Handbuch Europäisches und deutsches Datenschutzrecht

– Bereichs­spe­zi­fi­scher Daten­schutz in Pri­vat­wirt­schaft und öffent­li­chem Sektor


Louisa Specht , Reto Mantz (Hrsg.), Hand­buch Europäis­ches und deutsches Daten­schutzrecht — Bere­ichsspez­i­fis­ch­er Daten­schutz in Pri­vatwirtschaft und öffentlichem Sek­tor, Ver­lag C.H.Beck, Mün­chen 2019, Preis 109,00 €

Was bish­er an Lit­er­atur zum Daten­schutz seit dem Wirk­samw­er­den der DS-GVO am 25. Mai 2018 vor­liegt, ist meist eine generelle Darstel­lung aus der Per­spek­tive des Union­srechts. Das jeden­falls ist der Aus­gangspunkt der Her­aus­ge­ber des vor­liegen­den Hand­buchs. Sie weisen darauf hin, dass für einzelne Bere­iche sehr unter­schiedliche Anforderun­gen gel­ten. In ein­er Schule oder in Medi­en­häusern, im Anwalts­büro oder der staatlichen Jus­tiz gel­ten sehr spez­i­fis­che Anforderun­gen, die sich nicht nur aus der DS-GVO, son­dern auch aus dem BDSG neu und dem Lan­desrecht ergeben kön­nen. Dabei gab es auch schon vor dem Mai 2018 einen Daten­schutz, in Deutsch­land auf hohem Niveau. Her­auszuar­beit­en gilt es also, was tat­säch­lich neu ist. Gegenüber zu stellen ist, was der früheren Recht­slage entspricht, aber eben an ein­er neuen Stelle im Gesetz ste­ht. Die Her­aus­ge­ber haben Prak­tik­er aus Daten­schutzbe­hör­den, Richter, Anwälte und Wis­senschaftler gebeten, die einzel­nen Bere­iche darzustellen.

Die daten­schutzrechtlichen Grund­la­gen sind für alle Bere­iche vor­angestellt. Das ist sozusagen ein wenig (immer­hin rund 230 Seit­en) zusam­menge­fasst das, was Inhalt der meis­ten Werke zum Daten­schutz der Gliederung nach ist. Es geht um die ver­fas­sungsrechtlichen Grund­la­gen, um eine Beschrei­bung der DS-GVO, des BDSG, um Aspek­te von Com­pli­ance, inter­na­tionalen Daten­trans­fer sowie die Straf- und OWi-Bestimmungen. 

Daten­schutz gilt auch in der Anwaltschaft. Das über­lagert sich mit dem strafrechtlichen Geheimniss­chutz, den die Anwälte zu beacht­en haben. Nach ein­er Ein­leitung und der Dar­legung des rechtlichen Rah­mens geht es um die Daten­ver­ar­beitung inner­halb der Anwalt­skan­zlei. Wo es um die Dat­en von Klien­ten geht, wird auf die Möglichkeit ver­wiesen, in Man­datsvere­in­barun­gen etwa den Zweck des Man­datsver­hält­niss­es präzise zu beschreiben. Nicht nur im Schei­dungsver­fahren erhält der Anwalt ganz viele Dat­en der Gegen­seite. Die Spe­icherung dieser Infor­ma­tio­nen ist, so die Ausle­gung, nach Art. 6 Abs. 1 lit. f DS-GVO zuläs­sig, denn dies dient der Wahrung der berechtigten Inter­essen des Man­dan­ten, ohne dass insoweit berechtigte Inter­essen der betrof­fe­nen Per­so­n­en über­wiegen. Die Kon­struk­tion ist sich­er richtig, aber nicht erst in den Grenzbere­ichen schwierig – denn was erzählen Man­dan­ten ihren Anwäl­ten alles an Neben­säch­lichkeit­en und schein­bar wichti­gen Infor­ma­tio­nen über den Geg­n­er, die nach rechtlich­er Analyse für den Fall aber bedeu­tungs­los sind. Ohne spezielle geset­zliche Regelung muss man die Inter­essen­ab­wä­gung in der Prax­is bis an ihre Gren­zen führen. Die Kor­re­spon­denz mit der Gegen­seite, Han­dak­te, Beweis­mit­tel, Noti­zen bis hin zu Zeit­er­fas­sun­gen wer­den erörtert. Es geht um die zuläs­sige Spe­icher­dauer und etwa die Ver­ar­beitung in ver­schiede­nen Organ­i­sa­tions­for­men wie Büro­ge­mein­schaften. Aus­giebig geht es um die daten­schutzrechtlichen Pflicht­en ein­er Anwalt­skan­zlei, wobei die Meldepflicht­en gegenüber Auf­sichts­be­hör­den und Benachrich­ti­gungspflicht­en gegenüber Betrof­fe­nen eher zu den Unbekan­nten im Kan­zleiall­t­ag gehören. Hingewiesen wird auf die Notwendigkeit, die Sicher­heit der Daten­ver­ar­beitung zu beacht­en. Bei E‑Mail heißt es lap­i­dar, es sollte dem Man­dan­ten die Möglichkeit gegeben wer­den, ver­schlüs­selt per E‑Mail kom­mu­nizieren zu kön­nen. Dem liegt wohl die Über­legung zugrunde, dass der Man­dant in eine offene Kom­mu­nika­tion ein­willi­gen kann – da aber auch hier Schrift­satzen­twürfe mit jed­er Menge Dat­en Drit­ter ungeschützt durchs offene Inter­net geschickt wer­den, reicht die Ein­willi­gung des Man­dan­ten aus der Per­spek­tive Drit­ter keines­falls, wären angesichts dieser knap­pen Erläuterung hinzuzufügen.

Bei dem Daten­schutz in der Infor­ma­tion­stech­nik geht es um das “Herzstück ein­er jeden Daten­ver­ar­beitung”, wie es dort ein­gangs heißt. Das hätte vielle­icht ein Argu­ment sein kön­nen, diese Aus­führun­gen noch in den all­ge­meinen Teil vor die einzel­nen Branchen zu set­zen. Bei den Einzel­prob­le­men geht es etwa um den Daten­schutz durch Tech­nikgestal­tung, also etwa Anonymisierung und Pseu­do­nymisierung oder die Ver­schlüs­selung. Hingewiesen wird auf die notwendi­gen organ­isatorischen Maß­nah­men, was in die Pla­nung unternehmensin­tern­er Prozesse und die Ressourcen hinüber­re­icht. Als ein Beispiel hierzu wird das Daten­man­age­ment, also die zen­trale Erfas­sung und Struk­turierung aller ver­ar­beit­eten Dat­en beleuchtet. Zu den dann doch eher branchen­spez­i­fis­chen Aspek­ten gehört das Recht auf Daten­op­er­abil­ität, also die Möglichkeit des “Umzugs” von Datenbestän­den. Ver­gle­icht man die Dar­legun­gen des Hand­buchs mit dem, was in der Prax­is angekom­men ist, beste­hen Lück­en. In der Prax­is ist die Wahrnehmung, dass allen­falls Apple oder Face­book betrof­fen sind. Das erweist sich als Trugschluss. Berührungspunk­te aus Sicht der Prax­is beste­hen zu den Dar­legun­gen zum Daten­schutz im Kom­mu­nika­tion­ssek­tor, wo es um die Abgren­zung des TK-Daten­schutz und des Teleme­di­en­daten­schutzes geht. Es geht nicht nur um das klas­sis­che Fer­n­meldege­heim­nis, son­dern um Verkehrs­dat­en, Stan­dort­dat­en und am Ende um ger­adezu poli­tis­che The­men wie die Vorratsdatenspeicherung. 

Die Darstel­lung des Daten­schutzes in der Ver­wal­tung von Bund, Län­dern und Kom­munen – die Prob­lem­lage bei der Polizei wird geson­dert behan­delt – zeigt die Span­nweite auf, die eben auch mit der Unter­schiedlichkeit von einzel­nen Ver­wal­tun­gen zu tun hat. Diese Darstel­lung ist insoweit als ein Überblick zu lesen, der spezielle Darstel­lun­gen für einzelne Ver­wal­tungs­bere­iche (in zukün­fti­gen Aufla­gen?) ermöglicht. Bei den Einzel­fra­gen geht es um die Rechts­grund­la­gen für unter­schiedliche Dat­en, um die Videoüberwachung, Prob­leme bei Ein­lasskon­trollen, die dig­i­tale Organ­i­sa­tion der Ver­wal­tung, den Ein­satz zer­ti­fiziert­er Pro­duk­te und Dien­stleis­tun­gen ein­schließlich der Aspek­te der Auss­chrei­bun­gen und der Ver­gabe. Es geht um Einzel­fra­gen wie zen­tral­isierte IT sowie die Kom­mu­nika­tion mit Bürg­ern und Exter­nen via E‑Mail und Fra­gen des Daten­schutzbeauf­tragten. Inter­es­sant liest sich eine Pas­sage über die Öffentlichkeits- und Pressear­beit der Ver­wal­tung, etwa auch durch Social Media. Hier wird moniert, dass das Medi­en­priv­i­leg des Art. 85 DS-GVO nicht für die öffentliche Ver­wal­tung und deren Pressear­beit umge­set­zt wor­den sei. Wer aus der medi­en­rechtlichen Ecke kommt, ist bei diesem Gedanken verblüfft. Der öffentliche Sek­tor, also der Staat, betreibt keine pub­lizis­tis­che, jour­nal­is­tisch-redak­tionelle Tätigkeit. Er informiert und stellt die Trans­parenz über sein Han­deln her, was aber mit Jour­nal­is­mus nichts zu tun hat – Staats­frei­heit von Presse und Rund­funk ist das Stich­wort im Medi­en­recht. Es geht also um nicht um Öff­nungsklauseln und eine Freis­tel­lung des Staates im Rah­men des Medi­en­priv­i­legs, son­dern es geht um die Ein­hal­tung der Grun­drechts­ge­bun­den­heit der öffentlichen-Ver­wal­tung auch bei der Erfül­lung ihrer Infor­ma­tions- und Transparenzpflichten. 

Daten­schutz in der Jus­tiz ist ein sehr inter­es­san­ter Teil des Hand­buch­es. Zu Recht heißt es, dass die Daten­ver­ar­beitung der Gerichte, abge­se­hen von vere­inzel­ten Aus­nah­men, in vollem Umfang von den inhaltlichen Vor­gaben der DS-GVO erfasst wer­den. Beson­dere Regelun­gen im Bere­ich der Jus­tiz beste­hen nur bei den Zweck­en der Ver­hü­tung, Ermit­tlung oder Aufdeck­ung und Ver­fol­gung von Straftat­en oder im Bere­ich der Strafvoll­streck­ung mit der Folge, dass auch die Strafgerichte bei ihrer recht­sprechen­den Tätigkeit im Anwen­dungs­bere­ich der DS-GVO agieren. Völ­lig zu Recht kon­sta­tiert die Kom­men­tierung, dass der deutsche Geset­zge­ber bish­er von den vielfälti­gen Öff­nungsklauseln des Union­srechts für den Bere­ich der Jus­tiz kaum Gebrauch gemacht hat. Das sei aber notwendig. Das vorhan­dene nationale Son­der­recht befasse sich nur frag­men­tarisch mit einzel­nen Aspek­ten der Daten­ver­ar­beitung durch die Jus­tiz. Das sei weit­ge­hend noch vor der Gel­tung der DS-GVO ergan­gen und auf die Vere­in­barkeit mit ihr noch nicht geprüft. Das führt auch dazu, dass Lan­desrecht ein­schlägig wird, wo der Bund bis­lang keine Regelun­gen erlassen hat.

Der einzelne Richter, so wird her­vorge­hoben, sei nur dann selb­st daten­schutzrechtlich ver­ant­wortlich, wenn er außer­halb des üblichen richter­lichen Tätigkeitkeits­bere­ich­es per­so­n­en­be­zo­gene Dat­en ver­ar­beite. Die Dien­st­stelle bleibe ver­ant­wortlich, auch wo der Richter im Rah­men der richter­lichen Unab­hängigkeit tätig wird. Der Autor ver­weist auf prozes­suale Regelun­gen, wenn es um den “Erforder­lichkeits­grund­satz” gehe, also die Frage, welche Dat­en erforder­lich seien, um beispiel­sweise in einem Urteil genan­nt zu wer­den. In der Prax­is noch gar nicht angekom­men ist das Konur­ren­zver­hält­nis der prozes­sualen Aktenein­sicht zu den Trans­paren­zpflicht­en nach der DS-GVO. Der Autor ver­tritt die Auf­fas­sung, dass bei­des nebeneinan­der anwend­bar ist. Mehrfach weist er auf erforder­liche tech­nis­che und organ­isatorische Maß­nah­men hin, um die Ver­ar­beitung nicht erforder­lich­er Dat­en einzuschränken, so auch beim elek­tro­n­is­chen Rechtsverkehr (eJus­tice). Als Son­der­prob­leme wer­den die auf­sichts­be­hördliche Kon­trolle und die Selb­stkon­trolle der Jus­tiz dargestellt und die jus­tizielle Unab­hängigkeit ein­er­seits und die Zen­tral­isierung der Datenverarbeitung.

Bei diesem Lit­er­aturhin­weis sind nur die hier inter­essieren­den Punk­te beleuchtet. Das Hand­buch beschäftigt sich mit ein­er Anzahl ander­er spezieller Her­aus­forderun­gen, das neue Union­srecht und das angepasste nationale Recht in die Prax­is zu brin­gen. Her­aus­ge­bern und Autoren gebührt Anerken­nung dafür, dass sie in ihren speziellen Bere­ichen oft Pio­nier­ar­beit leis­ten. Zwar gibt es vielfach Auf­sätze mit punk­tuellen Prob­lem­beschrei­bun­gen. Sys­tem­a­tis­che branchen­spez­i­fis­che Darstel­lun­gen sind eher noch die Ausnahme.