Rezension: DSGVO / BDSG

Eßer / Kramer / von Lewinski (Hrsg.), DSGVO / BDSG, Kommentar, 8. Auflage, Carl Heymanns 2024

Von Ass. iur. Fabian Bünnemann, LL.M., LL.M., Essen

Aufgrund der aus dem Jahr 2020 stammenden Vorauflage war es Zeit für eine Neuauflage des „altehrwürdigen“ Auernhammer. Dieses Werk, begründet vor fast 50 Jahren von Herbert Auernhammer, ist wohl das Urgestein der datenschutzrechtlichen Kommentarliteratur, wird mittlerweile von Eßer, Kramer und von Lewinski herausgegeben, firmiert aber weiterhin als „Auernhammer“. Der Name ist in der datenschutzrechtlichen Literatur und Praxis wohlbekannt, sodass der Verlag aus guten Gründen weiter daran festhält. Zwar sind auch die Herausgebernamen seit dieser Auflage nun oben auf dem Cover abgedruckt, ohne jedoch auf den anschließenden Klammerzusatz „Auernhammer“ zu verzichten. Auch zitiert werden soll das Werk weiter als „Auernhammer“ (S. II). Dabei haben sich insbesondere in den letzten Jahren, besonders seit Inkrafttreten der Datenschutz-Grundverordnung (DS-GVO), diverse Kommentare in diesem Feld neu etabliert, sodass der Auernhammer ordentlich Konkurrenz bekommen hat. Diese ist sicherlich auch dadurch begründet, dass das vorliegende Werk bei Carl Heymanns und damit unter dem Dach von Wolters Kluwer erscheint und damit nicht in der führenden Datenbank Beck-Online, sondern in der Datenbank Wolters Kluwer Online auffindbar ist, sodass die bei Beck-Online verfügbaren Werke der Zugänglichkeit wegen wohl weitaus häufiger zitiert werden dürften. Gleichwohl ist der Auernhammer als Standardwerk in Behörden, bei Gerichten, aber auch in der Anwaltschaft aus der Rechtspraxis nicht hinwegzudenken und wird gern zu Rate gezogen, wenn auch vielfach erst im zweiten Zugriff. Dass weder Wissenschaft noch Rechtspraxis in dem Werk zu kurz kommen, ist auch dem heterogen besetzten Autorinnen- und Autorenkreis zu verdanken, der beide Bereiche prima abdeckt.

Neben DS-GVO und BDSG umfasst das Werk, das sich (wohl) auf dem Stand von Juni 2023 befindet, nunmehr auch eine Kommentierung des TTDSG sowie wichtige bereichsspezifische Vorschriften (JIRL, § 5 IFG). Damit soll die Querschnitthaftigkeit des Datenschutzrechts auf den beiden relevantesten Normebenen erfasst werden (S. V).

Eingehend angesehen habe ich mir die Kommentierungen zum Beschäftigtendatenschutz. Art. 88 DS-GVO enthält eine Öffnungsklausel für die Datenverarbeitung im Beschäftigungskontext. Meder führt hier systematisch durch die Vorschrift und stellt auch den Kontext zur Lage im nationalen deutschen Recht her (Rn. 4, 13, 19, 43 f.). Dabei weist sie auch auf das laufende Vorabentscheidungsersuchen des BAG (Rs. C-65/23) zu § 26 Abs. 4 BDSG hin; die wichtige Entscheidung des EuGH zu § 23 Abs. 1 HDSIG (EuGH, Urt. v. 30.03.2023 – C-34/21, NZA 2023, 487) wird zwar erwähnt (Rn. 8, 9) – auch in ihrer für das deutsche Recht wohl wichtigsten Aussage, wonach spezifischere Vorschriften i.S.d. Art. 88 DS-GVO einen zu dem geregelten Bereich passenden Regelungsgehalt haben müssen, der sich von den allgemeinen Regeln der DS-GVO unterscheidet (EuGH NZA 2023, 487 Rn. 74) –, allerdings im Hinblick auf seine Auswirkungen auf das deutsche Recht (noch) nicht hinreichend gewürdigt. Hier wäre ein Verweis auf die ausführliche Auseinandersetzung mit den Folgen in Rn. 9 der Bearbeitung zu § 26 BDSG schön gewesen. Die dortige ebenfalls von Meder verantwortete Bearbeitung schafft zunächst einen guten Überblick unter Einschluss der Darstellung aktueller Entwicklungen (§ 26 BDSG, Rn. 1 ff.), um sich dann eingehend der systematischen Stellung der Norm im Mehrebenensystem zu widmen (Rn. 9 ff.). Angesichts der weitgehenden Übereinstimmung von § 23 Abs. 1 HDSIG mit § 26 Abs. 1 S. 1 BDSG wird man wohl davon ausgehen müssen, dass es nicht lediglich „zweifelhaft“ ist (so aber Meder), dass § 26 Abs 1 S. 1 BDSG den Anforderungen an eine „spezifische Vorschrift“ i.S.d. Art. 88 DS-GVO nicht gerecht wird (so nun auch ausdrücklich BAG, Beschl. v. 09.05.2023 – 1 ABR 14/22, NZA 2023, 1404 Rn. 64). Größere Verwerfungen resultieren hieraus aber nicht, da die Verarbeitung zumeist relativ unproblematisch auf eine Rechtsgrundlage nach Art. 6 Abs. 1 UAbs. 1 DS-GVO gestützt werden kann. Im Übrigen hat mir die Kommentierung überaus gut gefallen, etwa hinsichtlich der Modalitäten für eine zulässige Einwilligung im Beschäftigungskontext (Rn. 62 ff.) sowie zur Verarbeitung besonderer Kategorien personenbezogener Daten im Beschäftigungsverhältnis (Rn. 67 ff). Besonders hervorzuheben ist noch das der eigentlichen Kommentierung der Norm folgende „A bis Z einzelner Maßnahmen und Technologien“ (Rn. 87 ff.), das in der Praxis als wohlstrukturierte Fundgrube im Hinblick auf die Beurteilung der datenschutzrechtlichen Zulässigkeit einzelner Verarbeitungen dient. Dieser Abschnitt ist für Rechtsanwenderinnen und -anwender überaus nützlich, sodass ich mich auch über eine quantitative Erweiterung in der Folgeauflage besonders freuen würde.

Gerne habe ich mir die neue Bearbeitung des § 22 TTDSG von Schürmann/Selz angesehen. Das dort nunmehr normierte Auskunftsverfahren bei Bestandsdaten enthält gewissermaßen die Rechtsgrundlage für Telemediendienste, bestimmte Bestandsdaten an Behörden herauszugeben. Der Kommentierung vorangestellt sind Normtext und Kurzübersicht. Sodann werden unter „Allgemeines“ zunächst ausführlich Zweck und Bedeutung der Norm (Rn. 1 ff.) beleuchtet. Zudem wird die Norm verfassungsrechtlich gewürdigt (Rn. 5 ff.), was angesichts der Grundrechtsrelevanz und der Judikatur des BVerfG den Gesamtzusammenhang auch für nicht auf das TTDSG spezialisierte Leserinnen und Leser erläutert. Beim Verhältnis zu anderen Vorschriften (Rn. 14) hätte ich mir auch noch Bezüge zu § 46a Abs. 4a OWiG sowie § 100j StPO gewünscht, über die § 22 TTDSG erst seine Wirkung entfaltet. Das Verhältnis zur DS-GVO ist umstritten, nach Schürmann/Selz soll es sich bei § 22 TTDSG um eine Rechtsvorschrift i.S.v. Art. 6 Abs. 4 DS-GVO handeln (Öffnungsklausel zur Zweckänderung), mit der Folge, dass eine zusätzliche Rechtsgrundlage nach Art. 6 Abs. 1 UAbs. 1 DS-GVO nicht erforderlich sei (so auch zu § 21 TTDSG Rn. 4), was allerdings durchaus fragwürdig ist, da der EuGH Art. 6 Abs. 1 UAbs. 1 DS-GVO als erschöpfende und abschließende Liste der Rechtsgrundlagen für die zulässige Verarbeitung ansieht (so zuletzt auch EuGH, Urt. v. 21.12.2023 – C-667/21, GRUR-RS 2023, 36822 Rn. 75; eing. zum Ganzen Kühling/Buchner/Buchner/Petri, 4. Aufl. 2024, Art. 6 DS-GVO Rn. 181 ff.).  Im Übrigen überzeugt die Kommentierung in den Einzelheiten. Die Anforderungen werden prima dargelegt (Rn. 15 ff.), ebenso wie die formellen Voraussetzungen (Rn. 24 ff.). Besondere Relevanz kommt auch den Regelungen zu den abrufberechtigten Behörden zu (Abs. 3, Rn. 32 ff.), insofern sind die Ausführungen – gerade auch zum wichtigen, wenngleich umstrittenen, Abruf zur Verfolgung von Ordnungswidrigkeiten (Rn. 36 f.) – ausführlich und gelungen. Dabei weisen Schürmann/Selz richtigerweise daraufhin, dass – wenngleich das BVerfG für derartige Eingriffe Raum gelassen hatte – der Gesetzgeber eine Beauskunftung dynamischer IP-Adressen zur Verfolgung von Ordnungswidrigkeiten nicht in § 22 TTDSG aufgenommen hat, sodass eine solche nicht zulässig ist (dazu Rn. 62).

Die üblichen Verzeichnisse (Autorinnen- und Autorenverzeichnis, Inhaltsübersicht und -verzeichnis, Abkürzungs- und Literaturverzeichnis) sind selbstverständlich auch vorhanden. Bei einem Umfang von 3.000 Seiten wäre ein Lesebändchen allerdings zweckdienlich gewesen, gerade auch, da das Datenschutzrecht oftmals eine Auseinandersetzung mit verschiedenen in Bezug zueinander stehenden Normen erfordert.

Nach einigen Wochen Praxiseinsatz fällt mein Urteil positiv aus. Der „Auernhammer“ überzeugt im praktischen Einsatz durch seinen wohlstrukturierten Aufbau und seine Übersichtlichkeit, sodass man auch im oft schnelllebigen Alltag zügig zur gesuchten Stelle gelangt. Sofern hier im Blog die Aufnahme in den „Handapparat eines jeden Datenschutzpraktikers“ (vgl. Rezension zur 6. Auflage hier im Blog) empfohlen wurde, kann ich dem ohne Zögern zustimmen. Dabei ist das Werk rechtlich fundiert, gleichzeitig aber an Rechtsanwenderinnen und ‑anwender gerichtet. Anzumerken ist allerdings auch, dass der Umfang der Kommentierungen schwankend ist, oft an der Norm und den Erwägungsgründen orientiert, sodass ich mir insgesamt mehr Auseinandersetzung mit einschlägigen EuGH-Entscheidungen wünschen würde. Auch die Meinungsfreudigkeit des Kommentars ist ausbaufähig; so wird immer wieder auf Probleme hingewiesen („Ungeklärt ist noch,…“), werden Streitstände dargestellt oder wird auf Vorabentscheidungsersuchen hingewiesen, ohne sich zu diesen Fragen zu positionieren (vgl. etwa Art. 15 Rn. 37 ff. zu Art. 15 Abs. 4 DS-GVO). Dabei verspricht der Buchumschlag, den „Fokus auf sach- und praxisgerechte Lösungen“ zu legen. Dies erfordert oftmals ein „Gegenprüfen“ in anderen Werken, was nicht besonders effizient ist. Insofern wünsche ich mir mehr eigene Analyse, mehr Meinung und damit mehr Handlungsempfehlung für die Lesenden. Insgesamt gefällt mir das Werk aber gut, sodass der „Auernhammer“ weiterhin seinen Platz als Standardwerk der datenschutzrechtlichen Kommentarliteratur sicher haben dürfte.

Rezension: Der datenschutzrechtliche Auskunftsanspruch

Peisker, Der datenschutzrechtliche Auskunftsanspruch – Grundlagen, Reichweite und praktische Probleme des Art. 15 DSGVO im Beschäftigungskontext, 1. Auflage, Nomos 2023

Von Ass. iur. Fabian Bünnemann, LL.M., LL.M., Essen

Die Datenschutz-Grundverordnung (DS-GVO) ist insgesamt, aber besonders auch im Beschäftigungskontext aus der betrieblichen Realität nicht mehr hinwegzudenken. Nach einigen Startschwierigkeiten haben die meisten Unternehmen und auch Behörden ihre Prozesse mittlerweile umgestellt und stützen die Verarbeitung personenbezogener Daten auch im Beschäftigungskontext auf zulässige Rechtsgrundlagen. Daneben existieren allerdings noch ein paar besondere Schauplätze. Einer davon ist das Recht der betroffenen Person, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob er betreffende personenbezogene Daten verarbeitet, und – sofern gegeben – auch auf Auskunft über diese Daten zu erhalten, einschließlich bestimmter Zusatzinformationen (Art. 15 Abs. 1 DS-GVO). Der Auskunftsanspruch soll entsprechend den Erwägungsgründen bezwecken, dass sich die betroffene Person nur mit Hilfe der so erlangten Informationen der Verarbeitung bewusst sein und deren Rechtmäßigkeit überprüfen kann (EG 63 S. 1 zur DS-GVO). Der Anspruch bringt mannigfaltige Problemlagen, insbesondere betreffend Umfang, Einschränkungen und Normkollisionen, mit sich. Zwar hat der EuGH in den vergangenen Jahren bereits einige grundsätzliche Fragen hierzu beantwortet. Jedoch habe ich mich sehr auf die von Yannick Peisker verfasste und unter dem Titel „Der datenschutzrechtliche Auskunftsanspruch“ erschienene Arbeit gefreut, da mir eine derart grundlegende Auseinandersetzung mit dem Auskunftsanspruch bislang fehlte und damit eine Lücke geschlossen werden kann. Die von Professor Dr. Gregor Thüsing betreute und von Professor Dr. Gerrit Forst als Zweitgutachter begutachtete Arbeit wurde im Jahr 2023 an der Universität Bonn als Dissertation angenommen und ist nunmehr im Nomos Verlag erschienen.

Die Zielsetzung der Arbeit ist ebenso klar wie bereits durch den Titel vorgegeben: Es ist eine Auseinandersetzung mit Grundlagen, Umfang und Begrenzung des Auskunftsanspruchs, dabei stets die Besonderheiten des Beschäftigungskontexts im Blick habend. Peisker untersucht zunächst die „Implikationen des Beschäftigungsverhältnisses“ im Hinblick auf die Transparenz der Datenverarbeitung (Teil A). Im Wissen um die „doppelte Asymmetrie (Informations- und Verhandlungsasymmetrie)“ erstaunt es tatsächlich, dass – jedenfalls bislang – „betroffene Beschäftigte die Auskunft als Instrument oftmals erst im Zuge der Auseinandersetzung über die Abwicklung des Arbeitsverhältnisses geltend machen“ (S. 42), die allerdings nur auf den ersten Blick. Denn beschäftigt man sich mit möglichen (faktisch ggf. negativen) Konsequenzen der Geltendmachung eines Auskunftsanspruchs im laufenden Arbeitsverhältnis (dazu auch Peisker, S. 44), lässt das anfängliche Erstaunen merklich nach.

Gewiss können in diesem Rahmen nur einige Komplexe der Arbeit pars pro toto beleuchtet werden. Die konfliktträchtige Frage der Charakterisierung des Anspruchs auf Kopie (Art 15 Abs. 3 DS-GVO) wird von Peisker mit der h.M. dahingehend beantwortet, dass Art. 15 Abs. 3 DS-GVO eine Rechtsfolgennorm sei (S. 125). In diesem Sinne hat auch der EuGH – allerdings erst nach Drucklegung des vorliegenden Werks – entschieden, dass Art. 15 DS-GVO „nicht so ausgelegt werden [kann], dass er in seinem Abs. 3 Satz 1 ein anderes Recht als das in seinem Abs. 1 vorgesehene gewährt“ (EuGH, Urt. v. 04.05.2023, C-487/21 – F.F.). Damit dürfte die Frage des Verhältnisses zwischen Art. 15 Abs. 1 und Abs. 3 DS-GVO vorerst geklärt sein.

Ausführlich wird von Peisker auch die Frage nach dem Verhältnis des Auskunftsanspruchs nach Art. 15 DS-GVO zum nach nationalem Recht bestehenden Personalakteneinsichtsrecht diskutiert (S. 141 ff.). Dabei steht besonders § 83 Abs. 1 S. 1 BetrVG im Fokus, der ein Einsichtsrecht während des laufenden Arbeitsverhältnisses normiert. Ausgehend von der Reichweite des § 83 Abs. 1 S. 1 BetrVG (S. 142 ff.) untersucht der Autor die Unterschiede zu Art. 15 DS-GVO (S. 144 ff.) und setzt sich sodann mit der in der Literatur vertretenen Ansicht auseinander, wonach § 83 BetrVG vorrangig sein soll (S. 146 f.). Ungeachtet der fehlenden tatbestandlichen Kongruenz (S. 147) sei eine solche wegen des Vorrangs des Unionsrechts auch nicht von Relevanz (S. 148). Überdies stelle § 83 Abs. 1 S. 1 BetrVG keine spezifische Regelung im Beschäftigungskontext i.S.v. Art. 88 DS-GVO dar, da die Regelung jedenfalls nicht hinreichend transparent sei (S. 155 ff.). Im Ergebnis lehnt Peisker den Vorrang von § 83 Abs. 1 S. 1 BetrVG daher richtigerweise ab (S. 159).

Fragen des Umfangs der zu erteilenden Auskunft bilden immer wieder den Stoff auch gerichtlicher Auseinandersetzungen. Nach einer Auseinandersetzung mit dem Begriff der zu beauskunftenden personenbezogenen Daten an sich (S. 166 ff.) widmet sich Peisker wichtigen diesbezüglichen Fragen im Beschäftigungskontext: Welche Daten aus Personalakte und Personalinformationssystemen sind umfasst? (S. 170 f.) Welche Kommunikation und welche Äußerungen sind zu beauskunften? (171 ff.) Wie steht es um Kontrollen, Ortungen, Aufzeichnungen? (S. 174 f.) Soweit teilweise ein eigenes Verständnis der Verarbeitung personenbezogener Daten für den Bereich des Beschäftigungsverhältnisses gefordert wird, hält der Autor dies vorliegend für „nicht angezeigt“, da derartige Beschränkungen nicht dem weiten Begriffsverständnis der DS-GVO entsprächen (S. 201).

Gelungen ist schließlich die sehr systematisch aufgebaute Behandlung der „Verweigerungsmöglichkeiten des Verantwortlichen“ (D.), die auch in der Praxis weiterzuhelfen vermag. Von der mangelnden Indentifizierbarkeit (S. 404 ff.) über kollidierende Interessen nach Art. 15 Abs. 4 DS-GVO (S. 408 ff.) und die Verweigerung wegen offenkundig unbegründeter und exzessiver Anträge (S. 491 ff.) bis hin zum Rechtsmissbrauch (S. 524 ff.) dekliniert Peisker die Verweigerungsmöglichkeiten detailliert durch und bietet Ansatzpunkte für eine (teilw.) Verweigerung, nicht aber ohne die Grenzen klar zu benennen. Oftmals wird etwa vom Verantwortlichen geltend gemacht, der Auskunftsanspruch sei rechtsmissbräuchlich, da er datenschutzfremden Zwecken, etwa der Vorbereitung von Vergleichsverhandlungen im Rahmen der Abwicklung eines Arbeitsverhältnisses, diene. Nach Auffassung des EuGH ist eine Begründung für die Wahrnehmung des Rechts auf Auskunft durch die antragstellende Person indes nicht erforderlich und kann damit auch durch die Verantwortliche nicht von der betroffenen Person verlangt werden (EuGH, Urt. v. 26.10.2023 - C-307/22 (FT/DW), NJW 2023, 3481 Rn. 38). Insofern schadet es aber auch nicht, wenn der Auskunftsanspruch mit anderen als den in Satz 1 des 63. Erwägungsgrundes der DS-GVO genannten Zwecken begründet wird (EuGH, Urt. v. 26.10.2023 - C-307/22 (FT/DW), NJW 2023, 3481 Rn. 52). Insbesondere liegt auch kein eine Begrenzung nach Art. 12 Abs. 5 S. 2 DS-GVO rechtfertigender Rechtsmissbrauch vor, wenn ein Betroffener das Auskunftsrecht (ggf. auch) für datenschutzfremde Motive verwendet, etwa um Informationen für Vergleichsverhandlungen oder um bei ihm nicht mehr vorhandene Vertragsinformationen zu erhalten, da sich eine solche Beschränkung auf eine bestimmte Motivlage nicht in Art. 15 DS-GVO findet (OLG Nürnberg Endurteil v. 29.11.2023 – 4 U 347/21, BeckRS 2023, 36073 Rn. 22). Auch Peisker widmet sich dieser Problemlage und kommt gleichwohl die vorgehend genannte Entscheidung erst nach Drucklegung des vorliegenden Werks erging – mit beachtlichen Argumenten zu einem wohl gleichgelagerten Ergebnis: Die Auswertung der EuGH-Rechtsprechung zu den Voraussetzungen des Rechtsmissbrauchs, beginnend mit der bekannten van Binsbergen-Entscheidung (C-33/74), führt ihn zum treffenden Ergebnis, dass Art. 12 Abs. 5 S. 2 DS-GVO kein Verbot rechtsmissbräuchlichen Verhaltens, sondern lediglich ein „Schikaneverbot“ beinhalte (S. 520), was in der Praxis nur äußerst selten zur Anwendung kommen dürfte (vgl. auch die Beispiele von Peisker, S. 521 f.)

Insgesamt hat mir die Lektüre von Peiskers Werk große Freude bereitet; gern lese ich auch hin und wieder quer und finde stets brauchbare Ansätze zur Beantwortung sämtlicher Fragen rund um das Auskunftsrecht nach Art. 15 DS-GVO. Dabei darf zwar nicht vergessen werden, dass es sich um eine noch relativ neue Norm mit auch deutlichem Konfliktpotenzial handelt, die daher Gegenstand andauernder Rechtsentwicklung ist. Dies zeigen auch die fast schon regelmäßig veröffentlichten EuGH-Entscheidungen zu Umfang, Grenzen und Ausformung des Auskunftsanspruchs. Peiskers Arbeit leistet hier aber Grundlegendes, zeigt wichtige Entwicklungslinien auf und bietet vor allem auch viel Argumentation für praktische Konflikte. Insofern handelt es sich um ein wissenschaftliches und äußerst fundiertes Werk, das aber gleichwohl in der Praxis auf geneigte Leserinnen und Leser treffen dürfte. Besonders überzeugt auch der Fokus auf den Beschäftigungskontext, der doch spezifische Fragestellungen aufwirft, die hier – ausgehend vom Allgemeinen – ausführlich behandelt werden. Unter Berücksichtigung der verschiedenen Interessenlagen, die Peisker in wohltuender Klarheit regelmäßig offenlegt, bringt das Werk so Licht ins Dickicht der Literatur und Rechtsprechung zum datenschutzrechtlichen Auskunftsanspruch. Gut gefällt mir, dass der Autor zum Ende einer eingehend behandelten Fragestellung hin vielfach mit „Einem kurzen Überblick zu (…)“ schließt, sodass auch Praktikerinnen und Praktiker sich schnell zurechtfinden und die von Peisker gewonnenen Ergebnisse für die Praxis nutzbar machen können. Das vorliegende Werk ist damit nicht nur datenschutzrechtlich Interessierten zu empfehlen, sondern ist gleichwohl auch Arbeitsrechtlerinnen und Arbeitsrechtlern „ans Herz zu legen“, die hier eine umfassende Einführung ins Recht des Auskunftsanspruchs nach Art. 15 DS-GVO erhalten, samt der vielfach auftretenden Problemlagen. Zwar handelt es sich um die Veröffentlichung einer Dissertation; gleichwohl würde ich mir abschließend wünschen, dass doch in wenigen Jahren eine aktualisierte Folgeauflage erscheinen möge, was aufgrund der andauernden Rechtsentwicklung für die Praxis überaus hilfreich wäre.