4 Datenschutz in Deutschland

Schon Anfang der achtziger Jahre galt es, den gläsernen Bürger unmöglich zu machen. Durch die für 1983 vorgesehene Volkszählung befürchteten viele Bürger die totale staatliche Überwachung und riefen zum Widerstand auf, wie das Plakat in der folgenden Abbildung zeigt.[148]

Abb.5: Relikt der Achtziger: Protestplakat gegen die Volkszählung[149]

Heute, mehr als 20 Jahre später, ist Deutschland laut einer Studie, die im Auftrag des britischen Datenschutzbeauftragten Richard Thomas vom Surveillance Studies Net­work (SSN) erstellt wurde, verglichen mit anderen Ländern der Welt führend im Bezug auf den Schutz von privaten Informationen.[150]

Gemäß Art. 2 Abs. 1 GG hat jeder das Recht auf freie Entfaltung seiner Persönlich­keit, soweit er nicht die Rechte anderer verletzt und nicht gegen die verfassungs­mäßige Ordnung oder das Sittengesetz verstößt. Nach Art. 1 Abs. 1 GG ist die Würde des Menschen unantastbar. Sie zu achten und zu schützen ist Verpflichtung aller staatlichen Gewalt.[151]

Das BVerfG urteilte am 15.12.1983[152], dass die Volkszählung verfassungswidrig ist und gegen Art. 2 Abs. 1 i. V. m. Art. 1 Abs. 1 GG verstößt.[153]

Das Karlsruher Gericht legte damit fest, dass die deutsche Verfassung dem Menschen den Schutz gewährt, grundsätzlich selbst über die Preisgabe und Ver­wendung ihrer persönlichen Daten zu bestimmen. Der verfassungsrechtliche Rang des Datenschutzes in Deutschland war demnach unbestritten[154] und den Mitgliedern der Gesellschaft stand die so genannte Informationelle Selbstbestimmung[155] - die Erweiterung des allgemeinen Persönlichkeitsrechts - zu.[156] Dadurch ist der Einzelne gegen unbegrenzte Erhebung, Speicherung, Verwendung und Weitergabe seiner persönlichen Daten geschützt.[157]

Auf der Grundlage eines neuen Volkszählungsgesetzes vom 8. November 1985[158] wurde die Volkszählung, die bestimmte Anforderungen zur Sicherung des Bürger­rechtes erfüllen musste, am 25. Mai 1987 durchgeführt.[159]

Das deutsche Datenschutzrecht ist ein sehr komplexes und kompliziertes Rechtsge­biet, für das es eine Vielzahl von Gesetzen und Vorschriften gibt.[160]

Unter Punkt 4.1. wird das heute geltende BDSG[161] von 1990 vorgestellt. Unter Punkt 4.2. folgen die Datenschutzgesetze der Länder, die den Datenschutz für die Privat­wirtschaft und öffentliche Einrichtungen regeln. Daneben gibt es eine Anzahl von bereichsspezifischen Regelungen, die unter Punkt 4.3. nur kurz erwähnt werden.[162]

4.1 Bundesdatenschutzgesetz

4.1.1 Historische Entwicklung

Die Entwicklung der allgemeinen Datenschutzgesetzgebung des BDSG lässt sich in 3 Phasen darstellen:

1. Phase

Nachdem bereits 1970 die ersten Bundesländer eigene LDSG (vgl. Punkt 4.2.) erlassen hatten, wurde am 27. Januar 1977 das erste allgemeine Datenschutzge­setz[163]- das BDSG - verabschiedet und trat am 1. Januar 1979 in Kraft.[164]

2. Phase

Der 20. Dezember 1990 kennzeichnet den zweiten Abschnitt der Geschichte der Datenschutzgesetzgebung und hat die verfassungsrechtliche Fundierung des Datenschutzes durch das Volkszählungsurteil vom 15. Dezember 1983 (vgl. Punkt 4) des BVerfG zum Ausgangspunkt.[165]

Der aus dem Urteil resultierende Begriff des „Persönlichkeitsrechts“ wurde in das BDSG aufgenommen und in § 1 Abs. 1 BDSG festgehalten. Demnach schützt das novellierte, am 1. Juni 1991 in Kraft getretene BDSG „den Einzelnen davor, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird.“[166]

In dieser Phase soll kurz das Gesetz über die Unterlagen des Staatssicherheits­dienstes (Stasi-Unterlagen-Gesetz (StUG))[167] der ehemaligen Deutschen Demo­kratischen Republik (DDR) erwähnt werden, das am 20. Dezember 1991 vom Bundestag verabschiedet wurde. Dieses Gesetz regelt die Erfassung, Er­schließung, Verwaltung und Verwendung der Akten des Geheimdienstes der ehemaligen DDR.[168]

3. Phase

Die EU-DSRL, die zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr verabschiedet und be­reits unter Punkt 3.2.1. vorgestellt wurde,[169] bildet die Grundlage für alle Daten­schutzgesetze der EU sowie für das BDSG, das nach gut einem Jahrzehnt erneut novelliert wurde.[170]

Die EU-Mitgliedsstaaten waren verpflichtet, die EU-DSRL innerhalb von drei Jahren (24. Oktober 1998) in ihr nationales Recht umzusetzen, um auf EU-Ebene ein einheitliches Gesetz zu haben. Die RL enthält keine Ansätze für ein neues Datenschutzrecht, sondern knüpft an, unter anderem auch an in Deutschland be­stehende, bereits in der EMRK enthaltene Regelungsprinzipien.[171]

Infolgedessen musste auch das BDSG novelliert werden. Doch weder Bund noch Länder haben sich an diese Frist gehalten, so dass das „Gesetz zur Änderung des BDSG und anderer Gesetze“ erst am 22. Mai 2001 in Kraft trat.[172]

Neben zahlreichen Detailfragen soll in dieser Arbeit nur eines der Kernelemente des neuen Gesetzes erwähnt werden: die Regelung zur Datenübermittlung an Drittstaaten. Die in Art. 25 und 26 der EU-DSRL beschriebenen differenzierten Regelungen, die auch für den nicht-öffentlichen Bereich gelten, wurden im novellierten BDSG in den §§ 4b und 4c in Bundesrecht umgesetzt.[173]

4.1.2 Zweck

Gemäß § 1 Abs. 1 BDSG ist es Zweck des BDSG, den Einzelnen davor zu schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Persön­lichkeitsrecht beeinträchtigt wird.[174] Das Grundrecht auf Datenschutz (Art. 2 Abs. 1 i. V. m. Art. 1 Abs. 1 GG) ist auf jede natürliche Person anwendbar, unabhängig von der Staatsangehörigkeit oder dem Aufenthaltsort.[175]

4.1.3 Aufbau

Die 46 Paragraphen des BDSG sind in sechs Abschnitte unterteilt, die im Folgenden kurz vorgestellt werden:

Erster Abschnitt: Allgemeine und gemeinsame Bestimmungen (§§ 1-11)

Zweiter Abschnitt: Datenverarbeitung der öffentlichen Stellen (§§ 12-26)

Dritter Abschnitt: Datenverarbeitung nicht-öffentlicher Stellen und öffent­lich-rechtlicher Wettbewerbsunternehmen (§§ 27-38a)

Vierter Abschnitt: Sondervorschriften (§§ 39-42)

Fünfter Abschnitt: Schlussvorschriften (§§ 43-44)

Sechster Abschnitt: Übergangsvorschriften (§§ 45-46).[176]

4.1.4 Normadressaten

Gemäß § 1 Abs. 2 S.1 BDSG „gilt dieses Gesetz für die Erhebung, Verarbeitung und Nutzung personenbezogener Daten durch

öffentliche Stellen des Bundes,

öffentliche Stellen des Landes (soweit nicht durch Landesgesetz geregelt) und

nicht-öffentliche Stellen“,

solange nach § 1 Abs. 3 S. 1 BDSG kein anderes Gesetz vorrangig zu behandeln ist.[177]

4.1.4.1 Verantwortliche Stelle

Die verantwortliche Stelle ist gemäß § 3 Abs. 7 BDSG jede Person oder Stelle, die personenbezogene Daten für sich selbst erhebt, verarbeitet, nutzt oder dies durch andere im Auftrag vornehmen lässt.

Der Begriff der verantwortlichen Stelle dient als Anknüpfungspunkt für vom Gesetz festgelegte Rechte und Pflichten[178] und verweist als Oberbegriff auf die in § 2 BDSG folgenden öffentlichen und nicht-öffentlichen Stellen.[179]

4.1.4.2 Öffentliche Stellen

Vom Begriff der öffentlichen Stelle ist der gesamte Bereich der Betätigung der öffentlichen Hand erfasst. Dies sind insbesondere Behörden, Organe der Rechts­pflege und andere öffentlich organisierte Einrichtungen.

Hierbei muss jedoch zwischen den öffentlichen Stellen des Bundes bzw. der Länder unterschieden werden:

Unter öffentlichen Stellen des Bundes, wo das BDSG vorrangig Anwendung findet, versteht das Gesetz gemäß § 2 Abs. 1...