Quantcast
Viewing all articles
Browse latest Browse all 2719

Rezension: General Data Protection Regulation

Spiecker gen. Döhmann / Papakonstantinou / Hornung / De Hert (Hrsg.), General Data Protection Regulation, 1. Auflage, Beck/Nomos/Hart 2023

Von Wirtschaftsjurist Dr. iur. Christian Paul Starke, LL.M., Wiehl

Der Volksmund sagt bekanntlich: „Was lange währt, wird endlich gut!“ Nach zahlreichen Verschiebungen ist im September 2023 endlich der – ursprünglich für Anfang 2022 angekündigte – international ausgerichtete und folgerichtig in englischer Sprache verfasste, von Indra Spiecker gen. Döhmann, Vagelis Papakonstantinou, Gerrit Hornung und Paul De Hert herausgegebene Kommentar zur DSGVO erschienen. Nach so langer Wartezeit und mit Blick auf die großen Namen der Herausgeber – Indra Spiecker gen. Döhmann und Gerrit Hornung werden dem datenschutzaffinen Leser bereits als Mit-Herausgeber des fantastischen DSGVO-Kommentars des leider im letzten Jahr verschiedenen Spiros Simitis bekannt sein – und Bearbeiter sind die Erwartungen natürlich sehr hoch. Umso gespannter darf man sein, ob das Werk diesen hohen Ansprüchen genügen kann.

Das Werk umfasst insgesamt rund 1.200 Seiten für die 99 Artikel der DSGVO inklusive einer 75-seitigen Einleitung. Bei der Orientierung im Werk wird der Leser durch ein sehr umfangreiches, 40 Seiten umfassendes Stichwortverzeichnis unterstützt. Dessen Orientierungsfunktion wird zudem durch ein Inhaltsverzeichnis für die jeweilige Einzelkommentierung sowie durch im laufenden Text enthaltene Hervorhebungen wesentlicher Begrifflichkeiten in Fettdruck ergänzt. Die Auswahl der Begriffe ist dabei meist gut gelungen und erleichtert das Auffinden der relevanten Abschnitte, zumal die Verwendung des Fettdrucks sparsam erfolgt und damit ihrer Highlighter-Funktion gerecht wird. Ein umfassendes Literaturverzeichnis sucht man hingegen vergeblich – stattdessen gibt es zu Beginn jeder Kommentierung eine spezifische Literaturliste mit den verwendeten Werken. Diese bietet eine gute Unterstützung bei der Recherche zu konkreten Spezialproblemen, ist häufig aber doch verhältnismäßig kurz.

Die Kommentierungen befinden sich auf dem Rechtsstand von Anfang 2023. Somit sind zahlreiche wegweisende Entscheidungen des EuGH aus dem gerade abgelaufenen Jahr – z.B. das Facebook-Urteil zur Rechtmäßigkeit der Verarbeitung, das Urteil zu den Voraussetzungen des datenschutzrechtlichen Schadensersatzanspruchs in der Rechtssache Österreichische Post und die Entscheidung über den Einwand des Rechtmissbrauchs bei datenschutzfremd motivierten Auskunftsersuchen – notwendigerweise unberücksichtigt geblieben. Dies ist zu bedauern, hat der EuGH doch gerade mit diesen Entscheidungen für Rechtssicherheit bei zentralen Streitfragen gesorgt.

Die Kommentierung der jeweiligen Norm beginnt stets mit einer allgemeinen Einführung, in der insbesondere Sinn und Zweck der Regelung beleuchtet werden, eine Einordnung in den Gesamtkontext des europäischen Rechts erfolgt und die Norm in den historischen Kontext – insbesondere mit Blick auf die alte Datenschutz-Richtlinie und das Gesetzgebungsverfahren zur DSGVO – eingeordnet wird. Hieraus lassen sich zahlreiche wertvolle Erkenntnisse für die Auslegung gewinnen. Danach folgen die Einzeldarstellungen, die sich in ihrem Aufbau unmittelbar an der Normstruktur orientieren. Diese Kommentierungen lassen in ihrem Detailgrad leider häufiger Tiefe und Vollständigkeit der Darstellung vermissen. Exemplarisch sei hier zunächst Art. 15 Abs. 4 DSGVO herausgegriffen, bei dem die Frage, ob die Einschränkung des Ausnahmetatbestands allein auf das Recht auf Kopie – unter Ausklammerung des Rechts auf Auskunft – vom Gesetzgeber so gewollt war oder ein bloßes Redaktionsversehen darstellt, nicht näher thematisiert, sondern belegt durch eine einzige Fundstelle als Fakt dargestellt wird. Auch wird die Frage, welche Rechte neben den namentlich in den Erwägungsgründen benannten Urheberrechten und Geschäftsgeheimnissen noch eine Einschränkung des Rechts auf Kopie rechtfertigen können, kaum beleuchtet. Ähnlich verhält es sich bei der – in der Praxis bis zur Entscheidung des EuGH im Oktober 2023 sehr wichtigen – Frage, ob der Einwand des Rechtsmissbrauchs einem Auskunftsersuchen gem. Art. 15 DSGVO entgegengehalten werden kann, welches offenkundig ausschließlich datenschutzfremde Zwecke verfolgt. Hier fehlt jegliche Auseinandersetzung mit der in der deutschen Rechtsprechung lebhaft geführten Diskussion – stattdessen wird im Wesentlichen nur auf die Vorlage des BGH an den EuGH aus März 2022 hingewiesen. Dies wird dem Ausmaß der praktischen Bedeutung und der Uneinigkeit in der deutschen Rechtsprechung in den letzten Jahren nicht gerecht. Gerade an dieser Stelle wäre es für deutsche Nutzer interessant gewesen, zu erfahren, ob eine vergleichbare Diskussion auch in anderen Rechtsordnungen geführt wird, und umgekehrt für Nutzer aus anderen Staaten ein Hinweis auf die in Deutschland geführte Diskussion für ihre Argumentation in Auseinandersetzungen mit Betroffenen und/oder Aufsichtsbehörden nützlich gewesen. Ein ähnlicher Befund ergibt sich auch bei Art. 82 DSGVO hinsichtlich der – lange Zeit stark umstrittenen – Frage, ob bereits die Verletzung der DSGVO zur Begründung eines Schadens und damit eines Schadensersatzanspruchs des Betroffenen genügt. Diese – in Deutschland insbesondere von den Arbeitsgerichten vertretene – Position findet in der Kommentierung bedauerlicherweise keinerlei Erwähnung. Gerade bei einem solch risikobehafteten Thema wie dem Schadensersatzanspruch wäre es für den praktischen Rechtsanwender – sei er Anwalt oder Unternehmensjurist – spannend gewesen, einen Überblick über die Rechtsprechungspraxis in den verschiedenen EU-Staaten zu erhalten, um sich ein fundiertes Bild machen und somit die Risiken beurteilen zu können. Zumindest hätte aber ein Hinweis auf den Meinungsstreit und ein Fußnotenverweis auf eine ausführliche Darstellung der Positionen zum Pflichtprogramm einer vollständigen Kommentierung gehört.

Insgesamt kann dem Werk somit leider nur ein durchwachsenes Zeugnis ausgestellt werden. Zwar ist es äußerst erfrischend, dass nun endlich auch für den deutschen Nutzer ein Werk bereitsteht, dass die DSGVO nicht schwerpunktmäßig durch die nationale Brille betrachtet, sondern den Blick über den deutschen Tellerrand hinaus schweifen lässt und sich mit den Auslegungen in anderen Mitgliedsstaaten auseinandersetzt. Zu bedauern ist dabei allerdings, dass die Analyse der Rechtsprechung sich in weiten Teilen auf den EuGH beschränkt, dessen Urteile den meisten Lesern ohnehin bekannt sein dürften – für die eigene Argumentation gegenüber Betroffenen, Aufsichtsbehörden und Gerichten wäre es aber gerade interessant gewesen, zu erfahren, wie andere nationale Gerichte die Regelungen auslegen. Zudem macht sich bemerkbar, dass eine Vielzahl der Autoren aufseiten der Aufsichtsbehörden verwurzelt sind, weshalb es häufig an einer kritischen Auseinandersetzung mit den strengen Ansichten des EDSA und der nationalen Aufsichtsbehörden fehlt, welche in vielen Fällen dringend geboten wäre, um die DSGVO für die Praxis handhabbar zu machen. Allgemein fällt auf, dass zahlreiche Meinungsstreite nicht thematisiert, sondern eine Position ohne Hinweis darauf, dass diese umstritten ist, dargestellt wird. Folglich kann das Werk gerade Unternehmensjuristen und Anwälten, welche primär Unternehmen beraten, sowie Richtern nicht empfohlen werden, da es wesentliche Diskussionen und Positionen, die für den Verantwortlichen vorteilhaft sind, auslässt. Dies ist sehr zu bedauern und sollte in der nächsten Auflage durch eine ausgeglichenere Darstellung korrigiert werden.


Viewing all articles
Browse latest Browse all 2719