Minu raamatud
Minu raamatudOstukorvLoendid
Kõik 345 žanrit

Datenschutzrecht

Tekst
Raamat on saksa keeles
Autorid:, ,
Sari: Start ins Rechtsgebiet
0
Arvustused
Loe katkendit
Märgi loetuks
Kuidas lugeda raamatut pärast ostmist
Nutitelefon,
tahvelarvutiArvuti,
sülearvutiE-luger
Šrift:Väiksem АаSuurem Aa

Anmerkungen

[1]

Entschließung des EP v. 13.3.1975, ABl. EG 1975, C 60/48.

[2]

Entschließung des EP v. 3.5.1976, ABl. EG 1976, C 100/27.

[3]

Entschließung des EP v. 8.5.1979, ABl. EG 1979, C 140/29.

[4]

Entschließung des EP v. 9.3.1982, ABl. EG 1982, C 87/39.

[5]

Mitteilung der Kommission zum Schutz von Personen bei der Verarbeitung personenbezogener Daten in der Gemeinschaft und zur Sicherheit der Informationssysteme v. 13.9.1990, KOM(90) 314 final – SYN 287 u. 288.

[6]

Vorschlag für eine Richtlinie des Rates zum Schutz von Individuen im Hinblick auf die Verarbeitung personenbezogener Daten und den freien Datenverkehr v. 15.10.1992, KOM(92) 422 final – SYN 287.

b) Materiell-rechtlicher Schwerpunkt

aa) Weiter Anwendungsbereich

132

Als Anwendungsbereich markierte die Richtlinie gemäß Art. 3 Abs. 1 die auch nur teilweise automatisierte Verarbeitung personenbezogener Daten ebenso wie die nicht automatisierte Verarbeitung, sofern eine Speicherung dann in einer Datei erfolgte. Die Richtlinie verlagerte damit den datenschutzrechtlichen Anknüpfungspunkt vom Dateibegriff allgemein hin zur automatisierten Verarbeitung personenbezogener Daten.[1] Zwar war in Deutschland für die private Datenverarbeitung der Dateibegriff ausschlaggebend,[2] da aber eine automatisierte Verarbeitung stets darunter subsumiert wurde, hielten sich die Auswirkungen in Grenzen.[3] Neben dem weiten Dateibegriff des Art. 2 lit. c DSRL[4] ging die Richtlinie in Art. 2 lit. b DSRL auch von einer umfassenden Definition der Datenverarbeitung aus und subsumierte darunter entwicklungsoffen jeglichen Datenumgang.[5] Das hinderte den deutschen Gesetzgeber jedoch bedauerlicherweise nicht an der Beibehaltung der Dreiteilung bestehend aus Erhebung, Verarbeitung und Nutzung. Schließlich wurde – die weite Geltung der Richtlinie unterstreichend – auch der Personenbezug in Art. 2 lit. a DSRL extensiv definiert und eine Bestimmbarkeit, also die Möglichkeit einer direkten oder indirekten Identifizierung, als ausreichend erachtet.

133

Als verantwortliche Stelle (so noch die Terminologie in der Richtlinie, inzwischen ist nur noch von dem oder der Verantwortlichen die Rede) definierte die Richtlinie in Art. 2 lit. d DSRL denjenigen, der über die Zwecke und Mittel der Verarbeitung entschied, wovon Empfänger und Dritte abzugrenzen sind. Die Auflösung des Anwendungskonflikts einzelstaatlichen Rechts nahm die Richtlinie in Art. 4 Abs. 1 lit. a DSRL anhand des Sitzlandprinzips vor. Danach war das Recht desjenigen Landes anwendbar, in dem der Verantwortliche seinen Sitz hat.[6] Existierten mehrere Niederlassungen, war deren Sitz ausschlaggebend, mit der Folge, dass auch verschiedene Regelungsregime zur Anwendung kommen konnten.[7]

134

Angesichts des umfassenden Regelungsanspruchs waren schon in der Richtlinie nur wenige Ausnahmen in Art. 3 Abs. 2 DSRL vorgesehen. Das betraf zum einen die eng zu verstehende[8] Datenverarbeitung im persönlichen oder familiären Bereich. Zum anderen erfasste die Richtlinie[9] nicht die Datenverarbeitung in Ausübung einer außerhalb des Anwendungsbereichs des Unionsrechts liegenden Tätigkeit und in den Bereichen der GASP sowie der PJZS. Den unterschiedlichen Gesetzgebungskompetenzen und beschränkten Handlungsmöglichkeiten der EG in jenen Bereichen entsprechend adressierte die Richtlinie damit insbesondere nicht die öffentliche Sicherheit, die Landesverteidigung und die strafrechtliche Tätigkeit eines Staates.[10] Insoweit griff bislang vielmehr der Rahmenbeschluss 2008/977/JI, der jetzt durch die Richtlinie 2016/680/EU (dazu → Rn. 184, 199 ff. und 876 ff.) abgelöst wird, die parallel zur Grundverordnung verhandelt wurde.

Anmerkungen

[1]

Lütkemeier, DuD 1995, 597 (598).

[2]

§ 1 Abs. 2 Nr. 3 BDSG 1990 eröffnete den Anwendungsbereich des BDSG für die nichtöffentlichen Stellen nur, soweit Daten in oder aus Dateien geschäftsmäßig verarbeitet wurden.

[3]

Ehmann/Helfrich, EG-Datenschutzrichtlinie, 1999, Art. 3 Rn. 3 ff.; Wind/Siegert, CR 1993, 46 (47 f.).

[4]

Dammann/Simitis, EG-Datenschutzrichtlinie, 1997, Einleitung Rn. 21.

[5]

Zilkens, RDV 2007, 196 (197).

[6]

Tinnefeld/Buchner/u.a., Einführung in das Datenschutzrecht, 7. Aufl. 2019, S. 224 f.

[7]

Gounalakis/Mand, CR 1997, 431 (435).

[8]

Dammann/Simitis, EG-Datenschutzrichtlinie, 1997, Einleitung Rn. 23.

[9]

Ehmann, RDV 1999, 12 (20).

[10]

Schild, EuZW 1996, 549 (550).

bb) Grundprinzipien

135

Als einen der zentralen Grundsätze des Datenschutzrechts führte die Richtlinie in Art. 6 Abs. 1 UAbs. 1 lit. b DSRL den Zweckbindungsgrundsatz (dazu → Rn. 53 und 349 ff.) ein, wonach eine Verarbeitung nur für festgelegte eindeutige und rechtmäßige Zwecke erfolgen darf und eine mit diesen Zwecken nicht zu vereinbarende Weiterverarbeitung ausgeschlossen ist. Zwar kannte das deutsche Recht diesen Grundsatz bereits für den öffentlichen Bereich. Mangels Trennung zwischen öffentlicher und nichtöffentlicher Datenverarbeitung in der Richtlinie bestand dennoch Umsetzungsbedarf.[1] Der EG-Gesetzgeber schuf insoweit ein im Vergleich zur deutschen Rechtslage und auch der Europarats-Konvention schärferes Datenschutzrecht.[2]

136

Entsprechend dem Ansatz im damaligen BDSG[3] etablierte die DSRL das Verbot mit Zulässigkeitstatbeständen auf supranationaler Ebene. Danach war eine Datenverarbeitung verboten, sofern keine Einwilligung vorlag oder kein sonstiger Zulässigkeitstatbestand nach der DSRL oder einer anderen Norm erfüllt war. Sie machte damit den Datenschutz der betroffenen Person zur Regel und die Verarbeitungsfreiheit des Verantwortlichen zur Ausnahme, was eine gewisse Priorisierung des Datenschutzes zulasten der Verarbeitungsfreiheit impliziert. Ob tatsächlich eine solche stärkere Gewichtung besteht, hängt allerdings maßgeblich von der Reichweite der Zulässigkeitstatbestände und deren praktischer Handhabung ab. Die wichtigsten dieser in Art. 7 DSRL geregelten, weitreichenden Zulässigkeitstatbestände waren die erforderliche Verarbeitung im Rahmen eines Vertragsverhältnisses oder einer rechtlichen Verpflichtung sowie aufgrund einer Abwägung der Interessen des Verantwortlichen und der betroffenen Person. Beruhte die Verarbeitung auf einer Einwilligung, musste diese informiert, ohne Zwang und eindeutig erfolgen. Noch strengere Voraussetzungen etablierte die Richtlinie für die Verarbeitung besonderer Kategorien personenbezogener Daten, die sensiblen Daten, in Art. 8 DSRL. Insoweit war die Richtlinie inspiriert von entsprechenden mitgliedstaatlichen Regelungsansätzen, etwa im spanischen und portugiesischen Recht.[4] Ein weiteres Beispiel nationalgesetzlicher Spuren innerhalb der Richtlinie stellte die Einführung einer Meldepflicht nach Art. 18 f. DSRL dar. Allerdings regelte die Richtlinie sogleich eine Alternative: So durfte von diesem dem französischen Recht entnommenen Erfordernis[5] abgewichen werden, wenn eine verantwortliche Stelle gemäß Art. 18 Abs. 2 2. Spiegelstrich DSRL einen Datenschutzbeauftragten benannte. Hier übernahm die Richtlinie mit dem Datenschutzbeauftragten eine bis dahin lediglich in Deutschland bekannte Institution.[6]

137

Weiteren Umsetzungsbedarf im deutschen Recht generierte die DSRL durch eine vergleichsweise konkretere Regelung der Auftragsverarbeitung (dazu unter der DS-GVO detailliert → Rn. 535 ff.).[7] Art. 2 lit. e DSRL definierte die Auftragsverarbeitung explizit und regelte spezielle Voraussetzungen in Art. 16 f. DSRL. So musste der Auftragsverarbeiter technisch-organisatorische Maßnahmen zum Datenschutz einhalten und der Auftrag vertraglich vereinbart werden, wobei die volle Verantwortlichkeit beim Auftraggeber verblieb und der Auftragsverarbeiter Daten nur auf Weisung verarbeiten durfte. Erst in jüngster Zeit – und ironischer Weise sogar nach Inkrafttreten der DS-GVO – hat der EuGH allerdings in drei Urteilen – Facebook Fanpage[8], Zeugen Jehovas[9] und Fashion ID[10] – klargestellt, dass von einem weiten Konzept der gemeinsamen Verantwortung auszugehen ist, so dass die Reichweite der Auftragsverarbeitung geringer ist, als allgemein vermutet (siehe dazu unten → Rn. 537 ff.).

 

138

Dem durch die Richtlinie geschaffenen datenschutzrechtlichen Binnenraum folgte eine unterschiedliche Einordnung von Datenübermittlungen innerhalb und außerhalb dieses Binnenraums. Dabei hing deren Zulässigkeit gemäß Art. 25 f. DSRL von einem angemessenen Schutzniveau im jeweiligen Drittland ab. War dieses nicht aufgrund einer Adäquanzentscheidung der Kommission anerkannt, sah die Richtlinie ein Übermittlungsverbot vor, das wiederum durch ausdrückliche Einwilligung der betroffenen Person, verbindliche Unternehmensrichtlinien oder besondere Vertragsklauseln überwunden werden konnte.

Anmerkungen

[1]

Brühann/Zerdick, CR 1996, 429 (431).

[2]

Wind/Siegert, CR 1993, 46 (49).

[3]

Gounalakis/Mand, CR 1997, 431 (433).

[4]

Darauf weist Dammann/Simitis, EG-Datenschutzrichtlinie, 1997, Einleitung Rn. 11, hin.

[5]

Siehe dazu wiederum Dammann/Simitis, EG-Datenschutzrichtlinie, 1997, Einleitung Rn. 12.

[6]

Lütkemeier, DuD 1995, 597 (600).

[7]

Brühann/Zerdick, CR 1996, 429 (430).

[8]

EuGH, Urt. v. 5.6.2018, C-210/16, ECLI:EU:C:2018:388 – Facebook Fanpages.

[9]

EuGH, Urt. v. 10.7.2018, C-25/17, ECLI:EU:C:2018:551 – Zeugen Jehovas.

[10]

EuGH, Urt. v. 29.7.2019, C-40/17, ECLI:EU:C:2019:629 – Fashion ID.

c) Harmonisierung der Betroffenenrechte

139

Schon früh hatte die datenschutzrechtliche Regulierungspraxis gezeigt, dass es nicht nur auf eine materiell-rechtliche Steuerung der Datenverarbeitung ankommt, sondern die betroffenen Personen auch prozedural Rechte benötigen, um etwaige Datenschutzverstöße zu erkennen und zu beseitigen. Als Grundlage der Ausübung der Betroffenenrechte führte die Richtlinie in den Art. 10 ff. DSRL vor diesem Hintergrund umfassende Transparenzpflichten ein.[1] In den Vordergrund rückte die Richtlinie die Informationspflicht und differenziert dabei danach, ob die Erhebung bei der betroffenen Person stattfindet oder bei Dritten. Von großer Bedeutung war ergänzend das Auskunftsrecht.[2] Daran wurden die Rechte auf Berichtigung, Löschung und Sperrung aus Art. 12 lit. b DSRL geknüpft.[3] Zwei weitere Schutzprinzipien wurden aus dem französischen Recht entlehnt: Zum einen wurde in Art. 14 DSRL ein allgemeines Widerspruchsrecht eingeführt,[4] das in Deutschland bis dahin nur speziell in Bezug auf Datenverarbeitung zu Werbezwecken bekannt war.[5] Zum anderen schuf Art. 15 DSRL – eine Regelung betreffend automatisierte Einzelentscheidungen[6] – ein wichtiges Rechtsschutzinstrument gegen den zunehmenden Einsatz von Datenverarbeitungsautomatismen.[7]

Anmerkungen

[1]

Dammann/Simitis, EG-Datenschutzrichtlinie, 1997, Einleitung Rn. 32.

[2]

Schneider, in: Wolff/Brink (Hrsg.), BeckOK Datenschutzrecht, 33. Ed. 2020, Syst. B Rn. 117.

[3]

Zilkens, RDV 2007, 196 (198).

[4]

Gounalakis/Mand, CR 1997, 497 (498 f.).

[5]

Wind/Siegert, CR 1993, 46 (51.)

[6]

Wuermeling, DB 1996, 663 (668).

[7]

Dammann/Simitis, EG-Datenschutzrichtlinie, 1997, Einleitung Rn. 39; Schneider, in: Wolff/Brink (Hrsg.), BeckOK Datenschutzrecht, 33. Ed. 2020, Syst. B Rn. 122.

d) Institutionelle Vorgaben

140

Die Richtlinie traf auch wesentliche Regelungen zu institutionellen und prozeduralen Aspekten. Die diesbezüglichen Vorgaben waren jedoch eher knapp gehalten[1] und überließen es den Mitgliedstaaten, diese Zielvorgaben im nationalen Recht auszudifferenzieren. Zentral war gleichwohl, dass in institutioneller Perspektive gemäß Art. 28 eine Aufsichtsbehörde in völliger Unabhängigkeit und mit angemessenen Vollzugsinstrumenten installiert werden musste, was ein deutliches Bekenntnis zu einem wirksamen Datenschutz auch im Vergleich zu den Ansätzen der Europarats-Konvention darstellte.[2] Die strengen Vorgaben führten auch zu einer Stärkung der Stellung der Aufsichtsbehörden in Deutschland, die bis dahin nur über ein Beanstandungsrecht verfügten.[3] Die Richtlinie sah in Art. 28 Abs. 3 dagegen u.a. etwa ein Klagerecht und die Möglichkeit der Untersagung der Verarbeitung vor. Als erster Schritt einer institutionellen Verflechtung im Mehrebenenverbund wurde gemäß Art. 29 eine europäische Datenschutzgruppe eingeführt, die sich aus Vertretern der einzelnen mitgliedstaatlichen Aufsichtsbehörden zusammensetzt (sog. Art.-29-Datenschutzgruppe).[4] Diese hatte die Aufgabe, u.a. die Kommission zu beraten, vor allem aber für eine einheitliche Anwendung der Richtlinie in den Mitgliedstaaten zu sorgen.[5]

141

Auf prozeduraler Ebene nahmen Art. 22 f. DSRL die Mitgliedstaaten in die Pflicht, den betroffenen Personen gerichtlichen Rechtsschutz zu ermöglichen, die dabei auch in der Lage sein sollten, Schadensersatzansprüche geltend machen zu können. Ergänzend waren gemäß Art. 24 DSRL geeignete Maßnahmen einzuführen, insbesondere Sanktionen, um die Einhaltung der Richtlinienvorgaben sicherzustellen.

Anmerkungen

[1]

Schneider, in: Wolff/Brink (Hrsg.), BeckOK Datenschutzrecht, 33. Ed. 2020, Syst. B Rn. 136.

[2]

Dammann/Simitis, EG-Datenschutzrichtlinie, 1997, Art. 28 Rn. 1.

[3]

Wuermeling, DB 1996, 663 (669 f.).

[4]

Ehmann/Helfrich, EG-Datenschutzrichtlinie, 1999, Art. 29 Rn. 3; Lütkemeier, DuD 1995, 597 (602).

[5]

Schild, EuZW 1996, 549 (554).

e) Präzisierung und Verschärfung durch die Rechtsprechung des EuGH

142

Zentral für die Entwicklung des europäischen Datenschutzrechts war auch die Rechtsprechung des EuGH zur Anwendung der DSRL, die zu einer Präzisierung und Schärfung ihrer Steuerungswirkung geführt hat. Trotz ihrer Entstehung und Umsetzung Mitte und Ende der 1990er Jahre, war die Richtlinie erst seit 2010 vermehrt Gegenstand höchstrichterlicher Rechtsprechung. Dabei interpretierte der EuGH die Richtlinie streng, auch im Lichte der Grundrechte, gab den mitgliedstaatlichen Gerichten oftmals jedoch nur Leitlinien für die konkrete Anwendung im nationalen Recht an die Hand. Die im Folgenden dargestellte Rechtsprechung wird teilweise auch noch die Auslegung der DS-GVO beeinflussen, denn zu dieser wird eine relevante EuGH-Rechtsprechung erst allmählich zu erwarten sein. Die noch immer relevanten Auswirkungen des umfangreichen Rechtsprechungskorpus des EuGH zur Richtlinie auch auf die DS-GVO wurden in jüngerer Zeit nochmal deutlich mit Blick auf die Ausbuchstabierung des Konzepts der gemeinsamen Verantwortung, die sich noch auf den Normtext der Richtlinie bezieht, aber vor allem für das Verständnis der DS-GVO von Bedeutung ist (siehe dazu oben → Rn. 137 und unten → Rn. 537 ff.).

aa) Verdeutlichung des Wirkkreises der DSRL

143

In einer Reihe von Urteilen hat der EuGH der Richtlinie insbesondere ein weitreichendes Harmonisierungskonzept entnommen. Im ORF-Urteil[1] musste sich der Gerichtshof zur Vereinbarkeit der in Österreich praktizierten namentlichen Offenlegung von Gehältern im öffentlich-rechtlichen Rundfunk äußern und über die Vereinbarkeit jener Regelung mit den Vorgaben der Richtlinie entscheiden. Bereits in dieser Entscheidung verdeutlichte der EuGH, dass die Richtlinie ihre Wirkung innerhalb eines Mitgliedstaates auch dann entfalten müsse, wenn grundsätzlich kein grenzüberschreitender Sachverhalt vorliege. Ziel der Richtlinie sei gerade die – bei den auf Art. 114 AEUV (ex Art. 100a EGV – Amsterdam) basierenden Rechtsakten immanente – unionsweite Harmonisierung des Datenschutzrechts. Davon seien auch rein nationale Sachverhalte betroffen. Andernfalls hinge es von den Zufälligkeiten des Datenverkehrs ab, ob das Richtlinienrecht zur Anwendung käme oder nicht.[2] Damit war zu Recht die umfassende Anwendung der Richtlinie auch auf rein innerstaatliche Sachverhalte geklärt, die im Rahmen der Binnenmarktharmonisierung ebenfalls erfasst werden.

144

Kurz darauf musste sich der EuGH in der Entscheidung Lindqvist[3] mit der richtlinienrechtlichen Bewertung der Veröffentlichung von Informationen im Internet befassen. Dabei judizierte der Gerichtshof eher beiläufig und daher in der Wirkung weitgehend verkannt, die Richtlinie sei „nicht auf eine Mindestharmonisierung beschränkt, sondern führe zu einer grundsätzlich umfassenden Harmonisierung.“[4] Damit attestiert der EuGH der Richtlinie eine vollharmonisierende Wirkung, mit der Folge, dass ein Abweichen von dem darin vorgegebenen Schutzniveau grundsätzlich weder nach oben noch nach unten zulässig ist. Einer Ausdehnung der Richtlinienvorgaben auf solche Bereiche, die von der Richtlinie nicht erfasst werden, stünde hingegen nichts entgegen.[5] Dies bestätigte der Gerichtshof noch einmal im Urteil Huber.[6] Hier ging es um die Vereinbarkeit der Verwendung von Daten des deutschen Ausländerzentralregisters zu statistischen Zwecken mit der Richtlinie. Der EuGH stellte erneut deren „grundsätzlich umfassende […] Harmonisierung“ fest.[7]

145

Das deutlichste Signal zur vollharmonisierenden Wirkung der Richtlinie gab der Gerichtshof schließlich in seiner ASNEF-Entscheidung.[8] Der EuGH musste einen spanischen Zulässigkeitstatbestand, der Art. 7 lit. f DSRL umsetzte, auf dessen Richtlinienkonformität überprüfen. Das Problem dabei war, dass die spanische Norm eine Interessensabwägung, wie sie Art. 7 lit. f DSRL fordert, nur dann ermöglichte, wenn die Daten in öffentlichen Verzeichnissen vorhanden waren. Eine Interessensabwägung bei anderweitig gespeicherten Daten war dagegen kategorisch ausgeschlossen. Der EuGH griff die in den vorherigen Urteilen entwickelten Grundsätze auf und verdeutlichte sie anhand des Art. 5 DSRL. Danach können die Mitgliedstaaten die Voraussetzungen der Rechtmäßigkeit einer Datenverarbeitung nach Maßgabe der Richtlinie – also auch nach Art. 7 lit. f DSRL – näher bestimmen. Aufgrund der vollharmonisierenden Wirkung der Richtlinie sei es den Mitgliedstaaten zwar gestattet, Leitlinien in Bezug auf die nach Art. 7 lit. f DSRL zu treffende Abwägung aufzustellen.[9] Nicht vereinbar mit der Richtlinie sei es hingegen, weitere Zulässigkeitstatbestände neben den in Art. 7 DSRL genannten einzuführen oder deren Voraussetzungen zu verändern,[10] mit der Folge, dass ein schwächeres oder strengeres Niveau verglichen mit der Richtlinie greife. Im Übrigen nahm der EuGH eine unmittelbare Wirkung jener Norm der DSRL an, so dass sich Datenverarbeiter unmittelbar auf jene Bestimmung für ihre Datenverarbeitung berufen können. Art. 7 lit. f DSRL war auch Grundlage vieler Zulässigkeitstatbestände in den §§ 28 ff. BDSG a.F. und bereichsspezifischer Regelungen. Auch wenn in der Literatur durchaus vereinzelt auf die „Sprengkraft“ des Urteils hingewiesen wurde,[11] blieben die erwarteten Auswirkungen auf das deutsche Datenschutzrecht doch aus. Der Gesetzgeber ignorierte das Urteil schlichtweg. Dabei hätte eine umfassende Analyse durchaus offenbart, dass einige deutsche Vorschriften den Vorgaben des Unionsrechts im Lichte der Rechtsprechung des EuGH widersprachen und diese Widersprüche auch im Rahmen einer richtlinienkonformen Auslegung oftmals nicht behoben werden können.[12] Zuletzt hat der EuGH folgerichtig § 15 TMG für nicht vereinbar mit Art. 7 lit. f DSRL erklärt, da auch diese Bestimmung im Telemedienbereich keine entsprechende Abwägung ermöglicht.[13]

 
Olete lõpetanud tasuta lõigu lugemise. Kas soovite edasi lugeda?