Forgó / Helfrich / Schneider, Betrieblicher Datenschutz, 3. Auflage, C.H. Beck 2019
![]()
Von Ass. iur. Fabian Bünnemann, LL.M., LL.M., Essen
Durch die Datenschutzgrundverordnung (DSGVO) ist das Datenschutzrecht spätestens seit dem 25. Mai 2018 nicht mehr aus der täglichen Arbeit hinwegzudenken. Das gilt besonders für die betriebliche Praxis, in der viele Abläufe und Prozesse zu hinterfragen und ggf. neu zu justieren waren und sind. Eine Reihe von Werken widmet sich dem „neuen“ Datenschutzrecht und verspricht Hilfe für den Rechtsanwender. Dazu gehören einerseits Kommentare (etwa von Kühling/Buchner, Gola, Paal/Pauly, Ehmann/Selmayroder Simitis/Hornung/Spiecker gen. Döhmann) und Monographien (z.B. Laue/Kremer, Das neue Datenschutzrecht in der betrieblichen Praxis; Wächter, Datenschutz im Unternehmen; Schantz/Wolff, Das neue Datenschutzrecht), andererseits aber auch Handbücher (vgl. insbesondere Weth/Herberger/Wächter/Sorge, Daten- und Persönlichkeitsschutz im Arbeitsverhältnis; Koreng/Lachenmann, Formularhandbuch Datenschutzrecht; v.d. Bussche/Voigt, Konzerndatenschutz). Während der nicht auf Datenschutz spezialisierte Rechtsanwender mit den Einzelnormen der DSGVO und den zugehörigen Kommentierungen oftmals einer Antwort auf die in der täglichen Praxis auftretenden Fragen noch nicht näherkommt, so bieten vor allem Handbücher und Formularhandbücher gute Hilfestellungen. Zieht man diese Werke zu Rate, so führt die thematische Gliederung dazu, dass der Leser sich nicht aus den einzelnen Kommentierungen zu verschiedenen Normen die entsprechenden Antworten auf seine Fragen heraussuchen muss. Vielmehr werden die Ausführungen inhaltlich gebündelt und dadurch der Zugriff erleichtert.
Auch das vorliegende Handbuch „Betrieblicher Datenschutz“, herausgegeben von den Professoren Dr. Nikolaus Forgó, Dr. Marcus Helfrichund Dr. Jochen Schneider, ist insofern geleitet von der Prämisse, „Unternehmen sowie deren Beratern fundierte, praxisorientierte Hilfestellungen zur Beachtung der rechtlichen Rahmenbedingungen bei der Implementierung notwendiger Datenschutz- und Datensicherheits-Mechanismen“ (Klappentext) zu bieten. Das nunmehr in 3. Auflage erschienene Werk wird bearbeitet von über 50 Autorinnen und Autoren, die sich überwiegend aus Vertretern der Anwaltschaft, teilweise aber auch aus Vertretern der betrieblichen Praxis und Wissenschaft zusammensetzen.
Das Handbuch ist in 15 Teile gegliedert, die einzelnen Teile enthalten wiederum mehrere Kapitel. Den inhaltlichen Ausführen sind ein Vorwort, eine Inhaltsübersicht, zwei Bearbeiterverzeichnisse sowie ein Abkürzungsverzeichnis vorangestellt. Fast alle Teile beinhalten zudem einen Annex zur Rechtslage in Österreich.
Im ersten Teil (I) werden zunächst allgemeine Grundlagen des Datenschutzrechts erläutert, von der historischen Genese des Datenschutzrechts (S. 1 ff.) über die internationale Anwendbarkeit der DSGVO (S. 72 ff.) bis hin zu den Grundsätzen einer datenschutzrechtlichen Prüfung (S. 143 ff.). Gerade das letztgenannte Kapitel sollte von Einsteigern ins Datenschutzrecht als Einführung gelesen werden, werden hier doch die Grundsätze dargelegt. Dieses Kapitel stellt gewissermaßen den „Allgemeinen Teil“ des Werks dar. So werden Grundbegriffe, etwa „personenbezogene Daten“ (Rn. 19 ff.), „Verarbeitung“ und „Verantwortlicher“(Rn. 36 ff.), geklärt, aber auch bereits erste Auseinandersetzungen mit den Pflichten von Verantwortlichen (Rn. 56 ff.) und den Rechten der Betroffenen (Rn. 106) vorgenommen.
Die weiteren Teile stellen gewissermaßen den „Besonderen Teil“ des Werks dar. Sie widmen sich den einzelnen Themen, wie bspw. der Datenschutzorganisation (Teil II), der Archivierung und Entsorgung (Teil IV), dem Datenschutz im Personalbereich (Teil V), im Unternehmen und Konzern (Teil VI) sowie im Gesundheitssektor (Teil X), zudem der Datensicherheit (Teil XII) und dem Konfliktmanagement im Datenschutz (Teil XIII). Abschließend enthält das Werk noch Länderberichte (Teil XV) aus Großbritannien, Italien, Schweden, Tschechien, Schweiz, Russland und der Ukraine.
Von hoher Relevanz und Brisanz ist naturgemäß der Datenschutz im Personalbereich. Gerade hier werden viele Probleme immer noch äußerst engagiert diskutiert. Hanloser befasst sich im ersten Kapitel zunächst grdsl. mit dem Beschäftigtendatenschutz in der DSGVO. So setzt er sich eingehend mit den Regelungsspielräumen auseinander, insbesondere mit Art. 88 DSGVO. Nach dieser Vorschrift können die Mitgliedstaaten durch Rechtsvorschriften oder durch Kollektivvereinbarungen spezifischere Vorschriften zur Gewährleistung des Schutzes der Rechte und Freiheiten hinsichtlich der Verarbeitung personenbezogener Beschäftigtendaten im Beschäftigungskontext vorsehen. Von dieser Öffnungsklausel wurde vielfach Gebrauch gemacht, etwa in § 26 Abs. 4 S. 1 BDSG-neu, der die Verarbeitung personenbezogener Daten auf der Grundlage von Kollektivvereinbarungen für zulässig erachtet. Dies wird von Hanloser scharf kritisiert, der es für „rechtsirrig“ hält, „Kollektivvereinbarungen als autonomen Erlaubnistatbestand in die neue Welt der DSGVO hinüberretten zu können und neben die Erlaubnistatbestände des Art. 6 Abs. 1 DSGVO stellen zu können“ (Teil V, Kapitel 1, Rn. 2). Kollektivvereinbarungen sollen nach Ansicht des Autors mithin keine eigene Rechtsgrundlage darstellen können. Dies wird überwiegend in der Literatur anders gesehen, worauf aber auch hingewiesen wird (etwa in Teil V, Kapitel 1, Fn. 23). Angenehm finde ich, dass auch die Auswirkungen der geäußerten Rechtsansichten an Beispielen erläutert werden (so etwa hinsichtlich der Möglichkeit der Schaffung eines Erlaubnistatbestands in einer Betriebsvereinbarung, vgl. Teil V, Kapitel 1, Rn. 14). Sodann widmet sich der Autor einigen speziellen Themen, konkret den datenschutzbezogenen Betriebsvereinbarungen, dem Fragerecht des Arbeitgebers, dem Datenabgleich zu Compliance-Zwecken sowie der Videoüberwachung am Arbeitsplatz. In weiteren Kapiteln werden die besonderen Themenkomplexe „Bring Your Own Device“ (2. Kapitel), Datenschutz und Mitbestimmung (3. Kapitel) sowie Sozialdatenschutz (4. Kapitel) herausgegriffen und eingehend behandelt.
Gut gefällt mir, dass auch ein eigener Teil zum Datenschutz im Gesundheitssektor vorzufinden ist (Teil X). Diese Thematik ist zwar naturgemäß etwas speziell, dennoch sind gerade Gesundheitsdaten besonders sensibel. Zwar haben Leistungserbringer im Gesundheitswesen – zu denken sei etwa an Krankenhäuser – teilweise Größenvorteile, jedoch werden diese nicht immer genutzt, sodass der Datenschutz teilweise noch nicht wichtig genug genommen wird. Im Rahmen des Umgangs mit Patientendaten zeigt Bieresborn etwa zunächst die besondere Schutzbedürftigkeit von solchen Daten auf (Rn. 1 f.), um sich sodann mit der ärztlichen Schweigepflicht (Rn. 3 ff.) und der Behandlung von Patientendaten nach der DSGVO (Rn. 8 ff.) auseinanderzusetzen. Interessant sind aber für die Praxis vor allem die Datenverarbeitung durch den Arzt (Rn. 14 ff.) sowie die Verarbeitung ärztlicher Daten durch Dritte (Rn. 31 ff.). Wer im Gesundheitssektor oder dessen Umfeld tätig ist, sollte sich die in diesem Kapitel dargelegten Datenschutzgrundsätze ruhig einmal in Gänze zu Gemüte führen, da sie überaus aufschlussreich und auf das Wesentliche fokussiert sind. In weiteren Kapiteln des Teils setzen sich Arning und Born zudem noch mit den datenschutzrechtlichen Implikationen der elektronischen Gesundheitsakte sowie Günther und Reichert mit denjenigen im Rahmen des Telemonitorings auseinander.
Die Gestaltung des Werks ist überaus gut gelungen. Den jeweiligen Kapiteln sind stets eine eigene Inhalts- sowie eine Literaturübersicht vorangestellt. Das Schriftbild ist äußerst angenehm und leserfreundlich gestaltet. Da oftmals noch keine Rechtsprechung zu bestimmten Fragen vorhanden ist, ist es vielfach unerlässlich, auch die Literatur entsprechend auszuwerten, um zu praxisgerechten Lösungen zu gelangen. Es ist insofern sehr lobenswert, dass das Werk sich nicht mit einigen wenigen Fundstellen begnügt, sondern wissenschaftlich fundiert ist, was sich auch in dem umfangreichen Fußnotenapparat zeigt, den der Verlag dem Werk spendiert hat.
Damit ist der Forgó/Helfrich/Schneider ein guter Ratgeber für die Beantwortung datenschutzrechtlicher Fragen. Zwar werden naturgemäß nicht alle in der Praxis auftretenden Fragen behandelt. Jedoch sind alle wesentlichen Bereiche in dem gut 1600 Seiten umfassenden Werk vertreten. Der Handbuchcharakter führt zudem zu einer sehr guten Übersichtlichkeit. Etwas mühselig ist dagegen das Zitieren des Handbuchs. So beginnen die Randnummern in jedem Kapitel neu, sodass eigentlich nur das Zitieren unter Angabe von Teil, Kapitel und Randnummer verbleibt (Bsp.: Teil V, Kapitel 1, Rn. 11), was etwas umständlich ist. Eine fortlaufende Vergabe von Randnummern durch den gesamten Band würde die Zitierfähigkeit stark verbessern, was ich mir für die nächste Auflage wünschen würde.
Mag seine Anschaffung auch nicht gerade günstig sein, so hilft ein Blick in das vorliegende Handbuch doch oftmals schon bedeutend weiter, um in der Praxis zu schnellen, handhabbaren und rechtlich vertretbaren Lösungen zu gelangen. Insofern kann das Werk Praktikern, die mit Fragen des Datenschutzrechts befasst sind, vollends empfohlen werden. Wer indes als Jurist im Unternehmen als „Allrounder“ mit datenschutzrechtlichen Fragen nur am Rande befasst ist, der sollte möglicherweise eher auf das Formularhandbuch Datenschutzrecht von Koreng/Lachenmann(vgl. Rezension hier im Blog) zurückgreifen, da dieses die Arbeit wohl noch viel mehr erleichtern dürfte, indem nicht nur praxisgerechte Lösungen aufgezeigt, sondern auch Muster bereitgestellt werden. Ein fundiertes und derart in die Tiefe gehendes Rechtshandbuch wie das vorliegende wird ein Formularhandbuch dagegen nicht ersetzen können.