Spiecker gen. Döhmann / Papakonstantinou / Hornung / De Hert (Hrsg.), General Data Protection Regulation, 1. Auflage, Beck/Nomos/Hart 2023
Von Wirtschaftsjurist Dr. iur.
Christian Paul Starke, LL.M., Wiehl
Der Volksmund sagt bekanntlich: „Was lange währt, wird endlich gut!“
Nach zahlreichen Verschiebungen ist im September 2023 endlich der –
ursprünglich für Anfang 2022 angekündigte – international ausgerichtete und
folgerichtig in englischer Sprache verfasste, von Indra Spiecker gen. Döhmann,
Vagelis Papakonstantinou, Gerrit Hornung und Paul De Hert herausgegebene
Kommentar zur DSGVO erschienen. Nach so langer Wartezeit und mit Blick auf die
großen Namen der Herausgeber – Indra Spiecker gen. Döhmann und Gerrit Hornung
werden dem datenschutzaffinen Leser bereits als Mit-Herausgeber des
fantastischen DSGVO-Kommentars des leider im letzten Jahr verschiedenen Spiros
Simitis bekannt sein – und Bearbeiter sind die Erwartungen natürlich sehr hoch.
Umso gespannter darf man sein, ob das Werk diesen hohen Ansprüchen genügen
kann.
Das Werk umfasst insgesamt rund 1.200 Seiten für die 99 Artikel der
DSGVO inklusive einer 75-seitigen Einleitung. Bei der Orientierung im Werk wird
der Leser durch ein sehr umfangreiches, 40 Seiten umfassendes
Stichwortverzeichnis unterstützt. Dessen Orientierungsfunktion wird zudem durch ein
Inhaltsverzeichnis für die jeweilige Einzelkommentierung sowie durch im
laufenden Text enthaltene Hervorhebungen wesentlicher Begrifflichkeiten in
Fettdruck ergänzt. Die Auswahl der Begriffe ist dabei meist gut gelungen und
erleichtert das Auffinden der relevanten Abschnitte, zumal die Verwendung des
Fettdrucks sparsam erfolgt und damit ihrer Highlighter-Funktion gerecht wird. Ein umfassendes Literaturverzeichnis
sucht man hingegen vergeblich – stattdessen gibt es zu Beginn jeder
Kommentierung eine spezifische Literaturliste mit den verwendeten Werken. Diese
bietet eine gute Unterstützung bei der Recherche zu konkreten Spezialproblemen,
ist häufig aber doch verhältnismäßig kurz.
Die Kommentierungen befinden sich auf dem Rechtsstand von Anfang 2023.
Somit sind zahlreiche wegweisende Entscheidungen des EuGH aus dem gerade
abgelaufenen Jahr – z.B. das Facebook-Urteil zur Rechtmäßigkeit der
Verarbeitung, das Urteil zu den Voraussetzungen des datenschutzrechtlichen
Schadensersatzanspruchs in der Rechtssache Österreichische Post und die
Entscheidung über den Einwand des Rechtmissbrauchs bei datenschutzfremd motivierten
Auskunftsersuchen – notwendigerweise unberücksichtigt geblieben. Dies ist zu
bedauern, hat der EuGH doch gerade mit diesen Entscheidungen für
Rechtssicherheit bei zentralen Streitfragen gesorgt.
Die Kommentierung der jeweiligen
Norm beginnt stets mit einer allgemeinen Einführung, in der insbesondere Sinn
und Zweck der Regelung beleuchtet werden, eine Einordnung in den Gesamtkontext
des europäischen Rechts erfolgt und die Norm in den historischen Kontext –
insbesondere mit Blick auf die alte Datenschutz-Richtlinie und das
Gesetzgebungsverfahren zur DSGVO – eingeordnet wird. Hieraus lassen sich
zahlreiche wertvolle Erkenntnisse für die Auslegung gewinnen. Danach folgen die
Einzeldarstellungen, die sich in ihrem Aufbau unmittelbar an der Normstruktur
orientieren. Diese Kommentierungen lassen in ihrem Detailgrad leider häufiger
Tiefe und Vollständigkeit der Darstellung vermissen. Exemplarisch sei hier
zunächst Art. 15 Abs. 4 DSGVO herausgegriffen, bei dem die Frage, ob die
Einschränkung des Ausnahmetatbestands allein auf das Recht auf Kopie – unter
Ausklammerung des Rechts auf Auskunft – vom Gesetzgeber so gewollt war oder ein
bloßes Redaktionsversehen darstellt, nicht näher thematisiert, sondern belegt
durch eine einzige Fundstelle als Fakt dargestellt wird. Auch wird die Frage,
welche Rechte neben den namentlich in den Erwägungsgründen benannten
Urheberrechten und Geschäftsgeheimnissen noch eine Einschränkung des Rechts auf
Kopie rechtfertigen können, kaum beleuchtet. Ähnlich verhält es sich bei der –
in der Praxis bis zur Entscheidung des EuGH im Oktober 2023 sehr wichtigen –
Frage, ob der Einwand des Rechtsmissbrauchs einem Auskunftsersuchen gem. Art.
15 DSGVO entgegengehalten werden kann, welches offenkundig ausschließlich datenschutzfremde
Zwecke verfolgt. Hier fehlt jegliche Auseinandersetzung mit der in der
deutschen Rechtsprechung lebhaft geführten Diskussion – stattdessen wird im
Wesentlichen nur auf die Vorlage des BGH an den EuGH aus März 2022 hingewiesen.
Dies wird dem Ausmaß der praktischen Bedeutung und der Uneinigkeit in der
deutschen Rechtsprechung in den letzten Jahren nicht gerecht. Gerade an dieser
Stelle wäre es für deutsche Nutzer interessant gewesen, zu erfahren, ob eine
vergleichbare Diskussion auch in anderen Rechtsordnungen geführt wird, und
umgekehrt für Nutzer aus anderen Staaten ein Hinweis auf die in Deutschland geführte
Diskussion für ihre Argumentation in Auseinandersetzungen mit Betroffenen
und/oder Aufsichtsbehörden nützlich gewesen. Ein ähnlicher Befund ergibt sich
auch bei Art. 82 DSGVO hinsichtlich der – lange Zeit stark umstrittenen –
Frage, ob bereits die Verletzung der DSGVO zur Begründung eines Schadens und
damit eines Schadensersatzanspruchs des Betroffenen genügt. Diese – in
Deutschland insbesondere von den Arbeitsgerichten vertretene – Position findet
in der Kommentierung bedauerlicherweise keinerlei Erwähnung. Gerade bei einem
solch risikobehafteten Thema wie dem Schadensersatzanspruch wäre es für den
praktischen Rechtsanwender – sei er Anwalt oder Unternehmensjurist – spannend
gewesen, einen Überblick über die Rechtsprechungspraxis in den verschiedenen
EU-Staaten zu erhalten, um sich ein fundiertes Bild machen und somit die
Risiken beurteilen zu können. Zumindest hätte aber ein Hinweis auf den
Meinungsstreit und ein Fußnotenverweis auf eine ausführliche Darstellung der
Positionen zum Pflichtprogramm einer vollständigen Kommentierung gehört.
Insgesamt kann dem Werk
somit leider nur ein durchwachsenes Zeugnis ausgestellt werden. Zwar ist es
äußerst erfrischend, dass nun endlich auch für den deutschen Nutzer ein Werk
bereitsteht, dass die DSGVO nicht schwerpunktmäßig durch die nationale Brille
betrachtet, sondern den Blick über den deutschen Tellerrand hinaus schweifen
lässt und sich mit den Auslegungen in anderen Mitgliedsstaaten
auseinandersetzt. Zu bedauern ist dabei allerdings, dass die Analyse der
Rechtsprechung sich in weiten Teilen auf den EuGH beschränkt, dessen Urteile
den meisten Lesern ohnehin bekannt sein dürften – für die eigene Argumentation
gegenüber Betroffenen, Aufsichtsbehörden und Gerichten wäre es aber gerade
interessant gewesen, zu erfahren, wie andere nationale Gerichte die Regelungen
auslegen. Zudem macht sich bemerkbar, dass eine Vielzahl der Autoren aufseiten
der Aufsichtsbehörden verwurzelt sind, weshalb es häufig an einer kritischen
Auseinandersetzung mit den strengen Ansichten des EDSA und der nationalen
Aufsichtsbehörden fehlt, welche in vielen Fällen dringend geboten wäre, um die
DSGVO für die Praxis handhabbar zu machen. Allgemein fällt auf, dass zahlreiche
Meinungsstreite nicht thematisiert, sondern eine Position ohne Hinweis darauf,
dass diese umstritten ist, dargestellt wird. Folglich kann das Werk gerade
Unternehmensjuristen und Anwälten, welche primär Unternehmen beraten, sowie
Richtern nicht empfohlen werden, da es wesentliche Diskussionen und Positionen,
die für den Verantwortlichen vorteilhaft sind, auslässt. Dies ist sehr zu
bedauern und sollte in der nächsten Auflage durch eine ausgeglichenere
Darstellung korrigiert werden.