DSGVO an die Datenschutz-RL an; inhaltlich vollzieht sie jedoch einen erheblichen Entwicklungsschritt.
2. Anwendungsbereich
494
Ihren sachlichen Anwendungsbereich bestimmt die DSGVO in Art. 2. Sie betrifft das gesamte Unionsrecht mit Außenwirkung unter Ausklammerung der GASP, für welche die Datenschutz-RL für Polizei und Strafjustiz 2016/680 gilt. Die DSGVO entfaltet unmittelbare Rechtswirkungen sowohl auf die Beziehungen zwischen nationalen Hoheitsträgern und Privatpersonen als auch – und zwar in erheblichem Maße – im horizontalen Verhältnis zwischen Privatpersonen untereinander. Für den innerunionalen Rechtskreis ist zudem weiterhin speziell VO (EG) Nr. 45/2001 und weiteres besonderes Sekundärrecht anwendbar. Schließlich bestimmt Art. 95 DSGVO, dass sie die RL 2002/58/EG (sog. ePrivacy-RL) nicht überlagert. Sofern kein speziellerer Sekundärrechtsakt einschlägig ist, kommt es für den sachlichen Anwendungsbereich der DSGVO entscheidend darauf an, ob die Verarbeitung personenbezogener Daten betroffen ist. Die entsprechenden Legaldefinitionen finden sich in Art. 4 DSGVO.
495
Bemerkenswert ist der räumliche Anwendungsbereich der DSGVO (Art. 3). Denn sie stellt zwar auch auf die Niederlassung eines Verantwortlichen ab (Art. 3 Abs. 1). Darüber hinaus manifestiert sie aber nicht nur das bereits durch den EuGH in Sachen Google Spain (C-131/12) bestätigte Marktortprinzip, sondern zieht dessen Kreise noch weiter als es der EuGH vorgegeben hat (Art. 3 Abs. 2). Das Marktortprinzip stellt nicht auf den Sitz eines Unternehmens oder den Ort der Datenverarbeitung ab, sondern auf den bloßen Bezug eines relevanten Verhaltens zum → Binnenmarkt. Es ist etwa aus dem Wettbewerbs- und Kartellrecht bekannt und wird u.a. im Internationalen Privatrecht herangezogen (z.B. Art. 6 Rom-II-VO, dazu → Justizielle Zusammenarbeit in Zivilsachen [JZZ]). Datenschutzrechtlich gewendet kommt es für die Anwendbarkeit der DSGVO bei Verantwortlichen ohne Niederlassung in der Union darauf an, ob innerhalb der EU Waren oder Dienstleistungen angeboten werden (Art. 3 Abs. 2 Buchst. a) oder ob die Datenverarbeitung der Beobachtung des Verhaltens einer Person in der EU dient (Art. 3 Abs. 2 Buchst. b). Insbesondere letztere Variante wird jedenfalls bei transnational agierenden Unternehmen mit Datenverarbeitungsschwerpunkten (z.B. Google, Facebook, Apple, Microsoft) zu einer universellen (und wohl auch nicht ineffektiven, s. Rn. 501) Anwendbarkeit der DSGVO führen.
3. Struktur und Inhalt
496
Die DSGVO ist ein umfangreiches und komplexes Regelwerk, das aus 99 Artikeln in 11 Kapiteln besteht und durch 173 Erwägungsgründe eingeleitet wird. Die Regelungsbereiche der DSGVO lassen sich grob unterteilen in Allgemeines und Grundsätzliches (Kapitel I und II), Rechte Betroffener und Pflichten Verantwortlicher (Kapitel III und IV), Datenübermittlung (Kapitel V), Aufsicht und Kontrolle (Kapitel VI und VII), Rechtsschutz und Rechtsdurchsetzung (Kapitel VIII) sowie besondere und abschließende Bestimmungen (Kapitel IX bis XI).
497
Die Bestimmungen der DSGVO konkretisieren das primärrechtlich verbürgte Grundrecht auf den Schutz personenbezogener Daten. Dabei festigen und verstärken die in Kapitel II formulierten Grundsätze den hergebrachten Datenschutzstandard, indem sie unterschiedlichste Bedingungen an die Rechtmäßigkeit von Datenverarbeitungen bzw. eine für die Datenverarbeitung im Übrigen erforderliche Einwilligung knüpfen und unter den Vorbehalt einer Zweckbindung stellen.
498
Deutlich fortschrittlicher als der bisherige Standard zeigt sich die DSGVO mit ihren Betroffenenrechten (Kapitel III). Hier werden umfangreiche Informationspflichten für Verwender und Ansprüche auf Benachrichtigung und Löschung für Betroffene formuliert. In diesem Zusammenhang ist auch das viel bemühte „Recht auf Vergessenwerden“ relevant, das als solches ausdrücklich nicht nur in den Erwägungsgründen Nr. 65, 66 und 156 genannt wird, sondern auch Bestandteil im Klammerzusatz zu der amtlichen Überschrift von Art. 17 DSGVO ist. In dieser Norm zeigt sich der wahre Gehalt dieses Rechts: Es handelt sich tatsächlich um eine besondere Form eines Anspruchs auf Löschung personenbezogener Daten. Neu ist in diesem Zusammenhang eine über die bloße Datenlöschung hinausgehende Pflicht von Verantwortlichen, bei vorheriger öffentlicher Zugänglichmachung betroffener Daten Vorkehrungen (auch technischer Art) dafür zu treffen, dass auf eine Datenlöschung durch Dritte hingewirkt wird (Art. 17 Abs. 2 DSGVO). Dies sind letztlich erweiterte Informationspflichten darüber, dass die entsprechende Datennutzung nunmehr unzulässig ist. Es wird Aufgabe der Rechtsprechung sein, Inhalt und Reichweite dieser Pflicht abzustecken und damit dem „Recht auf Vergessenwerden“ Konturenschärfe zu verleihen.
499
Schließlich bekräftigt auch die DSGVO i.R. ihrer Kontrollbestimmungen das Institut des Datenschutzbeauftragten (Art. 37 ff.). Damit wird für jedes auf dem Binnenmarkt tätige Unternehmen mit Berührungspunkten zu personenbezogenen Daten die Pflicht statuiert, dauerhaft die Position eines Datenschutzbeauftragten zu besetzen.
500
Neben den umfangreich statuierten materiell- und verfahrensrechtlichen Ausgestaltungen des Grundrechts auf den Schutz personenbezogener Daten verdient besonders die von der DSGVO ebenfalls berücksichtigte Durchsetzungsebene besondere Beachtung. Nicht nur wird ein eigener datenschutzrechtlicher Schadensersatzanspruch normiert (Art. 82), sondern es wird den zuständigen Datenschutzbehörden ein scharfer Sanktionsmechanismus an die Hand gegeben, um die Vorgaben der DSGVO auch gegenüber wirtschaftsmächtigen Unternehmen zur Durchsetzung zu bringen. Die in Art. 83 aufgeführten Tatbestände für die Verhängung von Geldbußen sind umfangreich, doch sind v.a. die zulässigen Sanktionshöhen entscheidend, die sich erstmals am unternehmerischen Umsatz orientieren. So gestattet Art. 83 Abs. 6 unter bestimmten Voraussetzungen die Verhängung von Geldbußen „im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs“. Erst ein solcher umsatzorientierter Sanktionsrahmen ermöglicht ein effektives Durchgreifen der Datenschutzbehörden, die zuvor gegenüber multinationalen Unternehmen wie Google oder Facebook strukturell deutlich unterlegen waren.
4. Anwendung und Ausblick
501
Wie weit sich die DSGVO auf die Rechtsanwendungspraxis insbesondere zwischen Privatpersonen auswirken und welche Konflikte sie dabei hervorrufen wird, lässt sich wenige Monate nach ihrem Geltungsbeginn noch nicht messen. Bereits jetzt (Stand: Juli 2018) ist aber erkennbar, dass die DSGVO in der öffentlichen Wahrnehmung äußerst präsent ist und unterschiedliche Reaktionen hervorruft, die zuweilen auf lückenhafter oder unscharfer Berichterstattung beruhen. Aus Sicht des Europäischen Datenschutzrechts ist einerseits das Ziel zu begrüßen, ein einheitlich hohes Datenschutzniveau in allen Mitgliedstaaten der Union zu schaffen. Andererseits bereiten die auch Privatpersonen (jedenfalls unterhalb der Schwelle zu Wirtschaftsunternehmen, d.h. vor allem selbständige Erwerbstätige und sogar gemeinnützige Vereinigungen) treffenden Pflichten zur Gewährleistung dieses Niveaus nicht wenigen Menschen Unbehagen, weil sie Zeit und Verantwortung in Anspruch nehmen sowie bei Schlechterfüllung zu Sanktionierungen führen können. Die behördliche und rechtsprechende Praxis wird daher v.a. im horizontalen Verhältnis noch auszutarieren haben, wie viele und wie umfangreiche Pflichten einzelnen Personen vernünftigerweise zuzumuten sind, um die Kehrseite solcher Pflichten – die auf informationeller Selbstbestimmung fußenden Rechte betroffener Personen – effektiv,
