Herausgeber danken allen Autorinnen und Autoren herzlich für den engagierten und disziplinierten Einsatz bei der Erstellung der Neuauflage und dem C.F. Müller Verlag für das Lektorat. Besonderer Dank gilt Frau Lucia Burkhardt sowie die Herren Robin Mühlenbeck und David Merten von der Kölner Forschungsstelle für Medienrecht für die umsichtige und sorgfältige Unterstützung bei der Umsetzung der komplexen redaktionellen Details der kombinierten Kommentierung von DS-GVO und BDSG.
Köln, Bonn und Mainz im Juli 2020
Rolf Schwartmann Andreas Jaspers Gregor Thüsing Dieter Kugelmann
Vorwort zur 1. Auflage
Vorwort zur 1. Auflage
Die EU-Datenschutz-Grundverordnung (DS-GVO) schafft mit Wirkung zum 25.5.2018 ein in weiten Teilen einheitliches und in allen Mitgliedstaaten der Europäischen Union unmittelbar anwendbares Datenschutzrecht. Es enthält substantielle Änderungen, namentlich etwa mit Blick auf umfangreiche Betroffenenrechte, eine völlige Neuausrichtung der Datenschutzaufsicht und die deutlich erweiterte Möglichkeit, hohe Bußgelder von bis zu 4 Prozent des Vorjahresumsatzes der Unternehmen zu verhängen. Neben den harmonisierten Regelungen werden bestimmte Bereiche, wie zum Beispiel der Beschäftigtendatenschutz, die Zulässigkeit der Datenverarbeitung der öffentlichen Stellen und eine Reihe weiterer Bereiche in unterschiedlichem Ausmaß den Gesetzgebern der Mitgliedstaaten zur Regelung überlassen.
Mit diesem Werk legen wir eine Kommentierung sowohl des europäischen als auch des deutschen bundesrechtlichen Datenschutzrechts im BDSG von 2017 vor, sofern es die Datenschutz-Grundverordnung betrifft. Die Einschränkung bezieht sich auf die Teile 3 und 4 des BDSG (2017), die keine Relevanz für private Stellen besitzen, weil sie Datenverarbeitungen zwischen Behörden betreffen. Der Teil 3 des BDSG betrifft nicht die DS-GVO, sondern setzt die Richtlinie (EU) 2016/680 zum Datenschutz für Justiz und Polizeibehörden um. Die Kommentierung der im Kontext der DS-GVO nicht einschlägigen Normen nur im Sinne der Vollständigkeit erschien uns als nicht notwendig.
Der Fokus dieses Heidelberger Kommentars liegt ganz in der Tradition dieser Reihe auf den Anforderungen der unternehmerischen und behördlichen Praxis.
Das Werk enthält dem Grunde nach gleichrangige Kommentierungen von DS-GVO und BDSG, wobei die Ausführungen zum BDSG in diejenigen zur DS-GVO integriert sind. Auf diese Weise kann den der DS-GVO nur „zugeordneten“ und die Lücken der DS-GVO füllenden Normen im nationalen Recht systematisch und im Wege der Darstellung Rechnung getragen werden.
Weil der Anwendungsbereich des BDSG im Rahmen der Öffnungsklauseln im Verhältnis zur DS-GVO zumindest grundsätzlich gering ist, nimmt die Kommentierung der Grundverordnung naturgemäß den weitaus größeren Teil ein. Wo es uns angebracht erschien, insbesondere beim europarechtlich nicht geregelten Beschäftigtendatenschutz, aber auch in wichtigen Praxisbereichen wie der Videoüberwachung sind das BDSG und sein Verhältnis zur DS-GVO eingehend kommentiert. An anderen Stellen war es ausreichend, die Normen des BDSG, immer unter Berücksichtigung ihrer Bedeutung, weniger eingehend zu bearbeiten.
Die Kommentierungen folgen grundsätzlich jeweils demselben Aufbau. Nach einer normspezifischen Literaturübersicht erfolgt zunächst jeweils eine Einordnung der Normen mit Blick auf ihre Hintergründe und die zugehörigen Erwägungsgründe. An die eigentliche Kommentierung der Vorschriften schließen sich, soweit geboten, Praxishinweise an. Hier wird zwischen der Relevanz für öffentliche Stellen, für nichtöffentliche Stellen sowie für betroffene Personen und Aufsichtsbehörden differenziert.
Auf diese Weise können die Interessen unterschiedlicher Herkunft unmittelbar und gezielt adressiert werden.
Wo die Normen der DS-GVO – insbesondere in deren Art. 6 – in ihren Untergliederungen unterschiedliche Bereiche regeln und zudem durch Vorschriften des BDSG ergänzt werden, sind hier einzelne Absätze innerhalb der Vorschrift unterschiedlichen Bearbeitern zugewiesen.
Die Mitwirkenden am Kommentar sind im Wesentlichen Praktiker, insbesondere im Datenschutz spezialisierte Rechtsanwälte und Vertreter der Datenschutzaufsicht sowie praxisorientierte Wissenschaftler. Eine Besonderheit des Kommentars liegt darin, dass er sowohl mit Blick auf die Herausgeberschaft als auch bei der Auswahl der Autorinnen und Autoren die beiden Pole der Wirtschaft und Aufsicht miteinander vereint. Wir haben die Verantwortlichkeiten der Herausgeber im Wesentlichen so zugewiesen, dass Rolf Schwartmann die Kapitel zur Zulässigkeit der Datenverarbeitung, den Betroffenenrechten, den Beschränkungen sowie die Vorschriften zu Verhaltensregeln und Zertifizierungen und zu den Rechtsbehelfen und Sanktionen betreut. Andreas Jaspers hat sich der Vorschriften zum organisatorischen Datenschutz sowie zum Verantwortlichen und zur Auftragsverarbeitung sowie zum Datenschutzbeauftragten angenommen. Die Vorschriften des Beschäftigtendatenschutzes und des kirchlichen Datenschutzes unterstehen der Herausgeberschaft von Gregor Thüsing. Die Normen über die Aufsicht wurden unter der Verantwortung von Dieter Kugelmann kommentiert.
Der Zeitpunkt des Erscheinens der Kommentierung ist mit Bedacht gewählt. Er fällt im Wesentlichen mit der Anwendbarkeit der bereits seit 25.5.2016 geltenden DS-GVO am 25.5.2018 zusammen. Alle an der Kommentierung Beteiligten waren in den zurückliegenden beiden Jahren – sei es in der unternehmerischen und anwaltlichen Praxis oder in der Aufsicht – intensiv mit der Vorbereitung der Umstellung des Datenschutzrechts nach DS-GVO und seit Sommer 2017 auch nach dem neuen BDSG befasst. In dieser Zeit konnten zahlreiche Konstellationen und deren mögliche Lösung im Hinblick auf das neue Datenschutzrecht durchdacht und erörtert werden. Zugleich konnten die umfangreich erschienene Literatur und die auf deutscher und europäischer Ebene entwickelten Arbeitshilfen bis in den März 2018 hinein berücksichtigt werden.
Die Herausgeber danken allen Autorinnen und Autoren, die an dem Werk mitgewirkt haben. Frau stud. iur. Luisa Kleinen und Herrn stud. iur. David Merten danken wir für die wertvolle Unterstützung bei der Endredaktion. Für die konstruktive Betreuung des Werkes bedanken wir uns beim Verlag.
Köln, Bonn und Mainz im März 2018
Rolf Schwartmann Andreas Jaspers Gregor Thüsing Dieter Kugelmann
Nutzungshinweis zur Zuordnung DS-GVO und BDSG
Nutzungshinweis zur Zuordnung
DS-GVO und BDSG
Die Datenschutz-Grundverordnung ist ein europäischer Rechtsakt, den Art. 288 AEUV nicht nennt. Formal betrachtet, handelt es sich dabei zwar um eine Verordnung (Regulation), wie es sich aus Art. 99 Abs. 1 DS-GVO klar ergibt. Bei der amtlichen Kurzbezeichnung formuliert der europäische Rechtsgeber aber einerseits unschärfer und andererseits präziser. Hier wird nämlich die Bezeichnung Datenschutz-Grundverordnung, DS-GVO (General Data Protection Regulation, GDPR), eingeführt. Inhaltlich enthält die Verordnung in der Tat zahlreiche Öffnungsklauseln, die unter den dort genannten Voraussetzungen Sonderwege eröffnen. Das führt im Ergebnis dazu, dass der Kundendatenschutz faktisch weitgehend harmonisiert ist, der Beschäftigtendatenschutz hingegen über die umfassende Öffnungsklausel des Art. 88 DS-GVO in den Mitgliedstaaten vom Grundsatz her speziell geregelt werden muss. Gerade im Beschäftigtendatenschutz wird deutlich, dass die Mitgliedstaaten jedenfalls teilweise auch nicht auf die Nutzung der Öffnungsklauseln verzichten können. Für die Konsistenz und Einheitlichkeit des Rechts ist das ein Problem, gleichwohl ist es den Notwendigkeiten einer Harmonisierung in einem Bereich geschuldet, die sich bei der Komplexität des Regelungsgegenstandes nicht starr vollziehen lässt.
Wir
