Thomas Kranig

Wybitul/Schultze-Melling, Datenschutz im Unternehmen


Tim Wybitul/Jyn Schultze-Melling, Datenschutz im Unternehmen. Handbuch, Frankfurt/M. (Recht und Wirtschaft) 2. Aufl. 2014, ISBN 978-3-8005-1572-1, € 98,-

ZD-Aktuell 2015, 04148                   Das in zweiter Auflage erschienene Buch „Datenschutz im Unternehmen“ lässt sich trotz der Bezeichnung als Handbuch nach wie vor nicht in eine der üblichen Schubladen Lehrbuch, Handbuch oder Kommentar stecken, sondern stellt eine Mischung von allem dar. Knapp die Hälfte der 474 Seiten, nämlich die ersten 246 Seiten, stellen in Form eines Handbuchs die wesentlichen Themen des Datenschutzes im nicht-öffentlichen Bereich dar. Der Aufbau orientiert sich dabei an möglichen Fragestellungen von jemandem, der neu mit der Aufgabe eines internen oder externen Datenschutzbeauftragten betraut wurde. Datenschutzrecht ist kein disponibles Recht, vertraglich abänderbares Recht. Insofern mag der (wenn auch sehr kurze) Abschnitt „Warum sollten Unternehmen das BDSG beachten“ etwas schief erscheinen. In Büchern über Strafrecht, Steuerrecht oder Immissionsschutzrecht wäre es mehr als ungewöhnlich, einen Abschnitt darauf zu verwenden, warum man diese Vorschriften einhalten sollte. Im Datenschutzrecht muss man jedoch leider feststellen, dass staatliche Aufsicht gerade im nicht-öffentlichen Bereich nur vereinzelte Spitzen unterschiedlicher Eisberge aufgreifen kann und deshalb die Wahrscheinlichkeit, dass verantwortliche Stellen von einer Kontrollmaßnahme betroffen werden, denkbar gering ist. Insofern macht auch ein derartiger Abschnitt durchaus Sinn, um die in der Praxis sicherlich vorkommenden Abwägungen zwischen dem Risiko, von einer Kontrolle der Datenschutzaufsicht mit möglichen Strafmaßnahmen betroffen zu sein, und die Kosten für die Einhaltung datenschutzrechtlicher Vorschriften nicht ausufern zu lassen. Schließlich geht es beim Datenschutz nicht (nur) um Rendite, sondern um Grundrechtsschutz.

 

Für die, die sich datenschutzkonform verhalten wollen, ist insbesondere der erste Teil, der Handbuchteil, eine sehr praxisrelevante Hilfe. Neben einer klaren und knappen Darstellung relevanter datenschutzrechtlicher Fragestellungen mit einem guten weiterführenden Fußnotenapparat ist der Text immer wieder durch grafisch abgesetzte Praxistipps, Beispiele und den beliebten Checklisten durchsetzt. Wenn man die Themenfelder vor Augen hat, aus denen sich die Eingaben und Beschwerden bei einer Datenschutzbehörde zusammensetzen (vgl. 6. TB des Bayerischen Landesamts für Datenschutzaufsicht, abrufbar unter: http://www.lda.bayern.de/lda/datenschutzaufsicht/lda_daten/dsa_Taetigkeitsbericht2014.pdf, S. 14), ist festzustellen, dass abgesehen vom Thema Videoüberwachung, das eher knapp ausfällt, die übrigen Themen intensiv angesprochen werden, soweit sie ihre Rechtsgrundlage im BDSG haben.

 

Der große zweite Teil des Buchs, die auf den nicht-öffentlichen Bereich beschränkte Kurzkommentierung des BDSDG, kann und will den Anspruch an einen umfassenden Kommentar, wie die Autoren selbst in der Einleitung zu diesem Abschnitt angegeben haben, nicht erfüllen. Die Kommentierung ermöglicht aber durch die gleichbleibende Strukturierung in „Bedeutung“ und „Anwendung“ der jeweiligen Vorschrift ein leichtes Verständnis dafür, was konkret mit der Vorschrift geregelt wird, d.h. ob die Vorschrift für einen Sachverhalt, mit dem man in der Praxis konfrontiert ist, tatsächlich relevant ist.

 

Ob die Aufnahme des BDSG in englischer Sprache im Anhang 1 des Buchs für die „normale“ Praxis wirklich notwendig ist, mag dahinstehen. Dass wir uns aber in der Datenschutzpraxis immer mehr im internationalen Kontext bewegen, ist unbestritten. Dass wir uns auch vor dem Hintergrund der Entstehung eines europäischen Rechtsrahmens, der Europäischen DS-GVO, ohne dass dies irgendwo verbindlich rechtlich verankert wäre, auf eine zunehmende Kommunikation in Englisch zubewegen, ist auch unbestritten. Insofern mag es hilfreich sein, immer mal wieder einzelne Vorschriften in englischer Sprache danebenzulegen, um sich mit den Fachbegriffen vertraut zu machen.

 

Interessant ist das Praktiker-Glossar im Anhang 2 des Buchs, in dem auf 37 Seiten einzelne Begriffe erläutert werden, die nicht nur Tatbestandsmerkmale aus dem BDSG betreffen. Begriffe wie Compliance, Datenschutzgefährdungsmaßstab, Datenschutzleistungskennzahlen, Datenschutzrenditeanforderung oder Datenschutzrisikomanagement zeigen, dass die Autoren mit beiden Beinen in der Praxis stehen und wissen, wovon sie sprechen. Die Erläuterung dieser Begriffe machen mögliche Überlegungen bei manchen verantwortlichen Stellen transparent und belegen auch die Notwendigkeit, im neuen europäischen Rechtsrahmen bei vermutlich nicht wesentlich besserer personeller Ausstattung der Datenschutzaufsichtsbehörden das Risikopotenzial für die Nichteinhaltung datenschutzrechtlicher Vorschriften deutlich zu erhöhen.

 

 

 

 

 

Thomas Kranig ist Präsident des Bayerischen Landesamts für Datenschutzaufsicht und Mitglied des Wissenschaftsbeirats der ZD.