Datenschutzrecht

Anmerkungen

[1]

Vgl. Borchers, 50 Jahre Moores Gesetz: Von der Performance von Prozessoren und der Komplexität von Chips, Heise online v. 19.4.2015, abrufbar unter: https://heise.de/-2612257 (Abruf: 12.1.2021).

[2]

Dazu bereits Kühling, Die Verwaltung 2007, 153.

[3]

Zur Kategorisierung der Entwicklungsstufen hin zu allgegenwärtiger Datenverarbeitung vgl. noch die Vorauflage.

[4]

Vgl. dazu Erd, NVwZ 2011, 19.

[5]

Die folgenden Ausführungen zu dem Begriffsverständnis von Big Data sind angelehnt an Kühling/Sackmann/Schildbach, Rechtsgutachten über den sozialdatenschutzrechtlichen Weiterentwicklungsbedarf im SGB V und SGB X im Hinblick auf Big-Data-Anwendungen, 2019, S. 6 f., abrufbar unter: https://www.bundesgesundheitsministerium.de/fileadmin/Dateien/5_Publikationen/Gesundheit/Berichte/Rechtsgutachten-Big-Data.pdf (Abruf: 12.1.2021).

[6]

Vgl. die Definition der Unternehmensgruppe Gartner, abrufbar unter: https://www.gartner.com/en/conferences/na/data-analytics-us (Abruf: 12.1.2021); siehe auch Rüping, Bundesgesundheitsblatt 2015, 794; Spindler, MedR 2016, 691.

[7]

Culik/Döpke, ZD 2017, 226 (227); Hoffmann-Riem, in: Hoffmann-Riem (Hrsg.), Big-Data – Regulative Herausforderungen, 2018, S. 19 f.; Weichert, Big-Data im Gesundheitsbereich, Gutachten 2019, S. 16, abrufbar unter: http://www.abida.de/sites/default/files/ABIDA%20Gutachten-Gesundheitsbereich.pdf (Abruf: 12.1.2021).

[8]

Boehme-Neßler, DuD 2016, 419 (421 f.)

[9]

Siehe zu den Risiken bereits Weichert, ZD 2013, 251.

[10]

Vgl. Muschel, Polizei soll künftig Zugriff auf Mautdaten bekommen, Badische Zeitung online v. 10.6.2017, abrufbar unter: http://www.badische-zeitung.de/suedwest-1/polizei-soll-kuenftig-zugriff-auf-mautdaten-bekommen--137897974.html (Abruf: 12.1.2021).

[11]

Vgl. dazu auch Kühling, Todesstoß für die Vorratsdatenspeicherung: der Beschluss des OVG NRW und seine Folgen, Verfassungsblog v. 29.6.2017, abrufbar unter: http://verfassungsblog.de/todesstoss-fuer-die-vorratsdatenspeicherung-der-beschluss-des-ovg-nrw-und-seine-folgen/ (Abruf: 12.1.2021).

[12]

Dazu Kühling/Schildbach, NJW 2020, 1545.

[13]

Zuboff, The Age of Surveillance Capitalism, 2019.

[14]

Zu der grundsätzlich anderen Mentalität in Sachen Datenschutz im amerikanischen Rechtsraum, vgl. Klar/Kühling, AöR 2016, 165.

[15]

Dazu Kühling, DuD 2020, 182 (185 ff.).

1. Kapitel Grundlagen

Inhaltsverzeichnis

A. Internationale Grundlagen

B. Unionsprimärrechtliche Grundlagen

C. Rechtsrahmen im Grundgesetz

D. Entwicklung, Grundstrukturen und Systematik des Datenschutzrechts

15

Das Datenschutzrecht ist ein vergleichsweise junges Rechtsgebiet. Die Kodifikation des Datenschutzrechts nahm in Deutschland erst 1970 mit dem hessischen Datenschutzgesetz ihren Anfang.[1] Auch in anderen europäischen Staaten wurden in den 1970er Jahren die ersten Datenschutzgesetze verabschiedet.[2] Zeitgleich beschleunigten die Globalisierung und die fortschreitende Digitalisierung den grenzüberschreitenden Datenaustausch, so dass entsprechende Regeln auf inter- und supranationaler Ebene erforderlich wurden. Motoren dieser Entwicklung waren die OECD[3] und der Europarat (siehe hierzu A.), erst zu einem relativ späten Zeitpunkt folgten vergleichbare Entwicklungen auch auf supranationaler Ebene (siehe hierzu B.). Wichtig für das Verständnis des Datenschutzrechts sind sodann die verfassungsrechtlichen Vorprägungen sowohl mit Blick auf die Gesetzgebungskompetenzen als auch die Grundrechte (dazu C.). Schließend ist für das Verständnis des geltenden Rechts ein Überblick über die Genesis der verschiedenen Kodifikationen auf nationaler und EU-Ebene und ihr Zusammenspiel erforderlich (dazu D.).

Anmerkungen

[1]

Hessisches Datenschutzgesetz v. 30.9.1970, GVBl. I 1970, 625; ausführlich hierzu zum BDSG a.F. Simitis, in: Simitis (Hrsg.), Kommentar zum BDSG, 8. Aufl. 2014, Einl. Rn. 1 ff.; siehe auch Simitis/Hornung/Spiecker gen. Döhmann, in: Simitis/Hornung/Spiecker gen. Döhmann (Hrsg.), Datenschutzrecht, 2019, Einleitung Rn. 226.

[2]

Siehe etwa das schwedische Datenschutzgesetz von 1973, Datalag SFS 1973:289. 1977 folgte das deutsche Datenschutzgesetz (BDSG); zu dieser Entwicklung auch Breuer, in: Heselhaus/Nowak (Hrsg.), Handbuch der Europäischen Grundrechte, 2. Aufl. 2020, § 25 Rn. 7.

[3]

Organisation for Economic Co-operation and Development – Organisation für wirtschaftliche Zusammenarbeit und Entwicklung.

1. Kapitel Grundlagen › A. Internationale Grundlagen

A. Internationale Grundlagen

1. Kapitel Grundlagen › A. Internationale Grundlagen › I. Vereinte Nationen

I. Vereinte Nationen

16

Wenngleich die Generalversammlung der Vereinten Nationen zum Schutz der Menschenrechte vor dem Hintergrund der wachsenden Gefahren durch die automatisierte Verarbeitung personenbezogener Daten 1990 Leitlinien[1] aufstellte, bleiben diese in ihrer materiellen Ausgestaltung des Datenschutzes weit hinter den im Folgenden dargestellten Abkommen zurück. Sie formulieren sehr allgemein gehalten den Grundsatz der Richtigkeit von Daten, der Zweckbestimmung und der Einsichtnahme der betroffenen Person aus und treffen allgemeine Aussagen zum grenzüberschreitenden Datenverkehr. Die Leitlinien sind dabei völkerrechtlich nicht bindend, sondern haben lediglich empfehlenden Charakter.

17

Während im normativen Bereich auf Ebene der Vereinten Nationen zwischenzeitlich keine datenschutzrechtlich relevanten Entwicklungen zu verzeichnen sind, haben die bestürzenden und aufklärenden Enthüllungen Edward Snowdens im Frühsommer 2013 eine zumindest politische und zum Teil ambivalente Dynamik freigesetzt.

18

Insbesondere auf Ebene der Vereinten Nationen haben deutsche Entscheidungsträger den Versuch unternommen, den Schutz der Privatheit und entsprechend den Datenschutz im digitalen Zeitalter auf die Agenda zu setzen. Nachdem durch die Veröffentlichung der so genannten Snowden-Dokumente die schier unbegrenzte Überwachung der weltweiten Kommunikation und die massenhafte Erhebung und Verarbeitung auch personenbezogener Daten durch eine Reihe von Geheimdiensten[2] deutlich geworden war, wurden durch die Generalversammlung der Vereinten Nationen auf Initiative Deutschlands und Brasiliens[3] hin zwei Resolutionen über „Das Recht auf Privatheit im digitalen Zeitalter“ verabschiedet.[4] In diesen in erster Linie politischen, aber rechtlich nicht bindenden Entscheidungen der Generalversammlung wird das Recht auf Privatheit und Datenschutz auch im digitalen Zeitalter bekräftigt und klargestellt, dass die gleichen Rechte, die Menschen offline haben, auch online geschützt werden müssen. Zudem wird die Hohe Kommissarin der Vereinten Nationen für Menschenrechte ersucht, dem Menschenrechtsrat und der Generalversammlung einen Bericht über den Schutz und die Förderung des Rechts auf Privatheit im Kontext des innerstaatlichen und exterritorialen Überwachens und/oder Abfangens von digitaler Kommunikation und Sammelns personenbezogener Daten, namentlich in massivem Umfang, vorzulegen.

19

Nachdem dieser Bericht dem Menschenrechtsrat wie auch der Generalversammlung vorgelegt wurde,[5] entschied der Menschenrechtsrat am 26.3.2015 ein Mandat für einen UN-Sonderberichterstatter zum „Recht auf Privatheit“ einzurichten.[6] Der Bericht stellt fest, dass die bekannt gewordenen Praktiken der Massenüberwachung und -datenerhebung wie auch -datenverwendung geeignet sind, auch gegen die garantierten Menschenrechte und insbesondere gegen das Recht auf Privatheit zu verstoßen. In jedem Fall würde in dieses und weitere Menschenrechte eingegriffen, weshalb die verantwortlichen Staaten in der Pflicht seien, diese Eingriffe zu rechtfertigen und darzulegen, inwiefern hierdurch der Kern der im Fokus stehenden Menschenrechte nicht ausgehöhlt wird. Darüber hinaus wird dargelegt, dass die Konventionsstaaten die Pflicht haben, den Schutz der betreffenden Menschenrechte zu gewährleisten, was auch bedeute, die exterritoriale Ausfuhr von Überwachungstechnologien genau zu prüfen. Schließlich hebt die Hohe Kommissarin für Menschenrechte in ihrem Bericht hervor, dass mit dem zunehmenden Zu- und Rückgriff der Konventionsstaaten auf Private – in erster Linie Telekommunikations- und Internetunternehmen – auch diese sich bewusst sein müssen, sich mit ihren Geschäftspraktiken in Mittäterschaft an Menschenrechtsverletzungen bringen zu können.[7]

20

Bereits in diesem Bericht wurde angeregt, weitere gründliche Analysen und Untersuchungen anzustrengen, um die mannigfaltigen Fragestellungen und Problemkreise des Rechts auf Privatheit (und informationeller Selbstbestimmung) im digitalen Zeitalter aufzuarbeiten und Menschenrechte effektiv zu schützen.[8] In der Folge fiel diese Anregung auf fruchtbaren Boden, denn der Menschenrechtsrat der Vereinten Nationen sieht in seiner Resolution[9] ein zunächst dreijähriges Mandat für einen Sonderberichterstatter zum „Recht auf Privatheit“ vor. Das Mandat umfasst alle Aspekte des Menschenrechts auf Privatheit, das in Art. 12 der Allgemeinen Erklärung der Menschenrechte und in Art. 17 des Internationalen Pakts über bürgerliche und politische Rechte garantiert wird. Zwischenzeitlich liegen mehrere Berichte des Sonderberichterstatters vor.[10] Der erste Bericht vom 24.2.2017 befasste sich intensiv mit der Überwachung durch staatliche Stellen. Es wird insbesondere angeregt, die internationale Zusammenarbeit zu verstärken[11] und die Öffentlichkeit umfassender zu informieren.[12] Auch wird die vielfach pauschale Gleichsetzung von mehr Überwachung mit einem Mehr an Sicherheit kritisiert.[13] Seitdem folgt jährlich ein neuer Bericht des Sonderberichterstatters.[14] In den aktuellsten Berichten aus den Jahren 2019[15] und 2020[16] liegt dabei ein besonderes Augenmerk auf der Gleichberechtigung der Geschlechter bei der Anwendung des Rechts auf Privatheit sowie auf einer Gender-Perspektive auf das Recht. Der Sonderberichterstatter beschreibt geschlechterbasierte Verstöße hierbei als systematische Form der Versagung von Menschenrechten.[17] Zur Verbesserung der Situation schlägt er unter anderem Kampagnen vor, die das öffentliche Bewusstsein hinsichtlich der Ungleichbehandlungen schärfen sollen.[18]

Anmerkungen

[1]

Richtlinien betreffend personenbezogene Daten in automatisierten Dateien, von der Generalversammlung beschlossen am 14.12.1990.

[2]

Darunter zu allererst die US-amerikanische National Security Agency (NSA) und die britische Government Communications Headquarters (GCHQ). Im und außerhalb des NSA-Untersuchungsausschusses des Bundestags tritt jedoch auch die Teilnahme des Bundesnachrichtendienstes (BND) immer deutlicher zu Tage, vgl. nur Baumgärtner/Gude/u.a., Überwachung: Neue Spionageaffäre erschüttert BND, Spiegel Online v. 23.4.2015, abrufbar unter: http://www.spiegel.de/politik/deutschland/ueberwachung-neue-spionageaffaere-erschuettert-bnd-a-1030191.html (Abruf: 12.1.2021) und Mascolo/Goetz, EU und Frankreich auf NSA-Spionageliste, Süddeutsche Zeitung v. 24.4.2015, abrufbar unter: http://www.sueddeutsche.de/politik/spionageaffaere-so-lax-gingen-bnd-und-kanzleramt-mit-der-nsa-um-1.2451318 (Abruf: 12.1.2021).

[3]

Zuvor war bekannt geworden, dass die deutsche Kanzlerin und die brasilianische Staatspräsidentin von US-amerikanischen Geheimdiensten abgehört worden waren.

[4]

A/RES/68/167 v. 18.12.2013 und A/RES/69/166 v. 18.12.2014, abrufbar unter: http://www.un.org/depts/german/gv-69/band1/ar69166.pdf (Abruf: 12.1.2021).

[5]

A/HRC/27/37 v. 30.6.2014, abrufbar unter: https://www.un.org/depts/german/menschenrechte/a-hrc-27-37.pdf (Abruf: 12.1.2021).

[6]

A/HRC/28/L.27 v. 24.3.2015, abrufbar unter: http://www.ip-watch.org/2015/03/26/un-human-rights-council-approves-expert-on-privacy-in-the-digital-age/ (Abruf: 12.1.2021).

[7]

A/HRC/27/37 v. 30.6.2014, S. 16 f., abrufbar unter: http://www.un.org/depts/german/menschenrechte/a-hrc-27-37.pdf (Abruf: 12.1.2021).

[8]

A/HRC/27/37 v. 30.6.2014, S. 18, abrufbar unter: http://www.un.org/depts/german/menschenrechte/a-hrc-27-37.pdf (Abruf: 12.1.2021).

[9]

A/HRC/28/L.27 v. 24.3.2015, abrufbar unter: http://www.ip-watch.org/2015/03/26/un-human-rights-council-approves-expert-on-privacy-in-the-digital-age/ (Abruf: 12.1.2021).

[10]

A/HRC/31/64 v. 24.11.2016, abrufbar unter: https://undocs.org/en/A/HRC/31/64 (Abruf: 12.1.2021); A/71/368 v. 30.8.2016, abrufbar unter: https://undocs.org/en/A/71/368 (Abruf: 12.1.2021).

[11]

A/HRC/34/60 v. 24.2.2017, abrufbar unter: https://www.ohchr.org/EN/HRBodies/HRC/RegularSessions/Session34/Documents/A_HRC_34_60_EN.docx (Abruf: 12.1.2021), S. 12, 17 ff.

[12]

A/HRC/34/60 v. 24.2.2017, abrufbar unter: https://www.ohchr.org/EN/HRBodies/HRC/RegularSessions/Session34/Documents/A_HRC_34_60_EN.docx (Abruf: 12.1.2021), S. 13.

[13]

A/HRC/34/60 v. 24.2.2017, abrufbar unter: https://www.ohchr.org/EN/HRBodies/HRC/RegularSessions/Session34/Documents/A_HRC_34_60_EN.docx (Abruf: 12.1.2021), S. 14 f.

[14]

Alle Berichte des Sonderberichterstatters sind abrufbar unter: https://www.ohchr.org/EN/Issues/Privacy/SR/Pages/AnnualReports.aspx (Abruf: 12.1.2021).

[15]

A/HRC/40/63 v. 27.2.2019, abrufbar unter: https://www.ohchr.org/Documents/HRBodies/UPR/A_HRC_40_2_Advanced_En.docx (Abruf: 12.1.2021).

[16]

A/HRC/43/52 v. 12.2.2020, abrufbar unter: https://www.ohchr.org/EN/HRBodies/HRC/RegularSessions/Session43/Documents/A_HRC_43_52_AdvanceUneditedVersion.docx (Abruf: 12.1.2021).

[17]

A/HRC/40/63 v. 27.2.2019, abrufbar unter: https://www.ohchr.org/Documents/HRBodies/UPR/A_HRC_40_2_Advanced_En.docx (Abruf: 12.1.2021), S. 16; A/HRC/43/52 v. 12.2.2020, abrufbar unter: https://www.ohchr.org/EN/HRBodies/HRC/RegularSessions/Session43/Documents/A_HRC_43_52_AdvanceUneditedVersion.docx (Abruf: 12.1.2021), S. 4.

[18]

A/HRC/43/52 v. 12.2.2020, abrufbar unter: https://www.ohchr.org/EN/HRBodies/HRC/RegularSessions/Session43/Documents/A_HRC_43_52_AdvanceUneditedVersion.docx (Abruf: 12.1.2021), S. 6.

1. Kapitel Grundlagen › A. Internationale Grundlagen › II. OECD

II. OECD

21

Die 1948 gegründete Organisation für europäische wirtschaftliche Zusammenarbeit war die Vorgängerorganisation der Organisation für wirtschaftliche Zusammenarbeit und Entwicklung (OECD). Ihr gehören neben den Mitgliedstaaten der EU auch die USA und insbesondere Japan, Kanada und Mexiko an. Die OECD hat früh die Notwendigkeit einer internationalen Regelung des Datenschutzes erkannt. Datenschutz sollte sich nicht zu einem diskriminierenden Handelshemmnis entwickeln, das die sich intensivierende Weltwirtschaft behindern könnte. Vielmehr sollte der Datenschutz mit dem freien Informationsfluss in Einklang gebracht werden. So verabschiedete der Ministerrat der OECD 1980 die „Leitlinien für den Schutz des Persönlichkeitsbereichs und den grenzüberschreitenden Verkehr personenbezogener Daten“.[1] Neben verfahrensrechtlichen Vorgaben enthalten die Leitlinien insbesondere materielle Verarbeitungsregeln und Regeln zu grenzüberschreitenden Datenübermittlungen. Die Leitlinien sollten vor allem verhindern, dass eine Kluft zwischen europäischen und US-amerikanischen Datenschutzbestimmungen entsteht (siehe dazu den Hinweis oben → Rn. 12 f.). Dabei wird der Ansatz der Selbstregulierung zu Grunde gelegt, d.h. die Verantwortlichen bestimmen den Umgang mit personenbezogenen Daten eigenverantwortlich und unterstehen nur ihrer eigenen privaten Kontrolle.[2]

22

Obwohl die Leitlinien als Rechtsinstrument der OECD völkerrechtlich nicht bindend sind und die Mitgliedstaaten nicht verpflichtet sind, die getroffenen Vereinbarungen in nationales Recht umzusetzen, haben sie entscheidend dazu beigetragen, den Datenschutz als Gegenstand internationaler Regulierung zu etablieren.[3]

23

In den Jahren seit 2008 rückte das Thema des Datenschutzes und der Datensicherheit auch bei der OECD immer mehr in den Vordergrund, so dass die Organisation selbst mittlerweile von einem „privacy framework“ spricht, zu dem nicht zuletzt auch eine überarbeitete Fassung der oben beschriebenen Leitlinien gehört.[4] Diese wurden – die Leitlinien aus dem Jahre 1980 nicht ersetzend,[5] sondern fortschreibend und straffend – 2013 verabschiedet. Nicht zuletzt werden nun die Entwicklung der Informationstechnologie und die Globalisierung der Datenverwendung verstärkt berücksichtigt.

24

Im Vergleich der beiden Fassungen der Leitlinien fällt insbesondere auf, dass in der neueren Fassung der staatliche Eingriff in den Informationsfluss und die Datenübermittlung in den Fokus gerückt ist. Mit den Punkten 3 bis 6 der Leitlinien werden die Warnung, die Meinungsfreiheit nicht unverhältnismäßig einzuschränken und Verweise auf die öffentliche Sicherheit und den ordre public-Vorbehalt zu Zwecken der Einschränkung auf ein Minimum zu reduzieren, gleichsam vor die Klammer gezogen.[6] Der Aspekt der internationalen Datenverwendung – und somit die zentrale Regelungsmaterie der Leitlinien – ist gegenüber der ursprünglichen Leitlinienfassung bemerkenswert umgeschrieben worden. Während bisher als erster Regelungspunkt die Möglichkeit der internationalen Datenverwendung Ausgangspunkt war, wird der entsprechende Abschnitt nunmehr mit der Feststellung eröffnet, verarbeitende Stellen blieben für den Umgang mit den von ihnen verwendeten Daten ohne Rücksicht darauf verantwortlich, wo sich die Daten jeweils befänden.[7] Hervorzuheben ist schließlich die konsequente Fortschreibung des Prinzips der Selbstregulierung als grundsätzlicher Ansatz des Vollzugs der Leitlinien wie auch der materiellen Regelungen selbst.[8]

25

Neben den erläuternden Hinweisen zu den jeweiligen Leitlinien und einem Hintergrundbericht zur Überarbeitung eben jener besteht das „privacy framework“ der OECD darüber hinaus aus der Empfehlung über die grenzüberschreitende Zusammenarbeit beim Vollzug von Datenschutzgesetzen und dem zugehörigen Umsetzungsbericht.[9]

Anmerkungen

[1]

OECD-Dokument C (80) 58 (final).

[2]

Vgl. Tinnefeld/Buchner/u.a., Einführung in das Datenschutzrecht, 7. Aufl. 2019, S. 86 f.

[3]

Burkert, in: Roßnagel (Hrsg.), Handbuch Datenschutzrecht, 2003, Kap. 2.3 Rn. 30 ff.

[4]

C (2013) 79 v. 11.7.2013; eine konsolidierte Sammlung der zum Datenschutzrahmen der OECD gehörenden Dokumente „The OECD Privacy Framework“, 2013, ist abrufbar unter: http://www.oecd.org/sti/ieconomy/oecd_privacy_framework.pdf (Abruf: 12.1.2021).

[5]

Daher wurden, wie die Organisation erklärt, die erläuternden Hinweise zu den Leitlinien aus dem Jahr 2008 in das Framework 2013 übernommen; The OECD Privacy Framework, 2013, Kap. 3 S. 5, abrufbar unter: http://www.oecd.org/sti/ieconomy/oecd_privacy_framework.pdf (Abruf: 12.1.2021).

[6]

Simitis/Hornung/Spiecker gen. Döhmann, in: Simitis/Hornung/Spiecker gen. Döhmann (Hrsg.), Datenschutzrecht, 2019, Einl. Rn. 120; zum BDSG a.F. Simitis, in: Simitis (Hrsg.), Kommentar zum BDSG, 8. Aufl. 2014, Einl. Rn. 185.

[7]

The OECD Privacy Framework, 2013, Nr. 16, abrufbar unter: http://www.oecd.org/sti/ieconomy/oecd_privacy_framework.pdf (Abruf: 12.1.2021).

[8]

Siehe weiterführend zum BDSG a.F. Simitis, in: Simitis (Hrsg.), Kommentar zum BDSG, 8. Aufl. 2014, Einl. Rn. 188 ff.

[9]

Recommendation of the Council on Cross-border Cooperation in the Enforcement of Laws Protecting Privacy, C (2007) 67 v. 12.6.2007, und Report on the Implementation of the 2007 OECD Recommendation on Privacy Law Enforcement Co-operation, 2011, 2. Teil des OECD Privacy Frameworks, 2013, abrufbar unter: http://www.oecd.org/sti/ieconomy/oecd_privacy_framework.pdf (Abruf: 12.1.2021).