Literaturhinweise

Ansgar Koreng, Matthias Lachenmann (Hrg.)

Formularhandbuch Datenschutzrecht

Ansgar Koreng, Matthias Lachenmann (Hrg.), Formularhandbuch Datenschutzrecht, 2. Aufl., Verlag C.H.Beck, München 2018, 129,00 €.

Die Datenschutzgrundverordnung stelle den Versuch dar, das nach 22 Jahren "etwas angestaubte" Datenschutzrecht in Europa den heutigen Gegebenheiten anzupassen und ihm gleichzeitig zur stärken Durchsetzung zu verhelfen, so heißt es im Vorwort des Bandes. Noch keine datenschutzrechtliche Reform sei derart umfassend gewesen, weshalb es viel Zeit in Anspruch nehme, bis alle Akteure ihre Prozesse an die Erfordernisse des geltenden Rechts vollständig angepasst hätten. Dem will dieses Formularhandbuch in seiner zweiten Auflage helfen - und die ist rund dreimal so umfangreich wie die Vorauflage. Umfangreich sind Einführung, Muster mit Erläuterungen und Gegenüberstellungen in tabellarischer Form enthalten. Die Gliederung des Werkes ist gegenüber der früheren Veröffentlichungen deutlich geändert.

Zunächst geht es um die Organisationsstruktur für den Datenschutz. Rechenschaftspflichten, Compliance, die Datenschutzorganisation in Unternehmen und Beispiele zu Selbstverpflichtungen zum Datenschutz sind hier erläutert und mit Mustertexten dargestellt. Da geht es um die Anforderungen an ein Compliancemanagementsystem und um den Umgang mit Whistleblowern.

Zu Datenschutzbeauftragten gibt es umfangreiche Details, etwa zu Benennung und Abberufung, zu Verträgen mit externen Datenschutzbeauftragten und Muster für deren Tätigkeit etwa bei Antworten auf Auskunftsverlangen der Aufsichtsbehörde. Hinweise finden sich etwa zu typischen, auf den Datenschutzbeauftragten bezogene Klauseln in anderen Verträgen.

Hilfreich sind Formulare zu Dokumentationspflichten in Unternehmen, etwa die Folgenabschätzung, oder aus dem Bereich der Sicherheit der Verarbeitung von Daten ein Schema zur Ermittlung von Risiken. Hilfe gibt es für den Fall, dass Meldungen von Verletzungen des Schutzes personenbezogener Daten an Aufsichtsbehörden oder betroffene Personen vorzunehmen sind. Merkblätter und Texte zu Vertraulichkeitspflichten von Beschäftigten decken diesen Teil unternehmerischer Dokumentationspflichten ab.

Vorschläge für Richtlinien von Unternehmen werden geboten. Da Datenschutz "oben" anfängt, ist etwa das Muster eines Gesellschafterbeschlusses zur Einführung einer Datenschutz-Organisation zu nennen. Richtlinienvorschläge gibt es zur Nutzung von Internet und E-Mail, Telearbeit oder "Bring Your Own Device" und einen Social-Media-Guideline.

Die technische und organisatorische Datensicherheit ist mit Checklisten und ähnlichen Hinweisen abgedeckt.

Die Rechte betroffener Personen sind umfangreich berücksichtigt. So sind umfangreich Formulierungsvorschläge für Informationspflichten bei der Erhebung personenbezogener Daten - Webseiten, Mobil Apps, besondere Nutzungsformen von Websites, Newsletter oder Web Analytics, Social Media oder Online-Werbung vorhanden. Auskunftsrechte Betroffener, Berichtigungsansprüche und ähnliches runden dieses Kapitel ab.

Die nun sogenannte Auftragsverarbeitung findet sich im Kapitel zur Zusammenarbeit mit anderen Unternehmen. Formulare werden auch für Vorfälle während der Laufzeit solcher Vereinbarungen angeboten, etwa für die Genehmigung von Unterauftragnehmern, Änderungen, Überweisungen, Datenschutzbeauftragten oder Verfahren. Fernwartung durch Drittunternehmen, Vertraulichkeitsvereinbarungen, das Cloud Computing und den Datentransfer in Drittstaaten gehören ebenfalls zu diesem Kapitel. Besonderheiten des Beschäftigtendatenschutzes und des Kundendatenschutzes (bis hin zum Muster einer Mieter-Selbstauskunft) werden umfangreich dargelegt.

Am Ende geht es in einem eigenen Kapitel noch kurz um behördliche und verwaltungsgerichtliche Verfahren.

Nicht dargestellt, weil zu speziell, sind die Besonderheiten des Redaktionsdatenschutzes im Zusammenhang mit dem Medienprivileg.

Für die Praxis ist dieses Werk eine sehr gute Hilfestellung. Wie stets bei Formularen sollte man diese als Anregung verstehen, um die eigene Anwendungssituation zu überdenken. Die Erläuterungen helfen hierbei. Dass in vielen Bereichen erst zukünftige Rechtsprechung Klarheit bringen wird und die Rezeption der DS-GVO in europäischen Staaten unterschiedlich erfolgen wird, so dass dem EuGH eine entscheidende Rolle zukommt, versteht sich von selbst. Nicht alle Formulare werden sich am Ende als einzig richtig erweisen. Für den ersten Umgang mit der DS-GVO - auf mittlere Sicht - dürften viele Standardsituationen durch das umfängliche Werk erfasst sein einschließlich der Anregungen, wie mit branchenspezifischen Besonderheiten umgegangen werden kann.