Rezension: Datenschutz im Internet

Schwartmann / Benedikt / Reif (Hrsg.), Datenschutz im Internet – Rechtshandbuch, C.H. Beck 2025

Von Ass. iur. Fabian Bünnemann, LL.M., LL.M., Essen

Dass Fragen des Datenschutzes spätestens seit Inkrafttreten der Datenschutz-Grundverordnung (DS-GVO) in allen Bereichen des gesellschaftlichen Lebens und damit auch des Rechts zu beachten und vom Rechtsanwender „mitzudenken“ sind, dürfte sich zwischenzeitlich als allgemeine Ansicht durchgesetzt haben. Unternehmen, Behörden, Gerichte und Anwaltschaft haben sich daher mit einer großen Vielzahl an Rechtsbereichen auseinanderzusetzen, in die der Datenschutz „einstrahlt“. Kommentare zu datenschutzrechtlichen Vorschriften gibt es mittlerweile einige, Handbücher bearbeiten zumeist thematische Schwerpunkte, so etwa zum Beschäftigtendatenschutz, dem Datenschutz in der Wohnungswirtschaft oder dem Sozialdatenschutz. Einen anderen Ansatz wählt seit jeher das nunmehr von Rolf Schwartmann, umtriebiger Professor an der TH Köln, der Verwaltungsrichterin Kristin Benedikt und der Rechtsanwältin Yvette Reif herausgegebene Rechtshandbuch „Datenschutz im Internet“, das keinen thematischen Zugriff wählt, sondern vielmehr auf den Ort der Datenverarbeitung – nämlich das Internet – abstellt und sich zum Ziel gesetzt hat, sämtliche dort relevanten Verarbeitungen systematisch abzuhandeln und dem Leser so eine Hilfestellung über die gesamte Breite zu bieten. Hierfür ist es den Herausgebern gelungen, einen Autorenkreis mit großer datenschutzrechtlicher Expertise zu versammeln; dabei sind etwa Stefan Brink, Marit Hansen, Tobias Keber, Martin Kessen, Boris B. Paal, Carlo Piltz, Gregor Thüsing, Tim Wybitul, mithin ehemalige und aktuelle Landesdatenschutzbeauftragte, aber auch Vertreter aus Wissenschaft, Anwaltschaft und Justiz, insgesamt ein perfekter Mix für ein praxisorientiertes Handbuch wie das vorliegende.

Dabei folgt das Werk einem sehr systematischen Aufbau in vier Teilen, die wiederum in einzelne Kapitel untergliedert sind. Den Anfang macht ein allgemeiner Teil, der mit „Einführung und rechtliche Grundlagen“ (Teil A.) überschrieben ist. Benedikt gibt dort einen Überblick über die Vorschriften zu ePrivacy, Reif/Burkhardt bzw. teilweise allein Reif eröffnen den Blick auf die allgemeinen datenschutzrechtlichen Vorschriften; weitere Ausführungen betreffen die sonstigen maßgeblichen Bezüge, stets unter Beachtung europarechtlicher und nationalrechtlicher Rechtsakte. Sodann folgt „Teil B.“, der sich mit dem Datenschutz betreffend „Websites und Apps“ auseinandersetzt. Von einer allgemeinen Funktionsbeschreibung der technischen Einrichtungen (S. 69 ff.), über die Verarbeitungen (S. 97 ff.), die betroffenen Datenkategorien (S. 115 ff.), die Rollen der verschiedenen Beteiligten (S 127 ff.) bis hin zu den Erlaubnistatbeständen (S. 163 ff.) werden hier zunächst Grundlagenthemen abgehandelt, auf die das Werk im Folgenden aufbaut, die zum grundsätzlichen Verständnis aber auch wiederholt lesenswert sind. Wichtig für die datenschutzrechtliche Praxis erscheinen mir vor allem die Kapitel über die „Einbindung von Fotografien“ (S. 301 ff.) sowie den Drittlandstransfer (S. 315 ff.). Das Kapitel zu „Veröffentlichungen von Aufsichtsbehörden“ (S. 277) enthält eine interessante Fundkiste und ist zum Stöbern gewiss interessant. Systematisch erscheint es aber als Fremdkörper hier; es bleibt unklar, warum die hier abgehandelten Inhalte nicht in den einzelnen Kapiteln Aufnahme gefunden haben, sondern hier eigens herausgestellt werden.

Im dritten Teil des Werks geht es dann hinein in die einzelnen Rechtsbereiche („Teil C. Spezifische Anwendungsbereiche“). Wichtige Bausteine sind hier die Abhandlungen zu Einsatz und Anwendung von „Messengern“ (S. 457 ff.) sowie zu „Social Media im Unternehmen“ (S. 477 ff.).

Im finalen Teil „D.“ werden dann noch die „Risiken bei Datenschutzverstößen“ beschrieben und ausbuchstabiert. Unterlassungsansprüche spielen hier eine gewichtige Rolle. Prima gefallen hat mir insbesondere die dogmatische Systematisierung nach Anspruchsgrundlagen, die Herbrich vornimmt und die für die Praxis wirklich hilfreich erscheint (S. 794 ff.). Weitere Kapitel betreffen Schadensersatzansprüche, Bußgeld- und aufsichtliche Verfahren. Zu letzteren hat Benedikt einen gelungenen, wenngleich naturgemäß nur überblicksartigen Beitrag verfasst. Treffend herausgearbeitet wird der Gang des (Verwaltungs-)Verfahrens, eher an der Oberfläche bleibt jedoch die Auseinandersetzung mit der für die Aufsichtsbehörden überragend wichtigen Fragestellung, ob der Aufsichtsbehörde bei Vorliegen eines Datenschutzverstoßes ein Ermessensspielraum hinsichtlich des „Obs“ eines möglichen Einschreitens zusteht (Entschließungsermessen). Während die DS-GVO ein solches Ermessen nicht vorsieht, hat der EuGH ein solches – unter bestimmten Voraussetzungen – durchaus für zulässig erachtet (vgl. EuGH, Urt. v. 26.09.2024 – C-768/21, NJW 2024, 3427).

Das wohl als „Schwarmann/Benedikt/Reif“ abgekürzte Werk verfügt selbstverständlich auch über ein Inhalts-, ein Bearbeitungs- und ein Literaturverzeichnis. Das Stichwortverzeichnis ist mit 11 Seiten im Verhältnis zum übrigen Inhalt verhältnismäßig knapp geraten; gleichwohl habe ich gesuchte Stichworte bislang recht zügig gefunden. Gefreut habe ich mich auch über die Haptik des Werks, dem der Verlag eine sehr angenehme Papierstärke spendiert hat. Nur ein Lesebändchen würde den Lesekomfort in der Anwendung noch erhöhen, springt man in der täglichen Anwendung gerade in Werken wie diesem doch das ein oder andere Mal von einer an die nächste Stelle und wieder zurück.

Mein Fazit nach mehrwöchiger Nutzung fällt ausgesprochen positiv aus: Der Zuschnitt des Werks hat mir gut gefallen, das Match aus Titel und Inhalt ist gut gelungen, sodass der Leser den Inhalt erhält, den er erwartet. Wermutstropfen ist natürlich die im Vergleich zu anderen Rechtsgebieten wohl überaus schnelle Fortentwicklung der Rechtsprechung im Datenschutzrecht – gewissermaßen eine Rechtsprechungsakzeleration –, wodurch Printwerke ihre bisherigen Stärken im Vergleich zu Online-Werken etwas einbüßen. Im Grundlegenden hat dies jedoch Auswirkungen, im Spezifischen kann es dann schon eher zu Abweichungen kommen. Dies ist aber im Allgemein hinzunehmen.

Hat der Markt und hat der Leser auf dieses Buch gewartet? Angesichts der Vielzahl neuer Fachtitel, die jedes Jahr neu oder in neuer Auflage den Buchmarkt erreichen, wird man dies nur für die wenigsten Titel noch behaupten können. Und doch ist das Rechtshandbuch von Schwartmann/Benedikt/Reif ein prima Werk gerade für Fragen rund um den Datenschutz im Digitalen. So dürfte das Werk etwa Rechtsanwälten (ohne Schwerpunkt im Datenschutzrecht) zu empfehlen sein, da es viele Themen aufgreift und so einen angemessenen Umgang damit gewährleistet. Auch Beschäftigte in Unternehmen und Aufsichtsbehörden können sicherlich einen Mehrwert aus dem Werk ziehen, insbesondere dann, wenn Fragen, die über die Masse des Tagesgeschäfts hinausgehen, virulent werden – insbesondere betreffend die Verarbeitung von personenbezogenen Daten auf Websites, in Apps und vor allem auch in der Schnittstelle zwischen ePrivacy und DS-GVO. Gerade in diesen Bereichen hilft das vorliegende Handbuch weiter. Für 159 Euro bekommt man hier 873 Seiten Qualität. Kurzum: Ich freue mich über das Erscheinen und werde das Werk auch weiter zu Rate ziehen.

Rezension: Die Verarbeitung personenbezogener Daten im Bewerbungsverfahren

Leibold, Die Verarbeitung personenbezogener Daten im Bewerbungsverfahren, Datenschutzrechtliche Erlaubnisnormen unter Datenschutz-Grundverordnung und Bundesdatenschutzgesetz 2018, 1. Auflage, Fachmedien Recht und Wirtschaft 2024

Von Ass. iur. Fabian Bünnemann, LL.M., LL.M., Essen

Der Datenschutz im Beschäftigungskontext ist ein stetes Spannungsfeld zwischen Beschäftigten und Arbeitgebern. Während Arbeitgeber regelmäßig daran interessiert sind, die Daten der Beschäftigten zu betrieblichen Zwecken zu nutzen, besteht das Interesse der Beschäftigten in einer möglichst weitgehenden Wahrung des Schutzes ihrer personenbezogenen Daten. Dabei ist der Bereich des „Beschäftigtendatenschutzes“ facettenreich und betrifft nicht nur alle Phasen des Beschäftigungsverhältnisses und eine Vielzahl verschiedener Daten, sondern auch mannigfaltige Verarbeitungssituationen.

Es verwundert daher nicht, dass die Praxis in diesem durch die Datenschutz-Grundverordnung (DS-GVO) neu aufgemischten Rechtsgebiet versucht, Anhaltspunkte und Leitlinien für rechtskonformes Verhalten zu finden, die sie allerdings in Gerichtsentscheidungen bislang nur teilweise findet, sodass Literatur hier Halt und Linien bieten kann. Gleichwohl ist zu konstatieren, dass einzelne Aspekte des Beschäftigtendatenschutzes in den vergangenen Jahren vereinzelt vertiefend behandelt wurden. Zu nennen sind insofern vor allem die Arbeiten von Borchert zur Durchsetzung des Beschäftigtendatenschutzrechts (Nomos, 2024), von Schleper zum Beschäftigtendatenschutz und Homeoffice (Springer, 2024), von Ampatziadis zur Ortung von Beschäftigten (Duncker & Humblot, 2023), von Baade zur Zulässigkeit technischer Überwachungsmaßnahmen (Peter Lang, 2023), von Meinecke zu Datenschutz und Data Science (Nomos, 2022) , von Blum zu People Analytics (Nomos, 2021) sowie von Köllmann zur Implementierung elektronischer Überwachungseinrichtungen durch Betriebsvereinbarungen (Nomos, 2021). Darüber hinaus haben sich Peisker (vgl. Rezension hier im Blog) sowie Pulat (vgl. Rezension hier im Blog) eingehend mit dem datenschutzrechtlichen Auskunftsanspruch im Beschäftigungskontext auseinandergesetzt.

Dies vorausgeschickt habe ich mich sehr auf die Monographie von Leibold gefreut, der wohl vielen datenschutzrechtlich Interessierten sowohl durch seine für die Zeitschrift „ZD“ erstellten Rechtsprechungsübersichten zu bestimmten Teilaspekten des Datenschutzrechts als auch durch seine stets lesenswerten Veröffentlichungen bereits bekannt sein dürfte. In seiner nun vorliegenden und im Verlag „Fachmedien Recht und Wirtschaft“ in der Reihe „Datenschutz-Berater“ erschienenen Arbeit fokussiert sich Leibold nun auf die „Verarbeitung personenbezogener Daten im Bewerbungsverfahren“, einen lohnenswerten Untersuchungsgegenstand, der wiederkehrend für Streit zwischen Bewerbern und Arbeitgebern sorgt und der nicht selten auch Inhalt von Beschwerdeverfahren bei den Aufsichtsbehörden ist (vgl. exemplarisch die Beiträge von LfDI Saarland, 30. TB 2021, S. 87; LfDI RLP, TB 2018, S. 47; HmbBfDI, TB 2021, S. 45; BayLDA, 13. TB 2023, S. 43). Der Vollständigkeit halber sei zum einen noch erwähnt, dass die Arbeit von Professor Dr. Stephan Weth betreut und von Professor Dr. Michael Anton als Zweitgutachter begutachtet wurde, zum anderen, dass Literatur und Rechtsprechung teilweise noch bis Ende Mai 2024 berücksichtigt werden konnten.

Leibold verfolgt in seiner Arbeit einen klaren Aufbau. Nach einer kurzen Einleitung, die vor allem die Entwicklung des Beschäftigtendatenschutzes knapp skizziert (§ 1), sowie einem ersten Teil der Darstellung und Begriffsklärung des Bewerbungsverfahrens (§§ 3-5) widmet sich der Verfasser im zweiten Teil zunächst vertieft den rechtlichen Rahmenbedingungen in allgemeiner Hinsicht (§§ 6, 7). Besonderer Bedeutung kommt hier dem dogmatischen Ineinandergreifen der Regelungen aus DS-GVO und Bundesdatenschutzgesetz (BDSG) zu (§ 6), vor allem naturgemäß der umstrittenen Frage, inwieweit § 26 BDSG den Anforderungen der Öffnungsklausel (Leibold: „Spezifizierungsklausel“) des Art. 88 Abs. 1 DS-GVO gerecht wird. Dabei setzt sich Leibold auch mit der EuGH-Entscheidung zu § 23 HDSIG (EuGH v. 30.3.2023 – C-34/21, NZA 2023, 487) auseinander (S. 95 ff.).

Der dritte Teil dient sodann der Auseinandersetzung mit den Grundsätzen der Datenverarbeitung (§§ 8-15), die bei aller Fokussierung auf die Erlaubnisnormen für die Datenverarbeitung oftmals etwas zu kurz kommen und für deren Einhaltung der Verantwortliche rechenschaftspflichtig ist (Art. 5 Abs. 2 DS-GVO). Leibold verliert dabei das Ziel seiner Arbeit nie aus dem Auge und stellt stets konkrete Bezüge – auch unter Nennung von Beispielen – zu seinem Untersuchungsgegenstand her. So gilt richtigerweise auch bei der Datenverarbeitung im Bewerbungsverfahren der Grundsatz der Datenminimierung (Art. 5 Abs. 1 lit. c DS-GVO). Ob daraus folgt, dass der Arbeitgeber dem Betriebsrat im Rahmen der Vorlage von Bewerbungsunterlagen (§ 99 Abs. 1 S. 1, 1. Hs. BetrVG) nur pseudonymisierte Dokumente zur Verfügung stellen darf – der Verfasser denkt hier, im Ergebnis allerdings offenlassend, an eine Ersetzung des Klarnamens durch eine Bewerbernummer (S. 139, differenzierter dann aber S. 219 ff.) – erscheint letztlich aber fraglich, da die gesetzliche Unterrichtungspflicht nach der Judikatur des BAG nicht auf die Daten des einzustellenden Bewerbers beschränkt ist (s. dazu BAG, Beschl. v. 14.12.2004 – 1 ABR 55/03, BeckRS 2005, 41750; vgl. auch Richardi/Thüsing, BetrVG, 17. Aufl. 2022, § 99 Rn. 154). Der Hinweis Leibolds auf ein durch den Arbeitgeber regelmäßig vorzuhaltendes Berechtigungskonzept (S. 139) ist hingegen treffend.

Im Vierten Teil widmet sich der Verfasser dann den Erlaubnisnormen für die Verarbeitung im Bewerbungskontext in der gebotenen Ausführlichkeit (§§ 16-24). Dabei geht er – wie nach der o.g. EuGH-Entscheidung wohl unumgänglich geworden – davon aus, dass Art. 6 Abs. 1 Uabs. 1 lit. b Var. 2 DS-GVO die für die Verarbeitung von Bewerberdaten weithin maßgebliche Erlaubnisnorm ist. Voraussetzung ist zunächst eine aktive Bewerbung des Bewerbers, sodass etwa jede auf eine Stellenausschreibung oder Jobanzeige hin übersandte Bewerbung genügt (S. 210). Die Verarbeitung muss sodann erforderlich sein. Wann das der Fall ist, vermag pauschalen Bewertungen nicht immer zugänglich zu sein, sodass auch Leibold zum Ergebnis gelangt, dass „die Frage nach dem Vorliegen der Erforderlichkeit nicht frei von etwaigen Interessenabwägungen“ bleibe (S. 217). Besonders herausgegriffen werden noch zwei „ausgewählte Verarbeitungssituationen“, konkret der Einsatz von Pre-Employment-Screenings (S. 345 ff.) sowie von Sprachanalysetools (S. 362), die eingehend beleuchtet werden.

Der Umfang von „Bewerberdaten“, wie die personenbezogenen Daten im Kontext einer Bewerbung für ein Beschäftigungsverhältnis oft genannt werden, ist nicht geringzuschätzen. So fällt regelmäßig nicht nur eine Vielzahl personenbezogener Daten an, sondern überdies auch solche Daten, die als besondere Kategorien personenbezogener Daten i.S.v. Art. 9 Abs. 1 DS-GVO oder als Daten über strafrechtliche Verurteilungen und Straftaten i.S.v. Art. 10 DS-GVO besonders sensibel sind. Diesen besonderen Tatbeständen widmet sich Leibold im fünften Teil (§§ 25-27), bevor er in einem sechsten Teil die Ergebnisse seiner Untersuchung gebündelt zusammenführt (S. 481 ff.). Inhaltsübersicht, Inhalts- und Literaturverzeichnis runden das insgesamt vollends gelungene Werk ab.

Bei all den dogmatischen Problemlagen des Datenschutzrechts sieht Leibold stets die verschiedenen, zumeist gegensätzlichen Interessenlagen im Beschäftigtendatenschutz, wie er unmittelbar zu Beginn des Werks verdeutlicht, wenn er dem Datenschutzrecht eine ausgleichende Funktion zuweist (S. 1). Folgerichtig leitet er aus dem Ungleichgewicht der Akteure auch das überragende Ziel des „Bewerberdatenschutzes“ ab, nämlich „rechtlich abzusichern, dass nur die für das Arbeitsverhältnis erforderlichen Daten verarbeitet werden“ (S. 175). Dies und den bisherigen Forschungsstand – sowie die Veröffentlichungen der Aufsichtsbehörden – berücksichtigend, ordnet er die Argumente dogmatisch ein und beantwortet eine Vielzahl an praktischen Fragen: Ist der Arbeitgeber als Verantwortlicher verpflichtet, bei der E-Mail-Kommunikation mit dem Bewerber eine Verschlüsselung zu verwenden? (S. 12 ff.) Sind Datensicherheitsmaßnahmen disponibel? (S. 17 ff.) Mit diesem Werk lassen sich vertretbare Lösungen dazu finden. Der von ihm ausgemachten „ausgleichenden“ Funktion des Beschäftigtendatenschutzes folgend wählt Leibold vielfach vermittelnde Lösungen, um den Interessen aller Beteiligten hinreichend Rechnung zu tragen (so etwa S. 39 zum Personenbezug oder S. 157 zur Speicherdauer von Bewerbungsunterlagen), was hervorragende Ansätze für die betriebliche Praxis bietet.

Im Bereich der Verarbeitung von Bewerberdaten leistet Leibold mit seinem Werk wahre Pionierarbeit. Er bearbeitet eine Vielzahl von Problemen und führt diese praxistauglichen Ergebnissen zu – und all das in der von seinen bisherigen Veröffentlichungen gewohnt guten Qualität. Wer sich eingehend mit der Gestaltung von Bewerbungsprozessen beschäftigt, sei es aus Sicht von HR, als (externer) Datenschutzbeauftragter, externer Rechtsberater oder als Betriebs- oder Personalrat, dem sei dieses Werk wirklich ans Herz gelegt. Aber auch, wer aus Sicht von Verwaltung, Justiz, Anwaltschaft oder gar Wissenschaft mit Fragen der Verarbeitung von Bewerberdaten befasst ist, sei auf dieses Werk hingewiesen: Denn nicht nur praktisch, auch rechtlich hält Leibold einiges für den Leser bereit. Der umfangreiche Fußnotenapparat ist Ausweis seiner akribischen Literatur- und Rechtsprechungsanalyse, die er dogmatisch sauber aufbereitet, daraus die verschiedenen Standpunkte herausarbeitet und sodann zu guten rechtlich und praktisch umsetzbaren Lösungen gelangt.

Für einen kleinen dreistelligen Betrag wird hier wirklich ein umfangreiches Nachschlagewerk zur Verarbeitung von Bewerberdaten geboten, wovon auch die fast 500 Seiten Inhalt zeugen. Kurzum: Mit seiner Arbeit hat Leibold ein absolutes Grundlagenwerk im Beschäftigtendatenschutz geschaffen.

Rezension: EU-DSGVO und BDSG

Däubler / Wedde / Weichert / Sommer, EU-DSGVO und BDSG, Kompaktkommentar, 3. Auflage, Bund-Verlag 2024

Von Ass. iur. Fabian Bünnemann, LL.M., LL.M., Essen

Das Datenschutzrecht, obgleich kein ganz neues Rechtsgebiet mehr, hat durch das Inkrafttreten der DS-GVO im Mai 2018 doch eine enorme Aufwertung und damit auch stark zunehmende Beachtung gefunden. Besonders gilt dies für den Bereich des Beschäftigtendatenschutzes. Dabei sind mehrere Spezifika hervorhebenswert: Zunächst ist aufgrund des bestehenden Interessengegensatzes zwischen Arbeitgebern und Arbeitnehmern ein besonderes Austarieren der gegenläufigen Interessen erforderlich, das überdies zumeist zunächst innerhalb der Betriebe stattfindet. Damit einhergeht, dass Betriebs- und Personalräte vielfach an der internen Umsetzung von Prozessen beteiligt sind, sodass auch für diese Gremien(mitglieder) ein taugliches Wissensfundament zu legen ist. Fragen des Beschäftigtendatenschutzes treten regelmäßig im Zusammenhang mit arbeitsrechtlichen Fragen auf, die rechtlichen Regelungen greifen oftmals ineinander. So überrascht es nicht, dass – auch aufgrund der Besonderheiten der nationalstaatlichen Rechtsordnungen – der europäische Gesetzgeber in Art. 88 DS-GVO eine Öffnungsklausel für die Datenverarbeitung im Beschäftigungskontext geschaffen hat. Grundsätzlich eine positive Idee, vom deutschen Gesetzgeber mit § 26 BDSG allerdings nicht in Gänze europarechtskonform ausgefüllt, sodass als Rechtsgrundlagen für die Datenverarbeitung im Beschäftigungskontext in Deutschland derzeit im Wesentlichen die in Art. 6 Abs. 1 DS-GVO genannten Erlaubnistatbestände in Betracht kommen (im Einzelnen hierzu sogleich). Wenngleich im Oktober 2024 ein Referentenentwurf für ein „Beschäftigtendatengesetz“ bekannt wurde (s. dazu etwa Wünschelbaum/Sorber, NZA 2024, 1540), so wird es zu einem solchen Gesetz in der aktuellen Legislaturperiode wohl kaum mehr kommen.

Dies vorausgeschickt besteht unverändert Bedarf an einem Kommentar wie dem vorliegenden: Mit Wolfgang Däubler, Peter Wedde, Thilo Weichert und Imke Sommer behandeln vier ausgewiesene Experten des Datenschutzrechts auf über 1.500 Seiten die Regelungen der DS-GVO und des BDSG sowie neuerdings auch des TTDSG (dessen Name zwischenzeitlich in „TDDDG“ geändert wurde), überdies ausgewählter Normen des TMG. Angefügt ist ein Überblick zum SÜG. Dabei erschöpft sich die Zielsetzung des in der Reihe „Kompaktkommentare“ im Bund-Verlag erscheinenden Werks nicht in der reinen Behandlung der Normen, sondern legt – wie es vom Bund-Verlag zu erwarten ist – einen Schwerpunkt auf sämtliche Konstellationen rund um die Datenverarbeitung im Beschäftigungskontext, was dem Werk gegenüber den anderen maßgeblichen Kommentaren im Rechtsgebiet eine Sonderstellung verschafft.

Das Werk beginnt folgerichtig mit der Behandlung der DS-GVO. Herausgegriffen sei der für die Ausübung der Betroffenenrechte maßgebliche Auskunftsanspruch nach Art. 15 DS-GVO. Bereits in der Einleitung zur Vorschrift stellt Däubler klar, dass auch Bewerber und ehemalige Arbeitnehmer den Anspruch geltend machen können (§ 15 Rn. 4). Betreffend den Inhalt der Auskunft liegt ein Schwerpunkt auf „Informationen zum Arbeitsverhältnis“ (Art. 15 Rn. 8g ff.). Sofern das BAG einen Klageantrag eines Arbeitnehmers auf Überlassung der Kopien seiner dienstlichen E-Mails als nicht hinreichend bestimmt i.S.v. § 253 Abs. 2 Nr. 2 ZPO bezeichnet hat (BAG NZA 2021, 1053), stuft Däubler den „Lästigkeitswert“ für den Arbeitgeber zwar als „hoch“ ein, Mängel der Bestimmtheit seien jedoch nicht erkennbar (Art. 15 Rn. 8h). Auch zu in der betrieblichen Praxis vielfach anzutreffenden Fragen, die in anderen Werken manches Mal vorausgesetzt und nicht besonders thematisiert werden, verhält sich das vorliegende Werk auffallend häufig konkret und präzise: So wird richtigerweise darauf hingewiesen, dass stets der Zeitpunkt der Antragstellung für den Inhalt der Auskunft maßgeblich ist; insbesondere wird sich ein Verantwortlicher nicht durch die Löschung von Daten nach Eingang des Auskunftsverlangens von seiner Pflicht zur Auskunftserteilung befreien können (Art. 15 Rn. 8s). In einer solchen Löschung wird jedenfalls ein Verstoß gegen den Grundsatz von Treu und Glauben und damit eine Verletzung des Auskunftsrechts liegen (Art. 15 DS-GVO i.V.m. Art. 5 Abs. 1 lit. a DS-GVO). Der in der Literatur vielfach erkannte und wohl selten sinnvoll aufgelöste Streit um das Verhältnis zwischen Art. 15 DS-GVO und § 83 BetrVG im Hinblick auf die Zurverfügungstellung einer Kopie der Personalakte wird allerdings zu meinem Bedauern auch von Däubler einer späteren Entscheidung des EuGH überlassen (Art. 15 Rn. 40).

Widmet man sich den Rechtsgrundlagen für die Verarbeitung personenbezogener Daten im Beschäftigungskontext, führt kein Weg an Art. 88 DS-GVO sowie § 26 BDSG vorbei. Beide Vorschriften werden teils von Däubler, teils von Wedde bearbeitet. Abseits der Ausführungen zur Öffnungsklausel allgemein (Art. 88 Rn. 5 ff.) sowie zum aus der Klausel folgenden Gestaltungsspielraum (Art. 88 Rn 13 ff.) haben mir hier die aufgezeigten „Handlungsmöglichkeiten von Betriebs- und Personalräten“ (Art. 88 Rn. 49 ff.) gut gefallen, in dessen Rahmen Däubler Bezüge zu den Beteiligungsrechten nach BetrVG bzw. BPersVG herstellt. In der Bearbeitung des § 26 BDSG setzt sich Däubler zunächst mit der EuGH-Entscheidung zu § 23 HDSIG (EuGH v. 30.3.2023 – C-34/21, NZA 2023, 487) und ihren Folgen auseinander (§ 26 Rn. 5a ff.). Dabei hält Däubler § 26 Abs. 1 S. 1, 1. Alt. BDSG richtigerweise für nunmehr unanwendbar; der Rückgriff auf Art. 6 Abs. 1 Uabs. 1 lit. b bzw. f DS-GVO führe aber dazu, dass dies im Ergebnis ohne Auswirkungen bleibe (§ 26 Rn. 5e). Auch § 26 Abs. 1 S. 1, 2. Alt. BDSG (Verarbeitung zur Erfüllung der Rechte und Pflichten von Interessenvertretungen der Beschäftigten) vermag Däubler nicht aufrechtzuerhalten und greift auf Art. 6 Abs. 1 lit. c DS-GVO zurück (Art. 88 Rn. 5f). Das BAG hat hingegen – wohl erst nach Abschluss der vorliegenden Bearbeitung – einen anderen Weg gewählt und hält § 26 Abs. 1 S. 1, 2. Alt. BDSG über Art. 6 Abs. 3 DS-GVO i.V.m. Art. 6 Abs. 1 Uabs. 1 lit. c DS-GVO weiter für anwendbar – allerdings, ohne dass dies zu einem anderen Ergebnis führen würde. Auch die Ausführungen zu den weiteren Rechtsgrundlagen sind zur Lektüre zu empfehlen und erhellen das Verständnis der derzeitigen Rechtslage (§ 26 Rn. 5h ff.). Dabei gefällt mir stets der Ansatz, aufgeworfene Problemlagen auch einer Lösung zuzuführen, etwa wenn Wedde aufgrund der o.g. EuGH-Entscheidung von einer Unanwendbarkeit des § 26 Abs. 1 S. 2 BDSG (Datenerhebung zur Aufdeckung von Straftaten) ausgeht (§ 26 Rn. 161e), stattdessen aber (außerhalb des öffentlichen Bereichs) Art. 6 Abs. 1 UAbs. 1 lit. f DS-GVO als Rechtsgrundlage in Betracht zieht (§ 26 Rn. 161i). Hier zeigt sich zudem exemplarisch die Meinungsstärke des Kommentars, dessen Bearbeitungen sich nicht im alleinigen Repetieren von (maßgeblich EuGH-) Rechtsprechungszitaten erschöpfen, was bei der Lektüre Freude bereitet. Insofern wird hier ein doch erheblich anderer Zugang zur Rechtsmaterie geboten als etwa beim „Auernhammer“ (vgl. Rezension hier im Blog).

Der „DWWS“ überzeugt mich sowohl was die allgemeinen Ausführungen angeht als auch speziell in seiner Ausrichtung auf den Beschäftigtendatenschutz. Die Schwerpunktsetzung empfinde ich als rundum gelungen. Einziger Wermutstropfen ist ein doch etwas längerer Zeitraum zwischen dem inhaltlichen Abschluss des Werks (Rechtsprechung und Literatur wurden bis August 2023 berücksichtigt) sowie dem Erscheinen des Werks Ende März 2024, der allerdings ob der inhaltlichen Qualität des Werks zu verschmerzen ist. Prima Dienste leistet hingegen das Stichwortverzeichnis, das das Auffinden gesuchter Stellen im Kommentar erleichtert. Da gerade auch aufgrund der doch etwas verworrenen Rechtslage um die Anwendbarkeit des § 26 BDSG (welche Teile sind noch europarechtskonform?) ein Hin- und Herspringen zwischen den Kommentierungen zu Art. 6 Abs. 1 DS-GVO, zu Art. 88 DS-GVO sowie zu § 26 BDSG erforderlich ist, habe ich ein Lesebändchen doch schon etliche Male vermisst, sodass ich insofern darauf hoffe, dass der Verlag dem Werk ein solches künftig spendieren möge.

Wer im Beschäftigtendatenschutz unterwegs ist, für den wird die 3. Auflage des Däubler/Wedde/Weichert/Sommer ein treuer Begleiter sein. Ein fester Platz auf meinem Schreibtisch ist ihm mittlerweile sicher. Selbstverständlich vermag das Werk betrieblichen Interessenvertretungen als kompetenter Ratgeber dienen. Ebenso werden aber auch Datenschutzbeauftragte, die in der betrieblichen Praxis vielfach auch zu beschäftigtendatenschutzrechtlichen Angelegenheiten beraten, oder mit entsprechenden Fragen befasste Verwaltungsjuristen oder Richter von dem Werk profitieren. Schließlich ist der „DWWS“ allen arbeitsrechtlichen Praktikern, die neben klassischen arbeitsrechtlichen Fragen auch hin und wieder mit datenschutzrechtlichen Problemlagen befasst sind, zu empfehlen, gewiss verbunden mit der Bemerkung, dass das Werk aufgrund seiner Nähe zur Arbeitnehmerseite nicht als singuläre Quelle herangezogen, sondern stets durch die Nutzung anderer Werke ergänzt werden sollte. Aufgrund der schnellen Rechtsentwicklung im Datenschutzrecht freue ich mich bereits auf die Folgeauflage.

Rezension: Umfang des Auskunftsrechts nach Art. 15 DSGVO

Pulat, Umfang des Auskunftsrechts nach Art. 15 DSGVO mit Bezug zur arbeitsrechtlichen Praxis, 1. Auflage, Peter Lang 2024

Von Ass. iur. Fabian Bünnemann, LL.M., LL.M., Essen

Nachdem Peisker mit seiner Arbeit zum datenschutzrechtlichen Auskunftsanspruch bereits im vergangenen Jahr wahre Pionierarbeit geleistet und ein hervorragendes Werk vorgelegt hatte (vgl. Rezension hier im Blog), ist nunmehr eine weitere diesbezügliche Monographie erschienen. Darin widmet sich Timo Pulat – etwas spezieller – dem „Umfang des Auskunftsanspruchs“ und dies zudem mit besonderem Bezug zur arbeitsrechtlichen Praxis. Die im Verlag Peter Lang erschiene Arbeit wurde von Professor Dr. Martin Henssler betreut und von Professor Dr. Clemens Höpfner als Zweitgutachter begutachtet.

Zwar liegen mittlerweile einige EuGH-Entscheidungen zu Art. 15 DS-GVO vor, die das Auskunftsrecht zumindest etwas konturieren. Jedoch ist weiterhin sehr vieles unklar, was einerseits äußerst misslich ist, handelt es sich beim Auskunftsrecht doch um ein „Kernrecht“ der DS-GVO, andererseits allerdings auch Raum schafft für das vorliegende Werk von Pulat, der sich so auf einer großen Spielwiese ungeklärter Fragen bewegen und eine Vielzahl von Problemen systematisch behandeln kann.

Das Werk folgt einer klaren Struktur. Nach einer Einleitung führt der Verfasser zunächst kurz in die Systematik des europäischen Datenschutzrechts ein (S. 35 ff.), ein Abschnitt eher einleitender Natur, der jedoch zur eigentlichen Thematik noch nicht viel Wesentliches beiträgt. Anschließend folgen Ausführungen zu den Betroffenenrechten (S. 55 ff.), wobei sich Pulat hier lediglich auf Art. 13, 14 und 20 DS-GVO fokussiert. Erst jetzt kommt der Verfasser auf die eigentliche Thematik zu sprechen, wenn er mit einem Überblick zu Art. 15 DS-GVO (S. 67 ff.) die Grundlagen für seine spätere Untersuchung schafft, um dann bereits ein Zwischenfazit zu ziehen (S. 103 f.).

Endlich widmet sich der Verfasser voll und ganz seinem Untersuchungsgegenstand und stürzt sich hinein ins ungeklärte Terrain des Umfangs des Auskunftsrechts (S. 105 ff.). Nach kurzer Einführung in die besondere Problemlage im Beschäftigungskontext (S. 105 f.) steht zunächst die grundsätzliche Weite des Umfangs des Auskunftsanspruchs im Mittelpunkt. Der Verfasser gelangt insofern zu einem extensiven Verständnis des Auskunftsumfangs (S. 133). Sodann setzt sich Pulat mit den „weiteren Informationen“ (Art. 15 Abs. 1 Hs. 2 DS-GVO) eingehend auseinander (S. 139 ff.). Hier arbeitet er systematisch den gesetzlichen Anforderungskatalog ab, was mir gut gefallen hat. Allerdings hätte ich mir einen deutlicheren Bezug zum Beschäftigungskontext gewünscht, der hier leider nur hin und wieder gestreift wird (bspw. auf S. 139).

Der Umfang des Anspruchs auf Kopie (Art. 15 Abs. 3 DS-GVO) bildet einen weiteren Schwerpunkt der Untersuchung. Der Verfasser wertet hier die juristische Literatur sowie auch die Stellungnahmen der Datenschutzbehörden und die Rechtsprechung aus und gelangt zum Ergebnis, dass es sich bei Auskunfts- und Kopie-Anspruch um ein einheitliches Recht handle, wobei auch hinsichtlich des Umfangs des Anspruchs auf Kopie ein weites Verständnis zu Grunde zu legen sei (S. 194). Schließlich betrachtet Pulat noch die Einschränkungen des Auskunftsrechts (S. 195 ff.), die sich aus Art. 15 Abs. 4 DS-GVO bzw. Art. 12 Abs. 5 S. 2 DS-GVO sowie dem nationalen Recht ergeben können.

Aufgrund der schnellen Rechtsentwicklung hätte ich mich sehr über eine Angabe gefreut, auf welchem Stand sich das Werk befindet, vor allem die Berücksichtigung von Literatur und Rechtsprechung betreffend. Auch formell finden sich leider einige Mängel, exemplarisch das Literaturverzeichnis. Dort wird etwa der BeckOK DatenschutzR (als aktuelle Auflage) in der 36. Edition von 2021 zitiert (mittlerweile liegt die 48. Edition vor), der Kommentar von Calliess/Ruffert zum EUV/AEUV in der seit 2022 überholten Auflage aus dem Jahr 2016 und das von Anders/Gehle zum Zivilrecht herausgegebene Werk in der 14. Auflage 2020 (dort liegt mittlerweile die 16. Auflage vor), während der BeckOK IT-Recht jedenfalls in der 9. Edition von 2023 zitiert wird, was mindestens inkonsistent erscheint. Der zitierte Kommentar von Gola/Heckmann wird mit dem Titel „Bundesdatenschutzgesetz“ im Literaturverzeichnis aufgeführt, ist aber eigentlich mit „DS-GVO/BDSG“ überschrieben, sodass der Titel zumindest ungenau wiedergegeben ist. Auch fehlen hin und wieder Zeichen (S. 21, letzte Klammer fehlt), ein Lektorat hätte dem Werk wohl gutgetan. Möglicherweise hängen die Inkonsistenzen mit der Überarbeitung zusammen; so deutet der Verfasser an einigen Stellen an, dass erst nach Abschluss der ersten Fassung seiner Ausarbeitung Gerichtsentscheidungen veröffentlicht worden seien, die er an den betreffenden Stellen noch berücksichtigt habe (insbes. wird auf ein BGH-Urt. v. 15.06.2021 [S. 136] sowie eine EuGH-Entscheidung v. 12.01.2023 verwiesen [S. 144], die insofern noch eingearbeitet worden seien), sodass viel Zeit bis zur Drucklegung vergangen zu sein scheint, was der Arbeit inhaltlich in dem sich derart schnell fortentwickelnden Gebiet des Datenschutzrechts einiges an Aktualität nimmt.

Nach dem sehr ausführlichen Werk von Peisker (s.o.) war es für Pulat selbstverständlich schwer, hier nachzulegen und einen Mehrwert zu schaffen. Auch Pulat wollte sich dabei die Auswirkungen des Auskunftsanspruchs im Beschäftigungskontext ansehen und so den Bezug zur arbeitsrechtlichen Praxis in Augenschein nehmen, wobei die Beschränkung auf den Umfang des Anspruchs angesichts des Umfangs der Materie seiner Arbeit sicherlich zuträglich war.

Wer in die Materie gerade „startet“ oder einen ersten Überblick – gerade aus der Sicht von HR – sucht, für den vermag das Werk von Pulat einen systematischen Einstieg darstellen. Dabei führt der Verfasser den Leser wohlstrukturiert durch die Arbeit, sodass ich stets wusste, welches Problem nun gerade untersucht wurde. Allerdings hat mich der Umfang des Kernteils der Untersuchung von gerade einmal knapp über 100 Buchseiten doch enttäuscht, mein Erkenntnisgewinn hielt sich – auch aufgrund der fehlenden Aktualität – leider etwas in Grenzen.

Gleichwohl habe ich dem Werk einige interessante Gedanken entnommen und mich auch am abschließenden Praxisteil „Hinweise zur praktischen Umsetzung des Auskunftsanspruchs nach Art. 15 DSGVO“ (S. 219 ff.) erfreut, der handbuchartig die Erkenntnisse des Werks zusammenfasst und für Praktiker, vor allem in Unternehmen und Verwaltungen, handhabbar macht. Insgesamt kommt das Werk an Qualität und Umfang der Arbeit von Peisker nicht heran, ist allerdings auch bedeutend günstiger erhältlich und vermag daher für Praktiker eine erste Anlaufstelle zur Beantwortung von Fragen zum Auskunftsrecht im Beschäftigungskontext darstellen.

Rezension: KI-VO

Schwartmann / Keber / Zenner, KI-VO, Leitfaden für die Praxis, 1. Auflage, C.F. Müller 2024

Von RAG Dr. Benjamin Krenberger, Landstuhl

Dass ein etwas mehr als 300 Seiten starker Leitfaden für die Praxis ein dreiköpfiges Herausgeberteam und ein 23-köpfiges Autorenteam aufweist, ist zumindest erstaunlich und sorgt für erheblichen Koordinierungsbedarf. Dass einige der Autoren auch eher aus dem politisch-beratenden Metier stammen und nicht aus Universitäten, Behörden oder Kanzleien, dürfte der Neuheit der Regelung und deren europäischer Herkunft geschuldet sein. Immerhin haben die Herausgeber den richtigen Anspruch, dass hier Praktiker für Praktiker schreiben, damit das neue Rechtsgebiet schnell Eingang in die Köpfe der Rechtsanwender findet.

Gewöhnen muss sich der klassische Jurist dabei nicht nur (sprachlich) an die technisch dominierte Thematik, sondern z.B. auch an die Nachweise in den Fußnoten: diese verweisen auf Podcasts, Webseiten, sogar auf Amazon-Links, nutzen munter englische und technische Begriffe, ohne dass es ein Glossar gäbe. Dass Letzteres fehlt, erachte ich tatsächlich für einen Makel des Buches. Denn einmal erklärte Abkürzungen muss man sich für den Rest des Werks merken. Immerhin: innerhalb der Kapitel wird der Leser mit allgemeinen Erläuterungen abgeholt, sodass er sich potentiell geführt in die neue Materie begeben kann.

Die KI-Verordnung ist seit dem 1.8.2024 in Kraft und soll die komplexen neuen Informationssysteme in einen rechtlichen Rahmen bringen. Das Handbuch befasst sich deshalb einleitend zunächst mit der zeitlichen und begrifflichen Einordnung der VO, später mit dem Inhalt der VO selbst, dazu mit der Durchsetzung der Regulierung, die mittels der VO angestrebt wird.

Innerhalb der einleitenden Kapitel werden viele Themen zwar nur kurz angeschnitten, aber mögliche Schwierigkeiten werden so präzise angesprochen, dass die Sensibilität der Leser sofort geweckt wird. Zu nennen ist hier etwa die Beschreibung von Open-Source-Modellen, die manchmal den Namen zu Unrecht tragen, da doch Hürden für eine Weiterverarbeitung mit einer hohen Zahl von Nutzern geschaffen werden. Auch ist zu trennen, ob es sich um echte KI-Systeme oder nur unterstützende Werkzeuge anderer Systeme handelt. Ebenfalls spannend liest sich die kurze tabellarische Auflistung, welche Unterstützung KI in gerichtlichen Prozessen oder in der Rechtsberatung liefern könnte, aber auch die Erörterung, wie KI in der Strafverfolgung bereits zum Einsatz kommt oder kommen könnte. Insbesondere die Aufbereitung der ermittelten Daten gleichförmiger Kriminalität unterer Stufe (§§ 242, 248a StGB) könnte den Staatsanwaltschaften Zeitgewinne verschaffen. Dennoch wird hier schon frühzeitig auf Art. 27 KI-VO hingewiesen, der öffentliche Stellen als Anbieter oder Betreiber von KI-Systemen zu einer besonderen Folgenabschätzung zwingt. Das sind dann natürlich nicht nur die Mitglieder der Justiz, sondern z.B. auch Bildungseinrichtungen der öffentlichen Hand. Jedenfalls werden auch später immer wieder die besonderen Bedürfnisse, aber auch Schranken für die Strafverfolgung aufgezeigt, etwa bei dem Einsatz von biometrischer Echtzeit-Fernidentifizierung nach Art. 5 KI-VO bei Entführungen oder Menschenhandel. Zu Recht kritisch beäugt wird dabei auch der Einsatz von KI-Systemen bei der Vorprüfung zu erstellender richterlicher Entscheidungen. Hier wird bspw. erwogen, eine Begründung für die Übernahme eines Vorschlags der KI geben zu müssen.

Bemerkenswert ist in den weiteren Ausführungen zu den Artikeln der VO selbst, dass die Autoren keineswegs mit Kritik sparen. So wird gleich zu Beginn die Zielsetzung der VO als sehr ambitioniert betitelt und das zu Recht: Wirtschaft fördern, Sicherheit erhöhen, alle möglichen Rechtsgüter schützen. Auch die Komplexität des Zusammenspiels zwischen KI-VO und DSGVO wird frühzeitig pointiert benannt und als zukünftiges Problemfeld identifiziert, später sogar noch einmal aufgegriffen, wenn in einem eigenen Kapitel das Verhältnis der KI-VO zu anderen Rechtsgebieten aufbereitet wird. Ebenfalls als maßgebend für viele weitere Überlegungen wird die Risikoklassifizierung von KI-Systemen herausgearbeitet, zugleich aber auf die Schwierigkeit hingewiesen, dass GPAI-Systeme nicht so einfach einzustufen sein werden. Auch wird die Wirksamkeit der verpflichtenden menschlichen Aufsicht über KI-Systeme (Art. 14 KI-VO) stark angezweifelt, wenn Aufsicht und Anwendung auseinanderfallen. Es könnten noch zahlreiche andere Beispiele folgen, aber es ist generell beruhigend zu sehen, dass die Autoren sich der neuen Verordnung sowie der gesamten Rechtsmaterie mit Vorsicht und Umsicht nähern und widmen.

Neben der Parallelität zum Datenschutzrecht werden in einem eigenen Kapitel auch andere Rechtsgebiete angesprochen, die zur KI-VO in Bezug gestellt werden müssen. Allen voran ist dies das Urheberrecht, weil eine KI ja mit Daten „trainiert“ werden muss. Die Frage der Lizenzierung sowie des rechtmäßigen Zugangs zu Werken ist hochbrisant, da entsprechende Richtlinien zu einem Zeitpunkt geschaffen und formuliert wurden, zu dem an KI-Systeme noch nicht gedacht wurde. Ähnliche urheberrechtliche Fragen stellen sich im Übrigen auch bei Eingaben in die KI, die durch Nutzer vorgenommen werden.

Des Weiteren möchte ich noch die das Kapitel zur deliktischen Haftung hinweisen, in dem u.a. dargelegt wird, wie nach der deutschen ZPO beweisrechtlich zu prüfen ist, ob eine Verwendung gemäß der Gebrauchsanwendung erfolgt (Inaugenscheinnahme von gespeicherten Daten, § 371 ZPO). Zudem wird die sekundäre Darlegungslast des KI-Nutzers im Prozess des Geschädigten betont. Unklar bleibt noch, auf welcher zivilrechtlichen Grundlage ein KI-„Opfer“ Schadensersatz verlangen kann, da bspw. noch nicht abschließend geklärt ist (wie auch?), ob z.B. Art. 29 KI-VO als Schutzgesetzt i.S.d. § 823 Abs. 2 BGB zu sehen ist.

Schließlich möchte ich besonders lobend erwähnen, dass die Rechtsprechung des EuGH zu Bußgeldern bei Verstoß gegen die DSGVO als übertragbar auf die Regelungen des Art. 99 KI-VO angesehen wird, d.h. Bußgelder auch direkt gegen Unternehmen angeordnet werden dürfen, wenn das OWiG zur Anwendung kommen sollte. Jedoch ist noch unklar, ob bei Verstößen Bußgelder durch nationale Behörden verhängt werden sollen oder ob dies europäische Behörden tun werden. Der Bußgeldkatalog hat es jedenfalls in sich.

Was bleibt als Fazit? Die Materie ist neu und hochkomplex, technisch wie rechtlich. Die Autoren sind redlich bemüht, auch den klassischerweise technisch unkundigen deutschen Juristen mit ins Boot zu nehmen. Viele Aspekte sind noch in der Schwebe und in ihrer Entwicklung kritisch zu prüfen, aber all das arbeiten die Autoren ab und sie bauen darüber hinaus an vielen Stellen die gebotenen Brücken zur nationalen Rechtsanwendung. Man kann nur sagen: ein gelungenes Werk, ein spannendes Thema, ein Buch mit dem Potential für weitere Auflagen, wenn sich die Materie mitsamt der noch zu erlassenden Richt- und Leitlinien sowie der unvermeidbaren Rechtsprechung entwickeln wird.

Rezension: DSGVO / BDSG

Eßer / Kramer / von Lewinski (Hrsg.), DSGVO / BDSG, Kommentar, 8. Auflage, Carl Heymanns 2024

Von Ass. iur. Fabian Bünnemann, LL.M., LL.M., Essen

Aufgrund der aus dem Jahr 2020 stammenden Vorauflage war es Zeit für eine Neuauflage des „altehrwürdigen“ Auernhammer. Dieses Werk, begründet vor fast 50 Jahren von Herbert Auernhammer, ist wohl das Urgestein der datenschutzrechtlichen Kommentarliteratur, wird mittlerweile von Eßer, Kramer und von Lewinski herausgegeben, firmiert aber weiterhin als „Auernhammer“. Der Name ist in der datenschutzrechtlichen Literatur und Praxis wohlbekannt, sodass der Verlag aus guten Gründen weiter daran festhält. Zwar sind auch die Herausgebernamen seit dieser Auflage nun oben auf dem Cover abgedruckt, ohne jedoch auf den anschließenden Klammerzusatz „Auernhammer“ zu verzichten. Auch zitiert werden soll das Werk weiter als „Auernhammer“ (S. II). Dabei haben sich insbesondere in den letzten Jahren, besonders seit Inkrafttreten der Datenschutz-Grundverordnung (DS-GVO), diverse Kommentare in diesem Feld neu etabliert, sodass der Auernhammer ordentlich Konkurrenz bekommen hat. Diese ist sicherlich auch dadurch begründet, dass das vorliegende Werk bei Carl Heymanns und damit unter dem Dach von Wolters Kluwer erscheint und damit nicht in der führenden Datenbank Beck-Online, sondern in der Datenbank Wolters Kluwer Online auffindbar ist, sodass die bei Beck-Online verfügbaren Werke der Zugänglichkeit wegen wohl weitaus häufiger zitiert werden dürften. Gleichwohl ist der Auernhammer als Standardwerk in Behörden, bei Gerichten, aber auch in der Anwaltschaft aus der Rechtspraxis nicht hinwegzudenken und wird gern zu Rate gezogen, wenn auch vielfach erst im zweiten Zugriff. Dass weder Wissenschaft noch Rechtspraxis in dem Werk zu kurz kommen, ist auch dem heterogen besetzten Autorinnen- und Autorenkreis zu verdanken, der beide Bereiche prima abdeckt.

Neben DS-GVO und BDSG umfasst das Werk, das sich (wohl) auf dem Stand von Juni 2023 befindet, nunmehr auch eine Kommentierung des TTDSG sowie wichtige bereichsspezifische Vorschriften (JIRL, § 5 IFG). Damit soll die Querschnitthaftigkeit des Datenschutzrechts auf den beiden relevantesten Normebenen erfasst werden (S. V).

Eingehend angesehen habe ich mir die Kommentierungen zum Beschäftigtendatenschutz. Art. 88 DS-GVO enthält eine Öffnungsklausel für die Datenverarbeitung im Beschäftigungskontext. Meder führt hier systematisch durch die Vorschrift und stellt auch den Kontext zur Lage im nationalen deutschen Recht her (Rn. 4, 13, 19, 43 f.). Dabei weist sie auch auf das laufende Vorabentscheidungsersuchen des BAG (Rs. C-65/23) zu § 26 Abs. 4 BDSG hin; die wichtige Entscheidung des EuGH zu § 23 Abs. 1 HDSIG (EuGH, Urt. v. 30.03.2023 – C-34/21, NZA 2023, 487) wird zwar erwähnt (Rn. 8, 9) – auch in ihrer für das deutsche Recht wohl wichtigsten Aussage, wonach spezifischere Vorschriften i.S.d. Art. 88 DS-GVO einen zu dem geregelten Bereich passenden Regelungsgehalt haben müssen, der sich von den allgemeinen Regeln der DS-GVO unterscheidet (EuGH NZA 2023, 487 Rn. 74) –, allerdings im Hinblick auf seine Auswirkungen auf das deutsche Recht (noch) nicht hinreichend gewürdigt. Hier wäre ein Verweis auf die ausführliche Auseinandersetzung mit den Folgen in Rn. 9 der Bearbeitung zu § 26 BDSG schön gewesen. Die dortige ebenfalls von Meder verantwortete Bearbeitung schafft zunächst einen guten Überblick unter Einschluss der Darstellung aktueller Entwicklungen (§ 26 BDSG, Rn. 1 ff.), um sich dann eingehend der systematischen Stellung der Norm im Mehrebenensystem zu widmen (Rn. 9 ff.). Angesichts der weitgehenden Übereinstimmung von § 23 Abs. 1 HDSIG mit § 26 Abs. 1 S. 1 BDSG wird man wohl davon ausgehen müssen, dass es nicht lediglich „zweifelhaft“ ist (so aber Meder), dass § 26 Abs 1 S. 1 BDSG den Anforderungen an eine „spezifische Vorschrift“ i.S.d. Art. 88 DS-GVO nicht gerecht wird (so nun auch ausdrücklich BAG, Beschl. v. 09.05.2023 – 1 ABR 14/22, NZA 2023, 1404 Rn. 64). Größere Verwerfungen resultieren hieraus aber nicht, da die Verarbeitung zumeist relativ unproblematisch auf eine Rechtsgrundlage nach Art. 6 Abs. 1 UAbs. 1 DS-GVO gestützt werden kann. Im Übrigen hat mir die Kommentierung überaus gut gefallen, etwa hinsichtlich der Modalitäten für eine zulässige Einwilligung im Beschäftigungskontext (Rn. 62 ff.) sowie zur Verarbeitung besonderer Kategorien personenbezogener Daten im Beschäftigungsverhältnis (Rn. 67 ff). Besonders hervorzuheben ist noch das der eigentlichen Kommentierung der Norm folgende „A bis Z einzelner Maßnahmen und Technologien“ (Rn. 87 ff.), das in der Praxis als wohlstrukturierte Fundgrube im Hinblick auf die Beurteilung der datenschutzrechtlichen Zulässigkeit einzelner Verarbeitungen dient. Dieser Abschnitt ist für Rechtsanwenderinnen und -anwender überaus nützlich, sodass ich mich auch über eine quantitative Erweiterung in der Folgeauflage besonders freuen würde.

Gerne habe ich mir die neue Bearbeitung des § 22 TTDSG von Schürmann/Selz angesehen. Das dort nunmehr normierte Auskunftsverfahren bei Bestandsdaten enthält gewissermaßen die Rechtsgrundlage für Telemediendienste, bestimmte Bestandsdaten an Behörden herauszugeben. Der Kommentierung vorangestellt sind Normtext und Kurzübersicht. Sodann werden unter „Allgemeines“ zunächst ausführlich Zweck und Bedeutung der Norm (Rn. 1 ff.) beleuchtet. Zudem wird die Norm verfassungsrechtlich gewürdigt (Rn. 5 ff.), was angesichts der Grundrechtsrelevanz und der Judikatur des BVerfG den Gesamtzusammenhang auch für nicht auf das TTDSG spezialisierte Leserinnen und Leser erläutert. Beim Verhältnis zu anderen Vorschriften (Rn. 14) hätte ich mir auch noch Bezüge zu § 46a Abs. 4a OWiG sowie § 100j StPO gewünscht, über die § 22 TTDSG erst seine Wirkung entfaltet. Das Verhältnis zur DS-GVO ist umstritten, nach Schürmann/Selz soll es sich bei § 22 TTDSG um eine Rechtsvorschrift i.S.v. Art. 6 Abs. 4 DS-GVO handeln (Öffnungsklausel zur Zweckänderung), mit der Folge, dass eine zusätzliche Rechtsgrundlage nach Art. 6 Abs. 1 UAbs. 1 DS-GVO nicht erforderlich sei (so auch zu § 21 TTDSG Rn. 4), was allerdings durchaus fragwürdig ist, da der EuGH Art. 6 Abs. 1 UAbs. 1 DS-GVO als erschöpfende und abschließende Liste der Rechtsgrundlagen für die zulässige Verarbeitung ansieht (so zuletzt auch EuGH, Urt. v. 21.12.2023 – C-667/21, GRUR-RS 2023, 36822 Rn. 75; eing. zum Ganzen Kühling/Buchner/Buchner/Petri, 4. Aufl. 2024, Art. 6 DS-GVO Rn. 181 ff.).  Im Übrigen überzeugt die Kommentierung in den Einzelheiten. Die Anforderungen werden prima dargelegt (Rn. 15 ff.), ebenso wie die formellen Voraussetzungen (Rn. 24 ff.). Besondere Relevanz kommt auch den Regelungen zu den abrufberechtigten Behörden zu (Abs. 3, Rn. 32 ff.), insofern sind die Ausführungen – gerade auch zum wichtigen, wenngleich umstrittenen, Abruf zur Verfolgung von Ordnungswidrigkeiten (Rn. 36 f.) – ausführlich und gelungen. Dabei weisen Schürmann/Selz richtigerweise daraufhin, dass – wenngleich das BVerfG für derartige Eingriffe Raum gelassen hatte – der Gesetzgeber eine Beauskunftung dynamischer IP-Adressen zur Verfolgung von Ordnungswidrigkeiten nicht in § 22 TTDSG aufgenommen hat, sodass eine solche nicht zulässig ist (dazu Rn. 62).

Die üblichen Verzeichnisse (Autorinnen- und Autorenverzeichnis, Inhaltsübersicht und -verzeichnis, Abkürzungs- und Literaturverzeichnis) sind selbstverständlich auch vorhanden. Bei einem Umfang von 3.000 Seiten wäre ein Lesebändchen allerdings zweckdienlich gewesen, gerade auch, da das Datenschutzrecht oftmals eine Auseinandersetzung mit verschiedenen in Bezug zueinander stehenden Normen erfordert.

Nach einigen Wochen Praxiseinsatz fällt mein Urteil positiv aus. Der „Auernhammer“ überzeugt im praktischen Einsatz durch seinen wohlstrukturierten Aufbau und seine Übersichtlichkeit, sodass man auch im oft schnelllebigen Alltag zügig zur gesuchten Stelle gelangt. Sofern hier im Blog die Aufnahme in den „Handapparat eines jeden Datenschutzpraktikers“ (vgl. Rezension zur 6. Auflage hier im Blog) empfohlen wurde, kann ich dem ohne Zögern zustimmen. Dabei ist das Werk rechtlich fundiert, gleichzeitig aber an Rechtsanwenderinnen und ‑anwender gerichtet. Anzumerken ist allerdings auch, dass der Umfang der Kommentierungen schwankend ist, oft an der Norm und den Erwägungsgründen orientiert, sodass ich mir insgesamt mehr Auseinandersetzung mit einschlägigen EuGH-Entscheidungen wünschen würde. Auch die Meinungsfreudigkeit des Kommentars ist ausbaufähig; so wird immer wieder auf Probleme hingewiesen („Ungeklärt ist noch,…“), werden Streitstände dargestellt oder wird auf Vorabentscheidungsersuchen hingewiesen, ohne sich zu diesen Fragen zu positionieren (vgl. etwa Art. 15 Rn. 37 ff. zu Art. 15 Abs. 4 DS-GVO). Dabei verspricht der Buchumschlag, den „Fokus auf sach- und praxisgerechte Lösungen“ zu legen. Dies erfordert oftmals ein „Gegenprüfen“ in anderen Werken, was nicht besonders effizient ist. Insofern wünsche ich mir mehr eigene Analyse, mehr Meinung und damit mehr Handlungsempfehlung für die Lesenden. Insgesamt gefällt mir das Werk aber gut, sodass der „Auernhammer“ weiterhin seinen Platz als Standardwerk der datenschutzrechtlichen Kommentarliteratur sicher haben dürfte.

Rezension: Der datenschutzrechtliche Auskunftsanspruch

Peisker, Der datenschutzrechtliche Auskunftsanspruch – Grundlagen, Reichweite und praktische Probleme des Art. 15 DSGVO im Beschäftigungskontext, 1. Auflage, Nomos 2023

Von Ass. iur. Fabian Bünnemann, LL.M., LL.M., Essen

Die Datenschutz-Grundverordnung (DS-GVO) ist insgesamt, aber besonders auch im Beschäftigungskontext aus der betrieblichen Realität nicht mehr hinwegzudenken. Nach einigen Startschwierigkeiten haben die meisten Unternehmen und auch Behörden ihre Prozesse mittlerweile umgestellt und stützen die Verarbeitung personenbezogener Daten auch im Beschäftigungskontext auf zulässige Rechtsgrundlagen. Daneben existieren allerdings noch ein paar besondere Schauplätze. Einer davon ist das Recht der betroffenen Person, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob er betreffende personenbezogene Daten verarbeitet, und – sofern gegeben – auch auf Auskunft über diese Daten zu erhalten, einschließlich bestimmter Zusatzinformationen (Art. 15 Abs. 1 DS-GVO). Der Auskunftsanspruch soll entsprechend den Erwägungsgründen bezwecken, dass sich die betroffene Person nur mit Hilfe der so erlangten Informationen der Verarbeitung bewusst sein und deren Rechtmäßigkeit überprüfen kann (EG 63 S. 1 zur DS-GVO). Der Anspruch bringt mannigfaltige Problemlagen, insbesondere betreffend Umfang, Einschränkungen und Normkollisionen, mit sich. Zwar hat der EuGH in den vergangenen Jahren bereits einige grundsätzliche Fragen hierzu beantwortet. Jedoch habe ich mich sehr auf die von Yannick Peisker verfasste und unter dem Titel „Der datenschutzrechtliche Auskunftsanspruch“ erschienene Arbeit gefreut, da mir eine derart grundlegende Auseinandersetzung mit dem Auskunftsanspruch bislang fehlte und damit eine Lücke geschlossen werden kann. Die von Professor Dr. Gregor Thüsing betreute und von Professor Dr. Gerrit Forst als Zweitgutachter begutachtete Arbeit wurde im Jahr 2023 an der Universität Bonn als Dissertation angenommen und ist nunmehr im Nomos Verlag erschienen.

Die Zielsetzung der Arbeit ist ebenso klar wie bereits durch den Titel vorgegeben: Es ist eine Auseinandersetzung mit Grundlagen, Umfang und Begrenzung des Auskunftsanspruchs, dabei stets die Besonderheiten des Beschäftigungskontexts im Blick habend. Peisker untersucht zunächst die „Implikationen des Beschäftigungsverhältnisses“ im Hinblick auf die Transparenz der Datenverarbeitung (Teil A). Im Wissen um die „doppelte Asymmetrie (Informations- und Verhandlungsasymmetrie)“ erstaunt es tatsächlich, dass – jedenfalls bislang – „betroffene Beschäftigte die Auskunft als Instrument oftmals erst im Zuge der Auseinandersetzung über die Abwicklung des Arbeitsverhältnisses geltend machen“ (S. 42), die allerdings nur auf den ersten Blick. Denn beschäftigt man sich mit möglichen (faktisch ggf. negativen) Konsequenzen der Geltendmachung eines Auskunftsanspruchs im laufenden Arbeitsverhältnis (dazu auch Peisker, S. 44), lässt das anfängliche Erstaunen merklich nach.

Gewiss können in diesem Rahmen nur einige Komplexe der Arbeit pars pro toto beleuchtet werden. Die konfliktträchtige Frage der Charakterisierung des Anspruchs auf Kopie (Art 15 Abs. 3 DS-GVO) wird von Peisker mit der h.M. dahingehend beantwortet, dass Art. 15 Abs. 3 DS-GVO eine Rechtsfolgennorm sei (S. 125). In diesem Sinne hat auch der EuGH – allerdings erst nach Drucklegung des vorliegenden Werks – entschieden, dass Art. 15 DS-GVO „nicht so ausgelegt werden [kann], dass er in seinem Abs. 3 Satz 1 ein anderes Recht als das in seinem Abs. 1 vorgesehene gewährt“ (EuGH, Urt. v. 04.05.2023, C-487/21 – F.F.). Damit dürfte die Frage des Verhältnisses zwischen Art. 15 Abs. 1 und Abs. 3 DS-GVO vorerst geklärt sein.

Ausführlich wird von Peisker auch die Frage nach dem Verhältnis des Auskunftsanspruchs nach Art. 15 DS-GVO zum nach nationalem Recht bestehenden Personalakteneinsichtsrecht diskutiert (S. 141 ff.). Dabei steht besonders § 83 Abs. 1 S. 1 BetrVG im Fokus, der ein Einsichtsrecht während des laufenden Arbeitsverhältnisses normiert. Ausgehend von der Reichweite des § 83 Abs. 1 S. 1 BetrVG (S. 142 ff.) untersucht der Autor die Unterschiede zu Art. 15 DS-GVO (S. 144 ff.) und setzt sich sodann mit der in der Literatur vertretenen Ansicht auseinander, wonach § 83 BetrVG vorrangig sein soll (S. 146 f.). Ungeachtet der fehlenden tatbestandlichen Kongruenz (S. 147) sei eine solche wegen des Vorrangs des Unionsrechts auch nicht von Relevanz (S. 148). Überdies stelle § 83 Abs. 1 S. 1 BetrVG keine spezifische Regelung im Beschäftigungskontext i.S.v. Art. 88 DS-GVO dar, da die Regelung jedenfalls nicht hinreichend transparent sei (S. 155 ff.). Im Ergebnis lehnt Peisker den Vorrang von § 83 Abs. 1 S. 1 BetrVG daher richtigerweise ab (S. 159).

Fragen des Umfangs der zu erteilenden Auskunft bilden immer wieder den Stoff auch gerichtlicher Auseinandersetzungen. Nach einer Auseinandersetzung mit dem Begriff der zu beauskunftenden personenbezogenen Daten an sich (S. 166 ff.) widmet sich Peisker wichtigen diesbezüglichen Fragen im Beschäftigungskontext: Welche Daten aus Personalakte und Personalinformationssystemen sind umfasst? (S. 170 f.) Welche Kommunikation und welche Äußerungen sind zu beauskunften? (171 ff.) Wie steht es um Kontrollen, Ortungen, Aufzeichnungen? (S. 174 f.) Soweit teilweise ein eigenes Verständnis der Verarbeitung personenbezogener Daten für den Bereich des Beschäftigungsverhältnisses gefordert wird, hält der Autor dies vorliegend für „nicht angezeigt“, da derartige Beschränkungen nicht dem weiten Begriffsverständnis der DS-GVO entsprächen (S. 201).

Gelungen ist schließlich die sehr systematisch aufgebaute Behandlung der „Verweigerungsmöglichkeiten des Verantwortlichen“ (D.), die auch in der Praxis weiterzuhelfen vermag. Von der mangelnden Indentifizierbarkeit (S. 404 ff.) über kollidierende Interessen nach Art. 15 Abs. 4 DS-GVO (S. 408 ff.) und die Verweigerung wegen offenkundig unbegründeter und exzessiver Anträge (S. 491 ff.) bis hin zum Rechtsmissbrauch (S. 524 ff.) dekliniert Peisker die Verweigerungsmöglichkeiten detailliert durch und bietet Ansatzpunkte für eine (teilw.) Verweigerung, nicht aber ohne die Grenzen klar zu benennen. Oftmals wird etwa vom Verantwortlichen geltend gemacht, der Auskunftsanspruch sei rechtsmissbräuchlich, da er datenschutzfremden Zwecken, etwa der Vorbereitung von Vergleichsverhandlungen im Rahmen der Abwicklung eines Arbeitsverhältnisses, diene. Nach Auffassung des EuGH ist eine Begründung für die Wahrnehmung des Rechts auf Auskunft durch die antragstellende Person indes nicht erforderlich und kann damit auch durch die Verantwortliche nicht von der betroffenen Person verlangt werden (EuGH, Urt. v. 26.10.2023 - C-307/22 (FT/DW), NJW 2023, 3481 Rn. 38). Insofern schadet es aber auch nicht, wenn der Auskunftsanspruch mit anderen als den in Satz 1 des 63. Erwägungsgrundes der DS-GVO genannten Zwecken begründet wird (EuGH, Urt. v. 26.10.2023 - C-307/22 (FT/DW), NJW 2023, 3481 Rn. 52). Insbesondere liegt auch kein eine Begrenzung nach Art. 12 Abs. 5 S. 2 DS-GVO rechtfertigender Rechtsmissbrauch vor, wenn ein Betroffener das Auskunftsrecht (ggf. auch) für datenschutzfremde Motive verwendet, etwa um Informationen für Vergleichsverhandlungen oder um bei ihm nicht mehr vorhandene Vertragsinformationen zu erhalten, da sich eine solche Beschränkung auf eine bestimmte Motivlage nicht in Art. 15 DS-GVO findet (OLG Nürnberg Endurteil v. 29.11.2023 – 4 U 347/21, BeckRS 2023, 36073 Rn. 22). Auch Peisker widmet sich dieser Problemlage und kommt gleichwohl die vorgehend genannte Entscheidung erst nach Drucklegung des vorliegenden Werks erging – mit beachtlichen Argumenten zu einem wohl gleichgelagerten Ergebnis: Die Auswertung der EuGH-Rechtsprechung zu den Voraussetzungen des Rechtsmissbrauchs, beginnend mit der bekannten van Binsbergen-Entscheidung (C-33/74), führt ihn zum treffenden Ergebnis, dass Art. 12 Abs. 5 S. 2 DS-GVO kein Verbot rechtsmissbräuchlichen Verhaltens, sondern lediglich ein „Schikaneverbot“ beinhalte (S. 520), was in der Praxis nur äußerst selten zur Anwendung kommen dürfte (vgl. auch die Beispiele von Peisker, S. 521 f.)

Insgesamt hat mir die Lektüre von Peiskers Werk große Freude bereitet; gern lese ich auch hin und wieder quer und finde stets brauchbare Ansätze zur Beantwortung sämtlicher Fragen rund um das Auskunftsrecht nach Art. 15 DS-GVO. Dabei darf zwar nicht vergessen werden, dass es sich um eine noch relativ neue Norm mit auch deutlichem Konfliktpotenzial handelt, die daher Gegenstand andauernder Rechtsentwicklung ist. Dies zeigen auch die fast schon regelmäßig veröffentlichten EuGH-Entscheidungen zu Umfang, Grenzen und Ausformung des Auskunftsanspruchs. Peiskers Arbeit leistet hier aber Grundlegendes, zeigt wichtige Entwicklungslinien auf und bietet vor allem auch viel Argumentation für praktische Konflikte. Insofern handelt es sich um ein wissenschaftliches und äußerst fundiertes Werk, das aber gleichwohl in der Praxis auf geneigte Leserinnen und Leser treffen dürfte. Besonders überzeugt auch der Fokus auf den Beschäftigungskontext, der doch spezifische Fragestellungen aufwirft, die hier – ausgehend vom Allgemeinen – ausführlich behandelt werden. Unter Berücksichtigung der verschiedenen Interessenlagen, die Peisker in wohltuender Klarheit regelmäßig offenlegt, bringt das Werk so Licht ins Dickicht der Literatur und Rechtsprechung zum datenschutzrechtlichen Auskunftsanspruch. Gut gefällt mir, dass der Autor zum Ende einer eingehend behandelten Fragestellung hin vielfach mit „Einem kurzen Überblick zu (…)“ schließt, sodass auch Praktikerinnen und Praktiker sich schnell zurechtfinden und die von Peisker gewonnenen Ergebnisse für die Praxis nutzbar machen können. Das vorliegende Werk ist damit nicht nur datenschutzrechtlich Interessierten zu empfehlen, sondern ist gleichwohl auch Arbeitsrechtlerinnen und Arbeitsrechtlern „ans Herz zu legen“, die hier eine umfassende Einführung ins Recht des Auskunftsanspruchs nach Art. 15 DS-GVO erhalten, samt der vielfach auftretenden Problemlagen. Zwar handelt es sich um die Veröffentlichung einer Dissertation; gleichwohl würde ich mir abschließend wünschen, dass doch in wenigen Jahren eine aktualisierte Folgeauflage erscheinen möge, was aufgrund der andauernden Rechtsentwicklung für die Praxis überaus hilfreich wäre.

Rezension: Datenschutzsanktionenrecht

Klaas / Momsen / Wybitul, Datenschutzsanktionenrecht, CH Beck 2023

Von Ass. iur. Fabian Bünnemann, LL.M., LL.M., Essen

Durch das Inkrafttreten der Datenschutz-Grundverordnung (DS-GVO) im Jahr 2018 hat das Datenschutzrecht in Europa ein neues Level erreicht. Zwar existierten auch zuvor schon rechtliche Regelungen zum Schutz von personenbezogenen Daten, jedoch wurde erst durch die DS-GVO ein bereichs- und länderübergreifendes Regelungssystem geschaffen, das überdies auch geeignete Sanktionsmöglichkeiten vorsieht. Letztere sollen eine effektive Durchsetzung der in der DS-GVO enthaltenen Regelungen ermöglichen und sicherstellen.

Die schon seit längerer Zeit erscheinenden Kommentare und Handbücher zum nationalen Datenschutzrecht wurden mittlerweile fortentwickelt und legen ihren Schwerpunkt auf die DS-GVO. Ebenso gibt es Werke, die sich der Umsetzung der DS-GVO in der Praxis widmen (so etwa das gelungene Handbuch von Forgó/Helfrich/Schneider, vgl. die Rezension zur 3. Aufl. hier im Blog). Das vorliegende Handbuch von Klaas/Momsen/Wybitul widmet sich nun im Speziellen einem Thema, dem viel (öffentliche) Aufmerksamkeit zukommt und das aus der Unternehmens- und Beratungspraxis nicht hinwegzudenken ist, das aber gleichwohl (soweit ersichtlich) noch nicht eingehend im Rahmen einer systematischen Darstellung aufbereitet wurde. Insofern ist das Unterfangen überaus lobenswert, das Datenschutzsanktionenrecht für die Unternehmens- und Anwaltspraxis aufzubereiten und handhabbar zu machen. Die Darstellungsform des Handbuchs ist insofern hervorragend, da so die verschiedenen rechtlichen Materien (vor allem Datenschutzrecht, Ordnungswidrigkeitenrecht und Strafrecht) derart verzahnt werden können, dass die Systematik bestmöglich ersichtlich wird und es nicht erst des Studiums mehrerer Kommentare bedarf, um das Regelungssystem zu durchdringen. Sofern die Herausgeber angeben, mit dem Werk einen neuen, wissenschaftlich überzeugenden Blick auf das Datenschutzsanktionenrecht werfen zu wollen, der gleichzeitig „dem Rechtsanwender praktisch unmittelbar verwendbare Antworten an die Hand gibt“ (S. V), ist dies – so viel sei vorweggenommen – überzeugend gelungen, was sicherlich auch dem hochkarätig besetzten Autorinnen- und Autorenkreis zu verdanken ist.

Das Handbuch ist insgesamt in sieben Teile gegliedert, die wiederum in einzelne Kapitel unterteilt sind. Nach einer knappen Einleitung von Klaas/Momsen/Wybitul (1. Teil), in der die Entwicklung der Bußgeldpraxis sowie der strafrechtlichen Verfolgung von Datenschutzverstößen kurz angerissen werden und der Gang des Werks nochmals skizziert wird, folgen Ausführungen zum materiellen Bußgeldrecht (2. Teil), zunächst zu den Grundlagen, vor allem dem Verhältnis zwischen europäischem und nationalem Bußgeldrecht (Cornelius), sodann zum materiellen Bußgeldrecht an sich (Wybitul). Anknüpfend daran folgen Ausführungen zur Verfolgung bußgeldbewehrter Datenschutzverstöße (3. Teil). Zunächst setzt sich Thiel mit der prozessualen Durchsetzung auseinander (§ 4), während Basar die andere, anwaltliche Seite beleuchtet (§ 5). Brams widmet sich vertiefend noch den Spezialfällen Data Breach/Cyber Security Incidents (§ 6). Diese Ausführungen sind überaus lesenswert – auch für mit Datenschutzfragen befasste Richterinnen und Richter sowie Praktikerinnen und Praktiker in Aufsichtsbehörden.

Stellen auch Bußgelder den wohl bekanntesten Teil des Datenschutzsanktionenrechts dar, so liegt der Schwerpunkt des vorliegenden Werks wohl im Strafrecht. Im Rahmen des materiellen Strafrechts legt Eisele zunächst die Grundlage, sich dem Verhältnis von Unions- und nationalem Recht widmend (§ 7). Sodann werden die mit datenschutzrechtlichen Fragen zusammenhängenden Straftatbestände behandelt, beginnend bei den strafbaren Datenschutzverstößen nach § 42 BDSG (Klaas, § 8), über die wichtigen diesbezüglichen StGB-Vorschriften (so zu §§ 201, 202a, 202b, 202c, 202d, 203, 204, 206, 269, 274, 303a, 303b, 355 StGB) bis hin zu § 27 TTDSG (§ 23) und § 23 GeschGehG (§ 24). Wie bereits im Bußgeldbereich folgen auch im strafrechtlichen Bereich Ausführungen zur Verfolgung (5. Teil), im Rahmen derer die Anwendbarkeit deutschen Strafrechts von Klaas thematisiert wird (§ 25), vervollständigt durch Hiéramente, Hinweise zum Ablauf eines Strafverfahrens gebend (§ 26).

Ein weiterer, sehr interessant zu lesender Teil widmet sich gemeinsamen Aspekten von Bußgeldern und Straftatbeständen (6. Teil). Klaas fragt etwa nach dem Verhältnis von Bußgeld- zu Straftatbeständen (§ 27) und beschäftigt sich mit der Auslegung von unwirksamen datenschutzrechtlichen Einwilligungen in wirksame rechtfertigende Einwilligungen (§ 28). Nadeborn/Lamsfuß untersuchen die Möglichkeit von Einziehungsmaßnahmen infolge von Datenschutzverstößen (§ 29) und Brodowski die „Ermittlung von Datenschutzverstößen im digitalen Raum“ (§ 30). Hervorzuheben sind zudem die Ausführungen von Jungkind/Petzinka zur Compliance sowie von Brodowski zu „Melde-, Mitwirkungs- und Rechenschaftspflichten im Spiegel von nemo tenetur“ (§ 32).

Abgeschlossen wird das Werk mit einem Beitrag zum Datenschutzsanktionenrecht in den USA (7. Teil). Dass das Handbuch auch über die üblichen Verzeichnisse, betreffend Autorinnen und Autoren, abgekürzt zitierter Literatur, Inhalt und Abkürzungen verfügt, sei nur der Vollständigkeit halber erwähnt.

Sehr interessant und für die Praxis überaus bedeutsam ist der Ansatz des Werks, bei ungeklärten oder strittigen Fragen sowohl die anwaltliche Seite als auch die Behördenseite (Barbara Thiel, LfD Niedersachsen a.D.) zu Wort kommen zu lassen, was ausdrücklich hervorgehoben wird (S. 6). Zwar gab es auch zuvor bereits Werke, die zu bestimmten Themen verschiedene betroffene Seiten Ausführungen machen ließen (so etwa bei Lukas/Dahl zur Mitbestimmung in sozialen Angelegenheiten, vgl. Rezension hier im Blog). Neu sei hier jedoch, dass die divergierenden Ansichten nun jeweils in Einschüben zu finden seien, und zwar auch in Kapiteln, die eigentlich von Autorinnen bzw. Autoren der „anderen Seite“ bearbeitet würden. An sich eine sehr zeitgemäße Idee, gerade für ein Praxishandbuch. So kann sich die Praxis bereits im Vorfeld mit Argumenten der gegnerischen Seite vertraut machen und diese bei der eigenen Strategie und Taktik berücksichtigen. Allerdings hakt es – jedenfalls in der aktuellen Auflage – noch an der Umsetzung: So enthalten die (zudem sehr wenigen dementsprechenden) Einschübe keine abweichenden Ansichten als unmittelbaren Text, sondern weisen lediglich auf entsprechende Stellen im Werk hin (Bsp.: „Siehe zur Gegenposition --> § 3 Rn. 9 ff.“ [§ 4 Rn. 71]). Insofern ist der Ansatz innovativ und kann einen hohen praktischen Nutzen bieten. Allerdings wünsche ich mir sehr, dass die Einschübe die abweichenden Ansichten unmittelbar als Text (ggf. mit Vertiefungshinweis) enthalten und zudem die Anzahl erheblich gesteigert werden mag.

Hervorragend sind die weiteren Gestaltungsmittel, die einen erheblichen Mehrwert für den praktischen Einsatz bieten: Hervorgehobene Querverweise, Hinweise, Praxistipps und Verfahrenshinweise, Beispiele und die herausgehobene Darstellung verschiedener Rechtsansichten zu einer bestimmten (Auslegungs-)frage. Zu erwähnen ist zudem die hochwertige Verarbeitung des vorliegenden Exemplars, das auf zu dünnes Kommentarpapier verzichtet und damit auch Anreiz zum „Schmökern“ bietet. Für letzteres würde ich mir für die kommende Auflage allerdings ein Lesebändchen wünschen. In Anbetracht des zwar angemessenen, aber gleichsam hohen Anschaffungspreises sollte dies von Verlagsseite verkraftbar sein und die praktische Arbeit mit dem Werk nochmals verbessern können.

Da sich das Datenschutzsanktionenrecht laufend fortentwickelt und insbesondere durch den EuGH weiterhin geprägt wird – seit Erscheinen des vorliegenden Werks hat der EuGH etwa in der für das Datenschutzsanktionenrecht bedeutsamen Sache „Deutsche Wohnen“ entschieden (Urt. v. 05.12.2023, C-807/21, ECLI:EU:C:2023:950, Link) –, werden sich weitere Auflagen anbieten, was dem Werk (und vor allem den Leserinnen und Lesern) auch sehr zu wünschen ist. Mir gefällt der spezielle Fokus auf das Sanktionenrecht, der das andernorts regelmäßig über diverse Kommentarstellen verteilte Wissen systematisch bündelt und damit den Zugang zum sowie die Vertiefung im titelgebenden Rechtsbereich erleichtert. Die Qualität der Bearbeitungen ist hervorragend und wissenschaftlich fundiert, was auch der umfangreiche Fußnotenappart belegt. Zusammenfassend kann ich mir sehr gut vorstellen, dass der Klaas/Momsen/Wybitul ein treuer Begleiter in der Unternehmens- und Beratungspraxis, aber auch für Aufsichtsbehörden und Gerichte werden mag. Ihnen allen sei dieses Werk empfohlen.

Rezension: General Data Protection Regulation

Spiecker gen. Döhmann / Papakonstantinou / Hornung / De Hert (Hrsg.), General Data Protection Regulation, 1. Auflage, Beck/Nomos/Hart 2023

Von Wirtschaftsjurist Dr. iur. Christian Paul Starke, LL.M., Wiehl

Der Volksmund sagt bekanntlich: „Was lange währt, wird endlich gut!“ Nach zahlreichen Verschiebungen ist im September 2023 endlich der – ursprünglich für Anfang 2022 angekündigte – international ausgerichtete und folgerichtig in englischer Sprache verfasste, von Indra Spiecker gen. Döhmann, Vagelis Papakonstantinou, Gerrit Hornung und Paul De Hert herausgegebene Kommentar zur DSGVO erschienen. Nach so langer Wartezeit und mit Blick auf die großen Namen der Herausgeber – Indra Spiecker gen. Döhmann und Gerrit Hornung werden dem datenschutzaffinen Leser bereits als Mit-Herausgeber des fantastischen DSGVO-Kommentars des leider im letzten Jahr verschiedenen Spiros Simitis bekannt sein – und Bearbeiter sind die Erwartungen natürlich sehr hoch. Umso gespannter darf man sein, ob das Werk diesen hohen Ansprüchen genügen kann.

Das Werk umfasst insgesamt rund 1.200 Seiten für die 99 Artikel der DSGVO inklusive einer 75-seitigen Einleitung. Bei der Orientierung im Werk wird der Leser durch ein sehr umfangreiches, 40 Seiten umfassendes Stichwortverzeichnis unterstützt. Dessen Orientierungsfunktion wird zudem durch ein Inhaltsverzeichnis für die jeweilige Einzelkommentierung sowie durch im laufenden Text enthaltene Hervorhebungen wesentlicher Begrifflichkeiten in Fettdruck ergänzt. Die Auswahl der Begriffe ist dabei meist gut gelungen und erleichtert das Auffinden der relevanten Abschnitte, zumal die Verwendung des Fettdrucks sparsam erfolgt und damit ihrer Highlighter-Funktion gerecht wird. Ein umfassendes Literaturverzeichnis sucht man hingegen vergeblich – stattdessen gibt es zu Beginn jeder Kommentierung eine spezifische Literaturliste mit den verwendeten Werken. Diese bietet eine gute Unterstützung bei der Recherche zu konkreten Spezialproblemen, ist häufig aber doch verhältnismäßig kurz.

Die Kommentierungen befinden sich auf dem Rechtsstand von Anfang 2023. Somit sind zahlreiche wegweisende Entscheidungen des EuGH aus dem gerade abgelaufenen Jahr – z.B. das Facebook-Urteil zur Rechtmäßigkeit der Verarbeitung, das Urteil zu den Voraussetzungen des datenschutzrechtlichen Schadensersatzanspruchs in der Rechtssache Österreichische Post und die Entscheidung über den Einwand des Rechtmissbrauchs bei datenschutzfremd motivierten Auskunftsersuchen – notwendigerweise unberücksichtigt geblieben. Dies ist zu bedauern, hat der EuGH doch gerade mit diesen Entscheidungen für Rechtssicherheit bei zentralen Streitfragen gesorgt.

Die Kommentierung der jeweiligen Norm beginnt stets mit einer allgemeinen Einführung, in der insbesondere Sinn und Zweck der Regelung beleuchtet werden, eine Einordnung in den Gesamtkontext des europäischen Rechts erfolgt und die Norm in den historischen Kontext – insbesondere mit Blick auf die alte Datenschutz-Richtlinie und das Gesetzgebungsverfahren zur DSGVO – eingeordnet wird. Hieraus lassen sich zahlreiche wertvolle Erkenntnisse für die Auslegung gewinnen. Danach folgen die Einzeldarstellungen, die sich in ihrem Aufbau unmittelbar an der Normstruktur orientieren. Diese Kommentierungen lassen in ihrem Detailgrad leider häufiger Tiefe und Vollständigkeit der Darstellung vermissen. Exemplarisch sei hier zunächst Art. 15 Abs. 4 DSGVO herausgegriffen, bei dem die Frage, ob die Einschränkung des Ausnahmetatbestands allein auf das Recht auf Kopie – unter Ausklammerung des Rechts auf Auskunft – vom Gesetzgeber so gewollt war oder ein bloßes Redaktionsversehen darstellt, nicht näher thematisiert, sondern belegt durch eine einzige Fundstelle als Fakt dargestellt wird. Auch wird die Frage, welche Rechte neben den namentlich in den Erwägungsgründen benannten Urheberrechten und Geschäftsgeheimnissen noch eine Einschränkung des Rechts auf Kopie rechtfertigen können, kaum beleuchtet. Ähnlich verhält es sich bei der – in der Praxis bis zur Entscheidung des EuGH im Oktober 2023 sehr wichtigen – Frage, ob der Einwand des Rechtsmissbrauchs einem Auskunftsersuchen gem. Art. 15 DSGVO entgegengehalten werden kann, welches offenkundig ausschließlich datenschutzfremde Zwecke verfolgt. Hier fehlt jegliche Auseinandersetzung mit der in der deutschen Rechtsprechung lebhaft geführten Diskussion – stattdessen wird im Wesentlichen nur auf die Vorlage des BGH an den EuGH aus März 2022 hingewiesen. Dies wird dem Ausmaß der praktischen Bedeutung und der Uneinigkeit in der deutschen Rechtsprechung in den letzten Jahren nicht gerecht. Gerade an dieser Stelle wäre es für deutsche Nutzer interessant gewesen, zu erfahren, ob eine vergleichbare Diskussion auch in anderen Rechtsordnungen geführt wird, und umgekehrt für Nutzer aus anderen Staaten ein Hinweis auf die in Deutschland geführte Diskussion für ihre Argumentation in Auseinandersetzungen mit Betroffenen und/oder Aufsichtsbehörden nützlich gewesen. Ein ähnlicher Befund ergibt sich auch bei Art. 82 DSGVO hinsichtlich der – lange Zeit stark umstrittenen – Frage, ob bereits die Verletzung der DSGVO zur Begründung eines Schadens und damit eines Schadensersatzanspruchs des Betroffenen genügt. Diese – in Deutschland insbesondere von den Arbeitsgerichten vertretene – Position findet in der Kommentierung bedauerlicherweise keinerlei Erwähnung. Gerade bei einem solch risikobehafteten Thema wie dem Schadensersatzanspruch wäre es für den praktischen Rechtsanwender – sei er Anwalt oder Unternehmensjurist – spannend gewesen, einen Überblick über die Rechtsprechungspraxis in den verschiedenen EU-Staaten zu erhalten, um sich ein fundiertes Bild machen und somit die Risiken beurteilen zu können. Zumindest hätte aber ein Hinweis auf den Meinungsstreit und ein Fußnotenverweis auf eine ausführliche Darstellung der Positionen zum Pflichtprogramm einer vollständigen Kommentierung gehört.

Insgesamt kann dem Werk somit leider nur ein durchwachsenes Zeugnis ausgestellt werden. Zwar ist es äußerst erfrischend, dass nun endlich auch für den deutschen Nutzer ein Werk bereitsteht, dass die DSGVO nicht schwerpunktmäßig durch die nationale Brille betrachtet, sondern den Blick über den deutschen Tellerrand hinaus schweifen lässt und sich mit den Auslegungen in anderen Mitgliedsstaaten auseinandersetzt. Zu bedauern ist dabei allerdings, dass die Analyse der Rechtsprechung sich in weiten Teilen auf den EuGH beschränkt, dessen Urteile den meisten Lesern ohnehin bekannt sein dürften – für die eigene Argumentation gegenüber Betroffenen, Aufsichtsbehörden und Gerichten wäre es aber gerade interessant gewesen, zu erfahren, wie andere nationale Gerichte die Regelungen auslegen. Zudem macht sich bemerkbar, dass eine Vielzahl der Autoren aufseiten der Aufsichtsbehörden verwurzelt sind, weshalb es häufig an einer kritischen Auseinandersetzung mit den strengen Ansichten des EDSA und der nationalen Aufsichtsbehörden fehlt, welche in vielen Fällen dringend geboten wäre, um die DSGVO für die Praxis handhabbar zu machen. Allgemein fällt auf, dass zahlreiche Meinungsstreite nicht thematisiert, sondern eine Position ohne Hinweis darauf, dass diese umstritten ist, dargestellt wird. Folglich kann das Werk gerade Unternehmensjuristen und Anwälten, welche primär Unternehmen beraten, sowie Richtern nicht empfohlen werden, da es wesentliche Diskussionen und Positionen, die für den Verantwortlichen vorteilhaft sind, auslässt. Dies ist sehr zu bedauern und sollte in der nächsten Auflage durch eine ausgeglichenere Darstellung korrigiert werden.