Hand­buch Euro­päi­sches und deut­sches Daten­schutz­recht

– Bereichs­spe­zi­fi­scher Daten­schutz in Pri­vat­wirt­schaft und öffent­li­chem Sek­tor


Loui­sa Specht , Reto Mantz (Hrsg.), Hand­buch Euro­päi­sches und deut­sches Daten­schutz­recht – Bereichs­spe­zi­fi­scher Daten­schutz in Pri­vat­wirt­schaft und öffent­li­chem Sek­tor, Ver­lag C.H.Beck, Mün­chen 2019, Preis 109,00 €

Was bis­her an Lite­ra­tur zum Daten­schutz seit dem Wirk­sam­wer­den der DS-GVO am 25. Mai 2018 vor­liegt, ist meist eine gene­rel­le Dar­stel­lung aus der Per­spek­ti­ve des Uni­ons­rechts. Das jeden­falls ist der Aus­gangs­punkt der Her­aus­ge­ber des vor­lie­gen­den Hand­buchs. Sie wei­sen dar­auf hin, dass für ein­zel­ne Berei­che sehr unter­schied­li­che Anfor­de­run­gen gel­ten. In einer Schu­le oder in Medi­en­häu­sern, im Anwalts­bü­ro oder der staat­li­chen Jus­tiz gel­ten sehr spe­zi­fi­sche Anfor­de­run­gen, die sich nicht nur aus der DS-GVO, son­dern auch aus dem BDSG neu und dem Lan­des­recht erge­ben kön­nen. Dabei gab es auch schon vor dem Mai 2018 einen Daten­schutz, in Deutsch­land auf hohem Niveau. Her­aus­zu­ar­bei­ten gilt es also, was tat­säch­lich neu ist. Gegen­über zu stel­len ist, was der frü­he­ren Rechts­la­ge ent­spricht, aber eben an einer neu­en Stel­le im Gesetz steht. Die Her­aus­ge­ber haben Prak­ti­ker aus Daten­schutz­be­hör­den, Rich­ter, Anwäl­te und Wis­sen­schaft­ler gebe­ten, die ein­zel­nen Berei­che dar­zu­stel­len.

Die daten­schutz­recht­li­chen Grund­la­gen sind für alle Berei­che vor­an­ge­stellt. Das ist sozu­sa­gen ein wenig (immer­hin rund 230 Sei­ten) zusam­men­ge­fasst das, was Inhalt der meis­ten Wer­ke zum Daten­schutz der Glie­de­rung nach ist. Es geht um die ver­fas­sungs­recht­li­chen Grund­la­gen, um eine Beschrei­bung der DS-GVO, des BDSG, um Aspek­te von Com­pli­an­ce, inter­na­tio­na­len Daten­trans­fer sowie die Straf- und OWi-Bestim­mun­gen.

Daten­schutz gilt auch in der Anwalt­schaft. Das über­la­gert sich mit dem straf­recht­li­chen Geheim­nis­schutz, den die Anwäl­te zu beach­ten haben. Nach einer Ein­lei­tung und der Dar­le­gung des recht­li­chen Rah­mens geht es um die Daten­ver­ar­bei­tung inner­halb der Anwalts­kanz­lei. Wo es um die Daten von Kli­en­ten geht, wird auf die Mög­lich­keit ver­wie­sen, in Man­dats­ver­ein­ba­run­gen etwa den Zweck des Man­dats­ver­hält­nis­ses prä­zi­se zu beschrei­ben. Nicht nur im Schei­dungs­ver­fah­ren erhält der Anwalt ganz vie­le Daten der Gegen­sei­te. Die Spei­che­rung die­ser Infor­ma­tio­nen ist, so die Aus­le­gung, nach Art. 6 Abs. 1 lit. f DS-GVO zuläs­sig, denn dies dient der Wah­rung der berech­tig­ten Inter­es­sen des Man­dan­ten, ohne dass inso­weit berech­tig­te Inter­es­sen der betrof­fe­nen Per­so­nen über­wie­gen. Die Kon­struk­ti­on ist sicher rich­tig, aber nicht erst in den Grenz­be­rei­chen schwie­rig – denn was erzäh­len Man­dan­ten ihren Anwäl­ten alles an Neben­säch­lich­kei­ten und schein­bar wich­ti­gen Infor­ma­tio­nen über den Geg­ner, die nach recht­li­cher Ana­ly­se für den Fall aber bedeu­tungs­los sind. Ohne spe­zi­el­le gesetz­li­che Rege­lung muss man die Inter­es­sen­ab­wä­gung in der Pra­xis bis an ihre Gren­zen füh­ren. Die Kor­re­spon­denz mit der Gegen­sei­te, Hand­ak­te, Beweis­mit­tel, Noti­zen bis hin zu Zeit­er­fas­sun­gen wer­den erör­tert. Es geht um die zuläs­si­ge Spei­cher­dau­er und etwa die Ver­ar­bei­tung in ver­schie­de­nen Orga­ni­sa­ti­ons­for­men wie Büro­ge­mein­schaf­ten. Aus­gie­big geht es um die daten­schutz­recht­li­chen Pflich­ten einer Anwalts­kanz­lei, wobei die Mel­de­pflich­ten gegen­über Auf­sichts­be­hör­den und Benach­rich­ti­gungs­pflich­ten gegen­über Betrof­fe­nen eher zu den Unbe­kann­ten im Kanz­lei­all­tag gehö­ren. Hin­ge­wie­sen wird auf die Not­wen­dig­keit, die Sicher­heit der Daten­ver­ar­bei­tung zu beach­ten. Bei E‑Mail heißt es lapi­dar, es soll­te dem Man­dan­ten die Mög­lich­keit gege­ben wer­den, ver­schlüs­selt per E‑Mail kom­mu­ni­zie­ren zu kön­nen. Dem liegt wohl die Über­le­gung zugrun­de, dass der Man­dant in eine offe­ne Kom­mu­ni­ka­ti­on ein­wil­li­gen kann – da aber auch hier Schrift­satz­ent­wür­fe mit jeder Men­ge Daten Drit­ter unge­schützt durchs offe­ne Inter­net geschickt wer­den, reicht die Ein­wil­li­gung des Man­dan­ten aus der Per­spek­ti­ve Drit­ter kei­nes­falls, wären ange­sichts die­ser knap­pen Erläu­te­rung hin­zu­zu­fü­gen.

Bei dem Daten­schutz in der Infor­ma­ti­ons­tech­nik geht es um das “Herz­stück einer jeden Daten­ver­ar­bei­tung”, wie es dort ein­gangs heißt. Das hät­te viel­leicht ein Argu­ment sein kön­nen, die­se Aus­füh­run­gen noch in den all­ge­mei­nen Teil vor die ein­zel­nen Bran­chen zu set­zen. Bei den Ein­zel­pro­ble­men geht es etwa um den Daten­schutz durch Tech­nik­ge­stal­tung, also etwa Anony­mi­sie­rung und Pseud­ony­mi­sie­rung oder die Ver­schlüs­se­lung. Hin­ge­wie­sen wird auf die not­wen­di­gen orga­ni­sa­to­ri­schen Maß­nah­men, was in die Pla­nung unter­neh­mens­in­ter­ner Pro­zes­se und die Res­sour­cen hin­über­reicht. Als ein Bei­spiel hier­zu wird das Daten­ma­nage­ment, also die zen­tra­le Erfas­sung und Struk­tu­rie­rung aller ver­ar­bei­te­ten Daten beleuch­tet. Zu den dann doch eher bran­chen­spe­zi­fi­schen Aspek­ten gehört das Recht auf Daten­ope­ra­bi­li­tät, also die Mög­lich­keit des “Umzugs” von Daten­be­stän­den. Ver­gleicht man die Dar­le­gun­gen des Hand­buchs mit dem, was in der Pra­xis ange­kom­men ist, bestehen Lücken. In der Pra­xis ist die Wahr­neh­mung, dass allen­falls Apple oder Face­book betrof­fen sind. Das erweist sich als Trug­schluss. Berüh­rungs­punk­te aus Sicht der Pra­xis bestehen zu den Dar­le­gun­gen zum Daten­schutz im Kom­mu­ni­ka­ti­ons­sek­tor, wo es um die Abgren­zung des TK-Daten­schutz und des Tele­me­di­en­da­ten­schut­zes geht. Es geht nicht nur um das klas­si­sche Fern­mel­de­ge­heim­nis, son­dern um Ver­kehrs­da­ten, Stand­ort­da­ten und am Ende um gera­de­zu poli­ti­sche The­men wie die Vor­rats­da­ten­spei­che­rung.

Die Dar­stel­lung des Daten­schut­zes in der Ver­wal­tung von Bund, Län­dern und Kom­mu­nen – die Pro­blem­la­ge bei der Poli­zei wird geson­dert behan­delt – zeigt die Spann­wei­te auf, die eben auch mit der Unter­schied­lich­keit von ein­zel­nen Ver­wal­tun­gen zu tun hat. Die­se Dar­stel­lung ist inso­weit als ein Über­blick zu lesen, der spe­zi­el­le Dar­stel­lun­gen für ein­zel­ne Ver­wal­tungs­be­rei­che (in zukünf­ti­gen Auf­la­gen?) ermög­licht. Bei den Ein­zel­fra­gen geht es um die Rechts­grund­la­gen für unter­schied­li­che Daten, um die Video­über­wa­chung, Pro­ble­me bei Ein­lass­kon­trol­len, die digi­ta­le Orga­ni­sa­ti­on der Ver­wal­tung, den Ein­satz zer­ti­fi­zier­ter Pro­duk­te und Dienst­leis­tun­gen ein­schließ­lich der Aspek­te der Aus­schrei­bun­gen und der Ver­ga­be. Es geht um Ein­zel­fra­gen wie zen­tra­li­sier­te IT sowie die Kom­mu­ni­ka­ti­on mit Bür­gern und Exter­nen via E‑Mail und Fra­gen des Daten­schutz­be­auf­trag­ten. Inter­es­sant liest sich eine Pas­sa­ge über die Öffent­lich­keits- und Pres­se­ar­beit der Ver­wal­tung, etwa auch durch Soci­al Media. Hier wird moniert, dass das Medi­en­pri­vi­leg des Art. 85 DS-GVO nicht für die öffent­li­che Ver­wal­tung und deren Pres­se­ar­beit umge­setzt wor­den sei. Wer aus der medi­en­recht­li­chen Ecke kommt, ist bei die­sem Gedan­ken ver­blüfft. Der öffent­li­che Sek­tor, also der Staat, betreibt kei­ne publi­zis­ti­sche, jour­na­lis­tisch-redak­tio­nel­le Tätig­keit. Er infor­miert und stellt die Trans­pa­renz über sein Han­deln her, was aber mit Jour­na­lis­mus nichts zu tun hat – Staats­frei­heit von Pres­se und Rund­funk ist das Stich­wort im Medi­en­recht. Es geht also um nicht um Öff­nungs­klau­seln und eine Frei­stel­lung des Staa­tes im Rah­men des Medi­en­pri­vi­legs, son­dern es geht um die Ein­hal­tung der Grund­rechts­ge­bun­den­heit der öffent­li­chen-Ver­wal­tung auch bei der Erfül­lung ihrer Infor­ma­ti­ons- und Trans­pa­renz­pflich­ten.

Daten­schutz in der Jus­tiz ist ein sehr inter­es­san­ter Teil des Hand­bu­ches. Zu Recht heißt es, dass die Daten­ver­ar­bei­tung der Gerich­te, abge­se­hen von ver­ein­zel­ten Aus­nah­men, in vol­lem Umfang von den inhalt­li­chen Vor­ga­ben der DS-GVO erfasst wer­den. Beson­de­re Rege­lun­gen im Bereich der Jus­tiz bestehen nur bei den Zwe­cken der Ver­hü­tung, Ermitt­lung oder Auf­de­ckung und Ver­fol­gung von Straf­ta­ten oder im Bereich der Straf­voll­stre­ckung mit der Fol­ge, dass auch die Straf­ge­rich­te bei ihrer recht­spre­chen­den Tätig­keit im Anwen­dungs­be­reich der DS-GVO agie­ren. Völ­lig zu Recht kon­sta­tiert die Kom­men­tie­rung, dass der deut­sche Gesetz­ge­ber bis­her von den viel­fäl­ti­gen Öff­nungs­klau­seln des Uni­ons­rechts für den Bereich der Jus­tiz kaum Gebrauch gemacht hat. Das sei aber not­wen­dig. Das vor­han­de­ne natio­na­le Son­der­recht befas­se sich nur frag­men­ta­risch mit ein­zel­nen Aspek­ten der Daten­ver­ar­bei­tung durch die Jus­tiz. Das sei weit­ge­hend noch vor der Gel­tung der DS-GVO ergan­gen und auf die Ver­ein­bar­keit mit ihr noch nicht geprüft. Das führt auch dazu, dass Lan­des­recht ein­schlä­gig wird, wo der Bund bis­lang kei­ne Rege­lun­gen erlas­sen hat.

Der ein­zel­ne Rich­ter, so wird her­vor­ge­ho­ben, sei nur dann selbst daten­schutz­recht­lich ver­ant­wort­lich, wenn er außer­halb des übli­chen rich­ter­li­chen Tätig­keit­keits­be­rei­ches per­so­nen­be­zo­ge­ne Daten ver­ar­bei­te. Die Dienst­stel­le blei­be ver­ant­wort­lich, auch wo der Rich­ter im Rah­men der rich­ter­li­chen Unab­hän­gig­keit tätig wird. Der Autor ver­weist auf pro­zes­sua­le Rege­lun­gen, wenn es um den “Erfor­der­lich­keits­grund­satz” gehe, also die Fra­ge, wel­che Daten erfor­der­lich sei­en, um bei­spiels­wei­se in einem Urteil genannt zu wer­den. In der Pra­xis noch gar nicht ange­kom­men ist das Konur­renz­ver­hält­nis der pro­zes­sua­len Akten­ein­sicht zu den Trans­pa­renz­pflich­ten nach der DS-GVO. Der Autor ver­tritt die Auf­fas­sung, dass bei­des neben­ein­an­der anwend­bar ist. Mehr­fach weist er auf erfor­der­li­che tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men hin, um die Ver­ar­bei­tung nicht erfor­der­li­cher Daten ein­zu­schrän­ken, so auch beim elek­tro­ni­schen Rechts­ver­kehr (eJus­ti­ce). Als Son­der­pro­ble­me wer­den die auf­sichts­be­hörd­li­che Kon­trol­le und die Selbst­kon­trol­le der Jus­tiz dar­ge­stellt und die jus­ti­zi­el­le Unab­hän­gig­keit einer­seits und die Zen­tra­li­sie­rung der Daten­ver­ar­bei­tung.

Bei die­sem Lite­ra­tur­hin­weis sind nur die hier inter­es­sie­ren­den Punk­te beleuch­tet. Das Hand­buch beschäf­tigt sich mit einer Anzahl ande­rer spe­zi­el­ler Her­aus­for­de­run­gen, das neue Uni­ons­recht und das ange­pass­te natio­na­le Recht in die Pra­xis zu brin­gen. Her­aus­ge­bern und Autoren gebührt Aner­ken­nung dafür, dass sie in ihren spe­zi­el­len Berei­chen oft Pio­nier­ar­beit leis­ten. Zwar gibt es viel­fach Auf­sät­ze mit punk­tu­el­len Pro­blem­be­schrei­bun­gen. Sys­te­ma­ti­sche bran­chen­spe­zi­fi­sche Dar­stel­lun­gen sind eher noch die Aus­nah­me.