Datenschutz-Grundverordnung, Bundesdatenschutzgesetz (Kommentar)

Wie heikel das Thema Datenschutz ist, mussten etliche Unternehmen leidhaft erfahren, die wegen­ Datenschutzskandalen schon am Pranger standen. Öffentlichkeit, Medien und Datenschutz­behörden sind sensibilisiert, die Verfolgung hat zugenommen und der Sanktionsreigen unter Geltung der DSGVO ist eröffnet: 14,5 Mio. Euro für Deutsche Wohnen wegen Aufbewahrung von Altmieterdaten, 9,5 Mio. Euro für 1&1 wegen ungenügender Authentifizierungsverfahren, 35,3 Mio. für H&M wegen unerlaubter Mitarbeiterüberwachung sowie 5.000 Euro immaterieller Schadensersatz wegen Verstoß gegen Art. 15 DSGVO (ArbG Düsseldorf, Urt. v. 5.3.2020 – 9 Ca 6557/18) – http://www.enforcementtracker.com/.

Das Thema Datenschutz betrifft in Zeiten von Arbeit/Industrie 4.0 sowie Digitalisierung nahezu sämtliche Bereiche des unternehmerischen Geschäftsverkehrs: b2b, b2c, Beschäftigtendatenschutz (Art. 88 DSGVO, § 26 BDSG 2018), Auftragsverarbeitung etc. Nicht selten hängt die Zulässigkeit von Geschäftsmodellen/-prozessen davon ab, ob diese datenschutzkonform ausgestaltet werden können – Datenschutz kann ein „Dealbreaker“ oder „Showstopper“ werden. Unter dem Stichwort „Compliance“ ist das Datenschutzrecht zu einem Faktor von größter Bedeutung für die Unternehmenspraxis avanciert.

So wichtig das Thema einerseits geworden ist, so unübersichtlich ist andererseits die Rechtslage: Die komplizierte und interpretationsbedürftige europäische DSGVO sowie das BDSG 2018 mit ihren vielfach ungeklärten Rechtsfragen und unbestimmten Rechtsbegriffen stellt die Unternehmen, deren Berater, Behörden und Gerichte vor immense Herausforderungen. Rechtsprechung war eher selten und sorgt häufig auch für weitreichende Überraschungen wie z.  B. zum Datentransfer ins Ausland bzw. Unwirksamkeit von Safe Harbor (EuGH, Urt. v. 6.10.2015 – C-362/14 „Schrems I“) und Privacy Shield (EuGH, Urt. v. 16.7.2020 – C-311/18 „Schrems II“, Art. 45 DSGVO,­ Rdnr. 1, 42) oder dass dynamische IP-Adressen personenbezogene Daten sind (EuGH, Urt. v. 19.10.2016 – C-582/14 „Patrick Breyer“, Art. 4 Nr. 1 DSGVO, Rdnr. 35).

Seit dem 25.5.2018 gilt die DSGVO unmittelbar und mit Anwendungsvorrang vor mitgliedstaatlichem Recht in allen EU-Mitgliedsstaaten (Art. 99 Abs. 2 DSGVO, Art. 288 Abs. 2 AEUV) und hat ein neues Zeitalter im Datenschutz eingeläutet. In der Praxis führt dies zu der Notwendigkeit, die Geschäftsmodelle und internen Prozesse so auszugestalten, dass sie einerseits den aktuellen Anforderungen entsprechen, aber auch nach dem Inkrafttreten der DSGVO noch durchführbar bleiben. Der aktuelle Großkommentar erläutert alle sich stellenden Fragen und wirkt damit meinungsbildend. Die einzelnen Kommentierungen werten den wissenschaftlichen Diskurs umfassend aus und liefern aus der Analyse die gewichtigen, dogmatisch hergeleiteten Argumente zur Umsetzung in der Praxis oder – Worst Case – Verteidigung.

Für Personaler sind insbesondere die Art. 88 DSGVO­ und § 26 BDSG wichtig, die Maschmann kompetent kommentiert. Alle aktuell heißen Eisen werden angepackt: Datenschutzfragen im Bewerbungsverfahren (§ 26 BDSG, Rdnr. 27 ff.), z. B. Fragerechte (Rdnr. 29) und Googeln von Bewerbern (Rdnr. 36), Personalaktenrecht (§ 26 BDSG, Rdnr. 39), Auskunftsansprüche nach Art. 15 DSGVO und deren Grenze (§ 26 BDSG, Rdnr. 40a), Datentransfer im Konzern (§ 26 BDSG, Rdnr. 48) und ins Ausland, Überwachung von E-Mail sowie Internet, Telefon- (§ 26 BDSG, Rdnr. 47) und Videoüberwachung (§ 26 BDSG, Rdnr. 45), Mitarbeiterortungssysteme (§ 26 BDSG, Rdnr. 52), biometrische Daten (§ 26 BDSG, Rdnr. 43 a), Einblickrechte in Entgeltlisten (§ 26 BDSG, Rdnr. 54), Datenaufbewahrung ausgeschiedener Beschäftigter (§ 26 BDSG, Rdnr. 56), Profiling, Beweisverwertungsverbote sowie Compliance und interne Untersuchungen (§ 26 BDSG, Rdnr. 58). Die Kommentierung ist auf aktuellem Stand und enthält z. B. Ausführungen zu versteckter Videoüberwachung (§ 26 BDSG, Rdnr. 45a). Der Kommentar bezieht auch klar Position, wo sich das BAG (noch) bedeckt hält: Der Betriebsrat ist Teil des Verantwortlichen und nicht Dritter oder eigener Verantwortlicher (Art. 4 Nr. 7 DSGVO, Rdnr. 11a).

Die Kommentierung ist einheitlich gegliedert: Gesetzestext, Literaturhinweise, Gliederungsübersicht sowie Erläuterung. Das übersichtliche Layout, verwirklicht durch Absätze, Fettdruck der Schlüsselworte, Randziffern und spärliche Verwendung von Abkürzungen, erleichtert die Arbeit. Urteile werden in Fußnoten zitiert mit Datum, Aktenzeichen und Fundstelle. Das Werk schließt mit einem 26-seitigen Stichwortverzeichnis.

Fazit: Wer sich in Unternehmen, insbesondere als Datenschutzbeauftragter, Personaler (Art. 88 DSGVO, § 26 BDSG), Compliance-Beauftragter oder als deren Berater mit Datenschutzfragen praktisch auseinanderzusetzen hat und sich für den Umgang mit der DSGVO „fit“ machen will, respektive muss, dem bietet der „Kühling/Buchner“ und insbesondere Maschmanns Kommentierung des Beschäftigtendatenschutzes Orientierung, Verständnis und hilfreiche Antworten. Die Anschaffung und Arbeit damit ermöglicht ein (rechts-)sicheres Bewegen auf häufig unbekanntem, unsicherem Terrain – dem datenschutzrechtlichen Minenfeld – und bewahrt vor Sanktionen und Schäden, die drastisch angestiegen sind. Darüber hinaus wird der anerkannte, zitierfähige Kommentar wesentlich zur weiteren Meinungsbildung im neuen Datenschutzrecht beitragen.

Volker Stück, Rechtsanwalt, Lead Expert Arbeitsrecht & Mitbestimmung, BWI GmbH, Bonn