Literaturhinweise

Bayerisches Landesamt für Datenschutzaufsicht (Hrg.)

Erste Hilfe zur Datenschutz-Grundverordnung für Unternehmen und Vereine

Bayerisches Landesamt für Datenschutzaufsicht (Hrg.), Erste Hilfe zur Datenschutz-Grundverordnung für Unternehmen und Vereine - Das Sofortmaßnahmen-Paket, Verlag C.H.Beck, München 2018, 5,50 €.

Dieses Heft ist ein Hit. Der Name ist Programm: ein Erste-Hilfe-Paket zur Datenschutz-Gundverordnung. Einfach erklärt, kein Datenschutz fürs Hochreck, sondern reduziert auf das Wesentliche. Und dann stellt man fest, dass es bei C.H.Beck Gedrucktes für fünf Euro fünfzig gibt.

Es fängt an mit dem Anwendungsbereich der DS-GVO. Da gibt es drei Fragen und: Wenn Sie auch nur eine davon mit "ja" beantworten, sind Sie Verarbeiter und die DS-GVO ist für Sie anwendbar. Dann weiter zur Checkliste für die ersten Schritte. Ganz wichtig: Steht die Geschäftsleitung oder der Vorstand hinter den zutreffenden Maßnahmen? Das ist ein Kern der Neuregelung - es sind auf der Leitungsebene Entscheidungen zu treffen, die man nicht einem IT-Beauftragten oder einem externen Datenschutzbeauftragten überlassen kann.

Auch interessant: "Arbeiten Sie mit Einwilligung?" - wer an der Stelle mit "nein" antwortet, könnte schon ein Problem haben. Tricky ist die zweite Frage "Falls ja, kennen Sie die Anforderungen für eine wirksame Einwilligung?":-)

Erläutert werden die notwendigen Verzeichnisse der Verarbeitungstätigkeiten, was ja auch schon weniger sperrig klingt als die bisherigen "Verfahrensverzeichnisse" des Lochkarten-BDSG. Zur Hilfe gibt es auch hier ein Muster mit der empfohlenen Ergänzung, etwa die Rechtsgrundlage der Verarbeitung anzugeben. Das ist dann schon nicht mehr ganz für Einsteiger, zwingt aber die Fortgeschrittenen zum Nachdenken und bietet entweder Rechtssicherheit oder ist Anlass, "nice to have"-Daten dann doch nicht zu erheben.

Weiter geht es mit den Grundsätzen für die Verarbeitung personenbezogener Daten, mit der Auftragsverarbeitung (da muss man sich daran gewöhnen, dass der Begriff ein wenig anders heißt) und der Sicherheit der Verarbeitung, was sich mit der Datensicherheit für Infrastrukturen überschneidet.

Beim Kapitel über Datenschutzbeauftragte müssen Vertreter elektronischer Medien innehalten, das hier ist nämlich der "allgemeine" Beauftragte, nicht der gerade im Rahmen des 21. RÄndStV in den meisten Landesmediengesetzen übernommene Datenschutzbeauftragte für die journalistischen Zwecke - um die geht es auch in der ganzen Broschüre nicht, weil zu speziell und auch im Zuständigkeitsbereich der Medienanstalten.

Die Rechte von betroffenen Personen und beispielsweise die Pflichten bei Verletzungen des Datenschutzes (Meldung an die Aufsichtsbehörde und Unterrichtung der Betroffenen), Sanktionen und Haftung, sind weitere Kapitel. Die Anforderungen an eine Unternehmensstruktur, die den Datenschutz unterstützt und Hinweise zum Umgang mit der Aufsichtsbehörde schließen sich an.

Sozusagen als Ergänzung geht es dann um Fotos im Internet und hier um das Recht am eigenen Bild nach dem Kunsturhebergesetz (KUG). Das ist sehr nützlich etwa mit dem Blick auf die Rechtsprechung des Bundesarbeitsgerichts für Webseiten von Firmen oder Internetauftritten von Vereinen. Die Basisinformationen stimmen auch für Medienunternehmen, allerdings bewegen wir uns hier im Bereich der journalistischen Tätigkeit, bei der die Abwägungsprozesse mehr von der Presse- und Rundfunkfreiheit beeinflusst sind. Hier würde man weniger über das Recht des Datenschutzes als mehr über das klassische Äußerungsrecht gehen - auch wenn am Ende beide Abwägungsprogramme nicht weit auseinander lägen. Allerdings steht zu befürchten, dass Verwaltungsgerichte bei Beanstandungen durch Aufsichtsbehörden aus dem Bereich des Datenschutzes dann doch anders an Sachverhalte herangehen, als kampferprobte Pressekammern der Zivilgerichte.