Wie heikel das Thema Datenschutz ist, mussten etliche Unternehmen leidvoll erfahren, die wegen Datenschutzskandalen am Pranger standen, u.a. Deutsche Bahn (Datenscreening), Lidl, Schlecker, Aldi und Apple (Videoüberwachung), Telekom (Abhören) oder Daimler (Drogentests). Öffentlichkeit, Medien und Datenschutzbeauftragte sind sensibilisiert, die Verfolgung hat zugenommen und die Bußgelder steigen ständig. Nachlässigkeiten oder gar bewusste Rechtsverstöße haben nachhaltige Imageschäden, Bußgelder (Lidl: 1,5 Mio. Euro für heimliche Videoüberwachung 2008) und Schadensersatzansprüche (vgl. LAG Hessen, Urt. v. 25.10.2010 – 7 Sa 1586/09, AuA 11/11, S. 681) zur Folge. Das Thema Datenschutz betrifft in Zeiten von Arbeit/Industrie 4.0 sowie Digitalisierung nahezu sämtliche Bereiche des unternehmerischen Geschäftsverkehrs: B2B, B2C, Beschäftigtendatenschutz, Auftragsverarbeitung etc. Nicht selten hängt die Zulässigkeit von Geschäftsmodellen und –prozessen davon ab, ob bzw. wie diese datenschutzkonform ausgestaltet werden können – Datenschutz kann ein „deal-breaker“ oder „show-stopper“ werden. Unter dem Stichwort „Compliance“ ist das Datenschutzrecht zu einem Faktor von größter Bedeutung für die Unternehmenspraxis avanciert.
So wichtig das Thema einerseits geworden ist, so unübersichtlich ist andererseits die Rechtslage: Das komplizierte und interpretationsbedürftige Gesetz bzw. die europäischen Vorgaben mit ihren vielfach ungeklärten Rechtsfragen und unbestimmten Rechtsbegriffen stellen die Wirtschaftsunternehmen, deren Berater, Behörden und Gerichte vor immense Herausforderungen.
Rechtsprechung ist eher selten und sorgt häufig auch für weitreichende Überraschungen, z.B. zum Datentransfer ins Ausland bzw. zur Unwirksamkeit von Safe Harbor (EuGH, Urt. v. 6.10.2015 – C-362/14, „Schrems“, AuA 4/16, S. 246, § 26 BDSG Rdnr. 3b) oder dass dynamische IP-Adressen personenbezogene Daten sind (EuGH, Urt. v. 19.10.2016 – C-582/14, „Patrick Breyer“, AuA 2/18, S. 116, § 12 TMG Rdnr. 10 ff.). Und wer hatte „auf dem Schirm“, dass auch die Versendung von E-Mail-Adressen in einem offenen Verteiler einen datenschutzrechtlich bußgeldbewehrten Verstoß darstellen kann (PM BayLDA v. 28.6.2013)? Aktuell bewegen u.a. Tür(klingel)schilder sowie der Austausch von Visitenkarten die datenschutzrechtlichen Gemüter.
Seit dem 25.5.2018 gilt die DSGVO unmittelbar in allen EU-Mitgliedstaaten (Art. 99 Abs. 2 DSGVO). In der Praxis führt dies zu der Notwendigkeit, die Geschäftsmodelle so auszugestalten, dass sie einerseits den aktuellen Anforderungen entsprechen, aber auch nach dem Inkrafttreten der DSGVO noch durchführbar bleiben. Die 3. Auflage des Kommentars widmet sich dieser Herausforderung. Als erstes Werk im Markt hat „der Plath“ die Doppelkommentierung ab der 2. Auflaqe 2016 eingeführt: Er enthält nebeneiner Aktualisierung der Kommentierungen zum BDSG n. F. 2018, zu TMG (§§ 11–15a) und TKG (§§ 88–115) eine Kommentierung der gesamten DSGVO, die entsprechend dem Anwendungsvorrang des europäischen Rechts nun im Vordergrund steht. Die Kommentierungen greifen durch Bezugnahmen und interne Verweise ineinander. Dabei stehen Klärung und praktikable Lösungen aktueller Rechtsfragen des Datenschutzes im Vordergrund.
Die insgesamt 13 Autoren sind überwiegend anwaltlich mit dem Thema IT- und Datenschutzrecht befasst. Alle aktuell heißen Eisen werden angepackt: Social Media und Online-Geschäftsmodelle, RFID-Technologie, IP-Adressen, Datentransfer im Konzern und ins Ausland, Überwachung von E-Mail sowie Internet, Telefon- und Videoüberwachung, Mitarbeiterortungssysteme, biometrische Daten, Massenscreenings, Datenschutzfragen im Bewerbungsverfahren, Beweisverwertungsverbote sowie Compliance und interne Untersuchungen. Der Kommentar ist auf aktuellem Stand und enthält z.B. die neueren Entscheidungen des BAG zu BDSG bzw. Verwertungsverboten bei versteckter Videoüberwachung (§ 26 BDSG Rdnr. 127 f.), Detektiveinsatz (§ 26 BDSG Rdnr. 134a) oder Keylogger (§ 26 BDSG Rdnr. 134b). Auch die Facebook-Fanpage-Entscheidung des EuGH (Urt. v. 5.6.2018 – C 210/16) ist berücksichtigt (Art. 26 DSGVO Rdnrn. 7, 13).
Die Kommentierung ist einheitlich gegliedert: Gesetzestext, Gliederungsübersicht, Literaturhinweise, Erläuterung. Das übersichtliche Layout, verwirklicht durch Absätze, Fettdruck der Schlüsselworte und spärliche Verwendung von Abkürzungen, erleichtert die Arbeit. Urteile werden in Fußnoten mit Datum, Aktenzeichen und Fundstelle zitiert, so dass sie gut recherchiert werden können und der Lesefluss im Text nicht gestört wird. Das Werk schließt mit einem umfassenden Stichwortverzeichnis.
Fazit: Wer sich in Unternehmen, insbesondere als Datenschutzbeauftragter, Personaler (§ 26 BDSG n. F. = § 32 BDSG a. F.), Compliance-Beauftragter oder als deren Berater mit Datenschutzfragen praktisch auseinander zu setzen hat und sich für die DSGVO „fit“ machen will – respektive muss –, dem bietet der „Plath“ Orientierung, Verständnis, Antworten und Empfehlungen. Die Anschaffung und Arbeit damit ermöglicht ein (rechts)sicheres Bewegen auf häufig unsicherem Terrain – dem datenschutzrechtlichen Minenfeld – und bewahrt vor Sanktionen und Schäden, die seit dem 25.5.2018 noch drastisch anzusteigen drohen. Darüber hinaus wird der etablierte, zitierfähige und meinungsfreudige Kommentar wesentlich zur weiteren Entwicklung im neuen Datenschutzrecht beitragen.
Mit freundlicher Genehmigung der HUSS-MEDIEN GMBH aus AuA 12/2018, S. 735.
