Franziska Stapelberg

Schwartmann/Jaspers/ Thüsing/Kugelmann: DS-GVO/BDSG – Datenschutzgrundverordnung/Bundesdatenschutzgesetz

C.F. Müller Verlag, Heidelberg, 2. neu bearbeitete Auflage 2020, ISBN 978-3-8114-5565-8, EUR 189,00.

Der Kommentar zur Europäischen Datenschutzgrundgrundverordnung (DS-GVO) und zum Bundesdatenschutzgesetz (BDSG) ist in der Reihe der Heidelberger Kommentare im C.F. Müller Verlag erschienen. Er wurde zwei Jahre nach Erstausgabe und damit auch gut zwei Jahre nach Inkrafttreten der DS-GVO in neuer Auflage veröffentlicht und umfangreich überarbeitet. Herausgeber sind Rolf Schwartmann, Andreas Jaspers, Gregor Thüsing und Dieter Kugelmann, die weiteren Autor*innen sind namhafte Expert*innen im Datenschutzrecht aus Wissenschaft, Aufsichtsbehörden und unternehmerischer Beratung.

Die Kommentierung der Europäischen Datenschutzgrundverordnung ist bereits komplex aufgrund des Nebeneinanders wie auch des Ineinandergreifens von europäischer und nationaler Gesetzgebung zum Datenschutz, der Verwendung von Öffnungsklauseln, der Datenschutz-Gesetzgebung der einzelnen Bundesländer und der zum Verständnis und Hintergrund der Entwicklung zu ziehenden Vergleiche zur vormaligen Rechtslage (BDSG alter Fassung (a.F.) und Datenschutz-Richtlinie 95/46/EG). Daneben sind die Rechtsprechung des Europäischen Gerichtshofs wie auch deutscher, unterschiedlicher (Fach-)Gerichte – von Bundesgerichtshof bis hin zu beispielsweise Landesarbeitsgerichten und Verwaltungsgerichten –, Äußerungen des Europäischen Datenschutzausschusses (EDSA) sowie Verlautbarungen der Datenschutzkonferenz (DSK) und Entscheidungen einzelner Aufsichtsbehörden, auszuführen, um nur einige Beispiele zu nennen.

Ebenso sind weitere, teilweise eng verwandte oder angrenzende/ergänzende Rechtsgebiete wie Regelungen zur ePrivacy, zum Telekommunikations- und Telemedienrecht, aber auch der IT-Security und dem eCommerce auszuführen, wobei gerade die ersteren sich bekanntermaßen in stetiger Entwicklung der Rechtssetzung befanden und befinden – vor kurzem erst ist das Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) in Kraft getreten. Des Weiteren ist die datenschutzrechtliche Einordnung oder auch Prüfung der Zulässigkeit von Datenverarbeitungen in besonderem Maße auch den (technischen) Fortschritten in der Datenverarbeitung unterworfen beziehungsweise geht mit diesem einher; genannt seien als Beispiele die Möglichkeiten des Trackings im Allgemeinen, die Gestaltung von Cookies im Besonderen oder die Entwicklung bei (lernender) KI, diese Materien entwickeln sich überaus rasant und sind teilweise sehr technisch geprägt. Die Voraussetzungen beispielsweise des Transfers von Daten in ein Drittland sind ebenso stetiger Entwicklung unterworfen und können der Natur der Sache nach nur bis Redaktionsschluss aktualisiert werden. Ähnliches gilt auch für Entwicklungen der Auskunftsansprüche nach Artikel 15 DS-GVO, welche mittlerweile durch eine Vielzahl von gerichtlichen Entscheidungen, insbesondere zu deren Reichweite, möglicher Rechtsmissbräuchlichkeit und eventuellen Schadenersatzansprüchen zunehmend an Konkretisierung seit Inkrafttreten der DS-GVO gewonnen haben.

Themen, die zum Zeitpunkt der zweiten Auflage noch als beginnende Pandemie bezeichnet werden konnten, haben bereits Eingang gefunden, wie Problematiken rund um die datenschutzrechtliche Zulässigkeit von Maßnahmen zur Bekämpfung einer Pandemie, so die Kontaktverfolgung mittels einer App oder andere datenschutzrechtliche Ausprägungen der Infektionsschutzgesetzgebung.

Die Kommentierung der DS-GVO erfolgt parallel zum deutschen Datenschutzrecht in übersichtlicher Weise und im Nebeneinander möglichst „einfach“, verständlich und nachvollziehbar – sowohl in Darstellung als auch in Zuordnung ist dies nach Ansicht der Rezensentin mehr als gelungen.

Im Aufbau folgt die Kommentierung den Artikeln der DS-GVO, die Vorschriften des BDSG und deren Kommentierung sind an den hierzu passenden Stellen eingefügt und grau hinterlegt, was grafisch der raschen Einordnung dient. Die Kommentierung der Vorschriften des BDSG n.F. ist im Aufbau analog zur DS-GVO dargestellt. Ergänzt wird diese Darstellung sozusagen in umgekehrter Reihenfolge im Rahmen der vorangestellten Nutzungshinweise, in welchen den BDSG-Vorschriften die Artikel der DS-GVO in tabellarischer Form zugeordnet werden, dies in Ergänzung der jeweiligen Fundstellen.

Der Aufbau der Kommentierung mit dem jeweils vorangestellten Inhaltsverzeichnis und der teilweise sehr umfangreiche Anführung von weiterer Literatur, folgen die „Einordnung“ und der „Hintergrund“ der Norm. Hierunter werden auch die einschlägigen Erwägungsgründe der einzelnen Artikel aufgeführt, wobei diese nicht lediglich aufgezählt, sondern wiederum im Zusammenhang eingeordnet beziehungsweise an manchen Stellen geradezu selbst „kommentiert“ werden. Im Rahmen von Normengenese und -umfeld werden die Bezüge zum BDSG n.F. aufgezeigt, ebenso wie die Entwicklung der Rechtslage dargestellt, wie zum BDSG a.F., ergänzt teilweise auch um Hinweise zur Rechtslage nach Datenschutz-Richtlinie 95/46/EG. Es finden sich hier ebenfalls Ausführungen zu Working Papers (WP) der Art. 29-Datenschutzgruppe und zu Beschlüssen des Düsseldorfer Kreises. Die Bezüge zur vormaligen Rechtslage könnten zwar als eher umfangreich bezeichnet werden, jedoch sind aus Sicht der Rezensentin diese auf die wesentlichen Entwicklungen beschränkt. Beispielhaft genannt seien hier die Ausführungen zum WP259 der Art. 29-Datenschutzgruppe zur datenschutzrechtlichen Einwilligung von Kindern und Minderjährigen nach Artikel 8 DS-GVO, welche zum grundlegenden Verständnis und zur Auslegung der Norm beitragen und so die Anwendung auf neue, aus Sicht der Praxis erstmalig zu entscheidenden Sachverhalten, erleichtern.

Die (eigentliche) Kommentierung ist zum einen nach Ansicht der Rezensentin ebenfalls in sehr geordneter Weise mittels präziser Überschriften dargestellt und gegliedert.

Dabei hilft, dass an diversen Stellen auch Fallgruppen gebildet worden sind, was eine Einordnung grundsätzlich erleichtert. Bei Auseinanderfallen von Meinungen und Ansichten werden diese dargestellt, beispielsweise nach Ansicht der Literatur, Ansicht der Datenschutzaufsichtsbehörden und Sichtweise des BGH und ergänzt um die Bedeutung für die Praxis. Auf letztere wird im Rahmen der Kommentierung besonders Wert gelegt, was die Rezensentin aus Tiefe und Umfang der Ausführungen folgert. Hieran wird deutlich, dass den Autoren an einer echten „Hilfe für die tägliche Praxis“ gelegen ist.

Diesen Anspruch ergänzen auch die Praxishinweise, an welchen sich nach Ansicht der Rezensentin ablesen lässt: weitestgehend umfassend. Denn es findet sich gegliedert dargestellt die „Relevanz“ der Norm für öffentliche Stellen, für nichtöffentliche Stellen, für betroffene Personen, für Aufsichtsbehörden und für das Datenschutzmanagement. Letztere sind – als Beispiel werden die Meldepflichten gegenüber den Aufsichtsbehörden, Art. 33 f. DS-GVO herangezogen – derart aufbereitet, dass sie geradezu als „Anleitung für die Praxis“ für die notwendigen internen Prozesse bezeichnet werden können. Es wird an dieser Stelle beispielsweise auf die Erstellung eines Incident Response Plans und des hierfür notwendigen Inhalts hingewiesen, welcher von Internen Richtlinien, über die Implementierung eines geeigneten Incident Response Systems bis zum Kontakt zu Aufsichts- und Strafverfolgungsbehörden reicht.

Die Praxishinweise dienen zum einen der umfassenden Sicht auf die Bedeutung einer Vorschrift für die Praxis. Vor allem bei dem Bedürfnis nach zügiger Einordnung und rascher Suche nach Bedeutung einer Norm, helfen die letztlich als „aufbereitete“ Perspektivwechsel gestalteten Hinweise. Für den alltäglichen Gebrauch in der Praxis ist dies nach Ansicht der Rezensentin überaus wertvoll.

Die Kommentierung schließt jeweils mit Hinweisen zur (möglichen) Sanktionierung; mögliche Verstöße und drohende Geldbußen werden benannt, so dass für den ersten Eindruck nicht stets in Artikel 83 f. DS-GVO „gesucht“ werden muss. An einigen Stellen finden sich am Ende der Kommentierung umfangreichere Exkurse zur eCommerce-Richtlinie, zur ePrivacy-Richtlinie, dem Telekommunikations- und Telemedienrecht.

Hervorzuheben sind auch die für den*die Fachleser*in fast schon ungewöhnlich oder zumindest „untypische“ gewählte Darstellungsformen von Checklisten, Tabellen und Schaubildern. Beispielsweise für die Informationspflichten im Rahmen von Artikel 13 und 14 DS-GVO ist nach Meinung der Rezensentin die Zusammenfassung in tabellarischer Form, gerade auch zusammengeführt beziehungsweise in Gegenüberstellung dieser beiden Vorschriften, sehr übersichtlich und hilfreich. Ebenso wie beispielweise die Ausführungen zu Artikel 26, der Gemeinsamen Verantwortlichkeit für die Datenverarbeitung, welche die wesentlichen Inhalte einer Vereinbarung über eine solche Verarbeitung nochmals aufbereitet zusammenfasst.

Neben der eigentlichen Kommentierung sind in den Anhängen die Erwägungsgründe zur DS-GVO sowie der Gesetzestext des BDSG abgedruckt. Das Buch schließt mit dem Stichwortverzeichnis, das nicht ganz so konsequent umgesetzt ist, wie man es sich vielleicht wünschen würde. Beispielhaft sei genannt, dass die 1&1-Entscheidung hierin aufgeführt wird, die Planet49-Entscheidung hingegen nicht. Auch die neu aufgenommenen Ausführungen zur „Pandemie“ lassen sich unter diesem Stichwort nicht finden, auch nicht unter „Kontaktverfolgung“ oder „Infektionsschutz(gesetz)“, allerdings unter „Corona-App“ mit sämtlichen Fundstellen. Dieser Kritikpunkt kann als vernachlässigbar und nicht von wesentlicher Bedeutung für das Werk insgesamt eingestuft werden.

Aus Sicht der Rezensentin erweist sich die vorliegende Kommentierung der DS-GVO als überaus geeignet für die vielseitige Verwendung. Sowohl für das eigentliche Verständnis der datenschutzrechtlichen Regelungen, als Nachschlagewerk bei Einzel- oder Zweifelsfragen und besonders für die Nutzung in der täglichen Praxis. Gerade die Aufbereitung der teilweise unterschiedlichen oder gar gegenläufigen Perspektiven des für Datenverarbeitung Verantwortlichen, der Betroffenen sowie der Stellung und Aufgaben von Aufsichtsbehörden macht diesen Kommentar zu einer wertvollen Unterstützung.

Ich schließe zusammenfassend und wohl eher außer der Reihe einer solchen Rezension, mit einem persönlichen Wort: Als meine Tochter das Buch sah und ich ihr erklärt habe, dass ich hierüber etwas schreibe, sagte sie stolz am Folgetag zu einer Freundin: „Meine Mama hat dieses dicke Buch ganz gelesen!“, was aus Sicht zweier Lese-Anfängerinnen eine andere Qualität der Aussage hat. Ich antwortete „Nein – aber ich würde es wirklich gerne, weil es ein großartiges Werk ist! Und ich danach sehr viel schlauer wäre.“

Autorinnen und Autoren

  • Franziska Stapelberg
    Syndikusrechtsanwältin im Bereich Datenschutzrecht in Köln.

WiJ

  • Dr. Sebastian Eberz

    Die Einziehung von Taterträgen gemäß §§ 73 ff. StPO in Weiterleitungsfällen

    Individual- und Unternehmenssanktionen

  • Folker Bittmann, Dr. Markus Rübenstahl, Mag. iur., VRiLG Dr. Sohre Tschakert, Dr. Aleksandar Zivanic

    Inkonsistentes Abschöpfungsrecht

    Individual- und Unternehmenssanktionen

  • Yannick Hübner

    Vermögenssicherungsmaßnahmen, drohende Existenzvernichtung und Rechtsschutzmöglichkeiten

    Individual- und Unternehmenssanktionen