EU-DSGVO - NOMOS-Kommentar

Gernot Sydow (Hrsg.):

Europäische Datenschutzgrundverordnung – Handkommentar

NomosKommentar, Nomos Verlagsgesellschaft, Baden-Baden

1. Auflage 2017

ISBN 978-3-8487-1782-8

1456 Seiten

168 Euro.

Der Kommentar erscheint zudem in Österreich im MANZ-Verlag, Wien sowie in der Schweiz im Dike-Verlag, Zürich.

 

 

Gernot Sydow, geb. 1969, ist seit 2015 Professor für Öffentliches Recht an der Westfälischen Wilhelms-Universität Münster.

 

21 weitere Bearbeiter/innen sind an dem Handkommentar beteiligt.

 

 

Im Vorwort erläutert der Herausgeber seine Intention für dieses Werk: Seit 2014 verfolgt er zusammen mit dem Verlag die Herausforderung, noch vor dem Inkrafttreten der EU-DSGVO einen Kommentar zu veröffentlichen. Im August 2017 ist der Kommentar erschienen, also rechtzeitig vor dem Stichtag 25. Mai 2018. 

Veröffentlichungen zur EU-DSGVO

Sowohl Nomos als auch andere Verlage haben dies allerdings bereits im vergangenen Jahr getan, ich verweise z. B. auf die bereits von mir hier in der ZeitSchrift rezensierten Bücher. Offensichtlich ist es auch ein Ziel, von dem riesigen „Veröffentlichungskuchen“, der das neue Datenschutzrecht begleitet, möglichst früh ein möglichst großes Stück zu ergattern. Dabei ist dann allerdings jeweils genau zu schauen, welchen Wert die Veröffentlichung für die Leserschaft besitzt. Wie meine inzwischen zurückgezogene Rezension eines Buches aus dem Bund-Verlag gezeigt hatte, kann dieser Wert nahe der Nulllinie liegen, wenn der Inhalt des Buches aus nicht viel mehr als dem Verordnungstext und den Erwägungsgründen besteht. Wie ist das hier zu rezensierende Werk zu bewerten? Lohnt sich die mit 168 Euro nicht gerade günstige Anschaffung? Wenn ja, für wen und warum? Das soll diese Rezension zeigen.

 

Nach einem Inhalts-, Bearbeiter-, Abkürzungs- und Literaturverzeichnis wird der Verordnungstext einschließlich der Erwägungsgründe vollständig abgedruckt.

 

Ab Seite 179 beginnt die Kommentierung mit einer ausführlichen Einleitung, die vom Herausgeber selbst verfasst wurde (die jeweiligen Verfasser sind jeweils unten auf den Buchseiten genannt). Darüber hinaus hat sich Sydow persönlich den Artikeln 77, 78 und 92 bis 99 gewidmet.

Materielle – institutionelle – prozedurale Regelungen der EU-DSGVO

Der Herausgeber weist darauf hin, dass er zusammen mit seinen 21 Bearbeiter/innen nicht nur die materiellen Neuregelungen im Datenschutzrecht, sondern auch die institutionellen und prozeduralen Neuregelungen „mit demselben Gewicht“ interpretieren und kommentieren wird. Damit grenzt er dieses Werk von den bisher erschienenen Kommentaren zur EU-DSGVO ab.

 

Was sind „materielle“, „institutionelle“ und „prozedurale“ Regelungen? Das Materielle betrifft im Wesentlichen die Rechte und Pflichten aus dem Datenschutzrecht und ist in den Kapiteln II und III geregelt (Artikel 5 bis 36) sowie in den Artikeln 85 bis 91. Das Institutionelle betrifft die Aufsichtsbehörden und Datenschutzbeauftragte und ist in den Artikeln 37 bis 39, 51 bis 59 und 68 bis 76 geregelt. Das Prozedurale betrifft die Rechtsbehelfe, Haftung sowie die Sanktionen und ist in den noch nicht genannten Artikeln enthalten.

 

Zur Erläuterung dieser begrifflichen Abgrenzung schreibt Sydow: „Die DSGVO normiert demzufolge nicht allein das materielle Datenschutzrecht, sondern regelt auch – in einem weit verstandenen Sinn – seine Durchsetzung.“ Der Herausgeber möchte also mit seiner – gegenüber bisherigen Veröffentlichungen neuen – Schwerpunktsetzung die Durchsetzung des Datenschutzrechts in den Fokus rücken, denn dort sieht er „eine erhebliche Sprengkraft für etablierte Rechtsinstitute und Regelungsstrukturen des deutschen Rechts“. Diese Worte erzeugen eine für juristische Kommentare eher ungewöhnliche Spannung auf das Kommende!

Heterogenität der Regelungen

Die Regelungen der EU-DSGVO sieht Sydow insgesamt kritisch, da sie in ihren Regelungsinhalten und Verbindlichkeitsgraden eine „ausgesprochene Heterogenität“ aufweisen: Zum Teil sind sie konkret, zum Teil sehr abstrakt, zum Teil verweisen sie auf die zwingend notwendige Konkretisierung durch nationale Vereinbarungen, zum Teil auf mögliche nationale Regelungen. Sydow spricht von einer „Gemengelage aus europäischem und nationalem Recht“, die das Verständnis des neuen Datenschutzrechts nicht einfach erscheinen lassen. Die Komplexität wird weiter anwachsen anstatt reduziert zu werden, wie es ursprüngliche Absicht gewesen ist. In Deutschland werden also weiterhin (neue) Bundes-, die Landes- und kirchliche Datenschutzgesetze existieren und zusätzlich werden einige Regelungen aus der europäischen Verordnung unmittelbar gelten. Spezifische Datenschutzregeln sind ebenfalls entweder anzupassen oder aufzuheben, so z. B. das TMG und das TKG.

 

Da die Bearbeitung dieses Werkes bereits im Mai 2017 abgeschlossen war, konnte der Herausgeber für diese erste Auflage das bereits beschlossene und verabschiedete neue BDSG nicht mehr berücksichtigen.

 

Im folgenden einige Details zu dem Kommentar, denn das gesamte knapp 1500 Seiten starke Werk ist nicht in wenigen Worten im Rahmen einer Rezension zu bearbeiten.

Technische und organisatorische Maßnahmen – Privacy by Design

Im „materiellen Datenschutzrecht“ haben die „zehn Gebote des Datenschutzes“ – zuletzt waren es nur noch acht – ausgedient. Die im Anhang zu § 9 BDSG-alt formulierten „TOM“ sind in der Form in der EU-DSGVO nicht enthalten. Artikel 25 Absatz 2 der EU-DSGVO (und § 71 BDSG-neu) verweisen jedoch weiterhin auf „technische und organisatorische Maßnahmen“, die von den Verantwortlichen zu treffen sind. Sie sind Teil des neuen Grundgedankens „Privacy by Design“, der mit dem Artikel 25 der EU-DSGVO eingeführt wird. Der Kommentator (Mantz) schreibt dazu „Im Ergebnis könnte Art. 25 … zu einem bedeutenden Baustein eines konsequenten, an den Interessen der Betroffenen ausgerichteten Datenschutzes werden“. Doch er weist auch auf die vielen Unwägbarkeiten hin, aufgrund derer sich erst in den nächsten Jahren zeigen wird, ob das neue Konzept wirklich erfolgreich umgesetzt werden wird.

Meldepflicht wird durch Folgenabschätzung ersetzt

Die bisherige Meldepflicht der Verarbeitung personenbezogener Daten von Beschäftigten gegenüber der Aufsichtsbehörde wird abgeschafft, da dies mit „finanziellem und bürokratischem Aufwand verbunden“ war und „dennoch nicht in allen Fällen zu einem besseren Schutz personenbezogener Daten geführt“ hat (Erwägungsgrund 89 EU-DSGVO). Für die Arbeitnehmervertretungen war es in einzelnen Fällen jedoch ein Mittel, um sich einen besseren Überblick über die betrieblichen Datenverarbeitungsvorgänge zu verschaffen. Zugleich wird die im bisherigen BDSG geregelte „Vorabkontrolle“ abgeschafft.

 

Ersetzt wird beides durch eine „Folgenabschätzung“, wie sie in Artikel 35 EU-DSGVO geregelt ist. Diese ist aber nur dann vorgeschrieben, wenn ein „hohes Risiko für die Rechte und Freiheiten natürlicher Personen“ zu erkennen sind (Art. 35 Abs. 1 EU-DSGVO). Damit wurde ein neues Instrument im Datenschutz geschaffen, das jedoch, wie die Kommentatoren Sassenberg und Schwendemann ausführen, „dem Verantwortlichen … einen großen Spielraum bei der Ausgestaltung“ und bei der Frage, wann ein „hohes Risiko“ besteht, lässt. Die Aufsichtsbehörde soll dazu eine Positivliste erstellen, die dann irgendwann einmal wichtige Anhaltspunkte für die Beurteilung liefern kann.

 

Die Kommentatoren bewerten dieses neue Instrument vorsichtig kritisch; die angestrebte Reduzierung der Bürokratie sehen sie nicht, dafür aber neue Herausforderungen für die Rechtsanwender. Also auch hier gilt: Die Praxis der kommenden Jahre wird zeigen, wie sich das Instrument etabliert und ausgestaltet. 

Datenschutzbeauftragte

Das „institutionelle Datenschutzrecht“ wird u. a. in den §§ 33 bis 39 EU-DSGVO geregelt. Thema dieses Abschnitts ist der Datenschutzbeauftragte. Der Kommentator Helfrich weist darauf hin, dass dies sehr umstritten gewesen ist, letztlich jedoch die Meinung durchgesetzt hat, dass Datenschutzbeauftragte im Sinne einer Selbstkontrolle zu bestellen sind. Die Pflicht zur Bestellung wird auf drei Kriterienbereiche begrenzt, sodass es zukünftig sein kann, dass einige Unternehmen darauf werden verzichten können. Ansonsten wird die Stellung des Datenschutzbeauftragten gestärkt, was auch vom Kommentator begrüßt wird.

Sanktionen

Das „prozedurale Datenschutzrecht“ der neuen EU-DSGVO und die aktuelle Diskussion dazu sind geprägt durch die sehr hohen Geldbußen, die bei Verletzung des geltenden Rechts verhängt werden können.

 

Gemäß Artikel 83 EU-DSGVO ist es möglich, dass Geldbußen in Höhe bis zu 20 Mio. Euro oder 4 Prozent des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt werden. Verstöße gegen das Datenschutzrecht können also richtig teuer werden! Der nationale Gesetzgeber hat Freiheiten, weitergehende Regelungen zu treffen, was sich dann auch im Teil 2, Kapitel 6 und Teil 3 Kapitel 7 des neuen BDSG wiederfindet. Der Kommentator Popp stellt allerdings klar, dass es im Rahmen des allgemein geltenden Rechts rund um Ordnungswidrigkeiten, Bußgelder und Strafmaßnahmen immer eine „angemessene“ Behandlung von Verstößen gegen das Datenschutzrecht geben wird, so dass betroffene Einzelpersonen auch ohne Geldbußen davonkommen können und Unternehmen sicherlich nur äußerst selten mit den höchsten genannten Geldbußen belegt werden. Die abschreckende Wirkung dieser Regelungen ist trotzdem vorhanden. 

Fazit

Das ab 25. Mai 2018 anzuwendende neue Datenschutzrecht leitet sich aktuell aus der EU-DSGVO im Zusammenwirken mit dem neuen Bundesdatenschutzgesetz ab. Die spezifischen Datenschutzregelungen sind dabei noch nicht einmal berücksichtigt. Alle für den Datenschutz Verantwortlichen und all diejenigen, die sich über die neuen Rechte und Pflichten zum Datenschutz Klarheit verschaffen möchten, können also allein mit diesem Kommentar zur EU-DSGVO nicht besonders viel anfangen. Ihnen hilft aber möglicherweise die regelmäßig vorhandene Gegenüberstellung des alten und des zukünftigen Rechts, um eine erste Einschätzung der Veränderungen zu bekommen. Vielleicht erscheint aber auch in Kürze eine Neuauflage dieses Kommentars, der das BDSG einbezieht und eine Gesamtkommentierung bietet?

 

Die Juristen, Berater und Wissenschaftler, die sich mit dem neuen Datenschutzrecht auseinander zu setzen haben, erhalten jedoch durch diesen ausführlichen Kommentar, der auf besonders viel Hintergrundwissen basiert, eine erste wichtige Einschätzung der neuen Rechtslage. Die Kommentatoren weisen auf vorhandene Vor- und Nachteile der neuen Regelungen, auf bestehende positive und negative Kritikpunkte und auf Aspekte aus der Entstehungsgeschichte der Grundverordnung hin. Das ist zwar nicht gleichwertig zu einem „richtigen“ juristischen Kommentar, der die bereits ergangene Rechtsprechung aufgreift und bewertet, doch dies kann ja auch erst in einigen Jahren tatsächlich erfolgen.

 

Diesem ersten ausführlichen Kommentar zur EU-DSGVO ist es somit gelungen, das neue europäische Recht, dessen Hintergründe und möglichen Auswirkungen umfassend und in allen Bereichen darzustellen. Die Gegenüberstellung zum bisher geltenden Recht, die sachgerechten und kritischen Einschätzungen des neuen Rechts und die praxisorientierten Ausblicke zu den Wirkungs- und Durchsetzungsmöglichkeiten lassen den Kommentar zu einem wertvollen Werk zu diesem Thema zum jetzigen Zeitpunkt erscheinen. Die an praktischen Hinweisen und Lösungen interessierten Verantwortlichen in den Unternehmen sollten allerdings vorrangig andere Veröffentlichungen zu Rate ziehen.

Mehr zur EU-DSGVO, zum BDSG-neu und zu den praktischen Auswirkungen des neuen Datenschutzrechts auf SP-EXPERT und die Betriebs- und Dienstvereinbarungen erfahren Sie auf der 17. SP-EXPERT-Konferenz, die vom 10. bis 13. September 2018 in Uslar-Volpriehausen im Landhotel Am Rothenberg stattfinden wird. 

 

Reservierungen und Anmeldungen werden bereits jetzt entgegen genommen! Wenden Sie sich an buero@tempi.de oder melden Sie sich direkt hier an. Wir freuen uns auf Ihren Besuch! 

TEMPI Gesellschaft für ganzheitliche Arbeitszeitberatung mbH

Karl-Hermann Böker

Hartlager Weg 61a

33604 Bielefeld


Fon: 05 21 - 45 36 18 1

Mobil: 01 78 - 17 30 75 7

Fax: 05 21 - 45 32 04 1

E-Mail: buero@tempi.de