Meine Merkliste Geteilte Merkliste PDF oder EPUB erstellen

Datenschutz | bpb.de

Datenschutz

Alexander Roßnagel

Rechtsgrundlagen

Datenschutz ist die Gesamtheit von Regeln, Institutionen und Maßnahmen, um die informationelle Selbstbestimmung der Bürger zu schützen. Er schützt nicht die Daten (des Datenverarbeiters), sondern die Grundrechte der von einer Datenverarbeitung „betroffenen Person“ (gegen den Datenverarbeiter).

„Individuelle Selbstbestimmung“, so das Bundesverfassungsgericht (BVerfG) in seiner Entscheidung zur Volkszählung 1983 – „setzt … – auch unter den Bedingungen moderner Informationsverarbeitungstechnologien – voraus, dass dem Einzelnen Entscheidungsfreiheit über vorzunehmende oder zu unterlassende Handlungen einschließlich der Möglichkeit gegeben ist, sich auch entsprechend dieser Entscheidung tatsächlich zu verhalten“. Wer (aber) „nicht mit hinreichender Sicherheit überschauen kann, welche ihn betreffenden Informationen in bestimmten Bereichen seiner sozialen Umwelt bekannt sind, und wer das Wissen möglicher Kommunikationspartner nicht einigermaßen abzuschätzen vermag, kann in seiner Freiheit wesentlich gehemmt werden, aus eigener Selbstbestimmung zu planen oder zu entscheiden“ (BVerfGE 65, 1 (43)). Obwohl das Grundrecht auf informationelle Selbstbestimmung nicht im Grundgesetz (GG) steht, hat das BVerfG es als Bestandteil der Menschenwürde des Art. 1 Abs. 1 GG und der Entfaltungsfreiheit des Art. 2 Abs. 1 GG anerkannt. Es ist das zentrale Grundrecht der Informationsgesellschaft. Es „gewährleistet die Befugnis des Einzelnen, grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen“ (BVerfGE 65, 1 (43)). Mit anderem Wortlaut, aber vergleichbarem Inhalt schützt dieses Grundrecht seit 2009 auch Art. 8 EU-Grundrechtecharta.

Die Vorschriften des Datenschutzrechts dienen dem Schutz dieses Grundrechts. Das erste Datenschutzgesetz der Welt trat 1971 in HE in Kraft. Seitdem hat sich die Idee des Datenschutzes rasant fast über die gesamte Welt ausgebreitet. In der EU regelt die Datenschutz-Grundverordnung (EU) 2016/679 (DSGVO) seit 2016 den Datenschutz verbindlich und unmittelbar. Sie ist als EU-Verordnung seit dem 25.05.2018 in allen Mitgliedstaaten anwendbar und Teil ihrer jeweiligen Rechtsordnung. Gegenüber dem deutschen Datenschutzrecht genießt sie Anwendungsvorrang. Allerdings lässt sie in 70 Öffnungsklauseln dem Datenschutz in den Mitgliedstaaten einen großen Spielraum. Für den öffentlichen Bereich gilt daher das (z. T. angepasste) Datenschutzrecht des Bundes (für die Bundesverwaltung im Bundesdatenschutzgesetz) und der Länder (für die Landesverwaltung in den Landesdatenschutzgesetzen). Diesen generellen Datenschutzregelungen gehen viele Spezialregelungen für bestimmte Bereiche vor. Dies gilt im öffentlichen Bereich etwa für die Polizeigesetze, die Melde-, Pass- und Ausweisgesetze, die Ausländer- und die Registergesetze. Die DSGVO ist in der Praxis wirksam hinsichtlich der grundsätzlichen Regelungen des Datenschutzes und für den Datenschutz im nicht-öffentlichen Bereich.

Alle Datenschutzregelungen gelten nur, wenn personenbezogene Daten verarbeitet werden. Dies sind Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Identifiziert ist eine Person, wenn die Daten selbst einen unmittelbaren Rückschluss auf ihre Identität zulassen. Identifizierbar ist sie, wenn sie nicht durch die Informationen selbst, aber durch zusätzliche Kenntnisse des Datenverarbeiters (Verantwortlichen) identifiziert werden kann. Nicht personenbezogen sind anonyme Daten.

Zulässigkeit der Datenverarbeitung

Jede Verarbeitung personenbezogener Daten ist ein Eingriff in die Grundrechte auf informationelle Selbstbestimmung und Datenschutz der betroffenen Person. Sie ist daher nur zulässig, wenn der Gesetzgeber oder der Betroffene sie hinsichtlich Umfang und Zweck gebilligt haben. Enthält das Gesetz eine Erlaubnis, muss sie präzise und eindeutig die zugelassene Datenverarbeitung regeln. Soll eine Einwilligung die Datenverarbeitung erlauben, muss sie informiert, freiwillig und ausreichend bestimmt sein.

Die Zulässigkeit der Verarbeitung personenbezogener Daten ist in Art. 6 und 9 DSGVO geregelt.

Für die Datenverarbeitung in der Wirtschaft sind vor allem die abstrakten Erlaubnistatbestände des Art 6 Abs. 1 UAbs. 1 Buchst. a, b und f DSGVO relevant. Die Datenverarbeitung ist zulässig, wenn die betroffene Person darin eingewilligt hat (a), wenn sie erforderlich ist, um einen Vertrag mit der betroffenen Person zu erfüllen (b) oder wenn sie zur Wahrung berechtigter Interessen erforderlich ist und nicht die Interessen der betroffenen Person an der Nichtverarbeitung überwiegen (c).

Dagegen gelten im öffentlichen Bereich aufgrund der Öffnungsklauseln in Art. 6 Abs. 2 und 3 DSGVO überwiegend die Datenschutzgesetze der Mitgliedstaaten, die diese beibehalten oder neu erlassen können.

Die Verarbeitung besonderer Kategorien personenbezogener Daten ist nach Art. 9 Abs. 1 DSGVO grundsätzlich untersagt. Als solche gelten Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung. Solche Daten darf ein Verantwortlicher nach Art. 9 Abs. 2 DSGVO nur ausnahmsweise verarbeiten, wenn die betroffene Person ausdrücklich eingewilligt hat oder wenn in besonders aufgelisteten Fällen (z. B. im Medizinbereich) der nationale Gesetzgeber dies erlaubt hat.

Grundprinzipien

Ist die Datenverarbeitung zulässig, muss sie die folgenden Grundprinzipien des Datenschutzes beachten. Diese sind in Art. 5 Abs. 1 DSGVO geregelt und sind als Schutzprogramm für die informationelle Selbstbestimmung zu verstehen:

  • Nach Buchst. a müssen personenbezogene Daten „auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden“. Ohne Transparenz wird die betroffene Person faktisch rechtlos gestellt. Sie kann nur überprüfen, ob die Datenverarbeitung rechtmäßig ist, und ihre Rechte wahrnehmen, wenn sie ihr gegenüber transparent ist.

  • Nach Buchst. b müssen personenbezogene Daten „für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden“. Diese Zweckbindung soll der betroffenen Person ermöglichen, die sie betreffende Datenverarbeitung entsprechend dem jeweiligen sozialen Kontext selbst zu steuern.

  • Nach Buchst. c muss die Datenverarbeitung „dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt“ sein. Der Grundsatz der Datenminimierung beschränkt die Datenverarbeitung und damit die Tiefe des Eingriffs in das Grundrecht auf Datenschutz auf das Erforderliche. Damit unterstützt er den Grundsatz der Zweckbindung.

  • Nach Buchst. d muss die Datenverarbeitung „sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein“. Der Grundsatz der Richtigkeit betrifft die Datenqualität. Unrichtige personenbezogene Daten sollen gelöscht oder berichtigt werden.

  • Nach Buchst. e müssen personenbezogene Daten „in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist“. Dieser Grundsatz der Speicherbegrenzung setzt zusammen mit Buchst. c das Ziel der Datensvermeidung um und verbietet eine Datenverarbeitung auf Vorrat.

  • Nach Buchst. f dürfen personenbezogene Daten nur „in einer Weise verarbeitet werden, die eine angemessene Sicherheit … gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung“.

  • Nach Art. 5 Abs. 2 DSGVO ist der Verantwortliche für die Einhaltung der Grundsätze verantwortlich und muss ihre Einhaltung nachweisen können. Er muss aktiv Maßnahmen ergreifen, um die Grundsätze in seinen Datenverarbeitungsvorgängen umzusetzen.

Rechte der betroffenen Person

Informationelle Selbstbestimmung ist nur möglich, wenn die betroffene Person Mitwirkungsmöglichkeiten hat und die Datenverarbeitung beeinflussen kann. Daher hat sie nach Art. 15 bis 22 DSGVO Rechte zur Auskunft, zur Berichtigung, zur Löschung, zur Einschränkung, zur Datenübertragung und zum Widerspruch. Nach Art. 22 DSGVO darf sie auch grundsätzlich nicht einer ausschließlich automatisiert getroffenen Entscheidung unterworfen werden, die ihr gegenüber beeinträchtigende Wirkung hat. Regelungen der Mitgliedstaaten dürfen nach Art. 23 DSGVO diese Rechte allerdings einschränken und tun dies in vielen Fällen auch.

Die betroffene Person kann aber nicht nur diese Rechte gegenüber dem Verantwortlichen geltend machen und bei einem Fehlverhalten gegen ihn klagen, sondern nach Art. 77 und 78 DSGVO auch bei der Aufsichtsbehörde Beschwerde einlegen und gegen einen Beschluss der Behörde klagen. Liegt ein Datenschutzverstoß vor, den der Verantwortliche schuldhaft verursacht hat, muss er nach Art. 82 DSGVO der betroffenen Person den ihr entstandenen Schaden ersetzen. In all diesen Fällen kann sie sich nach Art. 80 DSGVO bei diesen Beschwerden und Rechtsmitteln durch einen Verband vertreten lassen. Diese kollektive Interessenvertretung gibt den Rechten der betroffenen Person eine besondere Durchsetzungschance.

Kontrolle und Durchsetzung

Ohne Stellen, die die Einhaltung der Rechte und Pflichten des Datenschutzrechts überwachen, wäre deren Durchsetzung gefährdet. Datenschutzkontrolle kann in Form der Fremdkontrolle durch unabhängige Aufsichtsbehörden, aber auch in Form der Selbstkontrolle durch betriebliche und behördliche Datenschutzbeauftragte stattfinden. Für die Fremdkontrolle bietet die DSGVO in Art. 58 wirksame Durchsetzungsbefugnisse, die bis zum Verbot einer Datenverarbeitung und zur Anordnung der Datenlöschung reichen. Außerdem kann die Aufsichtsbehörde Datenschutzverstöße nach Art. 83 DSGVO mit Geldbußen von bis zu 20 Mio. Euro oder im Fall eines Unternehmens von bis zu 4 % seines weltweiten Jahresumsatzes des vergangenen Geschäftsjahrs verhängen.

Die öffentliche Kontrolle findet in D entsprechend dem Föderalismusprinzip arbeitsteilig statt. Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit ist zur Kontrolle der Bundesbehörden und der Telekommunikationsanbieter zuständig, die Landesdatenschutzbeauftragten kontrollieren die Länderbehörden und die nicht-öffentlichen Stellen.

Datenschutz durch Technik

In einer technisierten Welt ist informationelle Selbstbestimmung nur noch möglich, wenn sie technisch unterstützt wird. Daher ist Datenschutz durch Technik unabdingbar. Dies ist zum einen möglich in Form des Selbstdatenschutzes: Dem Betroffenen sollen eigene Instrumente in die Hand gegeben werden, seine informationelle Selbstbestimmung durch technische Schutzmechanismen wie Anonymisierung und Verschlüsselung selbst zu schützen. Eine andere Ausprägung des Datenschutzes durch Technik ist der Systemdatenschutz: Er soll durch Gestaltung der Datenverarbeitungssysteme vor allem erreichen, dass so wenig personenbezogene Daten wie möglich verarbeitet werden. Hierzu fordert die DSGVO in Art. 25 vom Verantwortlichen, seine Datenverarbeitung so zu gestalten, dass sie die Datenschutzanforderungen von selbst erfüllt („Privacy by Design“) und eine datenschutzfreundliche Grundeinstellung bietet („Privacy by Default“). Diese Forderung dürfte jedoch weitgehend wirkungslos bleiben, weil sie sich nicht an die Hersteller von IT-Systemen,, sondern an die Verantwortlichen richtet, die meist die Technik nur nutzen und ihre Gestaltung wenig beeinflussen können.

Ausblick

Datenschutz steht derzeit vor vielen Herausforderungen, die vor allem durch die dynamische Technikentwicklung hin zu einer allgegenwärtigen Datenverarbeitung und zu personalisierten Systemen und Dienstleistungen sowie durch invasive Geschäftsmodelle auf der Grundlage kostenloser Angebote verursacht werden. Diese erfordern eine Identifizierung des Nutzers und sammeln Profile, um individuell angepasste Unterstützung und Werbung anzubieten. Die erforderliche umfassende Modernisierung des Datenschutzrechts, um den dadurch verursachten Grundrechtsrisiken wirksam zu begegnen, ist durch die DSGVO noch nicht gelungen. Sie hat die Vereinheitlichung des Datenschutzrechts in der EU durch die vielen Öffnungsklauseln für die Mitgliedstaaten verfehlt und die Risikoadäquanz ihrer Regelungen durch eine übertriebene Technikneutralität ihrer Anforderungen versäumt. In keiner Regelung werden die spezifischen Grundrechtsrisiken zum Beispiel von smarten Informationstechniken im Alltag, Big Data, Cloud Computing oder datengetriebenen Geschäftsmodellen angesprochen oder gar gelöst. Vielmehr gelten die gleichen Zulässigkeitsregeln, Zweckbegrenzungen oder Rechte der betroffenen Person für die Kundenliste beim „Bäcker um die Ecke“ wie für diese risikoreichen Datenverarbeitungsformen. Die wirkliche Modernisierung des Datenschutzes steht noch aus.

Quelle: Andersen, Uwe/Wichard Woyke (Hg.): Handwörterbuch des politischen Systems der Bundesrepublik Deutschland. 8., aktual. Aufl. Heidelberg: Springer VS 2021. Autor des Artikels: Alexander Roßnagel

Fussnoten