Professor Dr. Marie-Theres Tinnefeld ist Professorin für Datenschutz und Wirtschaftsrecht an der Hochschule München und Mitglied des Wissenschaftsbeirats der ZD.
Eugen Ehmann/Martin Selmayr, Datenschutz-Grundverordnung: DS-GVO, München (C.H.BECK) 3. Aufl. 2024, ISBN 978-3-406-79777-4, 179 EUR
ZD-Aktuell 2024, 04512 Die Herausgeber des Kurz-Kommentars über die EU-Datenschutz-Grundverordnung (DS-GVO), Eugen Ehmann und Martin Selmayr, haben ihre dritte Auflage nicht mehr in einem handlichen, sondern mit erfahrenen Kolleginnen und Kollegen in einem erforderlich gewordenen Großformat bearbeitet. In ihrem Vorwort betonen sie zutreffend, dass sie ihrem europäischen Ansatz treu geblieben sind. Sie weisen daraufhin, dass die EU mit ihren Regulierungen in demokratischen Systemen erfolgt und erfolgen muss (S. V). Das bedeutet auch, dass die Umsetzung der DS-GVO die europäischen und nationalen Gerichte mit Fragen konfrontiert, die eine rechtliche und organisatorische Umsetzung des Menschenrechts auf Datenschutz iVm dem Recht auf Informationsfreiheit beinhalten muss. An dieser Stelle sei an die deutsche Diskussion darüber erinnert, ob das Beschwerderecht bei Datenschutzbehörden nur ein Petitionsrecht darstellt. Diese Erörterung wurde mit dem SCHUFA-Urteil des EuGH v. 7.12.2023 (ZD 2024, 166 mAnm Schild) widerlegt. Das Beschwerderecht findet eine ausführliche Begründung bei Selmayr, wonach eine Beschwerde keinesfalls „nur eine Bitte oder Petition ohne materielle subjektiv-rechtliche Dimension“ ist, sondern rechtlich die Pflichtaufgaben der unabhängigen Datenschutzbehörden aktiviert (Art. 57 Rn. 9). Damit wird deutlich, dass Regulierungen durch Recht, einschließlich technologischer Innovationen auf Beaufsichtigung durch Behörden und gerichtliche Kontrollen angewiesen sind, wenn der Schutz von Grundrechten und Demokratie gelingen soll (s.a. Selmayr, Art. 57 Rn. 12 und 20; zu Zweck und Bedeutung des Beschwerdeverfahrens Nemitz Art. 77 Rn. 1 f.; zum Entscheidungsmaßstab der Aufsichtsbehörde Art. 77 Rn. 38 ff.). In diesem Kontext spielt auch die Frage der Bedeutung von ethischen Grundsätzen und der Selbstregulierung eine wichtige Rolle. Denn nach EU-Kriterien kann nur im verbindlichen Recht Wettbewerbsgleichheit im gemeinsamen Markt und darüber hinaus entstehen. Vor diesem Hintergrund gewinnen gemeinsame Grundzüge für genehmigte Verhaltensregeln und Zertifizierungen ihre Wirkkraft (s. Schweinoch/Will, Vorbem. Art- 40-43, Rn. 3 ff.), detailliert zu den Verhaltensregeln s. Schweinoch Art. 40 Rn. 4 ff.).
In einer offenen Demokratie besteht ein besonderes Interesse am Schutz sensibler Daten wie etwa biometrischer Gesundheitsdaten, der in Bezug auf KI den Grundrechtsschutz vor neue Aufgaben stellt. Angesichts des Nahost-Konflikts ist der Schutz von besonderen Merkmalen wie derjenige der ethnischen Herkunft, der jüdischen oder muslimischen Zugehörigkeit der einzelnen Person im Zusammenhang mit den Themen Antisemitismus und Rassismus in Politik, Gesellschaft und Wissenschaft intensiv zu betrachten. Schiff erläutert die einschlägige Bestimmung (Art. 9 DS-GVO) u.a. auch unter dem Aspekt internationaler Vorgaben wie des Art. 6 der Datenschutzkonvention des Europarates (Art. 9 Rn. 8 f.), die dazu dient, der Abwertung von Personengruppen entgegenzuwirken (Art. 9 Rn. 16; zum EMRK-Niveau Selmayr/Ehmann, Einleitung Rn. 28). Schiff erfasst praxisnah die Begriffe ethnische Herkunft mit der Abgrenzung des (diffusen) Begriffs der Rasse (Art. 9 Rn. 17 f.), der im Übrigen wissenschaftliche Kommentare unter den Begriffen Vorurteile, Klassen usw. füllt. Bei der Erörterung von Verarbeitungsvorgängen mittels Gesichtserkennungsprogramme (Art. 9 Rn. 28) wäre zumindest eine Erwähnung der unvergleichlichen Intimität des Gesichts, das (noch) nicht zur Maske erstarrt ist, unter Hinweis auf den Wesensgehalt des Grundrechtsschutzes (Art. 7 und 8 GRCh) sinnvoll gewesen. Der Anspruch in dem Satz „Die Würde des Menschen ist unantastbar“ steht andernfalls in starkem Widerspruch zur digitalen Wirklichkeit. Von Relevanz sind auch die Ausnahmeregelung vom grundsätzlichen Verarbeitungsverbot sensibler Daten, insbesondere die Frage der ausdrücklichen Einwilligung betroffener Personen (Schiff Art. 9 Rn. 34).
Von grundsätzlicher Natur ist die Kommentierung von Heckmann/Paschke über die die wichtigen Voraussetzungen der Wirksamkeit einer Einwilligung, bei der es auf die Einsichtsfähigkeit und nicht auf die Geschäftsfähigkeit der betroffenen Person ankommt (Art. 7 Rn. 33 ff.). Da heute zunehmend Menschen beeinträchtigt, etwa dement sind, ist eine höchst persönliche Einwilligung in datenbasierte Verarbeitungen oft nicht möglich. Die praxisnahen Einzelerörterungen der beiden Autoren stellen das nötige Instrumentarium für die Lösung dieser Fragen zur Verfügung, die auch die gesetzlichen Vorgaben für die Einwilligungen von und für Kinder umfasst (Art. 7 Rn. 72 ff.). Sie sind ebenso wie die Erläuterung der Bedingungen für Kinder (regelmäßig unter einem Mindestalter von 13 Jahren) im elektronischen Rechtsverkehr von aktueller Bedeutung (Art. 8 Rn. 1 ff.; Einzelerläuterungen Art. 8 Rn. 15 ff.).
Im Ganzen stellen die Ausführungen aller Autorinnen und Autoren, die in die unverzichtbare Einführung von Selmayr/Ehmann eingebettet sind, einen wichtigen Wegweiser für Bürgerinnen und Bürger, für Verantwortliche in der Datenverarbeitung sowie für Anwälte und Richterinnen im komplizierten Gefüge des europäischen Datenschutzes dar. Sie sind uneingeschränkt zu empfehlen.