Datenschutzrecht

von

Jürgen Kühling

Manuel Klar

Florian Sackmann

5., neu bearbeitete Auflage

www.cfmueller.de

Universitätsprofessor Dr. iur. Jürgen Kühling LL.M. (Brüssel) ist seit Anfang 2007 Inhaber des Lehrstuhls für Öffentliches Recht, Immobilienrecht, Infrastrukturrecht und Informationsrecht an der Universität Regensburg. Kühling ist 1971 geboren, studierte von 1990 bis 1995 an den Universitäten Trier und Nancy II und erwarb im Jahr 1995 den Master in Legal Theory an der KUB und FUSL in Brüssel. Die Promotion und Habilitation an der Universität Bonn folgten 1998 und 2003. Er war von 2004 bis 2007 Professor für Öffentliches Recht, insbesondere Medien- und Telekommunikationsrecht sowie Datenschutzrecht, an der Universität Karlsruhe (TH) und dort zugleich Leiter des Instituts für Informationsrecht. Kühling hat sich in zahlreichen Publikationen, Studien und Rechtsgutachten mit dem Informationsrecht in seiner ganzen Breite (Datenschutz-, Telekommunikations- und Medienrecht) sowie mit dem Netzwirtschafts- und Infrastrukturrecht auseinandergesetzt. Er besitzt eine umfangreiche Beratungserfahrung auf nationaler und internationaler Ebene, wobei er insbesondere die öffentliche Hand in Fragen des Informationsrechts sowie des öffentlichen Wirtschaftsrechts einschließlich des Energie, Wettbewerbs- und Datenschutzrechts berät. Seit Juli 2016 ist er Mitglied der Monopolkommission und seit September 2020 deren Vorsitzender.

Dr. iur. Manuel Klar ist Rechtsanwalt in München. Er berät deutsche und international tätige Unternehmen im Datenschutzrecht. Seit 2017 ist Klar Lehrbeauftragter für Datenschutzrecht an der Universität Regensburg. Im Jahr 2015 vertiefte er seine datenschutzrechtlichen Kenntnisse im Rahmen eines rechtsvergleichenden Forschungsaufenthaltes an der University of California (Berkeley). Vor seiner Anwaltstätigkeit war Klar Wissenschaftlicher Mitarbeiter am Lehrstuhl von Prof. Kühling und promovierte dort zu einem datenschutzrechtlichen Thema. Er hat zahlreiche Fachbeiträge zu verschiedenen datenschutzrechtlichen Themen publiziert.

Dr. iur. Florian Sackmann ist Rechtsanwalt und war Wissenschaftlicher Mitarbeiter am Lehrstuhl von Prof. Kühling. Er promovierte dort zu einem datenschutzrechtlichen Thema. Er studierte Rechtswissenschaften an der Universität Regensburg und leistete sein Referendariat im Bezirk des OLG Nürnberg ab. 2016 war er zeitweise für ein DAX-Unternehmen im Bereich Compliance tätig. Sackmann hat mehrere Fachbeiträge zu unterschiedlichen datenschutzrechtlichen Fragestellungen veröffentlicht.

Impressum

Bibliografische Informationen der Deutschen Nationalbibliothek

Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie; detaillierte bibliografische Daten sind im Internet über <http://dnb.d-nb.de> abrufbar.

ISBN 978-3-8114-9038-3

E-Mail: kundenservice@cfmueller.de

Telefon: +49 6221 1859 599
Telefax: +49 6221 1859 598

www.cfmueller.de

© C.F. Müller GmbH, Waldhofer Straße 100, 69123 Heidelberg

Hinweis des Verlages zum Urheberrecht und Digitalen Rechtemanagement (DRM)
Der Verlag räumt Ihnen mit dem Kauf des ebooks das Recht ein, die Inhalte im Rahmen des geltenden Urheberrechts zu nutzen. Dieses Werk, einschließlich aller seiner Teile, ist urheberrechtlich geschützt. Jede Verwertung außerhalb der engen Grenzen des Urheberrechtsgesetzes ist ohne Zustimmung des Verlages unzulässig und strafbar. Dies gilt insbesondere für Vervielfältigungen, Übersetzungen, Mikroverfilmungen und Einspeicherung und Verarbeitung in elektronischen Systemen.
Der Verlag schützt seine ebooks vor Missbrauch des Urheberrechts durch ein digitales Rechtemanagement. Bei Kauf im Webshop des Verlages werden die ebooks mit einem nicht sichtbaren digitalen Wasserzeichen individuell pro Nutzer signiert.
Bei Kauf in anderen ebook-Webshops erfolgt die Signatur durch die Shopbetreiber. Angaben zu diesem DRM finden Sie auf den Seiten der jeweiligen Anbieter.

Vorwort

Die Datenschutzordnung in der Europäischen Union und in Deutschland erhielt durch die Geltung der Datenschutz-Grundverordnung der EU (DS-GVO) und das Inkrafttreten des begleitenden Bundesdatenschutzgesetzes (BDSG) am 25. Mai 2018 eine neue Gestalt. Ausgangspunkt bei der Rechtsanwendung im allgemeinen Datenschutzrecht ist seitdem primär die EU-Regelung und nur noch ergänzend das deutsche BDSG. Inzwischen konnten fast drei Jahre Erfahrungen mit dem neuen Rechtsregime gesammelt werden und es hat sich die Befürchtung bewahrheitet, dass die Komplexität der Datenschutzordnung durch die Vielzahl neuer, anspruchsvoller Herausforderungen nochmals gestiegen ist. Hinzu kommt eine Vielzahl aktueller Probleme wie die facettenreichen Diskussionen um die Rechtmäßigkeit der Datenverarbeitung in sozialen Netzwerken, beim Cloud-Computing oder im Bereich der Mobilitätsdaten eindrucksvoll belegen. Das Zusammenspiel von unionsrechtlichen Vorgaben und nationalem Recht gestaltet sich angesichts der zahlreichen Öffnungsklauseln der DS-GVO nochmals anspruchsvoller. Erste Gerichtsurteile zeigen auch, dass das deutsche BDSG die Öffnungsklauseln in Einzelfällen überdehnt hat und daher insoweit unionsrechtswidrig ist. Deshalb bietet die vorliegende Einführung nicht nur eine Erläuterung der einzelnen materiell-rechtlichen, prozeduralen und institutionellen Vorgaben des neuen Rechtsregimes, sondern will gerade das komplexe Zusammenspiel der verschiedenen Rechtsebenen verständlich machen. Dabei liegt der Fokus auf dem allgemeinen Datenschutzrecht in der DS-GVO und im BDSG.

Zugleich ist das geltende Datenschutzrecht nicht zuletzt angesichts umfassender verfassungsgerichtlicher Vorgaben zur Normierung hinreichend bestimmter und bereichsspezifischer Ermächtigungsgrundlagen für Datenverarbeitungen im nationalen Recht weiterhin äußerst ausdifferenziert. So finden sich zwar für einen Großteil der Datenverarbeitungsprozesse in der DS-GVO und ergänzend im BDSG (und in den tendenziell vergleichbaren Datenschutzgesetzen der Länder) abschließende Regelungen. Hinzu kommt jedoch eine Vielzahl ergänzender, sektorspezifischer Bestimmungen für Sonderkonstellationen, wie der Datenverarbeitung im Gesundheitswesen oder in der Sozialverwaltung. Angesichts der Fülle der einschlägigen Normen verfolgt die vorliegende Einführung insoweit das Ziel, das Zusammenspiel von allgemeinem und bereichsspezifischem Datenschutzrecht zu verdeutlichen. Näher behandelt werden im Übrigen nur die unionsrechtlich kodifizierten bereichsspezifischen Regeln, also die Bestimmungen im Bereich der öffentlichen Sicherheit und Strafverfolgung einerseits und dem Telemedien- und Telekommunikationssektor andererseits. Beides erfolgt allerdings nur im Überblick, um den Charakter des Lehrbuchs als Einführung zu wahren.

Trotz des Einführungscharakters des vorliegenden Buches soll gleichwohl die für das Verständnis wichtige und daher umfassende Darstellung zunächst der Grundlagen im deutschen Verfassungsrecht sowie im europäischen Recht erfolgen. Dies schließt eine Erläuterung der Genesis der Kodifikationen auf nationaler, internationaler und supranationaler Ebene ein. Für die Datenschutzordnung gilt im besonderen Maße, dass die jetzige Struktur ohne Kenntnis ihrer Entstehung nicht verstanden werden kann.

Ziel der vorliegenden Einführung ist es also, den Leser durch das komplexe Normen-Labyrinth zu leiten und ihm dabei ein systematisches Verständnis des Zusammenspiels der unions- und verfassungsrechtlichen Grundlagen, des horizontalen Datenschutzgesetzes der EU, des Bundes (und der Länder) sowie der bereichsspezifischen Regelungen zu vermitteln. Daher wird ganz bewusst stark an die Normen als textlichem Ausgangsbefund angeknüpft. Dementsprechend wird die Lektüre der einschlägigen Normen beim Durchgang durch das vorliegende Werk nachdrücklich empfohlen. Angesichts des beschränkten Umfangs dieses Buches wird die Darstellung auf das Notwendigste komprimiert. Dafür werden weiterführende Literaturhinweise gegeben. Im Übrigen wird die komplexe Materie des Datenschutzrechts unter Bezugnahme auf praktische Anwendungsfälle erläutert. Zudem erleichtern Grafiken und Übersichten – die sich ebenso wie die Anwendungsfälle bereits im Vorlesungsbetrieb bewährt haben – das Verständnis. Da die Fälle überwiegend an Original-Streitigkeiten aus der Praxis angelehnt sind, sollen sie nicht nur der Kontrolle und Vertiefung des Erlernten dienen, sondern zugleich plastisch vor Augen führen, worüber im datenschutzrechtlichen Alltag gestritten wird.

Das vorliegende Buch richtet sich primär an Juristen, die in Wissenschaft und Praxis mit datenschutzrechtlichen Fragen zu tun haben, seien es Studierende, Wissenschaftler, Rechtsanwälte, Datenschutzbeauftragte, Ministerialbeamte oder Richter. Auch Vertreter anderer Disziplinen wie Informatiker oder Betriebswirte, die sich einen Überblick über das rechtliche Umfeld verschaffen wollen, sollen sich angesprochen fühlen. Dabei soll gerade jenen, die zum ersten Mal mit datenschutzrechtlichen Fragen konfrontiert sind, eine Hilfe an die Hand gegeben werden.

Literatur und Rechtsprechung befinden sich auf dem Stand vom Dezember 2020. Vereinzelt konnten auch noch spätere Entwicklungen berücksichtigt werden. Die Autoren danken den wissenschaftlichen Mitarbeitern Herrn Maximilian Dürr, Herrn Cornelius Sauerborn, Herrn Roman Schildbach und Herrn Martin Weiß für den wertvollen Input, sowie den studentischen Hilfskräften Frau Antonia Schöne, Frau Katharina Philipp, Frau Melissa Mahmoud, Frau Elina Mayer und Frau Marie Solleder für ihre umfassende und sehr hilfreiche Unterstützung bei der Erstellung des Manuskripts und der formalen Überarbeitung. Schließlich danken wir Herrn Christian Lenz vom Verlag C.F. Müller für die hervorragende Betreuung während der Manuskripterstellung. Kritik und Hinweise sind bitte an den Lehrstuhl für Öffentliches Recht, Immobilienrecht, Infrastrukturrecht und Informationsrecht an der Universität Regensburg zu richten (Juergen.Kuehling@jura.uni-regensburg.de).

Regensburg/München/Roding, im Januar 2021

Jürgen Kühling, Manuel Klar
und Florian Sackmann

Inhaltsübersicht

Inhaltsverzeichnis