Reimer, Verwaltungsdatenschutzrecht: Das neue Recht für die behördliche Praxis, 1. Auflage, Nomos 2019
![]()
Von Sonja Hagenhoff, Hannover
Am 25. Mai 2018 ist die Datenschutzgrundverordnung in Kraft getreten, die zu einer (Voll-)Harmonisierung des Datenschutzniveaus in der Europäischen Union führen sollte. Bei der Entwicklung der Datenschutzgrundverordnung hatte der Verordnungsgeber vor allem die großen Player im Datenhandel im Blick, die er mit der Verordnung einschränken und genauer regeln wollte. Bei der Verwaltungspraxis in den europäischen Mitgliedstaaten existieren aber eine Vielzahl von verschiedenen Gegebenheiten und gewachsenen Strukturen, an die die Mitgliedstaaten durch die Datenschutzgrundverordnung nicht rütteln wollten. Aus diesem Grund wurden in die Datenschutzgrundverordnung eine Vielzahl von Öffnungsklauseln für den öffentlichen Bereich der Mitgliedsstaaten erfasst. Dies ermöglicht den Mitgliedsstaaten ihre bisherigen Regelungen an die Datenschutzgrundverordnung anzupassen und beizubehalten.
Dem Datenschutz kommt in der behördlichen Praxis eine besondere Rolle zu, denn jede öffentliche Stelle verarbeitet personenbezogene Daten. Daher beschäftigt sich der Autor zunächst auch mit der behördlichen Datenverarbeitung im System des Allgemeinen Verwaltungsrechts. Hier legt der Verfasser die Bedeutung des Datenschutzes in den Handlungen der Verwaltung dar. Anschließend geht der Autor auf verschiedene Datenschutzsphären und Rechtsgrundlagen ein. Bei den Datenschutzsphären (vgl. S. 18) handelt es sich um den Bereich der DSGVO (Rn. 8 ff.), der Sicherheitsrichtlinie (Rn. 26 ff.) und den von beiden ausgesparten Bereich (Rn. 41 ff.). Anschließend geht der Autor auf den persönlichen Anwendungsbereich des Verwaltungsdatenschutzrechts ein. Dabei wird zwischen öffentlichen Stellen bzw. Behörden (S. 53 ff.), Einzelfällen mit Besonderheiten (S. 55 ff.) und dessen Abgrenzungsposten unterschieden. Im Weiteren folgt der räumliche Anwendungsbereich des Verwaltungsdatenschutzrechts.
Im zweiten Teil werden dann die Folgen von Datenschutzverstößen erklärt. Dabei müssen auch die Behörden Datenschutzpannen gem. Art. 33 und 34 DSGVO bei der Aufsichtsbehörde und ggf. bei den Betroffenen Personen melden. Diese Meldung muss sogar von Amts wegen erfolgen (Rn. 94). Daneben werden auch die Befugnisse der Aufsichtsbehörden erklärt. Für die Praxis relevanter sind aber die letzten Unterpunkte des zweiten Teils. Die Zivilrechtliche Schadensersatzpflicht des Rechtsträgers (Rn. 100 ff.) und die verwaltungsrechtlichen Konsequenzen (Rn. 104 ff.). Denn die Anspruchsvoraussetzungen des Schadensersatzanspruchs nach Art. 82 DSGVO sind einfacher darzulegen als der allgemeine Amtshaftungsanspruch nach § 839 BGB iVm Art. 34 GG. Die Unterschiede werden auch von dem Autor dargelegt. Im Bereich der verwaltungsrechtlichen Konsequenzen geht der Autor auch auf die Straf- und disziplinarrechtlichen Konsequenzen ein. Denn ein Datenschutzverstoß kann auch zur persönlichen Haftung eines Behördenmitarbeiters führen. Der Verfasser versucht in Rn. 108 die möglichen Maßnahmen gegen den Behördenmitarbeiter darzulegen. Diese Aufzählung kann jedoch nicht als abschließend anzusehen sein.
Im dritten Teil geht der Verfasser auf die Zulässigkeit der Datenverarbeitung ein. Den Verwaltungen steht dabei eine Vielzahl von verschiedenen Rechtsgrundlagen zur Verfügung. Neben den Rechtsgrundlagen, die ausdrücklich in der DSGVO genannt werden, kommen auch Rechtsgrundlagen aus den bereichsspezifischen Befugnissen, z.B. dem Sozialdatenschutz, in Frage, die durch die Öffnungsklauseln in der DSGVO weiterhin weitgehend anwendbar sind. Dieses Problem hat der Verfasser auch erkannt, weshalb er nicht auf die einzelnen Rechtsgrundlagen an sich eingeht, sondern die verschiedenen Arten der Rechtsgrundlagen darstellt. Dies bringt dem Leser ein Verständnis der Möglichkeiten, die der Verwaltung zur Verfügung stellt. Doch auch in diesem Teil ist es wichtig, dass der Leser immer die Sphären aus dem ersten Teil in Erinnerung behält, da sich der Autor in diesem Teil an verschiedenen Stellen (z.B. Rn. 111, 114, 122, 136, 150, 190) auf diese Sphären verweist.
Anschließend stellt der Autor die Organisatorischen Anforderungen dar. Dabei geht der Verfasser unter anderem darauf ein, dass eine Behörde einen Datenschutzbeauftragten stellen muss. (Rn. 237 ff.). Aufgrund der praktischen Realität in vielen Behörden hätte der Autor an dieser Stelle tiefer gehend auf die fachliche Qualifikation des Datenschutzbeauftragten eingehen können. Der Verfasser erklärt zwar in Rn. 240, dass der behördliche Datenschutzbeauftragte auch den gesetzlichen Eignungsvoraussetzungen entsprechen muss. Welche Behördenmitglieder diese Qualifikationen in der Regel haben können, hätte besser herausgearbeitet werden. Immerhin zeigt die Praxis, dass in verschiedenen Behörden, insbesondere Kommunen, die benannten Datenschutzbeauftragten diese Qualifikationen nicht besitzen.
Auf der anderen Seite wird in diesem Kapitel richtigerweise herausgearbeitet, dass aufgrund der Art und Weise der Datenverarbeitung die Verwaltung sicherstellen muss, dass sie die erforderlichen technischen und organisatorischen Maßnahmen trifft (Rn. 246 ff). Aber auch auf die erhöhte Dokumentationspflicht geht der Verfasser ein.
Im 5. Kapitel geht der Verfasser auf das Verhältnis zum Bürger ein. Ein Schwerpunkt dieses Kapitels liegt darauf, wie die Rechte der Betroffenen in der Verwaltungspraxis zu verstehen sind. Auf der anderen Seite erklärt der Verfasser, welche Rechtsbehelfe dem Betroffenen zustehen. Neben der Erklärung, welches Gericht zuständig ist (Rn. 311 ff.) und welche Klagearten statthaft sind (Rn. 314), wird auch auf das grundsätzliche Recht zur Beschwerde bei der Aufsichtsbehörde eingegangen.
Abschließend geht der Autor auf das Verhältnis zur Aufsichtsbehörde ein. Neben der Stellung und der Zuständigkeit (Rn. 321 ff.) werden noch einmal die Befugnisse und der Rechtsschutz gegen die Aufsichtsbehörde dargelegt.
Insgesamt handelt es sich bei dem Werk um ein solides Grundlagenwerk. Der Verfasser hat es geschafft in seinem Buch einen vernünftigen Überblick zu schaffen und die Grundlagen des Datenschutzrechts in der behördlichen Praxis aufzuarbeiten. Einen tiefer gehenden Einblick in die behördliche Praxis kann ein Autor auf 192 Seiten nicht darlegen. Jedoch können die allgemeinen Grundprinzipien dieses Buches auf die tägliche Behördenpraxis angewendet werden, weshalb es sich um ein empfehlenswertes Buch für die Leser handelt, die ein Verständnis für die rechtlichen Voraussetzungen des Verwaltungsdatenschutzrechts bekommen möchten. Es darf aber nicht als Praxisbeispiel verstanden werden.