Koordinationsbedarf bei mehreren zuständigen Aufsichtsbehörden die Effektivität nicht zum
Erliegen bringt.249 Rechtsklarheit könnte auf verschiedenem Wege erreicht werden. So wird
vorgeschlagen, dass eine Art Generalklausel, wie sie im Polizeirecht zu finden ist, Abhilfe
schaffen könnte indem sie die Auffangzuständigkeit im Streitfall sicherstellt. Auch wäre eine
spezifische Regelung der Zuständigkeit der Datenschutzaufsichtsbehörden wegen Art. 83,
84 Abs. 1 Satz 2 GG nicht ausgeschlossen.250 Auf der anderen Seite, gibt es, so Kranig, im
Ergebnis bei Fragen der Zuständigkeit keine einhergehenden Rechtsverluste.251 Bei der
Weiterleitung von Eingaben einer unzuständigen, an die zuständige Aufsichtsbehörde,
handelt es sich um einen routinemäßigen Vorgang, der zeitnah und problemfrei erledigt
werden könne.252

   b. Maßnahmen - Übersicht
Wird der Verstoß gegen deutsches Datenschutzrecht durch ein Unternehmen von einer
deutschen Datenschutzbehörde im Sinne des § 38 Abs. 1 BDSG festgestellt, hat sie mehrere
Möglichkeiten darauf zu reagieren: Sie kann eine Anordnungs- oder Untersagungsverfügung
gem. § 38 V BDSG erlassen oder Sanktionen verhängen.

Im Unterlassungsverfahren hat die Behörde die Möglichkeit gegenüber dem Unternehmen,
nach vorheriger Anhörung, per Verwaltungsakt anzuordnen, den Verstoß zu unterlassen.
Leistet die verantwortliche Stelle der Verfügung nicht folge, kommt es zu einem abgestuften
Verfahren.253 Die Beseitigung wird erneut unter Fristsetzung und unter Zuhilfenahme einer
Zwangsgeldfestsetzung angeordnet. Wenn auch diese Maßnahme erfolglos bleibt, hat die
Aufsichtsbehörde die Möglichkeit, die in Rede stehende Praktik des Unternehmens zu
untersagen (§ 38 Abs. 5 Satz 2 BDSG). Bringen diese Maßnahmen nicht den gewünschten
Erfolg, kann die Behörde, bei schwerwiegenden Verstößen oder Mängeln, eine
Untersagungsverfügung in Bezug auf das mangelbehaftete Datenverarbeitungsverfahren
treffen. Das Merkmal „schwerwiegend“ ist in der Regel dann erfüllt, wenn die betroffene
Datenverarbeitung der Vorabkontrolle nach § 4 d Abs. 5 BDSG unterliegt.254

Daneben hat die Aufsichtsbehörde das Recht, Bußgelder zu verhängen und die
Strafverfolgungsbehörden einzuschalten: Ihr ist gemäß § 44 II 2 BDSG ein Strafantragsrecht
eingeräumt.255 §§ 43, 44 BDSG normieren die Sanktionen bei datenschutzrechtlichen
Verstößen. Sind die Ordnungswidrigkeitstatbestände des § 43 I, II BDSG erfüllt, sieht § 43 III
BDSG eine Geldbuße vor. Wenn im Falle des § 43 II BDSG zusätzlich ein vorsätzlicher


249
   Kranig, „Zuständigkeit der Datenschutzaufsichtsbehörden - Feststellung des Status quo mit
Ausblick auf die DS-GVO“, (2013), Zeitschrift für Datenschutz, Heft 11, S. 550-557, S. 556.
250
   Ibid., S. 557.
251
   Ibid., S. 557.
252
   Ibid., S. 557.
253
    Vgl. Brink, Beck'scher Online-Kommentar Datenschutzrecht, Wolff/Brink (Hrsg.), 17. Edition 2016,
C.H. Beck Verlag, Rn. 76 zu § 38 BDSG sowie Gola/Klug/Körffer, Bundesdatenschutzgesetz
Kommentar, Gola/Schomerus (Hrsg.), 12. Auflage 2015, C.H. Beck Verlag, Rn. 26 zu § 38 BDSG.
254
    Vgl. Brink, Beck'scher Online-Kommentar Datenschutzrecht, Wolff/Brink (Hrsg.), 17. Edition 2016,
C.H. Beck Verlag, Rn. 78 zu § 38 BDSG sowie Petri, Kommentar zum Bundesdatenschutzgesetz,
Simitis (Hrsg.), 8. Auflage 2014, Nomos Verlag, Rn. 73 zu § 38 BDSG.
255
    Gola/Schulz, Nomos Kommentar Gesamtes Arbeitsrecht, Boecken/Düwell/Diller/Hanau (Hrsg.),
Nomos Verlag 2016, Rn. 11 zu § 38 BDSG.

                                                 64

Verstoß gegen Entgelt oder mit Bereicherungs- oder Schädigungsabsicht vorliegt, ist der
Straftatbestand des § 44 BDSG erfüllt.

Die im BDSG vorgesehenen Sanktionsmöglichkeiten lassen sich systematisch in einer
Tabelle zusammenfassen:

Tabelle 2: Sanktionsmöglichkeiten des BDSG (eigene Darstellung)

Norm    im    Typ                  Tatbestandsvoraussetzungen                 Rechtsfolge
BDSG
§ 43 Abs. 1   Ordnungswidrigkeit   Vorsätzliche oder fahrlässige Verletzung   Geldbuße bis zu 50
                                   einer in § 43 Abs. 1 Nr. 1–11 BDSG         000 € (§ 43 Abs. 3,
                                   -genannten Verfahrensvorschrift            1. Alt BDSG)
§ 43 Abs. 2   Ordnungswidrigkeit   Vorsätzliche oder fahrlässige Verletzung   Geldbuße bis zu 300
                                   einer in § 43 Abs. 2 Nr. 1–7 BDSG          000 € (§ 43 Abs. 3,
                                   -genannten materiellen Schutzvorschrift    2. Alt BDSG)
§ 44 Abs. 1   Straftat             Vorsätzliche Begehung einer Handlung       Freiheitsstrafe bis zu
                                   nach                                       zwei Jahren oder
                                   § 43 Abs. 2 BDSG                           Geldstrafe (erfordert
                                      –   gegen Entgelt oder                  gemäß § 44 Abs. 2
                                      –   mit Bereicherungs- oder             BDSG        einen
                                      –   Schädigungsabsicht                  Strafantrag)



Neben den genannten Vorschriften aus dem BDSG finden sich auch im StGB
Sanktionsvorschriften, die bei Verletzung von Datenschutzrechtlichen Vorschriften
einschlägig sind, beziehungsweise solche, die zumindest auch das Recht auf informationelle
Selbstbestimmung schützen. Hierzu gehören insbesondere die §§ 202, 202a, 203 und 206
StGB, sowie ggf. §§ 263, 263 a, 268-270 und § 303a StGB.

Auch im TMG finden sich Sanktionsvorschriften. § 16 TMG erfasst Ordnungswidrigkeiten, die
bei Zuwiderhandlung mit Bußgeld geahndet werden können. § 16 I TMG betrifft getarnte
kommerzielle Nachrichten. Tatbestandsvoraussetzung ist der dolus directus ersten Grades.
§ 16 II TMG lässt demgegenüber Vorsatz sowie Fahrlässigkeit zu. § 16 II Nr. 1 hat den
Verstoß gegen Informationspflichten aus § 5 I, die nur für geschäftsmäßige Telemedien
gelten, zum Inhalt. Nr. 2 beinhaltet den Verstoß gegen datenschutzrechtliche
Informationspflichten. In Nr. 3 geht es um die Verletzung der Sicherungspflichten aus § 13
Abs. 4 Nr. 1 – 4 oder Nr. 5. Abs. 2 Nr. 5 fasst verschiedene Pflichtverstöße bei der
Datenverarbeitung zusammen und Nr. 5 verbietet die Zusammenführung, von Telemedien
unter Verwendung von Pseudonymen zulässigerweise erstellte Nutzungsprofile, mit Daten
über den Träger des Pseudonyms. Hauptsanktion ist das Bußgeld gem. § 65 OWiG.

Wie auch das BDSG sieht die DSGVO in Art. 58 verschiedene Anordnungen zur Beendigung
von datenschutzrechtlichen Verstößen vor.




                                               65

Eines der Hauptanliegen der DSGVO ist die eben erwähnte Einführung „starker Sanktionen”
bei Datenschutzverstößen, die „wehtun sollen”.256 Den deutschen Datenschutzbehörden
stehen als „Aufsichtsbehörde” i. S. d. Art. 5 Abs. 19 DSGVO somit zahlreiche
Sanktionsmöglichkeiten bei Datenschutzverstößen zur Verfügung: Im Erwägungsgrund 119
der DSGVO ist vorgesehen, dass die Mitgliedstaaten strafrechtliche Sanktionen für die
Verletzung der DSGVO festlegen können. Die Aufsichtsbehörden können Bußgelder nach
der DSGVO sowohl gegen Unternehmen als auch gegen handelnde Personen verhängen.

Die in Art. 79 DSGVO normierten Tatbestände reichen deutlich weiter als die bisherigen
Bußgeldtatbestände nach § 43 BDSG. Art. 58 Abs. 2 lit i) DSGVO sieht vor, dass Bußgelder
gemäß Art. 83 DSGVO verhängt werden können. Aufgeführte Verstöße können mit einem
Bußgeld von bis zu 10 Millionen Euro oder im Fall eines Unternehmens 2% seines gesamten
weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs geahndet werden.
Die DSGVO sieht keine konkrete Zahl als Höchstgrenze vor. Die Verstöße können zu
Geldbußen von bis zu € 20 Mio. oder im Fall eines Unternehmens sogar bis zu 4 % des
Jahresumsatzes führen.257 Welche konkreten Voraussetzungen erfüllt sein müssen, damit
ein Bußgeld verhängt werden kann, bestimmt die DSGVO nicht. Die Aufsichtsbehörde hat
jedoch sicherzustellen, dass die Verhängung von Geldbußen in jedem Einzelfall wirksam,
verhältnismäßig und abschreckend ist. Erwägungsgrund 120 DSGVO verweist zudem auf
Art. 101 und Art. 102 AEUV. Damit bezieht sich die DSGVO bei der Berechnung von
Bußgeldern auf den kartellrechtlichen Unternehmensbegriff. Über die Anwendung des
kartellrechtlichen Unternehmensbegriffs ist jedoch eine Diskussion entbrannt (dazu unten).

Im Gegensatz zur DSGVO ist im BDSG die verantwortliche Stelle nach §3 Abs. 7 BDSG der
zentrale Begriff bei der Bußgeldberechnung. Verantwortliche Stelle ist danach jede Person
oder Stelle, die personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt oder
dies durch andere im Auftrag vornehmen lässt. Werden personenbezogene Daten durch
Unternehmen verarbeitet, wird dieses Unternehmen als eigenständige verantwortliche Stelle
angesehen.258 Bei Unternehmensgruppen gilt, dass nicht der Konzern als solcher, sondern
jede einzelne Konzerngesellschaft für sich verantwortliche Stelle ist.259

      c. Probleme

Bußgeldfestsetzung
Zwar finden sich verschiedene Sanktionsvorschriften für Datenschutzrechtsverstöße.
Fraglich erscheint jedoch deren Effektivität. Bei den Bußgeldern gilt zwar § 43 Abs. 3 Satz 2

256
    S. 2.
<http://www.janalbrecht.eu/fileadmin/material/Dokumente/Datenschutzreform_Stand_der_Dinge_10_P
unkte_110615.pdf> (zuletzt abgerufen am 30.11.2016).
257
    Faust/Spittka/Wybitul, „Milliardenbußgelder nach der DS-GVO? - Ein Überblick über die neuen
Sanktionen bei Verstößen gegen den Datenschutz“, (2016), Zeitschrift für Datenschutz, Heft 3, S. 120-
125, S. 123.
258
    Dammann, Kommentar zum Bundesdatenschutzgesetz, Simitis (Hrsg.), 8. Auflage 2014, Nomos
Verlag, Rn. 223 zu § 3 BDSG in Faust/Spittka/Wybitul, „Milliardenbußgelder nach der DS-GVO? - Ein
Überblick über die neuen Sanktionen bei Verstößen gegen den Datenschutz“, (2016), Zeitschrift für
Datenschutz, Heft 3, S. 120-125, S. 122.
259
    Ibid.

                                                 66

BDSG, wonach das Bußgeld so festgesetzt werden muss, dass es den wirtschaftlichen
Vorteil, der sich für den Täter aus der Pflichtverletzung ergibt, übersteigt.260 Allerdings wird in
der Praxis der Bußgeldrahmen von den Behörden noch nicht ausgeschöpft. Zum Beispiel
wurde bereits ein Bußgeld von lediglich 150,00 EUR gegen ein Unternehmen verhängt, das
dem Auskunftsersuchen eines Betroffenen nicht entsprach.261 Die Gesamthöhe der
Geldbußen für die Jahre 2014 und 2015 einer deutschen Landesdatenschutzbehörde betrug
knapp 13.000,00 EUR.262 Durch die Festsetzung zu niedriger oder durch das Absehen der
Festsetzung von Bußgeldern geht allerdings der Abschreckungseffekt von Bußgeldern
verloren.263 Der Vorteil, den manch großes Unternehmen durch datenschutzrechtswidrige
Praktiken erlangt, kann daher höher sein als der Verlust, den es durch ein etwaiges Bußgeld
riskiert.264 Dieser Eindruck wird auch dadurch bestärkt, dass nicht jeder Datenschutzverstoß
letztendlich zur Festsetzung eines Bußgeldes durch die Aufsichtsbehörde führt.265
Bußgeldverfahren wegen Verstößen gegen datenschutzrechtliche Bestimmungen wurden in
den letzten Jahren nur sehr selten eingeleitet und mündeten noch seltener in gerichtlichen
Verfahren.266 Im Endeffekt stellt der Erlass von Bußgeldbescheiden sogar eine Ausnahme
dar.267

Ob sich diese Praxis unter Anwendung der DSGVO weiter fortsetzt bleibt abzuwarten. Die
DSGVO nimmt in Erwägungsgrund 150 für die Berechnung der Bußgelder Bezug auf den
kartellrechtlichen Unternehmensbegriff nach Art. 101 und 102 AEUV. Dies bedeutet, dass
oftmals ein höherer Bußgeldrahmen angewandt werden könnte. Nach dem kartellrechtlichen
Unternehmensbegriff wird jede wirtschaftlich tätige Einheit, unabhängig von ihrer Rechtsform
und der Art der Finanzierung, als ein Unternehmen angesehen, auch wenn sie aus
mehreren Unternehmen besteht.268 Sinn der Figur der wirtschaftlichen Einheit ist es, das
Vorliegen nur eines einzigen Unternehmens zum Zeitpunkt des Wettbewerbsverstoßes zu


260
    Nink, Recht der elektronischen Medien Kommentar, Spindler/Schuster (Hrsg.), (C.H. Beck Verlag,
2015), Rn. 17 zu § 43 BDSG.
261
    S. 394
<https://www.tlfdi.de/imperia/md/content/datenschutz/taetigkeitsberichte/2_t__tigkeitsbericht.pdf>
(zuletzt abgerufen am 30.11.2016).
262
    Ibid.
263
    Holländer Beck'scher Online-Kommentar Datenschutzrecht, Wolff/Brink (Hrsg.), 17. Edition 2016,
C.H. Beck Verlag, Rn. 71 zu § 43 BDSG.
264
    Vgl. Bundesregierung, BT-Drucksache 16/12011 Gesetzentwurf der Bundesregierung, Entwurf
eines Gesetzes zur Regelung des Datenschutzaudits und zur Änderung datenschutzrechtlicher
Vorschriften (Drucksache 16/12011 18.02.2009), S. 36.
265
    Holländer Beck'scher Online-Kommentar Datenschutzrecht, Wolff/Brink (Hrsg.), 17. Edition 2016,
C.H. Beck Verlag, Rn. 75 zu § 43 BDSG.
266
    Ehmann, Kommentar zum Bundesdatenschutzgesetz, Simitis (Hrsg.), 8. Auflage 2014, Nomos
Verlag, Rn. 21 zu § 43 BDSG.
267
     Ibid., Rn. 80 zu § 43 BDSG. Eine Ausnahme von dieser Beobachtung gab es allerdings im
Nachspiel von mehreren Datenschutzskandalen im Jahr 2008, als die Aufsichtsbehörden erstmals
Bußgelder in sechsstelliger Höhe oder höher verhängten, s. a. Holländer Beck'scher Online-
Kommentar Datenschutzrecht, Wolff/Brink (Hrsg.), 17. Edition 2016, C.H. Beck Verlag, Rn. 74 zu § 43
BDSG.
268
    St. Rspr., s. etwa Case C-41/90, Klaus Höfner und Fritz Elser v. Macrotron GmbH, EU:C:1991:161;
Case C-205/03 P – FENIN v. Kommission, EU:C:2006:453; dazu auch: Weiß, EUV/AEUV Das
Verfassungsrecht der Europäischen Union mit Europäischer Grundrechtecharta Kommentar,
Calliess/Ruffert (Hrsg.), 5. Auflage 2016, C.H. Beck Verlag, Rn. 33 zu Art. 101 AEUV.

                                                67

begründen.269 Die Zurechnung innerhalb einer Unternehmensgruppe erfolgt somit von unten
nach oben.270 In Bezug auf datenschutzrechtlich relevante Verletzungshandlungen im
Rahmen der DSGVO würde dies eine Mithaftung der Muttergesellschaft für
Datenschutzverstöße der Tochtergesellschaft bedeuten. Außerdem wäre dann der
Höchstbetrag des Bußgelds nicht 4% des Umsatzes der rechtswidrig handelnden
Gesellschaft, sondern des Umsatzes der wirtschaftlichen Einheit.271 Dies betrifft wiederum
den gesamten globalen gruppenweiten Umsatz des Konzerns.272

In der Literatur gibt es Kritik an der Anwendung des kartellrechtlichen Unternehmensbegriffs
im Datenschutzrecht. Eine solche sei systemwidrig: Nach Faust, Spittka und Wybitull stehe
das kartellrechtliche Verständnis des Unternehmens als wirtschaftliche Einheit unabhängig
vom Rechtssubjekt nicht nur im Widerspruch zum System der Sanktionen für
Datenschutzverstöße nach bislang geltendem Recht, sondern passe auch nicht in die
materiell-rechtliche Systematik der DSGVO.273 Ihrer Ansicht nach werden auch in der
DSGVO        Konzerne      oder     andere     Unternehmensgruppen      gerade   nicht  als
„datenschutzrechtliche Einheit” angesehen. Problematisiert wird in diesem Zusammenhang
auch, dass sich die Definition des Unternehmensbegriffs lediglich im Erwägungsgrund und
nicht in der DSGVO selbst befindet. Erwägungsgründe dürften jedoch keine Bestimmungen
mit normativem Gehalt enthalten und werden im Gegensatz zum verfügenden Teil so
formuliert, dass ihre Unverbindlichkeit deutlich werde.274

Dem lässt sich jedoch entgegenhalten, dass Erwägungsgründe durchaus als
Auslegungshilfe herangezogen werden können und als solche anerkannt sind. Im Übrigen
könnte die Heranziehung des Konzernumsatzes als Berechnungsmaßstab die bisher
niedrige Abschreckungswirkung von Bußgeldern verbessern. Damit könnte die
Rechtsdurchsetzung im Datenschutzrecht effektiver gestaltet werden.

Mangelnde Ausstattung
Die mangelnde Einleitung von Bußgeldverfahren durch die Datenschutzbehörde könnte
symptomatisch für ein weiteres Problem sein. Die Tätigkeitsberichte der
Landesdatenschutzbehörden machen auf ein Kapazitätsproblem aufmerksam.

Die monierte Unterausstattung der Landesdatenschutzbehörden ist insbesondere für die
Kontrolle der IT-Branche problematisch. Im Zusammenhang mit der Untersuchung von

269
    Case 170/83 Hydrotherm, Gerätebau GmbH v. Firma Compact del Dott. Ing. Mario Andreoli & C.
Sas., EU:C:1984:271; Case C-501/11 Schindler Holding u.a. v. Kommission, EU:C:2013:522, Rn. 104;
Case T-11/89, Shell International Chemical Company Ltd v. Commission of the European
Communities, EU:T:1992:33; Dass die wirtschaftliche Einheit später, zum Zeitpunkt der
Kommissionsentscheidung, nicht mehr vorliegt, ist unschädlich, Case T-517/09, Alstom v European
Commission, EU:T:2014:999.
270
    Faust/Spittka/Wybitul, „Milliardenbußgelder nach der DS-GVO? - Ein Überblick über die neuen
Sanktionen bei Verstößen gegen den Datenschutz“, (2016), Zeitschrift für Datenschutz, Heft 3, S. 120-
125, S. 121.
271
    Ibid., S. 124.
272
    Ibid., S. 123.
273
    Dieser Absatz basiert auf ibid., S. 120 f.
274
    S. 22, <http://eur-lex.europa.eu/content/techleg/KB0213228DEN.pdf> (zuletzt abgerufen am
30.11.2016).

                                                 68

Apps275 beispielsweise, wurden im Jahr 2014 11.000 Webauftritte in Baden-Württemberg
ansässiger Unternehmen mit einer selbst entwickelten Prüfplattform untersucht. Solche
Kontrollen binden erhebliche personelle und finanzielle Kapazitäten, „denn förmliche
Abmahnschreiben oder datenschutzrechtliche Verfügungen an tausende von Unternehmen
können nicht ohne weiteres aus der sprichwörtlichen Portokasse gezahlt werden.“276 Ein
weiteres mit Kapazitätsgründen begründbares Beispiel aus Europa bildet die irische
Datenschutzbehörde, die nach Auskunft des Vereins Europe v. Facebook nach dem
Verfahren Schrems gegen Facebook aufgehört hat, Beschwerden mit Einzelfallentscheidung
zu bearbeiten und stattdessen eine Standard E-Mail-Antwort eingeführt, weswegen der
Verein Verbraucher dazu aufruft, gegen die irische Behörde bei der Europäischen
Kommission Beschwerde einzulegen.277

Boykottierung
Außerdem sind Behörden mit allgemeinen praktischen Umsetzungsproblemen konfrontiert.
Im Zuge von Abmahnungen gegen Unternehmen aufgrund Facebook-Fanpages ist die
Behörde direkt mit Facebook in Kontakt gewesen. Thilo Weichert, Leiter des ULD bis zum
Jahr 2015 beschrieb in einem Interview278 eine Vermeidungsstrategie des Unternehmens
folgendermaßen:

        „Im Rahmen der Zuständigkeit verweist Facebook auf Irland, wo der europäische
        Hauptsitz ist, oder auf die USA, wo es kein valides Datenschutzrecht gibt. Weitere
        Taktik ist die Verweigerung von Fakten. Wenn man Informationen will bedarf es
        folgend aufwändiger Webanalysen. Die interne Datenverarbeitung verweigert zudem
        Auskünfte. Um die Aufsichtsbehörden weiterhin lahmzulegen werden die personell
        unterbesetzten Behörden mit Hinhaltetaktik und irrelevanten Fragestellungen
        beschäftigt, z. B. marginalen Änderungen von Nutzungsbestimmungen. Kommt es zu
        rechtlichen Auseinandersetzungen spielt der Konzern auf Zeit und im Falle von
        Gerichtsbeschlüssen werden diese ignoriert.“

  II.   Internationale Rechtsdurchsetzung

      1. Europäische Ebene
Mit der Datenschutzrichtlinie 95/46/EG279 und der Verordnung wurde das Datenschutzrecht
in der EU harmonisiert und ein Rechtsrahmen für die Gewährleistung eines gleichwertigen
Schutzes geschaffen.280 Was die Rechtsdurchsetzung angeht, sind die meisten Regelungen

275
    Dieser Absatz basiert auf S.30, <https://www.baden-wuerttemberg.datenschutz.de/wp-
content/uploads/2016/01/32._TB_Internet.pdf>
(zuletzt abgerufen am 30.11.2016).
277
    <http://europe-v-
facebook.org/DE/Daten_verlangen_/Beschwerde_einreichen/beschwerde_einreichen.html> (zuletzt
abgerufen am 30.11.2016).
278
    <https://futurezone.at/netzpolitik/facebooks-geschaeftsmodell-ist-illegal/24.583.706> (zuletzt
abgerufen am 30.11.2016).
279
    Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum
Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien
Datenverkehr, Amtsblatt Nr. L 281 vom 23/11/1995, S. 31 –50.
280
    Grapentin, Handbuch IT- und Datenschutzrecht, Auer-Reinsdorff/Conrad (Hrsg.), (C.H. Beck
Verlag, 2016), Rn.1 zu § 35 Grenzüberschreitende Datenverarbeitung.

                                                 69

mit der Festschreibung von Zuständigkeiten befasst. Werden personenbezogene Daten im
Rahmen der Tätigkeit einer Niederlassung verarbeitet, dann ist gemäß Art. 4 EU-DSRL
grundsätzlich das nationale Datenschutzrecht des Mitgliedsstaates anwendbar, in dessen
Geltungsgebiet sich die Niederlassung befindet. Wenn es mehrere Niederlassungen gibt, ist
für deren Tätigkeiten das Recht des EU-Mitgliedsstaates maßgeblich, in dem die
datenverarbeitende Niederlassung jeweils belegen ist. Gemäß Art. 28 der RL 95/45/EG
wurden alle Mitgliedsstaaten zudem verpflichtet, eine oder mehrere unabhängige
Datenschutzkontrollstellen einzurichten.281

Auf Grundlage der Art. 41 ff Datenschutz-VO Nr. 45/2001282 wurde der Europäische
Datenschutzbeauftragte als Kontrollinstanz bestimmt.283 Die Zuständigkeit des Europäischen
Datenschutzbeauftragten liegt in der Überwachung und Durchsetzung der Anwendung der
Verordnungsbestimmungen und aller anderen Rechtsakte der Gemeinschaft zum Schutz der
Grundrechte und Grundfreiheiten natürlicher Personen bei der Verarbeitung
personenbezogener Daten durch ein Organ oder eine Einrichtung der Gemeinschaft.284 Die
Aufsicht beruht größtenteils auf individuellen Meldungen über Verarbeitungen
personenbezogener Daten durch ein Unternehmen oder eine europäische Einrichtung.285 Bei
einer zulässigen Beschwerde führt der Europäische Datenschutzbeauftragte eine
Untersuchung durch. Die Untersuchungsergebnisse werden dem Beschwerdeführer
übermittelt und etwaige erforderlichen Maßnahmen ergriffen. Neben Stellungnahmen zu
Verwaltungsmaßnahmen        der europäischen Organe und Einrichtungen kann der
Europäische Datenschutzbeauftragte auch auf eigene Initiative Untersuchungen einleiten.

Die DSGVO regelt in den Arts. 51 ff. die Arbeit der Aufsichtsbehörden. In der Begründung für
die allgemeine Zuständigkeit im Hoheitsgebiet des eigenen Mitgliedstaats, wenn ein für die
Verarbeitung Verantwortlicher oder ein Auftragsdatenverarbeiter Niederlassungen in
mehreren Mitgliedstaaten hat, wird angeführt, dass „eine einheitliche Rechtsanwendung
(Prinzip einer zentralen Anlaufstelle für den Datenschutz)“ gewährleistet werden soll. Damit
sollen Mehrfachzuständigkeiten vermieden werden (One-Stop-Shop-Prinzip). In der Praxis
bedeutet das, dass für ein Unternehmen, welches seinen Hauptsitz im Geltungsbereich der
DSGVO hat, die Aufsichtsbehörde des Landes zuständig ist, in dem das Unternehmen
seinen Hauptsitz hat. Diese Aufsichtsbehörde ist gegebenenfalls nach dem Recht des
Mitgliedsstaates landesintern zu bestimmen. Bei Unternehmen, die ihren Hauptsitz
außerhalb des Geltungsbereichs der DSGVO haben ist der Ort der Hauptniederlassung im
Geltungsbereich der Verordnung maßgebend.

Abgesehen von Zuständigkeitsregelungen, soll die DSGVO außerdem die Vereinheitlichung
der Datenschutzregelungen der EU Mitgliedstaaten bewirken. Ob dies tatsächlich der Fall ist,

281
    Hatje, EU-Kommentar, Schwarze/Becker/Hatje/Schoo (Hrsg.), 3. Auflage 2012, Nomos Verlag, Rn.
9 zu Art. 16 AEUV.
282
    VO (EG) Nr. 45/2001 v. 18.12.2000, ABl. 2001 Nr. L 8/1, 12.1.2001.
283
    Hatje, EU-Kommentar, Schwarze/Becker/Hatje/Schoo (Hrsg.), 3. Auflage 2012, Nomos Verlag, Rn.
9 zu Art. 16 AEUV.
284
    Ibid., Rn. 9 zu Art. 16 AEUV.
285
    <https://secure.edps.europa.eu/EDPSWEB/edps/lang/de/Supervision> (zuletzt abgerufen am
30.11.16).

                                               70

ist fraglich. An über 60 Stellen befinden sich in der DSGVO sog. Öffnungsklauseln, die es
nationalen Gesetzgebern erlauben, Konkretisierungen in bestimmten Bereichen
vorzunehmen. Zum Beispiel können die Mitgliedstaaten zusätzliche Bedingungen und
Einschränkungen für automatisierte Entscheidungen wie Profiling aufstellen, Art. 22 II lit. b)
DSGVO. Eine allgemeine Öffnungsklausel befindet sich außerdem in Art. 23 DSGVO, der –
unter der Beachtung der Grundrechte und Grundfreiheiten - ausdrücklich Beschränkungen
der Rechte auf Auskunft, Information, Berichtigung, Löschung, Einschränkung der
Verarbeitung, Datenübertragbarkeit, Widerspruch auf Mitgliedstaatenebene erlaubt.

Die Durchsetzung von Verbraucherrechten allgemein wird in der EU von der CPC-
Verordnung 2006/2004286 geregelt. Das mit der CPC-Verordnung 2006/2004 errichtete
europäische Behördennetzwerk „Consumer Protection Cooperation“ wird aktiv, wenn
Interessen einer Vielzahl von Verbrauchern eines Mitgliedstaates der EU durch ein
Unternehmen eines anderen verletzt oder gefährdet ist. Dies umfasst keine
Schadenersatzansprüche o.ä.; vielmehr geht es um die Beseitigung von Störungszuständen
für eine Vielzahl von Verbrauchern in einem Mitgliedsstaat. In Deutschland erfolgt die
Koordinierung durch das Bundesministerium der Justiz und für Verbraucherschutz, welches
außerdem      Anliegen    an   das    Luftfahrt-Bundesamt,    die   Bundesanstalt    für
Finanzdienstleistungsaufsicht,   das     Eisenbahn-Bundesamt       und     verschiedene
Landesbehörden, der Verbraucherzentrale Bundesverband e.V. und die Zentrale zur
Bekämpfung unlauteren Wettbewerbs e.V. weiterleiten kann.287

Im Rahmen des CPC-Netzwerks führten beispielsweise die Europäische Kommission
gemeinsam mit nationalen Verbraucherschutzverbänden in den Jahren 2013 und 2014
Verhandlungen mit Apple, Google und der Interactive Software Federation of Europe , um
die Irreführung von Verbrauchern durch sog. In-App-Käufe zu verhindern, im Zuge derer die
Unternehmen zusicherten, die Worte „gratis“/“kostenlos“ nicht mehr für solche Apps zu
verwenden.288 Solch Vorgehen zeigt, dass grenzüberschreitende Fälle in der EU durch
direkte Verhandlungen mit den betroffenen Unternehmen durchaus gelöst werden können.

Trotz Erfolgen wie diesem, ist das CPC-Netzwerk auch von Defiziten geprägt. Die
europäische Kommission hat im Rahmen der Digitalmarktstrategie289 eine Verbesserung der
zugrundeliegenden CPC-Verordnung 2006/2004 angestrengt, um die unzureichende
gegenseitige Unterstützung, mangelnde Compliance, die mangelnden Maßnahmen zur
Begegnung von weitreichenden Verletzungshandlungen in der EU, insbesondere auf dem
Markt für digitale Güter, sowie die oftmals schwierige Ermittlung von Verstößen und



286
    Verordnung (EG) Nr. 2006/2004 des Europäischen Parlaments und des Rates vom 27. Oktober
2004 über die Zusammenarbeit zwischen den für die Durchsetzung der Verbraucherschutzgesetze
zuständigen nationalen Behörden („Verordnung über die Zusammenarbeit im Verbraucherschutz“), OJ
L 364, 9.12.2004, S. 1–11.
287
    Dazu <http://www.bmjv.de/DE/Verbraucherportal/Verbraucherinformation/CPC/CPC_node.html>
(zuletzt abgerufen am 30.11.2016).
288
    Dazu <http://ec.europa.eu/justice/newsroom/consumer-marketing/news/141222_en.htm> (zuletzt
abgerufen am 30.11.2016).
289
    <http://europa.eu/rapid/press-release_IP-15-4919_de.htm> (zuletzt abgerufen am 30.11.2016).

                                              71

unzureichender Priorisierung von Durchsetzungsvorgehen zu verbessern.290 Der Vorschlag
für eine neue Verordnung beinhaltet u.a.:

      •   Ein Update von Definitionen, um beispielsweise auch bereits abgeschlossene
          Handlungen zu erfassen, die jedoch noch weitergehende Verletzungseffekte haben;
      •   Minimalkompetenzen für die zuständigen Behörden;
      •   Die Errichtung eines Amtshilfemechanismus‘ für Anträge auf Information oder die
          Anwendung von Durchsetzungsmaßnahmen;
      •   Besondere Vorschriften für die Abhilfe von verbreiteten Rechtsverletzungen, wie z.B.
          Schwellenwerte für die Anzahl der betroffenen Mitgliedstaaten und betroffene
          Bevölkerung, die festlegen wann mutmaßliche Rechtsverletzungen EU-weiten
          Charakter haben;
      •   Gemeinsame prozessuale Vorschriften für koordinierte Maßnahmen;
      •   Ein neues Überwachungssystem, das das gegenwärtige Alert-System mit weiteren
          Informationsmechanismen kombiniert.

Die regelmäßigen Überprüfungen der Kommission sind zu begrüßen. Ob diese
vorgeschlagenen Neuerungen durch den legislativen Prozess so angenommen werden bzw.
ob sie tatsächlich zu einer Verbesserung für den Verbraucherrechtsschutz führen, bleibt
abzuwarten.291

    2. Internationale Ebene
Im Internet der Dinge ist es angesichts der international tätigen Unternehmen, die IoT-Geräte
herstellen, oft der Fall, dass sich die datenverarbeitende Stelle nicht im EU-Inland befindet.
Dann sind sowohl formelle Zuständigkeiten, als auch die Existenz datenschutzrechtlicher
Regelungen abzuklären.

    a. Schutzbereich europäischer Vorschriften
Es ist beispielsweise schwierig für Verbraucher, Anspruchsgegner im internationalen Waren-
und Dienstleistungsverkehr zu identifizieren und in Haftung zu nehmen. Wie im bereits
erwähnten Samsung-Urteil des LG Frankfurt deutlich wurde, kann sich der konkrete
Anspruchsgegner eines Verbrauchers auch im Ausland befinden, wobei es für den
Verbraucher unklar ist, welche Stelle verantwortlich für die jeweilige Datenerhebung und –
verarbeitung ist. Das LG entschied, dass die südkoreanische Muttergesellschaft Samsung
verantwortlich sei. Damit war ein Teil der Ansprüche gegen den falschen Anspruchsgegner
(Samsung Deutschland) gerichtet und musste abgewiesen werden.

Dass die Abklärung von Zuständigkeiten schwierig ist, zeigen noch andere Urteile in der
Rechtsprechung. Es sei auf einen Fall vor dem KG Berlin292 verwiesen, welches in einem
Verfahren gegen Facebook die amerikanische Konzernmutter als datenschutzrechtlich

290
    S. 3 – 5, <http://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A52016SC0165> (zuletzt
abgerufen am 30.11.2016).
291
    Eine erste Stellungnahme des VZBV sieht sowohl positive Entwicklungen, wirft aber auch neue
Fragen auf, <http://www.vzbv.de/sites/default/files/stellungnahme_vzbv_cpc.pdf> (zuletzt abgerufen
am 30.11.2016).
292
    KG, Urteil vom 24.01.2014 - 5 U 42/12 (LG Berlin) (nicht rechtskräftig).

                                                72

verantwortliche Stelle und die Anwendbarkeit des BDSG (§ 1 Abs. 5 Satz 2) bejahte,
während das Oberverwaltungsgericht Schleswig (Beschluss vom 22.04.2014, Az. 4 MB
11/13) in einem Verfahren des Unabhängigen Landeszentrums für Datenschutz Schleswig-
Holstein gegen Facebook die Anwendbarkeit des BDSG mit dem Argument verneinte, die
irische Konzerntochter sei die datenschutzrechtlich verantwortliche Stelle, weshalb irisches
Datenschutzrecht anzuwenden sei (§ 1 Abs. 5 Satz 1 BDSG). In einem weiteren Fall erklärte
das LG Berlin293 allein unter Anwendung der Rom-I-Verordnung deutsches AGB-Recht - und
somit auch das BDSG - auf die Datenschutzrichtlinie des IT-Anbieters Apple für anwendbar,
und zwar unabhängig von § 1 Absatz 5 BDSG, der die Anwendbarkeit des BDSG davon
abhängig macht, ob die Datenverarbeitung durch eine Niederlassung in einem Drittland wie
den USA (dann BDSG) oder in einem Mitgliedstaat der EU wie Irland (dann irisches
Datenschutzrecht) erfolgt.

In dem Versuch, den Anwendungsbereich der europäischen Vorschriften möglichst weit zu
gestalten, hat der EuGH im Google-Urteil entschieden, dass wenn personenbezogene Daten
im Rahmen der Tätigkeit einer Niederlassung in der EU (Spanien) verarbeitet werden und
ein Suchmaschinenbetreiber aus den USA in Spanien für die Vermarktung und den Verkauf
von Werbeflächen eine Niederlassung einrichtet, deren Tätigkeit sich an die Einwohner
Spaniens richtet. Nach dem EuGH gilt das auch dann, wenn die datenverarbeitende Tätigkeit
selbst nicht von der spanischen Niederlassung ausgeführt wird.294 Damit unterfalle die
Tätigkeit der Datenverarbeitung europäischen Regeln.

In diesem Sinne ist die DSGVO gem. ihres Artikels 3                 auf die Verarbeitung
personenbezogener Daten anwendbar, soweit diese im Rahmen der Tätigkeiten einer
Niederlassung eines Verantwortlichen oder Auftragsdatenverarbeiters in der EU erfolgt, und
zwar unabhängig davon, ob die Verarbeitung selbst in der EU stattfindet. Die DSGVO findet
ferner Anwendung, wenn die Datenverarbeitung in einem Zusammenhang mit einem Waren-
oder Dienstleistungsangebot oder dem Verhalten einer betroffenen Person in der EU steht
und wenn der Verantwortliche aufgrund von völkerrechtlichen Vorschriften dem Recht eines
EU-Mitgliedstaates unterliegt.

   b. Datenschutzniveau
Werden Daten in Drittstaaten übermittelt, bedarf es besonderer Schutzvorkehrungen, um das
im europäischen Binnenmarkt harmonisierte Datenschutzniveau nicht zu umgehen.295 Der
Grundsatz manifestiert Art. 25 Abs. 1 RL 95/46/EG wonach personenbezogene Daten in
Staaten außerhalb der Europäischen Union übermittelt werden dürfen, wenn sie ein
angemessenes Schutzniveau gewährleisten. Ob das Schutzniveau eines Drittstaates
angemessen ist, beurteilt die Kommission (Art. 25 Abs. 6 RL 95/46/EG). Daneben besteht für
die Mitgliedsstaaten die Möglichkeit, dass personenbezogene Daten unter den
Voraussetzungen des Art. 26 Abs. 1 RL 95/46/EG in bestimmten Einzelfällen an Drittstaaten

293
    LG Berlin, Urteil vom 30.04.2013 – 15 O 92/12.
294
    Case C-131/12, Google Spain SL/Google Inc. v. Agencia Española de Protectión de Datos/Maria
Costeja González, EU:C:2014:317.
295
    Ähnl. Gola/Klug/Körffer, Kommentar zum Bundesdatenschutzgesetz, Gola/Schomerus (Hrsg.) 12.
Auflage 2015, C.H. Beck Verlag, Rn. 20 zu § 4 b BDSG.

                                               73