Kühling / Buchner, Datenschutz-Grundverordnung - BDSG, 3. Auflage, C.H. Beck 2020
Von Rechtsanwalt / Fachanwalt für
Miet- und Wohnungseigentumsrecht / Fachanwalt für Arbeitsrecht Wilfried J. Köhler,
Köln
Die nunmehr vorgelegte 3. Auflage des Kommentars zur DS-GVO und zum BDSG stellt auf ca. 1.850 Seiten
erneut den Datenschutz auf der Grundlage des europäischen und bundesdeutschen
Rechts dar. Herausgeber sind die Professoren Jürgen Kühling, Regensburg, und
Benedikt Buchner, Bremen, die bei der Kommentierung des umfangreichen Stoffs
von 21 weiteren Fachleuten des Datenschutzrechts begleitet werden.
Dem Einführungskapitel,
den Artikeln der DS-GVO und den Paragrafen des BDSG – und darüber hinaus auch
den Untergliederungen der einzelnen Bestimmungen – sind jeweils umfangreiche
Literaturverzeichnisse vorangestellt, die eine Fundgrube für weitergehende
Recherchen darstellen und einen Zugriff auf die einschlägige Literatur möglich
machen.
Im aufschlussreichen Einführungskapitel
– Abschnitt über die „grundrechtliche
Steuerung des EU-Datenschutzrechts“ – weisen Kühling/Raab darauf hin, dass die „Europäisierung des Datenschutzrechts wenig Anlass zur Sorge um die
Gefährdung deutscher Grundrechtsstandards bietet“ und zeigen u.a. die
Einflüsse der EMRK und der Grundrechtecharta auf die Entwicklung des
europäischen Datenschutzes auf. Auch weitere internationale Standards (der
OECD, der Vereinten Nationen und des Europarats) haben die Entwicklung des
europäischen Datenschutzrechts bereits bei der Richtlinie 95/46/EG beeinflusst.
Eingehend werden sodann (Einführung, ab Rn. 46) die europäischen
Harmonisierungsmaßnahmen beschrieben, die schließlich mit der DS-GVO endeten.
In der Zeit zwischen
der Unterzeichnung der DS-GVO durch die Präsidenten des Europäischen Parlaments
und des Europäischen Rats (27.4.2016) und dem Datum, ab dem die Verordnung ihre
Gültigkeit erlangte (25.5.2018), hatte die breite Öffentlichkeit von dieser
Rechtssetzung kaum Kenntnis genommen. Obwohl die Europäische Kommission den
Verordnungs-Vorschlag der damaligen EU-Justiz-Kommissarin Viviane Reding schon
im Januar 2012 angenommen hatte und er in den Datenschutz-Fachkreisen eingehend
diskutiert wurde, beschäftigten sich fast nur Groß-Unternehmen mit der
Vorbereitung auf das neue Datenschutzrecht. KMU-Unternehmen und deren
Beraterinnen und Berater hatten offensichtlich kein besonderes
datenschutzrechtliches Problembewusstsein. Nicht verwunderlich, dass eine
regelrechte Datenschutz-Panik in der Öffentlichkeit und bei kleinsten, kleinen
und mittleren Unternehmen ausbrach, als Presse, Funk und Fernsehen Ende
2017/Anfang 2018 auf die nunmehr unmittelbar bevorstehende Geltung der DS-GVO
hinwiesen und (als publizistisches „Highlight“) die in der DS-GVO verankerten
drastischen Sanktionsmöglichkeiten herausstellten.
Erst ab diesem
Zeitpunkt beschäftigten sich auch Berater, die Datenschutzrecht nur als
Nebengebiet betreiben, mit dem komplexen Thema. Bei der dringend anstehenden Beschäftigung
mit diesem komplexen Thema half Unternehmen und beratenden Rechtsanwaltskanzleien
schon 2018 die erschienene 2. Auflage des vorliegenden Werks. Die jetzige 3.
Auflage setzt diese Hilfestellung in beeindruckender Weise fort.
Die „Panik“-Diskussion
Ende 2017 / Anfang 2018 drehte sich vorwiegend um die drohenden Sanktionen bei
Verletzung des Datenschutzrechts und um die Frage, welche Arbeits- und
Lebensbereiche überhaupt von der DS-GVO erfasst werden (man denke an die
abwegige Klingeltableau-Diskussion, die von Verwalterverbänden aufgebracht und
von der Boulevardpresse aufgegriffen wurde). Diese Diskussionspunkte sind in der
Zwischenzeit völlig verschwunden und durch Fragen im Zusammenhang mit der
Corona-Pandemie abgelöst worden. Dabei geht es u.a. um die Corona-App (Fragen
der Freiwilligkeit und der Kontaktnachverfolgung) und um die
Corona-Schutzverordnungen der Länder, die die Führung von Besucherlisten für
z.B. Gaststätten, Frisörbetriebe pp vorsahen (und vorsehen).
Diese aktuellen
Probleme werden in dem Werk bereits angesprochen [Art. 1 Rn. 108; Art. 6 Rn.
219 f; Art. 7 Rn. 42 (FN 56); Art. 70 Rn. 9], allerdings nicht sehr
ausführlich. Das ist aber im Hinblick auf den Bearbeitungsstand und das
Erscheinungsdatum des Werks sowie die rasante Entwicklung der Pandemie und die
damit verbundene – nicht wirklich stringente – Rechtssetzung der Bundesländer verständlich
und für die Beurteilung des Werks vernachlässigbar.
Wer sich mit weiteren
Überlegungen zu dem Thema „Corona-App“ beschäftigen will, findet dies u.a. in
dem in der Fußnote 56 (zu Art. 7 Rn. 42) genannten Beitrag von Kühling/Schildbach, Corona-Apps – Daten-
und Grundrechtsschutz in Krisenzeiten, NJW 2020, 1545 ff., - und zum Diskussionsgegenstand
„Kontaktdaten“ in zwei neueren gerichtlichen Entscheidungen. Der VGH Baden-Württemberg,
Beschl. v. 25.6.2020 – 1 S 1739/20, ZD 2020, 655, hält die Verpflichtung zur
Erfassung von Kontaktdaten bei dem Besuch von Gaststätten für (voraussichtlich)
verfassungsgemäß und mit den Vorschriften der DS-GVO vereinbar. Der VerfGH
Saarland, Beschl. v. 28.8.2020 – Lv 15/20, ZD 2021, 35, sieht es demgegenüber als
verfassungswidrig an, wenn private Personen ohne parlamentarische gesetzliche Grundlage zur Erhebung
personenbezogener Daten verpflichtet werden; Art. 6 DS-GVO enthalte keine Befugnis
zur Erhebung von personenbezogenen Daten, sondern ausschließlich
eine Begrenzung der Rechtmäßigkeit
der auf anderer Rechtsgrundlage zu erhebenden Daten. Die vom VerfGH beurteilte Corona-Schutzverordnung
hatte verpflichtend vorgeschrieben, dass Gaststätten- und andere
Gastronomiebetriebe, kulturelle und kirchliche Einrichtungen und
Veranstaltungen, Inhaber von Indoor-Spielplätzen oder Bestattungseinrichtungen
usw., Vor- und Familienname, Wohnort und Erreichbarkeit sowie die Ankunftszeit
je eines Vertreters der anwesenden Haushalte zu erfassen, die Informationen
aufzubewahren und auf Anforderung an die Gesundheitsbehörden auszuhändigen
haben.
KMU-Unternehmen wurden von
mir im Zusammenhang mit ihrer geringen Vorbereitungsarbeit bereits oben
angesprochen. Auch für diese Kleinstunternehmen, kleinen und mittleren Unternehmen
gilt die DS-GVO. Art. 30 DS-GVO verpflichtet jeden „Verantwortlichen“, ein
Verzeichnis aller Verarbeitungstätigkeiten zu führen. Allerdings wollte der europäische
Verordnungsgeber solche KMU-Unternehmen vor einem überbordenden und hohen
Verwaltungsaufwand schütze. In Absatz 5 des Art. 30 DS-GVO hat er nämlich eine
Ausnahmeregelung für Unternehmen mit weniger als 250 Mitarbeitern aufgenommen,
gleichzeitig aber wieder Rückausnahmen eingebaut. Die Pflichten des Art. 30
sollen nicht für Unternehmen oder Einrichtungen gelten, die weniger als 250
Mitarbeiter beschäftigen, „es sei denn,
die von ihnen vorgenommene Verarbeitung birgt ein Risiko für die Rechte und
Freiheiten der betroffenen Personen, die Verarbeitung erfolgt nicht nur
gelegentlich oder es erfolgt eine Verarbeitung besonderer Datenkategorien gemäß
Artikel 9 Absatz 1 …“.
Über die Auslegung
dieser Ausnahme- / Rückausnahme-Klausel bestehen unterschiedliche Auffassungen.
Nach einer Meinung sind die Rückausnahmen in Art. 30 eng auszulegen, um das im Erwägungsgrund 13 zur DS-GVO
postulierte Ziel zu erreichen, KMUs von der Verzeichnisführung zu entlasten. Hartung (Art. 30 Rn. 34 ff) folgt bei
seiner Auslegung aber sehr deutlich der strengeren Auffassung der Datenschutzkonferenz
und kommt deshalb zum Ergebnis, dass für die Ausnahmen des Abs. 5 wegen der
Gegenausnahmen „kaum ein nennenswerter Anwendungsbereich
verbleiben dürfte“ (Art. 30 Rn. 39).
Der von der
Datenschutzkonferenz (DSK) verbreiteten Meinung kann m.E. jedoch nur mit großer
Skepsis begegnet werden – und es ist zu hoffen, dass der EuGH eine Klärung
herbeiführt. Die DSK propagiert – schon aufgrund ihrer Zusammensetzung – die
behördliche (deutsche) Sichtweise. Soweit sie auch noch die Auffassung vertritt,
der europäische Begriff „nicht nur gelegentlich“ ersetze nur das „regelmäßig“
des BDSG, weshalb die DSK auch bei der deutschen Auslegung des Begriffs bleibt
(DSK,
Hinweise zum Verzeichnis von Verarbeitungstätigkeiten, Art. 30 DS-GVO,
Stand Febr. 2018, Seite 4), wird m.E. die europäische autonome
Auslegungstradition für Rechtsbegriffe nicht beachtet (vgl. zu dieser
Auslegungstradition u.a. EuGH, Urt. v. 23.10.2014 – C-302/13, GRUR Int 2014,
1172). Ein europäischer Begriff kann nicht anhand deutscher Begrifflichkeiten
ausgelegt werden.
Eine stärkere
Auseinandersetzung mit der Ausnahme- / Gegenausnahmeregel – insbesondere
abseits „behördlicher“ Auffassungen – erschiene mir deshalb sehr sinnvoll und
wünschenswert.
Einer der zentralen datenschutzrechtlichen
Begriffe, so Hartung, Art. 4 Nr. 7,
Rn. 5, ist der des Verantwortlichen.
Die Auslegung dieses Begriffs ist entscheidend dafür, wem die
datenschutzrechtliche Verantwortung zugerechnet werden kann. Hartung orientiert sich dabei an den
Auslegungen der Art.-29-Datenschutzgruppe; diese amtiert zwar nicht mehr [sie
ist seit dem Wirksamwerden der DS-GVO vom Europäischen
Datenschutzausschuss (European Data Protection Board – EDPD)
abgelöst worden, Art. 68 DS-GVO], ihre Äußerungen wirken aber durchaus noch
nach. Unklar ist allerdings, ob der Europäische Datenschutzausschuss allen
Auffassungen der Art.-29-Datenschutzgruppe folgen wird. Ganz umfassend wird der
Europäische Datenschutzausschuss von Dix
in der Kommentierung zu den Art. 68 – 76 (Kap. VII, Abschn. 3 der DS-GVO)
behandelt.
Prägnant stellt Hartung die Entstehungsgeschichte des
Begriffs und die einzelnen Merkmale für die Bestimmung des Verantwortlichen dar. Für die Bezüge zwischen Datenschutz und
Arbeitsrecht wichtig ist die Erörterung der Frage, wie die Betriebs- und
Personalräte datenschutzrechtlich einzuordnen sind. M.E. völlig zu Recht übt Hartung Kritik (Art. 4 Nr. 7 Rn. 11 f) an
der Auffassung des Landesbeauftragten für
den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI BW),
der Betriebsrat könne als Verantwortlicher im Sinne der DS-GVO betrachtet
werden. Im 34.
Tätigkeitsbericht für 2018 vom 7.6.2019, Seite 37, hatte der
LfDI BW unter der Überschrift „Betriebsrat
– eigener Verantwortlicher im Sinne der DS-GVO? Ja!“ genau diese Auffassung
vertreten und ausgeführt, auch wenn zutreffen sollte, dass „die Mittel der Verarbeitung in der Regel durch den Arbeitgeber vorgegeben
werden“ zeige „die
aufsichtsrechtliche Erfahrung, dass die Frage, welches Mittel ein Betriebsrat
zur Erfüllung seiner Aufgaben nutzt, in der Regel durch diesen selbst bestimmt wird“.
Eine nähere Aufklärung, „welche aufsichtsrechtliche Erfahrung“ der LfDI BW konkret
gemacht haben will, erfolgt nicht. Auch die im Tätigkeitsbericht erwähnten
„gewichtigeren Argumente“ des LfDI BW für die eigene Entscheidung des
Betriebsrats über die konkreten Mittel der Verarbeitung bleiben ohne argumentative
Grundlage.
Die von Hartung geäußerte Kritik ist m.E.
berechtigt. Eine gute Übersicht zum Diskussionsstand „Betriebsrat als
Verantwortlicher“ findet sich im Werk auch bei Maschmann (§ 26 BDSG Rn. 16 und 16a) – allerdings wird die Diskussion
in arbeitsrechtlicher und datenschutzrechtlicher Kombination noch vertiefter und
umfassender erfolgen müssen, wobei die Funktionen, Befugnisse und Handlungsweisen
eines Betriebsrates sehr genau aus dem Blickwinkel beider Rechtsgebiete zu betrachten sein werden.
In Rn. 12 zu Art. 4 Nr.
7 beschäftigt sich Hartung mit der wichtigen
Frage der Mit-Verantwortlichkeit und
erwähnt die Entscheidungen des BVerwG vom 25.2.2016 und des OLG Düsseldorf vom
19.1.2017, mit denen der EuGH zur Vorab-Entscheidung über diese Frage angerufen
wurde. Die schon ergangenen Entscheidungen des EuGH (v. 5.8.2018 – C-210/16
bzw. v. 29.7.2019 – C-40/17) werden dort aber leider nicht erwähnt; sie sind
erst bei den Erörterungen von Hartung
zu Art. 26 (Rn. 26 und Rn. 38) zu finden.
Beschäftigt man sich
mit dem anwaltlichen Berufsrecht und den Bezügen zur DS-GVO, stößt man im Werk
auf die Kommentierung von Buchner/Petri
zu Art. 6. Es findet sich dort (Rn. 124) die Auseinandersetzung mit der DAV-Stellungnahme
39/2016. Der DAV – Deutscher Anwaltverein (nicht „Deutscher Anwaltsverband“,
wie in Fn. 240 bezeichnet) – hatte in dieser Stellungnahme die Forderung
aufgestellt, der deutsche Gesetzgeber
möge den Anwalt „von datenschutzrechtlichen
Pflichten im Interesse eines wirksamen Schutzes des Anwaltsgeheimnisses“
befreien, denn die Ausübung der Anwaltstätigkeit liege im Interesse der
Rechtspflege. Deshalb solle formuliert werden: „Die Verarbeitung personenbezogener Daten liegt im öffentlichen
Interesse gemäß Art. 6 Abs. 1 Satz 1 Buchstabe e DSGVO, wenn sie der
anwaltlichen Berufsausübung dient.“ Buchner/Petri
verneinen, dass Abs. 1 Buchstabe e) des Art. 6 unmittelbar anwendbar ist. Art.
6 bestimmt: „Die Verarbeitung ist nur
rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist: … e)
die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt
erfolgt, die dem Verantwortlichen übertragen wurde; …“.
Hier könnte man aber durchaus darüber diskutieren, ob die rechtsanwaltliche
Tätigkeit – soweit sie den Kernbereich
der Rechtspflege, also die reine Rechtsvertretung betrifft – nicht doch als im
„öffentlichen Interesse“ liegend betrachtet werden kann. Immerhin ist der
Rechtsanwalt „ein unabhängiges Organ der
Rechtspflege“, § 1 BRAO. Die Argumente von Buchner/Petri, die Tätigkeit von Rechtsanwälten „sei vielfältig und damit mitnichten auf die
Rechtspflege beschränkt“ und außerdem durch „Staatsferne“ gekennzeichnet, treffen m.E. den wirklichen Kern
rechtsanwaltlicher Tätigkeit nicht. Gerade eine „Staatsferne“ – man kann auch
sagen „eine Freiheit von staatlicher Beeinflussung“ – zeichnet die
rechtsanwaltliche Tätigkeit in einem demokratischen Gemeinwesen aus und die
Tätigkeit unabhängiger Organe steht im Interesse des Rechtsstaats.
Bei einem Werk von ca.
1.850 Seiten können sich meine Erörterungen nur auf einige wenige
„Schlaglichter“ beschränken. Aber auch alle weiteren von mir stichprobenartig im
Werk angelesenen Problembereiche haben mir umfassende Erkenntnisse und
Überlegungsansätze geliefert. Mein Gesamtfazit
fällt deshalb sehr positiv aus. Das Werk bietet eine Fülle von grundlegenden
Einschätzungen, kritischen Beurteilungen und Meinungen der Bearbeiter, sowie
umfassende Literatur- und Rechtsprechungshinweise. Diese Hinweise sind, soweit
es die rasante Entwicklung überhaupt zulässt, sehr aktuell. Empfehlenswert ist
das Werk m.E. aus diesem Grund auch für Rechtsanwältinnen und Rechtsanwälte,
die nicht ständig mit dem Datenschutzrecht konfrontiert werden.