Accountability im europäischen Datenschutzrecht E-Book

Zugleich Dissertation an der Carl von Ossietzky Universität Oldenburg, 2023.

ISBN: 978-3-8005-1862-3

© 2023 Deutscher Fachverlag GmbH, Fachmedien Recht und Wirtschaft, Frankfurt am Main www.ruw.de Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Jede Verwertung außerhalb der engen Grenzen des Urheberrechtsgesetzes ist ohne Zustimmung des Verlages unzulässig und strafbar. Das gilt insbesondere für Vervielfältigungen, Bearbeitungen, Übersetzungen, Mikroverfilmungen und die Einspeicherung und Verarbeitung in elektronischen Systemen.

Druck: WIRmachenDRUCK GmbH, Backnang

Meinen Eltern

Vorwort

Die vorliegende Arbeit wurde im Sommersemester 2023 am Department für Wirtschafts- und Rechtswissenschaften der Carl von Ossietzky Universität Oldenburg als Dissertation angenommen. Rechtsprechung und Literatur wurden, soweit wegen des sehr dynamischen Rechtsgebiets und der Breite des untersuchten Themas möglich, bis 30. Juni 2023 berücksichtigt.

Dafür, dass ich das Projekt „Dissertation“ in dieser Form realisieren konnte, gilt mein Dank zunächst Univ.-Prof. Prof. h.c. Dr. Jürgen Taeger, sowohl für die Unterstützung bei der initialen Wahl des Themas als auch für die gewährten Freiheiten bei der Bearbeitung des Stoffs und die gründliche Durchsicht im Rahmen der Begutachtung, welche erheblich zur Qualität des fertigen Manuskriptes beigetragen hat. Für die zügige Erstellung des Zweitgutachtens danke ich herzlich Prof. Dr. Jens M. Schmittmann.

Daneben schulde ich vielen lieben Menschen aus meinem privaten Umfeld Dank für ihren Beitrag zu dieser Arbeit. Ohne sie wäre ich in den verschiedenen Phasen, die ich während des Schreibens durchlaufen habe, vermutlich verzweifelt. Den Herren Dominik Meyer, LL. M. und RA Nicol Lüers möchte ich für die vielen Stunden engagierter und erhellender Widerrede in Praxis- und Grundsatzfragen danken, sowie für die unersätzliche Unterstützung bezüglich der Tücken von Formatierungsvorlagen. Dr. Jan-Peter Möhle verdanke ich spannende Einblicke in juristisch-publizistische Hintergründe. Und schließlich möchte ich mich für die seelische Unterstützung in zahlreichen Momenten der Entnervung bei meinem Gute Laune-Duo Adile und Carina bedanken.

Am tiefsten stehe ich jedoch bei meinen Eltern, Bodo und Petra Mertens, in der Schuld. Mit ihrem unerschütterlichen Rückhalt, der Ruhe und dem Frieden eines Zuhauses und natürlich unserem Sonnenschein Schoki haben sie mich stets aufgefangen und unterstützt, wann immer mir die Decke auf den Kopf fiel oder der Stress durch die Doppelbelastung zu groß wurde. Ihnen beiden ist diese Arbeit gewidmet.

Elbe, im Juni 2023

Timon Mertens

Inhaltsverzeichnis

Vorwort

Abkürzungsverzeichnis

A. Einleitung – Verantwortung für Datenverarbeitungen als Grundrechtseingriff

I. Historischer Ursprung und konstitutive Merkmale von Accountability

II. Terminologie und Aufbau der Untersuchung

B. Informationspflichtigkeit als konstitutives Merkmal von Accountability

I. Einordnung von Accountability als Regulierungsinstrument

1. Imperative Regulierung

2. Regulierte Selbstregulierung

3. Autonome und echte Selbstregulierung

4. Einordnung der DSGVO-Accountability hinsichtlich ihres Regelungscharakters

a. Imperative Elemente von Art. 5 Abs. 2 und Art. 24 DSGVO

b. Selbstregulatorische Elemente von Art. 5 Abs. 2 und Art. 24 DSGVO

(1) Genehmigte Verhaltensregeln (CoC)

(2) Zertifizierungen

(3) Verbindliche interne Datenschutzvorschriften (BCR)

5. Normative Accountability als imperatives Regulierungsinstrument

II. Informationspflichtigkeit als Kernelement normativer Accountability

1. Entwicklung von Responsibility zu Accountability

a. Frühe Erscheinungen im amerikanischen und englischen Recht

b. Verwaltungsrechtliche Anfänge der Public Accountability

2. Einführung von Accountability im Datenschutzrecht

a. Prägung durch die OECD Richtlinien zum grenzüberschreitenden Datenverkehr

b. Aufnahme in das europäische Datenschutzrecht

(1) Konvention 108 des Europarates

(2) Datenschutzrichtlinie 95/46/EG (DSRL)

(3) Vorarbeiten zur DSGVO durch das CIPL und die Art. 29-Gruppe

c. Umsetzungen von Datenschutz-Accountability im angloamerikanischen Rechtsraum, speziell den USA, Kanada und Australien

d. Durchsetzungsmechanismen der verschiedenen Regelungstypen

3. Wertung der Erkenntnisse aus RL 95/46/EG – Bedürfnis nach dem Instrument der Accountability

4. Accountability in der DSGVO

a. Normenhierarchie und Konkurrenzen

b. Accountability als Pflicht oder als Obliegenheit

(1) Historische Auslegung

(2) Grammatikalische Auslegung

(3) Systematische, system- und rechtsvergleichende Auslegung

(4) Teleologische Auslegung

c. Anwendung der Accountability in Verbindung mit materiellen Normen (lex specialis)

d. Aufsichtsbehördliche Informationserhebung mittels Art. 31 DSGVO

e. Praktische Umsetzung von Accountability in Unternehmen

f. Systematische Einordnung der DSGVO-Accountability

5. Zusammenfassung

III. Topos der Accountability

1. Inhaltsdimensionen von Accountability

a. Zuständigkeit zum forenabhängigen Dialog

(1) Responsibility, Answerability und Responsiveness

(2) Zuständigkeit und Adressatenorientierung in der DSGVO

b. Beurteilungsmaßstab des Informationsgehalts

(1) Transparenz und Informativeness

(2) Inhaltliche Anforderungen an Transparenz und Informationen nach der DSGVO

c. Sanktionierbarkeit als konstitutives Merkmal

(1) Liability und die Wechselwirkung von Sanktionen

(2) Vertikale, horizontale und diagonale Accountability in der DSGVO

d. Vor- und Fürsorgepflicht im Konzept der Accountability

(1) Public Accountability in Form von Stewardship und Agency

(2) Fürsorge- und Sorgfaltspflichten für Daten und Datenverarbeitungen in der DSGVO

e. Berechtigung und Rechtmäßigkeit des Accountability-Pflichtigen

(1) Liability bei fehlender Legitimacy

(2) Beurteilung der Rechtmäßigkeit aufgrund der DSGVO

f. Kontrolle und Rechtmäßigkeit

(1) Kontrolle von Akteuren durch das Forum

(2) Kontrolle im Datenschutzrecht und der DSGVO

g. Berücksichtigung von Wirtschaftlichkeit im Rahmen der Accountability

(1) Effizienz, Effektivität, Process- und Outcome-Accountability

(2) Wirksamkeit und Wirtschaftlichkeit in der DSGVO

h. Zeitliche Dimension von Accountability

(1) Vorwirkung und nachgelagerte Implikationen der Dimensionen

(2) Ex ante factum Handlungsbedarf und ex post factum Sanktion

2. Konzeptionelle Negativabgrenzung

IV. Zwischenergebnis zur Schematisierung der DSGVO-Accountability

C. Adressaten der Accountability-Pflichten

I. Accountability-Verpflichtete zwischen wirtschaftlicher Einheitsbetrachtung und gesellschaftsrechtlichem Trennungsgebot

1. Akteure im Datenschutzrecht

a. Verantwortlicher für eine Datenverarbeitung

(1) Entstehung des Verantwortlichenbegriffs

(2) Verantwortlicher nach der DSGVO

b. Gemeinsame Verantwortlichkeit

c. Auftragsverarbeiter

d. Unternehmen und Unternehmensgruppen

2. Übertragbarkeit des kartellrechtlichen Rahmens auf das Datenschutzrecht

a. Vereinbarungen zwischen Unternehmen und abgestimmte Verhaltensweisen

b. Spürbarkeit einer Beeinträchtigung

c. Kartellrechtlicher Unternehmensbegriff

3. Zurechnung wegen Zugehörigkeit i.S.d. Kartellrechts

a. Argumente gegen eine Zurechnung

b. Argumente für eine Zurechnung

4. Stellungnahme

II. Zurechnung als Rechtsfolge datenschutzrechtlicher Verantwortung bei Berechnung eines Bußgeldes

1. Betroffenenrisiken als Zurechnungsgrund

2. Wesensgehalt des datenschutzrechtlichen Risikos

a. Schutzgüter im Datenschutzrecht

b. Gesellschaftsrechtlich-politische und wirtschaftliche Risiken

3. Kriterien der Bemessung des Betroffenenrisikos

a. Eintrittswahrscheinlichkeit

b. Art und Umfang der Verarbeitung

c. Umstände der Verarbeitung

(1) Gefährdungslage bei der Verarbeitung durch Unternehmen

(2) Branche, Unternehmensgröße und -stellung am Markt

(3) Subjektive Bemessungskriterien bezüglich betroffener Personen

4. Zurechnungsobjekte und Zurechnungsgegenstände im Datenschutzrecht

a. Singuläre Verarbeitungssituationen

b. Zurechnung von Auftragsverarbeitungen

c. Zurechnung in Fällen gemeinsamer Verantwortung

d. Gruppendimensionale Zurechnung

(1) Übertragung der Akzo-Vermutung in das Datenschutzrecht

(2) Organisationspflichten, Entscheidungsverantwortung und wirtschaftlicher Nutzen

(3) Zurechnung aufgrund unterlassener Aufsichtspflichten

(4) Grenzen der Zurechnung – Exzess und Chinese Walls

(5) Stellungnahme

III. Zwischenergebnis

D. Sanktion eines Forums als konstitutives Merkmal von Accountability

I. Wahrgenommene Risiken als Handlungsmotivation

II. Sanktionierung durch eine Aufsichtsbehörde

1. Untersuchungs- und Abhilfebefugnisse gem. Art. 58 DSGVO

a. Rangverhältnisse der Behördenbefugnisse

b. Entschließungsermessen statt Bußgeldzwang

2. Ausgewählte Instrumente zur Förderung und Durchsetzung der DSGVO

a. Einflussnahme gem. Art. 58 Abs. 2 DSGVO

b. Bußgeldberechnung und -verhängung gem. Art. 58 Abs. 2 lit. i DSGVO

c. Information von Betroffenen und Öffentlichkeit durch die Aufsichtsbehörden gem. Art. 58 Abs. 3 lit. b DSGVO

III. Inanspruchnahme durch Betroffene

1. Schadenersatz gem. Art. 82 DSGVO

a. Voraussetzungen einer Schadensersatzpflicht

(1) Eintritt eines Schadens

(2) Verstoß gegen datenschutzrechtliche Pflichten

(3) Adäquate Kausalität der Handlung für den eingetretenen Schaden

(4) Verschulden und Vertretenmüssen

b. Mögliche Anspruchsgegner

(1) Verantwortliche und Auftragsverarbeiter

(2) Schadenersatz von leitenden und sonstigen Angestellten

(3) Schadensersatzpflicht des Datenschutzbeauftragten

2. Kollektivrechtliche Durchsetzungsmöglichkeiten

IV. Inanspruchnahme durch Marktteilnehmer und Verbände

V. Beziehung von Foren zueinander

VI. Zwischenergebnis

E. Wertung normativer Accountability als entwicklungsoffener Durchsetzungsmechanismus materieller Anforderungen

Quellenverzeichnisse

Literaturverzeichnis

Stellungnahmen der Art. 29 Gruppe bzw. des European Data Protection Board (EDPB)

Webquellen

Abkürzungsverzeichnis

Abb.

Abbildung

ABLJ

American Business Law Journal

AJLH

The Americal Journal of Legal History

AJPA

Australian Journal of Public Administration (Zeitschrift)

AlaLR

Alabama Law Review

AOS

Accounting, Organization and Society (Zeitschrift)

A&S

Administration & Society (Zeitschrift)

AöR

Archiv des öffentlichen Rechts

APEC

Asia-Pacific Economic Cooperation

APSR

American Political Science Review (Zeitschrift)

ARPA

American Review of Public Administration

BB

Betriebs-Berater (Zeitschrift)

BCR

Binding Corporate Rules

BeckRS

Beck-Rechtsprechung

Bost. Coll. LR

Boston College Law Review

CB

Compliance Berater (Zeitschrift)

CBPRs

Corporate Binding Privacy Rules

CCZ

Corporate Compliance Zeitschrift

CLP

Current Legal Problems (Zeitschrift)

Col. LR

Columbia Law Review

CR

Computer und Recht (Zeitschrift)

DB

Der Betrieb (Zeitschrift)

DiP

Development in Practice (Zeitschrift)

DMS

Datenschutz-Managementsystem

DPC

Data Protection Commissioner

DSK

Datenschutzkonferenz

DS

Der Sachverständige (Zeitschrift)

DSRI

Deutsche Stiftung für Recht und Informatik

DSRL

Datenschutzrichtlinie, gemeint ist Richtlinie 95/46/EG

DuD

Datenschutz und Datensicherheit (Zeitschrift)

DV

Die Verwaltung (Zeitschrift)

EDPB

European Data Protection Board

EDPL

European Data Protection Law Review

Einl.

Einleitung

EJE

European Journal of Education (Zeitschrift)

ELJ

European Law Journal

ELL

English Language and Linguistics (Zeitschrift)

EP

EU-Parlament

EuR

Europarecht (Zeitschrift)

Eur. BusOrg LR

European Business Organisation Law Review

EuZW

Europäische Zeitschrift für Wirtschaftsrecht

FAT/ML

Fairness, Accountability and Transparency in Machine Learning (Organisation)

FIPP

Fair Information Practise Principles

FTC

Federal Trade Commision

FTCA

Federal Trade Commissions Act 1914

FS

Festschrift

GaO

Government and Opposition (Zeitschrift)

gem.

Gemäß

GRUR

Gewerblicher Rechtsschutz und Urheberrecht (Zeitschrift)

GRUR-Prax

Gewerblicher Rechtsschutz und Urheberrecht in der Praxis

HJLT

Harvard Journal of Law and Technology

HLR

Harvard Law Review

ICL Journal

Institutional Court Law Review

IDC

International Data Corporation

IJBM

International Journal of Business and Management

IJLM

International Journal of Law and Management

Innovation

Innovation: The European Journal of Social Science Research (Zeitschrift)

IRAS

International Review of Administrative Science

J.

Journal

JA

Juristische Arbeitsblätter

J. Brit. Stud.

Journal of British Studies

JCC

The Journal of Corporate Citizenship (Zeitschrift)

JeduChange

Journal for Educational Change

JEPP

Journal of European Public Policy

JLA

Journal of Legal Analysis

JlaS

Journal of Law and Society

JPART

Journal of Public Administration Research and Theory

JZ

JuristenZeitung

KK

Karlsruher Kommentar

K&R

Kommunikation & Recht (Zeitschrift)

lit.

litera

MMR

Multimedia und Recht (Zeitschrift)

m.w.N.

mit weiteren Nachweisen

NJW

Neue Juristische Wochenschrift (Zeitschrift)

No.

Number

Northw. J. TaIP

Northwestern Journal for Technology and Intellectual Property

NStZ

Neue Zeitschrift für Strafrecht

NVwZ

Neue Zeitschrift für Verwaltungsrecht

NZA

Neue Zeitschrift für Arbeitsrecht

NZG

Neue Zeitschrift für Gesellschaftsrecht

NZKart

Neue Zeitschrift für Kartellrecht

NZWiSt

Neue Zeitschrift für Wirtschafts-, Steuer-, und Unternehmensstrafrecht

OBHDP

Organizational Behavior and Human Decision Making Processes (Zeitschrift)

Ott. LR

Ottawa Law Review

PA

Public Administration (Zeitschrift)

Pac.AR

Pacific Accounting Review

PAR

Public Administration Review (Zeitschrift)

PIMS

Personal Information Management System

PinG

Privacy in Germany (Zeitschrift)

PLBI

Privacy Laws and Business International (Zeitschrift)

PMR

Public Management Review

POR

Public Organization Review

PPA

Public Policy and Administration (Zeitschrift)

PSQ

Political Science Quarterly

RDV

Recht der Datenverarbeitung

r+s

Informationsschrift für Versicherungsrecht und Schadenersatz (Zeitschrift)

SC

Stewardship Code

SCC

EU-Standardvertragsklauseln

S. C.L. R.

Supreme Court Law Review

SOX

Sarbanes-Oxley-Act 2002

StCompIntDev

Studies of Comparative International Development (Zeitschrift)

TAQ

The Australian Quarterly (Zeitschrift)

UCLA LR

University of California in Los Angeles Law Review

Upenn LR

University of Pennsylvania Law Review

Vol.

Volume

WEP

West European Politics

WM

Wertpapiermitteilungen – Zeitschrift für Wirtschafts- und Bankrecht

WP

Working Paper

WRP

Wettbewerb in Recht und Praxis

Yale L. J.

Yale Law Journal

ZaöRV

Zeitschrift für ausländisches öffentliches Recht und Völkerrecht

ZD

Zeitschrift für Datenschutz

ZfDR

Zeitschrift für Digitalisierung und Recht

ZHR

Zeitschrift für das gesamte Handelsrecht und Wirtschaftsrecht

ZIP

Zeitschrift für Wirtschaftsrecht

ZJS

Zeitschrift für das juristische Studium

z.n.

zitiert nach

ZRP

Zeitschrift für Rechtspolitik

ZUM

Zeitschrift für Urheber- und Medienrecht

A. Einleitung – Verantwortung für Datenverarbeitungen als Grundrechtseingriff

„Der Besitz großer Macht impliziert stets eine große Verantwortung“1

Die rasante informationstechnologische Entwicklung seit dem Ende des 20. Und dem Beginn des 21. Jahrhunderts verschiebt das etablierte Kräfteverhältnis zwischen staatlichen und privatwirtschaftlichen Akteuren und stellt damit die etablierten Funktionsmechanismen der Aufsicht und Kontrolle vor beachtliche Herausforderungen. Der Grund für diese Verschiebung sind sowohl die Fähigkeiten, die nicht-staatlichen Akteuren durch die Verarbeitungen von Informationen zukommen als auch die schlichte Menge von Daten, die einzelnen Akteuren zur Verfügung stehen. Die Informationen, die sich aus den Daten gewinnen lassen, ermöglichen es den privaten Akteuren, Rückschlüsse über natürliche Personen zu ziehen bzw. zunächst anonym gewonnene Erkenntnisse auf diese anzuwenden,2 etwa indem durch Big Data Analysen neue Zusammenhänge erkannt oder bestehende neu interpretiert werden. Dadurch erlangen die datenverarbeitenden Akteure Macht und Machtpositionen gegenüber den betroffenen natürlichen Personen. Obwohl Macht sowohl in vielerlei Gestalt auftreten, sich also in phänotypischer Form realisieren, als auch in verschiedener Weise verstanden, im Sinne einer subjektiven Bewusstseinswahrnehmung als solche empfunden werden kann, bildet sie abstrakt gesprochen die Fähigkeit, „das Denken und Verhalten von anderen [...] zu steuern oder zu beeinflussen“.3 Dem Instrument der Macht wohnt damit definitionsgemäß die Möglichkeit inne, auf Verhaltens- und Entscheidungsprozesse der Machtunterworfenen einzuwirken. Aufgrund dieser Eigenschaft ist ihr die Konnotation asymmetrischer Verhältnisse und die Tendenz inhärent, die „Freiheit der Machtunterworfenen“ und damit das Schutzgut der Grundrechte,4 zu beeinträchtigen, denn zugespitzt kann „[d]er Freiheit einer Partei [...] ein Machtdefizit bzw. die Ohnmacht einer anderen Partei“ entsprechen.5 Macht stellte in dieser Form traditionell eine Eigenschaft des Staates dar, die entsprechend der „inneren Logik des Rechtsstaates“6 auf das Maß zu begrenzen sei, welches aufgrund von rationaler Einsicht, ideologischer oder moralischer Überzeugung, ständiger Übung oder selbst einer maßvollen Ausübung von Zwang als legitim angesehen wird.7 Es ist gerade dieser Zusammenhang zwischen der Fähigkeit zur Beeinflussung auf der einen und den begrenzten Möglichkeiten auf der anderen Seite, sich der Beeinflussung zu entziehen, welche die Forderung nach einer sozialverträglichen Ausübung von Macht entstehen lässt.

Der Staat ist zu diesem Zweck verfassungsrechtlich verpflichtet, Eingriffe in die deshalb auch als Abwehr- und Freiheits(grund)rechte bezeichneten Wertungsentscheidungen der Verfassung zu rechtfertigen.8 Der wesentliche Faktor bei der Beurteilung von Macht sind jedoch nicht die Akteure, sondern die Verfügungsgewalt über die Mittel, aus denen die jeweilige Beeinflussungsmöglichkeit entsteht. Mit wachsender Technisierung nahezu aller Lebensbereiche besteht eine solche zunehmend bei privaten Unternehmen, durch die von ihnen vertriebenen Produkte und Dienstleistungen als entsprechend relevante Machtfaktoren. Um die grundrechtlich verbürgte Freiheit natürlicher Personen dennoch wirksam zu schützen, bedarf folglich auch die Macht dieser kommerziell agierenden Akteure der Begrenzung. Erschwert wird diese Begrenzung jedoch durch die Tatsache, dass die durch sie betroffenen Akteure ihrerseits regelmäßig Träger von Grundrechten wie der Handlungs- oder Berufsfreiheit sind, was der Gesetzgeber im Wege einer wertenden Abwägung in einen Ausgleich zu bringen hat.9 Sofern die Voraussetzungen indes vorliegen, kann „die mittelbare Grundrechtsbindung Privater einer Grundrechtsbindung des Staates [...] nahe oder auch gleichkommen“.10 Damit sind beim Vorliegen der Voraussetzungen an die Datenverarbeitungen von privatwirtschaftlichen Unternehmen ähnlich hohe Anforderungen an die Rechtmäßigkeit einer Datenverarbeitung zu stellen, wie bei staatlichen Stellen. Die mit der Handlungsfreiheit des Akteurs innerhalb des gesetzlichen Rahmens verbundene normative Erwartungshaltung zur Rücksichtnahme wird als Verantwortung oder Verantwortlichkeit bezeichnet; „[s]ie ist die Kehrseite der dem Individuum versprochenen Achtung seiner Selbstbestimmung“.11 Das „Prinzip der Verantwortung“12 wird vor diesem Hintergrund insbesondere in einer Weise verwendet, die eine Haftungs- und Ausgleichskomponente transportiert,13 sofern eine Partei aufgrund der ausgeübten Handlungs- und Entfaltungsfreiheit einer anderen Partei zu Schaden kommt, wodurch letztere der an sie gerichteten Anforderung an eine schonende Ausübung ihrer Macht nicht entsprochen hat.14 Wie zu zeigen sein wird, ist insbesondere die Sanktionskomponente prägend für das Verständnis von Verantwortung im amerikanischen Rechtsraum, und wohl auch für das Verständnis der EU-Institutionen im Rahmen der Reformierung des europäischen Datenschutzrechts, die zur Verabschiedung der Datenschutz-Grundverordnung (DSGVO)15 geführt haben.16

Die verantwortungsbegründende Situation einer Machtasymmetrie ist in besonderem Maße in der modernen Welt der Datenökonomie präsent,17 da die Verarbeitung personenbezogener Daten es Akteuren ermöglicht, wesentlich zielgenauere Effekte für natürliche Personen zu bewirken. Der daraus entstehenden Fähigkeit, das Denken, Handeln und Verhalten eben dieser Personen zu beeinflussen, etwa indem entsprechende Algorithmen Filterblasen erzeugen oder die Auswertung politischer Ansichten ermöglichen (Cambridge Analytica), oder Handlungsfähigkeiten im Wege von Tracking und Preisdiskriminierung einzuschränken, muss auf Regulierungsebene mit dem Ziel eines sozialverträglichen Ausgleichs begegnet werden. Zusätzlich bedarf es einer Stärkung auf Durchsetzungs- und Vollzugsebene. Indem Unternehmen in der Verarbeitung personenbezogener Daten eine Einkommensquelle ausmachen,18 ist es für sie von zunehmender Wichtigkeit, diese Quelle durch sowohl technisch als auch rechtlich professionalisiertes Personal zu verteidigen. Und während diese Professionalisierung selbst dedizierte Aufsichtsbehörden vor Herausforderungen stellt,19 wird es für Betroffene ungleich schwieriger, die technische und rechtliche Entwicklung und damit die sozialen und wirtschaftlichen Wirklichkeiten und Zusammenhänge zu verstehen und gegebenenfalls ihre Datenschutzrechte effektiv wahrzunehmen.20 Die ausdrückliche Aufnahme des Verantwortungsprinzips in die Art. 5 Abs. 2 und Art. 24 Abs. 1 S. 1 DSGVO durch den europäischen Verordnungsgeber kam daher nicht überraschend. Allerdings sind bislang weder das Verhältnis dieser beiden Normen zueinander, zu den übrigen materiellen Normen der DSGVO oder ihr genuin eigenständiger, normativer Gehalt zufriedenstellend durch Literatur und Rechtsprechung aufgearbeitet worden.

Verantwortung und legitime Machtausübung stehen, wie gezeigt wurde und im Verlauf der vorliegenden Arbeit weiter konkretisiert werden wird, in einem engen Verhältnis zueinander. Da Macht traditionell etwas ist, das staatlichen Institutionen innewohnt, ist in den letzten Jahrzehnten im Bereich der Politik- und Gesellschaftswissenschaften intensiv zur Verantwortung bei der Ausübung von Macht unter dem Begriff der Accountability geforscht worden, woraus sich ein reicher Fundus an Erkenntnissen zu deren Funktionsweise und Inhalten entwickelt hat. Abstrahiert können diese auch für das Rechtsgebiet des Datenschutzes fruchtbar gemacht werden. Dabei liegt der Fokus der Betrachtung auf der Datenverarbeitung durch nicht-öffentliche Stellen, wobei die entwickelten Erkenntnisse sich gleichsam mit der einheitlichen Geltung der DSGVO auch auf öffentliche Stellen übertragen lassen, sofern für diese keine spezialgesetzlichen Besonderheiten gelten.21 Hierzu gilt es im Folgenden zunächst, die von konkreten Einzelfällen losgelöste Struktur von Verantwortung bzw. Accountability auf Basis ihrer historischen Ursprünge herauszuarbeiten. Verantwortung lässt sich aus dem Deutschen ins Englische sowohl mit Accountability sowie mit dem häufig aber unzutreffend synonym verwendeten Begriff der Responsibility übersetzen, ohne jedoch umfassend die damit verbundenen Konnotationen zu transportieren, die durchaus voneinander abweichen. Entsprechend sind nach einer kurzen Einordnung von gesetzlich normierter Verantwortung als Regulierungsinstrument die im englischen Originalschrifttum diskutierten Dimensionen, die Accountability annehmen kann, daraufhin zu untersuchen, ob und in welcher Form sie auch im Datenschutzrecht einen Niederschlag gefunden haben. Dabei wird gezeigt werden, dass es zwar womöglich anspruchsvoll sein kann, die exakte Bedeutung von Accountability in einem konkreten Kontext zu definieren,22 damit allerdings trotz eines potenziell hohen Pflichtenumfangs kein Verstoß gegen rechtsstaatliche Prinzipien verbunden sein muss, der die verschiedenen Normadressaten über Gebühr belasten würde.23 Vielmehr ergibt sich dies daraus, dass die Faktoren, aus denen die jeweilige Machtposition erwächst, zwischen unterschiedlichen Akteuren divergieren, wodurch folgerichtig Akteure mit komplexen Geschäftsmodellen oder einer marktbeherrschenden Stellung höheren Anforderungen unterworfen werden, als kleine und mittlere Unternehmen. Ein besonderes Augenmerk ist dabei auch auf Situationen zu richten, wie sie heutzutage im digitalen Bereich vorherrschend sind und in denen mehrere Akteure kollaborativ Daten verarbeiten, weil in diesen Fällen ein gesteigertes Risiko für natürliche Personen entstehen kann, den Umfang und die Effekte einer sie betreffenden Datenverarbeitung nicht mehr nachvollziehen zu können.24

Accountability soll dieser möglichen Ohnmacht von natürlichen Personen entgegenwirken,25 so dass eine wesentliche Funktion auch denjenigen Parteien zukommt, die Akteure zur datenschutzrechtlich begründeten Verantwortung ziehen bzw. Accountability einfordern können.26 Fraglich ist, ob das Instrument der Accountability diesen Anforderungen gewachsen ist und einen echten Beitrag zu einem in Gesamtschau höheren Schutzniveau für Betroffene leisten kann.

1

So vorgetragen 1817 von einem britischen Parlamentsabgeordneten des House of Commons (

Lamb

) bezüglich der Frage, welche Rolle den Medien wegen einer als aufwieglerisch wahrgenommenen Berichterstattung zukäme, nachzulesen in:

Hansard

, Parliamentary Debates, Vol. XXXVI, 1817, S. 1227: „the possession of great power necessarily implies great responsibility.”, Übersetzung d.d. Verfasser.

2

Gerade diese Fähigkeit zur Informationsgenese bestimmt den (wirtschaftlichen) Wert personenbezogener Daten, siehe dazu

Albers

, in: Friedewald/Lamla/Roßnagel, Informationelle Selbstbestimmung im digitalen Wandel, 2017, 11 (23f.);

Linardatos

, in: Specht-Riemenschneider/Werry/Werry, Datenrecht, 2020, § 5.3, Rn. 78ff.

3

Roßnagel

, MMR 2020, 222f.; differenzierend zu diesem auf Max Weber zurückgehenden Verständnis

Roth

, in: Roth, Macht, 2016, 201 (206ff.).

4

So

Roßnagel

, MMR 2020, 222.

5

Buddeberg,

in: Heidbrink/Langbehn/Loh, Handbuch Verantwortung, 2017, 417 (419).

6

Sokol

, in: Schmidt/Weichert, Datenschutz, 2012, 137 (139).

7

Vgl. zu diesen Anerkennungskriterien

di Fabio

, Herrschaft und Gesellschaft, 2016, 29f.;

Führ

, in: Hentschel/Hornung/Jandt, FS Roßnagel, 2020, 21 (23).

8

Jarass

, in: Jarass/Pieroth, GG, 2020, Vorb. vor Art. 1, Rn. 3 und 6.

9

Bentham

, Principles of Legislation, Ch. X, 259, formulierte daher zutreffend: “It is with government, as with medicine. They have both but a choice of evils. Every law is an evil, for every law is an infraction of liberty [...]”.

11

Klement

, in: Heidbrink/Langbehn/Loh, Handbuch Verantwortung, 2017, 559 (562).

12

Mit dieser Bezeichnung i.R.d. Beweislastumkehr zugunsten des Geschädigten

Repgen

, in: Baumgärtel/Laumen/Prütting, Handbuch der Beweislast, 2019, Bd. 2, § 280 BGB, Rn. 100.

13

Bennett

, PLBI 2010, 21 (22);

Greenleaf

, UNSW Law Research, 2019, 8;

Schedler

, in: Schedler/Diamond/Plattner, The Self-Restraining State, 1999, 13 (15 und 17; „[...] inconsequential accountability is no accountability at all.“);

Bovens

, ELJ 2007, 447 (451).

14

Vgl.

Klement

, in: Heidbrink/Langbehn/Loh, Handbuch Verantwortung, 2017, 559 (564f.), mit einer Reihe von Beispielen; ähnlich unter Rückgriff auf Canaris Vertrauenshaftungstheorie,

Buck

, Wissen und juristische Person, 2000, 107; ähnlich zur Funktion der Gefährdungshaftung als „Korrelat der Handlungsfreiheit“ auch

Taeger

, Außervertragliche Haftung, 1995, 71.

15

Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27.4.2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG.

16

Vgl. etwa die Begründung von

Albrecht/Jotzo

, Das neue Datenschutzrecht, 2017, 55, Rn. 18;

Buddeberg

, in: Heidbrink/Langbehn/Loh, Handbuch Verantwortung, 2017, 417 (421), scheint von einem fast linearen Zusammenhang zwischen Handlungsmacht und (umfangreicher) Verantwortungszurechnung auszugehen, der auch gegenseitige Rückschlüsse zulassen solle.

17

HBfDI, Tätigkeitsbericht 2020, S. 13ff., mit einer Reihe von Beispielen;

Poll

, Datenschutz in und durch Unternehmensgruppen, 2018, 304f., insb. Fn. 1041; auch schon früh

Mulgan

, AJPA 2000, 87.

18

Nicht umsonst werden Daten als das „Öl des 21. Jahrhunderts“ bezeichnet, etwa von

Albrecht

, ZD 2013, 49, oder als „Rohstoffe“ von

Angela Merkel

in ihrer Rede beim Kongress des Verbands der Deutschen Zeitschriftenverleger (VDZ) am 2.11.2015; ähnlich

Härting/Schneider

, CR 2015, 819 (826); abl. jedoch zu diesem Vergleich aufgrund der Reproduzierbarkeit von Daten

Kühling/Sackmann

, ZD 2020, 24 (25).

19

Siehe bspw. HamBfDI, Tätigkeitsbericht 2019, S. 10; krit. dazu

Waldmann

, PinG 2022, 1 (2), der in der Prozessorientierung der DSGVO Vorteile gerade für Unternehmen sieht, die sich dergestalt professionalisieren können.

20

Diese Entwicklung sah auch das BVerfG bereits 1983 voraus, vgl. BVerfG, Urt. v. 15.12.1983 – 1 BvR 209/83, 1 BvR 269/83, 1 BvR 362/83, 1 BvR 420/83, 1 BvR 440/83, 1 BvR 484/8, BVerfGE 65, 1, Rn. 155.

21

Art. 2 Abs. 1 DSGVO differenziert entsprechend nicht zwischen den datenverarbeitenden Stellen, sondern stellt ausschließlich auf das Kriterium der Datenverarbeitung ab, vgl. dazu

Kühling/Klar/Sackmann

, Datenschutzrecht, 2021, 116, Rn. 223;

Ernst

, in: Paal/Pauly, DSGVO BDSG, 2021, Art. 2, Rn. 2; en passant auch

Schmidt

, in: Taeger/Gabel, DSGVO BDSG TTDSG, 2022, Art. 2, Rn. 6.

22

Ähnlich

Art. 29-Gruppe

, WP 173, Rn. 21f.

23

Für eine restriktive Auslegung der Accountability-Normen wegen ansonsten möglichen Konflikten mit rechtsstaatlichen Grundsätzen wie dem Verhältnismäßigkeitsprinzip oder dem Bestimmtheitsgebot plädiert

Veil

, ZD 2018, 9 (16).

24

Ramsauer

, in: Mehde/Ramsauer/Seckelmann, FS Bull, 2011, 1029 (1031), weist darauf hin, dass dieses Risiko zu Resignation und damit zu einer unterbleibenden Rechtsausübung führen kann; ähnlich

Pohle

, PinG 2017, 85 (87).

25

Weichert

, in: Däubler et al., DSGVO BDSG, 2020, Art. 5, Rn. 71, sieht die Accountability i.S.v. Art. 5 Abs. 2 DSGVO ebenfalls als Korrektiv faktischer Disparitäten; illustrativ bezüglich Einwilligungen in Zwangslagen

Tene/Polonetsky

, Northw. J. TaIP 2013, 239 (254f.), Rn. 38ff.

26

Härting

, BB 2012, 459, sieht im Vertrauen auf eine funktionierende Überwachung einen integralen Bestandteil der Informationsgesellschaft; ähnlich auch

Alhadeff/v. Alsenoy/Dumortier

, in: Guagnin, et al., Managing Privacy through Accountability, 2012, 52, die Aufsichtsbehörden deswegen als Vertreter der Betroffenen ansehen.

I. Historischer Ursprung und konstitutive Merkmale von Accountability

Es wird gesagt, Accountability sei wie Kunst; einfacher zu erkennen als zu definieren.27 Terminologisch wird der englische Begriff auf eine Amtshandlung Wilhelm I. (Wilhelm der Eroberer von England (*1027/28, † 1087)) zurückgeführt, der nach der normannischen Einnahme Englands 1085 veranlasste, dass alle ihm unterstehenden Grundeigentümer und Lehensnehmer eine Zählung (engl. „a count“) ihrer Güter und Lehen durchführen und ihm den jeweiligen Bestand melden sollten, auf dass sie in den sog. Domsday Books festgehalten würden.28 Die Grundeigentümer wurden zur Auskunftserteilung verpflichtet, da nur sie über die notwendigen Kenntnisse verfügten, also im Wortsinn „able to account“ waren, und sie waren für die im Rahmen der Zählung gemachten Angaben und ihre Richtigkeit gegenüber ihrem Souverän haftbar, denn sie konnten bei Verstößen bestraft werden.29 Um diesen ursprünglichen Vorgang herum bilden sich im englischen Sprachgebrauch die verschiedenen Dimensionen aus, die der vorliegenden Arbeit ihren roten Faden geben. Zunächst besteht die Pflicht, etwas zu tun und darüber gegenüber jemandem zu berichten („to render an account“). Diese konkrete Handlungspflicht zur Übermittlung des „counts“ oblag in dem historischen Beispiel dem Belehnten, er war „responsible“.30Responsibility entspricht damit in ihrem Ausgangspunkt am ehesten der deutschen „Zuständigkeit“ im Gegensatz zur „Verantwortlichkeit“ für etwas.31 Zuständig zu sein, setzt in erster Linie die Fähigkeit zu handeln und zur Beeinflussung bzw. Aufbereitung des konkreten Sachverhalts voraus.32 Berechtigt, diese Handlungen einzufordern („to hold someone to account“), waren die vom Souverän eingesetzten Verwalter. Seinem Wesen als fiskalischem Dokument entsprechend listen die Domsday Books in erster Linie auf, wieviel ein bestimmter Grundbesitzer in der Vergangenheit an Abgaben gezahlt hat und wieviel an Zahlungen (angelsächsisch „Geld“ genannt) aus seinem Lehen zukünftig zu entrichten wären bzw. wieviel der Souverän erwarten durfte.33 Damit wohnte Accountability ebenfalls von Anfang an eine Funktion zur Durchsetzung von (monetären) Erwartungshaltungen inne.

Dieser historische Ursprung einer Zahlungsverpflichtung erklärt die besonders im englischen Sprachraum verbreitete Verquickung einer (haftungs-) rechtlichen Verantwortung (liability) mit buchhalterischen Pflichten. „Accounting“ oder „Accountancy“ bezeichnet auch heute gebräuchlich die verschiedenen Erscheinungsformen des Rechnungswesens.34 Daneben ist Accountability jedoch auch in der Form wertend bzw. einordnend konnotiert, diezusätzlich zur rein finanziellen Aussagekraft eine rechtfertigende Erklärung umfasst.35 Accountability wird damit terminologisch als ein anglo-normannisches Begriffskonzept bezeichnet,36 das sich in seinen Ursprüngen insbesondere aufgrund der relativ eindimensional ausgestalteten und auf finanzielle Narrative beschränkten Wirkung vom heute gebräuchlichen Verständnis, beziehungsweise dem, was aufgrund seiner Vielgestaltigkeit verstanden werden kann, unterschied. Auch wäre es wohl verkürzend, die im Folgenden geschilderte Wirkungsweise der Accountability auf anglonormannische Wurzeln zu reduzieren.37 Accountability als abstrahierbares Konstrukt einer narrativen Verpflichtung hat sich von diesen Ursprüngen aus erheblich weiterentwickelt. Das Oxford English Dictionary definiert Accountability als „the quality of being accountable; liability to give account of, and answers for discharge of duties or conduct; responsibility; amendableness“.38 Bezeichnend für die Deutungsoffenheit des englischen Originalbegriffs bzw. die multiplen Dimensionen des dahinterstehenden Konzepts39 ist in dieser Definition neben der Aufzählung inhaltlich zu trennender Aspekte mit unterschiedlicher Rechtsqualität vor allem der Verweis auf „amendableness“, zu Deutsch „Anpassbarkeit“.40

Ähnlich wie im deutschen Sprachraum die Begriffe der Verantwortung oder der Rechenschaftslegung weder auf ein bestimmtes Rechtsgebiet, noch auf das Rechnungswesen oder die Politikwissenschaft allein Anwendung finden, ist Accountability im englischen Sprachraum ein Konzept, das seine konkrete Bedeutung erst im Sachzusammenhang entfaltet.41 Entsprechend wird es nicht immer im gleichen Verständnis verwendet,42 so dass es zu einem Ober- oder eher Überbegriff im Sinne des Freud’schen Über-Ichs geworden ist, das die Gesamtheit der idealtypischen Eigenschaften des Akteurs vereint und zur Handlungserwartung erhebt.43 Es ist daher für die vorliegende Arbeit geboten, zunächst den Untersuchungsgegenstand abzugrenzen.

Die englischsprachige Politik- und Verwaltungswissenschaftsliteratur befasst sich schon seit Mitte des 20. Jahrhunderts mit der methodischen Aufarbeitung von Accountability und hat hierfür systematische Ansätze entwickelt, die sich aus diesen Disziplinen übertragen lassen, aber dennoch bislang im deutschen und insbesondere im datenschutzrechtlichen Schrifttum unbeachtet geblieben sind. Accountability wird jedoch auch im englischen Schrifttum trotz der weiterhin andauernden Befassung als „magisches Konzept“,44 „chamäleonartig“45 oder „notorisch schwer zu definieren“46 bezeichnet. Aufbauend auf den in der englischsprachigen Literatur entwickelten systematischen Ansätzen sollen daher vorab am Beispiel des anglonormannischen Ursprungs die beiden konstitutiven Elemente von Accountability illustriert werden: ihre Entstehung und ihr Effekt.47

Mit seiner herrschaftlichen Anordnung zur Gütererfassung nutzte Wilhelm der Eroberer seine politische und militärische Position gegenüber den Belehnten, wodurch er nicht nur Kenntnisse über die erwartbaren finanziellen Ressourcen erlangte, sondern gleichzeitig deutlich machte, wem diese letztinstanzlich zustünden.48 Accountability basierte in diesem Zusammenhang noch in hohem Maße auf der Kraft des faktisch Stärkeren. Die Anordnung als solche war zwar in der damaligen, rudimentären Form ein Gesetz, so dass neben dem politischen auch ein (haftungs-)rechtlicher Handlungs- und Rechtfertigungsdruck gegeben war. Diese Amtshandlung markiert jedoch systematisch den Beginn der jeweiligen Accountability-Beziehung: eine Handlungspflicht im klassischen Sinne imperativen Regierens.49 Handlungspflichten wie diese können indes sowohl intrinsischen als auch extrinsischen Ursprungs sein,50 wobei ersteres in Abwesenheit gefestigter moralischer Überzeugungen historisch wohl eher eine Ausnahme darstellt. In beiden Alternativen dient die Vornahme der Handlung durch denjenigen, der einer an ihn gerichteten Erwartungshaltung unterliegt, jedoch dazu, bestimmte Folgen im Fall der Unterlassung abzuwenden. Diese Folgen markieren den Effekt bzw. das Ende der konkreten Accountability-Beziehung: eine Sanktion. Zwischen diesen beiden Polen wurden in der englischsprachigen Literatur verschiedene Stufen entwickelt, wobei sich soweit ersichtlich für die wenigsten ein Konsens findet, der eine konzeptionelle51 oder begriffliche52 Trennschärfe ermöglichen würde. Verhältnismäßig gesichert ist indes mindestens eine Zwischenstufe, wonach derjenige, der einer Handlungspflicht unterliegt, und derjenige, der sanktionsbefähigt ist, im Rahmen eines Dialoges oder einer Diskussion einen Ausgleich suchen.53

Auch diese Diskussionsphase ist bereits im anglo-normannischen Ursprung erkennbar. Nachdem die Zählung an Wilhelm I. eingemeldet war, wurde diese zur Grundlage für zukünftige Abgaben und bei deren Ausbleiben zur Diskussionsgrundlage zwischen seinem lokalen Finanzverwalter, dem Exchequer, und dem Belehnten.54 Zwar stand es Wilhelm I. als autoritärem Herrscher bzw. seinen Ministerialen auch ohne Diskussion frei, Sanktionen gegen den Lehensnehmer zu verhängen.55 Im modernen Verständnis von Accountability, ist die Möglichkeit zur Rechtfertigung und Verteidigung des eigenen Handelns jedoch im Allgemeinen anerkannt. Accountability enthielt entsprechend bereits in der historischen Form Aspekte der Erwartungssteuerung, der Rechtfertigungspflicht und die Androhung einer Sanktion, falls diese nicht erreicht wurden.

Damit lassen sich bereits von der vorneuzeitlichen Ursprungsform der Accountability ihre konstitutiven Wesenselemente ableiten;56 Information und Sanktion, neben einer unterschiedlich ausprägbaren Diskussionsphase. Die Diskussionsphase stellt kein echtes Merkmal im Sinne dieser Betrachtungsweise dar, da eine Accountability-Beziehung, also eine Situation in der sich eine Partei gegenüber einer anderen rechtfertigen muss und diese dann Sanktionen verhängen kann, theoretisch auch ohne eine Diskussion zwischen den Parteien auskommt.57 Praktisch und vor dem Hintergrund rechtsstaatlicher Prinzipien wird sie dennoch fast immer vorliegen, da die bereitgestellten Informationen des Accountability-Pflichtigen regelmäßig nicht auf Anhieb dem Informations- oder Erkenntnisbedürfnis des Berechtigten genügen und auch nicht notwendigerweise die einzig mögliche Sichtweise darstellen.58 In welchem Maße die Diskussion stattfindet, hängt darüber hinaus von weiteren Faktoren ab, insbesondere davon, welche Sanktionen im Falle eines bestimmten Verhaltens drohen. Droht dem Akteur ein Ausschluss aus einer für ihn werthaltigen Gemeinschaft oder ein Bußgeld in Höhe von bis zu 4 % des Vorjahresumsatzes, sehen darin einige Autoren richtigerweise eine stärkere Motivation, als in einer nicht-räsonierten Veröffentlichung eines Umwelt- oder Sozialberichts.59 Neben dem Informationsbedürfnis des Berechtigten spielt entsprechend auch die Diskussionsbereitschaft des Verpflichteten eine Rolle bei der Beurteilung, ob ein Accountability-Mechanismus wirksam ist und entsprechend das verfolgte Ziel erreicht.

Damit kann ein- und derselbe Akteur aus unterschiedlichen Quellen (Handlungs- bzw. Rechtfertigungs-)Pflichten unterworfen sein. Diese könnenaus der Natur des Akteurs selbst folgen, beispielsweise seiner Organisationsform als Konzern oder einer international verteilten Arbeitsweise, aber auch aus Eigenschaften des Forums, also der Partei, die zur Einforderung von Accountability berechtigt ist,60 und den jeweils bestehenden Machtfaktoren zwischen diesen beiden Parteien ermittelt werden können.61 In der englischsprachigen Literatur wird dieses Phänomen unter anderem als „multiple accountabilities disorder“ schon seit Ende der 1980er Jahre diskutiert.62 Es bezeichnet Situationen, in denen ein Akteur gleichzeitig mehreren Rechenschaftspflichten gegenüber verschiedenen Foren mit regelmäßig unterschiedlichen Sanktionsmöglichkeiten unterliegt.63 Dabei hängt von der Rechtsnatur des Akteurs auch seine Bindung an jeweils in Frage kommende Foren ab. Das englischsprachige Schrifttum hat im Hinblick auf die multiplen Accountability-Szenarien der öffentlichen Hand, sowohl Behörden insgesamt, ihrer einzelnen Vertreter und insbesondere hinsichtlich Politikern, bereits beachtliche strukturelle Arbeit geleistet.64 Danach wurden ursprünglich vier Typen oder Quellen von Accountability identifiziert: bürokratische, gesetzliche, professionelle und politische Accountability,65 wobei sich von letzterer im Laufe der Zeit der Aspekt der gesellschaftlichen Accountability als eigener Typus abgekapselt hat.66 Neben der politischen bzw. demokratischen Accountability werden für die politik- und verwaltungswissenschaftlich untersuchten Akteure darüber hinaus administrative, soziale und rechtliche Ausprägungen diskutiert.67 Politische Accountability wird als eine Delegationskette beschrieben, in der die Wähler das letztinstanzliche Forum und „einfache“ Beamte den letztinstanzlichen Akteur darstellen, während alle Glieder dazwischen sowohl Forum als auch Akteur für ihre jeweiligen Handlungsweisen seien.68 Für die vorliegende Arbeit sind nach dieser Typologie die Formen der gesetzlichen Accountability und der gesellschaftlichen Accountability relevant, da die DSGVO als imperative Verpflichtung und das Recht des Einzelnen auf informationelle Selbstbestimmung als gesellschaftliches Narrativ die Anknüpfungspunkte abbilden.69 Die übrigen Formen der Accountability können jedoch dort von Relevanz sein, wo eine abstrakte Verallgemeinerungsfähigkeit ihrer Merkmale gegeben ist.

Accountability wird mit einer Vielzahl von Begriffen, Konzepten und Theorien in Verbindung gebracht und teilweise synonym verwendet, ohne dass es sich dabei um Synonyme handelt. Ein gängiges Beispiel ist die sog. (Corporate) Social Responsibility,70 worin drei inhaltliche Dimensionen von Accountability vermischt und durch die Verwender transportiert werden; (sozial/gesellschaftlich induzierte) Responsiveness, Responsibility, und inzident auch die prägende Haftungskomponente von Accountability, die Liability. Die Differenzierung der verschiedenen Dimensionen und damit verbundener Handlungspflichten ist jedoch entscheidend, da Accountability-Defizite nur dann trennscharf festgestellt und sanktioniert werden können, wenn sich ein Delta zwischen der zu erfüllenden normativen Erwartungshaltung und den Handlungen des Akteurs identifizieren lässt.71 Eine abstrakte Referenz auf „soziale Verantwortung“ oder ähnlich vage Termini genügt indes nicht. Bezogen auf das Datenschutzrecht bestünde insbesondere das Risiko einer fehlerbehafteten Verhängung von Bußgeldern nach Art. 83 DSGVO, von deren Wirksamkeit und Bestand jedoch auch die Akzeptanz der DSGVO insgesamt abhängt, so dass Aufsichtsbehörden ein gesteigertes Interesse daran haben müssen, bei der Anwendung der Rechenschaftspflicht aus den Art. 5 Abs. 2 und 24 Abs. 1 S. 1 DS-GVO juristisch präzise nach den jeweiligen Quellen zu differenzieren.

Anhand des Vorgesagten bezüglich des Ursprungs und der abstrakten Funktionsweise lässt sich feststellen, dass Accountability in ihren jeweiligen Ausprägungen als ein Geflecht sozialer, wirtschaftlicher, rechtlicher oder anderweitiger Bindungen zwischen einem Akteur, dem Rechenschaftspflichtigen, und einem Forum, gegenüber dem Rechenschaft abgelegt werden muss und das gegebenenfalls sanktionieren kann, zu verstehen ist.72 Diesem abstrahierten Verständnis entsprechend ist die vorliegende Arbeit aufgebaut. Auch wird vorzugsweise der Anglizismus Accountability statt der deutschen Übersetzung als „Rechenschaftspflicht“ genutzt, da eine Rechenschaftspflicht nicht zwingend auf eine Sanktionsmöglichkeit angewiesen ist, sie der im System der Accountability angelegten Diskussionsphase mit unterschiedlichen Foren nicht angemessen Rechnung trägt und damit auch das gesetzgeberische Movens nicht ausreichend reflektiert. Wie zu zeigen sein wird, wäre Accountability daher treffender mit Rechenschafts- und Rechtfertigungspflicht übersetzt worden, was mit der Sanktionsmöglichkeit gem. Art. 82 Abs. 1 DSGVO für Sanktionen durch Betroffene und Art. 83 DSGVO für Aufsichtsbehörden dem Vorbild der Accountability nähergekommen wäre.73

27

Hale

, Global Governance 2008, 73 (75).

28

Vgl.

Bovens

, ELJ 2007, 447 (448f.).

29

Auf eine Darstellung, welche weiteren Funktionen mit der Zählung und dem Domsday Book möglicherweise verfolgt wurden, kann an dieser Stelle verzichtet werden, vgl. dazu ausführlich

Dalton

, J. Brit. Stud. 2021, 29 (31ff.).

30

Dubnick

, in: O’Brien, Private Equity, Corporate Governance and the Dynamics of Capital Market Regulation, 2007, 226 (337).

31

Siehe Kapitel B.III.1.a. unten ausführlich zum Verständnis von „

Responsibility

“.

32

Vgl.

Office of the Auditor General of Manitoba

, Mechanisms and practices for ensuring the accountability of legislative auditors, S. 2; zur Dichtomie zwischen Accountability und Responsibility

Uhr

, TAQ 1993, 1 (3f.).

33

Vgl.

Maitland

, PSQ 1889, 628 (629);

Dalton

, J. Brit. Stud. 2021, 29 (34);

Bovens

, WEP 2010, 946 (950f.);

Zumofen/Vincent

, Lien Paper 2015, S. 5.

34

So ist das amerikanische Government Accountability Office (GAO) am ehesten mit dem Bundesrechnungshof vergleichbar und kontrolliert in dieser Funktion die Ausgaben der jeweils amtierenden Regierung im Auftrag von und in Berichtslinie zum Kongress, vgl.

Posner/Shahan

, in: Bovens/Goodin/Schillemans, Handbook of Public Accountability, 2016, 488 (490f.); CIPL White Paper v. 3.7.2019, Organizational Accountability – Existence in US Regulatory Compliance and its Relevance for a US Federal Privacy Law, S. 3 und 6; vgl. auch

Sinclair

, AOS 1995, 219 (221), wonach Accountability aufgrund dieser Verbindung mit Buchhaltungspflichten eine besondere Objektivität und Wissenschaftlichkeit ((“

objective and scientific connotations

”) unterstellt wird.

35

Vgl.

Schedler

, in: Schedler/Diamond/Plattner, The Self-Restraining State, 1999, 13 (15);

Uhr

, TAQ 1993, 1 (3).

36

Bovens

, ELJ 2007, 447 (448).

37

Konzeptionell lassen sich bereits in der altgriechischen Demokratie Elemente einer politischen Accountability der Volksvertreter in Form der sog. „straight-line-relationship“ erkennen, so

Sinclair

, AOS 1995, 219 (225), im römisch-rechtlichen

ius coercitionis

(vgl.

Plescia

, AJLH 2001, 51 (52)), oder in der christlichen Praxis des Beichtens (zum wesensgleichen Konzept der Verantwortung, die ebenfalls Ursprünge im kirchlichen Bereich hat,

Heidbrink

, in: Heidbrink/Langbehn/Loh, Handbuch Verantwortung, 2017, 3 (8), die konstitutiven Wesenselemente der Accountability erkennen. Es könnte auf dieser Basis argumentiert werden, dass diese Wirkweise allen Situationen immanent ist, in denen Menschen sich einzuhaltende bzw. durchzusetzende Regelwerke geben, so

Vincent/Zumofen

, Lien Paper 2015, S. 5, die Accountability bereits 2000 v.Chr. bei Hammurabi erkennen wollen. Vgl. auch

Baue/Murninghan

, JCC 2011, 27 (32), zum vermeintlich frühesten Beispiel einer Unternehmens-Accountability 1602 in Holland.

38

Oxford English Dictionary, Second Edition (1989), Suchword “Accountability”.

39

Vgl.

Koppell

, PAR 2005, 94 (95);

Alhadeff/v. Alsenoy/Dumortier

, in: Guagnin, et al., Managing Privacy through Accountability, 2012, 49 (50).

40

Mit einer ähnlichen Wortwahl auch

Bennett

, in: Guagnin, et al., Managing Privacy through Accountability, 2012, 33 (43f.), “adaptability”; krit. zu der durch die Anpassbarkeit möglichen Aufladung des Begriffs in den letzten Jahrzehnten:

Mulgan

, PA 2000, 555.

41

Charlesworth/Pearson

, Innovation 2013, 7 (14); CIPL White Paper v. 3.7.2019, Organizational Accountability – Existence in US Regulatory Compliance and its Relevance for a US Federal Privacy Law, S. 6 (“transferable concept”);

Alhadeff/v. Alsenoy/Dumortier

, in: Guagnin, et al., Managing Privacy through Accountability, 2012, 49 (51); zum rechtlichen Verantwortungsbegriff vgl.

Klement

, in: Heidbrink/Langbehn/Loh, Handbuch Verantwortung, 2017, 559 (565f.).

42

Schedler

, in: Schedler/Diamond/Plattner, The Self-Restraining State, 1999, 13 (14), der darauf hinweist, dass Accountability ein Begriff ist, der häufig auf Basis eines eigenen, impliziten Verständnisses verwendet wird, ohne dass klar ist, dass auch der Gesprächspartner das gleiche Verständnis hat; so auch

Bovens

, ELJ 2007, 447 (450) und

Alhadeff/v. Alsenoy/Dumortier

, in: Guagnin, et al., Managing Privacy through Accountability, 2012, S. 49 (50); anders scheint das nur die

Art. 29-Gruppe

in ihrem WP 173, S. 8, gesehen zu haben, laut der „[...] im Wesentlichen Einvernehmen über seine Bedeutung herrscht [...]“.

43

Bovens

, ELJ 2007, 447 (449; “Accountability has become an icon for good governance”);

Brandsma/Schillemans

, JPART 2013, 953 (954); “[...] accountability seems to be an ever-expanding concept [...]”); das erkennt auch die

Art. 29-Gruppe

an, wenn sie in WP 173, Rn. 21 schreibt, dass „Verantwortung und Rechenschaftspflicht [...] zwei Seiten einer Medaille und wesentliche Bestandteile der Good Governance“seien;

Alhadeff/v. Alsenoy/Dumortier

, in: Guagnin, et al., Managing Privacy through Accountability, 2012, 49 (51): „[...] rhetorical tool to express promises of ‚bringing wrongdoers to justice‘.“; vgl. auch

Gersen/Stephenson

, JLA 2014, 185 (191 und 194ff.), mit einer interessanten Untersuchung zur Übererfüllung (Over-Accountability) von Akteuren.

44

Willems/v.Dooren

, PMR 2012, 1011 (1012).

45

Sinclair

, AOS 1995, 219;

v. Alsenoy

, Regulating Data Protection, 267;

Mulgan

, PA 2000, 555; krit. zu dieser Eigenschaft

Veil

, ZD 2018, 9 (16).

46

Office of the Auditor General of Manitoba

, Mechanisms and practices for ensuring the accountability of legislative auditors, S. 2;

Mulgan

, AJPA 2000, 87.

47

Vgl.

Brandsma/Schillemans

, JPART 2013, 953 (955);

Schedler

, in: Schedler/Diamond/Plattner, The Self-Restraining State, 1999, 13 (14);

Koenig-Archibugi,

GaO 2004, 234 (237f.);

Bovens/Schillemans

, in: Bovens/Goodin/Schillemans, Handbook of Public Accountability, 2016, 673 (679), bezeichnen dies als “default accountability”.

48

Dalton

, J. Brit. Stud. 2021, 29 (31ff.); ahnlich funktionierte Accountability im römischen Recht durch die sog. „

coercitio

“, vgl. dazu

Plescia

, AJLH 2001, 51 (52).

49

Vgl. zur Definition imperativer Regierungsformen in Abgrenzung zu nicht-imperativen

Schulz/Held

, Regulierte Selbstregulierung als Form modernen Regierens, 2002, S.A-3.

50

Vgl.

Schulz/Held

, Regulierte Selbstregulierung als Form modernen Regierens, 2002, S.A-3.

51

Charlesworth/Pearson

, Innovation 2013, 7 (14f.); vgl. auch die Beispiele (allerdings ohne den Versuch einer Definition) bei

Schedler

, in: Schedler/Diamond/Plattner, The Self-Restraining State, 1999, 13 (14); auch die sieben “essentiellen Elemente” des

CIPL

sind nicht mehrheitsfähig, vgl.

CIPL

White Paper v. 3.7.2019, Organizational Accountability – Existence in US Regulatory Compliance and ist Relevance for a US Federal Privacy Law, S. 2;

Sinclair

, AOS 1995, 219 (225f.), mit fünf Arten von Accountability.

52

So z.B. die Definition von Professional Accountability bei

Bovens

, ELJ 2007, 447 (456f.), wonach hierbei die Kontrolle durch ein Forum von Experten erfolgt und dagegen für eine Laienkontrolle

Romzek/Dubnick

, PAR 1987, 227 (229).

53

Zu dieser Funktion

Brandsma/Schillemans

, JPART 2013, 953 (955);

Mulgan

, AJPA 2000, 87 (88): „[...] accountability is a voice rather than an exit [...]”;

Raab

, in: Guagnin, et al., Managing Privacy through Accountability, 2012, 15 (18f.);

Bayertz

, in: Bayertz, Verantwortung – Prinzip oder Problem?, 1995, 3 (16).

54

Maitland

, PSQ 1889, 628 (629);

Dalton

, J. Brit. Stud. 2021, 29 (33f.), m.w.N.;

Vesting

, in: Berg/Fisch/Schmitt-Glaeser/Schoch/Schulze-Fielitz, DV 2001, Beiheft 4, 21 (27f.), zum Gegenseitigkeitsverhältnis des Königs, Grundherren und Werbern;

Vincent/Zumofen

, Lien Paper 2015, S. 5.

55

So auch für den deutschen Rechtsraum

Grimm

, in: Berg/Fisch/Schmitt-Glaeser/Schoch/ Schulze-Fielitz, DV 2001, Beiheft 4, 9 (10).

56

Vgl.

Schedler

, in: Schedler/Diamond/Plattner, The Self-Restraining State, 1999, 13 (14f. und 19);

Koenig-Archibugi,

GaO 2004, 234 (237f.);

Raab

, in: Guagnin, et al., Managing Privacy through Accountability, 2012, 15 (18); diese Elemente werden auch in der deutschen Literatur zur Verantwortung identifiziert, vgl. dazu

Buddeberg

, in: Heidbrink/Langbehn/Loh, Handbuch Verantwortung, 2017, 417 (420); abweichend

Dubnick

, in: Bovens/Goodin/Schillemans, Handbook of Public Accountability, 2016, 23 (27, Fn. 8), der den Denkfehler macht, seine Einschätzung auf die Figur des Accountants im 15 Jhd. zu stützen, statt auf die historische Herkunft.

57

Schedler

, in: Schedler/Diamond/Plattner, The Self-Restraining State, 1999, 13 (18);

Mulgan

, AJPA 2000, 87 (88), der zu Recht darauf hinweist, dass eine Diskussionsphase in Ausprägung und Handlungsoptionen erheblich von Marktmechanismen wie zum Beispiel der Möglichkeit eines Dienstleisterwechsels beeinflusst wird; teilweise a.A. wohl

Bovens

, ELJ 2007, 447 (451);

ders

., WEP 2010, 946 (952);

Willems/v.Dooren

, PMR 2012, 1011 (1017), die auch die Diskussion als konstitutiv sehen.

58

Raab

, in: Guagnin, et al., Managing Privacy through Accountability, 2012, 15 (22).

59

Vgl.

Schulz/Held

, Regulierte Selbstregulierung als Form modernen Regierens, 2002, S.A-10, nach denen (wenig überraschend) ein drohendes Bußgeld die Bereitschaft zur Selbstregulierung steigert;

Buck-Heeb/Dieckmann

, Selbstregulierung im Privatrecht, 2010, 42 („faktischer Befolgungszwang“); so auch

Kaye

, PPA 2006, 105 (109f.) („Periodic revalidation creates an ongoing duty of accountability [...]“); vgl. jedoch auch

Martin/Friedewald

, DuD 2019, 493 (494f.) mit dem Versuch einer formelhaften Berechnung, wann Unternehmen zu Rechtsverstößen neigen und dass ein höheres Bußgeld dies nicht automatisch ändere (495);

Bovens

, WEP 2010, 946 (952);

Lindberg

, IRAS 2013, 202 (210).

60

Der hierin verwendete Begriff des Forums wird von verschiedenen Autoren ohne Nennung praktikabler Alternativen aufgrund terminologischer und semantischer Gründe kritisiert (vgl.

O’Kelly/Dubnick

, Accountability and its Metaphors, 2015, 9ff.;

Willems/v.Dooren

, PMR 2012, 1011 (1017f.), und soll daher im Folgenden aufgrund seiner Prägnanz beibehalten werden.

61

Bovens

, ELJ 2007, 447 (461);

Sinclair

, AOS 1995, 219 (220 und 225f.).

62

So bezeichnet

Bovens

, ELJ 2007, 447 (457), es als das „Problem der vielen Augen“ in Abgrenzung zum „Problem der vielen Hände“, womit er die Situation beschreibt, wenn mehr als ein Akteur als Accountability-pflichtig in Frage kommt und die Verantwortung dadurch nicht eindeutig zugeschrieben werden kann;

Sinclair

, AOS 1995, 219 (225f.);

Koppell

, PAR 2005, 94 (95);

Brandsma/Schillemans

, JPART 2013, 953 (955).

63

Vgl.

Klijn/Koppenjan

, in: Bovens/Goodin/Schillemans, Handbook of Public Accountability, 2016, 242 (248).

64

Prägend hierzu

Romzek/Dubnick

, PAR 1987, 227ff.;

Schedler

, in: Schedler/Diamond/Plattner, The Self-Restraining State, 1999, 13 (14ff.);

Brandsma/Schillemans

, JPART 2013, 953 (956), m.w.N.

65

Vgl.

Romzek/Dubnick

, PAR 1987, 227 (229).

66

Sinclair

, AOS 1995, 219 (220ff.), bereits mit Abweichungen;

Bovens

, ELJ 2007, 447 (461), schließlich mit der eigenständigen Definition.

67

Grundlegend mit dieser Aufteilung

Romzek/Dubnick

, PAR 1987, 227 (228ff.); darauf aufbauend etwa

Sinclair

, AOS 1995, 219 (221f.).

68

Vgl.

Bovens

, ELJ 2007, 447 (455);

Willems/v.Dooren

, PMR 2012, 1011 (1023 und zweifelnd 1027);

Considine

, Governance 2002, 21 (25);

Mulgan

, PA 2000, 555 (568);

Sinclair

, AOS 1995, 219 (221 und 225);

Bovens/Schillemans/Goodin

, in: Bovens/Goodin/Schillemans, Handbook of Public Accountability, 2016, 1 (13);

Bayertz

, in: Bayertz, Verantwortung – Prinzip oder Problem?, 1995, 3 (35).

69

Vgl.

Dubnick

, in: Bovens/Goodin/Schillemans, Handbook of Public Accountability, 2016, 21 (29), zur Bedeutung von Accountability als Narrativ.

70

Z.B.

CIPL

, The Concept of „Organizational Accountability“, S. 1; vgl.

Bovens

, ELJ 2007, 447 (449), der auf die ungenaue sprachliche Verwendung von Responsibility im Sinne einer operativen Zuständigkeit und der Accountability im Sinne einer organisatorischen Verantwortlichkeit hinweist; vgl. hierzu ausführlich B.III.1.a.

71

Brandsma/Schillemans

, JPART 2013, 953, haben zu diesem Zweck ein Modell entwickelt, das sie Accountability Cube nennen, und worin einzelne materielle Pflichten und Verstöße gegen solche lokalisiert und dann sanktioniert werden können, ohne dass es zu einer Verwässerung durch Überschneidungen mit anderen Normen kommen sollte.

72

Bovens

, ELJ 2007, 447 (450);

Schedler

, in: Schedler/Diamond/Plattner, The Self-Restraining State, 1999, 13 (15);

Alhadeff/v. Alsenoy/Dumortier

, in: Guagnin, et al., Managing Privacy through Accountability, 2012, 49 (51);

Sinclair

, AOS 1995, 219 (220).

73

Zutreffend weist etwa

Riesenhuber

, in: Riesenhuber, Europäische Methodenlehre, 2021, § 10, Rn. 14, darauf hin, „[...] dass die unionsrechtliche Rechtssprache nicht annähernd so ausgefeilt ist wie die nationale“.

II. Terminologie und Aufbau der Untersuchung

Die vorliegende Arbeit soll einen Beitrag zur dogmatischen Konzeption einer europäisch geprägten Accountability der DSGVO liefern. Strukturgebend wird dennoch zunächst auf die oben geschilderten allgemeingültigen konstitutiven Wesensmerkmale von Accountability aufgebaut, die in der englischen Ursprungsliteratur im Kontext von Politik- und Gesellschaftswissenschaften entwickelt wurden, denen in einem zweiten Schritt dann der jeweilige Normgehalt der Artikel der DSGVO im Wirkzusammenhang zugeordnet wird, um gegebenenfalls ein spezifisches datenschutzrechtliches Delta identifizieren zu können.74 Sie folgt damit dem in der Accountability-Literatur anerkannten Dreiklang „Accountable for what?“, „Who is accountable?“ und „to whom?“.75 Bei der Untersuchung des „Who“ bzw. „Whom“ wird sich aus Platz- und Konsistenzgründen auf Situationen beschränkt, in denen die Verarbeitung von personenbezogenen Daten durch eine privatwirtschaftliche juristische Person bzw. eine gem. §§ 15ff. AktG verbundene Unternehmensgruppe erfolgt und auf Akteure aus dem öffentlich-rechtlichen Bereich oder gar die Verarbeitung durch natürliche Personen, die der DSGVO unterliegen,76 verzichtet. Wie bereits aus dem Titel ersichtlich ist, wird in der vorliegenden Arbeit mit Anglizismen und Lehn- bzw. Originalbegriffen gearbeitet. Dafür sprechen dreierlei Gründe. Erstens besteht hinsichtlich des Untersuchungsgegenstands der „Accountability“ Einigkeit, dass es sich um einen nicht ohne Abstriche übersetzbaren Begriff handelt.77 Diese Einschätzung ist darin begründet, dass Accountability sowohl begrifflich als auch konzeptionell einen inhärent ambivalenten Charakter aufweist. Entsprechend bietet die Verwendung der englischen Originalbegriffe – zweitens – weniger Raum für subjektive Konnotationen und damit gegebenenfalls Verkürzungen und Verzerrungen, wie sie eine Übersetzung notwendigerweise in sich trägt. Drittens ermöglicht die Verwendung der englischen Originalbegriffe schließlich den Rückgriff auf die reiche Accountability-Literatur, die sich im Laufe der letzten knapp fünfzig Jahre entwickelt hat.78 Im Vorgriff auf die folgende Untersuchung, in der nachgewiesen wird, dass die deutsche Legaldefinition von Accountability in der DSGVO – Rechenschaftspflicht – als verkürzt und inhaltlich beschränkt kritikwürdig ist, sei darauf hingewiesen, dass mit dem Begriff und dem normativen Konzept der Verantwortung ein allgemeinsprachlich, wenn auch nicht notwendigerweise im juristischen Duktus,79 deutlich passenderer Terminus verfügbar gewesen wäre. Dieser weist inhaltliche und in seiner Entstehungsgeschichte erkennbare Parallelen zum englischen Accountability-Begriff auf.80 Allerdings ist der „Verantwortliche“ im Datenschutzrecht als terminus technicus bereits besetzt. Seine Verwendung im Rahmen der vorliegenden Arbeit würde entsprechend zu eher zirkulären, unsinnigen Formulierungen und Verständnisproblemen der Lesenden führen.81 Nichtsdestotrotz sind die Erwägungen zum deutschsprachigen Konzept der Verantwortung auch im Rahmen der Accountability fruchtbar zu machen, denn das Recht allgemein kann als „Antwort auf Verantwortung“ in der Form einer normativ verstetigten Verhaltenserwartung verstanden werden.82

Das Zentrum sowohl der englischen Originalliteratur als auch der deutschen Literatur zur Verantwortung ist der sog. Akteur. Aufgrund des dargestellten historischen und fachlichen Hintergrunds von Accountability in der Politik- bzw. Staatswissenschaft leitet sich dieser Terminus wohl von der Unterscheidung in staatliche und nicht-staatliche Akteure ab und ist sowohl im Völkerrecht83 als auch im erkenntnistheoretischen84 Schrifttum gebräuchlich. Dem normativen Datenschutzrecht ist dieser Begriff zwar grundsätzlich fremd. In der Literatur findet er jedoch regelmäßig dort Verwendung, wo die Position und die daraus erwachsenden Handlungspflichten einer oder mehrerer Parteien ergebnisoffen untersucht oder dargestellt werden.85 Da die vorliegende Arbeit eine solche Inhaltsbestimmung des Konzepts der Accountability erst leisten soll, erscheint es insofern opportun, auch im Folgenden den Begriff des Akteurs zu verwenden, wenn und soweit keine direkte Attribution zu einem (gemeinsam) Verantwortlichen oder einem Auftragsverarbeiter möglich, geboten oder sinnvoll ist. Bevor jedoch eine Zurechnung zu einem oder mehreren Akteuren erfolgen kann, ist zu ermitteln, welche Handlungspflichten aus der Accountability allgemein sowie dem Datenschutzrecht speziell erwachsen. Die vorliegende Arbeit untersucht den Begriff des Akteurs entsprechend in Abschnitt C auf die vorab in den Abschnitten A und B ermittelten, spezifischen Accountability-Pflichten. Das Zwischenergebnis dieser Abschnitte soll jeweils eine Matrixdarstellung sein, anhand derer sich die Normen der DSGVO mit den im Originalschrifttum diskutierten Dimensionen von Accountability übereinbringen lassen. Da sich die in Accountability enthaltenen Dimensionen ganz oder teilweise auf alle drei datenschutzrechtlich möglichen Organisationserscheinungsformen – Verantwortlicher, gemeinsam Verantwortliche und Auftragsverarbeiter – beziehen können, soll der Terminus des Akteurs beibehalten werden.86 Er bezeichnet im Rahmen der vorliegenden Arbeit in entsprechend sinnstiftend deutungsoffener Weise die in einer bestimmten Situation handelnde Person oder Institution.

Das Gegenstück des Akteurs im Rahmen der Accountability-Beziehung ist das Forum. Auch hierbei handelt es sich um einen aus der Originalliteratur und wohl auch der Politik- bzw. Staatswissenschaft entlehnten Terminus.87 Dieser Sammelbegriff transportiert einige, für Accountability charakteristische Eigenschaften. Die Anlehnung an das antike Forum Romanum, wo Magistrate sich und ihre Position gegenüber dem Senat rechtfertigen mussten,88 insinuiert bereits die konstitutiven Elemente: Information des Akteurs, Diskussion der Parteien und ggf. Sanktion durch das Forum. Möglicherweise ist es diese Herleitung von einer per se Mehrzahl von Senatoren, die dem eigentlichen Singular „Forum“ eine immanente Pluralität verleiht und in der die Eigenschaft von Accountability zum Ausdruck kommt, aus einer 1-zu-n Beziehung zu bestehen – der Akteur kann zu mehr als einem Forum gleichzeitig über einen oder mehrere Sachverhalte in einer Rechenschafts- und Rechtfertigungsbeziehung (Accountability) stehen. Ähnlich differenziert hinsichtlich des Begriffs der Verantwortung Kant das Gewissen als ein forum internum (als Verkörperung des Göttlichen im Menschen), als moralische Rechtfertigungsinstanz, der sich eine Person in Abgrenzung zu anderen – einem forum externum – menschlichen Richtern als rechtliche Rechtfertigungsinstanz, nicht entziehen kann.89 Die vorliegende Arbeit befasst sich entsprechend ausschließlich mit dem Forum, das zum Accountability-Pflichtigen extern ist. Diese begriffliche Dichotomie geht soweit ersichtlich auf Mark Bovens zurück90 und stellt eine (inzwischen weit verbreitete) Ausprägung der älteren Principal-Agent-Bezeichnung dar.91

Dies wird auch im Datenschutzrecht deutlich, wo ein Verantwortlicher beispielsweise hinsichtlich einer Verarbeitung ohne Rechtsgrundlage sowohl gegenüber Betroffenen rechenschafts-, rechtfertigungs- und möglicherweise92 auch schadenersatzpflichtig wird, als auch gegenüber der zuständigen Aufsichtsbehörde zur Informationserteilung verpflichtet ist (Art. 31 DSGVO). Gleiches gilt für einen Auftragsverarbeiter, der sowohl dem Verantwortlichen die im Rahmen des Auftragsverarbeitungsverhältnisses erfolgte weisungsgemäße Verarbeitung nachweisen, ihm also Informationen einer ausreichenden Güte liefern muss, als auch von der gem. Art. 58 DSGVO zuständigen Aufsichtsbehörde unmittelbar adressiert werden kann, vgl. die Art. 30–32 DSGVO. Allerdings kann auch der Verantwortliche durch die Aufsichtsbehörde für das Verhalten seines Auftragsverarbeiters in Anspruch genommen werden.93 Bereits hieraus ergibt sich, dass die Figur des Accountability-pflichtigen Verantwortlichen nicht notwendigerweise einem streng gesellschaftsrechtlichen, sondern möglicherweise einem funktionalen Verständnis folgt. Diese insbesondere auf Konzernstrukturen gerichtete Frage soll in Abschnitt C untersucht werden, mit einem speziellem Augenmerk darauf, welche Auswirkungen das Risiko einer Datenverarbeitung und die Person des Datenverarbeiters selbst auf die zur Erüllung der Accountability-Pflichten umzusetzenden Maßnahmen haben, oder anders formuliert, ob ein internationaler Konzern bei einer vergleichbaren Verarbeitung von vergleichbaren Daten gegebenenfalls unterschiedliche Maßnahmen umsetzen muss, als ein regional agierender Mittelständler.94 Hierzu sollen insbesondere die vom EuGH in ständiger Rechtsprechung zu den Art. 101f. AEUV ausgeformten kartellrechtlichen Wertmaßstäbe auf ihre Übertragbarkeit auf die DSGVO untersucht werden.95

Um die Accountability-Beziehung der DSGVO entsprechend umfassend zu beleuchten, ist in Kapitel D nach den Erscheinungsformen des Forums zu fragen. Die im Rahmen von Accountability durchaus nicht unerwünschte terminologische Ambivalenz,96 welche verschiedenen Parteien ermöglicht, Accountability-Pflichten einzufordern, sowie die notwendigerweise vorhandene Subjektivität von Übersetzungen97 begründet auch in der vorliegenden Arbeit die Verwendung der Begriffe von Akteur und Forum. Hinsichtlich in Frage kommender Foren ist daher in iterativer Weise anhand der jeweils zur Verfügung stehenden Sanktionen vorzugehen und schließlich eine Antwort abzuleiten, ob in Accountability ein wirksames Instrument zur Durchsetzung der materiellen Normen der DSGVO und des Rechts auf informationelle Selbstbestimmung in einer zunehmend digitalen Welt gesehen werden kann. Dies bestimmt sich auch danach, wem dieses Instrument gegebenenfalls zur Verfügung steht und ob bzw. wenn ja, welcher intrinsische Wert den Accountability-Normen der Art. 5 Abs. 2 und Art. 24 Abs. 1 S. 1 DSGVO zukommt, um der real existierenden Informations- und Optionsasymmetrie bei der Verarbeitung personenbezogener Daten zu begegnen. Hinsichtlich der Gruppe der Betroffenen soll entsprechend der auch im englischsprachigen Originalschrifttum relativ unbeachteten Frage nachgegangen werden, welche Eignung an ein Forum zu stellen ist, um eine effektive Inanspruchnahme und Rezeption der Rechenschaft bzw. Rechtfertigung zu gewährleisten.98

Kapitel E fasst die erarbeiteten Ergebnisse zusammen und untersucht abschließend, ob die in der DSGVO enthaltene Accountability de lege lata geeignet ist, ihren Zielen einer verbesserten Wirkung der Datenschutzgrundsätze99 gerecht zu werden bzw. welche Faktoren erforderlich wären, um Accountability de lege ferenda auch im Datenschutzrecht zu dem Instrument werden zu lassen, wie es in der Herkunftsjurisdiktion der USA konzipiert war.

74

Der Aufbau folgt entsprechend einem für die Untersuchung und Bewertung von Accountability-Mechanismen etablierten Vorgehen, vgl.

Dubnick/Frederickson

, JPART 2010, 143 (145);

Bovens

, WEP 2010, 946 (960ff.), auch wenn deren Trennung in Eigenschaft (

virtue

) und Mechanismus (

means

) nicht vollständig überzeugen kann.

75

Vgl.

Scott

, JLaS 2000, 38 (41);

Dicke

, ARPA 2002, 455 (456);

Koenig-Archibugi

, GaO 2004, 234 (237f.);

Schedler

, in: Schedler/Diamond/Plattner, The Self-Restraining State, 1999, 13 (21f.);

Lührmann/Marquardt/Mechkova

, APSR 2020, 811 (812);

Bovens

, WEP 2010, 946 (953); die gleichen Fragen stellt

Werner

, in: Seibert-Fohr, Entgrenzte Verantwortung, 2020, 31 (33ff.), zum deutschen Begriff der „Verantwortung“.

76

Vgl. zu diesen relativ wenig beachteten Verarbeitungssituationen

Golland

, ZD 2020, 397.

77

Art. 29-Gruppe

, WP 173, S. 8, Rn. 22.

78

Statt vieler

Bovens/Goodin/Schillemans

, Handbook on Public Accountability, 2016, mit einer umfassenden Sammlung von Beiträgen; weniger gelungen

Guagnin,

et al., Managing Privacy through Accountability, 2012, die eine eher zufällige Ansammlung von Beiträgen enthalten.

79

Vgl. zum Verantwortungsbegriff im Recht

Klement

, in: Heidbrink/Langbehn/Loh, Handbuch Verantwortung, 2017, 559 (562);

Krawietz

, in: Bayertz, Verantwortung – Prinzip oder Problem?, 1995, 184.

80

Umfassend aufgearbeitet von

Bayertz

, in: Bayertz, Verantwortung – Prinzip oder Problem?, 1995, 3 (36f.).

81

Man denke nur an die Definition in Art. 5 Abs. 2 DSGVO, die lauten würde „Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich [...] (Verantwortlichkeit)“; ähnlich

Frenzel

, in: Paal/Pauly, DSGVO BDSG, 2021, Art. 5, Rn. 51; vgl. zum eigentlich zutreffenderen Begriff der Responsibility B.III.1.a.

82

Klement

, in: Heidbrink/Langbehn/Loh, Handbuch Verantwortung, 2017, 559 (562);

Krawietz

, in: Bayertz, Verantwortung – Prinzip oder Problem?, 1995, 184 (187ff.).

83

Bspw. Art. 14 VO (EG) 1905/2006; statt aller

Herdegen

, Völkerrecht, 2021, § 7, Rn. 2 und 15.

84

Vgl.

Werner

, in: Seibert-Fohr, Entgrenzte Verantwortung, 2020, 31 (33ff.), zur retrospektiven Wirkung von Verantwortung.

85

So beispielsweise

Monreal

, CR 2019, 797 (803); EDPB, Stellungnahme 07/2020 zum Konzept von Verantwortlichen und Auftragsverarbeitern, S. 25, Rn. 73;

Spittka

, in: Taeger, Den Wandel begleiten,2020, 41 (43);

Janicki

, in: Specht-Riemenschneider et al., FS Taeger, 2020, 197 (208);

Roßnagel

, in: Simitis et al., Datenschutzrecht, 2019, Art. 5, Rn. 187;

Schwartmann/Hermann

, in: Schwartmann et al., DSGVO BDSG, 2020, Art. 4, Rn. 127;

Schneider

, ZD 2022, 321 (324).

86

So auch

EDPB

, Stellungnahme 07/2020 zum Konzept von Verantwortlichen und Auftragsverarbeitern, S. 25, Rn. 73, womit diese wohl auf die Nennung von natürlichen Personen, Behörden, Einrichtungen oder anderen Stellen in Art. 4 Nr. 8 DSGVO referenzieren.

87

Statt aller und prägend für diese Bezeichnung

Bovens

, ELJ 2007, 447 (449).

88

Bayertz

, in: Bayertz, Verantwortung – Prinzip oder Problem?, 1995, 3 (37), erkennt den Ursprung in der aristotelischen Polis und der Überlegung, dass Staatsdiener dann gerecht regieren, wenn andere die Möglichkeit haben, sie zur Rechenschaft zu ziehen.

89

Vgl.

Bayertz

, in: Bayertz, Verantwortung – Prinzip oder Problem?, 1995, 3 (18 und 44), mit Nachweisen zu Kant; erwähnt auch in EuGH, Urt. v. 10.7.2018 – C-25/17 (Zeugen Jehovas,), EU:C:2018:551, Rn. 47.

90

Bovens

, ELJ 2007, 447 (449), der ihn wohl aus einer Formulierung von Richard Mulgan entlehnt, dass Accountability bedeute, ein Akteur müsse „responsive to their particular

publics

“ (Herv. d.d. Verf.) sein; krit. zum Begriff

Lindberg

, IRAS 2013, 202 (203): „While it admittedly launches a new

formulation

of the definition of accountability [...], the change of words offers nothing new to the classic definition [...]. It is reinventing the wheel and giving it a new name.” (Herv. im Original).

91

Vgl. dazu

Gailmard

, in: Bovens/Goodin/Schillemans, Handbook on Public Accountability, 2016, 90ff.; diese hat teilweise auch Eingang in die deutsche Literatur gefunden, vgl.

Wagner

, ZHR 2017, 203 (217 und 249ff.).

92

Auf den Streit, ob jede Verletzung einer Norm der DSGVO zu einer Schadenersatzpflicht führt, soll an dieser Stelle nur verwiesen werden; vgl. dagegen etwa GA

Campos Sánchez-Bordona

in den Schlussanträgen v. 6.10.2022 zur Rs. C-300/21, Rn. 117;

Moos/Schefzig

, in: Taeger/Gabel, DSGVO BDSG TTDSG, Art. 82, Rn. 22f. und 41;

Paal

, MMR 2020, 14 (16f.); bei einer Verarbeitung von Daten ohne Rechtsgrundlage dürfte indes regelmäßig eine Schadenersatzpflicht gegeben sein.

93

Kramer/Meints

, in: Auernhammer, DSGVO BDSG, 2020, Art. 24, Rn. 12;

Moos/Schefzig

, in: Taeger/Gabel, DSGVO BDSG TTDSG, 2022, Art. 82, Rn. 66.

94

Vgl. kritisch zu diesem vermeintlichen One-Size-Fits-All Ansatz

Buchholtz/Stentzel

, in: Gierschmann et al., DSGVO BDSG, 2018, Art. 5, Rn. 47;

Härting/Schneider

, CR 2015, 819; so auch

Veil

, ZD 2018, 9 (10), und

Roßnagel

, in: Simitis et al., Datenschutzrecht, 2019, Art. 5, Rn. 30;

Buddeberg