Literaturhinweise

Nikolaus Forgó, Marcus Helfrich, Jochen Schneider (Hrg.)

Betrieblicher Datenschutz

Nikolaus Forgó, Marcus Helfrich, Jochen Schneider (Hrg.), Betrieblicher Datenschutz - 3. Aufl., Verlag C.H.Beck, München 2019, 249,00 €.

Zwei Jahre nach Erscheinen der Vorauflage befindet sich das europäische Datenschutzrecht weiterhin im Umbruch, so beschreiben die Herausgeber die aktuelle Lage im Vorwort der dritten Auflage. Die Anwendbarkeit der DS-GVO habe die Ausgangslage zwar erheblich verändert, es sei aber nicht zu erwarten, dass dadurch umfassende Klarheit und Stabilität Einzug finde und alle Rätsel gelöst seien. Grund hierfür ist, dass es auf den verschiedenen nationalen Ebenen weiterhin eine komplexe Rechtslage gibt, die durch Rechtsprechung und Behördenpraxis zusätzlich ausdifferenziert wird. Auf europäischer Ebene geplant, aber immer noch nicht verabschiedet ist die ePrivacy-Verordnung, durch die das europäische Datenschutzrecht ebenso nachhaltig geprägt werden wird. Das Rechtshandbuch setzt genau an der Schnittstelle dieser Herausforderungen an und gibt zu zahlreichen Themen im betrieblichen Datenschutz eine umfassende Darstellung. Bezüglich der Themen und der Gliederung kann bis auf geringe Ausnahmen auf die Vorauflage verwiesen werden. Neu im Inhaltsverzeichnis findet man zum Beispiel einen Teil zu Informationspflichten, der anhand der Rechtslage in Österreich dargestellt wird, sowie einen Teil zu Outsourcing und neuen Technologien als Herausforderung für den Datenschutz. Dieser Teil befasst sich unter anderem mit den relevanten Aspekten der Auftrags(daten)verarbeitung.

Im ersten Teil, in dem es allgemein um datenschutzrechtliche Strukturen geht, finden sich kurz gehaltene, neue Ausführungen zum Netzwerkdurchsuchungsgesetz (NetzDG), das am 1. September 2017 und somit nach Erscheinen der Vorauflage ausgefertigt wurde. Hier geht es zunächst ganz allgemein um den Netzzugang, der gesetzessystematisch kein Thema des Datenschutzes ist. Es geht hier vielmehr um Bereiche des TKG und des TMG, aber auch um Fragen der sogenannten Medienkompetenz und den Voraussetzungen des Zugangs zu Medien. Angerissen, aber nicht näher erläutert, wird die Problematik, dass es unterschiedliche Maßgaben für unterschiedliche Medien gibt sowie das Problem, das oft schon die Einordnung von Medien beispielsweise als Rundfunk schwierig ist. Das bereits angesprochene NetzDG wird als Alleingang Deutschlands auf europäischer Ebene beschrieben. Da das Gesetz auf sogenannte soziale Netzwerke mit mehr als zwei Million registrierten Nutzern im Inland bezieht, wird es vereinfacht oft als Google- beziehungsweise Facebook-Gesetz beschrieben. Die ersten durch § 5 NetzDG vorgeschriebenen Berichte, für den Fall dass mehr als 100 Beschwerden über rechtswidrige Inhalte pro Kalenderjahr beim Anbieter angefallen sind, liegen für YouTube (Google), Facebook und Twitter bereits vor. Interessant ist, dass sich diese Berichte formal und inhaltlich erheblich unterscheiden. Das NetzDG sieht in § 4 außerdem erhebliche Bußgeldzahlungen bei Verstößen von bis zu 50 Million Euro vor. Die angedrohten Bußgelder in Kombination mit knapp bemessenen Fristen zur Behebung von Verstößen haben eine große, noch andauernde über die Gefahr eines "Overblockings", also der technischen Verhinderung von Inhalten anhand von Regeln, die Sonderfälle oder Ausnahmen nicht beachtet, verursacht.

Web 2.0 und sogenannte soziale Netzwerke sind heute Bestandteile moderner Unternehmenskommunikation. Auch für Medienunternehmen ist die Nutzung solcher Dienste kaum wegzudenken, stellen sie doch Möglichkeiten der direkten Interaktion mit den Nutzern dar und bieten diesen die Möglichkeit, ihre Meinung direkt dem betroffenen Unternehmen kundzugeben. Vor allem im Marketingbereich bietet dies neue Möglichkeiten ebenso wie neue Herausforderungen.

Das Werk befasst sich im zweiten Kapitel mit Web 2.0, mobilen Apps und den damit korrespondierenden datenschutzrechtlichen Herausforderungen. Es wird dargestellt, wie diese Dienste rechtlich einzuordnen sind, nämlich als Telemediendienste. Dabei erfolgt auch eine kurze Negativabgrenzung zum Rundfunk, der hier per Definition nicht anwendbar ist, da es sich hierbei um Abrufdienste handelt, die nicht für den zeitgleichen Empfang bestimmt sind und keinem Sendeplan folgen. Weiter wird auf die datenschutzrechtliche Verantwortlichkeit im Web 2.0 und das datenschutzrechtliche Verhältnis zwischen Plattformbetreibern und Nutzern einerseits sowie Nutzern und anderen Nutzern beziehungsweise Dritten andererseits erläutert.

Die Social Media-Dienste werden im fünften Kapitel im Hinblick auf deren datenschutzrechtliche Auswirkungen auf die Unternehmenspraxis ausführlich dargestellt. Der Blick geht hierbei auf den Einsatz dieser Dienste zum einen als Marketing-Instrument und zum anderen als Recruiting-Instrument. Gerade in diesen beiden Feldern stellen sich eine Reihe von datenschutzrechtlichen Problemen. Bei der Nutzung von Facebook als Marketing-Instrument beispielsweise erhebt Facebook im großen Stil Nutzerdaten ohne datenschutzkonforme Einwilligung seiner User, aus denen dann Nutzer- und Persönlichkeitsprofile erstellt werden, die am Werbemarkt verkauft werden. Der Autor des Kapitels wirft deshalb die in Deutschland bisher noch überhaupt nicht diskutierte Frage in den Raum, ob Werbung von Unternehmen auf Facebook als solche überhaupt datenschutzrechtlich zulässig ist. Solange Datenschutzbehörden aber wie bisher diese Praxis nicht sanktionieren, könne Facebook nach Ansicht des Autors zu Werbe- und Marketingzwecken zumindest derzeit noch risikofrei genutzt werden, sofern andere datenschutzrelevante Grundsätze wie die Einbindung von Like-Buttons oder das Impressum rechtlich zulässig eingebunden werden. Was hierbei zu beachten ist, wird im Detail erörtert.

Ein in der Praxis ebenfalls höchst umstrittenes Thema ist die rechtlich zulässige Speicherung von Cookies. Das Rechtshandbuch erläutert hier ziemlich ausführlich die Voraussetzungen einer wirksamen Einwilligung in das Setzen von Cookies. Was Cookies sind, wird gleich zu Beginn dieses Themenabschnitts im elften Teil des Werks erklärt, nämlich kleine Datensätze, die auf dem Rechner eines Internetnutzers gespeichert werden, wobei der Cookie entweder vom Website-Anbieter selbst oder von einem Dritten (dann als sogenannter "Third Party Cookie) stammen kann. Was vielen Unternehmern nicht bewusst sein dürfte, ist, dass Drittanbieter beim Kauf von Werbeflächen auf deren Unternehmenswebsite selbst diese Third-Party-Cookies setzen und die dadurch gewonnenen Daten für eigene Zwecke nutzen. Wo hier die rechtlichen Probleme liegen und wie dieses für Unternehmen unerwünschte Verhalten unterbunden werden kann – zum Beispiel über einen Zusatz in deren Allgemeinen Geschäftsbedingungen für Werbekunden – ist oft nicht leicht zu beantworten. Auch das Handbuch greift dieses doch sehr spezielle Thema nicht auf.

Speziell medienspezifische Themen finden sich in dem komplexen Werk nur am Rande. So wird vereinzelt auf das Medienprivileg nach Art. 85 DS-GVO und dessen Auswirkungen auf die Geltung deutscher Regelungen wie dem KUG oder dem UrhG hingewiesen. Es wird erwähnt, dass nach einer Entscheidung des OLG Köln aus dem Juni 2018 § 23 KUG auch nach dem Inkrafttreten der DS-GVO nicht in Frage gestellt ist. Auch Regelungen aus dem UrhG wie das Zitierprivileg nach § 51 UrhG oder die Katalogbildfreiheit nach § 58 UrhG gehen nach der Kommentierung weiter der DS-GVO vor, da der nationale Gesetzgeber nach Art. 85 Abs. 1 DS-GVO lediglich aufgefordert sei, durch geeignete gesetzgeberische Maßnahmen dafür Sorge zu tragen, dass eine praktische Konkordanz zwischen dem nach der DS-GVO geschützten Rechtsgut und den im nationalen Recht geschützten Rechtsgütern hergestellt wird und die deutschen Regelungen in diesem Zusammenhang nicht zu beanstanden sind.