzuordnen.

Die Artt. 77 und 78 DS-GVO geben einen weiteren Hinweis darauf, wann ein Unterlassen einer Aufsichtsbehörde als ein qualifizierter Verstoß i.S.d. Staatshaftungsrechtes anzusehen ist. Dananch ist die Aufsichtsbehörde gem. Art. 78 Abs. 2 DS-GVO verpflichtet, auf eine Beschwerde des Betroffenen zu reagieren, indem sie den Betroffenen binnen drei Monaten über den Stand der Beschwerde informiert. Die Aufsichtsbehörde muss den Betroffenen zudem in einer angemessen Zeit über das Ergebnis der Maßnahmen informieren. Die Reaktionszeit in dieser Hinsicht richtet sich insbesondere nach der Komplexität der Angelegenheit und der Frage, ob die Aufsichtsbehörde weitere Ermittlungen anstellen bzw. weitere Stellen einbinden muss.

Darüber hinaus spricht viel dafür, dass eine Entscheidung einer Aufsichtsbehörde, die nach einer Beschwerde eines Betroffenen getroffen wird, i.d.R. einen rechtsverbindlichen Verwaltungsakt darstellt[20] und der Betroffene diese Entscheidung gem. Art. 78 Abs. 1 DS-GVO gerichtlich voll überprüfen lassen kann.[21] Deswegen kann nicht nur eine Untätigkeit einer Aufsichtsbehörde sondern jeder andere Ermessensfehler i.S.d. Europarechts grundsätzlich einen Staatshaftungsanspruch auslösen.

Ein qualifizierter Verstoß i.S.d. europarechtlichen Staatshaftungsanspruch wird allerdings nur dann anzunehmen sein, wenn die Aufsichtsbehörde in einem erheblichen Maße gegen die (europarechtlichen) Grundsätze der Ermessensausübung verstoßen hat.

IV. Kausalität und Schaden

Auf die Kausalität als eine weitere von drei Voraussetzungen für den Staatshaftungsanspruch soll hier nicht ausführlich eingegangen werden. Denn eine emessensfehlerhafte Verkürzung des Rechts auf Datenschutz durch eine Aufsichtsbehörde ist – neben der Datenschutzverletzung durch die verantwortliche Stelle – in der Regel auch kausal für den Eingriff in das Recht auf Datenschutz des Betroffenen.

Für die Prüfung des Schadens als letzte Voraussetzung des Staatshaftungsanspruches muss man sich erneut – wie für den europarechtlichen Staatshaftungsanspruch insgesamt – von der Dogmatik im deutschen Recht lösen. So ist etwa eine Rechtsgutverletzung keine Voraussetzung dafür, dass eine Schadensersatzpflicht nach dem europarechtlichen Staatshaftungsanspruch entsteht.[22]

Darüber hinaus zeigt der o.g. Fall des VG Wiesbaden, dass eine Datenverarbeitung einen Vermögensschaden nach sich ziehen kann. Denn ein negativer Schufaeintrag kann beispielsweise unmittelbare Auswirkungen auf die Finanzierungskosten eines Bankkredits haben.

Weiterhin stellt sich jedoch die entscheidende Frage, ob auch ein immaterieller Schaden im Rahmen des Staatshaftungsanspruchs in Geld kompensiert werden kann.

Die Voraussetzungen und der Umfang des europarechtlichen Staatshaftungsanspruchs orientiert sich insgesamt an der konkret betroffenen Regelungsmaterie. Das haben die obigen Ausführungen zur Frage gezeigt, wann ein qualifizierter Verstoß i.S.d. Staatshaftungsanspruches vorliegt. Deswegen ist es naheliegend, auch das Schadensregime der DS-GVO insofern auf den Staatshaftungsanspruch gegenüber den Datenschutzaufsichtsbehörden zu übertragen.

Die DS-GVO will gerade mit der Schadenssystematik das Grundrecht auf Datenschutz des Einzelnen effektiv schützen. Deswegen sind immaterielle Schäden laut DS-GVO ersatzfähig in Geld. Naheliegend ist deshalb, den Einzelnen auch für immaterielle Schäden zu kompensieren, die dadurch entstehen, dass die Aufsichtsbehörden ihren gesetzlichen Pflichten nicht nachkommen.

V. Europarechtlicher Staatshaftungsanspruch als zusätzlicher Rechtsbehelf für Betroffene

Der europarechtliche Staatshaftungsanspruch ist ein weiterer Rechtsbehelf, der dem Betroffenen zur Verfügung steht, wenn sein Recht auf Datenschutz durch eine Aufsichtsbehörde verkürzt wird.

Das Tätigwerden bzw. Unterlasen der Aufsichtsbehörde ist anhand der Grundsätze des sog. administrativen Unrechts zu prüfen. Danach kann ein erheblicher Verstoß gegen die (europarechtlichen) Grundzüge des Ermessens bei der Überwachung und der Durchsetzung der DS-GVO durch die Aufsichtsbehörden einen qualifizierter Verstoß i.S.d. Staatshaftungsrechts darstellen, der einen entsprechenden Anspruch begründet.

Aufgrund der Wertungen der DS-GVO ist aller Voraussicht nach auch ein immaterielle Schaden des Betroffenen in Geld ersatzfähig, der kausal auf das Handeln bzw. das Unterlassen der Aufsichtsbehörde zurück geführt werden kann.

Ein Verschulden der Aufsichtsbehörde, ihrer Leitung oder ihrer Mitarbeitenden ist – anders als im nationalen Recht – nicht erforderlich.

VI. Einordnung des Staatshaftungsanspruches in das System der Rechtsbehelfe der DS-GVO

Die Einordnung des europarechtlichen Staatshaftungsanspruchs in das System der Rechtsbehelfe nach der DS-GVO wirft noch eine Vielzahl von Fragen auf, die an dieser Stelle allerdings nicht umfassend betrachtet werden können.

Der Betroffene hat gem. Art. 77 DS-GVO das Recht, sich mit einer Beschwerde an eine Aufsichtsbehörde zu wenden. Der EuGH hat in seiner Entscheidung Schrems II dargelegt, dass eine Aufsichtsbehörde zumindest in Folge einer sochen Beschwerde im Rahmen ihres Ermessens eine Entscheidung treffen muss, auf welche Weise sie tätig wird, um ihre Aufgabe nach der DS-GVO zu erfüllen. Zu der Frage, ob und unter welchen Voraussetzungen eine Aufsichtsbehörde auch aufgrund einer Meldung einer Datenschutzverletzung gem. Art. 33 DS-GVO durch eine verantwortliche Stelle tätig werden muss, ist aktuell ein Verfahren beim EuGH anhängig.[23]Insbesondere bei schwerwiegenden Verstößen der verantwortlichen Stelle könnte eine entsprechende Ermessenseinschränkung, die zu einer Pflicht zum Tätigwerden der Aufsichtsbehörde führt, durchaus in Betracht kommen.

Anders als beim nationalen Amtshaftungsanspruch ist die Erschöpfung des Rechtsweges keine Voraussetzung des europarechtlichen Staatshaftungsanspruches. Deswegen muss der Betroffene sich nicht zunächst mit einem gerichtlichen Rechtsbehelf gegen eine Aufsichtsbehörde gem. Art. 78 DSGVO wenden, bevor er den europarechtlichen Staatshaftungsanspruch geltend macht.

Ob das Staatshaftungsrecht auch für Massenklageverfahren offen ist, kann etwa für die federführenden Zuständigkeit der irischen Datenschutzbehörde für Millionen von Nutzerdaten von besonderer Relevanz sein, weil vor diesem Hintergrund ein möglicher Gesamtschaden in Höhe von mehreren Millionen Euro denkbar ist.[24]

Schließlich stellt sich die Frage, wie ein europarechtlicher Staatshaftungsanspruch im einem Kooperationsverfahren gem. Art. 60 DS-GVO oder in einem Dringlichkeitsverfahren gem. Art. 66 DS-GVO geltend gemacht werden kann, in dem mehrere Aufsichtsbehörden gemeinsam tätig werden. Sofern mehrere Verantwortliche bzw. Auftragsverarbeiter an einer Datenverarbeitung beteiligt sind, haften diese gem. Art. 82 DS-GVO als Gesamtschuldner. Der Betroffene kann den gesamten Schaden gegen einen Beteiligten geltend machen. Der Innenausgleich ist danach eine interne Angelegenheit der Gesamtschuldner untereinander. Inwiefern dieser Ansatz auch auf einen Staatshaftungsanspruch übertragbar ist, bedarf einer weiteren Untersuchung.

VII. Bewertung

Die zögerliche Haltung der irischen Datenschutzaufsicht, die DS-GVO gegenüber internationalen Unternehmen durchzusetzen, hat den EuGH nicht nur veranlasst, die Pflichten der Aufsichtsbehörden in seinem Urteil Schrems II zu konkretisieren.

Mit dem Urteil Schrems II hat der EuGH auch implizit dargelegt, wann ein europarechtlicher Staatshaftungsanspruch gegen Datenschutzaufsichtsbehörden in Betracht kommt.

Gleichwohl wird das Damoklesschwert eines möglichen Staatshaftungsanspruches die Asymmetrie im System der europäsichen Datenschutzaufsicht nicht vollständig beheben. Wie soll eine nationale Aufsichtsbehörde eines kleinen Mitgliedsstaates die Hauptlast bei der Umsetzung der DSGVO gegenüber internationalen Unternehmen schultern können? Deswegen sollte die Diskussion darüber intensiviert werden, ob nicht die Schaffung einer europäsichen Datenschutzbehörde sinnvoll ist, die zentral für die Aufsicht von weltweit agierenden Unternehmen zuständig ist.[25]

* Der Autor ist Herausgeber des englischsprachigen Datenschutzblogs „DPOblog.eu“

[1] Vgl. die Übersicht des Irish Council for Civil Liberties: „3 ½ years of inaction by the Irish Data Protection Commission. – 2018, September 12th, Dr Johnny Ryan lodges a GDPR complaint against Google’s and IAB’s Real-Time Bidding systems at the Irish Data Protection Commission. – 2019, May 22nd, The DPC announces it has launched an inquiry into Google’s RTB system. – 2022, January 12th, DPC says it has written a “statement of issues” of what it will investigate (at last). This excludes data security – the critical issue of the complaint. – 2022, March 14th, The High Court grants leave for ICCL lawsuit against the DPC for inaction.“ https://www.iccl.ie/news/iccl-sues-dpc-overfailure-to-act-on-massive-google-data-breach/ Vgl. allerdings auch die Ankündigung der Irischen Aufsicht, den Datentransfer von Facebook in die USA zu untersagen, u.a. heise vom 08. Juli 2022, https://www.heise.de/news/Irische-Aufsicht-will-FacebookDatentransfer-in-die-USA-untersagen-7167378.html

[2] Der BfDI im Handelsblatt online am 13.01.2022: „Ich bin der Überzeugung, dass einige der US-amerikanischen Internetriesen nach wie vor in Europa Dienstleistungen und Services anbieten, die nicht konform sind mit der europäischen Datenschutz-Grundverordnung“, sagte er dem Handelsblatt. Er wünsche sich daher „dringend Entscheidungen insbesondere meiner irischen Kollegen zu diesen Beschwerden, die in dreistelliger Zahl dort vorliegen“. Kelber mahnte: „Gerade die großen internationalen Player müssen gezwungen werden, europäisches Recht einzuhalten.“

[3] EuGH C-311/18, Schrems II, vom 16.07.2020, u.a. Rn. 112: „Auch wenn die Aufsichtsbehörde das geeignete und erforderliche Mittel zu wählen hat und dabei alle Umstände der fraglichen Übermittlung personenbezogener Daten berücksichtigen muss, ist sie gleichwohl verpflichtet, mit aller gebotenen Sorgfalt ihre Aufgabe zu erfüllen, die darin besteht, über die umfassende Einhaltung der DS-GVO zu wachen.“

[4] Thomas Kahler, Irish DPC: liability for failure to act against Facebook, DPOblog.eu, 12.01.2020.

[5] EuGH C-311/18, Schrems II, vom 16.07.2020, Rn. 112

[6] EuGH C-6/90 und C-9/90, Francovich u.a., Slg. 1991, I-5357, vom 19.11.1991, Rn. 3.

[7] Vgl. Art. 52 Abs. 1 DS-GVO.

[8] EuGH C-46/93 und C-48/93, Brasserie du Pecheur u.a., vom 05.03.1996, Rn. 34.

[9] EuGH C-46/93 und C-48/93, Brasserie du Pecheur u.a., vom 05.03.1996, Rn. 79.

[10] EuGH C-5/94, vom 23.05.1996, Hedley Lomas, Rn. 31.

[11] Art. 78 Abs. 2 DS-GVO räumt den Betroffenen sogar einen Rechtsbehelf ein, gegen eine untätige Aufsichtsbehörde vorzugehen.

[12] EuGH C-46/93 und C-48/93, Brasserie du Pecheur u.a., vom 05.03.1996, Rn. 55.

[13] EuGH C-46/93 und C-48/93, Brasserie du Pecheur u.a., vom 05.03.1996, Rn. 45.

[14] EuGH C-5/94, Hedley Lomas, vom 23.05.1996, Rn. 28.

[15] EuGH C-424/97, Haim, vom 04.07.2000, Rn. 42.

[16] EuGH C-424/97, Haim, vom 04.07.2000, Rn. 43.

[17] EuGH C-311/18, Schrems II, vom 16.07.2020, Rn. 112.

[18] EuGH C-311/18, Schrems II, vom 16.07.2020, Rn. 109.

[19] VG Wiesbaden, 6 K 549/21.WI, vom 27.09.2021; dieser Fall ist allerdings nicht rechtskräftig, sondern geht in die Berufung.

[20] Die Annahme eines Verwaltungsaktes liegt nahe, da die Entscheidung der Aufsichtsbehörde i.d.R. eine Rechtswirkung gegenüber dem Betroffenen gem. § 35 VwVfG entfaltet; vgl. Härting/Flisek/Tiess CR 2018, 296 ff.

[21] „Vgl. Erwägungsgrund 141 DS-GVO: Danach soll jedem Betroffenen ein wirksamer gerichtlichen Rechtsbehelf zustehen, „…wenn die Aufsichtsbehörde …eine Beschwerde teilweise oder ganz ablehnt …“. – für eine volle gerichtliche Überprüfbarkeit: Hamb. OVG 5 Bf 279/17, vom 07.10.2019, Rn. 63 ff. – a.A. OVB Koblenz 10 A 10613/20, vom 26.10.2020, Rn. 37 ff., das in dem Beschwerderecht des Betroffenen gegenüber der Aufsichtsbehörde nur ein „Petitionsrecht“ sieht. – dazu gfs. demnächst EuGH C-768/21 (auch wenn sich die Vorlagefrage des VG Wiesbaden 6 K 1107/20.WI, vom 10.12.2021 sich nicht explizit auf diese Frage bezieht).

[22] EuGH C-46/93 und C-48/93, Brasserie du Pecheur u.a., vom 05.03.1996, Rn. 90.

[23] Vgl. Vorlagefrage des VG Wiesbaden 6 K 1107/20.WI , vom 10.12.2021 unter der Fallnummer EuGH C-768/21, der noch nicht entschieden ist.

[24] Zur Zulässigkeit von Verbandsklagen von Verbraucherschutzverbänden im Datenschutz: EuGH C-319/20, Meta Platforms Ireland, vom 28.04.2022.

[25] U.a. forderte der damalige EDPS (European Data Protection Supervisor) die Einrichtung einer europäischen Aufsicht auch für die Privatwirtschaft; https://www.euractiv.com/section/data-protection/interview/top-eu-privacy-watchdog-wants-centralised-regulator-with-muscle-topolice-firms/.