Literaturhinweise

Eugen Ehmann, Martin Selmayr (Hrg.)

Datenschutz-Grundverordnung

Eugen Ehmann, Martin Selmayr (Hrg.), Datenschutz-Grundverordnung, Verlag C.H.Beck/LexisNexis, München 2017, 139,00 €.

Ein Jahr vor der Geltung der Datenschutzgrundverordnung (DS-GVO) als unmittelbar geltendes europäisches, das bisherige nationale BDSG verdrängende Recht, liegt aus der Beck'schen Reihe der "Kurz-Kommentare" (also der Reihe mit zum Beispiel dem Palandt) eine weitere Kommentierung vor. Die namhaften Autoren und der Mitherausgeber Eugen Ehmann mögen es verzeihen: Man schaut bei diesem Kommentar auf den Mit-Herausgeber und Autor Martin Selmayr. "Brüssel" steht als Ortsangabe bei ihm - Kabinettschef des Kommissionspräsidenten Jean Claude Juncker ergänzt man und sucht in den Zeilen und dazwischen sozusagen nach halbamtlicher Wahrheit. Das ist natürlich übertrieben, aber trotzdem:

Beide Herausgeber haben die sehr umfangreiche Einführung geschrieben und diese kann man mit Blick auf die Autorenschaft in Teilen auch politisch verstehen. Der Einstieg ist alles andere als zurückhaltend - am 25. Mai 2018 beginne im Datenschutzrecht "eine neue Zeitrechnung". Gemeint ist, dass anstelle einer bisherigen Richtlinie nun eine Verordnung tritt. Aus Brüsseler Sicht ist das ein großer Unterschied, denn die Verordnung gilt in allen Mitgliedsländern unmittelbar, denn sie bedarf anders als eine Richtlinie keiner Umsetzung durch nationales Recht.

Das mit der neuen Zeitrechnung ist dann aber so eine Sache, denn einführend wird die Entstehungsgeschichte nachgezeichnet. Die Europaratskonvention von 1981 zum Datenschutz und die derzeit noch geltende Datenschutz-Richtlinie aus 1995 sind die Vorläufer. Im November 2010, so liest man nach, hat die EU-Kommission die Reform des Datenschutzrechts in Europa angestoßen, der Entwurf stammt nach verschiedenen Vorarbeiten aus dem Januar 2012. Bei einer so schnelllebigen Materie wie der Digitalisierung ist das ein ziemlicher Vorlauf, in dem sich die Komplexität europäischer Rechtsetzung zum einen und der Streit um die Details der DS-GVO zum anderen spiegeln.

Als Motive für die Arbeiten am neuen Recht werden die neue Gefährdungslage für persönliche Daten durch die Digitalisierung und Vernetzung angeführt sowie die Sorge um die digitale Selbstbehauptung Europas im internationalen Wettbewerb bei "Big Data". Die unzureichende Harmonisierung der verschiedenen Datenschutzvorschriften der Mitgliedsstaaten wird zudem genannt. Und schließlich war da noch der "Snowden-Faktor" (sic!), der die politische Initiative beschleunigt habe.

Ausgerechnet Deutschland habe gebremst, obwohl dort immer ein großes Verständnis für den Datenschutz geherrscht habe. Dafür werden verschiedene Gründe - unter anderem auch der Disput zwischen Bundesverfassungsgericht und europäischem Gerichtshof um den Schutz der Grundrechtestandards - genannt. Ein wesentlicher Aspekt wird in der Einführung auch in einem "regelrechten Wildwuchs an sektorellen Datenschutzbestimmungen" in Deutschland neben dem BDSG gesehen. Die dabei wichtige Unterscheidung zwischen öffentlichem und nicht-öffentlichem Sektor finde sich so im europäischen Recht nicht. Das weist an dieser Stelle bereits darauf hin, dass nicht nur das BDSG ein Problem mit dem unmittelbar geltenden europäischen Recht hat, sondern auch eine ganze Menge anderer sehr spezieller Bestimmungen im Recht des Bundes und der Länder. Hier wird noch einiges an Klarheit im Detail zu schaffen sein, so schließt man aus der Einführung. Die gegenwärtige Diskussion bezieht sich vor allem auf den Übergang DS-GVO vom BDSG in Unternehmen ohne eine breite Diskussion zu den übrigen Bestimmungen.

Auch wenn eingangs die neue Zeitrechnung ausgerufen wurde, sehen die Herausgeber in der Einführung "materiell rechtlich keine neue Revolution", im Kern seien die wesentlichen Grundsätze bereits in der Richtlinie enthalten gewesen. Eine "evolutive" Weiterentwicklung sei das Recht auf Vergessenwerden, der stärkere Schutz von Kindern, die Datenoperabilität und das Kopplungsverbot bei der Einwilligung. Es gelte der Grundsatz der "größeren" Eigenverantwortung der Verarbeiter. Bei der Rechtsdurchsetzung führe das Marktortprinzip zur Einbeziehung ausländischer Anbieter. Die Unabhängigkeit der nationalen Datenschutz-Aufsichtsbehörden sei europaweit festgeschrieben.

Vehement wenden sich die Herausgeber gegen die Kritik, es handele sich um eine "Richtlinie im Verordnungsgewand" - falsch! Die Verordnung gilt, auch wenn die Mitgliedsstaaten von "Spezifierungs-, Verstärkungs- und Abschwächungsklauseln" Gebrauch machen könnten. Allenfalls das Wort von der "hinkenden" Verordnung lassen die Herausgeber gelten. Nach deutschem Rechtsverständnis ist die "obligatorische Spezifizierung" des Datenschutzgrundrechts für den Bereich des Presse-, Medien- und Wirtschaftsrechts von erheblicher Bedeutung. Das bisherige "Medienprivileg" (im BDSG ausschließlich für die Presse) wird es ab nächstem Jahr nicht mehr geben.

Das führt zur Kommentierung des Art. 85 DSGVO, der sich mit der Verarbeitung und Freiheit der Meinungsäußerung und Informationsfreiheit befasst. Die Kommentierung der Norm ist bei Stephanie Schiedermair in besten Händen. Es ist erfrischend zu sehen, dass sie sich von der BDSG-Literatur löst, die regelmäßig bei der Presse festmacht, bei Telemedien "die elektronische Presse" erwähnt und beim Rundfunk einen Blackout hat. Die Kommentierung des Art. 85 DSGVO zeichnet vielmehr die Systematik in Deutschland nach. Es wird die alte (derzeit noch geltende) Regelung in § 41 BDSG für die Presse neben § 57 Abs. 1 RStV für die journalistisch redaktionellen Telemedien und daneben die mannigfaltigen Regelungen in den Landesrundfunkgesetzen (für öffentlich-rechtliche und private Anbieter) einschließlich der Norm im RStV gestellt. Bei den Einzelerläuterungen wird sehr stark auf die europäischen Menschenrechtskonvention und die Entscheidungen des EGMR zur Abwägung zwischen dem Schutz personenbezogener Daten auf der einen und der Meinungs-, Medien- oder Informationsfreiheit auf der anderen Seite hingewiesen. So fordert etwa die "Caroline-Rechtsprechung" zum Recht am eigenen Bild ein legitimes öffentliches Interesse an der Berichterstattung. Das entsprechende Abwägungsprogramm des EGMR wurde von der nationalen Rechtsprechung etwa des 6. Zivilsenats des Bundesgerichtshofs ins Äußerungsrecht übernommen ist. Die Autorin verweist auf den EuGH, der ebenfalls bereits Abwägungsentscheidungen zugunsten der Pressefreiheit getroffen hat. Sie weist ferner darauf hin, dass die Rechtsprechung des BVerfG sich an jener des EGMR orientiere.

Und was, wenn der deutsche Gesetzgeber es nicht (rechtzeitig) schafft, im gesamten Medienbereich die "obligatorische Spezifizierung" zu formulieren: Dann gilt eben die DS-GVO unmittelbar und ihr Erwägungsgrund 153 gebe den nationalen Behörden und Gerichten hinreichend Kriterien an die Hand, um zu erwartende Grundrechtskonflikte im Einklang mit den Vorgaben der Grundrechte-Charta eine angemessenen, unionsgemäßen Lösung zuzuführen, so die Einführung. Diese Lösung entspricht, wie die Detailkommentierung zeigt, durchaus der Linie, wie sie von deutschen Gerichten bereits gefahren wird.

Angesprochen ist in der Einführung auch die ePrivacy-Verordnung, die entsprechende EU-Richtlinie ablösen soll - und zwar auch am 25. Mai 2018, was recht sportlich ist. Es geht um E-Mail-Adressen und Cookies. Hier hat die Detailkommentierung der Schlussbestimmungen (Art. 95 - Klabunde/Selmayr) bereits eine Beschreibung des Verordnungsentwurfs vom Januar 2017 zu bieten. In verfahrensmäßiger Hinsicht wird der Gleichklang mit der DSGVO als Vorteil bezeichnet. Die materiellen Vorschläge dieser weiteren Verordnung werden kaum dargelegt - es werde sicherlich eine kontroverse Diskussion, heißt es lediglich. Das stimmt, etwa wenn die Anbieter von Internet-Browsern bei den Cookies sozusagen eine Wächterfunktion gegenüber den Anbietern der im Browser angezeigten Inhalte erhalten sollen. Für die Unternehmen ist diese Diskussion neuer und zum Teil weitgehender Bestimmungen in dem verbleibenden Jahr bis zur Geltung des neuen Rechts nicht ebene eine Erleichterung der Vorbereitungsarbeiten.

Und ganz am Ende der Einführung: Ein harter Brexit, der das Vereinigte Königreich rechtlich gesehen weiter von der EU wegbringt, führt dazu, dass UK ein "Drittland" wird - und Daten in Drittländer, das ist nach europäischem Datenschutzrecht eine höchst gefährliche Sache.