socialnet - Das Netz für die Sozialwirtschaft

Boris Paal, Daniel Pauly: Datenschutz-Grundverordnung

Cover Boris Paal, Daniel Pauly: Datenschutz-Grundverordnung. C.H.Beck Verlag (München) 2017. 891 Seiten. ISBN 978-3-406-69570-4. 99,00 EUR.
Recherche bei DNB KVK GVK.

Besprochenes Werk kaufen
über socialnet Buchversand


Herausgeber und Autoren

Die Herausgeber sind ausgewiesene Experten des Datenschutzrechts. Prof. Dr. Boris P. Paal ist Direktor des Instituts für Medien- und Informationsrecht an der Universität Freiburg.

Dr. Daniel A. Pauly ist Rechtsanwalt und Leiter der deutschen Technologie-, Medien- und Telekommunikationspraxis der internationalen Sozietät Linklaters LLP.

Die weiteren Autoren bzw. Autorin sind

  • Prof. Dr. Stefan Ernst, Rechtsanawalt in Freiburg,
  • Dr. Eike Michael Frenzel, Universität Freiburg,
  • Barbara Körffer, stellv. Landesbeauftragte für Datenschutz in Schleswig-Holstein sowie
  • Prof. Dr. Mario Martini, Deutsche Universität für Verwaltungswissenschaften in Speyer.

Thema

Die Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundordnung) wurde vom Europäischen Parlament und dem Rat der Europäischen Union am 27. April 2016 erlassen, am 25. Mai 2016 ist sie in Kraft getreten und tritt am 25. Mai 2018 in den Mitgliedstaaten in Kraft. Als EU-Verordnung entfaltet sie anders als eine EU-Richtlinie mit Inkrafttreten am 25. Mai 2018 Rechtsverbindlichkeit in den EU-Mitgliedstaaten. Mehrere Öffnungsklauseln zugunsten des nationalen Gesetzgebers ermöglichen nationale Sonderregelungen. Die DS-GVO enthält 99 Artikel als verbindliche Regelungen. Sie wird ergänzt durch 173 Erwägungsgründe, die im Anhang angefügt sind.

Der Deutsche Bundestag hat den Entwurf eines Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie EU 2016/680 (Datenschutz-Anpassungs- und Umsetzungsgesetz EU, BT-Drs. 18/11325 und BT-Drs. 18/11401) am 27. April 2017 beschlossen. Der Bundesrat hat dem Gesetz am 12. Mai 2017 ebenfalls zugestimmt. Das Gesetz vom 30. Juni 2017 ist im Bundesgesetzblatt I 2017, S. 2097 veröffentlicht.

In der Einleitung des Buches wird darauf hingewiesen, dass auf nationaler Ebene ein dringlicher und erheblicher Anpassungsbedarf bestehe, der in einem ersten Gesetzgebungspaket vor der Bundestagswahl 2017 die rechtstechnisch dringend erforderlichen Novellierungen vornehme (das ist mit dem Gesetz vom 30. Juni 2017, BGBl. I S. 2097 bereits geschehen), in der folgenden Legislaturperiode sollten dann in einem zweiten Schritt die eröffneten Regelungsspielräume ausgefüllt werden.

Formaler Aufbau

Das Werk ist als juristischer Kommentar aufgebaut, das heißt, dass die einzelnen Regelungen – hier: 99 Artikel – jeweils erläutert werden.

Sehr hilfreich erweist sich die Einleitung zu dem Werk. In fünf Abschnitten werden wichtige Vorfragen erläutert:

  1. Ein einheitliches Datenschutzrecht für Europa?!
  2. Gesetzgebungsverfahren
  3. Struktur und Aufbau
  4. Verhältnis zum europäischen Primärrecht
  5. Verhältnis zu sonstigen Regelungsmaterien

Unter A „Ein einheitliches Datenschutzrecht für Europa?!“ wird die Bedeutung der neuen DS-GVO mit den wesentlichen Bezugspunkten beschrieben. Die DS-GVO löst die Richtlinie 95/46/EG (EG-Datenschutzrichtlinie – DSRL) ab. Es wird darauf hingewiesen, dass das Ziel einer „echten“ Vollharmonisierung des europäischen Datenschutzrechts auf dem Hintergrund der notwendigen Anpassung des nationalen Rechts nur eingeschränkt verwirklicht worden ist. Die DS-GVO bilde den -vorläufigen- Schlusspunkt der auf nationaler wie europäischer Ebene intensiv geführten Debatte(n) um das „richtige“ Datenschutzniveau (Einl., Rn. 4).

Unter B Gesetzgebungsverfahren werden die einzelnen Schritte des Gesetzgebungsverfahrens dargestellt, beginnend mit den von der damaligen Kommissarin für Justiz, Grundrechte und Bürgerschaft, Viviane Reding aufgestellten „sieben Grundbausteine“ der Reform (Einl., Rn. 5):

  1. Verordnung statt Richtlinie
  2. „One Stop Shop“ für den Datenschutz in der EU
  3. Das richtige Datenschutzniveau
  4. Eine differenzierte Architektur (in Bezug auf den Anwendungsbereich bzw. sonstige Ressorts)
  5. Vorteile für kleine und mittlere Unternehmen
  6. Grundrechtskonformität
  7. Zukunftsorientiertheit

Unter C. Struktur und Aufbau wird auch eine Besonderheit der EU-Gesetzgebung erläutert, die sog. Erwägungsgründe, die in 173 Ziffern im Anhang zur DS-GVO angefügt sind. In Rz. 10 der Einleitung wird auf ihre besondere Rechtsnatur hingewiesen. Sie sind einerseits fester Bestandteil europäischer Rechtsakte, andererseits stehen sie aber außerhalb des eigentlichen Normtextes. Ihnen kommt wohl am ehesten die Funktion der Gesetzesbegründung zu, in der Zielsetzung und Hintergründe für den Erlass der Rechtsakte erläutert werden.

Inhaltlicher Aufbau

Die DS-GVO ist in elf Kapitel untergliedert.

  1. Allgemeine Bestimmungen

  2. Grundsätze

  3. Rechte der betroffenen Personen

  4. Verantwortlicher und Auftragsverarbeiter

  5. Übermittlung personenbezogener Daten an Drittländer oder an internationale Organisationen

  6. Unabhängige Aufsichtsbehörden

  7. Zusammenarbeit und Kohärenz

  8. Rechtsbehelfe, Haftung und Sanktionen

  9. Vorschriften für besondere Verarbeitungssituationen

  10. Delegierte Rechtsakte und Durchführungsrechtsakte

  11. Schlussbestimmungen

Das Werk enthält außerdem ein ausführliches Literaturverzeichnis, das nach Büchern und Zeitschriften untergliedert ist. Außerdem gibt es ein detailliertes Stichwortverzeichnis.

Inhaltliche Schwerpunkte

Aus der Fülle der Regelungsbereiche werden nachfolgend exemplarisch verschiedene Themen aus einzelnen Kapiteln näher beleuchtet.

I. Allgemeine Bestimmungen, Art. 1- 4

Die Art. 1-4 enthalten allgemeine Bestimmungen. Art. 1 regelt den Gegenstand und die Ziele der DS-GVO. Es geht um den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten. Ziel ist, die Grundrechte und Grundfreiheiten natürlicher Personen zu schützen und insbesondere deren Recht auf Schutz personenbezogener Daten. In der Kommentierung wird die verfassungsrechtliche Verankerung des Schutzes personenbezogener Daten im EU-Recht und im nationalen Recht dargestellt (in Deutschland das vom BVerfG 1983 entwickelte Grundrecht auf informationelle Selbstbestimmung). Es wird betont, dass der Schutz personenbezogener Daten Menschenrecht ist, nicht Bürgerrecht (Art. 1, Rn. 7). Gleichzeitig wird in Art. 1 Abs. 3 der freie Datenverkehr in Europa verankert.

Hervorzuheben ist auch Art. 4, der in 26 Ziffern Begriffsbestimmungen enthält, wie 1. „personenbezogene Daten“, 2. „Verarbeitung“, 4. „Profiling“, 7. „Verantwortlicher“, 11. „Einwilligung“, 12. „Verletzung des Schutzes personenbezogener Daten“, 14. „biometrische,Daten“, 15. „Gesundheitsdaten“., um nur wenige zu benennen. Es handelt sich um Legaldefinitionen. In der Kommentierung wird darauf hingewiesen, dass diese Definitionen im Einzelfall von der Umgangs- und auch von IT-Fachsprache abweichen können (Art. 4 Rn.1).

II. Grundsätze, Art. 5-11

Der Abschnitt beginnt mit Art. 5 Grundsätze für die Verarbeitung personenbezogener Daten. Sie müssen nach Abs. 1a) auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden… In der Kommentierung wird zunächst in der Einführung die Frage der Normqualität erläutert, dann werden die Bezüge zum EU-Primärrecht und zur Europäischen Grundrechte Charta dargestellt. Die Schwierigkeit der Auslegung zum Beispiel der Vorgabe „Verarbeitung nach dem Grundsatz von Treu und Glauben“ zeigen die sehr detaillierten an den unterschiedlichen Übersetzungen orientierten Ausführungen zur Auslegung des Normtextes (Art. 5, Rn. 18).

III. Rechte der betroffenen Personen, Art. 12-23

Art. 12 regelt das Transparenzgebot, das nun einheitlich in einer eigenen Vorschrift geregelt ist. Zweck der Norm ist danach, der betroffenen Person den informierten Umgang hinsichtlich der Preisgabe ihrer personenbezogenen Daten zu ermöglichen und ihr die Wahrnehmung ihrer Rechte zu ermöglichen (Art. 12, Rn. 4). Die Kommentierung weist darauf hin, dass die Vorschrift auf eine Entschließung der 31. Internationalen Datenschutzkonferenz 2009 zurückgeht, die das Transparenzprinzip als grundlegendes Prinzip zum Schutz personenbezogener Daten erhoben habe (Art. 12 Rn. 12).

Hervorzuheben ist die neue Regelung in Art. 17 Recht auf Löschung („Recht auf Vergessenwerden“). In der Einführung zur Kommentierung wird darauf hingewiesen, dass die plakativ als „Recht auf Vergessenwerden“ genannte Norm zu den wissenschaftlich und medial am meisten diskutierten Neuerung des (europäischen) Datenschutzrechts gehöre. Mit der Entscheidung des EuGH im Jahre 2014 zu Google Spain, die zu Recht als bahnbrechend bezeichnet wird, hatte der EuGH einen ähnlichen Anspruch für den Fall eines Suchmaschinenbetreibers bejaht (Art. 17, Rn.2). Das Recht auf Löschung bzw. die Verpflichtung zur Löschung werden als Grundsatz der Datenminimierung genannt.

IV. Verantwortlicher und Auftragsverarbeiter, Art. 24 – 43

Der Abschnitt beginnt mit Art. 24 Verantwortung des für die Verarbeitung Verantwortlichen. In der Einführung zur Kommentierung wird die Regelung als Generalnorm der Verantwortungszuweisung für datenschutzrechtliche Pflichten genannt. Verwiesen wird auf die Wechselbeziehung von Art. 24 zu Art. 25 („Datenschutz durch Technik“ – privacy by design- und „Datenschutz durch datenschutzrechtliche Voreinstellungen“ -privacy by default) sowie auf die Wechselbeziehung z Art. 35 (Datenschutz-Folgenabschätzung), siehe Art. 24, Rn. 5. Als Gegenbeispiel zu datenschutzfreundlichen Voreinstellungen wird das soziale Netzwerk Facebook beschrieben, als es zum 30.1.2015 neue Datenschutzregeln einführte und mit dem ersten Einloggen des Nutzers eine Einwilligung fingierte (Art. 25 Rn. 14).

Mit der Kommentierung zu Art. 29 Verarbeitung unter der Aufsicht des Verantwortlichen oder des Auftragsverarbeiters wird darauf hingewiesen, dass die Frage nun abschließend in der DS-GVO geregelt ist, eine Öffnungsklausel für den nationalen Gesetzgeber nicht bestehe und daher die Frage, ob das deutsche Recht EU-Recht entspreche, erledigt sei (§ 29, Rn. 28).

In diesem Kapitel ist auch Art. 37 zu erwähnen, der die Benennung eines Datenschutzbeauftragten von öffentlichen und unter bestimmten Voraussetzungen im privaten Sektor regelt. Die Kommentierung erläutert die Entstehungsgeschichte der Vorschrift sowie die Inhalte der Regelung. Soweit eine Pflicht zur Bestellung nicht gegeben ist, wird hinsichtlich der freiwilligen Benennung darauf hingewiesen, dass eine Pflicht aus nationalen Vorschriften bestehen kann (Art. 37, Rn. 12).

VI. Unabhängige Aufsichtsbehörden, Art. 51 – 59

In der Einführung zu diesem Kapitel wird die Bedeutung der unabhängigen Aufsichtsbehörden erläutert. Die Überwachung der Anwendung datenschutzrechtlicher Vorschriften gehöre seit Beginn der Datenschutzgesetzgebung zum „Konzept des Grundrechtsschutzes“, Art. 51, Rn. 1. Andererseits bestimmt Art. 51 Abs. 1 als weiteres Ziel der Datenschutzaufsicht die Erleichterung des freien Verkehrs personenbezogener Daten innerhalb der EU. Die Datenschutzaufsicht beschränke sich daher auf die Zusammenarbeit und Abstimmung mit dem Ziel der einheitlichen Anwendung der DS-GVO, Art. 51, Rn. 5.

Hervorzuheben ist Art. 56, der die Zuständigkeit der federführenden Aufsichtsbehörde für grenzüberschreitende Datenverarbeitung regelt. In der Einführung zu Art. 55 wird die Entwicklung zu dieser Form der Schaffung einheitlicher Maßstäbe zur Herbeiführung einheitlicher Entscheidungen der Aufsichtsbehörden, das sog. „One-Stop-Shop“-Prinzip erläutert, Art. 55, Rn.1.

VIII. Rechtsbehelfe, Haftung und Sanktionen, Art. 77 – 84

Zur Sicherung der Rechte aus der DS-GVO werden in diesem Kapitel Rechtsbehelfe, Haftung und Sanktionen geregelt. Die Verhängung von Geldbußen, die in Art. 83 geregelt ist, ermöglicht im Vergleich zu früheren Regelungen schärfere Sanktionen. Die Kommentierung weist darauf hin, dass durch diese Innovation Datenschutzrecht zu einem ernstzunehmenden Thema für Compliance wird (Art. 83, Rn. 1). Die Einzelheiten der Bußgeldverhängung werden ausführlich beschrieben.

IX. Vorschriften für besondere Verarbeitungssituationen, Art. 85 – 91

In dem Abschnitt, in dem besondere Verarbeitungssituationen geregelt werden, gestattet Art. 88 Datenverarbeitung im Beschäftigungskontext den Mitgliedstaaten, den Erlass spezifischer Vorschriften für die Verarbeitung personenbezogener Daten im Beschäftigungskontext.

Hervorzuheben ist noch die Sonderregelung für Kirchen und religiöse Vereinigungen: Art. 91 Bestehende Datenschutzvorschriften von Kirchen und religiösen Vereinigungen oder Gemeinschaften. Die Kommentierung weist darauf hin, dass eine solche Regelung weder in der DSRL noch in den Datenschutzgesetzen des Bundes und der Länder geregelt war. Allerdings wird dann auf das kirchliche Selbstbestimmungsrecht und die verfassungsrechtliche Sonderstellung der Kirchen in Art. 140 GG iVm Art. 137 Abs. 3 WRV, Art. 4 GG hingewiesen, die auch bisher eigene Datenschutzgesetze der Kirchen ermöglichten.

Die ausgewählten Regelungen mit den jeweiligen Erläuterungen zeigen die Bedeutung, wesentliche Neuerungen und einige Regelungsinhalte aus der Fülle des Gesamtwerkes der DS-GVO, die noch einen erheblichen Umsetzungsaufwand verursachen wird.

Zielgruppen

Im Hinblick auf die automatisierte Verarbeitung personenbezogener Daten in fast allen Lebensbereichen, erlangt die DS-GVO einen umfassenden Anwendungsbereich, vor allem für Wirtschaftsunternehmen und Dienstleistungsunternehmen.

Zielgruppen des Buches sind daher nicht nur Studierende und Lehrende an Hochschulen, sondern vor allem auch Rechtsanwälte und Unternehmensberatungen, die die Umsetzung der DS-GVO in der Praxis zu gestalten und kontrollieren haben, vor allem auch Verantwortliche in Aufsichtsbehörden und (betriebliche ) Datenschutzbeauftragte.

Fazit

Das Werk ist eine hervorragende Darstellung der Entwicklung und Inhalte der neuen europäischen DS-Grundverordnung. Bereits in der Einleitung werden die maßgeblichen Grundlagen und Zusammenhänge, die zu der DS-GVO geführt haben, erläutert. In der Kommentierung der 99 Artikel werden je nach Bedeutung des Artikels durch allgemeine Hinweise zu Beginn der Kommentierung Entstehungsgeschichte, Bezüge zum nationalen Recht und allgemeine rechtliche Bewertungen vorangestellt (vgl. Art. 5, Rn. 1-11). Dadurch wird ein Verständnis für die jeweilige Regelung wesentlich erleichtert. Die Kommentierungen sind wissenschaftlich hervorragend fundiert durch Bezüge zu Gesetzentwürfen, zu Literatur, zu vorherigen Regelungen und zur bisherigen Rechtsprechung von EuGH und nationalen Gerichten. Das Werk kann allen, die sich mit dem neuen Datenschutzrecht zu befassen haben, sehr empfohlen werden.


Rezensentin
Prof. Dr. Renate Oxenknecht-Witzsch
Professorin für Recht mit Schwerpunkt im Arbeits-, Sozial- und Familienrecht an der Fakultät für Soziale Arbeit der Katholischen Universität Eichstätt-Ingolstadt
E-Mail Mailformular


Alle 31 Rezensionen von Renate Oxenknecht-Witzsch anzeigen.

Besprochenes Werk kaufen
Sie fördern den Rezensionsdienst, wenn Sie diesen Titel – in Deutschland versandkostenfrei – über den socialnet Buchversand bestellen.


Zitiervorschlag
Renate Oxenknecht-Witzsch. Rezension vom 04.09.2017 zu: Boris Paal, Daniel Pauly: Datenschutz-Grundverordnung. C.H.Beck Verlag (München) 2017. ISBN 978-3-406-69570-4. In: socialnet Rezensionen, ISSN 2190-9245, https://www.socialnet.de/rezensionen/21830.php, Datum des Zugriffs 17.12.2017.


Urheberrecht
Diese Rezension ist, wie alle anderen Inhalte bei socialnet, urheberrechtlich geschützt. Falls Sie Interesse an einer Nutzung haben, treffen Sie bitte vorher eine Vereinbarung mit uns. Gerne steht Ihnen die Redaktion der Rezensionen für weitere Fragen und Absprachen zur Verfügung.


socialnet Rezensionen durch Spenden unterstützen
Sie finden diese und andere Rezensionen für Ihre Arbeit hilfreich? Dann helfen Sie uns bitte mit einer Spende, die socialnet Rezensionen weiter auszubauen: Spenden Sie steuerlich absetzbar an unseren Partner Förderverein Fachinformation Sozialwesen e.V. mit dem Stichwort Rezensionen!

Zur Rezensionsübersicht

Hilfe & Kontakt Details
Hinweise für

Bitte lesen Sie die Hinweise, bevor Sie Kontakt zur Redaktion der Rezensionen aufnehmen.
rezensionen@socialnet.de

Newsletter bestellen

Immer über neue Rezensionen informiert.

Newsletter

Schon 13 000 Fach- und Führungskräfte informieren sich monatlich mit unserem kostenlosen Newsletter über Entwicklungen in der Sozialwirtschaft

Gehören Sie auch schon dazu?

Ansonsten jetzt für den Newsletter anmelden!