DSGVO - BDSG - TTDSG. Группа авторов
35
Bei Verstößen gegen datenschutzrechtliche Normen hat der Betroffene Ansprüche gegen den Verantwortlichen und den Auftragsverarbeiter auf Ersatz des materiellen und immateriellen Schadens gemäß Art. 82 Abs. 1 DSGVO (siehe Art. 82 Rn. 26ff.). Zudem können sich weitere Ansprüche aus deliktischen oder vertraglichen Anspruchsgrundlagen in Verbindung mit der verletzten Norm der DSGVO ergeben, etwa aus § 823 Abs. 2 BGB in Verbindung mit einer Norm der DSGVO. Gegen Datenschutzverletzungen kann der Betroffene Unterlassungsansprüche gemäß §§ 1004 Abs. 1 Satz 1 BGB analog i.V.m § 823 Abs. 1 BGB (quasinegatorischer Beseitigungsanspruch) geltend machen.99 Normen mit vertraglicher und deliktischer Schutzwirkung können etwa folgende Regelungen sein: Art. 6 Abs. 1, Art. 7, Art. 8, Art. 9 Abs. 2, Art. 12, Art. 13, Art. 14, Art. 17, Art. 20 und Art. 22 DSGVO.
b) Arbeitnehmerschutz und Mitbestimmung
36
Die DSGVO ist ein arbeitnehmerschützendes Gesetz,100 zu dessen Beachtung Arbeitgeber und der Betriebsrat insbesondere gemäß § 75 Abs. 2 BetrVG verpflichtet sind und das direkte Auswirkung auf das individuelle und das kollektive Arbeitsrecht hat, sodass dem Personalrat gemäß § 68 Abs. 1 Nr. 2 BPersVG und dem Betriebsrat gemäß § 80 Abs. 1 Nr. 1 BetrVG die Kompetenz zukommt, die Rechte der Beschäftigten im Hinblick auf den Schutz ihrer informationellen Selbstbestimmung durch das Datenschutzrecht zu überwachen.101 Hiervon erfasst ist neben der Überwachung materiellrechtlicher auch die Kontrolle prozeduraler Normen. Für die Verarbeitung personenbezogener Daten von Beschäftigten ergibt sich daher eine interne doppelte Kontrolle sowohl durch den Betriebs- oder Personalrat, als auch durch den Datenschutzbeauftragten. Die jeweiligen Befugnisse sind nicht exklusiv, sondern bestehen unabhängig voneinander.102 Arbeitnehmerschützend ist insbesondere § 26 BDSG.
37
Die Kontrolle des Betriebs- und Personalrates ist auf die Überprüfung der Rechtmäßigkeit gerichtet; regelmäßig zulässige Reaktion des Betriebsrates ist ein Hinweis gegenüber dem Arbeitgeber und ein Hinwirken auf Abstellung des Verstoßes.103 Ein eigenes Abhilferecht oder Ansprüche auf Unterlassung des Betriebsrates bei der Verletzung subjektiver Rechte der Arbeitnehmer bestehen nicht. Diese müssen die Arbeitnehmer selbst durchsetzen.104 Von den Kontrollbefugnissen des Betriebs- und Personalrates zu trennen ist die Frage einer Mitbestimmung im Hinblick auf die Verarbeitung personenbezogener Daten. Ein Mitbestimmungsrecht besteht nicht automatisch für jede Verarbeitung personenbezogener Daten,105 ergibt sich in vielen Fällen jedoch gemäß § 87 Abs. 1 Nr. 6 BetrVG.
c) Verbraucherschutz
38
Die Frage nach der verbraucherschützenden Wirkung des Datenschutzrechts war lange umstritten.106 Mit dem Gesetz zur Verbesserung der zivilrechtlichen Durchsetzung von verbraucherschützenden Vorschriften des Datenschutzrechts107 wurde § 2 Abs. 2 Nr. 11 UKlaG eingeführt und diese Frage durch den Bundesgesetzgeber geklärt. Einzelne Vorschriften des Datenschutzrechts sind danach verbraucherschützend,108 soweit sie Regelungen zur Zulässigkeit der Verarbeitung personenbezogener Daten von Verbrauchern i.S.d. § 13 BGB durch einen Unternehmer i.S.d. § 14 BGB zu Zwecken der Werbung, Markt- und Meinungsforschung, zum Betreiben einer Auskunftei, zur Erstellung von Persönlichkeits- und Nutzungsprofilen, zum Adress- und Datenhandel sowie zu vergleichbaren kommerziellen Zwecken enthalten. Nicht von der Neuregelung erfasst und folglich nicht verbraucherschützend ist der Datenumgang im Verhältnis von Unternehmern zu Unternehmern (B2B)109 sowie Regelungen über die Verarbeitung personenbezogener Daten zur Begründung, Durchführung oder Beendigung eines rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnisses mit einem Verbraucher.110
39
Verbraucherschützend können daher zahlreiche Normen der DSGVO sein, wenn diese Verarbeitungen zu Werbezwecken, zur Markt- und Meinungsforschung, zum Betreiben einer Auskunftei, zur Erstellung von Persönlichkeits- und Nutzungsprofilen, zum Adress- und Datenhandel oder ähnlichen Verarbeitungszwecken sowie zu vergleichbaren kommerziellen Zwecken enthalten.111 Viele Normen der DSGVO enthalten offene Rechtsbegriffe, die auf verschiedene Verarbeitungen anwendbar sind. Es kommt daher häufig auf den konkreten Verarbeitungskontext an. Verbraucherschützend können etwa folgende Normen sein: Art. 5 Abs. 1; Art. 6 Abs. 1 und Abs. 4; Art. 7; Art. 8; Art. 9 Abs. 2, Art. 18 Abs. 2; Art. 22 DSGVO.
d) Wettbewerbsschutz
40
Die DSGVO und das Datenschutzrecht allgemein enthalten potenziell verbraucher-, marktteilnehmer- und mitbewerberschützende Regelungen, nämlich wenn die datenschutzrechtliche Norm im Sinne des § 3a UWG dazu bestimmt ist, das Marktverhalten zu regeln und der Verstoß geeignet ist, das Interesse der Verbraucher, Marktteilnehmer und Mitbewerber spürbar zu beeinträchtigen.112
41
Ob Vorschriften des Datenschutzrechts wettbewerbsschützend im Sinne des § 1 UWG sind, ist umstritten. Voraussetzung einer wettbewerbsschützenden Funktion der Normen der DSGVO ist, dass eine Regelung des Marktverhaltens bezweckt und die Anwendbarkeit des Wettbewerbsrechts nicht durch den Vorrang des Sanktionsregimes der DSGVO ausgeschlossen ist. Nach einer Ansicht enthält das Datenschutzrecht keine Marktverhaltensregeln, sodass Datenschutzverstöße nicht mit den Mitteln des Wettbewerbsrechts von Wettbewerbern angegriffen werden können.113 Die Anwendbarkeit des Wettbewerbsrechts sei gesperrt, weil die DSGVO in Kapitel VIII (Rechtsbehelfe, Haftung und Sanktionen) abschließende Regelungen zur Sanktion von Datenschutzverstößen enthalte.114 Außerdem diene die DSGVO dem Individualschutz und nicht dem Wettbewerbsschutz, was die Anwendbarkeit des Wettbewerbsrechts ausschließe.115
42
Überwiegend wird jedoch zu Recht angenommen, dass auch datenschutzrechtliche Vorschriften einen hinreichenden Marktverhaltensbezug aufweisen können.116 Für diese Ansicht spricht insbesondere der Umstand, dass personenbezogene Daten faktisch zum Wirtschaftsgut geworden sind, sodass der Schutz personenbezogener Daten untrennbar auch mit dem Schutz des Wettbewerbs verbunden ist, sofern es nicht um ausschließlich interne Vorgänge geht.117 Trotz der primären Ausrichtung auf den Grundrechtsschutz können Vorschriften der DSGVO Wettbewerbsrelevanz haben, nämlich insbesondere wenn sie das Auftreten von Wettbewerbern auf dem Markt regeln (siehe Rn. 40f.).118 Wettbewerbsschützend können etwa folgende Normen der DSGVO sein: Art. 5 Abs. 1; Art. 6 Abs. 1 und Abs. 4; Art. 7; Art. 8; Art. 9 Abs. 1;119 Art. 9 Abs. 2;120 Art. 12;121 Art. 13;122 Art. 18 Abs. 2; Art. 22 DSGVO; Art. 32 Abs. 1 lit a.123
e) Informationszugangsrecht
43
Über die Funktion des Datenschutzrechts als Abwehrrecht gegenüber dem Staat hinaus wird teilweise davon ausgegangen, dass es als Kehrseite des Datenschutzes oder als korrespondierendes Element hierzu ein Recht auf Zugang zu Informationen gebe.124 Die Annahmen, dass ein solches Recht zwangsläufig als Kehrseite aus dem Datenschutzrecht folge, sind aber auch berechtigten Zweifeln ausgesetzt.125 Für die Frage, ob ein solches Recht bestehen kann, ist vom zugrunde liegenden Regelungszweck des Datenschutzrechts auszugehen. Dieser ergibt sich aus Art. 1 Abs. 2 DSGVO (siehe Rn. 13) und ist auf den Schutz der Grundrechte und Grundfreiheiten natürlicher Personen ausgerichtet. Wesentlich geprägt wird er durch das Recht auf Datenschutz gemäß Art. 8 GRCh und in der deutschen Grundrechtstradition durch das Recht auf informationelle Selbstbestimmung, das dem Betroffenen ein Herrschaftsrecht über Daten zur eigenen Person verschafft. Hieraus folgt, dass sich ein Recht auf Informationszugang aufgrund der informationellen Selbstbestimmung nur auf Daten zur eigenen Person und nicht auf Informationen über Dritte beziehen kann.
44
Aufgrund des Rechts auf Datenschutz kann der