Kühling / Buchner, Datenschutz-Grundverordnung - BDSG, 3. Auflage, C.H. Beck 2020
Von Rechtsanwalt / Fachanwalt für Miet- und Wohnungseigentumsrecht / Fachanwalt für Arbeitsrecht Wilfried J. Köhler, Köln
Die nunmehr vorgelegte 3. Auflage des Kommentars zur DS-GVO und zum BDSG stellt auf ca. 1.850 Seiten erneut den Datenschutz auf der Grundlage des europäischen und bundesdeutschen Rechts dar. Herausgeber sind die Professoren Jürgen Kühling, Regensburg, und Benedikt Buchner, Bremen, die bei der Kommentierung des umfangreichen Stoffs von 21 weiteren Fachleuten des Datenschutzrechts begleitet werden.
Dem Einführungskapitel, den Artikeln der DS-GVO und den Paragrafen des BDSG – und darüber hinaus auch den Untergliederungen der einzelnen Bestimmungen – sind jeweils umfangreiche Literaturverzeichnisse vorangestellt, die eine Fundgrube für weitergehende Recherchen darstellen und einen Zugriff auf die einschlägige Literatur möglich machen.
Im aufschlussreichen Einführungskapitel – Abschnitt über die „grundrechtliche Steuerung des EU-Datenschutzrechts“– weisen Kühling/Raab darauf hin, dass die „Europäisierung des Datenschutzrechts wenig Anlass zur Sorge um die Gefährdung deutscher Grundrechtsstandards bietet“ und zeigen u.a. die Einflüsse der EMRK und der Grundrechtecharta auf die Entwicklung des europäischen Datenschutzes auf. Auch weitere internationale Standards (der OECD, der Vereinten Nationen und des Europarats) haben die Entwicklung des europäischen Datenschutzrechts bereits bei der Richtlinie 95/46/EG beeinflusst. Eingehend werden sodann (Einführung, ab Rn. 46) die europäischen Harmonisierungsmaßnahmen beschrieben, die schließlich mit der DS-GVO endeten.
In der Zeit zwischen der Unterzeichnung der DS-GVO durch die Präsidenten des Europäischen Parlaments und des Europäischen Rats (27.4.2016) und dem Datum, ab dem die Verordnung ihre Gültigkeit erlangte (25.5.2018), hatte die breite Öffentlichkeit von dieser Rechtssetzung kaum Kenntnis genommen. Obwohl die Europäische Kommission den Verordnungs-Vorschlag der damaligen EU-Justiz-Kommissarin Viviane Reding schon im Januar 2012 angenommen hatte und er in den Datenschutz-Fachkreisen eingehend diskutiert wurde, beschäftigten sich fast nur Groß-Unternehmen mit der Vorbereitung auf das neue Datenschutzrecht. KMU-Unternehmen und deren Beraterinnen und Berater hatten offensichtlich kein besonderes datenschutzrechtliches Problembewusstsein. Nicht verwunderlich, dass eine regelrechte Datenschutz-Panik in der Öffentlichkeit und bei kleinsten, kleinen und mittleren Unternehmen ausbrach, als Presse, Funk und Fernsehen Ende 2017/Anfang 2018 auf die nunmehr unmittelbar bevorstehende Geltung der DS-GVO hinwiesen und (als publizistisches „Highlight“) die in der DS-GVO verankerten drastischen Sanktionsmöglichkeiten herausstellten.
Erst ab diesem Zeitpunkt beschäftigten sich auch Berater, die Datenschutzrecht nur als Nebengebiet betreiben, mit dem komplexen Thema. Bei der dringend anstehenden Beschäftigung mit diesem komplexen Thema half Unternehmen und beratenden Rechtsanwaltskanzleien schon 2018 die erschienene 2. Auflage des vorliegenden Werks. Die jetzige 3. Auflage setzt diese Hilfestellung in beeindruckender Weise fort.
Die „Panik“-Diskussion Ende 2017 / Anfang 2018 drehte sich vorwiegend um die drohenden Sanktionen bei Verletzung des Datenschutzrechts und um die Frage, welche Arbeits- und Lebensbereiche überhaupt von der DS-GVO erfasst werden (man denke an die abwegige Klingeltableau-Diskussion, die von Verwalterverbänden aufgebracht und von der Boulevardpresse aufgegriffen wurde). Diese Diskussionspunkte sind in der Zwischenzeit völlig verschwunden und durch Fragen im Zusammenhang mit der Corona-Pandemie abgelöst worden. Dabei geht es u.a. um die Corona-App (Fragen der Freiwilligkeit und der Kontaktnachverfolgung) und um die Corona-Schutzverordnungen der Länder, die die Führung von Besucherlisten für z.B. Gaststätten, Frisörbetriebe pp vorsahen (und vorsehen).
Diese aktuellen Probleme werden in dem Werk bereits angesprochen [Art. 1 Rn. 108; Art. 6 Rn. 219 f; Art. 7 Rn. 42 (FN 56); Art. 70 Rn. 9], allerdings nicht sehr ausführlich. Das ist aber im Hinblick auf den Bearbeitungsstand und das Erscheinungsdatum des Werks sowie die rasante Entwicklung der Pandemie und die damit verbundene – nicht wirklich stringente – Rechtssetzung der Bundesländer verständlich und für die Beurteilung des Werks vernachlässigbar.
Wer sich mit weiteren Überlegungen zu dem Thema „Corona-App“ beschäftigen will, findet dies u.a. in dem in der Fußnote 56 (zu Art. 7 Rn. 42) genannten Beitrag von Kühling/Schildbach, Corona-Apps – Daten- und Grundrechtsschutz in Krisenzeiten, NJW 2020, 1545 ff., - und zum Diskussionsgegenstand „Kontaktdaten“ in zwei neueren gerichtlichen Entscheidungen. Der VGH Baden-Württemberg, Beschl. v. 25.6.2020 – 1 S 1739/20, ZD 2020, 655, hält die Verpflichtung zur Erfassung von Kontaktdaten bei dem Besuch von Gaststätten für (voraussichtlich) verfassungsgemäß und mit den Vorschriften der DS-GVO vereinbar. Der VerfGH Saarland, Beschl. v. 28.8.2020 – Lv 15/20, ZD 2021, 35, sieht es demgegenüber als verfassungswidrig an, wenn private Personen ohne parlamentarische gesetzliche Grundlage zur Erhebung personenbezogener Daten verpflichtet werden; Art. 6 DS-GVO enthalte keine Befugnis zur Erhebung von personenbezogenen Daten,sondern ausschließlich eine Begrenzung der Rechtmäßigkeitder auf anderer Rechtsgrundlage zu erhebenden Daten. Die vom VerfGH beurteilte Corona-Schutzverordnung hatte verpflichtend vorgeschrieben, dass Gaststätten- und andere Gastronomiebetriebe, kulturelle und kirchliche Einrichtungen und Veranstaltungen, Inhaber von Indoor-Spielplätzen oder Bestattungseinrichtungen usw., Vor- und Familienname, Wohnort und Erreichbarkeit sowie die Ankunftszeit je eines Vertreters der anwesenden Haushalte zu erfassen, die Informationen aufzubewahren und auf Anforderung an die Gesundheitsbehörden auszuhändigen haben.
KMU-Unternehmen wurden von mir im Zusammenhang mit ihrer geringen Vorbereitungsarbeit bereits oben angesprochen. Auch für diese Kleinstunternehmen, kleinen und mittleren Unternehmen gilt die DS-GVO. Art. 30 DS-GVO verpflichtet jeden „Verantwortlichen“, ein Verzeichnis aller Verarbeitungstätigkeiten zu führen. Allerdings wollte der europäische Verordnungsgeber solche KMU-Unternehmen vor einem überbordenden und hohen Verwaltungsaufwand schütze. In Absatz 5 des Art. 30 DS-GVO hat er nämlich eine Ausnahmeregelung für Unternehmen mit weniger als 250 Mitarbeitern aufgenommen, gleichzeitig aber wieder Rückausnahmen eingebaut. Die Pflichten des Art. 30 sollen nicht für Unternehmen oder Einrichtungen gelten, die weniger als 250 Mitarbeiter beschäftigen, „es sei denn, die von ihnen vorgenommene Verarbeitung birgt ein Risiko für die Rechte und Freiheiten der betroffenen Personen, die Verarbeitung erfolgt nicht nur gelegentlich oder es erfolgt eine Verarbeitung besonderer Datenkategorien gemäß Artikel 9 Absatz 1 …“.
Über die Auslegung dieser Ausnahme- / Rückausnahme-Klausel bestehen unterschiedliche Auffassungen. Nach einer Meinung sind die Rückausnahmen in Art. 30 eng auszulegen, um das im Erwägungsgrund 13 zur DS-GVO postulierte Ziel zu erreichen, KMUs von der Verzeichnisführung zu entlasten. Hartung (Art. 30 Rn. 34 ff) folgt bei seiner Auslegung aber sehr deutlich der strengeren Auffassung der Datenschutzkonferenz und kommt deshalb zum Ergebnis, dass für die Ausnahmen des Abs. 5 wegen der Gegenausnahmen „kaum ein nennenswerter Anwendungsbereich verbleiben dürfte“ (Art. 30 Rn. 39).
Der von der Datenschutzkonferenz (DSK) verbreiteten Meinung kann m.E. jedoch nur mit großer Skepsis begegnet werden – und es ist zu hoffen, dass der EuGH eine Klärung herbeiführt. Die DSK propagiert – schon aufgrund ihrer Zusammensetzung – die behördliche (deutsche) Sichtweise. Soweit sie auch noch die Auffassung vertritt, der europäische Begriff „nicht nur gelegentlich“ ersetze nur das „regelmäßig“ des BDSG, weshalb die DSK auch bei der deutschen Auslegung des Begriffs bleibt (DSK, Hinweise zum Verzeichnis von Verarbeitungstätigkeiten, Art. 30 DS-GVO,Stand Febr. 2018, Seite 4), wird m.E. die europäische autonome Auslegungstradition für Rechtsbegriffe nicht beachtet (vgl. zu dieser Auslegungstradition u.a. EuGH, Urt. v. 23.10.2014 – C-302/13, GRUR Int 2014, 1172). Ein europäischer Begriff kann nicht anhand deutscher Begrifflichkeiten ausgelegt werden.
Eine stärkere Auseinandersetzung mit der Ausnahme- / Gegenausnahmeregel – insbesondere abseits „behördlicher“ Auffassungen – erschiene mir deshalb sehr sinnvoll und wünschenswert.
Einer der zentralen datenschutzrechtlichen Begriffe, so Hartung, Art. 4 Nr. 7, Rn. 5, ist der des Verantwortlichen. Die Auslegung dieses Begriffs ist entscheidend dafür, wem die datenschutzrechtliche Verantwortung zugerechnet werden kann. Hartung orientiert sich dabei an den Auslegungen der Art.-29-Datenschutzgruppe; diese amtiert zwar nicht mehr [sie ist seit dem Wirksamwerden der DS-GVO vom Europäischen Datenschutzausschuss (European Data Protection Board – EDPD) abgelöst worden, Art. 68 DS-GVO], ihre Äußerungen wirken aber durchaus noch nach. Unklar ist allerdings, ob der Europäische Datenschutzausschuss allen Auffassungen der Art.-29-Datenschutzgruppe folgen wird. Ganz umfassend wird der Europäische Datenschutzausschuss von Dixin der Kommentierung zu den Art. 68 – 76 (Kap. VII, Abschn. 3 der DS-GVO) behandelt.
Prägnant stellt Hartung die Entstehungsgeschichte des Begriffs und die einzelnen Merkmale für die Bestimmung des Verantwortlichen dar. Für die Bezüge zwischen Datenschutz und Arbeitsrecht wichtig ist die Erörterung der Frage, wie die Betriebs- und Personalräte datenschutzrechtlich einzuordnen sind. M.E. völlig zu Recht übt Hartung Kritik (Art. 4 Nr. 7 Rn. 11 f) an der Auffassung des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI BW), der Betriebsrat könne als Verantwortlicher im Sinne der DS-GVO betrachtet werden. Im 34. Tätigkeitsbericht für 2018 vom 7.6.2019, Seite 37, hatte der LfDI BW unter der Überschrift „Betriebsrat – eigener Verantwortlicher im Sinne der DS-GVO? Ja!“ genau diese Auffassung vertreten und ausgeführt, auch wenn zutreffen sollte, dass „die Mittel der Verarbeitung in der Regel durch den Arbeitgeber vorgegeben werden“ zeige „die aufsichtsrechtliche Erfahrung, dass die Frage, welches Mittel ein Betriebsrat zur Erfüllung seiner Aufgaben nutzt, in der Regel durch diesen selbst bestimmt wird“. Eine nähere Aufklärung, „welche aufsichtsrechtliche Erfahrung“ der LfDI BW konkret gemacht haben will, erfolgt nicht. Auch die im Tätigkeitsbericht erwähnten „gewichtigeren Argumente“ des LfDI BW für die eigene Entscheidung des Betriebsrats über die konkreten Mittel der Verarbeitung bleiben ohne argumentative Grundlage.
Die von Hartung geäußerte Kritik ist m.E. berechtigt. Eine gute Übersicht zum Diskussionsstand „Betriebsrat als Verantwortlicher“ findet sich im Werk auch bei Maschmann (§ 26 BDSG Rn. 16 und 16a) – allerdings wird die Diskussion in arbeitsrechtlicher und datenschutzrechtlicher Kombination noch vertiefter und umfassender erfolgen müssen, wobei die Funktionen, Befugnisse und Handlungsweisen eines Betriebsrates sehr genau aus dem Blickwinkel beider Rechtsgebiete zu betrachten sein werden.
In Rn. 12 zu Art. 4 Nr. 7 beschäftigt sich Hartung mit der wichtigen Frage der Mit-Verantwortlichkeit und erwähnt die Entscheidungen des BVerwG vom 25.2.2016 und des OLG Düsseldorf vom 19.1.2017, mit denen der EuGH zur Vorab-Entscheidung über diese Frage angerufen wurde. Die schon ergangenen Entscheidungen des EuGH (v. 5.8.2018 – C-210/16 bzw. v. 29.7.2019 – C-40/17) werden dort aber leider nicht erwähnt; sie sind erst bei den Erörterungen von Hartungzu Art. 26 (Rn. 26 und Rn. 38) zu finden.
Beschäftigt man sich mit dem anwaltlichen Berufsrecht und den Bezügen zur DS-GVO, stößt man im Werk auf die Kommentierung von Buchner/Petrizu Art. 6. Es findet sich dort (Rn. 124) die Auseinandersetzung mit der DAV-Stellungnahme 39/2016. Der DAV – Deutscher Anwaltverein (nicht „Deutscher Anwaltsverband“, wie in Fn. 240 bezeichnet) – hatte in dieser Stellungnahme die Forderung aufgestellt, der deutsche Gesetzgebermöge den Anwalt„von datenschutzrechtlichen Pflichten im Interesse eines wirksamen Schutzes des Anwaltsgeheimnisses“befreien, denn die Ausübung der Anwaltstätigkeit liege im Interesse der Rechtspflege. Deshalb solle formuliert werden: „Die Verarbeitung personenbezogener Daten liegt im öffentlichen Interesse gemäß Art. 6 Abs. 1 Satz 1 Buchstabe e DSGVO, wenn sie der anwaltlichen Berufsausübung dient.“Buchner/Petriverneinen, dass Abs. 1 Buchstabe e) des Art. 6 unmittelbar anwendbar ist. Art. 6 bestimmt: „Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist: …e) die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalterfolgt, die dem Verantwortlichen übertragen wurde; …“. Hier könnte man aber durchaus darüber diskutieren, ob die rechtsanwaltliche Tätigkeit – soweit sie den Kernbereichder Rechtspflege, also die reine Rechtsvertretung betrifft – nicht doch als im „öffentlichen Interesse“ liegend betrachtet werden kann. Immerhin ist der Rechtsanwalt „ein unabhängiges Organ der Rechtspflege“, § 1 BRAO. Die Argumente von Buchner/Petri, die Tätigkeit von Rechtsanwälten „sei vielfältig und damit mitnichten auf die Rechtspflege beschränkt“ und außerdem durch „Staatsferne“ gekennzeichnet, treffen m.E. den wirklichen Kern rechtsanwaltlicher Tätigkeit nicht. Gerade eine „Staatsferne“ – man kann auch sagen „eine Freiheit von staatlicher Beeinflussung“ – zeichnet die rechtsanwaltliche Tätigkeit in einem demokratischen Gemeinwesen aus und die Tätigkeit unabhängiger Organe steht im Interesse des Rechtsstaats.
Bei einem Werk von ca. 1.850 Seiten können sich meine Erörterungen nur auf einige wenige „Schlaglichter“ beschränken. Aber auch alle weiteren von mir stichprobenartig im Werk angelesenen Problembereiche haben mir umfassende Erkenntnisse und Überlegungsansätze geliefert. Mein Gesamtfazitfällt deshalb sehr positiv aus. Das Werk bietet eine Fülle von grundlegenden Einschätzungen, kritischen Beurteilungen und Meinungen der Bearbeiter, sowie umfassende Literatur- und Rechtsprechungshinweise. Diese Hinweise sind, soweit es die rasante Entwicklung überhaupt zulässt, sehr aktuell. Empfehlenswert ist das Werk m.E. aus diesem Grund auch für Rechtsanwältinnen und Rechtsanwälte, die nichtständig mit dem Datenschutzrecht konfrontiert werden.