171. Kapitel
Einleitung
I. Datenschutz: BDSG von 1977
„Datenschutz“ gibt es als Bundesgesetz seit 1977, BDSG. Das BDSG wurde mehrfach novelliert. Gegenstand der Regelung ist der Umgang mit personenbezogenen Daten. Ursprünglich war der Ansatz, diese dann zu schützen, wenn besondere Gefahren bestehen, was damals bei Verarbeitung mit/aus „Dateien“ vermutet wurde.
„Vorläufer“ des BDSG waren das hessische Landesdatenschutzgesetz von 1970 und das Schwedische Datenschutzgesetz von 1973. Das BDSG gilt für alle Bereiche, also öffentliche und nicht-öffentliche Stellen. Es wurde mehrfach novelliert. Die Bundesländer haben sämtlich von der Möglichkeit Gebrauch gemacht, eigene Landesdatenschutzgesetze zu schaffen, die insoweit das BDSG verdrängen. Dieses hat also neben dem Bund vor allem für die nicht-öffentlichen Stellen Wirkung. Diese Wirkung endet weitgehend mit Geltung der DS-GVO zum 25.5.2018.
Unabhängig davon besteht das Allgemeines Persönlichkeitsrecht als Schutzposition des Einzelnen weiter, wohl auch das Recht am eigenen Bild (OLG Köln (erste Entscheidung zur DSGVO) v. 18.6.2018 – 15 W 27/18, dazu Hansen/Brechtel: KUG vs. DS-GVO: Kann das KUG anwendbar bleiben? GRUR-Prax 2018, 369). Microsoft etwa forderte neue Gesetze zur Bilderkennung (https://blogs.microsoft.com/onthe-issues/2018/07/13/facial-recognition-technology-the-need-forpublic-regulation-and-corporate-responsibility/). In Verbindung mit autonomen Fahrzeugen, KI und Algorithmen wird zunehmend ein – evtl. zu schaffendes – Recht am eigenen Datum diskutiert (Markendorf ZD 2018, 409).
18II. Europa, EU
Schon die Datenschutzrichtlinie (DS-RL) von 1995 strebte einen einheitlichen Datenschutz auf hohem Niveau in der EU an. Es entstand eine Front gegenüber den USA und deren Datenschutz mit der Durchsetzung im Rahmen der EuGH-Entscheidungen. Oft wurde angenommen, dort gäbe es keinen Datenschutz. Dabei wird übersehen, dass die Art, diesen zu regeln, völlig verschieden von dem Ansatz der EU ist, vor allem beim Ansatz, was zu schützen ist. Der Versuch, etwa über den Schutz der Privatsphäre und dessen Regelung ein kompatibles EU-Recht zu schaffen, wurde in der EU nicht unternommen, dagegen wurden die Gräben durch Ausbau der DS-RL nun als direkt wirkende DS-GVO vertieft (s. zu USA Lejeune ITRB 2016, 201 (zu Privacy Shield); Determann, International Compliance Field Guide, 2017, und Determann zum California Consumer Privacy Act of 2018, CR 2018, 114).
1. DS-RL und andere Vorgaben
Der EuGH hatte bereits 1969 ein Datenschutzproblem zu entscheiden. Der Fall erinnert etwas an die Veröffentlichung der Agrar-Subventions-Empfänger, s.S. 30. Die vorgelegte Frage des VG Stuttgart betraf den Umstand, dass bei der Abgabe verbilligter Butter an Empfänger bestimmter sozialer Hilfen die Abgabe an eine Offenbarung des Namens des Empfängers gegenüber dem Verkäufer geknüpft war (EuGH v. 12.11.1969 – C-29/69). Es gibt also schon lange eine Befassung mit dem Umgang mit personenbezogenen Daten, bevor der „Datenschutz“ formalisiert wurde.
Seit 1981 gab es die Datenschutzkonvention des Europarats – „Übereinkommen zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten“. Gegenstand und Zweck sind in Art. 1 beschrieben.
Art. 1 Übereinkommen zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten
„Zweck dieses Übereinkommens ist es, im Hoheitsgebiet jeder Vertragspartei für jedermann ungeachtet seiner Staatsangehörigkeit oder seines Wohnorts sicherzustellen, dass seine Rechte und Grundfreiheiten, insbesondere sein Recht auf einen Persönlichkeitsbereich, bei der automatischen Verarbeitung personenbezogener Daten geschützt werden („Datenschutz“).“
19Mit der EG-Datenschutzrichtlinie 95/46 (Richtlinie 95/46/EG des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr von 1995 (EG-Datenschutzrichtlinie, DS-RL)) wurde eine harmonisierende Maßgabe für den Datenschutz geschaffen. Diese EG-Datenschutzrichtlinie war bis zum 24.10.1998 umzusetzen. Deutschland sah sich in der Position, bereits über die entsprechende Regelung mit dem BDSG zu verfügen. Tatsächlich war dies nicht so der Fall, sodass bei Novellierungen auch noch Umsetzungen der DS-RL in das BDSG erfolgten. Die DS-RL umfasste auch die nichtautomatisierte Verarbeitung personenbezogener Daten in oder aus Dateien.
Parallel zur Konvention Europarats und zur DS-RL gibt es die OECD -Datenschutz- Richtlinien über Datenschutz und grenzüberschreitende Ströme personenbezogener Daten („Datenschutzrichtlinien“) vom 23.9.1980 (OECD-Datenschutzleitlinien, überarbeitet 2013, http://www.oecd.org/internet/ieconomy/privacyguidelines.htm). Sie haben keine Bindungswirkung. Interessant ist, dass dort vor allem die Gefährdung der Privatsphäre und der Freiheiten von Personen im Focus der Regelung stehen. Auch gibt es dort bereits Grundprinzipien, die weitgehend die in Art. 6 DS-RL und Art. 5 DS-GVO vorwegnehmen.
Zu erwähnen ist noch als spezielle Datenschutz-RL die Richtlinie 97/66/EG des Europäischen Parlaments und des Rates über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre im Bereich der Telekommunikation von 1997, 2002 als EG-Telekommunikations-Datenschutzrichtlinie 2002/58/EG novelliert, durch die Richtlinie zur Vorratsdatenspeicherung 2006/24/EG geändert. Sie gilt als sog. e-Privacy-RL (2002/58/EG), die durch die sog. Cookie-RL (2009/136/EG) ergänzt wurde. Deutschland stand auf dem Standpunkt, mit dem TMG bereits über geeignete Regelungen zu verfügen, ohne speziell eine Umsetzung vornehmen zu müssen. Nun soll die e-Privacy-Verordnung, auf der DS-GVO aufsetzend, die Thematik des Datenschutzes bei der elektronischen Kommunikation ebenfalls mit direkter Wirkung neu regeln (Vorschlag vom 10.1.2017, 2017/0003, mitgeteilt vom Rat unter 5358/17). Mit Blick auf das (fehlende) Rechtsgut bei der DS-GVO ist sehr interessant, dass sie bezeichnet wird als „Verordnung über Privatsphäre und elektronische Kommunikation“ (dazu s. z.B. Spindler/Schmitz, Vorbemerkung: Überblick zum Datenschutz nach TMG und Ausblick auf DS-GVO und ePrivacy-VO Rn. 25-29).
202. Grundrechte
Seit 1983 gibt es in Deutschland das Recht auf informationelle Selbstbestimmung (Urteil des BVerfG), das nie in das BDSG übernommen wurde, also vor allem über die Rechtsprechung Wirkung entfaltete. In gewissem Sinne wird es ergänzt durch das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme (BVerfG v. 27.2.2008 – 1 BvR 370/07, 1 BvR595/07, NJW 2008, 822). Dieses wurde als das „neue (Computer-)Grundrecht“ bezeichnet (Krings/Sachs JuS 2008, 481). Weitere Entscheidungen finden sich ab S. 25. Das Recht auf informationelle Selbstbestimmung und das „neue Computergrundrecht“ haben inhaltlich Eingang in die DS-GVO gefunden, letzteres als Grundsatz in Art. 5 Abs. 1.
Art. 5 Abs. 1 Buchstabe f
Danach müssen personenbezogene Daten „…in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen (‚Integrität und Vertraulichkeit‘)“.
Seit „Lissabon“ (Vertrag von Lissabon) gibt es mit Wirkung 1.12.2009 die Grundrechte nach der EU-Charta (GRCh), hier vor allem Art. 7 und 8.
Art. 7 und 8 GRCh
Artikel 7 Achtung des Privat- und Familienlebens
Jede Person hat das Recht auf Achtung ihres Privat- und Familienlebens, ihrer Wohnung sowie ihrer Kommunikation.
Art. 8 Schutz personenbezogener Daten
(1) Jede Person hat das Recht auf Schutz der sie betreffenden personenbezogenen Daten.
(2) 1) Diese Daten dürfen nur nach Treu und Glauben für festgelegte Zwecke und mit Einwilligung der betroffenen Person oder auf einer sonstigen gesetzlich geregelten legitimen Grundlage verarbeitet werden. 2) Jede Person hat das Recht, Auskunft über 21die sie betreffenden erhobenen Daten zu erhalten und die Berichtigung der Daten zu erwirken.
(3) Die Einhaltung dieser Vorschriften wird von einer unabhängigen Stelle überwacht.
Art. 7 GRCh hat den Vorteil, mit „Privatleben“ einen inhaltlichen, materiellen Rechtsgehalt zu bieten, der das Schutzgut konkreter ausgestaltet, während Art. 8 GRCh nicht vermittelt, dass es nicht als Selbstzweck um den Schutz der Daten, sondern um den Schutz der Person vor (den Folgen) der Verarbeitung „ihrer“ Daten geht.
Das Fehlen eines materiellen Schutzguts macht sich an vielen Stellen als schwerwiegendes Defizit bemerkbar, das eine sinnvolle, zielgerichtete Berücksichtigung der Maßgaben der DS-GVO erschwert. Besonders deutlich wird dies z.B. bei „Datenschutz durch Technikgestaltung“, Art. 25. Richtig wäre und postuliert wurde und wird „Privacy by design“ (s. EDSB Opinion 5/2018, https://edps.europa. eu/sites/edp/files/publication/18-05-31_preliminary_opinion_on_privacy_by_design_en_0.pdf). „Privatsphäre“ ist aber als Schutzgut nicht in die DS-GVO eingeführt worden, vielmehr scheint der Schutz der Daten weiterhin als Selbstzweck verfolgt zu werden...