Mit dem Inkrafttreten der DSGVO am 25.5.2018 ist in der EU und ihren Mitgliedstaaten ein neues Zeitalter des Datenschutzrechts angebrochen. Das Rechtsgebiet ist noch komplexer geworden, viele neue Fragestellungen harren ihrer Lösung. Die Mischung aus unmittelbar wirkendem Verordnungstext, der keinerlei Abweichung erlaubt, und zahlreichen Öffnungsklauseln zeigt nicht nur, dass die an sich wünschenswerte Vollharmonisierung ausgeblieben ist, sondern es stellen sich gerade deswegen eine Vielzahl von neuen und neuartigen Auslegungsproblemen. Leider ist auch der „Beschäftigtendatenschutz“ einer Öffnungsklausel überantwortet worden. Mit dem Regelungsinstrument einer Verordnung reagierte der europäische Gesetzgeber ua auf die erheblichen Vollzugsdefizite der DSRL. Dass nunmehr für den gesamten Bereich der EU eine Verordnung gilt, führt dazu, dass mehr als bisher Literatur und insb Kommentierungen der DSGVO aus anderen Mitgliedstaaten der Union für die österreichische Diskussion herangezogen werden sollten – so wie eben auch diese.

Die vorliegende Kommentierung des deutschen/ europäischen Datenschutzrechts wurde schon in ihren Vorgängerfassungen (Kommentar zum BDSG, zuletzt in achter Auflage) als unverzichtbares Standardwerk angesehen. Es wurde und wird maßgeblich durch Spiros Simitis geprägt, der als Pionier und Doyen des deutschen Datenschutzrechts gilt. Er war viele Jahre Hessischer Datenschutzbeauftragter und Verfasser des Hessischen Datenschutzgesetzes. Der vorliegende Kommentar stellt eine umfassende, detailreiche und von ausgewiesenen KennerInnen der jeweiligen Teilgebiete des Datenschutzrechts verfasste Fortführung dieser angesehenen Großkommentierung dar. Die Darstellung folgt den einzelnen Artikeln der DSGVO, die nationalen Regelungen, vor allem im Bereich der Öffnungsklauseln, werden jeweils in Zusammenhang mit den Bestimmungen der Verordnung besprochen. Besonderer Wert wird darauf gelegt, die Regelungen in ihrer Eigenschaft als Grundrechtskonkretisierung zu erfassen. Auch werden die engen Bezüge zwischen Recht und Technik ausführlich dargestellt, was deswegen hilfreich ist, weil ohne solide Kenntnisse der technischen Seite der Datenverarbeitung sachgerechte Lösungen der Rechtsfragen kaum möglich sind. Als Beispiel sei die Schilderung der vielfältigen technischen Ausformungen und Spezifika bei der Videokontrolle erwähnt. Gerade auch im Beschäftigtendatenschutz ist es von Nutzen, die technische Seite der Erfassung und Verarbeitung von AN-Daten, etwa die (neuen) technischen Möglichkeiten zur Überwachung, genau zu kennen. Verdienstvoll ist auch, dass umfassend dargestellt wird, dass die DSGVO über Europa hinausreicht, vor allem, weil das neue Marktortprinzip (Art 3 Abs 2) und der erweiterte Verarbeitungsbegriff (Art 4 Abs 2) massive Auswirkungen auf international agierende Informationsdienstleister zeitigt, die sich dem Einfluss der DSGVO nicht entziehen können, wenn sie im Bereich der Union tätig sein wollen. Damit hat der europäische Gesetzgeber auf die rasante Globalisierung der Verarbeitung von Daten reagiert. Erfreulicherweise wurden die Vorwirkungen der geplanten ePrivacy-VO, die auf die bisherige ePrivacyRL folgen soll, umfassend eingearbeitet. Für eine Schärfung des Hintergrundverständnisses des gesamten Regelungskomplexes sei dem Leser die hervorragende Einleitung aus der Feder von Stephanie Schiedermair besonders empfohlen.

Besonderes Augenmerk finden jeweils die im Hintergrund relevanten grundrechtlichen Regelungen (der GRC und der EMRK). Der Kommentar zeichnet sich dadurch aus, dass zu den Öffnungsklauseln die Grenzen der Spielräume der Mitgliedstaaten so weit als möglich harmonisierungsaffin bestimmt werden und man sich damit an der unionsrechtlich gewünschten Wirksamkeit orientiert hat. Das ändert nichts daran, dass die Öffnungsklauseln Sprengstoff bleiben, was sich zB anschaulich an der kontroversen österreichischen Diskussion über das Medienprivileg zur Erfüllung des Regelungsauftrags von Art 85 DSGVO zeigt.

Es ist unmöglich, in einer kurzen Besprechung eines so voluminösen und vielschichtigen Werkes auch nur im Entferntesten auf einzelne inhaltliche Fragen einzugehen. Da diese Rezension in einer arbeitsrechtlichen287 Zeitschrift erscheint, sind aber einige Anmerkungen zum Beschäftigtendatenschutz angebracht. Anders als Deutschland hat Österreich die Chance vertan, sich auf der Basis der Öffnungsklausel von Art 88 DSGVO an eine ambitionierte (Neu-)Regelung des AN-Datenschutzes zu wagen. Dabei wäre der Regelungsbedarf außerordentlich hoch. Gerade hier erfordert die technologische Entwicklung klare Lösungen iS eines wirksamen Schutzes. Die betriebliche Praxis zeigt, dass die AG Regelungslücken und Rechtsunsicherheit oft unbekümmert ausnützen.

Deutschland ist einen anderen Weg gegangen: Es nutzte die Chancen der Öffnungsklausel durch eine neue Regelung in § 26 BDSG. Die ausführliche Kommentierung des Beschäftigtendatenschutzes stammt von Achim Seifert, wobei der Großteil seiner Anmerkungen konsequenterweise Auslegungen zu § 26 BDSG sind. In beiden Ländern bestehen erhebliche Unsicherheiten bei der Auslegung der DSGVO-Regelung zum Beschäftigtendatenschutz. Eine Lektüre der Kommentierung ist von unmittelbarem Nutzen für die österreichische Situation. Viele Probleme entstehen, weil Instrumente der kollektiven Rechtsgestaltung, insb die hier besonders relevante BV, die Öffnungsklausel „ausführen“ können. Offen ist, ob gegenüber Vorgaben der DSGVO günstigere Regelungen zulässig sind, was im Kommentar zu Recht bejaht wird. Deutlich wird, dass es zu erheblichen Problemen kommt, wenn § 88 Abs 2 DSGVO die Beachtung bestimmter, wenn auch sehr vage formulierter Grenzen gebietet. Hieraus kann sich ein Verstoß gegen Verordnungsrecht ergeben, so dass wohl auch Betriebsvereinbarungsinhalte nichtig sein könnten. Die Kommentierung von Seifert zeigt überzeugend auf, in welchem Ausmaß nunmehr die Probleme des Fragerechts oder des Ermittlungsrechts des AG datenschutzrechtlich zu lösen sind, was auch für Österreich gelten muss. Zu der in Österreich (endlich) zunehmend kontrovers diskutierten Frage des Beweisverwertungsverbots finden sich leider keine weiterführenden Anhaltspunkte. Hilfreich sind die zu Recht restriktiven Aussagen zum Einwilligungserfordernis bei AN. Sie decken sich weitgehend mit den Lösungen, die in Österreich bisher mehrheitlich vertreten werden. Anpassungserfordernisse von Betriebsvereinbarungen an die neue Rechtslage werden bejaht. Neu, ja sogar ein Strukturbruch ist, dass mit Art 88 Abs 2 DSGVO ein zusätzlicher Prüfungsmaßstab für Betriebsvereinbarungen, die als Umsetzungen der Öffnungsklausel anzusehen sind, besteht. Das weitgehende Ermessen des BR etwa bei der Frage, ob er einer Kontrollmaßnahme zustimmt, wird damit in nur schwer vorhersehbarer Weise eingeschränkt. Bei einer die Menschenwürde berührenden weitgehenden Überwachung könnte eine zustimmende BV unionsrechtlich gesehen unwirksam sein. Ob eine Strafbarkeit von Organen der Belegschaft, die die DSGVO (via BV) verletzen, vertretbar ist, wird leider nicht ausdrücklich angesprochen. Der Kommentar zu Art 83 DSGVO schließt diese Möglichkeit jedenfalls nicht aus.

Zusammenfassend: Der Kommentar ist auch für die österreichische Rechtspraxis ein unverzichtbares Werkzeug. Er regt zu einer vertieften Diskussion der großen Zahl offener Fragen an. Rechtspolitisch zeigt sich, wie wichtig – auf der Basis der Öffnungsklausel des Art 88 DSGVO – eine umfassende gesetzliche Regelung des Beschäftigten-Datenschutzes wäre, die auch außerhalb des Instrumentariums des ArbVG ein ausreichendes Schutzniveau garantiert, vor allem angesichts der erweiterten technischen Möglichkeiten, die Persönlichkeitsrechte von AN zu beeinträchtigen.