Suche nach Titel, AutorIn, RezensentIn, Verlag, ISBN/EAN, Schlagwort
socialnet Logo

Niko Härting: Datenschutz-Grundverordnung

Rezensiert von Prof. Dr. Renate Oxenknecht-Witzsch, 21.06.2017

Cover Niko Härting: Datenschutz-Grundverordnung ISBN 978-3-504-42059-8

Niko Härting: Datenschutz-Grundverordnung. Das neue Datenschutzrecht in der betrieblichen Praxis. Verlag Dr. Otto Schmidt (Köln) 2016. 212 Seiten. ISBN 978-3-504-42059-8. 39,80 EUR.

Weitere Informationen bei DNB KVK GVK.

Kaufen beim socialnet Buchversand

Thema

Die Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundordnung) wurde vom Europäischen Parlament und dem Rat der Europäischen Union am 27. April 2016 erlassen. Sie tritt am 25. Mai 2018 in den Mitgliedstaaten in Kraft.

Der Deutsche Bundestag hat den Entwurf eines Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie EU 2016/680 (Datenschutz-Anpassungs- und Umsetzungsgesetz EU, BT-Drs. 18/11325 und BT-Drs. 18/11401) am 27. April 2017 beschlossen. Der Bundesrat hat dem Gesetz am 12. Mai 2017 ebenfalls zugestimmt.

Die in dem Buch behandelten Fragestellungen sind von höchster Aktualität und Dringlichkeit für Betriebe, Unternehmen und Institutionen.

Aufbau

Das Buch ist in vier Teile gegliedert:

  1. Compliance
  2. Was ändert sich an den Grundlagen des Datenschutzrechts?
  3. Cloud Computing und Big Date
  4. Betroffenenrechte, Datenschutzrechte und Selbstregulierung

Das Werk enthält viele didaktische Hinweise, die mit dem Stichwort „Merke“ hervorgehoben werden. In den jeweiligen Ausführungen werden das geltende Recht und die Änderungen der DSGVO gegenübergestellt.

Die Ausführungen werden fortlaufend in 121 Fragestellungen und 801 Randziffern untergliedert, die die Orientierung und Zitierbarkeit erleichtern.

Die verbindlichen Regeln der DSGVO sind in insgesamt 99 Artikel gefasst. In einem Anhang werden Erwägungsgründe in insgesamt 173 Ziffern angefügt, die die Funktion von Auslegungsregeln haben.

Das Buch ist nicht nach der Systematik der Regelungen, sondern nach den Fragestellungen hinsichtlich der Umsetzung der DSGVO in Betrieben und Unternehmen gegliedert.

Zu Teil A Compliance

Im Teil A werden unter dem Begriff Compliance die wichtigsten Vorkehrungen und Maßnahmen vorgestellt, die in einem Unternehmen zu beachten sind, um Konformität mit dem neuen Datenschutzrecht zu erzielen. Es wird darauf hingewiesen, dass Datenschutzverstöße in Zukunft keine Kavaliersdelikte sind, wie diese dem deutlich erhöhten Bußgeldrahmen zu entnehmen ist (bis zu 20 Millionen Euro bzw. 4% weltweiten Jahresumsatzes eines Unternehmens).

Die neun wichtigsten Compliance-Themen werden in je einem Abschnitt erläutert:

  1. Bestellung eines betrieblichen Datenschutzbeauftragten
  2. Dokumentation und Folgenabschätzung
  3. Datenschutzerklärung und Transparenz
  4. Allgemeine Datenschutzprinzipien und „risikobasierter Ansatz“
  5. Technische und organisatorische Maßnahmen
  6. Meldepflichten und Datenpannen
  7. Datentransfer in Drittstaaten
  8. Territorialer Anwendungsbereich der DSGVO
  9. Haftung, Rechtsbehelfe, Sanktionen.

Exemplarisch werden die Ausführungen zu zwei Gliederungspunkten näher betrachtet.

Abschnitt I. widmet sich der Bestellung eines Datenschutzbeauftragten und vergleicht die bisherige Regelung des BDSG mit der Neuregelung der DSGVO. Es wird darauf hingewiesen, dass in der DSGVO die Notwendigkeit der Bestellung eines Datenschutzbeauftragten in einigen Fällen nicht erforderlich ist, aber Art. 37 Abs. 4 DSGVO eine Öffnungsklausel für den nationalen Gesetzgeber vorsieht. Außerdem wird darauf hingewiesen, was bei der Bestellung eines Datenschutzbeauftragten nach neuem Recht zu beachten ist sowie welche Aufgaben und Befugnisse der Datenschutzbeauftragte hat.

Wichtig sind die Ausführungen zur Frage des Verfahrensverzeichnissen. Es wird betont, dass nach geltendem Recht das Führen des Verfahrensverzeichnisses, das die Transparenz der Datenverarbeitungsprozesse sichert, zu den Kernaufgaben des betrieblichen Datenschutzbeauftragten gehört. Es wird gezeigt, dass Art. 30 DSGVO weitere Besonderheiten gegenüber dem geltenden Recht aufweist (Rz 30), die mit dem Hinweis „Merke“ noch einmal zusammengefasst werden.

Zu Teil B Was ändert sich an den Grundlagen des Datenschutzrechts?

Im Teil B geht es um die Kriterien und Maßstäbe der Rechtmäßigkeit der Datenverarbeitung, insbesondere um den

  • Anwendungsbereich der DSGVO
  • das Verbotsprinzip und die Erlaubnisnormen
  • die Einwilligung und Legitimation der Datenverarbeitung durch „berechtigte Interessen“

Es wird darauf hingewiesen, dass das Verbotsprinzip bestehen bleibt. Grundsätzlich bedarf eine Verarbeitung personenbezogener Daten einer Rechtfertigung durch die Einwilligung des Betroffenen, ein „berechtigtes Interesse“ oder eines anderen gesetzlichen Erlaubnisgrundes.

Hilfreich ist, dass in einer Übersicht angegeben wird, wie die Prüfung zu erfolgen hat (S. 69), u.a. geht es um Fragen wie

  • Ist Datenschutz anwendbar?
  • Werden sensitive Daten verwendet? (vgl. Art. 9 und 10 DSGVO)

In sieben Abschnitten werden die zuvor genannten Fragestellungen ausführlich erläutert:

  1. Sachlicher Anwendungsbereich
  2. Verbotsprinzip
  3. Einwilligung
  4. Vertrag als Erlaubnis
  5. Berechtigte Interessen
  6. „Vereinbarkeit“ mit dem Erhebungszweck
  7. Gesundheitsdaten und andere sensitive Daten

In Abschnitt I wird unter Anwendungsbereich zunächst der Begriff der „personenbezogenen Daten“ erläutert mit dem Hinweis, dass das Datenschutzrecht nur auf personenbezogene Daten Anwendung findet. Kritisch wird festgestellt, dass der Begriff „personenbezogenen Daten“ auch nach der DSGVO unscharf bleibe (Rz 261ff). Die Definition des Begriffs Personenbezogener Daten in Art. 4 Nr. 1 DSGVO wird näher erläutert (Rz. 270ff). Weitere Ausführungen befassen sich mit der Frage pseudonymer Fragen.

Ausführlich wird die Frage der Einwilligung als ein Grund der Rechtmäßigkeit der Verarbeitung erörtert (Rz 349ff). Die Änderungen durch die DSGVO werden vorgestellt (Art. 6 Abs. 1 Buchstabe a). Gesundheitsdaten und andere besondere sensitive Daten werden im letzten Abschnitt mit den Veränderungen durch die DSGVO erläutert.

Zu Teil C Cloud Computing und Big Date

Im Teil C geht es um die Zukunftsthemen des Datenschutzes, um Cloudcomputing, Big Data, Profiling und Scoring. Insbesondere geht es um die Frage, wie die arbeitsteilige, dezentrale Datenverarbeitung mit dem Instrument der Auftragsverarbeitung angegangen wird. (Art. 28 und 29 DSGVO werden § 11 BDSG ersetzen.

In zwei Abschnitten werden die genannten Fragen genauer erörtert:

  1. Auftragsverarbeitung
  2. Automatisierte Einzelentscheidungen

Exemplarisch werden hier die Ausführungen zur Auftragsverarbeitung oder Auftragsdatenverarbeitung näher beleuchtet. Der Begriff wird als datenschutzrechtliche Antwort auf fortschreitende Prozesse des Outsourcing und der Verlagerung der Datenverarbeitung in die Cloud bezeichnet (Rz 569ff). Zunächst werden die bisherigen Regelungen des BDSG vorgestellt, um dann die Änderungen der DSGVO herauszuarbeiten. Die Begriffsdefinitionen in Art. 4 Nr. 7 DSGVO für den Verantwortlichen (Auftraggeber) und den Auftragsverarbeiter in Art. 4 Nr. 8 DSGVO werden dargestellt. Es wird darauf hingewiesen, dass damit lediglich auf ein Auftragsverhältnis abgestellt wird, nicht auf Weisungsrechte und Verantwortlichkeiten (Rz 579).

Zu Teil D Betroffenenrechte, Datenschutzrechte und Selbstregulierung

In Teil D geht es um die Durchsetzung des Datenschutzrechts (ab S. 159). Es wird darauf hingewiesen, dass erklärtes Ziel der DSGVO eines Stärkung der Betroffenenrechte und der Datenschutzaufsicht sei.

Zunächst werden

  1. Betroffenenrechte und dann
  2. Datenschutzaufsicht erörtert.

Hinsichtlich der Betroffenenrechte wird darauf hingewiesen, dass das Auskunftsrecht des BDSG zu einem „Zugriffsrecht“ ausgebaut werde (Art. 15 DSGVO) und das Recht auf Sperrung in ein „Recht auf Einschränkung der Verarbeitung“ unbenannt werde (Art. 18 DSGVO). Als vollständig neues Recht wird das Recht des Betroffenen auf „Datenübertragbarkeit“ nach Art. 20 DSGVO erwähnt.

Es wird darauf hingewiesen, dass die Stärkung der Betroffenenrechte zu den Kernanliegen der DSGVO gehört und dass daher ab 2018 damit zu rechnen sei, dass die Aufsichtsbehörden Verletzungen gegen die Betroffenenrechte mit empfindlichen Bußgeldern sanktionieren werden (Rz 668). Die in Art. 15 DSGVO deutlich erweiterten Auskunftspflichten werden genannt.

Die Datenschutzaufsicht ist in Art. 51 bis 76 DSGVO geregelt. Nach Art. 51 DSGVO muss es in jedem EU-Mitgliedstaat mindestens eine Aufsichtsbehörde geben. Sie haben die Unabhängigkeit der Behörde zu sichern. Die Schwierigkeiten, die sich daraus bei der Zusammenarbeit der nationalen Aufsichtsbehörden und bei deren Repräsentanz im Europäischen Datenschutzausschuss ergeben können, werden angedeutet.

Zielgruppen

Zielgruppe des Buches sind vor allem Unternehmen, die die Neuregelungen der DSGVO ab 25. Mai 2018 anwenden müssen, aber vor allem Juristen als Rechtsanwälte oder in anderen Funktionen, Unternehmensberater wie IT-Fachkräfte sowie alle diejenigen, die sich mit dem neuen Datenschutzrecht beruflich befassen müssen.

Fazit

Das Buch ist eine praxisorientierte Darstellung des neuen EU-Datenschutzrechts, die auf der Basis der geltenden Regelungen des Bundesdatenschutzgesetzes die Neuregelungen in den zahlreichen Facetten erläutert und die Voraussetzungen für die Umsetzung in der betrieblichen Praxis schafft. Dem Verfasser gelingt es hervorragend, die komplizierten Fragestellungen verständlich und vor allem auch interessant zu erklären und Hinweise zu geben. Dem Verfasser gelingt es, die Fülle von Regelungen und notwendigen Anpassungen, die in der betrieblichen Praxis vorzunehmen sind, verständlich, klar strukturiert und didaktisch interessant darzustellen. Es wird der Ankündigung, einen hervorragenden Überblick über das neue Datenschutzrecht zu geben, voll und ganz gerecht.

Rezension von
Prof. Dr. Renate Oxenknecht-Witzsch
Em. Professorin für Recht mit Schwerpunkt im Arbeits-, Sozial- und Familienrecht an der Fakultät für Soziale Arbeit der Katholischen Universität Eichstätt-Ingolstadt

Es gibt 44 Rezensionen von Renate Oxenknecht-Witzsch.

Besprochenes Werk kaufen
Sie fördern den Rezensionsdienst, wenn Sie diesen Titel – in Deutschland versandkostenfrei – über den socialnet Buchversand bestellen.


Zitiervorschlag
Renate Oxenknecht-Witzsch. Rezension vom 21.06.2017 zu: Niko Härting: Datenschutz-Grundverordnung. Das neue Datenschutzrecht in der betrieblichen Praxis. Verlag Dr. Otto Schmidt (Köln) 2016. ISBN 978-3-504-42059-8. In: socialnet Rezensionen, ISSN 2190-9245, https://www.socialnet.de/rezensionen/21223.php, Datum des Zugriffs 07.11.2024.


Urheberrecht
Diese Rezension ist, wie alle anderen Inhalte bei socialnet, urheberrechtlich geschützt. Falls Sie Interesse an einer Nutzung haben, treffen Sie bitte vorher eine Vereinbarung mit uns. Gerne steht Ihnen die Redaktion der Rezensionen für weitere Fragen und Absprachen zur Verfügung.


socialnet Rezensionen durch Spenden unterstützen
Sie finden diese und andere Rezensionen für Ihre Arbeit hilfreich? Dann helfen Sie uns bitte mit einer Spende, die socialnet Rezensionen weiter auszubauen: Spenden Sie steuerlich absetzbar an unseren Partner Förderverein Fachinformation Sozialwesen e.V. mit dem Stichwort Rezensionen!

Zur Rezensionsübersicht