Constantin Herfurth

Schantz/Wolff, Das neue Datenschutzrecht


Peter Schantz / Heinrich Amadeus Wolff, Das neue Datenschutzrecht. Datenschutz-Grundverordnung und Bundesdatenschutzgesetz in der Praxis, München (C.H.BECK) 2017, ISBN 978-3-406-69649-7, € 59,-

ZD-Aktuell 2017, 04268   Die Reform des europäischen Datenschutzrechts schreitet weiter zügig voran. Ab Mai 2018 werden die europäische Datenschutzgrundverordnung (DS-GVO) und das neue Bundesdatenschutzgesetz (BDSG 2018)  den bisherigen Rechtsrahmen ablösen. Etwas mehr als die Hälfte der zweijährigen Übergangsfrist ist bereits verstrichen und viele Verantwortliche und Auftragsverarbeiter (aber auch Aufsichtsbehörden) befinden sich in der Hochphase ihrer Anpassungs- und Umsetzungsprozesse. Die neuen Vorschriften bringen jedoch zahlreiche neue Anforderungen mit sich und werfen eine Fülle komplizierter Fragestellungen auf. Das Bedürfnis nach Werken, die den neuen Rechtsrahmen erläutern und Hilfestellungen geben, ist daher nach wie vor ungebrochen hoch.

Verschafft man sich einen Überblick über die Literatur, die im letzten Jahr zur Datenschutzreform publiziert wurde, kann grob zwischen Kommentaren und Handbüchern bzw. Praxisleitfäden unterschieden werden (Aufsätze und Dissertationen sollen hier ausgeklammert werden). Das Werk „Das neue Datenschutzrecht“ von Peter Schantz und Heinrich Amadeus Wolff ist bei Letzteren einzuordnen und daher auch mit einem Seitenblick auf die folgenden Werke zu betrachten: Jan Philipp Albrecht / Florian Jotzo, Das neue Datenschutzrecht der EU. Grundlagen, Gesetzgebungsverfahren (vgl. Rezension von Ehmann, ZD-Aktuell 2017, 04232); Philip Laue / Judith Nink / Sascha Kremer, Das neue Datenschutzrecht in der betrieblichen Praxis (vgl. Rezension von Piltz, ZD-Aktuell 2017, 04221) und Alexander Roßnagel, Europäische Datenschutz-Grundverordnung. Vorrang des Unionsrechts – Anwendbarkeit des nationalen Rechts (vgl. Rezension von Ehmann, ZD-Aktuell 2017, 04250).

Die Autoren Schantz und Wolff sind ausgewiesene Experten im Datenschutzrecht. Schantz ist Referent im Bundesministerium der Justiz und für Verbraucherschutz. Wolff ist Inhaber des Lehrstuhls für Öffentliches Recht, Recht der Umwelt, Technik und Information an der Universität Bayreuth und Herausgeber des BeckOK DatenSR. Beide haben das Verfahren der Datenschutzreform eng begleitet und erläutern die neuen Regelungen sozusagen „aus erster Hand“. Ihr Werk versteht sich ausweislich des Vorworts als „eine zugleich praxisorientierte und kritische Darstellung des geltenden Rechts, die einen Einstieg und eine vertiefte Beschäftigung mit dem Datenschutzrecht ermöglichen soll“.

Die Autoren beginnen in Kap. A mit den verfassungs- und unionsrechtlichen Grundlagen des Datenschutzrechts. Auf unionsrechtlicher Ebene werden die Art. 16 AEUV, Art. 7 und 8 GRCh sowie die Datenschutzrichtlinie (RL 95/46/EG - DS-RL) behandelt. Der Verzicht auf eine Darstellung von Art. 8 EMRK ist nicht unüblich und auch nachvollziehbar. Der Oberbegriff „Der Schutz des Rechts auf informationelle Selbstbestimmung“ für die Art. 7 und 8 GRCh ist dagegen etwas unglücklich gewählt. Das Recht auf informationelle Selbstbestimmung hat die europäischen Grundrechte sicherlich nicht unerheblich geprägt, als Begriff bezeichnet er jedoch ausschließlich das nationale Grundrecht aus Art. 2 Abs. 1 i.V.m. 1 Abs. 1 GG. Da sich das Werk explizit auch an „Einsteiger“ richtet, erscheint diesbezüglich mehr Vorsicht geboten, um etwaige Missverständnisse zu vermeiden. Die anschließend erläuterten deutschen verfassungsrechtlichen Grundlagen umfassen das Recht auf informationelle Selbstbestimmung (nur hier sollte der Begriff verwendet werden) als Kernstück sowie eine schlaglichtartige Darstellung der Unverletzlichkeit der Wohnung, des Fernmeldegeheimnisses und des IT-Grundrechts. Besonders hervorzuheben ist die kurze, aber gute Erläuterung der Bedeutung von nationalen Grundrechte im Rahmen der DS-GVO. Die Darstellung der DS-RL wirkt dagegen zwischen den europäischen und nationalen Grundrechten leider ein wenig wie ein Fremdkörper. Zuzugeben ist allerdings, dass durch die Datenschutzreform ein komplexes Geflecht aus supranationalen/nationalen Regelungen, Grundrechten/einfachem Recht und alter Rechtslage/neuer Rechtslage entstanden ist, welches sich kaum stringent darstellen lässt.

Kap. B skizziert äußerst knapp den Prozess der Datenschutzreform. Die Darstellung ist prägnant und geradlinig, jedoch hätte man sich i.R.d. ersten Auflage an dieser Stelle vielleicht eine etwas ausführlichere Beschreibung (wie z.B. bei Albrecht/Jotzo, a.a.O., 2017, Teil 1) gewünscht.

In Kap. C geben die Autoren einen ausführlichen Überblick über die künftigen (einfachgesetzlichen) Regelungen des Datenschutzrechts und die Anwendungsbereiche der DS-GVO und des BDSG 2018. Die Darstellung ist gut gelungen. Das gilt insbesondere für die Erläuterung zum relativen und absoluten Personenbezug. Erfreulich ist auch, dass die Autoren schon die Rechtssache Breyer eingearbeitet haben und die Entscheidung des EuGH ausführlich besprechen.

Das Herzstück des Werks bildet das Kap. D und die Erläuterung der Grundprinzipien und Zulässigkeit der Datenverarbeitung. Die Darstellung der Grundsätze gerät dabei leider nicht immer überzeugend. So werden die Grundsätze Zweckbindung und Datenminimierung recht ausführlich behandelt, während die Grundsätze der Datenrichtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit sowie Rechenschaftspflicht insgesamt auf nur zwei Seiten dargestellt werden. Das ist viel zu knapp und als Erläuterung nur wenig hilfreich. Bei den „Prinzipien außerhalb des Art. 5 DS-GVO“ stößt man zudem auf den Grundsatz der Direkterhebung. Für diesen findet sich jedoch kein Ansatzpunkt mehr in der DS-GVO, sodass an dieser Stelle deutlich mehr Argumentationsaufwand nötig gewesen wäre, um ihn aus dem alten BDSG zu „retten“. Die anschließenden Ausführungen zur Erkennbarkeit der Datenvalidität und -qualität sind interessant. Unklar bleibt jedoch, warum die Autoren dies nicht schon bzw. auch i.R.d. Datenrichtigkeit thematisiert haben (s. dazu Hoeren, MMR 2016, 8; ders., ZD 2016, 459). Gut gelungen ist dagegen die knappe, aber gute Beschreibung der Konzeptionsprinzipien, denen die DS-GVO folgt. Ebenfalls positiv hervorzuheben ist die überzeugende Darstellung der Rechtsgrundlagen der Datenverarbeitung. Die Ausführungen hierzu fallen dabei umfangreicher aus als in manchem Kommentar und profitieren augenscheinlich davon, dass Heinrich Amadeus Wolff schon den § 28 BDSG im BeckOK DatenSR kommentierte.

In der Folge werden in Kap. E die technisch-organisatorischen Pflichten erläutert. Die Darstellung gelingt grundsätzlich gut. An manchen Stellen geraten die Ausführungen allerdings etwas zu knapp. Insbesondere die noch mit Unsicherheiten behaftete Datenschutz-Folgeabschätzung hätte etwas mehr Raum verdient. An dieser Stelle vermisst man zudem einen Hinweis auf die von verschiedenen Aufsichtsbehörden bereits entwickelten Vorgehensweisen zum „Privacy Impact Assessment“. Diese können durchaus eine erste Orientierung für die Anwendung von Art. 35 DS-GVO geben.

Daran anschließend erläutern die Autoren in Kap. F die Systematik der Durchsetzung des Datenschutzrechts. Dabei werden die drei Blöcke „Staatliche Rechtsdurchsetzung“, „Individuelle Rechtsdurchsetzung“ und „Kollektive Rechtsdurchsetzung“ überzeugend dargestellt. Die Unterscheidung wird im Aufbau leider etwas verwässert, da die Punkte „Sanktionen“ (gehört zu staatlicher Rechtsdurchsetzung) und „Selbstregulierung“ (gehört als Nachweismöglichkeit am besten hinter die technisch-organisatorischen Pflichten, was die Autoren auf S. 257 auch selbst ausführen) auf die gleiche Gliederungsebene gehoben wurden. Abschließend werden in Kap. G besondere Verarbeitungssituationen, wie z.B. der Arbeitnehmerdatenschutz und die Forschung, Archive und Statistik, erläutert.

Trotz der genannten Kritikpunkte kann das Werk uneingeschränkt empfohlen werden. Es ist prägnant geschrieben und lässt wenig vermissen. Die Autoren geben einen guten Überblick über den neuen Rechtsrahmen und vertiefen das Werk an den richtigen Stellen. Das gilt insbesondere für die Darstellung der Rechtsgrundlagen der Datenverarbeitung. Den eigenen Anspruch, ein Werk für den „Einstieg und eine vertiefte Beschäftigung mit dem Datenschutzrecht“ zu schreiben, haben die Autoren gemeistert. Der Aufbau des Werks ist gelungen und ermöglicht eine schnelle Orientierung. Hervorzuheben ist auch der starke Einbezug von „case law“, welches insbesondere für den Praktiker eine bedeutsame Rolle spielt. Im Vergleich mit den anfangs genannten „konkurrierenden“ Handbüchern ist das Werk von Schantz und Amadeus Wolff mit Abstand das umfangreichste (etwa 100 Seiten mehr) und neueste (als einziges im Jahr 2017 erschienen). Durch das deutlich spätere Erscheinungsdatum war es den Autoren zudem möglich, mehr Literatur zu berücksichtigen. Als Alleinstellungsmerkmal behandelt es darüber hinaus als einziges das BDSG 2018. Das Werk „Das neue Datenschutzrecht“ ist daher eine sinnvolle Ergänzung der aktuellen datenschutzrechtlichen Literatur und dürfte sich als Einführungs- und Nachschlagewerk als wertvolle Hilfe bei der Anwendung des neuen Rechtsrahmens erweisen.

Ass. iur. Constantin Herfurth ist wissenschaftlicher Mitarbeiter im Fachgebiet von Prof. Dr. Hornung, LL.M. für Öffentliches Recht, IT-Recht und Umweltrecht an der Universität Kassel und im BMBF-Projekt „Erkennung von Wirtschaftskriminalität und Versicherungsbetrug (EWV)“.