Warum Datenschutzgesetze? Diese Frage, die sich mancher in den Siebziger Jahren, aus denen die ersten Datenschutzgesetze stammen, noch stellte, ist heute leicht zu beantworten: Es geht um die Begrenzung von informationellen Asymmetrien – Wissen ist Macht. Der Staat kann mit seinen Bürokratien und durch Geheimdienste machtvoll auftreten, und private Datenmacht kann über Werbung und Kundenanalysen jedenfalls zu Geld gemacht werden
Speziell beim Datenschutz kommt hinzu, dass der Datenhunger von Staat und Unternehmen für den Einzelnen nicht recht spürbar ist. Jedenfalls ist die Schwelle, sich gegen informationelle Zudringlichkeiten zu wehren oder nur den Anbieter zu wechseln, oft zu hoch für ein Tätigwerden. Man spricht in diesem Zusammenhang von rationaler Apathie. Auch hier kann Recht helfen.
Grundkonzept des Datenschutzrechts
Das Datenschutzrecht setzt die verfassungsrechtlich geforderteExterner Link: informationelle Selbstbestimmung durch ein Konzept der informationellen Fremdbestimmung um. Es enthält Regelungen, mittels derer die Verarbeitung eigener Daten bei einem Dritten beschränkt und unterbunden werden kann.
Anwendungsbereich
Allgemein und umgangssprachlich wird manchmal auch der Schutz vor Industriespionage, die Verweigerung zur Herausgabe von Behördendaten oder das Wegschließen des Tagesbuches vor den Eltern als Datenschutz bezeichnet. In der bürokratisch-spröden Terminologie des Datenschutzrechts bezieht sich das Gesetz nur auf personenbezogene Daten eines Betroffenen bei einer verantwortlichen Stelle mit einem Bezug zu Deutschland.
Betroffene (Externer Link: § 3 Abs. 1 BDSG) sind alle natürlichen Personen, also neben Verbrauchern auch Freiberufler und Einzelunternehmer. Staatsangehörigkeit und Alter sind irrelevant.
Als personenbezogene Daten (Externer Link: § 3 Abs. 1 BDSG) werden alle Angaben erfasst, die sich auf einen Betroffenen beziehen oder (mittels Zusatzwissens und eines vertretbaren Aufwands) auf ihn bezogen werden können. Problematisch sind personenbezogene Daten mit Mehrfachbezug (Gruppenmerkmale, die aber auch schon bei Angaben über Ehegatten
Auch beschränkt sich das Datenschutzrecht auf die Datenverarbeitung durch verantwortliche Stellen (§ 3 Abs. 7 BDSG[http://www.gesetze-im-internet.de/bdsg_1990/__3.html]), worunter nur behördliche und kommerzielle Datenverarbeiter fallen. Private Datenverarbeitung (eigene Kalender und Listen, Korrespondenz) fallen nicht hierunter, Websites mit anderer Leute Daten aber schon
Schließlich ist das (deutsche) Datenschutzrecht nicht weltweit anwendbar
Grundprinzipien des Datenschutzrechts
Das (deutsche) Datenschutzrecht basiert auf dem formellen Regelungsprinzip des Verbots mit Erlaubnisvorbehalt, auf dem Prinzip der Zweckbindung und der Transparenz sowie materiell auf einem Ideal der Anonymität.
Verbot mit Erlaubnisvorbehalt
Das (formelle) Verbot mit Erlaubnisvorbehalt (Externer Link: § 4 Abs. 1 BDSG) bedeutet, dass eine Verarbeitung von personenbezogenen Daten eines Betroffenen durch eine verantwortliche Stelle (zur Terminologie s.o.) rechtlich nur dann erlaubt ist, wenn entweder der Betroffene eingewilligt hat oder ein Gesetz es erlaubt.
Die Einwilligung muss informiert und ausdrücklich erfolgen, regelmäßig sogar in Schriftform (Externer Link: § 4a BDSG). Dies kann auch für den Betroffenen lästig sein, wenn er zum Beispiel am Telefon einen Vertrag mit Datenverarbeitungsklausel abschließen will. Jedenfalls führt das verbreitete Einwilligungserfordernis zu Bleiwüsten an Kleingedrucktem. Das alternative Erfordernis gesetzlicher Gestattung hat dazu geführt, dass die Datenschutzgesetze sich wie Datenverarbeitungserlaubnisgesetze lesen. Das ist aber freilich nur die Folge davon, dass, wenn im Ausgangspunkt etwas verboten ist, es als strukturelle Ausnahme jeweils erlaubt sein muss.
Zweckbindung
Ein wichtiges materielles Prinzip des Datenschutzrechts ist die Zweckbindung. Das Zweckbindungsprinzip ist als allgemeiner Grundsatz (Externer Link: vgl. aber § 31 BDSG) nicht ausdrücklich im Gesetz niedergelegt, ergibt sich aber im Gegenschluss aus den ausdrücklichen Zweckänderungsvorschriften (z.B. § 14 Abs. 2, Externer Link: § 28 Abs. 2 BDSG). Danach dürfen Daten nur in dem Rahmen verwendet werden, der durch Einwilligung bzw. Gesetz abgesteckt wurde. Zweckänderungen und Zweckerweiterungen bedürfen deshalb einer (erneuten) Einwilligung oder einer gesetzlichen Zweckänderungsnorm. Das heißt, dass zum Beispiel ein Versandhändler, der dies vorab nicht vereinbart hat, die Adressdaten für Werbung nur verwenden darf, wenn der Betroffene einwilligt oder soweit das Gesetz (z.B. Externer Link: § 28 Abs. 3 Satz 2 BDSG) ihm Direktwerbung erlaubt.
Transparenz
Besonders wichtig ist dem Datenschutzrecht zur Verwirklichung informationeller Selbstbestimmung die Transparenz personenbezogener Datenverarbeitung. Die Informierungspflichten im Datenschutz reichen weit. So müssen Datenverarbeiter schon allgemein und unabhängig von einer Betroffenheit über sich und ihre Datenverarbeitungen informieren. Dies umfasst die an die Allgemeinheit gerichteten Datenschutzerklärungen und Privacy Policies ebenso wie die Verarbeitungsverzeichnisse (Externer Link: § 4g Abs. 2 Satz 2 BDSG) und das Web-Impressum (Externer Link: § 5 TMG), mittels derer man den Verarbeiter und seinen Geschäftsgegenstand bzw. die Verwaltungstätigkeit jedenfalls grob einschätzen kann. Auch die seit einiger Zeit bestehende Pflicht zur (öffentlichen) Informierung bei sogenannten Datenpannen (Externer Link: § 42a BDSG; Externer Link: § 109a TKG; Externer Link: § 15a TMG) ist hierfür hilfreich. Auf dieser Grundlage mussten in der letzten Zeit Spielkonsolenbetreiber und Mobilfunkunternehmen, die Opfer erfolgreicher Hacking-Attacken geworden waren, dies ihren Kunden und der Öffentlichkeit mitteilen.
Wenn Daten beim Betroffenen selbst erhoben werden, bestehen Unterrichtungspflichten (Externer Link: § 4 Abs. 3 BDSG). Die verantwortliche Stelle hat anlässlich der Datenerhebung über die wesentlichen Umstände zu informieren. Wenn die Daten nicht beim Betroffenen erhoben werden, kann er bei dieser Gelegenheit auch nicht unterrichtet werden. An die Stelle der Unterrichtung tritt die Benachrichtigung (Externer Link: § 19a, Externer Link: § 33 BDSG). Die Benachrichtigungspflicht kennt aber eine lange Reihe von Ausnahmen, die auf Bagatellsachverhalte und auf Geheimnisschutz Rücksicht nehmen. Ob die Ausnahmen zu weit gefasst sind, wird rechtspolitisch diskutiert.
Jedenfalls können Defizite bei (vorgängiger) Unterrichtung und (nachgängiger) Benachrichtigung durch ein Auskunftsverlangen (Externer Link: § 19, Externer Link: § 34 BDSG) kompensiert werden. Aber auch die Auskunftspflicht kennt einige Ausnahmetatbestände, so dass jedenfalls nicht jeder Datenverarbeitung und jedem Datenschutzverstoß auf den Grund gegangen werden kann.
Datensparsamkeit und Datenvermeidung
Von seinem Anonymitätsideal ausgehend wünscht das Datenschutzrecht Datenvermeidung und Datensparsamkeit (Externer Link: § 3a BDSG)
Struktur der Datenschutzgesetze
Dabei ist das Datenschutzrecht in besonderer Weise unübersichtlich. Es ist horizontal und vertikal gegliedert, zudem auch thematisch verteilt. Teilweise kann nur ein Fachmann das für den jeweiligen Fall anwendbare Recht finden. So ist die Frage, ob deutsche Landesdatenschutzbeauftragte für den Datenschutz bei Facebooks irischer Tochtergesellschaft zuständig sind
Das Bundesdatenschutzgesetz (Externer Link: BDSG) ist zwar in gewisser Weise ein Grund-Gesetz des deutschen Datenschutzes, neben dem der Bund auch die Länder und zunehmend die Europäische Union weitere Regelungen erlassen haben. Vereinfacht kann man sagen, dass die Länder für ihre Verwaltungsbehörden zuständig sind und der Bund für die Bundesbehörden sowie den Bereich der Wirtschaft. Die EU hat zwar die allgemeine Externer Link: EG-Datenschutzrichtlinie erlassen, die aber nur mittels mitgliedstaatlicher Umsetzungsrechtsakte, für uns also den deutschen Datenschutzgesetzen, gilt. Die angekündigte EU-Datenschutz-Grundverordnung wird dies alles grundlegend ändern, soweit sie das bisherige europäische und das mitgliedstaatliche Recht ersetzt.
Das BDSG regelt zudem auch nicht einmal das gesamte Datenschutzrecht des Bundes, sondern wird durch viele bereichsspezifische Regelungen ergänzt; gleiches gilt übrigens auch für die Datenschutzgesetze der Länder. So sind der Datenschutz bei Sicherheitsbehörden in der Strafprozessordnung (Externer Link: StPO) und den Polizei- und Nachrichtendienstgesetzen geregelt, der Internetdatenschutz (hauptsächlich) im Telekommunikationsgesetz (Externer Link: TKG) und im Telemediengesetz (Externer Link: TMG). Das Werbedatenschutzrecht dagegen ist Teil des BDSG (Externer Link: § 28 Abs. 3 BDSG). Der Beschäftigtendatenschutz ist gesetzlich nur rudimentär in Externer Link: § 32 BDSG geregelt und beruht deshalb vorwiegend auf Richterrecht. Auch zieht sich durch das BDSG noch die Unterscheidung zwischen dem öffentlichen Bereich ([Bundes‑]Verwaltung; Externer Link: §§ 12 ff. BDSG) und dem so genannten nicht-öffentlichen Bereich (Privatwirtschaft; Externer Link: § 27 ff. BDSG); Grenzfälle sind Stadtwerke und Sparkassen. Insoweit ist das BDSG zwei Gesetze in einem, die allerdings viele Gemeinsamkeiten haben.
Insgesamt hat man es oft mit Gemengelagen zu tun, in denen Normen aus mehreren Gesetzen zusammengelesen werden müssen: So bestimmt sich die Rechtmäßigkeit von Direktmarketing aus der Zusammenschau der Datenschutzregeln des BDSG (Externer Link: § 28 Abs. 3 BDSG) und des Belästigungsschutzes nach Wettbewerbsrecht (Externer Link: § 7 UWG). Im Beschäftigtendatenschutz gelten Externer Link: § 32 BDSG, Richterrecht und die betriebsindividuell ausgehandelten Betriebsvereinbarungen zwischen Arbeitgeber und Betriebsrat. Die Datenverarbeitung der Polizei (Personenkontrollen, Videoüberwachung, Lauschangriff) richtet sich für die Fahndung nach Straftätern nach der Strafprozessordnung (Externer Link: StPO) des Bundes, bei der Gefahrenabwehr (Polizei als Freund und Helfer) nach den Polizeigesetzen der Länder tätig. Die deutschen Nachrichtendienste arbeiten nach jeweils spezifischen Vorschriften (Gesetz über den Bundesnachrichtendienst, Externer Link: BNDG Bundesverfassungsschutzgesetz, Externer Link: BVerfSchG; Gesetz über den Militärischen Abschirmdienst, Externer Link: MADG).
Betroffenenrechte und Durchsetzung von Datenschutz
Problematisch bei der Durchsetzung datenschutzrechtlicher Ansprüche ist neben der Unübersichtlichkeit der verschiedenen Gesetze, dass die meisten Datenschutzverstöße für den Einzelnen regelmäßig weit davon entfernt sind, so störend oder eingreifend zu sein, dass es sich (wirtschaftlich oder auch nur emotional) lohnt, dagegen vorzugehen. Man nennt dieses Phänomen rationale Apathie
Eigene Rechtsdurchsetzung
Wie bei allen Angelegenheiten ist es zunächst die Sache jedes Einzelnen, sich um die Wahrung seiner Rechte zu kümmern. Hier kann man (noch im Vorhof des Rechts) zunächst den Verarbeiter um Unterlassungen und Löschungen bitten, man kann die eingeräumten Widerspruchsrechte ausüben (insb. den Werbewiderspruch nach Externer Link: § 28 Abs. 4 BDSG) oder Berichtigungs- und Löschungsansprüche (Externer Link: § 20, Externer Link: § 35 BDSG) geltend machen
Institutionelle Hilfe
Wegen des Phänomens der rationalen Apathie, stößt die Selbstwahrnehmung der eigenen Interessen an seine Grenzen. Wie auch in anderen Bereichen des Verbraucherschutzes wird die Durchsetzung des Datenschutzes deshalb institutionell befördert und erleichtert.
Hier sind zunächst die betrieblichen und behördlichen Beauftragten für den Datenschutz (bDSB) zu nennen (Externer Link: § 4f BDSG). Sie sind einerseits als Teil der verantwortlichen Stelle mit den Umständen der Datenverarbeitung vertraut. Andererseits sind sie mit Unabhängigkeit ausgestattet, so dass sie auch Anlaufstelle für Beschwerden sein können.
Daneben existieren Datenschutzbehörden
Bei Datenschutzverstößen durch Unternehmen kann daneben noch das Wettbewerbsrecht genutzt werden, um Hilfe Dritter zu aktivieren. Denn ein Datenschutzverstoß kann zugleich eine unlautere Wettbewerbshandlung sein, die es den Verbraucherschutzverbänden, vor allem aber Konkurrenten ermöglicht, den Verletzer abzumahnen. Allerdings kann man hier als Betroffener, wie auch gegenüber den Datenschutzbehörden, ein Vorgehen lediglich anregen, hat aber keinen Anspruch auf ein Einschreiten.
Zukunft des Datenschutzrechts
Ist Technik immer schneller als Recht?
Recht ist die Nachhut des Fortschritts. Dieser beliebte Spruch von und über Juristen gilt für das Datenschutzrecht nur eingeschränkt. Denn in geschichtlicher Perspektive zeichnet sich der Datenschutz dadurch aus, dass für dieses schon 1970 bzw. 1977 die gesetzliche Regelung geschaffen wurde, bevor die Informationsverarbeitung in das allgemeine Bewusstsein gerückt war und die Informationsgesellschaft begann, Wirklichkeit zu werden. Auch hat sich das BDSG – mit Ausnahme von § 6a bis § 6c BDSG – um eine technikneutrale Sprache und Regelungsmethode bemüht.
Als allerdings wenig zukunftstauglich und entwicklungsoffen hat sich das Regelungsprinzip des Verbots mit Erlaubnisvorbehalt erwiesen. Bewusst ist dieser defensive Regelungsansatz als Technikverbot konzipiert. Je mehr die Gesellschaft in der Informationsgesellschaft ankommt, desto näher liegt es, das Verbot mit Erlaubnisvorbehalt durch eine Generalklausel (Treu und Glauben) zu ersetzen. (Personenbezogene) Datenverarbeitung darf selbstverständlich nicht im rechtsfreien Raum stattfinden, aber sie muss vom Gesetz nicht pauschal erst einmal verboten sein. Dieser risikoaverse Ansatz mag begünstigt haben, dass Facebook und Google sich nicht in Deutschland oder Europa gebildet haben und nun (räumlich) ganz außerhalb unserer Gesetzgebung operieren.
Europäisierung des Datenschutzrechts
Für den Datenschutz gilt von europäischer Ebene die Externer Link: EG-Datenschutzrichtlinie, die bald durch eine Externer Link: EU-Datenschutz-Grundverordnung (aufgerufen am 4.11.2014) ersetzt werden soll. Noch mehr Gesetze? Dieser Stoßseufzer in Richtung Europa ist nicht auf den Datenschutz beschränkt. Europäisches Datenschutzrecht liegt aber in der Logik des Binnenmarktes und ist bei so etwas Beweglichem wie Daten sinnvollerweise auf einer oberen, gemeinsamen Ebene zu regeln.
Datenschutz als eine hochgradig durchnormierte Materie würde den
Die europäische Vereinheitlichung des Datenschutzrechts wird oft mit der Befürchtung der Absenkung des Datenschutzniveaus verbunden. Dies ist nicht unplausibel, da eine Rechtsvereinheitlichung notwendigerweise nationale Besonderheiten beseitigt. Und zu den Besonderheiten gehören immer auch Regelungen, die einen besonders hohen oder einen besonders geringen Schutz bewirkt haben. Auch kann es durchaus sein, dass bei einer Vereinheitlichung des europäischen Datenschutzniveaus die bislang besonders datenschutzstarken Mitgliedstaaten der Europäischen Union als Preis für die Vereinheitlichung eine Absenkung des Datenschutzniveaus hinnehmen müssen. Während dies also der europäischen Einigung immanent ist, bestehen daneben aber auch (grundsätzlich legitime) Lobby-Bestrebungen, die Reformphase des europäischen Datenschutzes zu nutzen, um den Interessen und Gesichtspunkten ihrer Auftraggeber Gehör zu verschaffen.
Perspektivisch ist eine Hochzonung des Datenschutzrechts auch über die Mitgliedstaaten hinaus wegen der weltweiten Übertragbarkeit der Daten sinnvoll
Weiterführende Literaturhinweise:
Schmidt, Jan-Hinrik/Weichert, Thilo (Hrsg.), Datenschutz (Schriftenreihe der bpb Nr. 1190), 2012.
Tinnefeld, Marie-Theres/Buchner, Benedict/Petri, Thomas, Einführung in das Datenschutzrecht, 5. Aufl. München 2013.
Woertge, Hans-Georg, Die Prinzipien des Datenschutzrechts und ihre Realisierung im geltenden Recht, Heidelberg 1984.
