Kühling, Jürgen / Buchner, Benedikt (Hrsg.), Datenschutz-Grundverordnung. Bundesdatenschutzgesetz, Kommentar, C.H.Beck, 3. Aufl. München 2020, ISBN 978-3-406-74994-0, 1.877 S., € 199,00.
Schon in 3. Aufl. erscheint der Kommentar von Kühling und Buchner zum Datenschutzrecht. Die besagte Materie hat ja in den letzten Jahren einen ungeahnten Aufschwung erfahren, woran nicht zuletzt der sorglose – um nicht zu sagen missbräuchliche – Umgang mit Daten durch die Unternehmen schuld ist. Die durch die Presse geisternden Skandale sind sicherlich noch jedermann gut im Gedächtnis. Seit der Einführung der Datenschutzgrundverordnung (DS-GVO) hat sich vielerorts hektische Betriebsamkeit breitgemacht, will doch niemand hohe Bußgelder riskieren bzw. Abmahnanwälten Angriffspunkte bieten. Nicht zuletzt aus den genannten Gründen haben Bücher zum Datenschutz Konjunktur, schon das schlechte Gewissen vieler Unternehmer bzw. Arbeitgeber sowie deren Beraterschaft verleitet zum Kauf einschlägiger Werke. Zurzeit kann man sich freilich die Frage stellen, ob im Datenschutz nicht des Guten zu viel getan wird, wenn man sich schon bei der Vereinbarung eines Termins mit einer bestimmten Person im Kalender fragen muss, bedarf das anschließend nun der Löschung oder nicht. Da ist es gut, wenn im Schrifttum kundige Antworten auf entsprechende Fragen zu finden sind. Im Kühling/Buchner wird man insoweit sicherlich nicht enttäuscht werden. Immerhin 23 Autoren – darunter auch Datenschutzbeauftragte – kommentieren die Datenschutz-Grundverordnung und das Bundesdatenschutzgesetz auf rd. 1.850 Seiten, einmal mehr der Beleg dafür, wie komplex das Datenschutzrecht geworden ist. Den Löwenanteil der Kommentierung nimmt das europäische Recht ein, auf den nationalen Datenschutz entfällt weniger als ein Drittel der Bearbeitung. Daran mag man erkennen, welche Bedeutung auch in dieser Materie das supranationale Recht erlangt hat.
Der Kommentar beginnt mit einer Einführung von Kühling/Raab, die gleich zu Beginn das Zusammenspiel zwischen nationalem und überstaatlichem Recht erklären (Rn. 1 ff.). Allgemeine Bestimmungen enthält Kapitel I der DSGVO (Art. 1 – 4). Wiederum Kühling/Raab widmen sich in der Kommentierung zu § 2 (Rn. 11 ff.) dem sachlichen Anwendungsbereich der DS-GVO. Der in § 3 normierte räumliche Anwendungsbereich ist dann Sache von Klar. Mehrere Bearbeiter teilen sich dann § 4, die Vorschrift definiert die in der DS-GVO verwendeten Begriffe. Dass immer Streitfälle bleiben werden (§ 4 Rn. 14), liegt auf der Hand.
Kapitel II der DS-GVO (Art. 5 – 11) enthält ganz im Sinne eines Allgemeinen Teils „Grundsätze“. Ohne unbestimmte Rechtsbegriffe wie „Verarbeitung nach Treu und Glauben“ (dazu Herbst § 5 Rn.13 ff.) kommt auch das europäische Recht nicht aus. Art. 6 DS-GVO enthält einen Katalog von Tatbeständen, welche die Verarbeitung der Daten rechtfertigen. Darunter fällt zuvorderst die freiwillige (!) Einwilligung. Wann Freiwilligkeit im genannten Sinne vorliegt, erläutern Buchner/Kühling dann bei Art. 7 ausführlich (Rn. 41 ff.). Wichtig ist auch der besondere Schutz sensitiver Daten. Eine detaillierte Erläuterung findet sich bei Weichert (Art. 9 Rn. 13 ff.).
Die Rechte der betroffenen Personen finden sich in Art. III der DS-GVO. Zunächst geht es um Transparenz und Modalitäten, die Transparenz- und Verfahrensregelungen im Einzelnen stellt Bäcker dar (Art. 12 Rn. 9 ff.). Der nächste Abschnitt betrifft Informationspflichten und Auskunftsrechte, Details findet man in der Kommentierung der Art. 13 – 15 ebenfalls bei Bäcker. Viel diskutiert und Gegenstand zahlreicher gerichtlicher Entscheidungen ist das „Recht auf Vergessenwerden“. Wann man ein entsprechendes Recht auf Löschung von Daten hat, erklärt Herbst in seinen Erläuterungen zu Art. 17, der auch die weiteren Bestimmungen dieses Abschnitts (Art. 18 – 20) verantwortet. Mit „Widerspruchsrecht und automatisierte Entscheidungsfindung im Einzelfall“ ist der nächste Abschnitt des III. Kapitels überschrieben. Den Unterschied zwischen automatisierter Entscheidung und Profiling ungeachtet der Gleichsetzung der Begriffe in der DS-GVO erklärt Buchner (Art. 22 Rn. 4). Was alles unter die Beschränkungen im Sinne des Art. 23 fällt, definiert dann wieder Bäcker. Auch für die Verarbeitung personenbezogener Daten muss jemand die Verantwortung tragen. In Kapitel IV der DSGVO (Art. 24 – 31) ist das geregelt, wobei der Verantwortliche selbst schon in Art. 4 Nr. 7 definiert wird. Neu ist die Bestimmung über Datenschutz durch Technikgestaltung (Art. 25), alles Nötige dazu kann man bei Hartung nachlesen. Bei der in Art. 26 DS-GVO geregelten gemeinsamen Verantwortlichkeit ist noch einiges offen, so etwa im Hinblick auf die blockchain-Technologie (dazu Hartung Rn. 21). Damit sich bei der Auftragsverarbeitung niemand seinen datenschutzrechtlichen Pflichten entziehen kann, regelt Art. 28 DS-GVO diesen Fall. Hartung stellt insoweit die Fragen nach der Notwendigkeit dieser Regelung (Rn. 43). Im Vordergrund für viele steht die Datensicherheit, die in den Art. 32 – 34 DS-GVO ihren Platz gefunden hat. Mit den damit verbundenen Fragen setzt sich in seiner Kommentierung Jandt auseinander, der auch die Art. 35, 36 DS-GVO übernommen hat, in denen es um Datenschutzfolgenabschätzung und vorherige Konsultation geht. Wenn man vom Datenschutzrecht nichts weiß, so doch immerhin, dass es Datenschutzbeauftragte gibt. In der DS-GVO finden sich die einschlägigen Bestimmungen in Art. 37 – 39, welche Bergt kommentiert. Er weist darauf hin, dass es anders als im deutschen Recht, an einem Kündigungsschutz fehlt (Art. 38 Rn. 3). Bergt/Pesch widmen sich dann dem nächsten Abschnitt (Art. 40 – 43), in welchem es um Verhaltensregeln und Zertifizierung geht.
Kapitel V (Art. 44 – 50) der DS-GVO trägt der Tatsache international verflochtener Konzerne und weltweiten Dienstleistern Rechnung. Alles Notwendige hierzu erfährt man bei Schröder, der darauf hinweist, dass die in Art. 45 niedergelegte Adäquanzentscheidung vornehmlich durch die Snowden-Enthüllungen sowie die dauernde Kritik an der Entscheidung zum US/EU-Safe-Harbor-Abkommen geprägt ist (Art. 45 Rn. 2).
Ohne unabhängige Aufsichtsbehörden lässt sich Datenschutz nicht realisieren. Kapitel VI der DS-GVO mit den Art. 51 – 59 trägt dem Rechnung. Boehm sagt dazu alles Notwendige, insbesondere auch im Hinblick auf die gebotene Unabhängigkeit (Art. 52 Rn. 7 ff.).
Zusammenarbeit und Kohärenz sollen Art. 60 – 76 DS-GVO im VII. Kapitel gewährleisten. Die Zusammenarbeit der Aufsichtsbehörden (Art. 60 – 62) ist Sache von Dix, die Vorschriften zum Kohärenzverfahren (Art. 63 – 67) beleuchtet Caspar. Dass es einen europäischen Datenausschuss (Art. 68 – 76) gibt, wird kaum jemand wissen, bei Dix kann man sich insoweit bilden.
In seiner Vorbemerkung zu Kapitel VIII (Art. 77 – 84) macht Bergt deutlich, dass die Frage der Durchsetzung der Standards ein Grundproblem des Datenschutzrechts war. Hier Abhilfe zu leisten ist ein wesentliches Ziel der DS-GVO, nicht umsonst ist das Kapitel mit „Rechtsbehelfe, Haftung und Sanktionen“ überschrieben. Die in Art. 83 DS-GVO genannten Beträge sind durchaus schwindelerregend (Abs. 6: 20.000.000 €, siehe auch Bergt Rn. 38 ff.), ob sie ihren Zweck erreichen, mag dahinstehen.
Vorschriften für besondere Verarbeitungssanktionen enthält Kapitel IX (Art. 85 – 91). Hier geht es zunächst um die Freiheit der Meinungsäußerung (Art. 85), das entsprechende Spannungsfeld charakterisieren Buchner/Tinnefeld (Rn. 5 ff.). Auch der Zugang der Öffentlichkeit zu amtlichen Dokumenten steht in Frage (Art. 86), da stellen sich Herbst schon begriffliche Fragen (Rn. 11 ff.). Die Kommentierung von Art. 88, welcher die Datenverarbeitung im Beschäftigtenkontext betrifft, hat zweckmäßigerweise ein Arbeitsrechtler übernommen, nämlich Maschmann. Dieser geht auch auf die Konsequenzen für das deutsche Recht ein (Rn. 60 ff.). Genannt seien schließlich noch die Ausführungen von Herbst zu Art. 91 DS-GVO, der die Kirchen bzw. Religionsgemeinschaften betrifft.
Die Bedeutung des europäischen Rechts mag man schon daran ermessen, dass das deutsche Bundesdatenschutzgesetz (BDSG) schon vom Umfang her weit weniger Platz einnimmt. Der Nachrang des deutschen Rechts kommt auch in den Überschriften zum Ausdruck. Teil 1 ist noch mit „Gemeinsame Bestimmungen“ betitelt. Schon § 1 Abs. 5 BDSG stellt aber klar, dass das deutsche Recht hinter der DS-GVO zurücktritt, näheres dazu bei Klar (Rn. 20). Die Begriffsbestimmungen in § 2 BDSG, bei denen es um die Definition der “öffentlichen Stelle“ geht, sind bedeutsam für die Frage der Anwendung des deutschen Rechts (Klar/ Kühling Rn. 1). Auch § 3 BDSG hat öffentliche Stellen zum Gegenstand, nämlich in Bezug auf die Verarbeitung personenbezogener Daten durch diese. Petri weist auf die Bedeutung der DS-GVO denn auch mehrfach hin. Bei den Rechtsgrundlagen der Verarbeitung personenbezogener Daten regelt § 4 speziell die Videoüberwachung öffentlich zugänglicher Räume. Buchner erklärt, wann sie zulässig ist (Rn. 8 ff.). Was für die Datenschutzbeauftragten öffentlicher Stellen gilt, erläutern Bergt/Schnebbe in ihrer Kommentierung der §§ 5 – 7. Bundesbeauftragte für den Datenschutz sieht das BDSG in den §§ 8 – 16 vor, welche Bange erklärt. Die deutsche Vertretung im Europäischen Datenschutzausschuss (§ 17) ist dann Sache von Dix. Bei den in Kapitel 6 genannten Rechtshelfen sei auf § 21 Abs. 3 BDSG hingewiesen, der – im deutschen Recht selten – die erstinstanzliche Zuständigkeit eines obersten Bundesgerichts, nämlich des Bundesverwaltungsgerichts vorsieht.
Bergt erklärt die ratio der Vorschrift (Rn. 12). Die restlichen Normen des BDSG sind Durchführungsbestimmungen zum EU-Recht. In Teil 2 (§§ 22 – 44) geht es um Verarbeitungen zu Zwecken gem. Art. 2 der DS-GVO, Teil 3 (§§ 45 – 84) setzt Verarbeitungen zu Zwecken gem. Art. 1 Abs. 1 der Richtlinie 2016/680 um und Teil 3 (§§ 85, 86) fängt Verarbeitungen im Rahmen von nicht in den Anwendungsbereich der DS-GVO und der Richtlinie 2016/680 fallenden Tätigkeiten auf. Selbstredend werden auch diese Bestimmungen sorgfältig behandelt. Hingewiesen sei nur auf die Kommentierung von Maschmann zum Beschäftigtendatenschutz, die skizzierten Formen der Überwachung (Rn. 41 ff.) lassen auf Erfindungsreichtum der Arbeitgeber schließen.
Dass hier nur einzelne Aspekte der Kommentierung herausgegriffen werden konnten, liegt auf der Hand. Gleichwohl wird deutlich: Wer Antworten zu spezifischen Fragen des Datenschutzes sucht, wird im Kühling/Buchner regelmäßig fündig werden. Das detaillierte Inhaltsverzeichnis sowie das gründliche Sachregister tragen zur Benutzerfreundlichkeit bei. Das Werk gibt zudem einen ausgezeichneten Überblick über die Materie und ist ohne weiteres zu empfehlen.
Prof. Dr. Curt Wolfgang Hergenröder (cwh) cwh@uni-mainz.de