DS-GVO/BDSG

Das Thema Datenschutz ist heikel, was etliche Unternehmen bereits erfahren mussten, die wegen Datenschutzskandalen schon am Pranger standen. Öffentlichkeit, Medien und Datenschutzbehörden sind sensibilisiert, die Verfolgung hat zugenommen und der Sanktionsreigen unter Geltung der DSGVO ist eröffnet: 14,5 Mio. Euro für Deutsche Wohnen wegen der Aufbewahrung von Altmieterdaten, 9,5 Mio. Euro für 1&1 wegen ungenügender Authentifizierungsverfahren, 35,3 Mio. Euro für H&M wegen unerlaubter Mitarbeiterüberwachung sowie 10.000 Euro immaterieller Schadensersatz wegen des Verstoßes gegen die Auskunftspflicht nach Art. 15 DSGVO (ArbG Oldenburg, Urt. v. 9.2.2023 – 3Ca150/21; ArbG Duisburg, Urt. v. 23.3.2023 – 3Ca44/23) – siehe GDPR Enforcement Tracker: https://www.enforcementtracker.com. Nach bzw. neben den AG-Hoppern kommen jetzt noch die DSGVO-Hopper (vgl. Stück, AuA 2/22, S. 16ff.).

Das Thema Datenschutz betrifft in Zeiten von Arbeit/Industrie 4.0 sowie Digitalisierung nahezu sämtliche Bereiche des unternehmerischen Geschäftsverkehrs: B2B, B2C, Beschäftigtendatenschutz (Art. 88 DSGVO; § 26 BDSG), Auftragsverarbeitung (Art. 28 DSGVO) etc. Nicht selten hängt die Zulässigkeit von Geschäftsmodellen/-prozessen davon ab, ob diese datenschutzkonform ausgestaltet werden können – Datenschutz kann ein „deal-breaker“ oder „show-stopper“ werden. Unter dem Stichwort „Compliance“ ist das Datenschutzrecht zu einem Faktor von großer Bedeutung für die Unternehmenspraxis avanciert, auch wenn nach dem BAG Datenschutz kein Tatenschutz ist (offene Videoüberwachung überführt Arbeitszeitbetrüger) und Betriebsvereinbarungen kein konstitutives Beweisverwertungsverbot begründen (BAG, Urt. v. 29.6.2023 – 2 AZR 298/22).

So wichtig das Thema einerseits geworden ist, so unübersichtlich ist andererseits die Rechtslage: Die komplizierte und interpretationsbedürftige europäische DSGVO sowie das BDSG mit ihren vielfach ungeklärten Rechtsfragen und unbestimmten Rechtsbegriffen stellt die Unternehmen, deren Berater, Behörden und Gerichte vor immense Herausforderungen. Die Rechtsprechung sorgt häufig auch für Überraschungen wie z. B. zum Datentransfer ins Ausland bzw. der Unwirksamkeit von Safe Harbor (EuGH, Urt. v. 6.10.2015 – C-362/14 „Schrems I“) und Privacy Shield (EuGH, Urt. v. 16.7.2020 – C-311/18 „Schrems II“), dass dynamische IP-Adressen personenbezogene Daten sind (EuGH, Urt. v. 19.10.2016 – C-582/14 „Patrick Breyer“) oder § 26 Abs. 1 Satz 1 BDSG keine taugliche Erlaubnisgrundlage (EuGH, Urt. v. 30.3.2023 – C-34/21).

Seit dem 25.5.2018 gilt die DSGVO unmittelbar und mit Anwendungsvorrang vor mitgliedstaatlichem Recht in allen EU-Mitgliedstaaten (Art. 99 Abs. 2 DSGVO; Art. 288 Abs. 2 AEUV) und hat ein neues Zeitalter im Datenschutz eingeläutet. In der Praxis führt dies zu der Notwendigkeit, die Geschäftsmodelle und internen Prozesse so auszugestalten, dass sie einerseits den aktuellen Anforderungen entsprechen, aber auch nach dem Inkrafttreten der DSGVO noch durchführbar bleiben. Der aktuelle Großkommentar erläutert alle sich stellenden Fragen und wirkt damit meinungsbildend. Die einzelnen Kommentierungen werten den wissenschaftlichen Diskurs umfassend aus und liefern aus der Analyse die gewichtigen, dogmatisch hergeleiteten Argumente zur Umsetzung in der Praxis oder – Worst Case – Verteidigung. Darüber hinaus werden die einschlägigen Normen des TTDSG, soweit für DSGVO und BDSG relevant, bei den jeweiligen Kommentierungen in Bezug genommen und erörtert, z. B. bei erlaubter Privatnutzung der ITK (Maschmann,§ 26 BDSG Rz. 50).

Für Personaler sind insbesondere die Art. 88 DSGVO und § 26 BDSG wichtig, die Maschmann kompetent kommentiert. Alle aktuell heißen Eisen werden angepackt: Datenschutzfragen im Bewerbungsverfahren (§ 26 BDSG Rz. 27ff.), z. B. Fragerechte (Rz. 29) und Googeln von Bewerbern (Rz. 36), Personalaktenrecht (§ 26 BDSG Rz. 39), Auskunftsansprüche nach Art. 15 DSGVO und deren Grenze (§ 26 BDSG Rz. 40a, b), Datentransfer im Konzern (§ 26 BDSG Rz. 73; Art. 88 DSGVO Rz. 52f.) und ins Ausland (Art. 44f. DSGVO), Überwachung von E-Mail sowie Internet, Telefon- (§ 26 BDSG Rz. 47ff.) und Videoüberwachung (§ 26 BDSG Rz. 45ff.), Mitarbeiterortungssysteme (§ 26 BDSG Rz. 52ff.), biometrische Daten (§ 26 BDSG Rz. 43b), Einblickrechte in Entgeltlisten (§ 26 BDSG Rz. 54), Datenaufbewahrung ausgeschiedener Beschäftigter (§ 26 BDSG Rz. 56), Beweisverwertungsverbote sowie Compliance und interne Untersuchungen (§ 26 BDSG Rz. 58). Die Kommentierung ist auf aktuellem Stand und enthält z. B. Ausführungen zu versteckter Videoüberwachung (§ 26 BDSG Rz. 46) und der Rolle des Betriebsrats nach Reform vom 18.6.2021 (§ 26 BDSG Rz. 16f.; Art 4 Nr. 7 BetrVG Rz. 11).

Die Kommentierung ist einheitlich gegliedert: Gesetzestext, Literaturhinweise, Gliederungsübersicht sowie Erläuterung. Das übersichtliche Layout, verwirklicht durch Absätze, Fettdruck der Schlüsselworte, Randziffern und spärliche Verwendung von Abkürzungen, erleichtert die Arbeit. Urteile werden in Fußnoten zitiert mit Datum, Aktenzeichen und Fundstelle. Das Werk schließt mit einem Stichwortverzeichnis.

Fazit: Wer sich in Unternehmen, insbesondere als Datenschutzbeauftragter, Personaler (Art. 88 DSGVO; § 26 BDSG), ITler oder Arbeitsrechtler, Compliance-Beauftragter oder als deren Berater mit Datenschutzfragen praktisch auseinanderzusetzen hat, dem bietet der „Kühling/Buchner“ und insbesondere Maschmanns Kommentierung des Beschäftigtendatenschutzes Orientierung, Verständnis und hilfreiche Antworten. Die Anschaffung und Arbeit damit ermöglicht ein (rechts-)sicheres Bewegen auf häufig unbekanntem, unsicherem Terrain – dem datenschutzrechtlichen Minenfeld – und bewahrt vor Sanktionen und Schäden, die drastisch angestiegen sind. Darüber hinaus wird der anerkannte, zitierfähige Kommentar wesentlich zur weiteren Meinungsbildung im Datenschutzrecht beitragen.