Datenschutzrecht

D. Entwicklung, Grundstrukturen und Systematik des Datenschutzrechts

1. Kapitel Grundlagen › D. Entwicklung, Grundstrukturen und Systematik des Datenschutzrechts › I. Einführung

I. Einführung

119

Das jetzige Zusammenspiel von Unionsrecht und nationalem Datenschutzrecht in Deutschland ist schwer verständlich, wenn man sich nicht die Entstehungsgeschichte der verschiedenen Kodifikationen auf nationaler (dazu I.) und europäischer Ebene (dazu II.) bis zum jetzigen Status quo (dazu III.) vor Augen führt. Dabei wird auch deutlich, dass das jetzige BDSG zwar begrifflich in der Tradition allgemeiner bundesdeutscher datenschutzrechtlicher Regelungen steht, aber eine stark modifizierte Funktion im Vergleich zu seinen Vorgängerregelungen aufweist.

1. Kapitel Grundlagen › D. Entwicklung, Grundstrukturen und Systematik des Datenschutzrechts › II. Anfänge und weitere Entwicklung des deutschen Datenschutzrechts

II. Anfänge und weitere Entwicklung des deutschen Datenschutzrechts

1. Der Weg zum BDSG 1977

120

Das Datenschutzrecht ist in Deutschland gleichsam „bottom up“ zunächst auf der Ebene der Bundesländer entstanden. Die Initialzündung ging vom Hessischen Landesdatenschutzgesetz im Jahr 1970 aus, das weltweit die erste datenschutzrechtliche Kodifikation darstellte.[1] Vier Jahre später folgte eine vergleichbare Regelung in Rheinland-Pfalz.[2] Erst sieben Jahre später, am 27.1.1977, beschloss der Bundesgesetzgeber eine umfangreiche Kodifikation mit dem „Gesetz zum Schutz vor Missbrauch personenbezogener Daten bei der Datenverarbeitung“ – dem ersten BDSG[3]. Insgesamt hat sich die Grundstruktur des BDSG 1977 vierzig Jahre lang gehalten, so dass erst die Neuordnung durch das BDSG 2018 in Verbindung mit der DS-GVO einen fundamentalen Strukturwechsel mit sich bringt. So setzte der kodifikatorische Ansatz schon früh auf eine umfassende Regelung auf der Basis eines Verbots mit Zulässigkeitstatbeständen, die entweder in Form einer Einwilligung oder spezifischen Regelungen in den allgemeinen Datenschutzgesetzen oder in anderweitigen bereichsspezifischen Normen erfolgte. Ferner sah das BDSG 1977 neben materiell-rechtlichen Regelungen auch umfassende Betroffenenrechte vor. Das BDSG von 1977 führte sodann auch die Unterscheidung zwischen öffentlichen und nichtöffentlichen Stellen bei der Datenverarbeitung ein, die sich – trotz fehlender Entsprechung im Unionsrecht – auch im jetzigen BDSG – allerdings in deutlich abgeschwächter Form – fortschreibt (dazu → Rn. 207 und 235 f.). So folgte die Grobgliederung des BDSG 1977 einer Dreiteilung in einen knappen allgemeinen Abschnitt und einen umfassenden Abschnitt zur Datenverarbeitung der Behörden und sonstigen öffentlichen Stellen einerseits sowie zwei Abschnitten zur Datenverarbeitung durch nichtöffentliche Stellen, differenziert danach, ob diese für eigene oder für fremde Zwecke erfolgte. Auch die Datenschutzaufsicht wurde für öffentliche und nichtöffentliche Stelle unterschiedlich normiert. Selbst die Betroffenenrechte wiesen zwar zwischen beiden Bereichen große Parallelen auf, waren jedoch jeweils getrennt geregelt. Ein fünfter Abschnitt normierte Straf- und Bußgeldvorschriften. 47 Paragrafen sah das damalige BDSG vor. An dieser Grundstruktur hat sich in den folgenden vier Dekaden wenig geändert. Bemerkenswert ist, dass unmittelbar nach der Verabschiedung des BDSG von 1977 eine Debatte um die Reformbedürftigkeit der eben erst verabschiedeten Normen einsetzte.[4]

Anmerkungen

[1]

Der Text des Hessischen Landesdatenschutzgesetzes ist abrufbar unter: https://www.rv.hessenrecht.hessen.de/bshe/document/jlr-DSIFGHEV1IVZ (Abruf: 12.1.2021).

[2]

Landesgesetz gegen missbräuchliche Datennutzung, GVBl. 1974, 31.

[3]

Gesetz vom 27.1.1997, GVBl. 1977 I 201 ff.

[4]

Simitis, in: Simitis (Hrsg.), Kommentar zum BDSG, 8. Aufl. 2014, Einleitung, Rn. 52.

2. Das BDSG 1990

121

Trotz der schon seit vielen Jahren geführten Debatte und des Maßstab setzenden Volkszählungsurteils aus dem Jahre 1983 (dazu → Rn. 67 ff.) kam es erst 1990 zu einer weiteren Reform des BDSG, das allerdings nach wie vor als rückständig im Vergleich zu den Regelungen mancher Landesdatenschutzgesetze angesehen wurde.[1] Die Struktur des BDSG 1990 wurde insoweit klarer, als in den Abschnitten zu den öffentlichen und nichtöffentlichen Stellen jeweils übersichtlicher in Unterabschnitten getrennt wurde zwischen den materiell-rechtlichen Vorschriften, den prozeduralen Betroffenenrechten und den institutionellen Vorgaben zur Datenschutzaufsicht. Die Regelungen für nichtöffentliche Stellen wurden auf öffentlich-rechtliche Wettbewerbsunternehmen erstreckt und die Ausdifferenzierung zwischen einer Datenverarbeitung für eigene Zwecke und einer geschäftsmäßigen Datenverarbeitung wurde von der Ebene der Bildung eigener Unterabschnitte auf eine Ausdifferenzierung in verschiedene Paragrafen „heruntergezont“. Die Reform war ansonsten im Wesentlichen eine Fortschreibung des bisherigen Konzepts mit beachtlichen Änderungen im Detail, wobei der Fokus klar auf dem öffentlichen Bereich, also der Datenverarbeitung durch staatliche Institutionen, lag.[2] Es wurde der sachliche Anwendungsbereich des Gesetzes dahingehend ergänzt, dass jegliche Datenverarbeitung öffentlicher Stellen fortan dem Datenschutzrecht unterfallen sollte, insbesondere auch wenn sie nicht automatisiert oder in einer Datei erfolgte, sondern in Akten.[3] Die Datenerhebung, die vorrangig bei der betroffenen Person erfolgen sollte, sowie die Datennutzung waren nun ebenfalls vom Anwendungsbereich des Datenschutzrechts umfasst.[4] Daneben wurden die Legaldefinitionen ausgeweitet, so z.B. für den Begriff des Anonymisierens, und ein verschuldensunabhängiger Schadensersatzanspruch für unzulässige Datenverarbeitung durch die öffentliche Hand statuiert.[5] Im nichtöffentlichen Bereich wurde lediglich der Auskunftsanspruch erweitert.[6] Diese Gesetzesstruktur wurde bis zur großen Novelle im Rahmen der Schaffung des BDSG 2018 beibehalten. Abermals war es so, dass annähernd zeitgleich mit der Verabschiedung des BDSG von 1990 die Debatte um die Notwendigkeit eines Datenschutzrechts auf europäischer Ebene und damit eine erneute Reformdebatte begann.[7]

Anmerkungen

[1]

Simitis, in: Simitis (Hrsg.), Kommentar zum BDSG, 8. Aufl. 2014, Einleitung, Rn. 82: „Flickwerk missglückter Formulierungen und interpretationsoffener Formelkompromisse“.

[2]

BT-Drs. 12/553, S. 85 ff.; vgl. auch Simitis, in: Simitis (Hrsg.), Kommentar zum BDSG, 8. Aufl. 2014, Einleitung, Rn. 66.

[3]

BT-Drs. 12/553, S. 85.

[4]

BT-Drs. 12/553, S. 85.

[5]

BT-Drs. 12/553, S. 85 ff.

[6]

BT-Drs. 12/553, S. 87.

[7]

BT-Drs. 12/553, S. 87.

3. Richtlinie 95/46/EG (DSRL) und BDSG 2001

122

Die nächste Überarbeitung des BDSG war dann bereits durch das europäische Recht geprägt: Es galt, die Richtlinie 95/46/EG in das deutsche Recht zu überführen (dazu sogleich → Rn. 132). Dies geschah mit einiger Verspätung im BDSG von 2001. Die größte Neuerung der Novelle, die vor dem Eindruck eines von der Kommission eingeleiteten Vertragsverletzungsverfahrens gegen Deutschland[1] „hektisch“ die DSRL in nationales Recht transformierte, war dabei die Möglichkeit des freien Datenverkehrs im Binnenmarkt. Vor allem für Unternehmen brachte das einige Vorteile in der täglichen Praxis. Inhaltlich beschränkte man sich weitgehend auf die Umsetzung der DSRL (siehe dazu → Rn. 132). Einige neue inhaltliche Vorgaben beinhaltete die Reform gleichwohl. Dazu zählten Regelungen wie etwa diejenigen zur Videoüberwachung öffentlich zugänglicher Räume und zu Prinzipien der Datenvermeidung und Datensparsamkeit. Das BDSG gliederte sich auch nach der Reform noch in Regelungen für öffentliche und nichtöffentliche Stellen, obwohl diese Unterscheidung so in der DSRL nicht angelegt war. Noch weniger als bei den vorherigen BDSG-Novellen war mit Verabschiedung des Gesetzes die Debatte um eine große Reform abgeschlossen. Vielmehr beabsichtigte man bereits vor (!) der Verabschiedung des Gesetzes eine baldige weitere Reform, in der dann die inhaltlichen Neuerungen, die aufgrund des Zeitdrucks ausgespart blieben, aufgenommen werden sollten.[2]

Anmerkungen

[1]

Simitis, in: Simitis (Hrsg.), Kommentar zum BDSG, 8. Aufl. 2014, Einleitung, Rn. 196.

[2]

Simitis, in: Simitis (Hrsg.), Kommentar zum BDSG, 8. Aufl. 2014, Einleitung, Rn. 100.

4. Kleinere Novellen in 2009 und 2010

123

In der folgenden Dekade erfolgten dann aber nur noch kleinere Novellen. So hatte der Gesetzgeber im Jahr 2009 das BDSG insgesamt drei kleineren Novellen unterzogen, deren Änderungen schrittweise erfolgten. Die zweite Novelle[1] trat bereits zum 1.7.2009 in Kraft, die Änderungen der ersten[2] und dritten[3] hingegen folgten erst zum 1.4. bzw. zum 11.6.2010, weil der Bundestag aufgrund vermehrter Datenschutzverstöße großer deutscher Unternehmen dringenden Handlungsbedarf ausmachte und es deshalb für geboten hielt, die zweite Novelle sehr kurzfristig zu verabschieden.[4] Mit ihr sollte rasch gegen skandalöse Datenschutzverstöße vorgegangen werden, die auf große Resonanz in der Öffentlichkeit gestoßen waren. So wurde z.B. eine neue Informationspflicht bei unrechtmäßiger Kenntniserlangung von Daten anlässlich eines Skandals in Berlin um verlorene Bankdaten im neuen § 42a in das BDSG a.F. eingeführt oder aufgrund seinerzeit umstrittener Videoüberwachungsmaßnahmen bei Lidl eine Beschäftigtendatenschutznorm in § 32 BDSG a.F. aufgenommen. Die Änderungen im Rahmen der dritten Novelle (2010), die auf Art. 9 der Verbraucherkreditrichtlinie[5] zurückgehen, hatten ihren Schwerpunkt nicht im Datenschutzrecht. Sie bezweckten lediglich, dass Kreditgebern aus sämtlichen Mitgliedstaaten bei grenzüberschreitenden Krediten ein diskriminierungsfreier Zugang zu den zur Bewertung der Kreditwürdigkeit des Verbrauchers verwendeten Auskunftssystemen gewährt wird.

124

Die erste Novelle (2009) enthielt Regelungen hinsichtlich der Datenverarbeitung durch Auskunfteien sowie der Datenübermittlung an Auskunfteien, stellte Anforderungen für die Zulässigkeit von Scoringverfahren auf und stärkte die Auskunfts- und Informationsrechte der betroffenen Personen. Die Neuregelung unterwarf damit einen für die betroffene Person besonders sensiblen Bereich einem differenzierten Regime, weil entsprechende Datenverarbeitungen für die betroffenen Personen – z.B. im Rahmen des Abschlusses eines Kredits bzw. kreditähnlichen Geschäfts – in der Regel direkte Auswirkungen auf den Bezug der gewünschten Leistungen haben.

125

In der zweiten Novelle (ebenfalls 2009) wurden zunächst materiell-rechtliche Änderungen vorgenommen. Neben der Schaffung von Rechtsklarheit bei der Auftragsverarbeitung (damalige Terminologie: Auftragsdatenverarbeitung) hat der Gesetzgeber hier insbesondere versucht, die geltenden Grundsätze beim Beschäftigtendatenschutz zusammenzufassen sowie im Rahmen der Datenverarbeitung zu Werbe- und Adresshandelszwecken der Einwilligung der betroffenen Person mehr Gewicht zu verleihen. Die wohl wichtigsten Änderungen der Novelle erfolgten aber im institutionellen Bereich. Um dem bestehenden Vollzugsdefizit entgegenzuwirken, hat der Gesetzgeber insoweit an drei Stellen Änderungen vorgenommen. So stärkte er auf unternehmensinterner Ebene die Stellung des Datenschutzbeauftragten und erweiterte auf unternehmensexterner Ebene sowohl die Befugnisse der Aufsichtsbehörden als auch die Sanktionsmaßnahmen, die ihnen zur Verfügung standen.

Anmerkungen

[1]

Gesetz zur Änderung datenschutzrechtlicher Vorschriften v. 14.8.2009, BGBl. I, S. 2814; ausführlich zum Gesetzgebungsverfahren Roßnagel, NJW 2009, 2716 (2717).

[2]

Gesetz zur Änderung des Bundesdatenschutzgesetzes v. 29.7.2009, BGBl. I, S. 2254; ausführlich zum Gesetzgebungsverfahren Roßnagel, NJW 2009, 2716 (2717).

[3]

Gesetz zur Umsetzung der Verbraucherkreditrichtlinie des zivilrechtlichen Teils der Zahlungsdiensterichtlinie sowie zur Neuordnung der Vorschriften über das Widerrufs- und Rückgaberecht v. 29.7.2009, BGBl. I, S. 2355, 2384.

[4]

Vgl. ausführlich zur Novellierung des BDSG Kühling/Bohnen, JZ 2010, 600 und Bohnen, Die BDSG Novellen 2009/2010, 2011.

[5]

RL 2008/48/EG v. 23.4.2008 über Verbraucherkreditverträge und zur Aufhebung der Richtlinie 87/102/EWG des Rates, ABl. EU 2008, L 133/66.

5. Grundstruktur des BDSG a.F.

126

Das BDSG a.F. – und ihm folgend grundsätzlich auch die Landesdatenschutzgesetze – war in seiner letzten Fassung in sechs Abschnitte untergliedert, von denen vor allem die ersten drei von Bedeutung waren. Der erste Abschnitt war als allgemeiner Teil gleichsam „vor die Klammer gezogen“ und enthielt grundlegende Bestimmungen, die im gesamten Anwendungsbereich des BDSG a.F. Geltung beanspruchten. Im Übrigen erfolgte der Einstieg gemäß der klassischen Systematik über die Festlegung von Zweck und Anwendungsbereich in § 1 BDSG a.F. Hieran knüpften in den §§ 2 und 3 BDSG a.F. Begriffsbestimmungen an. Ein wesentlicher Aspekt der Regelungssystematik wurde bereits hier anhand des § 2 BDSG a.F. deutlich. Dieser war speziell der Definition von öffentlichen und nichtöffentlichen Stellen gewidmet und betonte damit die Bedeutung jener grundlegenden Differenzierung, die auch den weiteren Aufbau des Gesetzes entscheidend prägte. So waren öffentliche Stellen bis zuletzt grundsätzlich anderen Regeln unterworfen als nichtöffentliche. Sowohl materiell-rechtlich als auch prozedural liefen die Regelungen inhaltlich in weiten Teilen jedoch parallel; auch auf der institutionellen Ebene kam es zu Angleichungsprozessen und zwar sowohl mit Blick auf das BDSG a.F. als auch hinsichtlich der LDSGe a.F., so dass zuletzt auch in allen Bundesländern bis auf Bayern eine einheitliche Datenschutzaufsichtsbehörde für öffentliche und nichtöffentliche Stellen tätig wurde (dazu → Rn. 728).

1. Kapitel Grundlagen › D. Entwicklung, Grundstrukturen und Systematik des Datenschutzrechts › III. Die Prägung des Datenschutzrechts durch das Unionsrecht

III. Die Prägung des Datenschutzrechts durch das Unionsrecht

1. Die verschiedenen Sekundärrechtsakte im Überblick

127

Geprägt durch die Vorgaben und Impulse im Rahmen des Europarates (siehe → Rn. 32 ff.) nahm sich auch die damalige Europäische Wirtschaftsgemeinschaft und spätere Europäische Gemeinschaft der Regelung des Datenschutzes an. Von entscheidender umfassender – horizontaler, also nicht sektoraler – Regelungsnatur ist insoweit die Datenschutzrichtlinie 95/46/EG gewesen (dazu unter 2.), die bis zu ihrer Ablösung durch die Datenschutz-Grundverordnung (DS-GVO) im Jahr 2018 (dazu → Rn. 185 ff.) das europäische Datenschutzrecht maßgeblich geprägt hat. Ergänzt wurde sie in sektoraler Perspektive durch die Richtlinie vom 12.7.2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation – EDSRL),[1] zuletzt geändert durch Richtlinie 2009/136/EG[2] (dazu unter → Rn. 156 ff.). Diese gilt zwar noch. Sie soll jedoch in der Folge der Überführung der horizontalen Richtlinie 95/46/EG in eine Datenschutz-Grundverordnung ebenfalls in die Handlungsform einer Verordnung transformiert und modifiziert werden (dazu → Rn. 202).

128

Eine große Bedeutung hatte daneben die Richtlinie vom 15.3.2006 über die Vorratsspeicherung von Daten, die bei der Bereitstellung öffentlich zugänglicher elektronischer Kommunikationsdienste oder öffentlicher Kommunikationsnetze erzeugt oder verarbeitet werden, und zur Änderung der Richtlinie 2002/58/EG[3] (dazu unter 4.). Im April 2014 hat der EuGH die Vorratsdatenspeicherungsrichtlinie wegen Verstoßes gegen das Grundrecht auf Achtung des Privat- und Familienlebens (Art. 7 GrCh), das Grundrecht auf Schutz personenbezogener Daten (Art. 8 GrCh) sowie den Verhältnismäßigkeitsgrundsatz (Art. 52 GrCh) für ungültig erklärt (dazu → Rn. 164 ff.).[4] Wegen ihrer erheblichen datenschutzrechtlichen Relevanz und der ungebrochen aktuellen rechtlichen und gesellschaftspolitischen Bedeutung der zugrunde liegenden Problematik soll vorliegend gleichwohl eine nähere Darstellung erfolgen (dazu → Rn. 164 ff.).

129

Darüber hinaus hatte bislang die Verarbeitung personenbezogener Daten, die im Rahmen der polizeilichen und justiziellen Zusammenarbeit in Strafsachen erfolgt, den Vorgaben des Rahmenbeschlusses des Rates vom 27.11.2008 über den Schutz personenbezogener Daten, die im Rahmen der PJZS verarbeitet werden, zu genügen.[5] Der Rahmenbeschluss war ausweislich seines Art. 29 Abs. 1 bis zum 27.11.2010 von den Mitgliedstaaten umzusetzen. Er galt nur für den grenzüberschreitenden Austausch von personenbezogenen Daten innerhalb der EU, nicht aber für die Datenverarbeitung innerhalb der Mitgliedstaaten. Das Zweckbindungsprinzip war im Rahmenbeschluss zwar grundsätzlich verankert, gleichzeitig enthielt der Beschluss jedoch eine Fülle von Ausnahmen, die das Zweckbindungsprinzip eher selbst zur Ausnahme als zur Regel machen. Weiterhin ersetzte der Rahmenbeschluss nicht die auf EU-Ebene erlassenen sektorspezifischen Vorschriften über die PJZS wie etwa die Rechtsakte über Europol, Eurojust und das Schengener Informationssystem, die spezielle Datenschutzvorschriften enthalten. Aus diesen Gründen hat die Europäische Union im Zuge der vertieften Harmonisierung auf der Basis der neuen Rechtsgrundlagen des AEUV, auch den datenschutzrechtlichen Bereich der PJZS harmonisiert, und zwar in Form einer Richtlinie (dazu → Rn. 199 ff. und 876 ff.).

Anmerkungen

[1]

RL 2002/58/EG, ABl. EG 2002, L 201, 37.

[2]

RL 2009/136/EG, ABl. EU 2009, L 337, 11.

[3]

RL 2006/24/EG, ABl. EU 2006, L 105, 54.

[4]

EuGH, Urt. v. 8.4.2014, C-293/12 u. C-594/12, ECLI:EU:C:2014:238 – Digital Rights Ireland und Seitlinger u.a.

[5]

Rahmenbeschluss 2008/977/JI, ABl. EU 2008, L 350/60.

2. Umfassende horizontale Regelung in der Richtlinie 95/46/EG (DSRL)[1]

Anmerkungen

[1]

Der folgende Abschnitt ist stark orientiert an Kühling/Raab, in: Kühling/Buchner (Hrsg.), DS-GVO/BDSG, 3. Aufl. 2020, Einführung.

a) Entstehung, Rechtsgrundlage und Kerngehalt

130

Das Europäische Parlament forderte bereits 1975[1], 1976[2], 1979[3] und 1982[4] eine Regelung der Datenverarbeitung, um die Grundrechte des Einzelnen auch im Bereich der sich intensivierenden transeuropäischen Datenströme abzusichern. Die Europäische Kommission reagierte zeitverzögert und präsentierte 1990[5] ein erstes und 1992[6] ein revidiertes zweites Maßnahmenpaket. Die angestrebte Vollendung des Binnenmarkts, aber auch die Einsicht, dass eine menschen- und bürgerrechtliche Absicherung des Gemeinschaftsinformationsmarkts im „Europa der Bürger“ unumgänglich ist, führte 1995 zum Erlass der allgemeinen Datenschutzrichtlinie 95/46/EG.

131

Der Schwerpunkt dieser Richtlinie lag auf der Angleichung des materiell-rechtlichen Datenschutzrechts (dazu unter b)) und der Betroffenenrechte (dazu unter c)). Zwar wurden auch einzelne wichtige institutionelle und prozedurale Zielvorgaben formuliert, gerade in diesen Bereichen überließ die Richtlinie den einzelnen Mitgliedstaaten jedoch erhebliche Ausgestaltungsspielräume.