Literaturhinweise

Jochen Schneider

Datenschutz

Jochen Schneider, DatenschutzNach der EU-Datenschutz-Grundverordnung, 2. Aufl., Verlag C.H. Beck, München 2019, 29,80 €.

Es juckt den Autor im Vorwort dann doch: Die DS-GVO habe viele der ursprünglichen Ankündigungen, mit denen sie versehen war, nicht erreicht. Das war es dann auch, der "Leitfaden" enthält sich bewusst der Kritik oder Beurteilung des Rechtsrahmens. Ganz pragmatisch heißt es: "Die Notwendigkeit der Umsetzung der DS-GVO ist unabweisbar; also muss man als Betrieb das Beste daraus machen: Ein Instrument für das gesamte Datenmanagement, auch für die Sicherheit der IT."

Das Buch ist verständlich geschrieben und durch drucktechnisch hervorgehobene Zitate des Gesetzestextes und der Erwägungsgründe (der Begründung) angereichert. Wiederum abgesetzt gibt es Zusammenfassungen und Hinweise.

Der Leitfaden richtet sich an Unternehmen, nicht speziell an die Medienwirtschaft. Das Stichwort "Medienprivileg" oder die landesrechtlichen Vorschriften findet man also nicht. Fündig wird man hingegen, bei den nicht-publizistischen Bereichen, also Personalmanagement, Werbung und datengetriebenen Geschäftsideen. Der Autor, ein renommierter Anwalt und Honorarprofessor, in anwaltlichen Gremien mit IT-Fragen über den reinen Datenschutz hinaus befasst, fokussiert den vorliegenden Leitfaden auf eben jenes Gebiet. Dass vielfältige andere Rechtsgebiete im Umgang mit Daten in Unternehmen berührt sind, ist bei dieser klaren Schwerpunktbildung zunächst außen vor.

Das Werk skizziert einleitend die Entwicklung vom ersten BDSG des Jahres 1977 bis zum Wirksamwerden der DS-GVO im Jahr 2018. Über sie gibt das folgende Kapitel einen Überblick, bevor es im dritten Kapitel allgemeine um den Anwendungsbereich geht. Hier spielt das Marktortprinzip eine wichtige Rolle, weil damit auch Unternehmen außerhalb der EU in den Anwendungsbereich genommen werden. Inwieweit diese Neuerung gegenüber dem früheren Recht dann gehe, hänge viel von der Praxis der Datenschutzbehörden ab, wird angemerkt. Im nächsten Kapitel geht es um die Adressaten sowie die Inhalte der rechtlichen Verpflichtungen.

Im vierten und fünften Kapitel geht es um die Zulässigkeit der Datennutzung zunächst ohne und dann, wenn ansonsten kein Rechtfertigungstatbestand vorliegt, eben mit Einwilligung. Auch in diesem Werk wird also zurecht darauf hingewiesen, dass die Erhebung und Nutzung von Daten vielfach zulässig ist, ohne dass man eine Einwilligung benötigt. Und wenn man dann doch eine Einwilligung braucht, dann bitte sollte sie richtig sein, also ohne Kopplung und auf Basis transparenter Information, für einen bestimmten Zweck, frei gegeben und am Ende dann auch dokumentiert. Die Einwilligung ist formlos, gilt also auch mündlich oder auch nur schlüssig, sofern man das als ausdrückliche Einwilligung ansehen kann. Wenn man eine schriftliche Erklärung haben will, um sie zu dokumentieren, dann ... - die Überschrift dazu hat drei Punkte und verweist unmittelbar auf das Gesetz: Dann bitte auch richtig, sonst schadet es mehr als es nutzt.

In den folgenden Kapiteln geht es um die Rechte der Betroffenen, um die Pflichten des Verarbeiters, die Aufsicht, Fragen der Haftung und der "Skandalisierung" (Stichwort: Datenpannen), knapp um die Fragen der Zertifizierung sowie um Hinweise für den Fall der Datenübertragung in Drittländer außerhalb der EU (bald also UK). Am Ende wird eine Checkliste geboten und die Themen Bußgeld, Sanktionen und Abmahnung thematisiert.

Aufgegriffen ist - knapp - die Entscheidung des EuGH zu den Fanpages bei Facebook. Hier weist der Leitfaden auf das Ergebnis hin, dass eine gemeinsame Verarbeitung von Daten angenommen wird. Dies führe nicht zwangsläufig zu einer gleichwertigen Verantwortlichkeit. Damit bezieht sich der Autor auf die Passagen des EuGH, wonach die Verarbeitung personenbezogener Daten in verschiedenen Phasen und in unterschiedlichem Ausmaß erfolgt, so dass der Grad der Verantwortlichkeit eines jeden unterschiedlich ist - zu beurteilen nach "allen maßgeblichen Umständen des Einzelfalles". Das sollte, so der Rat, im Innenverhältnis der Beteiligten durch eine vertragliche Vereinbarung geregelt werden. Von der Verhandlungsmacht eines Mittelständlers gegenüber Facebook ist hier nichts geschrieben. Immerhin räumt der Leitfaden bei den Details zur gemeinsamen Verarbeitung ein, dass dieses Thema bislang unterschätzt worden sei. Hier wird die aktuelle Literatur nach der Entscheidung des EuGH vom Sommer 2018 zitiert und eine Reihe von Auswirkungen dann im Konjunktiv als möglich erwähnt.

Was hilft der Leitfaden? Wer ihn im Unternehmen als Verantwortlicher in der Erwartung liest, einen ganz konkreten Anwendungsfall möglichst mit Checkliste gelöst zu bekommen, wird enttäuscht sein. Nach all der Konfusion auf betrieblicher Ebene in den zurückliegenden Monaten, nach der Bugwelle an Unsinn im Mai 2018 und dem gespannten Warten auf Abmahnungen (unterblieben) und Bußgelder (nicht gekommen, jedenfalls nicht im eigenen Laden) macht sich vielfach eine merkwürdige Stimmung breit. Einzelne Fragen hätte man gern mundgerecht vorgekaut. Eine neue Erläuterung des Rechtsrahmens will man eigentlich gar nicht lesen, denn so heiß wie es geschrieben wird, wird es am Ende doch wohl gar nicht gegessen - also abwarten und nichts tun. Die erste Erwartung wird nicht erfüllt werden, die zweite Haltung ist eher riskant. Es nützt also nix, der Autor hat ja mit seinem Vorwort recht: Einfach das Beste daraus machen. Das heißt, in Leitfäden wie diesem für das eigene Geschäft Argumente finden, wie man die Abwägung für den sinnvollen Datenschutz am besten macht.