1 | 2 Pfeil rechts

Datenschutz

1. Rechtsgrundlagen



Datenschutz (Ds) ist die Gesamtheit von Regeln, Institutionen und Maßnahmen, um die informationelle Selbstbestimmung der Bürger zu schützen. Er schützt nicht die Daten (des Datenbesitzers), sondern den von Datenverarbeitung "Betroffenen" (gegen den Datenverarbeiter).

"Individuelle Selbstbestimmung", so das → BVerfG in seiner Entscheidung zur Volkszählung 1983 – "setzt [...] – auch unter den Bedingungen moderner Informationsverarbeitungstechnologien – voraus, dass dem Einzelnen Entscheidungsfreiheit über vorzunehmende oder zu unterlassende Handlungen einschließlich der Möglichkeit gegeben ist, sich auch entsprechend dieser Entscheidung tatsächlich zu verhalten". Wer (aber) "nicht mit hinreichender Sicherheit überschauen kann, welche ihn betreffenden Informationen in bestimmten Bereichen seiner sozialen Umwelt bekannt sind, und wer das Wissen möglicher Kommunikationspartner nicht einigermaßen abzuschätzen vermag, kann in seiner Freiheit wesentlich gehemmt werden, aus eigener Selbstbestimmung zu planen oder zu entscheiden" (BVerfGE 65, 1 (43)). Obwohl das Grundrecht auf informationelle Selbstbestimmung nicht im → Grundgesetz steht, hat das BVerfG es als Bestandteil der Menschenwürde des Art. 1 Abs. 1 GG und der Entfaltungsfreiheit des Art. 2 Abs. 1 GG anerkannt. Es ist das zentrale Grundrecht der Informationsgesellschaft. Es "gewährleistet die Befugnis des Einzelnen, grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen" (BVerfGE 65, 1 (43)).

Die Vorschriften des Datenschutzrechts dienen dem Schutz dieses → Grundrechts. Das erste Datenschutzgesetz der Welt trat 1971 in HE in Kraft. Seitdem hat sich die Idee des Ds. rasant fast über die gesamte Welt ausgebreitet. In der EU herrscht durch die EG-Datenschutzrichtlinie von 1995 ein gleichmäßiges, relativ hohes Niveau an Ds. In D ist der Datenschutz in der Wirtschaft und in der Bundesverwaltung im Bundesdatenschutzgesetz geregelt. Für den Ds. in den Landesverwaltungen hat jedes Bundesland sein eigenes Datenschutzgesetz. Diesen generellen Datenschutzregelungen gehen viele Spezialregelungen für bestimmte Bereiche vor. Dies gilt im öffentlichen Bereich etwa für die Polizeigesetze, die Melde-, Pass- und Ausweisgesetze, die Ausländer- und die Registergesetze. Im nicht öffentlichen Bereich sind z. B. das Telekommunikationsgesetz und das Telemediengesetz von besonderer Bedeutung. Alle Datenschutzregelungen gelten nur, wenn personenbezogene Daten verarbeitet werden. Dies sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person. Bestimmt ist die Person, wenn die Daten selbst einen unmittelbaren Rückschluss auf ihre Identität zulassen. Bestimmbar ist eine Person, wenn sie nicht durch die Angaben selbst, aber durch zusätzliche Kenntnisse identifiziert werden kann. Nicht personenbezogen sind anonyme oder pseudonyme Daten.

2. Grundprinzipien



Die im Folgenden beschriebenen Grundprinzipien des Ds. können als Schutzprogramm für die informationelle Selbstbestimmung verstanden werden: Jede Verwendung personenbezogener Daten ist ein Eingriff in das Grundrecht auf informationelle Selbstbestimmung. Sie ist daher nur zulässig, wenn der Gesetzgeber oder der Betroffene sie hinsichtlich Umfang und Zweck gebilligt haben. Enthält das Gesetz eine Erlaubnis, muss sie präzise und eindeutig die zugelassene Datenverarbeitung regeln. Soll eine Einwilligung die Datenverarbeitung erlauben, muss sie informiert, freiwillig und im Regelfall schriftlich erteilt werden.

Der Betroffene kann nur überprüfen, ob die Datenverarbeitung rechtmäßig ist, und seine Rechte wahrnehmen, wenn sie ihm gegenüber transparent ist. Ohne Transparenz wird er faktisch rechtlos gestellt. Daher sind die Daten grundsätzlich beim Betroffenen zu erheben. Er ist vor der Erhebung zu unterrichten, bei einer neuen Speicherung zu benachrichtigen und hat gegenüber dem Datenverarbeiter Auskunftsrechte.

Das Gesetz oder die Einwilligung erlauben die Datenverwendung nur zu einem bestimmten Zweck. Die Zulässigkeit der Datenverarbeitung ist auf diesen Zweck begrenzt. Eine Zweckänderung bedarf einer eigenen Erlaubnis. Der Betroffene soll in der Lage sein, die ihn betreffenden Daten entsprechend dem jeweiligen sozialen Kontext selbst zu steuern. Infolge dieser Zweckbindung sind eine informationelle Gewaltenteilung sicherzustellen, die Daten gegenüber Unberechtigten abzuschotten und ein Zugriffsschutz zu gewährleisten. Eine Datenverarbeitung auf Vorrat ist untersagt und die Bildung umfassender Profile verboten. Jede Verarbeitung personenbezogener Daten ist nur zulässig, soweit sie erforderlich ist, um den zulässigen Zweck zu erreichen: Es dürfen nur die Daten verarbeitet werden, die für das Erreichen des Zwecks unabdingbar sind. Die Datenverarbeitung ist auf die Phasen zu beschränken, die für das Erreichen des Zwecks notwendig sind. Sind die Daten nicht mehr erforderlich, sind sie zu löschen.

Zur Umsetzung des Vorsorgeprinzips im Schutz der informationellen Selbstbestimmung wird das Erforderlichkeitsprinzip um den Grundsatz der Datenvermeidung und Datensparsamkeit ergänzt. Während sich das Erforderlichkeitsprinzip auf einen vom Datenverarbeiter vorgegebenen Zweck bezieht, fordert das Prinzip der Datenvermeidung von ihm, seine Zwecke so auszuwählen und seine technisch-organisatorischen Verfahren vorsorgend so zu gestalten, dass sie möglichst keine oder so wenig personenbezogene Daten wie möglich verarbeiten. Kann im Prinzip auf den Personenbezug verzichtet werden, sind die Verfahren und Systeme so zu gestalten, das ein Personenbezug vermieden wird, soweit dies technisch möglich und verhältnismäßig ist. Informationelle Selbstbestimmung ist nur möglich, wenn der Betroffene Mitwirkungsmöglichkeiten hat und die Datenverarbeitung beeinflussen kann. Daher hat er Auskunftsrechte, Korrekturrechte sowie das Recht zum Widerspruch. Er kann Schadensersatz einfordern, wenn er durch eine unzulässige oder unrichtige Datenverarbeitung einen Schaden erleidet.

Ohne Stellen, die die Einhaltung der Rechte und Pflichten des Datenschutzrechts überwachen, wäre deren Durchsetzung gefährdet. Datenschutzkontrolle kann in Form der Fremdkontrolle durch unabhängige Kontrollstellen, aber auch in Form der Selbstkontrolle durch betriebliche und behördliche Datenschutzbeauftragte stattfinden. Die öffentliche Kontrolle findet entsprechend dem Föderalismusprinzip arbeitsteilig statt. Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit ist zur Kontrolle der Bundesbehörden und der Telekommunikationsdiensteanbieter zuständig, die Landesdatenschutzbeauftragten für die Kontrolle der Länderbehörden und die Aufsichtsbehörden der Länder für die Kontrolle der nicht-öffentlichen Stellen. Diese Aufsichtsbehörden sind nach einem Urteil des EuGH vom 9.3.2010 nicht ausreichend unabhängig. Daher erfolgen seit dem Urteil Umorganisationen dieser Aufsichtsbehörden. Ihre Aufgaben und ihr Personal werden in den meisten Ländern auf die Landesdatenschutzbeauftragten übertragen.

In einer technisierten Welt ist informationelle Selbstbestimmung nur noch möglich, wenn sie technisch unterstützt wird. Daher ist Ds. durch Technik notwendig. Dies ist zum einen möglich in Form des Selbstdatenschutzes: Dem Betroffenen sollen eigene Instrumente in die Hand gegeben werden, seine informationelle Selbstbestimmung selbst zu schützen. Selbstdatenschutz kann vor allem durch technische Möglichkeiten des anonymen und pseudonymen Handelns verbessert werden. Um Selbstdatenschutz zu ermöglichen werden zunehmend Privacy Enhancing Technologies entwickelt und angeboten. Eine andere Ausprägung des Ds. durch Technik ist der Systemdatenschutz: Er soll durch Gestaltung der Datenverarbeitungssysteme vor allem erreichen, dass so wenig personenbezogene Daten wie möglich verarbeitet werden. Darüber hinaus kann Systemdatenschutz zur Umsetzung weiterer datenschutzrechtlicher Ziele wie der informationellen Gewaltenteilung oder der Transparenz und Kontrolleignung der Datenverarbeitung eingesetzt werden. Zum Systemdatenschutz gehören auch die Maßnahmen zur Datensicherheit wie Zugangs- und Verarbeitungskontrollen. Systemdatenschutz soll vor allem durch Privacy by Design erreicht werden, indem die Hersteller Datenschutzfunktionen schon bei der Konzeption ihrer Systeme berücksichtigen. Viel für den Ds. gewonnen wäre, wenn die Hersteller ihre Geräte und Systeme und die Diensteanbieter ihre Dienste mit einer datenschutzfreundlichen Grundeinstellung ausliefern oder anbieten würden (Privacy by Default). Dies findet jedoch selten statt und ist derzeit auch noch nicht verpflichtend.

3. Datenschutz und innere Sicherheit



Seit dem 11.9.2001 hat die Politik der → inneren Sicherheit versucht, neue Erlaubnistatbestände zu erhalten, um immer wieder neue Techniken für ihre Zwecke der Beobachtung und Aufklärung zu nutzen: Neben dem althergebrachten Mithören der Telefonkommunikation – in den letzten Jahren z. B. Auswertung des Internet (Foren, Blogs, soziale Netzwerke), Überwachung von Mail- und Chatkommunikation, Überwachung der Mobilkommunikation, Verfolgung des Aufenthaltsorts durch GPS oder IMSI-Catcher, Video- und Tonaufzeichnungen im Freien, akustische und visuelle Überwachung von Räumen, Rasterfahndung, Online-Durchsuchung von Computern, Zugriff auf Kontostammdaten, Scanning von Kraftfahrzeugkennzeichen und Vorratsspeicherung von Verkehrsdaten der Telekommunikation – um nur einige der vielen neuen Überwachungsmaßnahmen zu nennen.

Nahezu alle neuen Überwachungsmaßnahmen waren auch Gegenstand von Verfahren vor dem BVerfG. Dieses hat die jeweiligen Ermächtigungsgrundlagen in vielen Fällen mit folgender Begründung aufgehoben: Zum Schutz der inneren Sicherheit können Eingriffe in Grundrechte zulässig sein, wenn sie ausreichend bestimmt und verhältnismäßig sind. Um zu verhindern, dass die Entscheidung über die Grenzen der Freiheit einseitig in das Ermessen der Verwaltung gestellt ist, müssen der Anlass, der Zweck und die Grenzen des Eingriffs in der Ermächtigung durch handlungsbegrenzende Tatbestandselemente bereichsspezifisch, präzise und normenklar festgelegt sein. Verhältnismäßig ist der Eingriff nur dann, wenn er keine einseitige Lösung verfolgt, sondern einen Ausgleich zwischen innerer Sicherheit und Grundrechtsschutz anstrebt. Er ist daher nur zulässig, wenn er ausschließlich bei einer hinreichenden Wahrscheinlichkeit der Verletzung überragend wichtiger Rechtsgüter erlaubt wird und ausreichende Schutzvorkehrungen für die betroffenen Grundrechte und gegen Missbrauch vorgesehen werden.


Quelle: Andersen, Uwe/Wichard Woyke (Hg.): Handwörterbuch des politischen Systems der Bundesrepublik Deutschland. 7., aktual. Aufl. Heidelberg: Springer VS 2013. Autor des Artikels: Alexander Roßnagel




 

Lexika-Suche

Dossier

Deutsche Demokratie

In der deutschen Demokratie ist die Macht auf mehr als 80 Millionen Menschen verteilt: Alle Bürger sind für den Staat verantwortlich. Aber wie funktioniert das genau? Wer wählt den Kanzler, wer beschließt die Gesetze? Und wie wird man Verfassungsrichter? Weiter... 

Dossier

Grundgesetz und Parlamentarischer Rat

Am 1. September 1948 traf in Bonn zum ersten Mal der Parlamentarische Rat zusammen, um das Grundgesetz für die Bundesrepublik Deutschland auszuarbeiten. Viele Fragen mussten beantwortet werden: Wie sollte der neue Staat aussehen? Nach welchen Prinzipien sollte er funktionieren? Weiter... 

Mediathek

Wie ein Gesetz entsteht

Gesetze bilden die Grundlage für das Zusammenleben in Deutschland. Bei ihrer Erstellung sind viele verschiedene Akteure eingebunden: der Bundestag, der Bundesrat, die Bundesregierung und der Bundespräsident. Wie funktioniert das Zusammenspiel? Was passiert bei Konflikten zwischen den Akteuren? Und was sind "Einspruchsgesetze"? Der Infofilm zeigt anschaulich die Entstehung eines Gesetzes - von der Initiative bis zur Verabschiedung. Weiter...