Das Thema Datenschutz ist nicht erst seit dem Wirksamwerden der EU-Datenschutzgrundverordnung (DS-GVO) zum 25.05.2018 in aller Munde. Dabei muss das Topos „Datenschutz“ seit jeher trennungsunscharf als Sammelbegriff für eine Vielzahl von unterschiedlich zu bewertenden und zu behandelnden Sachverhalten herhalten. Schlimmer noch: Vielfach werden Sachverhalte, die tatsächlich keinen Bezug zum Datenschutz aufweisen, gleichwohl hiermit verknüpft.
Datenschutz als Grundrecht – Herleitung und geschichtliche Bedeutung des Begriffs Datenschutz
Die weltweit erste rechtliche Grundlage wurde in Deutschland mit dem 1. Hessischen Datenschutzgesetz am 07.10.1970 geschaffen (Simitis in Simitis: Bundesdatenschutzgesetz, 8. Auflage 2014, Einleitung, Rn.1). Hintergrund war die seit Mitte der 1960er Jahre immer stärker in den Vordergrund tretende automatisierte Datenverarbeitung in den Verwaltungen der Bundesrepublik Deutschland und die damit einhergehende Diskussion über die Gefährdungen durch die aufkommenden Datenbanken staatlicher Behörden. Sowohl das Bestreben, die Privatsphäre des Einzelnen zu schützen, als auch die Befürchtung, dass eine umfassende Informationsmacht des Staates über seine Bürgerinnen und Bürger entstehen könnte, führten zur Überzeugung, dass die immer effektiver werdende automatisierte Informationsverarbeitung durch öffentliche Stellen der Begrenzung durch den Datenschutz bedarf (http://www.lda.brandenburg.de/cms/detail.php/bb1.c.251507.de, abgerufen am 13.05.2018).
Ohne den Begriff Datenschutz selbst zu definieren, legte das 1. Hessische Datenschutzgesetz in § 1 den Bereich des Datenschutzes wie folgt fest:
Der Datenschutz erfasst alle für Zwecke der maschinellen Datenverarbeitung erstellten Unterlagen sowie alle gespeicherten Daten und die Ergebnisse ihrer Verarbeitung im Bereich der Behörden des Landes und der der Aufsicht des Landes unterstehenden Körperschaften, Anstalten und Stiftungen des öffentlichen Rechts (GVBl. II 300-10).
Der Bund verabschiedete schließlich am 27.01.1977 das Gesetz zum Schutz vor Missbrauch personenbezogener Daten bei der Datenverarbeitung, gemeinhin als erstes Bundesdatenschutzgesetz (BDSG) bekannt. Das BDSG von 1977 verwendete dabei zum ersten Mal den Begriff „personenbezogene Daten“ als klares Abgrenzungsmerkmal zum reinen Sachdatum, welches – da lediglich raumbezogen – nicht unter den Schutzbereich des BDSG fallen sollte.
Eine weitere inhaltliche Ausgestaltung und Aufwertung des Datenschutzes erfolgte nicht durch die Legislative, sondern durch das so genannte Volkszählungsurteil des Bundesverfassungsgerichts vom 15.12.1983, welches über die Verfassungsmäßigkeit des 1982 vom Bund verabschiedeten Volkszählungsgesetzes zu befinden hatte. Das Bundesverfassungsgericht befand, dass das aus Artikel 1 Absatz 1 und Artikel 2 Abs. 1 des Grundgesetzes abgeleitete „Recht auf informationelle Selbstbestimmung“ verletzt werde, wenn und soweit die betroffenen Bürgerinnen und Bürger der Datenverarbeitung nicht grundsätzlich selbst über die Verwendung ihrer Daten bestimmen können (BVerfGE 65, 1).
Das Bundesverfassungsgericht erhob mit diesem Urteil den Datenschutz als Recht auf informationelle Selbstbestimmung des Einzelnen in den Rang eines Grundrechts.
In der weiteren Folge dieses Urteils wurden die Datenschutzgesetze der Länder neu gefasst und der Bund novellierte 1990 schließlich das Bundesdatenschutzgesetz, welches den Einzelnen davor zu schützen hatte, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird.
Seither verbirgt sich hinter dem allgemeinen Begriff „Datenschutz“ der Schutzzweck, den Einzelnen davor zu schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Recht auf informationelle Selbstbestimmung beeinträchtigt wird. Im Umkehrschluss findet der Datenschutz dort seine natürliche Grenze, wo es sich nicht um personenbezogene Daten handelt, sondern um reine Sachdaten, die raumbezogene Sachverhalte beschreiben.
Die rechtlichen Grundlagen des Datenschutzes unter besonderer Berücksichtigung der DS-GVO
Wie im vorangegangenen Kapitel bereits angemerkt, wurde am 25.05.2018 die DS-GVO (Verordnung 2016/679 des Europäischen Parlaments und des Rates vom 27.04.2016) nach einer zweijährigen Eingewöhnungszeit wirksam. Bereits in den 1980er Jahren erkannte der Gesetzgeber, dass Datenschutz nicht an Ländergrenzen halt machen darf, sondern allein schon durch die wirtschaftlichen Verflechtungen und die Erfordernisse der grenzüberschreitenden Datenübermittlung Handlungsbedarf bestand (Simitis in Simitis, aaO, Rn.119).
Um zumindest innerhalb der Europäischen Union ein einheitliches Datenschutzniveau zu erreichen, erließ der EU-Gesetzgeber 1995 die Richtlinie zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Warenverkehr, kurzum die EU-Datenschutzrichtlinie (Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24.10.1995). Anders als eine EU-Verordnung bedarf eine EU-Richtlinie der Umsetzung in nationales Recht. Deutschland ließ sich hierbei bis in das Jahr 2001 Zeit, um das bestehende BDSG entsprechend zu novellieren und die sich aus der EU-Richtlinie zwingend ergebenden Gesetzesänderungen umzusetzen.
Der hehre Versuch, innerhalb der EU mittels dieser Richtlinie zu einem einheitlichen Datenschutzniveau zu gelangen, darf heute allgemein als gescheitert angesehen werden.
Daher trat nach langen Verhandlungen am 25.05.2016 die DS-GVO in Kraft, die ab dem 25.05.2018 wirksam wurde. Die DS-GVO ist aber „nur“ eine Grundverordnung, d.h. sie kann und will den Schutz personenbezogener Daten nicht umfassend und vollständig regeln. Sie enthält daher eine Vielzahl von so genannten Öffnungsklauseln, die es dem nationalen Gesetzgeber gestatten, ergänzende bzw. spezifischere Vorschriften aufrecht zu erhalten oder zu erlassen. Daher hat der Bundestag mit Zustimmung des Bundesrates am 30.06.2017 das so genannte Datenschutzanpassungsgesetz beschlossen, welches im Kern ein neues Bundesdatenschutzgesetz enthält (BDSG-neu). Auch das BDSG-neu wurde zum 25.05.2018 wirksam.
Die DS-GVO stellt den gesamten Datenschutz europaweit zwar auf eine neue Grundlage. Allerdings hat das DS-GVO elementare Teile aus dem deutschen Recht übernommen bzw. nachempfunden. Dies gilt insbesondere für den Grundsatz des Verbots mit Erlaubnisvorbehalt. Danach sind alle Arten des Umgangs mit personenbezogenen Daten verboten, es sei denn, die Handlung ist ausdrücklich per Gesetz erlaubt oder der Betroffene hat ausdrücklich darin einwilligt. Auch die DS-GVO stellt sogleich in Erwägungsgrund (1) klar, dass der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten ein Grundrecht darstellt.
Dem BDSG-neu kommt künftig eine andere Rolle als bisher zu. So muss nun immer zunächst in der DS-GVO geprüft werden, ob dieses überhaupt eine Konkretisierung (durch eine Öffnungsklausel) durch die Mitgliedsstaaten zulässt. § 1 Abs. 5 BDSG-neu normiert ausdrücklich den Vorrang der DS-GVO. Danach greift das BDSG-neu nur dort und soweit, wie die Bestimmungen der DS-GVO überhaupt ergänzungsbedürftig oder ergänzungsoffen sind.
Bei der Auslegung der Normen des BDSG-neu ist aber stets und ausschließlich auf die Sprachfassungen der DS-GVO abzustellen.
