Rücker / Kugler, New European General Data Protection Regulation – A Practitioner’s Guide, 1. Auflage, C.H. Beck – Hart – Nomos 2018
![]()
Von RA Dr. Malte Kröger, LL.M. (EHI/Florenz), Karlsruhe
Seit etwas mehr als einem Jahr gilt die EU-Datenschutz-Grundverordnung (DSGVO). Das reformierte EU-Datenschutzrecht hat in Wissenschaft, Praxis und der breiten Öffentlichkeit für viel Aufmerksamkeit gesorgt – sicherlich auch aufgrund der Digitalisierung vieler Wirtschafts- und Lebensbereiche. Das bringt gerade Unternehmen immer wieder in die Situation, sich verschärft Gedanken über datenschutzrechtliche Aspekte machen zu müssen. Wer in Unternehmen für derartige Fragen zuständig ist – beispielsweise als betrieblicher Datenschutzbeauftragter –, soll vom hier rezensierten Werk angesprochen werden. Die Autoren der verschiedenen Beiträge des Werks sind – mit Ausnahme einer Richterin – allesamt Rechtsanwälte. Die Beiträge sind in englischer Sprache verfasst.
Das Buch umfasst nahezu 300 Seiten und gliedert sich in fünf Kapitel. Das erste Kapitel befasst sich knapp mit der Gesetzgebungsgeschichte und der Bedeutung der DSGVO für Unternehmen. Ausführlich wird im zweiten Kapitel der Anwendungsbereich der DSGVO erörtert. Das dritte Kapitel geht auf Rechtsgrundlagen für die Datenverarbeitung ein. Im nächsten Kapitel werden Einzelaspekte des Datenschutzrechts beleuchtet wie Datenschutzsiegel, die Benennung von unternehmensinternen Datenschutzbeauftragten oder die Pflichten gegenüber den Betroffenen. Im letzten Kapitel werden die datenschutzrechtlichen Anforderungen für verschiedene Praxisbeispiele erörtert, unter anderem das Direktmarketing und die Unternehmenswebsite.
Ein für nahezu jedes Unternehmen relevanter Abschnitt befasst sich mit Konstellationen des Outsourcings (S. 221 - 235). Das betrifft beispielsweise die Nutzung eines externen Rechenzentrums oder die unternehmensübergreifende Projektzusammenarbeit. Das Werk macht an dieser Stelle die Rolle des Verantwortlichen im datenschutzrechtlichen Sinne deutlich und zeigt auch das Konzept des „Joint Controller“ auf (S. 222). Im Folgenden wird darauf eingegangen, wie zu verfahren ist, wenn Unterauftragnehmer eingeschaltet werden, die ebenfalls Daten des verantwortlichen Unternehmens verarbeiten; besondere Anforderungen gelten, wenn diese Unterauftragnehmer außerhalb der EU sitzen, was insbesondere bei der Nutzung der Dienste von US-amerikanischen Unternehmen relevant wird. Im letzten Unterabschnitt wird auch noch auf das „Cloud Computing“ eingegangen (S. 232 - 235). Die praktische Relevanz der jeweiligen Fragen zeigen die Autorin und die Autoren auf und erläutern den Leserinnen und Lesern die datenschutzrechtlichen Anforderungen anschaulich und gut nachvollziehbar.
Interessant ist das Werk insbesondere für Praktikerinnen und Praktiker, die bereits über ein rechtliches Grundverständnis verfügen und sich die datenschutzrechtlichen Hintergründe der DSGVO besser erschließen wollen. Die Autorin und die Autoren orientieren sich an praktischen Fragestellungen und legen die datenschutzrechtlichen Anforderungen strukturiert und gut verständlich offen. Die Ausführungen zu den Praxisbeispielen sind für die tägliche datenschutzrechtliche Arbeit äußerst hilfreich.