von Prof. Dr. Nikolaus Forgó, Prof. Dr. Marcus Helferich, Prof. Dr. Jochen Schneider
C.H.Beck, 2. Auflage 2017, 1331 S., ISBN 978-3-406-69541-4, 209,– €
Aller guten Dinge sind drei, heißt es. Das gilt dann hoffentlich auch für die dritte Auflage dieses Werkes, die 2019 erschienen ist. Allerdings bezieht sich diese Buchbesprechung auf die zweite Auflage, die im Jahr 2017 erschienen ist. Der Titel „Betrieblicher Datenschutz“ weckt Erwartungen, die das Werk nicht erfüllt, nämlich, dass es alle Aspekte des betrieblichen Datenschutzes abdeckt. Dazu gehören aber auch die Regelungen zum Beschäftigtendatenschutz und die zur Pflicht zur Benennung betrieblicher Datenschutzbeauftragter. Diese Erwartung kann das Werk nicht erfüllen, da es hierzu einige Monate zu früh erschienen ist. Das Vorwort zu dieser 2. Auflage datiert vom April 2017. Das Bundesdatenschutzgesetz (BDSG-neu), das am 25. Mai 2018 gleichzeitig mit dem Gültigwerden der EU-Datenschutzgrundverordnung (DSGVO) in Kraft tritt, konnte noch nicht in der vom Bundesrat und Bundestag beschlossenen Fassung berücksichtigt werden. Es wird zwar an der einen oder anderen Stelle auf den politischen Willen der deutschen Politik verwiesen, mehr aber auch nicht. Im Gegenzug werden aber an vielen Stellen noch die Regelungen des derzeitigen BDSG (BDSG-alt) umfangreich erläutert, die zum Zeitpunkt des Schreibens dieser Rezension gerade noch acht Monate gültig sein werden.
Abgesehen davon ist das Konzept dieses Werkes sehr gut gelungen, sich nicht an der DSGVO entlang zu hangeln, sondern eine Strukturierung anhand der Themen des betrieblichen Datenschutzes vorzunehmen. Nach einer Darstellung der allgemeinen Datenschutzrechtlichen Grundlagen und Strukturen im Teil I werden alle relevanten Themen des betrieblichen Datenschutzes dargestellt. Dies geht von der Datenschutzorganisation über Themen wie „Archivierung und Entsorgung“, „Datenschutz in Betrieb, Unternehmen und Konzern“, „Outsourcing und neue Technologien als Herausforderung für den Datenschutz“ und dem „Konfliktmanagement im Datenschutz“ bis hin zur den Regelungen zu Bußgeldern und Strafen.
Das Kapitel „Betrieblicher Datenschutzbeauftragter“ ist genauso wie das Kapitel „Beschäftigtendatenschutz“ leider unvollständig und für die praktische Umsetzung im betrieblichen Alltag nicht ausreichend. Ohne eine Erörterung der Regelungen aus dem BDSG-neu ist das Wissen um die Regelungen der DSGVO in diesen beiden Gebieten nur ungenügend dargestellt. Hier ist es wesentlich zu wissen, wie die Konkretisierungsklauseln, die der Europäische Gesetzgeber den Nationalstaaten hier eingeräumt hat, ausgefüllt worden sind. Im Kapitel „Datenschutz in der Telekommunikation“ werden die Regelungen des Telekommunikationsgesetzes (TKG) in Bezug zur DSGVO gesetzt und dargestellt. Aber selbst im Abschnitt „Perspektiven“ dieses Kapitels fehlt jeglicher Hinweis auf den am 10. Januar 2017 von der EU-Kommission veröffentlichten Entwurf der ePrivacy-Verordnung (ePrivVO), die die derzeit auf EU-Ebene gültige EU-ePrivacy-Richtlinie (ePrivRL) ablösen soll. Es wird nur von der Erforderlichkeit der Anpassung nationaler Regelungen an die DSGVO gesprochen. Zwar sind die Datenschutzregelungen im TKG die nationale Umsetzung vieler Regelungen der ePrivRL und damit auch nach dem Gültigwerden der DSGVO solange gültig bis die ePrivRL durch die ePrivVO abgelöst wird und die Datenschutzregelungen des TKG durch die direkt geltende ePrivVO verdrängt werden. Aber da nach der derzeitigen Planung die ePrivVO gleichzeitig mit der DSGVO gültig werden soll, wäre bei diesem Werk, dessen Vorwort im April 2017 geschrieben worden ist, zumindest eine ausführliche Erwähnung des ePrivVO-Entwurfs nicht nur erwartbar sondern auch zwingend erforderlich gewesen. Auch wird zwar im Kapitel „Adresshandel“ richtig festgestellt, dass die Anforderungen des § 7 Abs. 3 des Gesetzes gegen den unlauteren Wettbewerb (UWG) weiterhin zu beachten sind (vgl. Teil 10, Kapitel 1, Rn 82), da diese von der DSGVO nicht berührt werden. Eine Herleitung dieser Aussage wird nicht angegeben. Es fehlt jeglicher Hinweis darauf, dass der § 7 UWG auch der Umsetzung von Art. 13 der ePrivRL in Deutschland dient und von daher auch eine datenschutzrechtliche Regelung ist, die nicht von der DSGVO verdrängt wird.
Die Inhalte dieses Werkes lassen sich durch ein ausführliches Inhaltsverzeichnis und ein sehr umfangreiches Stichwortverzeichnis gut erschließen.
Fazit: Interessierte Leserinnen und Leser sollten – gerade bei dem nicht unerheblichen Preis für dieses Werk – besser auf die dritte Auflage warten, in der dann hoffentlich das BDSG-neu ausführlich erörtert ist und die ePrivVO – sofern sie beim Erscheinen der dritten Auflage noch nicht verabschiedet sein sollte – zumindest in angemessener Weise erwähnt wird. Die derzeit vorliegende Ausgabe wird leider am 25. Mai 2018 bereits in einigen Teilen veraltet sein und wesentliche Informationen, die für die Umsetzung des betrieblichen Datenschutzes bereits jetzt im Hinblick auf den 25. Mai 2018 benötigt werden, fehlen leider noch. Von daher kann die dritte Auflage mit Spannung erwartet werden, da in dieser diese Mängel beseitigt sein sollten.
(Erstabdruck dieser Buchbesprechung in der DANA 3/2017, S. 183, Erstveröffentlichung im Internet auf https://dsgvo.epxert)