Literaturhinweise

Peter Schantz, Amadeus Wolff

Das neue Datenschutzrecht

Peter Schantz, Amadeus Wolff, Das neue Datenschutzrecht - Datenschutz-Grundverordnung und Bundesdatenschutzgesetz in der Praxis, Verlag C.H.Beck, München 2017, 59,00 €.

"Mit dem neuen BDSG 2017" wird für diese Neuerscheinung geworben. In der Tat ist das ein Pluspunkt, das neue deutsche Datenschutzgesetz zu berücksichtigen. Selbst relativ neue Literatur bezieht sich meist auf das bisherige BDSG, das aber völlig neu gefasst ab Mai 2018 gelten wird.

Die Einleitung des Vorworts beschreibt es zutreffend: "Das Datenschutzrecht war schon immer ein dynamisches Rechtsgebiet. Gegenwärtig ist die Geschwindigkeit aber besonders hoch. Der europäische und deutsche Gesetzgeber haben das Datenschutzrecht auf eine vollkommen neue Grundlage gestellt.". Vielleicht sollte man hinzufügen, dass die Schlagzahl ja nicht geringer wird, denn die E-Privacy-RL in Europa soll noch zum Mai 2018 durch eine neue Verordnung ersetzt werden und im deutschen Recht fehlt die Anpassung zahlreicher Spezialvorschriften im Bundesrecht und vor allem im Landesrecht an die DS-GVO. Angesprochen wird, dass aufgrund der Bundestagswahlen und damit dem Ende der Legislaturperiode (mit der daraus folgenden Diskontinuität von Gesetzgebungsverfahren) im BDSG 2017 das Wichtigste geregelt ist, alles andere dann eben später kommt wie etwa die Anpassung der Datenschutzvorschriften im TMG, die zum Teil die bisherigen europäische Richtlinie umsetzen wollen. Die TMG-Änderung (auf die der RStV verweist) und die E-Privacy-VO sind für die elektronischen Medien noch wesentliche Vorhaben, die im Detail noch gar nicht zu überblicken sind. Sehr gründlich werden die verfassungs- und unionsrechtlichen Grundlagen des Datenschutzes vorangestellt. Die bisherige Rechtslage wird referiert und die hierzu ergangene Rechtsprechung erläutert. Das führt über zur Beschreibung, wie die Datenschutzreform in Angriff genommen wurde. Auf europäischer Ebene ist das nicht nur die DS-GVO, sondern im Bereich der Justiz auch eine zusätzliche Richtlinie (die an dieser Stelle nachfolgend ausgeblendet wird).

Sehr lesenswert ist das Kapitel "Die unterschiedlichen Kodifikationen des Datenschutzrechts". Hier wird sehr anschaulich dargestellt, dass nicht nur die DS-GVO zu beachten ist, sondern noch weiteres europäisches Sekundärrecht einschließlich der diskutierten E-Privacy-Regulierung und der E-Commerce-RL. Ausführlich wird beschrieben, was die Anwendungsbereiche der unterschiedlichen Normen sind und was für das BDSG 2017 übrig bleibt.

Hilfreich ist die sehr umfängliche Darlegung der Grundsätze der Datenverarbeitung, bevor es überhaupt zu den Rechtsgrundlagen wie Einwilligung oder (ohne Einwilligung) die Durchführung eines Vertrages oder die Erfüllung rechtlicher Verpflichtungen geht. Es wird erläutert, dass die Verarbeitung für den Betroffenen nachvollziehbar sein muss und der Zweckbindungsgrundsatz zu beachten ist, zusätzlich der Grundsatz der Datenminimierung gilt. Für die Praxis hat man den Eindruck, dass die Einhaltung dieser und anderer aufgeführten Grundsätze eigentlich schon die halbe Miete ist, weil dann recht schnell klar ist, was ohne Einwilligung geht und wo man diese braucht.

Lesenswert ist der Abschnitt zur Verarbeitung auf der Grundlage überwiegender Interessen - "Werbung" wird als wichtige Fallgruppe genannt. Die Kommentierung weist zutreffend darauf hin, dass eine Interessenabwägung stattzufinden hat und erläutert die Schritte und die Gewichtungskriterien hierfür. Das Kapitel über die technisch-organisatorischen Pflichten ist auf die DS-GVO zugeschnitten und beschäftigt sich unter anderem mit der gebotenen Datenschutz-Folgenabschätzung und der Bestellung des Datenschutzbeauftragten. Hier wird für Medienunternehmen national und europäisch die weitere Entwicklung im Zusammenhang mit "kritischen Infrastrukturen" abzuwarten sein.

Ausführlich - und im Rahmen dieser Vorstellung nicht im Detail nachgezeichnet - wird die Durchsetzung des Datenschutzrechts erläutert, also die Aufgaben und die Zusammenarbeit der Datenschutzbehörde sowie die individuelle Rechtsdurchsetzung, also die Darlegung der Rechte der Betroffenen.

Am Ende werden in einem eigenen Kapitel besondere Verarbeitungssituationen erläutert. Neben dem Arbeitnehmerdatenschutz geht es um die Medien- und Meinungsfreiheit. Der Sinn des Auftrags in Art. 85 DS-GVO an den nationalen Gesetzgeber, die Meinungs- und Informationsfreiheit mit dem Recht auf Datenschutz in Einklang zu bringen, sei unklar, wird kritisiert. Das habe Sprengkraft für den einheitlichen Datenschutz nach der DS-GVO innerhalb Europas, wenn nationale Regelungen für den wichtigen Bereich der Medien Sondernormen einführten. Aus dem Blickwinkel des europäischen Datenschutzes mag das stimmen, wird man dem entgegnen, aber die materiellen Regelungen des Äußerungsrechts - von der Recherche über Redaktionsarchive bis zur Publikation - sind in den einzelnen Mitgliedsstaaten derart unterschiedlich und berühren im Kern eine ganze Reihe anderer zivilrechtlicher und medienrechtlicher Normen, so dass man Art. 85 DSGVO durchaus als sinnvoll anerkennen mag, um die Grundsätze des Datenschutzrechts in diese sehr unterschiedlichen nationalen Regime zu integrieren. Die Kommentierung weist darauf hin, dass das BDSG 2017 keine Normen zum "Medienprivileg" mehr enthält, "da der Bundesgesetzgeber der Ansicht ist, durch die Föderalismusreform seine Gesetzgebungskompetenz eingebüßt zu haben". Das ist eine interessante Formulierung und deutet darauf hin, dass die Autoren der Auffassung sind, man hätte sehr wohl diesen Bereich des Medienrechts bundesrechtlich durchregulieren können. Da wäre ihnen zu widersprechen, denn das bisherige "Medienprivileg" bezog sich nur auf die Presse und auch nur wegen der früher verfassungsrechtlich vorgesehenen Presserechtsrahmenkompetenz - und die ist abgeschafft.

Zutreffend wird darauf hingewiesen, dass Medien - und nach der bisherigen Rechtsprechung des EuGH zur vorläufigen Regelung - sehr weit verstanden wird, also nicht nur die "Profimedien" erfasst sind. Zur Abgrenzung wird auf die (nicht ganz glückliche) BGH-Entscheidung zu spick-mich.de abgestellt. Es geht hier um die Frage, was "redaktionell bearbeitet" bedeutet und inwieweit durch Algorithmen erstellte Inhalte unter dieses Kriterium fallen. Zutreffend heißt es, dass nur Daten für journalistisch redaktionelle Zwecke von Art. 85 DS-GVO erfasst sind, nicht in Medienunternehmen vorhandene sonstige Daten etwa für die Akquisition oder Werbung.