Gerrit Hornung

Knyrim, Datenschutzrecht


Rainer Knyrim, Datenschutzrecht. Praxishandbuch für richtiges Registrieren, Verarbeiten, Übermitteln, Zustimmen, Outsourcen, Werben uvm., Wien (Manz'sche Verlags- und Universitätsbuchhandlung GmbH) 2. Aufl. 2012, ISBN 978-3-214-00687-7, € 58,-

ZD-Aktuell 2012, 03124         „Mündige Mitarbeiter, bestens geschulte Betriebsräte und aufmerksame Kunden sowie erwachte Medien zwingen Betriebe heute, sich mit Datenschutzrecht zu befassen“. So beginnt das Vorwort des ausgewiesenen Wiener Datenschutzexperten und Anwalts Rainer Knyrim zur Neuauflage seines Datenschutzrechts. Dem ist – auch aus deutscher Perspektive – wenig hinzuzufügen. Welches Wissen aber benötigen die Verantwortlichen in den Betrieben, um nicht über die Fallstricke der datenschutzrechtlichen Anforderungen in der betrieblichen Praxis zu stolpern, und wie gelangen sie an dieses Wissen? Dies kann nur mittels entsprechenden Darstellungen gelingen, die den Spagat zwischen der erforderlichen inhaltlichen Korrektheit und Tiefe einerseits, der angemessenen Praxisnähe andererseits mit Erfolg meistern. Knyrim und seinem Team gelingt dies auch in der zweiten Auflage in hervorragender Weise.

 

Nach einem „Schnelleinstieg“ (S. 1-3), der allerdings wirklich nur schlagwortartige Verweise auf spätere Kapitel bietet, werden zunächst Grundbegriffe und Definitionen erläutert (S. 5-22). Die weitere Kapitelstruktur orientiert sich an den einzelnen Phasen der betrieblichen Datenverarbeitung und behandelt die Themenkomplexe Meldung beim Datenverarbeitungsregister (S. 23-73), Zulässigkeit der Datenverarbeitung (S. 75-102), Zulässigkeit der Datenübermittlung (S. 103-142), Zustimmungserklärung (S. 143-178), Outsourcing (S. 179-196), Videoüberwachung (S. 197-205), Arbeitsnehmerdatenverarbeitung (S. 207-235), Werbemaßnahmen (S. 237-265), Rechte, Pflichten und Sanktionen (S. 267-302), betriebliche Datenschutzbeauftragte (S. 303-318), Datenschutz und Informationssicherheit (S. 319-347) sowie in einem Anhang bestimmte Standardanwendungen (S. 349-377).

 

Der leicht verständlichen und durch konkrete Vorgehenshinweise aufgelockerten Darstellung merkt man die langjährige Beratungspraxis des Autors an. Grundrechtliche Probleme und akademische Diskurse werden nicht verschwiegen, aber zu Gunsten der für den Anwender relevanten Fragen und Handlungsempfehlungen stark verknappt. An vielen Stellen werden Erfahrungen aufgegriffen, offenbar in der Praxis bestehende Missverständnisse aufgeklärt, Anwendungsbeispiele erläutert und Hinweise für die rechtsgemäße Vorgehensweise gegeben. Beispiele bilden die Musterklauseln für die Einwilligung und Hinweise für hierbei typischerweise auftretende Fehler, Formulierungshilfen für das Vorgehen bei Auskunftsbegehren der Betroffenen und Vorschläge für die Anfertigung von Meldungen im Rahmen der Informationspflichten bei Datenpannen (Data Breach Notification). Hilfreich sind überdies die häufig eingefügten Prüfungsschemata und grafischen Verdeutlichungen, die dabei helfen, das mitunter für Nichtjuristen sperrige Rechtsgebiet zu erschließen. Einzelne „Prüffragen“ und „Praxistipps“ fassen die wesentlichen Probleme der Anwender zusammen und erleichtern gleichzeitig die Orientierung.

 

Die Darstellung erläutert im Detail die österreichische Rechtslage, nimmt jedoch häufiger zusätzlich die europarechtlichen Grundlagen in Bezug. In der Natur der Darstellung liegt, dass diejenigen, die vor allem an den für sie in der Praxis geltenden Regelungen interessiert sind, entweder in Österreich beheimatet oder zumindest (auch) dort tätig sein werden. Durch die europäischen Bezüge und die kenntnisreiche Darstellung der österreichischen Rechtslage ist das Werk jedoch auch für den deutschen Leser leicht verständlich. Rechtsvergleichend Interessierte würden von Querverweisen auf die deutschen Datenschutzgesetze und ihre Anwendung profitieren (sie finden sich nur höchst selten, z.B. bei der Einwilligung); ihr Fehlen kann man dem Werk angesichts seiner Zielgruppe aber nicht vorwerfen. Auch ohne solche rechtsvergleichenden Hinweise ist die Lektüre anregend, weil man sich die Gemeinsamkeiten und Unterschiede der nationalen Rechtsordnungen deutlich machen muss und – quasi nebenbei – auch etwas über die Spielräume der aktuellen DS-RL erfährt. Beispiele bilden die Anwendbarkeit des österreichischen Datenschutzrechts auch für Daten von Unternehmen, die grundsätzlich bestehende Meldepflicht für Datenverarbeitungen (und die wichtigste Ausnahme der „Standardanwendungen“) oder die besonders strengen Anforderungen des ÖOGH für die Formulierung von Einwilligungserklärungen, die ausführlich dargelegt werden. Eine Reihe von praxisorientierten Hinweisen – z.B. zur Tätigkeit betrieblicher Datenschutzbeauftragter – können überdies auch direkt für Deutschland Geltung beanspruchen.

 

Insgesamt nimmt das Buch eine grundsätzlich datenschutzfreundliche Linie ein, ohne jedoch in seinen Schlussfolgerungen die Betriebe zu überfordern. Positiv hervorzuheben ist daneben die Aktualität der Darstellung. Neben neuer Rechtsprechung und Literatur behandelt das Werk eine Vielzahl technischer Innovationen und sonstige aktuelle Entwicklungen, die bereits zu Praxisfragen geführt haben oder dies in unmittelbarer Zukunft tun werden. Beispiele bilden das Cloud Computing, die Videoüberwachung im Betrieb, das Behavioral Advertising, die Biometrie, Whistleblower-Hotlinies, Social Networks, Location Based Services, Data Breach Notification sowie Datenschutzaudits und -gütesiegel; die Liste ließe sich fortsetzen.

 

Das Praxishandbuch konnte die anstehende europäische Reform nur noch überblicksartig und an ausgewählten Stellen erwähnen. Je nach deren Inhalt wird Knyrim für die nächste Neuauflage erheblicher Überarbeitungsaufwand bevorstehen – in der Zwischenzeit kann man dem fundiert arbeitenden Praktiker das Buch nur ans Herz legen.

 

Professor Dr. Gerrit Hornung, LL.M., ist Inhaber des Lehrstuhls für Öffentliches Recht, Informationstechnologierecht und Rechtsinformatik der Universität Passau und Mitglied des Wissenschaftsbeirats der ZD.