DA+

Literaturhinweis : Heidelberger Kommentar – Datenschutz-Grundverordnung/ Bundesdatenschutzgesetz : aus der RDV 5/2020, Seite 283 bis 284

Prof. Dr. Rolf Schwartmann/Andreas Jaspers/Prof. Dr. Gregor Thüsing/ Prof. Dr. Dieter Kugelmann (Hrsg.), Heidelberger Kommentar – Datenschutz-Grundverordnung/Bundesdatenschutzgesetz, 2. Auflage, C.F. Müller-Verlag, Heidelberg 2020, 2059 S., 189 €

Archiv RDV
Lesezeit 4 Min.

Digitalisierung steht nicht erst seit der Corona-Krise ganz oben auf der Agenda. Der technische Fortschritt ist aber begleitet von der Frage, wie die Daten zu schützen sind. Datenschutzrecht ist damit im allgemeinen Bewusstsein angekommen. Selten sind so viele Menschen täglich den Veränderungen begegnet, die ein Urteil des Bundesgerichtshofs ausgelöst hat. Jeder Internet-Nutzer – und wer ist das nicht? – wird mit Datenschutzerklärungen und Fragen zu Cookie-Einstellungen konfrontiert, seit der I. Zivilsenat klargestellt hat, dass Cookies regelmäßig nur mit aktiver Zustimmung des Nutzers gesetzt werden dürfen (BGH, Urteil vom 28. Mai 2020 – I ZR 7/16). Auch die Corona-App wurde vor allem im Hinblick auf Fragen des Datenschutzrechts diskutiert. Max Schrems‘ Sieg gegen Facebook (EuGH, Urteil vom 16.7.2020 – C-311/18) komplettiert den Reigen der datenschutzrechtlichen Top-Meldungen allein aus den letzten drei Monaten.

Kein Wunder also, dass der Heidelberger Kommentar zwei Jahre nach Wirksamwerden der Datenschutzgrundverordnung (DS-GVO) ein „Update“ brauchte und nun in 2. Auflage erschienen ist. Unverändert ist die ungewöhnliche Breite an Erfahrungen, die die inzwischen 40 Autoren mitbringen. Neben Wissenschaftlern von Universitäten und Hochschulen finden sich unter den Autoren ein Landesdatenschutzbeauftragter und etliche Mitarbeiter von Landesdatenschutzbeauftragten, eine ehemalige Bundesjustizministerin, Vertreter der Gesellschaft für Datenschutz und Datensicherheit, Angehörige der Exekutive sowie etliche entsprechend spezialisierte Rechtsanwälte. Das spricht für Ausgewogenheit und Praxisnähe.

Anspruch der Neuauflage ist es, klare Einordnungen des komplexen Rechtsstandes zwischen europäischem und nationalem Recht vorzunehmen. Zugleich soll sie Impulse für einen sicheren und angemessenen Umgang mit den datenschutzrechtlichen Pflichten geben, wobei den Betroffenen effektiver Schutz ihrer Rechtspositionen gewährt und den Verantwortlichen datenschutzkonform Spielraum für ihre Geschäftsmodelle bleibt. Der Kommentar will also nicht nur die bisherige Rechtsentwicklung nachzeichnen, sondern auch auf aktuelle Entwicklungen schauen und Problembereiche benennen, in denen das Recht weiter zu entwickeln ist bzw. der rechtlichen Klärung bedarf. Dies gelingt dem Kommentar nach einer ersten Durchsicht überzeugend. Hier sollen zwei Bereiche näher dargestellt werden:

Wie reagiert der Kommentar auf aktuelle Entwicklungen? Hier fällt einem zunächst die Corona-Krise ein, die auch zahlreiche datenschutzrechtliche Fragestellungen aufs Tapet gebracht hat. Fragen zur „Corona-App“ werden in der Kommentierung zu Art. 4 Nr. 5 (Rn. 109) diskutiert. Dabei wird die Funktionsweise der offiziellen deutschen Corona-Warn-App eingehend dargestellt und bewertet. Das Thema wird dann u.a. wieder bei Art. 9 im Hinblick auf die Problematik der Verarbeitung gesundheitsbezogener Angaben (Rn. 10, 131 und 202) und auf arbeitsrechtliche Fragen (Rn. 140) aufgegriffen. Auch die durch die Corona-Krise besonders relevant gewordenen datenschutzrechtlichen Fragen bei der Nutzung von Videokonferenzdiensten werden erörtert (Art. 4 Rn. 168) sowie die Problematik der Erhebung von Kontaktdaten insbesondere in der Gastronomie (Art. 6 Rn. 10).

Das Versprechen von Aktualität löst der Kommentar also ein. Das zeigt sich auch darin, dass die in der Einleitung genannte Cookie-Entscheidung des BGH ebenfalls schon berücksichtigt ist (Art. 4 Rn. 219 sowie insbesondere Art. 6 Rn. 172 und 175 ff), wobei von besonderem Interesse die Gegenüberstellung zu der (bisher?) abweichenden Auffassung der Aufsichtsbehörden ist.

Grundsätzliches enthält der Kommentar im Anhang zu Art. 83 DS-GVO/§ 41 BDSG zur Frage, wie die Einhaltung des Datenschutzrechts durchzusetzen ist. Dabei gehen Schwartmann/Burkhardt zunächst auf das Verhältnis zwischen den Abhilfebefugnissen der Aufsichtsbehörden gemäß Art. 58 DS-GVO und den Sanktionsmöglichkeiten durch Verhängung von Geldbußen nach Art. 83 DS-GVO ein und empfehlen ein zweistufiges Vorgehen, bei dem die weniger eingriffsintensiven, vor allem in unklaren Situationen zugleich aber effektiveren Mittel der Anweisung und Anordnung Vorrang vor Geldbußen haben sollten (Rn. 28 f). Besonders kritisch setzen sich die genannten Autoren mit dem Konzept der Datenschutzkonferenz zur Bußgeldzumessung gegen Unternehmen auseinander. Die Verhängung von nach nationalen Maßstäben außergewöhnlich hohen Bußgeldern (so gegen die Deutsche Wohnen SE i.H.v. 14.5 Mio. € und die 1&1 Telecom GmbH i.H.v. 9.55 Mio. €) hat bereits aufhorchen lassen (s. hierzu auch Moos, K&R 2020, 569, 577 sowie Timner/Radlanski/Eisenfeld, CR 2019, 782 ff.). Wer hier ein Störgefühl empfunden hat, kann in Art. 83/§ 41 BDSG Rn. 16 ff DS-GVO nachlesen, wie sich dieses ungute Gefühl objektivieren lässt. Die Autoren weisen zunächst auf das Schuldprinzip hin und erörtern die Frage, ob dieser wegen Art. 79 Abs. 3 GG unverfügbare Grundsatz der deutschen Verfassungsidentität (vgl. BVerfGE 123, 267, 413; s. auch Adam/K. Schmidt / Schumacher, NStZ 2017, 7 ff.) auch auf juristische Personen anwendbar ist. Dies wird überzeugend bejaht – insbesondere die starke Orientierung des Bußgelds am Umsatz des Unternehmens ist daher fragwürdig. Droht hier schon wieder ein Konflikt zwischen Grundgesetz und europäischem Recht? Das muss nicht sein. Vielmehr bestehen entsprechende Bedenken auch im Hinblick auf den europarechtlichen Verhältnismäßigkeitsgrundsatz (Art. 83/§ 41 BDSG Rn. f.). Und schließlich legen die Autoren dar, dass Art. 83 Abs. 2 DS-GVO die vorrangig maßgeblichen Kriterien festlegt, während durch den Umsatz gemäß Art. 83 Abs. 4 bis 6 DSGVO lediglich die Obergrenze der zulässigen Geldbuße bestimmt wird. Das Versprechen, „klare Einordnungen… zwischen europäischem und nationalem Recht vorzunehmen“, wird hier eingelöst. Es folgt ein „Impuls“, wie ein Ausweg aus dem Dilemma gefunden werden kann, dass angesichts der Perspektive existenzbedrohender Bußgelder Unternehmen Rechtssicherheit gewinnen können, ohne sich der vorab gerichtlich nicht überprüften Auslegung der DS-GVO durch die Aufsichtsbehörden in jeder Hinsicht beugen zu müssen. Schwartmann/Burkhardt stellen die Möglichkeit in den Raum, Rechtsunsicherheiten durch eine vorbeugende Feststellungsklage zu klären (Art. 83/§ 41 BDSG Rn. 53 ff.). Dies wäre ein begrüßenswerter Beitrag zu einer geordneten Entwicklung dieses Rechtsgebiets wie auch zur Gewährung effektiven Rechtsschutzes.

Fazit: Ein aktueller Kommentar, der ausgewogen den gegenwärtigen Rechtszustand darstellt, der aber auch in die Zukunft schaut und Lösungsvorschläge für ungeklärte Fragen anbietet. Er ist damit nicht nur eine Entscheidungshilfe bei der Bewertung abgeschlossener Sachverhalte, sondern zugleich auch Arbeitshilfe für alle diejenigen, die Datenschutzrecht unmittelbar anwenden und Prozesse rechtskonform gestalten wollen und müssen.

(RiBGH Dr. Martin Kessen LL.M. (USA))