Dienstag, 17. April 2018

Rezension: Formularhandbuch Datenschutzrecht

Koreng / Lachenmann, Formularhandbuch Datenschutzrecht, 2. Auflage, C.H. Beck 2018

Von Carina Wollenweber-Starke, Wirtschaftsjuristin, LL.M., Bad Berleburg


Das vorliegende Werk „Formularhandbuch Datenschutzrecht“ von den Herausgebern Dr. Ansgar Koreng und Dr. Matthias Lachenmann erscheint in der 2. Auflage und umfasst 1.042 Seiten. Aufgrund der Datenschutzgrundverordnung (DSGVO), welche ab 25.05.2018 EU-weit umzusetzen ist, und des neuen Bundesdatenschutzgesetzes (BDSG) ist diese Neuauflage angebracht und sehr zu begrüßen. Insgesamt gliedert sich das Werk in 10 Kapitel (A – J).

Kapitel A befasst sich mit der Organisationsstruktur Datenschutz. Besonders hervorzuheben ist die Rechenschaftspflicht des Unternehmens und das Whistleblower-System. Es werden bspw. unterschiedliche Strategien im Umgang mit dem Datenschutz vorgestellt (S. 21 ff.).

Die Überschrift von Kapitel B lautet „Der Datenschutzbeauftragte“. Dementsprechend sind Formulare vorhanden, die sich u.a. mit der Benennung, aber auch mit der Abberufung des Datenschutzbeauftragten befassen. Darüber hinaus existieren Muster für Verträge, welche mit einem externen Datenschutzbeauftragten geschlossen werden müssen. Besonders hervorzuheben sind „Typische auf den Datenschutzbeauftragten des Vertragspartners bezogene Klauseln anderer Verträge“. An dieser Stelle werden die typischen Klauseln benannt und besprochen.

Kapitel C beschäftigt sich mit den Dokumentationspflichten im Unternehmen. Dazu zählen u.a das Verzeichnis von Verarbeitungstätigkeiten, die Datenschutz-Folgenabschätzung und das Datenschutzaudit.

„Richtlinien des Unternehmens“ lautet die Überschrift von Kapitel D. Besonders relevant sind hier die Richtlinien zur Nutzung durch Beschäftigte, welche sich u.a. mit den Themen Internet/E-Mail, Home Office und „Bring Your Own Device“ (BYOD) befassen.

Kapitel E beschäftigt sich mit der technischen und organisatorischen Datensicherheit. Der Schwerpunkt liegt auf den technischen und organisatorischen Maßnahmen. Aber z.B. auch die Rollenverteilung und die Berechtigungskonzepte werden thematisiert.

In Kapitel F geht es um die Rechte der betroffenen Person. Hervorzuheben ist an dieser Stelle die Informationspflicht bei der Erhebung der Daten (z.B. bei Websites, mobilen Apps, Newsletter, Web Analytics, Social Media und Werbung). Aber auch auf die anderen Rechte (z.B. Auskunftsrecht, Recht auf Berichtigung und Löschung) wird eingegangen.

Die Zusammenarbeit mit anderen Unternehmen steht im Mittelpunkt von Kapitel G. Der Schwerpunkt liegt auf der Auftrags(daten)verarbeitung. Aber auch sowohl die gemeinsam für die Verarbeitung Verantwortlichen als auch der Datentransfer in Drittstaaten wird von den Autoren behandelt.

Kapitel H widmet sich dem Beschäftigtendatenschutz. Besonders wichtig ist die Einwilligung des Beschäftigten. Bspw. werden auch die Themen betriebliches Eingliederungsmanagement und die Videoüberwachung auf dem Firmengelände angesprochen.

„Kundendatenschutz“ lautet die Überschrift von Kapitel I. Thematisiert werden u.a. die Einwilligung in den Werbeversand und Newsletter, aber auch die Bonitätsprüfung.

Kapitel J setzt sich mit dem behördlichen und verwaltungsgerichtlichen Verfahren auseinander. Es geht u.a. um die Klage gegen eine Anordnung der Aufsichtsbehörde.

Wie sich bereits auch dem Titel „Formularhandbuch“ ergibt, werden Formulare für die unterschiedlichsten Situationen vorgestellt, die der Leser ggf. mit nur wenigen Anpassungen nutzen kann. Häufig beginnt ein Abschnitt zunächst mit Erläuterungen zur Thematik. Im Anschluss folgen die Formulare, welche letztendlich mit Anmerkungen der Bearbeiter versehen werden. Diese Anmerkungen liefern dringend benötigtes Hintergrundwissen, sodass der Leser verstehen kann, warum er welche Klausel in den Vertrag aufnehmen oder warum er eine entsprechende Vorgehensweise wählen sollte.

Das Wichtigste an dieser Art Werk ist immer die Praxistauglichkeit. Dies wird u.a. durch die vielen Praxistipps erreicht (z.B. S. 400: Link zu einem Löschkonzept). Besonders hervorzuheben ist die Möglichkeit, Zugang zu der Online-Version zu erhalten, sodass die Formulare nicht abgetippt werden müssen. Effizienz lässt sich auch dadurch gewinnen, dass schon früh Schnittmengen zu anderen Bereichen erkannt werden, um Synergien auszunutzen und Ineffizienz zu vermeiden (z.B. S. 417 ff.: Ermittlung von Schnittmengen).

Bei den einzelnen Formularen kann es sich z.B. um Muster für Verträge handeln, aber auch um einseitige Dokumente. Darüber hinaus sind ebenfalls Checklisten (u.a. mit ja/nein; z.B. S. 141 ff.: Datenschutzaudit), Tabellen (z.B. S. 2 ff. zur Umsetzung der datenschutzrechtlichen Vorgaben) und Übersichten mit unterschiedlichen Vorgängen (ja/nein) (z.B. S. 166 zur Datenschutzfolgenabschätzung) vorhanden. Mit deren Hilfe kann sich der Leser u.a. einen guten Überblick über den derzeitigen Stand des Datenschutzes machen. Matrizen helfen bei der Evaluierung des Risikos (z.B. S. 208: Risikomatrix zur IT-Sicherheit). Besonders hervorzuheben und für die Praxis essentiell ist das Formular zur Prüfung der technischen und organisatorischen Maßnahmen (S. 460 ff.), welches sich auf über 19 Seiten erstreckt.

Des Weiteren werden gelegentlich Abwandlungen berücksichtigt (z.B. S. 112: Aufwendungen des Dienstleisters; S. 323 ff.: Richtlinien zur Nutzung von Internet und E-Mail, nach welchen die Privatnutzung in einem Fall erlaubt, in dem anderen Fall verboten ist). Hervorzuheben ist, dass auch Vorschläge zu einer Gestaltung existieren, obwohl von der Nutzung explizit abgeraten wird (erneut z.B. S. 333 ff.: Privatnutzung des E-Mail-Zugangs).

An dieser Stelle ist die Informationspflicht bei Erhebung der Daten bei Web-Tracking besonders zu betonen. Die Datenschutzerklärung existiert in 6 Varianten abhängig von dem gewählten Programm. Zur Auswahl stehen u.a. Google Analytics, Piwik und eTracker. Da sehr viele Websites dies nutzen werden, ist die Praxisrelevanz enorm. Ähnliches kann auch zu Social Plug-Ins (z.B. Facebook, Xing, Twitter), Einbindungen (z.B. bei YouTube, Google Maps) und Online-Werbung (z.B. Google AdSense, Google Adwords) gesagt werden.

Das Werk enthält sowohl ein umfangreiches Sachverzeichnis als auch ein Inhalts-, Bearbeiter- und Abkürzungsverzeichnis. Auch ein Literaturverzeichnis ist vorhanden. Nach eigenen Angaben ist der Stand des Werkes August 2017. Randnummern sind nicht vorhanden. Dafür existieren Verweise auf Kapitel, Unterkapitel usw. Die Quellen befinden sich nicht in den Fußnoten, sondern unmittelbar hinter der entsprechenden Angabe im Fließtext. Besonders wichtige Wörter werden durch Fettdruck hervorgehoben. Der jeweilige Autor befindet sich in der Fußzeile. In der Kopfzeile steht auf der linken Seite das Kapitel und auf der rechten Seite das Unterkapitel, sodass sich der Leser schnell zurecht findet. Das Werk hat einen Hardcover-Einband und zusätzlich einen Schutzumschlag. Die Seiten weisen eine angenehme Stärke auf, sodass bei Bedarf auch markiert werden kann.

Fazit: DSGVO und BDSG bringen einige Neuerungen mit sich. Daher ist es für den Rechtsanwender unumgänglich, sich auf verlässliche Muster-Dokumente und Anmerkungen verlassen zu können. Im Rahmen des derzeit Möglichen werden es die Autoren schaffen, dem Leser mehr Sicherheit im Umgang mit dem Datenschutzrecht zu geben. Insbesondere die Checklisten stellen sicher, dass der Leser die wesentlichen Punkte berücksichtigt. Insgesamt stellt das Werk eine willkommene Ergänzung zu Kommentaren und Lehrbüchern dar und kann dem Leser u.a. aufgrund der enormen Praxistauglichkeit empfohlen werden.