Dr. Alexander Dix, LL. M. (Lond.) ist ehemaliger Berliner Beauftragter für Datenschutz und Informationsfreiheit und Mitglied im Vorstand der Europäischen Akademie für Informationsfreiheit und Datenschutz (EAID).
Hans-Hermann Schild/Katja Horlbeck, Der Datenschutzverstoß – Praxisleitfaden für das aufsichtsbehördliche und gerichtliche Verfahren, 1. Auflage 2026 Nomos (Baden-Baden), ISBN 978-3-7560-3347-8, 59 EUR
MMR-Aktuell 2026, 01251 Das Bundesverfassungsgericht hat bereits zehn Jahre vor dem Volkszählungsurteil den Begriff des Grundrechtsschutzes durch Organisation und Verfahren geprägt. Später hat das Gericht diesen Gedanken konkretisiert, indem es die Funktion der unabhängigen Datenschutzbeauftragten als Instanzen des vorbeugenden Grundrechtsschutzes betont hat, die angesichts der Intransparenz der meisten Datenverarbeitungsprozesse eine wesentliche Voraussetzung dafür ist, dass diese rechtskonform ablaufen können. Dieser Aspekt ist in der wissenschaftlichen Literatur bisher vernachlässigt worden, die sich vorrangig mit Fragen der Interpretation materieller Grundsätze und Bestimmungen des Datenschutzrechts befasst hat. Demgegenüber standen die Durchsetzung und der Vollzug der Datenschutzgesetze zu lange Zeit nicht im Mittelpunkt des Interesses. Erst jetzt haben zwei ausgewiesene Praktiker es unternommen, dieses Defizit mit dem hier angezeigten Praxisleitfaden für das aufsichtsbehördliche und gerichtliche Verfahren zu beheben.Der Titel des Werks von Schild/Horlbeck ist allerdings aus mehreren Gründen irreführend: zum einen behandelt der Leitfaden gerade nicht die materiell-rechtlichen Kriterien für die Feststellung von Datenschutzverstößen, zum anderen adressiert er auch nicht alle möglichen Konsequenzen solcher Verstöße (zB die Verhängung von Bußgeldern oder zivilgerichtliche Verfahren). Schließlich reagieren die Aufsichtsbehörden nicht nur repressiv auf Datenschutzverstöße, sondern sie haben auch die Aufgabe, solche Verstöße präventiv durch Beratung zu vermeiden.
Schild/Horlbeck haben ihren Leitfaden neben einer Einführung in vier Abschnitte gegliedert. In einem ersten Abschnitt werden eingehend die Struktur der Datenschutzaufsicht in Deutschland, aber auch die Kompetenzen für die Durchsetzung anderer EU-Digitalrechtsakte wie des Data Act, des Digital Services Act, des Data Governance Act und der KI-VO behandelt. Detailliert dargestellt wird anschließend die Zusammenarbeit der Aufsichtsbehörden auf EU-Ebene, wobei auch die im April 2027 in Kraft tretende Durchsetzungsverordnung zur Festlegung zusätzlicher Verfahrensregeln beim Datenexport in Drittstaaten bereits berücksichtigt wird. Diese Verordnung ist allerdings nicht – wie die Verfasser meinen – von der Kommission als delegierte Verordnung nach Art. 92 DS-GVO erlassen worden, sondern wurde vom Europäischen Parlament und dem Rat im gleichen Verfahren beschlossen wie die DS-GVO und zählt wie diese zum Sekundärrecht.
In einem weiteren Abschnitt wird das Verfahren bei den deutschen Aufsichtsbehörden beschrieben, wobei die Verfasser zu Recht betonen, dass diese mit der DS-GVO primär Unionsrecht, daneben aber auch deutsches Verwaltungsverfahrensrecht anzuwenden haben. Zum Verhältnis zwischen Unionsrecht und nationalem Recht heben Schild/Horlbeck zutreffend den Anwendungsvorrang des Unionsrechts hervor und leiten daraus – im Anschluss an die Rechtsprechung des EuGH – eine Pflicht der deutschen Aufsichtsbehörden ab, nationales Recht zumindest dann als unanwendbar zu betrachten, wenn es dem Unionsrecht „offensichtlich“ widerspricht. Diese Einschränkung dürfte ihrerseits verzichtbar sein, denn der EuGH hat – wie der Leitfaden wenig später selbst herausstreicht – Staatshaftungsansprüche gegen Mitgliedstaaten auch bei Verstößen ihrer Behörden gegen Unionsrecht bejaht, die nicht als „offensichtlich“ qualifiziert werden können.
Die beiden abschließenden Abschnitte des Leitfadens betreffen den gerichtlichen Rechtsschutz vor nationalen und europäischen Gerichten. Dieser hat nach dem Inkrafttreten der DS-GVO erheblich an praktischer Bedeutung gewonnen, denn mit der Stärkung der Betroffenenrechte und der Ausweitung der Befugnisse der Aufsichtsbehörden ist notwendigerweise auch eine Verstärkung der Rechtsschutzmöglichkeiten sowohl für die Betroffenen als auch die Verantwortlichen verbunden, von denen auch verstärkt Gebrauch gemacht wird. Dabei weist der Leitfaden auf ein Harmonisierungsdefizit hin, das die Grundverordnung nicht gelöst hat: die Gefahr divergierender Gerichtsentscheidungen in den Mitgliedstaaten. Letztlich kann nur der EuGH für eine einheitliche Interpretation der DS-GVO in allen Mitgliedstaaten sorgen, der aber seinerseits nicht von sich aus tätig werden kann, sondern von Vorlagen der nationalen Gerichte abhängt. Deren Bereitschaft, dem EuGH Rechtsstreitigkeiten vorzulegen, ist aber sehr unterschiedlich ausgeprägt. Schild/Horlbeck verdeutlichen dies am Beispiel des Rechtsstreits über die Nutzung von WhatsApp-Daten zum Training der KI von Meta. Während ein niederländisches Gericht diese Nutzung untersagt hat, gestattete das OLG Köln diese Praxis, ohne die entsprechenden Fragen dem EuGH vorzulegen. Die letztgenannte Entscheidung kritisieren die Autoren zu Recht und empfehlen den nationalen Gerichten generell, im Zweifel den EuGH einzuschalten.
Insgesamt haben Schild und Horlbeck einen sehr verdienstvollen Beitrag zur Beleuchtung der zahlreichen Fragen geleistet, die mit der Durchsetzung des Datenschutzrechts verbunden sind. Ihr gut lesbarer und mit einem Stichwortverzeichnis versehener Leitfaden enthält zahlreiche instruktive Praxisbeispiele und konkrete Hinweise für Betroffene und Rechtsanwender in Behörden und Gerichten. Für eine Neuauflage sei dem Verlag eine weniger irreführende Titulierung des Werks empfohlen.