Literaturhinweise

Louisa Specht, Reto Mantz

Handbuch Europäisches und deutsches Datenschutzrecht

Louisa Specht, Reto Mantz (Hrg.), Handbuch Europäisches und deutsches Datenschutzrecht - Bereichsspezifischer Datenschutz in Privatwirtschaft und öffentlichem Sektor, Verlag C.H.Beck, München 2019, 109,00 €.

Was bisher an Literatur zum Datenschutz seit dem Wirksamwerden der DS-GVO am 25. Mai 2018 vorliegt, ist meist eine generelle Darstellung aus der Perspektive des Unionsrechts. Das jedenfalls ist der Ausgangspunkt der Herausgeber des vorliegenden Handbuchs. Sie weisen darauf hin, dass für einzelne Bereiche sehr unterschiedliche Anforderungen gelten. In einer Schule oder in Medienhäusern, im Anwaltsbüro oder der staatlichen Justiz gelten sehr spezifische Anforderungen, die sich nicht nur aus der DS-GVO, sondern auch aus dem BDSG neu und dem Landesrecht ergeben können. Dabei gab es auch schon vor dem Mai 2018 einen Datenschutz, in Deutschland auf hohem Niveau. Herauszuarbeiten gilt es also, was tatsächlich neu ist. Gegenüber zu stellen ist, was der früheren Rechtslage entspricht, aber eben an einer neuen Stelle im Gesetz steht. Die Herausgeber haben Praktiker aus Datenschutzbehörden, Richter, Anwälte und Wissenschaftler gebeten, die einzelnen Bereiche darzustellen.

Die datenschutzrechtlichen Grundlagen sind für alle Bereiche vorangestellt. Das ist sozusagen ein wenig (immerhin rund 230 Seiten) zusammengefasst das, was Inhalt der meisten Werke zum Datenschutz der Gliederung nach ist. Es geht um die verfassungsrechtlichen Grundlagen, um eine Beschreibung der DS-GVO, des BDSG, um Aspekte von Compliance, internationalen Datentransfer sowie die Straf- und OWi-Bestimmungen. In diesem Teil reizt der Blick auf die Darstellung von ePrivacy. Bekanntlich fehlt die entsprechende Verordnung zum Datenschutz in der elektronischen Kommunikation, die mit der DS-GVO zeitgleich anwendbar werden sollte. Der Entwurf wird auf dem Stand von Kommission, Parlament und Rat vom Juni 2018 vorgestellt und vorläufig bewertet. Hingewiesen wird darauf, dass derzeit die ePrivacy-RL als Vorläuferregelung noch in Kraft ist, was zu den Problemen der Anwendung eigentlich nicht synchronisierter Vorschrift führt. Der Schwerpunkt der Erläuterung liegt auf dem Entwurf der ePrivacy-VO. Referiert wird unter anderem die Sorge der Online-Werbebranche, durch die Voreinstellungen Schaden zu nehmen. In der Tat sei zunächst davon auszugehen, dass die Mehrheit der Nutzer sich für jene Einstellung entscheide, die Cookies von Dritten abwehrt. Die individuelle Anfrage, Cookies zuzulassen, sei aber weiterhin zulässig, weshalb unter Umständen sogar der Effekt eintreten könne, dass die Nutzer aufgrund "der lästigen individuellen Anfragen" die Voreinstellungen im Browser letztlich doch wieder senken würden – Problem gelöst. Das ist ein interessanter Gedanke, der aber nur vordergründig die Bedenken der Online-Werber und der Medienanbieter zufriedenstellt. Vielmehr wendet sich das Argument gegen diese Art von unflexibler Voreinstellung, weil unterstellt wird, dass der Nutzen von Cookies für den User aus deren Sicht im Einzelfall vorhanden sein kann – nur kann der User nicht den Einzelfall flexibel einstellen. Zutreffend wird darauf hingewiesen, dass es bei der ePrivacy-VO nicht um das gesamte Werbetracking gehen wird, sondern allein um die Datenerhebung auf den Endgeräten.

Bei dem Datenschutz in der Informationstechnik geht es um das "Herzstück einer jeden Datenverarbeitung", wie es dort eingangs heißt. Das hätte vielleicht ein Argument sein können, diese Ausführungen noch in den allgemeinen Teil vor die einzelnen Branchen zu setzen. Bei den Einzelproblemen geht es etwa um den Datenschutz durch Technikgestaltung, also etwa Anonymisierung und Pseudonymisierung oder die Verschlüsselung. Hingewiesen wird auf die notwendigen organisatorischen Maßnahmen, was in die Planung unternehmensinterner Prozesse und die Ressourcen hinüberreicht. Als ein Beispiel hierzu wird das Datenmanagement, also die zentrale Erfassung und Strukturierung aller verarbeiteten Daten beleuchtet. Zu den dann doch eher branchenspezifischen Aspekten gehört das Recht auf Datenoperabilität, also die Möglichkeit des "Umzugs" von Datenbeständen. Vergleicht man die Darlegungen des Handbuchs mit dem, was in der Praxis angekommen ist, bestehen Lücken. In der Praxis ist die Wahrnehmung, dass allenfalls Apple oder Facebook betroffen sind. Das erweist sich als Trugschluss. Berührungspunkte aus Sicht der Praxis bestehen zu den Darlegungen zum Datenschutz im Kommunikationssektor, wo es um die Abgrenzung des TK-Datenschutz und des Telemediendatenschutzes geht. Es geht nicht nur um das klassische Fernmeldegeheimnis, sondern um Verkehrsdaten, Standortdaten und am Ende um geradezu politische Themen wie die Vorratsdatenspeicherung.

Die Erläuterung zum Datenschutz "in Presse und anderen Medien" ist positiv herauszustellen. Geboten wird eine der wenigen Darstellungen, die sich tief in die landesgesetzlichen Regelungen des Medienprivilegs begibt. Nach den anwendbaren Vorschriften – zwischen EMRK und den Gesetzen der deutschen Bundesländer – geht es um eine Fülle von Einzelfragen, etwa die Abgrenzung von Presse und Rundfunk und in diesem Zusammenhang auch die Frage, was denn Journalismus ist. Auch Beiträge in Blogs und auf sozialen Netzwerken können als journalistische Tätigkeit im weiteren Sinn bewertet werden, heißt es zutreffend. Dafür spreche, dass die Übergänge zwischen professionellem und nicht-professionellem Journalismus fließend seien. Der Autor differenziert zwischen der "schlichten Selbstbeschreibung" und "Äußerungen mit journalistisch-redaktionellem Gehalt", wozu auch Kurznachrichten auf Twitter gehören könnten. Umgekehrt könne man aber nicht einfach sagen, dass Beiträge auf einer bestimmten Art von Plattform per se Medieninhalte, auf die das Medienprivileg anwendbar wäre, seien. Dargestellt werden die Betroffenenrechte bei den einzelnen Medien sowie die Aufsicht. Bei der Presse wird hervorgehoben, dass der Ausschluss jeglicher staatlicher Aufsicht mit dem Medienprivileg der DS-GVO vereinbar sei – ein bekanntlich in der deutschen Literatur umstrittener Punkt. Zwar werde das Spannungsverhältnis zwischen Datenschutz einerseits sowie Meinungsäußerungs- und Informationsfreiheit überwiegend zu Gunsten der Medien aufgelöst. Gleichwohl erfülle Deutschland damit den Regelungsauftrag des Unionsrechts zu einem schonenden Ausgleich zwischen den in Rede stehenden Grundrechtspositionen.

Beim Datenschutz in der Verwaltung von Bund, Ländern liest sich eine Passage über die Öffentlichkeits- und Pressearbeit der Verwaltung, etwa auch durch Social Media, interessant. Hier wird moniert, dass das Medienprivileg des Art. 85 DS-GVO nicht für die öffentliche Verwaltung und deren Pressearbeit umgesetzt worden sei. Wer aus der medienrechtlichen Ecke kommt, ist bei diesem Gedanken verblüfft. Der öffentliche Sektor, also der Staat, betreibt keine publizistische, journalistisch-redaktionelle Tätigkeit. Er informiert und stellt die Transparenz über sein Handeln her, was aber mit Journalismus nichts zu tun hat – Staatsfreiheit von Presse und Rundfunk ist das Stichwort im Medienrecht. Es geht also um nicht um Öffnungsklauseln und eine Freistellung des Staates im Rahmen des Medienprivilegs, sondern es geht um die Einhaltung der Grundrechtsgebundenheit der öffentlichen-Verwaltung auch bei der Erfüllung ihrer Informations- und Transparenzpflichten.

Bei diesem Literaturhinweis sind nur die hier interessierenden Punkte beleuchtet. Das Handbuch beschäftigt sich mit einer Anzahl anderer spezieller Herausforderungen, das neue Unionsrecht und das angepasste nationale Recht in die Praxis zu bringen. Herausgebern und Autoren gebührt Anerkennung dafür, dass sie in ihren speziellen Bereichen oft Pionierarbeit leisten. Zwar gibt es vielfach Aufsätze mit punktuellen Problembeschreibungen. Systematische branchenspezifische Darstellungen sind eher noch die Ausnahme.