Читать книгу Europarecht - Bernhard Kempen - Страница 308

496

Die DSGVO ist ein umfangreiches und komplexes Regelwerk, das aus 99 Artikeln in 11 Kapiteln besteht und durch 173 Erwägungsgründe eingeleitet wird. Die Regelungsbereiche der DSGVO lassen sich grob unterteilen in Allgemeines und Grundsätzliches (Kapitel I und II), Rechte Betroffener und Pflichten Verantwortlicher (Kapitel III und IV), Datenübermittlung (Kapitel V), Aufsicht und Kontrolle (Kapitel VI und VII), Rechtsschutz und Rechtsdurchsetzung (Kapitel VIII) sowie besondere und abschließende Bestimmungen (Kapitel IX bis XI).

497

Die Bestimmungen der DSGVO konkretisieren das primärrechtlich verbürgte Grundrecht auf den Schutz personenbezogener Daten. Dabei festigen und verstärken die in Kapitel II formulierten Grundsätze den hergebrachten Datenschutzstandard, indem sie unterschiedlichste Bedingungen an die Rechtmäßigkeit von Datenverarbeitungen bzw. eine für die Datenverarbeitung im Übrigen erforderliche Einwilligung knüpfen und unter den Vorbehalt einer Zweckbindung stellen.

498

Deutlich fortschrittlicher als der bisherige Standard zeigt sich die DSGVO mit ihren Betroffenenrechten (Kapitel III). Hier werden umfangreiche Informationspflichten für Verwender und Ansprüche auf Benachrichtigung und Löschung für Betroffene formuliert. In diesem Zusammenhang ist auch das viel bemühte „Recht auf Vergessenwerden“ relevant, das als solches ausdrücklich nicht nur in den Erwägungsgründen Nr. 65, 66 und 156 genannt wird, sondern auch Bestandteil im Klammerzusatz zu der amtlichen Überschrift von Art. 17 DSGVO ist. In dieser Norm zeigt sich der wahre Gehalt dieses Rechts: Es handelt sich tatsächlich um eine besondere Form eines Anspruchs auf Löschung personenbezogener Daten. Neu ist in diesem Zusammenhang eine über die bloße Datenlöschung hinausgehende Pflicht von Verantwortlichen, bei vorheriger öffentlicher Zugänglichmachung betroffener Daten Vorkehrungen (auch technischer Art) dafür zu treffen, dass auf eine Datenlöschung durch Dritte hingewirkt wird (Art. 17 Abs. 2 DSGVO). Dies sind letztlich erweiterte Informationspflichten darüber, dass die entsprechende Datennutzung nunmehr unzulässig ist. Es wird Aufgabe der Rechtsprechung sein, Inhalt und Reichweite dieser Pflicht abzustecken und damit dem „Recht auf Vergessenwerden“ Konturenschärfe zu verleihen.

499

Schließlich bekräftigt auch die DSGVO i.R. ihrer Kontrollbestimmungen das Institut des Datenschutzbeauftragten (Art. 37 ff.). Damit wird für jedes auf dem Binnenmarkt tätige Unternehmen mit Berührungspunkten zu personenbezogenen Daten die Pflicht statuiert, dauerhaft die Position eines Datenschutzbeauftragten zu besetzen.

500

Neben den umfangreich statuierten materiell- und verfahrensrechtlichen Ausgestaltungen des Grundrechts auf den Schutz personenbezogener Daten verdient besonders die von der DSGVO ebenfalls berücksichtigte Durchsetzungsebene besondere Beachtung. Nicht nur wird ein eigener datenschutzrechtlicher Schadensersatzanspruch normiert (Art. 82), sondern es wird den zuständigen Datenschutzbehörden ein scharfer Sanktionsmechanismus an die Hand gegeben, um die Vorgaben der DSGVO auch gegenüber wirtschaftsmächtigen Unternehmen zur Durchsetzung zu bringen. Die in Art. 83 aufgeführten Tatbestände für die Verhängung von Geldbußen sind umfangreich, doch sind v.a. die zulässigen Sanktionshöhen entscheidend, die sich erstmals am unternehmerischen Umsatz orientieren. So gestattet Art. 83 Abs. 6 unter bestimmten Voraussetzungen die Verhängung von Geldbußen „im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs“. Erst ein solcher umsatzorientierter Sanktionsrahmen ermöglicht ein effektives Durchgreifen der Datenschutzbehörden, die zuvor gegenüber multinationalen Unternehmen wie Google oder Facebook strukturell deutlich unterlegen waren.