Datenschutzrecht

Monique Sturny | Nicolas Passadelis | David Rosenthal | Hanspeter Thür (Hg.)

Nicolas Passadelis | David Rosenthal | Hanspeter Thür (Hg.)

Um es vorwegzunehmen: Mit dem Handbuch «Datenschutzrecht: Beraten in Privatwirtschaft und öffentlicher Verwaltung» ist ein Werk erschienen, das in seiner Fülle und Tiefe nicht nur eine willkommene Ergänzung zur bisherigen datenschutzrechtlichen Literatur darstellt, sondern zugleich auch manche Lücke in dem sich rasch entwickelnden Rechtsgebiet schliesst. Das Werk ist Teil der im Helbing Lichtenhahn Verlag erscheinenden Reihe «Handbücher für die Anwaltspraxis». Es besticht vor allem in zweierlei Hinsicht: Einerseits mit dem Fokus des Werks auf verschiedene Branchen und praxisrelevante Themen und andererseits mit dem Umstand, dass die einzelnen Kapitel von erfahrenen Spezialisten verfasst wurden, welche sich in den jeweiligen, teils sehr spezifischen Gebieten bestens auskennen und den Leser so an ihrem Kenntnisschatz teilhaben lassen. Dadurch ist das Werk bereits zu einem hilfreichen, aus der Praxis der datenschutzinteressierten Juristen nicht mehr wegzudenkenden Arbeitsmittel geworden. Der Name ist damit Programm: Das Werk ist in der Reihe der Handbücher für die Anwaltspraxis bestens aufgehoben.

Das Buch gliedert sich in fünf Teile: Ein erster Teil befasst sich mit den Grundlagen des Datenschutzes. Der zweite Teil stellt sich den datenschutzrechtlichen Herausforderungen in einzelnen Branchen. Im dritten Teil wird der Datenschutz im privatwirtschaftlichen Unternehmen dargestellt. Der vierte Teil ist dem Datenschutz in der öffentlichen Verwaltung gewidmet. Ein abschliessender fünfter Teil greift sodann punktuell Themen zum Datenschutz im Ausland auf. Die Kapitel sind übersichtlich und leserfreundlich gestaltet. Ansprechend sind auch die jeweils am Ende der Kapitel eingefügten Checklisten, welche sich mehrheitlich als sehr nützlich erweisen, geben sie doch einen Überblick über die wichtigsten, sich zum jeweiligen Thema stellenden Fragen.

Das Buch ist äusserst umfangreich, mit über tausend Seiten und 34 Kapiteln, wobei jedes Kapitel von unterschiedlichen Autoren verfasst wurde. Diese Besprechung kann deshalb nur einen Überblick über die angesprochenen Themen vermitteln.

Der erste Teil (Grundlagen) beginnt mit einer interessanten Tour d’Horizon über die Geschichte und Zukunft des Datenschutzrechts und thematisiert weitere, grundlegende Themen wie grund- und menschenrechtlicher Datenschutz, Prinzipien der Datenbearbeitung durch Privatpersonen und Behörden, Informations- und Meldepflichten bei der Bearbeitung von Personendaten, Rechte der Datenschutzsubjekte, Rechtsanwendung bei internationaler Datenbearbeitung durch Private, Sanktionierung von Datenschutzverstössen und die Aufgabe und Bedeutung der öffentlichen Datenschutzbeauftragten. Damit werden wichtige, stets wiederkehrende Themen (wie insbesondere die allgemeinen Grundsätze der Datenbearbeitung) gewissermassen vor die Klammer gezogen. Dennoch liess sich im Laufe des Werks eine gewisse Redundanz nicht vermeiden. Insbesondere Begriffe wie die rechtsgültige Einwilligung als Rechtfertigungsgrund im Sinne von Art. 13 Abs. 1 DSG oder die Anforderungen an eine Anonymisierung oder Pseudonymisierung von Daten werden denn auch immer wieder – auf den jeweils konkreten Fall bezogen – thematisiert. Für die Auffindbarkeit dieser etwas verstreuten Passagen zum gleichen Stichwort ist das meist recht vollständige Sachregister daher zentral.

Bereits erwähnt wurde der starke Fokus auf den Datenschutz in einzelnen Branchen (zweiter Teil). Je ein Kapitel ist dabei dem Datenschutz in den Bereichen Telekommunikation, Gesundheitswesen, Finanzwesen, Privatversicherung, Sozialversicherungswesen, Medien, Geodaten und Handel mit Bonitätsdaten gewidmet.

Besonders hervorzuheben ist dabei das Kapitel zum Finanzwesen, welches unter anderem anschauliche und praxisrelevante Ausführungen zum Einsatz und zur Rolle des betrieblichen Datenschutzverantwortlichen (hier unter der Bezeichnung Fachstelle Datenschutzberatung) im Sinne von Art. 11a Abs. 5 lit. e DSG i.V.m. Art. 12a Abs. 1 lit. a VDSG, zu Whistleblowing-Verfahren und Outsourcing im Finanzbereich enthält. Dabei wird augenfällig, dass die Finanzbranche im Bereich Compliance und im Speziellen auch im Bereich Datenschutz eine Vorreiterrolle einnimmt. Die Ausführungen hierzu sind daher auch für Datenschutzinteressierte aus anderen Branchen aufschlussreich. Etliche der in diesem Kapitel angesprochenen Themen wer|den zusätzlich im dritten Teil des Werks von anderen Autoren in eigenständigen Kapiteln branchenunabhängig im Detail dargestellt. Die weiteren branchenspezifischen Kapitel des zweiten Teils bestechen ebenso durch ihre Tiefe der Durchdringung der angesprochenen Themen und geben damit Zeugnis über die Spezialkenntnisse ihrer Autoren.

Im Bereich des Gesundheitswesens stellte sich für die Autorin die Herausforderung, dass teils neue Gesetze und Verordnungen die bestehenden Regularien erst kürzlich ersetzten und daher die angestammte Literatur nicht mehr aktuell ist. Insbesondere bei den Ausführungen zum Datenschutz in der medizinischen Forschung, welche seit dem 1. Januar 2014 im Humanforschungsgesetz (HFG) und drei dazu gehörenden Verordnungen geregelt ist, wird auf eine veraltete, nicht mehr in Kraft stehende Verordnung verwiesen. In diesem sich rasch wandelnden, zugegebenermassen schwer zu überblickenden Bereich wäre eine stringentere Darstellung der neuen Rechtslage begrüssenswert.

Im dritten Teil des Werks steht der Datenschutz im privatwirtschaftlichen Unternehmen im Fokus. Hier werden die wichtigsten Themen, welche sich – branchenunabhängig – bei der Unternehmensführung stellen, eingehend erörtert. Es sind dies: Der Datenschutz im Personalwesen, Datenschutz in Compliance und Rechtsverfahren, datenschutzrechtliche Aspekte im Bereich Marketing und Internet, Datenschutz und Outsourcing, organisatorische und technische Datenschutzmassnahmen, Organisation und Aufgaben des betrieblichen Datenschutzbeauftragten, Datenschutz-Zertifizierung sowie der Datenschutz bei Veräusserung und Zusammenschluss von Unternehmen. Wiederum ist jedes Kapitel von ausgewiesenen Spezialisten des jeweiligen Fachgebietes verfasst. Die Ausführungen sind überaus detailliert und auf die Praxis massgeschneidert. Insbesondere zum Thema Marketing und Internet werden die aktuellen Herausforderungen anschaulich und umfassend dargestellt (angefangen bei Hintergrundinformationen zu IP-Adressen bis hin zum Datenschutz in sozialen Netzwerken und beim E-Mail-Marketing).

Dem Datenschutz in der öffentlichen Verwaltung ist der vierte Teil gewidmet. Angesprochen wird der Datenschutz im Bereich des Öffentlichkeitsgesetzes, im Ausländer- und Asylbereich, im Sozialbereich, im Bereich eGovernment, in Justiz und Polizei sowie in Statistik und Forschung. Auch dieser Teil überzeugt durch die detaillierte und praxisbezogene Darstellung der Themen. Insbesondere die Ausführungen zum Datenschutz im Bereich eGovernment geben einen interessanten Einblick in die vielschichtigen Möglichkeiten und datenschutzrechtlichen Herausforderungen beim Einsatz von elektronischen Informations- und Telekommunikationstechnologien, wie insbesondere dem Internet, im Verwaltungshandeln.

Der fünfte Teil des Werks befasst sich schliesslich mit dem Datenschutz im Ausland. Es wird dabei zunächst ein Überblick gegeben über die Entwicklungen im internationalen Datenschutzrecht. Je ein Kapitel ist sodann dem Datenschutzrecht der Europäischen Union und jenem der USA gewidmet. Beide vermitteln einen guten Überblick über die Rechtslage. Die Ausführungen zu Datenübermittlungen in die USA gestützt auf das U.S.-EU-Safe-Harbor-Abkommen (bzw. dem parallelen Safe-Harbor-Abkommen der USA mit der Schweiz) sind aufgrund der jüngsten Entwicklungen im Zusammenhang mit der Ungültigerklärung der Entscheidung der EU-Kommission vom 26. Juli 2000 (2000/520/EG) zum U.S.-EU-Safe-Harbor-Abkommen durch den EuGH (Urteil in der Rechtssache C-362/14) überholt. Vorbehalte gegenüber der Angemessenheit des Datenschutzes basierend auf diesen Abkommen kommen aber bei den entsprechenden Ausführungen bereits zum Ausdruck. Abgerundet wird das Werk schliesslich mit einem kursorischen Überblick über das Datenschutzrecht in weiteren ausgewählten Staaten (Australien, Brasilien, China, Indien, Japan, Russland und Türkei). Dabei wird deutlich, dass der Datenschutz in den meisten Drittstaaten erst im Aufbau begriffen ist und, wie die Autoren abschliessend festhalten, zumindest aus Schweizer Sicht bei Weitem nicht ausreichend ist.

Zusammenfassend behandelt das Werk die vielfältigen Fragen des Datenschutzrechts in umfassender Weise. Einzig verfahrensrechtliche Themen und der Rechtsschutz im privatrechtlichen und öffentlich-rechtlichen Bereich werden nur am Rande angesprochen. Eine Ausdehnung auf verfahrensrechtliche Themenkreise hätte aber den Rahmen des Werks wohl gesprengt. Darüber hinaus werden diese durch die entsprechende fachspezifische Literatur genügend abgedeckt.

Das Werk ist sowohl für die Anwaltspraxis als auch für Juristen und Datenschutzinteressierte in Unternehmen, in der öffentlichen Verwaltung und an Gerichten uneingeschränkt zu empfehlen.

Monique Sturny, Dr. iur., LL.M., Rechtsanwältin, Zürich