Das „Praxishandbuch DSGVO“ hält weit mehr, als es im Titel verspricht
Matthias Wiemers
Dass die Digitalisierung aller Lebensbereiche ohne ein korrespondierendes Datenschutzrecht, das nicht nur auf die weitere technische Entwicklung antwortet, sondern sich auch technische Vorkehrungen zu Nutze macht, nicht mehr gedacht werden kann, sollte inzwischen Allgemeingut sein. Doch ist diese Botschaft wirklich bereits überall angekommen?
Bürger gehen im Allgemeinen sorglos mit ihren Daten um, aber wehe, sie werden als Verbraucher angesprochen, und es werden ihnen Schutzrechte zugebilligt, dann nehmen sie diese oftmals gerne in Anspruch. Und die Datenverarbeiter – ob Wirtschaft, Staat oder Gesundheitswesen – sind einerseits auf die Bereitstellung von Daten durch Bürger angewiesen und müssen andererseits mit von ihnen als „bürokratisch“ empfundenen gesetzlichen Anforderungen umgehen. Dies ist ohne professionelle Hilfe nicht denkbar, und neben professionellen Dienstleistern kann man sich auch einschlägiger Literatur bedienen. Und das umfangreiche „Praxishandbuch DSGVO“ ist nunmehr zum zweiten Mal aufgelegt worden.
Das Handbuch wendet sich gemäß seinem Vorwort an „alle Datenschutzpraktiker“ – und ist auch von 15 solcher Personen geschrieben.
Der Band ist in 21 Kapitel gegliedert und zeigt in seinem ersten Kapitel zunächst „Grundalgen des Umgangs mit der DSGVO“ auf. Hier wird vor allem das Problem der Öffnungsklauseln für ergänzende nationale Regelungen besprochen, woran sich immer wieder die Frage anschließt, ob der nationale Gesetzgeber – etwa im Sozialrecht oder im Telemedienrecht – die von der EU belassenen Lücken ordnungsgemäß ausgefüllt hat.
Es geht weiter mit „Grundlagen des Datenschutzrechts“, worin vor allem das Verhältnis des Datenschutzrechts zu anderen innerstaatlichen Rechtsmaterien thematisiert wird.
Erst danach wird der „Anwendungsbereich des Datenschutzrechts“ (Kap. 3) behandelt, wo neben der DSGVO auch nationale Normen Erwähnung finden. „Datenschutzrechtliche Grundsätze“ (4) werden dargelegt, bevor sic der Band ausführlich mit dem zentralen Thema der „Zulässigkeit der Verarbeitung personenbezogener Daten“ (5) beschäftigt. Dieses Kapitel umfasst allein etwa 140 Seiten, hat aber natürlich höchste Praxisrelevanz. Wie allgemein, so orientiert sich das Handbuch auch hier an der DSGVO, streut aber relevante nationale Regelungen ein.
Was in der Praxis eher vernachlässigt wird, nimmt hier allein 280 Seiten ein: der „Umgang mit Betroffenen“ (6). Es folgen „Auftragsverarbeitung“ (7), „Verarbeitungen in gemeinsamer, getrennter und alleiniger Verantwortlichkeit“ (8) und „Internationale Datenübermittlungen“ (9).
In den Bereich der Managementhandbücher wechselt der Band mit Kapitel 10, das unter „Datenschutzmanagement“ firmiert, gefolgt von „Datenschutzorganisation“ (11), „Datenschutzprozesse“ (12), „Technischer Datenschutz und Risikomanagement“ (13) sowie „Verhaltensregeln und Zertifizierungen“ (14).
Ein anderer Fokus wird wiederum mit Kapitel 15 eingenommen, nämlich der des „Beschäftigtendatenschutz“. Auch hier finden wir wieder nähere Ausführungen zur Rechtslage in Deutschland.
Es folgen „Behördliche und gerichtliche Verfahren“ (16), bevor dann in Kapitel 17 „Besondere Themenkomplexe“ behandelt werden, die der rasanten technischen Entwicklung geschuldet sind. Hier geht es etwa um „web tracking“ und CRM, „E-Discovery“, „Big Data“ und den Gesundheitsdatenschutz – insgesamt auf fast 170 Seiten.
Manch ein Praktiker mag sich darüber aufregen, dass in einem deutschen Praxishandbuch ein Kapitel über „Österreichisches Datenschutzrecht“ (18) enthalten ist. Es ist allerdings so, dass es gelegentlich hilfreich sein kann, eine innereuropäische Rechtsordnung als Referenz heranzuziehen, um zu sehen, wie dort die Umsetzungsprobleme des EU-Datenschutzrechts gelöst wurden (abgesehen davon, dass sich dann von dem Handbuch auch noch ein paar Exemplare jenseits der Alpen verkaufen lassen). Zudem zeigt sich hiermit gerade die Kontextbezogenheit des Handbuchs, das sich eben nicht auf Praxisanleitungen beschränkt.
Kapitel 19 bringt „Leitentscheidungen des EuGH zur DSGVO“ und trägt damit dem Umstand Rechnung, dass Datenschutzrecht, gerade aufgrund der durch die DSGVO zunächst faktisch verursachte Rechtsunsicherheit in vielen Mitgliedstaaten, oftmals „case law“ ist.
Kapitel 20 ist wieder eher dem Bereich Management zuzuordnen, weil darin die „Vorgehensweise zur Umsetzung von DSGVO-Anforderungen im Unternehmen“ beschrieben wird.
Das Schlusskapitel enthält – zu recht – „Weitere rechtliche Entwicklungen und Ausblick“.
Nach ausführlicher Durchsicht des Bandes wird man freilich eines erkennen müssen: Es ist nicht geeignet für jeden nach dem Datenschutzrecht unmittelbar Verpflichteten, sondern für diejenigen Personen, die den Betroffenen entsprechende Hilfeleistungen anbieten – extern oder organisationsintern. Für diese aber dürfte es eine der ersten Stellen auf dem einschlägigen Buchmarkt einnehmen.
Moos/Schefzig/Arning (Hrsg.), Praxishandbuch DSGVO einschließlich BDSG und spezifischer Anwendungsfälle, 2. Auflage, Frankfurt am Main 2021, 1351 S., 199 Euro (978-3-8005-1728-2)