Die Literatur zum neuen Datenschutzrecht boomt – nicht nur in Österreich. Durch die Datenschutz-Grundverordnung wird das Datenschutzrecht weitgehend zu unmittelbar geltendem Europarecht. Europäische Methodenlehre und veränderte Interpretationsansätze sind damit untrennbar verbunden. Vor allem für die Begriffsebene bleibt damit der Rechtsvergleich nicht mehr wissenschaftliches Hobby, sondern wird unabdingbares juristisches Instrument. Dieser Paradigmenwechsel ist in vielen Beiträgen des Sammelbandes erfreulicherweise bereits zu erkennen.

Ganz iSd Zielsetzung des Sammelbandes als Praxishandbuch werden nicht die einzelnen Artikel der DSGVO interpretiert, sondern die diversen Themenbereiche problemorientiert dargestellt. Eher unüblich, aber nicht uninteressant, wird das Buch mit einem Interview mit der Leiterin der Datenschutzbehörde, Andrea Jelinek, eingeleitet. Die weiteren Ausführungen zu einzelnen Problemfeldern betreffen die „DSGVO:

Entstehungsgeschichte und Problemstellungen aus österreichischer Sicht“ von Fercher/Riedl, „Die DSGVO als Produkt von Lobbyismus und Tauschhandel“ von Schrems, „Sachlicher und räumlicher Anwendungsbereich der DSGVO“ von Hladjk, „Personenbezogene Daten – Begriff und Kategorien“ von Bergauer, „Definition und Anwendung der Pseudonymisierung“ von Hödl, „Big Data und Profiling – Chancen und Risiken in der Datenschutz-Grundverordnung“ von Steinmaurer, „Grundsätze und Rechtmäßigkeit der Verarbeitung personenbezogener Daten (Art 5-11 DSGVO)“ von Kastelitz, „Informationsrecht und Modalitäten für die Ausübung der Betroffenenrechte“ von Illibauer, „Die Rechte auf Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit und Widerspruch (Art 15-21 DSGVO)“ von Haidinger, „Privacy by Design und by Default – Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen“ von Hötzendorfer, „Gemeinsam für die Verarbeitung Verantwortliche“ von Horn, „Der Dienstleister wird zum Auftragsverarbeiter – Und was ändert sich für Dienstleister mit der DSGVO noch?“ von Bogendorfer, „Verzeichnis von Verarbeitungstätigkeiten (Art 30 DSGVO): Wer muss es haben, wie hat es auszusehen?“ von Selk, „Sicherheit der Verarbeitung (Art 32 DSGVO)“ von Pollirer, „Daten weg – was nun? Date Breaches und ihre DSGVO-Folgen gem Art 33, 34 DSGVO“ von Oman, „Datenschutz-Folgenabschätzung und vorherige Konsultation der Aufsichtsbehörde – Von der Registrierungspflicht zur weitgehenden Selbstregulierung“ von Trieb, „Vom zertifizierten richtigen Verhalten“ von Strohmaier, „Datenübermittlung in Drittstaaten“ von Knyrim, „Die Aufsichtsbehörden“ von Flendrovsky, „Der One Stop Shop in der DSGVO – Die Behördenzuständigkeit bei grenzüberschreitenden Datenanwendungen in der EU“ von Leissler/Wolfbauer, „Kooperation der Aufsichtsbehörden bei grenzüberschreitenden Fällen“ von Schmidl, „Der Europäische Datenschutzausschuss“ von Wagner, „Rechtsbehelfe und Klagen“ von Weiss, „Gerichtlicher Rechtsschutz gegen eine Aufsichtsbehörde (Art 78)“ von Souhrada-Kirchmayer, „Geldbußen und andere Sanktionen“ von Illibauer, „Besonderheiten des öffentlichen Bereichs“ von Gerhartl, „DSGVO: Chancen und Risiken für die IT-Wirtschaft“ von Krisch, „Checkliste – Die Auftraggeberpflichten“ von Pollirer, „Umfrage zur Vorbereitung und Budgetierung der Umsetzung der DSGVO“ von Knyrim, „Die Datenschutzrichtlinie für die polizeiliche und justizielle Zusammenarbeit in Strafsachen“ von Wildpanner-Gugatschka, „Datenschutz im Strafverfolgungsbereich: Schnittstellen und Abgrenzungsfragen – Das Zusammenspiel zwischen DSGVO und DSRL-PJ“ von Dörnhöfer. Aus arbeitsrechtlicher Sicht interessieren vor allem zwei Beiträge, nämlich jener von König zum Datenschutzbeauftragten und jener von Angerler/Reven zu „DSGVO und nationales Arbeitsrecht“.

Die Ausführungen der DSGVO zum Datenschutzbeauftragten sind – aber dies entspricht dem Stil EU-rechtlicher Regelungen – so offen, dass eine Konkretisierung und Anpassung an das österreichische DSG wünschenswert wäre. Der Beitrag von König spricht erfreulicherweise sehr viele Problembereiche (in der nötigen Kürze) an (zB Interessenkonflikte bei der Bestellung von Personen oder auch die grundsätzliche Frage, wer überhaupt einen Datenschutzbeauftragten bestellen muss). Die Voraussetzungen, die ein Datenschutzbeauftragter nach König aufweisen muss, werden mE aber nicht reichen. So wären etwa im Zusammenhang mit Arbeitsrecht, Telekommunikationsrecht, technischen Standards, IT-Architektur nur Grundkenntnisse gefordert. Mit Grundkenntnissen in diesen Bereichen würde jedoch ein Datenschutzbeauftragter – weder im Rechtlichen noch im Technischen – niemals das Auslangen für eine verantwortungsvolle Kontrolle und für ein darauf aufbauendes Agieren finden.

Das Hauptergebnis von Angerler/Reven bezieht sich auf das Verhältnis der §§ 96 und 96a ArbVG sowie des § 10 AVRAG zu Art 88 DSGVO iVm Erwägungsgrund 155: Die erwähnten Bestimmungen sind spezifische Regelungen iSd Art 88 DSGVO, wonach im Beschäftigungskontext nationale Normen spezifischere Vorschriften vorsehen können. Davon geht auch der österreichische Gesetzgeber aus und hat mittlerweile die Mitwirkungsrechte des ArbVG in § 11 DSG idF des Datenschutz-Anpassungsgesetzes 2018, BGBl 2017/120BGBl 2017/120, aufgenommen und damit die Befugnisse des BR nach ArbVG als Vorschrift iSd Art 88 DSGVO deklariert. Nicht enthalten sind allerdings etwa § 10 AVRAG oder § 79 e Abs 1 BDG oder § 9 Abs 2 lit f PVG. Eine Notifikation an die Europäische Kommission gem Art 88 Abs 3 DSGVO wäre aber auch hinsichtlich dieser Regelungen erwägenswert.

Zusammenfassend kann der Sammelband als kompakte und sehr gut aufbereitete Darstellung vieler mit der DSGVO einhergehenden Problemlagen angesehen76werden. Die Beispiele und Praxistipps des Buches ergänzen diesen Befund.