Dr. Eugen Ehmann ist Regierungspräsident von Unterfranken a.D. und Mitglied im Wissenschaftsbeirat der ZD.
Hans-Hermann Schild / Katja Horlbeck, Der Datenschutzverstoß. Praxisleitfaden für das aufsichtsbehördliche und gerichtliche Verfahren, Baden-Baden (Nomos) 2026, ISBN 978-3-7560-3347-8, 59 EUR
ZD-Aktuell 2026, 01267 Recht haben und Recht bekommen sind zweierlei. Diese Redewendung beleuchtet schlaglichtartig die Bedeutung verfahrensmäßiger Abläufe für die Rechtsdurchsetzung und Rechtsverwirklichung. Im Datenschutzrecht gilt das besonders, denn nahezu täglich entstehen dort nach wie vor neue Fragestellungen, die einer Klärung durch die Aufsichtsinstanzen und /oder die Gerichte bedürfen. Schon die Einführung (§ 1 des Werks) hebt zurecht hervor, dass nationales Verfahrensrecht der Mitgliedstaaten dabei eine zentrale Rolle spielt. Denn die Ausgestaltung von Verwaltungs- und Gerichtsverfahren überlässt das Datenschutzrecht der EU weitgehend den Mitgliedstaaten.
Dass der damit angesprochene Grundsatz der Verfahrensautonomie der Mitgliedstaaten nicht immer auf eine Erfolgsgeschichte hinausläuft, war Anlass für die Schaffung der VO (EU) 2025/2518, also der Durchsetzungsverordnung zur DS-GVO. Divergierende Auffassungen von Datenschutzaufsichtsbehörden sind insbesondere aus der Sicht der Wirtschaft schon auf nationaler Ebene vielfach ein Ärgernis (siehe dazu etwa Engelmann ZD 2026, 250). Der Ärger potenziert sich oft, wenn es um grenzüberschreitende Sachverhalte geht. Hier setzt die Durchsetzungsverordnung an. Sie ändert das vorhandene materielle Datenschutzrecht nicht, schafft aber ab ihrer Geltung am 2.4.2027 verbindliche Strukturen für eine mit Fristsetzungen versehene grenzüberschreitende Zusammenarbeit der Aufsichtsbehörden, die gegenüber dem Ist-Zustand schnellere und inhaltlich überzeugendere Ergebnisse generieren soll.
Das vorliegende Werk kann für sich in Anspruch nehmen, die derzeit umfassendste Erläuterung der Durchsetzungsverordnung zu bieten. Wer schnelle Erstorientierung sucht, sollte sich zunächst mit ihrer Begriffswelt befassen, die in § 2 des Werks, Rn. 208-211 präzise und aussagekräftig zusammengefasst ist. Spätestens, wenn sich ein Unternehmen in der Rolle der „untersuchten Partei“ wiederfindet, wird ihm die Bedeutung dieses neu eingeführten Begriffs vor Augen stehen. Doch auch für Beschwerdeführer hat die neue Verordnung wesentliche Bedeutung, wenn es um grenzüberschreitende Sachverhalte geht. Sie lässt erhoffen, dass das „One-Stop-Shop-Verfahren“ in diesem Zusammenhang nicht nur ein Schlagwort bleibt (siehe zu dessen an sich nicht neuer innerstaatlicher Bedeutung zB § 2 Rn. 60 des Werks, zu seiner Bedeutung im grenzüberschreitenden Zusammenhang zB § 2 Rn. 217).
Nur auf den ersten Blick vermittelt die Datenschutz-Aufsichtsstruktur in Deutschland den Eindruck, hier sei alles geklärt und beständig. Schon die föderale Struktur der Datenschutzaufsicht zieht nennenswerte Abgrenzungsprobleme bei der Zuständigkeit für wichtige Sachverhalte nach sich. Wer mit der Zuständigkeitsentscheidung einer Aufsichtsbehörde in einem konkreten Fall nicht zufrieden ist, muss sich mit Regelungen des Verwaltungsverfahrensrechts auseinandersetzen, die gerade in Unternehmen nicht unbedingt zum Alltagswissen gehören. Die Ausführungen in § 2 Rn. 18-25 des Werks bieten hierzu klare Orientierung. Welche Behörden als Aufsichtsinstanzen für EU-Digital-Rechtsakte wie etwa dem Data Act oder dem Digital Services Act zuständig sein sollen, harrt weitgehend noch der Festlegung durch den Gesetzgeber. Hier muss sich das Werk deshalb darauf beschränken, die bisher erkennbaren Planungen darzustellen (§ 2 Rn. 43-56).
Wer mit dem Handeln oder auch der Untätigkeit einer Datenschutz-Aufsichtsbehörde unzufrieden ist, wird zu den Möglichkeiten des in § 4 des Werks ausführlich dargestellten nationalen gerichtlichen Rechtsschutzes greifen. Wie praxisrelevant dabei selbst scheinbare Spezialthemen sein können, zeigt die Darstellung zu Vorabentscheidungsersuchen an den EuGH in Eilverfahren (§ 4 Rn. 220-226). Die immer wieder einmal zu hörende Auffassung, in Eilverfahren sei ein solches Ersuchen nicht möglich, wird dort überzeugend widerlegt.
Die Ausführungen zu EU-Gerichtsverfahren in § 5 des Werks weisen ungeachtet einer Anzahl von knappen Praxisbeispielen aus dem Bereich des Datenschutzes weitgehend keinen spezifischen Bezug gerade zum EU-Datenschutzrecht auf. Das müssen sie jedoch auch nicht. Immer wieder lässt sich feststellen, dass manchen die Einordnung von EuGH-Entscheidungen (oder gar von EuG- Entscheidungen) schlicht deshalb schwerfällt, weil die verfahrensmäßigen Grundsätze von EU-Gerichtsverfahren nicht ausreichend präsent sind. Hier kann eine Lektüre von § 5 des Werks gut weiterhelfen. Wer sich auf diesem Gebiet bereits auskennt, kann und wird hier keine Neuigkeiten erwarten.
Insgesamt ist der praxisorientierte Leitfaden dadurch charakterisiert, dass sich gesuchte Informationen rasch finden lassen, oft schon beim Durchblättern der mutmaßlich einschlägigen Abschnitte. Schachtelsätze sucht man erfreulicherweise vergeblich, klare Sprache ist die Regel. Einschlägige Papiere der Aufsichtsbehörden sind, wie Stichproben gezeigt haben, in den Fußnoten umfassend nachgewiesen. Geeignet erscheint das Werk (keineswegs nur, aber insbesondere auch) für Datenschutzbeauftragte, die sich rasch über die verfahrensrechtlichen Rahmenbedingungen aufsichtsbehördlicher oder gerichtlicher Verfahren orientieren wollen. Dies kann insbesondere Diskussionen, die sie mit Rechtsabteilungen in Unternehmen oder mit Rechtsanwältinnen und Rechtsanwälten führen müssen, relevant beschleunigen und erleichtern.