Accountability im europäischen Datenschutzrecht

Mit Accountability hat der europäische Gesetzgeber 2018 einen Begriff in den Kanon der datenschutzrechtlichen Prinzipien in Artikel 5 Datenschutz-Grundverordnung (DSGVO) aufgenommen, den auch bereits die OECD-Richtlinien zum internationalen Datentransfer von 1980 verwenden und der in den vergangenen Jahren zu einem vielfach verwendeten Schlagwort in gesellschaftlichen Debatten geworden ist, in denen es um die Zuweisung von Verantwortung geht.

Im europäischen Datenschutzrecht herrscht allerdings alles andere als Klarheit, welche Handlungspflichten genau aus dieser gem. Art. 288 Abs. 2 AEUV direkt anwendbaren Norm für datenschutzrechtlich Verantwortliche und insbesondere für Unternehmen folgen. Die vorliegende Arbeit untersucht ausgehend von der reichhaltigen englischsprachigen Literatur zum Topos der Accountability, welche Inhaltsdimensionen dem Konzept zukommen und in welchen Normen der DSGVO diese ihre Entsprechung gefunden haben. Dabei wird vor allem der adaptive Charakter von Accountability herausgearbeitet, der es zu einem technik- und entwicklungsoffenen Instrument der Durchsetzung materieller Normen macht.

Dem im angloamerikanischen Accountability-Diskurs gebräuchlichen Dreiklang "who is accountable for what and to whom" folgend, untersucht die vorliegende Arbeit aufbauend auf den datenschutzrechtlichen Verantwortungsfiguren des (gemeinsam) Verantwortlichen und des Auftragsverarbeiters, welche Pflichten insbesondere Konzernen sowie deren Leitungsebenen bei der Verarbeitung personenbezogener Daten zukommen. Hierzu wird die vom europäischen Gesetzgeber in den Erwägungsgründen ausdrücklich als maßgebend bezeichnete kartellrechtliche Rechtsprechung des EuGH (Akzo-Vermutung) in das Datenschutzrecht übertragen. Abschließend werden die Parteien untersucht, die aus dem Prinzip der Accountability Rechte ableiten können.