121 19 3MB
German Pages 309 Year 2018
Schriften zum Öffentlichen Recht Band 1376
Vom quantitativen zum qualitativen Datenschutz Leitbildwandel im Datenschutzrecht
Von
Laura Schulte
Duncker & Humblot · Berlin
LAURA SCHULTE
Vom quantitativen zum qualitativen Datenschutz
Schriften zum Öffentlichen Recht Band 1376
Vom quantitativen zum qualitativen Datenschutz Leitbildwandel im Datenschutzrecht
Von
Laura Schulte
Duncker & Humblot · Berlin
Die Fakultät für Rechtswissenschaften der Universität Bielefeld hat diese Arbeit im Jahr 2017 als Dissertation angenommen.
Bibliografische Information der Deutschen Nationalbibliothek Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie; detaillierte bibliografische Daten sind im Internet über http://dnb.d-nb.de abrufbar.
Alle Rechte vorbehalten
© 2018 Duncker & Humblot GmbH, Berlin
Fremddatenübernahme: 3w+p GmbH, Ochsenfurt-Hohestadt Druck: CPI buchbücher.de gmbh, Birkach Printed in Germany ISSN 0582-0200 ISBN 978-3-428-15389-3 (Print) ISBN 978-3-428-55389-1 (E-Book) ISBN 978-3-428-85389-2 (Print & E-Book) Gedruckt auf alterungsbeständigem (säurefreiem) Papier entsprechend ISO 9706
Internet: http://www.duncker-humblot.de
Für meine Eltern, die sich oft wunderten, aber niemals zweifelten
Vorwort Die Arbeit an dieser Dissertation hat mir eindrücklich veranschaulicht, dass die zentralen Fragen des Datenschutzes interdisziplinär zu entwickelnder Antworten bedürfen. Jene setzen einen fächerübergreifenden Diskurs voraus, der sich in den letzten Jahren auch zunehmend intensiver zu gestalten scheint. Die Volkswagenstiftung hat mir durch die Förderung des Projektes „Strukturwandel des Privaten“, in deren Rahmen diese Arbeit entstanden ist, insbesondere durch die Finanzierung eines Aufenthaltes als Gastwissenschaftlerin an der Queen Mary School of Law (London) sowie der Teilnahme an verschiedenen Konferenzen ermöglicht, an diesem Diskurs teilzuhaben. Hierfür gilt der Stiftung mein Dank. Durch die Arbeit für und mit Herrn Prof. Dr. Christoph Gusy durfte ich vor allem in der Zeit als wissenschaftliche Mitarbeiterin an seinem Lehrstuhl vieles lernen. Sein stetiger Rückhalt und seine Ermutigungen ermöglichten mir das Schreiben dieser Arbeit. Frau Prof.in Dr. Angelika Siehr LL.M. (Yale) danke ich sowohl für die zügige Erstellung des Zweitgutachtens als auch für ihr bereits während meiner Studienzeit zum Ausdruck gebrachtes Interesse an meiner fachlichen und persönlichen Entwicklung. Frau stud. jur. Lilith Boos danke ich für ihre Freundschaft, die mir selbst die weniger angenehmen Phasen des Promovierens erleichtert hat. Ganz herzlich sei Herrn wiss. Mit. Patrick Glückert dafür gedankt, dass er mich bei dem Schreiben dieser Arbeit stets begleitet hat. Meine Eltern Regina und Ewald Schulte, denen diese Arbeit gewidmet ist, sowie meine Geschwister Nadine, Florian und Alexa haben mich erst in die Lage versetzt, diese Dissertation schreiben zu können – jeder auf seine eigene, unersetzliche Weise. Bielefeld, im Dezember 2017
Laura Schulte
Inhaltsverzeichnis § 1 Einleitung – Ausgangsthesen, Begrifflichkeiten und Gang der Untersuchung . . . 21 § 2 Leitbilder im Datenschutzrecht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25 A. Ein Definitionsversuch . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25 B. Funktionen von Leitbildern . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27 C. Dogmatische und rechtswissenschaftliche Kategorisierung von Leitbildern . . . . . 29 D. Genese und Wandel gesetzgeberischer Leitbilder für den Datenschutz . . . . . . . . . 31 § 3 BDSG 1977 – Rationalisierung vs. Privatsphärenschutz . . . . . . . . . . . . . . . . . . . . . 34 A. Verfassungsgerichtliche Grundentscheidungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34 B. Vorarbeiten der Landesgesetzgeber . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36 C. Gesetzgebungsprozess des BDSG 1977 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39 I. Ausgangslage des Gesetzgebungsprozesses . . . . . . . . . . . . . . . . . . . . . . . . . . . 39 II. Konkurrierende Ansätze für ein BDSG . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41 1. Entwurf eines Datenschutzgesetzes der Abgeordneten Hirsch, Dichgans, Kirst und Genossen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41 2. Podlechs Entwurf eines Bundesdatenschutz-Rahmengesetzes . . . . . . . . . . . 43 3. Entwurf eines Bundes-Datenschutzgesetzes der Bundesregierung . . . . . . . 45 a) Erarbeitung des Gesetzentwurfs im BMI . . . . . . . . . . . . . . . . . . . . . . . . . 45 b) Die parlamentarische Auseinandersetzung mit dem Regierungsentwurf 53 c) Der Regierungsentwurf im Vermittlungsausschuss . . . . . . . . . . . . . . . . . 58 D. Leitbilder des BDSG 1977 – Ausgangspunkt für einen quantitativen Datenschutz 60 I. Leitbilder des BDSG 1977 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60 II. Quantitativer Datenschutz als Resultat gesetzgeberischer Leitbilder . . . . . . . . 66 § 4 Reform des BDSG 1977 – Sicherheit vs. informationelle Selbstbestimmung . . . . 70 A. Der gesetzgeberische Reformdiskurs bis 1983 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70 I. Gesetzesinitiativen zur Reform des BDSG 1977 . . . . . . . . . . . . . . . . . . . . . . . 70 II. Enquete-Kommission „Neue Informations- und Kommunikationstechniken“
77
10
Inhaltsverzeichnis III. Zwischenergebnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78 B. Informationelle Selbstbestimmung als verfassungsrechtliches Leitbild . . . . . . . . . 78 I. Das Volkszählungsurteil – Ursprung, Inhalt und Schranken der informationellen Selbstbestimmung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78 II. Rezeption des Volkszählungsurteils durch den Bundesgesetzgeber . . . . . . . . . 81 1. Erste Reaktionen im Bundestag . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82 2. Gesetzentwurf der SPD-Fraktion zur Änderung des BDSG vom 27. März 1984 83 3. Datenschutz und Sicherheitsgesetze . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86 4. Parlamentarische Arbeit an den Gesetzentwürfen der Regierungsfraktionen und der Bundesregierung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91 5. Exkurs zum ZAG . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92 6. Vom umfassenden Artikelgesetz zur Verabschiedung der Rechtsgrundlage für ZEVIS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95 III. BDSG 1990 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96 1. Ausgangsbedingungen des wiederaufgenommenen Reformdiskurses . . . . . 96 2. Änderungsvorschläge der Oppositionsfraktionen der GRÜNEN und der SPD
97
3. Der „neue“ Entwurf der Bundesregierung . . . . . . . . . . . . . . . . . . . . . . . . . . 99 4. Parlamentarische Arbeit an dem Gesetzentwurf der Bundesregierung . . . . 102 5. Das BDSG 1990 im Vermittlungsausschuss . . . . . . . . . . . . . . . . . . . . . . . . . 104 6. Etablierung qualitativer Datenschutzansätze durch das BSIG? . . . . . . . . . . 105 C. Datenschutz zwischen Sicherheit und informationeller Selbstbestimmung . . . . . . 107 I. Leitbilder des BDSG 1990 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107 II. Konsolidierung des quantitativen Datenschutzrechts . . . . . . . . . . . . . . . . . . . . 111 § 5 Europäisierung des Datenschutzes und Ausdifferenzierung des bereichsspezifischen Datenschutzrechts – Markt und Systemdatenschutz als Leitbilder . . . . . . 113 A. Kontext des gemeinschaftsrechtlichen Datenschutzes . . . . . . . . . . . . . . . . . . . . . . 113 B. Der Gesetzgebungsprozess der RL 95/46/EG . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115 I. Die schweren Anfänge – Vorarbeiten des Europäischen Parlaments . . . . . . . . 115 II. Aufbau eines digitalen Marktes – Handeln und Unterlassen der Europäischen Kommission . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117 III. Initiativen der Kommission für einen gemeinschaftsrechtlichen Datenschutz 119 1. Vorschlag einer allgemeinen Datenschutzrichtlinie . . . . . . . . . . . . . . . . . . . 119 2. Vorschlag einer Datenschutzrichtlinie für öffentliche digitale Telekommunikations- und Mobilfunknetze . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 122 3. Vorschlag für einen Ratsbeschluss auf dem Gebiet der Informationssicherheit 125 4. Zwischenergebnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 126 IV. Das weitere Gesetzgebungsverfahren zwischen Europäischem Parlament und Kommission . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127
Inhaltsverzeichnis
11
V. Die Arbeit an der Richtlinie im Ministerrat – insbesondere die Position der deutschen Delegation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 128 C. Datenschutzstandard der RL 95/46/EG – Ausgangspunkt für ein qualitatives Datenschutzrecht? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 130 D. Reform des BDSG 1990 – insbesondere Rezeption qualitativer Datenschutzansätze des Gemeinschafts-, des Telekommunikations- sowie des Telemedienrechts 134 I. Das Drei-Stufen-Modell für den Datenschutz im Internet . . . . . . . . . . . . . . . . 135 II. Etablierung qualitativer Datenschutzansätze im Telekommunikations- und Telemedienrecht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 136 1. Telekommunikationsgesetz 1996 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 136 2. Staatsvertrag über Mediendienste 1997 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 137 3. Informations- und Kommunikationsdienste-Gesetz des Bundes . . . . . . . . . 139 a) Info 2000 – Deutschlands Weg in die Informationsgesellschaft . . . . . . . 139 b) Entwurf eines Informations- und Kommunikationsdienste-Gesetzes – insbesondere Entwurf eines TDDSG . . . . . . . . . . . . . . . . . . . . . . . . . . . . 141 c) Parlamentarische Auseinandersetzung mit dem TDDSG . . . . . . . . . . . . 144 d) Evaluation des TDDSG . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 145 4. Zwischenergebnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 147 III. Umsetzung der Vorgaben der RL 95/46/EG durch das BDSG 2001 – und Modernisierung? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 148 1. Gesetzentwurf der Fraktion Bündnis 90/Die GRÜNEN vom 14. November 1997 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 149 2. Modernisierung des BDSG 1990 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 151 a) Hehres Ziel der Modernisierung des Datenschutzrechts . . . . . . . . . . . . . 151 b) Erste Stufe der Datenschutzreform – Erlass des BDSG 2001 . . . . . . . . . 153 c) Vorbereitung der zweiten Stufe – Das Modernisierungsgutachten von Roßnagel, Pfitzmann und Garstka . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 157 d) Zweite Stufe der Modernisierung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 160 E. Markt und Systemdatenschutz als Datenschutzleitbilder . . . . . . . . . . . . . . . . . . . . 163 § 6 E-Privacy als neues Datenschutzleitbild . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 167 A. Das Mittelstandsentlastungsgesetz I . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 168 B. Die Datenschutznovellen I und III – Scoring . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 169 C. Die Datenschutznovelle II – Datenschutzaudit, Adresshandel und Beschäftigtendatenschutz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 172 I. Die Gesetzesinitiative der Bundesregierung . . . . . . . . . . . . . . . . . . . . . . . . . . . 172 II. Der Entwurf im Parlament . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 175
12
Inhaltsverzeichnis D. Fazit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 176 E. Gesetzesinitiativen für einen qualitativen Datenschutz im Netz? . . . . . . . . . . . . . . 178 I. Regulierung internetbasierter Geodienste und „Rote-Linie-Gesetz“ . . . . . . . . 179 II. Enquete-Kommission „Internet und Gesellschaft“ – Datenschutz und Persönlichkeitsrechte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 182 III. Zwischenergebnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 185 IV. Stärkung des datenschutzrechtlichen Kontrollregimes . . . . . . . . . . . . . . . . . . . 185 1. Stärkung der Unabhängigkeit des Bundesbeauftragten für den Datenschutz? 186 2. Verbandsklagerechte im Datenschutzrecht . . . . . . . . . . . . . . . . . . . . . . . . . . 188 F. Das Grundrecht auf Vertraulichkeit und Integrität informationstechnischer Systeme . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 191 I. Die Entscheidung des BVerfG zur sog. Online-Durchsuchung . . . . . . . . . . . . 191 II. Gesetzgeberische Konsequenzen des Grundrechts auf Vertraulichkeit und Integrität informationstechnischer Systeme . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 196 1. Gesetz über Personalausweise und den elektronischen Identitätsnachweis 197 2. Gesetz zur Regelung von De-Mail-Diensten . . . . . . . . . . . . . . . . . . . . . . . . 199 3. IT-Sicherheitsgesetz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 201 G. E-Privacy als neues Datenschutzleitbild . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 207
§ 7 Die DS-GVO – Ausdruck bzw. Ausgangspunkt eines datenschutzrechtlichen Leitbildwandels? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 209 A. Revision des europäischen Datenschutzrechts – rechtlicher und politischer Kontext . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 209 I. Primärrechtliche Ausgangsbedingungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 209 II. Politische Ausgangsbedingungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 212 1. Evaluation der RL 95/46/EG . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 212 2. Gesamtkonzept für den Datenschutz in der EU und Schutz der Privatsphäre in einer vernetzten Welt . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 214 B. Das Gesetzgebungsverfahren der DS-GVO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 216 I. Der Kommissionsentwurf . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 217 II. Zwischenergebnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 222 III. Position des Europäischen Parlaments . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 225 IV. Allgemeine Ausrichtung des Rates . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 228 V. Die DS-GVO – Rechtsrahmen für einen qualitativen Datenschutz? . . . . . . . . 231 C. Konsequenzen der DS-GVO für das Datenschutzleitbild des Bundesgesetzgebers 237 I. „Ob“ nationaler Datenschutzregelungen – insbesondere Öffnungsklauseln . . . 238 II. „Wie“ nationaler Datenschutzregelungen – insbesondere Wiederholungsverbot . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 240
Inhaltsverzeichnis
13
III. Revision des nationalen Datenschutzrechts . . . . . . . . . . . . . . . . . . . . . . . . . . . . 242 1. Erste Umsetzungsbemühungen – insbesondere Entwurf eines Allgemeinen Bundesdatenschutzgesetzes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 242 2. Das Datenschutz-Anpassungs- und -Umsetzungsgesetz EU . . . . . . . . . . . . 245 D. Fazit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 252 § 8 Synthese . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 255 A. Verfassungsrechtliche Vorgaben – Von der Sphärentheorie über die informationelle Selbstbestimmung zur Vertraulichkeit und Integrität informationstechnischer Systeme . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 256 B. Unionale Vorgaben – Von der RL 95/46/EG zur DS-GVO . . . . . . . . . . . . . . . . . . . 259 C. Konkurrenz datenschutzrechtlicher Leitbilder . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 261 D. Leitbilder im Datenschutzrecht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 265 Literaturverzeichnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 267 Sachwortverzeichnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 306
Abkürzungsverzeichnis Ä A a. a.A. a.D. ABDSG ABl. Abs. ACM AcP ADV AEUV AfP AG AGB Anm. AnwBl. AöR APIS Art. ATDG Aufl. Az. BAG BAGE BB Bd. BDSG BDSR bdw BfD BfV BGB BGBl. BITKOM BKA BKAG BLE BMI BMJV
Änderung Ausschuss auch andere Auffassung außer Dienst Allgemeines Bundesdatenschutzgesetz Amtsblatt Absatz Association for Computing Machinery Archiv für die civilistische Praxis automatische Datenverarbeitung Vertrag über die Arbeitsweise der Europäischen Union Archiv für Presserecht Amtsgericht Allgemeine Geschäftsbedingung Anmerkung Anwaltsblatt Archiv des öffentlichen Rechts Advance Passenger Information System Artikel Antiterrordateigesetz Auflage Aktenzeichen Bundesarbeitsgericht Amtliche Sammlung der Entscheidungen des Bundesarbeitsgerichts Betriebs-Berater Band Bundesdatenschutzgesetz Bundesdatenschutz-Rahmengesetz Bild der Wissenschaft Bundesbeauftragter für den Datenschutz Bundesamt für Verfassungsschutz Bürgerliches Gesetzbuch Bundesgesetzblatt Bundesverband Informationswirtschaft, Telekommunikation und neue Medien Bundeskriminalamt Bundeskriminalamtgesetz Bundesanstalt für Landwirtschaft und Ernährung Bundesministerium des Innern Bundesministerium der Justiz und für Verbraucherschutz
Abkürzungsverzeichnis BMVEL BMWA BMWi BNDG BPolG BR BRD BSI BSI-G BSIG BStatG BT BT-Drs. BVerfG BVerfGE BVerfSchG BWGBl. BWGZ bzgl. bzw. CB CCC CCZ CDU CELEX Chp. CILIP COD CR CSU ders. DIANE dies. DIN DJT Dok. DÖV DRiZ Drs. DSAG DSAnpUG-EU DSB DSG DS-GVO
15
Bundesministerium für Verbraucherschutz, Ernährung und Landwirtschaft Bundesministerium für Wirtschaft und Arbeit Bundesministerium für Wirtschaft und Energie Gesetz über den Bundesnachrichtendienst Bundespolizeigesetz Bundesrat Bundesrepublik Deutschland Bundesamt für Sicherheit in der Informationstechnik Gesetz über das Bundesamt für Sicherheit in der Informationstechnik Gesetz über die Errichtung des Bundesamtes für Sicherheit in der Informationstechnik Gesetz über die Statistik für Bundeszwecke Bundestag Bundestagsdrucksache Bundesverfassungsgericht Amtliche Sammlung der Entscheidungen des Bundesverfassungsgerichts Bundesverfassungsschutzgesetz Gesetzesblatt für Baden-Württemberg Die Gemeindezeitung bezüglich beziehungsweise Compliance Berater Chaos Computer Club Corporate Compliance Zeitschrift Christlich Demokratische Union Deutschlands Communitatis Europeae Lex chapter Bürgerrechte und Polizei Ordentliches Gesetzgebungsverfahren Computer und Recht Christlich-Soziale Union in Bayern derselbe Direct Information Access Network for Europe dieselbe Deutsche Industrienorm Deutscher Juristentag Dokument Die Öffentliche Verwaltung Deutsche Richterzeitung Drucksache Datenschutzauditgesetz Gesetz zur Anpassung des Datenschutzrechts an die DatenschutzGrundverordnung und zur Umsetzung der Richtlinie (EU) 2016/680 Datenschutz-Berater Datenschutzgesetz Datenschutz-Grundverordnung
16 DSL DSRITB
Abkürzungsverzeichnis
Digital Subscriber Line Tagungsband der Deutschen Stiftung für Recht und Informatik (Herbstakademie) DStR Deutsches Steuerrecht DSWR Datenverarbeitung-Steuern-Wirtschaft-Recht DuD Datenschutz und Datensicherheit DVBl. Deutsches Verwaltungsblatt DVR Datenverarbeitung im Recht E Entwurf e.V. eingetragener Verein EAID Europäische Akademie für Informationsfreiheit und Datenschutz e-Commerce-RL Richtlinie über den elektronischen Geschäftsverkehr EDV elektronische Datenverarbeitung EG Europäische Gemeinschaft EGMR Europäischer Gerichtshof für Menschenrechte Einl. Einleitung ELR Elder law review EMRK Europäische Menschenrechtskonvention endg. endgültig EP Europäisches Parlament epd Der Evangelische Pressedienst e-Privacy-RL Datenschutzrichtlinie für elektronische Kommunikation e-Privacy-VO Verordnung über Privatsphäre und elektronische Kommunikation ESPRITE European Strategic Program for Information Technology EU Europäische Union EuGH Gerichtshof der Europäischen Union EuGRZ Europäische Grundrechte-Zeitschrift EuR Europarecht EURONET European Network EuroPriSe European Privacy Seal EUV Vertrag über die Europäische Union EuZW Europäische Zeitschrift für Wirtschaftsrecht EWG Europäische Wirtschaftsgemeinschaft EWg. Erwägungsgrund EWiR Entscheidungen zum Wirtschaftsrecht f. folgende FDP Freie Demokratische Partei ff. fortfolgende FIfF-Kommunikation Mitteilungsblatt des Forum InformatikerInnen für Frieden und gesellschaftliche Verantwortung e.V. Fn. Fußnote FS Festschrift GA Goltdammer’s Archiv für Strafrecht GDD Gesellschaft für Datenschutz und Datensicherung GDV Gesamtverband der Deutschen Versicherungswirtschaft GEAK Datei zur systematischen Speicherung aller Grenzübertritte der Angehörigen einer Vielzahl arabischer Länder GewArch Gewerbearchiv
Abkürzungsverzeichnis GG ggf. GmbH GRCh grds. GRUR GVwR h.M. HEDSG HEGVBl. HmbGVBl. Hrsg. i. d. F. i. d. R. i.d.S. i.E. i.S.d. i.S.e. i.V.m. IBM IFG IKT Inc. InfoTech InnA insb. IP ISDN ISDN-RL IT ITSiG IuKDG IuK-Technologie JA JBInfoR JBÖS JBRE JbRSoz JöR JurPC JuS JZ K&R Kap. KJ KOM
17
Grundgesetz gegebenenfalls Gemeinschaft mit beschränkter Haftung Charta der Grundrechte der Europäischen Union grundsätzlich Gewerblicher Rechtsschutz und Urheberrecht Grundlagen des Verwaltungsrechts herrschende Meinung hessisches Datenschutzgesetz Gesetzes- und Verordnungsblatt für das Land Hessen Hamburgisches Gesetz- und Verordnungsblatt Herausgeber in der Fassung in der Regel in diesem Sinne im Ergebnis im Sinne der/des im Sinne einer/s in Verbindung mit International Business Machines Corporation Informationsfreiheitsgesetz Informations- und Kommunikationstechnik Incorporated Zeitschrift für moderne Technik, Arbeit, Umwelt, Gesellschaft und Informationsdienste Innenausschuss insbesondere Internet Protocol Integrated Services Digital Network Richtlinie über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre im Bereich der Telekommunikation Informationstechnik Gesetz zur Erhöhung der Sicherheit informationstechnische Systeme Informations- und Kommunikationsdienste-Gesetz Informations- und Kommunikationstechnologie Juristische Arbeitsblätter Jahrbuch Informationsfreiheit und Informationsrecht Jahrbuch Öffentliche Sicherheit Jahrbuch für Recht und Ethik Jahrbuch für Rechtssoziologie und Rechtstheorie Jahrbuch des Öffentlichen Rechts Internetzeitschrift für Rechtsinformatiker und Informationsrecht Juristische Schulung Juristenzeitung Kommunikation und Recht Kapitel Kritische Justiz Europäische Kommission
18 KORA krit. KRITIS KunstUrhG LBfD LG LIBE Lit. LKV LT m.w.N. MAD MADG MDStV MEG Metall MMR MRRG NADIS NIMBl. NIS NJOZ NJW No. Nr. NRW NRWGVBl. NRWVerf NRWVSG NSA NStZ NVwZ NZA NZS OECD OLG ÖVD PAG PC PDS PET PinG PIOS PJZS PKW PTRegG
Abkürzungsverzeichnis Konkretisierung rechtlicher Anforderungen kritisch (Arbeitsgruppe) Kritische Infrastrukturen Gesetz betreffend das Urheberrecht an Werken der bildenden Künste und der Photographie Landesbeauftragte(r) für Datenschutz Landgericht Ausschuss für bürgerliche Freiheiten, Justiz und Inneres Literatur Landes- und Kommunalverwaltung Landtag mit weiteren Nachweisen militärischer Abschirmdienst Gesetz über den militärischen Abschirmdienst Mediendienste-Staatsvertrag Mittelstandsentlastungsgesetz Zeitung der IG-Metall für die Bundesrepublik Deutschland Multimedia und Recht Melderechtsrahmengesetz Nachrichtendienstliches Informationssystem Niedersächsisches Ministerialblatt Netzwerk- und Informationssicherheit Neue Juristische Online-Zeitschrift Neue Juristische Wochenschrift Number Nummer Nordrhein-Westfalen Gesetzes- und Verordnungsblatt für das Land Nordrhein-Westfalen Verfassung für das Land Nordrhein-Westfalen Verfassungsschutzgesetz Nordrhein-Westfalen National Security Agency Neue Zeitschrift für Strafrecht Neue Zeitschrift für Wirtschaftsrecht Zeitschrift für Arbeitsrecht Neue Zeitschrift für Sozialrecht Organisation for Economic Cooperation and Development Oberlandesgericht Öffentliche Verwaltung und Datenverarbeitung Personalausweisgesetz Personal Computer Partei des Demokratischen Sozialismus Privacy Enhancing Technology Privacy in Germany Auskunftssystem über Personen, Institutionen, Objekte und Sachen Polizeiliche und justizielle Zusammenarbeit in Strafsachen Personenkraftwagen Gesetz über die Regulierung der Telekommunikation und des Postwesens
Abkürzungsverzeichnis PVS RabelsZ Ratsdok. RDV Res. RFID RL Rn. RPDSG RPGVBl. RuP S. s. SGB Slg. SNBfD SNLT sog. SPD StPO StVG SÜG SVR SYN SZ TB TDDSG TDG TDR TDSV TK TKG TKÜ TKÜV TMG u. a. UAbs. UKlaG ULD UN UrhG USA UWG VereinsG vgl. VR
19
Politische Vierteljahresschrift Rabels Zeitschrift für ausländisches und internationales Privatrecht EU-Ratsdokument Recht der Datenverarbeitung Resolution radio-frequency identification Richtlinie Randnummer Rheinland-pfälzisches Datenschutzgesetz Gesetzes- und Verordnungsblatt für das Land Rheinland-Pfalz Recht und Politik Seite/Satz siehe Sozialgesetzbuch Sammlung der Rechtsprechung des Europäischen Gerichtshofs und des Gerichts Erster Instanz Sächsischer Landesdatenschutzbeauftragter Sächsischer Landtag sogenannte/s/r Sozialdemokratische Partei Deutschlands Strafprozessordnung Straßenverkehrsgesetz Sicherheitsüberprüfungsgesetz Straßenverkehrsrecht Zusammenarbeitsverfahren Süddeutsche Zeitung Tätigkeitsbericht Gesetz über den Datenschutz bei Telediensten Teledienstegesetz Transnational Data Report Telekommunikations-Datenschutzverordnung Telekommunikation Telekommunikationsgesetz Telekommunikationsüberwachung Telekommunikationsüberwachungsverordnung Telemediengesetz unter anderem Unterabsatz Gesetz über Unterlassungsklagen bei Verbraucherrechts- und anderen Verstößen Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein United Nations Gesetz über Urheberrecht und verwandte Schutzrechte United States of America Gesetz gegen den unlauteren Wettbewerb Gesetz zur Regelung des öffentlichen Vereinsrechts vergleiche Verwaltungsrundschau
20 VuR VVDStRL VwVfG WP z. B. ZAG
ZAR ZD ZEVIS ZG ZNR ZRP ZUM
Abkürzungsverzeichnis Verbraucher und Recht Veröffentlichungen der Vereinigung der Deutschen Staatsrechtslehrer Verwaltungsverfahrensgesetz Wahlperiode zum Beispiel Gesetz zur Regelung der informationellen Zusammenarbeit der Sicherheits- und Strafverfolgungsbehörden des Bundes und der Länder in Angelegenheiten des Staats- und Verfassungsschutzes sowie angesichts nachrichtendienstlicher Tätigkeiten Zeitschrift für Ausländerrecht und Ausländerpolitik Zeitschrift für Datenschutz Zentrales Verkehrsinformationssystem des deutschen Kraftfahrt-Bundesamts Zeitschrift für Gesetzgebung Zeitschrift für neuere Rechtsgeschichte Zeitschrift für Rechtspolitik Zeitschrift für Urheber- und Medienrecht
§ 1 Einleitung – Ausgangsthesen, Begrifflichkeiten und Gang der Untersuchung Im Rahmen dieser Arbeit werden folgende Thesen überprüft: Der überkommenen nationalen datenschutzrechtlichen Regulierung von Datenverarbeitungstechniken, -tätigkeiten und -verfahren lag ein Leitbild zugrunde, welches sich in einem als quantitativ zu qualifizierenden Datenschutzrecht manifestierte. Im Folgenden hat sich jenes Leitbild aufgrund gewandelter technischer, sozialer sowie verfassungsund europarechtlicher Ausgangsbedingungen geändert. Entsprechend wurde zunehmend die Verwirklichung eines qualitativen Datenschutzrechts durch die Legislative anvisiert. Verschiedene Beobachtungen bilden die Grundlage jener Überlegungen. Der Bundesgesetzgeber setzte sich erstmals Mitte der 1970er Jahre ausdrücklich mit dem Datenschutz auseinander. Damals fand die elektronische Verarbeitung von Daten lediglich vereinzelt, offline und zentral in Großrechenanlagen statt. Angesichts dieser noch relativ überschaubaren technischen Realität, antizipierte der Gesetzgeber des BDSG 1977 mit der elektronischen Datenverarbeitung potentiell einhergehende Interessenkonflikte. Mit der Statuierung des Verbots mit Erlaubnisvorbehalt als dem zentralen Mechanismus des allgemeinen Datenschutzrechts entschied sich dieser für eine umfassende präventive Limitierung der Verarbeitung personenbezogener Daten. Datenschutz bestand hiernach folglich im Wesentlichen in der gesetzlichen Beschränkung von Datenverarbeitungstätigkeiten. Mittlerweile hat sich eine Vielzahl von Datenverarbeitungsprozessen in das Internet bzw. die Cloud verlagert und haben internetbasierte Anwendungen das Berufssowie das Privatleben nahezu aller Bundesbürger weitreichend durchdrungen. Die Funktionsweisen des Netzes und seiner Dienste fordern das ursprüngliche gesetzgeberische Datenschutzkonzept heraus. Der Entgrenzung der Datenverarbeitung korrelieren – neben vielfältigen neuartigen Chancen zur Realisierung von Persönlichkeitsrechten – Vollzugsdefizite des tradierten Datenschutzrechts und Kontrollverluste der Betroffenen. Außerdem wurden nach dem Erlass des BDSG 1977 die Grundrechte auf informationelle Selbstbestimmung sowie auf Vertraulichkeit und Integrität informationstechnischer Systeme verfassungsrechtlich etabliert.1 Das maßgebliche Ziel der Datenschutzgesetzgebung stellt hiernach nicht mehr die Einschränkung datenbasierter Kommunikationsprozesse, sondern vielmehr deren 1 BVerfG, 1 BvR 209/83, BVerfGE 65, 1 – Volkszählung; BVerfG, 1 BvR 370, 595/07, BVerfGE 120, 274 – Online-Durchsuchung.
22
§ 1 Einleitung
grundrechtskonforme Ausgestaltung und damit die Gewährleistung der kommunikativen Entfaltung des Einzelnen dar.2 Schließlich hat durch den Erlass primär- sowie sekundärrechtlicher Datenschutzbestimmungen – zuletzt der DS-GVO – auch die europäische Ebene für die Regelung des Datenschutzes zunehmend an Bedeutung gewonnen. Entsprechend muss der Bundesgesetzgeber bei der Realisierung seines Datenschutzleitbildes verstärkt den Anwendungsvorrang des Unionsrechts beachten. Zusammenfassend ist damit festzustellen, dass die Regelung des Datenschutzes eine sich immer komplexer darstellende Herausforderung für die Legislative bildet. Soll sich Datenschutz nicht mehr ausschließlich in der Negation von Datenverarbeitungsprozessen erschöpfen, sondern ihre grundrechtskonforme Ausgestaltung leisten, bedarf es einer Vorstellung davon, wie diese zu erfolgen hat. Insbesondere insoweit werden Leitbilder relevant. Leitbilder werden vorliegend als faktische, theoretische und normative Annahmen darüber, was die grundlegenden Probleme, Ziele, Lösungswege und Akteure einer Materie sind bzw. sein sollten, definiert.3 Diese Arbeit hat den Anspruch, die der Datenschutzgesetzgebung jeweils zugrundeliegenden Leitbilder zu identifizieren. Die datenschutzrechtliche Regulierung von Datenverarbeitungstechniken, -tätigkeiten und -verfahren stellt sich für die Informationsgesellschaft als fundamental dar. Ihre Ausgestaltung hängt von der Beantwortung zahlreicher Fragen ab, etwa: Wie viel Verantwortung obliegt dem Einzelnen im Hinblick auf den Schutz seiner grundrechtlich verbürgten Freiheiten? Wann treffen den Staat insoweit Schutzpflichten und wie hat er diesen gerecht zu werden? Wie stark sind die Interessen datenverarbeitender Stellen an dem Stattfinden von Datenverarbeitung zu gewichten? Und wer ist für die Regelung des Datenschutzes auf welchem Abstraktionsniveau zuständig? Die Antworten auf jene Fragen werden u. a. durch Leitbilder vermittelt. Die Auseinandersetzung mit diesen stellt sich vor dem Hintergrund aktueller Entwicklungen umso dringlicher dar: Die Aufdeckung des NSA-Skandals und die immer deutlicher zu beobachtende Oligopolisierung des Internets und seiner Dienste durch Konzerne wie Google und Facebook veranschaulichen, dass die wesentlichen Fragen des Datenschutzes insbesondere das erforderliche Maß an Souveränität des Einzelnen gegenüber datenverarbeitenden Stellen sowie des Nationalstaates im Verhältnis zu anderen Staaten, supranationalen Institutionen und global agierenden Konzernen betreffen und damit von zentraler individueller und auch gesellschaftlicher Relevanz sind.4 Als quantitative Datenschutzansätze werden in der vorliegenden Arbeit solche Konzepte gekennzeichnet, die im Wesentlichen auf die Verhinderung von Daten2
Zu diesem neuartigen Anspruch an das Datenschutzrecht Gusy, KritV 2000, S. 52 (57 ff.). Jann, Der Wandel verwaltungspolitischer Leitbilder, in: König (Hrsg.), Deutsche Verwaltung an der Wende zum 21. Jahrhundert, S. 279 (283). 4 Siehe zur NSA-Affäre Greenwald, Die globale Überwachung; s.a. Wischmeyer, Überwachung ohne Grenzen, S. 13 ff. 3
§ 1 Einleitung
23
verarbeitungsvorgängen ausgerichtet sind und zu diesem Zweck primär hierarchische Steuerungsmittel – folglich rechtliche Ge- und Verbote – fruchtbar machen. Nach diesen stellt sich das Verhältnis von Recht und Technik grundsätzlich feindlich dar.5 Als paradigmatisch gilt insofern das gesetzliche Verbot der Verarbeitung personenbezogener Daten ergänzt durch einen Erlaubnisvorbehalt. Die Bezeichnung „quantitativ“ leitet sich von dem Outcome dieser Ansätze ab; einer Vielzahl rechtlicher und insbesondere bereichsspezifischer Erlaubnis- sowie vorformulierter Einwilligungstatbestände. Demgegenüber visieren qualitative Ansätze die Ausgestaltung von Datenverarbeitungsprozessen und der zu diesem Zweck eingesetzten Informations- und Kommunikationstechnologien an. Sie konzentrieren sich nicht schlicht auf eine rechtliche Perspektive, sondern machen vielfältige Strategien fruchtbar, etwa den Selbstdatenschutz, die risikobasierte Regulierung und die regulierte Selbstregulierung. Damit integrieren sie unterschiedliche Akteure und entsprechend auch differente Regulierungsebenen und -mittel.6 Nicht nur die Funktion, sondern auch die Gestalt von Datenschutzrecht differenziert sich insofern aus; gesetzliche Vorgaben werden z.B. durch Codes of Practice, technische Standards und Privacy Policies ergänzt. Die präzise Ausgestaltung eines qualitativen Datenschutzkonzepts kann jedoch immer nur eine Momentaufnahme bilden, denn diese richtet sich konkret an den jeweiligen technischen, rechtlichen und sozialen Ausgangsbedingungen aus, die i. d. R. einem steten Wandel unterliegen. Als übergreifendes Charakteristikum dieser Ansätze gilt jedoch die Prämisse, dass Recht und Technik zur effektiven Gewährleistung von Datenschutz eine Kooperation eingehen müssen. Qualitatives Datenschutzrecht ist nicht schlechthin besser zu bewerten als quantitatives, vielmehr haben beide Konzepte vor dem Hintergrund unterschiedlicher Realisierungsbedingungen eine Daseinsberechtigung: Angesichts überschaubarer Sachverhalte, namentlich bei der analogen Verarbeitung von Daten, erscheinen quantitative Datenschutzansätze tendenziell sinnvoller als qualitative. Letztere sind hingegen eher auf online-Kontexte zugeschnitten. Der eine Ansatz löst damit den anderen nicht notwendigerweise ab, vielmehr ergänzen sie einander bestenfalls. Im Ergebnis kommt jedoch qualitativen Datenschutzansätzen zusehends mehr Bedeutung zu, da eine generelle Verlagerung der Datenverarbeitung in das Internet zu beobachten ist. Die vorliegende Arbeit möchte gesetzgeberische Entscheidungen hinsichtlich des allgemeinen Datenschutzrechts erhellen. Die Identifikation und Analyse von Leitbildern soll diesem Zweck dienen. Als maßgebliches Untersuchungsobjekt wurde hierzu das BDSG gewählt. Hierfür sprechen verschiedene Gründe. Zunächst stammt 5 Zur Technikfeindlichkeit des Datenschutzrechts Sasse, Sinn und Unsinn des Datenschutzes, S. 8 f.; Simitis, Datenschutz, in: Schlemmer (Hrsg.), Verlust der Intimität, 1976, S. 67 (68); später auch Bull, Gefühle der Menschen in der ,Informationsgesellschaft‘, S. 8 f. 6 Allgemein zur Ausdifferenzierung rechtlicher Regulierung Benz, Der moderne Staat, S. 237 ff.
24
§ 1 Einleitung
dieses Gesetz aus der Prä-Internetära. Insofern lässt sich also beobachten, wie der Gesetzgeber auf die Etablierung des Internets reagierte. Außerdem kommt diesem auf nationaler Ebene eine Vorbild- und Auffangfunktion zu. Mithin prägte das allgemeine Datenschutzrecht des Bundes auch landesdatenschutzrechtliche Bestimmungen sowie das bereichsspezifische Datenschutzrecht. Um sich nicht dem berechtigten Vorwurf auszusetzen, die Arbeit unterstelle dem Gesetzgeber ein Leitbild, welches diesem fremd sei, soll konsequent – aber nicht sklavisch – im Hinblick auf den Datenschutz das Zusammenspiel der vom Gesetzgeber als grundlegend empfundenen Konflikte, Ziele, Lösungswege sowie Akteure überprüft und so Nachvollziehbarkeit und Rationalität gewährleistet werden. Wesentliche Änderungen und Neufassungen des Textes des BDSG dienen der Untersuchung als Meilensteine, an denen eine Überprüfung der Entwicklung der maßgeblichen Leitbilder vorgenommen wird. Gesetzgeberische Leitbilder manifestieren sich primär in Gesetzen. Das BDSG bildet folglich den „starting point“ dieser Untersuchung. Leitbilder sind aber etwas anderes, als der sich im Gesetzestext manifestierende gesetzgeberische Wille; sie sind u. a. weiter, abstrakter und grundlegender als dieser. Mithin dienen auch anderweitige gesetzgeberische Zeugnisse und bereichsspezifische Datenschutzdiskurse, sofern sie einen wesentlichen Einfluss auf die Reform des allgemeinen Datenschutzrechts genommen haben, der vorliegenden Arbeit als Erkenntnisquellen. Nach einer allgemeinen Auseinandersetzung mit dem Konzept „Leitbild“ (§ 1), in deren Rahmen der Untersuchungsgegenstand sowie das weitere methodische Vorgehen konkretisiert werden, erfolgt eine Analyse des BDSG 1977 (§ 2). Insoweit wird versucht, diesem Gesetz zugrundeliegende Leitbilder zu identifizieren. Im Folgenden wird überprüft, ob sich mit den Reformen des Gesetzes in den Jahren 1990 (§ 3) und 2001 bzw. 2003 (§ 4) ein gesetzgeberischer Leitbildwandel manifestierte. Außerdem werden partiell auch Entwicklungen im bereichsspezifischen Datenschutzrecht betrachtet, vornehmlich im Telemediensektor (§ 4 – § 6). Insgesamt gilt es hierbei, dem Einfluss der verfassungsgerichtlichen Rechtsprechung – namentlich dem Ehescheidungsaktenbeschluss, dem Volkszählungsurteil sowie dem Urteil zur Online-Durchsuchung – Rechnung zu tragen. Des Weiteren wird die Bedeutung der RL 95/46/EG und der DS-GVO für das Datenschutzleitbild des Bundesgesetzgebers untersucht (§ 5, § 7). Schließlich erfolgt eine zusammenfassende Darstellung der im Rahmen dieser Arbeit gewonnenen Erkenntnisse (§ 8).
§ 2 Leitbilder im Datenschutzrecht Um im Rahmen dieser Arbeit einen vermeintlichen gesetzgeberischen Leitbildwandel im Hinblick auf das Datenschutzrecht untersuchen zu können, gilt es zunächst zu klären, was Leitbilder sind. Hierzu wird im Folgenden ein Definitionsversuch unternommen. Anschließend werden Leitbilder anhand ihrer Funktionen und Eigenschaften dogmatisch sowie rechtswissenschaftlich kategorisiert. Schließlich erfolgt eine Auseinandersetzung mit der Genese und dem Wandel gesetzgeberischer Leitbilder, um den vorliegenden Untersuchungsgegenstand sowie den Gang seiner Untersuchung zu konkretisieren.
A. Ein Definitionsversuch Der Begriff Leitbild setzt sich aus den Silben „Leit-“ und „-Bild“ zusammen. Der erstgenannte Wortteil stammt von dem Verb leiten ab, dessen Bedeutung sich mithilfe der Synonyme (an-)führen, lenken, steuern, begleiten, Einfluss nehmen sowie beherrschen erschließen lässt.1 Etymologisch betrachtet, ist das Verb leiten eine Kausativform von „sich fortbewegen“ und meint damit so viel wie eine Fortbewegung veranlassen.2 Diese Silbe weist mithin ein wertendes Moment auf, denn um eine Richtung angeben zu können, bedarf es einer Vorstellung von dem, was erstrebenswert bzw. zu vermeiden ist.3 Insoweit werden Einstellungen, Überzeugungen und Werte relevant. Außerdem impliziert sie ein motivierendes Moment, da etwas i. d. R. nicht als erstrebenswert qualifiziert wird, ohne zugleich den Auftrag zu begründen, dieses etwas zu verwirklichen oder zumindest anzustreben.4 Die zweite Silbe bildet das Substantiv Bild, mit dem eine flächige Darstellung von Personen oder Dingen sowie überhaupt ein dem Auge sich darbietender Anblick oder eine lediglich in der Vorstellung wahrgenommene Erscheinung bezeichnet werden.5 Weitere mögliche Bedeutungen dieses Begriffs sind etwas Wiedergegebenes, Ansicht, Annahme, Vorstellung, Eindruck oder Idee.6 Diese Bedeutungen lassen sich 1
Siehe http://www.duden.de/rechtschreibung/leiten, Synonyme zu „leiten“. Pfeifer/Braun (Hrsg.), Etymologisches Wörterbuch, Bd. 1, S. 790. 3 Zum wertenden Charakter von Leitbildern Gusy/Müller, ZAR 2013, S. 265 (269). 4 Zum motivierenden Charakter von Leitbildern Wewer, Leitbilder und Verwaltungskultur, in: Blanke u. a. (Hrsg.), Handbuch zur Verwaltungsreform, S. 155. 5 So Pfeifer/Braun (Hrsg.), Etymologisches Wörterbuch, Bd. 1, S. 136. 6 Siehe http://www.duden.de/rechtschreibung/Bild, Synonyme zu „Bild“. 2
26
§ 2 Leitbilder im Datenschutzrecht
nach materiellen Darstellungen – pictures – und mentalen Vorstellungen – images – unterscheiden.7 Jedenfalls kommt insofern ein deskriptives Moment zum Ausdruck. Bevor etwas zum Gegenstand einer Darstellung gemacht wird, muss es erst einmal wahrgenommen bzw. kreiert werden. Dies ist ein selektiver, schöpferischer sowie offener Vorgang, der wiederum u. a. wertenden Gesichtspunkten unterliegt und einer Fixierung bisweilen unzugänglich ist. Eine Definition des Begriffs Leitbild sollte die identifizierten Merkmale – wertend, motivierend, deskriptiv und offen – berücksichtigen. Die bislang unternommenen Definitionsversuche werden diesem Anspruch mal mehr, mal weniger gerecht. So werden diese etwa „als eine Vorstellung vom Zusammenwirken zahlreicher Elemente, also ein offenes Bild“ beschrieben.8 Insoweit bleiben allerdings ihr wertender sowie ihr motivierender Charakter unberücksichtigt. Verklärend wird auch formuliert, Leitbilder seien mächtige geistige Strömungen, die in alle Institutionen und Strukturen einsickerten oder große, aber eben diffuse Vorstellungen.9 Weiterhin werden die Begriffe Leitbild und Ideal bzw. Vorbild zum Teil synonym verstanden.10 Außerdem sollen sie ein handlungslenkendes Bündel bildlicher Vorstellungen darstellen.11 Diese Umschreibungen bleiben insgesamt vage und sind damit kaum operabel. Im Hinblick auf die Funktion von Leitbildern bei der Auslegung von Rechtstexten werden diese auch als eine dirigierende Zwischenschicht zwischen dem Text und seiner konkreten Anwendung bezeichnet.12 Diese Definition fokussiert jedoch eine Funktion von Leitbildern, die vorliegend nicht den primären Bezugspunkt des Erkenntnisinteresses bildet.13 Im Rahmen dieser Arbeit wird in Anlehnung an Werner Janns Konzept verwaltungspolitischer Leitbilder eine Definition zugrunde gelegt, welche Leitbilder als gemeinsame faktische, theoretische und normative Annahmen darüber versteht, welches die grundlegenden Probleme, Ziele, Lösungswege und Akteure einer Ma-
7 So Bear, Schlüsselbegriffe, Typen und Leitbilder, in: Schmidt-Aßmann/Hoffmann-Riem (Hrsg.), Methoden der Verwaltungsrechtswissenschaft, S. 223 (238). 8 Bear, Schlüsselbegriffe, Typen und Leitbilder, in: Schmidt-Aßmann/Hoffmann-Riem (Hrsg.), Methoden der Verwaltungsrechtswissenschaft, S. 223 (233). 9 Erstgenannte Definition bei Starck, Die Rechtswissenschaft in der Zukunft, in: Eberle u. a. (Hrsg.), FS für Winfried Brohm, S. 567 (572); zweigenannte Definition bei Bear, Schlüsselbegriffe, Typen und Leitbilder, in: Schmidt-Aßmann/Hoffmann-Riem (Hrsg.), Methoden der Verwaltungsrechtswissenschaft, S. 223 (249). 10 Mackensen (Hrsg.), Deutsches Wörterbuch, S. 663; Klappenbach (Hrsg.), Wörterbuch der deutschen Gegenwartssprache, Bd. 3, S. 2349; Dornseiff u. a. (Hrsg.), Der deutsche Wortschatz, S. 704 (9.14) (9.61). 11 Dummer/Hartmann/Vielberg, Vorwort, in: Dummer/Vielberg (Hrsg.), Leitbilder in der Diskussion, S. 8. 12 Lerche, Stil und Methode der verfassungsgerichtlichen Entscheidungspraxis, in: Badura/ Dreier (Hrsg.), FS 50 Jahre BVerfG, Bd. 1, S. 333 ff. 13 Zum Bezugspunkt des Erkenntnisinteresses konkreter § 2 D.
B. Funktionen von Leitbildern
27
terie sind bzw. sein sollten.14 Dieses Verständnis greift die identifizierten Momente am ehesten auf und bietet der weiteren Untersuchung differenzierte, aber nicht sklavisch zu beachtende Anhaltspunkte.
B. Funktionen von Leitbildern Den Untersuchungsgegenstand der vorliegenden Arbeit bilden Leitbilder des Bundesgesetzgebers für das allgemeine Datenschutzrecht. Insoweit stellen sich die Funktionen von Leitbildern vielgestaltig dar; sie können zum einen im Rahmen des parlamentarischen Willensbildungsprozesses relevant werden und zum anderen darüber hinaus wirken. Bevor bestimmte Annahmen Gegenstand eines Leitbildes werden, setzt sich ihr Träger i. d. R. zunächst mit diesen auseinander. Insbesondere in Bezug auf neuartige wissenschaftliche Erkenntnisse sowie tatsächliche Entwicklungen stellen sich die Fragen, ob diese das bestehende Leitbild bestärken, konkretisieren oder erschüttern. Dieser Vorgang kann sich bewusst oder unbewusst vollziehen, sich aber auch weniger eindeutig zwischen diesen Polen bewegen.15 Insoweit können Leitbilder jedenfalls eine „Auseinandersetzungsfunktion“ wahrnehmen.16 Leitbilder bilden aber nicht nur ein Forum für die Auseinandersetzung mit ihrem Gegenstand. Sie können auch im Rahmen der Auseinandersetzung selbst verschiedenen Zwecken dienen. Da bestimmte Aspekte eines Leitbildes vage bleiben bzw. bildhaft imaginiert werden können, wo eine exakte sprachliche Auseinandersetzung kaum möglich, jedenfalls aber äußerst komplex ist, vermögen sie es, Kommunikation zu fördern. Diese Kommunikationsfunktion wird dadurch unterstützt, dass Leitbilder eine Materie i. d. R. aus einer Makroperspektive wahrnehmen und dadurch Komplexität reduzieren. Insoweit bringen sie in einer ausdifferenzierten Welt das Bedürfnis nach dem „großen Ganzen“ zum Ausdruck und „transportieren keine wissenschaftlich zerlegte Einzelperspektive, sondern ein Ordnungsbild […] charakterisiert durch das Zusammenwirken verschiedener Elemente“17. Aus diesem Grund bieten sie sich gerade dazu an, in politischen Auseinandersetzungen fruchtbar gemacht zu werden.18 Außerdem dient diese Eigenschaft dem (interdisziplinären) Transfer von Wissen sowie dem Umgang mit Unkenntnis. Bestimmte Aspekte einer Materie können sich 14 Jann, Der Wandel verwaltungspolitischer Leitbilder, in: König (Hrsg.), Deutsche Verwaltung an der Wende zum 21. Jahrhundert, S. 279 (283). 15 Hahn/Vielberg, Vorwort, in: dies. (Hrsg.), Formen und Funktionen von Leitbildern, S. 12 ff. 16 Zu dieser auch Towfigh, Das Parteien-Paradox, S. 59. 17 Franzius, Modalitäten und Wirkungsfaktoren der Steuerung durch Recht, in: HoffmannRiem/Schmidt-Aßmann/Voßkuhle (Hrsg.), GVwR, Bd. 1, § 4 Rn. 26. 18 Vgl. auch Towfigh, Das Parteien-Paradox, S. 59.
28
§ 2 Leitbilder im Datenschutzrecht
selbst für ausgewiesene Experten so komplex darstellen, dass sie nicht vollständig intellektuell nachvollzogen oder zumindest schwer vermittelt werden können. Dies gilt konkret für online-stattfindende Datenverarbeitung und allgemein im Hinblick auf Informationstechnologien. Im Rahmen von Leitbildern können auch komplexe Aspekte einer Materie für den Gesetzgeber nachvollziehbar gemacht werden. Außerdem reagieren Leitbilder zwar auf die Realität, bilden diese aber nicht naturgetreu ab. Vielmehr stabilisieren sie partiell kontrafaktische Erwartungen und formulieren insoweit Handlungs- bzw. Optimierungsaufträge.19 Diese Funktion hat angesichts der Datenschutzgesetzgebung einen erheblichen Bedeutungszuwachs erfahren: Wandelt sich der Anspruch an die gesetzgeberische Regulierung von Datenverarbeitungstechniken, -tätigkeiten und -verfahren von deren Limitierung hin zu ihrer grundrechtskonformen Ausgestaltung, bedarf es einer Vorstellung davon, wie diese zu erfolgen hat. Leitbilder bilden insoweit Orientierungshilfen.20 Bildlich gesprochen können sie die Funktion von Leuchttürmen übernehmen, die Signale zur Orientierung des Gesetzgebers aussenden. Jenseits von Willensbildungsprozessen können Leitbilder als „weiches“ Steuerungsmedium genutzt werden, um leitbildadäquates Verhalten zu veranlassen.21 Haben Leitbilder eine Fixierung erfahren, namentlich wenn sie Niederschlag in einem Gesetzestext finden, dienen sie außerdem der „harten“ Verhaltenssteuerung. Schließlich können Leitbilder auch als Darstellungs- und Analyseinstrument fruchtbar gemacht werden. Untersucht man leitbildprägende Annahmen, kann man die auf ihrer Basis erfolgenden Handlungen besser reflektieren. Insoweit lassen sich insbesondere (Dis-)Kontinuitäten, konjunktureller Schwankungen und Widersprüche aufzeigen.22
19 Zu Leitbildern als Optimierungsgebote s. Alexy, Rechtssystem und praktische Vernunft, in: ders. (Hrsg.), Recht, Vernunft, Diskurs, S. 216 ff.; s.a. Gusy/Müller, ZAR 2013, S. 265 (269). Zur Stabilisierungsfunktion s. Wewer, Leitbilder und Verwaltungskultur, in: Blanke u. a. (Hrsg.), Handbuch der Verwaltungsreform, S. 158 ff. Zu beidem s. Volkmann, AöR 134 (2009), S. 157 (178 ff.). Zur Kontinuität als Charakteristikum von Leitbildern s. Dummer/Hartmann/ Vielberg, Vorwort, in: Dummer/Vielberg (Hrsg.), Leitbilder in der Diskussion, S. 8 ff.; s.a. Hahn/Vielberg, Vorwort, in: dies. (Hrsg.), Formen und Funktionen von Leitbildern, S. 12 ff. 20 Gusy/Worms, DuD 2012, S. 92 (94 ff.); s.a. Eifert, NJW 2017, S. 1450. 21 Hierzu umfassend Zippelius, Verhaltenssteuerung durch Recht; s.a. Jann, Der Wandel verwaltungspolitischer Leitbilder, in: König (Hrsg.), Deutsche Verwaltung an der Wende zum 21. Jahrhundert, S. 279 (281) mit Verweis auf Belzer, Leitbilder, in: ders. (Hrsg.), Sinn in Organisationen?, S. 13 (14). Zur Steuerungsfunktion von Leitbildern auch Belzer, Leitbilder, in: ders. (Hrsg.), Sinn in Organisation?, S. 13 (48). 22 Zu Hoffnungen und Ängsten, welche die Datenschutzgesetzgebung vermeintlich unsachgemäß geprägt haben s. Bull, Gefühle der Menschen in der ,Informationsgesellschaft‘, S. 7 ff.; s.a. Sasse, Das Bundesdatenschutzgesetz, in: Schimmelpfeng GmbH (Hrsg.), Aktuelle Beiträge über den Datenschutz, S. 75 (78); ders., Sinn und Unsinn des Datenschutzes, S. 9 ff.
C. Dogmatische und rechtswissenschaftliche Kategorisierung von Leitbildern
29
C. Dogmatische und rechtswissenschaftliche Kategorisierung von Leitbildern Um Leitbilder dogmatisch bzw. rechtswissenschaftlich kategorisieren zu können, ist es erforderlich, sich mit Gegenstand und Funktion beider Disziplinen auseinanderzusetzen. Eine allgemeinverbindliche Definition juristischer Dogmatik existiert nicht.23 Dennoch wird stets ihre Anwendungsbezogenheit betont.24 Entsprechend soll die wesentlichste Funktion der Dogmatik darin bestehen, den Rechtsanwender durch die systematisierende Aufbereitung von Auslegungsergebnissen in die Lage zu versetzen, rational überprüfbare Entscheidungen im Einzelfall zu treffen.25 Ihren primären Gegenstand bildet dabei das positive bzw. gesetzte Recht.26 Vergegenwärtigt man sich die identifizierten Charakteristika von Leitbildern, insbesondere ihre Offenheit, und den Umstand, dass sie nicht zwingendermaßen im positiven Recht fixiert sein müssen, muss man zunächst zu dem Schluss gelangen, dass Leitbilder dogmatisch nicht fruchtbar gemacht werden können. Oder anders ausgedrückt: Grundsätzlich setzt sich die Dogmatik mit Leitbildern lediglich dann auseinander, wenn sie ausdrücklich Niederschlag im Gesetzestext gefunden haben. In dieser Phase sind sie aber nicht mehr nur bestimmte, der Willensbildung des Gesetzgebers zugrundeliegende Annahmen, sondern Ausdruck des gesetzgeberischen Willens, und haben folglich ihren ursprünglichen Status geändert.27 Darüber hinaus lassen sich sogar rechtsdogmatische Bedenken gegen den Einsatz von Leitbildern bei der Rechtsanwendung anführen, etwa angesichts ihrer bisweilen als irritierend empfundenen Offenheit.28 23 So auch Waldhoff, Kritik und Lob der Dogmatik, in: Kirchhof/Magen/Schneider (Hrsg.), Was weiß Dogmatik?, S. 17 (21). 24 Wieacker, Zur praktischen Leistung der Rechtsdogmatik, in: Rüdiger u. a. (Hrsg.), FS H. G. Gadamer, Bd. 2, S. 311 ff.; Dölle, RabelsZ 34 (1970), S. 403 (404); Schmidt-Aßmann, Das allgemeine Verwaltungsrecht als Ordnungsidee, Kap. 1 Rn. 3. 25 Jestaedt, Die Verfassung hinter der Verfassung, S. 26 ff. 26 Starck, Die Rechtswissenschaft in der Zukunft, in: Eberle u. a. (Hrsg.), FS für Winfried Brohm, S. 567 ff. S.a. Müller, Strukturierende Rechtslehre, S. 382: „Dogmatische Sätze nehmen zu Problemen des positiven Rechts mit den Mitteln von Begriff und Systematik auf eine möglichst verallgemeinerungsfähige Weise Stellung.“ Vgl. a. Jahr, Zum Verhältnis von Rechtstheorie und Rechtsdogmatik, in: ders./Maihofer (Hrsg.), Rechtstheorie, S. 303, nach diesem ist Rechtsdogmatik „die wissenschaftliche Überprüfung von Rechtssatzbehauptungen innerhalb einer Rechtsordnung auf der Grundlage geltender Rechtssätze“. Als „Gesamtheit inhaltlicher Aussagen über geltendes Recht (,de lege lata‘)“ sieht sie Adomeit, Zivilrechtstheorie und Zivilrechtsdogmatik, JbRSoz Bd. 2 (1972), S. 503 ff. Vgl. auch Alexy, Theorie der juristischen Argumentation, S. 312 ff.; Brohm, Kurzlebigkeit und Langzeitwirkung der Rechtsdogmatik, in: Geis/Lorenz (Hrsg.), FS Hartmut Maurer, S. 1079 f. 27 Anders Volkmann, AöR 134 (2009), S. 157 (173), der den Prozess der Gerinnung zu Recht der Genese von Leitbildern zuordnet. 28 Zur Kritik angesichts des Einsatzes von Leitbildern bei der Rechtsanwendung Röhl, VVDStRL 74 (2014), S. 8 (21); Baer, Schlüsselbegriffe, Typen und Leitbilder als Erkenntnismittel und ihr Verhältnis zur Rechtsdogmatik, in: Schmidt-Aßmann/Hoffmann-Riem
30
§ 2 Leitbilder im Datenschutzrecht
Es stellen sich jedoch die Fragen, ob und ggf. inwiefern Leitbilder bei der Auslegung von Gesetzen dennoch Funktionen übernehmen und insoweit auch von dogmatischer Relevanz sein können. Im Rahmen von Gesetzen kann der Gesetzgeber zwar bestimmen, dass etwas – beispielsweise das Allgemeine Persönlichkeitsrecht – zu schützen ist und wie dieser Schutz auszugestalten ist. Insoweit betreffen rechtliche Regelungen das „Ob“ und das „Wie“ des Schutzes. Antworten auf die Frage nach dem „Warum“ generiert das Recht nicht disziplinär, sondern entlehnt sie anderen Wissenschaften, etwa der Ethik oder Philosophie. Auch im Hinblick auf die Ausgestaltung des Schutzes ist das Recht auf die Erkenntnisse anderer Disziplinen angewiesen, z. B. der Governance-Forschung, Psychologie oder Informatik. Leitbilder können bei dem Transfer solcher Erkenntnisse und Theorien in das Vorstellungsbild des Gesetzgebers relevant werden. Bei der Anwendung von Gesetzen ist wiederum dem gesetzgeberischen Willen Rechnung zu tragen. Dazu ist dieser zunächst im Wege der Auslegung mit Hilfe des klassischen Methodenkanons – Wortlaut, Systematik, Historie und Telos – zu ermitteln. Bei der Ermittlung des Telos einer Regelung ist die Kenntnis des gesetzgeberischen (Vor-)Verständnisses, welches auch durch Leitbilder geprägt wird, hilfreich. Insbesondere dann, wenn sich – wie im Datenschutzrecht – die durch den Gesetzgeber zu regelnden Sachverhalte stetig komplexer und die erlassenen Regelungen zunehmend abstrakter und unbestimmter gestalten, wird konsequenterweise auch die Kenntnis der Annahmen, die den Gesetzgeber auf einer Makro- bzw. Metaebene angeleitet haben, bedeutsamer. Folglich kann mithilfe von Leitbildern zwar kein Konflikt rechtlich aufgelöst bzw. ein Sachverhalt als rechtmäßig respektive rechtswidrig beurteilt werden, diese können aber dazu beitragen, den Sinn und Zweck einer Norm zu bestimmen. In Abgrenzung zu dem „Telos“, dem „Konzept“ oder der „Idee“ eines Gesetzes, die jeweils nur im Zusammenhang mit einem Rechtstext existieren können, sei nochmals darauf hingewiesen, dass gesetzgeberische Leitbilder auch unabhängig von ihrer Manifestation in dem Text eines Gesetzes bestehen können. Die vorliegende Arbeit nimmt keine rechtsdogmatische, sondern eine rechtswissenschaftliche Perspektive ein. Die Rechtswissenschaft erschöpft sich nicht darin, die juristische Entscheidungsfindung anzuleiten, sondern möchte allgemeiner Erkenntnisse generieren.29 Im Hinblick auf gesetzgeberische Leitbilder drängen sich zwei Erkenntnisrichtungen auf; zum einen kann danach gefragt werden, inwiefern Leitbilder bei der gesetzgeberischen Willensbildung zum Tragen kommen, zum anderen kann danach gefragt werden, welche Inhalte im Rahmen von Leitbildern den gesetzgeberischen Horizont prägen. Auf dem zuletzt genannten Aspekt liegt der Fokus dieser Arbeit. Leitbilder dienen hier als Analyserahmen, um zu untersuchen, (Hrsg.), Methoden der Verwaltungsrechtswissenschaft, S. 223 (234) (249); Franzius, Modalitäten und Wirkungsfaktoren der Steuerung durch Recht, in: Hoffmann-Riem/Schmidt-Aßmann/Voßkuhle (Hrsg.), GVwR, Bd. 1, § 4 Rn. 27; Volkmann, AöR 134 (2009), S. 157 (184). 29 So mit Verweis auf den Perspektivenpluralismus der Rechtswissenschaften Waldhoff, Kritik und Lob der Dogmatik, in: Kirchhof/Magen/Schneider (Hrsg.), Was weiß Dogmatik?, S. 17 (30 f.) m.w.N.
D. Genese und Wandel gesetzgeberischer Leitbilder für den Datenschutz
31
welche Inhalte den Gesetzgeber bei der Regulierung der Datenverarbeitung geprägt haben und inwiefern dieser auf ihre gewandelten Ausgangsbedingungen reagiert hat.30 Die Betrachtung der allgemeinen und besonderen Datenschutzgesetze soll so den Blick insbesondere auf politische Diskussionen, rechtliche Instrumente und allgemein faktische Fragestellungen eröffnen.
D. Genese und Wandel gesetzgeberischer Leitbilder für den Datenschutz Im Rahmen dieser Arbeit wird untersucht, welche Leitbilder der Bundesgesetzgeber hinsichtlich des Datenschutzes entworfen und seiner Datenschutzgesetzgebung zugrunde gelegt hat. Der Identifizierung jener Leitbilder dienen gesetzgeberische Zeugnisse. Primär werden hierzu die Regelungen des BDSG herangezogen. Da sich Leitbilder von dem sich ebenfalls im Gesetzestext ausdrückenden gesetzgeberischen Willen unterscheiden – diese sind insbesondere abstrakter und werden nicht stets gesetzlich fixiert –, können insoweit auch über den Gesetzestext hinausgehende Quellen berücksichtigt werden, ohne den methodischen Rahmen der Gesetzesauslegung einschränkend berücksichtigen zu müssen, etwa gesetzgebungsrelevante Gutachten, parlamentarische Stellungnahmen, Partei- und Koalitionsprogramme sowie der allgemeine Datenschutzdiskurs. Außerdem kann der Gesetzgeber leitbildprägende Annahmen anderen rechtlichen Regelungen entnehmen. Insofern lassen sich drei verschiedene Ebenen unterscheiden. Solche Annahmen können aus demselben Regelungskomplex übernommen werden, beispielsweise wenn ein Gesetz überarbeitet wird. Diese können außerdem aus anderen Rechtsgebieten sowie aus anderen Rechtsordnungen, etwa aus der unionalen in die mitgliedstaatliche, transferiert werden. Daher hat die vorliegende Arbeit auch das bereichsspezifische sowie das europäische Datenschutzrecht zu berücksichtigen. Das BDSG 1977 bildet den chronologischen Ausgangspunkt der folgenden Untersuchung. Mithilfe der Parameter als grundlegend empfundene Konflikte, Ziele, Lösungswege und Akteure sollen gesetzgeberische Leitbilder für das Datenschutzrecht nachgezeichnet werden. Die Reformen des BDSG bieten jeweils Anlass, nach einem Leitbildwandel zu fragen.31 Ein solcher lässt sich als grundlegende Änderung wesentlicher Annahmen hinsichtlich der genannten Parameter bezeichnen. 30
Zu mittlerweile bestehenden Rationalisierungsvorschlägen für die juristische Arbeit mit Leitbildern Volkmann, AöR 134 (2009), S. 157 (187 ff.); s.a. Franzius, Modalitäten und Wirkungsfaktoren der Steuerung durch Recht, in: Hoffmann-Riem/Schmidt-Aßmann/Voßkuhle (Hrsg.), GVwR, Bd. 1, § 4 Rn. 27a; jüngst Braun, Leitbilder im Recht, 2015, S. 185 ff. 31 Allgemein zur Dynamik von Leitbildern s. Giesel, Leitbilder in den Sozialwissenschaften, S. 114.
32
§ 2 Leitbilder im Datenschutzrecht
Die Einschränkungen grundlegend und wesentlich sind von nicht zu unterschätzender Bedeutung, denn der Charakter sowie die Funktionen von Leitbildern schließen es aus, dass bereits geringfügige Abweichungen einen Leitbildwandel bedingen können. Mögliche Ausdrucksformen eines Leitbildwandels bilden der Erlass neuer sowie die Änderung bestehender rechtlicher Regelungen. Gleichwohl kann sich auch bei gleichbleibendem Gesetzeswortlaut ein Leitbildwandel vollziehen, beispielsweise wenn Gerichte ihre Auslegungspraxis ändern und der Gesetzgeber sich hiermit einverstanden erklärt, etwa indem er Klarstellungen unterlässt. Im Rahmen der Untersuchung soll insbesondere die für die Regelung des Datenschutzes maßgebliche Rechtsprechung des BVerfG, namentlich der Mikrozensusbeschluss, das Volkszählungsurteil und das Urteil zur Online-Durchsuchung, die bereichsspezifische Ausdifferenzierung des Datenschutzrechts, insbesondere die datenschutzrechtliche Regulierung internetbasierter Dienste und Anwendungen, sowie der Einfluss europäischer Datenschutzvorgaben, primär der RL 95/46/EG sowie der DS-GVO, berücksichtigt werden. Selbstredend erschöpfen sich die leitbildprägenden Aspekte nicht in den drei genannten. Etwa dürften auch die Interessenverbände der IT-Wirtschaft sowie der Sicherheitsbehörden einen nicht zu unterschätzenden Einfluss auf gesetzgeberische Leitbilder nehmen. Dennoch bedarf es aus Kapazitätsgründen der Einschränkung. Eine Fokussierung auf die genannten Aspekte erscheint zudem sinnvoll. Spätestens seit dem Volkszählungsurteil, in welchem die informationelle Selbstbestimmung als Grundrecht erstmals verfassungsgerichtliche Anerkennung fand, gilt das Datenschutzrecht als konkretisiertes Verfassungsrecht. Verfassungsrechtliche bzw. -gerichtliche Wertungen sind mithin für die normative Ausrichtung gesetzgeberischer Datenschutzleitbilder wesentlich. Die besondere Berücksichtigung der Regulierung internetbasierter Anwendungen rechtfertigt sich vor dem Hintergrund, dass hier prima facie grundlegend andere Voraussetzungen relevant werden, als hinsichtlich der Regelung analoger Datenverarbeitung. Diesem Umstand müsste der Gesetzgeber Rechnung getragen und bei dieser Gelegenheit auch Rückschlüsse auf das allgemeine Datenschutzrecht gezogen haben. Schließlich hat die hervorzuhebende Bedeutung der unionalen Datenschutzgesetzgebung verschiedene Gründe. Zunächst kann ein nationales Datenschutzleitbild nur normative Wirkung entfalten, soweit dies der Anwendungsvorrang des Unionsrechts zulässt.32 Auf europäischer Ebene wird dem Datenschutz mit zunehmender Intensität sowohl auf primär- als auch auf sekundärrechtlicher Ebene Rechnung getragen, wie u. a. der Erlass des Art. 8 GRCh, der RL 95/46/EG sowie der DS-GVO veranschaulicht. Außerdem bieten zahlreiche Entscheidungen des EuGH Anlass, das nationale Datenschutzleitbild fortzuentwickeln. Selbst dort, wo das Unionsrecht keine zwingenden Vorgaben hinsichtlich des Datenschutzes statuiert, kann der Datenschutzdiskurs auf europäischer Ebene dem nationalen Gesetzgeber als Erkenntnisquelle dienen. Gleichwohl findet die Rechtsprechung des EuGH im Rahmen dieser Arbeit lediglich 32
Zum Anwendungsvorrang des Unionsrechts § 7 C. I.
D. Genese und Wandel gesetzgeberischer Leitbilder für den Datenschutz
33
eine sehr eingeschränkte Berücksichtigung. Dies hat verschiedene Gründe. Die vorliegende Arbeit fokussiert sich auf datenschutzrechtliche Leitbilder des Bundesgesetzgebers. Dieser hat sich in der Vergangenheit lediglich in äußerst beschränktem Umfang mit der datenschutzrelevanten Rechtsprechung des EuGH auseinandergesetzt; zum einen hinsichtlich eines Vertragsverletzungsverfahrens gegen die BRD sowie zum anderen bei der nationalen Umsetzung der DS-GVO.33 Die Untersuchung der Fragen, ob und ggf. welche Datenschutzleitbilder der Rechtsprechung des EuGH zugrunde liegen, bleibt damit anderen Untersuchungen vorbehalten. Schließlich sei darauf hingewiesen, dass im Rahmen dieser Arbeit keine abschließenden gesetzgeberischen Leitbilder präsentiert werden sollen. Dies ist insbesondere aufgrund der Offenheit von Leitbildern weder sinnvoll noch möglich. Vielmehr sollen wesentliche Annahmen, die den Gesetzgeber bei seinen Entscheidungen angeleitet haben, dargestellt und deren Entwicklung angesichts der gewandelten technischen, rechtlichen und sozialen Ausgangsbedingungen des Datenschutzes nachvollzogen werden.
33 Zu ersterem EuGH, C-518/07, NJW 2010, S. 1265 ff. – KOM vs. Bundesrepublik Deutschland, dazu S. 237 ff.; zu letzterem § 7 C.
§ 3 BDSG 1977 – Rationalisierung vs. Privatsphärenschutz In den 1970er Jahren stellte sich der Bundesgesetzgeber erstmals explizit die Frage, wie er auf den stetig intensiver werdenden Einsatz der elektronischen Datenverarbeitung in Verwaltung und Wirtschaft reagieren sollte. Welches Leitbild seiner datenschutzrechtlichen Antwort hierauf – dem BDSG 1977 – zugrunde lag, soll im Folgenden untersucht werden. Hierzu wird der Versuch unternommen, die vom Gesetzgeber als grundlegend empfundenen Annahmen bezüglich der Probleme, Ziele, Lösungswege sowie Akteure des Datenschutzes zu bestimmen und anschließend zu einem Gesamtbild zusammenzuführen. Zu diesem Zweck werden zunächst die ersten verfassungsgerichtlichen Entscheidungen angesichts des Umgangs mit personenbezogenen Daten sowie die ersten nationalen Datenschutzgesetze der Bundesländer Hessen und Rheinland-Pfalz betrachtet, welche jeweils von prägendem Einfluss für die Datenschutzgesetzgebung auf Bundesebene waren. Anschließend werden der Gesetzgebungsprozess, der in den Erlass des BDSG 1977 mündete, dessen Text sowie damals konkurrierende Ansätze für ein Datenschutzrecht dargestellt und analysiert, um schließlich die Leitbilder des BDSG 1977 und deren Konsequenzen zu bestimmen.
A. Verfassungsgerichtliche Grundentscheidungen Zwei verfassungsgerichtliche Entscheidungen, die sich zwar nicht mit der automatischen Verarbeitung personenbezogener Daten, sondern allgemeiner mit dem verfassungsrechtlich zulässigem Umfang staatlicher Eingriffe in das Allgemeine Persönlichkeitsrecht auseinandersetzten, prägten den frühen Datenschutzdiskurs: Der Mikrozensusbeschluss vom 16. Juli 1969 sowie der Ehescheidungsaktenbeschluss vom 15. Januar 1970.1 In dem erstgenannten Beschluss erörterte das BVerfG verfassungsrechtliche Anforderungen an repräsentative statistische Erhebungen. Mit dem ab Mitte des 20. Jahrhunderts verstärkt zu beobachtenden Wandel des Staates, welcher u. a. in der Übernahme immer vielgestaltigerer Aufgaben staatlicherseits zum Ausdruck kam und eine zunehmend intensivere sowie effektivere Planung voraussetzte, erweiterten
1 BVerfG, 1 BvL 19/63, BVerfGE 27, 1 – Mikrozensus; BVerfG, 1 BvR 13/68, BVerfGE 27, 344 – Ehescheidungsakten.
A. Verfassungsgerichtliche Grundentscheidungen
35
sich auch die staatlichen Informationsbedürfnisse.2 Vor diesem Hintergrund stellte das BVerfG fest, dass der Bürger in seiner Eigenschaft als gemeinschaftsbezogenes und gebundenes Wesen zwar statistische Erhebungen über sich ergehen lassen müsse, die Menschenwürdegarantie diesem Erfordernis jedoch Grenzen setze. Der Staat könne nicht für sich in Anspruch nehmen, den Menschen zwangsweise in seiner ganzen Persönlichkeit zu registrieren und zu katalogisieren, mithin ihn wie eine Sache zu behandeln, die einer Bestandsaufnahme in jeder Beziehung zugänglich sei.3 Weiterhin legte das Gericht seinen Ausführungen die These zugrunde, dass die freie Entfaltung der Persönlichkeit durch den psychischen Druck öffentlicher Anteilnahme beeinträchtigt werde.4 In dem zweitgenannten Verfahren sollte das Gericht einen Sachverhalt beurteilen, bei dem eine staatliche Stelle ihr konkretes Informationsbedürfnis nicht bei den Beschwerdeführern selbst befriedigt hatte, sondern hierzu Akten nutzte, die in einem anderen Kontext von einer anderen staatlichen Stelle angelegt worden waren. Insoweit wurde eine grundlegende Eigenschaft der Verdatung von Informationen angesprochen: Informationen, die in einem Kontext generiert und verdatet werden, können anschließend tatsächlich oftmals relativ mühelos in einem anderen Kontext fruchtbar gemacht werden. Informationen werden aber i. d. R. von den Betroffenen in einem bestimmten Rahmen zur Erreichung eines konkreten Zwecks offenbart. Wird dieser verlassen, greifen auch dessen natürlichen und rechtlichen Schutzmechanismen nicht mehr. Entsprechend folgerte das Gericht, dass die Übersendung der in Rede stehenden Akten grundsätzlich einen Eingriff in das durch Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG geschützte Persönlichkeitsrecht der Betroffenen darstelle. Dieser könne jedoch durch deren Einwilligung oder das Vorliegen eines überwiegenden Allgemeininteresses und unter strikter Wahrung des Verhältnismäßigkeitsgrundsatzes gerechtfertigt werden. Beide Entscheidungen sensibilisieren für Gefahren, die aus der Verarbeitung personenbezogener Daten erwachsen können; die Einschränkung der freien Persönlichkeitsentfaltung, die Objektualisierung des Einzelnen und schließlich die Begründung bzw. Ausweitung eines informationellen Machtungleichgewichts. Weiterhin leitete das BVerfG hier aus Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG Grundsätze ab, die in der Folgezeit maßgeblich für die Entwicklung des Datenschutzrechts werden sollten; den Einwilligungs-, den Zweckbindungs- sowie den Verhältnismäßigkeitsgrundsatz.
2
Zu diesem Funktionswandel umfassend Walkenhaus u. a. (Hrsg.), Staat im Wandel. BVerfG, 1 BvR 13/68, BVerfGE 27, 1 (6) – Ehescheidungsakten. 4 BVerfG, 1 BvR 13/68, BVerfGE 27, 1 (6 f.) – Ehescheidungsakten. Eine Argumentation, die später auch im Volkszählungsurteil fruchtbar gemacht wurde, s. BVerfG, 1 BvR 209/83, BVerfGE 65, 1 (42) – Volkszählung. 3
36
§ 3 BDSG 1977 – Rationalisierung vs. Privatsphärenschutz
B. Vorarbeiten der Landesgesetzgeber Den Ausgangspunkt für den Erlass und die Reform datenschutzrechtlicher Bestimmungen bilden i. d. R. die sich unablässig fortentwickelnden Informations- und Kommunikationstechnologien. Diese Techniken bergen sowohl Nutzungs- als auch Konfliktpotentiale, denn fast notwendig scheinen Vorteile des Einen mit Nachteilen des Anderen zu korrespondieren. Dies veranschaulicht auch die Entstehungsgeschichte des HEDSG von 1970.5 Mit der stetigen Zunahme des leistungsstaatlichen Angebots stieg auch das Informationsbedürfnis der öffentlichen Hände.6 Entsprechend fand im Zuge des „Großen Hessenplans“ ein Auf- und Ausbau exekutiver EDV-Zentren statt, um der sich intensivierenden staatlichen Aufgabenlast gerecht zu werden. Zu dieser Zeit fand elektronische Datenverarbeitung lediglich zentral in Großrechenanlagen statt. Sie lief linear ab und war vergleichsweise zeit-, kostensowie platzintensiv und damit das Privileg weniger öffentlicher sowie nicht-öffentlicher Stellen. Auf jene Konzentration des EDV-Einsatzes reagierte der hessische Landesgesetzgeber mit dem Erlass des HEDSG 1970. Er unterschied hierbei zwei Konfliktlagen – zum einen im Bürger-Staat-Verhältnis und zum anderen im innerstaatlichen Bereich –, deren Ursprung aber jeweils ein Informations- bzw. Machtungleichgewicht darstellte.7 Der Bürger hatte zwar einerseits ein berechtigtes Interesse an einer effektiven Aufgabenwahrnehmung staatlicherseits und diese setzte immer häufiger die automatische Verarbeitung von Daten voraus, andererseits vollzog sich jene abgeschottet in Großrechenanlagen und damit fern seiner Lebensrealität. Daher rief die Automatisierung in Regierung und Verwaltung bei diesem Besorgnisse und Ängste hervor, die das Bürger-Staat-Verhältnis zu stören geeignet schienen.8 Im innerstaatlichen Bereich sah der hessische Landesgesetzgeber insoweit einen Informati-
5
Datenschutzgesetz vom 7. Oktober 1970 (HEGVBl. I S. 625 – 627). Nach Simitis beginnt mit diesem die Geschichte der Datenschutzgesetzgebung, Simitis, in: ders. (Hrsg.), BDSG, Einl. Rn. 1. Zu historischen Vorläufern des Datenschutzes von Lewinski, Geschichte des Datenschutzes, in: Arndt u. a. (Hrsg.), Freiheit, Sicherheit und Öffentlichkeit, S. 196 ff. 6 Böhret, Verwaltungspolitik, in: Reinermann u. a. (Hrsg.), Neue Informationstechniken – Neue Verwaltungsstrukturen?, S. 27 ff. 7 Osswald, IBM-Nachrichten, 20 (1970), S. 379 ff. 8 HELT-Drs. 6/3065, S. 7. Zu Skepsis und Misstrauen gegenüber dem staatlichen Apparat und seinen Einrichtungen als Triebfedern des Datenschutzrechts s. Abel, Geschichte des Datenschutzrechts, in: Roßnagel (Hrsg.), Handbuch Datenschutzrecht, 2.7 Rn. 1 ff. Zu Emotionalisierung und Technikfeindlichkeit in der Datenschutzdebatte s. Sasse, Sinn und Unsinn des Datenschutzes, S. 8 ff., 48 ff. Habermas bezeichnete die Furcht vor der Speicherung und zentralen Nutzung privater Daten als ein Problem der Überkomplexität, s. Habermas, Theorie des kommunikativen Handelns, Bd. 2, S. 580.
B. Vorarbeiten der Landesgesetzgeber
37
onsvorsprung der Exekutive vor der Legislative begründet, der das Potential aufzuweisen schien, das System der Gewaltenteilung negativ zu beeinträchtigen.9 Damit bildeten nicht theoretische Ansätze bzw. wissenschaftliche Erkenntnisse über die Verarbeitung von Daten den Ausgangspunkt des HEDSG 1970, das Gesetz stellte sich auch nicht als Reaktion auf bereits eingetretene Schäden dar und schließlich konnte sich der hessische Gesetzgeber an keinem datenschutzrechtlichen Leitbild eines anderen Gesetzgebers orientieren. Vielmehr richtete sich das Schutzkonzept des Gesetzes an antizipierten Gefahren aus. Dies waren der Vertrauensbruch zwischen Bürger und Staat, der unbefugte Zugriff auf Daten von „außen“ sowie ein exklusiver Zugriff auf diese durch die Exekutive im Verhältnis zu den Betroffenen, dem Landtag sowie den kommunalen Vertretungskörperschaften.10 Entsprechend machte das HEDSG 1970 die Eröffnung seines Anwendungsbereichs von der Art und Weise der Verarbeitung der Daten – automatisch bzw. maschinell – und nicht von ihrer Qualität bzw. ihrem Personenbezug abhängig, § 1 HEDSG 1970. Als Reaktion auf den Auf- und Ausbau von EDV-Zentren erscheint dieser Ansatz konsequent; eine Beschränkung des Anwendungsbereichs auf personenbezogene Daten hätte den innerstaatlichen Konflikt nicht hinreichend adressiert. Zum „Inhalt des Datenschutzes“ erklärte § 2 HEDSG 1970 den Schutz vor Verarbeitung durch Unbefugte mit Hilfe geeigneter technischer und personeller Vorkehrungen. Dieser Aspekt ist ein zentrales Anliegen dessen, was mittlerweile als Datensicherheit firmiert.11 Sicherheit sollte insoweit außerdem durch die Statuierung eines Datengeheimnisses, dessen Verletzung sanktionsbewehrt war, gewährleistet werden, §§ 3 Abs. 1, 16 HEDSG 1970. Im Bürger-Staat-Verhältnis wurden außerdem Berichtigungs-, Schadensersatzund Unterlassungsansprüche zugunsten der von der Datenverarbeitung Betroffenen normiert, § 4 HEDSG 1970. Der Umstand, dass deren Geltendmachung zunächst Kenntnis von dem Stattfinden der Datenverarbeitung voraussetzt, wurde hingegen vernachlässigt und entsprechend die Statuierung transparenzschaffender Auskunftsund Benachrichtigungsrechte bzw. -pflichten unterlassen. Hingegen sah das Gesetz Auskunftsrechte zugunsten des Landtags sowie der kommunalen Vertretungsorganen vor, § 6 HEDSG 1970. Schließlich setzten sich ganze neun Vorschriften des überschaubaren Gesetzes mit der institutionellen Überwachung des Datenschutzes durch den Datenschutzbeauftragten und dessen Rechtsstellung auseinander. 9 Zu dieser Problematik Kevenhörster/Hoschka/Kalbhen, Informationslücken des Parlaments?, in: Hoschka/Kalbhen (Hrsg.), Datenverarbeitung in der politischen Planung, S. 233 ff.; noch umfassender Lutterbeck, Parlament und Information. 10 Im Gegensatz zu dem frühen Datenschutzdiskurs in den USA, der sich insb. aus „Datenskandalen“ speiste. Zum Einsatz automatischer Datenverarbeitungstechnik im Kreditsektor bzw. durch Auskunfteien und Detekteien Miller, The Assault on Privacy, S. 67 ff.; Seidel, Datenbaken und Persönlichkeitsrechte, S. 9 ff. 11 In der Retroperspektive wurde das HEDSG 1970 auch als „Datensicherheitsgesetz“ bezeichnet, so etwa Pohle, FIfF-Kommunikation 2015, S. 41.
38
§ 3 BDSG 1977 – Rationalisierung vs. Privatsphärenschutz
Das HEDSG 1970 betrat gesetzgeberisches Neuland. Die Richtung, in die es zu steuern galt, und die Mittel, mit deren Hilfe die Gesetzeszwecke erreicht werden sollten, waren noch nicht hinreichend konsentiert und konnten daher partiell auch nicht eindeutig formuliert werden. Gleichwohl stand dieses Gesetz am Anfang einer Reihe von Datenschutzgesetzen – weiterer Bundesländer, des Bundes und anderer europäischer Staaten –, die auf dieselben Entwicklungen mit ähnlichen Ansätzen reagierten.12 Am 25. Januar 1974 trat das rheinland-pfälzische Gesetz gegen mißbräuchliche Datennutzung als zweites Datenschutzgesetz auf Landesebene in Kraft.13 Inhaltlich und strukturell weisen das HEDSG 1970 und das RPDSG 1974 einige Ähnlichkeiten auf, bemerkenswert sind aber vor allem ihre Unterschiede. Zunächst fokussierte sich zwar auch das RPDSG 1974 im Zusammenhang mit der Verarbeitung von Daten sowohl auf das Bürger-Staat-Verhältnis als auch auf den innerstaatlichen Bereich, dennoch gewichtete es diese Komplexe anders als das HEDSG 1970. § 1 Abs. 1 RPDSG 1974 erklärte die Verpflichtung, bei der Erfassung, Speicherung, Nutzung oder Löschung von Daten schutzwürdige Belange natürlicher oder juristischer Personen nicht zu beeinträchtigen oder zu verletzen, zum Gegenstand des Datenschutzes. Entsprechend wurde der gesetzliche Anwendungsbereich insbesondere in Bezug auf die Verarbeitung personenbezogener Daten eröffnet, § 1 Abs. 2 RPDSG 1974.14 Erst § 5 RPDSG 1974 regelte Informationsrechte des Landtags sowie kommunaler Vertretungsorgane gegenüber datenverarbeitenden Stellen. Der prominente Platz, der dem Schutz personenbezogener Daten bzw. den schutzwürdigen Belangen natürlicher Personen eingeräumt wurde, ließ den Schutz der von der Datenverarbeitung Betroffenen als zentrales Anliegen des Gesetzes erscheinen. Auch das Schutzkonzept des RPDSG 1974 hatte sich bereits gegenüber dem des HEDSG 1970 ausdifferenziert. Zwar knüpfte auch das RPDSG 1974 an die verschiedenen Phasen einer linear ablaufenden Datenverarbeitung an, es unterschied 12 Mayer-Schönberger, Generational Development of Data Protection in Europe, in: Agre/ Rotenberg (Hrsg.), Technology and Privacy, S. 219 (221 ff.). Bygrave, Data Privacy Law, S. 100 f.; ders., Data Protection Law, Chp. 2 – 4. 13 Gesetz gegen mißbräuchliche Datennutzung (Landesdatenschutzgesetz – LDatG) vom 24. Januar 1974 (RPGVBl. I S. 31 – 33). Siehe auch Urantrag der CDU-Fraktion, HELT-Drs. 6/ 2300. In anderen Bundesländern entschied man sich dagegen für ein weniger umfassendes Tätigwerden, vgl. etwa die Dienstanweisung über den Schutz der Daten und ihre Geheimhaltung (Datengeheimnis) in der Datenzentrale Schleswig-Holstein vom 3. Februar 1970, die unveröffentlicht blieb, und das Gesetz über die Datenzentrale Schleswig-Holstein vom 2. April 1968 (SHGVBl. I S. 92 – 94). Daneben wurden auch gesetzliche Einzelbestimmungen wie etwa § 13 (Sicherung der Datenbestände) des Gesetzes über die Datenzentrale Baden-Württemberg vom 17. November 1970 (BWGBl. I S. 492 – 494) erlassen. Vgl. auch den Runderlaß des Niedersächsischen Ministers des Innern „Vorläufige Regelung des Datenschutzes in den Rechenzentralen des Landes“ vom 9. November 1970 (NIMBl. Nr. 46 S. 1326). 14 Daneben erstreckte sich der Datenschutz auf die Verarbeitung von Daten, die der Pflicht zur Amtsverschwiegenheit oder anderen besonderen Geheimhaltungspflichten unterlagen.
C. Gesetzgebungsprozess des BDSG 1977
39
insoweit aber verschiedene Gefährdungspotentiale. Entsprechend sollte bei der Speicherung von Daten in Datenbanken sowie ihrer Nutzung im Rahmen von Informationssystemen primär der Datensicherheit Rechnung getragen werden bzw. der Zugriff Unbefugter ausgeschlossen werden, § 4 Abs. 2 RPDSG 1974. Die zu ergreifenden Sicherungsmaßnahmen wurden nicht im Gesetz selbst aufgeführt, sondern sollten noch durch Dienstanweisungen im Einzelnen festgelegt werden, § 2 RPDSG 1974. Im Zusammenhang mit der Datennutzung und -übermittlung wurde der Zweckbindungsgrundsatz normiert. Hiernach bildete die Erforderlichkeit der Datenverarbeitung für die Erfüllung einer gesetzlichen Aufgabe das maßgebliche Kriterium zur Bestimmung ihrer Rechtmäßigkeit. Zur Kontrolle der Einhaltung der Datenschutzvorgaben sah das RPDSG 1974 die Einsetzung eines DatenschutzAusschusses vor, der aus drei Landtagsabgeordneten sowie zwei Beamten oder Richtern des Landes bestehen sollte, § 6 Abs. 1 RPDSG 1974. Knapp dreieinhalb Jahre lagen zwischen dem Erlass der beiden Gesetze. Zwischenzeitlich hatte sich der fachliche Datenschutzdiskurs bereits intensiviert und ausdifferenziert.15 Seine Tendenzen nahm das RPDSG 1974 auf. Datenschutz sollte hiernach primär dem Schutz des Individuums gelten. Weiterhin sollte dieser Schutz im Wesentlichen durch die gesetzliche Restriktion von Datenverarbeitungstätigkeiten im Rahmen des Verbots mit Erlaubnisvorbehalt, des Erforderlichkeitsgrundsatzes sowie durch Datensicherheitsstandards gewährleistet werden.
C. Gesetzgebungsprozess des BDSG 1977 I. Ausgangslage des Gesetzgebungsprozesses Ende der 1960er Jahre setzte sich der Bundestag erstmals mit dem zunehmend intensiver werdenden Einsatz der EDV seitens der Exekutive auseinander. Die insoweit geäußerten Bedenken waren ausschließlich ökonomischer Natur. Hiernach galt es, Fehlinvestitionen zu vermeiden und Synergieeffekte zu fördern.16 Zu diesem Zweck wurde die Bundesregierung u. a. aufgefordert, eine zentrale Koordinierungsund Beratungsstelle mit einer umfassenden Vollmacht zum Aufbau eines geschlossenen EDV-Systems innerhalb der Bundesverwaltung zu errichten.17 Weiterhin sollte der elektronische Austausch von Daten zwischen verschiedenen staatlichen Stellen generell so einfach und so umfassend wie möglich ausgestaltet werden.18 Die
15
Zur datenschutzrechtlichen Debatte zwischen 1970 – 1974 s. Simitis, NJW 1971, S. 673 ff.; Steinmüller, JA-Sonderheft 6 (1970); Weber, JuS 1970, S. 649 ff. 16 BT-Drs. 5/1633; 5/1655; 5/2381. Zur zunehmenden Relevanz der EDV auf Bundesebene Liedtke, Bundesdatenschutzgesetz, S. 90; s.a. BT-Drs. 5/3355. 17 BT-Drs. 5/2381, S. 4. 18 Vgl. BT-Drs. 5/1633; 5/1655; 5/3355, S. 3; 5/2381.
40
§ 3 BDSG 1977 – Rationalisierung vs. Privatsphärenschutz
positiv besetzten Schlagworte der Stunde waren damit Zentralisierung, Rationalisierung und Effizienzsteigerung.19 Dem Fortschritt der Datenverarbeitungstechnologien und deren umfassenden Einsatz durch die Exekutive korrespondierte folglich kein kritisches Bewusstsein für die hiermit einhergehenden Konflikte und Herausforderungen. Beispielsweise wurde das Ersuchen um die genannte Koordinierungs- und Beratungsstelle nicht mit der Forderung nach Auskunftsrechten bzw. Berichtspflichten zugunsten des Parlaments oder gar der Bürger verbunden. Entsprechend sprach Alfred Büllesbach insoweit von den im „neuen technischen Glanz berauschten Technokraten“20. Das Recht sollte den ersten parlamentarischen Äußerungen zufolge den Einsatz der EDV nicht steuern, sondern vielmehr in den Dienst des Technikeinsatzes gestellt werden und zu diesem Zweck „automationsgerecht“ sein.21 Zur Realisierung der genannten Ziele, visierte die Bundesregierung u. a. die Einführung einer allgemeinen Personenkennziffer an. Die Verknüpfung und Auswertung einwohnerbezogener Daten, die bis dato bei unterschiedlichen staatlichen Stellen vorhanden waren, sollten mit Hilfe dieser Kennziffer ermöglicht bzw. erleichtert werden.22 Erst im Zusammenhang mit diesem Projekt zeigten sich zaghafte Anzeichen einer sich entwickelnden kritischen Haltung im Bundestag. Am 19. März 1969 erkundigte sich anlässlich einer parlamentarischen Fragestunde ein Abgeordneter, ob bei der Arbeit an dem Projekt auch Fragen der Sicherung gegen missbräuchliche Zugriffe bzw. des Schutzes der Persönlichkeitssphäre geprüft werden.23 Diese erste Nachfrage kann als Beginn einer Trendwende markiert werden. In der Folgezeit zeigte sich das Parlament nicht mehr ausschließlich enthusiastisch angesichts des Nutzens der EDV für die Erledigung von Verwaltungsaufgaben, sondern nahm eine ambivalente Haltung ein: Es begrüßte zwar auch weiterhin den technischen Fortschritt,24 andererseits zeigte es sich zunehmend für Probleme des Persönlichkeitsschutzes sowie des informationellen Gleichgewichts zwischen Exekutive und Parlament sensibilisiert.25 Die Ausgangslage für die rechtliche Ausgestaltung des Datenschutzes – die in der juristischen Fachliteratur bereits verstärkt gefordert wurde26 – gestaltete sich zu 19
Vgl. BT-Drs. 5/1633; 5/1655; 5/3355; 5/2381. Büllesbach, Informationstechnologie und Datenschutz, S. 71. 21 BT-Drs. 5/2381, S. 3. 22 BT-Drs. 6/648, S. 17 f. Siehe a. den Gesetzentwurf eines Bundesmeldegesetzes vom 4. November 1971, in dessen Rahmen die Einführung einer Personenkennziffer geplant wurde, BT-Drs. 6/2654. 23 BT, 5. WP, 221. Sitzung vom 19. 3. 1969, 11950 (A). Diese Reaktion bewertete Liedtke nicht als bedeutend, s. Liedtke, Bundesdatenschutzgesetz, S. 115 ff. 24 BT, 5. WP, 247. Sitzung vom 3. 7. 1969, 13832 (B). 25 BT, 5. WP, 226. Sitzung vom 28. 3. 1969, 12484 f. 26 Kamlah, Right of Privacy; ders., DÖV 1970, S. 361 ff.; Podlech, DÖV 1970, S. 473 ff.; Seidel, NJW 1970, S. 1581 ff.; Simitis, Informationskrise des Rechts und Datenverarbeitung, S. 109 ff.; ders., NJW 1971, S. 680 ff.; Steinmüller, JA-Sonderheft 6 (1970), S. 86. 20
C. Gesetzgebungsprozess des BDSG 1977
41
diesem Zeitpunkt damit im Hinblick auf Interessenlage und Expertise bezüglich des Einsatzes der EDV im Verhältnis von Exekutive und Legislative äußerst different. Die Verwaltung hatte ein gesteigertes Interesse an dem Einsatz der neuen Techniken und konnte bereits einige Erfahrungen im Umgang mit diesen sammeln. Sie verfügte außerdem über eine für damalige Verhältnisse ausgereifte EDV-Infrastruktur.27 Demgegenüber war das Parlament zunächst einmal lediglich aufmerksam geworden auf potentielle Interessenkonflikte bzw. Regelungsbedürfnisse. Seine Zielvorstellungen hatten sich noch nicht eindeutig herausgebildet und Lösungsansätze waren diesem – wenn überhaupt – nur rudimentär bekannt.
II. Konkurrierende Ansätze für ein BDSG In der Folgezeit wurden verschiedene Entwürfe für ein allgemeines Datenschutzrecht auf Bundesebene erarbeitet; zunächst der fraktionsübergreifende Gesetzentwurf der Abgeordneten Hirsch, Dichgans, Kirst und Genossen, anschließend ein insbesondere von Adalbert Podlech entwickelter Vorschlag eines Bundesdatenschutz-Rahmengesetzes und schließlich ein Gesetzentwurf der Bundesregierung. Im Folgenden werden die differenten Ansätze dargestellt, um ihren jeweiligen Einfluss auf das Leitbild des BDSG 1977 bestimmen zu können. 1. Entwurf eines Datenschutzgesetzes der Abgeordneten Hirsch, Dichgans, Kirst und Genossen Dieser interfraktionelle Gesetzentwurf, der am 2. Dezember 1971 in den Bundestag eingebracht wurde, basierte auf Vorarbeiten der Interparlamentarischen Arbeitsgruppe, die wiederum bereits auf Erkenntnisse aus dem Gesetzgebungsverfahren des HEDSG 1970 zurückgreifen konnte.28 Der Entwurf erhob keinen Anspruch auf Vollständigkeit, sondern sollte vielmehr als eine fundierte Diskussionsgrundlage dienen.29 Gleichwohl konnte jene Gesetzesinitiative diese Funktion aufgrund des vorzeitigen Endes der 6. Legislaturperiode lediglich bedingt wahrnehmen. Jedenfalls knüpfte namentlich Podlechs Vorschlag eines Bundesdatenschutz-Rahmengesetzes an diese an.30 Dem Gesetzentwurf lag zentral die Erkenntnis zugrunde, dass die EDV das Potential birgt, dezentral gespeicherte Daten insbesondere im Rahmen integrierter Systeme mühelos zusammenzuführen und so Übersichten – Profile in der heutigen 27
BT-Drs. 6/648. BT-Drs. 6/2885. Siehe a. Vorentwurf eines Gesetzes zum Schutz der Privatsphäre gegen Mißbrauch von Datenbankinformationen (Datenüberwachungsgesetz) veröffentlicht am 7. 1. 1970, dazu Podlech, Datenschutz im Bereich der öffentlichen Verwaltung, S. 33 m.w.N. 29 BT-Drs. 6/2885, S. 8. 30 Zu Podlechs Entwurf § 3 C. II. 2. 28
42
§ 3 BDSG 1977 – Rationalisierung vs. Privatsphärenschutz
Datenschutzterminologie – zu erstellen, welche geeignet sind, die Privatsphäre der Personen, auf die sie sich beziehen, zu beeinträchtigen. Ausweislich seiner Begründung war es daher das primäre Ziel des Entwurfs, den notwendigen Schutz der Privatsphäre angesichts dieses technischen Potentials sicherzustellen, ohne hierbei automatisierungsfeindlich zu wirken.31 Auch wenn der Gesetzentwurf die Eröffnung seines Anwendungsbereichs nicht explizit von einer Datenverarbeitung im Rahmen von Datenbanken abhängig machte, bildeten diese seinen maßgeblichen Anknüpfungspunkt, jedenfalls wenn insoweit Daten für Dritte verarbeitet oder diese für Dritte bereitgehalten werden sollten, §§ 4 Abs. 1, 12 Abs. 1 DSG-E.32 Entsprechend waren die Adressaten der datenschutzrechtlichen Verpflichtungen des Entwurfs überwiegend öffentliche und nicht-öffentliche Datenbankenbetreiber und knüpften die meisten dieser Verpflichtungen auch nicht unmittelbar an die eigentliche Datenverarbeitung, sondern an den Betrieb von Datenbanken an; dieser sollte angemeldet werden müssen und insoweit bestanden verschiedene Nachweispflichten. Die einzige Phase der Datenverarbeitung, die konkret reglementiert wurde, war die Übermittlung von Daten bzw. die Erteilung von Auskünften. Eine Auskunft über ein personenbezogenes Datum im öffentlichen Bereich sollte gem. § 8 Abs. 1 DSG-E zulässig sein, soweit eine Rechtsvorschrift ein Recht auf Kenntnisnahme begründet. Im nicht-öffentlichen Bereich wurde die Rechtmäßigkeit einer entsprechenden Auskunft an eine legitimierende Rechtsvorschrift, die Einwilligung des Betroffenen oder einen sonstigen, rechtlich anerkannten Rechtfertigungsgrund geknüpft, § 16 Abs. 1 DSG-E. Zur Überwachung der Einhaltung seiner Vorgaben sah der Entwurf einerseits die Etablierung einer institutionellen Kontrollinstanz, namentlich einer Aufsichtsbehörde, sowie andererseits die Statuierung von Betroffenenrechten, etwa auf Auskunft, Benachrichtigung und Löschung, vor. Die Selbstkontrolle der Datenbankenbetreiber thematisierte der Entwurf hingegen nicht. Angesichts des Regelungsziels, den unkontrollierten bzw. unbefugten Austausch personenbezogener Daten im Hinblick auf Datenbanken(-netze) zu vermeiden, scheint das Regelungskonzept des Entwurfs oberflächlich betrachtet konsequent; Datenbanken sind hiernach zu registrieren, für die Weitergabe personenbezogener Daten bestehen gesetzliche Voraussetzungen, ihre Einhaltung wird kontrolliert und eine unzulässige Weitergabe ist sanktionsbewehrt. Interessanterweise setzte sich der Entwurf nur am Rande mit dem informationellen Gleichgewicht zwischen Parlament und Verwaltung auseinander – die Aufsichtsbehörde sollte dem Bundestag jährlich einen Tätigkeitsbericht vorlegen, § 20 Abs. 3 DSG-E. Dies verwundert, stammte doch der Entwurf aus der Mitte des Bundestages und griff insbesondere das 31
BT-Drs. 6/2885, S. 10. Instruktiv zum damaligen Anwendungsbereich personenbezogener Datenbanken und datenschutzrechtlichen Problemen insoweit Seidel, Datenbanken und Persönlichkeitsrecht, S. 7 ff. und S. 130 ff. 32
C. Gesetzgebungsprozess des BDSG 1977
43
HEDSG 1970, auf welches sich die Begründung des in Rede stehenden Entwurfs mehrfach ausdrücklich bezog, zentral dieses Spannungsverhältnis auf. Insgesamt bleibt festzustellen, dass der Gesetzesvorschlag auf neue Phänomene mit überwiegend altbekannten Regelungsmitteln reagierte. Es wurde hier auf gesetzliche Gebote, insbesondere die Pflicht zur Registrierung von Datenbanken, und Verbote, vor allem der nicht legitimierten Weitergabe personenbezogener Daten, zurückgegriffen.33 Damit sollte die Verarbeitung personenbezogener Daten „rechtlich eingehegt werden“.34 Die Eigenschaften der EDV und die Logik ihres Einsatzes wurden – wenn überhaupt – nur vordergründig berücksichtigt. Dem Regelungskonzept lagen insbesondere keine Erkenntnisse bzw. Thesen über den Umgang mit Daten oder die Funktionsweisen der EDV zugrunde. 2. Podlechs Entwurf eines Bundesdatenschutz-Rahmengesetzes Datenschutz sollte Adalbert Podlech zufolge zentral dem Schutz der Interessen des Bürgers gewidmet sein. Um diesen effektiv gewährleisten zu können, verzichtete dessen Entwurf eines Bundesdatenschutz-Rahmengesetzes, der sich aus Kapazitätsgründen auf die Regulierung der Datenverarbeitung im öffentlichen Bereich fokussierte, weitestgehend auf die Normierung unbestimmter Rechtsbegriffe und Generalklauseln und richtete sich dieser vielmehr „hart an den technischen Bedingungen des Einsatzes von ADV-Anlagen“35 aus. Insbesondere stimmte Podlech die Terminologie seines Entwurfs zu diesem Zweck mit der DIN-Norm „Informationsverarbeitung, Begriffe“ (DIN 44300) ab.36 Des Weiteren berücksichtigte der in Rede stehende Gesetzesvorschlag nicht nur die Strukturen und Eigenschaften von Informationssystemen, sondern insbesondere auch verhaltenspsychologische Thesen hinsichtlich ihres Einsatzes. Zunächst ging Podlech davon aus, dass Datenschutz nur dann wirksam verwirklicht werden könne, wenn das Prinzip der Konkurrenz staatlicher Teilsysteme berücksichtigt werde. Hiernach verbleiben angesichts der Technisierung Freiheitsräume des Bürgers nur dort, wo staatliche Stellen um die Erreichung differenter Staatsziele konkurrierten.37 Die zweite These, die Podlech seinem Entwurf zugrunde legte, bildete die Vermutung regelwidrigen Verhaltens unkontrollierter sozialer Systeme. Danach genügt es nicht, ein gesetzliches Verbot bezüglich der Verarbeitung 33 So i.E. auch Podlech in BT (Hrsg.), Zur Sache 5/74, S. 117. Zur Geschichte des Verbots mit Erlaubnisvorbehalt Preusche, Das Verbot mit Erlaubnisvorbehalt als Regelungsinstrument, S. 21 ff.; s.a. Schreiber, Das Regelungsmodell der Genehmigung im integrierten Umweltschutz, S. 24 ff. 34 BT-Drs. 6/2885, S. 8. 35 Podlech, Datenschutz im Bereich der öffentlichen Verwaltung, S. 41. 36 Siehe DIN (Hrsg.), Informationsverarbeitung 1, S. 109 ff. 37 Vgl. Podlech, Datenschutz im Bereich der öffentlichen Verwaltung, S. 40.
44
§ 3 BDSG 1977 – Rationalisierung vs. Privatsphärenschutz
personenbezogener Daten zu statuieren und darauf zu vertrauen, dass die datenverarbeitenden Stellen dieses berücksichtigen werden. Es sei vielmehr davon auszugehen, dass diese versuchen werden, bestehende Verpflichtungen zu umgehen, wenn sie nicht hinreichend hiervon abgehalten bzw. kontrolliert werden.38 Die ständige Kontrolle der Einhaltung von Datenschutzvorgaben sei mithin zwingende Voraussetzung eines effektiven Datenschutzes. Zu den Mitteln des Datenschutzes, auf die der Entwurf zurückgriff, gehörten bereits aus dem HEDSG 1970 und dem interfraktionellen Gesetzentwurf bekannte Ansätze, namentlich Registrierungsvorschriften, Betroffenenrechte, Datensicherheitsregelungen sowie Straf- und Bußgeldvorschriften. Bemerkenswert waren aber vor allem dessen innovative Ansätze, insbesondere die organisatorischen Vorschriften bezüglich integrierter Informationssysteme sowie der Programmschutz. Aus der Vermutung regelwidrigen Verhaltens unkontrollierter sozialer Systeme folgerte Podlech, dass Betrieb und Nutzung integrierter Informationssysteme organisatorisch zu trennen seien, vgl. §§ 4 Abs. 3, 36 Abs. 1 und 2 BDSR-E.39 Diese Vorgabe denkt den Zweckbindungsgrundsatz weiter, denn sie verbietet es der verarbeitenden Stelle nicht nur grundsätzlich, Daten, die in einem konkreten Kontext generiert wurden, in einem anderen zu nutzen, sondern macht es dieser bereits technisch unmöglich, die Daten – jedenfalls ohne großen Aufwand – zu beschaffen. Entsprechend sollten sog. Informationsämter zum einen für den Betrieb der staatlichen Informationsinfrastruktur und zum anderen für die Kontrolle von Datenverarbeitungstätigkeiten zuständig sein. Die Datenschutzaufsicht sollte dem Entwurf zufolge nicht auf die erstmalige Aufnahme einer Datenverarbeitungstätigkeit beschränkt bleiben und im Weiteren ausschließlich anlassbezogen erfolgen. Vielmehr war es hiernach Aufgabe der Informationsämter, regelmäßig stichprobenartig – mithilfe eines Zufallsgenerators – die Einhaltung datenschutzrechtlicher Vorgaben zu überprüfen, § 43 Abs. 3 BDSR-E. Außerdem sah der Entwurf den sog. Programmschutz vor. Insoweit sollten die Aufsichtsämter allgemeine Richtlinien für die Entwicklung von Datenverarbeitungsprogrammen veröffentlichen und anschließend deren Einhaltung kontrollieren, um Einheitlichkeit und Rechtmäßigkeit der Programme sicherzustellen, § 32 Abs. 2 BDSR-E. Ausschließlich zugelassene Verarbeitungsprogramme sollten eingesetzt werden dürfen, §§ 29 Abs. 1, 43 Abs. 1 BDSR-E. Auch in Bezug auf diesen Aspekt wurde folglich der Gedanke der Standardisierung fruchtbar gemacht. Datenschutz setzte hier nicht erst bei dem Einsatz der Technik, sondern bereits bei deren Kon-
38
Vgl. Podlech, Datenschutz im Bereich der öffentlichen Verwaltung, S. 40 f. Zur Organisation von Informationssystemen als Mittel der Freiheitssicherung des Bürgers Podlech, Die Trennung von politischer, technischer und fachlicher Verantwortung in EDVunterstützten Informationssystemen, in: Steinmüller (Hrsg.), Informationsrecht und Informationspolitik, Bd. 1, S. 207 ff. 39
C. Gesetzgebungsprozess des BDSG 1977
45
struktion an. Dieser Ausgangspunkt sollte zu einem späteren Zeitpunkt als Datenschutz durch Technik bzw. Privacy by Design bezeichnet werden.40 Insgesamt versuchte der Entwurf, auf technisch bedingte Konflikte an der entsprechenden Technik ausgerichtete Lösungsansätze zu formulieren. Um den Ausgangsbedingungen der EDV gerecht werden zu können, holte Podlech während der Arbeit an seinem Entwurf eine umfassende technische Expertise ein. Sein Entwurf war nicht ideell aufgeladen, insbesondere fehlte diesem eine Zielbestimmung, die etwa den Schutz der Privatsphäre oder des Allgemeinen Persönlichkeitsrechts zum maßgeblichen Ziel des Gesetzes erklärte. Die zentralen Ansätze, die der als technokratisch zu bezeichnende Entwurf verfolgte, waren Datenschutz durch Technik, Standardisierung, Organisation und Verfahren. Wesentliche materielle Entscheidungen sollten demgegenüber durch andere Gesetze getroffen werden. 3. Entwurf eines Bundes-Datenschutzgesetzes der Bundesregierung Am 21. September 1973 brachte die Bundesregierung den Entwurf eines Gesetzes zum Schutz vor Mißbrauch personenbezogener Daten bei der Datenverarbeitung in den Bundestag ein. Dieser sollte sich als Grundlage des BDSG 1977 durchsetzen.41 Im Folgenden wird versucht, das dem Gesetzesvorschlag zugrunde liegende Leitbild zu identifizieren und zu analysieren, wie sich dieses im Laufe des Gesetzgebungsprozesses entwickelte. Insoweit lassen sich verschiedene Phasen ausmachen; die Erarbeitung des Entwurfs im BMI und dessen Abstimmung mit Verwaltungsvertretern der Länder und Kommunen sowie mit Interessenvertretern der Wirtschaft, die parlamentarische Auseinandersetzung mit diesem und dessen Änderung im Rahmen des Vermittlungsausschusses.42 a) Erarbeitung des Gesetzentwurfs im BMI Am 17. April 1970 erklärte das BMI noch, es könne kein Bedürfnis nach einer grundsätzlichen Regelung des Datenschutzes erkennen.43 Seiner Ansicht nach werde der Schutz der Privatsphäre auch angesichts des technologischen Fortschritts durch bereits etablierte rechtliche Vorgaben, namentlich Auskunftsverbote und Geheimhaltungsvorschriften, ausreichend gewährleistet. Hingegen erkannte das Ministerium im Hinblick auf die geplante Einführung einer Personenkennziffer einen be40 Dazu etwa Hammer/Pordesch/Roßnagel, InfoTech 1993, S. 21 ff. Zur praktischen Umsetzung dieses Ansatzes s. Hoffmann, Anforderungsmuster zur Spezifikation soziotechnischer Systeme, S. 76 ff. 41 BT-Drs. 7/1027. 42 Ein Überblick über den Ablauf des Gesetzgebungsverfahrens findet sich bei Ruckriegel, ÖVD 1976, S. 350 ff. Zur Reglementierung der Datenverarbeitung im nicht-öffentlichen Bereich durch den Entwurf s. Bühnemann, Datenschutz im nicht-öffentlichen Bereich. 43 BT-Drs. 6/648, S. 20 f.
46
§ 3 BDSG 1977 – Rationalisierung vs. Privatsphärenschutz
reichsspezifischen Regelungsbedarf an.44 Diesbezüglich visierte das Ministerium einen Funktionswandel des Meldewesens – von einem sicherheitspolizeilichen Instrument zu einem Informationssystem für die öffentliche Verwaltung „auf allen Ebenen“ – an.45 Hierzu sollten bis dato noch dezentral in Akten dokumentierte, einwohnerbezogene Daten künftig mithilfe integrierter Datenverarbeitungssysteme abgerufen, kombiniert und ausgewertet werden können. Ausgangspunkt der datenschutz- bzw. datensicherheitsrechtlichen Überlegungen war insoweit, dass das Zusammenführen einwohnerbezogener Daten im Rahmen von Informationssystemen nicht nur den Zugriff auf die Daten durch hierzu Berechtigte, sondern auch durch hierzu Nicht-Berechtigte gegenüber der herkömmlichen, dezentralen Datenverarbeitung in gesteigertem Maße berge. Verhindere man den unbefugten Zugriff auf die Daten, schütze man auch die Privatsphäre der Personen, auf die sie sich beziehen. Eine konzeptionelle Auseinandersetzung mit Inhalt, Wert und Grenzen der Privatsphäre sowie den Funktionsweisen der Datenverarbeitungstechnik fand jedoch nicht statt. Es deutete sich lediglich an, dass das BMI unter Privatsphäre einen exklusiven Bereich, in dem der Einzelne sicher vor Informationsansprüchen Dritter sei, verstand. Dieses Verständnis knüpfte an die im anglo-amerikanischen Rechtsraum entwickelte Interpretation von Privacy als Right to be let alone an.46 Das hinsichtlich des Meldewesens angedachte Datenschutzkonzept stellte sich als rudimentär dar. Zwar wies das BMI darauf hin, dass man zum Schutz der Privatsphäre technische, organisatorische, berufsethische und rechtliche Maßnahmen fruchtbar machen könne, so vielgestaltig präsentierte sich dessen Ansatz letztlich aber nicht. Lediglich die Normierung von Auskunftsrechten, Übermittlungsbeschränkungen, Protokollierungspflichten, Strafvorschriften und daneben auch die Verpflichtung zu technischen Maßnahmen – namentlich der Errichtung programmierter Sperren – wurden in Aussicht gestellt.47 Kein halbes Jahr nachdem das BMI die Notwendigkeit einer allgemeinen Regelung des Datenschutzes offiziell verneint hatte, wurde die Arbeit des Ministeriums an einem entsprechenden Entwurf bekannt.48 Ein erster Gesetzentwurf wurde bereits 1971 fertiggestellt.49 Auch dessen Ausgangspunkt bildete die Überlegung, dass die elektronische Verarbeitung von Daten nicht nur den Zugriff auf diese durch Berechtigte, sondern ebenfalls durch Nicht-Berechtigte erleichtere. Insoweit wurde die noch im Rahmen der Arbeiten an dem Meldegesetz auf die Verwaltung beschränkte 44
BT-Drs. 6/648, S. 17 f. So später charakterisiert durch den Abgeordneten Wernitz während der ersten Lesung des Bundesmeldegesetzes, BT, 7. WP, 67. Sitzung vom 29. 11. 1973, 4024 (D). 46 Hierzu Warren/Brandeis, Harvard Law Review 1980, S. 193 ff. (übersetzt von Hansen/ Weichert, DuD 2012, S. 755 ff.). 47 Vgl. insoweit auch die anvisierten Datenschutzregelungen für eine statistische Datenbank, BT-Drs. 6/801, S. 3. 48 BT-Drs. 6/1223, S. 3. 49 BT-Drs. 6/3826, S. 1. 45
C. Gesetzgebungsprozess des BDSG 1977
47
Regelungsperspektive auf den nicht-öffentlichen Bereich erweitert – Betreiber von Datenbanken und Informationssystemen können eben auch Private sein.50 Ein allgemeines Datenschutzrecht sollte nach Ansicht des BMI verschiedene Anforderungen erfüllen. Zunächst habe der Datenschutz grundrechtskonform zu sein. Entsprechend müsse das aus Art. 1 Abs. 1 i.V.m. Art. 2 Abs. 1 GG abzuleitende informationelle Selbstbestimmungsrecht des Bürgers über die aus seiner Privatsphäre stammenden Daten Kernstück aller datenschutzrechtlichen Regelungen sein.51 Des Weiteren solle der Datenschutz im öffentlichen und im nicht-öffentlichen Bereich gleichermaßen gewährleistet werden.52 Schließlich dürfe das Datenschutzrecht nicht „den berechtigten Anforderungen an den technischen Fortschritt sowie der täglichen Praxis in Verwaltung und Wirtschaft […] hindernd im Wege steh[en]“.53 Das BMI deutete an, dass die EDV nicht ausschließlich Gefährdungen der Privatsphäre begründe, sondern insoweit auch wirksame Schutzpotentiale biete, folglich Datenschutz durch Technik gewährleistet werden könne. Ansätze einer datenschutzgewährleistenden Technik wurden jedoch nicht präzisiert, sondern lediglich entsprechende Prüfankündigungen gemacht.54 Den zentralen Regelungsansatz des Entwurfs bildete die rechtliche Einhegung der Datenverarbeitung. Im öffentlichen Bereich sollte die Rechtmäßigkeit der Datenerfassung und -speicherung von deren Erforderlichkeit für die Erfüllung gesetzlicher Aufgaben abhängig gemacht werden, im nicht-öffentlichen Bereich hingegen von einer gesetzlich angeleiteten Interessenabwägung bzw. der Einwilligung des Betroffenen. Sanktionsbewehrte Geheimhaltungsvorschriften sollten dieses Konzept abrunden. Es zeichnete sich aber nicht nur ab, dass eine Verrechtlichung der Datenverarbeitung angestrebt wurde, sondern auch wie sich diese später ausgestalten sollte, nämlich unter Zuhilfenahme einer Vielzahl unbestimmter Rechtsbegriffe und Generalklauseln im Hinblick auf zentrale Begriffe des Entwurfs, etwa die schutzwürdigen Belange Betroffener sowie die berechtigten Interessen der auskunftsbegehrenden Stelle.55 Aus dem grundgesetzlich abgesicherten Selbstbestimmungsrecht des Individuums leitete das BMI außerdem verschiedene Betroffenenrechte – auf Auskunft bzw. 50
BMI (Hrsg.), Personenkennzeichen, S. 24. BMI (Hrsg.), Personenkennzeichen, S. 25. 52 Der Grund hierfür ist eine Problematik, die damals wie heute aktuell ist: „Um zu verhindern, daß öffentliche Stellen sich durch die Zuhilfenahme von in privater Hand befindlichen Datensammlungen die Informationsmöglichkeiten eröffnen, die ihnen durch speziell für sie geltende Datenschutzvorschriften verschlossen wurden, wie das nach Berichten aus den USA dort vorgekommen sein soll […]“ BMI (Hrsg.), Personenkennzeichen, S. 24. Vgl. auch Kutscha, LKV 2008, S. 481 ff.; Voigt/Klein, ZD 2013, S. 16 ff. 53 BMI (Hrsg.), Personenkennzeichen, S. 26. 54 BMI (Hrsg.), Personenkennzeichen, S. 26. 55 BMI (Hrsg.), Personenkennzeichen, S. 27 ff. 51
48
§ 3 BDSG 1977 – Rationalisierung vs. Privatsphärenschutz
Einsicht, Berichtigung und Löschung – ab, deren Geltendmachung auch der Kontrolle der datenverarbeitenden Stelle dienen sollte. Der Etablierung einer institutionalisierten Fremdkontrolle stand das BMI hingegen äußerst kritisch gegenüber. Nachdrücklich wurde betont, dass die Einrichtung einer neuen Institution zu Kontrollzwecken zu vermeiden sei.56 Mithin würdigte das Ministerium die Gewährleistung des Datenschutzes einerseits als Ausprägung des Grundrechtsschutzes, andererseits sprach es sich dafür aus, seinen Vollzug bzw. seine Kontrolle im Wesentlichen den Adressaten der rechtlichen Verpflichtungen und den von der Datenverarbeitung Betroffenen zu überantworten. Im Ergebnis sollten Selbstkontrolle und Selbstdatenschutz durch den Entwurf etabliert werden und eben kein paternalistisches Schutzkonzept. Zwar konnte das BMI bei der Erarbeitung seines Entwurfs auf wissenschaftliche Expertise zurückgreifen – insbesondere lag ihr das renommierte Steinmüller-Gutachten seit dem Juli 1971 vor57 – gleichwohl blieben die primären Adressaten der angestrebten rechtlichen Regelungen bei deren Ausarbeitung zunächst vorzugsweise unter sich. Erst 1972 wurde eine Version des Entwurfs offiziell der Öffentlichkeit präsentiert.58 Vom 7. bis zum 9. November 1972 fand eine öffentliche Anhörung zu dem Referentenentwurf statt, an der sowohl Wirtschaftsvertreter als auch Wissenschaftler – darunter Wilhelm Steinmüller und Spiros Simitis – teilnahmen. Im Rahmen dieser Veranstaltung trafen die zum damaligen Zeitpunkt vertretenen, widerstreitenden datenschutzrechtlichen Ausgangspunkte aufeinander: Privatsphären- bzw. Persönlichkeitsschutz versus Effizienzsteigerung in Staat und Wirtschaft. Die Prämissen des BMI für die Auflösung des Konflikts zwischen den Interessen der Bürger und der datenverarbeitenden Stellen angesichts der EDV wurden in der Eröffnungsrede zu der Veranstaltung, die von dem damaligen Bundesinnenminister Hans-Dietrich Genscher gehalten wurde, deutlich: „Rationalisierung unserer Wirtschaft wie der öffentlichen Verwaltung muß soweit wie vertretbar möglich sein, damit Staat und Gesellschaft die Leistungen erbringen können, die auch der einzelne von ihnen erwartet. […] Ausgangspunkt aller Überlegungen sollte dabei ein Bekenntnis zur Informationsfreiheit sein, die nur im Interesse des Individuums eingeschränkt werden sollte. Den entgegengesetzten Ausgangspunkt einer grundsätzlichen Informationsrestriktion mit Erlaubnisvorbehalt lehne ich ab, weil er weder
56 BMI (Hrsg.), Personenkennzeichen, S. 25. Argument hier: negative Erfahrungen mit dem Wehrbeauftragten. Zur Debatte um das Potential der Institution „Ombudsman“ BT (Hrsg.), Zur Sache 1/73, S. 52 ff. 57 Steinmüller u. a. (Hrsg.), Grundfragen des Datenschutzes, BT-Drs. 6/3826 Anlage 1; s.a. Kamlah, Datenschutz im Spiegel der anglo-amerikanischen Literatur, BT-Drs. 6/3826, Anlage 2; Steinbuch/Wacker, Technische Möglichkeiten des Datenschutzes, BT-Drs. 6/3826, Anlage 3. 58 BMI (Hrsg.), Dokumentation, S. 4.
C. Gesetzgebungsprozess des BDSG 1977
49
unserer grundgesetzlichen Ordnung noch den modernen Bedürfnissen unseres informationsorientierten Lebens entspricht.“59 Die dem Hearing als Grundlage dienende Version des Gesetzentwurfs trug den Titel „Gesetz zum Schutz vor Mißbrauch von personenbezogenen Daten bei der Datenverarbeitung“ und suggerierte damit ein Primat des Privatsphärenschutzes. Gleichwohl standen die Regelungen des Entwurfs und deren Begründung überwiegend im Widerspruch zu diesem vermeintlichen Anspruch. Hinsichtlich der gesetzlichen Anforderungen an die Rechtmäßigkeit der Datenverarbeitung wurde zwischen öffentlichen und nicht-öffentlichen datenverarbeitenden Stellen unterschieden, jeweils aber an einzelne Phasen der Datenverarbeitung angeknüpft. Im öffentlichen Bereich sollten die Zustimmung des Betroffenen sowie Rechtsvorschriften – namentlich gesetzliche Aufgabenzuweisungen – die Verarbeitung personenbezogener Daten legitimieren können. Bereits der bloße Schluss von der Zuständigkeit einer Stelle auf deren Kompetenzen stellte sich problematisch dar.60 Weiterhin war der Beurteilungsmaßstab, der hinsichtlich der Datenweitergabe durch öffentliche Stellen zugrunde gelegt wurde, bemerkenswert. Der Entwurf traf insoweit eine Regelung deutlich zulasten der Betroffenen. Die Weitergabe von Daten sollte hiernach u. a. dann zu lässig sein, wenn auf Seiten des Empfängers ein berechtigtes Interesse glaubhaft gemacht wird und auf Seiten des Betroffenen kein überwiegendes berechtigtes Interesse entgegensteht, § 8 Abs. 1 S. 2 BDSG-E. Angesichts des nicht-öffentlichen Bereichs differenzierte der Entwurf zwischen solchen Stellen, die Daten für eigene Zwecke verarbeiten, und solchen, die geschäftsmäßig Daten für Dritte verarbeiten. Privaten Stellen, die Daten geschäftsmäßig zum Zwecke der Weitergabe in Dateien verarbeiten, etwa Auskunfteien und Dedekteien, wurde weitestgehend das Recht zugestanden, mit personenbezogenen Daten Dritter zu wirtschaften. Die Einwilligung des Betroffenen oder einen gesetzlichen Rechtfertigungstatbestand forderte der Entwurf insoweit nicht, lediglich die Geltendmachung eines berechtigten Interesses der verarbeitenden Stelle sowie das Fehlen überwiegender schutzwürdiger Interessen des Betroffenen, §§ 23 Abs. 1 Nr. 1, 24 Abs. 1 und 2, 25 S. 1 BDSG-E. Somit wurde die Datenverarbeitung durch Stellen, von denen potentiell starke Gefährdungen für die Interessen des Bürgers ausgehen, gegenüber anderen, tendenziell weniger invasiven Datenverarbeitungsvorgängen deutlich privilegiert. Der Entwurf stellte sich insgesamt reaktionär dar. Wiederholt bezog sich dieser auf bereits bestehende Regelungen und etablierte rechtliche Institute. Inwiefern diese aber den Anforderungen der modernen Datenverarbeitungstechnik gerecht werden, wurde nicht reflektiert.61 Damit hatte es den Anschein, dass der Entwurf des BMI vielmehr stattfindende Datenverarbeitung legitimieren wollte, als Entwicklung und 59
BMI (Hrsg.), Dokumentation, S. 4. Grundlegend Bull, DÖV 1979, S. 689 (695); Deninger, JA 1980, S. 280 (284). Aktuell Reimer, in: Heckmann/Schenke/Sydow (Hrsg.), FS Würtenberger, S. 1047 ff. 61 BMI (Hrsg.), Dokumentation, S. 373 und S. 385. 60
50
§ 3 BDSG 1977 – Rationalisierung vs. Privatsphärenschutz
Einsatz der Datenverarbeitung zu regulieren bzw. zu gestalten. Obwohl der Entwurf bereits wesentliche Entscheidungen zugunsten der Wirtschaft traf, nutzte die Mehrzahl der an der Anhörung teilnehmenden Wirtschaftsvertreter die Gelegenheit, um konsequent das Bedürfnis nach einer bundeseinheitlichen Regelung des Datenschutzes sowie das Gefährdungspotential der Datenverarbeitung durch nichtöffentliche Stellen für die Interessen der von der Datenverarbeitung Betroffenen zu leugnen.62 Demgegenüber wurde das Ministerium bei dieser Gelegenheit auch mit innovativen Datenschutzansätzen konfrontiert. Wilhelm Steinmüller präsentierte bei dieser Gelegenheit originelle Datenschutzansätze, welche die Ergebnisse seines Gutachtens aufgriffen und weiterdachten. Er warf zunächst die Frage auf, zu welchem Zeitpunkt datenschutzrechtliche Regelungen relevant werden sollten: „Wir stehen also vor der Entscheidung, entweder technologisch orientierte Systeme zu bauen, die zwar Datenverarbeitern und Systemanalytikern gefallen, aber nachträglich unter einer Flut von wenig EDV-gerechten und verwaltungshemmenden Datenschutzvorschriften zu ersticken drohen, oder es werden von vornherein Systeme datenschutzgerecht geplant.“63 Letzteres sei effektiver und kostengünstiger, mithin vorzugswürdig. Wie zuvor bereits Podlech, qualifizierte Steinmüller Programme und Algorithmen als zentrale Regulierungsgegenstände des Datenschutzrechts; Algorithmen steuern die Datenverarbeitung, will man die Datenverarbeitung datenschutzgerecht ausgestalten, müssen rechtliche Regelungen folglich bei diesen ansetzen. Diesen Aspekt ließ der Entwurf des BMI jedoch gänzlich unberücksichtigt.64 Während der Anhörung und auch nach dieser wurde der Entwurf hinsichtlich verschiedener Aspekte kritisiert. Die Quintessenz der Kritik bestand darin, dass das Schutzkonzept des Entwurfs nicht hinreichend konsequent sei. Problematisiert wurde insoweit insbesondere, dass der Begriff der personenbezogenen Daten hier auch auf juristische Personen bezogen wurde, der Umstand, dass schutzwürdige persönliche Belange Betroffener und deren Privatsphäre synonym verstanden wurden, das Privatsphärenverständnis aber nicht hinreichend konsentiert sei, sein Konzept sog. freier Daten, denn auch diese könnten zur Bildung von Persönlichkeitsprofilen beitragen, und schließlich der übermäßige Rückgriff auf unbestimmte Rechtsbegriffe und Generalklauseln. 62 Programmatisch insoweit Schwappach (Bundesverband der Deutschen Industrie) zitiert in BMI (Hrsg.), Dokumentation, S. 41 ff. Auch wurden bereits Umgehungsstrategien bzgl. datenschutzrechtlicher Verpflichtungen vorausgesehen, etwa umfangreiche, vorformulierte Einwilligungen in Datenverarbeitungsvorgänge, dazu Pietzsch (Ausschuss für wirtschaftliche Verwaltung) zitiert in BMI (Hrsg.), Dokumentation, S. 11. Kritisch in Bezug auf die Überrepräsentation wirtschaftlicher Interessen im Rahmen des Gesetzgebungsverfahrens Liedtke, Bundesdatenschutzgesetz, S. 262 ff.; s.a. Büllesbach, Informationstechnologie und Datenschutz, S. 73 ff. 63 Steinmüller zitiert in BMI (Hrsg.), Dokumentation, S. 155. Später auch zitiert während der ersten Lesung des BDSG-Entwurfs der Bundesregierung von dem Abgeordneten Wernitz, BT, 7. WP, 67. Sitzung vom 29. 11. 1973, 4023 (A). 64 Steinmüller zitiert in BMI (Hrsg.), Dokumentation, S. 159.
C. Gesetzgebungsprozess des BDSG 1977
51
Das BMI überarbeitete den Entwurf infolge des Hearings. Der Kritik vonseiten der Wirtschaft wurde hierbei in weiten Teilen Rechnung getragen. Insbesondere wurde der Anwendungsbereich des Entwurfs, der eigentlich eine „grundlegende Neuordnung des Rechts des Schutzes der Privatsphäre vor Mißbräuchen bei der Datenverarbeitung“65 leisten sollte, noch einmal verengt. Geschützt werden sollten nunmehr lediglich personenbezogene Daten, die von öffentlichen und nicht-öffentlichen Stellen in Dateien gespeichert werden und darüber hinaus zur Weitergabe bestimmt sind, § 2 Abs. 1 S. 1 BDSG-E. Diese Einschränkung folgte der Erwägung, dass eine Gefährdung der Privatsphäre erst mit der Weitergabe von Daten an Dritte einsetze und entsprechend von einer internen Datenverarbeitung keine regelungsbedürftige Gefahr ausgehe.66 Gleichwohl hatte das Ministerium zuvor noch ausdrücklich festgestellt, der zu verhindernde Missbrauch beginne dort, wo die Verarbeitung nicht mehr im Rahmen der Aufgabenerfüllung bzw. der überwiegenden berechtigten Interessen der verarbeitenden Stelle, einer ermächtigenden Rechtsvorschrift oder eines Individualrechtsverhältnisses mit dem Betroffenen stattfinde.67 Außerdem sollten Daten, die sich auf juristische Personen beziehen, nicht mehr vom Anwendungsbereich des Entwurfs erfasst werden. Demgegenüber wurde der Maßstab für Abwägungsentscheidungen vornehmlich zum Vorteil der Betroffenen korrigiert. Deren berechtigte bzw. schutzwürdige Interessen sollten im Verhältnis zu den Interessen der verarbeitenden Stelle nicht mehr überwiegen müssen, um die jeweilige Abwägungsentscheidung zu Gunsten der Betroffenen ausfallen zu lassen, vgl. §§ 8 Abs. 1 S. 2, 17, 18 S. 2, 19, 21 Abs. 2, 24 Abs. 1, 25 S. 1, 27 Abs. 3 BDSG-E. Außerdem wurde der Grundsatz der Zweckbindung in den Erwägungen der Bundesregierung erstmals explizit genannt und zwar im Zusammenhang mit personenbezogenen Daten, die einem Berufs- oder Amtsgeheimnis unterliegen und die von der zur Verschwiegenheit verpflichteten Stelle in Ausübung ihrer Berufs- oder Amtspflicht weitergegeben werden. Die Weitergabe solcher Daten sollte nur zulässig sein, wenn der Empfänger sie zur Erfüllung des gleichen Zwecks benötigt, zu dem sie die weitergebende Stelle erhalten hat, § 7 Abs. 1 BDSG-E. Das weiterhin als inadäquat zu beurteilende Schutzkonzept des Entwurfs lässt sich auf das ihm zugrunde liegende Datenschutzleitbild zurückführen. Ausgangspunkt des Regelungsbedürfnisses waren die von der Datenverarbeitung durch öffentliche und nicht-öffentliche Stellen ausgehenden Gefahren für die hiervon Betroffenen. Das Ziel, welches der Entwurf zu verwirklichen suchte, war aber nicht konsequenterweise primär den Schutz der Betroffenen vor eben jenen Gefahren sicherzustellen, sondern vielmehr die stattfindende Datenverarbeitung weitestgehend gesetzlich zu legitimieren. Aus dieser Kontroverse resultierte das als im Wesentlichen unbefriedigend zu kennzeichnende Konzept des Entwurfs: Datenverar65 66 67
BT-Drs. 7/1027, S. 1. BT-Drs. 7/1027, S. 18. BMI (Hrsg.), Dokumentation, S. 384.
52
§ 3 BDSG 1977 – Rationalisierung vs. Privatsphärenschutz
beitung wurde nicht unter dem Aspekt des Privatsphärenschutzes reguliert, sondern stattfindende Datenverarbeitung unter Zuhilfenahme von unbestimmten Begriffen und Generalklauseln rechtlich legitimiert oder zumindest als legitimierbar qualifiziert. Dieser Umstand wird auch dadurch deutlich, dass die Regelungen des Entwurfs erst bei der Speicherung von Daten ansetzten und nicht bereits bei der Konstruktion der Datenverarbeitungstechnik. Die Technik wurde als gegeben anerkannt und dem Recht insoweit eine reaktive Rolle zugeschrieben. Indem keine Verfahren oder zumindest Anhaltspunkte zur Konkretisierung der unbestimmten Rechtsbegriffe und Generalklauseln vorgegeben wurden, sollten die datenverarbeitenden Stellen gegenüber dem Bürger im Ergebnis übervorteilt werden. Eine institutionalisierte, unabhängige Fremdkontrolle, die dieses Defizit potenziell hätte ausgleichen können, sah der Entwurf aber lediglich für den Bereich der geschäftsmäßigen Datenverarbeitung durch nicht-öffentliche Stellen für fremde Zwecke vor. Auch stellte sich die Charakterisierung der Akteure des Datenschutzes im Rahmen des Entwurfs problematisch dar. Zunächst sollten sich datenverarbeitende Stellen, die naturgemäß ein gesteigertes Interesse an der Verarbeitung personenbezogener Daten haben, weitestgehend selbst regulieren. Insoweit wurde ihnen eine hinreichende intrinsische Motivation unterstellt, sich regelkonform zu verhalten. Diese Prämisse hatte zuvor bereits Podlech radikal in Frage gestellt.68 Das Fremdkontrollregime des Entwurfs beschränkte sich im Wesentlichen auf die individuelle Kontrolle durch die Betroffenen. Diesen wurde insoweit ebenfalls eine hohe intrinsische Motivation unterstellt, ihre Rechte geltend zu machen, obgleich die Verarbeitung sich auf sie beziehender Daten in den seltensten Fällen unmittelbar einen spürbar negativen Effekt für sie aufwies. Im Gegenteil nahmen die Betroffenen i. d. R. keine Kenntnis von dem Stattfinden entsprechender Datenverarbeitungsprozesse. Entsprechend belegten bereits erste Tätigkeitsberichte von Landesdatenschutzbehörden, dass Betroffene von ihren datenschutzrechtlichen Ansprüchen nur sehr zurückhaltend Gebrauch machten.69 Generell wurde der Umstand, dass zwischen den datenverarbeitenden Stellen und den Betroffenen meist ein informationelles Ungleichgewicht besteht, nicht hinreichend gewürdigt. Der Prozess der Genese dieses Leitbildes ist ebenfalls kritikwürdig. Der Großteil der Vorarbeiten des BMI vollzog sich unter Ausschluss der Öffentlichkeit. Außerdem fand insoweit eine intensive Auseinandersetzung mit Vertretern der Wirtschaft statt. Damit bekam die datenverarbeitende Wirtschaft die Chance, durch einseitige bzw. überrepräsentative Einflussnahme die Wahrung ihrer Interessen sicherzustellen.70 Inwiefern die Vorarbeiten der Sachverständigen daneben Berücksichtigung fanden, ist insgesamt schwer zu beurteilen, deren Bedeutung sollte aber nicht überbewertet werden. 68
Podlech, Datenschutz im Bereich der öffentlichen Verwaltung, S. 40 f. Z.B. HEDSB, 1. TB, HELT-Drs. 7/1495, S. 27; HEDSB, 2. TB, HELT-Drs. 7/3137, S. 28; RPDSB, 2. TB, RPLT-Drs. 8/350, S. 6. 70 Krit. auch Liedkte, Bundesdatenschutzgesetz, S. 262 ff. 69
C. Gesetzgebungsprozess des BDSG 1977
53
b) Die parlamentarische Auseinandersetzung mit dem Regierungsentwurf Am 29. November 1973 fand die erste Lesung des Gesetzentwurfs im Bundestag statt. In der parlamentarischen Debatte wurden vor allem die Regelung der datenschutzrechtlichen Aufsicht und die Verrechtlichung des Datenschutzes thematisiert. Parlamentarier verschiedener Fraktionen wiesen darauf hin, dass das Kontrollkonzept des Entwurfs nicht ausreichend sei, insbesondere da dieser keine umfassende institutionalisierte Fremdkontrolle vorsehe.71 Die Verrechtlichung des Datenschutzes wurde hingegen fraktionsübergreifend befürwortet. Teilweise wurde sogar über den Regierungsentwurf hinausgehend gefordert, diese solle bereits bei der Erfassung personenbezogener Daten ansetzen.72 Gleichwohl fand auch die Position, die rechtliche Reglementierung der Datenverarbeitung dürfe den Einsatz von Computern grundsätzlich nicht verhindern, allgemeine Anerkennung.73 Innovativ mutete die Frage des SPD-Abgeordneten Axel Wernitz an, ob sich wirksamer Datenschutz überhaupt ohne Inventarisierung und Datengewichtung durchführen lasse.74 Seinen Ausführungen war insgesamt die Forderung nach objektiven Maßstäben im Hinblick auf zu ergreifende Datenschutzmaßnahmen zu entnehmen. Er deutete an, dass bestimmte Daten besonders schutzbedürftig seien. Weiterhin machte er auf die internationale Perspektive des Datenschutzes aufmerksam. Er warnte insbesondere davor, dass multinationale Unternehmen ihre Verarbeitungstätigkeiten in „Datenparadiese“ verlagern könnten, welche auf eine datenschutzrechtliche Regulierung der Datenverarbeitung verzichteten – eine bis heute sehr virulente Problematik im Hinblick auf die Verarbeitung personenbezogener Daten.75 Der im Rahmen der sich anschließenden Ausschussarbeit federführende Innenausschuss veranstaltete zwei öffentliche Anhörungen, an denen Sachverständige aus Wissenschaft, Wirtschaft und Verwaltung teilnahmen. Außerdem führte die Bundesakademie der öffentlichen Verwaltung ein „Projektseminar Datenschutz“ durch, das den Mitgliedern der verschiedenen Ausschüsse den Austausch untereinander sowie mit Sachverständigen ermöglichen sollte.76 Die Dokumentationen dieser Veranstaltungen zeugen davon, wie unsicher sich die Abgeordneten angesichts der Regulierung der Datenverarbeitung waren. Einerseits wurden grundlegende Fragen erörtert, etwa im Hinblick auf den Geltungsbereich des Datenschutzrechts und das zu etablierende Kontrollregime, andererseits Detailfragen ausführlich diskutiert, etwa nach der konkreten Ausgestaltung von Protokollierungspflichten. 71 72 73 74 75 76
BT, 7. WP, 67. Sitzung vom 29. 11. 1973, 4022 (A) und 4024 (A). BT, 7. WP, 67. Sitzung vom 29. 11. 1973, 4022 (B), s.a. 2023 (D). BT, 7. WP, 67. Sitzung vom 29. 11. 1973, 2023 (A). BT, 7. WP, 67. Sitzung vom 29. 11. 1973, 4023 (D). BT, 7. WP, 67. Sitzung vom 29. 11. 1973, 4024 (C). Zu allen Initiativen s. BT-Drs. 7/5277, S. 3.
54
§ 3 BDSG 1977 – Rationalisierung vs. Privatsphärenschutz
Die erste der beiden Anhörungen fand am 6. Mai 1974 statt. Zwei bemerkenswerte Aspekte wurde bei dieser Gelegenheit ausdrücklich diskutiert; die internationale Dimension des Datenschutzes sowie technische und organisatorische Datenschutzmaßnahmen. Der Innenausschuss bat um die Begutachtung der Frage, wie man die Verlagerung von Datenbeständen in das Ausland verhindern könne.77 Die einzige Regelung des Regierungsentwurfs, die sich mit der internationalen Dimension der Datenverarbeitung auseinandersetzte, war § 8 Abs. 1 S. 3 BDSG-E. Hiernach sollte die Weitergabe personenbezogener Daten durch öffentliche Stellen an Stellen außerhalb des Geltungsbereichs des Gesetzes sowie an über- und zwischenstaatliche Stellen grundsätzlich an die gleichen Voraussetzungen geknüpft werden, wie eine sich rein national abspielende Datenweitergabe. Simitis thematisierte diesbezüglich in seiner Stellungnahme den Wirkungsgrad nationaler Datenschutzregeln und attestierte diesen Kontroll- bzw. Durchsetzungsdefizite.78 Angesichts dieser Schwächen schlug er – unter Berücksichtigung der zu diesem Zeitpunkt aktuell erarbeiteten Grundsätze des deutschen Juristentages für eine gesetzliche Regelung des Datenschutzes79 – insbesondere den Abschluss internationaler Vereinbarungen sowie die einheitliche Regelung des Datenschutzes innerhalb der Europäischen Wirtschaftsgemeinschaft vor. Er betonte aber auch, dass man die internationale Datenverarbeitung kaum überzeugend reglementieren könne, wenn bereits für innerstaatliche Datenverarbeitungsvorgänge kein kohärentes Schutzkonzept vorliege, vor allem keine wirksame Fremdkontrolle vorgesehen sei. Außerdem stellte der Innenausschuss die Frage zur Diskussion, welche technischen und organisatorischen Maßnahmen der Datensicherung unmittelbar in einem allgemeinen Datenschutzgesetz vorgeschrieben werden sollten.80 Bereits die Formulierung der Frage impliziert, dass technische und organisatorische Maßnahmen im Rahmen der Datensicherung – welche mittlerweile als ein spezieller Bereich des Datenschutzes verstanden wurde –, nicht aber unmittelbar für den Datenschutz selbst relevant seien. Im Ergebnis reduziert dieser Ausgangspunkt die Bedeutung entsprechender Maßnahmen für den Datenschutz. Der Regierungsentwurf statuierte selbst keine konkreten technischen und organisatorischen Schutzmaßnahmen. Vielmehr sollte hiernach eine Rechtsverordnung der Bundesregierung Grundsätze über entsprechende Maßnahmen sowie deren Einsatz bestimmen, § 4 Abs. 1 S. 2 BDSG-E. Dieser Ansatz war der Erkenntnis geschuldet, dass sich die in Rede stehenden Maßnahmen auf eine Technik beziehen, deren Entwicklung sich tendenziell schnell und unvorhersehbar gestaltet. Je konkreter sich gesetzliche Bestimmungen auf bestimmte Techniken beziehen, desto stärker unterliegen sie folglich der Gefahr, aufgrund des technischen Fortschritts 77
BT (Hrsg.), Zur Sache 5/74, S. 133. BT (Hrsg.), Zur Sache 5/74, S. 134. 79 Siehe Ständige Deputation des Deutschen Juristentages (Hrsg.), Grundsätze für eine gesetzliche Regelung des Datenschutzes, S. 47 ff. 80 BT (Hrsg.), Zur Sache 5/74, S. 163. 78
C. Gesetzgebungsprozess des BDSG 1977
55
obsolet zu werden. Einig waren sich die Veranstaltungsteilnehmer darin, dass es wenig zielführend sei, den Einsatz konkreter Maßnahmen im allgemeinen Datenschutzrecht zu normieren. Entsprechend schlug der Verband für Informationsverarbeitung e.V. vor, lediglich die anvisierten Wirkungen gesetzlich zu regeln, nicht aber die Maßnahmen selbst.81 Andere Vorschläge reichten von teilweise anachronistisch wirkenden Maßnahmen, wie der Anbringung von Schlössern, um eine Zugangskontrolle zu gewährleisten, bis hin zu solchen, welche unmittelbar der Gestaltung von Datenverarbeitungstechniken galten, etwa die Programmierung von Zugriffssperren.82 Diese Maßnahmen hatten einzeln betrachtet sicherlich ihre Daseinsberechtigung, gleichwohl wurden sie nicht im Rahmen eines kohärenten Schutzkonzepts zusammengeführt. Insoweit war man folglich von der Realisierung eines Systemdatenschutzes noch weit entfernt.83 Am 31. März 1976 fand eine zweite öffentliche Anhörung auf Anregung aus Wirtschaftskreisen hin statt. Bei dieser Gelegenheit wurden primär die Konsequenzen verschiedener Datenschutzregelungen für die Wirtschaft und vor allem ihr insoweit potentiell entstehende Kosten problematisiert, namentlich der Streichung der Privilegierung sog. freier Daten und der strikten Gestaltung von Übermittlungsanforderungen im nicht-öffentlichen Bereich.84 Die Konsequenzen, der im Rahmen dieser Anhörung und auch bei weiteren Gelegenheiten geschürter Bedenken angesichts einer vermeintlich zu starken Belastung der Wirtschaft durch datenschutzrechtliche Vorgaben, stellten sich weitreichend dar.85 Nach eigener Aussage des Innenausschusses relativierten die Anhörungen wie auch die mitberatenden Ausschüsse dessen Tendenz, den Entwurf der Bundesregierung wesentlich zu verschärfen.86 Dies galt insbesondere und unter verschiedenen Aspekten für die Eröffnung des datenschutzrechtlichen Anwendungsbereichs. Zunächst kam der Innenausschuss der Forderung der Wirtschaft nach, die interne Verarbeitung von Daten auch weiterhin nicht an datenschutzrechtliche Vorgaben zu knüpfen, § 1 Abs. 2 S. 2 BDSG-InnA.87 Insofern ging der Ausschuss von der Erwägung aus, die Reglementierung der Verarbeitung einer großen Fülle „banaler, nicht schutzwürdiger 81
BT (Hrsg.), Zur Sache 5/74, S. 166 f. BT (Hrsg.), Zur Sache 5/74, S. 163 ff. 83 Zum Systemdatenschutz Podlech, Individualdatenschutz – Systemdatenschutz, in: Brückner/Dalichau (Hrsg.), FS Grüner, S. 451 ff.; s.a. Büllesbach/Garstka, Systemdatenschutz und persönliche Verantwortung, in: Müller/Pfitzmann (Hrsg.), Mehrseitige Sicherheit in der Kommunikationstechnik, S. 383 ff.; Dix, in: Roßnagel (Hrsg.), Handbuch Datenschutzrecht, 3.5 Rn. 19 ff.; Trute, JZ 1998, S. 822 (827 f.); krit. Albers, in: Hoffmann-Riem/Schmidt-Aßmann/Voßkuhle (Hrsg.), GVwR, Bd. 2, § 22 Rn. 102 ff. 84 Vgl. etwa die Stellungnahme des Gesamtverbandes der Versicherungswirtschaft e.V. zum BDSG, BT, 7. WP, 104. Sitzung des Innenausschusses vom 31. 3. 1976, S. 126 ff. 85 Bei der zweiten Lesung des Gesetzes sprach das Innenausschussmitglied Haenschke davon, dass der Innenausschuss ein bitteres Lied von dem massiven Druck der vereinigten Wirtschaftslobby singen könne, s. BT, 7. WP, 250. Sitzung vom 10. 6. 1976, 17738 (B). 86 BT-Drs. 7/5277, S. 3. 87 BT-Drs. 7/5277, S. 4. 82
56
§ 3 BDSG 1977 – Rationalisierung vs. Privatsphärenschutz
Daten“ berühre ggf. den Grundsatz des Übermaßverbotes zulasten datenverarbeitender Stellen. Im Gegensatz zu dieser Argumentation erkannte der Innenausschuss angesichts der Verarbeitung allgemein zugänglicher personenbezogener Daten an, dass die besondere Gefährdung Betroffener gerade in der Entkontextualisierung von Daten liege und daher deren Verarbeitung nicht voraussetzungsfrei erfolgen dürfe, vgl. §§ 17, 20 Abs. 4 Nr. 4, 24 Abs. 1 S. 2 BDSG-InnA. Gleichwohl sollten sog. freie Daten auch weiterhin datenschutzrechtlich privilegiert werden, wenn auch nicht mehr so umfangreich, wie es der Regierungsentwurf zunächst vorsah, § 8 Abs. 2 BDSG-InnA. Demgegenüber widersetzte sich der Innenausschuss der Forderung aus Wirtschaftskreisen, Daten, die sich auf die berufliche bzw. gewerbliche Tätigkeit einer Person beziehen, vom Anwendungsbereich des Datenschutzrechts gänzlich auszuschließen. Im Ergebnis schienen die Maßstäbe, nach denen der Innenausschuss entschied, ob und inwiefern ein datenschutzrechtlicher Regulierungsbedarf besteht und entsprechend der Anwendungsbereich des allgemeinen Datenschutzrechts eröffnet sein sollte, wenig konsistent gewesen zu sein. Der Innenausschuss hielt weiterhin an dem grundsätzlichen Verbot mit Erlaubnisvorbehalt als zentralem Regelungsmechanismus des allgemeinen Datenschutzrechts fest. Nach dem Entwurf des Innenausschusses sollte die Datenverarbeitung im öffentlichen Bereich dann legitim sein, wenn diese im Rahmen der rechtmäßigen Aufgabenerfüllung der verarbeitenden Stelle erfolgt, §§ 6 Abs. 1, 7 Abs. 1 S. 1, 8 Abs. 1 S. 1 BDSG-InnA. Der Forderung der Opposition, insoweit einen umfassenden Gesetzesvorbehalt zu normieren, schloss sich der Innenausschuss hingegen nicht an.88 Gegenüber dem Regierungsentwurf sah der Antrag des Innenausschusses im Bereich des datenschutzrechtlichen Kontrollregimes wesentliche Änderungen vor. Insbesondere sollten alle datenverarbeitenden Stellen einer institutionalisierten Fremdkontrolle unterliegen. Zu diesem Zweck sollte insbesondere das Amt des Bundesbeauftragten für den Datenschutz geschaffen werden, §§ 15a ff. BDSG-InnA. Gleichwohl verfolgte der Innenausschuss nicht das Ziel, eine unabhängige Kontrollinstanz zu etablieren. Vielmehr sollte der BfD auf Vorschlag der Bundesregierung ernannt und sein Amt bei dem Bundesministerium des Innern eingerichtet werden, § 15a Abs. 1 S. 2, Abs. 5 S. 1, 2 BDSG-InnA. Schließlich schlug der Innenausschuss Änderungen im Bereich der technischen und organisatorischen Datenschutzmaßnahmen vor. Der Regierungsentwurf wurde hiernach um eine Anlage ergänzt, die Zielvorgaben im Hinblick auf den Einsatz entsprechender Maßnahmen formulierte. Diese waren einerseits so abstrakt, dass sie der Konkretisierung bedurften, und orientieren sich andererseits an einem bestimmten Stand der Datenverarbeitungstechnik, bedurften entsprechend einer regelmäßigen Revision. Zu diesem Zweck sollte die Bundesregierung ermächtigt werden, die gesetzlichen Zielvorgaben nach dem jeweiligen Stand der Technik fortzuschreiben, § 4 Abs. 2 BDSG-InnA. Im Rahmen dieses Vorschlags wurde die 88
BT-Drs. 7/5332, S. 5, Änderungsantrag IV.
C. Gesetzgebungsprozess des BDSG 1977
57
Dynamisierungsklausel „Stand der Technik“ in das nationale Datenschutzrecht eingeführt und waren erste Anklänge an eine standardisierte datenschutzkonforme Gestaltung sowie einen entsprechenden Einsatz der Datenverarbeitungstechnik zu vernehmen. Der Gesetzentwurf wurde im Innenausschuss gegen die Stimmen der Mitglieder der oppositionellen CDU/CSU-Fraktion angenommen, welche kurz nach Veröffentlichung des Änderungsantrags des Innenausschusses einen eigenen Änderungsantrag stellte.89 Ein zentrales Anliegen der Opposition war es, das Konzept des Selbstdatenschutzes auszubauen.90 Hierzu sollte das BDSG an prominenter Stelle einen „Grundrechtskatalog“ normieren, der wesentliche Betroffenenrechte umfasst. Insbesondere sollte ein verschuldensunabhängiger Schadensersatzanspruch zugunsten der Betroffenen statuiert werden. Weiterhin wurde das explizite Verbot der Einführung einer Personenkennziffer, die ersatzlose Streichung der Kategorie sog. freier Daten sowie die Einführung des Konzepts sensibler Daten begehrt. Auch wurden wesentliche Änderungen des Kontrollregimes angestrebt. Im öffentlichen Bereich sollte anstatt des Bundesbeauftragten für den Datenschutz der Bundesrechnungshof als maßgebliches Kontrollorgan fungieren. Weiterhin wurde anvisiert, den nach Landesrecht zuständigen Datenschutzaufsichtsbehörden die Befugnisse einzuräumen, den Einsatz technischer und organisatorischer Schutzmaßnahmen anzuordnen, bestimmte Datenverarbeitungsverfahren zu verbieten sowie als ultima ratio den Betrieb einzelner Datenverarbeitungsanlagen zu untersagen. Der in Rede stehende Änderungsantrag wurde am Ende der zweiten Lesung des Gesetzentwurfs der Bundesregierung abgelehnt.91 Diese zweite Lesung, die durch eine Vielzahl teilweise polemischer Zwischenrufe geprägt wurde, veranschaulichte, dass der Entwurf des Innenausschusses weder von einem fraktionsübergreifenden Konsens getragen noch von den Regierungsfraktionen selbst kritiklos anerkannt wurde. So gestand der Berichterstatter der SPDFraktion Frank Haenschke, dass angesichts großzügiger Ausnahmen vom Anwendungsbereich des Gesetzes und weit gefasster Erlaubnistatbestände ein gesetzgeberischer Revisionsbedarf bereits zu diesem Zeitpunkt absehbar sei. Schärfer formulierte der CDU-Abgeordnete Johannes Gerster, die Vorlage sei ein „Schutzverhinderungsgesetz“92 und stelle einen Rückfall auf den Regierungsentwurf nach einer Phase dreijähriger Irrungen und Wirrungen des Innenausschusses dar.93 Außerdem wurden während der parlamentarischen Debatte Aspekte thematisiert, die das allgemeine Datenschutzrecht erst in einiger Zukunft prägen sollten. Namentlich wurde die Bundesregierung hier aufgefordert, in die Erforschung technischer und organisatorischer Schutzmaßnahmen zu investieren, um so ihren 89 90 91 92 93
BT-Drs. 7/5332. So ausdrücklich BT, 7. WP, 250. Sitzung vom 10. 6. 1976, 17743 (A). BT, 7. WP, 250. Sitzung vom 10. 6. 1976, 17752 f. BT, 7. WP, 250. Sitzung vom 10. 6. 1976, 17744 (A). BT, 7. WP, 250. Sitzung vom 10. 6. 1976, 17741 (B).
58
§ 3 BDSG 1977 – Rationalisierung vs. Privatsphärenschutz
Schutzpflichten gerecht zu werden.94 Des Weiteren fokussierte sich die Diskussion auf die europäische Dimension des Datenschutzes. In den einzelnen Nationalstaaten unterschiedlich geregelter Datenschutz wurde als wettbewerbsverzerrender Faktor identifiziert, den es durch eine europaweit einheitliche Regelung zu verhindern gelte.95 Schließlich wurde der Gesetzentwurf trotz aller Kritik am Ende der zweiten Lesung in der Fassung des Innenausschusses gegen die Stimmen der Opposition angenommen. c) Der Regierungsentwurf im Vermittlungsausschuss Am 25. Juni 1976 beschloss der Bundesrat im Gesetzgebungsverfahren zum Erlass des BDSG 1977 die Anrufung des Vermittlungsausschusses gem. Art. 77 Abs. 2 GG.96 Die vom Bundesrat begehrten Änderungen deckten sich partiell mit der von der CDU/CSU-Fraktion geäußerten Kritik an dem Gesetzentwurf, etwa hinsichtlich der Einführung eines umfassenden Gesetzesvorbehalts angesichts der Verarbeitung personenbezogener Daten durch öffentliche Stellen, der ersatzlosen Streichung der Kategorie sog. freier Daten sowie der Einführung der Kategorie sensibler Daten.97 Einen der maßgeblichen Streitpunkte zwischen Bundestag und Bundesrat bildete die Kompetenz zur Regelung des Datenschutzes im öffentlichen Bereich.98 Der Bundesrat vertrat insoweit die Auffassung, dem Bund stehe keine Kompetenz zur einheitlichen Regelung des Datenschutzes zu. Werde die EDV im öffentlichen Bereich als Arbeits- bzw. Organisationsmittel eingesetzt, greife dessen Kompetenz zur Regelung des Verwaltungsverfahrens lediglich soweit die Ausführung von Bundesrecht in Rede stehe. Führten demgegenüber die Länder, Gemeinden oder Gemeindeverbände Landesrecht aus, käme dem Bund keine Gesetzgebungskompetenz zu.99 Hinsichtlich materieller Regelungen, etwa der Betroffenenrechte, folge die Kompetenz zum Erlass von Datenschutzvorschriften der jeweiligen Sachkompetenz. Nach Ansicht des Bundesrats sollten landesrechtliche Regelungen dem BDSG im öffentlichen Bereich insgesamt vorgehen. Dies wurde mit der Erwägung begründet, 94
BT, 7. WP, 250. Sitzung vom 10. 6. 1976, 17745 (B). BT, 7. WP, 250. Sitzung vom 10. 6. 1976, 17741 (A), 17749 (A), 17750 (D). 96 BT-Drs. 7/5497. 97 Für alle BT-Drs. 7/5497, S. 3 f. 98 BT-Drs. 7/5497, S. 2. Siehe a. BT-Drs. 6/1223. 99 Siehe a. BT-Drs. 7/1027, S. 33. Zur Auffassung der Bundesregierung BT-Drs. 6/1223. Podlech forderte bereits im Rahmen seines Alternativentwurfs eine Grundgesetzänderung zugunsten des Bundes, dem eine Rahmenkompetenz zur einheitlichen Regelung des Datenschutzes zukommen sollte. Er stellte heraus, dass die Potentiale automatischer Datenverarbeitungsanlagen weit über das verbesserter Schreib- und Hollerithmaschinen hinausgehe. Daher sei es wenig sachgerecht, bei der Regelung des Datenschutzes auf die Kompetenz zur Regelung des Verwaltungsverfahrens zurückzugreifen, Podlech, Datenschutz im Bereich der öffentlichen Verwaltung, S. 2. 95
C. Gesetzgebungsprozess des BDSG 1977
59
Datenschutzrecht sei generell dem Verwaltungsverfahrensrecht zuzurechnen, mithin gelte entsprechend den Regelungen des Verwaltungsverfahrensrechts Bundesrecht subsidiär.100 Bestimme sich das anwendbare Datenschutzrecht demgegenüber nach der Rechtsgrundlage der zu erledigenden Aufgabe, führe dies unter Umständen zur Anwendung unterschiedlicher Datenschutzgesetze in einem Verfahren und ein solches Nebeneinander gelte es zu vermeiden. In der Tat impliziert die Reduzierung der Relevanz automatischer Datenverarbeitungsprozesse und -anlagen auf ihre Funktion als Arbeits- bzw. Organisationsmittel die Übertragung bestehender Kompetenzen und Institute des Verwaltungsverfahrensrechts auf das Datenschutzrecht. Die Überlegung, dass der Einsatz der neuen Techniken das Handeln und Denken der verarbeitenden Stellen grundlegend verändern und entsprechend auch dem gesamten staatlichen Bereich neue Strukturen aufprägen werde,101 lag hingegen sowohl dem Bundesrat als auch dem Bundestag noch fern. Bemerkenswert ist des Weiteren das Privatheitsverständnis, welches der Bundesrat seinen Ausführungen zugrunde legte. Auch ihm zufolge sei der Schutz der Privatsphäre das primäre Ziel des Datenschutzes: Im Zusammenhang mit der Begründung, warum er das Konzept der freien Daten ablehne, führte er aus, dass der Schutz der Privatsphäre auf den Bürger bezogen sei, aus dessen Perspektive entsprechend beurteilt werden müsse, welche Daten als schutzwürdig gelten.102 Insoweit griff der Bundesrat folglich ein relatives Privatheitsverständnis auf.103 Am 9. Juli 1976 wurde der vom Vermittlungsausschuss erzielte Kompromissvorschlag veröffentlicht.104 Die Forderung des Bundesrats nach einem umfassenden Gesetzesvorbehalt im öffentlichen Bereich konnte sich nicht durchsetzen. Hingegen kam man seinen Änderungsanträgen im Hinblick auf die Gesetzgebungs- und Aufsichtskompetenzen im Wesentlichen nach: Landesgesetze – also formelle Gesetze, im Gegensatz zu den zunächst geforderten landesrechtlichen Regelungen – sollten dem BDSG im öffentlichen Bereich vorgehen und nicht-öffentliche datenverarbeitende Stellen der Aufsicht der Landesdatenschutzbehörden unterstehen. Dieser Kompromiss wurde unter der Bedingung erzielt, dass die Landesdatenschutzgesetze dem des Bundes in Zukunft angepasst werden sollten.105 Schließlich wurde das BDSG am 10. November 1976 in der Fassung des Vermittlungsaus100
1277). 101
§ 1 Abs. 3 Verwaltungsverfahrensgesetz (VwVfG) vom 25. Mai 1976 (BGBl. I S. 1253 –
So bereits Podlech, Datenschutz im Bereich der öffentlichen Verwaltung, S. 2. BR-Drs. 422/1/76 (neu), S. 9. 103 Als starker Kritiker dieses Ansatzes hatte sich Sasse hervorgetan, dem zufolge es für die rechtliche Bewertung auf individualpsychologische Unterschiede nicht ankomme, vielmehr insb. die Grundrechte verallgemeinerungsfähige Maßstäbe forderten, s. Tiedemann/Sasse, Kreditsicherung und Datenschutz, S. 124 ff. 104 BT-Drs. 7/5568. 105 BT, 7. WP, 258. Sitzung vom 10. 11. 1976, 18554 (B). 102
60
§ 3 BDSG 1977 – Rationalisierung vs. Privatsphärenschutz
schusses gegen die Stimmen der Opposition vom Bundestag und zwei Tage später auch vom Bundesrat angenommen.106
D. Leitbilder des BDSG 1977 – Ausgangspunkt für einen quantitativen Datenschutz I. Leitbilder des BDSG 1977 Die Leitbilder, die die erste Phase der Datenschutzgesetzgebung in Deutschland prägten, lassen sich als Effizienz und Rationalisierung einerseits und Privatsphärenschutz andererseits bezeichnen. Die aufkommende elektronische Datenverarbeitung wurde Ende der 1960er und zu Beginn der 1970er Jahre staatlicherseits überwiegend als Chance wahrgenommen, den insbesondere mit der Zunahme des leistungsstaatlichen Angebots einhergehenden Überforderungsphänomenen zu begegnen. Entsprechend trieb die Exekutive den Auf- und Ausbau von Datenverarbeitungsinfrastrukturen voran und lehnte eine gesetzliche Regulierung dieses Prozesses zunächst grundsätzlich ab. Demgegenüber identifizierte die Legislative allmählich den Privatheitsschutz als Anforderung dieser technischen bzw. tatsächlichen Entwicklung. Ihr zufolge galt es, die orwellsche Dystopie eines allwissenden „Großen Bruders“ zu verhindern, mithin die Entstehung überwachungsstaatlicher Strukturen zu unterbinden. In diesem Kontext wurde Privatheit durch den Gesetzgeber in Anlehnung an das im anglo-amerikanischen Rechtsraum entwickelte Privacy-Verständnis als Right to be let alone und damit als abwehrrechtliche Position des Einzelnen gegenüber staatlichen und nicht-staatlichen Informationsansprüchen verstanden.107 Diese Interpretation wurzelte außerdem in der verfassungsgerichtli106
BT, 7. WP, 258. Sitzung vom 10. 11. 1976, 18554 (B); BR, 440. Sitzung vom 12. 11. 1976, 413 (C). 107 Zum Right to be let alone Westin, Privacy and Freedom, S. 3 – 25; Westin/Baker, Data Banks in a Free Society, S. 72; s.a. Benda, Privatsphäre und „Persönlichkeitsprofile“, in: Leibholz/Faller/Mikat (Hrsg.), FS für Geiger, S. 23 ff.; Kamlah, Right of Privacy; Miller, The Assault on Privacy, S. 169 ff. Später auch Müller, DSWR 1983, S. 50 ff. Sasse brachte die „Rückwendung in die Bastion Privatheit“ in Zusammenhang mit sozialen Phänomen, die symptomatisch für die Industriegesellschaft seien, etwa dem straken Gefühl politischer sowie ökonomischer Einflusslosigkeit, Sasse, Sinn und Unsinn des Datenschutzes, S. 9 ff.; s.a. ders., Das Bundesdatenschutzgesetz, in: Schimmelpfeng GmbH (Hrsg.), Aktuelle Beiträge über den Datenschutz, S. 75 (77); vgl. auch Simitis, NJW 1977, S. 729 (731). Ein alternatives Verständnis, welches die zwischenmenschliche Kommunikation und deren Bedeutung für die persönliche Identität in das Zentrum des Privatheitsverständnisses rückte, fand vorerst keine gesetzgeberische Aufmerksamkeit, so aber Rüpke, Der verfassungsrechtliche Schutz der Privatheit, S. 115 ff. Er problematisierte als zentrale Ausprägungen möglicher Privatheitsbeeinträchtigungen die illegitime Kommunikationsteilnahme durch Außenstehende, die Pflicht zur Kommunikation und die einseitige Voraberlangung von Kenntnissen über Personen, die für „persönlich-vertraute“ Partnerschaften konstitutiv seien, S. 185. Vgl. auch Hoffmann-Riem, AöR 123 (1998) S. 513 ff.; Gusy/Eichenhofer/Schulte, JöR 64 (2016), S. 385 ff.
D. Leitbilder des BDSG 1977
61
chen Rechtsprechung, namentlich dem Mikrozensusbeschluss des BVerfG, der zufolge aus dem Allgemeinen Persönlichkeitsrecht ein Abwehranspruch des Einzelnen gegenüber der Entkontextualisierung personenbezogener Daten abzuleiten sei. Der Gesetzgeber verfolgte den Anspruch, die genannten Leitbilder im Rahmen des BDSG 1977 einem Ausgleich zuzuführen. Ausgangspunkt des gesetzgeberischen Tätigwerdens war insoweit also der zunehmende Einsatz automatischer Datenverarbeitungstechniken in Verwaltung und Wirtschaft, welcher allgemein die Privatsphäre der von der Datenverarbeitung Betroffenen zu gefährden schien. Die Auseinandersetzung bzw. Argumentation mit der Privatsphäre zog sich konsequent durch den gesamten Gesetzgebungsprozess, letztlich manifestierte sich ihr Begriff jedoch in keiner Bestimmung des BDSG 1977 explizit. Da das Leitbild der Privatsphäre trotz verschiedener Konkretisierungsbemühungen unbestimmt blieb, scheute der Gesetzgeber eine ausdrückliche Bezugnahme. Wo die Privatsphäre beginnt bzw. endet oder anders, wann das Interesse des Einzelnen an dem Schutz seiner Privatsphäre im Verhältnis zu staatlichen und nicht-staatlichen Interessen überwiegt, wurde nicht generell abstrakt im Rahmen des BDSG 1977 präjudiziert. Vielmehr legte der Gesetzgeber insoweit ein relatives Verständnis zugrunde.108 Jedenfalls verlor die Privatsphäre aufgrund des Umstandes, dass sie keine ausdrückliche Erwähnung im Gesetzestext fand, nicht an Bedeutung für das Datenschutzrecht. § 1 Abs. 1 BDSG 1977 bestimmte, dass es Aufgabe des Datenschutzes sei, durch den Schutz personenbezogener Daten vor Missbrauch bei ihrer Verarbeitung der Beeinträchtigung schutzwürdiger Belange Betroffener entgegenzuwirken. Diese Belange und Privatsphäre wurden weitestgehend synonym verstanden. Der wissenschaftliche Diskurs in den 1970er Jahren bot eine Vielzahl von Zielen an, anhand derer das Datenschutzrecht hätte alternativ bzw. ergänzend ausgerichtet werden können. Diskutiert wurden insbesondere holistische Ansätze, wie die Schaffung eines umfassenden Rechts der Informationen, innerhalb dessen das Datenschutzrecht nur einen Teilausschnitt darstellen sollte,109 sowie die Realisierung eines Datenverkehrsrechts.110 Demgegenüber wurde partiell auch die Bewältigung lediglich einzelner Konflikte als primäre Aufgabe des Datenschutzrechts verstanden, etwa der Ausgleich eines vermeintlichen Macht- bzw. Informationsungleichgewichts
108 Dazu Steinmüller u. a., BT-Drs. 6/3826, S. 53 und Sasse, in: BT (Hrsg.), Zur Sache 5/74, S. 83 ff. 109 So etwa Bull, Informationswesen und Datenschutz als Gegenstand von Verwaltungspolitik, in: ders. (Hrsg.), Verwaltungspolitik, S. 121 f.; Egloff/Werckmeister, Kritik und Vorüberlegungen zum Gegenstandsbereich von Informationsrecht und Informationspolitik, in: Steinmüller (Hrsg.), Informationsrecht und Informationspolitik, S. 280 ff.; Fiedler, DuD 1981, S. 10 ff.; Scherer, DuD 1982, S. 14 ff.; Steinmüller, Informationsrecht und Politik, in: ders. (Hrsg.), Informationsrecht und Politik, S. 1 (11 ff.). 110 Hierzu etwa Bull, NJW 1979, S. 1179 (1181); Steinmüller, Datenverkehrsrecht oder Informationelles Selbstbestimmungsrecht der Bürger?, in: Hansen/Schröder/Weihe (Hrsg.), Mensch und Computer, S. 137 ff.
62
§ 3 BDSG 1977 – Rationalisierung vs. Privatsphärenschutz
zwischen den staatlichen Gewalten respektive den verarbeitenden Stellen und den Betroffenen.111 Wie bereits ausgeführt, erhob der Bundesgesetzgeber den Schutz der Privatsphäre vordergründig zum maßgeblichen Ziel des Datenschutzrechts. Es lässt sich gleichwohl weder der gesetzgeberischen Arbeit an dem BDSG 1977 noch dessen konkreten Regelungen ein Primat des Privatsphärenschutzes entnehmen. Vielmehr siedelten sich beide in dem Spannungsverhältnis zwischen den Interessen des Einzelnen einerseits und denen der Wirtschaft sowie des Staates andererseits an. Um den konträren Positionen jeweils gerecht zu werden, sollten durch das Datenschutzrecht zwar missbräuchliche Datenverarbeitungen verhindert, aber andererseits auch nichtmissbräuchliche Datenverarbeitungen legitimiert werden. Hierzu setzte der Bundesgesetzgeber zentral auf das Regelungsmittel Recht. Entsprechend wurden sanktionsbewehrte Ver- und Gebote gesetzlich statuiert.112 Im Mittelpunkt dieses Ansatzes stand das Verbot mit Erlaubnisvorbehalt. Hiernach ist die Datenverarbeitung grundsätzlich verboten, diese kann aber ausnahmsweise rechtlich oder durch die Einwilligung des Betroffenen gerechtfertigt werden, § 3 S. 1 BDSG 1977. Bei der Ausgestaltung des Regelungskonzepts orientierte sich der Gesetzgeber an dem Stand der Datenverarbeitungstechnik, welche den Auslöser für die Datenschutzdebatte bildete, der linear ablaufenden Verarbeitung von Daten in Großrechenanlagen. Die sich ebenfalls bereits etablierende Datenverarbeitung im Rahmen integrierter Systeme bzw. netzwerkartiger Strukturen blieb hingegen unberücksichtigt.113 Dies wird vor allem an der Reglementierung der unterschiedlichen Verarbeitungsphasen – Speicherung, Veränderung, Übermittlung und Löschung – deutlich. In Bezug auf jede dieser Phasen normierte das BDSG 1977 für den öffentlichen und den nicht-öffentlichen Bereich Erlaubnistatbestände. Hiernach war die Verarbeitung personenbezogener Daten im öffentlichen Bereich legitim, wenn diese für die rechtmäßige Erfüllung der Aufgaben der verarbeitenden Stelle erforderlich war, §§ 9 Abs. 1, 10 Abs. 1, 11 Abs. 1 1. Alt BDSG 1977. Die Zulässigkeit 111 Dazu Aderhold, Kybernetische Regierungstechnik in der Demokratie; Geiger, Datenschutz und Gewaltenteilung, in: Kilian/Lenk/Steinmüller (Hrsg.), Datenschutz, S. 173 ff.; Jarass, Executive Information Systems and Congress; Jarass, DVR 1974, S. 369 ff.; Kevenhörster/Hoschka/Kalbhen, Informationslücken des Parlaments?, in: Hoschka/Kalbhen (Hrsg.), Datenverarbeitung in der politischen Planung, S. 233 f.; Keller/Raupach, Informationslücke des Parlaments?; Lutterbeck, Entscheidungstheoretische Bemerkungen zum Gewaltenteilungsprozeß, in: Kilian/Lenk/Steinmüller (Hrsg.), Datenschutz, S. 187 ff.; ders., Informationelle Probleme parlamentarischer Beteiligung an Planungsprozessen, in: Steinmüller (Hrsg.), Informationsrecht und Informationspolitik, S. 164 ff.; ders., Parlament und Information. 112 Zum Recht als Regelungsmittel und dessen (begrenzter) Steuerungsfähigkeit Baehr, Verhaltenssteuerung durch Ordnungsrecht, S. 18 ff. und S. 25 ff.; Dose, Verrechtlichung und die Steuerungsfähigkeit von Recht, in: Becker/Zimmerling (Hrsg.), PVS Sonderheft 36 (2006), S. 503 (512 ff.); Günther, Der Wandel der Staatsaufgaben und die Krise des regulativen Rechts, in: Grimm (Hrsg.), Wachsende Staatsaufgaben, S. 51 ff. 113 Zu diesen „neuartigen“ Verarbeitungsformen Seidel, Datenbanken und Persönlichkeitsrecht, S. 45 ff.; s.a. Podlech, Datenverarbeitung im öffentlichen Bereich, S. 159.
D. Leitbilder des BDSG 1977
63
der Verarbeitung durch nicht-öffentliche Stellen für eigene Zwecke bestimmte sich nach der Zweckbestimmung des zugrunde liegenden Vertragsverhältnisses bzw. vertragsähnlichen Vertrauensverhältnisses mit dem Betroffenen und konnte außerdem im Rahmen der Wahrung berechtigter Interessen der verarbeitenden Stelle gerechtfertigt werden, §§ 23 S. 1, 24 Abs. 1 S. 1, 25 BDSG 1977. Die gesetzlichen Vorgaben für die Verarbeitung durch private Stellen für fremde Zwecke waren – soweit diese überhaupt bestanden – noch weitreichender, i. d. R. genügte insoweit ein berechtigtes Interesse der verarbeitenden Stelle, §§ 32 Abs. 1 S. 1, Abs. 2, 33 BDSG 1977. Es oblag entsprechend den datenschutzrechtlich Verpflichteten, unbestimmte Rechtsbegriffe auszufüllen bzw. eine Abwägungsentscheidung zu treffen. Das BDSG 1977 gab diesen hierzu kaum normative Maßstäbe und Entscheidungshilfen – etwa Regelbeispiele – an die Hand. Mithin wurden die Schwierigkeiten, die der Gesetzgeber bei der Bestimmung des Schutzgegenstandes bzw. der Schaffung eines Interessensausgleichs hatte, auf die Rechtfertigungsebene verlagert und damit zunächst auf die verarbeitenden Stellen und anschließend die Judikative abgewälzt. Unterschiedliche Anforderungen angesichts des zu gewährleistenden Schutzniveaus und damit normative Maßstäbe ließen sich lediglich im Hinblick auf bestimmte Kategorien personenbezogener Daten ausmachen. Für interne Daten, also solche, die nicht zur Weitergabe bestimmt sind und nicht in automatisierten Verfahren verarbeitet werden, galten ausschließlich Vorgaben zur Datensicherheit, § 1 Abs. 2 S. 2 BDSG 1977. In Bezug auf Daten, die aus allgemein zugänglichen Quellen stammen, und sog. freie Daten, denen generell ein Gefährdungspotential im Hinblick auf die Privatsphäre abgesprochen wurde, wurden entsprechend abgeschwächte Verarbeitungsvoraussetzungen statuiert, §§ 23 S. 2, 26 Abs. 4 Nr. 4 und 32 Abs. 1 bzw. §§ 24 Abs. 2, 32 Abs. 3 BDSG 1977. Konträr galten für sog. sensible Daten gesteigerte Verarbeitungsvoraussetzungen, §§ 27 Abs. 3 S. 3, 35 Abs. 3 S. 3 BDSG 1977.114 Neben der Legitimation der Datenverarbeitung durch Recht erkannte das BDSG 1977 alternativ die Einwilligung des Betroffenen an. Außerdem trat neben die durch das Gesetz etablierte Fremdkontrolle durch den BfD und die LBfD die individuelle Kontrolle durch die von der Datenverarbeitung Betroffenen. Hierzu normierte das BDSG 1977 Betroffenenrechte auf Auskunft, Benachrichtigung, Berichtigung, Sperrung und Löschung. Dem ersten Anschein nach wirkt es plausibel, dass der von der Datenverarbeitung Betroffene selbst besonders kritisch im Hinblick auf den Umgang anderer mit „seinen“ Daten sein wird. Gleichwohl war ersten Tätigkeitsberichten der Landesdatenschutzbehörden bereits zu entnehmen, dass die 114 Die Bezeichnungen „freie“ und „sensitive“ Daten wurden von dem Gesetzeswortlaut nicht explizit aufgegriffen, gleichwohl bezeichnen sie treffend die entsprechenden Kategorien und werden hier im Folgenden gebraucht. Umfassend und krit. zum Konzept sensitiver Daten Simitis, „Sensitive Daten“, in: Brem u. a. (Hrsg.), Festschrift für Pedrazzini, S. 469 ff. Zum Verhältnis von Sphärentheorie und informationeller Selbstbestimmung Gusy, Grundrechtsschutz des Privatlebens, in: Zehetner (Hrsg.), FS für Folz, S. 103 ff.
64
§ 3 BDSG 1977 – Rationalisierung vs. Privatsphärenschutz
Betroffenen eher zurückhaltend von ihren Rechten Gebrauch machten.115 Insgesamt attestierte man der Bevölkerung ein unterentwickeltes Datenschutzbewusstsein.116 Angesichts der Tatsache, dass sich die EDV zu dieser Zeit fast ausschließlich abgeschirmt in Großrechenanlagen und damit fern der Lebenswirklichkeit der meisten Betroffenen ereignete und außerdem für den Betroffenen Output und Input bei der Geltendmachung von Betroffenenrechten oftmals – zumindest kurzfristig – nicht in einem angemessenen Verhältnis gestanden haben dürften, verwundert dies nicht. Trotzdem unterstellte der Bundesgesetzgeber den Betroffenen eine hohe intrinsische Motivation im Hinblick auf die Geltendmachung ihrer Rechte. Auch ging der Gesetzgeber davon aus, dass sich datenverarbeitende Stellen – unabhängig von ihrer Qualifikation als öffentlich oder nicht-öffentlich – rechtskonform bzw. datenschutzkonform verhalten werden. Entsprechend hielt die Bundesregierung lange an einem auf den Prinzipien der Selbstverantwortung und -kontrolle aufbauenden Kontrollregime fest, das im Ergebnis den von der Datenverarbeitung Betroffenen alleine die Kontrolle der Einhaltung datenschutzrechtlicher Verpflichtungen aufgebürdet hätte. Die Etablierung eines institutionellen Fremdkontrollregimes war das Ergebnis intensiver Auseinandersetzungen im Innen- sowie Vermittlungsausschuss. Letztlich konnte aber auch angesichts des insoweit gefundenen Kompromisses nicht von einer effektiven Kontrolle ausgegangen werden, denn der Bundesbeauftragte für den Datenschutz wurde nicht als unabhängige Kontrollinstanz mit wirksamen Befugnissen ausgestaltet. Insgesamt lässt sich festhalten, dass mit Hilfe des BDSG 1977 die Datenverarbeitung rechtlich eingehegt und so der Privatsphärenschutz Betroffener angesichts des technischen Fortschritts gewährleistet werden sollte. Diese rechtliche Einhegung war weitmaschig und partiell unbestimmt. Außerdem setzte sie erst bei dem Einsatz der Datenverarbeitungstechnik, nicht bereits bei ihrer Gestaltung ein. Der Gesetzgeber fokussierte sich diesbezüglich ganz auf einen ordnungsrechtlichen Ansatz. Schließlich korrespondierte dem optimistischen Verständnis hinsichtlich der Motivationen und Fähigkeiten der Akteure des Datenschutzes ein schwach ausgestaltetes Kontrollkonzept. Die Entwicklung eines quantitativen Datenschutzrechts zeichnete sich bereits während des Gesetzgebungsverfahrens des BDSG 1977 ab. Zunächst erarbeiteten die von dem Gesetz künftig primär Verpflichteten – die Exekutive sowie die datenverarbeitende Wirtschaft – in einem wenig transparenten Verfahren einen Entwurf, der etwas anderes leisten sollte, als er vordergründig vorgab. Dieser deklarierte den Schutz schutzwürdiger Belange Betroffener zu seinem maßgeblichen Ziel. Im Ergebnis sollte er aber stattfindende Datenverarbeitungen rechtfertigen und so weitestgehend den Interessen der datenverarbeitenden Stellen Rechnung tragen. Des Weiteren bestand mit den schutzwürdigen Belangen Betroffener bzw. der Privat115 Etwa HEDSB, 1. TB, HELT-Drs. 7/1495, S. 27; HEDSB, 2. TB, HELT-Drs. 7/3137, S. 28; RPDSB, 2. TB, RPLT-Drs. 8/350, S. 6. 116 RPDSB, 4. TB, RPLT-Drs. 8/2470, S. 2.
D. Leitbilder des BDSG 1977
65
sphäre der Betroffenen ein unkonkreter Schutzgegenstand. Die Statuierung einer Vielzahl von Generalklauseln und unbestimmter Rechtsbegriffe sowie eines schwachen Kontrollregimes ließ das Bekenntnis zum Privatsphärenschutz wenig überzeugend erscheinen. Angesichts der dem BMI zu diesem Zeitpunkt bereits vorliegenden Expertise in Form von Gutachten und Stellungnahmen, des wissenschaftlichen Diskurses und existierender Gesetzgebungsvorschläge war dessen Entwurf als wenig fortschrittlich zu disqualifizieren. Während der parlamentarischen Arbeit an dem Entwurf wurde nur bedingt von dessen ursprünglichen Konzept abgewichen. Zu Beginn des Gesetzgebungsverfahrens verfügte die Legislative im Gegensatz zur Regierung nicht über ausgeprägte Zielvorstellungen und Ansätze zu deren Verwirklichung, die ein Korrektiv gegenüber den Vorstellungen der Regierung hätten bilden können.117 Es wurde kein Gegenvorschlag erarbeitet, vielmehr wurden lediglich einzelne Regelungen des Regierungsvorschlags kritisiert. Insgesamt waren nahezu sämtliche Grundentscheidungen des Entwurfs zwischen den Regierungsfraktionen und der Oppositionsfraktion umstritten. Insoweit wurde auch während der Arbeit an dem Entwurf kein allseits als befriedigend empfundener Kompromiss erzielt. Letztlich versagte die Opposition sowohl im Innenausschuss als auch bei der finalen Abstimmung im Bundestag dem Gesetz ihre Zustimmung. Zudem wurde auch in dieser Phase des Gesetzgebungsverfahrens der Wirtschaftslobby wiederholt die Möglichkeit gegeben, das Ziel des Privatsphärenschutzes durch die Geltendmachung ihrer Interessen zu relativieren.118 Schließlich akzeptierte der Bundesrat grundlegende Entscheidungen des Entwurfs – insbesondere hinsichtlich des Anwendungsbereichs und des Kontrollregimes – nicht. Zusammenfassend lässt sich somit feststellen, dass das Gesetzgebungsverfahren, welches in den Erlass des BDSG 1977 mündete, nicht durch überwiegend gemeinsame Vorstellungen angeleitet wurde. Vielmehr versuchten alle am Gesetzgebungsprozess beteiligten Institutionen, ihre Interessen bzw. Vorstellungen umfassend durchzusetzen und diese eben nicht angesichts der Verwirklichung eines übergreifenden Leitbildes zumindest partiell zurückzustellen. Damit bildete der Kompromiss zwischen den Leitbildern Rationalisierung und Effizienz sowie Privatsphärenschutz das maßgebliche Motiv des Gesetzes. Entsprechend wurde das BDSG 1977 als „kompromißverdorbenes Gesetz“119 tituliert. Im Ergebnis wurde so der Datenschutz teilweise gestärkt und teilweise geschwächt, jedenfalls aber kein kohärentes Schutzsystem etabliert.120
117
So auch Büllesbach, Informationstechnologie und Datenschutz, S. 82 ff. So auch Büllesbach, Informationstechnologie und Datenschutz, S. 76 f.; s.a. Liedtke, Bundesdatenschutzgesetz, S. 126 ff. 119 RPDSB, 4. TB, RPLT-Drs. 8/2470, S. 1. So auch Janzen, Metall 15/76, S. 2. 120 Überblicksartig stellt Ruckriegel, ÖVD 1976, S. 350 ff. dar, wer welche Änderungen des Regierungsentwurfs veranlasste. 118
66
§ 3 BDSG 1977 – Rationalisierung vs. Privatsphärenschutz
II. Quantitativer Datenschutz als Resultat gesetzgeberischer Leitbilder Der Kompromiss zwischen den dargestellten Leitbildern Rationalisierung und Effizienz sowie Privatsphärenschutz manifestierte sich im BDSG 1977 und bewirkte ein als quantitativ zu kennzeichnendes Datenschutzrecht. Im Folgenden werden hierfür sich wechselseitig bedingende Faktoren verantwortlich gemacht; die Unbestimmtheit des Privatsphärenverständnisses sowie die gesetzgeberische Fixierung auf das Regelungsmittel Recht bzw. die unzureichende Ausrichtung an der zu regulierenden Datenverarbeitungstechnik. Zunächst hatte der Gesetzgeber keine konkrete Vorstellung von dem Schutzgut des Datenschutzrechts. Dieser ersetzte lediglich im Laufe des Gesetzgebungsprozesses die nebulös wirkende Privatsphäre durch die ebenso unbestimmten „schutzwürdigen Belange der Betroffenen“. Auch waren diesem die Gefahren für eben jene Belange nicht gegenwärtig.121 Somit wollte er die Datenverarbeitung zwar steuern, wusste aber nicht in welche Richtung. Entsprechend setzte das gesetzgeberische Schutzkonzept aus Vorsicht bereits bei der Verdatung von Informationen bzw. dem Umgang mit Daten, mithin sehr weit im Vorfeld der Realisierung eines konkreten Nachteils für die Betroffenen an.122 Im Ergebnis wurde die Unsicherheit des Gesetzgebers in einen partiell undifferenzierten präventiven Ansatz bzw. eine Vielzahl unbestimmter Rechtsbegriffe und Generalklauseln übersetzt, zu deren Konkretisierung dem Rechtsanwender kaum normative Anhaltspunkte an die Hand gegeben wurden.123 Das unscharfe Leitbild des Privatsphärenschutzes wurde noch durch die intensive Begünstigung exekutiver und wirtschaftlicher Interessen relativiert. Somit bekannte sich der Gesetzgeber im BDSG 1977 zwar einerseits vordergründig zum Schutz der von der Datenverarbeitung Betroffenen, andererseits wurden extensive Ausnahmeregelungen und Erlaubnistatbestände zugunsten datenverarbeitender Stellen getroffen. Im Zentrum des Regelungskonzepts des BDSG 1977 stand die rechtliche Einhegung der Datenverarbeitung. Diese sollte insbesondere das Verbot mit Erlaubnisvorbehalt leisten. Hiernach verbietet Recht grundsätzlich die Verarbeitung von Daten, kann diese aber auch legitimieren. Dieses Recht richtete sich gleichwohl kaum an den Gesetzlichkeiten der Datenverarbeitungstechnik aus. Auch wurden die 121
So auch Abel, in: Roßnagel (Hrsg.), Handbuch Datenschutzrecht, 2.7 Rn. 36. Kritisch insoweit Bull, Gefühle der Menschen in der ,Informationsgesellschaft‘, S. 22; s.a. ders., Ziele und Mittel des Datenschutzes, S. 24 f. Für Albers besteht eine Gefahr erst dann, wenn aus Daten Informationen werden, die in bestimmten Kontexten zu Entscheidungsgrundlagen werden können, Albers, in: Hoffmann-Riem/Schmidt-Aßmann/Voßkuhle (Hrsg.), GVwR, Bd. 2, § 22 Rn. 8 ff. 123 Allgemein zu diesem Phänomen Schmitz, Die Gesetzesflut, in: Vorstand des Österreichischen Juristentages (Hrsg.), Verhandlungen des siebten Österreichischen Juristentages, Bd. 1, 1. Teil B. 122
D. Leitbilder des BDSG 1977
67
limitierten Möglichkeiten des Rechts zur Regulierung von Technik kaum reflektiert.124 Das BDSG 1977 kann als Ausdruck quantitativen Datenschutzrechts qualifiziert werden. Die Bezeichnung quantitativ leitet sich von dem Outcome des Ansatzes ab; einer Vielzahl allgemeiner und spezialgesetzlicher Regelungen, Rechtsverordnungen, Verwaltungsvorschriften und AGB-Klauseln sowie Einwilligungshandlungen, die jeweils der Legitimation der grundsätzlich untersagten Datenverarbeitung dienen sollen. Durch das Verbot mit Erlaubnisvorbehalt in Kombination mit den unbestimmten Erlaubnistatbeständen des BDSG 1977 wurde der künftige Erlass einer Masse an spezialgesetzlichen Erlaubnistatbeständen, die bestehende Unsicherheiten ausräumen sollten, vorprogrammiert.125 Bei der Erarbeitung dieser Regelungen konnte kaum auf normative Maßstäbe zurückgegriffen werden, die das BDSG 1977 als Allgemeiner Teil des Datenschutzrechts hätte liefern sollen. Hierin bestand eine der zentralen Herausforderungen, welche die Bildung eines kohärenten Datenschutzregimes in der Zukunft erschwerte. Eine weitere Schwierigkeit bestand in den zwischen Bund und Ländern geteilten Gesetzgebungskompetenzen angesichts des Datenschutzes. Der Ablauf des Gesetzgebungsverfahrens ließ nicht darauf schließen, dass die Länder den Datenschutz künftig bundeseinheitlich regeln würden, beispielsweise stimmten Bayern, Baden-Württemberg, Rheinland-Pfalz und SchleswigHolstein der Gesetzesfassung des Vermittlungsausschusses nicht zu. Andererseits ließ dies auch nicht den Rückschluss zu, dass die Landesdatenschutzgesetze künftig völlig divergente Datenschutzansätze verfolgen sollten. Jedenfalls wurden wesentliche Fragen des Datenschutzes – etwa des Haftungssystems und der institutionalisierten Fremdkontrolle – auf eine andere Regelungsebene verlagert. Außerdem veranlasste das BDSG 1977 die Praxis nicht-öffentlicher datenverarbeitender Stellen, möglichst umfangreiche – i. d. R. formularmäßige – Einwilligungen in Datenverarbeitungsprozesse einzuholen.126 Ansonsten versuchte die Wirtschaft „im Wege der Auslegung mit dem Bundesdatenschutzgesetz [zu] leben“127. An der tatsächlich stattfindenden Datenverarbeitung änderte sich im Ergebnis zunächst nur wenig.128 124 Zur Techniksteuerung durch Recht Gusy, Techniksteuerung durch Recht, in: Donner u. a. (Hrsg.), Umweltschutz zwischen Staat und Markt, S. 241 ff.; Kloepfer, Technik und Recht im wechselseitigen Werden, S. 17 ff.; Vieweg (Hrsg.), Techniksteuerung durch Recht; Richter, DuD 2016, S. 89 ff. 125 Siehe etwa die in der 8. WP in den BT eingebrachten Gesetzentwürfe bzgl. des Meldewesens (BT-Drs. 8/3825), des Verkehrszentralregisters (BT-Drs. 8/3900) und Statistiken für Bundeszwecke (BT-Drs. 8/2517) sowie die in der 9. WP verfolgten Gesetzesinitiativen bzgl. des Bundeszentralregisters (BT-Drs. 9/2068, S. 8 ff.), des Personalausweisgesetzes (BT-Drs. 9/1809, S. 5), des Mirkozensusgesetzes 1982 (BT-Drs. 9/1970, S. 5), des Volkszählungsgesetzes 1981 (BT-Drs. 9/2516, S. 11) und des Sozialgesetzbuches (BT-Drs. 9/95, S. 13). 126 Zu den Erfahrungen mit sog. Datenschutzermächtigungsklauseln im Versicherungsrecht BfD, 1. TB, BT-Drs. 8/2460, S. 41 f.; BfD, 2. TB, BT-Drs. 8/3570, S. 55. 127 Zahrnt, NJW 1978, S. 1908.
68
§ 3 BDSG 1977 – Rationalisierung vs. Privatsphärenschutz
Trotz der postulierten Technikneutralität richtete sich das BDSG 1977 entsprechend den ihm zugrunde liegenden Leitbildern stark an einem bestimmten Entwicklungsstand der Technik aus und verfügte im Gegensatz dazu kaum über konsistente normative Wertungen. Damit war absehbar, dass nicht das Recht die Technikgestaltung künftig steuern sollte, sondern die technische Entwicklung das Recht hinfällig und daher seine Reform erforderlichen machen würde. Neben diesem quantitativen Ansatz existierten aber auch bereits solche, die als qualitativ bezeichnet werden konnten. Die Bezeichnung qualitativ leitet sich in diesem Zusammenhang aus der Kontrastierung mit dem quantitativen Ansatz ab. Ersterem geht es im Gegensatz zu letzterem weniger darum, stattfindende Datenverarbeitung zu legitimieren, eher will er diese steuern. Außerdem setzen qualitative Ansätze nicht primär auf das Regelungsmittel Recht. Neben hierarchischen Steuerungsmitteln werden hier etwa auch marktmäßige und technische Mechanismen und Konzepte zugrunde gelegt. Weiterhin erschöpft sich der Einsatz des Regelungsmittels Recht insoweit nicht in der Statuierung von Ge- und Verboten, vielmehr werden mittels diesem auch Verfahren und Zielbestimmungen begründet. Charakteristisch für qualitative Ansätze ist schließlich deren konkrete Ausrichtung an ihrem Regelungsgegenstand, namentlich der Datenverarbeitungstechnik. Insbesondere das zuletzt genannte Kriterium erfüllte der Gesetzesvorschlag Podlechs, der die Struktur und Logik der zu regulierenden Informationssysteme zugrunde legte und als Ausdruck eines Systemdatenschutzes bezeichnet werden kann.129 Dieser verzichtete zwar ebenfalls nicht völlig auf die Verwendung unbestimmter Rechtsbegriffe, bot aber im Gegensatz zum BDSG 1977 dem Rechtsanwender entsprechende Konkretisierungsverfahren an. Außerdem ergänzten sich die verschiedenen Datenschutzmaßnahmen, die Podlechs Vorschlag aufgriff, gegenseitig, anstatt unverbunden nebeneinander zu stehen. Die Definitionen zentraler Begriffe seines Entwurfs – etwa der Daten, Dateien und Datensätze – waren mit der standardisierten Terminologie der Informationstechnik abgestimmt.130 Dies sollte letztlich die Übersetzung rechtlicher Vorgaben in technische ermöglichen bzw. erleichtern, mithin eine notwendige Bedingung des Ansatzes, Datenschutz durch Technik zu gewährleisten, sicherstellen.131 Sein Konzept wirkte im Verhältnis zum 128 So das allgemeine Fazit des 1. DSB-Kongresses 1978, dazu Zahnert, NJW 1978, S. 1908. S.a. Lindemann/Nagel/Herrmann, Auswirkungen des Bundesdatenschutzgesetzes auf die Wirtschaft; Simitis spricht insoweit von der Domestizierung des Datenschutzes, Simitis, Reicht unser Datenschutzrecht angesichts der technischen Revolution?, in: von Schoeler (Hrsg.), Informationsgesellschaft oder Überwachungsstaat?, S. 21 (24); ders., NJW 1977, S. 729 ff. 129 Podlech, Datenschutz im Bereich der öffentlichen Verwaltung, S. 38. 130 Podlech, Datenschutz im Bereich der öffentlichen Verwaltung, S. 46. 131 Simitis, Reicht unser Datenschutzrecht angesichts der technischen Revolution?, in: von Schoeler (Hrsg.), Informationsgesellschaft oder Überwachungsstaat, S. 21 (40). Zu einem späteren Zeitpunkt wurden hierzu auch spezielle Übersetzungsmethoden entwickelt, etwa „KORA“. Hierzu Hammer/Pordesch/Roßnagel, InfoTech 1993, S. 21 ff.; s.a. Hoffmann, An-
D. Leitbilder des BDSG 1977
69
quantitativen Ansatz insgesamt problemadäquater und konsequenter, konnte sich im Ergebnis jedoch nicht durchsetzen.
forderungsmuster zur Spezifikation soziotechnischer Systeme, S. 76 ff.; Simic´-Draws u. a., IJISP 2013, S. 16 ff.
§ 4 Reform des BDSG 1977 – Sicherheit vs. informationelle Selbstbestimmung Schon bei der Verabschiedung des BDSG 1977 waren sich alle am Gesetzgebungsprozess beteiligten Akteure darin einig, dass das Gesetz alsbald reformbedürftig werde.1 Gleichwohl gestaltete sich die Reform des Gesetzes mindestens ebenso komplex wie die Arbeit an dem BDSG 1977 selbst. Angesichts sich wandelnder rechtlicher, tatsächlicher und sozialer Ausgangsbedingungen der Datenverarbeitung wird im Folgenden untersucht, ob und ggf. in welcher Hinsicht die Datenschutzleitbilder des Bundesgesetzgebers eine neue Ausrichtung fanden. Insoweit sollen verschiedene Aspekte eine besondere Berücksichtigung erfahren; die Fortentwicklung der Datenverarbeitungstechnik, die verfassungsgerichtliche Anerkennung des Rechts auf informationelle Selbstbestimmung durch das Volkszählungsurteil vom 15. Dezember 1983 sowie die Etablierung bereichsspezifischer Datenschutzregelungen im Sicherheitsrecht durch die sog. Sicherheitsgesetze.2
A. Der gesetzgeberische Reformdiskurs bis 1983 I. Gesetzesinitiativen zur Reform des BDSG 1977 Der gesetzgeberische Reformdiskurs hinsichtlich des allgemeinen Datenschutzrechts auf Bundesebene lief – obwohl dessen Notwendigkeit noch während der Verabschiedung des BDSG 1977 einhellig betont wurde – in der 8. Legislaturperiode nur zögerlich an. Erstmals wurde der Datenschutz im Rahmen einer Kleinen Anfrage der oppositionellen CDU/CSU-Fraktion parlamentarisch thematisiert. Insoweit wurde die Bundesregierung aufgefordert, ihre datenschutzrechtlichen Novellierungspläne zu konkretisieren.3 Gleichwohl fiel die entsprechende Antwort der Bundesregierung wenig konkret aus. Sie sah sich insbesondere nicht in der Lage, Angaben darüber zu machen, welche Bereiche des BDSG 1977 einer Revision unterliegen sollten. Vielmehr wollte sie zunächst praktische Erfahrungen mit dem Vollzug des Gesetzes sammeln sowie die weitere Entwicklung des allgemeinen 1 Siehe zweite und dritte Lesung des Gesetzes BT, 7. WP, 250. Sitzung vom 10. 6. 1976, 17737 – 17753. Zur Rezeption des Gesetzes im wissenschaftlichen Diskurs s. Ruckriegel, ÖVD 1976, S. 350 ff.; Schweizer, DB 1977, S. 289 ff. (Teil 1) und DB 1977, S. 337 ff. (Teil 2); Simitis, NJW 1977, S. 729 ff.; Steinmüller, bdw 1976, S. 76 ff. 2 BVerfG, 1 BvR 209/83, BVerfGE 65, 1 – Volkszählung. 3 BT-Drs. 8/191.
A. Der gesetzgeberische Reformdiskurs bis 1983
71
Datenschutzdiskurses abwarten.4 Um dennoch eine gewisse Aktivität in Sachen Datenschutz zu suggerieren, verwies die Bundesregierung stattdessen auf ihr Engagement bezüglich der Etablierung internationaler Datenschutzstandards; insofern beteilige sie sich an Beratungen im Rahmen der OECD sowie des Europarats und verfolge mit Nachdruck das Ziel eines einheitlichen Datenschutzniveaus in der Europäischen Gemeinschaft.5 Schließlich deutete ein Vertreter der Bundesregierung während einer parlamentarischen Fragestunde am 27. September 1978 an, dass diese in der in Rede stehenden Legislaturperiode eine Novelle des BDSG 1977 nicht mehr angehen wolle.6 Demgegenüber veröffentlichte die CDU/CSU-Fraktion am 24. Januar 1980 einen Gesetzentwurf zur Änderung des BDSG 1977.7 Ausweislich dessen Begründung galten die völlige Neufassung des Gesetzes und insbesondere die Ersetzung „formaler Umwege“ bei der Bestimmung seines Schutzbereichs durch materielle Regelungen als langfristig anzuvisierende Ziele.8 Jedoch lag der Gesetzesinitiative selbst lediglich eine sog. Schwerpunktlösung zugrunde. So sollte bereits kurzfristig ein effektiver Persönlichkeitsschutz gewährleistet werden.9 Der Gesetzesvorschlag hielt grundsätzlich am Konzept des BDSG 1977 fest und ging auf Schwachstellen des Gesetzes ein, die bereits während seines Gesetzgebungsverfahrens kritisiert worden waren. Partiell schienen zwar einzelne Neuerungen des Entwurfs geeignet, die Kohärenz des bestehenden gesetzlichen Datenschutzregimes zu erhöhen. Im Ergebnis stellten sich diese jedoch als bloße Schönheitsreparaturen dar. Dieses Resultat wirkte angesichts des Ausgangspunkts der CDU/CSU-Fraktion, das BDSG 1977 sei unvollkommen und gänzlich ungeeignet, einen wirksamen Persönlichkeitsschutz zu gewährleisten, wenig überzeugend.10 Die weitreichendsten Änderungsvorschläge des Entwurfs betrafen den Anwendungsbereich des allgemeinen Datenschutzrechts. Gemäß seiner Begründung emanzipierte sich der Gesetzesvorschlag von der Vorstellung, die elektronische Datenverarbeitung lasse sich noch angemessen im Rahmen abgrenzbarer Phasen – namentlich der Speicherung, Übermittlung, Veränderung und Löschung personenbezogener Daten – abbilden, dennoch knüpften dessen Erlaubnistatbestände explizit an jene an. Der Entwurf ging jedoch im Verhältnis zum BDSG 1977 von einem umfassenderen Verarbeitungsbegriff aus, um neuartige Formen der automatischen 4
BT-Drs. 8/266, S. 2. Vor einer Überbewertung gemeinschaftsrechtlicher Aktivitäten auf dem Gebiet des Datenschutzes zu diesem Zeitpunkt warnte Sasse, Das Bundesdatenschutzgesetz, in: Schimmelpfeng GmbH (Hrsg.), Aktuelle Beiträge über den Datenschutz, S. 75 (86). 6 BT, 8. WP, 106. Sitzung vom 27. 9. 1978, 8398. 7 BT-Drs. 8/3608. 8 Laufs (CDU/CSU) bei der ersten Lesung des Entwurfs, BT, 8. WP, 205. Sitzung am 6. 3. 1980, 16398 (A). 9 BT-Drs. 8/3608, S. 2. 10 BT-Drs. 8/3608, S. 1 f. 5
72
§ 4 Reform des BDSG 1977
Bild- und Textverarbeitung datenschutzrechtlich erfassen zu können.11 Außerdem verzichtete die Gesetzesinitiative zwar auf die Verwendung des Dateibegriffs, ohne zugleich aber automatische und herkömmliche Datenverarbeitungsverfahren gleich zu behandeln, vgl. § 1 Abs. 3 BDSG-Ä. Vielmehr waren mit der ersatzlosen Streichung des Dateibegriffs keine konzeptionellen Änderungen verbunden. Ferner beabsichtigte die Gesetzesinitiative eine Verschärfung der datenschutzrechtlichen Erlaubnistatbestände zulasten öffentlicher Stellen. Nach dem BDSG 1977 richtete sich die Rechtmäßigkeit der Datenverarbeitung insoweit grundsätzlich nach der Zuständigkeit der verarbeitenden Stelle. Dem Entwurf zufolge sollten künftig ausschließlich gesetzlich definierte Aufgaben eine entsprechende Legitimationswirkung entfalten können, § 9 Abs. 1 Nr. 2 BDSG-Ä. Die Gesetzmäßigkeit der öffentlichen Informationsverwaltung mit all ihren einzelnen Vorgängen zu gewährleisten, war damit eines der wichtigsten Anliegen dieser Initiative – mithin die Schaffung eines umfassenden Gesetzesvorbehalts insoweit.12 Am 27. Februar 1980 brachten auch die Koalitionsfraktionen der SPD und FDP einen Gesetzesvorschlag zur Änderung des BDSG 1977 in den Bundestag ein.13 Dieser wurde von der Grundhaltung getragen, dass sich das Gesetz im Wesentlichen bewährt habe. Nachdrücklich betonte die Entwurfsbegründung die Bedeutung des bereichsspezifischen Datenschutzrechts und erweckte damit den Anschein, Unstimmigkeiten des allgemeinen Datenschutzrechts sollten im Besonderen ausgeglichen werden.14 Im Ergebnis erschöpften sich die insoweit unterbreiteten Reformvorschläge in vier Aspekten; der Einführung eines verschuldensunabhängigen Schadensersatzanspruchs angesichts der Verletzung datenschutzrechtlicher Vorgaben sowohl im öffentlichen als auch im nicht-öffentlichen Bereich, der grundsätzlichen Unentgeltlichkeit der Auskunftserteilung zugunsten Betroffener, der Stärkung des Zweckbindungsgrundsatzes bei der Datenübermittlung sowie der Verbesserung der befugnisrechtlichen Situation der Aufsichtsbehörden. Während der gemeinsamen Beratung der beiden Entwürfe im Bundestag wurden außerdem die Einführung eines Grundrechts auf Datenschutz sowie die Etablierung des bereichsspezifischen Datenschutzrechts ausführlich diskutiert. Das erstgenannte Vorhaben fand überwiegend keine Unterstützung.15 Bislang fixierten sich die gesetzgeberischen Debatten auf das Allgemeine Persönlichkeitsrecht gemäß Art. 2 11
BT, 8. WP, 205. Sitzung am 6. 3. 1980, 16398 (B). So etwa Laufs (CDU/CSU) während der 205. Sitzung des 8. BT am 6. 3. 1980, 16398 (C). 13 BT-Drs. 8/3703. 14 Die Heilsformel vom bereichsspezifischen Datenschutzrecht bleibt gleichwohl solange inhaltsleer, wie nicht konkrete Maßnahmen zur Eruierung des jeweils zugrunde liegenden Sachgebiets vorgeschlagen werden. So auch Sasse, Das Bundesdatenschutzgesetz, in: Schimmelpfeng GmbH (Hrsg.), Aktuelle Beiträge über den Datenschutz, S. 75 (80). 15 Siehe a. BT, 8. WP, 164. Sitzung vom 28. 6. 1979, 13108 ff. Mit dem Gesetz zur Änderung der Verfassung für das Land Nordrhein-Westfalen vom 19. Dezember 1978 (NRWGVBl A S. 632) wurde ein Grundrecht auf Datenschutz in Art. 4 Abs. 2 NRWVerf aufgenommen. Vgl. auch BfD, 1. TB, BT-Drs. 8/2460, S. 65 f.; Kloepfer, Datenschutz als Grundrecht. 12
A. Der gesetzgeberische Reformdiskurs bis 1983
73
Abs. 1 i.V.m. Art. 1 Abs. 1 GG als dem maßgeblichen verfassungsrechtlichen Anknüpfungspunkt für das Datenschutzrecht und vernachlässigten entsprechend weitere grundgesetzliche Vorgaben.16 Lediglich die FDP-Fraktion vertrat die Auffassung, dass die Entwicklung der Datenverarbeitungstechnik neuartige Gefährdungspotentiale für das Persönlichkeitsrecht berge, welche die Einführung eines eigenständigen Grundrechts auf Datenschutz erforderlich machten.17 Einigkeit bestand hingegen angesichts des bereichsspezifischen Datenschutzrechts. Hier sollte das hohe Abstraktionsniveau des BDSG 1977 durch Konkretisierungen überwunden werden.18 Während hoffnungsvoll auf das spezielle Datenschutzrecht insbesondere im Gesundheits-, Sozial-, Melde- sowie Sicherheitsbereich geschaut wurde, geriet die Reform des allgemeinen Datenschutzrechts aus dem Zentrum der parlamentarischen Aufmerksamkeit. Im Rahmen dieser abgrenzbaren Bereiche stellte sich die Regulierung der Datenverarbeitung vordergründig weniger komplex dar, da die zu berücksichtigenden Interessen und Konstellationen überschaubarer schienen.19 Gleichwohl bedarf es auch hinsichtlich spezieller Materien, etwa im Gesundheits- oder Sozialbereich, einer relativ konkreten Vorstellung von den durch datenschutzrechtliche Vorgaben zu schützenden Interessen und Rechten sowie von den diesen widerstreitenden Positionen. Anders formuliert: Die Fragen nach dem Warum, dem Wie und dem Inwieweit des Datenschutzes stellen sich in speziellen Sachbereichen ähnlich wie hinsichtlich des allgemeinen Datenschutzrechts. Auch wurde dieser Schluss von der zum damaligen Zeitpunkt bereits über zehnjährigen und wechselvollen Geschichte des Datenschutzes im Meldewesen – von der geplanten Einführung einer allgemeinen Personenkennziffer bis zum Erlass des Melderechtsrahmengesetzes – nicht getragen.20 16
Sowohl auf Betroffenenseite, etwa Art. 6 Abs. 1, Art. 10 Abs. 1 GG, als auch in Bezug auf datenverarbeitende Stellen, etwa Art. 12 Abs. 1, Art. 5 Abs. 1 S. 2 GG. Zur „dienenden“ Funktion der informationellen Selbstbestimmung im Verhältnis zu anderen Grundrechten etwa Britz, Informationelle Selbstbestimmung, in: Hoffmann-Riem (Hrsg.), Offene Rechtswissenschaft, S. 561 (573). 17 BT, 8. WP, 205. Sitzung vom 6. 3. 1980, 16403 (B). 18 Programmatisch insoweit Wendig (FDP): „die künftige Entwicklung des Datenschutzes wird, wie ich meine, eher im Bereich des bereichsspezifischen Datenschutzes stattfinden als im Bundesdatenschutzgesetz selbst. […] Eine besondere Schwäche des zentralen Bundesdatenschutzgesetzes liegt doch offenbar darin, daß es zwangsläufig ein Zuviel an Generalklauseln und an unbestimmten Rechtsbegriffen enthält – wohl auch enthalten muss, so wie es konzipiert ist. Wirksam kann man diesen Mangel letzlich [sic] nur durch einen breit gefächerten bereichsspezifischen Datenschutz beheben oder wenigstens abmildern.“ BT, 8. WP, 205. Sitzung am 6. 3. 1980, 16404 (C-D). 19 Trotzdem bedarf es auch insoweit einer wissenschaftlichen Grundlagenforschung, welche die vermeintlich offenkundigen Kontexte und Interessenkonflikte erörtert. So bereits Sasse, Das Bundesdatenschutzgesetz, in: Schimmelpfeng GmbH (Hrsg.), Aktuelle Beiträge über den Datenschutz, S. 75 (80). 20 Melderechtsrahmengesetz (MRRG) (BGBl. I S. 1429 – 1436). Programmatisch kann insoweit auch auf die Bemühungen zum Arbeitnehmerdatenschutz verwiesen werden, dazu
74
§ 4 Reform des BDSG 1977
Letztlich fielen beide Entwürfe dem Ende der Legislaturperiode zum Opfer. In der neuen Legislaturperiode und nach dem Wechsel zu einer schwarz-gelben Bundesregierung legte das BMI am 31. März 1982 einen Referentenentwurf zur Änderung des BDSG 1977 vor, welcher gemeinsam mit Änderungsvorschlägen der SPD veröffentlicht wurde.21 Beide Entwürfe tendierten grundsätzlich in dieselbe Richtung. Zunächst ist bemerkenswert, dass sich die SPD im Rahmen ihres Entwurfs von der Missbrauchsformel abwandte. Nach dieser begründet der Missbrauch bei der Verarbeitung personenbezogener Daten Beeinträchtigungen schutzwürdiger Belange Betroffener, deren Abwehr die primäre Aufgabe des Datenschutzrechts bildet, vgl. § 1 Abs. 1 BDSG 1977. Der SPD-Entwurf ging hingegen davon aus, dass die Datenverarbeitung selbst eine durch das Datenschutzrecht abzuwehrende Gefahr darstelle.22 Nach beiden Vorschlägen sollten die Aufklärungspflichten datenverarbeitender Stellen zugunsten der Betroffenen verschärft werden. Der SPD-Vorschlag formulierte explizit, welche Informationen diesen zu verschaffen sind, damit deren Einwilligung in Datenverarbeitungsprozesse als wirksam qualifiziert werden könne, §§ 3 Abs. 2, 9 Abs. 1 BDSG-SPD. Hierdurch sollte sichergestellt werden, dass die Betroffenen die Chance erhalten, Ausmaß, Bedeutung und Konsequenzen ihrer Einwilligungen überblicken zu können. Des Weiteren sah dieser Entwurf die Normierung von Unwirksamkeitstatbeständen bezüglich datenschutzrelevanter Einwilligungen vor, welche dem kurz zuvor in Kraft getretenen AGB-Gesetz entlehnt waren, vgl. § 3 Abs. 3 BDSG-SPD und § 9 AGB-Gesetz 1976.23 Dieser Vorschlag war Konsequenz der nunmehr ständigen Praxis nicht-öffentlicher datenverarbeitender Stellen, unliebsame Datenschutzverpflichtungen durch die Einholung möglichst weitreichender Einwilligungen mit Hilfe von AGB zu umgehen. Noch umfassender schlug Hans Peter Bull in seiner Kommentierung der Entwürfe vor, der Gesetzgeber solle sicherstellen, dass im Wege der Einwilligung nicht jedwede Datenverarbeitung und -nutzung legitimiert werden könne.24 Mithin wurde bereits zum damaligen Zeitpunkt ein Abrücken von der Einwilligungslösung diskutiert. Eine ganze Reihe von Änderungsvorschlägen der SPD sollte der Entkontextualisierung personenbezogener Daten entgegenwirken, um deren Verarbeitung transparenter, mithin kontrollierbarer zu gestalten. Zu diesem Zweck sollte der Grundsatz Brink, Die Geschichte des Beschäftigtendatenschutzes, in: Robbers/Raab (Hrsg.), Rechtspolitisches Forum 65 (2014). 21 BMI, DSB 1982, S. 2 ff. (mit Kommentierungen von Bull und Simitis). 22 § 1 Aufgabe des Datenschutzes und Regelungsbereich dieses Gesetzes: „(1) Aufgabe des Datenschutzes ist es, den einzelnen davor zu schützen, daß er durch die Erhebung, Verarbeitung oder sonstige Nutzung seiner personenbezogenen Daten in seinen Rechten verletzt oder in seinen schutzwürdigen Belangen beeinträchtigt wird.“ BMI, DSB 1982, S. 2. 23 Gesetz zur Regelung des Rechts der Allgemeinen Geschäftsbedingungen (AGB-Gesetz) vom 9. Dezember 1976 (BGBl. I S. 3317 – 3324). 24 Bull, DSB 1982, S. 2 (7). Zur informationellen Selbstgefährdung Hermstrüwer, Informationelle Selbstgefährdung.
A. Der gesetzgeberische Reformdiskurs bis 1983
75
der Direkterhebung sicherstellen, dass der „Datenverarbeitungskreislauf“ prinzipiell beim Betroffenen beginnt, § 2a Abs. 1 BDSG-SPD. Außerdem sollten unzulässig erhobene Daten einem Verarbeitungs- bzw. Nutzungsverbot unterliegen und so grundsätzlich aus dem Verarbeitungskreislauf entfernt werden, § 2a Abs. 3 BDSGSPD. Weiterhin sollte die sich an die Erhebung anschließende Verarbeitung der Daten dem Grundsatz der Zweckbindung unterliegen, dem zufolge der Erhebungszweck den Maßstab für die Rechtmäßigkeit der weiteren Verarbeitung bildet. Hiernach wäre eine Datenweiterverarbeitung lediglich dann rechtmäßig, wenn sie dem Erhebungszweck dient oder zumindest mit diesem vereinbar ist, § 3a Abs. 1 BDSG-SPD. Wenn diese Voraussetzungen nicht gegeben sind, sollten sich Löschungspflichten aktualisieren, §§ 14 Abs. 4 Nr. 1 2. Alt., 27 Abs. 3 Nr. 11 BDSGSPD. Der Entwurf stufte automatische Datenverarbeitungsverfahren, mit deren Hilfe personenbezogene Daten aus unterschiedlichen Lebensbereichen zusammengetragen werden, um Persönlichkeitsprofile zu erstellen, als besonders gefährlich ein. Jene sollten daher grundsätzlich verboten werden, § 3a Abs. 2 BDSG-SPD. Angesichts automatischer Abrufverfahren, bei denen Daten von einer Stelle zum Abruf durch eine andere bereitgehalten werden und der konkreten Übermittlung keine persönliche Entscheidung vorausgeht, forderte die SPD die Statuierung gesetzlicher Zulässigkeitsvoraussetzungen. Insbesondere dem Erforderlichkeitsgrundsatz sollte insoweit Rechnung getragen werden, vgl. § 3b BDSG-SPD. Auch im Hinblick auf das datenschutzrechtliche Kontrollregime sahen sowohl der Referentenentwurf des BMI als auch der SPD-Vorschlag wesentliche Änderungen vor. Namentlich sollten die hohen Hürden für das Tätigwerden der Landesdatenschutzbehörden – der Betroffene musste diesen i. d. R. begründet darlegen, dass er durch die Verarbeitung personenbezogener Daten in seinen Rechten verletzt wird – abgebaut und diesen bestimmte Anordnungsbefugnisse eingeräumt werden, § 30 Abs. 4 BDSG-SPD. Im Ergebnis versuchte insbesondere der Entwurf der SPD, bestehende Defizite des Datenschutzrechts auszugleichen. Insgesamt sollte die Datenverarbeitung durch eine Stärkung der Betroffenenrechte und die Statuierung des Erforderlichkeitsgrundsatzes transparenter gestaltet werden. Insoweit wurde Datenverarbeitung noch umfassender als bereits bei der Einführung des BDSG 1977 als Bedrohung für die Realisierung von Persönlichkeitsrechten verstanden, die es durch Datenschutzrecht abzuwehren gilt. Mithin manifestierte sich das als feindlich zu beschreibende Verhältnis von Datenschutzrecht und Datenverarbeitungstechnik. Außerdem versuchten beide Gesetzesvorschläge, das Konzept der Eigenverantwortung der datenverarbeitenden Stellen sowie der Betroffenen hinsichtlich des Persönlichkeitsschutzes durch konkretere gesetzliche Vorgaben abzuschwächen und einen tendenziell paternalistischen Ansatz zu verwirklichen. Letztlich wurden die beiden Gesetzentwürfe aufgrund der vorzeitigen Auflösung des 9. Bundestags nicht weiterverfolgt. Gleichwohl bildete der Referentenentwurf des BMI die Grundlage für eine weitere
76
§ 4 Reform des BDSG 1977
Gesetzesinitiative, die am 23. Juni 1983 von der Bundesregierung veröffentlicht wurde.25 Durch jene Gesetzesinitiative sollten nach Aussage der Bundesregierung punktuelle Änderungen des BDSG 1977 verwirklicht werden, um dieses an den technologischen Fortschritt auf dem Gebiet der Informationsverarbeitung anzupassen.26 Insgesamt stellte sich das Innovationspotential des Entwurfs jedoch überschaubar dar. Lediglich die durch ihn anvisierte Regulierung automatisierter Datenabrufverfahren ist erwähnenswert. Gem. § 6a Abs. 1 des Entwurfs sollte die Errichtung solcher Verfahren dann zulässig sein, wenn die zu übermittelnden Daten ihrer Art nach für den Empfänger erforderlich und deren Übermittlung unter Berücksichtigung der schutzwürdigen Belange der Betroffenen sowie der Aufgaben, Geschäftszwecke oder Ziele der speichernden Stelle oder des Empfängers angemessen seien. Außerdem versuchte der Gesetzesvorschlag, der speichernden Stelle sowie dem Empfänger normative Maßstäbe für die Beurteilung ihres Handelns an die Hand zu geben. Einen ähnlichen Konkretisierungsversuch unternahm § 1 Abs. 1 S. 2 BDSG-Ä83 angesichts der Aufgabe und des Gegenstands des Datenschutzrechts. Weiterhin sollte es hiernach Aufgabe des Datenschutzes sein, Beeinträchtigungen schutzwürdiger Belange Betroffener entgegenzuwirken. Der Entwurf sah eine solche Beeinträchtigung dann als gegeben an, wenn die Verarbeitung, gemessen an ihrer Eignung und Erforderlichkeit zu dem mit ihr verfolgten Zweck, den Betroffenen unverhältnismäßig benachteilige. Kritisch sind die Vorschläge des Entwurfs zur Regelung der datenschutzrechtlichen Verantwortlichkeit im Rahmen automatischer Abrufverfahren sowie der Aufklärungspflichten datenverarbeitender Stellen zu bewerten. Gem. § 10 Abs. 4 S. 4 BDSG-Ä83 sollte hinsichtlich der automatischen Übermittlung personenbezogener Daten ausschließlich ihr Empfänger als datenschutzrechtlich Verantwortlicher qualifiziert werden. Dass derjenige, der ein gesteigertes Interesse an der Erlangung bzw. Verarbeitung von Daten hat, sich selbst ohne Weiteres effektiv kontrollieren wird, erscheint hingegen wenig überzeugend. Außerdem wurden im Gegensatz zu der im allgemeinen Datenschutzreformdiskurs vermehrt geforderten Stärkung der Aufklärungspflichten datenverarbeitender Stellen jene in dem Entwurf nur schwach ausgestaltet.27 Angesichts grundrechtssensibler Bereichen, namentlich der Datenverarbeitung durch Sicherheitsbehörden, waren weiterhin umfangreiche Ausnahmen von Belehrungspflichten bzw. Auskunftsrechten vorgesehen, §§ 9 Abs. 2, 13 Abs. 2, 3, 4 BDSG-Ä83. Auch sollte die Unentgeltlichkeit der Auskunftserteilung nur für den öffentlichen Bereich vorgeschrieben werden, § 13 Abs. 4 BDSG-Ä83. Ande25 Synoptische Gegenüberstellung der einzelnen BDSG-Bestimmungen und der Änderungsvorschläge nach dem Entwurf eines Gesetzes zur Änderung des BDSG vom 23. 6. 1983 in DuD 1983, S. 260 ff. Zu dem Entwurf Auernhammer, DuD 1984, S. 5 ff.; krit. BfD, 6. TB, BTDrs. 10/877, S. 56 f. 26 BMI, DuD 1983, S. 260 (283). 27 Vgl. hierzu Auernhammer, NJW 1980, S. 816 f.; speziell bzgl. Sicherheitsbehörden Riegel, NVwZ 1983, S. 337 (338).
A. Der gesetzgeberische Reformdiskurs bis 1983
77
rerseits wurden durch den Entwurf auch zentrale Forderungen des Reformdiskurses aufgegriffen, etwa die Statuierung eines Schadensersatzanspruches mit vermutetem Verschulden, § 4 Abs. 3 BDSG-Ä83, die Stärkung des Zweckbindungsgrundsatzes, vgl. §§ 11 Abs. 3, 24 Abs. 4 BDSG-Ä83, sowie die Verbesserung der befugnisrechtlichen Situation der Aufsichtsbehörden, § 30 Abs. 4 BDSG-Ä83. Im Ergebnis lässt sich festhalten, dass der Gesetzesvorschlag manche Forderungen des Reformdiskurses aufgriff, andere wiederum nicht.28 Insgesamt schienen die als zurückhaltend zu bewertenden Änderungsvorschläge aber nicht von einem holistischen Gesamtkonzept getragen worden zu sein.29
II. Enquete-Kommission „Neue Informations- und Kommunikationstechniken“ Auch die Arbeiten der Enquete-Kommission „Neue Informations- und Kommunikationstechniken“ konnten aufgrund des vorzeitigen Endes des 9. Bundestages nicht abgeschlossen werden. In einem Zwischenbericht setzte sich diese noch mit dem Einsatz sowie den Potentialen innovativer IuK-Technologien – namentlich Telekommunikations- und computergestützten Informationsdiensten – auseinander und stellte insbesondere fest, inwiefern diese neuartige Herausforderungen für den Persönlichkeits- bzw. Datenschutz veranlassten.30 Als Fazit des Berichts lässt sich formulieren, dass die IuK-Technologien neben anerkennenswerten Leistungen auch Gefährdungen sowohl für die Persönlichkeitsrechte ihrer Nutzer wie auch das gesellschaftliche Zusammenleben begründen, welche das Datenschutzrecht auf Bundes- und Landesebene bis dato nur bedingt adressiert.31 Der Bericht hob außerdem die Bedeutung der datenschutzkonformen Systemgestaltung und des bereichsspezifischen Datenschutzes eindringlich hervor.32 Generell erfordere hiernach ein wirksamer Datenschutz technische, organisatorische und rechtliche Vorkehrungen. Die technische Begrenzung der Verknüpfbarkeit von Daten, der verschlüsselte Austausch sensibler Daten, deren dezentrale Speicherung sowie der Grundsatz der Datensparsamkeit wurden insoweit als konkret durch den 28
Programmatisch für den hier angesprochenen Reformdiskurs Bull, Ziele und Mittel des Datenschutzes, S. 24 ff.; s.a. HEDSB, 10. TB, HELT-Drs. 14/3086, S. 18 ff. 29 Krit. insoweit auch Konferenz der Datenschutzbeauftragten des Bundes und der Länder und der Datenschutzkommission Rheinland-Pfalz, BT-Drs. 10/877, S. 67 f. 30 Zwischenbericht der Enquete-Kommission „Neue Informations- und Kommunikationstechniken“, BT-Drs. 9/2442. 31 Vgl. BT-Drs. 9/2442, S. 200. 32 Bzgl. der Datenverarbeitung im Rahmen des Bildschirmtextes stellte die Kommission fest, dass das Risiko der Erstellung umfangreicher Persönlichkeitsprofile am ehesten vermindert werde, „wenn schon durch die technische Systemgestaltung vorgesorgt wird, daß nur das unausweichliche Minimum an Daten erhoben und gespeichert wird“. BT-Drs. 9/2442, S. 195.
78
§ 4 Reform des BDSG 1977
Bundesgesetzgeber zu forcierende Maßnahmen benannt. Der Einfluss des Berichts auf die Reformarbeiten an dem BDSG 1977 lässt sich nur schwer ermitteln. Jedenfalls wurden datenschutzrechtliche Aspekte bei der parlamentarischen Auseinandersetzung mit diesem lediglich oberflächlich thematisiert.33
III. Zwischenergebnis Der gesetzgeberische Reformdiskurs bis 1983 kann als wenig innovativ disqualifiziert werden. In weitem Umfang wurden lediglich das Für und Wider bereits bekannter Datenschutzansätze diskutiert und blieben konkrete datenschutzrechtliche Reaktionen auf die neuen IuK-Technologien aus. Namentlich parteipolitische Querelen verhinderten oftmals eine sachgerechte Auseinandersetzung mit der Materie Datenschutz, wie etwa die Arbeit der Enquete-Kommission „Neue Informations- und Kommunikationstechniken“ verdeutlichte.34 Entsprechend gingen auch namenhafte Datenschützer wie Spiros Simitis davon aus, dass sich der Datenschutz zu jener Zeit in einer konzeptionellen Krise befand.35
B. Informationelle Selbstbestimmung als verfassungsrechtliches Leitbild I. Das Volkszählungsurteil – Ursprung, Inhalt und Schranken der informationellen Selbstbestimmung Am 15. Dezember 1983 erging das Volkszählungsurteil, in welchem das BVerfG die Verfassungskonformität bestimmter Regelungen des Volkszählungsgesetzes 1983 überprüfte.36 Jenes Gesetz ordnete eine stichprobenartige Erhebung personenbezogener Daten an, die dem Staat statistisch aufbereitet als informationelle Grundlage für gesellschafts- sowie wirtschaftspolitische Entscheidungen dienen sollten.37 Partiell sollten die erhobenen Daten auch der Erfüllung von Verwaltungsaufgaben zur Verfügung stehen, namentlich einem Abgleich mit Melderegisterdaten, um deren Aktualität und Vollständigkeit überprüfen zu können. 33
BT, 10. WP, 17. Sitzung vom 24. 6. 1983, 1140 (C) und 1146 (D). Vgl. Hoffmann-Riem, Sachverstand: Verwendungstauglich?, in: Grimm/Maihofer (Hrsg.), Gesetzgebungstheorie und Rechtspolitik, S. 350 ff.; ders., Schleichwege zur Nichtentscheidung, PVS 29 (1988), S. 58 ff. 35 Simitis, Reicht unser Datenschutzrecht angesichts der technischen Revolution?, in: von Schoeler (Hrsg.), Informationsgesellschaft oder Überwachungsstaat?, S. 21 (22). 36 BVerfG, 1 BvR 209/83, BVerfGE 65, 1 – Volkszählung. 37 BT-Drs. 9/451. 34
B. Informationelle Selbstbestimmung als verfassungsrechtliches Leitbild
79
Gegen das Volkszählungsgesetz 1983 hatte sich ein breiter politischer sowie gesellschaftlicher Widerstand formiert. In diesem manifestierte sich das zum damaligen Zeitpunkt auf einem Höhepunkt befindliche öffentliche Misstrauen gegenüber Regierung und Verwaltung bzw. der dort vermeintlich vorherrschenden Technokratie.38 Das BVerfG maß die angegriffenen Regelungen des Gesetzes insbesondere am Grundrecht auf informationelle Selbstbestimmung, welches in der in Rede stehenden Entscheidung erstmals verfassungsgerichtliche Anerkennung fand.39 Jenes Grundrecht leite sich dem Gericht zufolge aus dem in Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG verbürgten Allgemeinen Persönlichkeitsrecht ab. Es umfasse die aus dem grundsätzlichen Selbstbestimmungsrecht des Einzelnen folgende Befugnis, prinzipiell selbst entscheiden zu können, wann und innerhalb welcher Grenzen persönliche Lebenssachverhalte offenbart werden.40 Das BVerfG ging davon aus, dass jene Selbstbestimmung durch die EDV qualitativ neuartigen Gefährdungen ausgesetzt werde, insbesondere weil jene Technik die Erstellung umfangreicher Persönlichkeitsprofile ermögliche, deren Richtigkeit die Betroffenen zum einen nicht kontrollieren und welche sie zum anderen veranlassen könnten, aufgrund des psychischen Drucks öffentlicher Anteilnahme auch von Verfassungs wegen erwünschte Verhaltensweisen zu unterlassen.41 Insoweit wurde mithin auch die gesellschaftliche Dimension des Selbstbestimmungsrechts angesprochen, namentlich dessen Bedeutung als elementare Funktionsbedingung eines freiheitlichen und demokratischen Gemeinwesens.42 Die freie Entfaltung der Persönlichkeit werde angesichts der Bedingungen moderner Datenverarbeitung durch das Recht auf informationelle Selbstbestimmung gewährleistet, welches den Schutz des Einzelnen gegen die unbegrenzte Erhebung, Speicherung, Verwendung und Weitergabe seiner persönlichen Daten umfasse.43 Der Begriff der persönlichen Daten wurde von dem Gericht nicht etwa im Sinne intimer 38 Gesetz über eine Volks-, Berufs-, Wohnungs- und Arbeitsstättenzählung (Volkszählungsgesetz 1983) vom 25. März 1983 (BGBl. I S. 369 – 372). Zum geistesgeschichtlichen Hintergrund des Volkzählungsurteils Taeger (Hrsg.), Die Volkszählung; s.a. von Lewinski, Zufall und Notwendigkeit bei der Entstehung des Datenschutzes, in: Pohle/Knaut (Hrsg.), Fundationes I, S. 9 (27); Ocak/Fisahn, Ad Legendum 2016, S. 152. 39 Diskutiert wurde ein Recht auf informationelle Selbstbestimmung spätestens seit der Veröffentlichung des Gutachtens von Steinmüller u. a., Grundfragen des Datenschutzes, BTDrs. 6/3862, S. 104; Gusy, VerwA 1983, S. 91 ff.; Denninger, ZRP 1981, S. 231 ff.; W. Schmidt, JZ 1974, S. 241 (245 f.). 40 BVerfG, 1 BvR 209/83, BVerfGE 65, 1 (42) – Volkszählung. Britz kritisierte die missverständliche Verwendung des Selbstbestimmungsbegriffs: „Das instrumentelle Recht auf Selbstbestimmung und das materielle Recht auf Selbstbestimmung sind kategorial unterschiedliche Rechte, die bloß (allzu) ähnlich klingen.“ Britz, Informationelle Selbstbestimmung, in: Hoffmann-Riem (Hrsg.), Offene Rechtswissenschaft, S. 561 (568). 41 Diese Argumentation lag bereits dem Mikrozensusbeschluss zugrunde. Zuvor bereits Miller, The Assault on Privacy, S. 46 ff. Krit. Ladeur, DuD 2000, S. 12 (13). 42 Zur Bedeutung der informationellen Selbstbestimmung bzw. Privatheit für die Demokratie Gusy, KritV 2015, S. 428 ff.; s.a. Becker/Seubert, DuD 2016, S. 73 ff. 43 BVerfG, 1 BvR 209/83, BVerfGE 65, 1 (43) – Volkszählung.
80
§ 4 Reform des BDSG 1977
bzw. sensitiver Daten verstanden. Vielmehr sei diesem zufolge aufgrund der Verarbeitungs- und Verknüpfungspotentiale automatischer Datenverarbeitungstechniken, welche potentiell jedem Datum einen neuen Stellenwert verleihen könnten, davon auszugehen, dass es grundsätzlich kein belangloses Datum mehr gebe.44 Insoweit zeichnete sich gegenüber der bisherigen verfassungsgerichtlichen Rechtsprechung ein Wandel ab; gemäß der Sphärentheorie galt, dass dem Einzelnen „um der freien und selbstverantwortlichen Entfaltung seiner Persönlichkeit willen ein ,Innenraum‘ verbleiben muß, in dem er ,sich selbst besitzt‘ und ,in den er sich zurückziehen kann, zu dem die Umwelt keinen Zutritt hat, in dem man in Ruhe gelassen wird und ein Recht auf Einsamkeit genießt‘“.45 Nach dem Mikrozensusbeschluss sollte angesichts statistischer Erhebungen insbesondere jener Innenraum bzw. ein „Bereich menschlichen Eigenlebens […] der von Natur aus Geheimnischarakter hat“ geschützt werden.46 Entsprechend unterstanden lediglich als privat bzw. intim zu qualifizierende Daten einem besonderen verfassungsrechtlichen Schutz. Weiterhin kam in der Entscheidung ein gewandelter Anspruch an den Einzelnen zum Ausdruck; galt es zunächst nur, diesen vor Eingriffen in eine besonders geschützte Sphäre, deren Reichweite anhand objektiver Kriterien zu bestimmen sei, zu schützen, sollte dieser nun prinzipiell selbstbestimmt entscheiden können, welche Daten von ihm offenbart werden und welche nicht. Mit dieser Befugnis geht für das Individuum mithin auch ein Mehr an Verantwortung einher. Die Befugnis, selbst über die Preisgabe und Verwendung persönlicher Daten entscheiden zu können, bestehe jedoch dem Volkszählungsurteil zufolge lediglich grundsätzlich. Konsequenterweise werde das Recht auf informationelle Selbstbestimmung verfassungsrechtlich nicht schrankenlos gewährt, sondern müsse der Einzelne als gemeinschaftsbezogenes und -gebundenes Wesen Einschränkungen desselben im überwiegenden Allgemeininteresse hinnehmen. Bei den Voraussetzungen, die das BVerfG im Folgenden bezüglich der Verfassungskonformität jener Einschränkungsmöglichkeiten entwickelte, differenzierte es zwischen der Erhebung und Verarbeitung personenbezogener Daten im Allgemeinen sowie deren Erhebung und Verarbeitung zu statistischen Zwecken im Besonderen.47 Erstere setzten zunächst das Vorliegen einer bereichsspezifischen und normklaren gesetzlichen Grundlage voraus. Weiterhin müssten die Erhebung und Verarbeitung personenbezogener Daten auch geeignet und erforderlich sein, den Verarbeitungszweck zu erreichen. Implizit wurden hier folglich die datenschutzrechtlichen Grundsätze der Datensparsamkeit, der Zweckbindung sowie der Verhältnismäßigkeit angesprochen. Ausdrücklich forderte das Gericht in diesem Kontext außerdem die Etablierung eines amtshilfefesten Schutzes gegen die Zweckentfremdung erhobener Daten. Des Weiteren hielt das BVerfG angesichts der Verarbeitung personenbezogener Daten die 44 45 46 47
BVerfG, 1 BvR 209/83, BVerfGE 65, 1 (44) – Volkszählung. BVerfG, 1 BvL 19/63, BVerfGE 27, 1 (6) – Mikrozensus. BVerfG, 1 BvL 19/63, BVerfGE 27, 1 (7) – Mikrozensus. BVerfG, 1 BvR 209/83, BVerfGE 65, 1 (46 ff.) – Volkszählung.
B. Informationelle Selbstbestimmung als verfassungsrechtliches Leitbild
81
Statuierung von verfahrensrechtlichen Schutzvorkehrungen sowie Betroffenenrechten, namentlich auf Information, Aufklärung und Löschung, für erforderlich. Schließlich seien unabhängige Datenschutzbeauftragte von erheblicher Bedeutung für den effektiven Schutz der informationellen Selbstbestimmung. Im Ergebnis ging das Gericht davon aus, dass eine Zweckentfremdung personenbezogener Daten, welche zu statistischen Zwecken erhoben wurden, mit dem Grundrecht auf informationelle Selbstbestimmung grundsätzlich nicht zu vereinbaren sei. Entsprechend sei das Volkszählungsgesetz 1983, soweit es entsprechende Regelungen treffe, verfassungswidrig, da es den Grundsatz der Zweckbindung durchbreche und keine normklare gesetzliche Rechtfertigungsgrundlage für einen solchen Eingriff in das Grundrecht auf informationelle Selbstbestimmung darstelle.
II. Rezeption des Volkszählungsurteils durch den Bundesgesetzgeber Die Aussagen des Volkszählungsurteils zum Grundrecht auf informationelle Selbstbestimmung sind in der Rechtswissenschaft umfassend rezipiert und auch kritisiert worden.48 Im Zentrum der folgenden Betrachtungen steht die Auseinandersetzung der Legislative mit dem in Rede stehenden Urteil. Insoweit soll untersucht werden, inwiefern dieses Einfluss auf das gesetzgeberische Leitbild für den Datenschutz und so mittelbar auch auf die Datenschutzgesetzgebung nahm. Insbesondere soll danach gefragt werden, wie sich fortan das Verhältnis von Privatheit und informationeller Selbstbestimmung darstellte. Löste etwa die informationelle Selbstbestimmung die Privatheit als das vom Gesetzgeber als maßgeblich empfundene Schutzgut des Datenschutzrechts ab oder kamen insofern beide zur Geltung? Des Weiteren gilt es zu klären, ob der Bundesgesetzgeber in der rechtswissenschaftlichen Literatur ausgemachte, vermeintliche Kurzschlüsse des Urteils
48 Unkritisch Simitis, NJW 1984, S. 398 (399). Zur Kritik am informationellen Selbstbestimmungsrecht, verstanden als ein abwehrrechtlich bzw. eigentumsanalog konstruiertes Verfügungsrecht unter Vernachlässigung seiner sozialen Dimension Albers, Umgang mit personenbezogenen Informationen und Daten, in: Hoffmann-Riem/Schmidt-Aßmann/Voßkuhle (Hrsg.), GVwR, Bd. 2, § 22 Rn. 58 ff.; dies., Zur Neukonzeption des grundrechtlichen „Daten“schutzes, in: Haratsch/Kugelmann/Repkewitz (Hrsg.), Herausforderungen an das Recht der Informationsgesellschaft, S. 113 ff.; Bull, ZRP 1998, S. 310 (312 f.); Gusy, KritV 2000, S. 52 ff.; Hoffmann-Riem, Datenschutz als Schutz eines diffusen Interesses in der Risikogesellschaft, in: Krämer/Micklitz/Tonner (Hrsg.), Recht und diffuse Interessen in der europäischen Rechtsordnung, S. 777 ff.; Ladeur, DuD 2000, S. 12 ff.; Pitschas, DuD 1998, S. 139 ff.; Trute, Verfassungsrechtliche Grundlagen, in: Roßnagel (Hrsg.), Handbuch Datenschutzrecht, 2003, 2.5 Rn. 8 – 10; ders., JZ 1998, S. 822 ff. Zu dem durch das Urteil bedingten Verrechtlichungseffekt Bull, Gefühle der Menschen in der ,Informationsgesellschaft‘, S. 230; Eifert, Zweckvereinbarkeit statt Zweckbindung, in: Gropp/Lipp/Steiger (Hrsg.), Rechtswissenschaft im Wandel, S. 139 (140 ff.); Hoffmann-Riem, AöR 123 (1998), S. 513 (514 ff.) (528); Schneider, DÖV 1984, S. 161 ff.
82
§ 4 Reform des BDSG 1977
übernahm und dies die Manifestation eines als quantitativ zu beschreibenden Datenschutzrechts bedingte. 1. Erste Reaktionen im Bundestag Das Volkszählungsgesetz 1983 war schon während seiner Genese Gegenstand zahlreicher parlamentarischer Kontroversen.49 Insbesondere der durch das Gesetz anvisierte Abgleich von zu statistischen Zwecken erhobenen personenbezogenen Daten mit Melderegisterdaten, den auch das BVerfG als verfassungswidrig beurteilen sollte, wurde insoweit problematisiert.50 Bereits vor der Verkündung des Richterspruchs brachte die kurz zuvor erstmalig in den Bundestag eingezogene Fraktion Die GRÜNEN einen Gesetzentwurf zur Aufhebung des Volkszählungsgesetzes 1983 in den Bundestag ein.51 Im Rahmen der ersten Lesung dieses Entwurfs wurden am 26. Januar 1984 die Konsequenzen des Volkszählungsurteils für das Datenschutzrecht erstmals öffentlich im Parlament reflektiert.52 Insgesamt kamen bei dieser Gelegenheit höchst divergente Haltungen zum Einsatz der Datenverarbeitungstechnik und den aus dem Urteil abzuleitenden Anforderungen an ein verfassungskonformes Datenschutzrecht zum Ausdruck. Gemeinsam war jedoch allen Fraktionen, dass sie das „neue Grundrecht auf Datenschutz“ als abwehrrechtliche Position des Bürgers verstanden. Entsprechend führte etwa eine Rednerin der GRÜNEN-Fraktion aus: „Wir fühlen uns schon zu stark von der Informationstechnik bedroht. Gerade weil wir in eine [sic] Industriegesellschaft sind, die über die modernsten Technologien verfügt, wollen wir unsere Persönlichkeit und unseren eigenen Bereich erhalten, ja wir wollen ihn gegen eine totale Überwachung abschirmen. Wir verlangen vom Gesetzgeber, daß er den Bürger gegen die Herrschaft der Technik schützt.“53 Insgesamt weniger pessimistisch ob des technischen Fortschritts äußerten sich die Redner der SPD-Fraktion und wiesen sowohl auf Gefahren als auch Chancen desselben hin.54 Gleichwohl betonten auch diese, dass die Einschränkungsmöglichkeiten des Rechts auf informationelle Selbstbestimmung restriktiv zu handhaben seien. Das FDP-Fraktionsmitglied Burkhard Hirsch, das sich bereits in dem Gesetzgebungsverfahren des BDSG 1977 profiliert hatte, mahnte an, Datenschutz und 49 50
(C). 51
Siehe dazu Simitis, KritV 2000, S. 359 (370). BT-Drs. 9/1068, S. 16 (Bundesregierung); BT, 9. WP, 69. Sitzung vom 2. 12. 1981, 4028
BT-Drs. 10/15. BT, 10. WP, 50. Sitzung vom 26. 1. 1984, 3509 ff. 53 BT, 10. WP, 50. Sitzung vom 26. 1. 1984, 3511 (B). 54 BT, 10. WP, 50. Sitzung vom 26. 1. 1984, 3512 (D). Zum Wandel der technischen Ausgangsbedingungen für den Datenschutz zwischen den 1970er und den 1980er Jahren, insb. der Dezentralisierung der EDV, Simitis, Reicht unser Datenschutzrecht angesichts der technischen Revolution?, in: von Schoeler (Hrsg.), Informationsgesellschaft oder Überwachungsstaat?, S. 21 (30 ff.). 52
B. Informationelle Selbstbestimmung als verfassungsrechtliches Leitbild
83
Technologiefeindlichkeit seien nicht gleichzusetzen. Vielmehr schaffe der Datenschutz ihm zufolge Akzeptanz für den Einsatz moderner Informationstechnologien.55 Die Vertreter der CDU/CSU-Fraktion sowie des Innenministeriums enthielten sich weitestgehend einer inhaltlichen Auseinandersetzung mit dem Urteil und dessen Konsequenzen für die künftige Entwicklung des Datenschutzrechts. 2. Gesetzentwurf der SPD-Fraktion zur Änderung des BDSG vom 27. März 1984 Am 27. März 1984 brachte die SPD-Fraktion einen Gesetzentwurf zur Änderung des BDSG 1977 in den Bundestag ein.56 Durch die hier anvisierten Änderungen sollte das allgemeine Datenschutzrecht an die im Volkszählungsurteil aufgestellten verfassungsrechtlichen Anforderungen an den Umgang mit personenbezogenen Daten angepasst werden.57 Der Entwurf unterschied sich terminologisch wesentlich vom BDSG 1977 und allen bis dato veröffentlichten Gesetzentwürfen zu seiner Änderung. Die in Rede stehende Gesetzesinitiative verzichtete vollständig auf die zuvor für das Datenschutzrecht zentralen Begriffe der Privatheit und des Missbrauchs bei der Verarbeitung personenbezogener Daten und rekurrierte dafür wiederholt auf die informationelle Selbstbestimmung. Ob sich mit diesem terminologischen auch ein konzeptioneller Wandel vollzogen hatte, erscheint hingegen äußert fraglich. Der Entwurf wollte primär den Konflikten zwischen staatlichen sowie gesellschaftlichen Informationsbedürfnissen einerseits und dem Recht der Bürger auf informationelle Selbstbestimmung andererseits begegnen.58 Angesichts dieses Spannungsverhältnisses sollte das BDSG der Gesetzesinitiative zufolge künftig Verschiedenes leisten: Zunächst sollte es den Schutz der Bürger vor Gefahren gewährleisten, welche diesen aus der Verarbeitung sich auf sie beziehender Daten erwachsen. Des Weiteren sollte das Gesetz den Ausgleich von Schäden, die Betroffenen aus einem unangemessenen Umgang mit jenen Daten erwachsen, die angemessene Verteilung von Informationen sowie schließlich die Nichtbelastung sozialadäquater Kommunikationsformen sicherstellen. Der zuletzt genannte Aspekt stellte eine neuartige Tendenz dar, die eine Ahnung von der zu einem späteren Zeitpunkt verstärkt vertretenen Auffassung vermittelte, der zufolge Datenschutz gerade nicht der Verhinderung von Kommunikation, sondern vielmehr deren persönlichkeitsgerechten Ausgestaltung zu dienen bestimmt ist.59 55
BT, 10. WP, 50. Sitzung vom 26. 1. 1984, 3516 (A). BT-Drs. 10/1180. 57 BT-Drs. 10/1180, S. 1. 58 BT-Drs. 10/1180, S. 16. 59 Hoffmann-Riem, Informationelle Selbstbestimmung als Grundrecht kommunikativer Entfaltung, in: Arens/Bäumler (Hrsg.), Der neue Datenschutz, S. 11 ff.; ders., AöR 123 (1998), S. 513 (527 ff.); Gusy/Schulte, Datenschutz durch Transparenz im Kontext der DSGVO, in: Dix u. a. (Hrsg.), JBInfoR 2017 (im Erscheinen); Gusy/Worms, DuD 2012, 92 (98 f.). Jedenfalls im nicht-öffentlichen Bereich auch Masing, NJW 2012, S. 2305 (2307). 56
84
§ 4 Reform des BDSG 1977
Auch das Volkszählungsurteil stellte auf die Gemeinschaftsbezogen- und -gebundenheit des Individuums ab und thematisierte damit eine soziale Dimension des Rechts auf informationelle Selbstbestimmung. Gleichwohl kann das Urteil nicht für diese vermeintliche perspektivische Erweiterung verantwortlich gemacht werden. Die soziale Dimension des Rechts auf informationelle Selbstbestimmung wurde nämlich im Volkszählungsurteil lediglich zur Begründung der Einschränkbarkeit des Rechts auf informationelle Selbstbestimmung herangezogen und gerade nicht, um seinen Schutzbereich zu definieren bzw. zu erweitern. Auch in dem Gesetzentwurf blieb die soziale Dimension des Datenschutzes insgesamt wenig folgenreich. Die Großformel, mit welcher der Entwurf die genannten Ziele zusammenzuführen versuchte, war die Gewährleistung des fairen Umgangs mit personenbezogenen Daten, den das BDSG künftig sicherstellen sollte.60 Die Mittel, die diesem Ziel dienen sollten, wurden im Wesentlichen dem BDSG 1977 entlehnt. Weiterhin sollte der Anwendungsbereich des Gesetzes von der Verarbeitung personenbezogener Daten in Dateien abhängig gemacht werden, § 1 Abs. 2 BDSG-Ä84. Auch wurden interne Daten nach wie vor datenschutzrechtlich privilegiert, indem ihre Verarbeitung weitestgehend unreguliert blieb, § 1 Abs. 3 BDSG-Ä84. Des Weiteren sollten für die automatisierte und die nicht-automatisierte Datenverarbeitung auch künftig unterschiedliche Datenschutzregime gelten und das BDSG im Grundsatz auf die automatisierte Datenverarbeitung zugeschnitten bleiben. Jene Einschränkungen lassen sich mit wesentlichen Aspekten des Rechts auf informationelle Selbstbestimmung in der Auslegung des BVerfG, mit dem eine Gesellschaftsordnung nicht zu vereinbaren sei, in welcher der Bürger nicht mehr wissen könne, wer was wann bei welcher Gelegenheit über ihn wisse, nur schwer in Einklang bringen.61 Zentrale Anliegen des Entwurfs waren entsprechend seiner Begründung die Stärkung des Zweckbindungs- und des Erforderlichkeitsgrundsatzes sowie der Betroffenenrechte. Im BDSG 1977 wurde der Zweckbindungsgrundsatz explizit ausschließlich in Bezug auf Daten, die einem Berufs- oder Amtsgeheimnis unterliegen und weitergegeben werden sollen, aufgegriffen. Der Entwurf der SPD-Fraktion sah nun vor, dass die Verarbeitung sensibler Daten – als solche wurden hier Daten über die politischen, religiösen und weltanschaulichen Überzeugungen der Betroffenen definiert – lediglich durch eine Einwilligung oder spezialgesetzliche Ermächtigungsgrundlage, die den konkreten Verarbeitungszweck bestimmt, legitimiert werden kann, § 3a Abs. 2, 3 BDSG-Ä84. Insoweit sollte folglich ein spezieller 60
BT-Drs. 10/1180, S. 16. A.A. Rogall, GA 132 (1985), S. 1 ff. Er maß dem Recht auf informationelle Selbstbestimmung lediglich eine Bedeutung für die automatisierte Datenverarbeitung bei. Andere gingen davon aus, das Recht gelte ausschließlich bzw. primär für die zwangsweise Datenerhebung (staatlicherseits), etwa Vogelgesang, Grundrecht auf informationelle Selbstbestimmung?, S. 87; Kniesel, Die Polizei 1985, S. 169 (171); Ehmann, AcP 188 (1988), S. 301 f.; Rebmann, NJW 1985, S. 1 (4). Zöllner, RDV 1985, S. 3 ff. ging davon aus, dass das Volkszählungsurteil keine Bedeutung für nicht-öffentliche Datenverarbeitung habe, so auch Ehmann, AcP 188 (1988), S. 303 ff. 61
B. Informationelle Selbstbestimmung als verfassungsrechtliches Leitbild
85
Gesetzesvorbehalt statuiert werden. Regelmäßig stattfindende Datenübermittlungen im öffentlichen Bereich sollten ebenfalls unter Gesetzesvorbehalt gestellt werden, § 10 Abs. 3 BDSG-Ä84. Außerdem war die Stärkung des Zweckbindungsgrundsatzes in Bezug auf automatisierte bzw. online-Abrufverfahren geplant. Entsprechend sollte künftig verbindlich zwischen Sender und Empfänger der Daten festgelegt werden, wer welche Daten für welche Zwecke abrufen kann, § 3b Abs. 2 BDSG-Ä84. Durch die Einführung eines verschuldensunabhängigen Schadensersatzanspruches sowie intensivierter Auskunftsrechte – von denen Sicherheitsbehörden nicht mehr generell ausgenommen sein sollten – sollte die Stellung des von der Datenverarbeitung Betroffenen generell verbessert werden. Auch die Verbesserung der aufsichtsbehördlichen Position sah der Entwurf vor, namentlich durch den Wegfall der Anlassaufsicht sowie die Klarstellung von Kontroll- und Prüfbefugnissen. Außerdem sollte den Aufsichtsbehörden das Recht gewährleistet werden, frühzeitig zu den Auswirkungen des Einsatzes neuer Informationstechniken auf den Datenschutz Stellung nehmen zu können, denn eine „,Vorverlagerung‘ des Datenschutzes kann ein wichtiger Beitrag sein, Fehlentwicklungen zu vermeiden und die wünschenswerte Transparenz öffentlicher Planung in diesem Bereich zu erhöhen“.62 Insgesamt lässt sich dem Entwurf zwar eine Akzentverschiebung hinsichtlich der datenschutzrechtlichen Akteursstruktur entnehmen; tendenziell weg von dem Konzept einer möglichst liberalen Selbst- und hin zu einer verstärkten institutionalisierten Fremdkontrolle. Zusammenfassend lässt sich dennoch feststellen, dass der konzeptionelle Einfluss des Rechts auf informationelle Selbstbestimmung auf den Gesetzesvorschlag überschaubar blieb. Sowohl sein Inhalt als auch dessen Veröffentlichungszeitpunkt – drei Monate nach Verkündung des Urteils – legen den Schluss nahe, dass dieser im Wesentlichen bereits vor der Entscheidung des Gerichts erarbeitet und anschließend lediglich an die „Formel“ von der informationellen Selbstbestimmung redaktionell angepasst wurde. Die gesamte Gesetzesinitiative vermittelte den Eindruck, dass die Begriffe informationelle Selbstbestimmung und Privatheit beliebig austauschbar seien. Jedenfalls schienen Inhalt und Grenzen der verfassungsrechtlichen Anforderungen an das Datenschutzrecht noch weitestgehend klärungsbedürftig zu sein. Damit bestand zwar formal mit dem Grundrecht auf informationelle Selbstbestimmung ein „neuartiges normatives Unterfutter“ für das dem Entwurf zugrundeliegende Datenschutzleitbild, diesem wurde aber nicht konsequent Rechnung getragen. Am 20. September 1984 setzte sich der Bundestag sowohl mit der Gesetzesinitiative der SPD-Fraktion als auch dem Gesetz über Personalausweise auseinander.63 62
BT-Drs. 10/1180, S. 22 zu Nr. 23. BT, 10. WP, 85. Sitzung vom 20. 9. 1984, 6162 – 6182; 6182 – 6201. Die Pläne zur Einführung eines maschinenlesbaren und vermeintlich fälschungssicheren Personalausweises hatten in der Bevölkerung datenschutzrechtliche Bedenken und breiten Widerstand hervorgerufen, dazu Taeger (Hrsg.), Der neue Personalausweis. 63
86
§ 4 Reform des BDSG 1977
Bei dieser Gelegenheit wurde insbesondere die Verrechtlichung der Datenverarbeitung thematisiert. Die Redner der Regierungsfraktionen sowie der Vertreter des Innenministeriums lehnten einhellig ein „Übermaß an neuer Bürokratie“64 bzw. eine „Normenflut“65 im Bereich des Datenschutzes ab. Paul Laufs führte diesbezüglich etwa aus, das Volkszählungsurteil stütze keinesfalls die Forderung nach einer gesetzlichen Grundlage für jeden Umgang mit personenbezogenen Informationen im öffentlichen sowie im privaten Bereich. Im Gegenteil führe die totale Verrechtlichung der Datenverarbeitung zu einem Übermaß an Rechtsnormen, die niemand mehr beachte und daher auch niemanden mehr schützten. Er sprach sich nachdrücklich dafür aus, das BDSG auch künftig primär an dem Ziel auszurichten, lediglich die automatische Datenverarbeitung zu reglementieren, und daher an dem einschränkenden Kriterium der Verarbeitung in oder aus einer Datei festzuhalten.66 In der Rolle der Opposition hatte sich die CDU/CSU-Fraktion zuvor noch ausdrücklich für einen Totalvorbehalt im Hinblick auf die Datenverarbeitung im öffentlichen Bereich eingesetzt. Auch der Redner der FDP-Fraktion Burkhard Hirsch plädierte dafür, den Anwendungsbereich des allgemeinen Datenschutzrechts nicht zu extensiv zu gestalten. Insbesondere bezüglich des Einsatzes von Kleincomputern, die ausschließlich dem privaten Gebrauch dienen, sollten ihm zufolge keine datenschutzrechtlichen Verpflichtungen bestehen.67 3. Datenschutz und Sicherheitsgesetze Am 28. Januar 1986 brachten die CDU/CSU-Fraktion und die der FDP einen Vorschlag für ein Artikelgesetz in den Bundestag ein, ausweislich dessen Begründung das allgemeine sowie das spezielle Datenschutzrecht im Sicherheitsbereich an die Vorgaben des Volkszählungsurteils angepasst werden sollten.68 Der Entwurf sah die Änderung des BDSG, des VwVfG, des BVerfSchG sowie des StVG vor. Außerdem sollten die Tätigkeiten des MAD, namentlich die Verarbeitung personenbezogener Daten sowie die Anwendung nachrichtendienstlicher Mittel durch diesen, künftig auf eine gesetzliche Grundlage gestützt werden.69 Des Weiteren wurde im Rahmen dieser Gesetzesinitiative anvisiert, dass Datenschutzrecht an die gewandelten technischen Ausgangsbedingungen der Datenverarbeitung anzupassen.70 Mittlerweile hatten sich dank der Entwicklung von Mikroprozessoren verhältnismäßig kleine sowie kostengünstige PCs sowohl am Arbeitsplatz als auch für den 64
BT, 10. WP, 85. Sitzung vom 20. 9. 1984, 6193 (A). BT, 10. WP, 85. Sitzung vom 20. 9. 1984, 6189 (D). 66 BT, 10. WP, 85. Sitzung vom 20. 9. 1984, 6188 (C), 6189 (A). 67 BT, 10. WP, 85. Sitzung vom 20. 9. 1984, 6191 (B). 68 BT-Drs. 10/4737, S. 33 ff. Ohne Angabe von Quellen behauptete Schomerus, dass der Entwurf der Koalitionsfraktionen im Wesentlichen einem CDU-internen Entwurf aus der Zeit vor dem Volkszählungsurteil entsprach, Schomerus, RDV 1986, S. 61 (66). 69 BT-Drs. 10/4738. 70 BT-Drs. 10/4737, S. 35. 65
B. Informationelle Selbstbestimmung als verfassungsrechtliches Leitbild
87
privaten Gebrauch verbreitet. Entsprechend fand Datenverarbeitung im öffentlichen wie auch im nicht-öffentlichen Bereich zunehmend dezentralisiert und immer häufiger vernetzt statt. In Auslegung des Volkszählungsurteils wandte sich auch der in Rede stehende Entwurf von der bis dato im Datenschutzrecht vorherrschenden Missbrauchsformel ab. Die Gefahren, vor denen es die Bürger zu schützen gelte, ergäben sich hiernach bereits aus der bloßen Verarbeitung von Daten in Dateien und nicht mehr aus einem als missbräuchlich zu qualifizierenden, weiteren Verarbeitungsakt.71 Gleichwohl legte der Entwurf weiterhin „die erheblichen Unterschiede, die in Gefährdungslage und Handhabung insbesondere zwischen automatisierter und herkömmlicher Informationsverarbeitung“72 bestünden, zugrunde. Gemäß dem Vorschlag sollte erstere im BDSG und letztere im Bereich der öffentlichen Verwaltung durch das VwVfG oder – falls notwendig – in bereichsspezifischen Vorschriften geregelt werden.73 Jene Differenzierung schlug sich ebenfalls terminologisch nieder. Angesichts analoger Verarbeitungsverfahren war die Rede von personenbezogenen Informationen i.S.e. Oberbegriffs. Erst wenn diese automatisiert verarbeitet werden sollten, wurden sie als Daten bezeichnet. Im Hinblick auf die nicht-automatisierte Datenverarbeitung im nicht-öffentlichen Bereich sahen die Regierungsfraktionen grundsätzlich keinen Regulierungsbedarf.74 In Bezug auf das Schutzgut des Datenschutzrechts rekurrierte der Vorschlag explizit auf das Volkszählungsurteil. Datenschutz sollte künftig neben sonstigen schutzwürdigen Belangen Betroffener – hiermit waren rechtlich anerkannte Interessen gemeint – vor allem den Schutz des Persönlichkeitsrechts, dem das Recht auf informationelle Selbstbestimmung immanent sei, gewährleisten, § 1 Abs. 1 BDSGÄ86.75 Die Gesetzesinitiativen im Sicherheitsbereich und des StVG nahmen der Entwurfsbegründung zufolge ihren Ursprung in einer Aussage des Volkszählungsurteils, nach der das Recht auf informationelle Selbstbestimmung mit einer Gesellschaftsbzw. Rechtsordnung nicht zu vereinbaren sei, in welcher der Bürger nicht mehr
71 Diese Gefahren beschrieb Ehmann und nahm Stellung zu den in Rede stehenden Entwürfen, Ehmann, RDV 1988, S. 169 (172 f.). Dieser kritisierte außerdem, dass Schutzgut und Schutzzweck in den Entwürfen weder eindeutig bestimmt seien noch diesen stringent Rechnung getragen werde, s.a. ders., RDV 1988, S. 221 ff. 72 BT-Drs. 10/4737, S. 46 und S. 55. 73 Diesen Aspekt positiv bewertend Wronka, Datenschutz heute und morgen, in: Gliss/ Hentschel/Wronka (Hrsg.), Betrieblicher Datenschutz aus betrieblicher, behördlicher und wissenschaftlicher Sicht, S. 239 ff.; s.a. Ehmann, RDV 1986, S. 169 f. 74 Kritisch zu diesem „Zwei-Klassen-Schutzmodell“ BfD, 19. TB, BT-Drs. 10/6816, S. 75 f. 75 BT-Drs. 10/4737, S. 55.
88
§ 4 Reform des BDSG 1977
wissen könne, wer was wann und bei welcher Gelegenheit über ihn wisse.76 Spätestens ab Mitte der 1980er Jahre wurde verstärkt der Auf- und Ausbau elektronischer Dateien vorangetrieben, mit deren Hilfe verschiedene Sicherheitsbehörden auch personenbezogene Daten untereinander austauschen bzw. online abrufen konnten.77 Der Vorgang des Erhebens und die sich anschließende automatische Datenverarbeitung bzw. -nutzung fielen unter diesen Bedingungen mithin immer häufiger auseinander. Werden die Daten dann auch noch mit Hilfe nachrichtendienstlicher Mittel generiert bzw. nicht bei dem Betroffenen selbst erhoben, hat dieser praktisch kaum eine Chance, die Verarbeitung von Daten, die sich auf ihn beziehen, zur Kenntnis zu nehmen und insoweit datenschutzrechtliche Positionen geltend zu machen. Ähnliches gilt auch für die Verarbeitung personenbezogener Daten im Rahmen von ZEVIS, dem zentralen Verkehrsinformationssystem des deutschen Kraftfahrtbundesamts. Dieses verfügt über Datensätze, die sich insbesondere auf Kraftfahrzeughalter und Besitzer einer Fahrerlaubnis beziehen und damit namentlich im Rahmen sicherheitsbehördlicher Tätigkeiten von Interesse sein können.78 ZEVIS sollte durch den Entwurf eine neue Gesetzesgrundlage erhalten. Die beschriebenen Schutzdefizite sollten durch die Schaffung bereichsspezifischer Ermächtigungsgrundlagen für die Errichtung solcher Datenbanken sowie die Erhebung, Verarbeitung und Nutzung personenbezogener Daten in deren Rahmen ausgeglichen werden. Im Hinblick auf das allgemeine Datenschutzrecht sollte entsprechend der Entwurfsbegründung außerdem durch den Ausbau des Zweckbindungsgrundsatzes, der Betroffenenrechte sowie der aufsichtsbehördlichen Kontrollbefugnisse den verfassungsrechtlichen Anforderungen des Rechts auf informationelle Selbstbestimmung Rechnung getragen werden. Gleichwohl lässt die konkrete Ausgestaltung der anvisierten Änderungen eher vermuten, dass man stattfindende Praktiken gesetzlich absichern wollte, anstatt verfassungsrechtliche Vorgaben zu erfüllen.79 Insbesondere die Ausgestaltung des Zweckbindungsgrundsatzes im allgemeinen Datenschutzrecht war wenig zielführend. Die automatisierte Speicherung, Veränderung und Nutzung personenbezogener Daten sollten hiernach zwar nur für bestimmte Zwecke zulässig sein – wobei deren Bestimmung unklar blieb – und Zweckänderungen lediglich im Rahmen enumerativ aufgezählter Ausnahmevorschriften gerechtfertigt werden können, § 9 Abs. 1, 2 BDSG-Ä86. Gleichwohl sollte die Übermittlung personenbezogener Daten im öffentlichen Bereich u. a. dann zu76
BVerfG, 1 BvR 209/83, BVerfGE 65, 1 (43) – Volkszählung. Dafür, dass dies „nicht der pathologische Fall, sondern der Normalfall funktionierender freier Kommunikation“ sei Gusy, KritV 2000, S. 52 (59); s.a. Duttge, Der Staat 36 (1997), S. 281 (303). 77 Siehe etwa zur „Arbeitsdatei PIOS-Innere Sicherheit“ (APIS), BfD, 9. TB, BT-Drs. 10/ 6816, S. 60 ff.; zu GEAK, APIS und NADIS BfD, 10. TB, BT-Drs. 11/1693, S. 76 ff. 78 Zur sog. P-Anfrage Liß, CILIP 1984, S. 47 ff. Siehe auch die Große Anfrage der Fraktion Die GRÜNEN zu ZEVIS, BT-Drs. 10/2226, sowie die Antwort der BReg, BT-Drs. 10/3761; Brinckmann, DÖV 1985, S. 889 ff.; Fuckner, CR 1988, S. 411 ff. 79 So auch Schomerus, RDV 1986, S. 61 (66).
B. Informationelle Selbstbestimmung als verfassungsrechtliches Leitbild
89
lässig sein, wenn eine Zweckänderung zulässig wäre, §§ 10 Abs. 2 Nr. 2, 9 Abs. 2 S. 3 BDSG-Ä86. Hiernach könnten folglich für einen bestimmten Zweck erhobene Daten zu einem anderen Zweck an eine weitere Behörde übermittelt werden. Diese Praxis wäre für die Betroffenen völlig undurchsichtig und sie gestaltete sich auch nicht durch die generalklauselartig formulierten Ermächtigungsgrundlagen des Entwurfs transparenter.80 Angesichts der Verarbeitung personenbezogener Daten durch Nachrichtendienste versuchte der Entwurf gemäß seiner Begründung, eine allgemeine Tendenz aufzugreifen, nach der neben einer Aufgabenbeschreibung durch den Gesetzgeber das Instrumentarium für hoheitliches Handeln in Form von Befugnisnormen festzulegen sei.81 Problematisch an der Verwirklichung dieses Ansatzes durch die Gesetzesinitiative war der Umstand, dass zwar die Festlegung von Zulässigkeitsvoraussetzungen für das Errichten und Bereithalten gemeinsamer Datenbestände durch die Verfassungsschutzbehörden erfolgte – diese sollten bestimmten Zwecken dienen und der Zugriff auf sie musste gesichert sein –, diese Vorgaben aber insgesamt äußerst unbestimmt blieben. Im Ergebnis hätten sie wenig Transparenz geschaffen und damit den Verfassungsschutzbehörden umfangreiche Handlungsspielräume eröffnet. Kritikwürdig war in diesem Zusammenhang auch das generelle Auskunftsverweigerungsrecht, das den Verfassungsschutzbehörden, dem BND und dem MAD in Bezug auf Auskunftsbegehren Betroffener zugestanden werden sollte, § 13 Abs. 2 Nr. 1, Abs. 4 S. 2 BDSG-Ä86.82 Insgesamt leistete der Entwurf auch die anvisierte Anpassung des Datenschutzrechts an den technologischen Fortschritt nicht. Lediglich die Regelungen zu automatisierten Abrufverfahren und zu PCs sind insoweit erwähnenswert, § 6a bzw. § 1 Abs. 4 BDSG-Ä86. Erstere war weitestgehend mit dem Vorschlag der SPD-Fraktion deckungsgleich,83 abgesehen von dem Umstand, dass sich der Anwendungsbereich der in Rede stehenden Vorschrift enger darstellte; Datenbestände, die jedermann zur Benutzung offenstehen – und damit einen entsprechend großen Wirkungskreis haben –, wurden von der Norm nicht umfasst. PCs sollten explizit vom Anwendungsbereich des Gesetzes ausgeschlossen werden, wenn sie ausschließlich dem privaten Gebrauch dienen.84 80
Kritisch etwa BfD, 9. TB, BT-Drs. 10/6816, S. 76 f.; s.a. Entschließung der Konferenz der Datenschutzbeauftragten zu den „Sicherheitsgesetzen“, BT-Drs. 10/6816, S. 84 f. 81 BT-Drs. 10/4737, S. 49. S.a. Schapper, DRiZ 1987, S. 221 ff. 82 Diese Regelung stellte eine wesentliche Schlechterstellung Betroffener gegenüber der Rechtslage nach dem BDSG 1977 dar. Aus der Entwurfsbegründung ging zwar hervor, dass die Regelung kein Auskunftsverbot enthalte, vielmehr einen Ermessensspielraum begründe, der sich in eine Auskunftspflicht umwandele, wenn im Einzelfall eine Gefährdung der Aufgabenerfüllung ausgeschlossen werden könne. Gleichwohl war genau der gegenteilige Regelungsgehalt dem Text der Norm zu entnehmen. Die Regelung war damit unklar und wenig betroffenen- bzw. rechtsanwenderfreundlich formuliert. 83 Hierzu § 4 B. II. 2. 84 BT-Drs. 10/4737, S. 36.
90
§ 4 Reform des BDSG 1977
Auch die vom Volkszählungsurteil geforderte Unabhängigkeit der Aufsichtsbehörden wurde durch den Entwurf nicht verwirklicht. Der BfD sollte weiterhin bei dem BMI eingerichtet bleiben und der Dienstaufsicht des Bundesministerium des Innern unterstehen, § 17 Abs. 5 S. 1, 2 BDSG-Ä86. Ferner wäre den durch die Gesetzesinitiative anvisierten Restriktionen des Anwendungsbereichs des BDSG auch eine Verkürzung der Prüfungskompetenzen des BfD gefolgt. Außerdem sollten dessen Kontrollbefugnisse im Bereich des Artikel 10-Gesetzes grundsätzlich ausgeschlossen werden. Das Fazit im Hinblick auf diese Gesetzesinitiative fällt damit ernüchternd aus. Der Entwurf war nicht die Folge eines gesetzgeberischen Leitbildwandels. Grundsätzlich wurde insoweit zwar die Existenz des Rechts auf informationelle Selbstbestimmungen anerkannt. Aus jenem Recht wurde aber lediglich vordergründig abgeleitet, dass rechtliche Datenschutzvorgaben die negativen Effekte der Datenverarbeitung für den Einzelnen abzuwenden haben. Mithin wurde insofern ein als eindimensional zu kennzeichnendes Verständnis des Verhältnisses von Recht und Technik zugrunde gelegt, demgemäß beide einander ausschließlich feindlich gegenüberstehen. Dass Betroffene mit Hilfe der Datenverarbeitungstechnik ihre informationelle Selbstbestimmung mitunter überhaupt erst ausüben können bzw. Datenschutz durch Technik geleistet werden kann, ließ der Entwurf gänzlich unberücksichtigt. Weil die Notwendigkeit der Datenverarbeitung – vor allem im Sicherheitsbereich – anerkannt wurde, wurden außerdem umfassende Ausnahme- und Erlaubnistatbestände etabliert, die das Primat der informationellen Selbstbestimmung im Ergebnis als Lippenbekenntnis erscheinen ließen. Die Interessen datenverarbeitender Stellen wurden damit insbesondere in grundrechtssensiblen Bereichen grundsätzlich privilegiert. Die von dem Entwurf gewählten Mittel und das in ihm zum Ausdruck kommende Verständnis der Datenschutzakteure – im Ergebnis „schwache“ Aufsichtsbehörden, Betroffene, die zwar Rechte haben, denen man die Geltendmachung derselben aber erschwert, und datenverarbeitende Stellen, deren Interessen nicht nur im Zweifel stattgegeben wird – waren wenig innovativ und sind damit angesichts des technologischen Fortschritts als reaktionär zu bewerten. Bezüglich der Frage, warum man die an sich bereits komplexe Aufgabe der Novellierung des BDSG mit der Arbeit an den Sicherheitsgesetzen verband, lassen sich verschiedene Erklärungsansätze verfolgen. Einerseits kann dem Volkszählungsurteil die Aufforderung zur Schaffung bereichsspezifischer Ermächtigungsgrundlagen im Hinblick auf die Verarbeitung personenbezogener Daten im öffentlichen Bereich entnommen werden – so auch die Entwurfsbegründung –, andererseits ist davon ausgehen, dass sich die unliebsamen Konsequenzen eines als zu streng empfundenen Datenschutzrechts am effektivsten vermeiden lassen, wenn man bereits im Novellierungsprozess Formulierungen wählt, welche diese ausschließen.85
85
So etwa Simitis, in: ders. (Hrsg.), BDSG, Einl. Rn. 57.
B. Informationelle Selbstbestimmung als verfassungsrechtliches Leitbild
91
4. Parlamentarische Arbeit an den Gesetzentwürfen der Regierungsfraktionen und der Bundesregierung Nachdem die Regierungsfraktionen mehr als zwei Jahre an den Gesetzentwürfen zur Novellierung des BDSG sowie zur Regelung des Datenschutzes im Sicherheitsbereich gearbeitet hatten, wurden diese bereits zwei Tage nach ihrer Einbringung – und unter heftiger Kritik der Oppositionsfraktionen ob ihrer kurzen Vorbereitungszeit – am 31. Januar 1986 erstmals im Bundestag diskutiert.86 Die teilweise äußerst polemisch geführte und insgesamt eher inhaltsleere Debatte zeugte davon, wie uneins man sich angesichts des Verhältnisses von Freiheit und Sicherheit bzw. des Stellenwerts sowie der konkreten Ausgestaltung des Datenschutzes war. Schließlich wurden die eingebrachten Entwürfe zur weiteren Arbeit an die Ausschüsse – jeweils federführend an den Innenausschuss – überwiesen. War am Ende der Debatte im Hinblick auf die Reformierung des Datenschutzrechts wenig gewonnen, so wurden insoweit dennoch drei Aspekte offenbar: 1. die Vehemenz, mit der man über die Gesetzesinitiative stritt, galt als Indikator für die gesteigerte politische Relevanz des Datenschutzes, 2. verlor die Reform des allgemeinen Datenschutzrechts im nicht-öffentlichen Bereich generell an Aufmerksamkeit und 3. war das Verhältnis von Privatheit und informationeller Selbstbestimmung bis dato kaum konsentiert. Teilweise wurden beide Begriffe synonym verstanden, teilweise schienen sie sich zu ergänzen, jedenfalls aber wurde die Privatheit nicht schlechthin – wie noch in dem Novellierungsvorschlag der SPD vom 27. März 1984 – durch die informationelle Selbstbestimmung als zentrales Schutzgut des Datenschutzrechts verdrängt. Am 17. April 1986 brachte die Bundesregierung eine mit dem Artikelgesetz der Regierungsfraktionen nahezu inhaltsgleiche Gesetzesinitiative zur Novellierung des Datenschutzrechts in den Bundestag ein.87 Diese wurde noch um ein Gesetz zur Regelung der informationellen Zusammenarbeit der Sicherheits- und Strafverfolgungsbehörden des Bundes und der Länder in Angelegenheiten des Staats- und Verfassungsschutzes sowie angesichts nachrichtendienstlicher Tätigkeiten – das ZAG – ergänzt.88 Der Bundesrat stand der genannten Initiative äußerst positiv gegenüber.89 Tendenziell sprach sich dieser sogar für eine noch umfassendere Einschränkung der Betroffenenrechte sowie der aufsichtsbehördlichen Kompetenzen aus. Beispielsweise forderte er die restriktivere Gestaltung des verschuldensunabhängigen Schadensersatzanspruchs und des Zweckbindungsgrundsatzes sowie die Lockerung der aufsichtsbehördlichen Anordnungsbefugnisse. Diese Einschätzung wurde von den die Minderheit im Bundesrat bildenden SPD-regierten Bundesländern nicht geteilt. 86 87 88 89
BT, 10. WP, 195. Sitzung vom 31. 1. 1986. BT-Drs. 10/5343. BT-Drs. 10/5344. BT-Drs. 10/5343, S. 78.
92
§ 4 Reform des BDSG 1977
Diese plädierten vielmehr für eine einheitliche Regulierung der Informationsverarbeitung durch öffentliche und nicht-öffentliche Stellen sowohl angesichts automatisierter als auch nicht-automatisierter Datenverarbeitungsformen. Um jene Ziele zu verwirklichen, brachten sie einen eigenen Gesetzesvorschlag in den Bundesrat ein.90 Dieser sah eine Loslösung vom Dateibegriff und damit die Einbeziehung von Akten in den Anwendungsbereich des BDSG vor. Gleichwohl sollten für nicht-automatisierte Verarbeitungsformen datenschutzrechtliche Anforderungen nur bedingt gelten, z. B. sollten die Vorgaben zur Datensicherheit in der Anlage zu § 6 BDSG 1977 auch künftig lediglich für die automatisierte Datenverarbeitung gelten. Außerdem wurde hier anvisiert, Vorgaben zum Arbeitnehmerdatenschutz in das BDSG aufzunehmen und die Phase der Erhebung personenbezogener Daten als datenschutzrelevant anzuerkennen – beides bereits bekannte Anliegen der Sozialdemokraten. Vorschläge für bereichsspezifische Datenschutzregelungen im Sicherheitsbereich unterbreitete der Entwurf jedoch nicht. Die gemeinsame Beratung des Entwurfs der SPD-regierten Bundesländer und des Vorschlags der Bundesregierung im Bundesrat am 14. März 1986 gestaltete sich im Vergleich zu der Auseinandersetzung mit den Novellierungsvorschlägen im Bundestag moderat und sachgerecht.91 Letztlich wurde der Antrag der SPD-regierten Bundesländer auf Einbringung ihres Vorschlags in den Bundestag mehrheitlich abgelehnt. Bemerkenswert ist eine während der Debatte geäußerte Erkenntnis des damaligen Innenministers von Schleswig-Holstein Karl Eduard Claussen: „Wenn wir die moderne Technik nutzen, dann müssen wir eben dafür sorgen, daß nicht die Technik bestimmt, was passiert. Wir müssen die neue Technik so anwenden, wie wir es für richtig halten. Technik als solche ist völlig wertneutral. Es kommt darauf an, was der Gesetzgeber daraus macht.“92 Der Gesetzesinitiative der Bundesregierung, auf die sich dieses Zitat bezog, lag dieser Anspruch jedoch nicht zugrunde. Hiernach war es entsprechend den unbestimmten Rechtsbegriffen und Generalklauseln, deren Statuierung der Entwurf vorsah, nicht der Gesetzgeber, sondern waren es primär die datenverarbeitenden Stellen, welche im Ergebnis über die Rechtskonformität von Datenverarbeitungstätigkeiten und -prozessen entscheiden sollte. 5. Exkurs zum ZAG Mit dem ZAG wollte die Bundesregierung die informationelle Zusammenarbeit der Sicherheits- sowie der Strafverfolgungsbehörden des Bundes und der Länder im Rahmen des Staats- und Verfassungsschutzes bzw. nachrichtendienstlicher Tätigkeiten regeln. Diese Gesetzesinitiative wird im Folgenden einer genaueren Betrachtung unterzogen, da die Ausgestaltung des Datenschutzes in diesem grund90 91 92
BR-Drs. 121/86, S. 53. BR, 562. Sitzung vom 14. 3. 1986. BR, 562. Sitzung vom 14. 3. 1986, 169 (A).
B. Informationelle Selbstbestimmung als verfassungsrechtliches Leitbild
93
rechtssensiblen Bereich aussagekräftige Rückschlüsse auf das datenschutzrechtliche Leitbild der Bundesregierung zulässt. Bis zu der Einbringung des Entwurfs wurde die informationelle Kooperation der in Rede stehenden Behörden durch die nicht veröffentlichte Zusammenarbeitsrichtlinie vom 18. September 1970 i. d. F. vom 23. Juni 1973 geregelt. Spätestens seit dem Erlass des Volkszählungsurteils, in welchem das BVerfG die verfassungsrechtlichen Voraussetzungen für Eingriffe in das Recht auf informationelle Selbstbestimmung erörterte, ließ sich dieser Zustand nicht mehr aufrechterhalten; zu diesen zählte nämlich insbesondere das Bestehen bereichsspezifischer, transparenter sowie normklarer Rechtsgrundlagen. Ausweislich seiner Begründung sollte der Entwurf durch die Normierung entsprechender Ermächtigungsgrundlagen diesem Anspruch gerecht werden.93 Die konkreten Regelungen des Entwurfs waren mit den grundgesetzlichen Anforderungen jedoch nicht in Einklang zu bringen. Diese sollten die Übermittlung personenbezogener Daten zwischen den genannten Behörden prinzipiell gesetzlich legitimieren, anstatt einen Ausgleich zwischen dem Recht auf informationelle Selbstbestimmung und der effektiven Aufgabenerfüllung im Sicherheitsbereich zu schaffen. § 6 ZAG regelte die sog. Spontanübermittlung. Hiernach hatte die informationspflichtige Behörde personenbezogene Daten von sich aus – mithin unabhängig von einem Ersuchen – dem Empfänger zukommen zu lassen. Entsprechend hätte etwa das BKA näher konkretisierte Daten, die diesem bei der Erfüllung seiner Aufgaben bekanntgeworden sind, an das BfV, den MAD oder den BND übermitteln müssen, wenn Anhaltspunkte dafür bestehen, dass diese für die Erfüllung ebenfalls näher konkretisierter Aufgaben der empfangenden Stelle erforderlich sind, § 6 Abs. 2 Nr. 1 lit. d ZAG. Eine Abwägung mit Betroffeneninteressen erfolgte weder abstrakt in der Norm noch war eine solche für deren konkreten Anwendungsfall vorgesehen. Weiterhin wurde nicht bestimmt, wann von der Erforderlichkeit der Information i.S.d. Norm auszugehen sei. Schließlich fand auch die Art und Weise der Erhebung der Daten – etwa unter Inanspruchnahme besonderer Befugnisse – keine Berücksichtigung. Dies gebieten jedoch sowohl das Recht auf informationelle Selbstbestimmung als auch das verfassungsrechtliche Trennungsgebot.94 Insgesamt beschränkten sich damit die aus dem Recht auf informationelle Selbstbestimmung gezogenen Konsequenzen auf die Existenz der Norm und erstreckten sich diese nicht auch auf deren Ausgestaltung. § 7 ZAG normierte die Übermittlung auf Ersuchen. Hiernach wäre der Adressat des Ersuchens verpflichtet gewesen, personenbezogene Daten, die bei der Erfüllung seiner Aufgaben angefallen sind, zu übermitteln, wenn diese für die Erfüllung der gesetzlichen Aufgaben der ersuchenden Sicherheitsbehörde bzw. zur Verhinderung näher bezeichneter Straftaten erforderlich sind und diese die Daten nicht selbst, nur 93
BT-Drs. 10/5344, S. 9. Zum Trennungsgebot s. Denninger, ZRP 1981, S. 231 ff.; Gusy, ZRP 1987, S. 45 ff.; ders., Trennungsgebot, in: Möllers/v. Ooyen (Hrsg.), JBÖS 2008/2009, S. 177 ff. 94
94
§ 4 Reform des BDSG 1977
mit unverhältnismäßigem Aufwand oder lediglich durch eine Maßnahme, die den Betroffenen noch intensiver belastet, generieren kann. Exklusiv in Bezug auf Daten, die bei Wohnungsdurchsuchungen anfallen, sollte der Adressat des Ersuchens gemäß dem Gesetzesvorschlag eine Interessenabwägung anstellen. Inwiefern diese Regelung Potentiale zur Durchbrechung des Trennungsprinzips aufwies, ergab bereits ihre Begründung; gezielte Ersuchen, welche die aufgeforderte Behörde erst veranlassen, die entsprechenden Daten zu erheben, seien hiernach nicht zulässig, Anfragen oder Anregungen hingegen nicht ausgeschlossen.95 Durch § 12 Abs. 2 ZAG sollte die Übermittlung personenbezogener Daten, die im Rahmen von Telefonüberwachungen gem. § 100a StPO gewonnen wurden, von Strafverfolgungsbehörden an Sicherheitsbehörden legitimiert werden. Für die Anordnung der Datenübermittlung sollte die Staatsanwaltschaft und nicht etwa ein Richter verantwortlich sein. Der Bundesrat ging in seiner Stellungnahme zu dem Entwurf davon aus, dass der Anwendungsbereich und partiell auch einzelne Regelungen desselben noch zu restriktiv ausgestaltet seien. Namentlich die Pflicht zur Spontanübermittlung sollte diesem zufolge im Hinblick auf extremistische Bestrebungen erweitert werden. Weiterhin sollte die dargestellte „Wohnungsklausel“ als Übermittlungshindernis gestrichen werden, denn hier werde „ohne zwingende Gründe […] eine Zwangsbefugnis der Polizei privilegiert“96. Art. 13 GG stellte augenscheinlich für die die Stellungnahme tragende Mehrheit im Bundesrat keinen ausreichenden Grund dar. Insgesamt griff der Entwurf allein die automatisierte Verarbeitung von Daten auf. Gleichwohl bildete zu diesem Zeitpunkt die nicht-automatisierte Verarbeitung von Daten noch einen erheblichen Anteil der informationellen Arbeit der in Rede stehenden Behörden, für den entsprechend keine bereichsspezifischen Regelungen geschaffen werden sollte. Aber auch das Potential der automatisierten Verarbeitung von Daten wurde im Rahmen des Gesetzesvorschlags nicht hinreichend gewürdigt. Insbesondere das Verfahren und die Infrastruktur, mit deren Hilfe die Daten übermittelt werden sollten, thematisierte dieser nicht. Das geltende Datenschutzrecht und die anderen Entwürfe der Gesetzesinitiative griffen die Besonderheiten der Datenverarbeitung durch Sicherheitsbehörden ebenfalls nicht auf. Folglich konnte auch ein Rückgriff auf diese die dargestellten Lücken nicht schließen. Die Übermittlung personenbezogener Daten kann eine Zweckentfremdung darstellen. Werden die übermittelten Daten dann auch noch unter Zwang bzw. Inanspruchnahme besonderer Befugnisse und/oder heimlich bzw. verdeckt gewonnen, begründet die Übermittlung respektive Zweckentfremdung eine besondere Eingriffsintensität. Dieser kann ggf. durch Verfahrens- und Organisationsvorschriften Rechnung getragen werden. Solche sah der Entwurf aber nicht vor. Aussagen zum technischen Datenschutz, zu Betroffenenrechten oder einem institutionalisierten Kontrollregime fehlten bzw. waren unzureichend. Im Ergebnis trug das Gesetz als Ansammlung von General95 96
BT-Drs. 10/5344, S. 12. BT-Drs. 10/5344, S. 17.
B. Informationelle Selbstbestimmung als verfassungsrechtliches Leitbild
95
klauseln und unbestimmten Rechtsbegriffen dem Recht auf informationelle Selbstbestimmung nicht Rechnung. Insoweit wurde der Stellenwert des Datenschutzes deutlich: Gegenüber Sicherheitsinteressen hatte er grundsätzlich und in weitem Maße zurückzutreten. 6. Vom umfassenden Artikelgesetz zur Verabschiedung der Rechtsgrundlage für ZEVIS Angesichts des nahenden Endes der Legislaturperiode und der fundamentalen Uneinigkeiten ob der Reformierung des allgemeinen sowie des speziellen Datenschutzrechts im Sicherheitsbereich – sowohl zwischen den Regierungs- und Oppositionsfraktionen als auch zwischen den Regierungsfraktionen selbst – konzentrierte sich die Arbeit an dem Artikelgesetz in den Ausschüssen auf die Änderung des StVG bzw. die Rechtsgrundlage für ZEVIS. Am 3. Dezember 1986 legte der Innenausschuss diesbezüglich seine Beschlussempfehlung vor.97 Die Gesetzesänderung wurde zwei Tage später im Bundestag beraten und schließlich der Entwurf in der Fassung des Innenausschusses angenommen.98 Der restliche und weitaus größere Teil des Artikelgesetzes, welches vorgeblich ein Gesamtkonzept verfolgte, fiel hingegen der sachlichen Diskontinuität zum Opfer. Die späteren Debatten im Innenausschuss fanden unter dem Eindruck der tödlichen Attentate auf Karl Heinz Beckurts sowie Eckhard Groppler am 9. Juli 1986 und Gerold von Braunmühl am 10. Oktober 1986 statt. Im Innenausschuss betonte die CDU/CSU-Fraktion wiederholt, dass das Gesetz zur Änderung des StVG „wegen der konkreten Terrorismusbedrohung jetzt kommen müsse“99. Bezeichnenderweise leugnete der Koalitionspartner den Zusammenhang zwischen Terrorismusbedrohung und ZEVIS. Die FDP-Fraktion gab stattdessen vor, dass die in Rede stehenden Regelungen aufgrund der Aussagen des Volkszählungsurteils notwendig seien und deren Beratung lediglich aufgrund des Endes der Legislaturperiode aus dem Artikelgesetz ausgeklammert worden sei.100 Bei den bestehenden Uneinigkeiten handelte es sich nicht lediglich um Detailfragen, ihnen lagen bereits divergierende Auffassungen über die Zweckbestimmung von ZEVIS zugrunde. Die Bundesregierung bezeichnete die Auffassung der Opposition, die Datensammlung diene lediglich der Identifizierung von Fahrzeugen und eine darüber hinausgehende Nutzung des Systems stelle eine Zweckentfremdung dar, als zu eng. Umstritten waren somit vor allem § 35 StVG sowie der 2. Artikel der Gesetzesinitiative. Gemäß der zuerst genannten Vorschrift sollten Fahrzeug- und Halterdaten, die im Rahmen von ZEVIS gespeichert werden, u. a. auch zur Verfolgung von Straftaten, zur Strafvollstreckung sowie zur Erfüllung der gesetzlichen 97
BT-Drs. 10/6613. BT, 10. WP, 254. Sitzung vom 5. 12. 1986, 19808 (B). 99 BT-Drs. 10/6613, S. 24. 100 BT-Drs. 10/6613, S. 24. 98
96
§ 4 Reform des BDSG 1977
Aufgaben der Verfassungsschutzbehörden, des MAD und des BND genutzt werden können. Da die Aufgaben des MAD sowie des BND bis dato noch nicht gesetzlich fixiert waren, sollte Art. 2 des Entwurfs diese vorübergehend normieren. Die 2. Lesung des Entwurfs stand teilweise im Schatten der Verabschiedung einer anderen Gesetzesinitiative der Bundesregierung, nämlich des Gesetzes zur Bekämpfung des Terrorismus.101 Dieses stellte eine direkte Reaktion auf den durch die sog. dritte RAF-Generation verübten Terror dar. Während der parlamentarischen Diskussion setzten sich lediglich die Redner der Oppositionsfraktionen mit ZEVIS auseinander, welche dieses als „zentrales Polizeiinformationssystem“102 bezeichneten und dessen Geeignetheit zur Bekämpfung des Terrorismus grundsätzlich in Abrede stellten.103 Letztlich wurde das Gesetz gegen die Stimmen der Opposition angenommen und damit Befugnis- sowie Aufgabennormen des MAD und des BND durch ein Gesetz begründet, das ausweislich seines Titels lediglich das StVG ändern sollte. Diese Vorgehensweise war programmatisch für das Vorgehen der Bundesregierung im Datenschutzrecht zu dieser Zeit: Es wurden im Hinblick auf die Datenverarbeitung durch öffentliche Stellen datenschutzrechtliche Erlaubnistatbestände geschaffen, um vordergründig die Anforderungen des Volkszählungsurteils zu erfüllen. Jene Befugnisnormen fügten sich gleichwohl nicht in ein Gesamtkonzept ein. Datenschutz, wie er hier von der Bundestagsmehrheit verstanden und realisiert wurde, erschöpfte sich damit in der Schaffung von Erlaubnistatbeständen. Ein Datenschutzkonzept, dem das Recht auf informationelle Selbstbestimmung zugrunde lag, existierte nicht. Im Ergebnis verfestigte sich so ein als quantitativ zu kennzeichnendes Datenschutzrecht.
III. BDSG 1990 1. Ausgangsbedingungen des wiederaufgenommenen Reformdiskurses In der neuen Legislaturperiode griff der gesetzgeberische Datenschutzreformdiskurs die alten Streitfragen wieder auf. Seine Ausgangsbedingungen deuteten darauf hin, dass er sich auch künftig wechselvoll gestalten würde. Die Regierungsfraktionen waren sich nach wie vor über wesentliche konzeptionelle Fragen des Datenschutzes uneins. „Keine Legitimierung von Eingriffen der Nachrichtendienste in die Rechte des Einzelnen ohne Verbesserung des Datenschutzes einerseits, keine Verbesserung des Datenschutzes ohne verläßliche Eingriffsgrundlage für die Dienste
101
BT-Drs. 10/6286. BT, 10. WP, 254. Sitzung vom 5. 12. 1986, 19979 (B). 103 Programmatisch insoweit die Kritik durch den Abgeordneten Wartenberg (SPD) BT, 10. WP, 254. Sitzung vom 5. 12. 1986, 19800 (B). 102
B. Informationelle Selbstbestimmung als verfassungsrechtliches Leitbild
97
andererseits“104 formulierte Ulrich Dammann die zentralen politischen Positionen der Koalitionspartner, die diese weiterhin im Rahmen einer „Paketlösung“ auszugleichen suchten. Demgegenüber verfassten die Oppositionsfraktionen der GRÜNEN und der SPD jeweils einen eigenen Gesetzentwurf zur Änderung des BDSG. Die sozialdemokratische Verhandlungsposition verbesserte sich schließlich nach der zwölften Wahl zum niedersächsischen Landtag am 13. Mai 1990, in deren Folge sich das Kräfteverhältnis im Bundesrat zugunsten der SPD änderte. Die komplexe Herausforderung der politischen Einigung in Sachen Datenschutz fand zudem unter Umständen statt, die den Gesetzgeber zunehmend unter Druck setzten. Zunächst bestand kein Zweifel daran, dass der diesem vom BVerfG im Volkszählungsurteil gewährte „Übergangsbonus“ spätestens mit Ende der in Rede stehenden Legislaturperiode auslaufen würde. Weiterhin drohte der Bundesgesetzgeber seine vermeintliche Leitfunktion im Datenschutzrecht zu verlieren, da einige Bundesländer ihre Datenschutzgesetze bereits an die verfassungsgerichtlichen Vorgaben angepasst hatten bzw. entsprechende Entwürfe in den Landesparlamenten diskutiert wurden. Schließlich zeichnete sich eine „Hochzonung“ des Datenschutzes auf die europäische Ebene ab.105 2. Änderungsvorschläge der Oppositionsfraktionen der GRÜNEN und der SPD In der 11. Legislaturperiode war es die Fraktion der GRÜNEN, die am 21. April 1988 den ersten Gesetzentwurf zur Änderung des BDSG in den Bundestag einbrachte.106 Der Vorschlag konzentrierte sich ausschließlich auf die Rechtsstellung und Wahl des Bundesbeauftragten für den Datenschutz; dieser sollte künftig als oberste Bundesbehörde mit eigenem Etat analog dem Bundesrechnungshof eingerichtet und durch den Bundestag nach vorheriger Anhörung im Innenausschuss gewählt werden. Die erste Beratung des Entwurfs am 19. Mai 1988 fand unter dem Eindruck des Umstandes statt, dass der zweite Bundesbeauftragte für den Datenschutz Reinhold Baumann auch nach dem Ende seiner vierjährigen Amtszeit das Amt weiterhin bekleidete, da sich die Koalitionspartner der CDU/CSU und der FDP nicht auf einen neuen Amtsinhaber einigen konnten.107 Jener Konflikt verleitete diese gleichwohl nicht dazu, Recht- und Zweckmäßigkeit des damaligen Bestellungsverfahrens des 104
Dammann, NVwZ 1991, S. 640. Eine Vorreiterrolle im Reformdiskurs nahm wieder das HEDSG ein, dessen novellierte Fassung am 1. 1. 1987 in Kraft trat (HEGVBl. I 1986 S. 309 – 320); hierzu Fuckner, CR 1988, S. 144 ff.; Lennartz, RDV 1987, S. 74 ff.; Simitis/Walz, RDV 1987, S. 157 ff. In NRW trat am 23. 4. 1988 das Gesetz zur Fortentwicklung des Datenschutzes vom 15. März 1988 in Kraft (NRWGVBl. A S. 160 – 169); s.a. das novellierte Hamburgische Datenschutzgesetz vom 5. Juli 1990, das am 1. 8. 1990 in Kraft trat (HmbGVBl. 1990, S. 133 – 142). 106 BT-Drs. 11/2175. 107 BT, 11. WP, 80. Sitzung vom 19. 5. 1988, ab 5357 (D). 105
98
§ 4 Reform des BDSG 1977
BfD – geschweige denn die Ausgestaltung seiner Rechtsstellung – zu überdenken. Die Vertreter der SPD-Fraktion befürworteten zwar grundsätzlich die Wahl des Bundesbeauftragten durch den Bundestag und die Verankerung seiner Stellung im Grundgesetz. Hingegen sollte das Amt ihrer Meinung nach dem des Wehrbeauftragten nachgebildet werden, der einerseits dem Grundrechtsschutz diene und andererseits als „parlamentarischer Kontrollhelfer“ fungiere.108 Am 13. Dezember 1988 brachte die SPD-Fraktion ihren Entwurf eines BundesInformationsschutzgesetzes in den Bundestag ein.109 Dessen Begründung stützte eines seiner wesentlichsten Anliegen – den Anwendungsbereich des allgemeinen Datenschutzrechts unabhängig von einer Bezugnahme auf einen Dateibegriff zu gestalten – auf eine bundesverfassungsgerichtliche Aussage desselben Jahres, der zufolge die Möglichkeiten und Gefahren der automatischen Datenverarbeitung zwar die Notwendigkeit des Schutzes persönlicher Daten deutlicher hervortreten ließen, diese aber nicht Grund und Ursache ihrer Schutzbedürftigkeit seien.110 Auch ansonsten wurden die bis dato zentralen Aussagen des BVerfG zur informationellen Selbstbestimmung dem Entwurf und seiner Begründung nahezu wortwörtlich zugrunde gelegt. Der maßgebliche Konflikt, dem der Datenschutz begegnen solle, bestehe hiernach zwischen dem Recht auf informationelle Selbstbestimmung des Einzelnen einerseits und überwiegenden Allgemeininteressen andererseits. Zu der Auflösung dieses Konflikts bedürfe es der Schaffung gesetzlicher Regelungen, die es dem Einzelnen ermöglichten, sein Selbstbestimmungsrecht wirksam auszuüben, und welche die Voraussetzungen festlegten, unter denen er Einschränkungen jenes Rechts im überwiegenden Allgemeininteresse hinnehmen müsse.111 Der Entwurf unterschied ausweislich seiner Begründung zwischen personenbezogenen Daten und Informationen. Konzeptionell bzw. im Wortlaut der einzelnen Vorschriften wurde diese Differenzierung hingegen nicht stringent verwirklicht. Erkennbar waren jedoch gestufte Rechtmäßigkeitsanforderungen im Verhältnis analoger Datenverarbeitung einerseits und automatisierter andererseits.112 Insgesamt wurde am Grundkonzept des BDSG 1977 festgehalten und wurden im Wesentlichen die sozialdemokratischen Reformforderungen aus den vorangegangenen Legislaturperioden wiederholt. Zu diesen zählte die Schaffung eines verschuldensunabhängigen Schadensersatz- und eines unentgeltlichen Auskunftsanspruchs zugunsten Betroffener gegenüber datenverarbeitenden Stellen sowie von Sondervorschriften für den Arbeitnehmerdatenschutz und die Verbesserung der Rechtsstellung der Kontrollorgane. Darüber hinaus ließen sich auch einige innovative Ansätze ausmachen, etwa die geplante Einführung von Sondervorschriften im Hinblick auf den 108
BT, 11. WP, 80. Sitzung vom 19. 5. 1988, 5362 (B). BT-Drs. 11/3730. 110 BVerfG, 1 BvL 49/86, BVerfGE 78, 77 (84) – Bekanntmachung Entmündigung. 111 BT-Drs. 11/3730, S. 2. 112 Z.B. in § 8 des Entwurfs bzgl. technischer und organisatorischer Schutzmaßnahmen, BT-Drs. 11/3730, S. 8. 109
B. Informationelle Selbstbestimmung als verfassungsrechtliches Leitbild
99
Einsatz neuartiger Datenverarbeitungstechniken bzw. -dienste, etwa der Videoüberwachungstechnik. Gleichwohl wurde der Entwurf seinem hochtrabenden Anspruch, eine Informationsverkehrsordnung zu schaffen, die den fairen Umgang mit personenbezogenen Daten in der Gesellschaft sicherstelle,113 im Ergebnis nicht gerecht. Die erste parlamentarische Beratung des Entwurfs am 26. Januar 1989 verdeutlichte, wie fundamental sich Regierung und Opposition in ihren bereits verfestigten Datenschutzüberzeugungen gegenüberstanden. Beispielsweise sprachen sich die Redner der SPD-Fraktion während der Vorstellung ihres Entwurfs konsequent für die Ausweitung des Anwendungsbereichs des allgemeinen Datenschutzrechts in unterschiedliche Richtungen aus. Der CDU-Abgeordnete Heribert Blens lehnte hingegen die Einbeziehung von Akten in den Anwendungsbereich des Gesetzes aufgrund des hierdurch voraussichtlich resultierenden Kontroll- und Arbeitsaufwandes ab und stellte die Verfassungsmäßigkeit des datenschutzrechtlichen Verbots mit Erlaubnisvorbehalt im nicht-öffentlichen Bereich grundsätzlich in Frage.114 Die Redner der GRÜNEN kritisierten die Reformvorschläge der SPD und der CDU/CSU als systemimmanent und forderten demgegenüber eine „qualitative Fortentwicklung des Datenschutzes“115. Hierzu unterbreiteten sie auch konkrete Vorschläge, etwa die Einführung einer obligatorischen Präventivkontrolle neuartiger Technologien unter dem Aspekt ihrer Sozialverträglichkeit sowie eine für das Parlament verpflichtenden Datensparsamkeitskontrolle vor Erlass und Änderung gesetzlicher Regelungen, welche die Verarbeitung personenbezogener Daten betreffen. 3. Der „neue“ Entwurf der Bundesregierung Die schwarz-gelbe Bundesregierung brachte schließlich am 6. April 1989 ihren Entwurf eines Gesetzes zur Fortentwicklung der Datenverarbeitung und des Datenschutzes in den Bundestag ein.116 Diese Gesetzesinitiative stimmte konzeptionell und inhaltlich in allen wesentlichen Teilen mit dem von dieser bereits in der 10. Legislaturperiode veröffentlichten Artikelgesetz zur Novellierung des Datenschutzrechts überein.117 Dies zeugte davon, dass sich die Bundesregierung nur äußerst wenig von der ihr entgegengebrachten Kritik annahm.118 Neu eingefügte Passagen der Entwurfsbegründung zur Neufassung des BDSG, die auf innovative Technologien Bezug nahmen, ließen aussagekräftige Rück113
BT, 11. WP, 122. Sitzung vom 26. 1. 1989, 8979 (C). BT, 11. WP, 122. Sitzung vom 26. 1. 1989, 8983 (C). 115 BT, 11. WP, 122. Sitzung vom 26. 1. 1989, 8985 (D). 116 BT-Drs. 11/4306. 117 Siehe dazu § 4 B. II. 3. 118 Krit. BfD, 10. TB, BT-Drs. 11/1693, S. 97 ff.; s.a. Konferenz der Datenschutzbeauftragten des Bundes und der Länder vom 6. Juni 1988, BT-Drs. 11/3932, S. 97. 114
100
§ 4 Reform des BDSG 1977
schlüsse auf das dem Entwurf zugrundeliegende Datenschutzleitbild der Bundesregierung zu. Auf die explizite Regulierung neuartiger Technologien bzw. Dienste, etwa Bildschirmtext-, Fernmess- und Fernwirkdienste, wurde verzichtet. Diese sollten ausschließlich bereichsspezifisch geregelt werden.119 Inwiefern die Funktions- und Wirkungsweisen dieser Dienste auch das allgemeine Datenschutzrecht herausforderten, wurde nicht reflektiert. Bereits insoweit wurde der Entwurf seinem Anspruch auf Weiterentwicklung des Datenschutzrechts nicht gerecht. Darüber hinaus brachte die Bundesregierung ein Verständnis des Rechts auf informationelle Selbstbestimmung zum Ausdruck, das selbst zu dem damaligen Zeitpunkt berechtigterweise als anachronistisch bezeichnet werden konnte. Zum Einsatz innovativer Kommunikations- und Informationsdienste hieß es dort: „Im übrigen hat jedermann im nicht-öffentlichen Bereich die Möglichkeit, den Einsatz dieser Technologien im Einzelfall abzuwehren, da unter Privaten ein solcher Einsatz einer vertraglichen Vereinbarung, also einer Einwilligung bedarf. Damit ist ein hinreichender Schutz gegeben, da es im privaten Bereich für die in Frage kommenden Dienste keinen Anschluß- und Benutzungszwang gibt, der die freie Willensbetätigung ausschließen könnte. Soweit das Risiko besteht, daß im Falle der Ablehnung durch den Betroffenen bestimmte Leistungen nicht erbracht werden, ist dies eine auch in anderen Bereichen übliche Folge der Privatautonomie. Hier besteht in besonderer Weise die Möglichkeit, vom Recht auf informationelle Selbstbestimmung Gebrauch zu machen, da der Betroffene es selbst in der Hand hat abzuwägen, ob seinen Interessen mehr mit dem Ausschluß des Zugriffs mittels bestimmter Technologien auf Vorgänge seines privaten Lebens oder mit der erstrebten Leistung gedient ist.“120 Das Zitat belegt, dass die Bundesregierung sowohl den Inhalt des Rechts auf informationelle Selbstbestimmung als auch die Potentiale der Informations- und Kommunikationstechnologien grob verkannte. Ihr zufolge erschöpft sich das in Rede stehende Recht in der Möglichkeit, sich seinem Entschluss entsprechend zu verhalten, eine bestimmte Technik nicht zu nutzen bzw. nicht zu kommunizieren. Hiernach entspricht das Recht auf informationelle Selbstbestimmung einem Kommunikationsverhinderungs- im Gegensatz zu einem Kommunikationsschutz- bzw. -gewährleistungsrecht.121 Die rechtlich anerkannte Möglichkeit, nicht zu kommunizieren, existierte bereits vor der verfassungsrechtlichen Etablierung des Rechts auf informationelle Selbstbestimmung.122 Möchte man die Bedeutung und den Inhalt 119
BT-Drs. 11/4306, S. 36. BT-Drs. 11/4306, S. 36 f. 121 Zur sozialen Dimension des Rechts s. Becker/Seubert, DuD 2016, S. 73 ff.; Roessler/ Mokrosinska (Hrsg.), Social Dimensions of Privacy. 122 Zur informationellen Selbstbestimmung als negative Seite der Kommunikationsgrundrechte des Art. 5 Abs. 1 GG Hellermann, Die sogenannte negative Seite der Freiheitsrechte, S. 52; Eberle, DÖV 1977, S. 306 (308); Rohlf, Der grundrechtliche Schutz der Privatsphäre, S. 185. Merten betont den Unterschied zwischen informationeller Selbstbestim120
B. Informationelle Selbstbestimmung als verfassungsrechtliches Leitbild
101
dieses Rechts nicht auf die verfassungsrechtliche „Hochzonung“ einer anerkannten Garantie reduzieren, muss es entsprechend mehr umfassen, etwa das Recht auf selbstbestimmte Teilhabe an Kommunikationsprozessen und die Nutzung entsprechender Technologien.123 Auch der undifferenzierte Verweis auf die Privatautonomie geht fehl. Das hier zugrunde gelegte Verständnis ignoriert den Umstand, dass zwischen Dienstenutzer und -anbieter ein Abhängigkeitsverhältnis und entsprechend ein grundrechtsrelevantes Machtungleichgewicht bestehen kann, mithin ggf. ein gesetzgeberischer Schutzauftrag besteht. Insoweit lag der Argumentation der Bundesregierung schließlich auch eine verkürzte Perspektive auf das Institut der Einwilligung zugrunde. Die Möglichkeit, in Datenverarbeitungsprozesse einzuwilligen, stellt nicht in jeder Situation eine Realisierung des Rechts auf informationelle Selbstbestimmung dar, vielmehr kann sie diese insbesondere in Subordinationsverhältnissen ausschließen.124 Mittlerweile ist die Erkenntnis Allgemeingut, dass aufgrund der nicht zu unterschätzenden Bedeutung von Informations- und Kommunikationstechnologien in der sozialen, beruflichen und wirtschaftlichen Realität nahezu aller Bundesbürger ein Verzicht auf diese keine Alternative darstellt, auf die der Gesetzgeber die von der Datenverarbeitung Betroffenen zum Schutz ihrer informationellen Selbstbestimmung rechtmäßigerweise verweisen dürfte.125 Hingegen sah die Bundesregierung bei der Erarbeitung ihres Entwurfs die Dimensionen dieser Entwicklung nicht voraus und unternahm entsprechend auch keine ernstzunehmenden Versuche, in diesen Prozess steuernd einzugreifen. Sie unterließ nicht nur die Weiterentwicklung des Ansatzes, Datenschutz durch Technik zu leisten, sie beabsichtigte auch die Verkürzung seiner bereits im allgemeinen Datenschutzrecht etablierten Ausprägungen. Namentlich sah der Entwurf vor, technische und organisatorische Datenschutzverpflichtungen restriktiver zu gestalten.126 Schließlich setzte sich der Gesetzesvorschlag nur mit dem Einsatz neuartiger Datenverarbeitungstechnologien durch nichtöffentliche Stellen auseinander. Eine Auseinandersetzung mit deren Einsatz durch öffentliche Stellen, speziell mit dem zum damaligen Zeitpunkt verstärkt aufkommenden Einsatz der Video(-überwachungs-)technik, blieb er demgegenüber schuldig.
mung, die sich auf Daten beziehe, und der kommunikativen Selbstbestimmung, die sich auf Meinungen beziehe, DÖV 1990, 761 (786). 123 Vgl. Nebel, ZD 2016, S. 517 (518 f.). 124 Dazu Kamp/Rost, DuD 2013, S. 80 ff.; s.a. Buchner, DuD 2010, S. 39 ff.; Geiger, NVwZ 1989, S. 35 (36 ff.); Radlanski, Das Konzept der Einwilligung in der datenschutzrechtlichen Realität; Hermstrüwer, Informationelle Selbstgefährdung, S. 90 ff.; Rogosch, Die Einwilligung im Datenschutzrecht, S. 90 ff.; von Mutius, Verfassungsrechtliche Grenzen der Einwilligung im Datenschutzrecht, in: Bizer u. a. (Hrsg.), Innovativer Datenschutz, S. 101 ff. 125 So schon Gusy/Worms, DuD 2012, S. 92 (97). 126 BT-Drs. 11/4306, S. 8 § 8.
102
§ 4 Reform des BDSG 1977
4. Parlamentarische Arbeit an dem Gesetzentwurf der Bundesregierung Während der ersten Beratung des Regierungsentwurfs am 28. April 1989 versuchte der damalige Bundesinnenminister Wolfgang Schäuble insbesondere den Umstand zu rechtfertigen, dass sich nach diesem das Datenschutzniveau im nichtöffentlichen Bereich weitaus niedriger darstellte als im öffentlichen Bereich.127 Ihm zufolge müsse hier das Grundrecht auf informationelle Selbstbestimmung im Gegensatz zum öffentlichen Bereich mit gleichwertigen Grundrechtspositionen abgewogen werden.128 Außerdem habe der Bürger im nicht-öffentlichen Bereich eine gesteigerte Verantwortung sich selbst gegenüber. Hiermit übereinstimmend führte der CDU-Abgeordnete Heribert Blens aus: „Im privaten Rechtsverkehr ist es grundsätzlich nicht Sache staatlicher Behörden – auch nicht der Aufsichtsbehörden –, sondern des einzelnen selbst, seine Rechte – und damit auch sein Recht auf informationelle Selbstbestimmung – mit den Mitteln des Zivilrechts gegenüber anderen Privaten durchzusetzen. Dazu ist der vielbeschworene mündige Bürger auch in der Lage. Ausnahmen von diesem Grundsatz müssen eng begrenzt bleiben. Für uns gilt auch im Bereich des Datenschutzes, daß der Staat nicht das Kindermädchen der Nation ist.“129 Die parlamentarische Opposition warf den Regierungsfraktionen demgegenüber die Stagnation der gesetzgeberischen Reformarbeiten und Verschleierung ihrer Absichten im Bereich der Sicherheitsgesetzgebung vor. Tatsächlich brachte die Bundesregierung in der 11. Legislaturperiode nicht erneut den Entwurf eines ZAG in den Bundestag ein. Vielmehr integrierte sie seine umstrittenen Ermächtigungsgrundlagen für den Informationsaustausch zwischen den Sicherheits- und Strafverfolgungsbehörden in den Entwurf des BVerfSchG.130 Insoweit wurden die einzelnen Regelungen noch unbestimmter formuliert und es entfielen außerdem zunächst vorgesehene Restriktionen der geheimdienstlichen Informationsbeschaffung.131 Die Vertreter der CDU/CSU setzten sich mit der diesbezüglich geübten Kritik nicht auseinander. Im Gegenteil erklärten diese das deutsche Datenschutzmodell – und hier namentlich die Regelung des Informationsaustausches zwischen den Sicherheitsbehörden – für exportfähig. Entsprechend kündigten sie an, bei den Verhandlungen über das Schengener Vertragsabkommen werde die Vertretung der 127
Zu den unterschiedlichen Anforderungen des Datenschutzes im öffentlichen Bereich einerseits und im nicht-öffentlichen Bereich andererseits Zöllner, RDV 1985, S. 3 ff.; später auch Masing, NJW 2012, S. 2305 ff. 128 BT, 11. WP, 141. Sitzung vom 28. 4. 1989, 10473 (B-C); 10474 (B). So auch Zöllner, Datenschutz- und Informationsschutz im Arbeitsverhältnis, S. 16 ff.; ders., RDV 1985, S. 3 ff. Zur mittelbaren Drittwirkung des Grundrechts auf informationelle Selbstbestimmung s. Ehmann, AcP 188 (1988), S. 230 (303 ff.). 129 BT, 11. WP, 141. Sitzung vom 28. 4. 1989, 10479 (C). 130 Siehe Dritter Abschnitt – Übermittlungsvorschriften, BT-Drs. 11/4306, S. 27 ff. 131 Krit. Funk, KJ 1988, S. 99 ff.; Schueler, Die Zeit vom 29. 1. 1988, online.
B. Informationelle Selbstbestimmung als verfassungsrechtliches Leitbild
103
Bundesrepublik darauf hinwirken, dass die wesentlichen Grundsätze des deutschen Datenschutzrechts zum Vertragsinhalt gemacht werden.132 Am 29. Mai 1990 veröffentlichte der federführende Innenausschuss seine Beschlussempfehlung bzgl. der verschiedenen Gesetzesinitiativen zur Änderung des Datenschutzrechts.133 Der Ausschuss sprach sich zwar dafür aus, die Eröffnung des Anwendungsbereichs des BDSG für öffentliche Stellen schlicht von deren Umgang mit personenbezogenen Daten abhängig zu machen – und eben nicht von ihrer Verarbeitung in oder aus Dateien. Entsprechend diesem Vorschlag wurde auch die zunächst von der Bundesregierung geplante Änderung des VwVfG als hinfällig verworfen. Demgegenüber sollte für nicht-öffentliche Stellen der Anwendungsbereich des BDSG ausschließlich dann eröffnet sein, wenn und soweit diese Daten in oder aus Dateien geschäftsmäßig bzw. für berufliche oder gewerbliche Zwecke verarbeiten oder nutzen.134 Der Innenausschuss sah außerdem die Statuierung von Schadensersatzansprüchen vor. Im öffentlichen Bereich sollte dieser verschuldensunabhängig, dafür aber mit Haftungsobergrenze ausgestaltet werden, und im nichtöffentlichen Bereich insoweit lediglich eine Beweislastumkehr bestehen. Bereits diese beiden Beispiele verdeutlichen, dass sich im Ergebnis ein extremes Gefälle zwischen dem Datenschutzniveau im öffentlichen und dem im nicht-öffentlichen Bereich abzeichnete. Dieser Umstand war vor allem dem Einfluss der Ausschussmitglieder der FDP-Fraktion geschuldet. Im Bereich der Sicherheitsgesetzgebung wurde vereinzelten Forderungen der Oppositionsfraktionen nachgegeben, überwiegend aber das Konzept des Regierungsentwurfs ausgebaut. Beispielsweise sah der Vorschlag des Innenausschusses einerseits eine Ausweitung der sicherheitsbehördlichen Auskunftspflichten bzw. von diesen korrespondierender Betroffenenrechten sowie die Einführung von Legaldefinitionen für zentrale Begriffe des BVerfSchG vor, etwa der geheimdienstlichen Tätigkeiten sowie der Bestrebungen gegen die freiheitliche demokratische Grundordnung. Andererseits unterbreitete der Innenausschuss den Vorschlag, eine Rechtspflicht zur Übermittlung konkreter Informationen an das Bundesamt für Verfassungsschutz für bestimmte Sicherheitsbehörden zu begründen – zuvor sah die einschlägige Ermächtigungsgrundlage noch einen Ermessensspielraum vor.135 Während der zweiten gemeinsamen Lesung der drei Gesetzentwürfe am 31. Mai 1990 wiederholten die Redner der Regierungsfraktionen die von diesen bekannten Positionen. Hierbei beriefen sie sich ausschließlich auf die Funktion des Grundrechts auf informationelle Selbstbestimmung als Abwehrrecht gegen den Staat und sparten mithin weitere Dimensionen desselben aus.136 Die Reden der SPD-Abgeordneten deuteten demgegenüber an, dass sich diese von datenschutzrechtlichen Ansätzen, die 132 133 134 135 136
BT, 11. WP, 141. Sitzung vom 28. 4. 1989, 10478 (B). BT-Drs. 11/7235. BT-Drs. 11/7235, S. 10 § 2a BDSG-E. BT-Drs. 11/7235, S. 63 § 12 BVerfSchG. BT, 11. WP, 214. Sitzung vom 31. 5. 1990, 16778 (A).
104
§ 4 Reform des BDSG 1977
zuvor bereits von den GRÜNEN im Parlament geäußert wurden, beeinflussen ließen und entsprechend auch sie die Effektivität einer lediglich systemimmanenten Änderung des Datenschutzrechts zunehmend anzweifelten: „Angesichts des Anwachsens der Informationen und der Speicherung von Daten muß man die Grundfrage in die Diskussion einführen, ob diese Art der Datenschutzgesetzgebung, wie wir sie kennen, die eigentlich nur prohibitiv hinter der Entwicklung herläuft, langfristig ausreicht. Viele Datenschutzbeauftragte im internationalen Kontext überlegen an dieser Stelle seit langer Zeit. […] Ich glaube, eine reine Verfeinerung der Datenschutzgesetzgebung wird insofern auf Dauer nicht ausreichen.“137 Schließlich wurde der Gesetzentwurf in der Form des Innenausschusses angenommen und entsprechend die Entwürfe der Oppositionsfraktionen abgelehnt. 5. Das BDSG 1990 im Vermittlungsausschuss Am 22. Juni 1990 beschloss der Bundesrat die Einberufung eines Vermittlungsausschusses zum Gesetzentwurf zur Fortentwicklung der Datenverarbeitung und des Datenschutzes.138 Mittlerweile wurden die Forderungen der SPD-Fraktion auch mehrheitlich im Bundesrat vertreten. Zu jenen gehörte insbesondere die konsequente Ausdehnung des Anwendungsbereichs des BDSG. Zu diesem Zweck sollte das konstitutive Element der Verarbeitung personenbezogener Daten in oder aus Dateien gestrichen, sog. interne Daten nicht mehr gegenüber zur Weitergabe bestimmten Daten privilegiert und der Anwendungsbereich des Datenschutzes im nicht-öffentlichen Bereich nicht von einer geschäftsmäßigen, beruflichen oder gewerblichen Zweckrichtung abhängig gemacht werden. Am 14. September 1990 präsentierte der Vermittlungsausschuss seine Beschlussempfehlungen.139 Hiernach konnte der Bundesrat seine Forderung zur Ausdehnung des Anwendungsbereichs des BDSG lediglich für den öffentlichen Bereich durchsetzen. Die Einschränkungen im nicht-öffentlichen Bereich blieben hingegen weitestgehend bestehen. Vor der Abstimmung über die Vermittlungsausschussfassung am 21. September 1990 führte der Berichterstatter und CDU-Abgeordnete Heinz Günther Hüsch aus, dass sich der Vermittlungsausschuss bei seinen Beratungen über die Ausgestaltung des Datenschutzes im nicht-öffentlichen Bereich durch Verpflichtungen der Datenschutzkonvention des Europarats gebunden sah und daher beispielsweise die Phase der Erhebung im nicht-öffentlich Bereich ausdrücklich als datenschutzrelevant anerkannte.140 Mit der gleichen Erwägung schlug der Vermittlungsausschuss vor, Daten im nicht-öffentlichen Bereich sollten für ei137
BT, 11. WP, 214. Sitzung vom 31. 5. 1990, 16782 (A). BR, 615. Sitzung vom 22. 6. 1990, 362 (C–D). 139 BT-Drs. 11/7843. 140 BT, 11. WP, 225. Sitzung vom 19. 9. 1990, 17786 (C). Übereinkommen zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten (BGBl. II 1985, S. 538 – 550). Zur Konvention Henke, Die Datenschutzkonvention des Europarats; s.a. Burkert, CR 1988, S. 751 ff. 138
B. Informationelle Selbstbestimmung als verfassungsrechtliches Leitbild
105
gene Zwecke nur dann erhoben werden dürfen, wenn dies nach Treu und Glauben sowie rechtmäßig geschehe. Auch diese – dem nationalen Datenschutzrecht bislang fremde – Formel fand Eingang in das BDSG 1990. Schließlich wurde der Gesetzentwurf gegen die Stimmen der GRÜNEN in der Fassung des Vermittlungsausschusses angenommen und am 21. September 1990 auch vom Bundesrat beschlossen. 6. Etablierung qualitativer Datenschutzansätze durch das BSIG? An die Beratung über die Novellierung des Datenschutzrechts schloss sich am 31. Mai 1990 die erstmalige parlamentarische Auseinandersetzung mit dem von der Bundesregierung eingebrachten Gesetzentwurf zur Errichtung eines Bundesamts für Sicherheit in der Informationstechnik141 sowie mit einem Antrag der GRÜNENFraktion bzgl. Sicherheitsproblemen der Informations- und Kommunikationstechniken142 an. Insoweit deutete sich die Wiederholung eines Phänomens an: Wie gezeigt wurde, nahmen die ersten gesetzgeberischen Datenschutzdebatten, welche Ende der 1960er Jahre zunächst auf Landesebene geführt wurden, ihren Ursprung im Bereich der Datensicherheit.143 Die ersten gesetzgeberischen Datenschutzansätze waren entsprechend im Wesentlichen Datensicherheitsansätze. Nun schien die Debatte über die Sicherheit in der Informationstechnik das Potential zu bergen, den Datenschutznovellierungsdiskurs konzeptionell auf ein neues Niveau zu heben bzw. in Richtung eines qualitativen Datenschutzrechts zu lenken. Bei dieser Gelegenheit wurde fraktionsübergreifend die hochgradige Verletzlichkeit einer computergesteuerten Informationsgesellschaft konstatiert. Maßgebliche Stichworte waren insoweit Hacking, Viren, Programmierfehler sowie Wirtschaftskriminalität.144 Der BSIG-Entwurf der Bundesregierung sollte nun Verschiedenes leisten: Er sollte die gesellschaftliche Akzeptanz angesichts der sich sprunghaft entwickelnden Informationstechnik, die internationale Wettbewerbsfähigkeit der deutschen IT-Branche sowie die Unterstützung eines wirksamen Datenschutzes gewährleisten. Um jene Ziele zu erreichen, sollte das zu errichtende Bundesamt in enger Zusammenarbeit mit Wirtschaft und Wissenschaft – namentlich durch die Vergabe von Sicherheitszertifikaten – darauf hinwirken, Sicherheit als Leistungsmerkmal der Informationstechnik zu etablieren.145 Außerdem sollte das Amt Hersteller, Vertreiber sowie Anwender von Informationstechnologien für IT141
BT-Drs. 11/7029. BT-Drs. 11/7246. 143 Hierzu s. § 3 B. 144 Zu den Risiken s. etwa Roßnagels Beitrag während der am 7. März 1990 von dem Ausschuss für Forschung, Technologie und Technikfolgenabschätzung veranstalteten Anhörung zum Thema „Sicherheit in der Informationstechnik“, BT-Drs. 11/8271, S. 12 f. 145 BT-Drs. 11/7029, S. 1. 142
106
§ 4 Reform des BDSG 1977
Gefahren sensibilisieren sowie allgemein einen Bildungsauftrag wahrnehmen. Von dieser beratenden Tätigkeit sollten insbesondere auch die Strafverfolgungsbehörden des Bundes und der Länder im Hinblick auf die Bekämpfung von Computerkriminalität profitieren. Vor diesem Hintergrund zeichnete sich bereits ein Interessenkonflikt ab. Einerseits sollten Informationstechnologien mit Hilfe des Amts künftig sicherer konzipiert und verwendet werden – etwa durch den Einsatz von Verschlüsselungsverfahren –, andererseits bieten gerade solche Verfahren Möglichkeiten, die Arbeit der Strafverfolgungsbehörden zu erschweren. Erschwerend kam hinzu, dass nach den Plänen der Bundesregierung das Amt aus der bereits bestehenden Zentralstelle für Sicherheit in der Informationstechnik hervorgehen sollte, dessen Vorläufer wiederum die dem BND unterstellte Zentralstelle für Chiffrierwesen war.146 Des Weiteren deutete sich Konfliktpotential auch im Hinblick auf ökonomische Interessen an, da die Bundesregierung vorsah, dass einzelne, das Zertifizierungsverfahren betreffende Entscheidungen von dem Amt ausschließlich mit Zustimmung des Wirtschaftsministeriums getroffen werden sollten. Der ebenfalls beratene Antrag der GRÜNEN-Fraktion kritisierte den Gesetzesvorschlag der Regierung als eindimensional und zu stark an sicherheitsbehördlichen sowie wirtschaftspolitischen Interessen ausgerichtet. Hiernach gelte es vielmehr, einen ganzheitlichen Ansatz zu verfolgen und schwerpunktmäßig die Konsequenzen des Technikeinsatzes für den Einzelnen sowie für die Gesellschaft zu reflektieren. In diesem Sinne formulierte der Antrag sozio-technische Ziele, die im Bereich der IuKTechnik zu verwirklichen seien. Namentlich sollte diese Technik sozial beherrschbar gestaltet werden und Substitutionsmöglichkeiten im Hinblick auf bestimmte Technologien geschaffen bzw. erhalten werden. Mit der Verwirklichung dieser Aufgaben sollte anstatt eines Bundesamtes ein Parlamentsbeauftragter oder ein freier Träger betraut werden. Jedenfalls gelte es, die Unabhängigkeit der zu errichtenden Institution von polizeilichen, nachrichtendienstlichen und militärischen Interessen sicherzustellen. Tendenziell wurden die GRÜNEN in ihrem Anliegen unterstützt. Auch die SPD forderte die Zugrundelegung eines sozio-technischen Sicherheitsverständnisses, welches bei der Entwicklung von Informations- und Kommunikationssystemen zu berücksichtigen sei und insoweit die stärkere Integration von Anwendern sicherstelle.147 Am 23. Oktober 1990 veröffentlichte der Innenausschuss seinen Bericht und seine Beschlussempfehlungen zu dem Gesetzesvorhaben der Bundesregierung. Er sprach sich entgegen der Kritik von Seiten der SPD und der GRÜNEN dafür aus, dass der Einfluss des BMI und des BWMi sowie die Zusammenarbeit mit den Polizeibehörden gegenüber der ursprünglichen Entwurfsfassung noch intensiviert werden sollten. Insbesondere sollten die Prüfkriterien und -verfahren für die Vergabe von 146 Zur Historie des BSI Bizer/Roßnagel, KJ 1990, S. 436 ff.; Buchberger, in: Schenke/ Graulich/Ruthig (Hrsg.), Sicherheitsrecht des Bundes, BSIG, § 1 Rn. 1. 147 BT, 11. WP, 214. Sitzung vom 31. 5. 1990, 16795 (C); s.a. BT-Drs. 11/8177, S. 11.
C. Datenschutz zwischen Sicherheit und informationeller Selbstbestimmung
107
Sicherheitszertifikaten durch das BMI im Einvernehmen mit dem BMWi getroffen werden und dem BMI ein Vetorecht hinsichtlich ihrer Vergabe eingeräumt werden. Schließlich wurde der Entwurf in der Ausschussfassung angenommen und trat das BSIG am 1. Januar 1991 in Kraft.148 Das BSIG 1991 ist unter vielen Gesichtspunkten kritikwürdig.149 Gleichwohl wurden in die gesetzgeberische Debatte um das Gesetz verschiedene Ansätze eingebracht, die auch als prägende Elemente eines qualitativen Datenschutzes gelten. Zunächst wurde insoweit erkannt, dass es wenig zielführend ist, erst den Einsatz der Technik zum Anknüpfungspunkt einer gesetzlichen Regulierung zu machen. Vielmehr gilt es bereits bei der Gestaltung der in Rede stehenden Technologien, bestimmte Anforderungen zu verwirklichen. Entsprechend sollten die Ziele des Gesetzes im Wesentlichen durch die Standardisierung der Informations- und Kommunikationstechnik verwirklicht werden. Demgegenüber ist nicht zu verkennen, dass das BSIG 1991 kaum normative Vorgaben für die Entwicklung von Prüfkriterien und -verfahren hinsichtlich der Vergabe von Sicherheitszertifikaten statuierte.
C. Datenschutz zwischen Sicherheit und informationeller Selbstbestimmung I. Leitbilder des BDSG 1990 Das Gesetzgebungsverfahren, welches in den Erlass des BDSG 1990 mündete, wurde nicht durch ein „starkes“ Leitbild angeleitet. Unter den Koalitionspartnern herrschte selbst über grundlegende Fragen des Datenschutzes ebenso Streit, wie zwischen diesen und der Opposition in Bundestag und Bundesrat. Zwar bildete der Regierungsentwurf vom 6. April 1989 die Grundlage des BDSG 1990, dennoch wurde durch die Einflussnahme der Opposition im Innen- sowie im Vermittlungsausschuss nahezu jede einzelne seiner Vorschriften bis zu ihrer endgültigen Fassung umfassend redigiert. Die Reform des allgemeinen Datenschutzrechts gestaltete sich nicht zuletzt deshalb so schwierig, weil diese mit dem Erlass der sog. Sicherheitsgesetze verbunden wurde. Außerdem herrschte eine allgemeine Unsicherheit hinsichtlich der neuen verfassungsrechtlichen Anforderungen für die Regelung des Datenschutzes, die aus dem Volkszählungsurteil resultierten. Die beiden Leitbilder, welche diese Phase der Datenschutzgesetzgebung prägten, waren mithin einerseits das der Sicherheit und andererseits die informationelle Selbstbestimmung. Im Ergebnis kam der Gesetzgeber den sicherheitspolitischen Forderungen der Regierungsfraktionen nach einer umfassenderen kompetenziellen 148
Gesetz über die Errichtung des Bundesamtes für Sicherheit in der Informationstechnik (BSI-Errichtungsgesetz – BSIG) vom 17. Dezember 1990 (BGBl. I S. 2834 – 2836). 149 Krit. gegenüber dem Gesetzentwurf der Bundesregierung Bizer u. a., DuD 1990, S. 178 ff.; s.a. Bizer u. a., Das neue Bundesamt für Sicherheit in der Informationstechnik.
108
§ 4 Reform des BDSG 1977
Ausstattung der Sicherheitsbehörden im Hinblick auf die Verarbeitung personenbezogener Daten weitestgehend nach, indem er zum einen entsprechende Ermächtigungsgrundlagen, die sich partiell sehr umfassend bzw. unbestimmt darstellten, statuierte und zum anderen die Stärkung der Datenschutzaufsicht unterließ. Der Umstand, dass die neuen verfassungsrechtlichen Vorgaben für die Verarbeitung personenbezogener Daten – mithin das Recht auf informationelle Selbstbestimmung – keinen bedeutenderen Einfluss auf die Reform des BDSG nahm, lag unter anderem darin begründet, dass über den Inhalt des Richterspruchs und dessen Bedeutung weitestgehend Uneinigkeit herrschte. Die Mehrzahl der gesetzlichen Änderungen war demnach nicht der gewandelten tatsächlichen bzw. technischen Ausgangslage der Datenverarbeitung oder dem Volkszählungsurteil geschuldet, sondern vielmehr das Ergebnis eines politischen Kompromisses. Nicht die Weiterentwicklung des Gesetzes in Richtung eines qualitativen Datenschutzrechts bildete das Ziel des Gesetzgebungsverfahrens, sondern das Erfordernis, einen politischen Ausgleich zwischen äußerst divergenten Leitbildern zu erzielen.150 In den Gesetzgebungsprozess wurden zwar auch als qualitativ zu kennzeichnende Reformvorschläge eingebracht, insbesondere von der Fraktion der GRÜNEN. In dem Ringen der etablierten Parteien um systemimmanente Änderungen des bestehenden Rechts konnten sich diese letztlich aber nicht durchsetzen. Auch fand kein Transfer zwischen dem Gesetzgebungsverfahren, welches in den Erlass des BSIG 1991 mündete und in dessen Rahmen ebenfalls qualitative Ansätze diskutiert wurden, und der Reform des BDSG statt. Mithin trat gegen Ende des Gesetzgebungsprozesses Ernüchterung bei allen Verfahrensbeteiligten und im wissenschaftlichen Diskurs ein. Wie den Regelungen des BDSG 1977 wurde auch denen des BDSG 1990 ihr Kompromisscharakter vorgeworfen.151 Auch zeichnete sich wie bei dem Erlass des BDSG 1977 hinsichtlich des BDSG 1990 frühzeitig ab, dass dessen Regelungen alsbald erneut reformbedürftig würden. Nicht nur, weil die Regelungen des Gesetzes aufgrund der technologischen Entwicklung Gefahr liefen, obsolet zu werden, sondern auch, weil sich diese nicht ohne Weiteres in die neu entstehende europäische Datenschutzlandschaft einfügen würden.152 Diese konkretisierte sich durch den am 13. September 1990 von der Europäischen Kommission veröffentlichten Vorschlag einer Richtlinie zum Schutz von Personen bei der Verarbeitung personenbezogener Daten.153 Insgesamt konzentrierte sich der Gesetzgeber bei den Arbeiten an dem BDSG 1990 auf die Reform datenschutzrechtlicher Vorgaben für den öffentlichen 150 So i.E. auch Dammann, NVwZ 1991, S. 640 ff.; Walz, CR 1991, S. 364 ff.; HEDSB, 19. TB, HELT-Drs. 16/5892, S. 21. Den Kompromisscharakter positiv wertend Dörr, DSB 1991, S. 1 f. 151 So etwa Büllesbach, NJW 1991, S. 2593 (2600); Dammann, NVwZ 1991, S. 640; Gola/ Wronka, RDV 1991, S. 165; HEDSB, 19. TB, HELT-Drs. 16/5892, S. 21 ff.; Walz, CR 1991, S. 364. 152 So Dammann, NVwZ 1991, S. 640 (643). 153 KOM(90)314 endg. Krit. Riegel, CR 1991, S. 179 ff.
C. Datenschutz zwischen Sicherheit und informationeller Selbstbestimmung
109
Bereich. Er verfolgte mit dem BDSG 1990 vorgeblich das Ziel, das allgemeine Datenschutzrecht an die Vorgaben des Volkszählungsurteils anzupassen. Der Datenschutzkonvention des Europarats maß er insoweit lediglich eine untergeordnete Bedeutung bei. Entsprechend bestand der maßgebliche Konflikt, dem der Gesetzgeber einem Ausgleich zuführen wollte, zwischen dem Recht auf informationelle Selbstbestimmung des Einzelnen einerseits und den Datenverarbeitungsinteressen öffentlicher datenverarbeitender Stellen andererseits. Insoweit sollte das Gesetz ausweislich seiner Zweckbestimmung, die sich in § 1 Abs. 1 BDSG 1990 manifestierte, den Einzelnen davor bewahren, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird. Zu der Verwirklichung dieses neu formulierten Gesetzesziels führte der Gesetzgeber das Regelungskonzept des BDSG 1977 weiter. Einige Streitfragen, die bereits bei Erlass des BDSG 1977 diskutiert wurden, wurden nun anders entschieden. Neue Instrumente oder „qualitative“ Sprünge, wie sie die sich rasant entwickelnde Informationsund Kommunikationstechnologie vollzog, blieben hingegen aus. Die relevanten Gesetzesänderungen bezogen sich auf den Anwendungsbereich des Gesetzes, die Betroffenenrechte, das Aufsichtsregime und bestimmte Spezialvorschriften. Die Ausgestaltung des Anwendungsbereichs des BDSG 1990 verstärkte die Auseinanderentwicklung des Datenschutzniveaus im nicht-öffentlichen Bereich einerseits und im öffentlichen Bereich andererseits. Während die Anwendung datenschutzrechtlicher Vorgaben angesichts des zuletzt genannten Sektors nicht mehr von einer Verarbeitung in Dateien abhängig gemacht wurde, mithin grundsätzlich auch in Bezug auf Akten möglich war, unterlag diese im nicht-öffentlichen Bereich künftig einer doppelten Limitierung. Die Verarbeitung musste hier sowohl in oder aus Dateien als auch zu geschäftsmäßigen, beruflichen oder gewerblichen Zwecken erfolgen, um datenschutzrelevant zu sein. Außerdem wurde die Erhebung lediglich im öffentlichen Bereich als datenschutzrelevante Phase anerkannt. Unabhängig von der Qualifikation der datenverarbeitenden Stelle als öffentlich oder nicht-öffentlich blieb die Verarbeitung sog. interner Daten im Rahmen nicht-automatisierter Dateien weitestgehend von datenschutzrechtlichen Verpflichtungen freigestellt. Die Differenzierung zwischen den beiden Bereichen setzte sich auch hinsichtlich der Ausgestaltung der konkreten datenschutzrechtlichen Verpflichtungen und des Kontrollregimes fort. Im öffentlichen Bereich wurde der Zweckbindungsgrundsatz etabliert. Hiernach bildete der Erhebungs- bzw. Speicherungszweck neben der Erforderlichkeit der Datenverarbeitung für die Erfüllung gesetzlicher Aufgaben den Maßstab für die Rechtmäßigkeit der weiteren Verarbeitung, §§ 14 Abs. 1, 15 Abs. 3, 16 Abs. 3, 17 Abs. 1 i.V.m. 16 Abs. 3 BDSG 1990. Demgegenüber fand dieser Grundsatz im nicht-öffentlichen Bereich nur eine sehr eingeschränkte Berücksichtigung, vgl. §§ 30 Abs. 1, 28 Abs. 1 Nr. 1, Nr. 4, Abs. 2 Nr. 2, Abs. 4, 29 Abs. 3, 30 Abs. 1, 31 BDSG 1990. Außerdem wurde zwar in beiden Sektoren eine Schadensersatzpflicht datenverarbeitender Stellen statuiert, gleichwohl etablierte der Gesetzgeber diese im öffentlichen Bereich als verschuldensunabhängige Gefährdungshaftung und begründete dieser im nicht-öffentlichen Bereich insoweit lediglich
110
§ 4 Reform des BDSG 1977
eine Beweislastumkehr. Auch sollte das Auskunftsrecht Betroffener im öffentlichen Bereich schlechthin, im nicht-öffentlichen Bereich bloß grundsätzlich unentgeltlich ausgeübt werden können, § 34 Abs. 5 S. 2, 3 BDSG 1990. Das Gesetz erhielt in Bezug auf die datenschutzrechtliche Regulierung des nichtöffentlichen Bereichs einen neuen Aufbau. Die Datenverarbeitung für eigene Zwecke und die für fremde Zwecke wurde nicht mehr in unterschiedlichen Abschnitten geregelt. Hiermit waren aber keine materiellen Änderungen verbunden. Weiterhin bestanden insoweit differente Verarbeitungsvoraussetzungen und ergaben sich im Bereich des Kontrollregimes wesentliche Unterschiede. Beispielsweise war eine aufsichtsbehördliche Kontrolle von Amts wegen lediglich bei der Datenverarbeitung nicht-öffentlicher Stellen für fremde Zwecke möglich, § 38 Abs. 2 BDSG 1990. Mit dem BDSG 1990 änderte sich das Bestellungsverfahren des Bundesbeauftragten für den Datenschutz. Künftig sollte dieser durch die Hälfte der gesetzlichen Mitglieder des Bundestags gewählt werden. Seine Rechtsstellung wurde hingegen durch das Gesetz nur unwesentlich gestärkt. Namentlich sollte er weiterhin beim Bundesministerium des Innern eingerichtet bleiben. Die Stellung der Aufsichtsbehörden verbesserte sich tendenziell, während sich die der betrieblichen Datenschutzbeauftragten eher verschlechterte, vgl. § 38 Abs. 1, Abs. 5 und § 37 Abs. 3 BDSG 1990. Letztlich fand mit § 10 BDSG 1990, der die Einrichtung automatisierter Datenabrufverfahren regelte, lediglich eine einzige Norm, welche explizit den Einsatz „neuartiger Technologien“ regulieren sollte, Eingang in das BDSG 1990. Insoweit wurden sowohl materielle als auch formelle Rechtmäßigkeitsvoraussetzungen statuiert. Gleichwohl trugen diese der Funktionslogik vernetzter Datenverarbeitung nicht ausreichend Rechnung. Es wurden diesbezüglich etablierte Datenschutzansätze übertragen, anstatt problemadäquate zu formulieren. Insbesondere wurden keine spezifischen technischen Gestaltunganforderungen formuliert.154 Im Ergebnis ist Spiros Simitis zuzustimmen, der davon ausging, dass das BDSG 1990 einem Flickwerk entsprach, in dem sich Vorschriften, die den Datenschutz verbesserten, mit Regeln abwechselten, die ihn einschränkten.155 Die einzelnen Regelungen des BDSG 1990 waren weniger von einem einheitlichen Leitbild getragen, als vielmehr das Ergebnis eines hart erkämpften politischen Konsenses. Insgesamt wurde hier von der Linie des BDSG 1977 nur unwesentlich abgewichen. Demgegenüber hatten sich in den knapp dreizehn Jahren, welche zwischen der Verkündung der beiden Gesetze lagen, die Informations- und Kommunikationstechnologien sowie deren Einsatz und Bedeutung grundlegend verändert. Vor allem die Entwicklung von Mikroprozessoren hatte dem PC zunächst den Weg in die 154
Diese Vorschrift wurde auch als systemwidrig bezeichnet, etwa von Walz, CR 1991, S. 364 (367). 155 Simitis, in: ders. (Hrsg.), BDSG, Einl. Rn. 82; HEDSB, 19. TB, HELT-Drs. 16/5892, S. 21.
C. Datenschutz zwischen Sicherheit und informationeller Selbstbestimmung
111
Arbeits- und anschließend auch in die private Realität der Betroffenen geebnet. Folglich änderte sich auch die tatsächliche Akteursstruktur der Datenverarbeitung. Automatisierte Datenverarbeitung fand nicht mehr ausschließlich in Großrechenzentren von Behörden sowie mittel- bis großständischen Unternehmen statt, sondern zunehmend dezentralisiert und von den Betroffenen selbst veranlasst. Diesen Umstand reflektierte das BDSG 1990 jedoch nicht.156 Das Regelungskonzept des Gesetzes baute weiterhin zentral auf dem Verbot mit Erlaubnisvorbehalt auf. Wobei die Erlaubnistatbestände für öffentliche und nichtöffentliche datenverarbeitende Stellen großzügig und zum Teil nicht eindeutig formuliert waren. Vor diesem Hintergrund wurde das Gesetz auch seinem Anspruch, die Vorgaben des Volkszählungsurteils umzusetzen, nicht gerecht. Das Recht auf informationelle Selbstbestimmung begründet nämlich auch Bestimmtheitsanforderungen im Hinblick auf entsprechende Erlaubnistatbestände.157 Gleiches gilt für die inkonsequente Verwirklichung des Zweckbindungsgrundsatzes. Des Weiteren wurde dem Gebot einer unabhängigen Datenschutzaufsicht nur teilweise entsprochen. Einerseits wurde der Bundesbeauftragte für den Datenschutz zwar nun durch den Bundestag gewählt, andererseits war dieser weiterhin dem Bundesministerium des Innern angegliedert. Außerdem waren seine Kontrollbefugnisse bezüglich Akten auf eine Einzelfallkontrolle beschränkt und standen ihm Anordnungsbefugnisse überhaupt nicht zu. Auch den betrieblichen Datenschutzbeauftragten wurden durch das Gesetz keine wirkungsvollen Befugnisse erteilt. Lediglich die Stellung der nach Landesrecht zuständigen Aufsichtsbehörden wurde durch die Einräumung einzelner Befugnisse verbessert, § 38 Abs. 5 BDSG 1990. Damit ist festzuhalten, dass das Gesetz weder den Vorgaben des Volkszählungsurteils ausreichend Rechnung trug noch das Datenschutzrecht an die geänderten technischen und sozialen Ausgangsbedingungen anpasste.
II. Konsolidierung des quantitativen Datenschutzrechts Das BDSG 1990 verfolgte trotz gewandelter verfassungsrechtlicher, sozialer sowie technischer Ausgangsbedingungen der Datenverarbeitung weiterhin das Grundkonzept des BDSG 1977. Aufgrund des Auseinanderdriftens der Datenschutzanforderungen, die für den öffentlichen Bereich einerseits und den nicht-öffentlichen andererseits galten, seiner teilweise unbestimmt formulierten Regelungen und zahlreichen Ausnahmebestimmungen sowie Verweisungen gestaltete sich die Anwendung des Gesetzes außerdem komplexer als die des BDSG 1977. Auf die Regelung des Einsatzes neuartiger Technologien – insbesondere die zunehmend vernetzt stattfindende Datenverarbeitung und Videoüberwachungstechnik – reagierte das Gesetz lediglich unzureichend bzw. überhaupt nicht. Von einer gesetz156 157
So auch Simitis, in: ders. (Hrsg.), BDSG, Einl. Rn. 87. BVerfG, 1 BvR 209/83, BVerfGE 65, 1 (46) – Volkszählung.
112
§ 4 Reform des BDSG 1977
geberischen Steuerung der Gestaltung dieser Technologien wurde gänzlich abgesehen. Somit lässt sich feststellen, dass sich die datenschutzrechtliche Situation insgesamt verschlechterte. Anstatt in Bezug auf neuartige Ausgangsbedingungen ein adäquates Regelungskonzept zu formulieren, wurde das überkommene Modell in nicht stringenter Weise modifiziert und weiterhin zugrunde gelegt. Hierbei wurde den Vorgaben des Volkszählungsurteils nicht konsequent Rechnung getragen. Ob das Recht auf informationelle Selbstbestimmung das Potential bietet, ein qualitatives Datenschutzrecht normativ zu unterfüttern oder diesem vielmehr hinderlich ist, ist umstritten.158 Jedenfalls wurde der Gesetzgeber seinem vordergründig formulierten Anspruch, die Vorgaben dieses Richterspruchs zu erfüllen, nicht gerecht. Es bestand weder Einigkeit über wesentliche Aussagen des Urteils noch der politische Wille, diesen Rechnung zu tragen.159 Dies lässt sich im Besonderen an der gesetzgeberischen Ausgestaltung des Zweckbindungsgrundsatzes sowie des Aufsichtsregimes veranschaulichen. Der Ansatz, Datenschutz durch Technik zu leisten bzw. technische Datenschutzstandards zu etablieren, schlug sich nicht im BDSG 1990 nieder. Am Ende des langwierigen Gesetzgebungsverfahrens stand damit ein Gesetz, das den quantitativen Datenschutzansatz manifestierte und damit von der Verwirklichung eines qualitativen Datenschutzrechts noch weit entfernt war.
158
Krit. Albers, in: Hoffmann-Riem/Schmidt-Aßmann/Voßkuhle (Hrsg.), GVwR, Bd. 2, § 22 Rn. 68 ff.; Britz, Informationelle Selbstbestimmung zwischen rechtswissenschaftlicher Grundsatzkritik und Beharren des Bundesverfassungsgerichts, in: Hoffmann-Riem (Hrsg.), Offene Rechtswissenschaft, S. 562 ff.; Hoffmann-Riem, Datenschutz als Schutz eines diffusen Interesses in der Risikogesellschaft, in: Krämer/Micklitz/Tonner (Hrsg.), Recht und diffuse Interessen in der Europäischen Rechtsordnung, S. 777 (781 f.); Ladeur, DÖV 2009, S. 45 ff.; Schneider, DÖV 1984, S. 161 ff. 159 Zum Beispiel herrschte bei der CDU/CSU lange die Vorstellung vor, dass das Urteil nur im öffentlichen Bereich und hier nur in Bezug auf die automatisierte Verarbeitung relevant sei; zu dem ersten Aspekt Zöllner, RDV 1985, S. 3 ff.; Ehmann, AcP 188 (1988), S. 303; zu dem zweiten Aspekt Rogall, GA 132 (1985), S. 1. Teilweise wurde sogar noch einschränkender vertreten, das Volkszählungsurteil entfalte nur bei der zwangsweisen staatlichen Datenerhebung Anwendung, so Ehmann, AcP 188 (1988), S. 203 (301 f.); Kniesel, Die Polizei 1985, S. 171; Rebmann, NJW 1985, S. 4.
§ 5 Europäisierung des Datenschutzes und Ausdifferenzierung des bereichsspezifischen Datenschutzrechts – Markt und Systemdatenschutz als Leitbilder Ab Ende der 1960er Jahre bedingten sich die wirtschaftliche Globalisierung sowie die stetige Fortentwicklung der Datenverarbeitungstechnik wechselseitig und intensivierten den internationalen Datentransfer. Unter Datenschutzgesichtspunkten wurde diese Entwicklung erst allmählich reflektiert. Zu verschiedenen Zeitpunkten erarbeiteten unterschiedliche inter- bzw. supranationale Institutionen datenschutzrechtliche Übereinkünfte von differenter Regelungsdichte und Verbindlichkeit. Insoweit standen jeweils zwei Aspekte im Vordergrund: Einerseits stellten sich Datenschutzregelungen als potentielle Handelshemmnisse dar, andererseits wurde Datenschutz als konkretisierter Grundrechts- bzw. Menschenrechtsschutz identifiziert. Im Folgenden werden die ersten Bemühungen der Europäischen Gemeinschaft um den Datenschutz, welche in dem Erlass der RL 95/46/EG gipfelten, einer genaueren Betrachtung unterzogen. Insbesondere soll die Frage beantwortet werden, ob sich das BDSG in Umsetzung europäischer Vorgaben in Richtung eines qualitativen Datenschutzrechts entwickelte. Weiterhin gilt es, die parallel zu den Umsetzungsbemühungen angesichts der europäischen Datenschutzrichtlinie auf nationaler Ebene erfolgende Ausdifferenzierung des bereichsspezifischen Datenschutzrechts im Telekommunikations- sowie im Telemediensektor zu untersuchen, welche ebenfalls einen wesentlichen Einfluss auf die Entwicklung des allgemeinen Datenschutzrechts nahm.
A. Kontext des gemeinschaftsrechtlichen Datenschutzes Konkrete Bemühungen um den Datenschutz auf gemeinschaftsrechtlicher Ebene ließen verhältnismäßig lange auf sich warten. Als die Kommission schließlich die Arbeit an einer entsprechenden Gesetzesinitiative aufnahm, konnte sie hierbei bereits auf Vorarbeiten verschiedener Institutionen zurückgreifen. Der Europarat,1 die 1
Zunächst wurde Art. 8 EMRK entsprechend seiner Entstehungsgeschichte nicht als datenschutzrechtliche Garantie interpretiert. Nach der Verabschiedung der „Resolution zum Schutz des Einzelnen gegenüber der Datenverarbeitung durch private Datenbanken“ am 26. 9. 1973 und der „Resolution zum Schutz des Einzelnen gegenüber der Datenverarbeitung durch öffentliche Datenbanken“ am 20. 9. 1974 durch das Ministerkomitee des Europarats wurde am
114
§ 5 Europäisierung des Datenschutzes
OECD2 und die UN3 hatten jeweils vor der Europäischen Gemeinschaft Grundsätze bzw. Empfehlungen in Bezug auf den Datenschutz verfasst. Auch wenn sich diese im Hinblick auf ihre Zielsetzung – bei den Regelungen des Europarates sowie der UN stand die Verwirklichung der Menschenrechte im Vordergrund, bei denen der OECD das ökonomische Interesse an einem freien Datenfluss –, ihren Anwendungsbereich – partiell wurde allein die automatisierte, partiell auch die manuelle Datenverarbeitung erfasst – und ihren Verbindlichkeitsgrad – lediglich der Europäischen Datenschutzkonvention kam nach ihrer Ratifizierung Bindungswirkung zu – unterschiedlich darstellten, wurden hier größtenteils übereinstimmende Datenschutzgrundsätze etabliert. Zu diesen zählten die Verarbeitung nach Treu und Glauben, der Zweckbindungsgrundsatz sowie überwiegend auch spezielle Voraussetzungen angesichts der Verarbeitung sensitiver Daten. Außerdem sahen die Regelwerke die Statuierung von Betroffenenrechten sowie Anforderungen an die Qualität personenbezogener Daten und institutionalisierter Kontrollregime vor. Auch hatten bereits sieben der damals zwölf Mitgliedstaaten der Gemeinschaft allgemeine Datenschutzgesetze erlassen, bevor die Europäische Kommission am 27. Juli 1990 ihren ersten Vorschlag einer Richtlinie zum Schutz von Personen bei der Verarbeitung personenbezogener Daten annahm.4 Deren Ausgestaltung rechtfertigte eine Systematisierung nach unterschiedlichen nationalen Datenschutzansätzen, namentlich einen nordischen, einen deutschen und einen südländischen.5 Gleichwohl teilten diese Ansätze im Ergebnis weit mehr Gemeinsamkeiten, als dass sie Unterschiede trennten.6 Sie kannten insbesondere einander ähnelnde Verarbeitungsvoraussetzungen, gleichartige Betroffenenrechte sowie ein vergleichbares
28. 1. 1981 das „Übereinkommen zum Schutz des Menschen bei der automatisierten Verarbeitung personenbezogener Daten“ vereinbart. Zu letzterem Henke, Die Datenschutzkonvention des Europarates; s.a. Auernhammer, DuD 1985, S. 7 ff.; Buckert, CR 1988, S. 751 f. 2 Der Rat der OECD verabschiedete am 23. 9. 1980 „Leitlinien für den Schutz des Persönlichkeitsrechts und den grenzüberschreitenden Verkehr personenbezogener Daten“, OECDDokument C (80) 58 final. Dazu Seipel, TDR 1981, S. 32 ff. 1985 wurde diese Erklärung ergänzt um die Declaration on Transborder Data Flows, OECD Digital Economy Papers, No. 1. Zu den Arbeiten der OECD und des Europarats s. Karpenstein, Zur Zuständigkeit der Europäischen Gemeinschaft auf dem Gebiet des Datenschutzes, in: Bieber u. a. (Hrsg.), Das Europa der zweiten Generation, Bd. 2, S. 889 (892 ff.). 3 Die Generalversammlung der UN verabschiedete am 14. 12. 1990 „Die Richtlinien zur Verarbeitung personenbezogener Daten in automatisierten Dateien“, Res. 44/132. 4 KOM(90)314. 5 So auch Burkert, Privacy-Data Protection, in: Engel/Keller (Hrsg.), Governance of Global Networks, S. 43 (48 ff.). 6 Anders i.S. grundsätzlicher und systematischer Unterschiede Rüpke, EuZW 1993, S. 149 ff. Letztlich kommen die unterschiedlichen Ansätze „meistens zu verblüffend ähnlichen Ergebnissen“ so jedenfalls Jacob, RDV 1993, S. 11; vgl. auch Simitis, RDV 1990, S. 3 (3 f.).
B. Der Gesetzgebungsprozess der RL 95/46/EG
115
Aufsichtsregime, bestehend aus einer Kombination von Fremd- und Individualkontrolle.7 Der Umstand, dass der europäische Gesetzgeber im Jahre 1990 nicht nur bereits gefestigte informationstechnische sondern auch rechtliche Strukturen im Hinblick auf die Regelung des Datenschutzes vorfand, ist differenziert zu bewerten. Einerseits konnte dieser auf einen gewachsenen Erkenntnisstand im Umgang mit der Datenverarbeitungstechnik und deren Regulierung zurückgreifen. Andererseits sind Vorstellungen und darauf beruhende (Fehl-)Entwicklungen umso schwieriger zu korrigieren, je etablierter sie sind. Jedenfalls schienen im Ergebnis datenschutzrechtliche Innovationen unter diesen Bedingungen nur schwer realisierbar.8
B. Der Gesetzgebungsprozess der RL 95/46/EG I. Die schweren Anfänge – Vorarbeiten des Europäischen Parlaments Auf gemeinschaftsrechtlicher Ebene wiederholte sich ein Phänomen, das bereits auf Landes- sowie Bundesebene identifiziert wurde.9 Zunächst galten die gemeinschaftlichen Bemühungen uneingeschränkt dem Auf- und Ausbau verschiedener Informations- und Kommunikationsinfrastrukturen, von denen sowohl die Institutionen der Gemeinschaft als auch die Mitgliedstaaten profitieren sollten.10 Den Initiativen zur Verwirklichung technischer Standards korrespondierten hingegen anfangs keine Initiativen datenschutzrechtlicher Art.11 Zwar erkannte die Kommission bereits Ende des Jahres 1973 an, dass die Entwicklungen auf dem Gebiet der Informationstechnik Maßnahmen der Gemeinschaft zum Datenschutz und zur Informationsfreiheit erforderten und es im Gegensatz zu einer Harmonisierung widerstreitender nationaler Datenschutzregime zu einem späteren Zeitpunkt wünschenswerter sei, insoweit eine frühe politische Einigung zu erzielen.12 Tatsächlich folgten diesen Einsichten vorerst aber keine Reaktionen.
7
Eine stufenweise Evolution der europäischen Datenschutzgesetze beschreibt MayerSchönenberger, Generational Development of Data Protection in Europe, in: Agre/Rotenberg (Hrsg.), Technology and Privacy, S. 219 ff. 8 Zu den hieraus resultierenden „Harmonisierungsgrenzen“ Simitis, Vom Markt zur Polis, in: Tinnefeld/Philipps/Heil (Hrsg.), Informationsgesellschaft und Rechtskultur in Europa, S. 51 (54 ff.). 9 Siehe zur Landesebene § 3 B.; zur Bundesebene § 3 C. I. 10 Z.B. CELEX, DIANE, ESPRITE, EURONET. Hierzu Riegel, DSWR 1989, S. 36 ff. und S. 65 ff. 11 Krit. gegenüber diesem Befund Riegel, ZRP 1990, S. 132 ff. 12 KOM(73)1250 = BT-Drs. 7/1531, S. 7 Rn. 39.
116
§ 5 Europäisierung des Datenschutzes
Demgegenüber forderte das Europäische Parlament wiederholt und zunehmend dringlicher ein Tätigwerden der Gemeinschaft zugunsten des Datenschutzes. Erstmals nahm es am 21. Februar 1975 eine „Entschließung über den Schutz der Rechte des Einzelnen angesichts der fortschreitenden technischen Entwicklung auf dem Gebiet der automatischen Datenverarbeitung“ an.13 Hiernach sei eine Richtlinie über die Freiheit des Einzelnen und die Datenverarbeitung dringend erforderlich, „nicht nur um sicherzustellen, daß die Bürger der Gemeinschaft einen maximalen Schutz vor Mißbrauch oder Defekten der Datenverarbeitungsverfahren genießen, sondern auch, um das Entstehen einander widerstreitender nationaler Rechtsvorschriften zu verhindern“14. Das maßgebliche Regelungsbedürfnis erzeugten nach Ansicht des Europäischen Parlaments – entsprechend dem damaligen Stand der Technologie und des Datenschutzdiskurses – Datenbanken im öffentlichen sowie im nicht-öffentlichen Sektor.15 Es schlug die Einsetzung eines besonderen Ausschusses vor, welcher aus seinen Mitgliedern gebildet und Fragen des Datenschutzes sowie des Informationszugangs untersuchen und so die Erarbeitung gemeinschaftsrechtlicher Rechtsakte unterstützen sollte. Diesem Vorschlag wurde im Juni 1976 mit der Bildung eines Unterausschusses des Rechtsausschusses „Datenverarbeitung und Persönlichkeitsrecht“ Rechnung getragen. Auch die Kommission bildete in Folge dieser Empfehlung eine Sachverständigengruppe „Datenverarbeitung und Schutz der Freiheiten“. Am 8. April 1976 und am 8. Mai 1979 wiederholte das Europäische Parlament seinen an die Kommission gerichteten Appell in Form erneuter Entschließungsanträge.16 Im Rahmen des zuletzt genannten Antrags konnte das Parlament dank der Erkenntnisse des eingesetzten Ausschusses seine Forderungen hinsichtlich der Ausgestaltung des gemeinschaftlichen Datenschutzrechts bereits konkretisieren. Es wurden die Normierung des Zweckbindungsgrundsatzes, des Verbots mit Erlaubnisvorbehalt bzgl. der Verarbeitung sensitiver Daten, von Anmelde- und Genehmigungspflichten für manuelle sowie automatisierte Dateien, Anforderungen an die Qualität personenbezogener Daten, Löschungs-, Auskunfts- und Berichtigungspflichten bzw. -rechten, Sanktionen für die Zuwiderhandlung gegen diese Bestimmungen sowie die Etablierung unabhängiger Kontrollorgane auch auf europäischer Ebene gefordert.17
13
ABl. EG Nr. C vom 13. 3. 1975, 60/41 – 55. ABl. EG Nr. C vom 13. 3. 1975, 60/48. 15 Zum deutschen Diskurs s. Seidel, Datenbanken und Persönlichkeitsrechte; s.a. Simitis, NJW 1971, S. 673 ff.; Podlech, DÖV 1970, S. 473 ff. 16 ABl. EG Nr. C vom 3. 5. 1976, 100/27 und ABl. EG Nr. C vom 5. 6. 1979, 140/34 – 38. 17 S. Bayerl, Bericht im Namen des Rechtsausschusses über den Schutz der Rechte des Einzelnen angesichts der fortschreitenden technischen Entwicklung auf dem Gebiet der Datenverarbeitung, Sitzungsdokument EP 100/79. 14
B. Der Gesetzgebungsprozess der RL 95/46/EG
117
Schließlich nahm das Europäische Parlament am 9. März 1982 eine vierte Datenschutzentschließung an.18 In dieser mahnte es nicht nur erneut ein Tätigwerden der Kommission, sondern auch die Ratifikation der Europäischen Datenschutzkonvention durch die Mitgliedstaaten an. Außerdem ergänzte es seine Vorschläge für eine Datenschutzrichtlinie um einen Schadensersatzanspruch zugunsten Betroffener und sprach sich ausdrücklich für ein gleichwertiges Datenschutzniveau im öffentlichen sowie im nicht-öffentlichen Bereich aus.
II. Aufbau eines digitalen Marktes – Handeln und Unterlassen der Europäischen Kommission Während sich das Europäische Parlament bereits Mitte der 1970er Jahre um den europäischen Datenschutz bemühte, vernachlässigte die Kommission diesen zunächst. Hingegen förderte sie bereits frühzeitig und intensiv die Entwicklung von IuK-Technologien sowie den Auf- und Ausbau entsprechender technischer Infrastrukturen innerhalb der Gemeinschaft. Dieses vielfach kritisierte Versäumnis des nach dem EWG-Vertrag ausschließlich initiativberechtigten Gesetzgebungsorgans in Kombination mit der Schaffung informationstechnischer Tatsachen verschlechterte die Chancen eines effektiven Datenschutzes auf supranationaler Ebene zusehends.19 Gleichwohl war dieses Handeln bzw. Unterlassen der Kommission ihrem damaligen Selbstverständnis geschuldet und korrespondierte es der ursprünglichen Zweckausrichtung der EWG.20 Die anschließend dennoch erfolgende Auseinandersetzung der Kommission mit dem Datenschutz war ebenso oberflächlich wie unverbindlich.21 Ihre am 29. August 1981 an die Mitgliedstaaten gerichtete Empfehlung, diese sollten zeitnah die Europäische Datenschutzkonvention ratifizieren, schien insoweit eine Ausnahme zu bilden. Hier konstatierte die Kommission, dass der Privatsphärenschutz eines umfassenden Datenschutzes bedürfe und selbiger den Charakter eines Grundrechts aufweise. Erst nach diesen grundlegenden Feststellungen ging die Kommission auf die ökonomische Bedeutung des Datenschutzes ein: „Die Errichtung und das Funktionieren des Gemeinsamen Marktes setzt eine weitgehende Standardisierung der Bedingungen für die Datenverarbeitung und damit auch des Datenschutzes auf europäischer Ebene voraus.“22 Vor diesem Hintergrund vertrat die Kommission die Auffassung, die Europäische Datenschutzkonvention sei geeignet, ein einheitliches 18
Abgedruckt in BT-Drs. 9/1516. Krit. Riegel, CR 1991, S. 179 ff. 20 Zum Selbstverständnis bzw. zur wirtschaftlich orientierten Perspektive der Kommission Simitis, Vom Markt zur Polis, in: Tinnefeld/Philipps/Heil (Hrsg.), Informationsgesellschaft und Rechtskultur in Europa, S. 51 (52). 21 BT-Drs. 7/1531, S. 7. 22 ABl. EG Nr. L vom 29. 8. 1981, 246/31. 19
118
§ 5 Europäisierung des Datenschutzes
Datenschutzniveau sicherzustellen. Sie behielt sich entsprechend die Vorbereitung einer gemeinschaftlichen Datenschutzgesetzgebung lediglich für den Fall einer ausbleibenden bzw. verspäteten Ratifizierung der Konvention durch die Mitgliedstaaten vor. Aus datenschutzrechtlicher Perspektive stellte sich diese Empfehlung nicht positiv dar. Die Europäische Datenschutzkonvention formulierte zwar einen datenschutzrechtlichen Mindeststandard und leistete damit bereits Wesentliches. Sie konnte überzeugenderweise aber nur den Ausgangspunkt und nicht das Ergebnis eines gemeinschaftlichen Datenschutzrechts bilden.23 Auch die folgenden Aktivitäten der Kommission zugunsten des Aufbaus eines Kommunikationsmarktes in Europa verdeutlichten, dass sie Datenschutzrecht grundsätzlich als unerwünschtes Wachstumshindernis für die Wirtschaft betrachtete.24 Im Gegensatz dazu forderte die Kommission im Jahre 1985 zur Einreichung von Vorschlägen für (Forschungs-)Vorhaben auf den Gebieten der Datensicherheit und des Datenschutzes auf.25 Im Rahmen dieser Ausschreibung kam ein Datenschutzverständnis zum Ausdruck, welches den Datenschutzbemühungen des Bundesgesetzgebers zum gleichen Zeitpunkt weit voraus erschien. Bemerkenswert ist vor allem die Perspektive, welche hier von der Kommission zugrunde gelegt wurde, namentlich die der Anwender und Entwickler von Datenverarbeitungssystemen. Für jene sollten „praktische Werkzeuge“ bzw. „operationelle Hilfsmittel“ bereitgestellt werden, etwa Leitfäden zur datenschutzkonformen Verhaltensausrichtung. Auch das Bezugsobjekt der anvisierten Vorhaben – Datennetze und deren verschiedene Komponenten – wirkten innovativ. Um ihre Sicherheit zu gewährleisten, sollten spezifische Betriebssysteme, sicherheitsorientierte Softwareprodukte, Identifizierungs-, Authentifizierungs- und Unterschriftensysteme sowie Ver- und Entschlüsselungsgeräte konstruiert werden. Außerdem visierte die Kommission die Erarbeitung von Kriterien zur Risikoanalyse und zur Auswahl sowie Anwendung von Sicherheitssystemen an. Insgesamt brachte die Ausschreibung ein holistisches und als qualitativ zu kennzeichnendes Datenschutz- bzw. Datensicherheitsverständnis zum Ausdruck: „Die Sicherheit […], die Verfügbarkeit und die Vertraulichkeit von Datenverarbeitungssystemen sind unter anderem eine Frage der Wechselbeziehungen zwischen allen Komponenten des Systems. Da die ,Sicherheit‘ durch Einzelmaßnahmen nicht erreicht werden kann, soll sie auf umfassende Weise organisiert und wie ein inhärentes Merkmal oder ein Bestandteil dieses Systems in ein Informationssystem einbezogen werden.“26 Letztlich war es auch hier die Datensicherheits23
Simitis, Vom Markt zur Polis, in: Tinnefeld/Philipps/Heil (Hrsg.), Informationsgesellschaft und Rechtskultur in Europa, S. 51 (52). 24 Z.B. Vorschlag für eine Mitteilung der Kommission an den Rat – Gemeinschaftsprogramm zur Entwicklung des Fachinformationsmarktes in Europa, KOM(1983)661, abgedruckt in BT-Drs. 10/1344, S. 24. Vgl. auch Vorschlag einer Entscheidung des Rates über die Durchführung einer Politik auf Gemeinschaftsebene und eines Plans prioritärer Aktionen zur Entwicklung eines Marktes für Informationsdienste, KOM(87)360 endg. 25 ABl. EG Nr. C vom 13. 8. 1985, 204/2 – 5. 26 ABl. EG Nr. C vom 13. 8. 1985, 204/3.
B. Der Gesetzgebungsprozess der RL 95/46/EG
119
debatte, die ebenso wie auf nationaler Ebene eine Anstoßfunktion zugunsten des Datenschutzes übernahm.27 Der Umstand, dass Datenschutz bei der Realisierung von Großprojekten durch die Kommission auch weiterhin nicht mitgedacht wurde, ließ jedoch ein grundsätzliches Umdenken dieser Institution in Bezug auf den Stellenwert und die Mittel zur Verwirklichung des Datenschutzes unwahrscheinlich erscheinen. Dies veranschaulichte etwa das von der Kommission erarbeitete „Grünbuch über die Entwicklung des Gemeinsamen Marktes für Telekommunikationsdienstleistungen und Telekommunikationsgeräte“ aus dem Jahre 1987.28 Datenschutzrechtliche Bestimmungen wurden hier lediglich als Teil ordnungspolitischer Vorgaben für das Angebot und die Nutzung von Telekommunikationsdiensten benannt. Eine differenzierte Auseinandersetzung mit speziellen datenschutzrechtlichen Herausforderungen in diesem Bereich erfolgte hingegen nicht.29
III. Initiativen der Kommission für einen gemeinschaftsrechtlichen Datenschutz 1. Vorschlag einer allgemeinen Datenschutzrichtlinie Die zunehmende Bedeutung des Grundrechtsschutzes auf gemeinschaftsrechtlicher Ebene sowie die angestrebte Verwirklichung des Binnenmarktes setzten die Kommission im Hinblick auf eine von ihr ausgehende Initiative für ein europäisches Datenschutzkonzept unter Zugzwang.30 Schließlich erarbeitete sie ein Initiativpaket, dessen Kernstück der am 27. Juli 1990 vorgelegte Vorschlag einer Richtlinie zum Schutz von Personen bei der Verarbeitung personenbezogener Daten bildete.31 Der dem Richtlinienvorschlag primär zugrunde liegende Konflikt bestand zwischen dem Bedürfnis nach einem freien innergemeinschaftlichen Datenaustausch, welches sich aufgrund der Verwirklichung des Binnenmarktes und der sich inten27
Siehe hierzu a. Ulrich, DuD 1999, S. 664 ff. KOM(87)290 endg., abgedruckt in BT-Drs. 11/930. 29 Dies wurde auch kritisch von dem Ausschuss für Post- und Fernmeldewesen des BT kommentiert, der sich für eine Durchsetzung des nationalen Datenschutzstandards auf gemeinschaftsrechtlicher Ebene aussprach, BT-Drs. 11/2014, S. 7. 30 Zu der zunehmenden Bedeutung des Grundrechtsschutzes s. Gemeinsame Erklärung des EP, des Rates und der KOM über die Achtung der Grundrechte, ABl. EG Nr. C vom 27. 4. 1977, 103/1; s.a. Abs. 3 der Präambel der Einheitlichen Europäischen Akte, ABl. EG Nr. L vom 29. 6. 1987, 169/2. Den Wandel von einer Wirtschafts- zu einer Wertegemeinschaft beschreibt Weiler, The Yale Law Journal 1991, S. 2403 ff. Zu der Verknüpfung von Binnenmarkt und Datenschutz s. etwa KOM (Hrsg.), Arbeitsprogramm der Kommission für 1990, Bulletin der Europäischen Gemeinschaft, Beilage 1/90, S. 22 ff. und S. 33. 31 Das gesamte Initiativpaket KOM(90)314 endg. ist abgedruckt in BR-Drs. 690/90. Der Vorschlag der allgemeinen Datenschutzrichtlinie ist abgedruckt im ABl. EG Nr. C vom 5. 11. 1990, 277/3 – 12. 28
120
§ 5 Europäisierung des Datenschutzes
sivierenden Verwaltungskooperation zwischen den Mitgliedstaaten stetig steigerte, und divergenten mitgliedstaatlichen Datenschutzvorschriften, die jenen erschwerten. Wenn innerhalb der Gemeinschaft ein gleichwertiges Datenschutzniveau herrsche, könnten die Mitgliedstaaten die Übermittlung personenbezogener Daten auch nicht mehr rechtmäßigerweise unter Hinweis auf den Schutz der Privatsphäre unterbinden, so die Argumentation der Kommission.32 Mithin war es ausweislich der Begründung des Initiativpaktes das unmittelbare Ziel der Richtlinie, innerhalb der Gemeinschaft ein gleichwertiges Datenschutzniveau zu etablieren, um ökonomischen und administrativen Interessen Rechnung zu tragen. Weiterhin sollte das angestrebte Datenschutzniveau den in einzelnen Mitgliedstaaten bereits erreichten Datenschutzstandard nicht herabsenken. Vielmehr galt es nach Ansicht der Kommission, ein gleichwertiges und gleichzeitig hohes Datenschutzniveau in der Gemeinschaft zu verwirklichen.33 In dem zuletzt genannten Attribut sollte die Qualifikation des Datenschutzes als konkretisierter Grundrechtsschutz zum Ausdruck kommen.34 Zur Erreichung dieser Ziele griff der Richtlinienvorschlag ausschließlich auf bereits in den Mitgliedstaaten etablierte Regelungsmittel zurück und beließ diesen bei ihrer Ausgestaltung großzügige Umsetzungsspielräume. Der Anwendungsbereich der Richtlinie sollte angesichts der Verarbeitung personenbezogener Daten durch öffentliche wie auch nicht-öffentliche Stellen eröffnet sein. Zwar wurde grundsätzlich allein die datenschutzrechtliche Regulierung der Verarbeitung personenbezogener Daten in oder aus Dateien angestrebt. Gleichwohl bezog sich der zugrunde gelegte Dateibegriff nicht ausschließlich auf die automatisierte Verarbeitung von Daten. Die gemeinschaftsrechtlichen Datenschutzvorgaben sollten mithin grundsätzlich auch für die Datenverarbeitung im Rahmen von Akten gelten.35 In Bezug auf die Verarbeitungsvoraussetzungen differenzierte der Vorschlag prinzipiell zwischen dem öffentlichen und dem nicht-öffentlichen Bereich. Übereinstimmend schlug die Kommission jedoch für beide Sektoren die Statuierung des Verbots mit Erlaubnisvorbehalt vor, s. Art. 5 bzw. Art. 8 KOM(90)314 SYN 287. Die Rechtmäßigkeit der Verarbeitung personenbezogener Daten im öffentlichen Bereich sollte grundsätzlich an deren Erforderlichkeit für die Aufgabenerledigung der jeweiligen Stelle gemessen werden. Des Weiteren sollten ausnahmsweise die Einwilligung des Betroffenen, eine Rechtsgrundlage, das Ergebnis einer Interessenabwägung, eine drohende Gefahr für die öffentliche Ordnung oder schwerwiegende Verletzungen der Rechte Dritter eine vom Erhebungszweck abweichende Verarbeitung legitimieren können. In Bezug auf die als besonders risikointensiv qualifi32 Diese Argumentation lag bereits der Europäischen Datenschutzkonvention zugrunde, vgl. hierzu § 5 A. 33 BR-Drs. 690/90, S. 6. 34 BR-Drs. 690/90, S. 48. 35 BR-Drs. 690/90, S. 19. Krit. zu betrachten ist der Vorschlag, die Regelungen der RL nicht auf leicht portable Dateien sowie nur vereinzelt erfolgende Datenabfragen in bzw. aus Drittstaaten zu erstrecken.
B. Der Gesetzgebungsprozess der RL 95/46/EG
121
zierte Weitergabe personenbezogener Daten an Dritte war außerdem die Normierung einer Meldepflicht vorgesehen. Bei der Regelung der Datenverarbeitung im nichtöffentlichen Bereich wurde zentral auf die Einwilligung des Betroffenen als Rechtfertigungstatbestand abgestellt. Ausnahmsweise sollte die Datenverarbeitung auch im Rahmen eines Vertrags oder eines vertragsähnlichen Verhältnisses sowie einer Interessenabwägung gerechtfertigt werden können. Der Richtlinienvorschlag qualifizierte das Recht, in eine Datenverarbeitung einwilligen zu können, als das wesentlichste Betroffenenrecht und normierte entsprechend weitere Ansprüche – namentlich auf Berichtigung, Sperrung und Löschung – allein ergänzend. Eine datenschutzrelevante Einwilligung sollte dem Entwurf zufolge ihre legitimierende Wirkung nur dann entfalten können, wenn sie informiert, konkret und ausdrücklich erklärt wird, Art. 12 KOM(90)314 SYN 287. Die maßgeblichen Voraussetzungen hierfür bildeten die Benachrichtigungs- und Informationspflichten datenverarbeitender Stellen, deren Einschränkung die Mitgliedstaaten im nicht-öffentlichen Bereich lediglich bedingt und im öffentlichen Bereich großzügiger regeln können sollten. In dem Kapitel mit der Überschrift „Qualität der Daten“ wurde der Grundsatz der Datenverarbeitung nach Treu und Glauben statuiert. Hiernach sollte Datenverarbeitung grundsätzlich nicht verdeckt bzw. geheim stattfinden dürfen. Die Mitgliedstaaten hatten diesbezüglich außerdem sicherzustellen, dass datenverarbeitende Stellen die Richtigkeit und Aktualität von Daten gewährleisten. Schließlich sollte die Verarbeitung sensibler Daten prinzipiell nicht automatisch und im privaten Bereich darüber hinaus lediglich ausnahmsweise nach Erteilung einer freien, ausdrücklichen und schriftlichen Einwilligung des Betroffenen erfolgen können. Mithin stellten sich auch insoweit die Verarbeitungsvoraussetzungen im nicht-öffentlichen Bereich tendenziell strenger dar. Als maßgebliches Ziel der Datensicherheit galt die Verhinderung des unbefugten Zugriffs Dritter auf personenbezogene Daten. Hierzu gab der Vorschlag den Mitgliedstaaten auf, einen geeigneten – aber ansonsten nicht näher qualifizierten – Standard an Schutzmaßnahmen zu formulieren. Schließlich sollten diese dem Vorschlag entsprechend Sanktions- und Haftungsbestimmungen statuieren und es wurde die Einrichtung unabhängiger Kontrollbehörden auf mitgliedstaatlicher sowie europäischer Ebene vorgesehen. Insgesamt orientierte sich der Vorschlag ausschließlich an der Europäischen Datenschutzkonvention und den mitgliedstaatlichen Datenschutzkonzepten. Etwa wurzelten die von diesem normierten Meldepflichten im schwedischen und französischen Datenschutzrecht und lehnte sich der Vorschlag zu den Standes- und Verhaltensregeln in Art. 20 KOM(90)314 SYN 287 an das britische Institut der Codes of Conduct an.36 Mithin wurde Datenschutz im Rahmen des Richtlinienvor36 Die alleinige Ausrichtung des europäischen Rechtsrahmens für den Datenschutz an dem Datenschutzkonzept eines einzigen Mitgliedstaates wurde nicht ernsthaft in Erwägung gezogen, so jedenfalls Brühann, Europarechtliche Grundlagen, in: Roßnagel (Hrsg.), Handbuch
122
§ 5 Europäisierung des Datenschutzes
schlages nicht neu gedacht, sondern es wurden insoweit bekannte Pfade zu seiner Regulierung beschritten. Diese Vorgehensweise der Kommission ermöglichte ggf. zwar erst die Etablierung des Datenschutzrechts auf europäischer Ebene. Sie stellte sich im Ergebnis aber als fatal für die Verwirklichung des Datenschutzes dar. Nicht nur blieb die Chance, Innovationen im Datenschutzrecht zu realisieren, ungenutzt, sondern provozierte der Rückgriff auf in den Mitgliedstaaten etablierte Formulierungen und Institute auch die Gefahr ihrer Interpretation in einem nationalen Sinne – und eben nicht in einem gemeinschaftsrechtlichen.37 Die primäre Zielsetzung, den freien Austausch personenbezogener Daten zwischen den Mitgliedstaaten sicherzustellen, wurde dem Datenschutz so zum Verhängnis: Ein vorgeblich gleichwertiges und hohes Datenschutzniveau sollte nach Erlass der Richtlinie den Datenfluss innerhalb der Gemeinschaft legitimieren bzw. bestehende Übermittlungsrestriktionen aushebeln. Ein solches Datenschutzniveau gewährleistete der Vorschlag aber gerade nicht. Fast jede seiner Vorgaben wurde durch unbestimmte Ausnahmetatbestände bzw. weite Umsetzungsspielräume zugunsten der Mitgliedstaaten relativiert. Damit vermochte es der Entwurf zwar, den innergemeinschaftlichen Datenaustausch rechtstechnisch zu rechtfertigen, dieser verwirklichte jedoch im Ergebnis keinen qualitativen Datenschutz. 2. Vorschlag einer Datenschutzrichtlinie für öffentliche digitale Telekommunikations- und Mobilfunknetze Zu dem Initiativpaket der Kommission zählte auch der Vorschlag einer Richtlinie zum Schutz personenbezogener Daten und der Privatsphäre in öffentlichen digitalen Telekommunikations- und entsprechenden Mobilfunknetzen. Dieser stellte die erste gesetzgeberische Maßnahme zur datenschutzrechtlichen Regulierung des ISDN überhaupt dar. Das ISDN ist eine Weiterentwicklung des Telefonnetzes, welche mittels eines einzigen Anschlusses und den bereits vorhandenen Teilnehmerleitungen die Übertragung von audiovisuellen Daten sowie die Inanspruchnahme einer Vielzahl weiterer Dienste ermöglicht.38 Im Gegensatz zu überkommenen analogen Datenverarbeitungstechniken erfolgen hier sämtliche Datenverarbeitungs- bzw. -übertragungsvorgänge digital.
Datenschutzrecht, S. 131 (Fn. 12). Zu Codes of Practice Raab, International Review of Law, Computers and Technology 1997, S. 11 (15 ff.). Zu den Vor- und Nachteilen ihrer Integration in das deutsche Datenschutzkonzept Simitis, NJW 1998, S. 2473 (2474 f.). 37 So auch BfD, 15. TB, BT-Drs. 13/1150, S. 173. Vgl. auch Simitis: „Benutzt werden eben immer nur die vorhandenen Regelungselemente; der Regelungshorizont wird insofern zwangsläufig durch die sich in ihnen materialisierenden Vorstellungen der nationalen Gesetzgeber bestimmt.“ Simitis, Vom Markt zur Polis, in: Tinnefeld/Philipps/Heil (Hrsg.), Informationsgesellschaft und Rechtskultur in Europa, S. 51 (55); s.a. Simitis, in: Dammann/ders. (Hrsg.), EG-Datenschutzrichtlinie, Einl. Rn. 13; Riegel, CR 1991, S. 179 (180); Rüpke, EuZW 1993, S. 149 (156); Wächter, Falsifikation und Fortschritt im Datenschutzrecht, S. 181. 38 BR-Drs. 690/90, S. 83.
B. Der Gesetzgebungsprozess der RL 95/46/EG
123
Nachdem Initiativen der Gemeinschaft zum Auf- und Ausbau dieses Netzes bereits relativ früh erfolgten,39 sollte nun auch der Datenschutz insoweit sichergestellt werden.40 Diesbezüglich konstatierte die Kommission, die Digitalisierung des Telekommunikationsnetzes mache die zu übertragenden Daten in einer völlig neuartigen Dimension der systematischen Speicherung und Verfolgung zugänglich.41 Lediglich sekundär ging sie in ihren Ausführungen auf die ökonomischen Konsequenzen einer von Mitgliedstaat zu Mitgliedstaat divergierenden Regulierung der genannten Technologie ein. Die Kommission ging davon aus, dass die Vorgaben der Europäischen Datenschutzkonvention sowie ihres Vorschlags einer allgemeinen Datenschutzrichtlinie in diesem Kontext keinen ausreichenden Betroffenenschutz gewährleisteten, daher visierte sie den Erlass einer bereichsspezifischen Richtlinie an. Jene sollte ein Mindestniveau angesichts des Schutzes personenbezogener Daten und der Privatsphäre der europäischen Bürger sicherstellen.42 Hierdurch wollte die Kommission einerseits die gesellschaftliche Akzeptanz für das Netz und dessen neue Dienste herstellen bzw. erhalten sowie andererseits den Wettbewerb zwischen entsprechenden Anbietern gewährleisten. Bei der Ausgestaltung ihres Schutzkonzepts versuchte die Kommission, die spezifischen Anforderungen von Telekommunikationsnetzen zugrunde zu legen,43 und ließ sich im Wesentlichen von zwei Zielen leiten: Der Minimierung des Missbrauchsrisikos und der Gewährleistung der informationellen Selbstbestimmung. In Bezug auf das erstgenannte Ziel formulierte der Vorschlag einen relativ schlichten Lösungsansatz, dem zufolge die Verarbeitung von Daten auf das strikte Minimum zu begrenzen sei, welches für die Durchführung der Dienste erforderlich sei. Dieser Grundsatz sollte später als das Prinzip der Datenvermeidung und -sparsamkeit bezeichnet werden.44 Die Auseinandersetzung der Kommission mit dem zweiten, 39 Siehe etwa den Vorschlag für eine Empfehlung des Rates über die koordinierte Einführung des diensteintegrierenden digitalen Fernmeldenetzes (ISDN) in der EG, KOM(86)205 endg., ABl. EG Nr. C vom 24. 6. 1986, 157/3 – 8, sowie die entsprechende Empfehlung des Rates, ABl. EG Nr. L vom 31. 12. 1986, 382/36 – 41; s.a. die ersten Jahresberichte zur Einführung des ISDN in der Gemeinschaft, KOM(88)589, KOM(90)123 und SEK(91)2183 endg. Zum europaweiten öffentlichen Mobilfunknetz s. Empfehlung des Rates 87/371/EWG, ABl. EG Nr. L vom 17. 7. 1987, 196/81 – 84; s.a. die Richtlinie des Rates vom 25. Juni 1987 über die Frequenzbänder, die für die koordinierte Einführung eines europaweiten öffentlichen zellularen digitalen terrestrischen Mobilfunkdienstes in der Gemeinschaft bereit zu stellen sind, ABl. EG Nr. L vom 17. 7. 1987, 196/85 – 86. 40 Wieder ging der Initiative der KOM eine Aufforderung des EP voraus, s. ABl. EG Nr. C vom 12. 1. 1987, 7/334 – 336; s.a. ABl. EG Nr. C vom 16. 1. 1989, 12/69 – 72. 41 BR-Drs. 690/90, S. 85. 42 BR-Drs. 690/90, S. 87. 43 Z.B. könne in jenen Datensicherheit weitestgehend durch die Nutzung hochwertiger Verschlüsselungstechniken erreicht werden, so BR-Drs. 690/90, S. 85. 44 Zum Prinzip der Datenvermeidung und -sparsamkeit als Gestaltungsanforderung an Technik Roßnagel, Das Gebot der Datenvermeidung und -sparsamkeit als Ansatz wirksamen
124
§ 5 Europäisierung des Datenschutzes
weitaus komplexeren Anspruch blieb hingegen oberflächlich. Diesbezüglich postulierte sie lediglich, die Gewährleistung der informationellen Selbstbestimmung eines Teilnehmers habe uneingeschränkt gegenüber den Interessen der Telekommunikationsorganisationen, weiterer Teilnehmer sowie Dritter zu erfolgen. Dass sich die verschiedenen Akteure einer Kommunikation jeweils auf grundrechtliche Positionen berufen können – namentlich der zweite Teilnehmer einer bipolaren Kommunikation auf sein eigenes informationelles Selbstbestimmungsrecht und der Kommunikationsintermediär auf Wirtschaftsgrundrechte – reflektierte die Kommission folglich nicht. Die Kommission führte zwar aus, die Regulierung der öffentlichen Digitalnetze erfordere rechtliche, ordnungspolitische und technische Vorschriften,45 beschränkte sich aber im Folgenden nahezu ausschließlich auf die Formulierung der zuerst genannten. Mithin legte sie einen normativ geprägten Ansatz zugrunde, für den das Verbot mit Erlaubnisvorbehalt, der Zweckbindungsgrundsatz sowie Löschungspflichten charakteristisch waren. Weiterhin differenzierte der Vorschlag zwischen verschiedenen Kategorien personenbezogener Daten – namentlich Inhalts-, Verbindungs-, Bestands- und Abrechnungsdaten –, für welche jeweils eigene Verarbeitungsvoraussetzungen normiert wurden. Auf die Gefahr einer systematischen Überwachung der Kommunikationsteilnehmer reagierte die Kommission mit dem expliziten und uneingeschränkten Verbot der Erstellung elektronischer Profile sowie der Kategorisierung der Teilnehmer. Zwar sah der Vorschlag auch die Normierung von Betroffenenrechten – auf Information, Berichtigung und Löschung – vor, gleichwohl kam diesen in dem gesamten Regelungskonzept lediglich eine untergeordnete Bedeutung zu. Beachtenswert sind die Bestimmungen des Vorschlags im Bereich der Datensicherheit sowie der „technischen Merkmale“. Bezüglich der Datensicherheit statuierte der Entwurf die bekannte Öffnungsklausel, der zufolge die Telekommunikationsorganisationen einen dem Stand der Technik entsprechenden, angemessenen Schutz personenbezogener Daten gegen unbefugte Zugriffe gewährleisten müsse, Art. 8 Abs. 1 KOM(90)314 SYN 288. Bestehe ein besonderes Netzrisiko, müssten die Teilnehmer außerdem hierüber informiert und eine Verschlüsselung von Endgerät zu Endgerät angeboten werden, Art. 8 Abs. 2 KOM(90)314 SYN 288. Angesichts der technischen Merkmale von Telekommunikationsgeräten und -diensten wurde auf das Erfordernis einer europäischen Standardisierung eingegangen. Um insoweit einen ungehinderten Vertrieb innerhalb der Gemeinschaft zu ermöglichen, sollte die Kommission ermächtigt werden, entsprechende europäische Standards zu
technikbasierten Persönlichkeitsschutzes?, in: Eifert/Hoffmann-Riem (Hrsg.), Innovation, Recht und Öffentliche Kommunikation, S. 41 ff.; s.a. Bull, NJW 2006, S. 1617 (1619); Dix, in: Roßnagel (Hrsg.), Handbuch Datenschutzrecht, 3.5 Rn. 19 ff.; Hansen, in: Roßnagel (Hrsg.), Handbuch Datenschutzrecht, 3.3 Rn. 46 ff. 45 BR-Drs. 690/90, S. 93.
B. Der Gesetzgebungsprozess der RL 95/46/EG
125
erarbeiten, Art. 18 Abs. 3 KOM(90)314 SYN 288.46 Zwar dominierte insofern die Absicht, den freien Waren- bzw. Dienstleistungsverkehr sicherzustellen.47 Gleichwohl stellt die Normung bzw. Standardisierung der in Rede stehenden Technologien auch einen effektiven Ansatz dar, um die Ziele des Datenschutzes technologieorientiert zu verwirklichen.48 Diese Perspektive wurde hier zwar augenscheinlich nicht bedacht, dennoch zumindest eröffnet. Obwohl der Vorschlag ausweislich seiner Begründung lediglich einen datenschutzrechtlichen Mindeststandard gewährleisten sollte, stellte sich dieser im Ergebnis – und speziell im Vergleich mit dem Entwurf der allgemeinen Datenschutzrichtlinie – aufgrund des geringen Umsetzungsspielraums der Mitgliedstaaten und der konsequenten Verwirklichung des Zweckbindungsgrundsatzes als hoch dar. Dennoch ist davon auszugehen, dass die Kommission insoweit weniger den Datenschutz als das Funktionieren des Netzes sowie den freien Waren- und Dienstleistungsverkehr unbedingt sicherstellen wollte. Dies legte primär der Umstand nahe, dass die Teilnehmer – also in der datenschutzrechtlichen Terminologie die Betroffenen – nicht im Fokus des Schutzkonzepts standen. Insbesondere wurde deren Einwilligung nicht als datenschutzrelevanter Rechtfertigungstatbestand anerkannt und waren die Betroffenenrechte hier nur schwach ausgestaltet.49 3. Vorschlag für einen Ratsbeschluss auf dem Gebiet der Informationssicherheit Als weitere Maßnahme des Initiativpaketes soll an dieser Stelle noch der Kommissionsvorschlag für einen Ratsbeschluss auf dem Gebiet der Informationssicherheit untersucht werden, da von Entwicklungen im Bereich der Datensicherheit grundsätzlich auch Impulse für einen qualitativen Datenschutz zu erwarten sind.50 Die Begründung dieses Vorschlags arbeitete zunächst die individuelle, gesellschaftliche sowie gemeinschaftliche Bedeutung der Informationssicherheit heraus und erörterte anschließend die spezifischen Sicherheitsanforderungen der digitalen Kommunikation über öffentliche Netze. Jene könne hiernach gerade nicht durch Isolierung – mithin gemäß dem bis dato geltenden state of the art der Informationssicherheit – gewährleistet werden. Entsprechend konstatierte die Kommission: „Hier stehen grundsätzlich weder die Technologien, Endgeräte und Dienste noch die 46
Siehe insoweit auch den Ratsbeschluss 87/95/EWG vom 22. Dezember 1986 über die Normung auf dem Gebiet der Informationstechnik und der Telekommunikation, ABl. EG Nr. L vom 7. 2. 1987, 36/31 – 37. 47 BR-Drs. 690/90, S. 89 zu Art. 18. 48 Dazu Simitis, NJW 1998, S. 2473 (2479). 49 Zu deren Verwirklichung in der RL 97/66/EG Schild, EuZW 1999, S. 69 (74). Zur Folgerichtlinie 2002/58/EG insoweit Ohlenburg, MMR 2003, S. 82 ff. 50 Zum Datensicherheitsdiskurs als Ausgangspunkt für datenschutzrechtliche Innovationen § 3 B. bzgl. des HEDSG 1970 sowie § 4 B. III. 6. bzgl. des BSI bzw. § 6 F. II. 3. bzgl. des ITSicherheitsgesetzes.
126
§ 5 Europäisierung des Datenschutzes
entsprechenden Normen und Verfahren zur Verfügung, um eine vergleichbare Informationssicherheit zu gewährleisten.“51 Solche müssten vielmehr erst entwickelt werden, wobei den sicherheitstechnischen Zielanforderungen der Authentizität, Integrität und Nachweisbarkeit eine erhöhte Bedeutung zukommen solle.52 Insgesamt sollte künftig die Normung bzw. Standardisierung eine Schlüsselrolle bei der Gewährleistung von Informationssicherheit einnehmen. Insoweit wurde außerdem festgestellt, dass US-amerikanische Behörden bereits über Programme zur Entwicklung sicherer Computersysteme, offener Sicherheitsarchitekturen sowie bestimmter Sicherheitstechnologien verfügten. Dieser Umstand beschleunige zwar einerseits auch den internationalen Einsatz anwenderspezifischer Sicherheitslösungen, andererseits begründe er die Gefahr einer de-facto-Normung.53 Um diesem Risiko entgegenzuwirken, plante die Kommission die Erarbeitung einer Rahmenstrategie für die Informationssicherheit auf gemeinschaftlicher Ebene. Teil derselben sollten Maßnahmen zur Entwicklung notwendiger Technologien sowie entsprechender Prüf- und Zertifizierungsverfahren bilden.54 Insgesamt erfolgte im Rahmen dieser Initiative eine differenzierte Auseinandersetzung mit der Informationssicherheit. Zu deren Schutz wurde auf europäischer Ebene primär der Einsatz normativ angeleiteter technischer Maßnahmen geplant. Recht und Technik standen einander hier folglich nicht feindlich gegenüber, sondern sollten eine Symbiose eingehen. Konkret wurde anvisiert, rechtliche Vorgaben mithilfe der Normung und Standardisierung technisch zu realisieren. Somit wurde ein Datensicherheitskonzept skizziert, das bereits bei der Konstruktion der in Rede stehenden Technologien ansetzt und deren Anwendung konsequent begleitet. Im Ergebnis kamen damit zentrale Ansätze eines qualitativen Datensicherheitskonzepts zum Ausdruck, die auch in Bezug auf den Datenschutz fruchtbar gemacht werden konnten.55 4. Zwischenergebnis Unterzieht man das Initiativpaket der Kommission einer Gesamtbetrachtung, lässt sich feststellen, dass angesichts des allgemeinen Datenschutzrechts kaum Merkmale eines qualitativen Datenschutzes realisiert wurden, sich solche aber im Rahmen der Regulierung von Telekommunikationsnetzen und -dienstleistungen sowie der Gewährleistung von Informationssicherheit manifestierten. 51
BR-Drs. 690/90, S. 122. Zu den Anforderungen der Datensicherheit Schmidl, in: Hauschka/Moosmayer/Lösler (Hrsg.), Corporate Compliance, § 28 Rn. 63 ff. 53 BR-Drs. 690/90, S. 115. 54 BR-Drs. 690/90, S. 112. 55 Zur Kooperation bzw. Allianz von Recht und Technik prominent Roßnagel, Allianz von Medienrecht und Informationstechnik, in: ders. (Hrsg.), Allianz von Medienrecht und Informationstechnik, S. 17 ff. 52
B. Der Gesetzgebungsprozess der RL 95/46/EG
127
IV. Das weitere Gesetzgebungsverfahren zwischen Europäischem Parlament und Kommission Am 11. März 1992 billigte das Europäische Parlament den Kommissionsvorschlag für eine allgemeine Datenschutzrichtlinie vorbehaltlich zahlreicher und wesentlicher Änderungen.56 In den divergenten Haltungen, die im Kommissionsvorschlag einerseits und in den parlamentarischen Änderungsvorschlägen andererseits zum Ausdruck kamen, spiegelten sich die bereits bei Erlass und Änderung des BDSG 1977 maßgeblich gewordenen Streitfragen wider. Nach Ansicht des Parlaments sollten die Vorgaben der Richtlinie unabhängig von dem Erfordernis einer Verarbeitung personenbezogener Daten im Rahmen von Dateien formuliert und auch die Datenerhebung in den Kanon der datenschutzrelevanten Verarbeitungsphasen aufgenommen werden. Außerdem schlug das Parlament die Konkretisierung einiger wesentlicher Definitionen vor, insbesondere die des personenbezogenen Datums, der Datenweitergabe und des automatischen Datenverarbeitungssystems. Einer der – vor allem aus deutscher Perspektive – bedeutsamsten Änderungsvorschläge stellte die Angleichung des Schutzniveaus im nicht-öffentlichen an den öffentlichen Bereich und damit die Anhebung des erstgenannten dar. Weiterhin sah das Parlament die Erweiterung der Betroffenenrechte sowie die Stärkung des Kontrollregimes vor. Somit wurde das Konzept des Kommissionsvorschlags nicht grundlegend in Frage gestellt, sondern lediglich versucht, diesen systemimmanent zugunsten der Betroffenen zu ändern.57 Qualitative Verbesserungen ließen sich hierbei nur sehr vereinzelt ausmachen. Etwa hieß es in EWg. 21a der Parlamentsfassung: „Zur praktischen Umsetzung der in dieser Richtlinie enthaltenen Vorschriften arbeiten die Mitgliedstaaten, die betreffenden Industriezweige und die Gemeinschaftsorgane bei der Entwicklung und fertigungsbezogenen Nutzung der entsprechenden Technologien zusammen, die zur Durchführung der im folgenden erwähnten Kontrollen und zur Wahrung der Rechtsvorschriften erforderlich sind.“58 Insoweit wurde zwar die Bedeutung des Ansatzes, Datenschutz durch Technik zu gewährleisten, deutlicher herausgestellt, rechtliche Konsequenzen folgten diesem hingegen weiterhin nicht.
56 ABl. EG Nr. C vom 13. 4. 1992, 94/173 – 201. S.a. Stellungnahme des Wirtschafts- und Sozialausschusses vom 24. 4. 1991, ABl. EG Nr. C vom 17. 6. 1991, 159/38 – 48. 57 Siehe a. die Änderungsvorschläge der Sonderkonferenz der Datenschutzbeauftragten des Bundes und der Länder, für die insoweit das Gleiche gilt, BT-Drs. 12/553, Anlage 9. Insgesamt kritisch zu den Änderungsvorschlägen des EP s. Stellungnahme des Arbeitskreises Datenschutz der Spitzenorganisationen der Wirtschaft, DuD 1992, S. 382 ff.; Wind/Siegert, RDV 1992, S. 118 ff. 58 ABl. EG Nr. C vom 13. 4. 1992, 94/174, Änderung Nr. 7.
128
§ 5 Europäisierung des Datenschutzes
Am 16. Oktober 1992 legte die Kommission eine zweite Version ihres Vorschlags einer allgemeinen Datenschutzrichtlinie vor.59 Deren Titel sollte hiernach um den Schutz des freien Warenverkehrs ergänzt werden, um kompetenzrechtlichen Bedenken zu begegnen.60 Außerdem fokussierte sich dieser Richtlinienentwurf nicht mehr ausdrücklich auf den zu gewährleistenden Schutz der Privatsphäre, sondern stellte weitergehender auf die Rechte und Freiheiten der von der Datenverarbeitung Betroffenen ab. Entgegen der Anregung des Europäischen Parlaments musste eine Datenverarbeitung hiernach weiterhin entweder automatisch oder im Rahmen einer Datei erfolgen, um von dem Anwendungsbereich der Richtlinie erfasst zu werden. Demgegenüber wurden auch einige Forderungen des Parlaments berücksichtigt. Insbesondere wurden die Verarbeitungsvoraussetzungen im nicht-öffentlichen Bereich weitestgehend denen im öffentlichen Bereich angepasst, die Erhebung als datenschutzrelevante Phase anerkannt und das Kontrollregime insgesamt gestärkt. Auch wenn diese zweite Version überwiegend positiv aufgenommen wurde, lässt sich nicht verkennen, dass der Datenschutzstandard des Vorschlags teilweise auch deutlich herabgesenkt wurde. Dies galt etwa angesichts der eingeführten extensiven Ausnahmetatbestände von dem grundsätzlichen Verbot der Übermittlung personenbezogener Daten in „unsichere Drittstaaten“, für welche sich speziell die deutsche Vertretung in der Kommission eingesetzt hatte.61
V. Die Arbeit an der Richtlinie im Ministerrat – insbesondere die Position der deutschen Delegation Nachdem sich der Ministerrat seit den 1970er Jahren mit den Potentialen der EDV für die Wirtschaft und die Verwaltungskooperation innerhalb der Gemeinschaft auseinandergesetzt hatte, musste er dies im Rahmen des in Rede stehenden Gesetzgebungsverfahrens nun auch mit dem Datenschutz tun.62 Der seit dem 15. Oktober 1992 vorliegende Richtlinienvorschlag der Kommission bildete die Grundlage 59 ABl. EG Nr. C vom 27. 11. 1992, 311/30 – 61. Zu diesem ausführlich Kopp, RDV 1993, S. 1 ff.; s.a. Körner-Dammann, RDV 1993, S. 14 ff.; Jacob, RDV 1993, S. 11 ff.; Skipper, EuZW 1993, S. 145 ff. und Rüpke, EuZW 1993, S. 149 ff.; Wind/Siegert, CR 1993, S. 46 ff. 60 Zu Kompetenzfragen Karpenstein, Zur Zuständigkeit der Europäischen Gemeinschaft auf dem Gebiet des Datenschutzes, in: Bieber u. a. (Hrsg.), Das Europa der zweiten Generation, Bd. 2, S. 889 (892 ff.); s.a. Simitis, in: Dammann/ders. (Hrsg.), EG-Datenschutzrichtlinie, Einl. Rn. 4 ff. 61 So BfD, 15. TB, BT-Drs. 13/1150, S. 177. 62 Siehe etwa Entschließung des Rates vom 15. Juni 1974 über eine gemeinschaftliche Politik auf dem Gebiet der Datenverarbeitung, ABl. EG Nr. C vom 20. 7. 1974, 86/1; s.a. Ratsbeschluss über ein Gemeinschaftsprogramm zur Entwicklung des Fachinformationsmarktes in Europa (84/567/EWG), ABl. EG Nr. L vom 4. 12. 1984, 314/19 – 23; Entscheidung des Rates vom 26. Juni 1988 über die Durchführung eines Aktionsplans zur Schaffung eines Marktes für Informationsdienste (88/524/EWG), ABl. EG Nr. L vom 21. 10. 1988, 288/39 – 43. Die genannten Maßnahmen lassen den Datenschutz jeweils unerwähnt.
B. Der Gesetzgebungsprozess der RL 95/46/EG
129
für die Formulierung eines gemeinsamen Standpunktes durch den Rat. Die Arbeit an diesem wurde erst im April 1993 – mithin nach Beginn des Binnenmarktes – aufgenommen.63 Anschließend stritt der Rat innerhalb der nächsten zwei Jahre intensiv über die Formulierung jeder einzelnen Regelung der Richtlinie.64 Hierbei stellten die Delegierten nationalstaatliche Egoismen in Anbetracht der Schaffung eines kohärenten Datenschutzkonzepts nicht zurück, sondern versuchten vielmehr, die ihnen vertrauten Regelungsansätze und Mechanismen weitestgehend in den Rechtsakt zu integrieren. Die am 15. Oktober 1993 von der dänischen, deutschen, irischen sowie britischen Delegation vorgelegten Änderungsvorschläge stellten sich insoweit paradigmatisch dar.65 Der Richtlinienvorschlag der Kommission basierte im Wesentlichen auf der Normierung von Verarbeitungsvoraussetzungen, Betroffenenrechten sowie einer institutionalisierten Fremdkontrolle. Alle drei Aspekte wurden von dem Änderungsbegehren aufgegriffen. Hiernach sollten für sensitive Daten keine strengeren Verarbeitungsvoraussetzungen normiert, die Erhebung nicht als datenschutzrelevante Phase anerkannt sowie die Statuierung von Auskunfts-, Unterrichtungs- und Widerspruchsrechten Betroffener durch die Richtlinie nicht garantiert werden. Außerdem sollten sowohl verbindliche Meldepflichten als auch Vorabkontrollen hier nicht normiert werden. Insgesamt sollte so der den Mitgliedstaaten durch die Richtlinie gewährte Gestaltungsspielraum maximal erweitert werden. Dass Großbritannien radikale Einschränkungen des Schutzkonzepts anvisierte, war vor dem Hintergrund der britischen Verhandlungsposition konsequent. Die britische Delegation verneinte während der gesamten Arbeit an der Richtlinie das Bedürfnis nach einer gemeinschaftsrechtlichen Regulierung der Verarbeitung personenbezogener Daten.66 Demgegenüber stellte sich die deutsche Position äußerst widersprüchlich dar. Auf nationaler Ebene betonte die Bundesregierung wiederholt, die Etablierung eines gemeinschaftsrechtlichen Datenschutzstandards sei ein wichtiger Ansatz zum Ausgleich zentraler Datenschutzkonflikte. Auf gemeinschaftlicher Ebene setzte sie sich aber zumindest zunächst dafür ein, dass dieser nicht „zu hoch“ ausfallen sollte. 63 Hierbei wurde der Rat durch die von ihm gebildete Arbeitsgruppe „Wirtschaftsfragen (Datenschutz)“ unterstützt. Dazu SNBfD, 2. TB, SNLT-Drs. 1/4580. S.a. Bangemann, Europa und die globale Informationsgesellschaft, in: Verwaltungs- und Privat-Bank AG (Hrsg.), Wirtschaftsfragen Heft 24. 64 BfD, 15. TB, BT-Drs. 13/1150, S. 179. Die Vertreter der britischen Delegation stellten insgesamt die Existenzberechtigung des Rechtsakts in Frage. Siehe zu der britischen Verhandlungsposition Platten, Background to and History of the Directive, in: Bainbridge (Hrsg.), EC Data Protection Directive, 1996, Kap. 2. 65 Hierzu krit. Garstka, zitiert in: Der Spiegel, Datenschutz in Brüssel verwässert, 48/1993, S. 15; neutral Mütsch, RDV 1994, S. 67 (70 f.). 66 Die britische Delegation versagte der RL noch im Rahmen der finalen politischen Einigung im Rat die Zustimmung, s. BT-Drs. 13/1070, S. 18. Zur Entwicklung der DatenschutzPolicy der britischen Regierung Schulte, ZNR 2015, S. 272 ff.
130
§ 5 Europäisierung des Datenschutzes
Noch am 31. Mai 1994 stellte der mit Ende der griechischen Ratspräsidentschaft aus dem Amt scheidende Vorsitzende der Arbeitsgruppe „Wirtschaftsfragen (Datenschutz)“ resigniert fest, „we agree to disagree“67. Dennoch konnten unter der sich anschließenden deutschen Ratspräsidentschaft im Rahmen der Arbeitsgruppe wesentliche Verhandlungsfortschritte erzielt werden. Der nun Vorsitzende und damalige Bundesbeauftragte für den Datenschutz Joachim Jacob setzte sich schwerpunktmäßig dafür ein, im nicht-öffentlichen Bereich ein System kontrollierter Selbstkontrolle im Gegensatz zu einer ausschließlich institutionalisierten Fremdkontrolle zu etablieren. Ihm zufolge sollte alternativ zu Melde- und Genehmigungspflichten durch die Einsetzung eines betrieblichen Datenschutzbeauftragten den Kontrollerfordernissen der Richtlinie Genüge getan werden können. Außerdem vertrat er die Auffassung, der Status und die Befugnisse der Kontrollbehörden sollten nicht abschließend durch die Richtlinie geregelt werden. Im Ergebnis versuchte Jacob folglich, ein Erstarken des institutionalisierten Kontrollregimes zu verhindern.68 Schließlich beschloss der Ministerrat am 20. Februar 1995 seinen gemeinsamen Standpunkt im Hinblick auf die Richtlinie. Dieser tastete den Kommissionsvorschlag und die diesen tragenden Erwägungen grundsätzlich nicht an.69 Gleichwohl verschaffte er den Mitgliedstaaten im Ergebnis noch umfassendere Umsetzungsspielräume. Am 15. Juni 1995 akzeptierte das Europäische Parlament den gemeinsamen Standpunkt des Rates vorbehaltlich geringfügiger Änderungen,70 die auch von der Kommission angenommen wurden.71 Schließlich trat die Richtlinie am 13. Dezember 1995 in Kraft und waren deren Vorgaben bis spätestens zum 24. Oktober 1998 in nationales Recht umzusetzen.
C. Datenschutzstandard der RL 95/46/EG – Ausgangspunkt für ein qualitatives Datenschutzrecht? Die Bemühungen um den Erlass der europäischen Datenschutzrichtlinie wurzelten in der Erkenntnis, dass voneinander abweichende mitgliedstaatliche Datenschutzregelungen die Übermittlung personenbezogener Daten innerhalb der Gemeinschaft verhindern bzw. erschweren können und damit potentielle Hindernisse für Wirtschafts- sowie Verwaltungstätigkeiten darstellen. Die Etablierung eines einheitlichen Datenschutzstandards durch die RL 95/46/EG sollte mithin primär jene 67
15. TB des BfD, BT-Drs. 13/1150, S. 174. Zu den Schwerpunkten der deutschen Verhandlungsposition im Ministerrat Jacob, RDV 1993, S. 11 ff.; ders., DuD 1994, S. 480 ff. 69 Simitis, Vom Markt zur Polis, in: Tinnefeld/Philipps/Heil (Hrsg.), Informationsgesellschaft, S. 51 (60). 70 ABl. EG Nr. C vom 3. 7. 1995, 166/105 – 107. 71 KOM(95)375 vom 18. 7. 1995. 68
C. Datenschutzstandard der RL 95/46/EG
131
Hemmnisse beseitigen. Außerdem wurde insoweit der Grundrechtsrelevanz des Datenschutzes Rechnung getragen.72 Nach Erlass der RL 95/46/EG wurden insbesondere zwei Merkmale ihres Datenschutzstandards kritisiert: Erstens die lediglich vermeintliche Einheitlichkeit und Höhe desselben sowie zweitens dessen Fokussierung auf einen überwiegend normativen Ansatz.73 Diesbezüglich wurde etwa vorgebracht, durch die wiederholte Verwendung unbestimmter Rechtsbegriffe – etwa dem der geeigneten Garantien – sowie die Formulierung zahlreicher alternativer Regelungsmöglichkeiten und Ausnahmetatbestände werde den Mitgliedstaaten ein dermaßen großer Umsetzungsspielraum gewährleistet, dass im Ergebnis die nationalstaatlichen Datenschutzregelungen weiterhin stark voneinander abweichen könnten und damit die Einheitlichkeit des Datenschutzes nicht sichergestellt sei. Außerdem speise sich die Richtlinie ausschließlich aus mitgliedstaatlichen Datenschutzkonzepten, welche sich selbst überwiegend in der Statuierung rein normativer Vorgaben erschöpften. Entsprechend werde kein originär gemeinschaftsrechtlicher Ansatz etabliert. Insgesamt stelle die Richtlinie eine verpasste Chance zur Implementierung effektiver Regulierungsansätze angesichts neuartiger Datenverarbeitungstechnologien dar. Dieser Kritik soll hier im Ergebnis nicht widersprochen werden. Gleichwohl lassen sich der Richtlinie auch qualitative Datenschutzelemente entnehme, welche im Folgenden vorgestellt werden. Die Vorgaben der Richtlinie beruhen auf mitgliedstaatlichen Datenschutzansätzen, namentlich der rechtlichen Verpflichtung datenverarbeitender Stellen, der Gewährleistung von Betroffenenrechten und der Etablierung einer institutionalisierten Fremdkontrolle. Bei deren Ausgestaltung kam den Mitgliedstaaten ein partiell sehr weiter Spielraum zu. Dieser war zwar einerseits der Entwicklung eines einheitlichen Datenschutzstandards in der Gemeinschaft nicht unbedingt förderlich, gleichwohl verhinderte er andererseits die Konservierung der genannten Ansätze und ermöglichte vielmehr deren Weiterentwicklung.74 Im Sinne einer Bottom-up-Strategie sollten auf mitgliedstaatlicher Ebene erzielte datenschutzrechtliche Fortschritte anschließend auch auf gemeinschaftsrechtlicher Ebene fruchtbar gemacht werden können.75 Außerdem führte das kritisierte „Nebeneinander“ der mitgliedstaatlichen Konzepte im Rahmen der Richtlinie nicht zwingend dazu, dass jeder Mitgliedstaat an dem ihm bekannten Modell uneingeschränkt festhielt. Vielmehr wies die Richtlinie zumindest das Potential auf, den verschiedenen Datenschutzansätzen untereinander Impulse zu vermitteln. Aus deutscher Perspektive galt dies etwa für die im anglo72
Siehe etwa EWg. 2, 3 und 37 der RL 95/46/EG. Krit. zum Umsetzungsspielraum Brühann, DuD 1996, S. 66 (67 ff.); neutral insoweit Simitis, NJW 1998, S. 2473 (2474). 74 Siehe EWg. 9 der RL 95/46/EG, S. 32: „Sie [die Mitgliedstaaten] können somit in ihrem einzelstaatlichen Recht allgemeine Bedingungen für die Rechtmäßigkeit der Verarbeitung festlegen. Hierbei streben sie eine Verbesserung des gegenwärtig durch ihre Rechtsvorschriften gewährten Schutzes an.“ 75 Siehe insoweit EWg. 9 der RL 95/46/EG. 73
132
§ 5 Europäisierung des Datenschutzes
amerikanischen Rechtsraum verwurzelten Codes of Conduct gem. Art. 27 RL 95/46/ EG, andersherum für das Institut des betrieblichen Datenschutzbeauftragten gem. Art. 18 Abs. 2, 20 Abs. 2 RL 95/46/EG, welches als „deutscher Sonderweg“ innerhalb Europas zur Etablierung einer regulierten Selbstregulierung bezeichnet werden kann.76 Die Richtlinie selbst wies außerdem originäre Anklänge an ein qualitatives Datenschutzrecht auf, insbesondere soweit sie ausdrücklich auf die Reglementierung „neuartiger Technologien“ Bezug nahm. Etwa hieß es in Art. 17 RL 95/46/EG hinsichtlich der Datensicherheit, die Mitgliedstaaten hätten sicherzustellen, dass der für die Verarbeitung Verantwortliche zu der Gewährleistung eines angemessenen Schutzniveaus die geeigneten technischen und organisatorischen Maßnahmen ergreife, welche zur Verhinderung einer unrechtmäßigen Verarbeitung erforderlich seien. Bei der Ermittlung der Angemessenheit des Schutzniveaus müssten einerseits der Stand der Technik und andererseits anfallende Kosten berücksichtigt werden. Diese Regelung schien zwar zumindest aus deutscher Perspektive gegenüber dem zum damaligen Zeitpunkt geltenden § 9 BDSG 1990 keine neuartigen Vorgaben zu normieren. Weiterführender war jedoch der entsprechende EWg. 46 der Richtlinie. Hiernach müssten die zu ergreifenden Maßnahmen sowohl zum Zeitpunkt der Planung des Verarbeitungssystems als auch zum Zeitpunkt der eigentlichen Verarbeitung getroffen werden.77 Dieser holistische Ansatz entsprach, auch wenn nicht explizit auf diesen Bezug genommen wurde, dem ab Mitte der 1990er Jahre verstärkt propagierten Anspruch Privacy by Design.78 Diesem zufolge wird eine Kooperation von Recht und Technik 76 Instruktiv zu Codes of Conduct und anderen Formen der Koregulierung Raab, International Review of Law, Computers and Technology 1997, S. 11 ff. Zum Verbraucherschutz durch Selbstregulierung Polenz, VuR 2013, S. 303 ff. Zum Institut des Datenschutzbeauftragten unter Berücksichtigung der RL 95/46/EG Büllesbach, RDV 2001, S. 1 ff. 77 EWg. 6 der RL 95/46/EG. 78 Bereits seit den 1980er Jahren wurden einzelne Privacy-Tools bzw. Privacy-EnhancingTechnologies (PET) entwickelt, die sich i. d. R. auf das Erreichen eines konkreten Datensicherheits- bzw. Datenschutzziels konzentrierten, etwa die Anonymisierung personenbezogener Daten. Hierzu etwa Chaum, Communications of the ACM 1981, S. 84 ff.; ders., Communications of the ACM 1985, S. 1030 ff. In Deutschland regten insb. verschiedene Veröffentlichungen von John Borking den Diskurs über PET an, etwa Borking, DuD 1996, S. 654 ff.; ders., DuD 1998, S. 636 ff.; ders., DuD 2001, S. 411 ff.; ders./Verhaar, DuD 1999, S. 138 ff.; vgl. auch Gattung u. a., Persönliche Sicherheitsmanager in der virtuellen Welt, in: Müller/Pfitzmann (Hrsg.), Mehrseitige Sicherheit in der Kommunikationstechnik, S. 181 ff. Privacy by Design ist demgegenüber keine bestimmte Technologie bzw. kein bestimmtes Tool, sondern ein konzeptioneller Ansatz, dem zufolge Datenschutz und Datensicherheit während des gesamten Lebenszyklus von IuK-Technologien zu realisieren sind. Hierzu Rubinstein, Berkeley Technology Law Journal 2011, S. 1409 (1412). Als erste Verfechterin dieses holistischen Ansatzes gilt die Datenschutz- und Informationsbeauftragte der kanadischen Provinz Ontario Ann Cavoukian. Siehe etwa Cavoukian, Privacy by Design, in: Yee (Hrsg.), Privacy Protection Measures and Technologies in Business Organizations, Kap. 7 S. 170 ff. Ebenfalls zur Entstehungsgeschichte von Privacy by Design und zur Bedeutung dieses Ansatzes für den Datenschutz Davies, Why Privacy by design is the next crucial step for privacy protection, online.
C. Datenschutzstandard der RL 95/46/EG
133
zur Verwirklichung eines effektiven Datenschutzes gefordert, welcher bereits in der Konzeptionsphase von Informations- und Kommunikationstechnologien Rechnung zu tragen ist.79 Außerdem waren einzelnen Regelungen der Richtlinie Vorgaben zu entnehmen, die im Rahmen des Konzepts Privacy by Design unmittelbar fruchtbar gemacht werden konnten. Zu jenen zählte zuvörderst das Prinzip der Transparenz, welches im Grundsatz der Verarbeitung nach Treu und Glauben, der Zweckbindung, der Öffentlichkeit der Verarbeitung sowie den Betroffenenrechten auf Information und Auskunft zum Ausdruck kam. Weiterhin protegierte die Richtlinie – wenn auch weniger stark – das Prinzip der Kontrolle des Verarbeitungsprozesses durch den Betroffenen.80 Auch die in Art. 33 RL 95/46/EG statuierten Evaluationspflichten der Kommission angesichts der Durchführung des Rechtsakts – speziell hinsichtlich der Verarbeitung audiovisueller Daten – verdeutlichten, dass der Erlass der Richtlinie keinen Endpunkt des Datenschutzes auf gemeinschaftlicher Ebene, sondern vielmehr einen Meilenstein darstellte. Eine institutionalisierte, periodische Überprüfung der Effektivität des Datenschutzregimes unter fortlaufender Beobachtung der Entwicklung der IuK-Technologien, wie sie die Richtlinie vorsah, stellt ebenfalls ein wesentliches Kennzeichen qualitativen Datenschutzes dar. Schließlich soll noch darauf hingewiesen werden, dass durch den Erlass der RL 95/46/EG – und später auch der RL 97/66/EG über den Datenschutz im Bereich der Telekommunikation – die Kontrolldichte des EuGH in Bezug auf die mitgliedstaatlichen Datenschutzregime, deren Regelungen fortan richtlinienkonform auszulegen waren, deutlich erhöht wurde.81 Diesem oblag es folglich neben dem europäischen Gesetzgeber, den gemeinschaftlichen Datenschutzstandard zu konkretisieren und fortzuentwickeln. Tatsächlich vermittelte die Rechtsprechung des Gerichts im Folgenden und vor allem in jüngster Zeit der Entwicklung des Datenschutzrechts wesentliche Impulse.82
In Deutschland firmierte dieser Ansatz zunächst unter der Bezeichnung „Systemdatenschutz“. Zum Systemdatenschutz Podlech, Individualdatenschutz – Systemdatenschutz, in: Brückner/ Dalichau (Hrsg.), FS für Grüner, S. 451 ff.; s.a. Büllesbach/Garstka, Systemdatenschutz und persönliche Verantwortung, in: Müller/Pfitzmann (Hrsg.), Mehrseitige Sicherheit in der Kommunikationstechnik, S. 383 ff. 79 Zur Kooperation von Recht und Technik prominent Roßnagel, Allianz von Medienrecht und Informationstechnik, in: ders. (Hrsg.), Allianz von Medienrecht und Informationstechnik, S. 17 ff. 80 Siehe insb. das deutlich eingeschränkte Widerspruchsrecht in Art. 14 der RL 95/46/EG. 81 Zur Bedeutung der richtlinienkonformen Auslegung im nationalen Datenschutzrecht Klug, RDV 2001, S. 266 ff. 82 EuGH, C-293/12, NJW 2014, S. 2169 ff. – Digital Rights Irland; EuGH, C-362/14, NJW 2015, S. 3151 ff. – Schrems I. Zur Bedeutung des gerichtlichen Rechtsschutzes für den Datenschutz Brkan/Psychogiopoulou (Hrsg.), Courts, Privacy and Data Protection in the Digital Environment; s.a. Skouris, NVwZ 2016, S. 1359 ff.; zur Rechtsprechung des EGMR Schweizer, DuD 2009, S. 462 ff.
134
§ 5 Europäisierung des Datenschutzes
Im Ergebnis lässt sich der Datenschutzstandard der Richtlinie als ein solcher des Übergangs beschreiben; zum einen von einer rein mitgliedstaatlichen Regelung des Datenschutzes zu einer gemeinschaftlichen und zum anderen – zumindest potentiell – von einem quantitativen zu einem qualitativen Datenschutz. Auch wenn sich im Rahmen der RL 95/46/EG nur vereinzelt Elemente eines qualitativen Datenschutzes manifestierten und der Rechtsakt deren Etablierung auf mitgliedstaatlicher Ebene kaum forcierte, ließen sich diesem dennoch Impulse in Richtung eines qualitativen Datenschutzrechts entnehmen.83
D. Reform des BDSG 1990 – insbesondere Rezeption qualitativer Datenschutzansätze des Gemeinschafts-, des Telekommunikations- sowie des Telemedienrechts Obwohl zentrale Ansätze des deutschen Datenschutzmodells von der RL 95/46/ EG anerkannt wurden, war es unbestritten, dass das BDSG 1990 zur Erfüllung der gemeinschaftsrechtlichen Zielvorgaben reformiert werden musste. Dies galt vornehmlich in Bezug auf die Angleichung des Datenschutzniveaus im nicht-öffentlichen an den öffentlichen Bereich, das Konzept der sensitiven Daten sowie die Ausgestaltung des Kontrollregimes.84 Im Folgenden wird untersucht, ob – und ggf. inwiefern – die qualitativen Ansätze der Datenschutzrichtlinie Niederschlag im Datenschutzleitbild des Bundesgesetzgebers fanden und die Etablierung ebensolcher im BDSG bedingten. Außerdem entwickelte sich parallel zu den Bemühungen um die Umsetzung der Richtlinienvorgaben der auf nationaler Ebene geführte Datenschutzdiskurs angesichts der Regulierung von IuK-Technologien weiter. Dieser Diskurs, den der Begriff Multimedia prägte, wurde durch die flächendeckende Verbreitung des Internets und partiell auch durch die Vorgaben der RL 97/66/EG über den Datenschutz im Bereich der Telekommunikation angestoßen. Die Schaffung eines rechtlichen Ordnungsrahmens, der den sich zusehends stärker abzeichnenden Wandel zur Informationsgesellschaft befördern sollte und als dessen integraler Bestandteil auch datenschutzrechtliche Vorgaben galten, stand insoweit im Fokus des gesetzgeberischen Interesses. Im Weiteren soll daher ebenfalls der Einfluss dieses bereichsspezifischen Datenschutzrechts auf das allgemeine Datenschutzrecht analysiert und die Frage beantwortet werden, ob sich die datenschutzrechtliche Regulierung internetbasierter
83
Solche Impulse der RL 95/46/EG insb. für das niederländische Datenschutzrecht weisen nach Borking/Raab, Journal of Information, Law and Technology 2001, Article 1. Zu Anknüpfungspunkten für die Regulierung von IuK-Diensten Flechsing, RDV 1997, S. 59 (67). 84 Zu den einzelnen Änderungserfordernissen BfD, 15. TB, BT-Drs. 13/1150, S. 175 ff.; Bachmeier, RDV 1995, S. 49 ff.; Ehmann, RDV 1998, S. 235 ff.; ders., RDV 1999, S. 12 ff.; Weber, CR 1995, S. 297 ff.; konzeptionell instruktiv Simitis, NJW 1998, S. 2473 ff.
D. Reform des BDSG 1990
135
IuK-Dienste als Referenzgebiet eines qualitativen Datenschutzrechts darstellte.85 Zu diesem Zweck werden zunächst die auf die datenschutzrechtliche Regulierung des Internets und seiner Dienste gerichteten Bestimmungen identifiziert sowie die Etablierung qualitativer Datenschutzansätze in ihrem Kontext untersucht.
I. Das Drei-Stufen-Modell für den Datenschutz im Internet Verschiedene nationale Rechtsquellen normierten seit Mitte der 1990er Jahre Datenschutzvorgaben, die bei der Nutzung des Internets relevant werden.86 Diese lassen sich in einem dreistufigen Modell darstellen.87 Die Transportebene stellt die erste Ebene jenes Modells dar. Auf dieser werden Telekommunikationsdienste wie ISDN und DSL, welche die technische Basis für den elektronischen Kommunikationsprozess im Internet bilden, datenschutzrechtlichen Vorgaben durch das Telekommunikationsrecht unterworfen. Diese erste Ebene ermöglicht die Interaktion des Nutzers mit internetbasierten Informations- und Kommunikationsdiensten auf einer zweiten Ebene, welche entsprechend als Interaktionsebene bezeichnet wird. Insoweit statuiert das Telemedienrecht die relevanten datenschutzrechtlichen Vorgaben. Kommt es zu einem Vertragsabschluss zwischen dem Nutzer und dem Anbieter eines Informations- und Kommunikationsdienstes – etwa über den Kauf eines Gegenstandes auf einer online-Plattform –, richtet sich die Rechtmäßigkeit der Verarbeitung personenbezogener Daten im Rahmen der Abwicklung des Vertrages auf einer dritten Ebene, der Inhaltsebene, nach dem „Offline-Recht“, also insbesondere dem BDSG. So eindeutig, wie es das Modell impliziert, ist die Ermittlung der jeweils relevanten Ebene bzw. der einschlägigen rechtlichen Vorgaben im konkreten Fall regelmäßig nicht.88 Gleichwohl wird hierdurch veranschaulicht, dass sich die recht85
Zu Begriff und Bedeutung des „Referenzgebiets“ Voßkuhle, in: Hoffmann-Riem/ Schmidt-Aßmann/Voßkuhle (Hrsg.), GVwR, Bd. 1, § 1 Rn. 43 ff. 86 Unter Geltung der DS-GVO und der anvisierten e-Privacy-Verordnung wird dieses Modell der Anpassung bedürfen. Zur Zukunft des Datenschutzrechts im Multimediabereich unter Geltung der DS-GVO Keppeler, MMR 2015, S. 779 ff.; Geminn/Richter, Telekommunikation, in: Roßnagel (Hrsg.), Europäische Datenschutzgrundverordnung, S. 276 ff.; dies., Telemedien, in: Roßnagel (Hrsg.), Europäische Datenschutzgrundverordnung, S. 290 ff.; Meyer, Europarechtskonformität der Regelungen des Telemediengesetzes?, in: Taeger (Hrsg.), DSRITB 2015, S. 315 ff.; Marosi, One (Smart) Size Fits All?, in: Taeger (Hrsg.), DSRITB 2016, S. 435 ff. 87 Technisch lehnt es sich an das OSI-Schichtenmodell für herstellerunabhängige Kommunikationssysteme und rechtlich an die Gesetzgebungskompetenzen nach dem GG an. Zu dem Drei-Stufen-Modell Schaar, Datenschutz im Internet, Rn. 247; Schleipfer, DuD 2004, S. 727 ff. 88 Abgrenzungsschwierigkeiten anschaulich dargestellt anhand der datenschutzrechtlichen Regulierung von Smart-Cars bei Weichert, SVR 2014, S. 201 ff.
136
§ 5 Europäisierung des Datenschutzes
liche Gewährleistung des Datenschutzes im Internet als Querschnittsaufgabe darstellt, bei der neben den Bestimmungen des BDSG die bereichsspezifischen des Telekommunikations- und des Telemedienrechts zu berücksichtigen sind.
II. Etablierung qualitativer Datenschutzansätze im Telekommunikations- und Telemedienrecht 1. Telekommunikationsgesetz 1996 Am 1. August 1996 trat das TKG in Kraft.89 Die primären Ziele des Gesetzes bildeten die Förderung des Wettbewerbs zwischen den Anbietern von Telekommunikationsdiensten im Rahmen eines liberalisierten Telekommunikationsmarktes sowie die Sicherstellung der ausreichenden Versorgung der Bevölkerung mit entsprechenden Diensten, § 1 TKG 1996. Außerdem statuierte das Gesetz auch Datenschutz- und Datensicherheitsvorgaben. Hiernach waren die Anbieter von Telekommunikationsdiensten verpflichtet, bei dem Betrieb von Telekommunikationsund Datenverarbeitungssystemen angemessene technische Vorkehrungen sowie sonstige Maßnahmen zum Schutz des Fernmeldegeheimnisses und personenbezogener Daten zu treffen, § 87 Abs. 1 S. 1 Nr. 2 TKG 1996. Um diesbezüglich einen nach dem Stand der Technik und internationalen Maßstäben angemessenen Sicherheitsstandard zu erreichen, hatte die Regulierungsbehörde in Zusammenarbeit mit dem BSI einen Katalog von Sicherheitsanforderungen für eben jene Systeme zu erstellen, § 87 Abs. 1 S. 3 TKG 1996. Des Weiteren sah das Gesetz im Bereich der Datensicherheit die Etablierung von Codes of Practice vor und ging insoweit über die ansonsten vergleichbaren Vorgaben des § 9 BDSG 1990 hinaus. Außerdem griff das Gesetz namentlich in § 87 Abs. 2 TKG 1996 Elemente einer regulierten Selbstregulierung auf. Hiernach hatte der Betreiber lizenzpflichtiger Telekommunikationsanlagen einen Sicherheitsbeauftragten zu benennen sowie ein Sicherheitskonzept zu entwickeln, welches anschließend der Regulierungsbehörde zur Kontrolle vorzulegen war. Insbesondere angesichts der Pflicht zur Erstellung eines Sicherheitskonzepts ging der gesetzliche Aufgabenkreis des Sicherheitsbeauftragten über den des betrieblichen Datenschutzbeauftragten gem. § 37 Abs. 1 BDSG 1990 hinaus. Weiterhin wurde die Bundesregierung durch § 89 Abs. 1 TKG 1996 zum Erlass einer Rechtsverordnung ermächtigt, welche die Verarbeitung personenbezogener Daten durch die Anbieter von Telekommunikationsdiensten konkreter regeln sollte.90 Diese Verordnung hatte ausweislich ihrer Ermächtigungsgrundlage dem 89
Telekommunikationsgesetz (TKG) vom 25. Juli 1996 (BGBl. I S. 1120 – 1150). Siehe die Verordnung über den Datenschutz für Unternehmen, die Telekommunikationsdienstleistungen erbringen (Telekommunikationsdienstunternehmen-Datenschutzverordnung – TDSV) vom 12. Juli 1996 (BGBl. I S. 982 – 987) und deren gesetzliche Grundlage § 10 90
D. Reform des BDSG 1990
137
Grundsatz der Verhältnismäßigkeit sowie dem der Zweckbindung Rechnung zu tragen. Im Gegensatz dazu nahm keine Regelung des BDSG 1990 zum Schutz des Betroffenen ausdrücklich Bezug auf den Grundsatz der Verhältnismäßigkeit. Lediglich um die datenverarbeitende Stelle von grundsätzlich bestehenden Pflichten zu entlasten, wurde dieser Grundsatz explizit bemüht, etwa in § 13 Abs. 2 Nr. 2 lit. b BDSG 1990. Auch die Festlegung von Höchstfristen für die Speicherung personenbezogener Daten durch Telekommunikationsdienstleister, wie sie § 89 Abs. 1 S. 3 TKG 1996 normierte, war dem BDSG 1990 in Bezug auf nicht-öffentliche datenverarbeitende Stellen fremd. Es spricht einiges dafür, dass sich der Gesetzgeber des TKG 1996 hier bereits implizit auf den Grundsatz der Datenvermeidung und -sparsamkeit bezog. Gleichwohl statuierte das in Rede stehende Gesetz im Gegensatz zu den dargestellten datenschutzfreundlichen Bestimmungen auch extensive datenschutzrechtliche Rechtfertigungstatbestände zugunsten der Diensteanbieter, vgl. § 89 Abs. 2 – 9 TKG 1996. Insgesamt lässt sich das Datenschutzkonzept des TKG 1996 zwar als überwiegend normativ beschreiben, dennoch hob sich dieses gegenüber dem des BDSG 1990 ab; weil es einerseits um nicht-gesetzliche – Codes of Conduct – und andererseits um neuartige gesetzliche Ansätze – der Datenvermeidung und -sparsamkeit – ergänzt wurde. 2. Staatsvertrag über Mediendienste 1997 Ein Jahr nach dem TKG 1996 trat am 1. August 1997 der zwischen den Bundesländern vereinbarte Mediendienstestaatsvertrag in Kraft.91 Dem Erlass des Staatsvertrags waren intensive Debatten zwischen dem Bund und den Ländern über ihre jeweiligen Gesetzgebungskompetenzen bei der Schaffung eines Rechtsrahmens für das Angebot und die Nutzung internetbasierte IuK-Dienste vorausgegangen. Der hierbei erzielte Kompromiss stellte sich wie folgt dar: Die Länder sollten Vorgaben für Mediendienste und der Bund solche für Teledienste statuieren dürfen.92 Gemäß der Legaldefinition in § 2 Abs. 1 S. 1 MDStV 1997 waren Mediendienste an die Allgemeinheit gerichtete Informations- und Kommunikationsdienste in Text, Ton oder Bild, die unter Nutzung elektromagnetischer Schwingungen ohne VerbinPTRegG (BGBl. I 1994, S. 2371 [2373]). Dazu Schadow, RDV 1997, S. 51 ff. Zu der nachfolgenden Telekommunikations-Datenschutzverordnung Büttgen, RDV 2001, S. 6 ff. 91 Vgl. Gesetz zum Staatsvertrag über Mediendienste (Mediendienste-Staatsvertrag) vom 27. Juni 1997 (NRWGVBl. A S. 157 – 163). Umfassend auch zur Entstehungsgeschichte und den verfassungsrechtlichen Implikationen des Staatsvertrags Kuch, ZUM 1997, S. 225 ff.; s.a. Gounalakis, NJW 1997, S. 2993 ff. Krit. zu dessen Vorläufer dem Bildschirmtext-Staatsvertrag der Länder Scherer, NJW 1983, S. 1832 ff. 92 Die maßgebliche Einigung hierüber wurde am 18. Dezember 1996 zwischen Bundeskanzler Helmuth Kohl und den Ministerpräsidenten der Bundesländer erzielt. Der Text der gemeinsamen Erklärung des Bundes und Länder ist abgedruckt bei Engel-Flechsig, ZUM 1997, S. 231.
138
§ 5 Europäisierung des Datenschutzes
dungsleitung oder längs bzw. mittels eines Leiters verbreitet werden.93 Ausschlaggebend für die Identifizierung eines IuK-Dienstes als Mediendienst war mithin das Element der Ausrichtung an die Allgemeinheit. Demgegenüber sollten Teledienste primär der Individualkommunikation bzw. -information dienen. So simpel die Abgrenzung zwischen Individual- und Massenkommunikation grundsätzlich sein mag, so anachronistisch stellte sich diese im damals bereits allseits proklamierten Multimediazeitalter dar.94 Daher wurde die gesetzgeberische Differenzierung zwischen Telediensten einerseits und Mediendiensten andererseits vielfach als nicht sachgerecht kritisiert und schließlich im Rahmen des TMG verworfen.95 In seinem dritten Abschnitt normierte der Staatsvertrag datenschutzrechtliche Vorgaben für die Anbieter von Mediendiensten. Neben den überkommenen datenschutzrechtlichen Grundsätzen des Verbots mit Erlaubnisvorbehalt sowie der Zweckbindung und der Gewährung von Betroffenenrechten etablierte der Vertrag an verschiedenen Stellen ausdrücklich auch den Systemdatenschutz und den Grundsatz der Datenvermeidung bzw. -sparsamkeit. Nach § 15 Abs. 5 MDStV 1997 waren die Gestaltung und Auswahl technischer Einrichtungen für Mediendienste an dem Ziel auszurichten, keine oder so wenig personenbezogene Daten wie möglich zu erheben, zu verarbeiten und zu nutzen. Folglich sollte hiernach der Datenschutz bereits bei der Konstruktion datenverarbeitender Systeme und nicht erst bei deren Einsatz Berücksichtigung finden. Der Ansatz der Datenvermeidung und -sparsamkeit wurde in § 13 Abs. 1 MDStV 1997 konkretisiert. Entsprechend hatte der Anbieter eines Mediendienstes den Nutzern dessen Inanspruchnahme und Bezahlung anonym oder unter einem Pseudonym zu ermöglichen. Folglich galt es hiernach, bereits die Entstehung personenbezogener Daten zu vermeiden. Des Weiteren wurde die allgemeine Vorgabe des § 9 BDSG 1990, die datenverarbeitende Stelle habe technische und organisatorische Datenschutz- bzw. Datensicherheitsvorkehrungen zu treffen, in § 13 Abs. 2 MDStV 1997 um Zielvorgaben ergänzt. Insbesondere sollten hiernach die informationelle Trennung zu unterschiedlichen Zwecken erhobener personenbezogener Daten und die jederzeitige Abbruchmöglichkeit des Nutzers hinsichtlich der Inanspruchnahme eines Dienstes sichergestellt werden. Schließlich begründete § 17 MDStV 1997 eine echte Neuerung im Datenschutzrecht. Dieser griff als erste in Deutschland geltende Norm Auditierungen als Regelungsmittel des Datenschutzrechts auf. Gem. § 17 S. 1 MDStV 1997 sollten Anbieter von Mediendiensten zur Verbesserung des Datenschutzes und der Datensicherheit ihre Datenschutzkonzepte sowie technischen Einrichtungen durch Gutachter prüfen bzw. bewerten lassen und anschließend das Ergebnis dieses Verfahrens veröffentlichen können. Auch wenn diese Vorschrift keine Verpflichtung begründete, 93 Umfassend zu der Abgrenzung der Gesetzgebungskompetenzen des Bundes und der Länder Bullinger/Mestmäcker, Multimediadienste, S. 135 ff.; Kuch, ZUM 1997, S. 225 (227 f.). 94 Siehe die Definition von Mutlimedia in BT-Drs. 13/4000, S. 15. 95 Zu dieser Kritik etwa BT-Drs. 14/1191, S. 6. Zur Konkretisierung der Abgrenzung von Medien- und Telediensten BT-Drs. 13/7394, S. 6 (§ 2 Abs. 4 Nr. 3 TDG).
D. Reform des BDSG 1990
139
kann sie dennoch als wesentlicher Fortschritt in Richtung eines qualitativen Datenschutzrechts bezeichnet werden. Insoweit wurden die Anbieter von Mediendiensten auf eine Möglichkeit aufmerksam gemacht, die Verarbeitung personenbezogener Daten unter Datenschutzgesichtspunkten zu reflektieren und anschließend ggf. zu revidieren. Darüber hinaus qualifizierte die Norm das positive Ergebnis einer solchen Auditierung als Wettbewerbsvorteil, da es sich namentlich zu Werbezwecken nutzen lässt.96 Im Ergebnis lässt sich feststellen, dass der bereichsspezifische Datenschutz nach dem MDStV 1997 eine Weiterentwicklung des Datenschutzkonzepts des BDSG 1990 in Richtung eines qualitativen Datenschutzrechts darstellte. Ausdrücklich fand hier der Ansatz des Systemdatenschutzes, welcher im internationalen Datenschutzdiskurs bereits als Privacy by Design firmierte, Ausdruck. Insoweit wurde folglich das grundsätzlich normative Datenschutzkonzept des Vertrags um Elemente eines durch Technik zu gewährleistenden Datenschutzes erweitert. Oder anders ausgedrückt: Es wurde hier angestrebt, technischen Datenschutz normativ anzuleiten. In diesem Kontext wurden außerdem die Grundsätze der Datenvermeidung und -sparsamkeit formuliert. Durch die Aufnahme von Datenschutz-Audits in das Spektrum der gesetzlich anerkannten Datenschutzmittel wurde außerdem eine wesentliche Ausprägung der regulierten Selbstregulierung in den Vertrag integriert bzw. der Versuch unternommen, marktmäßige Mechanismen im Datenschutzrecht zu etablieren.
3. Informations- und Kommunikationsdienste-Gesetz des Bundes a) Info 2000 – Deutschlands Weg in die Informationsgesellschaft Am 7. März 1996 veröffentlichte die Bundesregierung den Bericht „Info 2000 – Deutschlands Weg in die Informationsgesellschaft“.97 In diesem setzte sie sich insbesondere mit den Implikationen des Internets sowie der Entwicklungen im Bereich der Informations- und Kommunikationstechnologien für die nationale Gesellschaft und Wirtschaft auseinander. Die Bundesregierung kündigte hier u. a. an, einheitliche rechtliche Vorgaben für das Angebot und die Nutzung internetbasierter IuK-Dienste zu schaffen sowie das BDSG 1990 und den bereichsspezifischen Datenschutz im Telekommunikationssektor an die gewandelten technischen und sozialen Ausgangsbedingungen anzupassen.98 Namentlich visierte sie – entsprechend den Empfehlungen des Rates für Forschung, Technologie und Innovation – die 96 Vgl. auch die Begründung des Bundesrats hins. der von ihm geforderten Einführung einer vergleichbaren Vorschrift im TDDSG, BT-Drs. 13/7385, Anlage 2, Anm. 19. Zum Datenschutz als Wettbewerbsvorteil Hoeren, DuD 1996, S. 524 ff.; später auch Schröder, ZD 2012, S. 193 ff.; Kinast/Schröder, ZD 2012, S. 207 ff. 97 BT-Drs. 13/4000. S.a. den bereits zuvor veröffentlichten Bericht des Ausschusses für Bildung u. a., Multimedia, BT-Drs. 13/2475. 98 BT-Drs. 13/4000, S. 7.
140
§ 5 Europäisierung des Datenschutzes
Revision des § 9 BDSG 1990 über technische und organisatorische Datenschutzmaßnahmen und ferner der dazugehörigen Anlage an. Insgesamt sollten die geplanten Aktionen überwiegend überkommenen datenschutzrechtlichen Grundsätzen Rechnung tragen, etwa dem Verbot mit Erlaubnisvorbehalt, der Zweckbindung und Erforderlichkeit, strikten Löschungspflichten sowie dem Verbot der Erstellung von Verhalts- bzw. Persönlichkeitsprofilen. Gleichwohl wurde insoweit auch die Möglichkeit der anonymen Nutzung von Multimedia-Diensten diskutiert.99 Die genannten Empfehlungen des Rates für Forschung, Technologie und Innovation berücksichtigten ihrerseits die gewandelten technologischen Ausgangsbedingungen der Verarbeitung personenbezogener Daten, insbesondere deren zunehmende Vernetzung und Dezentralisierung. Konkret schlug der Rat diesbezüglich die Erarbeitung und Festlegung eines Grundstandards an organisatorischen und technischen Sicherheitsmaßnahmen, die den Betroffenen ein Höchstmaß an Anonymität gegenüber den Netzbetreibern und Diensteanbietern – gleichwohl nicht gegenüber staatlichen Stellen – sichern, die Schaffung gesetzlicher Vorgaben im Bereich der Kryptographie und die Verstärkung der internationalen Zusammenarbeit zur Gewährleistung des Datenschutzes und der Datensicherheit vor.100 Angesichts der Gewährleistung von Datensicherheit ging die Bundesregierung in ihrem Bericht davon aus, dass keine technischen Lösungen vorgegeben, vielmehr in Zusammenarbeit mit der Wirtschaft abgestimmte Sicherheitskriterien und Verfahren der Selbstkontrolle entwickelt werden sollten. Außerdem postulierte die Bundesregierung, sie werde sich im Hinblick auf die durch das Internet ermöglichte, grenzüberschreitende Kommunikation und zur Vermeidung von Wettbewerbsnachteilen zulasten deutscher Anbieter für einheitliche Rahmenbedingungen und datenschutzrechtliche Mindeststandards auf europäischer sowie internationaler Ebene einsetzen.101 Der Bericht thematisierte zwar auch die Bedeutung der Normung im Bereich der IuK-Technologien, gleichwohl nicht aus einer datenschutz- bzw. datensicherheitsorientierten Perspektive. Im Ergebnis ließ sich dem Bericht keine eindeutige Strategie für die Gewährleistung des Datenschutzes und der Datensicherheit im Hinblick auf die gewandelten technologischen Herausforderungen entnehmen. Dieser blieb vielmehr eher oberflächlichen Aussagen verhaftet, was wohl nicht zuletzt der Breite seines Gegenstandes geschuldet war. Nichtsdestotrotz enthielt er einzelne Aussagen, die tendenziell in Richtung eines qualitativen Datenschutzes wiesen, etwa bzgl. der
99 Insgesamt zu den Absichten der Bundesregierung im Datenschutzrecht, BT-Drs. 13/ 4000, S. 68 f. 100 Feststellungen und Empfehlungen des Rates für Forschung, Technologie und Innovation beim Bundeskanzler „Informationsgesellschaft – Chancen, Innovationen und Herausforderungen“, BT-Drs. 13/4000, Anhang B. S.a. BMWi (Hrsg.), Ordnungspolitische und rechtliche Rahmenbedingungen der Informationsgesellschaft, Anlage 2 und 3. 101 Zu beiden Zielvorgaben BT-Drs. 13/4000, S. 62 f.
D. Reform des BDSG 1990
141
Selbstregulierungspotentiale der IuK-Branche sowie der Möglichkeiten der anonymen Nutzung entsprechender Dienste. b) Entwurf eines Informations- und Kommunikationsdienste-Gesetzes – insbesondere Entwurf eines TDDSG Am 9. April 1997 brachte die Bundesregierung den Entwurf eines IuKDG in den Bundestag ein.102 Dieses Artikelgesetz sollte ausweislich seiner Begründung dem Strukturwandel der EDV – namentlich dem Zusammenwachsen von Computer, Telekommunikation und audiovisueller Technik zu multimedialen Technologien – Rechnung tragen. Die Kernstücke dieser Gesetzesinitiative setzten sich mit der Nutzung von Telediensten (Art. 1 IuKDG), dem Datenschutz insoweit (Art. 2 IuKDG) und digitalen Signaturen (Art. 3 IuKDG) auseinander. Durch das TDG bzw. Art. 1 IuKDG sollten Rahmenbedingungen für das Angebot und die Nutzung von Telediensten normiert werden. Dies waren gemäß der Begründung des TDG-E die Zugangsfreiheit bzgl. solcher Dienste, die Regelung der Verantwortlichkeit der Diensteanbieter sowie eine allgemeine Pflicht zur Anbieterkennzeichnung. Mit dem TDDSG-E beabsichtigte die Bundesregierung, bereichsspezifische Datenschutzvorgaben in diesem Sektor zu etablieren. Schließlich sollten mit dem SigG die rechtlichen Voraussetzungen für die Nutzung digitaler Signaturen geschaffen werden.103 Im Folgenden steht der Entwurf des TDDSG im Fokus der Betrachtungen. Hierbei soll überprüft werden, ob und ggf. inwiefern dieser als Ausdruck eines qualitativen Datenschutzrechts gelten konnte. Der Entwurf des TDDSG basierte auf der Erkenntnis, dass bei der Nutzung von Telediensten personenbezogene Daten in vielfältiger Weise anfallen, diese beliebig kombiniert, verändert sowie ausgewertet werden können und insofern ein strukturelles Kontrolldefizit zulasten der Nutzer besteht.104 Als Teledienste wurden hier gem. § 2 Abs. 1 TDG-E solche elektronischen IuK-Dienste definiert, die für eine individuelle Nutzung kombinierbarer Daten bestimmt sind und denen eine Übermittlung mittels Telekommunikation zugrunde liegt.105 Laut seiner Begründung sollte der in Rede stehende Entwurf sowohl einen freien Wettbewerb zwischen den verschiedenen Diensteanbietern herstellen als auch den berechtigten Nutzer- sowie öffentlichen Ordnungsinteressen gerecht werden. Zu dem letztgenannten Zweck knüpfte der Gesetzesvorschlag an das überkommene Instrumentarium des Datenschutzrechts an und versuchte, dieses zu ergänzen, soweit 102 BT-Drs. 13/7385. S.a. eine bereits zuvor an den Bundesrat weitergeleitete, ursprüngliche Version des Entwurfs, BR-Drs. 966/96. Zu letzterem Engel-Flechsig, DuD 1997, S. 8 ff. 103 Krit. hierzu Geis, NJW 1997, S. 3000 ff.; s.a. Roßnagel, MMR 1998, S. 75 ff.; zum europäischen Kontext ders., MMR 1998, S. 331 ff.; hierzu auch von Bieser, DStR 2001, S. 27 ff. 104 BT-Drs. 13/7385, S. 21. 105 Zu der Abgrenzung von Mediendiensten und der Kritik an der Differenzierung zwischen Mediendiensten einerseits und Telediensten andererseits s. § 5 D. 2.
142
§ 5 Europäisierung des Datenschutzes
es die von Telediensten ausgehenden Gefahren für die Gewährleistung der informationellen Selbstbestimmung scheinbar notwendig machten.106 Entsprechend normierte § 3 TDDSG-E in Übereinstimmung mit dem MDStV 1997 von den Diensteanbietern zu beachtende, datenschutzrechtliche Grundsätze. Insoweit standen auch hier das Verbot mit Erlaubnisvorbehalt und die datenschutzrechtliche Zweckbindung sowie umfangreiche Unterrichtungspflichten zugunsten der Nutzer im Zentrum des Regelungskonzepts. Diese Verpflichtungen sollten bereits bei der Erhebung personenbezogener Daten relevant werden. Mithin galten sie hiernach früher, als es das BDSG 1990 sowie die RL 95/46/EG verlangten. Weiterhin erkannte der Entwurf – wie der MDStV 1997 – die Möglichkeit der elektronischen Einwilligung an, § 3 Abs. 7 TDDSG-E. Durch die Begründung besonderer datenschutzrechtlicher Anforderungen zulasten des Diensteanbieters sollte den Umständen elektronisch kommunizierter Einwilligungen Rechnung getragen werden; insbesondere kann hierbei einerseits der Nutzer ggf. die rechtliche Relevanz seines Handelns nicht erkennen und andererseits der Diensteanbieter nur eingeschränkt die Authentizität der Einwilligung überprüfen.107 Der Entwurf des TDDSG statuierte gleich dem MDStV 1997 die Ansätze des Systemdatenschutzes sowie der Datenvermeidung und -sparsamkeit, § 3 Abs. 4 TDDSG-E. Entsprechend wurden die Pflichten der Anbieter von Tele- und Mediendiensten nahezu identisch geregelt: Beide hatten vor allem die anonyme und pseudonyme Inanspruchnahme ihrer Dienste zu ermöglichen, die informationelle Trennung zu verschiedenen Zwecken generierter Daten zu gewährleisten und personenbezogene Daten grundsätzlich unmittelbar nach ihrer Nutzung zu löschen. Bei der Formulierung der datenschutzrechtlichen Erlaubnistatbestände differenzierte auch der Entwurf des TDDSG zwischen verschiedenen Arten personenbezogener Daten, namentlich Bestands-, Nutzungs- sowie Abrechnungsdaten. Die Verarbeitung von Bestandsdaten, also solcher Daten, die im Rahmen des Vertragsverhältnisses zwischen dem Diensteanbieter und dem Nutzer anfallen, sollte lediglich zur Begründung, Änderung sowie Ausgestaltung desselben rechtmäßig sein, § 5 Abs. 1 TDDSG-E. Beabsichtigte der Diensteanbieter, die Daten über diese Zwecke hinaus, etwa zu Werbezwecken, zu verarbeiten, hätte es hierzu nach dem Entwurf der ausdrücklichen Einwilligung des Nutzers bedurft. § 5 Abs. 3 TDDSG-E verpflichtete Diensteanbieter außerdem dazu, Bestandsdaten an Sicherheitsbehörden zu der Erfüllung ihrer gesetzlichen Aufgaben auf deren Ersuchen hin zu übermitteln. Eine solche Verpflichtung normierte der MDStV 1997 nicht. Schließlich durften Daten, die bei der Inanspruchnahme eines Teledienstes anfallen, dem Entwurf entsprechend lediglich zur Ermöglichung der Nutzung des Dienstes (Nutzungsdaten) oder zu Abrechnungszwecken (Abrechnungsdaten) erhoben, verarbeitet und genutzt werden und waren diese ansonsten grundsätzlich unmittelbar nach dem Ende der jeweiligen Nutzung zu löschen, § 6 Abs. 1, 2 TDDSG-E. Darüber hinaus manifes106 107
BT-Drs. 13/7385, S. 21. Hierzu Schaar, MMR 2001, S. 644 ff.
D. Reform des BDSG 1990
143
tierte sich auch in § 6 Abs. 5 TDDSG-E der Grundsatz der Datenvermeidung und -sparsamkeit. Hiernach durfte die Abrechnung über die Inanspruchnahme von Telediensten deren Zeitpunkt, Dauer, Art, Inhalt sowie Häufigkeit lediglich dann erkennen lassen, wenn der Nutzer diesbezüglich explizit Einzelnachweise verlangte. Im Ergebnis zeichneten sich damit auch im Rahmen des TDDSG-E Tendenzen in Richtung eines qualitativen Datenschutzrechts ab. Diese Feststellung ist aber um zwei wesentliche Einschränkungen gegenüber dem MDStV 1997 zu ergänzen. Zunächst enthielt der Entwurf im Gegensatz zum Staatsvertrag keine Vorschrift, die sich mit Datenschutz-Audits auseinandersetzte. Dieser Umstand war auf eine bewusste politische Entscheidung zurückzuführen, denn eine frühere Version des Entwurfs sah eine entsprechende Vorschrift noch vor.108 Außerdem war die Verpflichtung der Diensteanbieter zur Übermittlung von Bestandsdaten an Sicherheitsbehörden dem MDStV 1997 fremd. Trotz Anerkennung der genannten Fortschritte gilt es außerdem festzuhalten, dass die Initiative der Bundesregierung zwar das gesteigerte Gefährdungspotential von Telediensten für die informationelle Selbstbestimmung ihrer Nutzer berücksichtigte, deren Potentiale zur Verwirklichung dieses Rechts aber grundsätzlich vernachlässigte. Auch wenn der Systemdatenschutz hier ausdrücklich anerkannt wurde, blieben gleichwohl zu diesem Zeitpunkt bereits im wissenschaftlichen Diskurs thematisierte Privacy Enhancing Technologies gänzlich unerwähnt.109 Außerdem beinhaltete der Entwurf keine Reaktion auf das bekannte Vollzugsdefizit rechtlicher Vorgaben im Internet.110 Insbesondere die Selbstregulierung der Diensteanbieter, die insoweit einen potentiellen Lösungsansatz darstellt, wurde nicht thematisiert. Schließlich ist darauf hinzuweisen, dass der Entwurf des TDDSG weder die Normierung von Schadensersatzansprüchen zugunsten der Nutzer noch von Ordnungswidrigkeitensowie Straftatbeständen zulasten der Diensteanbieter vorsah. In Bezug auf erstere war ein Rückgriff der Nutzer auf das BDSG 1990 möglich, in Bezug auf letztere verbot sich ein solcher hingegen. Die Effektivität von Sanktionsmaßnahmen zur Gewährleistung informationeller Selbstbestimmung wird zwar partiell grundsätzlich in Abrede gestellt.111 Dennoch kann überzeugenderweise – namentlich finanziellen – Strafen eine abschreckende Wirkung nicht gänzlich abgesprochen werden.112
108 Damals noch § 13 TDG-E in der Fassung vom 28. 6. 1996, abgedruckt in epd, Kirche und Rundfunk Nr. 59 vom 31. 7. 1996, S. 32 – 36 (35). 109 Siehe etwa der prominente Identity-Protector nach Borking, DuD 1996, S. 654 ff. Zu PET s. auch § 5 C. I., Fn. 78. 110 Krit. auch CCC, Stellungnahme zum Entwurf eines Gesetzes zur Regelung der Rahmenbedingungen für Informations- und Kommunikationsdienste, online, Art. 2, Nr. 1 und 2. 111 Vgl. Holländer, RDV 2009, S. 215 ff. 112 Vgl. etwa die Durchsetzung der Impressumspflicht im Internet durch Abmahnungen, dazu Stickelbrock, GRUR 2004, S. 111 ff.
144
§ 5 Europäisierung des Datenschutzes
c) Parlamentarische Auseinandersetzung mit dem TDDSG Am 18. April 1997 wurden während der ersten Lesung des IuKDG auch zwei Anträge der Oppositionsfraktionen der SPD und des Bündnis 90/Die GRÜNEN beraten, welche die gesellschaftlichen, politischen, wirtschaftlichen und kulturellen Implikationen des Wandels zur Informationsgesellschaft thematisierten.113 Beiden Anträgen war gemein, dass sie sich – im Gegensatz zu der in Rede stehenden Gesetzesinitiative der Bundesregierung – mit den Vollzugsschwierigkeiten nationaler Datenschutzvorgaben im Internet auseinandersetzten. Der Antrag der SPD-Fraktion stellte insoweit zentral auf rechtliche und technische Standards als Lösungsmittel ab. Entsprechend forderte sie die Bundesregierung auf, die Formulierung wirksamer internationaler Datenschutzvereinbarungen sowie ethischer und demokratischer Standards für Datennetze anzustreben. Zur Gewährleistung der Durchsetzbarkeit rechtlicher Vorgaben im Internet sollte sie sich hiernach außerdem der Normung und insbesondere internationaler technischer Standards bedienen.114 Demgegenüber sah der Antrag der Fraktion des Bündnis 90/Die GRÜNEN vor, Ansätze des Copyright zum Schutz der Betroffenen fruchtbar zu machen. Hiernach sollte jede Person ein Verwertungsrecht an den sich auf sie beziehenden Daten erhalten. Bei einer Vermarktung der Daten, die den fair use überschreite, sollte dann die Möglichkeit bestehen, Copyright-Gebühren geltend zu machen.115 Eine Nutzung der Daten für vereinbarte Zwecke sollte hingegen grundsätzlich unentgeltlich erfolgen. Dieser Vorschlag war der Realisation des Betroffenenschutzes im Internet nicht förderlich. Auch hiernach blieb unklar, wie Betroffene in die Lage versetzt werden sollten, von den anspruchsbegründenden Tatsachen Kenntnis zu erlangen und etwaig bestehende Ansprüche durchzusetzen. Ansonsten stellte sich die erste Lesung der Gesetzesinitiative aus datenschutzrechtlicher Perspektive als wenig ergiebig dar. Die Opposition wiederholte die bereits aus den Änderungsanträgen des Bundesrates bekannte Kritik angesichts der als unsachgemäß empfundenen Differenzierung zwischen Tele- und Mediendiensten, beklagte das Fehlen einer Vorschrift über Datenschutz-Audits und kritisierte 113 BT, 13. WP, 170. Sitzung vom 18. 4. 1997, 15373 (A) – 15402 (A). SPD-Fraktion u. a., Deutschlands demokratischer Weg in die Informationsgesellschaft, BT-Drs. 13/5197. Dieser Antrag enthielt auch instruktive Aussagen zu den Potentialen von Leitbildern im Rahmen des durch den technischen Wandel vorangetriebenen gesellschaftlichen Wandels, S. 3 f. Bündnis 90/Die GRÜNEN-Fraktion u. a., Ein ökologischer, sozialer und demokratischer Weg in die Informationsgesellschaft III (Schutz und Entfaltung selbstbestimmter Nutzung), BT-Drs. 13/ 5777; s.a. dies., Ein ökologischer, sozialer und demokratischer Weg in die Informationsgesellschaft II (Maßstäbe und Grundlagen für die Gestaltung), BT-Drs. 13/3010, sowie die Beschlussempfehlung und den Bericht des Ausschusses für Bildung, Forschung, Technologie und Technikfolgenabschätzung zu den genannten Anträgen der Oppositionsparteien, BT-Drs. 13/ 6856. 114 BT-Drs. 13/5197, S. 6 ff. und S. 18. 115 BT-Drs. 13/5777, S. 5 und S. 12.
D. Reform des BDSG 1990
145
schließlich die Übermittlungsverpflichtung von Telediensteanbietern zugunsten von Sicherheitsbehörden.116 Die Kritik der SPD-Fraktion fand einen konstruktiveren Ausdruck im Rahmen eines von ihr am 11. Juni 1997 eingebrachten Entschließungsantrags.117 Hier legte sie der Bundesregierung nahe, ihre Politik im Sinne einer multimedialen Kommunikationspolitik weiterzuentwickeln.118 Der Antrag proklamierte einen Paradigmenwechsel im Datenschutz, demgemäß ein interessengerechter Datenschutz auf rechtliche, technische sowie ökonomische Ansätze zurückzugreifen haben. Es wurden insoweit außerdem verschiedene datenschutzfreundliche Techniken benannt und gefordert, deren Entwicklung und Implementierung durch staatliche Maßnahmen zu fördern.119 Der Antrag schloss mit den Forderungen nach einer intensiven Begleitforschung und regelmäßigen Gesetzesevaluationen angesichts der rechtlichen Regulierung von IuK-Technologien. Am 13. Juni 1997 fanden die zweite und dritte Lesung des IuKDG im Bundestag statt. Das Artikelgesetz wurde schließlich mit den Stimmen der die Regierung bildenden Fraktionen angenommen. Auch im Bundesrat verständigte man sich trotz einer „Reihe von Mängeln“ am IuKDG darauf, die Einsetzung eines Vermittlungsausschusses nicht zu beantragen, um das gleichzeitige Inkrafttreten des MDStV 1997 und des IuKDG zu ermöglichen.120 Von der Kritik am TDDSG-E konnte sich im Ergebnis – neben einigen redaktionellen Klarstellungen – lediglich die an § 5 Abs. 3 TDDSG-E durchsetzen.121 Hiernach wären Telediensteanbieter dazu verpflichtet gewesen, Bestandsdaten auf Ersuchen an Sicherheitsbehörden zu übermitteln. Diese Vorschrift wurde entsprechend der Empfehlung des Ausschusses für Bildung, Wissenschaft, Forschung, Technologie und Technikfolgenabschätzung ersatzlos gestrichen.122 d) Evaluation des TDDSG Bei der Verabschiedung des IuKDG forderte der Bundestag die Bundesregierung auf, die Entwicklungen im Bereich der IuK-Dienste zu beobachten und darzulegen, ob und ggf. inwiefern hier ein gesetzgeberischer Anpassungs- bzw. Ergänzungsbedarf entsteht.123 Nachdem sich infolge der Bundestagswahl vom 27. September 1998 die politischen Kräfteverhältnisse änderten, oblag diese Verpflichtung der neu am116
Siehe Stellungnahme des Bundesrats, BT-Drs. 13/7385, Anlage 2. BT-Drs. 13/7936. 118 BT-Drs. 13/7936, S. 2. 119 BT-Drs. 13/7936, S. 4. 120 BR, 714. Sitzung vom 4. 7. 1997, 275 (A). Siehe a. BR-Drs. 420/2/97. 121 Überblick über die Regelungen des IuKDG bei Engel-Flechsig/Maennel/Tettenborn, NJW 1997, S. 2981 ff. 122 BT-Drs. 13/7934, S. 10 und S. 35 f. 123 BT-Drs. 13/7935. 117
146
§ 5 Europäisierung des Datenschutzes
tierenden rot-grünen Bundesregierung. Diese veröffentlichte am 18. Juni 1999 einen entsprechenden Evaluationsbericht, welcher sowohl die Vorgaben des TDDSG als auch deren Umsetzung als durchaus gelungen darstellte.124 Im Gegensatz hierzu attestierte der Bundesbeauftragte für den Datenschutz erhebliche Startschwierigkeiten hinsichtlich der Realisierung der Gesetzesvorgaben.125 Der Bericht setzte sich nicht vollumfänglich mit der Umsetzung der wesentlichen datenschutzrechtlichen Neuerungen des TDDSG – namentlich des Systemdatenschutzes, des Prinzips der Datenvermeidung und -sparsamkeit, der Gewährleistung der anonymen und pseudonymen Dienstenutzung sowie der elektronischen Einwilligung – auseinander. Lediglich angesichts des Systemdatenschutzes und der elektronischen Einwilligung nahmen die Verfasser des Berichts ausdrücklich Stellung; zwar befänden sich entsprechende Verfahren und technische Systeme weitestgehend noch in einem Entwicklungs- bzw. Erprobungsstadium, was eine abschließende Einschätzung erschwere, gleichwohl bestünden insoweit vielversprechende Forschungsinitiativen und Ansätze.126 Der Umstand, dass insbesondere letztere lediglich oberflächlich thematisiert wurden, ließ den Enthusiasmus der Bundesregierung als naiven Fortschrittsoptimismus, der gerade keiner belastbaren Prognose geschuldet war, erscheinen. Demgegenüber setzte sich der Bericht ausführlicher mit Datenschutz-Audits auseinander. Eine entsprechende Vorschrift wurde zwar im Laufe des Gesetzgebungsverfahrens zum TDDSG diskutiert, letztlich aber nicht statuiert. Diesbezüglich kündigte die Bundesregierung nun an, Datenschutz-Audits bei der anstehenden Novellierung des BDSG gesetzlich zu verankern, um hierdurch die Selbstverantwortung der Wirtschaft für den Datenschutz zu stärken und eine kontinuierliche Verbesserung desselben zu fördern.127 Außerdem sei vorgesehen, die im TDDSG enthaltenen Datenschutzgrundsätze des Systemdatenschutzes, der Datenvermeidung und -sparsamkeit sowie der anonymen und pseudonymen Dienstenutzung als übergreifende Prinzipien in das allgemeine Datenschutzrecht zu integrieren und diese u. a. durch die Etablierung entsprechender Legaldefinitionen zu konkretisieren.128 So sollte die Einheitlichkeit und Transparenz des Rechtsrahmens für den Datenschutz künftig verbessert werden. Weiterhin kündigte die Bundesregierung an, 124
BT-Drs. 14/1191. Zur Evaluierung des IuKDG Tettenborn, MMR 1999, S. 516 ff. BfD, 17. TB, BT-Drs. 14/850, S. 59. Siehe a. Bäumler, DuD 1999, S. 258 ff. So auch in Bezug auf Unterrichtungspflichten Wolters, DuD 1999, S. 277 ff.; zu technisch-organisatorischen Maßnahmen bei der Umsetzung des TDDSG Münch, RDV 1997, S. 245 f. 126 BT-Drs. 14/1191, S. 13. 127 BT-Drs. 14/1191, S. 14 und S. 33. Zur Anerkennung von Datenschutz-Audits als Datenschutzmittel durch die Bundesregierung trug wesentlich auch der Arbeitskreis „Datenschutz-Audit-Multimedia“ bei, welcher sich auf Initiative des Datenschutzbeauftragten der Telekom konstituierte. Zu Geschichte, Vorgehensweise und Leitlinien des Arbeitskreises Königshofen, Datenschutz-Audit bei der Deutschen Telekom, in: Horster/Fox (Hrsg.), Datenschutz und Datensicherheit, S. 180 ff. 128 BT-Drs. 14/1191, S. 15. 125
D. Reform des BDSG 1990
147
mit darüber hinausgehenden Änderungen des BDSG auf Schwierigkeiten bei der Durchsetzung der Vorgaben des TDDSG zu reagieren, namentlich durch die Ergänzung von Bußgeldtatbeständen und aufsichtsbehördlichen Kompetenzen. 4. Zwischenergebnis Wie gezeigt wurde, etablierten sich im Rahmen der bereichsspezifischen Datenschutzkonzepte des TKG 1996, des MDStV 1997 und des TDDSG 1997 jeweils Elemente eines qualitativen Datenschutzrechts. Dies waren namentlich Regelungen zum Systemdatenschutz, dem Grundsatz der Datenvermeidung und -sparsamkeit, zu Datenschutz- und Datensicherheitskonzepten sowie Datenschutz-Audits. In Bezug auf die Verwirklichung solcher Ansätze zeichnete sich außerdem ein eindeutiger Trend ab. Im TKG 1996 waren lediglich leise Anklänge an ein qualitatives Datenschutzrecht zu verzeichnen, im TDDSG 1997 fanden diese bereits einen stärkeren Ausdruck und im MDStV 1997 wurden sie am konsequentesten verwirklicht.129 Die dargestellten qualitativen Ansätze entwickelten überwiegend bereits bestehende Grundsätze weiter bzw. füllten diese mit neuen Inhalten.130 Schon das BDSG 1977 normierte mit seinem § 6 und der dazugehörigen Anlage den Gedanken, Datenschutz sei auch durch Technik und Organisation zu gewährleisten. Der Grundsatz des Systemdatenschutzes formulierte diesen Ansatz weiter aus. Hiernach ist dem Datenschutz bereits bei der Entwicklung und während des gesamten Lebenszyklus datenverarbeitender Technologien Rechnung zu tragen. Ähnliches gilt für den Ansatz der Datenvermeidung bzw. -sparsamkeit. Die bereits vom BDSG 1977 anerkannten Grundsätze des Verbots mit Erlaubnisvorbehalt, der Erforderlichkeit und der Zweckbindung bringen zum Ausdruck, dass personenbezogene Daten nicht beliebig verarbeitet werden dürfen, sondern im Gegenteil ihre Verarbeitung grundsätzlich zu unterbleiben bzw. nach strikten rechtlichen Vorgaben zu erfolgen hat. Der Ansatz der Datenvermeidung und -sparsamkeit setzt demgegenüber bereits eine Stufe früher an. Hier ist schon die Entstehung personenbezogener Daten grundsätzlich zu vermeiden. Den im Laufe der dargestellten Gesetzgebungsprozesse diskutierten und schließlich normierten Ansätzen des Systemdatenschutzes sowie der Datenvermeidung und -sparsamkeit ist gemein, dass in ihrem Rahmen eine verstärkte Kooperation von Recht und Technik gefordert wird. Insoweit wurde folglich die Struktur des überkommenen Datenschutzrechts, die überwiegend auf ver- und gebietende normative Vorgaben abstellte, ergänzt. Zunehmend wurde die Implementierung rechtlicher Gestaltungsvorgaben im Hinblick auf Datenverarbeitungstechniken und -verfahren fokussiert und entsprechend der Erkenntnis Rechnung getragen, dass ein wirksamer Datenschutz nicht erst bei der Verarbeitung von Daten ansetzen kann. 129 130
Vgl. insoweit auch Dix, Datenschutz im Internet. Vgl. Ulrich, DuD 1996, S. 664 (670 f.).
148
§ 5 Europäisierung des Datenschutzes
Auf der Akteursebene ließ sich ebenfalls eine Trendwende beobachten. Insbesondere durch die Bestimmungen über Datenschutz-Audits sowie Sicherheitskonzepte und -beauftragte kam zum Ausdruck, dass die Eigenverantwortung datenverarbeitender Stellen im Datenschutzrecht gestärkt werden sollte. Anstatt einer ausschließlich hierarchischen Regulierung der Datenverarbeitung, welche durch – ggf. zwangsweise zu vollziehende – gesetzliche Ge- und Verbote geprägt ist, wurde zunehmend die Förderung der Motivation datenverarbeitender Stellen, sich datenschutzkonform zu verhalten, anvisiert, mithin ein zentraler Gedanke des Konzepts der regulierten Selbstregulierung zugrunde gelegt. Verstärkt versuchte der Gesetzgeber folglich, marktmäßige Mechanismen im Datenschutzrecht zu mobilisieren und entsprechend Datenschutzkonformität als Wettbewerbsvorteil darzustellen. Im Ergebnis bildete damit der bereichsspezifische Datenschutz im Telekommunikationsund Telemediensektor ein Referenzgebiet qualitativen Datenschutzrechts, welches das Potential besaß, der Reform des BDSG 1990 qualitative Impulse zu vermitteln.
III. Umsetzung der Vorgaben der RL 95/46/EG durch das BDSG 2001 – und Modernisierung? Während dem Datenschutz aufgrund der Arbeiten an der RL 95/46/EG auf europäischer Ebene eine gesteigerte Aufmerksamkeit zuteilwurde, schenkte gleichzeitig der nationale Gesetzgeber der Reform des allgemeinen Datenschutzrechts kaum Beachtung. Dieser blickte vielmehr abwartend nach Brüssel.131 Nachdem eine politische Einigung über den Text der europäischen Datenschutzrichtlinie erzielt werden konnte, war absehbar, dass ihre Vorgaben einerseits keinen grundlegenden Wandel des nationalen Datenschutzrechts bedingen, andererseits einen solchen aber auch nicht verhindern würden.132 Entsprechend verkündete die Bundesregierung, die Umsetzung der Richtlinie stelle eine Chance dar, das allgemeine Datenschutzrecht zu reformieren und hierbei auch auf die Herausforderungen des technologischen Fortschritts zu reagieren.133 Letztlich nutzte sie diese Chance jedoch nicht. Erst Ende 1997 veröffentlichte das BMI einen Referentenentwurf, der sich auf die Integration der zwingenden Richtlinienvorgaben in das BDSG beschränkte und hierbei deren qualitativen Potentiale nahezu vollständig unberücksichtigt ließ.134 Insgesamt stellte sich diese Gesetzesinitiative als unübersichtlich und angesichts des technologischen 131 Erwähnenswerte gesetzgeberische Bemühungen um den Datenschutz gingen lediglich aus verschiedenen Anträgen der Fraktion Bündnis 90/Die GRÜNEN hervor. Diesen zufolge sollten die verfassungsrechtlichen Vorgaben für den Datenschutz im Allgemeinen und speziell für den BfD ausdifferenziert bzw. etabliert sowie ein allgemeines Informationsrecht eingeführt werden, vgl. BT-Drs. 12/4271; 12/5694; 12/5695. 132 So etwa BfD, 15. TB, BT-Drs. 13/1150, S. 175; s.a. Simitis, NJW 1997, S. 281 ff.; Gounalakis/Mand, CR 1997, S. 431 (434); dies., CR 1997, S. 497 (504). 133 Vgl. BT-Drs. 13/4000, S. 216. 134 Siehe Entwurf eines Gesetzes zur Novellierung des Bundesdatenschutzgesetzes (BDSG) (Stand 08. 12. 1997), GDD-Mitteilungen 1/98, Sonderbeilage S. I-XII.
D. Reform des BDSG 1990
149
Fortschritts nicht sachgerecht dar.135 Schließlich konnte der in Rede stehende Entwurf während der 13. Legislaturperiode nicht mehr innerhalb der Bundesregierung abgestimmt werden. Damit verpasste es die Bundesrepublik, die Richtlinie fristgerecht bis zum 24. Oktober 1998 in nationales Recht umzusetzen. Im Folgenden soll der schließlich erfolgende nationale Umsetzungsprozess unter dem Aspekt der Verwirklichung qualitativer Datenschutzelemente einer genaueren Betrachtung unterzogen werden. 1. Gesetzentwurf der Fraktion Bündnis 90/Die GRÜNEN vom 14. November 1997 Der einzige Gesetzentwurf zur Reform des BDSG 1990, der in der 13. Legislaturperiode in den Bundestag eingebracht wurde, stammte von der Fraktion Bündnis 90/Die GRÜNEN.136 Dessen Ausgangspunkte bildeten einerseits die europäische Datenschutzrichtlinie und andererseits die angesichts der Entwicklungen im Bereich der IuK-Technologien immer stärker offenbar werdenden Regelungs- und Vollzugsdefizite des BDSG 1990. Entsprechend visierte der Entwurf – unter Berücksichtigung der Empfehlungen des Bundesbeauftragten für den Datenschutz und der Landesdatenschutzbeauftragten – an, dass allgemeine Datenschutzrecht an die Richtlinienvorgaben anzupassen und darüber hinaus zu modernisieren. Zur Modernisierung des BDSG 1990 legte der Entwurf einige Ansätze zugrunde, die mittlerweile bereits durch das TDDSG 1997 und den MDStV 1997 gesetzlich normiert worden waren, namentlich den des Systemdatenschutzes sowie den der Datenvermeidung und -sparsamkeit. Sein Konzept reichte aber über die Integration dieser spezialgesetzlichen Ansätze in das allgemeine Datenschutzrecht hinaus. Der Vorschlag formulierte mit der Netzkontrolle und der Revisionsfähigkeit neuartige Vorgaben zur datenschutzkonformen Systemgestaltung, welche den Ansatz des Systemdatenschutzes konkretisieren sollten, § 14 Nr. 5 und 9 BDSG-Ä97. Des Weiteren sah er die gesetzliche Privilegierung von Produkten, deren Datenschutzkonformität in einem förmlichen Verfahren geprüft und positiv bewertet wurde, vor, um die Etablierung von Datenschutz-Audits und Zertifizierungsverfahren zu stärken, § 16 Abs. 2 S. 3 BDSG-Ä97. Außerdem reagierte die in Rede stehende Gesetzesinitiative auf neuartige Datenverarbeitungsphänomene mit innovativen Vorschriften. Hierzu zählten insbesondere normative Vorgaben bezüglich mobiler Speicher- und Verarbeitungsmedien – etwa in Form von Chip- und Smart-Cards – sowie externer Systemwartungen gem. § 32 bzw. § 31 Abs. 5 BDSG-Ä97. Völlig neu war auch die Absicht der Entwurfsverfasser, ein Betroffenenrecht auf Verschlüsselung gesetzlich zu fixieren, vgl. § 26 BDSG-Ä97. Hiernach sollte jeder Person das Recht zustehen, die Maßnahmen zur Sicherung der Vertraulichkeit und Integrität von Datenverar135 Äußerst krit. auch BfD, 17. TB, BT-Drs. 14/850, S. 20 f.; Jacob, JurPC Web-Dok. 42/ 1998, Abs. 1 – 81; Schild, DuD 1997, S. 720 ff.; Wuermeling, DSB 1998, S. 1 ff. 136 BT-Drs. 13/9082. Hierzu Weichert, RDV 1999, S. 65 ff.
150
§ 5 Europäisierung des Datenschutzes
beitungsprozessen zu ergreifen, die sie selbst für erforderlich hält. Insoweit wurde folglich die rechtliche Anerkennung eines zentralen Aspekts des Selbstdatenschutzes angestrebt. In Umsetzung der Richtlinienvorgaben sah der Entwurf u. a. die Erweiterung des Anwendungsbereichs des BDSG 1990, die Normierung von Sonderregelungen über die Verarbeitung sensitiver Daten, des Verbots automatisierter Einzelentscheidungen, eines allgemeinen Widerspruchsrechts hinsichtlich der Verarbeitung personenbezogener Daten sowie die Möglichkeit der Erarbeitung von Verhaltensregeln durch Berufsverbände vor. Außerdem legte die Gesetzesinitiative insgesamt einen risikobasierten Ansatz zugrunde. Diesem entsprechend sollte vor dem Einsatz bzw. der wesentlichen Änderung automatisierter Datenverarbeitungsverfahren, von denen potentiell intensive Gefahren für die Grundrechte des Einzelnen oder die Wirkungsmöglichkeiten demokratischer Organe ausgehen, eine Technikfolgenabschätzung durchgeführt werden müssen, § 20 Abs. 1 S. 1 BDSG-Ä97. Weiterhin sollten solche Verfahren nur dann eingesetzt werden dürfen, wenn durch technische und organisatorische Maßnahmen sichergestellt werde, dass deren spezifischen Risiken wirksam beherrscht werden, § 20 Abs. 1 S. 3 BDSG-Ä97. Im Ergebnis stellte sich dieser Entwurf konsistent und übersichtlich dar. Er wies außerdem eine Reihe qualitativer Datenschutzansätze auf. Namentlich wurde in dessen Rahmen nicht mehr ausschließlich oder überwiegend versucht, Datenschutz durch ge- bzw. verbietende Vorgaben zu gewährleisten, sondern vielmehr durch eine Kombination rechtlicher, wirtschaftlicher sowie technischer Mittel zu gestalten. Dieser Ansatz hatte auch Konsequenzen für die Akteursstruktur des Entwurfs; verstärkt griff dieser auf die Konzepte der regulierten Selbstregulierung und des Selbstdatenschutzes zurück und berücksichtigte insoweit auch die Potentiale datenverarbeitender Stellen sowie der Betroffenen zur Verwirklichung des Datenschutzes. Gleichwohl verhielt sich das Innovationspotential dieser Gesetzesinitiative umgekehrt proportional zu der Aufmerksamkeit, die ihr im Parlament gewidmet wurde. Der Entwurf wurde ohne eine vorangehende Auseinandersetzung im Bundestag an verschiedene Ausschüsse zur Beratung verwiesen und letztlich auf Empfehlung des federführenden Innenausschusses auch ohne eine zweite Beratung am 24. Juni 1998 abgelehnt.137 Insgesamt zeugte der Vorschlag davon, dass es bereits in der 13. Legislaturperiode möglich gewesen wäre, eine Reform des BDSG 1990, welche sowohl die Richtlinienvorgaben umsetzt, als auch der gewandelten technischen Ausgangslage Rechnung trägt, zu verwirklichen, dies aber insbesondere an einer mangelnden politischen Priorisierung des Datenschutzes scheiterte.
137
BT, 13. WP, 244. Sitzung vom 24. 6. 1998, 22739 (C-D).
D. Reform des BDSG 1990
151
2. Modernisierung des BDSG 1990 a) Hehres Ziel der Modernisierung des Datenschutzrechts In ihrer Koalitionsvereinbarung postulierten SPD und Bündnis 90/Die GRÜNEN, die sich bei der Bundestagswahl am 27. September 1998 durchsetzen konnten, dass ein effektiver Datenschutz zu den unverzichtbaren Voraussetzungen einer demokratischen und verantwortbaren Informationsgesellschaft gehöre und die notwendige Anpassung des deutschen Datenschutzrechts an die europäische Datenschutzrichtlinie kurzfristig erfolgen müsse.138 Bereits einen Monat später veröffentlichten die Bundestagsabgeordneten Ute Vogt und Jörg Tauss den Entwurf eines EckwertePapiers der SPD-Fraktion mit dem Titel „Modernes Datenschutzrecht für die (globale) Wissens- und Informationsgesellschaft“, welches konkrete Handlungsempfehlungen an den Gesetzgeber und die Bundesregierung zur Modernisierung des Datenschutzrechts formulierte.139 Die Autoren des Papiers konstatierten insoweit, dass das überkommene Datenschutzrecht die informationelle Selbstbestimmung angesichts des technologischen Fortschritts nicht mehr ausreichend gewährleiste und hierzu vielmehr ein „neuer Datenschutz“ notwendig sei.140 Dem Papier zufolge sollte das traditionelle Konzept des Datenschutzrechts durch drei komplementäre Ansätze ergänzt werden; Datenschutz durch Technik, Selbstdatenschutz und Selbstregulierung. Das Papier erörterte verschiedene Konkretisierungen und Konsequenzen der genannten Ansätze. Etwa wurde vorgeschlagen, Diensteanbieter künftig gesetzlich zu verpflichten, datenschutzfreundliche Techniken zu berücksichtigen, bereitzustellen sowie über deren Existenz und Funktionsweisen zu informieren. Außerdem sollte der Gesetzgeber, um einen wirksamen Selbstdatenschutz zu ermöglichen, zunächst seiner Strukturverantwortung gerecht werden und die Voraussetzungen für einen solchen schaffen.141 Hierzu müsste insbesondere die staatlicherseits betriebene Aufklärungsarbeit angesichts der Datenverarbeitung und des Datenschutzes intensiviert werden. Außerdem dürfe der Staat die Nutzung kryptographischer Verfahren durch Betroffene grundsätzlich nicht einschränken. Des Weiteren sollte hiernach der Einsatz von Datenschutz-Audits gefördert und so die Selbstkontrolle sowie der Wettbewerb zugunsten des Datenschutzes stimuliert werden. Dies könnte dazu beitragen, dass „ein „Regelungsmix“ aus „Entgesetzlichung“ bei funktionierender Selbstkontrolle auf der einen Seite und Gesetzgebung als Sanktionsmittel für fehlende oder versagende Selbstkontrolle auf der anderen Seite“142 entstehe. Um die 138
SPD/Bündnis 90/Die GRÜNEN, Aufbruch und Erneuerung, online, S. 40. Vogt/Tauss, Eckwertepapier, online. 140 Zu dem Begriff des „neuen Datenschutzes“ Bäumler, RDV 1999, S. 5 ff. Zusammenfassung der Reformforderungen auch bei ders., DuD 1998, S. 312 f. 141 Zur Gewährleistungsverantwortung des Gesetzgebers angesichts der informationellen Selbstbestimmung Hoffmann-Riem, AöR 123 (1998), S. 513 (524 ff.). 142 Vogt/Tauss, Eckwertepapier, online, S. 18. 139
152
§ 5 Europäisierung des Datenschutzes
genannten Ziele zu erreichen, wurde außerdem allgemein die Reduzierung der Anzahl bereichsspezifischer Datenschutzregelungen bzw. die Vereinfachung und Verschlankung des Datenschutzrechts angestrebt. Die dargestellten Ansätze entsprachen dem damaligen state of the art des Datenschutzreformdiskurses und können als Ausdruck eines umfassenden Modernisierungsanspruchs gewertet werden, der weit über den der zuvor amtierenden Bundesregierung hinausging.143 Außerdem stellte die hier zugrunde gelegte Perspektive auf das maßgebliche Schutzgut des Datenschutzrechts einen Quantensprung im Verhältnis zum überkommenen gesetzgeberischen Datenschutzleitbild dar. Die informationelle Selbstbestimmung wurde hier nicht mehr ausschließlich als Recht auf Eingriffsabwehr i.S.e. Verfügungsbefugnis über individualisierte Daten, sondern auch als Recht des Einzelnen auf Gewährleistung der Kommunikations- und Handlungsfähigkeit gegenüber Gesellschaft und Staat verstanden.144 Dieses bereits im Volkszählungsurteil angelegte Verständnis der informationellen Selbstbestimmung wurde zuvor zwar bereits in der Literatur thematisiert,145 auf Bundesebene jedoch erstmals im Rahmen des in Rede stehenden Eckwertepapiers vom Gesetzgeber aufgegriffen. Ist es aus einer abwehrrechtlichen Perspektive für den Gesetzgeber folgerichtig, den Grundsatz des Verbots mit Erlaubnisvorbehalt zu statuieren, kann sich demgegenüber das gesetzgeberische Tätigwerden unter der Prämisse eines auch gewährleistungsrechtlichen Inhalts der informationellen Selbstbestimmung nicht mehr ohne Weiteres auf diesen Mechanismus beschränken. Vielmehr treten ausgestaltende Elemente in den Vordergrund seines verfassungsrechtlichen Auftrags. Dass mit der Erweiterung der Perspektive auf den Schutzgegenstand gleichsam eine Erweiterung bezüglich der Handlungsmittel und Akteursstruktur des Datenschutzes einhergeht, liegt nahe. Es ist eben eine komplexere Aufgabe, ein Recht durch die Schaffung bzw. 143 Zum damals aktuellen Datenschutzreformdiskurs s. etwa den 4. Zwischen- sowie den Schlussbericht der Enquete-Kommission „Zukunft der Medien in Wirtschaft und Gesellschaft“, BT-Drs. 13/11002, S. 56 ff. und S. 69 ff. bzw. BT-Drs. 13/11004, S. 17 ff. Beide setzen sich mit PET, der regulierten Selbstregulierung und dem Selbstdatenschutz als Mittel eines effektiven Datenschutzrechts auseinander. Siehe a. 54. Konferenz der Datenschutzbeauftragten des Bundes und der Länder, Entschließung vom 23./24. Oktober 1997 zu: Erforderlichkeit datenschutzfreundlicher Techniken, BT-Drs. 14/850, S. 231; BfD, 17. TB, BT-Drs. 14/850, S. 15; Kloepfer, Geben moderne Technologien und die europäische Integration Anlaß, Notwendigkeit und Grenzen des Schutzes personenbezogener Informationen neu zu bestimmen?, in: Ständige Deputation des DJT (Hrsg.), 62. DJT, Bd. 1, D 1 – 149 (D 84 – 103). 144 Vogt/Tauss, Eckwertepapier, online, S. 13. 145 Hierzu Hoffmann-Riem, AöR 123 (1998) S. 513 (519 ff.); Trute, Öffentlich-rechtliche Rahmenbedingungen einer Informationsordnung, VVDStRL 57 (1998), S. 216 (266). Zu Aspekten, die aus der verfassungsrechtlichen Neuorientierung folgen können Kloepfer, Geben moderne Technologien und die europäische Integration Anlaß, Notwendigkeit und Grenzen des Schutzes personenbezogener Informationen neu zu bestimmen?, in: Ständige Deputation des DJT (Hrsg.), 62. DJT, Bd. 1, D 1 – 149 (D 92 ff.). Siehe hierzu später auch Bizer, DuD 2007, S. 725 ff.; Gusy/Eichenhofer/Schulte, JöR 64 (2016), S. 385 ff.
D. Reform des BDSG 1990
153
Regulierung einer Infrastruktur zu gewährleisten, als durch ein Verbot das Unterlassen einer Handlung aufzugeben. Zur Modernisierung des Datenschutzrechts legte das Eckwerte-Papier einen zwei-Stufen-Plan zugrunde. Zunächst sollte auf einer ersten Stufe die Umsetzung der Richtlinienvorgaben im allgemeinen Datenschutzrecht auch dazu genutzt werden, das BDSG umfassend zu novellieren. Auf einer zweiten Stufe sollte dann anschließend das bereichsspezifische Datenschutzrecht an den Datenschutzstandard der Richtlinie angepasst werden – selbst insoweit kein Anpassungsdruck von dieser ausging. Tatsächlich legte der Bundesgesetzgeber im Folgenden der Novellierung des Datenschutzrechts einen zwei-Stufen-Plan zugrunde. Gleichwohl änderte sich dessen konkrete Ausgestaltung im Laufe der fortschreitenden Legislaturperiode mehrfach und rückte die Modernisierung des BDSG dabei immer weiter in die Zukunft. b) Erste Stufe der Datenschutzreform – Erlass des BDSG 2001 Der schließlich im März 1999 vom BMI veröffentlichte Referentenentwurf zur Änderung des BDSG 1990 lässt sich nur schwer mit den zuvor dargestellten Reformabsichten in Einklang bringen.146 Tatsächlich erschöpfte sich dieser in der nahezu vollständigen Übernahme eines in der vorangegangenen Legislaturperiode erarbeiteten Referentenentwurfs, den die damals noch oppositionellen Fraktionen der SPD und des Bündnis 90/Die GRÜNEN stark kritisiert hatten.147 In der Begründung des in Rede stehenden Gesetzesvorschlags hieß es bezeichnenderweise, dieser sei darauf ausgerichtet, die Richtlinie lediglich in dem zwingend erforderlichen Umfang umzusetzen und dabei von den zur Verfügung stehenden Optionen in einer für Bund, Länder, Gemeinden und Wirtschaft möglichst kostengünstigen Weise Gebrauch zu machen.148 Entsprechend nutzte der Entwurf in extensiver Weise die Öffnungsklauseln der europäischen Datenschutzrichtlinie und füllte diese durch umfangreiche Ausnahmeregelungen sowie Erlaubnistatbestände aus. Dies machte den Vorschlag nur schwer lesbar und stellte die Effektivität seiner Regelungen offen infrage.149 Dennoch wurden im Rahmen dieser Gesetzesinitiative auch erste Modernisierungsbestrebungen aufgegriffen, namentlich die Normierung der Grundsätze der Datenvermeidung und -sparsamkeit sowie von Vorschriften über die Videoüberwachung, mobile Speicher- und Verarbeitungsmedien und Datenschutz-Audits. 146
Siehe Entwurf eines Gesetzes zur Änderung des Bundesdatenschutzgesetzes und anderer Gesetze (Referentenentwurf, Stand 6. 7. 1999), GDD-Mitteilungen 5/99, Sonderbeilage, S. I-XII. 147 Dazu wenig reflektiert der damalige BMI Otto Schily, BT, 14. WP, 71. Sitzung vom 23. 11. 1999, 6486 (D-A). 148 Siehe Entwurf eines Gesetzes zur Änderung des Bundesdatenschutzgesetzes und anderer Gesetze (Referentenentwurf, Stand 11. 3. 1999), auszugsweise abgedruckt in AfP 1999, S. 458 ff. 149 Krit. a. Gola, NJW 1999, S. 3753 (3754).
154
§ 5 Europäisierung des Datenschutzes
Dass die Bundesregierung im Folgenden an ihren Ankündigungen gemessen und der von ihr anvisierte Datenschutzstandard parlamentarisch kritisch überprüft wurde, veranschaulichte u. a. eine Kleine Anfrage der PDS-Fraktion.150 Diese mahnte an, die Bundesregierung dürfe sich in Sachen Datenschutz nicht darauf beschränken, das BDSG 1990 zu reformieren, sondern müsse vielmehr ihr Engagement breiter fächern. Konkret wurden die Bereitstellung von Verschlüsselungsverfahren, die angemessene personelle und finanzielle Ausstattung der Kontrollbehörden sowie die Aufnahme von Verhandlungen mit Drittstaaten über angemessene Datenschutzstandards gefordert. Zwar kündigte die Bundesregierung daraufhin an, die Verbreitung sicherer Kryptoverfahren in Deutschland aktiv zu unterstützen, ansonsten blieb ihre Reaktion aber eher verhalten.151 Der Ankündigung der Bundesregierung, das BDSG umfassend neu zu konzipieren,152 sollten zunächst lediglich geringfügig modifizierte Versionen ihres ursprünglichen Entwurfs folgen.153 Schließlich brachte sie am 13. Oktober 2000 einen Kabinettsentwurf zur Änderung des BDSG 1990 und anderer Gesetze in den Bundestag ein.154 Jene anderen Gesetze waren einerseits das MADG, das BNDG, das BGSG, das BKAG sowie das SÜG und andererseits das SGB I und X. Der Entwurf sah vor, einige Neuerungen des allgemeinen Datenschutzrechts auch im Sicherheitsbereich zu implementieren. Zu jenen zählten insbesondere die Vorschriften über die automatisierte Einzelentscheidung, den Grundsatz der Datenvermeidung und -sparsamkeit sowie den behördlichen Datenschutzbeauftragten.155 Die ebenfalls anvisierte Reform des Sozialdatenschutzes fiel demgegenüber deutlich umfangreicher aus.156 Ausweislich seiner Begründung diente das Artikelgesetz primär der Umsetzung der RL 95/46/EG. Gleichzeitig sollte es aber auch eine Phase der Modernisierung des Datenschutzrechts einleiten, in deren Rahmen das BDSG vereinfacht bzw. dessen Lesbarkeit verbessert würde.157 Im Gegensatz zu diesen Zielvorgaben stellte sich der in Rede stehende Gesetzentwurf als äußert unleserlich und kompliziert dar.158 Seine 150
BT-Drs. 14/1447. BT-Drs. 14/1527, S. 6. Siehe a. BMI/BMWi, MMR 7/1999, S. XVII f.; dazu Entschließung der 58. Konferenz der Datenschutzbeauftragten des Bundes und der Länder vom 7./ 8. Oktober 1999, BT-Drs. 14/5555, S. 221. 152 Aktionsprogramm der Bundesregierung – Innovation und Arbeitsplätze in der Informationsgesellschaft des 21. Jahrhunderts, BT-Drs. 14/1776, S. 7 und S. 30 f. 153 Krit. in Bezug auf die Entwürfe der Bundesregierung Bull, RDV 1999, S. 148 ff.; Kutscha, ZRP 1999, S. 156 ff.; Simitis, in: ders. (Hrsg.), BDSG, Einl. Rn. 91. 154 BT-Drs. 14/4329, s.a. BR-Drs. 461/00. 155 Andererseits wurden zentrale Neuerungen nicht berücksichtigt, namentlich Regelungen über automatisierte Abrufverfahren, die Übermittlung von Daten in das Ausland, Berichtigungs-, Löschungs- und Sperrverpflichtungen sowie der Grundsatz der Direkterhebung. 156 Hierzu Steinbach, NZS 2002, S. 15 ff. 157 BT-Drs. 14/4329, S. 1. 158 Krit. auch Gola, NJW 2000, S. 3749 (3750 f.). 151
D. Reform des BDSG 1990
155
bedeutsamsten Änderungen lassen sich nach drei Kategorien systematisieren; Neuerungen, welche auf die Richtlinie zurückzuführen waren, solche, die im bereichsspezifischen Datenschutzrecht wurzelten, und schließlich Änderungen, die „neuartige“ Datenverarbeitungstechniken regulieren sollten. In Umsetzung der Richtlinie sollten einige bereits bei der letzten großen Reform des BDSG geforderte Erweiterungen des Datenschutzrechts etabliert werden, namentlich die uneingeschränkte Anerkennung der Erhebung als datenschutzrelevante Phase sowie die Emanzipation aufsichtsbehördlicher Kontrollen von Verdachtsmomenten. Demgegenüber wurzelten andere Vorgaben nach deutschem Verständnis in der europäischen Datenschutzrichtlinie, speziell die Regelung der allgemeinen Meldepflichten, der automatisierten Einzelentscheidung und sog. Codes of Conduct.159 Hinsichtlich der beiden zuerst genannten Aspekte machte der Entwurf einen großzügigen Gebrauch von den jeweils in der RL 95/46/EG vorgesehenen Ausnahmetatbeständen. Die zuletzt genannte Vorschrift war lediglich deklaratorischer Natur. Im Ergebnis lässt sich mithin der materielle Einfluss der europäischen Datenschutzrichtlinie auf den Entwurfstext als überschaubar beschreiben. Des Weiteren sah der Entwurf die Statuierung der Grundsätze der Datenvermeidung und -sparsamkeit sowie einer Vorschrift über Datenschutz-Audits vor. Insoweit lehnte sich die in Rede stehende Gesetzesinitiative stark an das IuKDG an. Außerdem fand auch der Systemdatenschutz in der Entwurfsbegründung ausdrücklich Erwähnung, wenn auch nicht an prominenter Stelle. Insgesamt drohten die genannten Neuerungen jedoch in der Unübersichtlichkeit des Entwurfs unterzugehen. Die dritte Kategorie rechtlicher Innovationen erschöpfte sich in einer Regelung über den Einsatz von Videoüberwachungstechnik im öffentlichen Raum. Eine gesetzgeberische Entscheidung wurde wegen des verstärkten Einsatzes jener Technik zunehmend unausweichlicher.160 Der Entwurf strebte an, den insoweit bestehenden Interessenkonflikt durch die Normierung unbestimmter Erlaubnistatbestände sowie von Hinweis- und Löschungspflichten auszugleichen. Im Ergebnis blieb der Entwurf weit hinter der angekündigten Modernisierung des Datenschutzrechts zurück. Augenscheinlich bildete das aufgrund der versäumten Umsetzungsfrist der RL 95/46/EG drohende Vertragsverletzungsverfahren die wesentliche Motivation seiner Verfasser. Ansätze des Systemdatenschutzes und der regulierten Selbstregulierung ließen sich zwar ausmachen, forciert wurden diese hier 159 Insb. zu Verbandsvorschriften i.S.d. neuen § 38a BDSG Abel, RDV 2003, S. 11 ff. Zu Verbandsvorschriften im Kontext der DS-GVO Bergt, Die Bedeutung von Verhaltensregeln und Zertifizierungen nach der Datenschutzgrundverordnung, in: Taeger (Hrsg.), DSRITB 2016, S. 483 ff.; s.a. Ritzer, Verhaltensregeln im Datenschutz, in: Taeger (Hrsg.), DSRITB 2014, S. 501 ff. 160 Hierzu BfD, 17. TB, BT-Drs. 14/850, S. 12 f. Siehe a. Bäumler, RDV 2001, S. 67 ff.; Scholand, DuD 2000, S. 202 f.; Weichert, CILIP 1998, S. 12 ff.; ders., DuD 2000, S. 662 ff.; ders., Detektiv-Kurier 2001, S. 9 ff.
156
§ 5 Europäisierung des Datenschutzes
aber nicht.161 Der Selbstdatenschutz blieb von diesem gänzlich unberücksichtigt – sieht man von der geringfügigen Stärkung der Betroffenenrechte ab. Der Umstand, dass die Formulierungen und Systematik der Richtlinie einigermaßen wortlautgetreu bzw. unreflektiert auf das BDSG 1990 übertragen wurden, führte letztlich dazu, dass die qualitativen Elemente des Rechtsakts kaum zur Geltung kamen. Auch die Stellungnahme des Bundesrates, in dem die rot-grün regierten Bundesländer zu diesem Zeitpunkt keine Mehrheit mehr auf sich vereinigen konnten, fiel insgesamt reaktionär und primär ökomischen Interessen verhaftet aus.162 Insbesondere sollte hiernach die Differenzierung zwischen dem öffentlichen und dem nichtöffentlichen Bereich im Datenschutzrecht – entgegen der Zielsetzung der umzusetzenden Richtlinie – möglichst aufrecht erhalten bleiben und sollten finanzielle Belastungen datenverarbeitender Stellen vermieden werden. In diesem Sinne wurde die Streichung der – in dem Entwurf selbst lediglich fakultativ ausgestalteten – Regelung über Datenschutz-Audits empfohlen. Solche Audits seien nicht notwendig zur Gewährleistung eines wirksamen Datenschutzes, dafür aber kostenträchtig und außerdem unterwanderten sie die Stellung der betrieblichen Datenschutzbeauftragten, so die Argumentation des Bundesrates.163 Demgegenüber schlug dieser eine Erweiterung der Straf- und Bußgeldvorschriften des BDSG 1990 vor. Entsprechend sollte es der zuständigen Kontrollbehörde künftig u. a. möglich sein, prinzipiell jede unrechtmäßige Erhebung und Verarbeitung personenbezogener Daten als Ordnungswidrigkeit mit einem Bußgeld von bis zu 250.000 Euro zu ahnden. Die sich anschließende parlamentarische Auseinandersetzung mit dem Entwurf fand teilweise unter dem Eindruck des zwischenzeitlich durch die Europäische Kommission gegen Deutschland eingeleiteten Vertragsverletzungsverfahrens wegen der ausbleibenden Richtlinienumsetzung statt.164 Dieser Umstand förderte einerseits die allgemeine Bereitschaft zu einer zügigen Beratung und Kompromissfindung. Andererseits war er im Ergebnis der Modernisierung des Datenschutzes abträglich. Die Umsetzung der Richtlinienvorgaben wurde als notwendiges Übel wahrgenommen und ließ die Auseinandersetzung mit innovativen Datenschutzaspekten in den Hintergrund treten.165 161 Demgegenüber wurde der positive Effekt der Reform auf die Ausgestaltung der innerbetrieblichen Selbstkontrolle vielfach betont, etwa von Büllesbach, RDV 2001, S. 1 ff.; Klug, RDV 2001, S. 12 ff.; Weber, DuD 1995, S. 698 ff.; Zilkens, RDV 2001, S. 178 ff. 162 BT-Drs. 14/4329, Anlage 2. 163 BT-Drs. 14/4329, Anlage 2, S. 53. Zustimmend Drews/Kranz, DuD 1998, S. 93 f. Demgegenüber zu positiven Effekten von Audits und Gütesiegeln für den Datenschutz Bäumler, CR 2001, S. 795 ff.; Roßnagel, DuD 2000, S. 231 f. Differenzierte Darstellung der Vor- und Nachteile einer gesetzgeberischen Reglementierung von Datenschutz-Audits bei Königshofen, DuD 2000, S. 357 ff. 164 EuGH, C-443/00 – Kommission/Deutschland. Dazu Christians, RDV 2000, Sonderbeilage zu Heft 4, S. 4 ff. 165 BT, 14. WP, 128. Sitzung vom 27. 10. 2000, Anlage 8, 12390 (A) – 12395 (C); BT, 14. WP, 165. Sitzung vom 6. 4. 2001, Anlage 5, 16179 (A) – 16186 (C).
D. Reform des BDSG 1990
157
Der Innenausschuss führte noch einige Verbesserungen des Entwurfs herbei.166 Insbesondere wurde eine Vorschrift über personenbezogene Speicher- und Verarbeitungsmedien in diesen (wieder-)aufgenommen, um namentlich den Einsatz von Chipkarten zu reglementieren. Insoweit erkannte der Innenausschuss, dass sich die Nutzer entsprechender Karten in einer besonderen informationellen Gefährdungslage befinden, denn sie verfügen über lediglich sehr beschränkte Möglichkeiten, die stattfindende Verarbeitung personenbezogener Daten zu kontrollieren. Letztlich bleibt ihnen i. d. R. nur die Entscheidung über den grundsätzlichen Einsatz solcher Medien und selbst diese besteht de facto eher ausnahmsweise. Entsprechend der Empfehlung des Innenausschusses sollte dieser Umstand durch zusätzliche Informationspflichten der kartenausgebenden bzw. der die Verarbeitung ermöglichenden Stelle kompensiert werden.167 Demgegenüber wurde die Normierung konkreter Vorgaben an die technische Ausgestaltung der Speichermedien nicht empfohlen.168 Des Weiteren wurde hier auch die Regelung zur Videoüberwachung i.S.e. grundsätzlich restriktiven Videoüberwachungspraxis präzisiert.169 Schließlich wurde der Entwurf in der Fassung des Innenausschusses gegen die Stimmen der Mitglieder der FDP- sowie der PDS-Fraktion und unter Enthaltung der CDU/CSU-Fraktion angenommen.170 c) Vorbereitung der zweiten Stufe – Das Modernisierungsgutachten von Roßnagel, Pfitzmann und Garstka Parallel zu der Anpassung des BDSG 1990 an die gemeinschaftsrechtlichen Datenschutzvorgaben gab die rot-grüne Bundesregierung ein Gutachten in Auftrag, welches sich grundlegend mit datenschutzrechtlichen Modernisierungsansätzen auseinandersetzen und der Ausgestaltung eines neuartigen, allgemeinen Daten-
166
BT-Drs. 14/5793. Zu datenschutzrechtlichen Herausforderungen durch Chipkarten Iwansky, Datenschutzrechtliche Probleme von Chipkarten; s.a. Hornung, DuD 2004, S. 15 ff. 168 Gleichwohl existierten solche bereits, s. etwa BfD, 16. TB, BT-Drs. 13/7500, S. 63 ff.; Entschließung der 50. Konferenz der Datenschutzbeauftragten des Bundes und der Länder vom 9./10. November 1995, BT-Drs. 13/7500, Anlage 14; Arbeitskreis „Technische und organisatorische Datenschutzfragen“ der Konferenz der Datenschutzbeauftragten des Bundes und der Länder: Anforderungen zur informationstechnischen Sicherheit bei Chipkarten, BT-Drs. 13/ 7500, Anlage 22; Ermer, CR 2000, S. 126 ff. 169 Vgl. den Vorschlag der CDU/CSU-Fraktion, der sich nicht durchsetzen konnte, BTDrs. 14/5793, S. 59 ff. Kritisch zu dieser gesetzgeberischen Vorgabe Königshofen, RDV 2001, S. 220 ff. 170 Gesetz zur Änderung des Bundesdatenschutzgesetzes und anderer Gesetze vom 18. Mai 2001 (BGBl. I S. 904 – 928). Überblick über die Gesetzesneuerungen bei Franzen, DB 2001, S. 1867 ff.; Gerhold/Heil, DuD 2001, S. 377 ff.; Gola/Klug, NJW 2001, S. 3747 (3747 f.); Gola/Klug, NJW 2002, S. 2431 (2432 f.) m.w.N.; Tinnefeld, NJW 2001, S. 3078 ff. 167
158
§ 5 Europäisierung des Datenschutzes
schutzrechts als Ausgangsbasis dienen sollte.171 Jenes von den Hochschullehrern Alexander Roßnagel, Andreas Pfitzmann und Hansjürgen Garstka erstellte Gutachten konnte am 12. November 2001 dem BMI übergeben werden.172 Während die dem Gutachten zugrunde gelegte Ausrichtung eines modernen Datenschutzrechts – dieses müsse hiernach vollzugsgeeignet, risikoadäquat, klar strukturiert, attraktiv sowie einer effektiven Kontrolle zugänglich sein – allgemeine Anerkennung fand,173 stießen seine konkreten Vorschläge zur Änderung des geltenden Rechts auf umfassende Kritik.174 Dem Gutachten zufolge sollten Ansätze des bisherigen Datenschutzrechts, die sich bewährt hatten, beibehalten und um neue Ansätze ergänzt werden. Grundsätzlich bewährt hatten sich nach Ansicht der Gutachter die informationelle Selbstbestimmung als Schutzgut des Datenschutzrechts, die Rechtmäßigkeitskriterien der Erforderlichkeit und Zweckbindung, die institutionalisierte Fremdkontrolle sowie der betriebliche Datenschutzbeauftragte.175 Demgegenüber deutete das Gutachten an, dass eine Abkehr vom Verbot mit Erlaubnisvorbehalt als dem zentralen Grundsatz des Datenschutzrechts der Effektivierung des Datenschutzes dienlich, aus verfassungs- sowie gemeinschaftsrechtlichen Gründen aber nicht geboten sei.176 Zu den empfohlenen Änderungen zählte insbesondere die Neuausrichtung der Erlaubnistatbestände im öffentlichen sowie im nicht-öffentlichen Bereich. Im Ergebnis sollte in beiden Sektoren ein risikobasierter Ansatz gestärkt und insgesamt ein einheitliches Datenschutzniveau gewährleistet werden. Zu diesem Zweck rieten die Gutachter, im öffentlichen Bereich mehr Datenschutz durch weniger bereichsspezifische Erlaubnistatbestände zu realisieren: „Datenschutz soll nicht mehr vorrangig durch eine vom Gesetzgeber vorab festgelegte präzise Beschreibung erlaubter Datenverarbeitungen gewährleistet werden, sondern vor allem durch Verarbeitungsregeln, die möglichst weitgehend eine Kontrolle und Beeinflussung der Datenverarbeitung durch die betroffene Person sicherstellen.“177 Jene Verarbeitungsregeln sollten durch das BDSG formuliert werden. Lediglich soweit ein gesteigertes Ri171 Siehe hierzu etwa BT-Drs. 14/8456, S. 66; BT-Drs. 14/9186, S. 131 f. Zu den weiteren Vorarbeiten, die von der Bundesregierung bzgl. der Reform des BDSG veranlasst wurden, Roßnagel/Pfitzmann/Garstka, Modernisierung des Datenschutzrechts, S. 11 sowie Tauss/ Özdemir, RDV 2000, S. 143 (145). 172 Roßnagel/Pfitzmann/Garstka, Modernisierung des Datenschutzes. Kernaussagen des Gutachtens zusammengefasst bei dies., DuD 2001, S. 253 ff. 173 Siehe etwa BfD, 19. TB, BT-Drs. 15/888, S. 15 und S. 32 f.; BfD, 20. TB, BT-Drs. 15/ 5252, S. 22 f. 174 Grds. Kilian, CR 1995, S. 921 ff.; aus der Perspektive nicht-öffentlicher datenverarbeitender Stellen Ahrend u. a., DuD 2003, S. 433 ff.; aus gemeinschaftsrechtlicher Perspektive Brühann, DuD 2002, S. 296 ff. 175 Roßnagel/Pfitzmann/Garstka, DuD 2001, S. 253 (254). 176 Roßnagel/Pfitzmann/Garstka, Modernisierung des Datenschutzes, S. 15. 177 Roßnagel/Pfitzmann/Garstka, Modernisierung des Datenschutzes, S. 75. In diesem Sinne auch Bäumler, Einl., in: ders. (Hrsg.), Der neue Datenschutz, S. 1 ff.; Bull, Mehr Datenschutz durch weniger Verrechtlichung, in: Bäumler (Hrsg.), Der neue Datenschutz, S. 25 ff.
D. Reform des BDSG 1990
159
sikopotential für die informationelle Selbstbestimmung bestehe, bedürfe es hiernach einer Konkretisierung in Sondergesetzen, etwa im Sicherheits- und Gesundheitsbereich. Wie jenes Risikopotential zu ermitteln sei, führten die Gutachter jedoch nicht aus. Außerdem empfohlen diese, dem „Übermaß“ an bereichsspezifischen Datenschutznormen durch die Implementierung datenschutzrechtlicher Vorgaben für den Telekommunikations- und den Telemediensektor in das BDSG zu begegnen. Weiterhin sollte die Bedeutung der Zustimmung bzw. der opt-in-Lösung im nichtöffentlichen Bereich insgesamt aufgewertet werden. Dadurch sollte das als zu allgemein empfundene berechtigte Interesse der datenverarbeitenden Stelle, welches hier bislang neben der Einwilligung des Betroffenen als praxisrelevantester datenschutzrechtlicher Legitimationstatbestand diente, aus dem BDSG gestrichen werden.178 Mit der Überforderung des Betroffenen angesichts der Komplexität von Datenverarbeitungsprozessen sowie des geltenden Rechts setzte sich das Gutachten gleichwohl nur unzureichend auseinander.179 In Bezug auf die Verarbeitungsvoraussetzungen differenzierten die Gutachter zwischen verschiedenen Verarbeitungsformen; einerseits der Verarbeitung mit gezieltem Personenbezug zum Zwecke der personenbezogenen oder -beziehbaren Verwendung, z. B. im Rahmen von Personalakten, und andererseits der Verarbeitung ohne gezielten Personenbezug zur nicht-personenbezogenen Verwendung, etwa hinsichtlich von Metadaten, die bei der Erbringung technischer Dienstleistungen anfallen. Richtig ist diesbezüglich, dass grundsätzlich sowohl risikoträchtige als auch weniger riskante Verarbeitungsformen existieren und sich datenschutzrechtliche Anforderung prinzipiell an dem Verarbeitungsrisiko orientieren sollten.180 Dennoch wurde im Rahmen des Gutachtens nicht deutlich, anhand welcher Kriterien die verschiedenen Verarbeitungsformen voneinander abzugrenzen seien. Vernachlässigt wurde hierbei auch der Umstand, dass Verarbeitungsformen ineinander übergehen können. Außerdem stellt sich diese Differenzierung angesichts von BigData-Anwendungen problematisch dar.181 Im Ergebnis schien dieser Vorschlag jedenfalls noch zu wenig ausgearbeitet, als dass er der konzeptionellen Weiterentwicklung des Datenschutzrechts hätte dienlich sein können. Die weiteren Vorschläge des Gutachtens fassten die Ergebnisse des damals aktuellen Datenschutzdiskurses zusammen und griffen namentlich die Stärkung selbstregulativer Potentiale datenverarbeitender Stellen sowie des System- und Selbstdatenschutzes, die Einführung von Verbandsklagerechten und die Verein178
Krit. hierzu Ahrend u. a., DuD 2003, S. 433 (435). Krit. Brühann, DuD 2002, S. 296 (297 f.). 180 Zum risikobasierten Ansatz Thoma, ZD 2013, S. 578 ff.; Veil, ZD 2015, S. 347 ff.; vgl. auch Friedewald u. a., Datenschutz-Folgenabschätzung – Ein Werkzeug für einen besseren Datenschutz, online. 181 Zu Datenschutz und Big Data umfassend Taeger (Hrsg.), DSRITB 2014; s.a. Bitter/ Buchmüller/Uecker, Datenschutzrecht, in: Hoeren (Hrsg.), Big Data und Recht, S. 58 ff.; Helbing, K&R 2015, S. 145 ff. Zu Anforderung an Big Data-Anwendungen nach der DS-GVO Marnau, DuD 2016, S. 428 (431). 179
160
§ 5 Europäisierung des Datenschutzes
heitlichung der Datenschutzkontrollstellen auf. Mithin bestand die wesentlichste Leistung des Gutachtens darin, bestehende Missstände des BDSG 1990 aufzuzeigen und insoweit Lösungsansätze bzw. konkrete Formulierungsvorschläge für Verbesserungen aufzuzeigen. Die originären Modernisierungsvorschläge des Gutachtens schienen demgegenüber wenig praktikabel. Noch in der 14. Legislaturperiode übernahmen die Regierungsfraktionen zentrale Aussagen des Gutachtens nahezu wörtlich in den von ihnen am 3. Juli 2002 gestellten Entschließungsantrag „Umfassende Modernisierung des Datenschutzrechts voranbringen“.182 In diesem forderten sie die Bundesregierung auf, bis zur Mitte der 15. Legislaturperiode Gesetzentwürfe für ein modernes BDSG, ein Arbeitnehmerdatenschutz-, ein Informationsfreiheits- und ein Ausführungsgesetz zum Datenschutzaudit vorzulegen. Insgesamt müsse hiernach das Datenschutzrecht verständlicher und risikoadäquater ausgestaltet und müssten vor diesem Hintergrund die Grundsätze des System- und des Selbstdatenschutzes verstärkt berücksichtigt werden. Auch in der 15. Legislaturperiode setzten sich die Regierungsfraktionen für jene Modernisierungsabsichten – wenn auch nicht so vehement – ein.183 d) Zweite Stufe der Modernisierung Der zunächst für die zweite Reformphase anvisierte Zeitplan kann angesichts der vorherigen Gesetzgebungsverfahren, die in den Erlass bzw. die Reform des BDSG mündeten, als ambitioniert bezeichnet werden; ein entsprechendes Gesetz sollte zum 1. Januar 2003 in Kraft treten.184 Auch zeichneten sich insoweit bereits konkrete Reformvorhaben ab, so mussten etwa Ausführungsbestimmungen für den neu geschaffenen § 9a BDSG 2001 erlassen werden, um dieser Vorschrift über Datenschutzaudits überhaupt erst praktische Relevanz zu verschaffen.185 Demgegenüber konzentrierten sich die datenschutzrelevanten Maßnahmen, die von der Bundesregierung und dem Bundestag zunächst ergriffen wurden, vornehmlich auf den Telekommunikations- bzw. den Telemediensektor. Maßgeblich hierfür waren gemeinschaftsrechtliche Vorgaben, die in nationales Recht umzusetzen waren, namentlich solche der ISDN-RL 97/66/EG und der e-Commerce-RL 2000/31/EG.186 182
BT-Drs. 14/9709. S.a. BT, 14. WP, Sitzung vom 4. 7. 2002, 25259 (C). Siehe etwa BT-Drs. 15/4597, S. 2. 184 Dieses Datum stellten jedenfalls Jörg Tauss und Cem Özdemir in Aussicht, dies., RDV 2000, S. 143 (145). 185 Vgl. MMR 7/2002, S. X. 186 RL 97/66/EG des Europäischen Parlaments und des Rates vom 15. Dezember 1997 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre im Bereich der Telekommunikation, ABl. EG Nr. L vom 30. 1. 1998, 24/1 – 8; RL 2000/31/EG des Europäischen Parlaments und des Rates vom 8. Juni 2000 über bestimmte rechtliche Aspekte der Dienste der Informationsgesellschaft, insbesondere des elektronischen Geschäftsverkehrs, im Binnenmarkt („Richtlinie über den elektronischen Geschäftsverkehr“), ABl. EG Nr. L vom 17. 7. 2000, 178/1 – 16. 183
D. Reform des BDSG 1990
161
Insbesondere zur Umsetzung der zuletzt genannten Richtlinie und den bei der Evaluierung der Verwirklichung des TDDSG gewonnenen Erkenntnissen wurde selbiges reformiert.187 Hierbei wurden u. a. sein Anwendungsbereich verkürzt und der rechtliche Spielraum für Diensteanbieter bzgl. der Erstellung von Nutzerprofilen vergrößert, aber auch Unterrichtungs- und Hinweispflichten datenverarbeitender Stellen erweitert sowie Bußgeldvorschriften etabliert.188 Außerdem verschärften sich nach den Terroranschlägen vom 11. September 2001 die verschiedenen Sicherheitsdebatten.189 Vorratsdatenspeicherung, Telekommunikationsüberwachung und Datenaustausch zwischen Sicherheitsbehörden waren hierbei die Schlagworte der Stunde. Schließlich musste die Bundesregierung eingestehen, dass sie in der 14. Legislaturperiode keinen Gesetzentwurf zur Modernisierung des Datenschutzrechts vorlegen würde. Die Veröffentlichung eines solchen wurde vielmehr auf einen unbestimmten Zeitpunkt in der Zukunft verschoben.190 Bei den Bundestagswahlen am 22. September 2002 konnten sich die SPD und das Bündnis 90/Die GRÜNEN nur knapp durchsetzen. In ihrer Koalitionsvereinbarung kündigten diese an, das Datenschutzrecht auf der Grundlage der in der 14. Legislaturperiode geleisteten Vorarbeiten umfassend zu reformieren. Außerdem sollte ein Arbeitnehmerdatenschutzgesetz erlassen sowie der Datenschutz im Telemedienbereich durch die Einführung selbstregulativer Elemente verbessert werden.191 Jene Reformvorhaben kamen letztlich nicht über das Stadium der Ankündigung bzw. der Vorbereitung hinaus, insbesondere wurde keine Gesetzesinitiative zur Reform des BDSG 2001 veröffentlicht. Dieses wurde lediglich im Januar 2003 neu bekanntgemacht, ohne dass damit substantielle Änderungen des Gesetzes verbunden waren.192 Demgegenüber wurden Vorarbeiten zur Reform des Datenschutzes im Telemediensektor geleistet. Die Neuordnung dieser spezialgesetzlichen Vorgaben galt als 187 Gesetz über rechtliche Rahmenbedingungen für den elektronischen Geschäftsverkehr (Elektronischer Geschäftsverkehr-Gesetz – EGG) vom 14. Dezember 2001 (BGBl. I S. 3721 – 3727). Zur Evaluierung u. a. des TDDSG s. BT-Drs. 14/1191. 188 Zum Einfluss der e-Commerce-RL Schmitz, in: Spindler/Schmitz/Geis (Hrsg.), TDG, TDDSG, Einf. Rn. 15. Zur Novellierung des TDDSG von Lewinski/Schreibauer, CR 2002, S. 238 f.; Schaar, DuD 2002, S. 4. Zu Nutzerprofilen Rasmussen, CR 2002, S. 36 ff. Zu den Unterrichtungspflichten und Privacy Policies von Lewinski, DuD 2002, S. 395 ff.; Buxel, DuD 2002, S. 401 ff. 189 BfD, Der 11. September 2001 und seine datenschutzrechtlichen Auswirkungen, 19. TB, BT-Drs. 15/888, S. 24 – 28. Dessen Fazit bzgl. des am 1. 1. 2002 in Kraft getretenen Terrorismusbekämpfungsgesetz lautete, es sei ein hinnehmbarer Kompromiss mit einer Reihe datenschutzrechtlicher Fortschritte gegenüber dem Referentenentwurf aus dem BMI (Stand: 12. 10. 2001), S. 27. Hierzu auch Rublack, DuD 2002, S. 202 ff.; Hamm, NJW 2001, S. 3100 f.; Pernice, DuD 2002, S. 207 ff. 190 BT-Drs. 14/9186, S. 131 f. 191 SPD/Bündnis 90/Die GRÜNEN, Koalitionsvertrag 2002 – 2006, online; s.a. BMWA, Informationsgesellschaft Deutschland 2006, online, S. 37. 192 Bekanntmachung der Neufassung des Bundesdatenschutzgesetzes vom 14. Januar 2003 (BGBl. I S. 66 – 88).
162
§ 5 Europäisierung des Datenschutzes
erster Schritt zur grundlegenden Reform des allgemeinen Datenschutzrechts.193 Speziell die sog. e-Privacy-RL 2002/58/EG implizierte die Reorganisation der bei der Nutzung des Internets relevant werdenden Datenschutzbestimmungen.194 Insgesamt stellte sich der durch die Richtlinie ausgelöste Umsetzungsbedarf in Bezug auf das deutsche Datenschutzrecht zwar als überschaubar dar,195 bemerkenswert ist jedoch, dass der in Rede stehende Rechtsakt, der die sog. ISDN-RL ablöste, im Gegensatz zu dieser nicht mehr den Begriff der Telekommunikation, sondern den weiter gefassten Begriff der elektronischen Kommunikation als maßgeblichen Regulierungsbezugspunkt zugrunde legte. Hieraus ließ sich ein Harmonisierungsauftrag in Bezug auf die datenschutzrechtlichen Bestimmungen für Teledienste im TDDSG einerseits und die für Telekommunikationsdienste in der TDSVandererseits ableiten.196 Die Auflösung der „Doppelregulierung“ von IuK-Diensten durch nahezu inhaltsgleiche Regelungen des MDStV und des TDDSG bildete wohl die stärkere Triebfeder für die Reformierung der online-Datenschutzbestimmungen.197 Im Herbst 2004 einigten sich Bund und Länder auf Eckpunkte zur Fortentwicklung der nationalen Medienordnung, die in einen Referentenentwurf für ein Telemediengesetz Eingang fanden.198 Hiernach sollten die Datenschutzregelungen beider Gesetze auf Bundesebene zusammengeführt werden. Der Entwurf wurde zwar aufgrund des vorzeitigen Endes der Legislaturperiode vorerst nicht mehr weiterverfolgt, später jedoch wieder aufgegriffen.199 Gleichwohl verwirklichten die Koalitionspartner in der 15. Legislaturperiode ein anderes datenschutzrelevantes Reformvorhaben. Am 3. Juni 2005 verabschiedete der Deutsche Bundestag das IFG. Dieses Gesetz statuiert einen allgemeinen und grundsätzlich voraussetzungslosen Auskunftsanspruch für Jedermann gegenüber Bundesbehörden in Bezug auf amtliche Informationen. Durch dessen Gewährung sollte die Transparenz staatlicher Entscheidungen erhöht und insoweit die öffentliche Kontrolle sowie der Prozess der demokratischen Meinungs- und Willensbildung
193
Bender, DuD 2003, S. 417 (419). RL 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation), ABl. EG Nr. L vom 31. 7. 2002, 201/37 – 47. 195 Zu den datenschutzrechtlich relevanten Änderungen Husch/Kemmler/Ohlenburg, MMR 2003, S. 139 (147). 196 So auch Ohlenburg, MMR 2003, S. 82 (85). 197 So BT-Drs. 15/4725, S. 27. Zu den Abgrenzungsschwierigkeiten zwischen Tele- und Mediendiensten sowie dem Rundfunkbegriff Hochstein, NJW 1997, S. 2977 ff. 198 Zu den Eckpunkten RDV 2005, S. 81 f.; umfassend hierzu Roßnagel, Neuordnung des Medienrechts. 199 Zur Entstehungsgeschichte des TMG Roßnagel, NVwZ 2007, S. 743 f.; s.a. Hoeren, NJW 2007, S. 801 f. 194
E. Markt und Systemdatenschutz als Datenschutzleitbilder
163
verbessert werden.200 Informationsfreiheit und Datenschutz können in einem Spannungsverhältnis stehen; jener Auskunftsanspruch kann sich eben auch auf personenbezogene Daten beziehen. Die praktische Bedeutung etwaiger Konflikte zwischen Datenschutz und Informationsfreiheit sollte aber nicht übersteigert werden.201 Vielmehr weisen BDSG und IFG bezüglich ihrer jeweiligen Zielrichtung eine gemeinsame Schnittmenge auf: Beide Gesetze sollen Transparenz hinsichtlich des Umgangs mit Daten schaffen, um die Selbstbestimmung des Einzelnen zu stärken und so eine wesentliche Bedingungsvoraussetzung einer demokratischen Gesellschaft schaffen bzw. erhalten. Das IFG legt hierbei das Leitbild des mündigen Bürgers zugrunde, der intrinsisch motiviert Auskunftsbegehren geltend macht und hierbei ggf. institutionelle Unterstützung erfährt. Im Gegensatz dazu sah das Gesetz die Veröffentlichung von Daten i.S.e. „Informationsvorsorge“ durch Behörden lediglich fakultativ vor, § 11 IFG 2005. Umfasst ein Auskunftsbegehren auch personenbezogene Daten, hat die entscheidende Behörde insoweit eine Abwägungsentscheidung zu treffen, § 5 IFG 2005. Diese Entscheidung wird durch differenzierte Wertungen des IFG angeleitet.202 Außerdem erfuhr der Bundesbeauftragte für den Datenschutz durch das Gesetz einen Kompetenzzuwachs. Dieser übernahm nach Inkrafttreten des IFG 2005 das Amt des Bundesbeauftragten für die Informationsfreiheit und hatte als solcher künftig auch den ordnungsgemäßen Vollzug des IFG zu kontrollieren, § 12 IFG 2005.
E. Markt und Systemdatenschutz als Datenschutzleitbilder Bei der Reform des BDSG 1990 stand die Neuausrichtung der datenschutzrechtlichen Vorgaben für den nicht-öffentlichen Bereich im Fokus der gesetzgeberischen Bemühungen. Hierfür waren zwei Entwicklungen von maßgeblicher Bedeutung. Zunächst wurde das allgemeine Datenschutzrecht in den Mitgliedstaaten durch den Erlass der Datenschutzrichtlinie 95/46/EG europäisiert. Jener Richtlinie lag eine binnenmarktorientierte Perspektive zugrunde. Außerdem etablierten sich mit der flächendeckenden Verbreitung des Internets und der damit einhergehenden 200 BT-Drs. 15/4493, S. 6. Siehe a. Bundesregierung, Moderner Staat, online, S. 9; dies., BundOnline 2005, online. Zum internationalen und nationalen Kontext der Informationsfreiheit Kugelmann, DÖV 2005, S. 851 ff. 201 Eher Verbindendes als Trennendes hervorhebend Kloepfer, DÖV 2003, S. 221 ff.; s.a. Roßnagel, MMR 2007, S. 16 ff. 202 Siehe etwa Michael Kloepfer während der öffentlichen Anhörung im Innenausschuss zu dem Gesetzentwurf am 14. 3. 2005, BT-Drs. (A) 15/58, S. 51. Selbst von der Oppositionsfraktion der FDP wurden die datenschutzrechtlichen Regelungen gelobt, BT-Drs. 15/5325, S. 2. Demgegenüber bezeichnete Beatrix Philipp (CDU/CSU) das Gesetz während der zweiten Lesung des Gesetzes als Angriff auf den Datenschutz, BT, 15. WP, Sitzung vom 3. 6. 2006, 16952 (D); krit. auch Martin Ibler, BT-Drs. (A) 15/58, S. 19, 54 f.
164
§ 5 Europäisierung des Datenschutzes
Digitalisierung der Kommunikation weitläufig onlinebasierte Geschäftsmodelle, welche auf die Kommerzialisierung personenbezogener Daten ausgerichtet sind. Parallel hierzu differenzierte sich das bereichsspezifische Datenschutzrecht im Telemediensektor aus. Die Leitbilder, die jene Phase der Datenschutzgesetzgebung prägten, waren entsprechend einerseits das des Marktes und andererseits das des Systemdatenschutzes. Im Rahmen der Arbeiten an der europäischen Datenschutzrichtlinie wurden personenbezogene Daten überwiegend als Gut betrachtet, das Gegenstand von Wertschöpfungsprozessen ist. Insoweit versuchte der europäische Gesetzgeber, den Interessen nicht-öffentlicher datenverarbeitender Stellen an der Gewinnung und Veredelung sowie dem Transport dieses Gutes weitestgehend Rechnung zu tragen; durch die Angleichung datenschutzrechtlicher Bestimmungen in den Mitgliedstaaten sollten potentielle Hemmnisse für die Erhebung, Verarbeitung und Weiterleitung personenbezogener Daten durch nicht-öffentliche Stellen beseitigt werden. Andererseits wurde insoweit auch erstmals eine verbraucherschutzrechtliche Perspektive auf den Datenschutz eröffnet. Diese gewinnt gerade in jüngerer Vergangenheit zunehmend an Bedeutung.203 Die europäische Datenschutzrichtlinie beschränkte sich im Ergebnis weitestgehend auf die „Hochzonung“ der bis dato etablierten mitgliedstaatlichen Datenschutzkonzepte. Diese waren überwiegend als quantitativ zu kennzeichnen. Darüber hinaus beließ die RL 95/46/EG den Mitgliedstaaten bei der Umsetzung ihrer partiell relativ unbestimmten Zielvorgaben weite Umsetzungsspielräume, so dass ernsthafte Zweifel daran berechtigt waren, ob die Richtlinie ihr selbstgestecktes Ziel erreichen würde, einen einheitlichen sowie hohen Datenschutzstandard in der Gemeinschaft zu gewährleisten. Gleichwohl war nach dem Inkrafttreten der Richtlinie das allgemeine nationale Datenschutzrecht richtlinienkonform auszulegen und es wurde insoweit die Kompetenz des EuGH zur Überprüfung mitgliedstaatlicher Datenschutzbestimmungen eröffnet.204 Im Folgenden wurde Datenschutz als integraler Bestandteil der europäischen Grundrechtsgemeinschaft anerkannt und gingen von der Rechtsprechung des EuGH wichtige Impulse für seine Verwirklichung aus.205 Weiterhin ist zu berücksichtigen, dass die europäische Datenschutzrichtlinie nicht die einzige legislative Maßnahme der Gemeinschaft zur Gewährleistung des Datenschutzes bildete. Diese engagierte sich auch im Telekommunikationssektor und 203 Zu dem Verhältnis von Datenschutz- und Verbraucherrecht s. von Lewinski/Herrmann, PinG 2017, S. 165 ff. und S. 209 ff. 204 Zur richtlinienkonformen Auslegung des nationalen Datenschutzrechts Klug, RDV 2001, S. 266 ff. 205 Siehe etwa EuGH, C-582/14, NJW 2016, S. 3579 ff. – dynamische IP-Adressen; EuGH, C-362/14, NJW 2015, S. 3151 ff. – Schrems I; EuGH, C-131/12, NJW 2014, S. 2257 ff. – Google Spain; EuGH, C-293/12 u. a., NJW 2014, S. 2169 ff. – Digital Rights Irland; überblicksartig Brkan/Psychogiopoulou (Hrsg.), Courts, Privacy and Data Protection in the Digital Environment; s.a. Skouris, NVwZ 2016, S. 1359 ff.
E. Markt und Systemdatenschutz als Datenschutzleitbilder
165
im Bereich der Informationssicherheit.206 Hier verwirklichte sie bereits verstärkt qualitative Datenschutzelemente, namentlich den Ansatz Privacy by Design sowie die Grundsätze der Datenvermeidung und -sparsamkeit, der regulierten Selbstregulierung und der risikoadäquaten Regulierung. Zu diesem Zweck wurden auch die Normung bzw. Standardisierung fruchtbar gemacht. Im Ergebnis bildete zunächst aber weder das allgemeine noch das bereichsspezifische Datenschutzengagement der Europäischen Gemeinschaft den wesentlichen Impuls zur Fortentwicklung des nationalen Datenschutzrechts. Im Ergebnis war das BDSG 2001 lediglich Ausdruck minimaler Anpassungsbemühungen im Hinblick auf das europäische Datenschutzregime. Parallel zu der Umsetzung der RL 95/46/EG arbeitete der Bundesgesetzgeber im Rahmen des Gesetzes über den Datenschutz bei Telediensten, das eines der Kernstücke des Informations- und Kommunikationsdienste-Gesetzes darstellte, an der bereichsspezifischen Regulierung von Telediensten. Hierbei sollte dem Zusammenwachsen von Computern, Telekommunikationsdiensten und audiovisuellen Techniken zu multimedialen Technologien Rechnung getragen werden. Bei der Ausarbeitung des Gesetzes über den Datenschutz bei Telediensten konnte der Bundesgesetzgeber bereits auf Erkenntnisse aus den Gesetzgebungsverfahren, welche in den Erlass des Telekommunikationsgesetzes 1996 sowie des Mediendienste-Staatsvertrags 1997 mündeten, zurückgreifen. Im Kontext dieser Gesetzesinitiativen wurde zunehmend konsequenter der Anspruch formuliert, Datenschutzrecht müsse Gestaltungsanforderungen an Datenverarbeitungstechniken und -verfahren normieren, denn Datenschutz sei lediglich durch eine Kooperation von Recht und Technik effektiv zu verwirklichen. Im Rahmen jener bereichsspezifischen Gesetze wurde dieser Erkenntnis einerseits durch die Statuierung des Grundsatzes der Datenvermeidung und -sparsamkeit sowie von Vorgaben über Datenschutzaudits und Sicherheitskonzepte Rechnung getragen. Andererseits wurde sie durch die Differenzierung verschiedener Kategorien personenbezogener Daten und damit der Anerkennung unterschiedlicher Risikopotentiale bei der Datenverarbeitung berücksichtigt. Insgesamt prägte das Leitbild des Systemdatenschutzes, dem zufolge Datenschutz bereits bei der Entwicklung und während des gesamten Lebenszyklus datenverarbeitender Technologien Rechnung zu tragen ist, diesen bereichsspezifischen Datenschutzdiskurs. Die insofern erzielten konzeptionellen Fortschritte wurden auch bei der gesetzgeberischen Debatte über die Reform des BDSG 1990 aufgegriffen, wie namentlich das dargestellte Eckwertepapier der SPD-Fraktion „Modernes Datenschutzrecht für die (globale) Wissens- und Informationsgesellschaft“ aus dem Jahre 1998 und ferner die Gesetzesinitiative der Fraktion Bündnis 90/Die GRÜNEN vom 14. November
206
III. 3.
Zur RL 97/66/EG § 5 D. III. 2. d). Zum Ratsbeschluss Informationssicherheit § 5 B.
166
§ 5 Europäisierung des Datenschutzes
1997 veranschaulichten.207 Dennoch konnten sich diese Ansätze bei der Reform des allgemeinen Datenschutzrechts im Ergebnis nicht durchsetzen. Letztlich war das BDSG 2001 Ausdruck minimaler Bemühungen sowohl der Anpassung an das europäische Datenschutzregime als auch der Modernisierung des Datenschutzrechts angesichts des technischen Fortschritts. Modern muteten lediglich § 3a BDSG 2001, welcher den Grundsatz der Datenvermeidung und -sparsamkeit normierte, sowie § 9a BDSG 2001, der sich mit Datenschutz-Audits auseinandersetzte, an. Gemäß der zuletzt genannten Vorschrift sollte es Anbietern von Datenverarbeitungssystemen und -programmen sowie datenverarbeitenden Stellen freistehen, ihre Datenschutzkonzepte und technischen Einrichtungen von unabhängigen Auditoren prüfen und bewerten zu lassen. Jene Regelung blieb aber ohne ein Ausführungsgesetz und damit ohne einen praktischen Anwendungsbereich. Die Aufnahme von technischen Gestaltungsanforderungen bzw. des Grundsatzes der Datenvermeidung und -sparsamkeit in § 3a BDSG 2001 ist hingegen grundsätzlich positiv zu bewerten. Dennoch gilt es insoweit festzustellen, dass diese Vorgabe datenverarbeitenden Stellen keine Motivation vermittelte, sich entsprechend zu verhalten. Die Verletzung des § 3a BDSG 2001 war weder bußgeld- oder strafbewehrt noch bestanden Privilegierungen angesichts seiner Verwirklichung. Im Ergebnis stellte sich damit die überschaubare Fortentwicklung des allgemeinen Datenschutzrechts vor dem Hintergrund der flächendeckenden Verbreitung des Internets und onlinebasierter Informations- und Kommunikationsdienste als fatal für die Verwirklichung des Datenschutzes dar. Die zunehmende Anerkennung qualitativer Datenschutzelemente im gesetzgeberischen Datenschutzdiskurs deutete zwar eine Abkehr von einem als quantitativ zu beschreibenden Datenschutzrecht an, jener Wandel vollzog sich allerdings nicht konsequent und mit erheblicher Verzögerung.
207 Vogt/Tauss, Eckwertepapier, online; BT-Drs. 13/9082 (Gesetzentwurf der Fraktion Bündnis 90/Die GRÜNEN).
§ 6 E-Privacy als neues Datenschutzleitbild Infolge der Bundestagswahl vom 18. September 2005 bildete sich eine große Koalition. Deren Koalitionsvertrag stellte – im Gegensatz zu der durch die Vorgängerregierung angekündigten umfassenden Modernisierung – lediglich eine partielle Überprüfung, Überarbeitung und Fortentwicklung des Datenschutzrechts in Aussicht.1 Außerdem sollte hiernach eruiert werden, ob und ggf. inwiefern datenschutzrechtliche Vorgaben der effektiven Bekämpfung von Terrorismus und Kriminalität entgegenstehen.2 Diese Absichten der Koalitionspartner verpassten der Hoffnung, in der neuen Legislaturperiode könnte die Modernisierung des Datenschutzrechts einen wesentlichen Schub erfahren, zunächst einen eindeutigen Dämpfer. Gleichzeitig stellte sich die Fortentwicklung des gesetzgeberischen Datenschutzkonzepts aufgrund der flächendeckenden Verbreitung des Internets und der damit einhergehenden digitalen und vernetzten Durchdringung aller Lebensbereiche zusehends dringlicher dar.3 Außerdem wurde mit dem verfassungsgerichtlichen Urteil zur sog. Online-Durchsuchung vom 27. Februar 2008 das Grundrecht auf Vertraulichkeit und Integrität informationstechnischer Systeme etabliert. Aus diesem lässt sich ein neuartiger verfassungsrechtlicher Anspruch an die gesetzgeberische Regelung des Datenschutzes ableiten.4 Im Folgenden werden eingangs Gesetzesinitiativen zur Änderung des BDSG 2003 dargestellt. Zu jenen zählen namentlich das Mittelstandsentlastungsgesetz I, die Datenschutznovellen I-III sowie die Gesetze zur Stärkung der Datenschutzaufsicht und der Verbandsklagemöglichkeiten im Datenschutzrecht. Weiterhin gilt es, die gesetzgeberischen Maßnahmen zu untersuchen, die einen wirksamen Datenschutz bei der Nutzung des Internets sicherstellen sollten.5 Hierzu gehören insbesondere der Versuch der datenschutzrechtlichen Regulierung internetbasierter Geodienste sowie die Rote-Linie-Initiative der Bundesregierung. Außerdem wird die Entscheidung des BVerfG zur Online-Durchsuchung, welche als Ausdruck eines verfassungsrechtlichen Leitbildwandels mit zentraler Bedeutung für den Datenschutz qualifiziert werden kann, analysiert und nach deren gesetzge1
CDU/CSU/SPD, Gemeinsam für Deutschland, online, S. 109. CDU/CSU/SPD, Gemeinsam für Deutschland, online, S. 116. 3 Hierzu Géczy-Sparwasser, Die Gesetzgebungsgeschichte des Internet, S. 84 ff.; Worms, RuP 2009, S. 138 ff. 4 BVerfG, 1 BvR 370, 595/07, BVerfGE 120, 274 – Online Durchsuchung. 5 Maßgebliche Topoi des „Cyberlaw“ darstellend Hoeren, NJW 1998, S. 2849 ff. 2
168
§ 6 E-Privacy als neues Datenschutzleitbild
berischen Konsequenzen gefragt.6 Zu diesem Zweck werden die Gesetzgebungsverfahren zur Einführung des elektronischen Personalausweises sowie von De-MailDiensten und das IT-Sicherheitsgesetz untersucht. Im Ergebnis soll so die Frage beantwortet werden, ob und eventuell in welcher Hinsicht sich das Datenschutzleitbild des Bundesgesetzgebers vor dem Hintergrund gewandelter technischer, rechtlicher und sozialer Ausgangsbedingungen entwickelte und dadurch die Verwirklichung qualitativen Datenschutzrechts förderte.
A. Das Mittelstandsentlastungsgesetz I In der 16. Legislaturperiode brachte der Bundesrat die erste Gesetzesinitiative zur Änderung des BDSG 2003 in den Bundestag ein.7 Deren zentrales Anliegen bildete die Befreiung kleiner und mittelständischer Unternehmen von datenschutzrechtlichen Verpflichtungen. Namentlich sollten die alternativ bestehenden Pflichten zur Bestellung eines betrieblichen Datenschutzbeauftragten und zur Meldung bei der Aufsichtsbehörde künftig lediglich für Unternehmen, welche mehr als neunzehn Mitarbeiter mit der automatisierten Verarbeitung personenbezogener Daten betrauen, gelten.8 Der Regierungsentwurf des MEG I griff diesen Vorschlag des Bundesrates auf.9 Auch wenn hier der Schwellenwert bei neun Mitarbeitern angesetzt wurde, sah auch dieser die ersatzlose Streichung der in Rede stehenden Verpflichtungen für unterhalb des Schwellenwerts liegende Unternehmen vor, mithin einen erheblichen und kompensationslosen Eingriff in das etablierte datenschutzrechtliche Kontrollregime. Die Begründung des Regierungsentwurfs ging davon aus, solche Unternehmen wickelten i. d. R. ein im Hinblick auf den Datenschutz weniger belastendes Massengeschäft ab.10 Angesichts der technologischen Entwicklungen war diese Vermutung jedoch kaum belastbar. Selbst wenn man die Effektivität des betrieblichen Datenschutzbeauftragten als Instrument der Selbstkontrolle bzw. der Meldepflicht als eines der institutionellen Fremdkontrolle in Frage stellt oder davon ausgeht,11 dass jene Pflichten kleine und mittelständische Unternehmen überlasteten, liegt es aus datenschutzrechtlicher Perspektive näher, jene Instrumente weiterzuentwickeln oder 6
BVerfG, 1 BvR 370, 595/07, BVerfGE 120, 274 – Online-Durchsuchung. BT-Drs. 16/31. 8 Nach dem BDSG 2001 lag der maßgebliche Beschäftigtenschwellenwert bei vier Mitarbeitern mit entsprechenden Tätigkeiten, § 4 f Abs. 1 S. 4 BDSG 2001. 9 BT-Drs. 16/1853; s.a. den inhaltsgleichen Entwurf der Regierungsfraktionen BT-Drs. 16/ 1407. 10 BT-Drs. 16/1407, S. 9. 11 Nach Ansicht von Kranig/Peintinger wirken betriebliche bzw. behördliche Datenschutzbeauftragte in großem Umfang erfolgreich auf die Einhaltung datenschutzrechtlicher Vorschriften hin, Kranig/Peintinger, ZD 2014, S. 3 (9). 7
B. Die Datenschutznovellen I und III – Scoring
169
zu ersetzen, anstatt sie für den Großteil des nicht-öffentlichen Sektors für unanwendbar zu erklären.12 Die von der Bundesregierung geplanten Änderungen waren außerdem mit den Vorgaben der europäischen Datenschutzrichtlinie 95/46/EG nicht vereinbar, denn diese sah keine Bagatellgrenze bzgl. der genannten Verpflichtungen vor.13 Gleichwohl wurde das BDSG 2003 entsprechend dem Regierungsvorschlag geändert.14 Abgesehen von der hohen praktischen Relevanz dieser gesetzgeberischen Entscheidung ist bemerkenswert, dass im Laufe des Gesetzgebungsverfahrens das Datenschutzrecht bzw. dessen Aufsichtsregime überwiegend nicht als ein komplexes System wahrgenommen wurde, bei dem wesentliche Änderungen zulasten der Kontrollierbarkeit datenverarbeitender Stellen durch andere Mechanismen zu kompensieren sind oder zumindest gut abgewogen werden müssen. Anstatt das Kontrollkonzept des BDSG 2003 an einem risikobasierten Ansatz auszurichten,15 wurde letztlich ein Ansatz verwirklicht, der einseitig unternehmerische Interessen begünstigte. Insgesamt stellten sich hiernach datenschutzrechtliche Vorgaben als zusätzliche Belastungen der Wirtschaft dar, die man sich in konjunkturschwachen Zeiten nicht leisten könne.
B. Die Datenschutznovellen I und III – Scoring Bereits zu Beginn der 16. Legislaturperiode ereignete sich eine breite öffentliche Diskussion über die Diskriminierungspotentiale, welche Scoring-Verfahren immanent sind.16 Insbesondere das sog. Geo-Scoring, bei dem der Wohnsitz einer Person einen wesentlichen Faktor bei der Ermittlung ihrer Kreditwürdigkeit bildet, wurde insoweit problematisiert.17 Nachdem solche Verfahren und die Weitergabe personenbezogener Daten an Auskunfteien in diesem Kontext zunächst im Rahmen einer Kleinen Anfrage sowie eines parlamentarischen Entschließungsantrags der Oppo12 Laut Statistischem Bundesamt beschäftigten zum damaligen Zeitpunkt weniger als 90 % der deutschen Unternehmen überhaupt mehr als neun Mitarbeiter, so BfD, 21. TB, S. 18. 13 BfD, 21. TB, S. 18 f. 14 Erstes Gesetz zum Abbau bürokratischer Hemmnisse insbesondere in der mittelständischen Wirtschaft vom 22. August 2006 (BGBl. I S. 1970 – 1974). Zu weiteren datenschutzrelevanten Änderungen des MEG I s. Gola/Klug, NJW 2007, S. 118 ff. 15 Zum risikobasierten Ansatz im Datenschutzrecht Thoma, ZD 2013, S. 578 ff.; Veil, ZD 2015, S. 347 ff.; vgl. auch Friedewald u. a., Datenschutz-Folgenabschätzung – Ein Werkzeug für einen besseren Datenschutz, online. 16 Dazu überblicksartig Weichert, Scoring, in: Müller-Heidelberg u. a. (Hrsg.), Grundrechte-Report 2006, S. 37 ff.; umfassend Kamp/Weichert, Scoringsysteme zur Beurteilung der Kreditwürdigkeit, online; s.a. Iraschko-Luscher, DuD 2005, S. 467 ff.; Petri, DuD 2003, S. 631 ff.; Weichert, DuD 2005, S. 582 ff. 17 Conrad, in: Auer-Reinsdorff/Conrad (Hrsg.), Handbuch IT- und Datenschutzrecht, § 34 Rn. 499 – 502.
170
§ 6 E-Privacy als neues Datenschutzleitbild
sitionsfraktionen gesetzgeberische Aufmerksamkeit fanden,18 brachte schließlich die Bundesregierung am 10. Oktober 2008 einen Gesetzentwurf in den Bundestag ein, der die informationelle Grundlage von Scoring-Verfahren und die Bedingungen ihres Einsatzes regeln sollte.19 Die Gesetzesinitiative verfolgte im Wesentlichen zwei Ziele: Einerseits sollten Scoring-Verfahren für die Person, auf die sich der jeweilige Score bezieht, transparenter werden, andererseits sollte Rechtssicherheit für die Anwender dieser Verfahren geschaffen werden.20 Hierzu formulierte der Entwurf mit § 28b BDSG-E einen speziellen datenschutzrechtlichen Erlaubnistatbestand. Dieser sollte dann einschlägig sein, wenn Wahrscheinlichkeitswerte für die Entscheidung über die Begründung, Durchführung oder Beendigung eines Vertragsverhältnisses erstellt oder benutzt werden. Diese umfassende Formulierung implizierte, dass ScoringVerfahren nicht nur im Kredit-, sondern beispielsweise auch im Gesundheits- und Versicherungssektor grundsätzlich zulässigerweise eingesetzt werden können. Prinzipiell schloss der Vorschlag auch keine Daten, etwa Adressdaten, als informationelle Grundlage von Scoring-Verfahren aus. Hiernach sollten lediglich die verschiedenen Daten, die der Bildung eines Scores zugrunde liegen, offengelegt werden müssen.21 Mithin sah die Gesetzesinitiative zum Schutz der Betroffenen keine gesetzlichen Restriktionen, sondern die Statuierung von Unterrichtungspflichten bzw. Auskunftsrechten vor. Um die Transparenz von Score-Verfahren zu erhöhen bzw. überhaupt erst herzustellen, wurde außerdem anvisiert, den Datenfluss zwischen Auskunfteien und Kreditinstituten bestimmten Anforderungen zu unterwerfen, s. § 28a BDSG-E.22 Letztlich wird sich der Betroffene im Zweifel erst für seinen Score und dessen Zustandekommen interessieren, wenn es seinetwegen nicht zu einem Vertragsabschluss bzw. zu einem solchen mit für ihn ungünstigen Konditionen gekommen ist. Auskunftsansprüche und weitere Transparenzpflichten bilden dann die Ausgangsbasis dafür, die künftige Verhandlungsposition zu verbessern, der konkrete Vertragsabschluss ist aber i. d. R. „verloren“. Obwohl sich der Entwurf insoweit unbefriedigend darstellte, vollzog sich hier dennoch ein bemerkenswerter perspektivischer und terminologischer Wandel: Schienen die Gefährdungspotentiale der Datenverarbeitung zumindest im nicht-öffentlichen Bereich bislang oftmals abstrakt, 18 Siehe die Kleine Anfrage der FDP „Datenweitergabe und Score- und Rating-Verfahren“, BT-Drs. 16/596, sowie die Antwort der BReg hierauf, BT-Drs. 16/866; s.a. Entschließungsantrag der Fraktion Bündnis 90/Die GRÜNEN „Mehr Datenschutz beim sogenannten Scoring“, BT-Drs. 16/683. 19 BT-Drs. 16/10529. Krit. zu dem Entwurf Piltz/Holländer, ZRP 2008, S. 143 ff. 20 Die Definition von Scoring-Verfahren in dem Entwurf lautete: Scoring-Verfahren sind „mathematisch-statistische Verfahren zur Berechnung der Wahrscheinlichkeit, mit der eine bestimmte Person ein bestimmtes Verhalten zeigen wird“, BT-Drs. 16/10529, S. 1. 21 Zu den einzelnen Anforderungen Behm, RDV 2010, S. 61 ff.; s.a. Gürtler/Kriese, RDV 2010, S. 47 ff. 22 Dazu Roßnagel, NJW 2009, S. 2716 (2718).
B. Die Datenschutznovellen I und III – Scoring
171
konkretisierten sich diese im Rahmen der Scoring-Debatte zusehends, da dem Betroffenen quantifizierbare wirtschaftliche Nachteile drohen, wenn personenbezogene Daten unreguliert zwischen Auskunfteien und Ratingagenturen ausgetauscht und mithilfe mathematischer Verfahren ausgewertet werden, um deren informationellen und damit letztlich deren ökonomischen Vorsprung auszubauen.23 Diese Konkretisierung schlug sich auch terminologisch nieder; Betroffene wurde nunmehr als Verbraucher bezeichnet. Damit lag es nahe, auch die Instrumente des Verbraucherschutzrechts im Datenschutzrecht fruchtbar zu machen. Für diesen Ansatz machte sich insbesondere der Bundesrat in seiner Stellungnahme zu dem Regierungsentwurf stark. Dieser schlug u. a. vor, das Datenschutzrecht gesetzlich als Verbraucherschutzrecht anzuerkennen, um Verbraucherschutzverbänden entsprechende Klagerechte zu verschaffen.24 Die parlamentarische Arbeit an dem Gesetzentwurf trug nicht wesentlich zu seiner Änderung bei. Innovative Ansätze eines Änderungsantrags der Fraktion Bündnis 90/Die GRÜNEN, etwa die Einrichtung eines Bürgerportals, welches der schnellen Befriedigung von Auskunftsbegehren Betroffener dienen und durch Auskunfteien nach Maßgabe einer Rechtsverordnung des BMI betrieben werden sollte, wurden ebenso durch die regierungsbildenden Fraktionen abgelehnt, wie der Vorschlag, Scoring-Verfahren grundsätzlich nur im Kreditsektor zuzulassen.25 Im Ergebnis legalisierte der in der Fassung des Innenausschusses angenommene Regierungsentwurf weitestgehend die bisherige Praxis des Einsatzes von Score-Verfahren anstatt diese zu gestalten bzw. effektiv vor Diskriminierungen zu schützen. Dieser Umstand war nicht zuletzt auf die starke Einflussnahme der Wirtschaftslobby zurückzuführen.26 Kurz nachdem der Bundestag die Datenschutznovelle I beschlossen hatte, stimmte er am 2. Juli 2009 auch der Datenschutznovelle III zu. Letztere diente der Umsetzung der europäischen Verbraucherkreditrichtlinie.27 Nach dieser sollte einerseits innerhalb der EU der diskriminierungsfreie Zugang aller Kreditgeber zu personenbezogenen Daten gewährleistet werden. Andererseits sollte hiernach der Verbraucherschutz durch umfassende Informationspflichten kreditgebender Stellen verbessert werden. Um diese Ziele zu erreichen, wurden § 29 Abs. 6 und 7 in das 23
In den USA bildete die Debatte über die „faire Kreditvergabe“ einen maßgeblichen Anstoß für die Datenschutzgesetzgebung, welche Ausdruck im Fair Credit Reporting Act 1970 fand. Dazu Miller, The Assault on Privacy, S. 67 ff. 24 Siehe 4. Anlage des Regierungsentwurfs BT-Drs. 16/10529, S. 31; gegen eine allgemein verbraucherschützende Wirkung des BDSG Plath, in: Plath (ders.), BDSG, § 1 Rn. 15. 25 Siehe Änderungsantrag der Fraktion Bündnis 90/Die GRÜNEN, BT-Drs. 13/13219, S. 6. 26 Diesen letzten Schluss zieht auch Roßnagel, NJW 2009, S. 2716 (2722). Zu der BDSG Novelle I auch Hoeren, VuR 2009, S. 363 ff.; Metz, VuR 2009, S. 403 ff.; ULD (Hrsg.), Scoring nach der Datenschutz-Novelle 2009, online. 27 RL 2008/48/EG des Europäischen Parlaments und des Rates vom 23. April 2008 über Verbraucherkreditverträge und die Aufhebung der Richtlinie 87/102/EWG des Rates, ABl. EU Nr. L vom 22. 5. 2008, 133/66 – 92.
172
§ 6 E-Privacy als neues Datenschutzleitbild
BDSG eingefügt.28 Gem. § 29 Abs. 6 BDSG sind Auskunftsanfragen an Auskunfteien von Kreditgebern, die in anderen Mitgliedstaaten ansässig sind, genauso zu behandeln wie solche inländischer Kreditgeber. Gem. § 29 Abs. 7 BDSG hat eine kreditgebende Stelle, die einen Verbraucherdarlehensvertrag oder einen Vertrag über eine unentgeltliche Finanzierungshilfe mit einem Verbraucher aufgrund der Auskunft einer Auskunftei ablehnt, diesen hierüber sowie über den Inhalt der entsprechenden Auskunft unverzüglich zu informieren. Im Ergebnis wurde im Rahmen der Datenschutznovelle III – angestoßen durch den europäischen Gesetzgeber – Datenschutz noch expliziter als bereits zuvor als Verbraucherschutzrecht qualifiziert und wurden dieser Logik entsprechend die Transparenzpflichten datenverarbeitender Stellen erhöht.29
C. Die Datenschutznovelle II – Datenschutzaudit, Adresshandel und Beschäftigtendatenschutz I. Die Gesetzesinitiative der Bundesregierung In den Jahren 2007 und 2008 wurde eine Vielzahl von Fällen bekannt, in denen auf schwerwiegende Weise und in großem Umfang datenschutzrechtliche Vorgaben verletzt wurden. Namentlich der Handel mit Bankverbindungsdaten und die systematische Mitarbeiterüberwachung durch Unternehmen wie LIDL, die Deutsche Telekom und die Deutsche Bahn wurden publik.30 Als Reaktion auf diese Datenskandale veranstaltete der damalige Bundesinnenminister Wolfgang Schäuble am 4. September 2008 einen Datenschutzgipfel in Berlin.31 Die Ergebnisse dieses Treffens von Regierungsmitgliedern und Datenschutzexperten flossen in den Regierungsentwurf der Datenschutznovelle II ein.32 Da sich die Datenskandale überwiegend im nicht-öffentlichen Bereich ereigneten, konzentrierte sich auch dieser Entwurf auf die Regulierung der Datenverarbeitung im privaten Sektor. Der Vor-
28 Gesetz zur Umsetzung der Verbraucherkreditrichtlinie, des zivilrechtlichen Teils der Zahlungsdiensterichtlinie sowie zur Neuordnung der Vorschriften über das Widerrufs- und Rückgaberecht vom 29. Juli 2009, BGBl. I S. 2355 – 2408 (2384). 29 Zum Verhältnis von Datenschutz und Transparenz Gusy/Schulte, Datenschutz durch Transparenz im Kontext der DS-GVO, in: Dix u. a. (Hrsg.), JBInfoR 2017 (im Erscheinen); s.a. Caspar, DÖV 2013, S. 371 (374 f.); Schaar, JBRE 2015, S. 245 ff. 30 Nahezu in der gesamten wesentlichen Welt ereignete sich während dieses Zeitraums eine Vielzahl von öffentlichkeitswirksamen „Datenskandalen“. Zu diesen und insb. zu solchen in Großbritannien Cannataci/Mifsud-Bonnici, International Review of Law, Computers and Technology 2009, S. 46 ff. Krit. gegenüber sog. scandal-driven legislation im Datenschutzsektor Dahlke, ZD 2012, S. 353 f. 31 Kuhr/Widmann, Im Revier der Datenjäger, SZ vom 17. 5. 2010, online. 32 BT-Drs. 16/12011. Zur Entstehungsgeschichte des Entwurfs Wuermeling, NJW 37/2009, S. III.
C. Die Datenschutznovelle II
173
schlag sah hier die Implementierung neuer datenschutzrechtlicher Instrumente sowie die Verschärfung bereits etablierter Mechanismen vor. Einen zentralen Ansatz der Gesetzesinitiative bildete die Fruchtbarmachung marktmäßiger Mechanismen im Datenschutzrecht, insbesondere sah der Entwurf den Erlass eines Datenschutzauditgesetzes vor.33 Dieses sollte die bereits 2001 in das BDSG aufgenommene und bislang ohne praktische Relevanz gebliebene Vorschrift über Datenschutzaudits ersetzen. Die Bundesregierung plante, durch die gesetzliche Etablierung eines Datenschutz-Gütesiegels einen zusätzlichen Anreiz für nicht-öffentliche Stellen zu schaffen, datenschutzrechtlichen Bestimmungen gerecht zu werden und in überobligatorischer Weise Datenschutz- und Datensicherheitsziele zu realisieren. Jene Ziele sollten durch einen zu errichtenden Auditausschuss festgelegt werden und namentlich die Transparenz der Datenverarbeitung, die Stellung des betrieblichen Datenschutzbeauftragten, die Grundsätze der Datenvermeidung und -sparsamkeit sowie technische und organisatorische Schutzmaßnahmen betreffen.34 So sollten sowohl Datenschutzstandards etabliert als auch das Datenschutzrecht fortentwickelt werden. Gleichwohl versäumte es der Entwurf – im Gegensatz zu der umfassenden Regelung des Akkreditierungsverfahrens für Auditoren –, das eigentliche Kontrollverfahren oder zumindest Maßstäbe hierfür festzulegen. Kritikwürdig war insoweit außerdem, dass anstelle eines positiven Prüfergebnisses lediglich eine Anzeige bei dem Bundesbeauftragten für den Datenschutz und eine potentiell erfolgende Überprüfung durch einen Auditor die ausreichende Legitimation dafür bieten sollten, das Datenschutz-Gütesiegel führen zu dürfen, § 1 S. 2 Nr. 4 i.V.m. § 9 Abs. 1 S. 1 DSAG-E. Auch im Bereich des Adresshandels sah der Entwurf wesentliche Änderungen vor. In erster Linie sollte das sog. Listenprivileg, dem zufolge die Verarbeitung bestimmter, listenmäßig zusammengefasster personenbezogener Daten zum Zwecke der Werbung sowie der Markt- und Meinungsforschung grundsätzlich gem. § 28 Abs. 3 S. 1 Nr. 3 BDSG 2003 erlaubt war, abgeschafft werden. Im Regierungsentwurf wurde eingestanden, diese Regelung habe dazu beigetragen, dass personenbezogene Daten weitläufig zum Erwerb angeboten sowie ohne Berücksichtigung des Zweckbindungsgrundsatzes verarbeitet und mit anderen Daten verknüpft wurden.35 Daher sollte künftig auch die Verarbeitung solcher Daten lediglich durch die Einwilligung des Betroffenen – folglich gemäß der sog. opt-in-Lösung – oder ausnahmsweise durch das BDSG legitimiert werden können. Ergänzend war die Sta33 Siehe hierzu bereits die Entschließungsanträge der Oppositionsfraktionen „DatenschutzAudit-Verfahren und Datenschutz-Gütesiegel einheitlich regeln“ (FDP), BT-Drs. 16/1169; „Datenschutzaudit umsetzen – Gütesiegel stärkt Bürgerrechte und schafft Akzeptanz für wirtschaftliche Innovationen“ (Bündnis 90/Die GRÜNEN), BT-Drs. 16/1499; „Datenschutz stärken – Bewusstsein schaffen – Missbrauch vorbeugen“ (Bündnis 90/DIE GRÜNEN), BTDrs. 16/10216, S. 2 f. S.a. die öffentliche Anhörung des Innenausschusses „Modernisierung des Datenschutzes“, BT-Drs. (A) 16/32, S. 38 ff. 34 BT-Drs. 16/12011, S. 10 § 11. 35 BT-Drs. 16/10529, S. 9.
174
§ 6 E-Privacy als neues Datenschutzleitbild
tuierung eines Kopplungsverbots für marktbeherrschende Unternehmen vorgesehen. Hiernach sollte es diesen verboten werden, den Abschluss eines Vertrages über eine Leistung auch davon abhängig zu machen, dass personenbezogene Daten für Zwecke der Markt- und Meinungsforschung sowie der Werbung benutzt werden dürfen, wenn dem Betroffenen ein anderweitiger Zugang zu vergleichbaren Leistungen nicht in zumutbarer Weise möglich ist.36 Außerdem sollte eine Informationspflicht nicht-öffentlicher Stellen zugunsten Betroffener und der Aufsichtsbehörden bei sog. Datenpannen nach US-amerikanischem Vorbild statuiert werden.37 Diese sollte immer dann relevant werden, wenn die verantwortliche Stelle feststellt, dass personenbezogene Daten rechtswidrig übermittelt wurden oder auf andere Weise Dritten ungerechtfertigterweise zur Kenntnis gelangt sind. Gleichwohl war diese Verpflichtung auf den Verlust besonders sensibler Daten und die damit einhergehende Möglichkeit einer schwerwiegenden Beeinträchtigung der Rechte oder schutzwürdigen Interessen Betroffener beschränkt. Schließlich sollten dem Entwurf entsprechend der Kündigungsschutz betrieblicher Datenschutzbeauftragter verbessert und die Bußgeldtatbestände des BDSG verschärft werden.38 Auch in diesem Entwurf wurden die Bezeichnungen Betroffener und Verbraucher konsequent synonym gebraucht. Dies lässt den Schluss zu, dass sich das nicht-öffentliche Datenschutzrecht mittlerweile grundsätzlich als Verbraucherschutzrecht im gesetzgeberischen Datenschutzleitbild etabliert hatte. Dieser Entwicklung wurde dem Bundesrat zufolge aber nicht ausreichend Rechnung getragen. Neben einer umfassenden Kritik an dem als bürokratisch, kostenträchtig und nicht transparent bezeichneten Vorschlag eines Auditgesetzes unterbreitete dieser in seiner Stellungnahme zu dem Gesetzentwurf einige konzeptionelle Modernisierungsvorschläge und griff insoweit auf das von Roßnagel, Garstka und Pfitzmann erstattete Modernisierungsgutachten zurück.39 Außer der gezielten Reduktion bereichsspezifischer Datenschutzbestimmungen und der stärkeren Einbeziehung der Informationstechnik in das gesetzgeberische Datenschutzkonzept forderte der Bundesrat auch die ausdrückliche Anerkennung des Datenschutzrechts als Verbraucherschutzrecht i.S.d. UKlaG.40 Schließlich bat dieser den Bundestag, zu prüfen, ob der Maßnahmenkatalog in der Anlage zu § 9 BDSG 2003 durch die Statuierung von Sicher36
BT-Drs. 16/12011, S. 33. Dieser Ansatz fand auch bereits auf europäischer Ebene Anerkennung, KOM(2007)698, S. 5 f. Zu solchen Informationspflichten Eckhardt/Schmitz, DuD 2010, S. 390 ff.; Ernst, DuD 2010, S. 472 ff.; Hanloser, CCZ 2010, S. 25 ff. 38 Krit. zum Kündigungsschutz des betrieblichen Datenschutzbeauftragten nach der Datenschutznovelle Däubler, DuD 2010, S. 20 ff.; Gehlhaar, NZA 2010, S. 373 ff.; krit. gegenüber der Effektivität der schlichten Erhöhung von Bußgeldtatbeständen im Datenschutzrecht Holländer, RDV 2009, S. 215 ff. 39 BT-Drs. 16/12011, Anlage 3, S. 38. Roßnagel/Pfitzmann/Garstka, Modernisierung des Datenschutzes. Dazu § 5 C. III. 2. c). 40 BT-Drs. 16/12011, Anlage 3, S. 49. 37
C. Die Datenschutznovelle II
175
heitszielen wie der Gewährleistung der Vertraulichkeit, Integrität, Verfügbarkeit, Authentizität, Revisionsfähigkeit und Transparenz ersetzt werden könnte. Jene Ziele seien technikneutral und ließen sich daher den Anforderungen der modernen, sich ständig fortentwickelnden IT besser anpassen als die bislang normierten Vorgaben.41 Diesen Vorschlägen erteilte die Bundesregierung in ihrer Gegenäußerung eine eindeutige Absage; bei der in Rede stehenden Novelle des Datenschutzrechts wolle sie sich auf Probleme des Adresshandels konzentrieren und strebe gegenwärtig eben keine umfassende Änderung des BDSG an.42 Trotz seines limitierten Zuschnitts beinhaltete der Entwurf insgesamt einige anerkennenswerte Neuerung. Diese wurden aber mit zahlreichen Restriktionen versehen, die nicht geeignet waren, das Datenschutzrecht leichter handhabbar zu machen. Bemerkenswert ist außerdem, dass sich die überwiegende Zahl der angesprochenen Datenskandale nicht in einer rechtlichen Grauzone abspielte, sondern vielmehr Vollzugs- und Kontrolldefizite des bestehenden Datenschutzrechts demonstrierte. Dennoch wurde eine naheliegende Reaktion hierauf, nämlich die Stärkung des (Fremd-)Kontrollregimes im Datenschutzrecht, nicht angedacht.
II. Der Entwurf im Parlament Während der parlamentarischen Auseinandersetzung mit dem Gesetzentwurf stellte sich das sog. Listenprivileg als die am umstrittenste Regelung dar. Gegen dessen Abschaffung setzte sich ein breites Bündnis von Vertretern verschiedener Wirtschaftszweige sowie die CDU/CSU-Fraktion ein.43 Schließlich wurde der Entwurf in der Innenausschussfassung, die einschneidende Änderungen sowohl zugunsten, überwiegend aber zulasten des Datenschutzniveaus vorsah, angenommen.44 Im Gegensatz zu der zunächst anvisierten Streichung des Listenprivilegs favorisierte die Innenausschussfassung seine Neuausrichtung. Hiernach sollte künftig grundsätzlich der Betroffene per Einwilligung über die Verarbeitung sich auf ihn beziehender Daten zu Werbezwecken entscheiden können. Gleichwohl waren bezüglich dieser Regel auch großzügige Ausnahmetatbestände vorgesehen.45 Des Weiteren nahm der Innenausschuss angesichts der scharfen Kritik an dem Entwurf 41
BT-Drs. 16/12011, Anlage 3, S. 40. BT-Drs. 16/12011, Anlage 4, S. 50. 43 Roßnagel spricht insoweit von einer bemerkenswerten Lobby-Kampagne, Roßnagel, NJW 2009, S. 2716 (2717). Siehe programmatisch für den Einfluss der Interessenvertreter der werbenden Wirtschaft die Stellungnahmen im Rahmen der öffentlichen Anhörung des Innenausschusses am 23. 3. 2009, BT-Drs. (A) 16/88. 44 BT-Drs. 16/13657. Die Änderung basierten überwiegend auf dem Änderungsantrag der Koalitionsfraktionen, s. BT-Drs. (A) 16(4)646. 45 Siehe hierzu Meltzian, DB 2009, S. 2643 ff.; s.a. zum Datenschutz in der Markt- und Meinungsforschung Pflüger, RDV 2010, S. 101 ff. 42
176
§ 6 E-Privacy als neues Datenschutzleitbild
des Auditgesetzes Abstand von diesem. Stattdessen sollten dessen Regelungen zunächst im Rahmen eines dreijährigen Modellprojektes erprobt werden.46 Andererseits verständigte man sich im Innenausschuss mit § 32 BDSG-E über die Aufnahme einer Norm zum Beschäftigtendatenschutz in das allgemeine Datenschutzrecht. Der Vorschlag des Innenausschusses hierzu beschränkte sich auf die Normierung der bereits zuvor durch die arbeitsgerichtliche Rechtsprechung entwickelten Grundsätze zum Datenschutz im Beschäftigtenverhältnis, namentlich der strengen Geltung des Zweckbindungsgrundsatzes.47 Schließlich wurde hier auch die Erweiterung der aufsichtsbehördlichen Anordnungsbefugnisse geregelt. Die Datenschutzaufsicht sollte künftig nicht mehr lediglich die Beseitigung organisatorischer und technischer Mängel, sondern auch „materieller“ Datenschutzverstöße anordnen können. Dennoch ging mit dieser kompetenziellen Erweiterung nicht auch eine bessere finanzielle, personelle und technische Ausstattung der Aufsichtsbehörden einher. Eine solche wäre jedoch dringend erforderlich gewesen, um eine effektive Ausübung der neuen Kompetenz zu gewährleisten. Gemessen an den ursprünglichen Absichten – der Einführung eines Auditgesetzes, der Abschaffung des Listenprivilegs sowie dem Desiderat eines Beschäftigtendatenschutzrechts – fällt das Urteil über den letztlich gefundenen gesetzgeberischen Kompromiss negativ aus. Der zunächst angesichts von Datenskandalen zum Ausdruck gebrachte Aktionismus verebbte während der parlamentarischen Auseinandersetzung mit dem Regierungsentwurf zusehends.48 Im Ergebnis konnte sich im Laufe des Gesetzgebungsverfahrens der Schutz unternehmerischer Interessen gegenüber dem effektiven Schutz der informationellen Selbstbestimmung überwiegend durchsetzen. Zwar wurden einige Instrumente des Datenschutzrechts durch diese Novelle gestärkt, hingegen keine neuen – wie zunächst angekündigt – etabliert.
D. Fazit Im Rahmen der dargestellten Änderungen des BDSG 2003 stellte sich die Wahrnehmung des Datenschutzrechts durch den Gesetzgeber äußert wechselhaft 46 Erste Auditierungserfahrungen konnte bereits das ULD, insb. im Rahmen des durch die KOM geförderten Projekts „European Privacy Seal“, sammeln, dazu Bock, DuD 2008, S. 712; s.a. Meissner, DuD 2008, S. 525 ff. 47 So auch B. Schmidt, RDV 2009, S. 193 ff. Zu den allgemeinen Grundsätzen des Datenschutzes im Beschäftigtenverhältnis BAG, 5 AZR 660/85, BAGE 53, 226 f.; BAG, 8 AZR 828/93, BAGE 81, 15 ff.; BAG, 2 AZR 270/83, NJW 1985, S. 645 ff. Zum Arbeitnehmerdatenschutz nach der BDSG Novelle II Erfurth, NJOZ 2009, S. 2914 ff. 48 Krit. auch Roßnagel, NJW 2009, S. 2716 (2722); ein eher positives Fazit zieht Scheuring, NVwZ 2010, S. 809 (811).
D. Fazit
177
dar; sie oszillierte zwischen bürokratischer Last für die Wirtschaft, die es abzubauen gilt, und dringend erforderlicher Ausprägung des Verbraucherschutzes. Jedenfalls standen insoweit insgesamt der nicht-öffentliche Bereich und hier die datenschutzrechtlichen Verpflichtungen verantwortlicher Stellen im Fokus der Änderungsbestrebungen. Jene Verpflichtungen sollten zunächst durch das MEG I verringert und anschließend durch die Datenschutznovellen I-III erweitert werden. Jene Erweiterungen bestanden überwiegend in der Statuierung von Transparenzvorgaben, namentlich Auskunfts-, Informations-, Unterrichtungs- und Dokumentationspflichten sowie diesen korrelierenden Betroffenenrechten. Die Schaffung von Transparenz bzw. die Herstellung der Kontrollierbarkeit von Unternehmen zugunsten des Verbrauchers bildet auch ein wesentliches Anliegen des Verbraucherschutzrechts.49 Als ein solches wurde das Datenschutzrecht im Laufe der dargestellten Gesetzgebungsverfahren auch in zunehmendem Maße bezeichnet. Diesem terminologischen Wandel folgten aber nur in bedingtem Umfang auch konzeptionelle Änderungen. Insbesondere die wiederholt thematisierte gesetzliche Qualifizierung des Datenschutzrechts als Verbraucherschutzrecht i.S.d. UKlaG blieb aus. Mit dieser Anerkennung wären die Möglichkeiten von Verbraucherschutzverbänden zur Durchsetzung datenschutzrechtlicher Vorschriften gestärkt worden.50 Das Kontrollregime des BDSG 2003 basierte im Wesentlichen auf einer individuellen und einer institutionellen Fremdkontrolle, wies aber auch Elemente der Eigenkontrolle datenverarbeitender Stellen auf. Die Ausgestaltung dieser drei Ebenen beruhte jeweils auf Annahmen, die geeignet sind, die Effektivität dieses Kontrollregimes grundsätzlich in Frage zu stellen. Die Schwäche der individuellen Kontrolle liegt u. a. darin begründet, dass i. d. R. die intrinsische Motivation des Betroffenen zur Verfolgung eines Datenschutzverstoßes im Verhältnis zum hierfür erforderlichen Aufwand relativ gering ist.51 Die oftmals unzureichende kompetenzielle, personelle, finanzielle sowie technische Ausstattung der Aufsichtsbehörden verhindert außerdem eine lückenlose Gewährleistung der aufsichtsbehördlichen Fremdkontrolle. Im Laufe der Gesetzgebungsverfahren wurden verschiedene Ansätze diskutiert, um jene Defizite auszugleichen: Zum einen die regulierte Selbstregulierung nicht-öffentlicher datenverarbeitender Stellen bzw. marktmäßige Mechanismen und zum anderen die Integration von Verbraucherschutzverbänden in das
49 Zur Bedeutung von Transparenz für das Verbraucherschutzrecht Abbé, Verbraucherschutz durch Transparenz; s.a. Albers/Ortler, GewA 2009, S. 225 ff. 50 Mittlerweile konnte ein Verbandsklagerecht im Datenschutzrecht etabliert werden. Ein solches sieht auch Art. 80 DS-GVO vor. Hierzu m.w.N. Albrecht/Jotzo (Hrsg.), Das neue Datenschutzrecht der EU, Teil 8 Rn. 31. 51 Jungermann, Empfehlung an den Datenschutz für den Umgang mit dem Bürger als Nutzer, in: Schufa Holding-AG (Hrsg.), Zwischen Liberalität und Paternalismus, S. 18 (21). Kritisch gegenüber der „Zauberformel Transparenz“ Bull, NVwZ 2011, S. 257 (259 f.).
178
§ 6 E-Privacy als neues Datenschutzleitbild
gesetzgeberische Datenschutzkonzept.52 Die Verwirklichung des zuerst genannten Ansatzes wurde durch den Nichterlass des Datenschutzauditgesetzes sowie die Anhebung des Schwellenwerts für die Bestellung eines betrieblichen Datenschutzbeauftragten geschwächt. Auch der zweite Ansatz konnte sich im Ergebnis nicht durchsetzen. Somit ist festzustellen, dass durch die Änderungen des BDSG in der 16. Legislaturperiode die dringend erforderliche konzeptionelle Weiterentwicklung des datenschutzrechtlichen Kontrollregimes zwar thematisiert, nicht aber umgesetzt wurde. Stattdessen wurden lediglich intensivere gesetzliche Verpflichtungen geschaffen, ohne gleichzeitig sicherzustellen, dass deren Einhaltung einer effektiven Kontrolle unterliegt. Insgesamt beschränkten sich die in Rede stehenden Gesetzgebungsverfahren auf Einzelfragen und es wurde keine grundsätzliche Neuausrichtung des Datenschutzrechts diskutiert.
E. Gesetzesinitiativen für einen qualitativen Datenschutz im Netz? Nach der Bundestagswahl am 27. September 2009 konstituierte sich ein schwarzgelbes Regierungsbündnis, dessen Koalitionsvertrag sich relativ ausführlich mit dem Thema Datenschutz auseinandersetzte und diesbezüglich auf einen gewissen Reformeifer schließen ließ.53 Insoweit wurden konkrete Maßnahmen für die Erhöhung der IT-Sicherheit insbesondere bei sog. kritischen Infrastrukturen, die lesbare, zukunftsfeste und technikneutrale Ausgestaltung des BDSG, die Schaffung verbesserter Rahmenbedingungen für die opt-in-Lösung, die Errichtung einer Stiftung Datenschutz, die Förderung der Unabhängigkeit des Bundesbeauftragten für den Datenschutz, die Stärkung des Konzepts des Selbstdatenschutzes sowie die Einführung eines eigenen Kapitels zum Arbeitnehmerdatenschutz im BDSG angekündigt. Insgesamt vermittelten die Ausführungen des Vertrages den Eindruck, dass sich jene Bundesregierung nicht lediglich dem Ausbau des Netzes, sondern auch der datenschutzkonformen Ausgestaltung seiner Nutzung widmen werde.54 Diesem Anspruch entsprechend sollten zunächst die Ausgangsbedingungen des Netzes eruiert werden. Hierzu veranstaltete das BMI in der ersten Hälfte des Jahres 2010 vier Dialogveranstaltungen unter dem Titel „Perspektiven deutscher Netzpo52 Im Ergebnis ähnlich Kühling u. a., DuD 2009, S. 335 (342); s.a. Nietsch, CR 2014, S. 272 ff. Zur Kompensation von Vollzugsdefiziten des Datenschutzrechts durch das Wettbewerbsrecht Lindhorst, DuD 2010, S. 713 ff. 53 Siehe CDU/CSU/FDP, Wachstum. Bildung. Zusammenhalt, online. 54 Diese Erweiterung bezeichnen Holznagel/Schumacher als typischen Entwicklungsschritt im Rahmen systemrelevanter Innovationsprozesse, Holznagel/Schumacher, ZRP 2011, S. 74 ff.; dazu auch Schumacher, Innovationsregulierung im Recht der netzgebundenen Elektrizitätswirtschaft, S. 91 ff.
E. Gesetzesinitiativen für einen qualitativen Datenschutz im Netz?
179
litik“ – u. a. am 18. Januar 2010 zum Thema Datenschutz und Datensicherheit – an denen sich neben Vertretern der Wissenschaft, Verwaltung und Wirtschaft auch solche der Zivilgesellschaft beteiligten.55 Als Ergebnis dieser Veranstaltungen präsentierte der damalige Bundesinnenminister Thomas de Maizière am 22. Juni 2010 „14 Thesen zu den Grundlagen einer gemeinsamen Netzpolitik für die Zukunft“.56 Aus einer Gesamtschau dieser Thesen lässt sich für die Gestaltung und Weiterentwicklung der Netzpolitik der Bundesregierung die Vorgabe ableiten, dass hier ein Ansatz zu verfolgen ist, der ordnungsrechtliche Instrumente, Elemente der Selbstregulierung, soziale Regeln und Selbstschutzmechanismen integriert. Diese Leitlinie bedurfte, so richtig sie in ihrer Allgemeinheit sein mag, im Hinblick auf die Fortentwicklung des Datenschutzrechts noch der Konkretisierung.57 Eine solche wurde auf Bundesebene im Rahmen zweier Initiativen angestrebt, namentlich zur Regulierung internetbasierter Geodienste und zum Schutz vor besonders schweren Eingriffen in das Persönlichkeitsrecht, welche sich im Internet ereignen. Außerdem sollten diese Thesen durch die Enquete-Kommission „Internet und Gesellschaft“, zu deren Auftrag u. a. die Entwicklung von Handlungsempfehlungen zur Revision des allgemeinen Datenschutzrechts zählte, ausgearbeitet werden.
I. Regulierung internetbasierter Geodienste und „Rote-Linie-Gesetz“ Im Juli 2008 begann der online-Dienst Google Street View des US-amerikanischen Unternehmens Google Inc. auch in Deutschland mit der bildlichen Erfassung von Straßenzügen und Plätzen sowie der Außenansicht von Gebäuden. Die hierbei entstehenden 360-Grad-Bildaufnahmen sollten den Nutzern der Dienste Google Maps und Google Earth kostenlos online zur Verfügung gestellt werden. Dies veranlasste eine breite gesellschaftliche und wissenschaftliche Debatte über die Zulässigkeit von internetbasierten Geodiensten.58 Schließlich brachte der Bundesrat am 18. August 2010 einen Gesetzentwurf mit dem Ziel in den Bundestag ein, das BDSG um spezifische Vorgaben für die Datenerhebung und -verarbeitung im Kontext von online-Panoramastraßenansichten zu ergänzen.59 Die Entwurfsbegründung ging davon aus, dass die bis dato geltende Rechtslage – namentlich die §§ 22, 23 55
Ricke/Nüßing, MMR-Aktuell 2010, 297942. BMI, Mitreden übers Internet, online. 57 Krit. in Bezug auf „unbestimmte Großformeln“ und „Allheilmittel“ Bull, NVwZ 2011, S. 257 ff.; s.a. ders., RDV 2008, S. 47 ff. 58 Zur datenschutz- und persönlichkeitsrechtlichen Perspektive Casper, DÖV 2009, S. 965 ff.; Dreier/Spiecker gen. Döhmann/Gerhardt, ZRP 2010, S. 197 f.; Forgó/Krügel/ Müllenbach, CR 2010, S. 616 ff.; Jahn/Striezel, K&R 2009, S. 753 ff.; Lindner, ZUM 2010, S. 292 ff.; Weichert, DuD 2009, S. 347 ff. Aus zivilrechtlicher Sicht Weber, NJOZ 2011, S. 673 ff. Aus straßenrechtlicher Perspektive Jüngel/Fandrey, NVwZ 2010, S. 683 ff. 59 BT-Drs. 17/2765, S. 1. Siehe bereits zuvor den Gesetzesantrag der Freien und Hansestadt Hamburg, BR-Drs. 259/10. 56
180
§ 6 E-Privacy als neues Datenschutzleitbild
KunstUrhG, § 59 UrhG und §§ 6b, 27 ff. BDSG 2003 – das Recht der Betroffenen, über die Preisgabe und Verwendung ihrer Daten selbst zu entscheiden, hinsichtlich internetbasierter Geodienste nicht ausreichend schütze, da die genannten Vorschriften Abbildungen und Veröffentlichungen im Einzelfall regelten und nicht auf die massenhafte Erhebung und Speicherung personenbezogener Daten zugeschnitten seien.60 Dienste wie Google Street View begründeten hiernach u. a. deswegen ein gesteigertes Gefährdungspotential, weil mit dem „Einstellen“ der Bildaufnahmen in das Internet deren Verknüpfung mit weiteren Daten ermöglicht werde, ohne dass die Betroffenen dies überhaupt bemerken würden bzw. kontrollieren könnten. Der Entwurf sah vor, dass die Anbieter entsprechender Dienste durch das BDSG verpflichtet werden, abgebildete Personen und amtliche PKW-Kennzeichen unkenntlich zu machen, geplante Erfassungen in örtlichen Tageszeitungen sowie im Internet bekannt zu geben und Betroffenen ein Widerspruchsrecht bzgl. der Veröffentlichung von Bildern im Internet einzuräumen. Im Ergebnis sprach sich der Bundesrat mit seinem Entwurf folglich für die Aufnahme einer nicht technikneutralen Einzelfallregelung in das BDSG aus, ohne die Möglichkeiten des technischen Datenschutzes und der Selbstregulierung der Diensteanbieter in Betracht zu ziehen.61 Der damalige Bundesminister des Innern Thomas de Maizière lehnte insbesondere vor dem Hintergrund der dargestellten „Thesen einer gemeinsamen Netzpolitik“ den Erlass eines „Lex Google Street View“ ab und versuchte stattdessen die Selbstregulierungskräfte der Diensteanbieter zu mobilisieren. Zu diesem Zweck lud er am 20. September 2010 Vertreter aus Wissenschaft, Verwaltung und Wirtschaft sowie Regierungsmitglieder zu einem Spitzengespräch ein, um unter dem Titel „Digitalisierung von Stadt und Land – Chancen und Grenzen von öffentlichen und privaten Geodiensten“ den zukünftigen Umgang mit solchen Diensten zu diskutieren. Als Diskussionsgrundlage diente dem Gespräch ein vom BMI erarbeitetes Eckpunktepapier.62 Dieses betonte einerseits die vielfältigen Vorteile, die mit der Nutzung von Geodiensten verbunden seien, und andererseits bestimmte Grenzen, die durch jene nicht überschritten werden dürften, etwa schwerwiegende Eingriffe in das Persönlichkeitsrecht wie die Erstellung von Bewegungsprofilen. Bei dieser Gelegenheit kündigte der Bundesinnenminister an, auf dem 5. ITGipfel, der vom Bundesministerium für Wirtschaft und Technologie am 7. Dezember 2010 ausgerichtet werden sollte, einen Gesetzentwurf vorzulegen, der eben jene schwerwiegenden Eingriffe verhindere und damit eine „rote Linie“ markiere, die in keinem Fall überschritten werden dürfe. Außerdem forderte er die Anbieter von Geodiensten dazu auf, bis zu jenem Datum einen Datenschutz-Kodex zu erarbeiten, welcher ihre Angebote transparenter gestaltet und faire Konfliktlösungsmechanis60
Differenziert hierzu Klar, Datenschutzrecht und die Visualisierung des öffentlichen Raums, S. 127 ff. 61 Krit. zu dem Entwurf auch Klar, MMR 2012, S. 788 ff.; a.A. LBfD Berlin, TB 2010, S. 29. 62 BMI, Spitzengespräch „Digitalisierung von Stadt und Land“, online.
E. Gesetzesinitiativen für einen qualitativen Datenschutz im Netz?
181
men aufzeigt, um eine gesetzliche Regelung zumindest teilweise entbehrlich zu machen. Auf dem 5. IT-Gipfel wurden sowohl der vom Bundesinnenminister angekündigte Entwurf eines Gesetzes zum Schutz vor besonders schweren Eingriffen in das Persönlichkeitsrecht als auch der geforderte Entwurf eines Datenschutz-Kodex für Geodienste vom Branchenverband BITKOM präsentiert.63 An der Erarbeitung des zuletzt genannten Entwurfs waren u. a. Google, Microsoft und die Deutsche Telekom beteiligt. Dieser griff im Wesentlichen die vom BMI geforderten Aspekte auf, wurde von Datenschützern aber dennoch kritisiert, insbesondere da das den Betroffenen gewährte Widerspruchsrecht erst nach Einstellung des Bildmaterials in das Internet gelten sollte und die Effektivität seiner Durchsetzung nicht hinreichend gewährleistet sei.64 Im Gegensatz zu der dargestellten Selbstregulierungsinitiative verfolgte der ebenfalls vorgestellte Referentenentwurf des BMI einen breiteren Ansatz. Hiernach sollte das BDSG um eine Norm ergänzt werden, die bestimmte Veröffentlichungen in Telemedien als unrechtmäßig disqualifiziert.65 Grundsätzlich unzulässig sollten etwa die Veröffentlichung von geschäftsmäßig zusammengetragenen Daten, durch die sich ein umfangreiches Persönlichkeits- bzw. Bewegungsprofil des Betroffenen ergibt, und solcher Daten, die den Betroffenen in ehrverletzender Weise darstellen, sein. Außerdem sah der Entwurf die gesetzliche Regulierung von Internetdiensten vor, die sich hinsichtlich der Integrität der Persönlichkeitsrechte Betroffener besonders sensibel darstellen, etwa Gesichtserkennungsdienste. Schließlich wurde im Rahmen der Gesetzesinitiative die Statuierung eines Schadensersatzanspruchs im BDSG gegenüber nicht-öffentlichen Stellen für immaterielle Schäden, die durch besonders schwere Verletzungen des Persönlichkeitsrechts eintreten, diskutiert. Da sowohl die tatbestandliche Ausgestaltung der Regelungen als auch deren Abgrenzung zu anderen gesetzlichen Bestimmungen überwiegend noch ausstanden, zeigte dieser Referentenentwurf eher Tendenzen auf, als dass er gesetzgeberische Entscheidungen vorwegzunehmen versuchte. Dennoch wurde er von Datenschützern teilweise als völlig unzureichend kritisiert.66 Im Gegensatz zu dieser Kritik ist jedoch festzuhalten, dass der Ausgangspunkt, eine gesetzliche Reglementierung von onlineDiensten solle lediglich den äußeren Rahmen bilden, den die Diensteanbieter durch Selbstregulierungsmaßnahmen ausfüllen, gegenüber der vom Bundesrat vorge63
Siehe BMI, Gesetzentwurf zum Schutz vor besonders schweren Eingriffen in das Persönlichkeitsrecht, online; s.a. BITKOM, Datenschutz-Kodex für Geodienste, online. 64 Krit. zu dem Entwurf Düsseldorfer Kreis, Datenschutz-Kodex des BITKOM für Geodienste unzureichend, online; s.a. BfD, 23. TB, S. 44 ff. Positiv gegenüber dem Entwurf Bull, NVwZ 2011, S. 257 (262). Zur Durchsetzung von Ansprüchen gegenüber Google Street View in der Praxis Zeiter/Moos, ZD 2013, S. 178 ff. 65 Der Entwurf der Regelung ist abgedruckt in RDV 2001, S. 49 f. Zu dem Entwurf des BMI Bull, NVwZ 2011, S. 257 (261); Weichert, VuR 2009, S. 323 ff. 66 So etwa der BfD, 23. TB, S. 45; a.A. Bull, NVwZ 2011, S. 257 (262).
182
§ 6 E-Privacy als neues Datenschutzleitbild
schlagenen Schaffung eines Einzelfallgesetzes grundsätzlich einen qualitativen Datenschutzansatz darstellte.67 Gleichwohl bedurfte auch die vom BMI präferierte Vorgehensweise der Konkretisierung, etwa im Hinblick auf die Kontrolle der Selbstregulierungsmaßnahmen bzw. die Einbindung der Aufsichtsbehörden. Diese sollte im Weiteren zwar noch partiell erfolgen, letztlich wurde die Gesetzesinitiative aber nicht weiter verfolgt.68 Hierfür wurden u. a. die Arbeiten an der DS-GVO verantwortlich gemacht, deren Fortschritt das BMI zunächst abwarten wollte.69
II. Enquete-Kommission „Internet und Gesellschaft“ – Datenschutz und Persönlichkeitsrechte Durch einen interfraktionellen Bundestagsbeschluss vom 3. März 2010 wurde die Enquete-Kommission „Internet und Gesellschaft“ eingesetzt und mit dem Auftrag versehen, Handlungsempfehlungen zu erarbeiten, die der Verbesserung der Rahmenbedingungen der Informationsgesellschaft dienen sollten.70 Zu ihren Untersuchungsschwerpunkten zählten u. a. auch die rechtlichen und technischen Voraussetzungen für den Datenschutz und die Datensicherheit in der digitalen Gesellschaft. Jene Voraussetzungen wurden in einem zwei Jahre später vorgelegten Zwischenbericht der Kommission mit dem Titel „Datenschutz, Persönlichkeitsrechte“ thematisiert.71 Dieser Zwischenbericht postulierte, dass im Ergebnis zwischen den Mitgliedern der Kommission ein breiter Konsens hinsichtlich der Grundprinzipien, Ziele und Werte des Datenschutzes bestand.72 Die Unbestimmtheit einer Vielzahl von Handlungsempfehlungen sowie zahlreiche ergänzende und abweichende Sondervoten lassen aber auf das Gegenteil schließen.73 Im Ergebnis blieben die konsensual formulierten Empfehlungen sehr allgemein und wenig innovativ. Dem Bericht zufolge beanspruchen die Grundprinzipien des Datenschutzrechts – namentlich die Verhältnismäßigkeit, Datensicherheit und -sparsamkeit, Zweckbin67
I.E. gleich Schröder, ZD 2012, S. 418 (421). So nimmt Moos Bezug auf einen geänderten Entwurf des BMI vom 18. 2. 2011, Moos, K&R 2012, S. 151 (159). 69 Gola/Klug, NJW 2013, S. 834 (835); so auch Moos, K&R 2011, S. 151 (155). Ein Abwarten der DS-GVO ließ sich auch bzgl. der Regelung des Arbeitnehmerdatenschutzes auf nationaler Ebene beobachten, vgl. CDU/CSU/SPD, Deutschlands Zukunft gestalten, online, S. 50; Gola/Klug, NJW 2014, S. 2622 (2626). 70 Siehe BT-Drs. 17/950. 71 BT-Drs. 17/8999. Aus datenschutzrechtlicher Perspektive besonders interessant ist daneben auch der 9. Zwischenbericht der Kommission „Internet und Gesellschaft“, Zugang, Struktur und Sicherheit im Netz, BT-Drs. 17/12541. 72 BT-Drs. 17/8999, S. 53. 73 So spricht Kommissionsmitglied Gerold Reichenbach von konsensual relativ schwachen Formulierungen, BT, 17. WP, 153. Sitzung vom 20. 1. 2012, 18332 (A). 68
E. Gesetzesinitiativen für einen qualitativen Datenschutz im Netz?
183
dung sowie Transparenz – trotz des rasanten technischen Fortschritts auch künftig Geltung. Die Ausprägungen jener Grundsätze seien außerdem unter Beachtung europarechtlicher Vorgaben weiterzuentwickeln, wobei verstärkt auf deren Technikneutralität, Übersichtlichkeit, Verständlichkeit und Lesbarkeit zu achten sei.74 Anstatt sich auch mit der Zukunftstauglichkeit des Verbots mit Erlaubnisvorbehalt in online-Kontexten auseinanderzusetzen, beließ es der Bericht insoweit jedoch bei der Formulierung von Allgemeinplätzen. Die Kommission diagnostizierte ein allgemeines Vollzugsdefizit datenschutzrechtlicher Bestimmungen und skizzierte einige vage Vorstöße zu dessen Behebung. Insbesondere sollte hiernach innerhalb Europas die Datenschutzaufsicht stärker koordiniert und der Bundesbeauftragte für den Datenschutz finanziell, personell sowie technisch besser ausgestattet werden.75 Außerdem sei auf europäischer Ebene eine Prüfung der Frage sinnvoll, ob dem Datenschutzrecht ein wettbewerbsschützender Charakter zukommt und entsprechend die gegenseitige Kontrolle der Marktteilnehmer mithilfe wettbewerbsrechtlicher Instrumente forciert werden sollte.76 In Bezug auf die zum damaligen Zeitpunkt zentralen, das Aufsichtsregime betreffenden Konflikte – namentlich hinsichtlich der Unabhängigkeit des BfD und der Einführung von Verbandsklagemöglichkeiten im Datenschutzrecht – formulierte die Kommission hingegen keine gemeinsamen Empfehlungen.77 Der Zwischenbericht arbeitete heraus, dass datenschutzrelevante Einwilligungen Betroffener oftmals nicht informiert und freiwillig erteilt werden und schlug daher vor, zu prüfen, ob das Konzept der befristeten Einwilligung, intensivere Informationspflichten datenverarbeitender Stellen sowie die stärkere Ausprägung des opt-inAnsatzes im TMG insoweit sinnvolle Lösungsansätze darstellen. Lediglich die Vertreter der Fraktionen der SPD, des Bündnis 90/Die GRÜNEN sowie DIE LINKE zogen aus dieser Feststellung den konsequenten Schluss, dass die Einwilligung als datenschutzrechtliches Instrument nur dort relevant werden dürfe, wo ihre Erteilung im freien Ermessen der Betroffenen stehe und eben kein Machtungleichgewicht dies verhindere. Weiterhin gingen diese davon aus, dass letzteres in der Mehrzahl der online-Kontexte nicht der Fall sein dürfte.78 In dem Bericht sprach sich die Kommission allgemein für die Stärkung des Ansatzes, Datenschutz durch Technik zu verwirklichen, aus. Insbesondere sollte hiernach das Konzept Privacy by Design bei der Entwicklung und dem Einsatz neuer Technologien als verpflichtende Vorgabe Berücksichtigung finden. Zudem wurde 74
BT-Drs. 17/8999, S. 57. BT-Drs. 17/8999, S. 53 bzw. S. 57. 76 Zum Verhältnis von Datenschutz- und Wettbewerbsrecht Lindhorst, DuD 2010, S. 713 ff. 77 Für beide Punkte sprachen sich die Vertreter der Fraktionen SPD, Bündnis 90/Die GRÜNEN und Die Linke aus, BT-Drs. 17/8999, S. 72 bzw. S. 78. Siehe a. Entschließungsantrag der Fraktion Bündnis 90/Die GRÜNEN, Völlige Unabhängigkeit für den Bundesdatenschutzbeauftragten, BT-Drs. 17/6345. 78 BT-Drs. 17/8999, S. 71. 75
184
§ 6 E-Privacy als neues Datenschutzleitbild
vorgeschlagen, die Maßnahmen zum technischen und organisatorischen Datenschutz in der Anlage zu § 9 BDSG 2003 durch technikneutrale Schutzziele zu ersetzen. Jene Schutzziele sollten durch Rahmen- und Verfahrenskonzepte umgesetzt und dem Stand der Technik entsprechend fortgeschrieben werden.79 Insofern sollten zum einen öffentliche IT-Projekte Vorbildwirkung entfalten und zum anderen die Forschung im Bereich des Datenschutzes auch weiterhin mit öffentlichen Mittel gefördert werden. Bis hierhin stellte sich der Zwischenbericht als eine Zusammenfassung der bis dato im politischen Diskurs befindlichen Datenschutzansätze dar. Konzeptionell weiterführende Ansätze waren noch am ehesten dem bereits zitierten gemeinsamen Sondervotum der Oppositionsfraktionen zu entnehmen.80 Diesem lag ein im Verhältnis zum überkommenen Ansatz des BDSG gewandeltes Datenschutzverständnis zugrunde. Dessen Basis bildete nämlich die Erkenntnis, dass in Zeiten von Ubiquitous Computing, geodatengestützten Anwendungen, RFID-Chips und „Smarten“ Techniken der Datenschutz der Herausforderung der informationellen Auswertung ganzer Infrastrukturen gerecht werden muss und diesem Anspruch eine Abwehrperspektive, die im Wesentlichen auf der Vorstellung eines eigentumsanalogen Verfügungsrechts gründet, nicht gerecht wird. Vielmehr erforderten die technischen und sozialen Entwicklungen eine Neuausrichtung des Regelungsfeldes durch den Gesetzgeber.81 In Anlehnung an Marion Albers wurde dem Gesetzgeber im Rahmen des genannten Sondervotums empfohlen, bei einer Reform des Datenschutzrechts zwischen Daten und Informationen sowie zwischen personenbezogenen und personenbeziehbaren Daten zu differenzieren, um einen gefährdungsabhängigen Datenschutz zu entwickeln.82 Neben diesen konzeptionellen Erwägungen räumte das Sondervotum dem Datenschutz durch Technik einen bedeutenden Stellenwert ein. Insbesondere sollte hiernach ein modernes Datenschutzrecht Regelungen zur Technikgestaltung, zur Datensicherung und -organisation sowie konkrete Datenschutzziele normieren. Insgesamt sollte der bestehende ordnungsrechtliche Rahmen des Datenschutzrechts außerdem durch die Konzepte der regulierten Selbstregulierung und der Koregulierung ergänzt werden. Eine reine Selbstregulierung sei dem Sondervotum zufolge aber nur dort wünschenswert, wo es sich unterhalb der gesetzlichen Regelungsziele um freiwillige zusätzliche Bemühungen der Wirtschaft handele. Der Einfluss der im Rahmen der Kommissionsarbeit gewonnenen Erkenntnisse auf das gesetzgeberische Datenschutzleitbild wird sich – wenn überhaupt – wohl erst 79
BT-Drs. 17/8999, S. 58. BT-Drs. 17/8999, 4.2.2.6. 81 BT-Drs. 17/8999, S. 73. 82 BT-Drs. 17/8999, S. 75. Albers, Umgang mit personenbezogenen Informationen und Daten, in: Hoffmann-Riem/Schmidt-Aßmann/Voßkuhle (Hrsg.), GVwR, Bd. 2, § 22 Rn. 8 – 13; dies., Informationelle Selbstbestimmung, S. 87 ff. 80
E. Gesetzesinitiativen für einen qualitativen Datenschutz im Netz?
185
langfristig zeigen. Jedenfalls griff der in Rede stehende Bericht auch einige qualitative Datenschutzansätze auf.
III. Zwischenergebnis Sowohl die dargestellte Gesetzesinitiative des BMI als auch die Arbeit der Enquete-Kommission „Internet und Gesellschaft“ veranschaulichten verschiedene Umstände, welche die Entwicklung eines qualitativen Datenschutzrechts erschwerten und sich wechselseitig bedingten. Zunächst die Schwierigkeit, auf politischer Ebene einen Konsens über grundlegende Weichenstellungen im Datenschutzrecht zu erzielen, sobald dies mit Nachteilen für öffentliche bzw. nicht-öffentliche datenverarbeitende Stellen verbunden ist. Die insoweit gefundenen Kompromisse fanden ihren Ausdruck oftmals in verklausulierten Formulierungen, die zwar einerseits gewährleisten, dass jede Partei ihre Interessen berücksichtigt fand, andererseits aber deren Lesbarkeit und damit einem effektiven Vollzug abträglich waren. Außerdem bedurfte es im Verhältnis zu den Produktionszyklen der Informationstechnologien immer längerer Zeiträume, bis sich erfolgversprechende Datenschutzansätze politisch durchsetzen und anschließend im gesetzgeberischen Datenschutzleitbild manifestieren konnten. Weiterhin zeichnete sich sowohl im Rahmen der Gesetzesinitiative des BMI als auch der Kommissionsarbeit ab, dass Europa einerseits als Garant für einen wirksamen Datenschutz gehandelt wurde, andererseits dieser Umstand aber auch dazu beitrug, dass sich die Arbeit an qualitativen Konzepten noch weiter verzögerte: Erstens weil in Erwartung der DS-GVO auf nationalstaatlicher Ebene Initiativen vertagt wurden und sich zweitens die Entscheidungsprozesse auf europäischer Ebene nicht weniger komplex bzw. nicht weniger langwierig vollziehen. So wurden im Ergebnis in der 17. Legislaturperiode zwar wichtige Vorarbeiten zur Weiterentwicklung des Datenschutzrechts geleistet, dennoch standen den zahlreichen Ankündigungen und Initiativen kaum abgeschlossene bzw. verbindliche Projekte gegenüber.
IV. Stärkung des datenschutzrechtlichen Kontrollregimes Der Koalitionsvertrag zwischen der CDU/CSU und der SPD, welche nach der Bundestagswahl am 22. September 2013 eine große Koalition bildeten, griff zahlreiche Ansätze auf, die bereits von der Enquete-Kommission „Internet und Gesellschaft“ thematisiert wurden. Zu den insoweit bedeutendsten Neuerungen zählte das explizite Versprechen der Einführung eines Verbandsklagerechts im Datenschutzrecht.83 Diese Initiative sollte – genau wie die sich im Laufe der 18. Legislaturperiode 83
CDU/CSU/SPD, Deutschlands Zukunft gestalten, online, S. 89 und S. 103.
186
§ 6 E-Privacy als neues Datenschutzleitbild
konkretisierenden Pläne zur Ausgestaltung des Bundesbeauftragten für den Datenschutz als oberste Bundesbehörde – dem anerkannten Vollzugsdefizit im Datenschutzrecht begegnen. 1. Stärkung der Unabhängigkeit des Bundesbeauftragten für den Datenschutz? Nachdem auf nationaler Ebene bereits seit Jahren die Angliederung des Bundesbeauftragten für den Datenschutz an das BMI kritisiert worden war und sich der EuGH in verschiedenen Verfahren zu dem durch die RL 95/46/EG begründeten Erfordernis einer unabhängigen Datenschutzaufsicht geäußert hatte – mit dieser sei dem EuGH zufolge nicht erst eine staatliche Aufsicht, sondern bereits jede äußere Einflussnahme auf die Arbeit der Aufsichtsbehörden unvereinbar84 –, brachte die Bundesregierung am 13. Oktober 2014 einen Gesetzentwurf in den Bundestag ein, dem zufolge die Unabhängigkeit der Datenschutzaufsicht im Bund gestärkt werden sollte.85 Das Kernanliegen dieser Gesetzesinitiative bildete die künftige Ausgestaltung des BfD als oberste Bundesbehörde. Entsprechend sollte dieser nicht länger der Dienstaufsicht des BMI und der Rechtsaufsicht der Bundesregierung, sondern ausschließlich einer parlamentarischen und gerichtlichen Kontrolle unterliegen. Gleichwohl lässt sich die generelle Zielrichtung des Entwurfs, die Unabhängigkeit des BfD zu stärken, mit dessen konkreten Regelungen, namentlich der Ausgestaltung des Aussagerechts sowie der personellen und finanziellen Ausstattung des BfD, nur schwer in Einklang bringen. Dem Entwurf zufolge sollte der BfD in Zukunft dann nicht als Zeuge gerichtlich und außergerichtlich aussagen dürfen, wenn dies zum einen dem Wohle des Bundes oder eines Bundeslandes Nachteile bereitet, insbesondere wenn dies negative Auswirkungen auf die Beziehungen zu anderen Staaten befürchten lasse, und zum anderen, wenn seine Aussage eine Grundrechtsverletzung zur Folge hätte, § 23 Abs. 6 S. 1 BDSG-E. Hinsichtlich laufender und abgeschlossener Vorgänge, die dem Kernbereich exekutiver Eigenverantwortung der Bundesregierung zuzurechnen sind oder sein könnten, sah der Entwurf vor, dass der BfD ausschließlich im Einvernehmen mit der Bundesregierung aussagen darf, § 23 Abs. 6 S. 2 BDSG-E. Schließlich sollten nach dem Ende seiner Amtszeit Aussagen und Erklärungen, soweit diese Angelegenheiten betreffen, die dem BfD in seiner amtlichen Tätigkeit bekanntgeworden sind, durch den amtierenden BfD genehmigt werden müssen, § 23 Abs. 5 S. 3 BDSG-E.
84 EuGH, C-518/07, NJW 2010, S. 1265 ff. – KOM vs. Bundesrepublik Deutschland; dazu Bull, EuZW 2010, S. 488 ff.; Roßnagel, EuZW 2010, S. 299 ff.; Schild, DuD 2010, S. 549 ff.; s.a. EuGH, C-614/10, ZD 2012, S. 563 ff. – KOM vs. Österreich; dazu Schmidl, ELR 2012, S. 291 ff. 85 BT-Drs. 18/2848.
E. Gesetzesinitiativen für einen qualitativen Datenschutz im Netz?
187
Diese Regelungen waren passgenau auf den Untersuchungsausschuss „NSA“ zugeschnitten, der am 20. März 2014 eingesetzt worden war und das Ausmaß sowie die Hintergründe der Ausspähungen durch ausländische Geheimdienste in Deutschland aufklären sollte.86 Jener befragte u. a. den BfD a.D. Peter Schaar als Zeugen. Im Ergebnis standen die dargestellten – als Maulkorb-Regelungen bezeichneten – Vorschriften in krassem Widerspruch zu der Ankündigung der Bundesregierung, auf eine Aufklärung der NSA-Affäre zu drängen.87 Die Unabhängigkeit bzw. die effektive Aufgabenwahrnehmung einer Behörde hängt im Wesentlichen von ihrer personellen, finanziellen und kompetenziellen Ausstattung ab.88 Angesichts der beiden erstgenannten Aspekte plante die Bundesregierung lediglich unwesentliche und bezüglich des letztgenannten Aspekts überhaupt keine Erweiterungen. Im Verhältnis zu den sich stetig komplexer darstellenden Aufgaben des BfD bzw. der Ausstattung der durch diesen zu kontrollierenden Stellen begründete auch dieses Versäumnis ernsthafte Zweifel daran, dass die Bundesregierung tatsächlich die Unabhängigkeit des BfD zu stärken beabsichtigte. Aufgrund der teilweise heftigen Kritik an dem Entwurf entschied sich der Innenausschuss, dem Bundestag in seiner Beschlussempfehlung anstatt einer Einvernehmens- eine Benehmenslösung bezüglich des Aussagerechts des BfD vorzuschlagen.89 Weitere Kritik nahm sich der Innenausschuss jedoch nicht an. Schließlich verabschiedete der Bundestag den Vorschlag in der Fassung des Innenausschusses. Im Ergebnis wurde die Gesetzesinitiative dem Anspruch, der sich aus ihrem Titel ableiten lässt, in nur sehr beschränktem Umfang gerecht und verhinderte dessen Verwirklichung sogar zum Teil.90 Damit war das Gesetz nicht Ausdruck eines gesetzgeberischen Leitbildwandels, sondern vielmehr die Folge eines von der europäischen Ebene ausgehenden Umsetzungsdrucks, dem erst die Bundesregierung und dann auch der Bundestag mit einem Minimalprogramm gerecht zu werden versuchten.91
86
Siehe den Einsetzungsbeschluss BT-Drs. 18/843. CDU/CSU/SPD, Deutschlands Zukunft gestalten, online, S. 104. 88 Zur Funktionsfähigkeit der Datenschutzaufsicht in Deutschland Lüdemann/Wenzel, RDV 2015, S. 285 ff. 89 BT-Drs. 18/3598. Zu der Kritik s. das Protokoll sowie die schriftlichen Stellungnahmen der Sachverständigen zu der am 1. 12. 2014 vom Innenausschuss veranstalteten öffentlichen Anhörung zum Thema Datenschutz, abrufbar unter: http://www.bundestag.de/ausschuesse18/ a04/anhoerungen/30_sitzung_inhalt/341986; s.a. Entschließungsantrag der Fraktion Bündnis 90/Die GRÜNEN, BT-Drs. 18/3603, sowie Entschließungsantrag der Fraktion DIE LINKE, BT-Drs. 18/3602; s. außerdem Positionspapier des BfD vom 15. 10. 2014, online. 90 Krit. hierzu auch Schaar, MMR 2014, S. 641 f.; s.a. Roßnagel, ZD 2015, S. 106 ff.; Thomé, VuR 2015, S. 130 ff.; von Lewinski, ZG 2015, S. 228 ff. Zum vermeintlichen Einfluss der DS-GVO auf das Aufsichtsregime in Deutschland Lüdemann/Wenzel, RDV 2015, S. 285 ff. 91 So a. Schaar, MMR 2014, S. 641 f.; Roßnagel, ZD 2015, S. 106 (111). 87
188
§ 6 E-Privacy als neues Datenschutzleitbild
2. Verbandsklagerechte im Datenschutzrecht Mit dem Entwurf eines Gesetzes zur Verbesserung der zivilrechtlichen Durchsetzung verbraucherschützender Vorschriften des Datenschutzrechts vom 15. April 2015 wollte die Bundesregierung dem Vollzugsdefizit im Datenschutzrecht entgegenwirken und somit ein Versprechen aus dem Koalitionsvertrag einlösen.92 Dieses Vollzugsdefizit ist insbesondere einem zwischen den Interessen bzw. Ressourcen der Akteure des Datenschutzes bestehenden Ungleichgewicht geschuldet: Einerseits nimmt das Interesse nicht-öffentlicher Stellen an der Erhebung und Verarbeitung personenbezogener Daten mit den Möglichkeiten jene zu kommerzialisieren stetig zu.93 Andererseits wird eine flächendeckende aufsichtsbehördliche Kontrolle onlinestattfindender Erhebungs- und Verarbeitungsvorgänge ebenso wie die Kontrolle durch die Betroffenen aufgrund des hiermit verbundenen erheblichen Aufwands immer unwahrscheinlicher. Um dieses Ungleichgewicht abzumildern, sah der in Rede stehende Entwurf die Stärkung der Verbandsklagemöglichkeiten im Datenschutzrecht vor. Bereits vor dieser Gesetzesinitiative wurde die Geltendmachung von Beseitigungs- und Unterlassungsansprüchen durch Verbraucherschutzverbände nach dem UWG94 in Bezug auf Datenschutzverstöße – zumindest teilweise – anerkannt.95 Voraussetzung hierfür war u. a., dass die datenschutzwidrige Handlung gleichzeitig als unlautere geschäftliche Handlung i.S.d. UWG qualifiziert werden konnte. Als solche galten bis dato insbesondere Verletzungen von Marktverhaltensregeln, § 4 Nr. 11 UWG.96 Außerdem konnten Interessenverbände gem. § 1 i.V.m. §§ 3 Abs. 1, 4 Abs. 1 und 2 UKlaG97 auf Unterlassung der Verwendung datenschutzwidriger AGB klagen. Gleichwohl war es diesen hiernach nicht möglich, gegen die Erhebung und Verarbeitung personenbezogener Daten aufgrund unwirksamer AGB bzw. bei fehlender Einwilligung des Betroffenen vorzugehen. Folglich stellten sich die Verbandsklagemöglichkeiten im Datenschutzrecht sehr limitiert dar. 92
BT-Drs. 18/4631; zu dem Entwurf Reif, RDV 2014, S. 206 f.; Schulz, ZD 2014, S. 510 ff. Zum informationellen Kapitalismus Sevignani, Privacy and Capitalism in the Age of Social Media, S. 47 ff.; s.a. Specht, Konsequenzen der Ökonomisierung informationeller Selbstbestimmung; Weichert, NJW 2001, S. 1463 ff.; Bräutigam, MMR 2012, S. 635 ff. 94 Die im Folgenden zitierten Vorschriften des UWG sind, wenn nicht anders gekennzeichnet, solche der zwischen dem 4. 8. 2009 und dem 9. 12. 2015 geltenden Fassung des Gesetzes, s. Neubekanntmachung des UWG vom 3. März 2010, BGBl. I S. 254 – 263. 95 Für die Möglichkeit einer gerichtlichen Geltendmachung OLG Köln, I-6 U 73/10 u. a., CR 2011, S. 680 ff.; OLG Karlsruhe, 6 U 38/11, NJW 2012, S. 3312 ff.; KG Berlin, 5 U 42/12, CR 2014, S. 319 ff.; a.A. OLG Frankfurt, 11 U (Kart) 44/95, CR 1997, S. 275 ff.; OLG München, 29 U 3926/11, CR 2012, S. 269 f. 96 Zu § 13 TMG als Marktverhaltensregel s. OLG Hamburg, 3 U 26/12, ZD 2013, S. 511 f.; zu §§ 4, 28 BDSG 2003 s. OLG Karlsruhe, 6 U 38/11, NJW 2012, S. 3312 ff. 97 Die im Folgenden zitierten Vorschriften des UKlaG sind, wenn nicht anders gekennzeichnet, solche der zwischen dem 1. 1. 2007 und dem 23. 2. 2016 geltenden Fassung des Gesetzes, s. Neubekanntmachung des UKlaG vom 22. August 2002, BGBl. I S. 3422 – 3426, zuletzt geändert durch Gesetz vom 17. 12. 2006, BGBl. I S. 3171 – 3174. 93
E. Gesetzesinitiativen für einen qualitativen Datenschutz im Netz?
189
Um jene Unzulänglichkeiten auszugleichen, sah der Entwurf eine Änderung des UKlaG vor. Hiernach sollten datenschutzrechtliche Vorschriften, welche die Rechtmäßigkeit der Erhebung, Verarbeitung und Nutzung von Verbraucherdaten durch nicht-öffentliche Stellen zu bestimmten kommerziellen Zwecken regeln, in den Katalog der Verbraucherschutzgesetze nach § 2 Abs. 2 S. 1 UKlaG aufgenommen werden.98 So sollte gesetzlich klargestellt werden, dass diese Datenschutzbestimmungen auch verbraucherschützenden Charakter haben, mithin qualifizierte Einrichtungen i.S.d. UKlaG insoweit Ansprüche auf Unterlassung und Beseitigung geltend machen können. Dennoch sollten diese Einrichtungen nicht jede datenschutzwidrige Handlung angreifen können, sondern lediglich solche, die einem kommerziellen Zweck dienen, etwa der Werbung oder der Markt- und Meinungsforschung, und des Weiteren kollektive Verbraucherinteressen berühren. Die Voraussetzung, dass die anspruchsstellende Einrichtung das Vorliegen einer kommerziellen Zweckrichtung in Bezug auf die datenschutzwidrige Handlung darzulegen hat, stellte ein potentielles Klagehemmnis dar, welches der ursprüngliche Referentenentwurf des BMJV nicht vorsah und letztlich einer massiven Lobbyarbeit der Interessenverbände der datenverarbeitenden Wirtschaft geschuldet war,99 die während der Ressortabstimmung betrieben wurde.100 Jene Restriktion wurde insbesondere durch den Bundesrat kritisiert. Diesem zufolge sollten generell alle datenschutzrechtlichen Verpflichtungen, die den Umgang nicht-öffentlicher Stellen mit personenbezogenen Daten regeln, auch durch Verbraucherschutzverbände durchgesetzt werden können, um namentlich die Verwirklichung der Betroffenenrechte zu stärken.101 Außerdem setzte sich dieser in seiner Stellungnahme zu dem Gesetzentwurf für die Einführung eines allgemeinen Kopplungsverbots im Datenschutzrecht ein, welches die Schwächen der datenschutzrechtlichen Einwilligungslösung kompensieren sollte.102 Beiden Anliegen erteilte die Bundesregierung in ihrer Gegenäußerung eine eindeutige Absage. Die genannten Einschränkungen rechtfertigte sie mit dem Schutz kleiner und mittelständischer Unternehmen vor zu hohen datenschutzrechtlichen Einschränkungen. Die Etablierung eines allgemeinen Kopplungsverbots lehnte sie mit dem Argument ab, dass durch den Erlass der DS-GVO das BDSG ohnehin in naher Zukunft obsolet werde, mithin eine so weitreichende Änderung wenig zweckmäßig erscheine.103 98
BT-Drs. 18/4631, S. 7 f. Der ursprüngliche Entwurf ist abrufbar unter: https://www.datenschutz-notizen.de/neueverbraucherschuetzende-vorschriften-des-datenschutzrechts-115435/. 100 Siehe etwa die Stellungnahme von BITKOM, abrufbar unter: http://www.cr-online.de/ Stellungnahme_BITKOM.pdf; s.a. Stellungnahme der GDV, abrufbar unter: http://www.gdv.de/ wp-content/uploads/2014/08/GDV-Stellungnahme-Verbandsklagerecht-Datenschutz-2014.pdf. 101 BT-Drs. 18/4631, S. 33. 102 BT-Drs. 18/4631, S. 36. In diese Richtung tendierte auch der Änderungsantrag der Fraktion Bündnis 90/Die GRÜNEN, BT-Drs. 18/7085. 103 Vgl. BT-Drs. 18/4631, S. 38 f. 99
190
§ 6 E-Privacy als neues Datenschutzleitbild
Anschließend zogen sich die dargestellten Argumentationslinien durch die gesamte parlamentarische Auseinandersetzung mit dem Gesetzentwurf. Insoweit zeichnete sich der Schutz von Start-Up-Unternehmen vor „Verdachtsklagen sozusagen einfach ins Blaue hinein“104 als das Mantra der Vertreter der CDU/CSUFraktion ab. Dieser Sorge lag eine Fehleinschätzung der Motivationen und Ressourcen von Verbraucherschutzverbänden zugrunde.105 Dennoch trug auch der Innenausschuss den genannten Bedenken Rechnung. Dieser schlug die Einführung einer Berichtspflicht zulasten qualifizierter Einrichtungen, die Ansprüche gem. § 2 Abs. 1 UWG aufgrund von Zuwiderhandlungen gegen Verbraucherschutzgesetze durch Abmahnungen oder Klagen geltend machen, vor. Außerdem wies er in seiner Beschlussempfehlung darauf hin, dass die im UKlaG vorgesehenen, abgestuften Möglichkeiten der Abmahnung und Unterlassungsklage durch die anspruchsberechtigten Stellen mit Bedacht einzusetzen seien und Abmahnungen, die nicht der Rechtsdurchsetzung, sondern der Gewinnerzielung des Abmahnenden dienen, keine sachgerechte Ausübung der Rechte nach dem UKlaG darstellten. Auch diese Ermahnung war Ausdruck einer Verkehrung der tatsächlichen Verhältnisse. Es wurde hier ein Szenario beschrieben, in welchem Start-Up-Unternehmen durch übermächtige und klagefreudige Interessenverbände in ihrer Existenz bedroht werden und eben nicht Verbraucherschutzverbände beabsichtigen, Aufsichtsbehörden und Betroffene bei der Wahrnehmung ihrer Aufgaben bzw. Rechte gegenüber Diensteanbietern wie Google, Facebook und Amazon zu unterstützen.106 Schließlich wurde der Gesetzentwurf in der Innenausschussfassung angenommen.107 Ob das Verbandsklagerecht seinen Zweck erfüllt und das Vollzugsdefizit im Datenschutzrecht abmildert, wird sich in Zukunft noch zeigen müssen. Erste Verfahren begründen insofern bereits eine berechtigte Hoffnung.108 Gleichwohl lassen sich aus dem dargestellten Gesetzgebungsverfahren mindestens zwei aussagekräf104 So Stefan Heck (CDU/CSU-Fraktion) während der ersten Lesung des Gesetzentwurfs, 18. WP, 100. Sitzung am 23. 4. 2015, 9593 (C); s.a. Stellungnahme der CDU/CSU-Fraktion in BT-Drs. 18/6916, S. 6. Im Gegensatz hierzu ging die SPD-Fraktion nicht von einer zu erwartenden „Abmahnwelle“ aus, s. BT-Drs. 18/6916, S. 6. 105 So auch Zinke, Eine Erweiterung der Verbandsklagebefugnisse auf datenschutzrechtliche Verstöße stärkt den Datenschutz in Zeiten von Big Data, in: Taeger (Hrgs.), DSRITB 2014, S. 161 ff.; krit. wegen vermeintlicher Kompetenzkonflikte Ritter/Schwichtenberg, VuR 2016, S. 95 ff. 106 Differenziert insoweit Gola, RDV 2016, S. 17 (21 f.). Teilweise wurde vertreten, eine Erweiterung des UKlaG gemäß den Plänen der Bundesregierung sei unionsrechtswidrig, insb. mit Art. 8 GRCh unvereinbar, so etwa Gerhard, CR 2015, S. 338 ff. 107 Zu dem Gesetz Dönch, BB 2016, S. 962 ff.; Elbrecht/Schröder, K&R 2015, S. 361 ff.; s.a. Podszun/de Toma, NJW 2016, S. 2987 ff.; Spindler, ZD 2016, S. 114 ff. 108 Siehe etwa die Verfahren der Verbraucherzentrale NRW gegen den „Like-Button“ von Facebook, LG Düsseldorf, 12 O 151/15, DuD 2016, S. 397 ff. sowie OLG Düsseldorf, I-20 U 40/16 u. a., K&R 2017, S. 196 f. mit Anm. Schulte, K&R 2017, S. 198 f.; gegen Datenschutzklauseln von Microsoft bzgl. der Verwendung von Microsoft 10, LG München, 12 O 909/ 16; gegen die Datenschutzbestimmungen von Samsung bzgl. Smart-TVs, LG Frankfurt, 2 – 3 O 364/15 u. a., DuD 2016, S. 613 ff.
F. Das Grundrecht auf Vertraulichkeit informationstechnischer Systeme
191
tige und programmatische Aussagen bzgl. des gesetzgeberischen Leitbildes für das Datenschutzrecht ableiten. Zunächst stellte die Ausweitung der Verbandsklagemöglichkeiten im Datenschutzrecht einen bereits seit langem von Datenschützern propagierten Ansatz dar, den der Gesetzgeber erst spät aufgriff und anschließend mit umfassenden Einschränkungen versah. Dies lag insbesondere an dem erheblichen Widerstand der Wirtschaftsverbände, der sich angesichts der sich abzeichnenden negativen Konsequenzen für Unternehmen und ganze Geschäftszweige, deren Geschäftsmodelle auf der Kommerzialisierung personenbezogener Daten basieren, formierte. Dass diese Geschäftsmodelle dem Schutz der informationellen Selbstbestimmung der Betroffenen i. d. R. diametral zuwiderlaufen,109 spielte insoweit zumindest für die Vertreter der CDU/CSU-Fraktion, die eine übertriebene Sorge vor dem Missbrauch des Klagerechts schürten, eine – wenn überhaupt – untergeordnete Rolle. Der gefundene Ausgleich zwischen den unternehmerischen Interessen einerseits und den der Betroffenen andererseits konnte im Ergebnis die Verwirklichung der Gesetzesinitiative zwar nicht verhindern, ließ diese aber weniger konsequent ausfallen. Somit wurde letztlich ein Element qualitativen Datenschutzes im Datenschutzrecht ausgebaut, dies erfolgte aber mit erheblicher Verspätung und deutlichen Einschränkungen.
F. Das Grundrecht auf Vertraulichkeit und Integrität informationstechnischer Systeme I. Die Entscheidung des BVerfG zur sog. Online-Durchsuchung Das Urteil des BVerfG vom 27. Februar 2008 zur sog. Online-Durchsuchung ist als Ausdruck eines verfassungsrechtlichen Leitbildwandels mit zentraler Bedeutung für den Datenschutz zu qualifizieren.110 Der Entscheidung lagen verschiedene Verfassungsbeschwerden zugrunde, die sich insbesondere gegen Befugnisse des NRWVSG zum heimlichen Zugriff auf informationstechnische Systeme – etwa PCs und Smartphones – richteten.111 Diese sollten es den Sicherheitsbehörden ermögli-
109 Hierzu Weichert, DuD 2012, S. 716 ff.; hingegen bezeichnen Härting/Schneider den Vorwurf der „Geschäftemacherei“ mit Daten als „ebenso zutreffend wie naiv“, Härting/ Schneider, ZRP 2011, S. 233 (233). 110 BVerfG, 1 BvR 370, 595/07, BVerfGE 120, 274 – Online-Durchsuchung. So im Ergebnis auch Hauser, Das IT-Grundrecht, S. 344; Taraz, Das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme, S. 97. 111 Die maßgeblichen Vorschriften wurden überwiegend durch das Gesetz zur Änderung des Gesetzes über den Verfassungsschutz in Nordrhein-Westfalen vom 20. Dezember 2006, NRWGVBl. 2006, S. 620 – 621, in das NRWVSG eingefügt.
192
§ 6 E-Privacy als neues Datenschutzleitbild
chen, das jeweilige Zielsystem mittels einer technischen Infiltration auszulesen, zu überwachen und sogar fernzusteuern.112 Eingängig stellte das Gericht in seiner Urteilsbegründung dar, inwiefern entsprechende Systeme einen enormen Bedeutungszuwachs angesichts der Verwirklichung grundrechtlicher Positionen erfahren haben, etwa weil sie der Verwaltung und Archivierung persönlicher und geschäftlicher Angelegenheiten sowie als Kommunikationsmedien dienen. Der gesteigerten Relevanz dieser Systeme für die Persönlichkeitsentfaltung korrespondiere die gravierende Tragweite eines Zugriffs auf diese von außen, welcher i. d. R. umfassende Rückschlüsse auf die Persönlichkeit ihres Nutzers ermögliche. Nach Ansicht des Gerichts bedingen die komplexen Funktionsweisen von IT-Systemen eine besondere Vulnerabilität ihrer Nutzer, da das Ergreifen wirksamer technischer Selbstschutzmechanismen – sollten solche überhaupt zur Verfügung stehen – diese regelmäßig überfordere, mithin entsprechende Ausspähungen und Manipulationen für gewöhnlich durch den Einzelnen weder wahrgenommen noch abgewehrt werden könnten. Insoweit konstatierte das BVerfG das Bestehen eines verfassungsrechtlichen Schutzanspruchs.113 In seiner Entscheidung rekapitulierte das Gericht den Inhalt und die Grenzen der angesichts von Online-Durchsuchungen potentiell relevanten überkommenen grundrechtlichen Gewährleistungen, namentlich des Schutzes der Privatsphäre, des Rechts auf informationelle Selbstbestimmung und des Fernmeldegeheimnisses.114 Der verfassungsrechtliche Schutz der Privatsphäre verschafft dem Gericht zufolge dem Einzelnen einen räumlich und thematisch bestimmten Bereich, der prinzipiell frei von unerwünschter Einsichtnahme zu bleiben hat.115 Bei Online-Durchsuchungen würden aber nicht lediglich Daten erhoben, die als privat zu qualifizieren seien. Das Grundrecht auf informationelle Selbstbestimmung befähige demgegenüber seine Träger dazu, grundsätzlich selbst über die Preisgabe und Verwendung „ihrer“ Daten zu entscheiden und dies unabhängig davon, ob diese als privat gelten. Gleichwohl nahm das BVerfG an, dass das Grundrecht auf informationelle Selbstbestimmung der Bedeutung und Tragweite des Zugriffs auf informationstechnische Systeme nicht gerecht werde, da sich diese Grundrechtsposition nur auf einzelne Datenverarbeitungsprozesse beziehe, im Rahmen von Online-Durchsuchungen aber eine Vielzahl solcher erfolge.116 Auch der Schutz des Fernmeldegeheimnisses gem.
112
Insb. zu dem technischen Hintergrund von Online-Durchsuchungen Hornung, DuD 2007, S. 575 (575 f.); Hofmann, NStZ 2005, S. 121 ff.; Schaar/Landwehr, K&R 2007, S. 202 ff.; Warntjen, Jura 2007, S. 581 ff. 113 Allgemein zu grundrechtlichen Schutzpflichten in online-Kontexten Schliesky u. a. (Hrsg.), Schutzpflichten und Drittwirkung im Internet. 114 Zum ebenfalls insoweit thematisierten Art. 13 Abs. 1 GG Schlegel, GA 2007, S. 648 ff. 115 BVerfG, 1 BvR 370, 595/07, BVerfGE 120, 274 (313) – Online-Durchsuchung. 116 Diese Argumentation leuchtet vor dem Hintergrund, dass auch das Grundrecht auf informationelle Selbstbestimmung vor der Erstellung umfangreicher Persönlichkeitsprofile schützt, welche wiederum durch das Zusammentragen personenbezogener Daten mittels ver-
F. Das Grundrecht auf Vertraulichkeit informationstechnischer Systeme
193
Art. 10 Abs. 1 GG begegne dem Potential entsprechender Eingriffe nicht ausreichend, da dieser lediglich auf die laufende Kommunikation via Telekommunikationsmittel beschränkt sei und damit gleichzeitig mit dem Telekommunikationsprozess ende.117 Bei Online-Durchsuchungen würden im Gegensatz hierzu auch archivierte – mithin aus abgeschlossenen Kommunikationsvorgängen stammende – Daten erfasst. Um die aufgezeigten Schutzlücken zu schließen, leitete das BVerfG aus dem Allgemeinen Persönlichkeitsrecht das Grundrecht auf Vertraulichkeit und Integrität informationstechnischer Systeme ab.118 Dessen Bezugspunkt sind dem Gericht zufolge solche Systeme, „die allein oder in ihren technischen Vernetzungen personenbezogene Daten des Betroffenen in einem Umfang und in einer Vielfalt enthalten können, dass ein Zugriff auf das System es ermöglicht, einen Einblick in wesentliche Teile der Lebensgestaltung einer Person zu gewinnen oder gar ein aussagekräftiges Bild der Persönlichkeit zu erhalten“.119 Dort gespeicherte Daten seien grundsätzlich vertraulich, mithin müssten insofern Ausspähungen und Überwachungen unterbleiben. Zum anderen seien auch Manipulationen prinzipiell unrechtmäßig. Diese Rechtsfolgen sind zunächst abwehrrechtlicher Natur. Die Ausführungen des Gerichts sind jedoch konsequent weiterzuführen, wodurch sich zwei weitere Dimensionen des genannten Grundrechts offenbaren: Dessen Schutz- bzw. Gewährleistungsfunktion sowie die von diesem ausgehende mittelbare Drittwirkung. Die Bedrohungslage im Hinblick auf informationstechnische Systeme wird allgemein durch Handlungen nicht-öffentlicher Stellen dominiert, die gewinnwirtschaftlich motiviert versuchen, sich möglichst weitreichende Einblicke in die informationstechnischen Systeme von Verbrauchern zu verschaffen und die hierbei gewonnenen Erkenntnisse im Rahmen von „targeted advertising“-Modellen zu verwerten. Insoweit stellt sich einerseits die Frage, ob und inwiefern der Einzelne staatlicherseits Schutz vor den Beeinträchtigungen der Integrität und Vertraulichkeit seiner informationstechnischen Systeme durch Dritte verlangen kann und andererseits inwiefern diese Dritten selbst grundrechtsverpflichtet sein können.120 schiedener Datenverarbeitungsvorgänge entstehen, nicht zweifelsfrei ein. Krit. auch Eifert, NVwZ 2008, S. 521 ff.; Hornung, Grundrechtsinnovationen, Fn. 424 m.w.N. 117 Zum Gehalt des verfassungsrechtlichen Fernmeldegeheimnisses Gusy, in: vMSK (Hrsg.), GG, Art. 10 Rn. 39 ff. 118 Umfassend zu dem Grundrecht auf Vertraulichkeit und Integrität informationstechnischer Systeme Hoffmann-Riem, JZ 2008, S. 1009 ff.; s.a. Drallé, Das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme; Gusy, DuD 2009, S. 33 ff.; Herrmann, Das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme; Holzner, Die Online-Durchsuchung: Entwicklung eines neuen Grundrechts; Hornung, CR 2008, S. 299 ff.; Taraz, Das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme. 119 BVerfG, 1 BvR 370, 595/07, BVerfGE 120, 274 (314) – Online-Durchsuchung. 120 Hierzu Heckmann, Staatliche Schutz- und Förderpflichten zur Gewährleistung von ITSicherheit, in: Rüßmann (Hrsg.), FS für Gerhard Käfer, S. 129 ff.; s.a. Härting, CR 2008, S. 743 (748); Hauser, Das IT-Grundrecht, S. 292; Hermann, Das Grundrecht auf Gewährleistung der
194
§ 6 E-Privacy als neues Datenschutzleitbild
Jedenfalls hat die Realisierung des genannten Grundrechts insgesamt durch ein Zusammenwirken von Recht und Technik zu erfolgen. Hierzu führte das Gericht aus, dass lediglich eine normklare und verhältnismäßige Ermächtigungsgrundlage staatliche Eingriffe in die Integrität und Vertraulichkeit informationstechnischer Systeme rechtfertigen könne. Deren Verhältnismäßigkeit setze wiederum voraus, dass diese verfahrensrechtliche Vorkehrungen zum Schutze des Betroffenen und insbesondere des Kernbereichs seiner privaten Lebensgestaltung vorsehe, namentlich auch informationstechnische Sicherungen.121 Außerdem brachten auch die Ausführungen des Gerichts zu Art. 10 Abs. 1 GG ein innovatives Verständnis von dessen Gewährleistungsgehalt zum Ausdruck. Insoweit stellte das BVerfG fest, dass in Bezug auf sog. Quellen-Telekommunikationsüberwachungen, bei welchen mittels einer Infiltration des Zielsystems die Daten einer laufenden Telekommunikation „abgefangen“ werden, rechtliche wie technische Vorgaben sicherzustellen haben, dass keine über den jeweiligen Kommunikationsprozess hinausgehenden Daten den Sicherheitsbehörden zur Kenntnis gelangen.122 Oder anders ausgedrückt: Der wirksame Schutz des Fernmeldegeheimnisses erfordere hier eine Kooperation von Recht und Technik. Im Ergebnis ist das Urteil auf allen ausgemachten Ebenen Ausdruck eines Leitbildwandels.123 Ausgangspunkt des „neuen Grundrechts“ ist der Umstand,124 dass sich der Einzelne für seine Persönlichkeitsentfaltung immer stärker auf die Vertraulichkeit und Integrität informationstechnischer Systeme verlassen können muss. Aufgrund des durch die flächendeckende Verbreitung des Internets angestoßenen technischen und sozialen Wandels kann er staatlicherseits nicht mehr darauf verwiesen werden, deren Einsatz schlechthin zu unterlassen. Hier steht folglich nicht die Abwehr einer analogen Datenverarbeitung durch den Staat im Fokus der gerichtlichen Aufmerksamkeit, welche den Ausgangspunkt des Volkszählungsurteils bildete, sondern die selbstbestimmte bzw. grundrechtskonforme Nutzung von Kommunikationsmedien insbesondere in online-Kontexten, die erst staatlicherseits Vertraulichkeit und Integrität informationstechnischer Systeme, S. 182; Luch, MMR 2011, S. 75 (79). Zur staatlichen Infrastrukturverantwortung aufgrund des IT-Grundrechts G. Schulz, DuD 2012, S. 395 ff.; Hoffmann/Schulz/Borchers, MMR 2014, S. 89 (91). Zum Schutz gegenüber ausländischen Nachrichtendiensten und Internetunternehmen Taraz, Das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme, S. 161 ff. 121 BVerfG, 1 BvR 370, 595/07, BVerfGE 120, 274 (338) – Online-Durchsuchung. 122 BVerfG, 1 BvR 370, 595/07, BVerfGE 120, 274 (309) – Online-Durchsuchung. Zu den Schwierigkeiten dieses Kriterium zu erfüllen BVerfG, 1 BvR 966/09, BVerfGE 141, 220 (234) – BKA-Gesetz. Instruktiv zu rechtlichen und technischen Voraussetzungen der sog. QuellenTKÜ Keller/Braun/Hoppe (Hrsg.), Telekommunikationsüberwachung und andere verdeckte Ermittlungsmaßnahmen, S. 44 ff. 123 I.E. auch Luch, MMR 2011, S. 75 ff. Hornung spricht insoweit von einer echten grundrechtlichen Basisinnovation Hornung, Grundrechtinnovationen, S. 282. 124 Dafür, dass es sich bei dem Grundrecht auf Vertraulichkeit und Integrität nicht um eine neues Grundrecht handelt, Worms, RuP 2009, S. 138 (145).
F. Das Grundrecht auf Vertraulichkeit informationstechnischer Systeme
195
ermöglicht bzw. sichergestellt werden muss, wenn und soweit der Einzelne hierzu selbst nicht in der Lage ist.125 Bezeichnenderweise wurde das in Rede stehende Grundrecht später auch als internetspezifisches Grundrecht tituliert.126 Auf der Akteursebene drückt sich der Wandel wie folgt aus: Der Einzelne soll nicht länger ausschließlich vor dem Einsatz von Datenverarbeitungstechniken und -verfahren durch Dritte geschützt werden, sondern diesem soll die Nutzung derselben als Ausdruck und Voraussetzung seiner Grundrechtsverwirklichung ermöglicht werden.127 Dies erfordert nicht lediglich das Unterlassen von Ausspähungen und Manipulationen, sondern darüber hinaus die grundrechtskonforme Ausgestaltung entsprechender Systeme und Infrastrukturen – diese müssen eben vertraulich und integer sein.128 Informationstechnische Systeme werden weit überwiegend durch Private produziert und durch diese ausgespäht bzw. manipuliert. Insoweit kommt der Schutz- bzw. Gewährleistungsfunktion des Grundrechts sowie dessen mittelbarer Drittwirkung eine gesteigerte Bedeutung zu.129 Die Entscheidung stellt keinen Bruch zu der bisherigen Rechtsprechung des Verfassungsgerichts zum Persönlichkeitsschutz im Kontext von Datenverarbeitungsvorgängen – namentlich zur Sphärentheorie und dem Recht auf informationelle Selbstbestimmung – dar.130 Vielmehr lässt sich aus verfassungsgerichtlichen Folgeentscheidungen die Anerkennung einer „Koexistenz“ des IT-Grundrechts und der informationellen Selbstbestimmung ableiten.131 Dennoch kommt in dem Richterspruch eine Perspektiverweiterung zum Ausdruck, der zufolge (Datenschutz-)Recht nicht mehr ausschließlich die negativen Folgen des Technikeinsatzes zu verhindern hat, etwa dass Daten von einer Sphäre ohne Weiteres in eine andere mittels Informationstechnologien überführt bzw. im Rahmen von umfassenden Persönlichkeitsprofilen zusammengetragen werden, sondern (Datenschutz-)Recht und Technik gemeinsam den persönlichkeitskonformen Einsatz von IT sicherzustellen haben.
125
So i.E. auch Böckenförde, JZ 2008, S. 925 (927). Hoffmann/Schulz/Borchers, MMR 2014, S. 89 (91); zur digitalen Dimension verschiedener Grundrechte Hoffmann u. a. (Hrsg.), Die digitale Dimension der Grundrechte; Luch/ Schulz, MMR 2013, S. 88 ff. 127 Nach Böckenförde stellt sich der Perspektivwandel auf der Akteursebene partiell anders dar. Ihm zufolge wird im Rahmen des Urteils primär die „Figur des sich informationell selbst Bestimmenden zurückgedrängt, indem etwa Erwartungen an die Gewährleistung der Sicherheit des Systems durch technischen Selbstschutz zurückgeschraubt [werden].“ Böckenförde, JZ 2008, S. 925 (938). 128 Anders Hauser, der den wesentlichen Inhalt des „neuen Grundrechts“ als vergegenständlichtes, abwehrrechtliches Schutzkonzept qualifiziert, Hauser, Das IT-Grundrecht, S. 64. 129 Zur Drittwirkung des Grundrechts Bartsch, CR 2008, S. 613 ff.; Stögmüller, CR 2008, S. 435 ff.; Roßnagel/Schnabel, NJW 2008, S. 3534 ff. 130 Die Entwicklungslinien der Rechtsprechung zu den genannten Ausprägungen des APR darstellend Gusy, KritV 2000, S. 52 ff. 131 So jedenfalls Hornung, Grundrechtsinnovationen, S. 286. 126
196
§ 6 E-Privacy als neues Datenschutzleitbild
Unabhängig von einigen vermeintlichen dogmatischen Inkonsistenzen der Entscheidung ist anzuerkennen,132 dass das BVerfG spätestens mit der in Rede stehenden Entscheidung einen Perspektivwandel vollzogen hat, der durch den Siegeszug des Internets forciert sowie bereits in den ausgehenden 1990er Jahren in der rechtswissenschaftlichen Literatur vorbereitet wurde und dem ein neuer Anspruch an das Datenschutzrecht folgt: Wirksamer Datenschutz manifestiert sich nicht ausschließlich in unterbliebener Kommunikation, sondern vielmehr in der grundrechtskonformen Ausgestaltung und Nutzung von Datenverarbeitungstechniken und -verfahren.133 Beides bedarf wiederum Verkehrsregeln und Umsetzungsmechanismen, die grundsätzlich staatlicherseits bestimmt und kontrolliert werden müssen. Entsprechend wird die schlichte Statuierung rechtlicher Ge- und Verbote diesen Anforderungen i. d. R. nicht gerecht. Somit hat der verfassungsrechtliche Leitbildwandel auch Konsequenzen für den Gesetzgeber: Dieser hat das bestehende – und überwiegend noch als abwehrrechtlich bzw. quantitativ zu qualifizierende – Datenschutzrecht fortzuentwickeln und hierdurch den grundrechtskonformen Einsatz von Informationstechnologien sicherzustellen, um seinen Schutzpflichten bzw. seiner Infrastrukturverantwortung gerecht zu werden.134
II. Gesetzgeberische Konsequenzen des Grundrechts auf Vertraulichkeit und Integrität informationstechnischer Systeme Von dem im verfassungsgerichtlichen Urteil zur Online-Durchsuchung entwickelten Grundrecht auf Vertraulichkeit und Integrität informationstechnischer System geht für alle staatliche Gewalt und damit auch die Legislative eine Bindungswirkung aus. Das Grundrecht muss folglich der gesetzgeberischen Tätigkeit zugrunde gelegt bzw. durch diese verwirklicht werden.135 Im Rahmen der BDSGNovellen I bis III spielte es jedoch – wenn überhaupt – lediglich eine untergeordnete Rolle. Es fand keine ausdrückliche Auseinandersetzung mit diesem im Laufe der verschiedenen Gesetzgebungsverfahren statt und manifestierte sich konsequenterweise auch nicht explizit im Text des BDSG. Gleichwohl stellt sich nach Verkündung des Urteils die Frage nach der Anwendung überkommener Datenschutzvorschriften im Lichte der neuen Gewährleistung. 132
Krit. gegenüber der Entscheidung insb. Eifert, NVwZ 2008, S. 521 ff.; s.a. Britz, DÖV 2008, S. 411 ff.; Hoeren, MMR 2008, S. 365 f. 133 Hierzu prominent Hoffmann-Riem, AöR 123 (1998), S. 513 (527 ff.). 134 So i.E. auch Roßnagel/Schnabel, NJW 2008, S. 3534 (3538). Zu der Bedeutung der Entscheidung für die Etablierung einer E-Privacy Böckenförde, JZ 2008, S. 925 (939); Taraz, Das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme, S. 280 f. 135 Siehe Hoffmann/Schulz/Borchers, MMR 2014, S. 89 (93 ff.), die verschiedene gesetzgeberische Reaktionsmöglichkeiten aufzeigen, um dem IT-Grundrecht gerecht zu werden.
F. Das Grundrecht auf Vertraulichkeit informationstechnischer Systeme
197
Dies gilt insbesondere für die Vorgaben des § 9 BDSG 2003 zu technischen und organisatorischen Datenschutzmaßnahmen.136 Demgegenüber veranschaulichten verschiedene andere Gesetzgebungsverfahren,137 dass der Bundesgesetzgeber die Perspektiverweiterung des BVerfG hinsichtlich der Ausrichtung legislativer Vorgaben für die Datenverarbeitung – von der Abwehr vornehmlich staatlicher Eingriffe zur Verwirklichung von Schutzpflichten auch gegenüber Privaten – zusehends nachvollzog.138 Entsprechend wurde in den einschlägigen Debatten die staatliche Verantwortung für die Etablierung grundrechtskonformer IT-Infrastrukturen betont und immer stärker konturiert.139 Dies zeigten neben unterschiedlichen Initiativen der Fraktion Bündnis 90/Die GRÜNEN, denen zufolge die Grundrechte auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme einerseits und das auf informationelle Selbstbestimmung andererseits ausdrücklich in den Text des Grundgesetzes aufgenommen werden sollten,140 namentlich die Gesetzgebungsverfahren zur Einführung des elektronischen Personalausweises und von De-Mail-Diensten sowie das IT-Sicherheitsgesetz.141 1. Gesetz über Personalausweise und den elektronischen Identitätsnachweis Mit dem Entwurf eines Gesetzes über Personalausweise und den elektronischen Identitätsnachweis wollte die Bundesregierung u. a. einen wesentlichen Beitrag zur Etablierung einer sicheren technischen Infrastruktur für den zuverlässigen Nachweis der Identität in online-Anwendungen schaffen.142 Hierzu schlug sie vor, den Per136
So auch Hauser, Das IT-Grundrecht, S. 310; dazu auch Roßnagel/Schnabel, NJW 2008, S. 3534 (3538). 137 Zu den Konsequenzen des Urteils für den Sicherheitsbereich s. die Begründung des Gesetzentwurfs zur Änderung des BKA-Gesetzes, mit dem die Online-Durchsuchung durch das BKA geregelt werden sollte, BT-Drs. 16/10121, S. 28 ff., und später das Gesetz zur Abwehr von Gefahren des internationalen Terrorismus durch das Bundeskriminalamt vom 25. Dezember 2008, BGBl. I S. 3083 – 3094. Das BVerfG sollte die Regelungen zur Online-Durchsuchung später teilweise für verfassungswidrig erklären, BVerfG, 1 BvR 1140/09 u. a., BVerfGE 141, 220 – BKAG; zu der Entscheidung etwa Durner, DVBl. 2016, S. 780 ff. 138 Zu diesem Schluss kommt auch Schulz, DuD 2012, S. 395 (400). 139 Vgl. etwa BT-Drs. 16/9607, S. 4; BT, 16. WP, 225. Sitzung vom 59. 5. 2009, 24879 (AB), 24886 f. (C-A), 24894 (B); BT-Drs. 17/13866, S. 2; BT-Drs. 17/8161, S. 3. Zu Konsequenzen im TK-Bereich, BT-Drs. 17/13886. 140 Zu den Bestrebungen der Fraktion Bündnis 90/Die GRÜNEN zur Änderung des GG, BTDrs. 16/9607 und BT-Drs. 16/13170. Siehe hierzu Kloepfer/Schärdel, JZ 2009, S. 453 (458 ff.); krit. Hoffmann/Schulz/Borchers, MMR 2014, S. 89 (91 f.). 141 Zur Verwirklichung des Grundrechts auf Vertraulichkeit und Integrität im Rahmen des Personalausweisgesetzes und des De-Mail-Gesetzes überblicksartig Schulz, DuD 2012, S. 395 ff.; die genannten Initiativen kontextualisierend Ritter, VuR 2014, S. 334 ff. 142 BT-Drs. 16/10489, S. 21.
198
§ 6 E-Privacy als neues Datenschutzleitbild
sonalausweis für den elektronischen Identitätsnachweis sowohl im Rahmen von EGovernment- als auch E-Business-Anwendungen fruchtbar zu machen.143 Zu diesem Zweck sollte dieser mit einem RFID-Chip versehen werden und durch „ein Zusammenspiel rechtlicher Vorgaben, technischer Vorkehrungen und organisatorischer Maßnahmen die informationelle Selbstbestimmung der Bürgerinnen und Bürger [gesichert werden], indem eine von einem bestimmten Diensteanbieter gewünschte Datenübermittlung transparent gemacht wird und nur nach ausdrücklicher Freigabe durch den Personalausweisinhaber erfolgt“144. Konkret sollte durch ein Zertifizierungsverfahren gewährleistet werden, dass ein Diensteanbieter lediglich solche Daten abfragen kann, die für die Erbringung seines Dienstes erforderlich sind, und so die Realisierung der Datenschutzgrundsätze der Einwilligung, der Erforderlichkeit sowie der Datenvermeidung und -sparsamkeit technisch verwirklicht werden.145 Auch wenn das Grundrecht auf Vertraulichkeit und Integrität informationstechnischer Dienste im Rahmen der Gesetzesbegründung keine ausdrückliche Erwähnung fand – und seiner Ausrichtung nach auch nicht finden konnte146 –, lassen das Konzept und die Terminologie des Entwurfs darauf schließen, dass die Bundesregierung die Aussagen des BVerfG diesbezüglich zum Anlass nahm, den Vollzug überkommener datenschutzrechtlicher Ansätze verstärkt durch technische Lösungen sicherzustellen und so seinen Schutzpflichten Rechnung zu tragen.147 Nach der Einführung des neuen Personalausweises offenbarten sich hinsichtlich seiner elektronischen Identifizierungsfunktion Sicherheitsmängel und wird diese bislang lediglich zurückhaltend in Anspruch genommen.148 Gleichwohl veranschaulichte das Vorhaben den Umstand, dass sich die Bundesregierung zusehends
143 Außerdem sollte hiernach der Personalausweis zu einem biometriegestützten Ausweisdokument erweitert werden. Krit. insoweit ein Entschließungsantrag der FDP-Fraktion, BT-Drs. 16/11419, S. 9 f.; s.a. BT-Drs. 16/7749. 144 BT-Drs. 16/10489, S. 20 f. 145 Ausführlich zu den Datenschutzvorkehrungen im Hinblick auf den Gesetzentwurf zur Einführung eines elektronischen Personalausweises Reisen, DuD 2008, S. 164 ff.; instruktiv später auch Hornung/Horsch/Hühnlein, DuD 2012, S. 189 ff. 146 So jedenfalls überzeugend Taraz, Das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme, S. 118; vgl. auch Hauser, Das ITGrundrecht, S. 311. 147 Vgl. etwa § 18 Abs. 2 PAG-E: „1Der elektronische Identitätsnachweis erfolgt durch Übermittlung von Daten aus dem elektronischen Speicher- und Verarbeitungsmedium des Personalausweises. 2Dabei sind dem jeweiligen Stand der Technik entsprechende Maßnahmen zur Sicherstellung von Datenschutz und Datensicherheit zu treffen, die insbesondere die Vertraulichkeit und Unversehrtheit der Daten gewährleisten. 3Im Falle der Nutzung allgemein zugänglicher Netze sind Verschlüsselungsverfahren anzuwenden. […]“ So i.E. auch Luch, MMR 2011, S. 75 (77); Schulz, DuD 2012, S. 395 ff. 148 Zu den technischen Risiken des Einsatzes Schulz, DuD 2012, S. 395 ff.; zur mangelnden Beliebtheit der elektronischen Funktionen des neuen Personalausweises Greif, Online-Funktion des neuen Personalausweises wird kaum genutzt, online.
F. Das Grundrecht auf Vertraulichkeit informationstechnischer Systeme
199
ihrer verfassungsrechtlichen IT-Infrastrukturverantwortung bewusst wird und diese im Rahmen einer Kooperation von Recht und Technik zu verwirklichen versucht.149
2. Gesetz zur Regelung von De-Mail-Diensten Der Vorschlag der Bundesregierung vom 8. Oktober 2010 für ein Gesetz zur Regelung von De-Mail-Diensten reagierte auf den Umstand, dass sich E-Mails mittlerweile sowohl in beruflichen wie auch in privaten Kontexten als Kommunikationsmittel flächendeckend durchgesetzt haben, mit ihrer Nutzung aber erhebliche Sicherheitsrisiken einhergehen, da diese grundsätzlich unverschlüsselte Textnachrichten darstellen, die über ungeschützte Internetverbindung übertragen werden.150 Es ist technisch daher relativ mühelos möglich, sie wie eine Postkarte abzufangen, einzusehen und zu verändern. Die Nutzer unverschlüsselter E-Mails können sich mithin i. d. R. nicht sicher sein, mit wem sie kommunizieren, wer von dem Stattfinden sowie dem Inhalt ihrer Kommunikation Kenntnis erlangt und ob diese ggf. manipuliert wurde. Gleichzeitig sind bestehende Schutzmöglichkeiten, namentlich Verschlüsselungsverfahren, bislang insgesamt unpopulär geblieben.151 Die beschriebene Unsicherheit galt der Bundesregierung als ein potentielles Hemmnis für EGovernment- und E-Business-Anwendungen, dem diese durch die Etablierung einer Möglichkeit der sicheren und insofern vertraulichen online-Kommunikation begegnen wollte.152 Zu diesem Zweck sollte der Entwurf die Einführung von De-Mail-Diensten rechtlich vorbereiten. Hiernach sollten private Mail-Provider künftig eine sichere – weil verschlüsselte – Alternative zur herkömmlichen E-Mail anbieten. Die Integrität und Vertraulichkeit jener Mail-Funktion sollte durch eine Transport-Verschlüsselung sichergestellt werden, die im Rahmen eines Akkreditierungsverfahrens einer Überprüfung durch das BSI unterliegen sollte. Über jenen Basisdienst hinaus sollten De-Mail-Diensteanbieter außerdem einen Identitätsbestätigungsdienst und eine sichere Dokumentenablage anbieten können, §§ 1 Abs. 2, 6, 8 De-Mail-Gesetz-E.153 Letztere sollte es den Nutzern ermöglichen, Dateien zugriffssicher, verschlüsselt, jederzeit verfügbar und gegen Verlust geschützt digital aufzubewahren. Insgesamt lehnte sich die Terminologie und Ausrichtung des Gesetzentwurfs in weiten Teilen an das Urteil des BVerfG zur Online-Durchsuchung an.154 Bezüglich der Dokumentenablage ging dieser ausdrücklich davon aus, dass diese von dem 149
Überblicksartig zu den Konsequenzen des Gesetzes Borges, NJW 2010, S. 3334 ff. Vgl. BT-Drs. 17/3630, S. 18. 151 BT-Drs. 17/3630. Dieser Entwurf griff die Ansätze des Entwurfs über die Regelung von Bürgerportalen auf, BT-Drs. 16/12598. 152 BT-Drs. 17/3630, S. 18. 153 Zu allen potentiellen Funktionen, die unter den Begriff De-Mail-Dienst zu subsumieren sind Roßnagel, NJW 2011, S. 1473 (1475 ff.); s.a. Ritter, VuR 2014, S. 334 (337 ff.). 154 So auch Schulz, DuD 2012, S. 395 (397). 150
200
§ 6 E-Privacy als neues Datenschutzleitbild
Grundrecht auf Vertraulichkeit und Integrität informationstechnischer Systeme geschützt sei.155 Auch betonte der Gesetzesvorschlag die Schutz- und Gewährleistungsfunktion des Staates im Hinblick auf informationstechnische Infrastrukturen – im Gegensatz zu den Ausführungen des BVerfG in dem in Rede stehenden Urteil jedoch zugunsten der Wirtschaft.156 Im Ergebnis wurde im Rahmen der Initiative versucht, den rechtlichen Rahmen für eine sichere Kommunikation über das Internet bereitzustellen. Dem Entwurf lag die Erkenntnis zugrunde, dass die Akzeptanz potentieller Nutzer eine zwingende Voraussetzung für die Etablierung der neuen Dienste ist, mithin Sicherheit und Datenschutz nicht nur behauptet, sondern auch nachgewiesen werden müssen.157 Daher wurde das Akkreditierungsverfahren, welches die technische Realisation der gesetzlichen Vorgaben sicherstellen sollte, detailliert durch den Entwurf geregelt. Gleichwohl sah dieser im Hinblick auf den Versanddienst lediglich eine obligatorische Transport- im Gegensatz zu einer umfassenden Ende-zu-Ende-Verschlüsselung vor.158 Letztere sollte durch die Nutzer bei Bedarf selbst durchgeführt werden. Im Laufe der parlamentarischen Auseinandersetzung mit dem Gesetzesvorschlag stellte sich jene Vorgabe als die am heftigsten umstrittene dar.159 Im Gegensatz hierzu sah sich die von der Bundesregierung behauptete Notwendigkeit einer staatlicherseits zu gewährleistenden Möglichkeit der sicheren Kommunikation über das Internet keinen grundsätzlichen Bedenken ausgesetzt und wurde vielmehr sogar begrüßt.160 Aus datenschutzrechtlicher Perspektive ist die dargestellte Gesetzesinitiative differenziert zu bewerten. Einerseits schienen die einzelnen Regelungen partiell zu unbestimmt, das Datenschutzniveau zu niedrig angesetzt und die Nutzerfreundlichkeit der Dienste nicht hinreichend vorbereitet. Im Ergebnis fanden die De-MailDienste insbesondere aufgrund des zuletzt genannten Aspekts bislang zumindest im nicht-öffentlichen Bereich auch keine signifikante Verbreitung.161 Andererseits lässt sich nicht verkennen, dass das Gesetzesvorhaben den Ausdruck einer staatlicherseits 155
BT-Drs. 17/3630, S. 32. BT-Drs. 17/3630, S. 19 f. 157 BT-Drs. 17/3630, S. 19. 158 Bei ersterer findet eine umfassende Verschlüsselung der kommunizierten Daten von ihrem Absender bis hin zu ihrem Empfänger statt, bei letzterer werden die Daten lediglich zwischen der Weiterleitung von dem Service-Provider des Absenders zu dem des Empfängers verschlüsselt. 159 BT-Drs. 17/4894. 160 Siehe etwa Clemens Binninger (CDU/CSU): „Es zeigt uns zum Zweiten aber auch, dass bestehende Möglichkeiten für die sichere elektronische Kommunikation nicht genutzt werden. Aufgabe des Deutschen Bundestages ist es daher, gesetzliche Rahmenbedingungen für eine sichere elektronische Kommunikation zu schaffen.“ BT, 17. WP, 71. Sitzung vom 11. November 2010, 7760 (D). Als einzige blieben die Vertreter der Fraktion DIE LINKE insoweit skeptisch, s. etwa Jan Korte, BT, 17. WP, 71. Sitzung vom 11. November 2010, 7764 (C). 161 Ritter, VuR 2014, S. 334 (336); Akzeptanzprobleme prognostizierend Lapp, DuD 2009, S. 651 ff. 156
F. Das Grundrecht auf Vertraulichkeit informationstechnischer Systeme
201
anerkannten IT-Infrastrukturverantwortung bildete. Oder anders formuliert: Der Gesetzgeber wollte sich nicht länger darauf beschränken, die Datenverarbeitungstätigkeiten staatlicher und nicht-staatlicher Stellen durch Ge- und Verbote zu steuern, sondern diese vielmehr durch die Etablierung entsprechender Techniken und Verfahren proaktiv gestalten und so im Ergebnis die Verwirklichung der informationellen Selbstbestimmung sowie der Vertraulichkeit und Integrität informationstechnischer Systeme gewährleisten. 3. IT-Sicherheitsgesetz In der Koalitionsvereinbarung für die 17. Legislaturperiode kündigten CDU/CSU und FDP an, die IT-Sicherheit im öffentlichen und nicht-öffentlichen Bereich generell und speziell im Zusammenhang mit kritischen Infrastrukturen stärken zu wollen.162 Hierzu sollte die Öffentlichkeit durch intensivierte Aufklärungsbemühungen zur Nutzung sicherer IT-Produkte angeregt, das BSI zur zentralen CyberSicherheitsbehörde auf Bundesebene ausgebaut sowie die Haftung von System- und Diensteanbietern für die Sicherheit ihrer IT-Produkte angepasst werden. Jene Pläne sollten unter besonderer Berücksichtigung des vom Bundesverfassungsgericht formulierten Rechts auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme umgesetzt werden.163 Gesetzgeberische Initiativen, welche die Verwirklichung von Sicherheitsanforderungen bei der Entwicklung und dem Einsatz von IT normativ anleiten sollten, blieben jedoch zunächst aus. Erst am 5. März 2013 veröffentlichte das BMI einen Gesetzesvorschlag zur Erhöhung der Sicherheit informationstechnischer Systeme.164 Dieser sah insbesondere die Einführung von Mindeststandards im Hinblick auf die IT-Sicherheit kritischer Infrastrukturen und Meldeverpflichtungen für deren Betreiber angesichts erheblicher Sicherheitsvorfälle vor. Letztlich wurde dieser Vorschlag aufgrund erheblicher Kritik sowohl von Seiten des BMWi als auch der Wirtschaft nicht verwirklicht und blieben damit im Ergebnis die Ankündigungen der Koalitionspartner praktisch weitgehend folgenlos. In der 18. Legislaturperiode stellte sich die Lage der IT-Sicherheit namentlich infolge der Enthüllungen Edward Snowdens bzgl. der Ausspähaktivitäten ausländischer Geheimdienste sowie medienwirksamer Cyberangriffe auf öffentliche und nicht-öffentliche Institutionen zusehends kritischer dar.165 Diese Entwicklungen 162
CDU/CSU/FDP, Wachstum. Bildung. Zusammenhalt, online, S. 102. CDU/CSU/FDP, Wachstum. Bildung. Zusammenhalt, online, S. 102. 164 Gesetzentwurf abrufbar unter: http://www.cr-online.de/Entwurf_it-sicherheitsgesetz. pdf; krit. hierzu Beucher/Utzerath, MMR 2013, S. 362 (363 ff.); Klett/Ammann, CR 2014, S. 93 (96); Roos, K&R 2013, S. 769. 165 Siehe hierzu etwa BSI, Bericht zur Lage der IT-Sicherheit in Deutschland 2014; CDU/ CSU/SPD, Deutschlands Zukunft gestalten, online, S. 104; zur NSA-Affäre Greenwald, Die globale Überwachung; BfD, Abhöraktivitäten US-amerikanischer Nachrichtendienste in 163
202
§ 6 E-Privacy als neues Datenschutzleitbild
veranschaulichten auch der Bundesregierung, dass mit der digitalen und vernetzten Durchdringung aller Lebensbereiche nicht nur Freiräume und Effektivitäts- bzw. Rationalisierungseffekte ermöglicht werden, sondern ebenfalls eine gesteigerte gesellschaftliche, wirtschaftliche und individuelle Vulnerabilität verbunden ist.166 Entsprechend bemühte sich die Große Koalition verstärkt um die „Verrechtlichung“ der IT-Sicherheit.167 Insoweit heißt es in ihrer Koalitionsvereinbarung, man wolle, um Freiheit und Sicherheit im Internet zu schützen, die Internetinfrastruktur Deutschlands und Europas als Vertrauensraums stärken und gestalten und zu diesem Zweck Maßnahmen zur Rückgewinnung der technologischen Souveränität sowie zur Unterstützung der Entwicklung vertrauenswürdiger IT- und Netz-Infrastrukturen bzw. sicherer Soft- und Hardware ergreifen.168 Hierzu gelte es konkret, die Anwendung von Kryptographieverfahren, De-Mail-Diensten, sicherer Ende-zu-EndeVerschlüsselungen und vertrauenswürdiger Hard- und Software zu unterstützen. Die Bundesregierung schien auch verhältnismäßig eindeutig die verfassungsrechtliche Dimension der staatlichen Gewährleistung der IT-Sicherheit zu erfassen; diese wollte „das vom Bundesverfassungsgericht entwickelte Grundrecht auf Vertraulichkeit und Integrität informationstechnischer Systeme mit Leben füllen“ und „um die Grund- und Freiheitsrechte der Bürgerinnen und Bürger auch in der digitalen Welt zu wahren und die Chancen für die demokratische Teilhabe der Bevölkerung zu fördern, [sich] für ein Völkerrecht des Netzes [einsetzen], damit die Grundrechte auch in der digitalen Welt gelten“.169 Ihren Ausführungen zufolge erkannte diese folglich den staatlichen Schutzauftrag angesichts der Verwirklichung der Grundrechte im Netz – insbesondere des Grundrechts auf Vertraulichkeit und Integrität informationstechnischer Systeme – an und beabsichtigte sie, diesen nicht nur durch legislative Maßnahmen zu verwirklichen.170 Entsprechend prägten die Schlagworte IT-Sicherheitsstandardisierung sowie Sicherheitsaudits und -zertifikate die einschlägigen Debatten. Einen wesentlichen Beitrag zur Erfüllung der genannten Ansprüche sollte nach Ansicht der Bundesregierung der von dieser am 25. Februar 2015 in den Bundestag eingebrachte Entwurf eines Gesetzes zur Erhöhung der IT-Sicherheit leisten. Ziel desselben war es ausweislich seiner Begründung, die IT-Sicherheit von Unternehmen zu steigern, den Schutz der Bürgerinnen und Bürger im Internet zu verbessern und hierzu sowohl das BSI als auch das BKA zu stärken.171 Diese Ziele lassen sich Deutschland, BT-Drs. 18/59. Die grundrechtliche Perspektive des NSA-Skandals untersucht Lachenmann, DÖV 2016, S. 501 ff. 166 BT-Drs. 18/4096; s.a. Die Bundesregierung, Digitale Agenda 2014 – 2017, online. 167 Den Begriff der Verrechtlichung in diesem Kontext durchaus positiv wertend s. Hornung, NJW 2015, S. 3334. 168 CDU/CSU/SPD, Deutschlands Zukunft gestalten, online, S. 147. 169 CDU/CSU/SPD, Deutschlands Zukunft gestalten, online, S. 148. 170 Zu den staatlichen Schutzpflichten in diesem Kontext Hornung, NJW 2015, S. 3334. 171 BT-Drs. 18/4096, S. 1.
F. Das Grundrecht auf Vertraulichkeit informationstechnischer Systeme
203
grundsätzlich sowohl auf eine staatliche Infrastrukturverantwortung als auch auf eine stärker individualorientierte Schutzpflicht zurückführen. Die durch den Entwurf formulierten Regelungen und deren Begründungen lassen darauf schließen, dass die erstgenannte Dimension für die Autoren des Entwurfs im Vordergrund stand. Dem Gesetzesvorschlag zufolge sollten die Betreiber kritischer Infrastrukturen künftig durch das BSIG verpflichtet werden, angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit der informationstechnischen Systeme, Komponenten und Prozesse zu treffen, die für die Funktionsfähigkeit der von ihnen betriebenen kritischen Infrastrukturen maßgeblich sind, § 8a Abs. 1 S. 1 BSI-G-E. Als kritische Infrastrukturen wurden hier solche Einrichtungen, Anlagen oder Teile davon definiert, die den Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen angehören und von hoher Bedeutung für das Funktionieren des Gemeinwesens sind, weil durch ihren Ausfall oder ihre Beeinträchtigung erhebliche Engpässe oder Gefährdungen für die öffentliche Sicherheit eintreten würden, § 2 Abs. 10 BSI-G-E.172 Eine Konkretisierung dieser Definition sollte laut dem Entwurf im Rahmen einer noch zu erlassenden Rechtsverordnung erfolgen.173 Angesichts des zu verwirklichenden Schutzniveaus seien der Stand der Technik und branchenspezifische Sicherheitsstandards zu berücksichtigen, § 8a Abs. 1 S. 2, Abs. 2 BSI-G-E. Der Nachweis der Erfüllung dieser Anforderungen habe mindestens alle zwei Jahre – etwa durch Sicherheitsaudits bzw. Zertifizierungen – gegenüber dem BSI zu erfolgen, § 8a Abs. 3 BSI-G-E. Damit bildeten die Standardisierung und Kontrolle der ITSicherheit kritischer Infrastrukturen zentrale Anliegen des Entwurfs. Weiterhin sollte hiernach das BSI in Zukunft als zentrale Stelle für die IT-Sicherheit kritischer Infrastrukturen fungieren. Im Rahmen dieser Aufgabe sollte es u. a. zur Abwehr von Gefahren für die IT-Sicherheit wesentliche Informationen sammeln, entsprechende Lagebilder erstellen und kontinuierlich aktualisieren sowie die Betreiber kritischer Infrastrukturen und insoweit zuständige Aufsichtsbehörden mit den für die Erfüllung ihrer Pflichten bzw. Aufgaben erforderlichen Informationen versorgen. Zu diesem Zweck sollten die Betreiber kritischer Infrastrukturen verpflichtet werden, erhebliche Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer IT-Systeme bzw. entsprechender Komponenten und Systeme dem BSI zu melden, wenn hierdurch ein Ausfall oder die Beeinträchtigung der Funktionsfähigkeit der jeweiligen Infrastruktur erfolgt ist bzw. zu befürchten sei, § 8b Abs. 4 BSI-G-E. Gleichzeitig sollten die Betreiber der in Rede stehenden Infrastrukturen durch die vom BSI vorgenommenen Auswertungen der Meldungen und Warnungen profitieren und hierdurch insgesamt ein kooperativer Ansatz verwirklicht werden. 172
BT-Drs. 18/4096, S. 9. Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz (BSIKritisverordnung – BSI-KritisV) vom 22. April 2016, BGBl. I S. 958 – 969. 173
204
§ 6 E-Privacy als neues Datenschutzleitbild
Außerdem sah der Entwurf Änderungen des TMG und des TKG vor. Insbesondere sollten die Anbieter kommerzieller Telemedien verpflichtet werden, durch technische und organisatorische Vorkehrungen – soweit technisch möglich und wirtschaftlich zumutbar – sicherzustellen, dass kein unerlaubter Zugriff auf die für die Nutzung ihrer Angebote verwendeten technischen Einrichtungen möglich ist. Auch wenn weder die vorgeschlagene Regelung noch ihre Begründung ausdrücklich auf das Grundrecht auf Vertraulichkeit und Integrität informationstechnischer Systeme rekurrierten, sind hier deutliche Anklänge an die Aussagen des verfassungsgerichtlichen Urteils zur Online-Durchsuchung zu vernehmen. Schließlich visierte der Entwurf an, Telekommunikationsdiensteanbieter zu ermächtigen, Bestands- sowie Verkehrsdaten von Telekommunikationsteilnehmern und -nutzern zu erheben und zu speichern, um Fehler und Störungen an Telekommunikationsanlagen erkennen und beseitigen zu können. Insoweit wurde der Entwurf als Versuch der versteckten Einführung einer Vorratsdatenspeicherung kritisiert.174 Im Gegensatz zu den Initiativen zur Einführung des elektronischen Personalausweises und von De-Mail-Diensten, in deren Rahmen der Gesetzgeber durch die Schaffung einer Infrastruktur sowohl zugunsten der Verbraucher als auch der Diensteanbieter seinen verfassungsrechtlichen Gewährleistungspflichten nachkommen wollte, beabsichtigte dieser durch den in Rede stehenden Entwurf „die notwendigen Sicherheitsrahmenbedingungen“175 hinsichtlich kritischer Infrastrukturen zu schaffen und hierbei primär ihre Betreiber in die Pflicht zu nehmen. Jene sollten durch das BSI als Aufsichtsbehörde kontrolliert und gleichzeitig als Serviceeinrichtung unterstützt werden. Der Gesetzentwurf entbehrte gänzlich einer ausdrücklichen Rückkopplung an die verfassungsrechtlichen Vorgaben zur IT-Sicherheit bzw. Verarbeitung personenbezogener Daten. Durch die fehlende Bezeichnung normativer Maßstäbe wurde die Konkretisierung seiner zahlreichen unbestimmten Rechtsbegriffe insgesamt erschwert. Gleichwohl müssen die Betreiber kritischer Infrastrukturen, wenn diese gesetzgeberisch verstärkt in die Pflicht genommen werden, hinreichend sicher das Bestehen und Ausmaß jener Verpflichtungen erkennen können. Die grundrechtliche Dimension der IT-Sicherheit wurde während der parlamentarischen Auseinandersetzung mit dem Entwurf lediglich durch Mitglieder der Oppositionsfraktionen sowie während einer öffentlichen Anhörung des Innenausschusses vom 20. April 2015 durch Sachverständige, namentlich Alexander Roßnagel und Gerrit Hornung, betont.176 Außerdem wurde die Regierung im Rahmen 174
Krit. insoweit Rath/Kuss/Bach, K&R 2015, S. 437 (439). So Gerold Reichenbach (SPD), BT, 18. WP, 95. Sitzung vom 20. 3. 2015, 9042 (B). 176 Siehe etwa Konstantin von Notz (Bündnis 90/Die Grünen), BT, 18. WP, 95. Sitzung vom 20. 3. 2015, 9042 (D) und 9043 (C); Renate Künast (Bündnis 90/Die Grünen), BT, 18. WP, 110. Sitzung vom 12. 6. 2015, 10575 (C). Dies gilt namentlich für Gerrit Hornung und Alexander Roßnagel, die als Sachverständige den Innenausschuss unterstützten, s. Protokoll der Anhörung des Innenausschusses vom 20. 4. 2015, Nr. 18/44, S. 38 f., S. 65 und S. 129. 175
F. Das Grundrecht auf Vertraulichkeit informationstechnischer Systeme
205
eines Entschließungsantrags der Fraktion Bündnis 90/Die GRÜNEN aufgerufen, den Entwurf des IT-Sicherheitsgesetzes zurückzunehmen und stattdessen einen Gesetzentwurf vorzulegen, der „grundrechts- und rechtsstaatskonforme Regelungen zur IT-Sicherheit enthält, der nicht allein den Schutz Kritischer Infrastrukturen, sondern auch die Schutzpflicht des Grundrechts der Menschen auf Vertraulichkeit und Integrität informationstechnischer Systeme zum Ziel hat, sowie den grundlegenden datenschutzrechtlichen Anforderungen und dem Fernmeldegeheimnis gerecht wird“.177 Weiterhin ist im Hinblick auf das grundsätzlich positiv zu bewertende Anliegen der Gesetzesinitiative, die IT-Sicherheit zu stärken, kritisch auf deren limitierten Zuschnitt hinzuweisen: Diese umfasste nahezu ausschließlich Vorgaben für den nicht-öffentlichen Bereich und insoweit lediglich für die Betreiber kritischer Infrastrukturen.178 Gleichwohl verdeutlichte nicht erst der groß angelegte HackerAngriff auf den Deutschen Bundestag im Jahre 2015 die Vulnerabilität auch informationstechnischer Systeme, welche staatlicherseits betrieben werden. Schließlich adressierte der Vorschlag ebenfalls nicht die Sicherheit individuell genutzter informationstechnischer Systeme wie PCs und Smartphones, die für die Grundrechtsverwirklichung des Einzelnen von nicht zu unterschätzender Bedeutung sind. Deren Schutz sollte im Ergebnis lediglich reflexhaft erfolgen. Im Rahmen der Ausschussarbeiten wurde der Entwurf noch um Bußgeldvorschriften, Vorgaben zur Zweckbindung hinsichtlich der vom BSI erlangten Daten sowie Evaluierungspflichten ergänzt und wurden damit einige der Kritikpunkte der Oppositionsfraktionen aufgegriffen.179 Dies ließ deren Kritik jedoch nicht verstummen. Insbesondere vor dem Hintergrund des NSA-Skandals forderten diese, dass Behörden in gleichem Maße wie Unternehmen von den Verpflichtungen des ITSicherheitsgesetzes erfasst werden und sich das Gesetz insgesamt nicht auf die Regulierung kritischer Infrastrukturen beschränken solle.180 Die Beantwortung der Fragen, ob und ggf. inwiefern das IT-Sicherheitsgesetz Potentiale zur Fortentwicklung des gesetzgeberischen Datenschutzleitbildes lieferte, muss differenziert ausfallen und zum Teil noch ausbleiben.181 IT-Sicherheit gewährleistet auch Datensicherheit und verwirklicht insoweit ein wesentliches Datenschutzanliegen. Insgesamt stellt die verstärkte Inpflichtnahme von Infrastrukturbetreibern durch das IT-Sicherheitsgesetz einen sinnvollen Ansatz zur Verbesserung der IT-Sicherheitslage in Deutschland dar, namentlich im Gegensatz zur 177
BT-Drs. 18/5121, S. 12. Siehe hierzu BT-Drs. 18/4096, S. 24. 179 BT-Drs. 18/5121. 180 BT-Drs. 18/5121, S. 12 – 14. 181 Zu dem Potential des Gesetzes im Hinblick auf die Entwicklung einer IT-Sicherheitskultur Pohlmann, DuD 2016, S. 38 ff.; s.a. zu dem Gesetz Bringmann, BWGZ 2015, S. 1059 ff.; Gitter/Meißner/Spauschus, DuD 2016, S. 7 ff.; Grudzien, DuD 2016, S. 29 ff.; Hornung, NJW 2015, S. 3334 ff.; Könen, DuD 2016, S. 12 ff. 178
206
§ 6 E-Privacy als neues Datenschutzleitbild
ausschließlichen Forcierung von Selbstschutzmaßnahmen der Verbraucher. Außerdem wurden mit der kooperativen Erarbeitung von Sicherheitsstandards durch das BSI und Branchenverbände der IT-Wirtschaft sowie der Integration von Audit-, Prüfund Zertifizierungsverfahren in das Schutzkonzept des Gesetzes Anliegen verwirklicht, die bereits seit langem in der Datenschutzreformdebatte thematisiert wurden. Andererseits setzt das Gesetz die Kooperationsbereitschaft der Infrastrukturbetreiber voraus, ohne diesen gleichzeitig überzeugende Anreize zu bieten, sich entsprechend zu verhalten.182 Insoweit bleibt also abzuwarten, inwiefern sich tatsächlich ein Kooperationsverhältnis zwischen dem BSI und den Infrastrukturbetreibern entwickelt. Darüber hinaus wäre es sinnvoll gewesen, entsprechend der Koalitionsvereinbarung auch die IT-Hersteller und -Diensteanbieter unmittelbar in das gesetzgeberische Schutzkonzept zu integrieren, etwa durch Haftungsregelungen, und so die Verwirklichung der Ansätze Privacy by Design und Privacy by Default im Bereich der IT-Sicherheit wirksam zur Geltung zu bringen.183 Außerdem fügte sich das Gesetz nicht ohne Weiteres in den bereits bestehenden Regulierungsrahmen ein. Dies gilt etwa für die Verpflichtungen der Anbieter von Telemedien nach dem ITSicherheitsgesetz einerseits und bereits bestehenden Anforderungen nach dem BDSG 2003 andererseits.184 Schließlich scheint die Zielmarke der Etablierung eines IT-Mindeststandards vor dem Hintergrund europäischer Entwicklungen, namentlich dem Erlass der Cybersicherheitsrichtlinie, welche die Verwirklichung einer hohen Netz- und Informationssicherheit in der Union anstrebt, zu niedrig angesetzt zu sein.185 Im Ergebnis besteht damit zwar noch konzeptionelles und operationelles Verbesserungspotential, gleichwohl kann das Gesetz insgesamt als Ausdruck eines gesetzgeberischen Leitbildwandels gewertet werden, dem zufolge sich der Staat bzw. der Gesetzgeber proaktiv um den Schutz der Grundrechte im Netz bemüht und dies im Rahmen eines Kooperationsverhältnisses zwischen Staat, Wirtschaft und Gesellschaft bzw. durch das Ergreifen legislativer sowie nicht-legislativer Maßnahmen.186 182 Krit. insoweit auch Konstantin von Notz (Bündnis 90/Die Grünen), 18. WP, 59. Sitzung vom 20. 3. 2015, 9043 (B). 183 Verpflichtungen von IT-Herstellern und -Diensteanbietern beschränken sich gemäß § 8b Abs. 6 BSIG auf Mitwirkungspflichten hinsichtlich der Beseitigung oder Vermeidung von Störungen nach dem BSIG. 184 Krit. hierzu Selk/Gierschmann, CR 2015, S. 273 ff.; s.a. Djeffal, MMR 2015, S. 716 ff.; Hornung, NJW 2015, S. 3334 (3337 f.); Papendorf/Lepperhoff, DuD 2016, S. 107 ff. 185 RL 2016/1148 des Europäischen Parlaments und des Rates vom 6. Juli 2016 über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union, ABl. EU Nr. L vom 19. 7. 2016, 194/1 – 30; dazu Schallbruch, CR 2016, S. 663 ff.; Voigt/Gehrmann, ZD 2016, S. 355 ff.; Witt/Freudenberg, CR 2016, S. 657 ff. 186 So auch Hornung, NJW 2015, 3334 (3340). Zum kooperativen Ansatz auch Thomas de Maizière, BT, 18. WP, 110. Sitzung vom 12. 6. 2015, 10564 (D).
G. E-Privacy als neues Datenschutzleitbild
207
G. E-Privacy als neues Datenschutzleitbild Die zu Beginn dieses Kapitels aufgeworfenen Fragen, ob und ggf. inwiefern die flächendeckende Verbreitung des Internets sowie das Grundrecht auf Vertraulichkeit und Integrität informationstechnischer Systeme einen gesetzgeberischen Leitbildwandel hinsichtlich des Datenschutzes bedingten, ist differenziert zu beantworten. Einerseits wurden insoweit die verschiedenen Reformen des BDSG und andererseits datenschutzrelevante Gesetzesinitiativen – zur Regulierung von internetbasierten Geodiensten, das Personalausweisgesetz, das De-Mail-Dienste-Gesetz sowie das ITSicherheitsgesetz – betrachtet. Angesichts originär datenschutzrechtlicher Reformprojekt, namentlich der Datenschutznovellen I-III sowie des Gesetzes zur Stärkung der Unabhängigkeit des Bundesbeauftragten für den Datenschutz und der Verbandsklagemöglichkeiten im Datenschutzrecht, versuchte der Bundesgesetzgeber lediglich, einzelne Interessenkonflikte einem Ausgleich zuzuführen. Mithin zeichneten sich hier bloß sukzessive Entwicklungen des gesetzgeberischen Datenschutzleitbildes ab. Insbesondere wurde Datenschutz hier verstärkt als Verbraucherschutz wahrgenommen und entsprechend versucht, Elemente des Verbraucherschutzrechts in das Datenschutzrecht zu integrieren. Weiterhin blieb das Recht auf informationelle Selbstbestimmung der maßgebliche normative Ausgangspunkt der Gesetzesänderungen. Innovative Datenschutzmittel, etwa Auditierungs- und Zertifizierungsverfahren, wurden im allgemeinen Datenschutzrecht hingegen nicht konsequent verwirklicht, obwohl unter anderem die Empfehlungen der EnqueteKommission „Internet und Gesellschaft“ dies nahelegten. Demgegenüber kamen die Konsequenzen des verfassungsgerichtlichen Urteils zur Online-Durchsuchung vom 27. Februar 2008 bei anderen Reformprojekten stärker zur Geltung. Nach dem Grundrecht auf Vertraulichkeit und Integrität informationstechnischer Systeme dürfen namentlich PCs und Smartphones grundsätzlich weder ausgespäht und überwacht noch manipuliert werden. Diesem Recht folgt damit primär ein verfassungsrechtlicher Abwehranspruch des Nutzers informationstechnischer Systeme gegenüber den genannten Maßnahmen durch staatliche Stellen. Allgemein ging das Gericht in seiner Entscheidung davon aus, dass der Einzelne zunehmend intensiver auf die Nutzung informationstechnischer Systeme für die Entfaltung seiner Persönlichkeit angewiesen sei, gleichzeitig aber deren Integrität und Vertraulichkeit i. d. R. nicht selbst gewährleisten könne. Hier setzen folglich auch staatliche Schutz- und Gewährleistungspflichten an, denn wesentliche Gefahren für die technikgestützte Entfaltung der Persönlichkeit im Netz gehen von privaten Intermediären, die nahezu ausschließlich die Veranstalter des Internets und seiner Dienste bilden, aus. Die rechtswissenschaftliche Rezeption des in Rede stehenden verfassungsgerichtlichen Urteils betonte außerdem die Bedeutung der Kooperation von Recht und Technik bei der Erfüllung jener Pflichten. Im Ergebnis lässt sich damit aus dem Urteil ein neuer Anspruch an das Datenschutzrecht ableiten: Dieses soll nicht schlechthin Kommunikation verhindern, sondern die grundrechtskonforme Ausgestaltung von Informations- und Kommunikationstechnolo-
208
§ 6 E-Privacy als neues Datenschutzleitbild
gien sicherstellen und dadurch das Stattfinden von Kommunikation erst ermöglichen. Jene Annahmen führt das Leitbild der e-Privacy zusammen.187 Das Leitbild der e-Privacy lag den Gesetzen zur Einführung von De-MailDiensten und des elektronischen Personalausweises zugrunde. Beide Initiativen stellen einen Versuch dar, staatlicherseits den rechtlichen Rahmen zur Etablierung einer sicheren Infrastruktur für netzbasierte Kommunikation zu schaffen. Standardisierte Datenschutz- und Datensicherheitsvorgaben sowie die Kooperation mit nicht-öffentlichen datenverarbeitenden Stellen stellen sich als wesentlich für die Realisierung dieses Leitbildes dar. Auch der Versuch der Regulierung internetbasierter Geo-Dienste sowie die „Rote-Linie-Initiative“ zum Schutz vor besonders schweren Persönlichkeitsverletzungen im Internet lehnten sich an dieses Leitbild an. Hier sollte entsprechend dem Konzept der regulierten Selbstregulierung der Gesetzgeber lediglich den äußeren Rahmen für die Selbstkontrolle der Diensteanbieter schaffen.188 Ähnlich verhielt es sich schließlich mit dem IT-Sicherheitsgesetz; um die Funktionsfähigkeit kritischer Infrastrukturen und die Sicherheit von Telemedien zu gewährleisten, wurden durch jenes Gesetz ihre Betreiber dazu verpflichtet, bestimmte technische und organisatorische Schutzvorkehrungen zu treffen. Auch wenn im Rahmen dieser Gesetzesinitiative die verfassungsrechtliche Dimension der ITSicherheit insgesamt unterbelichtet blieb, kann sie dennoch als Ausdruck eines gewandelten IT-Sicherheitsverständnisses gelten, dem zufolge Staat, Gesellschaft und Wirtschaft kooperativ IT-Sicherheit verwirklichen und hierbei legislative wie nicht-legislative Maßnahmen fruchtbar machen. Das Leitbild der e-Privacy hebt folglich auf die Verwirklichung eines qualitativen Datenschutzrechts ab. Gleichzeitig ist nicht zu verkennen, dass sich zwar theoretisch mit der Integration von Auditierungen und Zertifizierungen in das Regulierungsrepertoire des Gesetzgebers ein wesentlicher Fortschritt abzeichnete, dieser aber praktisch oftmals wenig folgenreich blieb. Hier zeigte sich mithin allzu deutlich: Zwischen dem Bestehen eines Leitbildes und seiner Verwirklichung kann eine erhebliche Differenz bestehen, insbesondere aufgrund der Konkurrenz zu anderen Leitbildern und Interessen. Im Ergebnis lässt sich damit feststellen, dass sich angesichts internetbasierter Regulierungskontexte das Leitbild der e-Privacy etablierte und sich im Zuge dieser Entwicklung die Verwirklichung eines qualitativen Datenschutzrechts stärker abzeichnete, jedoch dessen Vollzug noch weitestgehend ausblieb.
187
Zum Leitbild der e-Privacy Gusy/Eichenhofer/Schulte, JöR 64 (2016), S. 385 ff. Zur dogmatischen Einordnung der regulierten Selbstregulierung im Datenschutzrecht Schröder, ZD 2012, S. 418 ff. 188
§ 7 Die DS-GVO – Ausdruck bzw. Ausgangspunkt eines datenschutzrechtlichen Leitbildwandels? In diesem Kapitel wird der Einfluss der DS-GVO auf das Datenschutzleitbild des Bundesgesetzgebers untersucht. Insoweit gilt es zu klären, inwiefern diesem unter Geltung der Verordnung Realisationschancen verbleiben. Weiterhin werden die Vorgaben und Impulse des Rechtsakts, die jenes Leitbild zu integrieren hat bzw. die jenes integrieren kann, betrachtet. Hierzu werden zunächst der rechtliche und politische Kontext sowie das Gesetzgebungsverfahren der DS-GVO analysiert. Sodann erfolgt eine wertende Betrachtung der Verordnung, in deren Rahmen insbesondere die Verwirklichung der Ansätze Privacy by Design and Default, regulierte Selbstregulierung und risikobasierte Regulierung untersucht wird. Anschließend sollen die Reaktionen des Bundesgesetzgebers auf die DS-GVO, namentlich das DatenschutzAnpassungs- und -Umsetzungsgesetz EU, dargestellt und bewertet werden.
A. Revision des europäischen Datenschutzrechts – rechtlicher und politischer Kontext I. Primärrechtliche Ausgangsbedingungen Nach dem Erlass der RL 95/46/EG haben sich durch die Verabschiedung des Vertrags von Lissabon und der GRCh die primärrechtlichen Ausgangsbedingungen des unionalen Datenschutzrechts gewandelt. Zunächst wurde mit Art. 16 Abs. 2 UAbs. 1 S. 1 AEUV eine explizite Gesetzgebungskompetenz zur Regelung des Datenschutzes auf europäischer Ebene geschaffen. Hiernach dürfen das Parlament und der Rat im ordentlichen Gesetzgebungsverfahren Datenschutzvorschriften erlassen, welche die Organe, Einrichtungen und sonstigen Stellen der Union sowie die Mitgliedstaaten binden, um die Verarbeitung personenbezogener Daten im Rahmen von Tätigkeiten, die in den Anwendungsbereich des Unionsrechts fallen, zu regeln. Außerdem sind Parlament und Rat befugt, den freien Datenverkehr innerhalb der Union gesetzgeberisch zu regulieren. Die Kompetenznorm sieht damit eine Auflockerung der bislang auf europäischer Ebene bestehenden Akzessorietät zwischen der Regelung des Datenschutzes und seiner Binnenmarktrelevanz vor und ermöglicht insofern grundsätzlich die Schaffung eines kohärenten Rechtsrahmens für den Datenschutz, der auch den Bereich der polizeilichen und justiziellen Zusammenarbeit
210
§ 7 Die DS-GVO – Ausdruck eines datenschutzrechtlichen Leitbildwandels?
umfasst.1 Für den Bereich der gemeinsamen Außen- und Sicherheitspolitik enthält Art. 39 S. 1 EUV weiterhin eine Sonderregelung.2 Außerdem wurde die grundrechtliche Dimension des Datenschutzes, welche schon bei Erlass der RL 95/46/EG betont wurde,3 mit der Statuierung von Art. 16 Abs. 1 AEUV und Art. 8 GRCh gestärkt.4 Zuvor wurde diese primär als Ausprägung des durch Art. 8 EMRK geschützten Rechts auf Achtung des Privat- und Familienlebens anerkannt.5 Art. 16 Abs. 1 AEUV und Art. 8 Abs. 1 GRCh sind wortgleich. Nach beiden Vorschriften hat jede Person das Recht auf den Schutz der sie betreffenden personenbezogenen Daten. Entsprechend werden die Vorschriften als Ausdruck eines einheitlichen europäischen Datenschutzgrundrechts bezeichnet und wird diesen eine lediglich tendenziell unterschiedliche Ausrichtung unterstellt;6 Art. 16 Abs. 1 AEUV betone aufgrund seiner systematischen Stellung die demokratische Bedeutung des Datenschutzes,7 Art. 8 Abs. 1 GRCh hingegen wegen seiner engen Verknüpfung mit dem Recht auf Achtung des Privat- und Familienlebens gem. Art. 7
1 Kingreen, in: Calliess/Ruffert (Hrsg.), EUV/AEUV, AEUV, Art. 16 Rn. 5. Gleichwohl brachte bereits die 21. Erklärung zur Schlussakte der Regierungskonferenz zum Vertrag von Lissabon das Bedürfnis nach spezifischen Datenschutzvorschriften im Bereich der PJZS zum Ausdruck, ABl. EU Nr. C vom 26. 10. 2012, 326/347. S.a. Ausnahmevorschriften zugunsten des Vereinten Königreichs und Irlands, Art. 6a des 21. Protokolls zum Vertrag von Lissabon, und Dänemarks, Art. 2a i.V.m. Art. 2 des 22. Protokolls zum Vertrag von Lissabon, ABl. EU Nr. C vom 26. 10. 2012, 326/297 bzw. C 326/300. Insoweit krit. Hijmans/Scirocco, Common Market Law Review 2009, S. 1485 ff. Die Situation des Datenschutzes im Bereich der EG und der PJZS vergleichend s. Kübler, Die Säulen der Europäischen Union. 2 Zu Art. 39 S. 1 EUV s. Brühann, in: von der Groeben/Schwarze/Hatje (Hrsg.), Europäisches Unionsrecht, EUV, Art. 39. 3 Siehe Art. 1 Abs. 1 der RL 95/46/EG sowie deren EWg. 1 – 3, 10, 34 und 37. Siehe a. EuGH, C-465/00, EuGRZ 2003, S. 232 ff. – Österreichischer Rundfunk; EuGH, C-101/01, EuGRZ 2003, S. 714 ff. – Lindqvist; zu beiden Entscheidungen Siemen, EuR 2004, S. 306 ff. 4 Die doppelte Normierung des Datenschutzgrundrechts bringt zwar die gesteigerte Bedeutung dieser Position zum Ausdruck, führt aber auch zu Schwierigkeiten bei der Bestimmung ihrer Einschränkungsvoraussetzungen. Einerseits ist anerkannt, dass Art. 16 Abs. 1 AEUV nicht uneingeschränkt bleibt und sich die Einschränkungsvoraussetzungen grds. an denen des Art. 8 GRCh orientieren. Welche Schrankenbestimmungen im Einzelnen anzuwenden sind, ist hingegen umstritten. Zur Auswahl stehen die gem. Art. 8 Abs. 2 sowie Art. 52 Abs. 1 – 3 GRCh. Die wohl h.M. geht von Art. 8 Abs. 2 i.V.m. Art. 52 Abs. 1 GRCh aus, so etwa Kingreen, in: Calliess/Ruffert (Hrsg.), EUV/AEUV, GRCh, Art. 8 Rn. 2; so auch Sobotta, in: Grabitz/Hilf/ Nettesheim (Hrsg.), EUV/AEUV, Bd. 1, AEUV, Art. 16 Rn. 8. 5 So Sobotta, in: Grabitz/Hilf/Nettesheim (Hrsg.), EUV/AEUV, Bd. 1, AEUV, Art. 16 Rn. 5. Zur Rechtsprechung des EGMR zu Art. 8 EMRK Schweizer, DuD 2009, S. 462 ff. Zur Basisarbeit, die der EuGH bei der Konkretisierung des datenschutzrechtlichen Besitzstandes der EU geleistet hat Skouris, NVwZ 2016, S. 1359 ff. 6 Statt vieler Siemen, Datenschutz als europäisches Grundrecht, S. 275. Sie bezieht sich aber auf die Rechtslage, die vor dem Vertrag von Lissabon und dem Inkrafttreten der GRCh galt. 7 So etwa Brühann, in: von der Groeben/Schwarze/Hatje (Hrsg.), Europäisches Unionsrecht, Bd. 1, AEUV, Art. 16 Rn. 28.
A. Revision des europäischen Datenschutzrechts
211
Abs. 1 GRCh dessen individuelle Dimension8. Insgesamt hat es jedoch den Anschein, dass der EuGH von einer konzeptionellen Beschreibung des Schutzgutes des europäischen Datenschutzgrundrechts noch weit entfernt ist.9 Insbesondere jüngere Entscheidungen des Gerichts muten – auch wenn diese jeweils für die Durchsetzung des Datenschutzrechts von nicht zu unterschätzender Bedeutung sind – dogmatisch wenig ausgereift an.10 Bei der Konkretisierung des unionalen Datenschutzgrundrechts kann auf die Rechtsprechung der europäischen Gerichte zu Art. 8 EMRK zurückgegriffen werden. Sowohl Art. 8 EMRK als auch Art. 8 GRCh und Art. 16 Abs. 1 AUEV bildeten bereits der gerichtlichen Rechtsfortbildung normative Anknüpfungspunkte für die Integration des Konzepts der informationellen Selbstbestimmung in das europäische Recht.11 Im Gegensatz zu Art. 8 EMRK, der an ein sphärenartiges Schutzkonzept anknüpft, erstreckt sich der Schutz des Art. 8 GRCh und des Art. 16 Abs. 1 AEUV nicht lediglich auf solche Daten, die als privat zu qualifizieren sind, insoweit genügt vielmehr bereits das Bestehen eines Personenbezuges. Insgesamt weist Art. 8 GRCh im Verhältnis zu Art. 8 EMRK eine größere Regelungsdichte auf. Insbesondere greifen die Schrankenvorbehalte des Art. 8 Abs. 2 GRCh und die Institutsgarantie des Art. 8 Abs. 3 GRCh datenschutzrechtliche Anforderungen auf, die bereits zuvor im europäischen Sekundärrecht etabliert waren, namentlich die Grundsätze des Verarbeitungsverbots mit Erlaubnisvorbehalt, der Verarbeitung nach Treu und Glauben, der Zweckbindung und der Einwilligung sowie einzelne Betroffenenrechte und schließlich das Erfordernis einer unabhängigen Datenschutzaufsicht.12 Hieraus lässt sich aber nicht ohne Weiteres ableiten, dass das überkommene Sekundärrecht –
8 Vgl. EuGH, C-92/09 u. a., EuZW 2010, S. 939 ff. (Rn. 47) – Schecke und Eifert/Land Hessen; zum Verhältnis von Art. 7 und Art. 8 GRCh Michl, DuD 2017, S. 349 ff. 9 Vgl. Britz, EuGRZ 2009, S. 1 (11). Insofern gilt die Feststellung, der Weg zu einer staatenübergreifenden europäischen Dogmatik eines Datenschutzgrundrechts ist noch weit, noch als aktuell, so Gusy, Europäischer Datenschutz, in: Wolter u. a. (Hrsg.), Alternativentwurf, S. 265. 10 Vgl. etwa EuGH, C-582/14, NJW 2016, S. 3579 ff. – dynamische IP-Adressen; EuGH, C-362/14, NJW 2015, S. 3151 ff. – Schrems I; EuGH, C-293/12 u. a., NJW 2014, S. 2169 ff. – Digital Rights Irland; EuGH, C-131/12, NJW 2014, S. 2257 ff. – Google Spain. Anders etwa der Schlussantrag des Generalanwalts Jäasinen in der Rechtssache C-131/12 vom 25. 6. 2013 – Google Spain. So i.E. bereits Kühling/Klar, Jura 2011, S. 771 (773). 11 Dafür, dass die informationelle Selbstbestimmung eine Teilmenge des primärrechtlich geschützten Privatlebens bildet Bernsdorff, in: Meyer (Hrsg.), GRCh, Art. 8 Rn. 12 f.; vgl. auch Sobotta, in: Grabitz/Hilf/Nettesheim (Hrsg.), Das Recht der europäischen Union, AEUV, Art. 16 Rn. 3; vgl. auch Mähring, EuR 1991, S. 396 ff., der schon frühzeitig ein europäisches Grundrecht auf informationelle Selbstbestimmung aus Art. 8 EMRK und den Rechtsordnungen der Mitgliedstaaten ableitete; so auch Gola, RDV 1990, S. 109 (111). 12 Siehe zur inhaltlichen Konkretisierung des europäischen Datenschutzgrundrechtsschutzes Britz, EuGRZ 2009, S. 1 ff. Zum Verhältnis des verfassungsrechtlichen Schutzes auf europäischer Ebene einerseits und auf nationaler andererseits auch Ronellenfitsch, DuD 2009, S. 451 ff.; krit. Masing, SZ vom 9. 1. 2011, S. 10.
212
§ 7 Die DS-GVO – Ausdruck eines datenschutzrechtlichen Leitbildwandels?
namentlich die RL 95/46/EG, die RL 2002/58/EG und die VO 45/2001 – herangezogen werden kann, um den Gehalt der primärrechtlichen Vorgaben zu bestimmen.13 Im Ergebnis können sowohl die Einführung einer expliziten Kompetenz zur Regelung des Datenschutzes als auch die Normierung der genannten grundrechtlichen Gewährleistungen als Indikatoren für die sich zusehends steigernde Bedeutung des Datenschutzes in Europa und als „Beitrag zur Identitätsbildung der Union“14 gewertet werden. Des Weiteren liegt es angesichts der primärrechtlichen Anerkennung des Datenschutzes nahe, dass hinsichtlich der Regulierung von Datenverarbeitungstätigkeiten, -verfahren und -techniken auf europäischer Ebene die Bedeutung des Einzelnen eine Aufwertung gegenüber binnenmarktrelevanten Aspekten erfahren hat.15 Andererseits ist mit dieser „Hochzonung“ bislang keine konzeptionelle Neuausrichtung des Datenschutzes auf primärrechtlicher Ebene im Verhältnis zur sekundärrechtlichen verbunden gewesen. Damit ergibt sich für den nationalen Gesetzgeber die Besonderheit, dass dieser zwar weiterhin an die sich stetig ausdifferenzierenden grundgesetzlichen Vorgaben hinsichtlich der Regulierung der Datenverarbeitung gebunden ist, diese aber nur dann und insoweit zum Tragen kommen, wenn das unionale Recht diesem Umsetzungsspielräume belässt. Ansonsten ist er an die europäischen Vorgaben des Primärund Sekundärrechts gebunden, die sich jeweils aber auf einem hohem Abstraktionsniveau befinden und lediglich sukzessive eine gerichtliche Konkretisierung erfahren.16
II. Politische Ausgangsbedingungen 1. Evaluation der RL 95/46/EG Im Mai 2003 veröffentlichte die Kommission einen Bericht über die Durchführung der RL 95/46/EG.17 In diesem konstatierte sie, dass technische und internationale Entwicklungen einen beträchtlichen datenschutzrelevanten Wandel herbeiführen und klassische Gesetze mit ihrem begrenzten geografischen Geltungsbereich durch das Internet immer schneller an Bedeutung verlieren, die Richtlinie aber gleichwohl ihre primären Zwecke – die Gewährleistung eines hohen Datenschutzniveaus und des freien Datenverkehrs innerhalb der Gemeinschaft – erfülle. Insbesondere weil die Kommission davon ausging, dass andere Maßnahmen zur Errei13 So auch Siemen, Datenschutz als europäisches Grundrecht, S. 274; anders Bernsdorff, in: Meyer (Hrsg.), GRCh, Art. 8 Abs. 15. 14 Kingreen, in: Calliess/Ruffert (Hrsg.), EUV/AEUV, GRCh, Art. 8 Rn. 2. 15 Diesen Aspekt wirft auf Bernsdorff, in: Meyer (Hrsg.), GRCh, Art. 8 Abs. 15a. 16 I.E. ebenfalls zurückhaltend Britz, EuGRZ 2009, S. 1 (11). Übersicht der primärrechtlichen Bedingungen der Revision des europäischen Datenschutzrechts bei Pötters, RDV 2015, S. 10 ff. 17 KOM(2003)265.
A. Revision des europäischen Datenschutzrechts
213
chung der auch weiterhin maßgeblichen Ziele der Richtlinie effektiver seien, sprach sie sich gegen ihre Änderung aus. Insoweit wurden namentlich die Förderung der europäischen und mitgliedstaatlichen Aufsichtsbehörden bzw. ihrer Kooperation, der Einsatz und die Entwicklung von Privacy Enhancing Technologies (PET) sowie Maßnahmen zur Sensibilisierung datenverarbeitender Stellen und Betroffener thematisiert. Insgesamt brachte der Bericht den Willen der Kommission zum Ausdruck, die Durchführung der Richtlinie durch nicht-legislative Maßnahmen in Kooperation mit den verschiedenen datenschutzrelevanten Akteuren zu unterstützen.18 Im Mai 2007 gestand die Kommission erstmals ausdrücklich ein, dass sich der europäische Rechtsrahmen für den Datenschutz vor dem Hintergrund, dass personenbezogene Daten zunehmend in IKT-Netzen verarbeitet werden, als unzureichend erweisen könne.19 Angesichts der Realisationschancen rechtlicher Vorgaben im Internet bezeichnete sie den Einsatz von PET als sinnvolle Ergänzung, da jene Technologien bereits die Entstehung personenbezogener Daten bzw. die Verletzung datenschutzrechtlicher Bestimmungen technisch verhindern könnten. Daher sollten ihre Entwicklung sowie ihr Einsatz nach Ansicht der Kommission nicht in der alleinigen Verantwortung der IKT-Industrie liegen. Entsprechende Maßnahmen müssten vielmehr über die Selbstregulierung bzw. den guten Willen dieser Branche hinausgehen und anhand eines Regelwerks erfolgen, welches sich aus durchsetzbaren Datenschutzbestimmungen zusammensetze. In diesem Kontext visierte die Kommission verschiedene Vorhaben im Bereich der Normung bzw. der Standardisierung an. Neben der Erforderlichkeit von Projekten zur Entwicklung und Förderung des Einsatzes datenschutzfreundlicher Technologien sollte u. a. geprüft werden, ob die europäischen Normungseinrichtungen europäische Datenschutzanforderungen im Rahmen internationaler Normungseinrichtungen global etablieren können.20 Insgesamt hatte es damit den Anschein, dass sich das europäische Datenschutzkonzept zusehends ausdifferenzierte; verstärkt wurden bereichsspezifische Regelungen, normative Vorgaben unterhalb der sekundärrechtlichen Ebene und nicht-legislative Maßnahmen diskutiert. Diese Entwicklung ist unter dem Aspekt der Etablierung eines qualitativen Datenschutzes grundsätzlich zu begrüßen.21
18 Diesen Ansatz verfolgte die Kommission auch im Bereich der Datensicherheit, s. KOM (2006)251. 19 KOM(2007)228, S. 2. 20 KOM(2007)228, S. 8. 21 Positiv gegenüber technik- und vor allem risikospezifischen rechtlichen Vorgaben Roßnagel, „Technikneutrale Regulierung“, in: Eifert/Hoffmann-Riem (Hrsg.), Innovationsfördernde Regulierung, S. 323 ff.; s.a. im Hinblick auf die DS-GVO Roßnagel/Richter/Nebel, ZD 2013, S. 103 (103 f.); für technikneutrale Regelungen sind Schneider/Härting, ZD 2012, S. 199 ff. Beide Konzepte vor dem Hintergrund der europäischen Entwicklungen darstellend Sydow/Kring, ZD 2014, S. 271 ff.
214
§ 7 Die DS-GVO – Ausdruck eines datenschutzrechtlichen Leitbildwandels?
2. Gesamtkonzept für den Datenschutz in der EU und Schutz der Privatsphäre in einer vernetzten Welt Im Mai 2010 stellte die Kommission die „Digitale Agenda für Europa“22 als eine der sieben Leitinitiativen der Strategie Europa 202023 vor. Jene Agenda sollte den größeren Rahmen für verschiedene Maßnahmen zum Ausbau des digitalen Binnenmarkts bilden. Da mangelndes Vertrauen der Verbraucher zunehmend intensiver als Hindernis für die Entwicklung der europäischen online-Wirtschaft identifiziert wurde, stellte die Vertrauensbildung im digitalen Umfeld eines ihrer maßgeblichen Ziele dar.24 Hierzu sollte insbesondere der Datenschutz fruchtbar gemacht werden. Die Kommission stellte insoweit fest, dass der Schutz der Privatsphäre sowie der personenbezogenen Daten als europäische Grundrechte auch online mit der breitest möglichen Palette an Mitteln – angefangen bei dem Grundsatz Privacy by Design bis hin zu abschreckenden Sanktionen bei Datenschutzverletzungen – durchzusetzen sind.25 Daher kündigte sie an, bei der laufenden Gesamtüberprüfung des europäischen Rechtsrahmens für den Datenschutz eine umfassende Modernisierung der einschlägigen Rechtsinstrumente vorzunehmen, damit dieser künftig den Herausforderungen der Globalisierung gewachsen sei und neue, technologieneutrale Wege der Vertrauensbildung durch eine Stärkung der Bürgerrechte eröffne.26 Jene Großformel wurde im Rahmen weiterer Mitteilungen der Kommission sukzessive konkretisiert. Insoweit blieb das im November 2011 von dieser veröffentlichte „Gesamtkonzept für den Datenschutz in der Europäischen Union“ partiell noch relativ unkonkret, jedenfalls aber unverbindlich, denn es enthielt lediglich Zielausrichtungen und Prüfzusagen.27 Die Kommission unterschied hier – wie auch schon im Rahmen der RL 95/46/EG – zwei Dimensionen des europäischen Datenschutzes; einerseits die Betroffenen- und andererseits die Binnenmarktdimension. Bezüglich der erstgenannten Perspektive wurden mit neuartigen Datenverarbeitungsformen, etwa dem Cloud-Computing, sowie dem internationalen Datentransfer einhergehende Kontrollverluste der Betroffenen problematisiert.28 Im Rahmen der Binnenmarktperspektive stellte die Kommission fest, dass lediglich eine unzureichende Harmonisierung der mitgliedstaatlichen Datenschutzvorschriften erfolgt sei. Nach Ansicht der Kommission gelte es daher, beide Dimensionen zu stärken. Die zu diesem Zweck im Folgenden angedachten Ansätze standen in der Tradition der RL 95/46/EG. Hiernach sollten mehr Transparenz und Kontrollmöglichkeiten die Situation der Betroffenen verbessern. Hierzu erwog die Kommission u. a. die 22 23 24 25 26 27 28
KOM(2010)245. KOM(2010)2020. KOM(2010)245, S. 5 und S. 13 ff. KOM(2010)245, S. 19 f. KOM(2010)245, S. 13. KOM(2010)609. Dazu Gola/Klug, NJW 2011, S. 2484 (2490). KOM(2010)609, S. 2.
A. Revision des europäischen Datenschutzrechts
215
Einführung eines allgemeinen Transparenzgrundsatzes hinsichtlich der Verarbeitung personenbezogener Daten, die Ausweitung der Informationspflichten datenverarbeitender Stellen, die Erstellung standardisierter Datenschutzhinweise durch die Kommission sowie die Etablierung einer allgemeinen Meldepflicht bei Datenschutzverstößen. Außerdem sollte generell dem Grundsatz der Datensparsamkeit mehr Bedeutung zukommen. Die Kommission verstand hierunter „die Datenverarbeitung […] nur zu ganz bestimmten Zwecken“29 und nicht etwa gemäß der deutschen Interpretation dieses Ansatzes die Verarbeitung so wenig personenbezogener Daten wie möglich.30 Des Weiteren wurde hier die Stärkung bereits bestehender sowie die Einführung neuartiger Betroffenenrechte – namentlich des Rechts auf Vergessenwerden sowie des Rechts auf Datenportabilität – angedacht. Auch sollte insgesamt das Bewusstsein der Betroffenen für die Risiken der Datenverarbeitung gefördert werden. Insoweit kündigte die Kommission an, Möglichkeiten der Kofinanzierung von Aufklärungsmaßnahmen zum Thema Datenschutz mit europäischen Mitteln sowie der Verpflichtung datenverarbeitender Stellen zu eben solchen auszuloten. Schließlich nahm sich die Kommission vor, zu prüfen, ob die Bestimmungen zur Einwilligung sowie die Verarbeitungsvoraussetzungen in Bezug auf sensible Daten präzisiert und gestärkt, das bestehende Sanktionsregime verschärft und ein Verbandsklagerecht auf europäischer Ebene etabliert werden sollten. Hinsichtlich der Stärkung des Binnenmarkts visierte die Kommission an, zu eruieren, inwiefern die geltenden Vorschriften über das anwendbare Datenschutzrecht konkretisiert werden können. Sie plante außerdem, datenverarbeitenden Stellen im Bereich des Datenschutzes insgesamt mehr Verantwortung zu übertragen.31 Insofern sollten einerseits interne Kontrollverfahren und andererseits die Zusammenarbeit mit den Kontrollbehörden intensiviert werden. Zu diesem Zweck zog die Kommission die obligatorische Benennung eines unabhängigen Datenschutzbeauftragten, verpflichtende Datenschutz-Folgenabschätzungen sowie die verbindliche Einführung von Privacy Enhancing Technologies und des Grundsatzes Privacy by Design in Betracht. Außerdem kündigte die Kommission an, Initiativen zur Selbstregulierung und Möglichkeiten der Zertifizierung zu fördern. In seiner Entschließung vom 6. Juli 2011 begrüßte das Europäische Parlament ausdrücklich die dargestellten Ziele und Prüfankündigungen der Kommission.32 Darüber hinaus ging es davon aus, dass bei der Revision der europäischen Datenschutzvorgaben ein risikospezifischer Ansatz zugrunde gelegt werden sollte, dem zufolge Datenschutzregelungen zwar sowohl online- als auch offline-Sachverhalte
29
KOM(2010)609, S. 8. Zum deutschen Verständnis etwa Simitis, in: ders. (Hrsg.), BDSG, Einl. Rn. 94; Dammann, in: Simitis (Hrsg.), BDSG, § 3 Rn. 196 und Rn. 219a. 31 Zur Debatte über den Rechenschaftsgrundsatz („accountability“) Art. 29 Gruppe, Opinion 3/2010 on the principle of accountability, 00062/10/EN. 32 P7_TA(2011)0323. 30
216
§ 7 Die DS-GVO – Ausdruck eines datenschutzrechtlichen Leitbildwandels?
erfassen, gleichzeitig aber die Unterschiede zwischen beiden berücksichtigen.33 Insoweit konstatierte das Parlament, dass die technologische Entwicklung einerseits neue Datenschutzgefahren begründe, andererseits aber auch eine enorme Zunahme der Nutzung von Informationstechnologien für den täglichen und normalerweise „harmlosen“ Gebrauch bedinge. Insofern gelte es, eine unnötige Behinderung der als harmlos zu qualifizierenden Verarbeitung personenbezogener Daten zu vermeiden.34 Wann eine Verarbeitung als harmlos bzw. gefährlich zu bewerten ist, ließ das Parlament jedoch offen. Nach umfassenden Vorarbeiten, die insbesondere öffentliche Anhörungen und verschiedene Studien umfassten, präsentierte die Kommission im Januar 2012 im Rahmen ihrer Mitteilung „Der Schutz der Privatsphäre in einer vernetzten Welt – Ein europäischer Datenschutzrahmen für das 21. Jahrhundert“ die Ergebnisse der im Gesamtkonzept angekündigten Prüfungen.35 Hiernach sollte der europäische Rechtsrahmen für den Datenschutz künftig aus zwei Teilen bestehen; einer Verordnung, welche die RL 95/46/EG ablöst und allgemeine Datenschutzanforderungen enthält, und einer Richtlinie für den Datenschutz im Rahmen der Strafverhütung und -verfolgung, welche den Rahmenbeschluss 2008/977/JI ersetzt.36 Gemeinsam sollten die beiden Rechtsakte einen umfassenden und kohärenten Rechtsrahmen bilden und insgesamt die Betroffenenposition stärken, die Durchsetzung von Datenschutzvorschriften in der Europäischen Union vereinheitlichen sowie den Verwaltungsaufwand für Unternehmen auf ein Mindestmaß reduzieren.
B. Das Gesetzgebungsverfahren der DS-GVO Im Folgenden wird das Gesetzgebungsverfahren der DS-GVO unter besonderer Berücksichtigung der Verwirklichung qualitativer Elemente, namentlich der Ansätze Privacy by Design, regulierte Selbstregulierung sowie risikobasierte Regulierung, untersucht. Hierzu wird zunächst der Kommissionsentwurf der DS-GVO dargestellt. Anschließend werden die Änderungsvorschläge des Europäischen Parlaments sowie des Rates analysiert. Schließlich erfolgt eine Gesamtbetrachtung der in Kraft getretenen DS-GVO.
33
P7_TA(2011)0323, EWg. O. P7_TA(2011)0323, Rn. 5. 35 Zu den vorbereitenden Initiativen der Kommission s. KOM(2012)9, S. 3 f. 36 Zu dem Richtlinienentwurf Kugelmann, DuD 2012, S. 581 ff.; s.a. Bäcker/Hornung, ZD 2012, S. 147 ff. 34
B. Das Gesetzgebungsverfahren der DS-GVO
217
I. Der Kommissionsentwurf Am 25. Januar 2012 veröffentlichte die Kommission ihren Vorschlag einer DSGVO.37 Im Rahmen der Entwurfsbegründung führte sie aus, dass sich die faktischen Ausgangsbedingungen des Datenschutzes insbesondere aufgrund des technischen Fortschritts und der Globalisierung des Datenverkehrs seit Erlass der RL 95/46/EG massiv gewandelt haben. Gleichwohl hätten die Ziele der Richtlinie auch weiterhin Gültigkeit; es müsse zum einen ein einheitlicher Grundrechtsschutz bei der Verarbeitung personenbezogener Daten und zum anderen der freie Datenverkehr innerhalb der Union gewährleistet werden.38 Hieraus schloss die Kommission, dass durch eine rechtliche Regulierung der Datenverarbeitung sichergestellt werden müsse, dass jede Person die Kontrolle über die Verarbeitung sich auf sie beziehender Daten ausüben können müsse,39 und Nutzern, Wirtschaft und Staat Rechtssicherheit in Bezug auf die Gewährleistungen des Datenschutzes zu verschaffen sei. Hinsichtlich der normativen Ausrichtung des Rechtsakts waren mithin deutliche Anklänge an das Recht auf informationelle Selbstbestimmung zu vernehmen. Zur Reform des allgemeinen europäischen Datenschutzregimes erwog die Kommission verschiedene Optionen: 1. die Vornahme lediglich minimaler Änderungen an der RL 95/46/EG, ergänzt durch nicht-legislative Maßnahmen, 2. die punktuelle Regelung von Problemstellungen sowie 3. die Verankerung des Datenschutzes auf unionaler Ebene durch detaillierte Vorschriften für alle Sektoren und die Gründung einer europäischen Agentur zu ihrer Durchsetzung. Schließlich favorisierte die Kommission die 2. Option und ergänzte diese um Merkmale der 1. und 3.40 Die Bestimmungen des Entwurfs waren weit überwiegend konkretisierungsbedürftig. Die erforderlichen Präzisierungen sowie Ausgestaltungen sollten nach Ansicht der Kommission grundsätzlich weder durch das Europäische Parlament und den Rat noch die Mitgliedstaaten,41 sondern mittels delegierter Rechtsakte bzw. 37 KOM(2012)11. Noch bevor die Kommission den offiziellen Entwurf einer DS-GVO präsentierte, wurde im November 2011 eine vorläufige Version desselben bekannt. Die inoffizielle Fassung stellte sich in einigen zentralen Punkten – etwa der Haftung für Datenschutzverstöße und dem Schutz von Minderjährigen – datenschutzfreundlicher als der offizielle Entwurf dar. Für jene Abänderungen wurde die Einflussnahme der datenverarbeitenden Wirtschaft sowie der US-amerikanischen Administration verantwortlich gemacht. Die Änderungen darstellend, aber zurückhaltend in Bezug auf deren Ursprung, s. Hornung, ZD 2012, S. 99 ff. Zum Einfluss von Lobbyisten auf die DS-GVO auch BT-Drs. 17/13073. 38 KOM(2012)11, EWg. 5. 39 Kritisch in Bezug auf diesen Schluss Gusy, KritV 2000, S. 52 (59); s.a. Duttge, Der Staat 36 (1997), S. 281 (303). 40 KOM(2012)11, S. 5. Krit. bzgl. der Rechtsformwahl Masing, SZ vom 9. 1. 2012, S. 10; Roßnagel, DuD 2012, S. 553 ff. Krit. bezüglich der Position, die sich die Kommission im europäischen Datenschutz ursprünglich schaffen wollte, Ronellenfitsch, DuD 2012, S. 561 ff. 41 Öffnungsklauseln zugunsten der nationalen Gesetzgeber statuierte der Kommissionsentwurf nur in sehr begrenztem Umfang. Zu den hiernach den deutschen Gesetzgebern und dem BVerfG verbleibenden Kompetenzen von Lewinski, DuD 2012, S. 564 ff.
218
§ 7 Die DS-GVO – Ausdruck eines datenschutzrechtlichen Leitbildwandels?
Durchführungsbestimmungen durch sie selbst erfolgen.42 Dies galt auch hinsichtlich zentraler Vorgaben des Entwurfs, etwa bzgl. der Rechtmäßigkeitsvoraussetzungen der Datenverarbeitung, des technischen Datenschutzes sowie des Aufsichtsregimes. Insoweit manifestierte sich der im System der unionalen Rechtsakte gem. Art. 288 AEUVals atypisch bzw. hybrid zu kennzeichnende Charakter der Grundverordnung; einerseits soll dieser gem. Art. 288 Abs. 2 AEUV unmittelbare Geltung zukommen, andererseits sind deren Bestimmungen größtenteils zu unkonkret, als dass sie direkt vollzogen werden könnten. Angesichts der sich rasant wandelnden technischen Ausgangsbedingungen und den insbesondere auf europäischer Ebene langwierigen Gesetzgebungsverfahren zur Regelung des Datenschutzes stellt die delegierte Rechtssetzung im Grundsatz eine effektive Möglichkeit zur Klärung technischer Detailfragen dar. Gleichwohl darf die Kommission über diese hinausgehende normative Entscheidungen nicht als illegitimer Ersatzgesetzgeber treffen, vgl. etwa Art. 290 Abs. 1 AEUV. Daher stellte sich die Rolle, die sich die Kommission in ihrem Entwurf selbst zuwies, aus kompetenzrechtlichen – aber auch aus datenschutzrechtlichen – Gründen als höchst problematisch dar.43 Bezüglich seines Anwendungsbereichs versuchte der Entwurf, auf die Bedingungen des Internets einzugehen. Der sachliche Anwendungsbereich der DS-GVOKOM entsprach im Wesentlichen dem der europäischen Datenschutzrichtlinie. EWg. 24 DS-GVO-KOM widmete sich der Frage, ob IP-Adressen personenbezogene Daten darstellen und damit dem europäischen Datenschutzregime unterliegen. Hiernach seien online-Kennungen nicht zwangsläufig und unter allen Umständen als personenbezogene Daten zu betrachten, gleichwohl könnten diese Spuren hinterlassen, die zusammen mit anderen eindeutigen Kennungen und beim Server eingehenden Informationen der Identifikation von Personen dienen.44 Mithin legte die Kommission insoweit ein relatives Verständnis zugrunde. Bei der Bestimmung des örtlichen Anwendungsbereichs sollte zwar auch weiterhin das Niederlassungsprinzip maßgeblich bleiben, dieses aber durch das sog. Marktortprinzip ergänzt werden, Art. 3 Abs. 1, 2 DS-GVO-KOM.45 Nach letzterem gelten die Vorgaben der Verordnung auch dann, wenn Daten, die sich auf in der Union 42 Zu abgeleiteter Rechtssetzung im Unionsrecht s. Haselmann, Delegation und Durchführung gemäß Art. 290 und 291 AEUV; s.a. Hofmann, European Law Journal 2009, S. 482 ff.; Wolfram, „Underground Law?“. 43 Krit. angesichts der Rolle, die sich die Kommission in ihrem Entwurf selbst zuschrieb, Härting, CR 2013, S. 715 (716); Herrmann, ZD 2014, S. 439 ff.; Leucker, PinG 2015, S. 195 ff.; Roßnagel, DuD 2012, S. 553 ff.; Schild/Tinnefeld, DuD 2012, S. 312 ff. 44 Hornung bezeichnet dies als eine inhaltlich zutreffende, aber wenig logische Formulierung, Hornung, ZD 2012, S. 99 (102). 45 Die Aufnahme des Marktortprinzips wurde überwiegend als eine der wichtigsten Verbesserungen des Entwurfs gegenüber der RL 95/46/EG bezeichnet, so etwa Klar, ZD 2013, S. 109 ff.; Richter/Nebel, ZD 2012, S. 407 (410); Wieczorek, DuD 2013, S. 644 ff.; krit. in Bezug auf Cloud-Dienste Hornung/Sädtler, CR 2012, S. 638 (640).
B. Das Gesetzgebungsverfahren der DS-GVO
219
ansässige Personen beziehen, durch nicht in der Union niedergelassene Stellen verarbeitet werden, soweit dies dazu dient, ihnen Waren oder Dienstleistungen anzubieten oder deren Verhalten zu beobachten.46 Hier reagierte die Kommission auf das zum Zwecke des Targeted Advertising durchgeführte Web-Tracking, welches eine erhebliche Anzahl größtenteils rechtswidriger Datenverarbeitungsprozesse im Netz bedingt.47 Die durch den Entwurf aufgegriffenen Verarbeitungs- und Rechtmäßigkeitsvoraussetzungen deckten sich größtenteils mit denen der RL 95/46/EG. Namentlich hielt auch der Kommissionsvorschlag an dem Verbotsprinzip fest, dem zufolge die Verarbeitung personenbezogener Daten rechtswidrig ist, solange nicht die Einwilligung des Betroffenen oder ein anderer, durch die Verordnung anerkannter Erlaubnistatbestand diese legitimiert, Art. 5 Abs. 1 lit. a i.V.m. Art. 6 Abs. 1 DS-GVOKOM. Damit basierte das Konzept des Entwurfs auch angesichts der Verarbeitungsbedingungen im Internet sowie von Big-Data-Anwendungen weiterhin auf einer Vorgabe, die zwangsläufig eine Überforderung aller Akteure des Datenschutzes bedingt.48 Oder anders ausgedrückt: Einer der wesentlichsten Mechanismen des europäischen Datenschutzrechts sollte weiterhin das grundsätzliche Verbot der Verarbeitung personenbezogener Daten im Gegensatz zu der Statuierung von Gestaltungsanforderungen an Datenverarbeitungstätigkeiten, -techniken und -prozesse bilden. Die Anforderungen an die Wirksamkeit einer datenschutzrelevanten Einwilligung sollten im Vergleich zur RL 95/46/EG nach dem Kommissionsvorschlag präzisiert werden. Entsprechend schloss Art. 7 Abs. 4 DS-GVO-KOM die Rechtmäßigkeit der Einwilligung für den Fall aus, dass ein erhebliches Ungleichgewicht zwischen dem Betroffenen und der verantwortlichen Stelle besteht. Außerdem erklärte Art. 8 Abs. 1 DS-GVO-KOM die Einwilligungslösung in dem Fall für unanwendbar, dass einem Kind vor Vollendung des dreizehnten Lebensjahres direkt Dienste der Informationsgesellschaft angeboten werden.49 Weiterhin sah der Entwurf die Aufwertung des Transparenzgebots vor, welches sich unter der RL 95/46/EG insbesondere als implizite Anforderung des Grundsatzes der Verarbeitung nach Treu und Glauben manifestierte. Zu diesem Zweck enthielt der Vorschlag einen Transpa46 Allgemein wurde die Verankerung des Marktortprinzips positiv, teilweise aber auch als inkonsequent bewertet, so Hornung, ZD 2012, S. 99 (102); s.a. Nebel/Richter, ZD 2012, S. 407 (410); Roßnagel/Richter/Nebel, ZD 2013, S. 103 (104). 47 Zur datenschutzrechtlichen Beurteilung des Web-Tracking s. Wambach/Schulte/Knorr, DuD 2016, S. 523 (524 ff.). Zum Anwendungsbereich des deutschen Datenschutzrechts für USamerikanische Konzerne vor der DS-GVO Jotzo, MMR 2009, S. 232 ff. 48 Diesen Ansatz befürwortend Hornung, ZD 2012, S. 99 (101); ablehnend Schneider, AnwBl. 2011, S. 233 ff.; s.a. Schneider/Härting, ZD 2011, S. 63 ff. 49 Krit. insoweit Härting, BB 2012, S. 459 (463); Schneider/Härting, ZD 2012, S. 199 (201). Die Einwilligungslösung generell ablehnend Härting, NJW 2013, S. 2065 (2070); Kutscha, DuD 2011, S. 461 (463); Masing, NJW 2012, S. 2305 (2309); Sydow/Kring, ZD 2014, S. 271 (276). Zum Datenschutz bei Minderjährigen nach dem Verordnungsentwurf Gola/ Schulz, ZD 2013, S. 475 ff.
220
§ 7 Die DS-GVO – Ausdruck eines datenschutzrechtlichen Leitbildwandels?
renzabschnitt, welcher die Modalitäten der Kommunikation zwischen der verantwortlichen Stelle und dem Betroffenen regeln sollte.50 Des Weiteren visierte der Entwurf die Stärkung der Grundsätze Privacy by Design and Default an. Art. 23 DS-GVO-KOM gab den verantwortlichen Stellen explizit deren Verwirklichung auf. Bei Zuwiderhandlungen gegen diese Verpflichtung sollte die Verhängung eines Bußgeldes von im Falle eines Unternehmens bis zu 2 % seines weltweiten Jahresumsatzes möglich sein, Art. 79 Abs. 6 lit. e DS-GVO-KOM. Im Gegensatz dazu ging die RL 95/46/EG lediglich im Rahmen ihrer Erwägungsgründe davon aus, dass sowohl zum Zeitpunkt der Planung eines Verarbeitungssystems als auch zum Verarbeitungszeitpunkt selbst technische und organisatorische Datenschutzmaßnahmen getroffen werden sollten. Weiterhin behielt sich die Kommission vor, Kriterien und Anforderungen bezüglich technischer und organisatorischer Datenschutzmaßnahmen und -verfahren bzw. entsprechende technische Standards selbst festzulegen, Art. 23 Abs. 3, 4 DS-GVO-KOM.51 Insgesamt nahm der Entwurf datenverarbeitende Stellen im Verhältnis zu den Vorgaben der RL 95/46/EG stärker in die Verantwortung. Hierzu wurden bestehende Pflichten präzisiert und neuartige begründet. Gleichwohl normierte der Vorschlag – dem Ansatz der Technikneutralität entsprechend – keine spezifischen Vorgaben bezüglich spezieller Verarbeitungsformen. Entsprechend sollten etwa im Bereich des Cloud-Computing die allgemeinen Regelungen zur Auftragsdatenverarbeitung gem. Art. 26 DS-GVO-KOM Anwendung finden.52 Zu den neuartigen Instrumenten, auf die der Entwurf zurückgriff, zählte die Datenschutz-Folgenabschätzung.53 Diese stellt ein formalisiertes Verfahren dar, mit dessen Hilfe verantwortliche Stellen ermitteln können, welche Risiken eine geplante Verarbeitung für die Rechte und Freiheiten der betroffenen Personen birgt und mit welchen Maßnahmen insoweit Abhilfe geschaffen werden kann, Art. 33 Abs. 3, Art. 30 Abs. 2 DS-GVO-KOM. Im Vergleich zur RL 95/46/EG war auch die Aufnahme von Zertifizierungsverfahren in den Katalog der Datenschutzmittel neu. Deren Einführung sollte durch die Mitgliedstaaten sowie die Kommission gefördert werden, Art. 39 DS-GVO-KOM. Durch die Pflicht zur Bestellung eines Datenschutzbeauftragten und den Ausbau seiner Aufgaben und Kompetenzen gem. Art. 35 ff. DS-GVO-KOM plante die 50 Zu Transparenzanforderungen der DS-GVO Gusy/Schulte, Datenschutz durch Transparenz im Kontext der DSGVO in: Dix u. a. (Hrsg.), JBInfoR 2017 (im Erscheinen). 51 Krit. bzgl. der Regelung des technisch-organisatorischen Datenschutzes durch den Kommissionsentwurf Münch, RDV 2012, S. 72 ff.; s.a. Richter, DuD 2012, S. 576 ff.; Schulz, CR 2012, S. 204 ff. Unkrit. Boehme-Neßler, ZG 2013, S. 242 ff. 52 Krit. auch Hornung/Sädtler, CR 2012, S. 638 (643). Für eine „Ersatzlösung“ in deren Zentrum die Zertifizierung von Cloud-Diensten steht Roßnagel/Richter/Nebel, ZD 2013, S. 103 (105). 53 Ausführlich zur Datenschutz-Folgenabschätzung Friedewald u. a., Datenschutz-Folgenabschätzung – Ein Werkzeug für einen besseren Datenschutz, online.
B. Das Gesetzgebungsverfahren der DS-GVO
221
Kommission, das interne Kontrollverfahren zu fördern. Dem Entwurf zufolge haben öffentliche datenverarbeitende Stellen stets einen Datenschutzbeauftragten zu benennen und nicht-öffentliche Stellen lediglich dann, wenn sie entweder mindestens 250 Mitarbeiter beschäftigen oder die Kerntätigkeit des Verantwortlichen dies erforderlich macht.54 Den Pflichten der verantwortlichen Stellen korrespondierten überwiegend auch Betroffenenrechte.55 Insoweit sah der Entwurf auch die Statuierung von zwei neuartigen Rechten vor: Das Recht auf Vergessenwerden, dessen Mehrwert gegenüber bereits bestehenden Löschungspflichten in der Auseinandersetzung mit dem Kommissionsentwurf mehrheitlich angezweifelt wurde,56 und das ebenfalls nicht unumstrittene Recht auf Datenportabilität.57 Angesichts der Übermittlung personenbezogener Daten in Drittstaaten hielt der Vorschlag in seinem 5. Kapitel weitestgehend an den Regelungen der RL 95/46/EG fest und präzisiert diese lediglich partiell. Eine Aufwertung erfuhren in diesem Kontext verbindliche unternehmensinterne Vorschriften, welche geeignete Garantien zur Rechtfertigung einer entsprechenden Übermittlung darstellen sollten, Art. 43 DS-GVO-KOM. Schließlich ergaben sich im Rahmen des institutionellen Aufsichtsregimes weitgehende Änderungen.58 Der Kommissionsentwurf wollte die Aufsichtsbehörden generell stärken und deren Zusammenarbeit besser koordinieren. Um das erstgenannte Ziel zu erreichen, wurde den Mitgliedstaaten aufgegeben, sicherzustellen, dass deren Aufsichtsbehörden mit angemessenen personellen, technischen und finanziellen Ressourcen ausgestattet sind, Art. 47 Abs. 5 DS-GVO-KOM. Außerdem sollten die Sanktionen gem. Art. 79 DS-GVO-KOM den Aufsichtsbehörden weitreichende Möglichkeiten eröffnen, Datenschutzverstöße zu ahnden. Um das zweitgenannte Ziel zu verwirklichen und außerdem den datenverarbeitenden Stellen mehr Rechtssicherheit zu verschaffen, griff der Vorschlag auf das sog. One-StopShop-Prinzip zurück. Diesem zufolge ist die Aufsichtsbehörde, die am Ort der 54
Zum betrieblichen Datenschutzbeauftragten nach dem Kommissionsentwurf Hoeren, ZD 2012, S. 355 ff. 55 Krit. gegenüber den als nicht internettauglich eingestuften Benachrichtigungs- und Informationspflichten nach dem Kommissionsentwurf Schneider/Härting, ZD 2012, S. 199 (200 f.). 56 Krit. etwa Hornung/Hofmann, JZ 2013, S. 163 ff.; s.a. Sofiotis, VR 2015, S. 84 ff.; mit Vergleich zur Rechtslage unter dem BDSG Kodde, ZD 2013, S. 115 ff.; bereits vor Veröffentlichung des Kommissionsvorschlags grundlegend Mayer-Schönberger, Delete: The Virtue of Forgetting in the Digital Age; zur technischen Umsetzung entsprechender Ansprüche Nolte, ZRP 2011, S. 236 ff. 57 Zum Recht auf Datenübertragbarkeit und generell zur Dispositionsbefugnis über personenbezogene Daten Jülicher/Röttgen/von Schönfeld, ZD 2016, S. 358 ff. Zum „Recht auf Vergessenwerden“ in der Rechtsprechung des EuGH Hoeren, EWiR 2014, S. 517 f.; s.a. Holznagel/Hartmann, MMR 2016, S. 228 ff. 58 Hierzu Härting, BB 2012, S. 459 ff.
222
§ 7 Die DS-GVO – Ausdruck eines datenschutzrechtlichen Leitbildwandels?
Hauptniederlassung einer verantwortlichen Stelle für die Kontrolle ihrer Verarbeitungstätigkeiten zuständig ist, dies auch hinsichtlich der Verarbeitungstätigkeiten jener Stelle in anderen Mitgliedstaaten, Art. 51 Abs. 2 DS-GVO-KOM.59 Außerdem sollte die Zusammenarbeit der Aufsichtsbehörden durch das sog. Kohärenzverfahren besser koordiniert werden.60 Jenes Verfahren sollte dann zur Anwendung kommen, wenn eine Aufsichtsbehörde eine Maßnahme ergreifen möchte, die Rechtswirkung in unterschiedlichen Mitgliedstaaten entfaltet. Über die Rechtmäßigkeit solcher Maßnahmen wollte die Kommission sich selbst eine Letztentscheidungskompetenz vorbehalten.61 Schließlich plante die Kommission, die Artikel-29-Gruppe durch einen Europäischen Datenschutzausschuss zu ersetzen, dem überwiegend koordinierende und beratende Funktionen zukommen sollten, Art. 64 ff. DS-GVO-KOM.
II. Zwischenergebnis Unter dem Gesichtspunkt der Verwirklichung eines qualitativen Datenschutzes lässt sich mit Gerrit Hornung formulieren, der Kommissionsentwurf barg Licht und Schatten.62 Grundsätzlich griff dieser zwar die Ansätze Privacy by Design, regulierte Selbstregulierung und risikobasierte Regulierung auf, deren konkrete Ausgestaltung stellte sich aber überwiegend kritikwürdig dar. Mit Art. 23 DS-GVO-KOM enthielt der Kommissionsvorschlag eine Regelung zum Datenschutz durch Technik und zu datenschutzfreundlichen Voreinstellungen.63 Diese war gegenüber der bis dato geltenden europäischen Rechtslage als Fortschritt, im Verhältnis zum BDSG hingegen als Rückschritt zu qualifizieren. Im deutschen Datenschutzdiskurs war bereits anerkannt, dass die zentrale Anforderung des technischen Datenschutzes die Realisierung des Grundsatzes der Datenvermeidung und -sparsamkeit ist.64 Hiernach sind generell so wenig personenbezogene Daten wie möglich zu erheben und zu verarbeiten, § 3a S. 1 BDSG. Diesem Zweck dienen die Anonymisierung und Pseudonymisierung personenbezogener Daten, § 3a S. 2 BDSG. Insoweit dieses Ziel bereits bei der Gestaltung von Datenverarbeitungssystemen bzw. -verfahren verwirklicht wird, realisiert sich der Ansatz Privacy by Design. Hinter diesen Anspruch fiel der Kommissionsentwurf zurück, weil hier lediglich die Zweckbindung und eben nicht die Datenvermeidung das maßgebliche 59 Krit. insb. wegen der Gefahr des sog. Forum-Shopping Casper, ZD 2012, S. 555 (556); s.a. Hornung, ZD 2012, S. 99 (101); Dix, DuD 2012, S. 318 (321). 60 Hierzu Caspers, ZD 2012, S. 555 ff. 61 Krit. bzgl. der Letztentscheidungskompetenz der Kommission Dix, DuD 2012, S. 318 ff.; s.a. Ziebarth, CR 2013, S. 60 ff.; Kahler, RDV 2013, S. 69 ff. 62 Hornung, ZD 2012, S. 99 ff. 63 Siehe hierzu Hornung, ZD 2012, S. 99 (103); Münch, RDV 2012, S. 72 ff.; Richter, DuD 2012, S. 576 ff. 64 Weiterhin positiv gegenüber diesem Ansatz Hornung, Spektrum Spezial 2017, S. 62 ff.; s.a. Roßnagel, DuD 2017, S. 290 (294).
B. Das Gesetzgebungsverfahren der DS-GVO
223
Ziel des technischen Datenschutzes bildete. Damit bestimmt nach dem Entwurf mit der Festlegung des Verarbeitungszwecks die datenverarbeitende Stelle, die i. d. R. ein originäres Interesse am Stattfinden von Datenverarbeitung hat, den Maßstab zur Beantwortung der Frage, ob die Voraussetzungen des Art. 23 DS-GVO-KOM erfüllt sind, und es gilt insoweit eben kein objektiver Maßstab. Darüber hinaus adressierte Art. 23 DS-GVO-KOM lediglich verantwortliche Stellen und gerade nicht die Entwickler von Datenverarbeitungssystemen bzw. -verfahren. Zwar schaffen die in Aussicht stehenden Sanktionen für die Verletzung technischer und organisatorischer Datenschutzvorgaben gem. Art. 79 Abs. 6 lit. e DS-GVO-KOM einen potentiellen Anreiz für verantwortliche Stellen, ihr Nachfrageverhalten zu ändern und so mittelbar auf Entwicklungsprozesse einzuwirken.65 Gleichwohl wäre es zielführender gewesen, Entwickler unmittelbar – etwa durch Haftungsregelungen oder Privilegien – zu motivieren, datenschutzrechtliche Verpflichtungen zu verwirklichen. Des Weiteren wäre es sachgerechter gewesen, die Kompetenz zur Festlegung entsprechender Maßnahmen und Verfahren sowie technischer Standards dem Europäischen Datenschutzausschuss und nicht der Kommission zu überantworten. Dies gilt ebenfalls für den Bereich der Datensicherheit. Außerdem hätte die Kommission auf die international anerkannten Zielanforderungen der IT-Sicherheit Bezug nehmen sollen – namentlich die Verwirklichung von Verfügbarkeit, Vertraulichkeit, Integrität, Authentizität, Revisionsfähigkeit und Transparenz –, um das zu realisierende Datensicherheitsniveau zu konkretisieren. Jene Anforderungen ermöglichen eine zuverlässigere Übersetzung normativer Vorgaben in technische als die von der Kommission in Art. 30 Abs. 2 DS-GVO-KOM aufgegriffenen Handlungen. Die Pflicht zur Benennung eines behördlichen bzw. betrieblichen Datenschutzbeauftragten, die Vorgaben über verbindliche unternehmensinterne Vorschriften und Verhaltensregeln sowie zur Zertifizierung stellen die deutlichsten Ausprägungen regulierter Selbstregulierung in dem Entwurf dar.66 Gegenüber der europäischen Datenschutzrichtlinie wurden die Regelungen zum Datenschutzbeauftragten hier präzisiert und dessen Kompetenzen grundsätzlich gestärkt. Allerdings sah der Entwurf für nicht-öffentliche datenverarbeitende Stellen die Pflicht zur Benennung eines solchen lediglich dann vor, wenn diese mehr als 250 Mitarbeiter beschäftigen bzw. deren Kerntätigkeiten „aufgrund ihres Wesens, ihres Umfangs und/oder ihrer Zwecke eine regelmäßige und systematische Beobachtung von betroffenen Personen erforderlich machen“, Art. 35 Abs. 1 lit. b, c DS-GVO-KOM. Unabhängig davon, dass die letztgenannte Alternative missverständlich formuliert und der Sache nach wohl gemeint war, dass die Verarbeitungstätigkeit die Kontrolle durch einen internen Datenschutzbeauftragen erforderlich macht, stellen diese Vorgaben eine erhebliche Abweichung von denen des BDSG dar, wonach ein Schwellenwert von neun bzw. 65 Krit. insb. bzgl. Standard-Software Barlag, Datenschutz durch Technikgestaltung, in: Roßnagel (Hrsg.), Europäische Datenschutz-Grundverordnung, § 3 Rn. 230. 66 Zu den Selbstregulierungsansätzen des Entwurfs Polenz, VuR 2013, S. 303 ff.
224
§ 7 Die DS-GVO – Ausdruck eines datenschutzrechtlichen Leitbildwandels?
zwanzig Beschäftigen maßgeblich ist, § 4 f Abs. 1 S. 3, 4 BDSG 2003. Nach dem Entwurf würde folglich eines der zentralen Elemente der regulierten Selbstregulierung auf nationaler Ebene – die innerbetriebliche Selbstkontrolle durch den betrieblichen Datenschutzbeauftragten – deutlich an Bedeutung verlieren.67 Ähnlich wie § 9a BDSG 2003 erkannte Art. 39 Abs. 1 DS-GVO-KOM Zertifizierungen bzw. Datenschutzaudits grundsätzlich als probate Datenschutzmittel an, traf aber gleich der genannten nationalen Regelung weder im Hinblick auf die Akkreditierung der Prüfstellen noch das eigentliche Prüfverfahren inhaltliche Aussagen, sondern überließ diese noch durch die Kommission zu erlassenden Bestimmungen. Beide Regelungen haben mithin bis zum Erlass weiterer Rechtsakte keinen Anwendungsbereich. Damit kann die schlichte Einführung des Art. 39 DSGVO-KOM im Ergebnis nicht als Verwirklichung eines qualitativen Datenschutzes gewertet werden, hierzu ist vielmehr dessen Ausgestaltung abzuwarten. Festgestellt werden kann aber bereits in diesem Stadium, dass der Entwurf datenverarbeitenden Stellen keine Anreize bot, sich entsprechenden Zertifizierungsverfahren zu unterziehen.68 Ähnlich verhielt es sich mit den Bestimmungen über Verhaltensregeln.69 In Bezug auf deren Einhaltung war beispielsweise keine Haftungserleichterung vorgesehen. Im Gegensatz dazu motivierte der Entwurf Unternehmen zum Erlass verbindlicher interner Datenschutzvorschriften, da diese geeignete Garantien i.S.v. Art. 42 DSGVO-KOM darstellten und damit grundsätzlich die Übermittlung personenbezogener Daten in Drittstaaten legitimieren können sollten. Auch insoweit behielt sich die Kommission eine Konkretisierung der genannten Regelungen vor. Mittlerweile stellen unternehmensinterne Vorschriften den zentralen Ausgangspunkt zur Verwirklichung von Datenschutz-Compliance dar.70 Ihre Berücksichtigung in dem Entwurf durfte zwar generell als positives Zeichen gewertet werden, gleichwohl wäre für ein belastbares Urteil insoweit noch deren ausstehende Präzisierung abzuwarten gewesen. Im Ergebnis stellte sich damit die Verwirklichung regulierter Selbstregulierung in dem Entwurf wenig befriedigend dar. Auch die risikobasierte Regulierung fand in dem Entwurf keine wirklich sinnvolle Ausgestaltung. Insbesondere erkannte der Kommissionsvorschlag wie bereits zuvor die RL 95/46/EG uneingeschränkt das Verbotsprinzip an, dem zufolge die Verarbeitung personenbezogener Daten grundsätzlich untersagt ist, es sei denn, sie kann legitimiert werden. Diese Vorgabe begründet faktisch – namentlich bezüglich online67
Krit. auch Eckhardt/Kramer/Mester, DuD 2013, S. 623 (630). Siehe hierzu auch Hornung/Hartl, ZD 2014, S. 219 (223). 69 Allgemein zu Verhaltensregeln sowie dem Einfluss des Verordnungsentwurfs auf diese Ritzer, Verhaltensregeln im Datenschutz, in: Taeger (Hrsg.), DSRITB 2014, S. 501 ff. 70 Zur Datenschutz-Compliance instruktiv Renz/Frankenberger, ZD 2015, S. 158 ff. Zur Compliance im Bereich der IT-Sicherheit Weber/Buschermöhle, CB 2016, S. 339 ff. Zum Einfluss des europäischen Datenschutzes auf die Datenschutz-Compliance überblicksartig Wybitul, CCZ 2016, S. 194 ff. 68
B. Das Gesetzgebungsverfahren der DS-GVO
225
stattfindender Datenverarbeitung – eine Überforderungssituation für alle an der Datenverarbeitung beteiligten Akteure. Eine Abstufung seines Schutzniveaus sah der Entwurf lediglich in Bezug auf sensible Daten vor; gem. Art. 9 DS-GVO-KOM galten hier strengere Datenschutzanforderungen. Die Kommission behielt sich selbst vor, das insoweit erforderliche Datenschutzniveau zu konkretisieren, Art. 9 Abs. 2 DS-GVO-KOM. Um von einer effektiven risikobasierten Regulierung der Verarbeitung sensibler Daten ausgehen zu können, hätte die Kommission folglich zunächst Präzisierungsmaßnahmen ergreifen müssen. Zwar richteten sich die Rechtmäßigkeitsanforderungen hinsichtlich der Verarbeitung personenbezogener Daten partiell nach den durch die Verarbeitung begründeten Risiken für die Rechte und Freiheiten der Betroffenen, gleichwohl formulierte der Entwurf die Maßstäbe zu ihrer Ermittlung nur wenig eindeutig. Insoweit hätte zwar insbesondere das Instrument der Datenschutz-Folgenabschätzung Abhilfe schaffen können, aber auch die Vorgaben bezüglich dieses Verfahrens waren in dem Entwurf selbst nur rudimentär geregelt und dessen Ausgestaltung der Kommission im Rahmen delegierter Rechtssetzung überlassen. Damit muss das Urteil über den Entwurf im Hinblick auf die durch die Kommission selbst geschürten Erwartungen, den intensiven Vorbereitungsprozess und die auf nationaler Ebene bereits gesammelten Erfahrungen insgesamt negativ ausfallen: Die Ausgestaltung qualitativer Ansätze bzw. deren Integration in ein kohärentes Gesamtkonzept blieb überwiegend aus.
III. Position des Europäischen Parlaments Der angesichts der DS-GVO federführende LIBE-Ausschuss setzte sich bezüglich des Kommissionsentwurfs mit einer Vielzahl von Stellungnahmen auseinander, bevor er im Januar 2013 einen Berichtsentwurf veröffentlichte, welcher dem Europäischen Parlament als Arbeitsgrundlage für die Formulierung seines Standpunktes diente.71 Mit seinen 350 Änderungsanträgen wich der Entwurf auch im Hinblick auf zentrale Aspekte erheblich von der Kommissionsposition ab und wurde insoweit von Datenschützern überwiegend positiv bewertet.72 Bereits bei der Bestimmung des sachlichen Anwendungsbereichs der DS-GVO beabsichtigte der LIBE-Ausschuss eine maßgebliche Weichenstellung anders als die Kommission zu stellen. IP-Adressen und Cookie-Kennungen sollten diesem zufolge personenbezogene Daten darstellen, es sei denn, diese bezögen sich nachgewiesenermaßen nicht auf natürliche Personen, sondern etwa Unternehmen.73 Außerdem wollte der Ausschuss anonyme Daten explizit vom Anwendungsbereich des 71
PR\922387EN.doc vom 17. 12. 2012. Siehe etwa Bergemann, Entwurf zur EU-Datenschutzgrundverordnung, 9. 13. 2013, online. Andererseits Roßnagel/Kroschwald, ZD 2014, S. 495 (499 f.). 73 PR\922387EN.doc vom 17. 12. 2012, EWg. 24. 72
226
§ 7 Die DS-GVO – Ausdruck eines datenschutzrechtlichen Leitbildwandels?
Rechtsakts ausschließen.74 Hierdurch sollte ein Anreiz geschaffen werden, personenbezogene Daten zu anonymisieren. Insgesamt versuchte der LIBE-Ausschuss ein abgestuftes Schutzkonzept zu etablieren, dem zufolge die Verarbeitung anonymer und pseudonymer Daten gegenüber der Verarbeitung personenbezogener Daten privilegiert wird.75 Weiterhin schlug er eine Präzisierung des Marktortprinzips dahingehend vor, dass sich dieses auch auf free services erstreckt. So sollte klargestellt werden, dass eine Vielzahl im Netz angebotener Leistungen, z. B. im Rahmen sozialer Netzwerke, von den Vorgaben der DS-GVO erfasst werden. In die gleiche Richtung zielte die in dem Bericht vorgesehene Konkretisierung des klaren Ungleichgewichts zwischen der verarbeitenden Stelle und dem Betroffenen, welches die Wirksamkeit einer Einwilligung nach dem Kommissionsvorschlag ausschließen sollte. Ein solches sollte dem LIBE-Ausschuss zufolge dann bestehen, wenn eine einseitige Änderung der Geschäftsbedingungen durch die verarbeitende Stelle der betroffenen Person keine andere Möglichkeit belässt, als diese anzunehmen oder auf die online-Quelle, in die sie erhebliche Zeit investiert hat, zu verzichten.76 Eines der wesentlichsten Anliegen des Berichts war es, die Kontrollmöglichkeiten Betroffener in Bezug auf Datenverarbeitungsprozesse zu stärken. Dies setzt zunächst Kenntnis von ihrem Stattfinden und Ablauf voraus. Zu diesem Zweck sollte die Generalklausel unter den Erlaubnistatbeständen des Kommissionsentwurfs, nach der eine zugunsten der verantwortlichen Stelle ausfallende Interessenabwägung die Verarbeitung legitimieren sollte, durch präzise Abwägungsvorgaben ergänzt werden.77 Außerdem beabsichtigte der Ausschuss, Informations-Icons, mit deren Hilfe die verantwortliche Stelle auf leicht verständliche Art Beschreibungen der Datenverarbeitungsarten sowie ihrer Bedingungen und Konsequenzen kommunizieren kann, in das Datenschutzkonzept des Rechtsaktes zu integrieren.78 Die Ausprägungen des technischen Datenschutzes sowie der datenschutzfreundlichen Voreinstellungen erhielten durch die Ausführungen des LIBE-Ausschusses eine sinnvollere Ausgestaltung als noch im Kommissionsentwurf. Diesbezüglich hieß es: „Der Grundsatz des Datenschutzes durch Technik verlangt, dass der Datenschutz während des gesamten Lebenszyklus der Technologie eingebaut sein muss, von der frühesten Entwicklungsphase über ihre endgültige Einführung und Verwendung bis zur endgültigen Außerbetriebnahme. Der Grundsatz der datenschutzfreundlichen Voreinstellungen verlangt auf Diensten und Geräten installierten [sic] Einstellungen zum Schutz der Privatsphäre, die standardmäßig mit den allgemeinen Grundsätzen des Datenschutzes vereinbar sein sollten, wie etwa mit dem Grundsatz der Datenminimierung und dem Grundsatz der Zweckbeschrän-
74 75 76 77 78
PR\922387EN.doc vom 17. 12. 2012, EWg. 23. PR\922387EN.doc vom 17. 12. 2012, Änderungsantrag 85. PR\922387EN.doc vom 17. 12. 2012, Änderungsantrag 20. Hierzu auch Albrecht, ZD 2013, S. 49 (50). Hierzu Härting, CR 2013, S. 715 (717).
B. Das Gesetzgebungsverfahren der DS-GVO
227
kung.“79 Darüber hinaus sollten gem. Änderungsantrag 178 des Berichts erstmals auch die Hersteller von Datenverarbeitungssystemen und -verfahren explizit zur Verwirklichung der Ansätze Privacy by Design and Default verpflichtet werden. Des Weiteren wurde im Rahmen der Einwilligungserteilung sowie der Widerspruchsausübung auf Do-Not-Track-Dienste abgestellt und diese damit als standardisierte Datenschutzmittel in das Konzept des Rechtsaktes einbezogen.80 Die Kompetenz zur Konkretisierung der technischen und organisatorischen Datenschutz- sowie Datensicherheitsmaßnahmen und -verfahren sollten auch dem LIBE-Ausschuss zufolge der Kommission zukommen. Ansonsten wies der Bericht dieser aber eine eindeutig weniger zentrale Rolle für den europäischen Datenschutz zu, als sich diese selbst in ihrem Verordnungsvorschlag vorbehielt. Stattdessen visierte der Ausschuss die Stärkung der Position des Europäischen Datenschutzausschusses sowie der Mitgliedstaaten an. Namentlich sollte es letzteren mittels einer Öffnungsklausel ermöglicht werden, die Datenverarbeitung im öffentlichen Bereich durch den Erlass von Erlaubnistatbeständen und Rechtmäßigkeitsvoraussetzungen nach Maßgabe der Verordnung zu regulieren. Auf der Grundlage des dargestellten Berichts traf das Europäische Parlament am 12. März 2014 eine legislative Entschließung, in der es die unter dem Berichterstatter Jan Philipp Albrecht ausgehandelte Textfassung der Verordnung mit eindeutiger Mehrheit annahm.81 Jene Verhandlungen fanden partiell unter dem Eindruck des NSA-Skandals statt.82 Dieser Umstand manifestierte sich explizit in Art. 43a DSGVO-EP. Hiernach sollten unbeschadet von Amtshilfeabkommen und anderen internationalen Vereinbarungen, Urteile sowie verwaltungsbehördliche Entscheidungen eines Drittstaates, welche von verantwortlichen Stellen die Weitergabe personenbezogener Daten verlangen, weder anerkannt noch in irgendeiner Weise vollstreckt werden. Grundsätzlich führte der vom Parlament angenommene Text die Linie des LIBEAusschusses fort und versuchte, dessen Ansätze noch weiter auszugestalten. Dies galt insbesondere im Bereich des technischen und prozeduralen Datenschutzes sowie der Datensicherheit, und lässt sich etwa anhand der neuartigen Regelung über Datenschutz-Policies sowie der Qualifizierung des technischen Datenschutzes als obligatorische Ausschreibungsvoraussetzung veranschaulichen, Art. 30 Abs. 1a, Art. 23 Abs. 1a DS-GVO-EP. Außerdem enthielt die Entschließung in einem Anhang bereits vom LIBE-Ausschuss angedachte Piktogramme, mit deren Hilfe datenverarbeitende Stellen ihre Informationspflichten erfüllen können sollten. Andererseits 79 PR\922387EN.doc vom 17. 12. 2012, Änderungsantrag 41. S.a. Änderungsantrag 178. Krit., weil eine zu starke Belastung der Wirtschaft annehmend, Dehmel/Hullen, ZD 2013, S. 147 ff. 80 PR\922387EN.doc vom 17. 12. 2012, Änderungsantrag 105 und 108. 81 Siehe hierzu Roßnagel/Kroschwald, ZD 2014, S. 495 ff.; krit. auch Härting, CR 2013, S. 715 ff.; Koós, ZD 2014, S. 9 ff. 82 Zum Einfluss des Skandals auf das nationale Datenschutzrecht s. § 6 E. IV. 1.
228
§ 7 Die DS-GVO – Ausdruck eines datenschutzrechtlichen Leitbildwandels?
stellte sich die partiell erfolgte Reduzierung datenschutzrechtlicher Verpflichtungen, namentlich im Bereich der Datenübermittlung und der internen Datenschutzkontrolle, als Konsequenz der parlamentarischen Kompromissbildung dar. Angesichts des Ziels, zügig einen mehrheitsfähigen Konsens zu erarbeiten, entschied sich das Europäische Parlament im Bereich der Betroffenenrechte außerdem dafür, das umstrittene Recht auf Datenportabilität zu streichen, anstatt dieses auszuarbeiten. Des Weiteren beschloss es, dass das Recht auf Vergessenwerden eine andere Ausrichtung als noch im Kommissionsentwurf erhalten und entsprechend seinen vielfach kritisierten Namen einbüßen sollte. Insoweit wurde anvisiert, die bereits nach der RL 95/46/EG bestehenden Löschungspflichten um die Pflicht datenverarbeitender Stellen zu ergänzen, von Dritten die Löschung aller Querverweise auf personenbezogene Daten bzw. aller Kopien und Replikate derselben zu verlangen, Art. 17 Abs. 1 DS-GVO-EP. Für den Trilog, den das Europäische Parlament, der Rat und die Kommission nach Verabschiedung der in Rede stehenden Entschließung aufnahmen, waren noch mindestens zwei Forderungen des Parlaments von zentraler Bedeutung: Zum einen die empfindliche Anhebung der für Datenschutzverletzungen in Aussicht stehenden Bußgelder auf bis zu 100.000.000 Euro oder im Falle eines Unternehmens von bis zu 5 % seines weltweiten Jahresumsatzes sowie außerdem die Erweiterung der mitgliedstaatlichen Möglichkeiten zur Ausgestaltung besonderer Verarbeitungssituationen.83 Im Ergebnis ist festzustellen, dass die Position des Europäischen Parlaments zwar in entscheidenden Punkten vom Kommissionsentwurf abwich und dessen Schutzkonzept insgesamt internettauglicher ausgestaltete, dass sich aber auch hier kein datenschutzrechtlicher Leitbildwandel manifestierte.
IV. Allgemeine Ausrichtung des Rates Erst nach zehn offiziellen Erörterungen legte der Rat im Juni 2015 seine allgemeine Ausrichtung bezüglich der DS-GVO fest.84 Im Gegensatz zum Europäischen Parlament, welches sich im Rahmen seiner legislativen Entschließung primär auf die Stärkung der Betroffenenposition konzentriert hatte, fokussierte sich der Rat in seiner Ausrichtung auf die Interessen datenverarbeitender Stellen sowie der Mitgliedstaaten. Insoweit visierte er die Etablierung eines risikobasierten Ansatzes im nicht-öffentlichen Bereich an, um den allgemeinen Verwaltungs- und Kostenaufwand, welcher mit der Verwirklichung datenschutzrechtlicher Vorgaben verbunden sein kann, möglichst gering zu halten. Außerdem wollte dieser durch die Statuierung 83
Zu den nach den verschiedenen DS-GVO-Entwürfen vorgesehenen Sanktionsmöglichkeiten Ashkar, DuD 2015, S. 796 ff.; s.a. Faust/Spittka/Wybitul, ZD 2016, S. 120 ff. 84 Ratsdok. 9398/15. Zu dem Ratsentwurf Roßnagel/Nebel/Richter, ZD 2015, S. 455 ff.; s.a. Maas, DuD 2015, S. 579 f. Zur Entwicklung der Ratsposition angesichts der europäischen Datenschutzreform s. Nguyen, RDV 2014, S. 26 ff. Zur Verhandlungsposition der deutschen Regierung s. Herrmann, ZD 2014, S. 439 ff.
B. Das Gesetzgebungsverfahren der DS-GVO
229
einer Vielzahl von Öffnungsklauseln den Mitgliedstaaten ein Maximum an Flexibilität im Hinblick auf die Regulierung des Datenschutzes – vor allem im öffentlichen Bereich – verschaffen. Angesichts des nicht-öffentlichen Bereichs stellten sich die Vorgaben zur Zweckänderung in Art. 6 Abs. 3a DS-GVO-Rat als die wohl zentralsten Änderungsvorschläge des Rates dar. Hiernach sollte eine von der datenverarbeitenden Stelle vorzunehmende Interessenabwägung die Verarbeitung zu einem anderen als dem ursprünglichen Erhebungszweck legitimieren können. Der so zugunsten datenverarbeitender Stellen geschaffene Spielraum hätte gleichzeitig eine erhebliche Einschränkung des Selbstbestimmungsrechts der Betroffenen bedingt.85 Auch an verschiedenen anderen Stellen plante der Rat, Betroffenenrechte zu verkürzen und damit datenverarbeitende Stellen zu entlasten, etwa hinsichtlich des Rechts auf Datenportabilität und des Widerspruchsrechts, Art. 18 Abs. 2, Art. 19 Abs. 2aa DSGVO-Rat. Weiterhin versuchte der Rat, durch die Einschränkung des Marktortprinzips datenverarbeitende Stellen zu begünstigen. Entsprechend sollte die Verarbeitung personenbezogener Daten durch eine nicht in der Union niedergelassene Stelle lediglich dann dem europäischen Datenschutzregime unterliegen, wenn die Stelle offensichtlich beabsichtigt, Geschäfte mit in der Union ansässigen Personen zu tätigen.86 Der Nachweis – der durch den Rat ergänzten Voraussetzung – einer offensichtlichen Geschäftsabsicht der verarbeitenden Stelle gegenüber den betroffenen Personen wird der multilateralen Akteursstruktur hinsichtlich online-stattfindender Datenverarbeitung – namentlich beim Web-Tracking – nicht gerecht und stellt damit ein datenschutzrechtliches Durchsetzungshindernis dar. Der vom Rat zugrunde gelegte risikobasierte Ansatz manifestierte sich insbesondere in der Privilegierung pseudonymer gegenüber personenbezogener Daten. Insoweit wurde etwa auf einen bereits im TMG angelegten Mechanismus zurückgegriffen, dem zufolge eine Analyse von Daten – und damit auch eine Profilbildung – zulässig ist, wenn diese zuvor pseudonymisiert und weitere technische sowie organisatorische Schutzmaßnahmen getroffen werden.87 Darüber hinaus wurden die Pseudonymisierung und der Grundsatz der Datenminimierung explizit als Gestaltungsanforderungen der Verordnung an Datenverarbeitungstechniken und -verfahren anerkannt. Gleichwohl sah die Ausrichtung nicht vor, die Entwickler und Hersteller entsprechender Technik und Verfahren zur Verwirklichung jener Anforderungen zu verpflichten. An diese richtete sich insoweit lediglich ein unverbindlicher Appell, Art. 23 Abs. 1, EWg. 20, 61 DS-GVO-Rat.
85
Krit. insoweit Richter, DuD 2015, S. 735 ff. Siehe Ratsdok. 9398/15, EWg. 20. 87 Der risikobasierte Ansatz wird der Ausrichtung entsprechend außerdem insb. bei der Ermittlung der Verantwortlichkeit bzw. Haftung relevant, s. Ratsdok. 9398/15, EWg. 60, 60a-c. 86
230
§ 7 Die DS-GVO – Ausdruck eines datenschutzrechtlichen Leitbildwandels?
Demgegenüber versuchte der Rat, datenverarbeitende Stellen dazu zu motivieren, Zertifizierungsverfahren zu durchlaufen. Diese Verfahren sollten auch nicht in der Union niedergelassenen Stellen dazu dienen, den Nachweis der Erfüllung erforderlicher technischer und organisatorischer Datenschutzvorgaben zu erbringen, Art. 23 Abs. 2a, Art. 39 Abs. 1a und Art. 42 Abs. 1 lit. g DS-GVO-Rat. Hierdurch sollte folglich die globale Etablierung europäischer Datenschutzstandards gefördert werden. Eine Konkretisierung der genannten und in dem Entwurf selbst lediglich rudimentär geregelten technischen und organisatorischen Datenschutzmaßnahmen und -verfahren durch delegierte Rechtsakte – wie sie der Rat etwa im Bereich der Zertifizierungsverfahren vorsah – plante er insoweit jedoch nicht. Der Rat visierte an, seine Absicht, den Mitgliedstaaten auch unter Geltung der DS-GVO weitgehende Freiräume zur Regulierung der Datenverarbeitung im öffentlichen Bereich zu belassen, bereits in Art. 1 Abs. 2a DS-GVO-Rat – mithin an prominenter Stelle – klarzustellen.88 Hiernach sollte den Mitgliedstaaten auch weiterhin die Möglichkeit zustehen, nationale Bestimmungen und insbesondere bereichsspezifische Rechtsvorschriften, durch welche die Anwendung der Verordnung konkretisiert wird, beizubehalten bzw. einzuführen, vgl. auch EWg. 8 DSGVO-Rat.89 Außerdem sollte den Mitgliedstaaten die Kompetenz zur Regulierung der Verarbeitung sensibler Daten sowie besonderer Verarbeitungssituationen verbleiben. Dies galt namentlich im Hinblick auf den Ausgleich von Datenschutzinteressen einerseits und der Meinungsäußerungs- bzw. Informationsfreiheit andererseits, die Datenverarbeitung zu journalistischen, wissenschaftlichen, statistischen, historischen, künstlerischen und literarischen Zwecken, den Beschäftigtendatenschutz sowie die Vergabe nationaler Personenkennziffern, Art. 9, Art. 9a und Art. 80 ff. DS-GVO-Rat. Des Weiteren sah die Ausrichtung vor, dass die Mitgliedstaaten grundsätzlich selbstständig internationale Übereinkünfte zur Regulierung des Datenflusses zwischen ihnen und Drittstaaten bzw. internationalen Organisationen vereinbaren dürfen.90 Schließlich ging der Rat davon aus, dass die Mitgliedstaaten die Betroffenenrechte umfassend einschränken können sollen und es hierzu nicht einmal eines Parlamentsgesetzes bedürfe, Art. 21, EWg. 32 DS-GVOKOM. Im Ergebnis trug die Ausrichtung des Rates zur Fortentwicklung des europäischen Datenschutzes kaum etwas bei. Partiell gingen dessen Vorschläge sogar hinter die Vorgaben der europäischen Datenschutzrichtlinie zurück. Mit dem Anspruch, nichtöffentlichen verantwortlichen Stellen und den Mitgliedstaaten weite Umsetzungsspielräume zu sichern, versuchte der Rat letztlich, das von der Kommission ursprünglich angestrebte Ziel, einen kohärenten europäischen Datenschutz zu schaffen, zu konterkarieren. 88
Siehe a. Ratsdok. 9398/15, Art. 80, 80a. Siehe zu nationalstaatlichen und bereichsspezifischen Regelungen Ratsdok. 9398/15, EWg. 16, 16a und 35a. 90 Ratsdok. 9398/15, EWg. 79. 89
B. Das Gesetzgebungsverfahren der DS-GVO
231
V. Die DS-GVO – Rechtsrahmen für einen qualitativen Datenschutz? Das Europäische Parlament, der Rat und die Kommission schlossen den über die DS-GVO geführten Trilog im Dezember 2015 erfolgreich ab. Die Verhandlungen wurden insgesamt von dem Willen, ökonomische und mitgliedstaatliche Partikularinteressen zu verwirklichen, dominiert. In dem Ringen um die Formulierung einzelner Rechte und Pflichten der datenschutzrelevanten Akteure bzw. den Mitgliedstaaten verbleibender Gestaltungsfreiräume schien die Bedeutung des europäischen Datenschutzrechts als konkretisiertes Primärrecht in den Hintergrund zu treten. Entsprechend lässt sich auch kein eindeutiges Leitbild, welches den finalen Arbeiten an dem Rechtsakt zugrunde lag, formulieren. Vielmehr stellt sich der Text der DS-GVO als das Ergebnis eines hart erkämpften Kompromisses hinsichtlich einzelner Aspekte dar.91 Im Folgenden wird untersucht, ob der neue Rechtsrahmen für den Datenschutz in der Union dennoch den Anforderungen online-stattfindender Datenverarbeitung gerecht wird und damit sein Ziel, den Erfordernissen des technischen Fortschritts und der Globalisierung des Datenverkehrs Rechnung zu tragen, verwirklicht. Als eine wesentliche Verbesserung gilt insoweit die Statuierung des sog. Marktortprinzips in Art. 3 Abs. 2 DS-GVO. Dieses Prinzip hatte sich bereits partiell unter Geltung der RL 95/46/EG in der Rechtsprechung des EuGH herausgebildet.92 Hiernach gelten die Vorgaben des europäischen Datenschutzregimes auch für nicht in der Union niedergelassene Stellen, wenn diese Daten von in der Union befindlichen Personen verarbeiten, um ihnen Waren oder Dienstleistungen anzubieten bzw. ihr Verhalten zu beobachten. Dies betrifft insbesondere Web-Tracking-Dienste, die für eine Vielzahl größtenteils persönlichkeitsrechtswidriger Datenverarbeitungsprozesse im Netz verantwortlich sind.93 Das Marktortprinzip soll die Frage nach dem Geltungsanspruch des europäischen Datenschutzrechts, namentlich ob dieses auch auf US-amerikanische Global Player wie Facebook, Amazon und Google im Falle online-stattfindender Datenverarbeitung Anwendung findet, eindeutig zugunsten der Verordnung beantworten. Eine der in diesem Kontext zentralen Streitfragen, nämlich ob Cookie-Kennungen und IP-Adressen personenbezogene Daten i.S.d. Rechtsaktes darstellen und damit im Falle ihrer Verarbeitung sein sachlicher Anwendungsbereich 91 Überblick zu den Regelungen der DS-GVO und deren Bewertung bei Albrecht, CR 2016, S. 88 ff.; Dammann, ZD 2016, S. 307 ff.; Gola/Klug, NJW 2017, S. 604 ff.; Kühling/Martini, EuZW 2016, S. 448 ff.; Roßnagel, DuD 2016, S. 561 ff.; Schantz, NJW 2016, S. 1841 ff. 92 Siehe etwa EuGH, C-131/12, NJW 2014, S. 2257 ff. – Google Spain. Zu Diensten der Informationsgesellschaft s. RL 2000/31/EG, EWg. 18. 93 Zur datenschutzrechtlichen Beurteilung des Web-Tracking s. Wambach/Schulte/Knorr, DuD 2016, S. 523 (524 ff.); International Working Group on Data Protection in Telecommunications, Arbeitspapier Webtracking und Privatsphäre, online; Gabriel/Cornels, MMR 11/ 2008, S. XIV ff.; Greening/Weigl, CR 2012, S. 787 ff.; Karg/Thomsen, DuD 2012, S. 729 ff.; Knopp, DuD 2010, S. 783 ff.; Ott, K&R 2009, S. 308 ff.; Steidle/Pordesch, DuD 2008, S. 324 ff.
232
§ 7 Die DS-GVO – Ausdruck eines datenschutzrechtlichen Leitbildwandels?
eröffnet ist, beantwortet die Verordnung hingegen nicht eindeutig. Es wird lediglich angedeutet, dass insofern ein relatives Begriffsverständnis zugrunde zu legen ist, vgl. EWg. 30 DS-GVO.94 Wie bereits in der RL 95/46/EG ist auch in der DS-GVO ein unterschiedliches Datenschutzniveau im öffentlichen Bereich einerseits und im nicht-öffentlichen Bereich andererseits angelegt. Die Mitgliedstaaten werden durch die Verordnung ermächtigt, hinsichtlich der Verarbeitung personenbezogener Daten zur Wahrnehmung im öffentlichen Interesse liegender Aufgaben bzw. im Rahmen der Ausübung öffentlicher Gewalt bereichsspezifische Bestimmungen beizubehalten oder einzuführen, Art. 6 Abs. 1 lit. e, Abs. 2 DS-GVO. Der mitgliedstaatliche Spielraum zur Regulierung des Datenschutzes erstreckt sich außerdem insbesondere auch auf die Verarbeitung sensitiver Daten, die allgemeinen Verarbeitungsgrundsätze, die Einschränkung der Betroffenenrechte sowie besondere Verarbeitungssituationen, Art. 9, Art. 10, Art. 23 und Art. 85 – 88 DS-GVO. Damit fällt die Regulierungswirkung der Verordnung im nicht-öffentlichen Bereich wesentlich höher als im öffentlichen Bereich aus. Im Hinblick auf die Etablierung eines qualitativen Datenschutzes kann dieser Umstand durchaus positiv bewertet werden, denn insoweit wird eine evolutive Entwicklung des Datenschutzes im Mehrebenensystem ermöglicht, die bei einer Monopolisierung desselben auf unionaler Ebene ausgeschlossen wäre.95 Gleichwohl wird diese Fortentwicklung durch Vorgaben der Verordnung angeleitet, die partiell wenig eindeutig bzw. mit der Gefahr einer noch intensiveren Verklausulierung des nationalen Datenschutzrechts verbunden sind, vgl. etwa Art. 23 Abs. 2 DS-GVO. Die Verwirklichung der Ziele des Datenschutzes durch Technik kann als zentrales Element eines qualitativen Datenschutzes bezeichnet werden, mithin ist die explizite Normierung dieses Ansatzes in Art. 25 DS-GVO grundsätzlich positiv zu bewerten. Gemäß dieser Norm sind verantwortliche Stellen dazu verpflichtet, sowohl zum Zeitpunkt der Festlegung ihrer Verarbeitungsmittel als auch zum Zeitpunkt der eigentlichen Datenverarbeitung geeignete technische und organisatorische Maßnahmen zu ergreifen, um den Anforderungen der DS-GVO gerecht zu werden. Bei der Auswahl entsprechender Maßnahmen haben diese nach der Verordnung diverse Parameter zu berücksichtigen, namentlich den Stand der Technik, die Implementierungskosten, die Art, den Umfang, die Umstände und Zwecke der Verarbeitung sowie die Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten der Betroffenen. Hiernach erscheint die Entscheidung über die Geeignetheit der zu ergreifenden Maßnahmen durchaus komplex.96 Konkretisiert wird diese Verpflichtung um den Hinweis in Art. 25 Abs. 1 DS-GVO, dass zu den zu gewährleistenden Datenschutzgrundsätzen die Datenmi94 Eine eindeutige Beantwortung dieser Frage wird im Rahmen der e-Privacy-Verordnung erwartet, s. COM(2017)10. 95 Krit. gegenüber einer solchen Monopolisierung zugunsten der Kommission Roßnagel, DuD 2012, S. 553 ff.; s.a. Ronellenfitsch, DuD 2012, S. 561 ff. 96 Diese Anforderungen werden zum Teil konkretisiert bei Bieker/Hansen, DuD 2017, S. 285 (287).
B. Das Gesetzgebungsverfahren der DS-GVO
233
nimierung zählt und die Pseudonymisierung ein probates Mittel i.S.d. Vorschrift darstellt.97 Der Begriff der Datenminimierung wird in Art. 5 Abs. 1 lit. c DS-GVO legaldefiniert. Personenbezogene Daten müssen hiernach dem Verarbeitungszweck angemessen und hierfür erheblich sowie auf das insoweit notwendige Maß beschränkt sein. Damit knüpft das Prinzip der Datenminimierung an den bereits in der RL 95/46/ EG verwirklichten Erforderlichkeitsgrundsatz an, bei dem der Verarbeitungszweck den Maßstab für die Bewertung der Rechtmäßigkeit der Verarbeitung bildet.98 Im Gegensatz dazu bildet der im deutschen Datenschutzrecht etablierte Ansatz der Datensparsamkeit bereits den Maßstab für die Rechtmäßigkeit des Verarbeitungszwecks selbst und fällt damit wesentlich strenger aus. Folglich normiert Art. 25 Abs. 1 DS-GVO explizit eine datenschutzrechtliche Gestaltungsanforderung für Datenverarbeitungstechniken und -verfahren, deren Existenz zwar einerseits als qualitativer Fortschritt gegenüber der RL 95/46/EG anzusehen ist, deren Ausgestaltung andererseits aber hinter dem Anspruch der bis dato in Deutschland geltenden Rechtslage zurückbleibt, vgl. § 3a BDSG und § 13 Abs. 6, 7 TMG. Dies gilt auch für die Normierung des Grundsatzes Privacy by Default, welcher in Art. 25 Abs. 2 DSGVO statuiert wird und ebenfalls auf die Verwirklichung der Zweckbindung abzielt. Jedenfalls wurde mit Art. 25 DS-GVO das schon in der RL 95/46/EG angelegte, kooperative Verständnis des Verhältnisses von Recht und Technik weiter ausdifferenziert.99 Der Konkretisierung der partiell unbestimmten Vorgaben des Art. 25 Abs. 1 DSGVO kann die Standardisierung entsprechender Verfahren und Maßnahmen dienen. Daher sahen der Kommissionsentwurf und die legislative Entschließung des Europäischen Parlaments eine Ermächtigung zur Erarbeitung solcher Standards durch die Kommission bzw. den Europäischen Datenschutzausschuss vor. Letztlich setzte sich in diesem Punkt jedoch die Position des Rates durch und es wurde insoweit keine Kompetenz zum Erlass delegierter Rechtsakte normiert. Vielmehr sollen gem. Art. 25 Abs. 3 DS-GVO Zertifizierungen herangezogen werden können, um den Nachweis der Erfüllung technischer und organisatorischer Datenschutzanforderungen zu erbringen. Im Gegensatz zum Akkreditierungsverfahren der Zertifizierungsstellen sind die inhaltlichen Anforderungen an solche Zertifizierungsverfahren in der DS-GVO lediglich rudimentär geregelt. Deren Präzisierung obliegt der 97
Weitere Konkretisierung in EWg. 78 DS-GVO: „Solche Maßnahmen könnten unter anderem darin bestehen, dass die Verarbeitung personenbezogener Daten minimiert wird, personenbezogene Daten so schnell wie möglich pseudonymisiert werden, Transparenz in Bezug auf die Funktionen und die Verarbeitung personenbezogener Daten hergestellt wird, der betroffenen Person ermöglicht wird, die Verarbeitung personenbezogener Daten zu überwachen, und der Verantwortliche in die Lage versetzt wird, Sicherheitsfunktionen zu schaffen und zu verbessern.“ 98 So auch Barlag, Datenschutz durch Technikgestaltung, in: Roßnagel (Hrsg.), Europäische Datenschutz-Grundverordnung, § 3 Rn. 233. 99 Zu diesem Verständnis der RL 95/46/EG s. § 5 C.
234
§ 7 Die DS-GVO – Ausdruck eines datenschutzrechtlichen Leitbildwandels?
Kommission im Rahmen delegierter Rechtsakte, Art. 43 Abs. 8 DS-GVO.100 Daher werden sich technische Datenschutzstandards auf europäischer Ebene in Zukunft voraussichtlich insbesondere im Rahmen von Zertifizierungsverfahren und hier durch eine Kooperation der Kommission mit nationalen Aufsichtsbehörden, dem Europäischen Datenschutzausschuss sowie akkreditierten Zertifizierungsstellen entwickeln. Im Ergebnis gibt die Verordnung daher zwar über Art. 25 Abs. 3 DSGVO einen starken Impuls für Zertifizierungsverfahren bzw. die Entwicklung technischer Datenschutzstandards, übernimmt diesbezüglich selbst aber kaum eine steuernde respektive ausgestaltende Funktion. Demgegenüber bleibt eine zentrale Chance zur Förderung des technischen Datenschutzes, nämlich die rechtlich bindende Integration der Hersteller und Entwickler von Datenverarbeitungstechniken und -verfahren in das Datenschutzkonzept der Verordnung, ungenutzt. Insoweit heißt es in EWg. 78 DS-GVO lediglich, diese sollten ermutigt werden, das Recht auf Datenschutz bei der Entwicklung und Gestaltung von Produkten, Diensten und Anwendungen zu berücksichtigen und unter gebührender Berücksichtigung des Standes der Technik sicherzustellen, dass die Verantwortlichen und die Verarbeiter in der Lage sind, ihren Datenschutzpflichten nachzukommen.101 Anstatt dieser relativ unbestimmten Zielbestimmung hätte der Verordnungsgeber auch eine Haftungsregelung vorsehen können, welche die Etablierung datenschutzrechtlicher Vorgaben als Gestaltungsanforderung für Informations- und Kommunikationstechnologien befördert und so auch die Entwicklung eines qualitativen Datenschutzes vorangetrieben hätte. Letztlich setzt die Verordnung hier auf mittelbare Anreize; für Verletzungen der Vorgaben zum technischen Datenschutz sieht der Rechtsakt die Verhängung von Geldbußen von bis zu 10.000.000 Euro oder im Falle eines Unternehmens von bis zu 2 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres vor.102 Diese in Aussicht stehenden Strafen können ggf. das Nachfrageverhalten datenverarbeitender Stellen beeinflussen.103 Insbesondere aus den Erwägungsgründen der DS-GVO geht hervor, dass sich Privacy by Design and Default als datenschutzrechtliche Ansätze der Sache nach auf europäischer Ebene etabliert haben.104 Gleichwohl vermittelt der Rechtsakt selbst lediglich mittelbare Anreize und tendenziell unbestimmte inhaltliche Vorgaben zu ihrer Verwirklichung. 100 Siehe zu Zertifizierungsverfahren nach der DS-GVO instruktiv Spindler, ZD 2016, S. 407 ff.; s.a. Karper, PinG 2016, S. 201 ff. 101 Ein „Ermutigen“ i.d.S. kann etwa durch steuerliche Begünstigungen oder die Bereitstellung von Forschungsmitteln erfolgen. 102 Zu den Sanktionsmöglichkeiten nach der DS-GVO Faust/Spittka/Wybitul, ZD 2016, S. 120 ff. 103 Krit. Bieker/Hansen, DuD 2017, S. 285 (286); s.a. Barlag, Datenschutz durch Technikgestaltung, in: Roßnagel (Hrsg.), Europäische Datenschutz-Grundverordnung, § 3 Rn. 230. 104 Siehe etwa EWg. 78 DS-GVO.
B. Das Gesetzgebungsverfahren der DS-GVO
235
Während des Gesetzgebungsverfahrens der DS-GVO diente die Formel von der risikobasierten Regulierung – insbesondere dem Rat – als Argumentationshilfe, um allgemein das Schutzniveau einzelner Verpflichtungen des Rechtsaktes zugunsten datenverarbeitender Stellen bzw. der Mitgliedstaaten herabzusenken.105 Im Gegensatz hierzu setzt die konsequente Etablierung eines risikobasierten Datenschutzkonzepts bereits früher an, nämlich bei dem sachlichen Anwendungsbereich des Datenschutzregimes sowie dem datenschutzrechtlichen Verbotsprinzip. Insoweit gilt es die Frage zu stellen, ob unterschiedslos jede Verarbeitung personenbezogener Daten dem sachlichen Anwendungsbereich der DS-GVO unterliegen und damit auch einer Legitimation bedürfen soll. Die Verordnung beantwortet diese Frage positiv, indem sie an dem bereits in der RL 95/46/EG statuierten Verbotsprinzip festhält, Art. 5 Abs. 1 lit. a, Art. 6 Abs. 1 DS-GVO. Eine Distanzierung von diesem Grundsatz wurde während des Gesetzgebungsverfahrens auch nicht ernsthaft thematisiert.106 Im Ergebnis kennt folglich auch die DS-GVO keine datenschutzrechtlich als irrelevant zu qualifizierenden personenbezogenen Daten. Damit bleibt der Anwendungsbereich des allgemeinen europäischen Datenschutzrechts angesichts der Vielzahl und Vielgestaltigkeit der Datenverarbeitungsprozesse enorm weit, bedingt dessen Abstraktheit sowie Unbestimmtheit und begründet grundsätzlich keine Abkehr von der Verrechtlichungstendenz hinsichtlich des Datenschutzes. Die Vorgaben des Rechtsaktes differenzieren im Hinblick auf personenbezogene Daten lediglich, um strengere Verarbeitungsvoraussetzungen zu begründen, namentlich in Bezug auf sensitive Daten, personenbezogene Daten über strafrechtliche Verurteilungen und Straftaten sowie Daten eines Kindes, Art. 8 – 10 DS-GVO.107 Der Rechtsakt knüpft partiell die Verpflichtungen verantwortlicher Stellen an die Schwere und Eintrittswahrscheinlichkeit des Verarbeitungsrisikos für die Rechte und Freiheiten der Betroffenen, etwa die Pflicht zur Gewährleistung eines angemessenen Datensicherheitsniveaus. Insoweit wird der bereits unter Geltung der RL 95/46/EG anerkannte Verhältnismäßigkeitsgrundsatz konkretisiert. Anhaltspunkte, um die Intensität eines etwaigen Risikos zu ermitteln, liefert die Verordnung selbst hingegen kaum. Diese stellt insofern vielmehr einerseits auf genehmigte Verhaltensregeln und Zertifizierungsverfahren, Leitlinien des Europäischen Datenschutzausschusses und Hinweise von Datenschutzbeauftragten ab,108 und etabliert andererseits mit der in Art. 35 DS-GVO normierten Datenschutz-Folgenabschätzung ein Verfahren, mit 105 Instruktiv zum risikobasierten Ansatz und dessen Verwirklichung in den verschiedenen DS-GVO-Entwürfen Veil, ZD 2015, S. 347 ff.; zuvor bereits zum Risikomanagement nach dem Kommissionsentwurf Thoma, ZD 2013, S. 578 ff.; s.a. Friedewald u. a., Datenschutz-Folgenabschätzung, online. 106 Dies befürwortet Hornung, ZD 2012, S. 99 (101); ablehnend Schneider, AnwBl. 2011, S. 233 ff.; Schneider/Härting, ZD 2011, S. 63 ff. 107 Abgesehen von personenbezogenen Daten, die in besonderen Verarbeitungssituationen gem. Kapitel IX der DS-GVO verarbeitet werden und deren Regulierung im Wesentlichen den Mitgliedstaaten überlassen ist. 108 Siehe EWg. 77 DS-GVO.
236
§ 7 Die DS-GVO – Ausdruck eines datenschutzrechtlichen Leitbildwandels?
dessen Hilfe die verantwortliche Stelle selbst das Verarbeitungsrisiko und daraus resultierende Konsequenzen ermitteln können soll.109 Im Ergebnis sind damit die insofern von der Verordnung selbst ausgehenden normativen Impulse als schwach zu kennzeichnen. Die Folgenabschätzung ist ein wichtiges Instrument der Selbstregulierung datenverarbeitender Stellen. Dessen Aufnahme in die DS-GVO kann als bedeutender Fortschritt des europäischen Datenschutzrechts gewertet werden.110 Gleichwohl ist nicht zu verkennen, dass die Verordnung selbst eher einen tendenziell restriktiven Einsatz der Datenschutz-Folgenabschätzung nahelegt, EWg. 91 DS-GVO.111 Außerdem bestehen diesbezüglich umfassende Ausnahmeregelungen hinsichtlich des öffentlichen Bereichs, Art. 35 Abs. 10 DS-GVO. Insgesamt kann folglich festgestellt werden, dass die Verordnung den Ansatz der risikobasierten Regulierung kennt, diesen aber wenig kohärent ausgestaltet. Insbesondere die Datenschutz-Folgenabschätzung und andere Monitoring-Verfahren sollten einen konsequenteren Einfluss auf die Verpflichtungen datenverarbeitender Stellen erhalten, um so deren Selbstregulierungspotentiale besser ausschöpfen und ein adäquates Datenschutzniveau gewährleisten zu können. Die Selbstregulierungskapazitäten der verantwortlichen Stellen bzw. der Ansatz der regulierten Selbstregulierung werden in der Verordnung insbesondere im Rahmen verbindlicher interner Datenschutzvorschriften und Verhaltensregeln angesprochen.112 Hinsichtlich ihrer Erarbeitung und Genehmigung sieht die Verordnung ein kooperatives Zusammenwirken von Verbänden und anderen Interessenvertretern datenverarbeitender Stellen, der Aufsichtsbehörden, des Europäischen Datenschutzausschusses sowie der Kommission vor, s. Art. 40, Art. 41 und Art. 47 DSGVO. Beide Instrumente werden künftig geeignete Garantien zur Legitimierung der Datenübermittlung in einen Drittstaat darstellen, Art. 46 Abs. 2 lit. b, e DS-GVO. Diese Aufwertung bietet einen maßgeblichen Anreiz zu ihrer Erarbeitung, der noch unter Geltung der RL 95/46/EG fehlte. Mit diesen Mechanismen ist eine Ausdifferenzierung des Datenschutzes verbunden, die grundsätzlich positiv zu bewerten ist. Gleichwohl gilt es festzustellen, dass im Gegensatz zu den Vorgaben über verbindliche interne Datenschutzvorschriften die Verordnung den Aufsichtsbehörden keine inhaltlichen Kriterien für die Überprüfung bzw. Genehmigung der Verhaltensregeln vorgibt und insoweit auch keine Konkretisierung im Rahmen delegierter 109
Friedewald u. a., Datenschutz-Folgenabschätzung, online. Positiv auch Roßnagel, Einl., in: ders. (Hrsg.), Europäische Datenschutz-Grundverordnung, § 1 Rn. 10; Hansen, DuD 2016, S. 587 ff.; Hornung, ZD 2012, S. 99 (104); Wichtermann, DuD 2016, S. 797 ff. 111 Anders Marschall, Datenschutz-Folgenabschätzung und Dokumentation, in: Roßnagel (Hrsg.), Europäische Datenschutz-Grundverordnung, § 3 Rn. 173. 112 Instruktiv zu Verhaltensregeln und Zertifizierungen nach der DS-GVO Bergt, Die Bedeutung von Verhaltensregeln und Zertifizierungen nach der Datenschutzgrundverordnung, in: Taeger (Hrsg.), DSRITB 2016, S. 483 ff. Zur Selbstregulierung im Rahmen von Zertifizierungsverfahren nach der DS-GVO Spindler, ZD 2016, S. 407 ff. 110
C. Konsequenzen der DS-GVO für das Datenschutzleitbild
237
Rechtsakte vorgesehen ist. Diese inhaltliche Offenheit dürfte einer konsequenten Fruchtbarmachung dieses Instruments nicht zuträglich sein. Im Ergebnis lässt sich feststellen, dass die Verordnung die wesentlichen Elemente eines qualitativen Datenschutzes aufnimmt und sich partiell auch mit den Herausforderungen online-stattfindender Datenverarbeitung auseinandersetzt. Insofern versucht sie aber eher, die Schwächen der RL 95/46/EG auszugleichen, anstatt innovative Datenschutzansätze im Rahmen eines kohärenten Konzepts konsequent zu verwirklichen. Dem technischen Paradigmenwechsel, der sich namentlich in den Phänomenen Ubiquitous- und Cloud-Computing, Big Data sowie den Smarten Technik manifestiert, folgt damit nicht auch ein rechtlicher.113 In dem Bestreben, möglichst viele Sachverhalte technikneutral zu regeln, werden oftmals die spezifischen Risiken besonders invasiver Verarbeitungsformen nicht adressiert. Zwar erkennt die Verordnung an einigen Stellen die Bedeutung des Datenschutzes durch Technik an, mit ihren abstrakten Vorgaben sowie teilweise lediglich mittelbaren Anreizen schafft sie es hingegen nur bedingt, Anforderungen an Datenverarbeitungstechniken und -verfahren zu formulieren und damit deren Entwicklung sowie Einsatz zu steuern. Andererseits belässt der Rechtsakt aufgrund zahlreicher Öffnungsklauseln und seiner Abstraktheit an vielen Stellen den Mitgliedstaaten die Chance, ein modernes Datenschutzrecht zu verwirklichen.114 Unbeschadet dieser Feststellungen stellt die Verabschiedung der DS-GVO lediglich einen – wenn auch wichtigen – Zwischenschritt im datenschutzrechtlichen Revisionsprozess auf unionaler sowie auf nationaler Ebene dar. Um ein genaueres Urteil über die Entwicklung eines qualitativen Datenschutzrechts treffen zu können, bleibt einerseits die Konkretisierung dieses Rechtsakts durch die Mitgliedstaaten, verschiedene europäische Institutionen, nationale und europäische Aufsichtsbehörden sowie Gerichte und datenverarbeitende Stellen sowie deren Interessenverbände und andererseits dessen bereichsspezifische Präzisierung, insbesondere im Rahmen der e-Privacy-Verordnung, abzuwarten.115
C. Konsequenzen der DS-GVO für das Datenschutzleitbild des Bundesgesetzgebers Im Folgenden werden zunächst die grundsätzlichen Voraussetzungen für die Regelung des allgemeinen Datenschutzrechts auf mitgliedstaatlicher Ebene unter Geltung der DS-GVO identifiziert, denn Datenschutzleitbilder des nationalen Gesetzgebers können sich lediglich insoweit manifestieren, wie es das Unionsrecht 113
So i.E. auch Roßnagel/Nebel, Policy Paper, online, S. 5 ff.; s.a. Roßnagel, DuD 2016, S. 561 (565). 114 Roßnagel, DuD 2017, S. 290 (293). 115 Siehe COM(2017)10; s.a. KOM, IP/17/16. Zum dem Entwurf s. Pohle, ZD-Aktuell 2017, 05452; Roßnagel, ZRP 2017, S. 33.
238
§ 7 Die DS-GVO – Ausdruck eines datenschutzrechtlichen Leitbildwandels?
zulässt. Anschließend wird der durch die Verordnung auf nationaler Ebene ausgelöste Revisionsprozess insbesondere unter dem Aspekt der Verwirklichung eines qualitativen Datenschutzes untersucht.
I. „Ob“ nationaler Datenschutzregelungen – insbesondere Öffnungsklauseln Der DS-GVO kommt ab dem 25. Mai 2018 unmittelbare Geltung in allen Mitgliedstaaten zu, Art. 288 Abs. 2 AEUV, Art. 99 Abs. 2 DS-GVO. Dem Charakter einer Grundverordnung entsprechend sind ihre Vorgaben allerdings überwiegend zu unkonkret, als dass sie direkt vollzogen werden könnten. Daher eröffnet sie insbesondere den Mitgliedstaaten im Rahmen einer Vielzahl von Öffnungsklauseln Möglichkeiten, ihre abstrakten Vorgaben zu konkretisieren, zu modifizieren und zu ergänzen. Außerdem enthalten die Öffnungsklauseln partiell auch an die Mitgliedstaaten gerichtete, obligatorische Regelungsaufträge.116 Einen umfassenden Gestaltungsspielraum gewährt die Verordnung den Mitgliedstaaten angesichts der Regelung des Datenschutzes im öffentlichen Bereich. Insoweit werden sie zur Schaffung bzw. Beibehaltung von Erlaubnistatbeständen und spezifischer Verarbeitungsanforderungen ermächtigt, Art. 6 Abs. 2, 3, 1 lit. d, e DSGVO. Dieser Regelungsspielraum wird lediglich durch relativ unbestimmte Vorgaben eingeschränkt, namentlich haben Verarbeitungsanforderungen der Anwendung der Verordnungsvorschriften zu dienen und entsprechende Rechtsgrundlagen die Grundsätze der Zweckbindung und der Erforderlichkeit zu wahren. Auch in Bezug auf die Betroffenenrechte bzw. die Pflichten datenverarbeitender Stellen gewährt die Verordnung den Mitgliedstaaten weite Gestaltungsmöglichkeiten. Art. 23 Abs. 1 DS-GVO sieht vor, dass durch mitgliedstaatliche Rechtsvorschriften sämtliche Rechte und Pflichten gem. den Art. 12 – 22 und Art. 34 DS-GVO beschränkt werden können.117 Erfolgende Einschränkungen müssen hiernach den Wesensgehalt der Grundrechte und -freiheiten achten, in einer demokratischen Gesellschaft eine notwendige sowie verhältnismäßige Maßnahme darstellen und schließlich einem der in Art. 23 DS-GVO anerkannten – weit gefassten – Ziele dienen. Weiterhin führt Art. 23 Abs. 2 DS-GVO diesbezüglich nicht zwingende Anforderungen an entsprechende Gesetzgebungsmaßnahmen auf. Außerdem belässt die Verordnung den Mitgliedstaaten einen weitläufigen Spielraum bei der Ausgestaltung des datenschutzrechtlichen Kontrollregimes. Insbesondere wird es diesen ermöglicht, auf nationaler Ebene über die Mindestanfor116
Siehe hierzu ausführlich Kühling u. a., Die Datenschutz-Grundverordnung und das nationale Recht; s.a. Laue, ZD 2016, S. 463 ff.; Benecke/Wagner, DVBl. 2016, S. 600 ff. 117 Unter Rechtsvorschriften i.S.d. Verordnung sind gem. EWg. 41 DS-GVO grundsätzlich nicht ausschließlich Parlamentsgesetze zu verstehen.
C. Konsequenzen der DS-GVO für das Datenschutzleitbild
239
derungen der Verordnung zur Benennung betrieblicher Datenschutzbeauftragter hinauszugehen, Art. 37 Abs. 4 S. 1 DS-GVO.118 Im Gegensatz zu den bisher angesprochenen, fakultativerweise auszufüllenden Öffnungsklauseln statuiert die Verordnung namentlich im Bereich der institutionellen Datenschutzkontrolle eine Vielzahl obligatorischer Regelungsaufträge. Insofern bestimmt sie, dass jeder Mitgliedstaat eine oder mehrere unabhängige Aufsichtsbehörden vorzusehen hat, Art. 51 Abs. 1 DS-GVO. Mithin wird die Möglichkeit einer föderalen Ausgestaltung des institutionellen Aufsichtsregimes grundsätzlich anerkannt. Angesichts der Aufsichtsbehörden normiert der Rechtsakt sowohl formelle als auch materielle Vorgaben, etwa hinsichtlich ihrer Unabhängigkeit, Errichtung, Zuständigkeit, Aufgaben und Befugnisse, Art. 52 ff. DSGVO.119 Weiterhin begründet die Verordnung in diesem Kontext die mitgliedstaatliche Pflicht zur Einrichtung eines gerichtlichen Rechtsbehelfsverfahrens gegen Maßnahmen der Aufsichtsbehörden sowie zur Schaffung angemessener Verfahrensgarantien hinsichtlich der Verhängung von Geldbußen durch diese, Art. 78, Art. 83 Abs. 8 DS-GVO. Umfassende Ausgestaltungsmöglichkeiten der Mitgliedstaaten bestehen auch bezüglich des Sanktionsregimes, s. Art. 84 DS-GVO. Schließlich sieht Kapitel IX der DS-GVO vor, dass die Mitgliedstaaten den Datenschutz in verschiedenen, besonderen Verarbeitungssituationen regeln können bzw. müssen.120 Insbesondere bestimmt Art. 85 DS-GVO, dass diese durch Rechtsvorschriften das Recht auf Datenschutz mit dem Recht auf freie Meinungsäußerung sowie auf Informationsfreiheit in Einklang bringen. Von zentraler Bedeutung ist des Weiteren die Möglichkeit zur Regelung des Beschäftigtendatenschutzes auf nationaler Ebene, Art. 88 DS-GVO. Neben den durch Öffnungsklauseln explizit eröffneten Gestaltungsmöglichkeiten schafft die Verordnung außerdem durch ihre Abstraktheit implizite Freiräume.121 Der Anwendungsvorrang des europäischen Rechts gilt lediglich im Konfliktfall, die Konkretisierung unbestimmter Begriffe und Regelungen im Rahmen der Verordnungsvorgaben begründet aber gerade keine Kollision.122 Somit kann bei der In118
Siehe hierzu Marschall/Müller, ZD 2016, S. 415 ff. Bei dem durch die DS-GVO auf nationaler Ebene ausgelösten Revisionsprozess wird eine zentrale Herausforderung darin bestehen, einerseits die Verordnungsvorgaben bzgl. des Kohärenzverfahrens sowie der Vertretung nationaler Aufsichtsbehörden im Europäischen Datenschutzausschuss und andererseits die Kompetenzordnung des Grundgesetzes in Ausgleich zu bringen. Vgl. insoweit BR-Drs. 52/12. 120 Zu den Auswirkungen der DS-GVO auf das „online“ Datenschutzrecht Keppeler, MMR 2016, S. 779 ff. 121 Gegen implizite Öffnungsklauseln Kühling u. a., Die Datenschutz-Grundverordnung und das nationale Recht, S. 8. 122 Zur gemeinschaftsrechtskonformen Auslegung und Fortbildung nationalen Rechts grundlegend Nettesheim, AöR 119 (1994), S. 261 ff.; s.a. Ehricke, RabelsZ 59 (1995), S. 589 ff.; Herresthal, EuZW 2007, S. 396 ff.; Metallions, Die europarechtskonforme Auslegung. Zu deren Bedeutung im Datenschutzrecht Klug, RDV 2001, S. 266 ff. 119
240
§ 7 Die DS-GVO – Ausdruck eines datenschutzrechtlichen Leitbildwandels?
terpretation der Verordnungsvorgaben, deren Auslegungshilfen – soweit solche überhaupt bestehen – überwiegend selbst der Konkretisierung bedürfen, an nationale Datenschutzleitbilder angeknüpft werden.123 Auch können die Mitgliedstaaten mittelbar auf die Gestaltung des Datenschutzes einwirken, indem sie den jeweiligen Kontext der Datenverarbeitung regeln.124 Zusammenfassend kann festgestellt werden, dass dem nationalen Gesetzgeber auch unter Geltung der DS-GVO Möglichkeiten offen stehen, ein qualitatives Datenschutzrecht zu verwirklichen. Dies gilt insbesondere soweit die Verordnung explizit ein Tätigwerden der Mitgliedstaaten ermöglicht bzw. voraussetzt, namentlich im Rahmen von Öffnungsklauseln. Angesichts jener Öffnungsklauseln wird sich das allgemeine nationale Datenschutzrecht in Zukunft voraussichtlich auf die Regulierung des öffentlichen Bereichs, des institutionellen Aufsichtsregimes sowie besonderer Verarbeitungssituationen konzentrieren.
II. „Wie“ nationaler Datenschutzregelungen – insbesondere Wiederholungsverbot Die Vorgaben der DS-GVO haben ab dem 25. Mai 2018 am umfassenden Anwendungsvorrang des Unionsrechts teil, mithin darf im Konfliktfall nationales Recht, welches der Verordnung widerspricht, keine Anwendung finden.125 Darüber hinaus ist das mitgliedstaatliche Datenschutzrecht der Verordnung anzupassen, um Rechtsunsicherheiten zu verhindern und der Pflicht zur loyalen Zusammenarbeit gem. Art. 4 Abs. 3 EUV gerecht zu werden.126 Insoweit besteht für die Mitgliedstaaten die Verpflichtung, ihr nationales Datenschutzrecht um alle Vorgaben zu bereinigen, die nicht im Einklang mit der Verordnung stehen. Dies betrifft insbesondere nahezu alle Vorschriften des dritten Abschnitts des BDSG bezüglich der Datenverarbeitung durch nicht-öffentliche Stellen und öffentlich-rechtliche Wettbewerbsunternehmen. Darüber hinaus haben sie die obligatorischen Regelungsaufträge des Rechtsaktes zu erfüllen und können gleichzeitig seine fakultativen Regelungsoptionen wahrnehmen.
123
Dies prognostizieren auch Bieker/Hansen, DuD 2017, S. 285 (287); vgl. auch Roßnagel/ Nebel, Policy Paper, online, S. 3. 124 Hierzu Roßnagel, Modernisierung des Datenschutzes, online. 125 EuGH, C-6/64, ABl. EG 1964, S. 2900 ff. – Costa/E.N.E.L.; EuGH, C-106/77, Slg. 1978, S. 629 ff. (Rn. 17 f.) – Simmenthal II; EuGH, C-11/70, Slg. 1970, S. 1125 ff. – Internationale Handelsgesellschaft. Grundsätzlich zu Voraussetzungen und Rechtsfolgen des Anwendungsvorrangs Jarass/Beljin, NVwZ 2004, S. 1 ff.; zu den Grenzen des Anwendungsvorrangs Dederer, JZ 2014, S. 313 ff. 126 Zum Anpassungszwang EuGH, C-168/85, Slg. 1986, S. 2945 ff. (Rn. 13 f.) – KOM vs. Italien; EuGH, C-74/86, Slg. 1988, S. 2139 ff. (Rn. 10 f.) – KOM vs. Bundesrepublik Deutschland.
C. Konsequenzen der DS-GVO für das Datenschutzleitbild
241
Bei der Anpassung des nationalen Datenschutzrechts an die Verordnung sind einerseits ihre konkreten Vorgaben und andererseits die generellen Grundsätze des Unionsrechts zu berücksichtigen. Zu jenen allgemeinen Vorgaben zählen namentlich der effet utile-Grundsatz und das europarechtliche Normwiederholungsverbot.127 Letzterem zufolge ist die Wiedergabe einer Verordnungsbestimmung im innerstaatlichen Recht grundsätzlich unzulässig, da ansonsten Unklarheiten über deren Urheberschaft und Geltungsrang entstehen könnten.128 Im Ergebnis soll durch das Wiederholungsverbot verhindert werden, dass die exklusive Auslegungs- und Verwerfungskompetenz des EuGH hinsichtlich des Unionsrechts umgangen und die einheitliche Anwendung der jeweiligen Verordnung innerhalb der Union nicht mehr gewährleistet wird. Im Rahmen der Öffnungsklauseln werden den Mitgliedstaaten aber gerade Freiräume zur Ausgestaltung des Unionsrechts durch nationales Recht zugestanden, entsprechend besteht hier prinzipiell keine ausschließliche Auslegungskompetenz des EuGH und kommt es gerade nicht zu einer uniformen Anwendung der Verordnung in den Mitgliedstaaten. Oder anders ausgedrückt: Der Sinn und Zweck des Normwiederholungsverbots greift nicht, wenn und soweit der Geltungsanspruch des Unionsrechts zurückgenommen ist.129 Für dieses Ergebnis spricht auch EWg. 8 DSGVO. Hiernach können die Mitgliedstaaten im Rahmen der durch die Verordnung vorgesehenen Präzisierungen und Einschränkungen Teile derselben in ihr nationales Recht aufnehmen, um dieses für seine Adressaten verständlicher zu gestalten und Kohärenz zu wahren. Folglich besteht das in den Mitgliedstaaten geltende allgemeine Datenschutzrecht künftig aus unmittelbar anwendbaren Bestimmungen der Verordnung und nationalem Recht, das die Verordnungsvorgaben konkretisiert bzw. diesen Geltung verschafft. Jene nationalen Bestimmungen und die Regelungen der Verordnung, die zu ihrem Erlass ermächtigen, können in einem Regelwerk zusammengeführt werden. Insgesamt stellt sich folglich die Anpassung des nationalen Rechts an die DSGVO als anspruchsvolle Aufgabe dar. Zunächst sind zum einen der Anwendungsbereich des Rechtsakts und zum anderen die Reichweite sowie der Inhalt seiner konkreten Vorgaben zu ermitteln. Anschließend ist das nationale Recht um unionswidrige Regelungen zu bereinigen und sind in möglichst kohärenter Weise die Regelungsaufträge des Rechtsakts zu erfüllen. Angesichts der obligatorischen Regelungsaufträge haben die Mitgliedstaaten den allgemeinen und speziellen primär127
Zum effit-utile-Grundsatz Potacs, EuR 2009, S. 465 ff. BMJV, Handbuch der Rechtsförmlichkeit, Rn. 285. Zur Funktion des Wiederholungsverbots EuGH, C-314/85, Slg. 1987, S. 4199 ff. (Rn. 15) – Foto Frost; EuGH, C-94/77, Slg. 1978, S. 99 ff. (Rn. 22, 27) – Zerbone; EuGH, C-34/73, Slg. 1973, S. 981 ff. (Rn. 9 ff.) – Variola. 129 Vgl. EuGH, C-272/83, Slg. 1985, S. 1057 ff. (Rn. 27) – Kommission/Italien; EuGH, C403/98, Slg. 2001, I S. 103 ff. (Rn. 26, 28) – Monte Arcosu; EuGH, C-72/85, Slg. 1986, S. 1219 – Kommission/Niederlande; s.a. Kühling u. a., Die Datenschutzgrundverordnung und das nationale Recht, S. 8 f.; Roßnagel, BT-Drs. 18(24)94, S. 8. 128
242
§ 7 Die DS-GVO – Ausdruck eines datenschutzrechtlichen Leitbildwandels?
sowie sekundärrechtlichen Vorgaben des Unionsrechts und im Hinblick auf Handlungsoptionen auch den grundgesetzlichen Vorgaben Rechnung zu tragen.
III. Revision des nationalen Datenschutzrechts 1. Erste Umsetzungsbemühungen – insbesondere Entwurf eines Allgemeinen Bundesdatenschutzgesetzes Nach Abschluss des Trilogs veranstaltete der Bundestagsausschuss Digitale Agenda am 24. Februar 2016 ein Fachgespräch zur DS-GVO. Im Rahmen dieser Veranstaltung setzten sich Parlamentarier und Sachverständige insbesondere mit den Fragen auseinander, ob die Verordnung den aktuellen Herausforderungen der IT gerecht wird und inwiefern von dieser ein Anpassungsdruck im Hinblick auf das nationale Datenschutzrecht ausgeht.130 Das Urteil der Sachverständigen angesichts der erstgenannten Fragestellung fiel überwiegend negativ aus. Namentlich die Aufgabe des Ausdrücklichkeitskriteriums als Wirksamkeitsvoraussetzung der Einwilligung, die weite Ausgestaltung des Erlaubnistatbestandes für zweckändernde Verarbeitungen sowie insgesamt das Fehlen spezieller Regelungen im Hinblick auf Big-Data- und Cloud-Computing-Anwendungen wurden diesbezüglich moniert. Hinsichtlich des zweiten Aspekts wurde primär diskutiert, von welchen Öffnungsklauseln der nationale Gesetzgeber zwingend Gebrauch machen sollte, um über die Vorgaben der DS-GVO hinausgehende Regelungen zu schaffen. Dieser Umstand implizierte den grundsätzlichen Willen, auf nationaler Ebene strengere Datenschutzstandards als auf europäischer Ebene zu statuieren. Während auf europäischer Ebene an der DS-GVO gearbeitet wurde, brachte auch die Bundesregierung verschiedentlich zum Ausdruck, sie wolle das nationale Datenschutzniveau wahren.131 Nach Abschluss des Trilogs stellte sich insoweit jedoch eine gewisse Ernüchterung ein. So erklärte etwa der damalige Bundesminister des Innern Thomas de Maizière auf dem 17. Datenschutzkongress am 27. April 2016 in Berlin: „Die Gestaltungsspielräume der Mitgliedstaaten sind gering. Viele Teile der Verordnung gelten unmittelbar. Und für Deutschland will ich sagen: Wir sind auf europäischer Ebene für einen harmonisierten digitalen Binnenmarkt eingetreten – wir werden jetzt auf nationaler Ebene keinen Sonderweg gehen.“132 130
Fragenkatalog zu der Veranstaltung in BT-Drs. 18(24)SB 26; schriftliche Stellungnahmen der Sachverständigen in BT-Drs. 18(24)90 – 94. 131 BT-Drs. 17/10452; CDU/CSU/SPD, Deutschlands Zukunft gestalten, online, S. 70. 132 Thomas de Maizière, Keynote zum 17. Datenschutzkongress, 27. 4. 2016, online. Dieser führte weiterhin aus: „Die Datenschutzgrundverordnung ist nur eine, wenn auch wichtige Strukturbedingung einer modernen Datenpolitik. Eine vernünftige Datenpolitik muss aber den Blick weitern für die Rechte und Freiheiten – sie ist mehr als die Beschränkung von Datenverarbeitung. Neben den Themen Datenschutz und Datensicherheit müssen wir auch über die Kontrolle von ,Big Data‘-Algorithmen, über Investitionen in die digitale Bildung und den Aufbau der digitalen Souveränität, über Regelungen für den digitalen Nachlass und über er-
C. Konsequenzen der DS-GVO für das Datenschutzleitbild
243
In der Folge konkretisierten sich die Pläne der Bundesregierung zur Umsetzung der DS-GVO.133 Um die relativ kurz bemessene Anpassungsfrist des Rechtsaktes zu wahren, visierte diese ein zweistufiges Verfahren an. Hiernach sollte ein Ausführungsgesetz zur DS-GVO, welches das BDSG ablöst, noch im Laufe der 18. Legislaturperiode – und damit faktisch bis Juni 2017 – erlassen werden. Im Rahmen dieses Gesetzes wurden die Umsetzung zwingender Verordnungsvorgaben sowie die Ausfüllung bestehender Gestaltungsspielräume zugunsten des datenschutzrechtlichen Status quo geplant. Eine Anpassung des bereichsspezifischen Datenschutzrechts an die neuen europäischen Vorgaben sollte erst nach der Bundestagswahl im September 2017 erfolgen. Die angesichts des Ausführungsgesetzes zunächst postulierten Zielvorgaben wurden durch den vom BMI erarbeiteten und im August 2016 bekannt gewordenen Referentenentwurf eines Gesetzes zur Anpassung des Datenschutzrechts an die Datenschutz-Grundverordnung und zur Umsetzung der Richtlinie (EU) 2016/680 (DSAnpUG-EU) in ihr Gegenteil verkehrt.134 Der 1. Artikel des Entwurfs sah vor, dass das BDSG durch ein Allgemeines Bundesdatenschutzgesetz (ABDSG) abgelöst wird, welches die obligatorischen Regelungsaufträge der Verordnung, partiell fakultative Regelungsoptionen derselben sowie außerdem Vorgaben der Richtlinie über den Datenschutz bei der Verarbeitung personenbezogener Daten zu polizeilichen und justiziellen Zwecken umsetzt bzw. ausfüllt. Zusätzlich sollte das ABDSG allgemeine Datenschutzbestimmungen für außerhalb des unionsrechtlichen Anwendungsbereichs liegende sicherheitsbehördliche Tätigkeiten, namentlich des BND, des MAD sowie des BfV, normieren.135 Hierzu vereinte der Entwurf in sich wortwörtliche Wiederholungen des Textes der DS-GVO und der RL 2016/680 sowie Verweise auf beide Rechtsakte, Regelungen zur Ausgestaltung, Konkretisierung und Einschränkung derselben sowie autonomes nationales Recht. Dieser umfassende Regelungsanspruch und die mit diesem einhergehende Regelungstechnik bedingten die Komplexität des Entwurfs. Der Anwendungsbereich jeder einzelnen Bestimmung des ABDSG war gesondert zu bestimmen; teilweise galten dessen Vorgaben exklusiv im Anwendungsbereich der Verordnung, der Richtlinie oder im sicherheitsbehördlichen Kontext, teilweise kam es zu einer Überschneidung der genannten Anwendungsbereiche. Insoweit entbehrte der Vorschlag weitestgehend einer Systematik, welche die Rechtsanwendung erleichtert hätte. weiterte ,Open Data‘-Initiativen diskutieren. Verlassen wir die alten Schutzgräben. Verlassen wir die Konfliktlinien der 70er und 80er Jahre.“ 133 Kipker/Dix, ZD-Aktuell 2016, 04197. 134 Der Entwurf ist abrufbar unter: https://www.datenschutz-grundverordnung.eu/wpcontent/uploads/2016/09/Entwurf-ABDSG-E-08.2016.pdf. Krit. hierzu Schaar, ABDSG-Entwurf, online; s.a. Johannes, ZD-Aktuell 2016, 05322. 135 Im Rahmen der weiteren Artikel des DSAnpUG-EU sollten Änderungen spezifischer Datenschutzvorgaben für den Sicherheitsbereich erfolgen, namentlich des BVerfSchG, des MADG, des BNDG, des SÜG sowie des Artikel-10-G. Diese Vorgaben des Entwurfs waren aber kaum ausgearbeitet.
244
§ 7 Die DS-GVO – Ausdruck eines datenschutzrechtlichen Leitbildwandels?
Weiterhin wurde im Rahmen zentraler Regelungen des Entwurfs versucht, den durch die DS-GVO gewährten Gestaltungsspielraum dazu zu nutzen, das nationale Datenschutzniveau herabzusenken, etwa im Hinblick auf den Grundsatz der Zweckbindung, die institutionelle Datenschutzkontrolle sowie die Betroffenenrechte. Dies lässt sich insbesondere an der Regelung der Verarbeitungsgrundlagen für den öffentlichen Bereich veranschaulichen. Insoweit bestimmte § 4 ABDSG-E, dass die Verarbeitung personenbezogener Daten durch öffentliche Stellen u. a. dann zulässig ist, wenn diese für die Wahrnehmung einer im öffentlichen Interesse liegenden Aufgabe erforderlich ist. Zwar wurden im Folgenden entsprechende Interessen explizit – aber nicht abschließend – benannt, es erfolgte jedoch keine Verknüpfung von Zuständigkeit und Zweckerfüllung. Mithin legte der Entwurf den Schluss nahe, dass jede Behörde unabhängig von ihrer Zuständigkeit personenbezogene Daten verarbeiten darf, wenn dies einem der genannten Ziele dient. Diese Rechtsfolge stellt eine Abkehr vom Zweckbindungsgrundsatz bzw. von den Bestimmungen der §§ 12 ff. BDSG dar, welche die DS-GVO nicht vorgibt und verfassungsrechtlich nicht zu rechtfertigen ist. Auch die Rechtsgrundlagen für die Verarbeitung sensibler Daten stellten sich problematisch dar. Beispielsweise wurde durch § 5 Abs. 1 Nr. 1 ABDSG-E die Verarbeitung biometrischer Daten zur Identifikation eines Betroffenen als öffentlicher Zweck anerkannt und hierdurch die Verarbeitung entsprechender Daten zum Selbstzweck erhoben. Ferner wurden die Regelungen zur Zweckänderung in § 6 ABDSG-E mit ihren pauschalen Vorgaben, die insbesondere keinen besonderen Schutz im Hinblick auf sensitive Daten vorsahen, dem Ausnahmecharakter der Zweckänderung nicht gerecht und begründeten eine Herabsenkung des nationalen sowie des europäischen Datenschutzniveaus. Von der in Art. 23 Abs. 1 DS-GVO eröffneten Möglichkeit, die Betroffenenrechte bzw. diesen korrespondierende Verarbeiterpflichten einzuschränken, machte das ABDSG-E in seinem 3. Kapitel umfassend Gebrauch. Teilweise wurden insoweit Vorgaben des Rechts auf informationelle Selbstbestimmung bzw. der DS-GVO missachtet. Dies galt etwa im Hinblick auf die Beschränkung der Informationspflichten zulasten Betroffener. Gem. § 7 Abs. 2 S. 1 ABDSG-E war der Betroffene, wenn personenbezogene Daten bei diesem erhoben werden, nicht entsprechend Art. 13 DS-GVO zu informieren, soweit die Erteilung der Informationen einen unverhältnismäßig hohen Aufwand zulasten der datenverarbeitenden Stelle erfordere. Die Entwurfsbegründung stellte zur Rechtfertigung dieser Einschränkung auf Art. 23 Abs. 1 lit. i DS-GVO ab, der zwar dem Schutz der Betroffenen und Dritter, nicht aber den Interessen datenverarbeitender Stelle zu dienen bestimmt ist.136 Weiterhin wurde die Ausgestaltung der Zuständigkeiten und Kompetenzen des Bundesbeauftragten für den Datenschutz durch das ABDSG-E dem Anspruch der Verordnung an eine effektive institutionelle Datenschutzkontrolle nicht gerecht. 136 Anders in Bezug auf die entsprechende Regelung des Art. 13 Abs. 1 lit. g RL 95/46/EG Ehmann/Helfrich, EG-Datenschutzrichtlinie, Art. 13 Rn. 82.
C. Konsequenzen der DS-GVO für das Datenschutzleitbild
245
Insbesondere normierte das ABDSG-E im Gegensatz zu Art. 58 Abs. 5 DS-GVO kein Klagerecht zugunsten des BfD.137 Außerdem sah der Entwurf bezüglich datenschutzrechtlicher Pflichtverletzungen durch Sicherheitsbehörden lediglich ein Beanstandungsrecht des BfD vor und schloss damit weiterführende Maßnahmen aus, denen aber gerade im grundrechtssensiblen Bereich der Datenverarbeitung durch Geheimdienste eine gesteigerte Relevanz zukommt.138 In diesem Kontext ist auch die Regelung der Verhängung von Geldbußen beachtenswert. Solche normierte der Entwurf exklusiv im Anwendungsbereich der DS-GVO und der RL 2016/680, nicht aber hinsichtlich der Verletzung datenschutzrechtlicher Vorgaben durch Sicherheitsbehörden. Hiernach wären folglich rechtswidrige Datenverarbeitungen durch Nachrichtendienste nicht mehr bußgeldbewehrt gewesen. Darüber hinaus statuierte der Entwurf keine spezifischen datenschutzrechtlichen Strafvorschriften im Bereich der Nachrichtendienste. Des Weiteren versäumte es der Entwurf, Regelungen des BDSG zu integrieren, deren Beibehaltung grundsätzlich nicht durch die DS-GVO ausgeschlossen wird und welche wesentlich für die Gewährleistung der informationellen Selbstbestimmung sind, etwa Vorgaben zur Verwendung mobiler Speichermedien wie Chip-Karten und RFID-Transponder gem. § 6c BDSG sowie zur Einrichtung automatischer Abrufverfahren gem. § 10 BDSG. Letztlich wurde der vielfach kritisierte Entwurf zurückgenommen.139 Dessen Mängel lassen sich nicht lediglich als handwerkliche abtun. Sie sind auch nicht ausschließlich der komplexen Herausforderung der Anpassung des nationalen Datenschutzrechts an die unionalen Vorgaben geschuldet. Diese manifestierten vielmehr die Intention des BMI, den datenschutzrechtlichen Revisionsprozess zu nutzen, um das nationale Datenschutzniveau grundsätzlich und umfassend herabzusenken. Eine Auseinandersetzung mit den normativen Zielsetzungen des Datenschutzrechts, namentlich der Verwirklichung grundrechtlicher Positionen aller an einer Datenverarbeitung beteiligten Akteure nun vor dem Hintergrund unionaler Vorgaben, blieb hingegen weitestgehend ebenso aus, wie die Berücksichtigung der sich wandelnden technischen Realität der Datenverarbeitungsprozesse. 2. Das Datenschutz-Anpassungs- und -Umsetzungsgesetz EU Am 23. November 2016 übermittelte das BMI einen überarbeiteten Entwurf eines DSAnpUG-EU zur Beteiligung an die Bundesländer und interessierte Verbände.140 137
Zur Bedeutung der Klagemöglichkeiten von Aufsichtsbehörden EuGH, C-362/14, NJW 2015, S. 3151 ff. (3153 f.) – Schrems I. 138 Zur Kompensationsfunktion der institutionellen Datenschutzkontrolle BVerfG, 1 BvR 1215/07, BVerfGE 133, 277 (334 ff.) – Antiterrordateigesetz; BVerfG, 1 BvR 966/09, BVerfGE 141, 220 – BKAG. 139 Siehe hierzu Stellungnahmen des BfD vom 31. 8. 2016, Az. 11 – 100/044#0115, und des BMJV vom 31. 8. 2016, Az. 1552/20 – 46 198/2016. 140 BMI, Entwurf eines Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (23. 11. 2016), online.
246
§ 7 Die DS-GVO – Ausdruck eines datenschutzrechtlichen Leitbildwandels?
Auch im Rahmen dieses Vorschlags strebte das Ministerium an, durch den Erlass eines Gesetzes – des BDSG-neu –, den Anforderungen sowohl der DS-GVO als auch der RL 2016/680 gerecht zu werden und gleichzeitig allgemeine Datenschutzregelungen für exklusiv nationale Kontexte zu normieren. Außerdem sah das Artikelgesetz Änderungen des BVerfSchG, des MADG, des BNDG, des BStatG, des SÜG, des BDSG sowie des Art. 10-Gesetzes vor. Im Verhältnis zu dem Entwurf eines ABDSG stellte sich die grundlegende Systematik des BDSG-neu erheblich übersichtlicher dar. Der 1. Teil des BDSG-neu mit dem Titel „Gemeinsame Bestimmungen“ sollte hiernach Regelungen enthalten, die für jegliche Datenverarbeitungen gelten, mithin unabhängig davon, ob diese von dem Anwendungsbereich der DS-GVO, der RL 2016/680 oder überhaupt nicht von unionalen Vorgaben erfasst werden.141 Hier normierte der Vorschlag einen generalklauselartigen Erlaubnistatbestand hinsichtlich der Datenverarbeitung durch öffentliche Stellen sowie grundsätzliche Vorgaben über die Videoüberwachung von öffentlich zugänglichen Räumen und die Stellung, Funktionen und Kompetenzen behördlicher Datenschutzbeauftragter sowie des Bundesbeauftragten für den Datenschutz. Der 2. Teil des Vorschlags für ein BDSG-neu „Durchführungsbestimmungen für Verarbeitungen zu Zwecken gemäß Artikel 2 der Verordnung (EU) 2016/ 679“ beinhaltete Vorgaben, welche einerseits der Verwirklichung der Verordnungsvorgaben dienen sollten und andererseits Ausnahmen von ihren Bestimmungen begründeten. Hierzu zählten Rechtsgrundlagen für die Verarbeitung sensibler Daten sowie gesetzliche Voraussetzungen für zweckändernde Datenverarbeitungen, besondere Verarbeitungssituationen, insbesondere die Datenverarbeitung im Rahmen des Scoring, Beschränkungen von Betroffenenrechten sowie die Verhängung von Geldbußen. Schließlich traf der 3. Teil des BDSG-neu Regelungen im Hinblick auf die Datenverarbeitung bei polizeilichen und justiziellen Tätigkeiten, namentlich über die Rechtsgrundlagen entsprechender Datenverarbeitungen, deren Zweckbindung, die Einschränkung von Betroffenenrechten bzw. Verarbeiterpflichten und die Datenübermittlung an Stellen in Drittstaaten sowie an internationale Organisationen. Im Rahmen dieses Entwurfs verschärfte sich die Problematik des europarechtlichen Wiederholungsverbotes, welches lediglich ausnahmsweise eine punktuelle Wiederholung von Verordnungsvorgaben im nationalen Recht zulässt.142 Der Gesetzesvorschlag gab nicht nur teilweise wortwörtlich Vorgaben der Verordnung wieder bzw. verwies an zahlreichen Stellen auf diese, sondern vermengte seinem „integrativen Charakter“ entsprechend Verordnungs- und Richtlinienbestimmungen, etwa hinsichtlich der Ausgestaltung der aufsichtsbehördlichen Kontrolle bei der Umsetzung der Richtlinie. Diese komplexe Regelungstechnik trug entgegen der Entwurfsbegründung nur bedingt zur Übersichtlichkeit der einschlägigen Rege-
141 Krit. hins. der Bezeichnung BDSG-neu, die eine nicht gegebene sachliche Kontinuität im Verhältnis zum BDSG suggeriere Ehmann, ZD-Aktuell 2016, S. 04216. 142 Dazu § 7 C. II.
C. Konsequenzen der DS-GVO für das Datenschutzleitbild
247
lungen bei und verstellte zum Teil sogar den Blick auf deren Geltungsrang.143 Jedenfalls bedingt dieser Ansatz, dass zur Beurteilung der Rechtmäßigkeit von Datenverarbeitungsvorgängen und -verfahren im Anwendungsbereich der DS-GVO künftig grundsätzlich zwei Rechtsakte herangezogen und gleichsam nebeneinander gelegt werden müssen. Bei der Ausfüllung der Gestaltungsspielräume, welche die DS-GVO den nationalen Gesetzgebern belässt, knüpfte der Entwurf des BDSG-neu stärker an die bislang geltenden Bestimmungen des BDSG-alt an als es das ABDSG tat. Insoweit stellt sich partiell die Frage nach der Europarechtskonformität dieser Praxis; zum einen im Hinblick auf die Regelungskompetenz des Bundesgesetzgebers – etwa bzgl. der Datenverarbeitung im Rahmen des Scoring –, zum anderen hinsichtlich der konkreten Ausgestaltung der jeweiligen Bestimmungen – etwa bzgl. der Übernahme des § 23 Abs. 6 BDSG-alt zur Einschränkung des Aussagerechts des BfD in § 13 Abs. 5 BDSG-neu-E angesichts der in Art. 52 Abs. 1 DS-GVO vorausgesetzten völligen Unabhängigkeit der Aufsichtsbehörden. Am 24. Februar 2017 brachte die Bundesregierung schließlich den Entwurf eines DSAnpUG-EU in den Bundestag ein.144 Dieser teilte die Struktur des bereits im November 2016 erstmals veröffentlichten Referentenentwurfs und ergänzte diesen um eine Regelung über Datenverarbeitungsvorgänge, die nicht in den Anwendungsbereich des Unionsrechts fallen, vgl. § 85 BDSG-neu. Während der parlamentarischen Arbeit an dem Gesetzesvorschlag wurden innerhalb kürzester Zeit – das Gesetz wurde bereits zwei Monate später am 27. April 2017 vom Bundestag verabschiedet – wesentliche Änderungen an einzelnen Bestimmungen desselben vorgenommen. Insbesondere wurde als Reaktion auf die teilweise massive Kritik an dem Referentenentwurf die zunächst vorgesehene, umfassende Beschränkung der Betroffenenrechte zurückgenommen. Außerdem beinhaltet der Rechtsakt nunmehr einige qualitative Datenschutzelemente, deren Normierung die DS-GVO namentlich durch das Erfordernis, geeignete Garantien für die Rechte und Freiheiten der betroffenen Personen vorzusehen, forciert.145 Das Potential der Verordnung, die Entwicklung eines qualitativen Datenschutzrechts auf mitgliedstaatlicher Ebene anzuleiten, wird schließlich auch im Rahmen der Umsetzung der RL 2016/680 deutlich, bei der sich der Bundesgesetzgeber an der DS-GVO orientierte.146 Der erste Teil des BDSG-neu enthält u. a. einen allgemeinen Erlaubnistatbestand für die Datenverarbeitung durch öffentliche Stellen. Eine entsprechende Datenverarbeitung ist hiernach dann zulässig, wenn sie zu der Erfüllung der in der Zuständigkeit des Verantwortlichen liegenden Aufgaben oder in Ausübung öffentlicher Gewalt, die dem Verantwortlichen übertragen wurde, erforderlich ist, § 3 BDSG-neu. 143
Hierzu auch DSAnpUG-EU-E (5. 8. 2016), S. 14, § 7 C. III. 1. BT-Drs. 18/11325. 145 Vgl. etwa Art. 5 Abs. 1 lit. e; Art. 23 Abs. 2 lit. g; Art. 87 S. 2; Art. 88 Abs. 2; Art. 89 Abs. 2 DS-GVO. 146 Krit. insoweit bzgl. des gesamten Entwurfs Roßnagel, DuD 2017, S. 290 (293). 144
248
§ 7 Die DS-GVO – Ausdruck eines datenschutzrechtlichen Leitbildwandels?
Eine Abwägung mit Betroffeneninteressen ist nicht explizit vorgesehen.147 Damit verpasst es das Gesetz, an prominenter Stelle einen ausdrücklichen Hinweis auf die Zielausrichtung des BDSG-neu, namentlich die Verwirklichung grundrechtlicher Positionen, zu geben. Die Entwurfsbegründung rechtfertigt dies damit, dass die Generalklausel lediglich Datenverarbeitungen von geringer Eingriffsintensität betreffe und insgesamt subsidiär gelte.148 Bis die Anpassung des bereichsspezifischen Datenschutzrechts an die Vorgaben der DS-GVO erfolgt ist, dürfte dieser Erlaubnistatbestand jedoch von größerer Bedeutung sein, als es die Gesetzesbegründung vermuten lässt. Im zweiten Teil des Gesetzes macht der Bundesgesetzgeber mit § 22 BDSG-neu von seiner Kompetenz zur Regelung von Ausnahmetatbeständen hinsichtlich der gem. Art. 9 Abs. 1 DS-GVO grundsätzlich verbotenen Verarbeitung sensitiver Daten Gebrauch. Bemerkenswert sind die in § 22 Abs. 2 BDSG-neu vorgesehenen Maßnahmen, welche die verantwortliche Stelle zum Schutze des Betroffenen ergreifen kann. Hier rekurriert das BDSG-neu auf die DS-GVO und benennt insoweit ausdrücklich u. a. die Pseudonymisierung und Verschlüsselung von Daten, die Sicherstellung der Fähigkeit, die Vertraulichkeit, Integrität und Belastbarkeit von Datenverarbeitungssystemen und -diensten zu gewährleisten, sowie die regelmäßige Überprüfung, Bewertung und Evaluierung der Wirksamkeit von Schutzmaßnahmen als potenzielle technische und organisatorische Datenschutzmittel. Insgesamt bilden die in § 22 Abs. 2 BDSG-neu aufgelisteten Maßnahmen den Kernbestand des anerkannten technischen und organisatorischen Datenschutzes und stellen diese hinreichend konkrete datenschutzrechtliche Anforderungen an die Ausgestaltung von IT-Systemen und -verfahren dar. Die Legitimation der Einschränkung von Betroffenenrechten bzw. von Verarbeiterpflichten durch den Bundesgesetzgeber bildete im Laufe des Gesetzgebungsverfahrens einen der zentralen Streitpunkte. Zunächst war die Einschränkung von Auskunfts-, Benachrichtigungs- und Löschungsrechten in dem Entwurf des BDSG-neu relativ weit ausgestaltet.149 Hierdurch sollte die datenverarbeitende Wirtschaft umfassend vor einem vermeintlich unverhältnismäßigen Aufwand bewahrt werden.150 Jene Einschränkungen wurden durch die Gesetzesfassung des Innenausschusses, die letztlich vom Bundestag angenommen wurde, deutlich zurückgenommen.151 In diesem Zusammenhang wurde die besondere Bedeutung von Auskunftsrechten sowie Dokumentations- und Begründungspflichten für die Position der Betroffenen anerkannt.152 Im Kontext der Umsetzung der RL 2016/680 147
Gleichwohl hat eine solche im Rahmen der Erforderlichkeitsprüfung zu erfolgen. BT-Drs. 18/11325, S. 81. 149 Krit. hierzu BfD, BT-Drs. (A) 18(4)788, S. 15 ff.; EAID, BT-Drs. (A) 18(4)824, S. 2 f. 150 Vgl. § 32 Abs. 1 Nr. 1 BDSG-E, BT-Drs. 18/11325, S. 33 bzw. § 33 Abs. 1 Nr. 2 lit. a, BT-Drs. 18/11325, S. 34. 151 Siehe BT-Drs. 18/12084, S. 7 f. 152 BT-Drs. 18/12144, S. 5 und S. 104. 148
C. Konsequenzen der DS-GVO für das Datenschutzleitbild
249
wurde außerdem darauf hingewiesen, dass die Gestaltung von IT-Systemen darauf ausgelegt sein sollte, Betroffenenrechte zu verwirklichen.153 Mithin wurde hier eine Gestaltungsanforderung an IT-Systeme und -Verfahren explizit begründet. Insgesamt belässt die RL 2016/680 einen umfassenderen Gestaltungsspielraum für die Formulierung technischer und organisatorischer Datenschutz- und Datensicherheitsvorgaben als die DS-GVO.154 Der Bundesgesetzgeber füllte diesen durch eine Kombination von Verordnungsvorgaben, solchen der RL 2016/680 und neuartigen Bestimmungen aus.155 Zu den neuartigen Vorgaben zählt die Verpflichtung zur Berücksichtigung einschlägiger technischer Richtlinien und Empfehlungen des BSI, welche eine gewisse Standardisierung der Datensicherheit sicherstellen sollen, § 64 Abs. 1 S. 2 BDSG-neu. Schließlich wurde mit § 70 BDSG-neu in Umsetzung der RL 2016/680 eine Regelung zum Datenschutz durch Technikgestaltung und zu datenschutzfreundlichen Voreinstellungen in das BDSG aufgenommen. Bereits § 3a BDSG-alt formulierte einen vergleichbaren Anspruch. Gegenüber der überkommenen nationalen Regelung werden die Vorgaben zum technischen Datenschutz bzw. zur Verwirklichung der Ansätze Privacy by Design and Default hier jedoch näher spezifiziert. Im Ganzen lässt sich damit feststellen, dass der Erlass des BDSG-neu der Umsetzung der DS-GVO und der RL 2016/680 für den Datenschutz bei polizeilichen und justiziellen Tätigkeiten dient. Die Verwirklichung der Anforderungen der beiden Rechtsakte hatte in einem zeitlich sehr limitierten Rahmen zu erfolgen. Der von der Verordnung und der Richtlinie ausgehende Anpassungs- bzw. Umsetzungsdruck ließ datenschutzrechtliche Modernisierungsbestrebungen auf Bundesebene zunächst in den Hintergrund treten. Vielmehr standen insoweit Fragen nach dem Bestehen und dem Umfang von Ausgestaltungsspielräumen und -aufträgen im Fokus des Gesetzgebungsverfahrens. Dennoch wurden durch das DSAnpUG-EU auch qualitative Datenschutzelemente verwirklicht. Jene waren unter Geltung des BDSG-alt zwar überwiegend bereits etabliert – etwa der Ansatz Privacy by Design and Default –, sie erfuhren aber im Rahmen des DSAnpUG-EU partiell eine Konkretisierung. Demgegenüber bringt weder der Text des BDSG-neu noch dessen Begründung die normative (Neu-)Ausrichtung des Datenschutzrechts explizit zum Ausdruck: Nahezu alle Möglichkeiten, welche die DS-GVO den nationalen Gesetzgebern zur Beschränkung von Verordnungsvorgaben belässt, sind ausdrücklich mit der Maßgabe versehen, geeignete Garantien zum Schutz der Rechte und Freiheiten der Betroffenen zu schaffen. Vergleichbares gilt auch für die Verwirklichung der Ausgestaltungsaufträge. Mit den in Rede stehenden Rechten und Freiheiten sind die bereits in EWg. 1 der DS-GVO in Bezug genommenen Gewährleistungen des Art. 8 Abs. 1 GRCh und Art. 16 Abs. 1 AEUV gemeint. Sinn und Zweck jener Garantien ist 153
BT-Drs. 18/11325, S. 115. Insgesamt krit. gegenüber der Verwirklichung des technischen Datenschutzes durch das BDSG-neu Bieker/Hansen, DuD 2017, S. 285 ff. 155 Krit. BfD, BT-Drs. (A) 18(4)788, S. 21 f. 154
250
§ 7 Die DS-GVO – Ausdruck eines datenschutzrechtlichen Leitbildwandels?
damit die Verwirklichung des primärrechtlich abgesicherten Grundrechtsschutzes der Betroffenen, der bei der Anwendung des Gesetzes von herausragender Bedeutung sein wird, selbst wenn der Text des BDSG-neu diesen Umstand kaum reflektiert. Den Maßstab für die Beurteilung des BDSG-neu wie auch für die auf seiner Grundlage erfolgenden Datenverarbeitungsvorgänge bilden damit in erster Linie die europäischen Grundrechte und lediglich in zweiter Linie die tradierten Gewährleistungen des Grundgesetzes, namentlich die Grundrechte auf informationelle Selbstbestimmung und Vertraulichkeit und Integrität informationstechnischer Systeme.156 Der Bundesgesetzgeber hat diesem Umstand jedenfalls bislang keine Aufmerksamkeit geschenkt. Gleichwohl kann die parlamentarische Auseinandersetzung mit dem Gesetzentwurf der Bundesregierung als Ausdruck eines gesetzgeberischen Leitbildwandels qualifiziert werden. In ihrem Rahmen wurden sowohl die Zielbestimmung des überkommenen Datenschutzes – Schutz vor Datenverarbeitung durch Dritte – als auch die Mittel zu seiner Verwirklichung offen in Frage gestellt. Insbesondere der Grundsatz der Datenvermeidung und -sparsamkeit, der Ende der 1990er Jahre zunächst in das bereichsspezifische Datenschutzrecht des Telemediensektors aufgenommen wurde und zu einem späteren Zeitpunkt auch Eingang in das BDSG fand,157 wurde im Laufe des Gesetzgebungsverfahrens partiell als obsolet disqualifiziert. Beispielsweise konstatierte bei der Vorstellung des Gesetzentwurfs der damalige Bundesinnenminister Thomas de Maizière: „Das Verständnis eines Datenschutzes im Sinne möglichst großer Datensparsamkeit hat sich auch durch die technische Entwicklung überholt. Datensparsamkeit ist kein Wert an sich. Datenschutz schützt nämlich nicht die Daten und schon gar nicht die Daten an und für sich, sondern Datenschutz schützt die Menschen vor einem Missbrauch von Daten.“158 Auch wurde die „innovative“ grundgesetzliche Dimension des Datenschutzes, die diesen nicht lediglich als Abwehrrecht gegenüber dem Staat, sondern auch als Schutzverpflichtung desselben gegenüber nicht-öffentlichen und ausländischen öffentlichen Stellen zugunsten der Betroffenen begreift, während der verschiedenen 156
Im Gegensatz zu dieser Erkenntnis wird auch im allgemeinen Datenschutzreformdiskurs überwiegend auf die nationalen Grundrechte abgestellt, s. etwa 91. Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder, Stärkung des Datenschutzes in Europa – nationale Spielräume nutzen, online. 157 Zuvor war dieser Ansatz bereits im Prinzip des Verarbeitungsverbots mit Erlaubnisvorbehalt und dem Erforderlichkeitsgebot angelegt. 158 Thomas de Maizière, BT, 18. WP, 221. Sitzung am 9. 3. 2017, 22177 (D). In die gleiche Richtung und noch differenzierter führte bei derselben Gelegenheit Marian Wendt aus: „Wir dürfen aber nicht vergessen, dass es beim Datenschutz in erster Linie darum geht, die Verarbeitung von Daten zu regulieren und so die Bürger zu schützen. Die Erfassung von Daten zu regulieren und zu steuern, ist in der heutigen Zeit aus meiner Sicht kaum mehr möglich. Vom Datenschutzverständnis der 80er-Jahre – Datensparsamkeit, Datenerfassung – müssen wir wegkommen. Vielmehr müssen wir uns darauf konzentrieren, die Nutzung und Verwendung von Daten der Bürgerinnen und Bürger zu steuern und zu kontrollieren.“ Marian Wendt (CDU/ CSU), BT, 18. WP, 221. Sitzung am 9. 3. 2017, 22183 (B).
C. Konsequenzen der DS-GVO für das Datenschutzleitbild
251
Lesungen des BDSG-neu im Bundestag thematisiert. Etwa führte Konstantin von Notz während der zweiten Lesung des Gesetzentwurfs im Bundestag aus, dass Datenschutz eben kein schönes Feature sei, dass man haben könne oder nicht, sondern Grundrechtsschutz für die Verbraucher und gleichzeitig unverzichtbaren Vertrauensschutz für die Wirtschaft bedeute. Ihm zufolge ist Datenschutz eine Schutzgarantie des Staates gegenüber den Bürgern, die lautet: „Wir sorgen dafür, und komme, was da wolle, an weiteren Modernisierungen, an Onlinegeschäften, an vermeintlich intelligenten Services, dass deine persönlichen Informationen, dass deine Daten, dass deine Privatsphäre, dass deine Menschenwürde geschützt wird.“159 Der Umstand, dass die mitgliedstaatlichen Gesetzgeber mit der zunehmenden Europäisierung des Datenschutzes auch stärker als je zuvor an die primärrechtlichen Anforderungen der Art. 16 Abs. 2 AEUV und Art. 8 Abs. 1 GRCh gebunden sind bzw. deren Verhältnis zu den bislang maßgeblichen Grundrechten auf informationelle Selbstbestimmung sowie auf Vertraulichkeit und Integrität informationstechnischer Systeme blieb hingegen insgesamt unterbelichtet.160 Misst man die Regelungen des BDSG-neu an den genannten Zitaten, zeigt sich, dass zwischen einem Leitbild und dessen Realisierung bisweilen ein erheblicher Unterschied bestehen kann. Auch wenn die überkommenen Datenschutzgrundsätze wie das Verbot mit Erlaubnisvorbehalt, die Zweckbindung und Erforderlichkeit sowie das Gebot der Datenvermeidung und -sparsamkeit insbesondere vor dem Hintergrund von Big-Data- und Cloud-Computing-Anwendungen zunehmend in Frage gestellt werden, bilden sie weiterhin die Ausgangspunkte des europäischen und nationalen Datenschutzrechts. Beide Rechtsordnungen richten sich andererseits zunehmend intensiver an dem Ziel aus, Datenschutz durch Technik zu realisieren. Entsprechend werden auf europäischer und nationaler Ebene immer konkretere Vorgaben für die Gestaltung von IT-Diensten und -Verfahren formuliert. Allerdings bedarf die effektive Gewährleistung von Datenschutz eines hinreichend konsentierten Verständnisses seiner Zielausrichtung. Ob und auf welche Weise den Grundrechten auf informationelle Selbstbestimmung und Vertraulichkeit und Integrität informationstechnischer Systeme, die bislang auf nationaler Ebene insoweit die maßgeblichen normativen Parameter bildeten, weiterhin eine entsprechende Rolle zukommen kann, bedarf der Überprüfung. Dem Bundesgesetzgeber scheint sich diese Fragestellung bislang nicht aufgedrängt zu haben. Es bleibt abzuwarten, inwiefern der EuGH im Rahmen einer absehbaren Vielzahl von Vorabentscheidungsverfahren dazu beitragen wird, das Leitbild des Bundesgesetzgebers insofern auszudifferenzieren. Schließlich verbleibt auch dem Bundesgesetzgeber selbst angesichts der Revision des bereichsspezifischen Datenschutzrechts die Gelegenheit, seinem augenscheinlich gewandelten Datenschutzleitbild – namentlich dem Leitbild der e-Privacy – in naher Zukunft Rechnung zu tragen bzw. einen qualitativen Datenschutz zu verwirklichen. Namentlich das Datenschutzrecht im Telekommuni159
Konstantin von Notz, BT, 18. WP, 231. Sitzung am 27. 4. 2017, 23303 (A). Hierauf wies im Laufe des Gesetzgebungsverfahrens zumindest die EAID hin, BT-Drs. (A) 18(4)824. 160
252
§ 7 Die DS-GVO – Ausdruck eines datenschutzrechtlichen Leitbildwandels?
kations- und Telemediensektor könnte sich somit erneut als Referenzgebiet für eine Modernisierung des Datenschutzrechts erweisen.
D. Fazit Die Revision des europäischen Rechtsrahmens für den Datenschutz wurde im Wesentlichen durch drei Aspekte angestoßen. Zunächst hatten sich seit Erlass der RL 95/46/EG zum einen die technischen und zum anderen die primärrechtlichen Ausgangsbedingungen des Datenschutzes gewandelt. Außerdem veranlasste die europäische Datenschutzrichtlinie keine umfassende Harmonisierung der mitgliedstaatlichen Datenschutzvorgaben, mithin verhinderten weiterhin in den Mitgliedstaaten unterschiedlich ausgestaltete rechtliche Anforderungen an die Verarbeitung personenbezogener Daten den freien Datenverkehr innerhalb der Union. Durch die flächendeckende Verbreitung des Internets und seiner Anwendungen wurde die Globalisierung des Datenverkehrs technisch ermöglicht. Die insoweit entgrenzte Datenverarbeitung offenbarte zunehmend die begrenzte Fähigkeit des Rechts zur Erreichung des durch die RL 95/46/EG angestrebten Zieles, primärrechtlich verbürgte Rechte und Freiheiten zu verwirklichen. Gleichzeitig stellten sich die verfassungsrechtlichen Anforderungen an die Regulierung der Datenverarbeitung, obwohl diese mittlerweile mit Art. 8 CRCh und Art. 16 Abs. 1 AEUV einen expliziten Ausdruck im Primärrecht gefunden hatten, wenig eindeutig dar. Zwar hat der EuGH insbesondere in jüngerer Vergangenheit verschiedene Entscheidungen getroffen, welche die Verwirklichung der Richtlinienvorgaben rein praktisch beförderten,161 im Ergebnis haben diese aber wenig zu einer Systembildung beigetragen.162 Der europäische Gesetzgeber hatte bei der Überarbeitung des europäischen Rechtsrahmens für den Datenschutz außerdem eine Vielzahl von Interessen verschiedener Stakeholder zu berücksichtigen. Zu jenen zählten neben den europäischen Institutionen insbesondere die Mitgliedstaaten und die datenverarbeitende Wirtschaft. Im Ergebnis standen den – im Verhältnis zum nationalen Verfassungsund Datenschutzrecht – kaum elaborierten primärrechtlichen Leitbildern für den Datenschutz ausdifferenzierte Forderungen nach dem Abbau datenschutzrechtlicher Vorgaben zugunsten einer möglichst effizienten Datenverarbeitung durch öffentliche Stellen bzw. einer größtmöglichen Flexibilität der datenverarbeitenden Wirtschaft gegenüber. Damit stellten sich die Herausforderungen, vor denen der europäische 161
Siehe etwa EuGH, C-582/14, NJW 2016, S. 3579 ff. – dynamische IP-Adressen; EuGH, C-362/14, NJW 2015, S. 3151 ff. – Schrems I; EuGH, C-131/12, NJW 2014, S. 2257 ff. – Google Spain; EuGH, C-293/12 u. a., NJW 2014, S. 2169 ff. – Digital Rights Irland; überblicksartig Brkan/Psychogiopoulou (Hrsg.), Courts, Privacy and Data Protection in the Digital Environment; s.a. Skouris, NVwZ 2016, S. 1359 ff. 162 Vgl. auch Michl, DuD 2017, S. 349 ff.
D. Fazit
253
Gesetzgeber stand, als sehr anspruchsvoll dar: Das von diesem zu regulierende Feld – die Datenverarbeitung unter den Bedingungen der modernen Informations- und Kommunikationstechnologien – ist komplex, die insoweit zu berücksichtigenden Interessen sind zahlreich und die primärrechtlichen Ausgangsbedingungen gelten partiell als wenig konsentiert. Der Unionsgesetzgeber begegnete diesen Schwierigkeiten, indem er sich stark an der europäischen Datenschutzrichtlinie orientierte und ihre bekannten Schwächen auszugleichen versuchte. Dies gilt etwa angesichts von Unsicherheiten über die Anwendbarkeit europäischer Datenschutzvorgaben in online-Kontexten. Diesen sollte insbesondere durch die Statuierung des Marktortprinzips – also der Formulierung eines eindeutigen und extensiven Geltungsanspruchs des europäischen Datenschutzrechts – Rechnung getragen werden. Bei den Arbeiten an der DS-GVO standen insgesamt weniger inhaltliche Neuerungen im Vordergrund, etwa sind die Verarbeitungsgrundsätze und die Betroffenenrechte im Verhältnis zu der RL 95/46/EG größtenteils unverändert geblieben, sondern vollzugs- bzw. verfahrensrechtliche Aspekte. Andererseits wurden auch innovative Datenschutzansätze wie die regulierte Selbstregulierung, die risikobasierte Regulierung und Privacy by Design and Default durch die Verordnung aufgegriffen bzw. ausgebaut. Im Ergebnis integriert die Verordnung damit wenige neue Datenschutzmittel, konkretisiert und modifiziert aber bereits etablierte Ansätze. Die Regelungen der Verordnung weisen überwiegend einen sehr hohen Abstraktionsgrad auf und entbehren gleichzeitig stellenweise normativer Kriterien für ihre Konkretisierung. Entsprechend ermöglicht der Rechtsakt im Rahmen von Öffnungsklauseln und Ausgestaltungsaufträgen seine Präzisierung durch andere Akteure, namentlich die Mitgliedstaaten, die unionalen und nationalen Aufsichtsbehörden, die datenverarbeitenden Stellen und die Judikative. Durch diese Regelungstechnik werden zwar inhaltliche Entscheidungen verlagert, gleichzeitig aber auch die Verwirklichung verschiedener Datenschutzleitbilder ermöglicht. Für den Bundesgesetzgeber stellen sich nach dem Inkrafttreten der Verordnung insbesondere die Fragen nach dem „Ob“ und dem „Wie“ eines nationalen Datenschutzrechts unter Geltung der DS-GVO. Entsprechend standen die Arbeiten an dem Datenschutz-Anpassungs- und -Umsetzungsgesetz EU nicht unter dem Vorzeichen einer Modernisierung des nationalen Datenschutzrechts angesichts innovativer Impulse, welche die Verordnung dem Bundesgesetzgeber vermittelt. Vielmehr galt es auf mitgliedstaatlicher Ebene zunächst die kompetenziellen und gesetzgebungstechnischen Ausgangsbedingungen des künftigen allgemeinen Datenschutzrechts zu eruieren. Konsequenterweise wurden zunächst Fragen nach dem Bestehen sowie dem Umfang von Öffnungsklauseln und Regelungsaufträgen der DS-GVO diskutiert und stand insbesondere das unionale Normwiederholungsverbot im Zentrum der gesetzgeberischen Aufmerksamkeit. Wie gezeigt wurde, verbleiben dem Bundesgesetzgeber insbesondere hinsichtlich der Regulierung der Datenverarbeitung im öffentlichen Bereich, der Einschränkung von Betroffenenrechten bzw. Verarbeiterpflichten und besonderen Verarbeitungs-
254
§ 7 Die DS-GVO – Ausdruck eines datenschutzrechtlichen Leitbildwandels?
situationen Möglichkeiten von divergierendem Umfang, eigene Datenschutzleitbilder und die für diese maßgeblichen grundgesetzlichen Vorgaben zu verwirklichen. Von diesen hat der Gesetzgeber im Rahmen des BDSG-neu auch Gebrauch gemacht. Mit der Verabschiedung des Gesetzes ist die Bundesrepublik zunächst dem von der DS-GVO ausgehenden Anpassungs- und Umsetzungsdruck zumindest vordergründig nachgekommen. Es bleibt abzuwarten, inwiefern einzelne Regelungen, deren Ausgestaltung bereits während des Gesetzgebungsverfahrens unter Hinweis auf die unionalen Vorgaben kritisiert worden waren, einer Überprüfung durch den EuGH standhalten werden. Die parlamentarische Auseinandersetzung mit dem Datenschutz-Anpassungsund -Umsetzungsgesetz EU hat dokumentiert, dass sich auf Bundesebene im Verhältnis zu den Anfängen des nationalen Datenschutzrechts ein Leitbildwandel vollzogen hat. Dies lässt sich zum einen in Bezug auf die Zielausrichtung des Datenschutzrechts und zum anderen mit Blick auf die Datenschutzmittel nachweisen. Insoweit wurde ausdrücklich eine grundrechtlich verbürgte Schutzpflicht des Staates zugunsten der von der Datenverarbeitung Betroffenen anerkannt. Entsprechend wird Datenschutz durch den Gesetzgeber nicht mehr ausschließlich als Abwehrrecht gegenüber dem Staat oder nicht-öffentlichen datenverarbeitenden Stellen, sondern auch als Ausdruck einer staatlichen Gewährleistungsverantwortung begriffen. Außerdem werden die überkommenen datenschutzrechtlichen Grundsätze zunehmend hinterfragt, etwa das Verbot mit Erlaubnisvorbehalt, der Zweckbindungsgrundsatz und der Grundsatz der Datenvermeidung und -sparsamkeit. Dieser Befund schlägt sich gleichwohl nicht explizit im Text des BDSG-neu nieder, denn jene datenschutzrechtlichen Mechanismen sind auch integrale Bestandteile der DS-GVO. Somit steht eine Abkehr von diesen primär unter dem Vorbehalt der Vereinbarkeit mit europäischen Vorgaben. Auch insoweit aktualisiert sich folglich die Problematik, dass den auf europäischer Ebene wenig elaborierten datenschutzrechtlichen Leitbildern gut ausgebildete Leitbilder auf nationaler Ebene gegenüberstehen, letzteren aber ein sich stetig verkleinernder Anwendungsbereich zukommt. Im Ergebnis kann damit der Erlass der DS-GVO und der daraufhin einsetzende Revisionsprozess aus nationaler Perspektive eher als Ausgangspunkt als als Ausdruck eines datenschutzrechtlichen Leitbildwandels bezeichnet werden, dessen konkrete Ausgestaltung bislang eher schwach konturiert bleibt.
§ 8 Synthese Die Datenschutzleitbilder, die das allgemeine Datenschutzrecht auf Bundesebene prägten, befanden sich stets im Wandel. Während die Exekutive Ende der 1960er Jahre angesichts der aufkommenden EDV den umfassenden Auf- und Ausbau entsprechender technischer Infrastrukturen anvisierte, differenzierte sich die tendenziell positive Haltung des Parlaments im Hinblick auf die mit dem technischen Fortschritt einhergehenden Chancen, Herausforderungen und Risiken allmählich aus. Ab Mitte der 1970er Jahre fokussierte es zunehmend intensiver die mit dem Einsatz der EDV potentiell verbundenen Risiken für die Realisierung von Persönlichkeitsrechten. Der Bundestag wollte diesen primär durch die „rechtliche Einhegung“ von Datenverarbeitungsprozessen begegnen. Gleichzeitig erkannte er stets vielfältige – insbesondere ökonomische und sicherheitspolitische – Interessen an der Verarbeitung personenbezogener Daten an. Um den disparaten Bedürfnissen einerseits derjenigen, die von Datenverarbeitungsprozessen betroffen sind, und andererseits der öffentlichen sowie nicht-öffentlichen datenverarbeitenden Stellen gerecht zu werden, wurde das Verbot mit Erlaubnisvorbehalt als zentraler Grundsatz des BDSG 1977 statuiert. Der Etablierung dieses Grundsatzes folgte eine umfassende Verrechtlichung von Datenverarbeitungsvorgängen. Diese erschöpfte sich weitestgehend in der Formulierung gesetzlicher Verbots- sowie Erlaubnistatbestände. In Reaktion auf die zentrale Verarbeitung von Daten in Großrechenanlagen entwickelte sich mithin zunächst ein als quantitativ zu kennzeichnendes Datenschutzrecht.1 Im Folgenden änderten sich die technischen sowie verfassungs- und europarechtlichen Ausgangsbedingungen der Regulierung von Datenverarbeitungstechniken, -tätigkeiten und -verfahren grundlegend: Mit der flächendeckenden Verbreitung des Internets seit Ende der 1990er Jahre hat die online-stattfindende Datenverarbeitung sowohl das Berufs- als auch das Privatleben nahezu aller Bundesbürger durchdrungen. Die Grundrechte auf informationelle Selbstbestimmung sowie auf Vertraulichkeit und Integrität informationstechnischer System fanden verfassungsgerichtliche Anerkennung. Außerdem stellen sich die europäischen Datenschutzvorgaben immer umfassender dar. Angesichts dieser technischen, sozialen und rechtlichen Umwälzungen setzte sich die Erkenntnis durch, dass der Einsatz von Informationstechnologien auch der Verwirklichung von Persönlichkeitsrechten dienen kann. Korrespondierend veränderte sich der gesetzgeberische Anspruch an den Datenschutz: Es sollte nicht mehr ausschließlich durch die Statuierung gesetzlicher Ge- und Verbote sichergestellt werden, dass datenverarbeitende Stellen bestimmte – missbräuchliche – Handlungen unterlassen, sondern auch die Koope1
Hierzu § 3 D. II.
256
§ 8 Synthese
ration von Recht und Technik zur Gewährleistung persönlichkeitskonformer onlineKommunikation legislativ angeleitet werden.2 Hiernach hat Datenschutzrecht Datenverarbeitung nicht mehr in erster Linie einzuschränken, sondern diese grundrechtskonform auszugestalten. Zur wirksamen Regulierung online-stattfindender Datenverarbeitung bedarf es eines Datenschutzrechts, das unterschiedliche Ansätze integriert – folglich eines qualitativen Datenschutzrechts. Insoweit sind neben ordnungsrechtlichen namentlich auch selbstregulatorische und technische Mechanismen fruchtbar zu machen. Mittlerweile hat die Erkenntnis, dass Datenschutzrecht die Kommunikation personenbezogener Daten nicht verhindern, sondern diese verfassungskonform ermöglichen soll, auch durch den Bundesgesetzgeber Anerkennung erfahren.3 Dieser Umstand lässt sich als Ausdruck eines datenschutzrechtlichen Leitbildwandels qualifizieren. Gleichwohl hat diese Arbeit auch gezeigt, dass zwischen dem Wandel eines Leitbildes und dessen Verwirklichung bisweilen wesentliche Unterschiede bestehen. Der Gesetzgeber versuchte bislang lediglich im Kontext einzelner Initiativen, seinen neuartigen Auftrag zu verwirklichen, etwa im Rahmen des Gesetzes zur Einführung des elektronischen Personalausweises sowie des Gesetzes zur Einführung von De-Mail-Diensten.4 Im Ergebnis bleibt die umfassende Verwirklichung eines qualitativen Datenschutzrechts noch desiderat. Im Weiteren werden die zentralen Erkenntnisse dieser Arbeit zusammenfassend dargestellt. Diese betreffen den Einfluss verfassungs- und europarechtlicher Vorgaben auf die gesetzgeberischen Datenschutzleitbilder, die verschiedenen Leitbilder, die im Laufe der Zeit darum konkurrierten, im Rahmen des BDSG etabliert zu werden, und schließlich allgemeine Einsichten über gesetzgeberische Datenschutzleitbilder.
A. Verfassungsrechtliche Vorgaben – Von der Sphärentheorie über die informationelle Selbstbestimmung zur Vertraulichkeit und Integrität informationstechnischer Systeme Die verfassungsgerichtliche Rechtsprechung nahm die persönlichkeitsrechtsrelevanten Umwälzungen, welche durch den technischen Fortschritt bedingt wurden, auf und sah diese bisweilen sogar voraus.5 Insoweit vollzog sich eine bemerkens2 Vgl. Hoffmann-Riem, AöR 123 (1998), S. 514 (537 f.); Gusy/Eichenhofer/Schulte, JöR 64 (2016), S. 385 (389 ff.). 3 Hierzu etwa § 6 G. 4 Hierzu § 6 F. II. 2. 5 Letzteres gilt insb. für BVerfG, 1 BvR 209/83, BVerfGE 65, 1 – Volkszählung.
A. Verfassungsrechtliche Vorgaben
257
werte Evolution der grundgesetzlichen Anforderungen an die gesetzgeberische Regulierung von Datenverarbeitungstechniken, -tätigkeiten und -verfahren.6 Noch vor dem Hintergrund analoger Datenverarbeitung wurde die sog. Sphärentheorie im Ehescheidungsaktenbeschluss des BVerfG vom 15. Januar 1970 verfassungsrechtlich etabliert.7 Gemäß dieser beurteilt sich die Schutzbedürftigkeit einer Information nach deren Zugehörigkeit zu einer bestimmten Sphäre; von der Öffentlichkeits- über die Privat- hin zur Intimsphäre nimmt jene zu und ist letztlich eine „unantastbare Sphäre privater Lebensgestaltung“ einem Zugriff von außen gänzlich entzogen, da diese dem absoluten Schutz der Menschenwürdegarantie des Art. 1 Abs. 1 GG unterliegt.8 Hiernach soll der Einzelne davor geschützt werden, dass ihn betreffende Informationen von einer Sphäre ohne Weiteres in eine andere überführt und damit ohne seine Kenntnis bzw. gegen seinen Willen entkontextualisiert werden. Diese Theorie ist primär Ausdruck eines abwehrrechtlichen Grundrechtsverständnisses,9 dem zufolge die Entkontextualisierung privater Informationen grundsätzlich zu unterbinden ist. Für den Gesetzgeber folgte hieraus die Notwendigkeit, Zuständigkeits- und Kompetenznormen zu erlassen, um die Verarbeitung schutzbedürftiger Daten erst zu legitimieren. Anschließend forderten die Verarbeitungs- und Verknüpfungspotentiale der sich etablierenden EDV die Sphärentheorie heraus. Informationen, die dieser zufolge als wenig schutzwürdig zu qualifizieren waren, galten nunmehr, wenn sie zu Daten wurden,10 als potentiell persönlichkeitsrelevant und damit schutzwürdig. Den Umständen, dass aufgrund des Fortschritts der Datenverarbeitungstechnik insbesondere die Entkontextualisierung personenbezogener Daten sowie die Erstellung von Persönlichkeitsprofilen wesentlich erleichtert wurden, trug auch das BVerfG in seinem Volkszählungsurteil vom 15. Dezember 1983 Rechnung, wenn es dort heißt, unter den Bedingungen der automatischen Datenverarbeitung könne es grundsätzlich kein belangloses Datum mehr geben.11 Als Reaktion auf die sich in ihrer Qualität neu 6 Zu den insoweit relevanten Entwicklungslinien der verfassungsgerichtlichen Rechtsprechung s. Gusy, DuD 2009, S. 33 ff. 7 Siehe BVerfG, 1 BvR 13/68, BVerfGE 27, 344 – Ehescheidungsakten. Dieser Beschluss wurde maßgeblich vorbereitet durch BVerfG, 1 BvL 19/63, BVerfGE 27, 1 – Mikrozensus. Dazu § 3 A. Zu deren Leistungen und Defiziten, insb. angesichts moderner Formen der Datenverarbeitung, Gusy, Grundrechtsschutz des Privatlebens, in: Zehetner (Hrsg.), FS Folz, S. 103 ff. 8 Zum unantastbaren Kern privater Lebensführung etwa BVerfG, 1 BvR 253/56, BVerfGE 6, 32 (40 f.) – Elfes; BVerfG, 1 BvL 19/63, BVerfGE 27, 1 (6) – Mikrozensus; BVerfG, 2 BvR 28/71, BVerfGE 32, 373 (378 f.) – ärztliche Schweigepflicht; BVerfG, 2 BvR 1062/87, BVerfGE 80, 367 (373) – Tagebuch; s.a. auch Baldus, JZ 2008, S. 218 ff.; Warntjen, Heimliche Zwangsmaßnahmen und der Kernbereich privater Lebensgestaltung, S. 48 ff. 9 Hierzu umfassend Lübbe-Wolff, Die Grundrechte als Eingriffsabwehrrechte; Poscher, Grundrechte als Abwehrrechte. 10 Zur Unterscheidung von Informationen und Daten Albers, Informationelle Selbstbestimmung, S. 87 ff. 11 BVerfG, 1 BvR 209/83, BVerfGE 65, 1 (45) – Volkszählung.
258
§ 8 Synthese
darstellende Vulnerabilität des Einzelnen leitete das BVerfG in seiner in Rede stehenden Entscheidung aus dem Allgemeinen Persönlichkeitsrecht das Grundrecht auf informationelle Selbstbestimmung ab. Nach Ansicht des Gerichts gewährleistet dieses Recht dem Einzelnen die Befugnis, grundsätzlich selbst über die Preisgabe und Verwendung persönlicher Daten zu entscheiden. Das Recht auf informationelle Selbstbestimmung stellt demnach in erster Linie einen grundrechtlichen Abwehranspruch gegenüber einer unbegrenzten Erhebung, Speicherung, Verwendung und Weitergabe persönlicher Daten dar.12 Dem BVerfG zufolge kann dieser Anspruch lediglich aufgrund einer gesetzlichen und verhältnismäßigen – insbesondere hinreichend normklaren – Ermächtigungsgrundlage eingeschränkt werden. Der Bundesgesetzgeber interpretierte diese Entscheidung dahingehend, dass jedwede Verarbeitung personenbezogener Daten einen Eingriff in das Recht auf informationelle Selbstbestimmung darstellt und damit einem Gesetzesvorbehalt unterliegt. Folglich verstärkten sich in Reaktion auf das Volkszählungsurteil die Verrechtlichungstendenzen in Bezug auf den Datenschutz zusehends.13 Im Rahmen der beiden Entscheidungen hatte das BVerfG jeweils die analoge und unfreiwillige Erhebung personenbezogener Daten sowie deren Übermittlung durch bzw. an öffentliche Stellen an den Vorgaben des Grundgesetzes zu messen. Beides wurde von dem Gericht als legitimationsbedürftiger Eingriff in die Rechte der Betroffenen qualifiziert. Jene abwehrrechtliche Perspektive prägte im Folgenden auch die Datenschutzleitbilder des Bundesgesetzgebers. Die verfassungsgerichtliche Entscheidung zur Online-Durchsuchung vom 28. Februar 2008, in welcher das Grundrecht auf Vertraulichkeit und Integrität informationstechnischer Systeme etabliert wurde, legte eine weitere Perspektive angesichts des gesetzgeberischen Auftrags zum Schutz der Persönlichkeitsrechte zugrunde. Mittlerweile hatten das Internet und onlinebasierte Technologien für den privaten Gebrauch eine flächendeckende Verbreitung gefunden. Im Zuge dieser Entwicklung emanzipierte sich die allgemeine Wahrnehmung des Einzelnen von der Rolle des durch die Datenverarbeitung Dritter Betroffenen hin zu einem Subjekt, welches Informations- und Kommunikationstechnologien nutzt, um sich selbst bzw. seine grundgesetzlich verbürgten Freiheiten zu verwirklichen. Diesen Umstand legte auch das BVerfG seinem in Rede stehenden Urteil zugrunde. Hier ging das Gericht davon aus, dass der Einzelne auf die Vertraulichkeit und Integrität informationstechnischer Systeme vertrauen können muss, um seine Persönlichkeit frei zu entfalten. Gleichzeitig seien Nutzer i. d. R. aufgrund des Komplexitätsgrads jener Systeme damit überfordert, wirkungsvolle soziale und technische Selbstschutzmaßnahmen gegen technische Infiltrationen zu ergreifen. Das BVerfG leitete aus diesen Erwägungen einen neuartigen verfassungsrechtlichen Schutzanspruch ab und deutete an, wie der Gesetzgeber diesem Rechnung zu tragen habe: Zum einen durch die Statuierung verhältnismäßiger und normklarer Eingriffsgrundlagen in Bezug auf 12 13
BVerfG, 1 BvR 209/83, BVerfGE 65, 1 (43) – Volkszählung. Krit. insoweit Hoffmann-Riem, AöR 123 (1998) S. 514 ff.
B. Unionale Vorgaben
259
technische Infiltrationen informationstechnischer Systeme, die zum anderen um technische und verfahrensrechtliche Vorkehrungen zu ergänzen seien.14 Auch wenn die Bedeutung technischer und prozeduraler Schutzvorkehrungen insoweit lediglich vage anklingt, kann die Entscheidung als Meilenstein der verfassungsgerichtlichen Rechtsprechung im hier relevanten Kontext bezeichnet werden. Dieser zufolge hat Recht nicht mehr schlechthin die Funktion, den Einsatz von Datenverarbeitungstechnik zu limitieren. Vielmehr sollen Recht und Technik in Kooperation die Ausübung von Grundrechten gewährleisten. Diese Entscheidung disqualifizierte das Recht auf informationelle Selbstbestimmung nicht als hinfällig – genauso wenig wie das Recht auf informationelle Selbstbestimmung die Sphärentheorie ablöste15 –, sondern ergänzte die verfassungsrechtliche Privatsphärendogmatik angesichts der Bedeutung ubiquitärer und vernetzter informationstechnischer Systeme. Hiernach stellt sich die Aufgabe des Gesetzgebers wie folgt dar: Dieser hat die grundrechtskonforme – mithin freie und selbstbestimmte – Teilhabe an Kommunikationsprozessen mittels Informationstechnologien durch die Gewährleistung einer datenschutzkonformen Kommunikationsinfrastruktur sicherzustellen.16 Insofern wurde auch der objektive Gehalt der datenschutzrelevanten Grundrechtsgewährleistungen betont.17 Der Bundesgesetzgeber versuchte jenem Ansatz namentlich im Rahmen der Gesetze zur Einführung des elektronischen Personalausweises sowie der Einführung von De-Mail-Diensten Rechnung zu tragen.
B. Unionale Vorgaben – Von der RL 95/46/EG zur DS-GVO Der Einfluss unionaler Vorgaben auf das Datenschutzleitbild des Bundesgesetzgebers ist differenziert zu bewerten; es gilt diesbezüglich einerseits formale und andererseits inhaltliche Aspekte zu unterscheiden. Zunächst ist allgemein festzustellen, dass die Regelungsdichte hinsichtlich des Datenschutzes auf europäischer Ebene von dem Erlass der RL 95/46/EG hin zu dem der DS-GVO stetig zugenommen hat. Hiermit korrespondierend nahmen die Möglichkeiten des Bundesgesetzgebers zur Verwirklichung seiner Datenschutzleitbilder stetig ab, denn aus der Kompetenzverteilung zwischen der Europäischen Union und ihren Mitgliedstaaten bzw. dem unionsrechtlichen Anwendungsvorrang ergibt sich, dass mitgliedstaatliche
14
BVerfG, 1 BvR 370, 595/07, BVerfGE 120, 274 (338) – Online-Durchsuchung. So auch Gusy, Grundrechtsschutz des Privatlebens, in: Zehetner (Hrsg.), FS Folz, S. 103 ff. 16 Vgl. Gusy, KritV 2000, S. 52 (57 f.); zuvor bereits Hoffmann-Riem, AöR 123 (1998) S. 514 (519 ff.). 17 Zum objektiven Gehalt der Datenschutzgrundrechte Taraz, Das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme, S. 153 ff. 15
260
§ 8 Synthese
Datenschutzleitbilder grundsätzlich nur zur Geltung kommen können, soweit das europäische Recht dies zulässt.18 Vorerst stellte sich der materielle Einfluss der RL 95/46/EG auf die Datenschutzleitbilder des Bundesgesetzgebers gering dar. Der Rechtsakt speiste sich vollständig aus den Datenschutzkonzepten der Mitgliedstaaten und beließ diesen aufgrund seines limitierten Anwendungsbereichs sowie im Rahmen zahlreicher Öffnungsklauseln und unbestimmter Formulierungen weitgehende Spielräume, ihre Datenschutzkonzepte auch weiterhin zu verwirklichen. Ein europäisches Leitbild für den Datenschutz, dem unter Geltung der RL 95/46/EG ausschließlich sektorielle Bedeutung zukommen konnte, ließ sich aus den pauschalen Aussagen des Rechtsakts jedenfalls kaum ableiten. Am ehesten kann insoweit noch das Leitbild des Marktes, indem personenbezogene Daten als Waren gelten und diese möglichst unreguliert ausgetauscht und verarbeitet werden sollen, identifiziert werden. Durch das Inkrafttreten der GRCh, deren Art. 7 und Art. 8 explizit den Schutz des Privat- und Familienlebens sowie den Schutz personenbezogener Daten gewährleisten, fand eine verfassungsrechtliche Aufwertung des Datenschutzes auf europäischer Ebene statt. Diese ermöglicht es dem EuGH, datenschutzrechtliche Leitbilder induktiv ex-post zu etablieren, die verfassungsrechtlich fundiert sind und damit übergreifende Wirkung entfalten können. Mithin kann der europäische Datenschutz einer konzeptionellen Unterfütterung durch die Judikative zugeführt werden. Gerade in jüngerer Vergangenheit wurden die unionalen Datenschutzvorgaben aufgrund einiger Vorabentscheidungs- sowie Vertragsverletzungsverfahren konkretisiert.19 Im Ergebnis bildete die Rechtsprechung des EuGH insoweit zwar die Ausgangsbasis für verschiedene Datenschutzansätze, die Eingang in den Text der DS-GVO fanden, etwa hinsichtlich des Anwendungsbereichs des europäischen Datenschutzrechts, der Betroffenenrechte und der Datenschutzaufsicht. Gleichwohl blieb diese überwiegend einzelfallbezogen, ergebnisorientiert und dogmatisch wenig konsistent. Letztlich zeichneten sich hier bislang keine eindeutig konturierten Leitbilder für den Datenschutz ab. Die Datenschutz-Grundverordnung kann als neuer Typus von Rechtsakt auf europäischer Ebene bezeichnet werden: Dieser kommt zum einen unmittelbare Geltung zu, zum anderen bedarf eine Vielzahl ihrer Regelungen erst der Ausgestaltung durch die Mitgliedstaaten.20 Für mitgliedstaatliche Datenschutzleitbilder birgt dies sowohl Vor- als auch Nachteile. Einerseits verhindern die durch Öffnungsklauseln sowie unbestimmte Verordnungsvorgaben geschaffenen Spielräume eine umfassende „Monopolisierung“ der Datenschutzgesetzgebung auf unionaler Ebene und ermöglichen damit gleichzeitig die Fortentwicklung datenschutzrecht18
Zum Anwendungsvorrang des Unionsrechts § 7 C. I. Siehe etwa EuGH, C-582/14, NJW 2016, S. 3579 ff. – dynamische IP-Adressen; EuGH, C-362/14, NJW 2015, S. 3151 ff. – Schrems I; EuGH, C-131/12, NJW 2014, S. 2257 ff. – Google Spain; EuGH, C-293/12 u. a., NJW 2014, S. 2169 ff. – Digital Rights Irland. 20 Vgl. insoweit Kühling/Martini, EuZW 2016, S. 448 ff. 19
C. Konkurrenz datenschutzrechtlicher Leitbilder
261
licher Leitbilder in den Mitgliedstaaten.21 Andererseits veranschaulichte das Gesetzgebungsverfahren des BDSG-neu, dass diese Regelungstechnik auf nationaler Ebene gesetzgebungstechnische Schwierigkeiten verursacht, welche die Fortentwicklung des Datenschutzes vorerst hemmen.22 Es ist davon auszugehen, dass mittelfristig die DS-GVO durch die Statuierung bzw. Stärkung der Ansätze Privacy by Design and Default, der risikobasierten Regulierung sowie der regulierten Selbstregulierung die Modernisierung des nationalen Datenschutzrechts anleiten wird. Dennoch ist auch dieser Rechtsakt im Ergebnis nur unzureichend konzeptionell konsolidiert. Zwar führen die Erwägungsgründe der Verordnung aus, dass durch den Rechtsakt ein Ausgleich der primärrechtlich geschützten Interessen der von der Datenverarbeitung Betroffenen einerseits und andererseits der datenverarbeitenden Stellen gewährleistet werden soll,23 doch ist der Inhalt jener Gewährleistungen bislang wenig konsentiert. Im Ergebnis verschärft sich damit eine gewisse Asymmetrie: Einerseits stellen sich nationale Datenschutzleitbilder im Verhältnis zu den europäischen Konzepten elaborierter dar, andererseits verbleibt diesen ein sich stetig verringernder Anwendungsbereich. Es bleibt abzuwarten, ob im Folgenden die weitere nationale Umsetzungsgesetzgebung, europäische Rechtakte wie die e-Privacy-Verordnung sowie die Rechtsprechung und Rechtswissenschaft diesen Umstand kompensieren werden.
C. Konkurrenz datenschutzrechtlicher Leitbilder Anstatt eines maßgeblichen Ziels der Datenschutzgesetzgebung bestanden insoweit stets vielfältige Herausforderungen und Lösungsansätze. Entsprechend konkurrierten auch stets verschiedene Leitbilder, deren Zahl mit der Ausdifferenzierung des Regulierungsfeldes aufgrund der flächendeckenden Verbreitung des Internets und seiner Anwendungen stetig zunahm, um eine rechtliche Fixierung. Hierbei unterlagen ihre jeweiligen Realisierungschancen einem ständigen Wandel und bestimmten Trends. Angesichts der aufkommenden EDV Ende der 1960er Jahre standen primär Rationalisierungs- und Effizienzsteigerungsinteressen im Fokus der staatlichen – namentlich der exekutiven – Aufmerksamkeit. Die automatische Datenverarbeitung wurde als Chance wahrgenommen, den mit der Zunahme des leistungsstaatlichen Angebots einhergehenden Überforderungsphänomenen zu begegnen. Die gesetzliche Regulierung der Datenverarbeitung wurde insofern grundsätzlich als hinderlich angesehen. Erst allmählich identifizierte der Gesetzgeber den Privatheits- bzw. Persönlichkeitsschutz als Anforderung an die Gestaltung bzw. den Einsatz von 21 22 23
Dies ebenfalls anerkennend Roßnagel, DuD 2012, S. 553 ff. § 7 C. III. Siehe insb. EWg. 4 DS-GVO.
262
§ 8 Synthese
Datenverarbeitungstechniken, -tätigkeiten und -verfahren. Privatheit wurde dann zunächst als right to be let alone und damit als abwehrrechtlicher Anspruch des Einzelnen angesichts ihn betreffender Datenverarbeitungstätigkeiten Dritter verstanden. Mithin prägten die erste Phase der nationalen Datenschutzgesetzgebung einerseits das Leitbild der Effizienz und andererseits das des Privatheitsschutzes. Im Rahmen des BDSG 1977 sollte beiden Leitbildern Rechnung getragen werden. Zu diesem Zweck wurde das Verbot mit Erlaubnisvorbehalt als zentraler Mechanismus des Datenschutzrechts statuierte. Durch das Gesetz wurde eine Phase der Verrechtlichung des Datenschutzes eingeleitet, welche durch den Erlass bereichsspezifischer Datenschutzvorgaben – namentlich spezieller Ermächtigungsgrundlagen – und die Einholung meist formularmäßig gefasster Einwilligungen gekennzeichnet war. Im Ergebnis bildete damit die Vorstellung, Datenschutzrecht solle die negativen Konsequenzen des technischen Fortschritts für den Einzelnen einschränken, den Ausgangspunkt der Datenschutzgesetzgebung bzw. eines quantitativen Datenschutzrechts. Andererseits wurden stets auch ökonomische bzw. bürokratische Interessen an dem Stattfinden von Datenverarbeitung anerkannt. Entsprechend war die Verarbeitung von Daten aufgrund des Verbots mit Erlaubnisvorbehalt zwar grundsätzlich legitimationsbedürftig, aber eben auch legitimationsfähig. Die verfassungsrechtliche Etablierung des Grundrechts auf informationelle Selbstbestimmung verstärkte den beschriebenen Verrechtlichungstrend, denn hieraus folgerte die Legislative das Bestehen eines umfassenden und grundsätzlich unterschiedslos geltenden Gesetzesvorbehalts im Hinblick auf Datenverarbeitungstätigkeiten. Sollte zunächst nur der Missbrauch persönlicher Daten verhindert werden, wurde nun die gesetzliche Regulierung jedweder Verarbeitung personenbezogener Daten anvisiert. In dieser Phase der Datenschutzgesetzgebung lässt sich das Verhältnis von Recht und Technik folglich als feindlich beschreiben. Trotz der limitierenden rechtlichen Vorgaben erfolgte anschließend sowohl im öffentlichen als auch im nicht-öffentlichen Bereich eine erhebliche Zunahme von Datenverarbeitungsprozessen. Obwohl sich die faktischen Bedingungen der Datenverarbeitung in beiden Sektoren zusehends ausdifferenzierten, stellte sich die gesetzliche Regulierung öffentlicher und nicht-öffentlicher Stellen insoweit weithin übereinstimmend dar. Bei den Arbeiten an dem BDSG 1990 konzentrierte sich der Gesetzgeber auf die Neuordnung des Datenschutzes im öffentlichen Bereich. Diese war eng verbunden mit sicherheitspolitischen Forderungen nach einer umfassenderen kompetenziellen Ausstattung der Sicherheitsbehörde im Hinblick auf die Verarbeitung personenbezogener Daten. Der Gesetzgeber kam diesem Anliegen zum einen durch die Formulierung weiter und partiell unbestimmter Ermächtigungsgrundlagen und zum anderen dadurch nach, dass er eine teilweise als dringend erforderlich empfundene Stärkung der Datenschutzaufsicht unterließ. Dieses Vorgehen verstärkte das angesichts des Einsatzes von Informationstechnologien ohnehin bestehende Ungleichgewicht zwischen den Akteuren der Datenverarbeitung deutlich zulasten der Betroffenen. Im Ergebnis prägte jene Phase der Gesetzgebung das
C. Konkurrenz datenschutzrechtlicher Leitbilder
263
Leitbild der Sicherheit. Dieses manifestierte den Trend, quantitatives Datenschutzrecht zu erlassen. Bei der Reform des BDSG 1990 stand die Revision des Datenschutzes im nichtöffentlichen Bereich im Fokus der gesetzgeberischen Aufmerksamkeit. Zunächst weil von der RL 95/46/EG, die eine binnenmarktorientierte Perspektive zugrunde legte, ein Anpassungsdruck ausging. Weiterhin stellte sich die Datenverarbeitung im nicht-öffentlichen Bereich zunehmend virulent dar: Parallel zu der Verbreitung des Internets und seiner Dienste sowie der Digitalisierung der Kommunikation etablierten sich weitläufig Geschäftsmodelle, die auf einer Kommerzialisierung personenbezogener Daten basieren. Insoweit verschärften sich partiell bereits aus dem Bereich der Kreditvergabe bekannte Konflikte und stellten sich partiell völlig neuartige. Jedenfalls erkannten nicht-öffentliche datenverarbeitende Stellen immer deutlicher den Geldwert personenbezogener Daten und es intensivierten sich entsprechend deren Anstrengungen, solche noch weitgehender als bisher zu erheben und auszuwerten. Diesem Interesse diente die extensive Ausnutzung der Einwilligungslösung.24 Außerdem wirkte sich bei dem Erlass des BDSG 2001 die Fortentwicklung des bereichsspezifischen Datenschutzdiskurses aus. Mit den Grundsätzen der Datenvermeidung und -sparsamkeit, die im Telemedienrecht ihren Ursprung nahmen, fanden ausdrücklich Anforderungen an die Gestaltung von Datenverarbeitungstechniken, -tätigkeiten und -verfahren Einzug in das BDSG 2001.25 Somit prägte nicht nur das Leitbild des Marktes, sondern auch das des Systemdatenschutzes jene Phase der Datenschutzgesetzgebung. Gemäß dem zuletzt genannten Leitbild sollte die Datenschutzgesetzgebung nicht lediglich missbräuchliche Handlungen bei der bzw. durch die Verarbeitung personenbezogener Daten unterbinden, sondern auch verstärkt datenschutzkonformes Verhalten anleiten. Gleichwohl wurde dieser Ansatz im Rahmen des BDSG 2001 nicht eindeutig ausgearbeitet; er wirkte eher als Appell im Gegensatz zu einem rechtlich durchsetzbaren Anspruch. Im Ergebnis setzte auch das BDSG 2001 ein starkes Maß an Eigenverantwortung der von der Datenverarbeitung Betroffenen voraus. Dies war nicht zuletzt einer undifferenzierten Interpretation des Rechts auf informationelle Selbstbestimmung geschuldet: Die Einwilligung wurde schlicht als Ausdruck der individuellen Selbstbestimmung gewertet. Dass dies einzig unter den Bedingungen von Freiheitsausübung der Fall sein kann, mithin lediglich eine – insbesondere – potentiell informierte Einwilligung als frei und damit als Ausdruck von Selbstbestimmung qualifiziert werden kann, dies aber in einer Vielzahl von online-Sachverhalten nicht der Fall ist, blieb weitestgehend unreflektiert. Entsprechend bildete der Selbstdatenschutz auch angesichts der Regulierung online-basierter Datenverarbeitung den zentralen Ansatz des BDSG 2001. Faktisch wurden damit die Geschäftsmodelle der Internetwirtschaft erheblich begünstigt. 24 25
Hierzu etwa Buchner, DuD 2010, S. 39 ff. § 5 D. II.
264
§ 8 Synthese
Mit dem verfassungsgerichtlichen Urteil zur Online-Durchsuchung vom 27. Februar 2008 wandelte sich die normative Ausgangslage der Datenschutzgesetzgebung. Eine zentrale Aussage des Urteils bestand darin, dass der Einzelne zur Verwirklichung seiner grundrechtlichen Freiheiten auf die Nutzung von Informations- und Kommunikationstechnologien angewiesen ist, diesen aber ihr Schutz vor Zugriffen von außen i. d. R. überfordere und den Staat daher entsprechende Schutzverpflichtungen treffen. Pointiert lässt sich auch formulieren, dass hiernach nicht die staatliche Verhinderung von Kommunikation dem grundgesetzlichen Datenschutzleitbild entspricht, sondern vielmehr eine staatlicherseits zu ermöglichende bzw. nach den verfassungsrechtlichen Vorgaben auszugestaltende Kommunikation. Der Gesetzgeber griff dieses Verständnis im Folgenden auf. Unter den Verwirklichungsbedingungen grundrechtlicher Freiheiten im Internet disqualifizierte er die ausschließliche bzw. überwiegende Verweisung des Einzelnen auf Selbstschutzmaßnahmen partiell als unzureichend. Im Rahmen einiger Initiativen versuchte er auch, dieser Erkenntnis Rechnung zu tragen, namentlich bei dem Erlass der Gesetze zur Einführung des elektronischen Personalausweises und von De-MailDiensten. Die Kooperation von Recht und Technik zur Ermöglichung grundrechtskonformer online-Kommunikation – oder prägnanter von e-Privacy – lässt sich damit als vorerst letztes, durch den Bundesgesetzgeber anvisiertes Datenschutzleitbild ausmachen.26 Das wesentlichste Merkmal dieses Leitbildes ist es, dass es die soziale Dimension von Privatheit und entsprechend einen Ausgestaltungsauftrag des Gesetzgebers im Hinblick auf Kommunikationstechniken und -infrastrukturen voraussetzt.27 Hiernach bedeutet Datenschutz jedenfalls nicht mehr exklusiv Schutz vor – aufgezwungener – Kommunikation, sondern die Gewährleistung der rechtlichen Rahmenbedingungen kommunikativer Entfaltung der Menschen.28 Diesem Leitbild dient die Verwirklichung eines qualitativen Datenschutzrechts, die zum Teil bereits erfolgte. Zusammenfassend lässt sich damit feststellen, dass stets eine Pluralität gesetzgeberischer Leitbilder für den Datenschutz bestand: Es lassen sich insoweit Privatheit, Rationalisierung, Markt, Sicherheit, Systemdatenschutz sowie e-Privacy benennen.
26 Zu dem Konzept der E-Privacy Gusy/Eichenhofer/Schulte, JöR 64 (2016), S. 385 ff.; zuvor bereits, aber noch eher tentativ Böckenförde, JZ 2008, S. 925 (939); s.a. Taraz, Das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme, S. 269 ff. 27 Siehe auch Roessler/Mokrosinka (Hrsg.), Social Dimensions of Privacy. 28 So auch Gusy, KritV 2001, S. 52 (57 f.).
D. Leitbilder im Datenschutzrecht
265
D. Leitbilder im Datenschutzrecht Die Untersuchung hat gezeigt, dass die Genese und der Wandel gesetzgeberischer Leitbilder auch der Logik politischer Prozesse unterliegen.29 An beidem sind verschiedene Akteure beteiligt; neben der Legislative und Exekutive mit ihren jeweiligen Untergliederungen sind hier vor allem auch Interessenverbände der datenverarbeitenden Wirtschaft, Bürgerrechtsvereinigungen, Datenschutzaufsichtsbehörden sowie Sachverständige zu nennen – auf nationaler und europäischer Ebene. Alle diese Akteure versuchen, die von ihnen vertretenen Interessen und Anschauungen bestmöglich im Gesetzgebungsverfahren zu platzieren und letztlich weitestgehend rechtlich zu fixieren. Wenn diese verschiedenen Gruppen und zum Teil sogar deren Mitglieder unterschiedliche Interpretationen hinsichtlich der wesentlichen Konflikte, Ziele, Lösungsmittel und Akteure des Datenschutzes zugrunde legen, fällt es schwer, von gemeinsamen Überzeugungen zu sprechen. Dieser Umstand veranschaulicht jedoch lediglich, dass Leitbilder, wie eingangs erläutert, eine gewisse Offenheit aufweisen. Leitbildern kann nicht eine „einzig richtige“ Interpretation entnommen werden, vielmehr ist ihre Auslegung Gegenstand politischer Prozesse, die als Ergebnis verschiedener Aushandlungen die jeweils „auf Zeit richtige“ Interpretation ergeben. Verfassungsrechtlich ist das Gesetzgebungsverfahren als Kooperationsprozess angelegt, in dessen Rahmen die Beteiligten unterschiedliche Leistungen und Wirkungen erzielen können und auch sollen.30 Entsprechend sind die Genese und der Wandel gesetzgeberischer Leitbilder ebenfalls grundsätzlich offene Prozesse und bleiben diese notwendigerweise – genau wie ihr Ergebnis – bis zu einem gewissen Grad diffus. Trotz Anerkennung dieser Umstände hat die vorliegende Arbeit im Hinblick auf die allgemeine Datenschutzgesetzgebung partiell pathologische Abweichungen von diesem Normalfall aufgezeigt. Seit dem Erlass des BDSG bildete – in unterschiedlichen Formulierungen – der Schutz von Persönlichkeitsrechten dessen explizite Zielbestimmung. Dieser Auftrag war stets insbesondere mit ökonomischen und sicherheitspolitischen Interessen in Ausgleich zu bringen. Jene prägten wiederum selbst vielfältige Datenschutzleitbilder, die etwa Informationen als Ware qualifizieren bzw. eine marktmäßige Logik zugrunde legen. Insgesamt war die Vertretung exekutiver und privatwirtschaftlicher Interessen bei dem Erlass des BDSG und im Rahmen seiner verschiedenen Reformen gut organisiert. Insbesondere brachte die Bundesregierung nahezu ausschließlich die für das allgemeine Datenschutzrecht maßgeblichen Gesetzgebungsinitiativen in den Bundestag ein und konnte diese so bereits in einem frühen Stadium prägenden Einfluss auf das Gesetzgebungsverfahren nehmen. Weiterhin zeichnete sich namentlich bei den Arbeiten an der DS-GVO eine intensive Lobbyarbeit der daten29
Vgl. Meyer, Die Logik des Politischen, in: ders. (Hrsg.), Was ist Politik?, S. 80 ff. Gusy, Zur Gesetzgebungslehre der Sicherheitsgesetzgebung aus rechtswissenschaftlicher Sicht, in: Möllers/van Ooyen (Hrsg.), JBÖS 2016/2017, S. 338 (350). 30
266
§ 8 Synthese
verarbeitenden Wirtschaft ab. Vordergründig blieb damit zwar stets der Persönlichkeitsschutz das maßgebliche Ziel der Datenschutzgesetzgebung, dieses wurde aber oftmals umfassend relativiert. Damit war insbesondere auch die überrepräsentative Vertretung von Partikularinteressen, welche an verschiedenen Stellen im Rahmen dieser Arbeit aufgezeigt wurde,31 dafür verantwortlich, dass mitunter zwischen einem Leitbildwandel und dessen Realisierung beträchtliche Unterschiede bestanden.
31
Etwa § 3 D. I.; § 4 B. III. 4.; § 6 B.; § 6 C. II.
Literaturverzeichnis Abbé, Sophia Elena: Verbraucherschutz durch Transparenz – Eine verfassungs- und verwaltungsrechtliche Studie zur Veröffentlichung amtlicher Ergebnisse der beim LebensmittelEinzelhandel durchgeführten Lebensmittelkontrollen, Berlin 2017. Abel, Ralf-Bernd: Geschichte des Datenschutzrechts, in: Alexander Roßnagel (Hrsg.), Handbuch Datenschutzrecht – Die neuen Grundlagen für Verwaltung und Wirtschaft, München 2003, Kap. 2.7. – Umsetzung der Selbstregulierung im Datenschutz – Probleme und Lösungen, RDV 2003, S. 11 – 16. – Die neuen BDSG-Regelungen, RDV 2009, S. 147 – 154. Aderhold, Dieter: Kybernetische Regierungstechnik in der Demokratie – Planung und Erfolgskontrolle, München u. a. 1973. Adomeit, Klaus: Zivilrechtstheorie und Zivilrechtsdogmatik – mit einem Beitrag zur Theorie der subjektiven Rechte, in: Hans Albert (Hrsg.), Rechtstheorie als Grundlagenwissenschaft der Rechtswissenschaft, JbRSoz, Bd. 2, Düsseldorf 1972, S. 503 – 522. Ahrend, Volker u. a.: Modernisierung des Datenschutzes?, DuD 2003, S. 433 – 437. Albers, Marion: Zur Neukonzeption des grundrechtlichen „Daten“schutzes, in: Andreas Haratsch/Dieter Kugelmann/Ulrich Repkewitz (Hrsg.), Herausforderungen an das Recht der Informationsgesellschaft – 36. Tagung der Wissenschaftlichen Mitarbeiterinnen und Mitarbeiter der Fachrichtung „Öffentliches Recht“, Stuttgart u. a. 1996, S. 113 – 139. – Informationelle Selbstbestimmung, Baden-Baden 2005. – Umgang mit personenbezogenen Informationen und Daten, in: Wolfgang Hoffmann-Riem/ Eberhard Schmidt-Aßmann/Andreas Voßkuhle (Hrsg.), Grundlagen des Verwaltungsrechts, Bd. 2, Informationsordnung, Verwaltungsverfahren, Handlungsformen, 2. Aufl., München 2012, § 22. Albers, Marion/Ortler, Bettina: Verbraucherschutz und Markttransparenz im Recht der Verbraucherinformation, GewArch 2009, S. 225 – 234. Albrecht, Jan Philipp: Daten sind das neue Öl – deshalb braucht es einen starken EU-Datenschutz!, ZD 2013, S. 49 – 50. – Das neue EU-Datenschutzrecht – von der Richtlinie zur Verordnung – Überblick und Hintergründe zum finalen Text für die Datenschutz-Grundverordnung der EU nach der Einigung im Trilog, CR 2016, S. 88 – 98. Albrecht, Jan Philipp/Jotzo, Florian: Das neue Datenschutzrecht der EU – Grundlagen, Gesetzgebungsverfahren, Synopse, Baden-Baden 2017. Alexy, Robert: Theorie der juristischen Argumentation – Die Theorie des radikalen Diskurses als Theorie der juristischen Begründung, 2. Aufl., Frankfurt a.M. 1991.
268
Literaturverzeichnis
– Rechtssystem und praktische Vernunft, in: ders. (Hrsg.), Recht, Vernunft, Diskurs, Frankfurt a.M. 1995, S. 213 – 231. Arbeitskreis Datenschutz der Spitzenorganisationen der Wirtschaft: Stellungnahme zu den Änderungsvorschlägen des Europäischen Parlaments vom 11. März 1992 betreffend den Vorschlag einer Richtlinie des Rates zur Angleichung bestimmter Rechts- und Verwaltungsvorschriften der Mitgliedstaaten für den Personenschutz bei der Verarbeitung personenbezogener Daten, DuD 1992, S. 382 – 387. Ashkar, Daniel: Durchsetzung und Sanktionierung des Datenschutzrechts nach den Entwürfen der Datenschutz-Grundverordnung, DuD 2015, S. 796 – 800. Auernhammer, Herbert: Zum Gegenstand der Auskunft nach dem Bundesdatenschutzgesetz, NJW 1980, S. 816 – 817. – Der neue Referentenentwurf zur Novellierung des Bundesdatenschutzgesetzes, DuD 1984, S. 5 – 10. – Die Europäische Datenschutzkonvention und ihre Auswirkungen auf den grenzüberschreitenden Datenverkehr, DuD 1985, S. 7 – 11. Bachmeier, Roland: EG-Datenschutzrichtlinie – Rechtliche Konsequenzen für die Datenschutzpraxis, RDV 1995, S. 49 – 52. Bäcker, Matthias/Hornung, Gerrit: EU-Richtlinie für die Datenverarbeitung bei Polizei und Justiz in Europa – Einfluss des Kommissionsentwurfs auf das nationale Strafprozess- und Polizeirecht, ZD 2012, S. 147 – 152. Baehr, Thomas: Verhaltenssteuerung durch Ordnungsrecht – Das Vollzugsdefizit als Verfassungsproblem, Baden-Baden 2005. Baer, Susanne: Schlüsselbegriffe, Typen und Leitbilder als Erkenntnismittel und ihr Verhältnis zur Rechtsdogmatik, in: Eberhard Schmidt-Aßmann/Wolfgang Hoffmann-Riem (Hrsg.), Methoden der Verwaltungsrechtswissenschaft, Baden-Baden 2004, S. 223 – 251. Baldus, Manfred: Der Kernbereich privater Lebensgestaltung – absolut geschützt, aber abwägungsoffen, JZ 2008, S. 218 – 227. Bangemann, Martin: Europa und die globale Informationsgesellschaft, in: Verwaltungs- und Privat-Bank AG (Hrsg.), Wirtschaftsfragen, Heft 24, Vaduz 1995. Bartels, Karsten U./Backer, Merlin: ITSiG-konforme Telemedien – Technische und organisatorische Vorkehrungen nach § 13 Abs. 7 Telemediengesetz, DuD 2016, S. 22 – 28. Bartsch, Michael: Die „Vertraulichkeit und Integrität informationstechnischer Systeme“ als sonstiges Recht nach § 823 Abs. 1 BGB, CR 2008, S. 613 – 617. Bäumler, Helmut: Der neue Datenschutz – Einleitung, in: Helmut Bäumler (Hrsg.), Der neue Datenschutz – Datenschutz in der Informationsgesellschaft von morgen, Neuwied u. a. 1998, S. 1 – 10. – Wir brauchen eine neue Politik zum Schutz der Privatsphäre, DuD 1998, S. 312 – 313. – „Der neue Datenschutz“, RDV 1999, S. 5 – 8. – Das TDDSG aus der Sicht eines Datenschutzbeauftragten, DuD 1999, S. 258 – 262. – Datenschutzrechtliche Grenzen der Videoüberwachung, RDV 2001, S. 67 – 71.
Literaturverzeichnis
269
– Audits und Gütesiegel im Datenschutz, CR 2001, S. 795 – 800. Becker, Carlos/Seubert, Sandra: Privatheit, kommunikative Freiheit und Demokratie, DuD 2016, S. 73 – 78. Behm, Frank: Datenschutzrechtliche Anforderungen an Scoringverfahren unter Einbeziehung von Geodaten, RDV 2010, S. 61 – 72. Belzer, Volker: Leitbilder – Potentiale und Perspektiven für moderne Organisationen, in: ders. (Hrsg.), Sinn in Organisationen? – oder: Warum haben moderne Organisationen Leitbilder?, 2. Aufl., München u. a. 1998, S. 13 – 54. Benda, Ernst: Privatsphäre und „Persönlichkeitsprofile“, in: Gerhard Leibholz/Hans Joachim Faller/Paul Mikat (Hrsg.), Menschenwürde und freiheitliche Rechtsordnung – Festschrift für Willi Geiger zum 65. Geburtstag, Tübingen 1974, S. 23 – 44. Bender, Rolf: Datenschutz in den elektronischen Medien – Strukturüberlegungen zur Neuordnung – Sachstand und weitere Entwicklungen in Bund und Ländern, DuD 2003, S. 417 – 420. Benecke, Alexander/Wagner, Julia: Öffnungsklauseln in der Datenschutz-Grundverordnung und das deutsche BDSG – Grenzen und Gestaltungsspielräume für ein nationales Datenschutzrecht, DVBl. 2016, S. 600 – 608. Benz, Arthur: Der moderne Staat – Grundlagen der politologischen Analyse, München u. a. 2001. Bergemann, Benjamin: Entwurf zur EU-Datenschutzgrundverordnung: Weitere Zugeständnisse darf sich der europäische Datenschutz nicht erlauben, 9. Januar 2013, abrufbar unter: https://netzpolitik.org/2013/berichtsentwurf-zur-eu-datenschutzverordnung-veroffentlichtweitere-zugestandnisse-darf-sich-europaischer-datenschutz-nicht-erlauben/. Bergt, Matthias: Die Bedeutung von Verhaltensregeln und Zertifizierungen nach der Datenschutzgrundverordnung, in: Jürgen Taeger (Hrsg.), Smart World – Smart Law? – Weltweite Netze mit regionaler Regulierung, Tagungsband Herbstakademie 2016, Oldenburg 2016, S. 483 – 499. Beucher, Klaus/Utzerath, Julia: Cybersicherheit – Nationale und internationale Regulierungsinitiativen – Folgen für die IT-Compliance und die Haftungsmaßstäbe, MMR 2013, S. 362 – 367. BfD: Entwurf eines Zweiten Gesetzes zur Änderung des Bundesdatenschutzgesetzes – Stärkung der Unabhängigkeit der Datenschutzaufsicht im Bund durch Errichtung einer obersten Bundesbehörde – Positionspapier, 15. Oktober 2014, abrufbar unter: https://www.bundestag. de/blob/344116/3259a3ff471bfda524b8ae4138e63f77/vosshoff-data.pdf. Bieker, Felix/Hansen, Marit: Normen des technischen Datenschutzes nach der europäischen Datenschutzreform, DuD 2017, S. 285 – 289. Bieser, Wendelin von: Das neue Signaturengesetz – Die digitale Signatur im europäischen und internationalen Kontext, DStR 2001, S. 27 – 35. BITKOM: Datenschutz-Kodex für Geodienste, Entwurf, Dezember 2010, abrufbar unter: http:// www.bmi.bund.de/SharedDocs/Downloads/DE/Kurzmeldungen/rote_linie_kodex.html? nn=3314802.
270
Literaturverzeichnis
Bitter, Till/Buchmüller, Christoph/Uecker, Philip: Datenschutzrecht, in: Thomas Hoeren (Hrsg.), Big Data und Recht, München 2014, S. 58 – 93. Bizer, Johann: Datenschutz als Gestaltungsaufgabe – Das Konzept des proaktiven Datenschutzes, DuD 2007, S. 725 – 730. Bizer, Johann/Hammer, Volker/Pordesch, Ulrich/Roßnagel, Alexander: Das neue Bundesamt für Sicherheit in der Informationstechnik. Planungen – Kritik – Vorschläge, Gutachten, Bonn 1990. – Ein Bundesamt für Sicherheit in der Informationstechnik – Kritische Bemerkungen zum Gesetzesentwurf der Bundesregierung, DuD 1990, S. 178 – 186. Bizer, Johann/Roßnagel, Alexander: Sicherheit in der Informationstechnik – Aufgabe für ein neues Bundesamt, KJ 1990, S. 436 – 448. BMI: Personenkennzeichen – Meldewesen, Datenverarbeitung, Bonn 1971. – Dokumentation einer Anhörung zum Referentenentwurf eines Bundesdatenschutzgesetzes vom 7. – 9. November 1972, Bonn 1973. – Referentenentwurf zur Änderung des BDSG, DSB 1982, S. 2 – 34. – Novellierung des Bundesdatenschutzgesetzes, DuD 1983, S. 260 – 289. – BundOnline 2005 – Umsetzungsplan für die eGovernment-Initiative, Berlin 2001, abrufbar unter: http://www.bmi.bund.de/SharedDocs/Downloads/DE/Themen/OED_Verwaltung/Geo information/BundOnline_2005_-_Die_Id_17060_de.pdf?__blob=publicationFile. – Umsetzungsplan KRITIS – des Nationalen Plans zum Schutz der Informationsinfrastrukturen, Berlin 2005, abrufbar unter: http://www.cio.bund.de/SharedDocs/Publikationen/DE/ Strategische-Themen/kritis_download.pdf?__blob=publicationFile. – Mitreden übers Internet – Perspektiven deutscher Netzpolitik – 14 Thesen zu den Grundlagen einer gemeinsamen Netzpolitik der Zukunft, 2010, abrufbar unter: http://www.bmi.bund.de/ cae/servlet/contentblob/1099988/publicationFile/88667/thesen_netzpolitik.pdf. – Spitzengespräch „Digitalisierung von Stadt und Land“, 20. September 2010, abrufbar unter: http://www.bmi.bund.de/SharedDocs/Downloads/DE/Themen/OED_Verwaltung/Informati onsgesellschaft/eckpunkte_geodienste.html?nn=3314802. – Datenschutz im Internet – Gesetzentwurf des BMI zum Schutz vor besonders schweren Eingriffen in das Persönlichkeitsrecht, 1. Dezember 2010, abrufbar unter: http://www.bmi. bund.de/SharedDocs/Downloads/DE/Themen/OED_Verwaltung/Informationsgesellschaft/ro te_linie.html?nn=3314802. – Cyber-Sicherheitsstrategie für Deutschland, Berlin Februar 2011, abrufbar unter: https:// www.bmi.bund.de/SharedDocs/Downloads/DE/Themen/OED_Verwaltung/Informationsge sellschaftcyber.pdf?__blob=publicationFile. – UP KRITIS – Öffentlich-Private Partnerschaften zum Schutz Kritischer Infrastrukturen – Grundlagen und Ziele, Bonn Februar 2014, abrufbar unter: http://www.kritis.bund.de/Shared Docs/Downloads/Kritis/DE/UP_KRITIS_Fortschreibungsdokument.pdf?__blob=publica tionFile.
Literaturverzeichnis
271
– Entwurf eines Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/ 679 und zur Umsetzung der Richtlinie (EU) 2016/680, Berlin 23. November 2016, abrufbar unter: http://www.arbrb.de/media/DSAnpUG-EU-BDSG_%282 %29.pdf. BMI/BMWi: „Eckpunkte der deutschen Kryptopolitik“ vom 2. 6. 1999, MMR 7/1999, S. XVII–XVIII. BMJV: Handbuch der Rechtsförmlichkeit, 3. Aufl., Berlin 2008. BMWA: Informationsgesellschaft Deutschland 2006 – Aktionsprogramm der Bundesregierung, Berlin Dezember 2003, abrufbar unter: https://www.google.de/search?q=Informationsgesell schaft+Deutschland+2006&ie=utf-8&oe=utf-8&gws_rd=cr&ei=Rh7ZV7uBCsiLU9Gcp4 gK. BMWi: Ordnungspolitische und rechtliche Rahmenbedingungen der Informationsgesellschaft – Zwischenbericht zu den Ergebnissen der Arbeitsgruppe des „Petersberger-Kreises“, Bonn 1996. Bock, Kirsten: EuroPriSe – Präventiver Datenschutz, DuD 2008, S. 712. Böckenförde, Thomas: Auf dem Weg zur elektronischen Privatsphäre – Zugleich Besprechung von BVerfG, Urteil v. 27. 2. 2008 – „Online-Durchsuchung“, JZ 2008, S. 925 – 939. Boehme-Neßler, Volker: Privacy by design – Der EU-Datenschutz als Modell moderner Gesetzgebung, ZG 2013, S. 242 – 249. Böhret, Carl: Allgemeine Rahmenbedingungen und Trends des Verwaltungshandelns, in: Reinermann, Heinrich u. a. (Hrsg.), Neue Informationstechniken – Neue Verwaltungsstrukturen?, Heidelberg 1988, S. 27 – 37. Borges, Georg: Der neue Personalausweis und der elektronische Identitätsnachweis, NJW 2010, S. 3334 – 3338. Borking, John: Der Identity-Protector, DuD 1996, S. 654 – 658. – Einsatz datenschutzfreundlicher Technologien in der Praxis, DuD 1998, S. 636 – 640. – Privacy Incorporated Software Agent (PISA) – Proposal for building a privacy guardian for the electronic age, DuD 2001, S. 411 – 416. Borking, John/Raab, Charles D.: Laws, PETs and Other Technologies for Privacy Protection, Journal of Information, Law and Technology 2001, Issue 1 Article 1, abrufbar unter: https:// www2.warwick.ac.uk/fac/soc/law/elj/jilt/2001_1/borking/. Borking, John/Verhaar, Paul: Biometrie und Datenschutz – Bedrohungen und Privacy-Enhancing Technologies, DuD 1999, S. 138 – 142. Braun, Johanna: Leitbilder im Recht, Tübingen 2015. Bräutigam, Peter: Das Nutzungsverhältnis bei sozialen Netzwerken – Zivilrechtlicher Austausch von IT-Leistungen gegen personenbezogene Daten, MMR 2012, S. 635 – 641. Brinckmann, Hans: Das Verkehrsinformationssystem ZEVIS als Beispiel technischer Determinierung von Recht und Verwaltung, DÖV 1985, S. 889 – 900. Bringmann, Tobias: IT-Sicherheitsgesetz – Auswirkungen auf kritische Infrastrukturen, BWGZ 2015, S. 1059 – 1061.
272
Literaturverzeichnis
Brink, Stefan: Die Geschichte des Beschäftigtendatenschutzes – von der Unfähigkeit zum Kompromiss, in: Gerhard Robbers/Thomas Raab (Hrsg.), Rechtspolitisches Forum 65, Trier 2014. Britz, Gabriele: Vertraulichkeit und Integrität informationstechnischer Systeme – Einige Fragen zu einem neuen Grundrecht, DÖV 2008, S. 411 – 415. – Europäisierung des grundrechtlichen Datenschutzes?, EuGRZ 2009, S. 1 – 11. – Informationelle Selbstbestimmung zwischen rechtswissenschaftlicher Grundsatzkritik und dem Beharren des Bundesverfassungsgerichts, in: Wolfgang Hoffmann-Riem (Hrsg.), Offene Rechtswissenschaft – Ausgewählte Schriften und begleitende Analysen, Tübingen 2010, S. 561 – 596. Brkan, Maja/Psychogiopoulou, Evangelia (Hrsg.): Courts, Privacy and Data Protection in the Digital Environment, Cheltenham 2017. Brohm, Winfried: Kurzlebigkeit und Langzeitwirkung der Rechtsdogmatik, in: Max-Emanuel Geis/Dieter Lorenz (Hrsg.), Staat, Kirche, Verwaltung – Festschrift für Hartmut Maurer zum 70. Geburtstag, München 2001, S. 1079 – 1090. Brühann, Ulf: EU-Datenschutzrichtlinie – Umsetzung in einem vernetzten Europa, DuD 1996, S. 66 – 72. – Die Europaverträglichkeit der „Modernisierung des Datenschutzrechts“, DuD 2002, S. 296 – 299. – Europarechtliche Grundlagen, in: Alexander Roßnagel (Hrsg.), Handbuch Datenschutzrecht – Die neuen Grundlagen für Verwaltung und Wirtschaft, München 2003, Kap. 2.4. BSI: Die Lage der IT-Sicherheit in Deutschland 2014, Bonn November 2014. – Die Lage der IT-Sicherheit in Deutschland 2016, Bonn Oktober 2016. Buchner, Benedikt: Die Einwilligung im Datenschutzrecht – vom Rechtfertigungsgrund zum Kommerzialisierungsinstrument, DuD 2010, S. 39 – 43. Bühnemann, Bernt: Datenschutz im nicht-öffentlichen Bereich – unter besonderer Berücksichtigung der Kreditwirtschaft und der Versicherungswirtschaft. Stellungnahme zu dem Entwurf eines Bundes-Datenschutzgesetzes, Berlin 1974. Bull, Hans Peter: Informationswesen und Datenschutz als Gegenstand von Verwaltungspolitik, in: ders. (Hrsg.), Verwaltungspolitik, Neuwied u. a. 1979. – Datenschutz contra Amtshilfe – Von der „Einheit der Staatsgewalt“ zur „informationellen Gewaltenteilung“, DÖV 1979, S. 689 – 696. – Datenschutz als Informationsrecht und Gefahrenabwehr, NJW 1979, S. 1177 – 1182. – Ziele und Mittel des Datenschutzes – Forderungen zur Novellierung des Datenschutzgesetzes, Königstein i.T. 1981. – Mehr Datenschutz durch weniger Verrechtlichung – Zur Überarbeitung von Form und Inhalt der Datenschutzvorschriften, in: Helmut Bäumler (Hrsg.), Der neue Datenschutz – Datenschutz in der Informationsgesellschaft von morgen, Neuwied u. a. 1998, S. 25 – 34. – Neue Konzepte, neue Instrumente? – Zur Datenschutz-Diskussion des Bremer Juristentages, ZRP 1998, S. 310 – 314.
Literaturverzeichnis
273
– Aus aktuellem Anlaß – Bemerkungen über Still und Technik der Datenschutzgesetzgebung, RDV 1999, S. 148 – 153. – Zweifelsfragen um die informationelle Selbstbestimmung – Datenschutz als Datenaskese?, NJW 2006, S. 1617 – 1624. – Informationsrecht ohne Informationskultur?, RDV 2008, S. 47 – 54. – Die „völlig unabhängige“Aufsichtsbehörde – Zum Urteil des EuGH vom 9. 3. 2010 in Sachen Datenschutzaufsicht, EuZW 2010, S. 488 – 494. – Persönlichkeitsschutz im Internet: Reformeifer mit neuen Ansätzen, NVwZ 2011, S. 257 – 263. – Gefühle der Menschen in der ,Informationsgesellschaft‘ – Wie reagiert das Recht?, BadenBaden 2011. Büllesbach, Alfred: Informationstechnologie und Datenschutz – Auswirkungen / Reformforderungen, München 1985. – Das neue Bundesdatenschutzgesetz, NJW 1991, S. 2593 – 2600. – Konzeption und Funktion des Datenschutzbeauftragten vor dem Hintergrund der EGRichtlinie und der Novellierung des BDSG, RDV 2001, S. 1 – 6. Büllesbach, Alfred/Garstka, Hansjürgen: Systemdatenschutz und persönliche Verantwortung, in: Günter Müller/Andreas Pfitzmann (Hrsg.), Mehrseitige Sicherheit in der Kommunikationstechnik – Verfahren, Komponenten, Integration, Bonn 1997, S. 383 – 399. Bullinger, Martin/Mestmäcker, Ernst-Joachim: Multimediadienste – Struktur und staatliche Aufgaben nach deutschem und europäischem Recht, Baden-Baden 1997. Bundesregierung: Moderner Staat – Moderne Bundesregierung, Das Programm der Bundesregierung, 1999, abrufbar unter: https://www.bmi.bund.de/SharedDocs/Downloads/DE/Bro schueren/nichtinListe/1999/Moderner_Staat_-_Moderne_Id_1447_de.pdf?__blob=publica tionFile. – Digitale Agenda 2014 – 2017, August 2014, abrufbar unter: https://www.digitale-agenda.de/ Content/DE/_Anlagen/2014/08/2014 - 08 - 20-digitale-agenda.pdf?__blob=publicationFi le&v=6. Burkert, Herbert: Die Konvention des Europarates zum Datenschutz – Rückblick und Ausblick, CR 1988, S. 751 – 758. – Privacy-Data Protection – A German/European Perspective, in: Christoph Engel/Kenneth H. Keller (Hrsg.), Governance of Global Networks in the Light of Differing Local Values, Baden-Baden 2000, S. 43 – 70. Büttgen, Peter: Ein langer Weg – Telekommunikations-Datenschutzverordnung endlich in Kraft, RDV 2001, S. 6 – 12. Buxel, Holger: Die Privacy Policy im Internet, DuD 2002, S. 401 – 405. Bygrave, Lee A.: Data Protection Law: Approaching Its Rationale, Logic and Limits, Den Haag 2002. – Data Privacy Law – An International Perspective, Oxford 2014.
274
Literaturverzeichnis
Calliess, Christian/Ruffert, Matthias (Hrsg.): EUV/AEUV – Das Verfassungsrecht der Europäischen Union mit Europäischer Grundrechtecharta, 5. Aufl., München 2016. Cannataci, Joseph A./Mifsud-Bonnici, Jeanne Pia: The UK 2007 – 2008 data protection fiasco: Moving on from bad policy and bad law?, International Review of Law, Computers and Technology 2009, S. 46 – 76. Caspar, Johannes: Geoinformation und Datenschutz am Beispiel des Internetdienstes Google Street View, DÖV 2009, S. 965 – 973. – Das aufsichtsbehördliche Verfahren nach der EU-Datenschutz-Grundverordnung – Defizite und Alternativregelungen, ZD 2012, S. 555 – 558. – Informationsfreiheit, Transparenz und Datenschutz, DÖV 2013, S. 371 – 375. Cavoukian, Ann: Privacy by Design: Origins, Meaning, and Prospects for Assuring Privacy and Trust in the Information Era, in: George O.M. Yee (Hrsg.), Privacy Protection Measures and Technologies in Business Organizations: Aspects and Standards, Hershey 2012, Chapter 7. CDU/CSU/FDP: Wachstum. Bildung. Zusammenhalt. Koalitionsvertrag zwischen CDU, CSU und FDP, 17. Legislaturperiode, 2009, abrufbar unter: https://www.bmi.bund.de/SharedDocs/Downloads/DE/Ministerium/koalitionsvertrag.pdf?__blob=publicationFile. CDU/CSU/SPD: Gemeinsam für Deutschland. Mit Mut und Menschlichkeit. Koalitionsvertrag von CDU, CSU und SPD, 16. Legislaturperiode, 2005, abrufbar unter: https://www.cdu.de/ system/tdf/media/dokumente/05_11_11_Koalitionsvertrag_Langfassung_navigierbar_0.pdf? file=1. – Deutschlands Zukunft gestalten. Koalitionsvertrag zwischen CDU, CSU und SPD, 18. Legislaturperiode, 2013, abrufbar unter: https://www.cdu.de/sites/default/files/media/dokumen te/koalitionsvertrag.pdf. Chaos Computer Club: Stellungnahme zum Entwurf eines Gesetzes zur Regelung der Rahmenbedingungen für Informations- und Kommunikationsdienste, 11. März 1997, abrufbar unter: http://dasalte.ccc.de/lobbying/statements/1997/CCC19970515B.html. Chaum, David: Untraceable Electronic Mail, Return Addresses, and Digital Pseudonyms, Communications of the ACM 1981, S. 84 – 88. – Security without Identification: Transaction Systems to make Big Brother obsolete, Communications of the ACM 1985, S. 1030 – 1044. Christians, Daniel: Die Novellierung des Bundesdatenschutzgesetzes – Statusbericht, RDV 2000, Sonderbeilage zu Heft 4, S. 4 – 17. Conrad, Isabell: Recht des Datenschutzes, in: Astrid Auer-Reinsdorff/Isabell Conrad (Hrsg.), Handbuch IT- und Datenschutzrecht, 2. Aufl., München 2016, § 34. Dahlke, Peter: Das Datenschutzrecht als Plattform für „Scandal Driven Legislation“?, ZD 2012, S. 353 – 354. Dammann, Ulrich: Das neue Bundesdatenschutzgesetz, NVwZ 1991, S. 640 – 643. – Erfolge und Defizite der EU-Datenschutzgrundverordnung – Erwarteter Fortschritt, Schwächen und überraschende Innovationen, ZD 2016, S. 307 – 314. Dammann, Ulrich/Simitis, Spiros: EG-Datenschutzrichtlinie. Kommentar, Baden-Baden 1996.
Literaturverzeichnis
275
Däubler, Wolfgang: Neue Unabhängigkeit für den betrieblichen Datenschutzbeauftragten?, DuD 2010, S. 20 – 24. Davies, Simon: Why Privacy by design is the next crucial step for privacy protection, November 2010, abrufbar unter: http://i-comp.org/wp-content/uploads/2013/07/privacy-by-design.pdf. Dederer, Hans-Georg: Die Grenzen des Vorrangs des Unionsrechts – Zur Vereinheitlichung von Grundrechts-, Ultra-vires- und Identitätskontrolle, JZ 2014, S. 313 – 322. Dehmel, Susanne/Hullen, Nils: Auf dem Weg zu einem zukunftsfähigen Datenschutz in Europa? – Konkrete Auswirkungen der DS-GVO auf Wirtschaft, Unternehmen und Verbraucher, ZD 2013, S. 147 – 153. de Maizière, Thomas: Keynote zum 17. Datenschutzkongress, Berlin 27. April 2016, abrufbar unter: http://www.bmi.bund.de/SharedDocs/Reden/DE/2016/04/rede-euroforum-datenschutz kongress.html. Denninger, Erhard: Einführung in Probleme des Amtshilferechts, insbesondere im Sicherheitsbereich, JA 1980, S. 280 – 284. – Die Trennung von Verfassungsschutz und Polizei und das Grundrecht auf informationelle Selbstbestimmung, ZRP 1981, S. 231 – 235. Deutscher Bundestag: Fragen der Verfassungsreform – Zwischenbericht der Enquete-Kommission des Deutschen Bundestags. Parlamentsreform, internationale Probleme, Planung und Gesetzgebung, Zur Sache 1/73, Bonn 1973. – Datenschutz, Meldegesetz – Sachverständigen Anhörung, Gesetzestexte. Aus der öffentlichen Anhörung des Innenausschusses des Deutschen Bundestags vom 6. Mai 1974, Zur Sache 5/74, Bonn 1974. Deutsches Institut für Normung e.V.: Informationsverarbeitung 1 – Normen über Begriffe, Sinnbilder und Schaltzeichen, Maschinelle Zeichenerkennung, Papiere und Farbbänder für die Datenverarbeitung, Datenübertragung und Schnittstellen, 4. Aufl., Berlin u. a. 1987. Dix, Alexander: Konzepte des Systemdatenschutzes, in: Alexander Roßnagel (Hrsg.), Handbuch Datenschutzrecht, München 2003, Kap. 3.5. – Datenschutzaufsicht im Bundesstaat – ein Vorbild für Europa, DuD 2012, S. 318 – 321. Dix, Dorothea: Datenschutz im Internet – Vergleich der bereichsspezifischen Datenschutzvorschriften des Telekommunikationsrechts mit den Datenschutzregelungen des Rechts der Informations- und Kommunikationsdienste (Teledienstedatenschutzgesetz) im Hinblick auf ihre Geltung für das Internet, Münster 2006. Djeffal, Christian: Neue Sicherheitspflicht für Telemediendiensteanbieter – Webseitensicherheit jetzt Pflicht nach dem IT-Sicherheitsgesetz, MMR 2015, S. 716 – 721. Dölle, Hans: Rechtsdogmatik und Rechtsvergleichung, RabelsZ 34 (1970), S. 403 – 410. Dönch, Julia: Verbandsklagen bei Verstößen gegen das Datenschutzrecht – neue Herausforderungen für die Datenschutz-Compliance, BB 2016, S. 962 – 967. Dornseiff, Franz/Quasthoff, Uwe/Wiegand, Herbert Ernst (Hrsg.): Der deutsche Wortschatz nach Sachgruppen, 8. Aufl., Berlin 2004. Dörr, Erwin: Das neue Datenschutzrecht: Auswirkungen für die Wirtschaft, DSB 1991, S. 1 – 7.
276
Literaturverzeichnis
Dose, Nicolai: Verrechtlichung und die Steuerungsfähigkeit von Recht, in: Michael Becker/ Ruth Zimmerling (Hrsg.), PVS Sonderheft 36 (2006), S. 503 – 522. Drallé, Lutz: Das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme, Kiel 2010. Dreier, Thomas/Spiecker gen. Döhmann, Indra/Gerhardt, Rudolf: Beim Datenschutz muss es Freiräume geben – Aber nicht um jeden Preis, ZRP 2010, S. 197 – 198. Drews, Hans-Ludwig/Kranz, Hans Jürgen: Argumente gegen die gesetzliche Regelung eines Datenschutz-Audits, DuD 1998, S. 93 – 94. Dummer, Jürgen/Hartmann, Götz/Vielberg, Meinolf: Vorwort, in: Jürgen Dummer/Meinolf Vielberg (Hrsg.), Leitbilder in der Diskussion, Stuttgart 2001, S. 8 – 10. Durner, Wolfgang: Anmerkung zu einer Entscheidung des BVerfG – Urteil vom 20. 04. 2016, Az. 1 BvR 966/09; 1 BvR 1140/09 – Zur Verfassungswidrigkeit einzelner Ermittlungsbefugnisse des BKA zur Terrorismusbekämpfung, DVBl. 2016, S. 780 – 784. Düsseldorfer Kreis: Datenschutz-Kodex des BITKOM für Geodienste unzureichend – Gesetzgeber gefordert. Beschluss vom 8. April 2011, abrufbar unter: https://www.ldi.nrw.de/ mainmenu_Service/submenu_Entschliessungsarchiv/Inhalt/Beschluesse_Duesseldorfer_ Kreis/Inhalt/2011/Datenschutz-Kodex_unzureichend/Datenschutzkodex_unzureichend.pdf. Duttge, Gunnar: Recht auf Datenschutz? – Ein Beitrag zur Interpretation der grundrechtlichen Schutzbereiche, in: Der Staat 36 (1997), S. 281 – 308. Eberle, Carl-Eugen: Datenschutz durch Meinungsfreiheit, DÖV 1977, S. 306 – 312. Eckhardt, Jens: BDSG: Neuregelungen seit 01. 09. 2009 – Ein Überblick, DuD 2009, S. 587 – 595. – Der Referentenentwurf zum IT-Sicherheitsgesetz – Schutz der digitalen Zukunft?, Eine erste Bestandsaufnahme, ZD 2014, S. 599 – 605. – Anwendungsbereich des Datenschutzrechts – Geklärt durch den EuGH? – Der europarechtliche Grundsatz des Personenbezugs, CR 2016, S. 786 – 790. Eckhardt, Jens/Kramer, Rudi/Mester, Britta Alexandra: Auswirkungen der geplanten EU-DSGVO auf den deutschen Datenschutz, DuD 2013, S. 623 – 630. Eckhardt, Jens/Schmitz, Peter: Informationspflicht bei „Datenschutzpannen“, DuD 2010, S. 390 – 397. Egloff, Willi/Werckmeister, Georg: Kritik und Vorüberlegungen zum Gegenstandsbereich von Informationsrecht, in: Wilhelm Steinmüller (Hrsg.), Informationsrecht und Informationspolitik, Bd. 1, Rechtstheorie und Informationsrecht, München u. a. 1976, S. 280 – 294. Ehmann, Eugen: BDSG-neu: Gelungener Diskussionsentwurf oder erneut untauglicher Versuch zur „Nachbesserung“ der DS-GVO?, ZD-Aktuell 2016, 04216. Ehmann, Eugen/Helfrich, Marcus: EG-Datenschutzrichtlinie – Kurzkommentar, Köln 1999. Ehmann, Horst: Informationsschutz und Informationsverkehr im Zivilrecht, AcP 188 (1988), S. 230 – 380. – Zur Zweckbindung privater Datennutzung – Zugleich ein Beitrag zum Rechtsgut des Datenschutzrechts mit einer Stellungnahme zu den Entwürfen zur Änderung des Bundesdatenschutzgesetzes (Teil 1), RDV 1988, S. 169 – 180; (Teil 2), RDV 1988, S. 221 – 247.
Literaturverzeichnis
277
– Prinzipien des deutschen Datenschutzrechts – unter Berücksichtigung der DatenschutzRichtlinie der EG vom 24. 10. 1995 (Teil 1), RDV 1998, S. 235 – 243; (Teil 2), RDV 1999, S. 12 – 23. Ehricke, Ulrich: Die richtlinienkonforme und die gemeinschaftsrechtskonforme Auslegung nationalen Rechts – Ein Beitrag zu ihren Grundlagen und zu ihrer Bedeutung für die Verwirklichung eines „europäischen Privatrechts“, RabelsZ 59 (1995), S. 589 – 644. Eifert, Martin: Zweckvereinbarkeit statt Zweckbindung, in: Walter Gropp/Martin Lipp/Heinhard Steiger (Hrsg.), Rechtswissenschaft im Wandel – Festschrift des Fachbereichs Rechtswissenschaft zum 400jährigen Gründungsjubiläum der Justus-Liebig-Universität Gießen, Tübingen 2007, S. 139 – 152. – Informationelle Selbstbestimmung im Internet – Das BVerfG und die Online-Durchsuchung, NVwZ 2008, S. 521 – 523. – Rechenschaftspflichten für soziale Netzwerke und Suchmaschinen – Zur Veränderung des Umgangs von Recht und Politik mit dem Internet, NJW 2017, S. 1450 – 1454. Elbrecht, Carola/Schröder, Michaela: Verbandsklagebefugnisse bei Datenschutzverstößen für Verbraucherverbände, K&R 2015, S. 361 – 366. Enders, Christoph: Schutz der Persönlichkeit und der Privatsphäre, in: Detlef Merten/HansJürgen Papier (Hrsg.), Handbuch der Grundrechte in Deutschland und Europa, Heidelberg 2001, Bd. 4, Einzelgrundrechte I, § 89. Engel-Flechsig, Stefan: Die datenschutzrechtlichen Vorschriften im neuen Informations- und Kommunikationsdienste-Gesetz, RDV 1997, S. 59 – 67. – Das Informations- und Kommunikationsdienstegesetz des Bundes und der Mediendienstestaatsvertrag der Bundesländer – Einheitliche Rahmenbedingungen für Multimedia, ZUM 1997, S. 231 – 239. – „Teledienstedatenschutz“ – Die Konzeption des Datenschutzes im Entwurf des Informationsund Kommunikationsdienstegesetzes des Bundes, DuD 1997, S. 8 – 16. Engel-Flechsig, Stefan/Maennel, Frithjof A./Tettenborn, Alexander: Das neue Informationsund Kommunikationsdienste-Gesetz, NJW 1997, S. 2981 – 2992. Erfurth, René: Der „neue“ Arbeitnehmerdatenschutz im BDSG, NJOZ 2009, S. 2914 – 2927. Ermer, Dieter J.: Systemdatenschutz und Chipkarte, CR 2000, S. 126 – 131. Ernst, Stefan: Datenverlust und die Pflicht zur Öffentlichkeit, DuD 2010, S. 472 – 475. Faust, Sebastian/Spittka, Jan/Wybitul, Tim: Milliardenbußen nach der DS-GVO? – Ein Überblick über die neuen Sanktionen bei Verstößen gegen den Datenschutz, ZD 2016, S. 120 – 125. Feik, Sebastian/Lewinski, Kai von: Der Markt für Datenschutz-Zertifizierungen – Eine Übersicht, ZD 2014, S. 59 – 62. Ferik, Levent: Aus der digitalen Agenda der Bundesregierung – das geplante IT-Sicherheitsgesetz, RDV 2014, S. 261 – 265. Fiedler, Herbert: Vom Datenschutz- zum Informationsrecht, DuD 1981, S. 10 – 13. Forgó, Nikolaus/Krügel, Tina/Müllenbach, Kathrin: Zur datenschutz- und persönlichkeitsrechtlichen Zulässigkeit von Google Street View, CR 2010, S. 616 – 624.
278
Literaturverzeichnis
Franzen, Martin: Die Novellierung des Bundesdatenschutzgesetzes und ihre Bedeutung für die Privatwirtschaft, DB 2001, S. 1867 – 1983. Franzius, Claudio: Modalitäten und Wirkungsfaktoren der Steuerung durch Recht, in: Wolfgang Hoffmann-Riem/Eberhard Schmidt-Aßmann/Andreas Voßkuhle (Hrsg.), Grundlagen des Verwaltungsrechts, Bd. 1, Methoden, Maßstäbe, Aufgaben, Organisation, 2. Aufl., München 2012, § 4. Friedewald, Michael u. a.: Datenschutz-Folgenabschätzung – Ein Werkzeug für einen besseren Datenschutz. White Paper, 2. Aufl., Karlsruhe 2016, abrufbar unter: https://www.forum-pri vatheit.de/forum-privatheit-de/texte/veroeffentlichungen-des-forums/themenpapiere-whitepaper/Forum_Privatheit_White_Paper_Datenschutz-Folgenabschaetzung_2016.pdf. Friedrich, Hans-Peter: IT-Sicherheitsgesetz: Maßvolle Regulierung als Standortvorteil, MMR 2013, S. 273 – 274. Fuckner, Gerhard: Das neue Hessische Datenschutzgesetz, CR 1988, S. 144 – 147. – Das Zentrale Verkehrsinformationssystem ZEVIS – ein Bundesregister für die Polizei?, CR 1988, S. 411 – 416. Funk, Albrecht: Fortgesetzte Verunsicherung – Referentenentwürfe zu den „Sicherheitsgesetzen“, KJ 1988, S. 99 – 104. Gabriel, Ulrich/Cornels, Lars U.: Webtracking und Datenschutz – ein „hidden problem“, MMR 11/2008, S. XIV–XVI. Gattung, Gunther u. a.: Persönliche Sicherheitsmanager in der virtuellen Welt, in: Günter Müller/Andreas Pfitzmann (Hrsg.), Mehrseitige Sicherheit in der Kommunikationstechnik, Bonn 1997, S. 181 – 205. Géczy-Sparwasser, Vanessa: Die Gesetzgebungsgeschichte des Internet – Die Reaktion des Gesetzgebers auf das Internet unter Berücksichtigung der Entwicklung in den USA und unter Einbeziehung gemeinschaftsrechtlicher Vorgaben, Berlin 2003. Gehlhaar, Daniel: Der Kündigungsschutz des betrieblichen Datenschutzbeauftragten, NZA 2010, S. 373 – 377. Geiger, Andreas: Die Einwilligung in die Verarbeitung von persönlichen Daten als Ausübung des Rechts auf informationelle Selbstbestimmung, NVwZ 1989, S. 35 – 38. Geiger, Hansjörg: Datenschutz und Gewaltenteilung, in: Wolfgang Kilian/Klaus Lenk/Wilhelm Steinmüller (Hrsg.), Datenschutz – Juristische Grundsatzfragen beim Einsatz elektronischer Datenverarbeitungsanlagen in Wirtschaft und Verwaltung, Frankfurt a.M. 1973, S. 173 – 185. Geis, Ivo: Die digitale Signatur, NJW 1997, S. 3000 – 3004. Gerhard, Torsten: Vereinbarkeit einer Verbandsklage im Datenschutzrecht mit Unionsrecht – Grundsätzliche Fragen zur Rechtmäßigkeit des UKlaG-E v. 4. 2. 2015 (BT-Drucks. 18/4631) aus Sicht des EU-Rechts, CR 2015, S. 338 – 344. Gerhold, Diethelm/Heil, Helmut: Das neue Bundesdatenschutzgesetz 2001, DuD 2001, S. 377 – 382. Giesel, Katharina: Leitbilder in den Sozialwissenschaften – Begriffe, Theorien und Forschungskonzepte, Wiesbaden 2007.
Literaturverzeichnis
279
Gitter, Rotraud/Meißner, Alexander/Spauschus, Philipp: Das IT-Sicherheitsgesetz – Sicherheit und Datenschutz – gemeinsames Ziel oder Widerspruch?, DuD 2016, S. 7 – 11. Gola, Peter: Datenschutz durch EG-Rechtsprechung? – Grundrechtsschutz in der EG, RDV 1990, S. 109 – 113. – Die Entwicklung des Datenschutzrechts im Jahre 1998/99, NJW 1999, S. 3753 – 3761. – Die Entwicklung des Datenschutzrechts in den Jahren 1999/2000, NJW 2000, S. 3749 – 3757. – Verbandsklagen – ein neues Schwert des Datenschutzes?, RDV 2016, S. 17 – 22. Gola, Peter/Klug, Christoph: Die Entwicklung des Datenschutzrechts in den Jahren 2000/2001, NJW 2001, S. 3747 – 3755. – Die Entwicklung des Datenschutzrechts in den Jahren 2001/2002, NJW 2002, S. 2431 – 2442. – Neuregelungen zur Bestellung betrieblicher Datenschutzbeauftragter, NJW 2007, S. 118 – 122. – Die Entwicklung des Datenschutzrechts in den Jahren 2008/2009, NJW 2009, S. 2577 – 2583. – Die Entwicklung des Datenschutzrechts in den Jahren 2010/2011, NJW 2011, S. 2484 – 2490. – Die Entwicklung des Datenschutzrechts im zweiten Halbjahr 2012, NJW 2013, S. 834 – 838. – Die Entwicklung des Datenschutzrechts im ersten Halbjahr 2014, NJW 2014, S. 2622 – 2626. – Die Entwicklung des Datenschutzrechts im zweiten Halbjahr 2014, NJW 2015, S. 674 – 677. – Die Entwicklung des Datenschutzrechts im zweiten Halbjahr 2016, NJW 2017, S. 604 – 607. Gola, Peter/Schulz, Sebastian: DS-GVO – Neue Vorgaben für den Datenschutz bei Kindern? – Überlegungen zur einwilligungsbasierten Verarbeitung von personenbezogenen Daten Minderjähriger, ZD 2013, S. 475 – 481. Gola, Peter/Wronka, Georg: Das neue BDSG und der Arbeitnehmerdatenschutz, RDV 1991, S. 165 – 172. Gounalakis, Georgios: Der Mediendienste-Staatsvertrag der Länder, NJW 1997, S. 2993 – 3000. Gounalakis, Georgios/Mand, Elmar: Die neue EG-Datenschutzrichtlinie – Grundlagen einer Umsetzung in nationales Recht (Teil 1), CR 1997, S. 431 – 438; (Teil 2), CR 1997, S. 497 – 504. Grabitz, Eberhard/Hilf, Meinhard/Nettesheim, Martin (Hrsg.): Das Recht der europäischen Union: EUV/AEUV, 60. Aufl., München 2016. Greening, Stefan/Weigl, Michaela: Überwachung der Internetnutzung von Arbeitnehmern – Von Webtracking- und Webfiltering-Tools – Eine datenschutzrechtliche Betrachtung, CR 2012, S. 787 – 792. Greenwald, Glenn: Die globale Überwachung – Der Fall Snowden, die amerikanischen Geheimdienste und die Folgen, München 2014.
280
Literaturverzeichnis
Greif, Björn: Online-Funktion des neuen Personalausweises wird kaum genutzt, 8. Juni 2015, abrufbar unter: http://www.zdnet.de/88237100/online-funktion-des-neuen-personalauswei ses-wird-kaum-genutzt/. Grobauer, Bernd/Kossakowski, Klaus-Peter/Schreck, Thomas: Klassifikation von IT-Sicherheitsvorfällen, DuD 2016, S. 17 – 21. Groeben, Hans von der/Schwarze, Jürgen/Hatje, Armin (Hrsg.): Europäisches Unionsrecht, 7. Aufl., Baden-Baden 2015. Grudzien, Waldemar: IT-Sicherheitsgesetz – Gedanken zur Implementierung, DuD 2016, S. 29 – 33. Günther, Klaus: Der Wandel der Staatsaufgaben und die Krise des regulativen Rechts, in: Dieter Grimm (Hrsg.), Wachsende Staatsaufgaben – sinkende Steuerungsfähigkeit des Rechts, Baden-Baden 1990, S. 51 – 68. Gürtler, Paul/Kriese, Gilbert: Die Umsetzung der Scoringtransparenz bei Banken, RDV 2010, S. 47 – 60. Gusy, Christoph: Grundrechtsschutz vor staatlichen Informationseingriffen, VerwA 1983, S. 91 – 111. – Das verfassungsrechtliche Gebot der Trennung von Polizei und Nachrichtendiensten, ZRP 1987, S. 45 – 52. – Techniksteuerung durch Recht – Aufgaben und Grenzen, in: Hartwig Donner u. a. (Hrsg.), Umweltschutz zwischen Staat und Markt – Moderne Konzeptionen im Umweltschutz, Baden-Baden 1989, S. 241 – 268. – Informationelle Selbstbestimmung und Datenschutz – Fortführung oder Neuanfang?, KritV 2000, S. 52 – 64. – Grundrechtsschutz des Privatlebens, in: Franz Zehetner (Hrsg.), Festschrift für Hans-Ernst Folz, Wien u. a. 2003, S. 103 – 115. – Trennungsgebot – Tatsächliches oder vermeintliches Hindernis für effektive Maßnahmen zur Bekämpfung des internationalen Terrorismus?, in: Martin H.W. Möllers/Robert Christian van Ooyen (Hrsg.), JBÖS 2008/2009, Frankfurt a.M. 2008, S. 177 – 189. – Europäischer Datenschutz, in: Jürgen Wolter (Hrsg.), Alternativentwurf Europol und europäischer Datenschutz, Heidelberg 2008, S. 265 – 280. – Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme – Neuer Grundrechtsname oder neues Grundrechtsschutzgut?, DuD 2009, S. 33 – 41. – Privatheit und Demokratie, KritV 2015, S. 430 – 461. – Zur Gesetzgebungslehre der Sicherheitsgesetzgebung aus rechtswissenschaftlicher Sicht, in: Martin H.W. Möllers/Robert Christian van Ooyen (Hrsg.), JBÖS 2016/2017, Frankfurt 2017, S. 338 – 356. Gusy, Christoph/Eichenhofer, Johannes/Schulte, Laura: e-privacy. Von der Digitalisierung der Kommunikation zur Digitalisierung der Privatsphäre, JöR 64 (2016), S. 385 – 409. Gusy, Christoph/Müller, Sebastian: Leitbilder im Migrationsrecht, ZAR 2013, S. 265 – 272. Gusy, Christoph/Schulte, Laura: Datenschutz durch Transparenz im Kontext der DSGVO, in: Alexander Dix u. a. (Hrsg.), JBInfoR 2017 (im Erscheinen).
Literaturverzeichnis
281
Gusy, Christoph/Worms, Christoph: Verfassung und Datenschutz – Das Private und das Öffentliche in der Rechtsordnung, DuD 2012, S. 92 – 99. Haase, Martin Sebastian: Datenschutzrechtliche Fragen des Personenbezugs – Eine Untersuchung des sachlichen Anwendungsbereiches des deutschen Datenschutzrechts und seiner europarechtlichen Bezüge, Tübingen 2015. Habermas, Jürgen: Theorie des kommunikativen Handelns, Bd. 2, Zur Kritik der funktionalistischen Vernunft, 4. Aufl., Berlin 1987. Hahn, Johannes/Vielberg, Meinolf (Hrsg.): Formen und Funktionen von Leitbildern, Stuttgart 2007. Hamm, Rainer: „Überwachungssicherheit“ – wer soll sicher vor wem oder was sein?, NJW 2001, S. 3100 – 3101. Hammer, Volker/Pordesch, Ulrich/Roßnagel, Alexander: KORA – Eine Methode zur Konkretisierung rechtlicher Anforderungen zu technischen Gestaltungsvorschlägen für Informations- und Kommunikationssysteme, InfoTech 1993, S. 21 – 24. Hanloser, Stefan: Datenschutz-Compliance: Security Breach Notification bei Datenpannen, CCZ 2010, S. 25 – 29. Hansen, Marit: Privacy Enhancing-Technologies, in: Alexander Roßnagel (Hrsg.), Handbuch Datenschutzrecht – Die neuen Grundlagen für Verwaltung und Wirtschaft, München 2003, Kap. 3.3. – Datenschutz-Folgenabschätzung – gerüstet für Datenschutzvorsorge?, DuD 2016, S. 587 – 591. Hansen, Marit/Weichert, Thilo: Das Recht auf Privatheit – The Right to Privacy, DuD 2012, S. 755 – 766. Härting, Niko: Datenschutz im Internet – Wo bleibt der Personenbezug?, CR 2008, S. 743 – 748. – Starke Behörde, schwaches Recht – der neue EU-Datenschutzentwurf, BB 2012, S. 459 – 466. – Anonymität und Pseudonymität im Datenschutzrecht, NJW 2013, S. 2065 – 2071. – Datenschutzreform in Europa: Einigung im Parlament – Kritische Anmerkungen, CR 2013, S. 715 – 721. Härting, Niko/Schneider, Jochen: Warum wir ein neues Datenschutzrecht brauchen – Kritischer Beitrag zum BDSG und dessen Defiziten, ZD 2011, S. 63 – 68. – Das Dilemma der Netzpolitik, ZRP 2011, S. 233 – 236. – Wird der Datenschutz nun endlich internettauglich? – Warum der Entwurf einer Datenschutz-Grundverordnung enttäuscht, ZD 2012, S. 199 – 203. Haselmann, Cosima: Delegation und Durchführung gemäß Art. 290 und 291 AEUV, Berlin 2012. Hauschka, Christoph E./Moosmayer, Klaus/Lösler, Thomas: Corporate Compliance – Handbuch der Haftungsvermeidung im Unternehmen, 3. Aufl., München 2016. Hauser, Markus: Das IT-Grundrecht – Schnittfelder und Auswirkungen, Berlin 2015.
282
Literaturverzeichnis
Heckmann, Dirk: Staatliche Schutz- und Förderpflichten zur Gewährleistung von IT-Sicherheit – Erste Folgerungen aus dem Urteil des Bundesverfassungsgerichts zur „OnlineDurchsuchung“, in: Helmut Rüßmann (Hrsg.), Festschrift für Gerhard Käfer, Saarbrücken 2009, S. 129 – 164. Helbing, Thomas: Big Data und der datenschutzrechtliche Grundsatz der Zweckbindung, K&R 2015, S. 145 – 150. Hellermann, Johannes: Die sogenannte negative Seite der Freiheitsrechte, Berlin 1993. Helmbrecht, Udo: Die aktuelle Bedrohungslage durch Ausfall von IT-Infrastrukturen, in: Michael Kloepfer (Hrsg.), Schutz kritischer Infrastrukturen – IT und Energie, Baden-Baden 2010, S. 39 – 46. Henke, Ferdinand: Die Datenschutzkonvention des Europarates, Frankfurt a.M. 1986. Hermstrüwer, Yoan: Informationelle Selbstgefährdung – Zur rechtsfunktionalen, spieltheoretischen und empirischen Rationalität der datenschutzrechtlichen Einwilligung und des Rechts auf informationelle Selbstbestimmung, Tübingen 2016. Herresthal, Carsten: Voraussetzungen und Grenzen der gemeinschaftskonformen Rechtsfortbildung, EuZW 2007, S. 396 – 400. Herrmann, Christoph: Das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme – Entstehung und Perspektiven, Frankfurt a.M. 2010. Herrmann, Joachim: Anmerkung zur Reform des europäischen Datenschutzrechts – Harmonisierung unter Wahrung hoher datenschutzrechtlicher Standards, ZD 2014, S. 439 – 441. Hijmans, Hielke/Scirocco, Alfonso: Shortcomings in EU Data Protection in the Third and the Second Pillars. Can the Lisbon Treaty be expected to help?, Common Market Law Review 2009, S. 1485 – 1525. Hochstein, Reiner: Teledienste, Mediendienste und Rundfunkbegriff – Anmerkungen zur praktischen Abgrenzung multimedialer Erscheinungsformen, NJW 1997, S. 2977 – 2981. Hoeren, Thomas: Datenschutz als Wettbewerbsvorteil. Das ungarische Datenschutzgesetz unter der ökonomischen Lupe (Data Protection and law & economics), DuD 1996, S. 542 – 549. – Internet und Recht – Neue Paradigmen des Informationsrechts, NJW 1998, S. 2849 – 2854. – Das Telemediengesetz, NJW 2007, S. 801 – 806. – Was ist das „Grundrecht auf Vertraulichkeit und Integrität informationstechnischer System“?, MMR 2008, S. 365 – 366. – Datenschutz und Scoring – Grundelemente der BDSG-Novelle I, VuR 2009, S. 363 – 369. – Der betriebliche Datenschutzbeauftragte – Neuerungen durch die geplante DS-GVO, ZD 2012, S. 355 – 358. – Anmerkung zum Urteil des EuGH vom 13. 5. 2014, Az. C-131/12 – Zum Anspruch gegen Suchmaschinenbetreiber auf Löschung von Links zu personenbezogenen Daten, EWiR 2014, S. 517 – 518. Hoffmann, Axel: Anforderungsmuster zur Spezifikation soziotechnischer Systeme – Standardisierte Anforderungen der Vertrauenswürdigkeit und Rechtsverträglichkeit, Kassel 2014.
Literaturverzeichnis
283
Hoffmann, Christian u. a. (Hrsg.): Die digitale Dimension der Grundrechte – Das Grundgesetz im digitalen Zeitalter, Baden-Baden 2015. Hoffmann, Christian/Schulz, Sönke E./Borchers, Kim Corina: Grundrechtliche Wirkungsdimensionen im digitalen Raum – Bedrohungslagen im Internet und staatliche Reaktionsmöglichkeiten, MMR 2014, S. 89 – 95. Hoffmann-Riem, Wolfgang: Sachverstand: Verwendungstauglich? – Eine Fallanalyse zur Politikberatung im Rahmen der Enquete-Kommission „Neue Informations- und Kommunikationstechniken“, in: Dieter Grimm/Werner Maihofer (Hrsg.), Gesetzgebungstheorie und Rechtspolitik, Opladen 1988, S. 350 – 402. – Schleichwege zur Nichtentscheidung. Fallanalyse zum Scheitern der Enquete-Kommission „Neue Informations- und Kommunikationstechniken“, PVS 29 (1988), S. 58 – 84. – Informationelle Selbstbestimmung als Grundrecht kommunikativer Entfaltung, in: Heinz W. Arens/Helmut Bäumler (Hrsg.), Der neue Datenschutz – Datenschutz in der Informationsgesellschaft von morgen, Neuwied u. a. 1998, S. 11 – 24. – Informationelle Selbstbestimmung in der Informationsgesellschaft – Auf dem Weg zu einem neuen Konzept des Datenschutzes, AöR 123 (1998), S. 513 – 540. – Der grundrechtliche Schutz der Vertraulichkeit und Integrität eigengenutzter informationstechnischer Systeme, JZ 2008, S. 1009 – 1022. Hofmann, Herwig: Legislation, Delegation and Implementation under the Treaty of Lisbon: Typology Meets Reality, European Law Journal 2009, S. 482 – 505. Hofmann, Manfred: Die Online-Durchsuchung – staatliches Hacken oder zulässige Ermittlungsmaßnahme?, NStZ 2005, S. 121 – 125. Holländer, Corinna: Datensündern auf der Spur – Bußgeldverfahren ungeliebtes Instrument der Datenschutzaufsichtsbehörden?, RDV 2009, S. 215 – 222. Holznagel, Bernd/Hartmann, Sarah: Das „Recht auf Vergessenwerden“ als Reaktion auf ein grenzenloses Internet – Entgrenzung der Kommunikation und Gegenbewegung, MMR 2016, S. 228 – 232. Holznagel, Bernd/Schumacher, Pascal: Netzpolitik Reloaded – Pflichten und Grenzen staatlicher Internetpolitik, ZRP 2011, S. 74 – 78. Holzner, Stefan: Die Online-Durchsuchung: Entwicklung eines neuen Grundrechts, Herbolzheim 2009. Hornung, Gerrit: Datenschutz für Chipkarten – Die Anwendung des § 6c BDSG auf Signaturund Biometriekarten, DuD 2004, S. 15 – 20. – Ermächtigungsgrundlage für die „Online-Durchsuchung“? – Verfassungsrechtliche Anforderungen an und Grenzen für den heimlichen Zugriff auf IT-Systeme in Ermittlungsverfahren, DuD 2007, S. 575 – 580. – Ein neues Grundrecht – Der verfassungsrechtliche Schutz der Vertraulichkeit und Integrität informationstechnischer Systeme, CR 2008, S. 299 – 306. – Eine Datenschutz-Grundverordnung für Europa? – Licht und Schatten im Kommissionsentwurf vom 25. 1. 2012, ZD 2012, S. 99 – 106.
284
Literaturverzeichnis
– Neue Pflichten für die Betreiber kritischer Infrastrukturen: Das IT-Sicherheitsgesetz des Bundes, NJW 2015, S. 3334 – 3340. – Grundrechtsinnovationen, Tübingen 2015. – Datensparsamkeit – Zukunftsfähig statt überholt, Spektrum Spezial 2017, S. 62 – 67. Hornung, Gerrit/Hartl, Korbinian: Datenschutz durch Marktanreize – auch in Europa? – Stand der Diskussion zu Datenschutzzertifizierung und Datenschutzaudit, ZD 2014, S. 219 – 225. Hornung, Gerrit/Hofmann, Kai: Ein „Recht auf Vergessenwerden“? – Anspruch und Wirklichkeit eines neuen Datenschutzrechts, JZ 2013, S. 163 – 170. Hornung, Gerrit/Horsch, Moritz/Hühnlein, Detlef: Mobile Authentisierung und Signatur mit dem neuen Personalausweis – Innovative technische und rechtliche Lösungsansätze, DuD 2012, S. 189 – 194. Hornung, Gerrit/Sädtler, Stephan: Europas Wolken – Die Auswirkungen des Entwurfs für eine Datenschutz-Grundverordnung auf das Cloud-Computing, CR 2012, S. 638 – 645. Husch, Gertrud/Kemmler, Anne/Ohlenburg, Anna: Die Umsetzung des EU-Rechtsrahmens für elektronische Kommunikation: Ein erster Überblick, MMR 2003, S. 139 – 148. International Working Group on Data Protection in Telecommunications: Arbeitspapier Webtracking und Privatsphäre: Die Beachtung von Kontext, Transparenz und Kontrolle bleibt unverzichtbar, April 2013, abrufbar unter: https://www.bfdi.bund.de/SharedDocs/Publi kationen/Sachthemen/BerlinGroup/53_Webtracking.html?nn=5217132. Iraschko-Luscher, Stephanie: Der gläserne Schuldner, DuD 2005, S. 467 – 472. Iwansky, Patrizia: Datenschutzrechtliche Probleme von Chipkarten am Beispiel der geplanten Patientenkarte unter besonderer Berücksichtigung der europäischen Entwicklung, Berlin 1999. Jacob, Joachim: Die EG-Datenschutz-Richtlinie aus der Sicht des BfD, RDV 1993, S. 11 – 14. – Der Stand der EG-Datenschutzrichtlinie zu Beginn der deutschen Ratspräsidentschaft, DuD 1994, S. 480 – 483. – Stellungnahme zum Referentenentwurf zur Änderung des Bundesdatenschutzgesetzes und anderer Gesetze, JurPC Web-Dok. 42/1998, Abs. 1 – 81. Jahn, David/Striezel, Julia: Google Street View is watching you, K&R 2009, S. 753 – 758. Jahr, Günther: Zum Verhältnis von Rechtstheorie und Rechtsdogmatik, in: ders./Werner Maihofer (Hrsg.), Rechtstheorie – Beitrag zur Grundlagendiskussion, Frankfurt a.M. 1971. Jann, Werner: Der Wandel verwaltungspolitischer Leitbilder: Vom Management zu Governance?, in: Klaus König (Hrsg.), Deutsche Verwaltung an der Wende zum 21. Jahrhundert, Baden-Baden 2002, S. 279 – 305. Janzen, Karl-Heinz: Kompromißverdorbener Datenschutz, Metall aktuell 15/1976, S. 2. Jarass, Hans D.: Executive Information Systems and Congress – Verwaltungsinformationssysteme und das Parlament, Berlin 1974. – Das „Informationsgleichgewicht“ zwischen Parlament und Verwaltung, DVR 1974, S. 369 – 382.
Literaturverzeichnis
285
Jarass, Hans D./Beljin, Sasa: Die Bedeutung von Vorrang und Durchführung des EG-Rechts für die nationale Rechtssetzung und Rechtsanwendung, NVwZ 2004, S. 1 – 11. Jestaedt, Matthias: Die Verfassung hinter der Verfassung – Eine Standortbestimmung der Verfassungstheorie, Paderborn 2009. Johannes, Paul C.: Erster Referentenentwurf des BMI für ein Ausführungsgesetz zur DS-GVO nach heftiger Kritik zurückgenommen, ZD-Aktuell 2016, 05322. Jotzo, Florian: Gilt deutsches Datenschutzrecht auch für Google, Facebook & Co. bei grenzüberschreitendem Datenverkehr?, MMR 2009, S. 232 – 237. Jülicher, Tim/Röttgen, Charlotte/Schönfeld, Max von: Das Recht auf Datenübertragbarkeit – Ein datenschutzrechtliches Novum, ZD 2016, S. 358 – 362. Jüngel, Marc/Fandrey, Alexander: If you can’t kill it, bill it – Google Street View als Sondernutzung?, NVwZ 2010, S. 683 – 685. Jungermann, Helmut: Empfehlung an den Datenschutz für den Umgang mit dem Bürger als Nutzer, in: Schufa Holding-AG (Hrsg.), Zwischen Liberalität und Paternalismus – Wo fördert, wo beschränkt der Datenschutz Bürgerrechte?, Wiesbaden 2010, S. 18 – 22. Kahler, Thomas: Die Europarechtswidrigkeit der Kommissionsbefugnisse in der Grundverordnung – Oder: Die überfällige Reform der deutschen und europäischen Datenschutzaufsicht, RDV 2013, S. 69 – 73. Kamlah, Ruprecht: Right of Privacy – Das allgemeine Persönlichkeitsrecht in amerikanischer Sicht unter Berücksichtigung neuer technologischer Entwicklungen, Köln 1969. – Datenüberwachung und Bundesverfassungsgericht, DÖV 1970, S. 361 – 364. Kamp, Meike/Rost, Martin: Kritik an der Einwilligung – Ein Zwischenruf zu einer fiktiven Rechtsgrundlage in asymmetrischen Machtverhältnissen, DuD 2013, S. 80 – 84. Kamp, Meike/Weichert, Thilo: Scoringsysteme zur Beurteilung der Kreditwürdigkeit – Chancen und Risiken für Verbraucher, Gutachten im Auftrag des BMVEL und der BLE, 2005, abrufbar unter: https://www.datenschutzzentrum.de/scoring/2005-studie-scoringsyste me-uld-bmvel.pdf. Karg, Moritz/Thomsen, Sven: Tracking und Analyse durch Facebook – Das Ende der Unschuld, DuD 2012, S. 729 – 736. Karpenstein, Peter: Zur Zuständigkeit der Europäischen Gemeinschaft auf dem Gebiet des Datenschutzes, in: Roland Bieber u. a. (Hrsg.), Das Europa der zweiten Generation – Gedächtnisschrift für Christoph Sasse, Bd. 2, Baden-Baden 1981, S. 889 – 908. Karper, Irene: Datenschutzsiegel und Zertifizierungen nach der Datenschutz-Grundverordnung, PinG 2016, S. 201 – 204. Keller, Christoph/Braun, Frank/Hoppe, René (Hrsg.): Telekommunikationsüberwachung und andere verdeckte Ermittlungsmaßnahmen, Stuttgart 2015. Keller, Thomas/Raupach, Hubert: Informationslücke des Parlaments? Wissenschaftliche Hilfseinrichtungen für die Abgeordneten des Deutschen Bundestages und der Länderparlamente, Hannover 1970.
286
Literaturverzeichnis
Keppeler, Lutz Martin: Was bleibt vom TMG-Datenschutz nach der DS-GVO? Lösung und Schaffung von Abgrenzungsproblemen im Multimedia-Datenschutz, MMR 2015, S. 779 – 783. Kevenhörster, Paul/Hoschka, Peter/Kalbhen, Uwe: Informationslücken des Parlaments? Auswirkungen des DV-Einsatzes auf die Gewaltenteilung, in: Peter Hoschka/Uwe Kalbhen (Hrsg.), Datenverarbeitung in der politischen Planung, Frankfurt a.M. 1975, S. 233 – 256. Kilian, Wolfgang: Informationelle Selbstbestimmung und Marktprozesse – Zur Notwendigkeit der Modernisierung des Modernisierungsgutachtens zum Datenschutzrecht, CR 2002, S. 921 – 929. Kinast, Karsten/Schröder, Markus: Audit & Rating: Vorsprung durch Selbstregulierung – Datenschutz als Chance für den Wettbewerb, ZD 2012, S. 207 – 210. Kipker, Dennis-Kenji/Dix, Alexander: EAID: Datenschutzgrund-Verordnung – (wie) müssen das deutsche und das europäische Recht geändert werden?, ZD-Aktuell 2016, 04197. Klappenbach, Ruth: Wörterbuch der deutschen Gegenwartssprache, Bd. 3, Glauben – Lyzeum, 2. Aufl., Berlin 1973. Klar, Manuel: Datenschutzrecht und die Visualisierung des öffentlichen Raums, Berlin 2011. – Der Rechtsrahmen des Datenschutzrechts für Visualisierungen des öffentlichen Raums – Ein taugliches Konzept zum Schutz der Betroffeneninteressen?, MMR 2012, S. 788 – 795. – Räumliche Anwendbarkeit des (europäischen) Datenschutzrechts – Ein Vergleich am Beispiel von Satelliten-, Luft- und Panoramastraßenaufnahmen, ZD 2013, S. 109 – 115. Klett, Detlef/Ammann, Thorsten: Gesetzliche Initiativen zur Cybersicherheit – Ein Überblick zu den bisherigen regulatorischen Ansätzen auf nationaler und europäischer Ebene, CR 2014, S. 93 – 99. Kloepfer, Michael: Datenschutz als Grundrecht – Verfassungsprobleme der Einführung eines Grundrechts auf Datenschutz, Königstein i.T. 1980. – Geben moderne Technologien und die europäische Integration Anlaß, Notwendigkeit und Grenzen des Schutzes personenbezogener Informationen neu zu bestimmen?, in: Ständige Deputation des Deutschen Juristentags (Hrsg.), Verhandlungen des 62. Deutschen Juristentages Bremen 1998, Bd. 1, Gutachten, München 1998, D 1 – 149. – Technik und Recht im wechselseitigen Werden – Kommunikationsrecht in der Technikgeschichte, Berlin 2002. – Informationszugangsfreiheit und Datenschutz: Zwei Säulen des Rechts der Informationsgesellschaft, DÖV 2003, S. 221 – 231. Kloepfer, Michael/Schärdel, Florian: Grundrechte für die Informationsgesellschaft – Datenschutz und Informationsfreiheit ins Grundgesetz?, JZ 2009, S. 453 – 462. Klug, Christoph: Die Vorabkontrolle – Eine neue Aufgabe für betriebliche und behördliche Datenschutzbeauftragte, RDV 2001, S. 12 – 20. – Beispiele richtlinienkonformer Auslegung des BDSG, RDV 2001, S. 266 – 274. Kniesel, Michael: Sicherheitsbehördliche Informationshilfe nach dem Urteil des BVerfG zum Volkszählungsgesetz (VZG) (Teil II), Die Polizei 1985, S. 169 – 174. Knopp, Michael: Datenschutzherausforderung Webtracking, DuD 2010, S. 783 – 786.
Literaturverzeichnis
287
Kodde, Claudia: Die „Pflicht zu Vergessen“ – „Recht auf Vergessenwerden“ und Löschung in BDSG und DS-GVO, ZD 2013, S. 115 – 118. Kommission der Europäischen Gemeinschaft: Arbeitsprogramm der Kommission für 1990, Bulletin der Europäischen Gemeinschaft, Beilage 1/1990, Straßburg 1990. Könen, Andreas: IT-Sicherheitsgesetz gesetzlich geregelt – Kooperation gestalten, Umsetzung steuern, DuD 2016, S. 12 – 16. Konferenz der Datenschutzbeauftragten des Bundes und der Länder: Entschließung vom 6./ 7. April 2016: Stärkung des Datenschutzes in Europa – nationale Spielräume nutzen, abrufbar unter: https://www.bfdi.bund.de/SharedDocs/Publikationen/Entschliessungssamm lung/DSBundLaender/91DSK_EntschliessungDSStaerken.html?nn=5217228. Königshofen, Thomas: Datenschutz-Audit bei der Deutschen Telekom, in: Patrick Horster/Dirk Fox (Hrsg.), Datenschutz und Datensicherheit – Konzepte, Realisierungen, Rechtliche Aspekte, Anwendungen, Wiesbaden 1999, S. 180 – 191. – Chancen und Risiken eines gesetzlich geregelten Datenschutz-Audits – Der Versuch einer Versachlichung der Diskussion, DuD 2000, S. 357 – 360. – Neue datenschutzrechtliche Regelungen zur Videoüberwachung, RDV 2001, S. 220 – 223. Koós, Clemens: Das Vorhaben eines einheitlichen Datenschutzes in Europa – Aktueller Stand des europäischen Gesetzgebungsverfahrens, ZD 2014, S. 9 – 15. Kopp, Ferdinand: Das EG-Richtlinienvorhaben zum Datenschutz – Geänderter Vorschlag der EG-Kommission für „eine Richtlinie des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr“, RDV 1993, S. 1 – 10. Körner-Dammann, Marita: Der zweite Entwurf einer EG-Datenschutzrichtlinie, RDV 1993, S. 14 – 20. Kranig, Thomas/Peintinger, Stefan: Selbstregulierung im Datenschutzrecht – Rechtslage in Deutschland, Europa und den USA unter Berücksichtigung des Vorschlags zur DS-GVO, ZD 2014, S. 3 – 9. Kübler, Johanna: Die Säulen der Europäischen Union: einheitliche Grundrechte? – Zur Grundrechtsdivergenz zwischen der ersten und dritten Säule am Beispiel des Datenschutzes, Baden-Baden 2002. Kuch, Hansjörg: Der Staatsvertrag über Mediendienste, ZUM 1999, S. 225 – 230. Kugelmann, Dieter: Informationsfreiheit als Element moderner Staatlichkeit, DÖV 2005, S. 851 – 860. – Datenschutz bei Polizei und Justiz – Der Richtlinienvorschlag der Kommission, DuD 2012, S. 581 – 853. Kühling, Jürgen/Bohnen, Simon: Zur Zukunft des Datenschutzrechts – Nach der Reform ist vor der Reform, JZ 2010, S. 600 – 610. Kühling, Jürgen/Klar, Manuel: Transparenz vs. Datenschutz – erste Gehversuche des EuGH bei der Anwendung der Grundrechtecharta, Jura 2011, S. 771 – 777. Kühling, Jürgen/Martini, Mario: Die Datenschutz-Grundverordnung: Revolution oder Evolution im europäischen und deutschen Datenschutzrecht?, EuZW 2016, S. 448 – 454.
288
Literaturverzeichnis
Kühling, Jürgen u. a.: Das datenschutzrechtliche Vollzugsdefizit im Bereich der Telemedien – ein Schreckensbericht, DuD 2009, S. 335 – 342. Kühling, Jürgen u. a. (Hrsg.): Die Datenschutz-Grundverordnung und das nationale Recht – Erste Überlegungen zum innerstaatlichen Regelungsbedarf, Münster 2016. Kuhr, Daniela/Widmann, Marc: Im Revier der Datenjäger, SZ vom 17. Mai 2010, abrufbar unter: http://www.sueddeutsche.de/digital/datenschutzgipfel-im-revier-der-datenjaeger-1.711 722. Kutscha, Martin: Datenschutz durch Zweckbindung – ein Auslaufmodell? – Zugleich Erwiderung auf Bull, ZRP 1998, 310, ZRP 1999, S. 156 – 160. – Überwachungsmaßnahmen von Sicherheitsbehörden im Fokus der Grundrechte, LKV 2008, S. 481 – 486. – Grundrechtlicher Persönlichkeitsschutz bei der Nutzung des Internet – Zwischen individueller Selbstbestimmung und staatlicher Verantwortung, DuD 2011, S. 461 – 464. Lachenmann, Matthias: Das Ende des Rechtsstaates aufgrund der digitalen Überwachung durch die Geheimdienste?, DÖV 2016, S. 501 – 511. Ladeur, Karl-Heinz: Datenschutz – Vom Abwehrrecht zur planerischen Optimierung von Wissensnetzwerken – Zur „objektiv-rechtlichen Dimension“ des Datenschutzes, DuD 2000, S. 12 – 19. – Das Recht auf informationelle Selbstbestimmung: Eine juristische Fehlkonstruktion?, DÖV 2009, S. 45 – 55. Lapp, Thomas: Brauchen wir De-Mail und Bürgerportale? – Überflüssige Anwendung mit Geburtsfehlern, DuD 2009, S. 651 – 655. Laue, Philip: Öffnungsklauseln in der DS-GVO – Öffnung wohin? – Geltungsbereich einzelstaatlicher (Sonder-)Regelungen, ZD 2016, S. 463 – 467. Lennartz, Hans-Albert: Neues Datenschutzrecht in Hessen, RDV 1987, S. 74 – 78. Lerche, Peter: Stil und Methode der verfassungsgerichtlichen Entscheidungspraxis, in: Peter Badura/Horst Dreier (Hrsg.), Festschrift 50 Jahre Bundesverfassungsgericht, Bd. 1, Verfassungsgerichtsbarkeit, Verfassungsprozeß, Tübingen 2001, S. 333 – 361. Leucker, Franziska: Die zehn Märchen der Datenschutzreform, PinG 2015, S. 195 – 202. Leutheusser-Schnarrenberger, Sabine: Europäer sind nicht Bürger zweiter Klasse im Datenschutz, MMR 2013, S. 481 – 482. Lewinski, Kai von: Privacy Policies – Unterrichtungen und Einwilligung im Internet, DuD 2002, S. 395 – 400. – Die Geschichte des Datenschutzes von 1600 bis 1977, in: Felix Arndt u. a. (Hrsg.), Freiheit – Sicherheit – Öffentlichkeit, 48. Assistententagung Öffentliches Recht, Heidelberg 2008, Baden-Baden 2009, S. 169 – 220. – Europäisierung des Datenschutzrechts – Umsetzungsspielraum des deutschen Gesetzgebers und Entscheidungskompetenz des BVerfG, DuD 2012, S. 564 – 570. – Zufall und Notwendigkeit bei der Entstehung des Datenschutzrechts – Was sagt die kontrafaktische Geschichtsschreibung zum BDSG?, in: Jörg Pohle/Andrea Knaut (Hrsg.), Fundationes I: Geschichte und Theorie des Datenschutzes, Münster 2014, S. 9 – 35.
Literaturverzeichnis
289
– Unabhängigkeit des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit, ZG 2015, S. 228 – 245. Lewinski, Kai von/Herrmann, Christoph: Vorrang des europäischen Datenschutzrechts gegenüber Verbraucherschutz- und AGB-Recht – Teil 1: Materielles Recht, PinG 2017, S. 165 – 172. – Vorrang des europäischen Datenschutzrechts gegenüber Verbraucherschutz- und AGBRecht – Teil 2: Aufsichtsbehörden, PinG 2017, S. 209–216. Lewinski, Kai von/Schreibauer, Marcus: TDDSG-Novellierung: Datenschutz im Internet soll praktikabler werden, CR 2002, S. 238 – 239. Liedtke, Werner: Das Bundesdatenschutzgesetz – Eine Fallstudie zum Gesetzgebungsprozeß, München 1980. Lindemann, Peter/Nagel, Kurt/Herrmann, Günter: Auswirkungen des Bundesdatenschutzgesetzes auf die Wirtschaft, Neuwied 1977. Lindhorst, Matthias: Wettbewerbsrecht und Datenschutz, DuD 2010, S. 713 – 715. Lindner, Christian: Persönlichkeitsrechte und Geo-Dienste im Internet – z. B. Google Street View/Google Earth, ZUM 2010, S. 292 – 301. Liß, Heike: ZEVIS – Ein Selbstbedienungsladen für die Polizei, CILIP 1984, S. 47 – 59. Lübbe-Wolff, Gertrude: Die Grundrechte als Eingriffsabwehrrechte – Struktur und Reichweite der Eingriffsdogmatik im Bereich staatlicher Leistungen, Baden-Baden 1988. Luch, Anika D.: Das neue „IT-Grundrecht“ – Grundbedingung einer „Online-Handlungsfreiheit“, MMR 2011, S. 75 – 79. Luch, Anika D./Schulz, Sönke E.: Die digitale Dimension der Grundrechte – Die Bedeutung der speziellen Grundrechte im Internet, MMR 2013, S. 88 – 93. Lüdemann, Volker/Wenzel, Daniel: Zur Funktionsfähigkeit der Datenschutzaufsicht in Deutschland, RDV 2015, S. 285 – 293. Lutterbeck, Bernd: Entscheidungstheoretische Bemerkungen zum Gewaltenteilungsprozeß, in: Wolfgang Kilian/Klaus Lenk/Wilhelm Steinmüller (Hrsg.), Datenschutz – Juristische Grundsatzfragen beim Einsatz elektronischer Datenverarbeitungsanlagen in Wirtschaft und Verwaltung, Frankfurt a.M. 1973, S. 187 – 206. – Informationelle Probleme parlamentarischer Beteiligung an Planungsprozeßen, in: Wilhelm Steinmüller (Hrsg.), Informationsrecht und Informationspolitik, Bd. 1, Rechtstheorie und Informationsrecht, München u. a. 1976, S. 164 – 178. – Parlament und Information – Eine informationstheoretische und verfassungsrechtliche Untersuchung, München u. a. 1977. Maas, Heiko: EU-Datenschutz-Grundverordnung: Datensouveränität in der digitalen Gesellschaft, DuD 2015, S. 579 – 580. Mackensen, Lutz: Deutsches Wörterbuch, 12. Aufl., München 1986. Mähring, Matthias: Das Recht auf informationelle Selbstbestimmung im europäischen Gemeinschaftsrecht, EuR 1991, S. 369 – 375.
290
Literaturverzeichnis
Mangoldt, Hermann von/Klein, Friedrich/Starck, Christian (Hrsg.): Kommentar zum Grundgesetz, Bd. 1, 6. Aufl., München 2010. Mantz, Reto: Anmerkung zum Urteil des LG Berlin vom 31. 01. 2013 (57 S 87/08, ZD 2013, 618) – Zur Qualifizierung von IP-Adressen als personenbezogene Daten, ZD 2013, S. 625 – 626. Marnau, Ninja: Anonymisierung, Pseudonymisierung und Transparenz für Big Data – Technische Herausforderungen und Regelungen in der Datenschutz-Grundverordnung, DuD 2016, S. 428 – 433. Marosi, Johannes: One (Smart) Size Fits All? – Das (Datenschutz-)TMG Heute – Und Morgen?, in: Jürgen Taeger (Hrsg.), Smart World – Smart Law? – Weltweite Netze mit regionaler Regulierung, Tagungsband Herbstakademie 2016, Oldenburg 2016, S. 435 – 451. Marschall, Kevin/Müller, Pinkas: Der Datenschutzbeauftragte im Unternehmen zwischen BDSG und DS-GVO, ZD 2016, S. 415 – 420. Masing, Johannes: Ein Abschied von den Grundrechten – Die Europäische Kommission plant per Verordnung eine ausnehmend problematische Neuordnung des Datenschutzes, SZ vom 9. Januar 2011, S. 10. – Herausforderungen des Datenschutzes, NJW 2012, S. 2305 – 2311. Mayer-Schönberger, Viktor: Generational Development of Data Protection in Europe, in: Philip E. Agre/Marc Rotenberg (Hrsg.), Technology and Privacy: The New Landscape, Cambridge (Massachusetts) 1998, S. 219 – 241. – Delete: The Virtue of Forgetting in the Digital Age, Princeton 2011. Meissner, Sebastian: Zertifizierungskriterien für das Datenschutzgütesiegel EuroPriSe, DuD 2008, S. 525 – 531. Meltzian, Daniel: Die Neugestaltung des Listenprivilegs – Datenschutzrechtliche Vorschriften zum Umgang mit personenbezogenen Daten für Zwecke der Werbung, DB 2009, S. 2643 – 2649. Merten, Detlef: Zur negativen Meinungsfreiheit, DÖV 1990, S. 761 – 769. Metallions, Alexander S.: Die europarechtskonforme Auslegung, Münster 1994. Metz, Rainer: Scoring – Licht im Tunnel, VuR 2009, S. 403 – 408. Meyer, Britta Iris: Europarechtskonformität der Regelungen des Telemediengesetzes, in: Jürgen Taeger (Hrsg.), Internet der Dinge – Digitalisierung von Wirtschaft und Gesellschaft, Tagungsband Herbstakademie 2015, Oldenburg 2015, S. 315 – 331. Meyer, Jürgen (Hrsg.): Charta der Grundrechte der Europäischen Union, 4. Aufl., Baden-Baden 2014. Meyer, Thomas: Die Logik des Politischen, in: ders. (Hrsg.), Was ist Politik?, 3. Aufl., Wiesbaden 2010, S. 80 – 129. Michel, Walther: Das Verhältnis zwischen Art. 7 und Art. 8 GRCh – zur Bestimmung der Grundlage des Datenschutzgrundrechts im EU-Recht, DuD 2017, S. 349 – 353. Miller, Arthur Raphael: The Assault on Privacy – Computers, Data Banks, and Dossiers, Michigan 1971.
Literaturverzeichnis
291
Moos, Flemming: Die Entwicklung des Datenschutzrechts im Jahr 2009, K&R 2010, S. 166 – 173. – Die Entwicklung des Datenschutzrechts im Jahr 2011, K&R 2012, S. 151 – 159. Müller, Christa: Inhalt und Funktion der Privatsphäre – eine kritische Darstellung, DSWR 1973, S. 50 – 57. Müller, Friedrich: Strukturierende Rechtslehre, 2. Aufl., Berlin 1994. Münch, Peter: Hinweise zu technisch-organisatorischen Maßnahmen bei der Umsetzung des Teledienstedatenschutzgesetzes (TDDSG), RDV 1997, S. 245 – 246. – Lässt der Entwurf einer Europäischen Datenschutz-Grundverordnung eine Modernisierung des technisch-organisatorischen Datenschutzes erwarten?, RDV 2012, S. 72 – 77. Mutius, Albert von: Verfassungsrechtliche Grenzen der Einwilligung im Datenschutzrecht – Datenschutz und Datensicherheit zwischen subjektiv-rechtlicher Gewährleistung und objektiv-rechtlichem Schutzauftrag, in: Johann Bizer/Albert von Mutius/Thilo Weichert (Hrsg.), Innovativer Datenschutz 1992 – 2004, Wünsche, Wege, Wirklichkeit – Für Helmut Bäumler, Kiel 2004, S. 101 – 128. Mütsch, Burkard: Der geänderte EU-Datenschutzrichtlinien-Vorschlag und der Änderungsvorschlag der dänischen, deutschen, irischen und britischen Ratsgruppen-Delegationen, RDV 1994, S. 67 – 71. Nebel, Maxi: Schutz der Persönlichkeit – Privatheit oder Selbstbestimmung? Verfassungsrechtliche Zielsetzungen im deutschen und europäischen Recht, ZD 2015, S. 517 – 522. Nettesheim, Martin: Auslegung und Fortbildung nationalen Rechts im Lichte des Gemeinschaftsrechts, AöR 119 (1994), S. 261 – 293. Nguyen, Alexander M.: Die Verhandlungen um die EU-Datenschutzgrundverordnung unter litauischer Ratspräsidentschaft, RDV 2014, S. 26 – 30. Nietsch, Thomas: Zur Überprüfung der Einhaltung des Datenschutzrechts durch Verbraucherverbände, CR 2014, S. 272 – 278. Nolte, Norbert: Zum Recht auf Vergessen im Internet – Von digitalen Radiergummis und anderen Instrumenten, ZRP 2011, S. 236 – 240. Ocak, Onur/Fisahn, Andreas: Das Recht auf informationelle Selbstbestimmung – Entstehung, Grundzüge und aktuelle Probleme, Ad Legendum 2016, S. 152 – 158. Ohlenburg, Anna: Die neue Datenschutzrichtlinie 2002/58/EG – Auswirkungen und Neuerungen für elektronische Kommunikation, MMR 2003, S. 82 – 86. Osswald, Albert: Datenschutz – ein hessisches Modell, IBM-Nachrichten 20 (1970), S. 379 – 382. Ott, Stephan: Datenschutzrechtliche Zulässigkeit von Webtracking?, K&R 2009, S. 308 – 313. Pahlen-Brandt, Ingrid: Zur Personenbezogenheit von IP-Adressen, K&R 2008, S. 286 – 290. Papendorf, Mareike/Lepperhoff, Niels: Bedeutung der jüngsten Änderungen des § 13 Abs. 7 TMG, DuD 2016, S. 107 – 110. Pernice, Ina Maria: Die Telekommunikationsüberwachungsverordnung (TKÜV), DuD 2002, S. 207 – 211.
292
Literaturverzeichnis
Petri, Thomas B.: Sind Scorewerte rechtswidrig?, DuD 2003, S. 631 – 636. – Déjà vu – datenschutzpolitische Aufarbeitung der PRSIM-Affäre – Appell nach mehr Transparenz der nachrichtendienstlichen Tätigkeit, ZD 2013, S. 557 – 561. Pfeifer, Wolfgang/Braun, Wilhelm: Etymologisches Wörterbuch des Deutschen, Bd. 1, A – L, 2. Aufl., Berlin 1993. Pflüger, Almut: Datenschutz in der Markt- und Meinungsforschung, RDV 2010, S. 101 – 106. Piltz, Gisela/Holländer, Corinna: Scoring als modernes Orakel von Delphi – Wie die geplante Änderung des Bundesdatenschutzgesetzes (BDSG) Transparenz und Rechtssicherheit schaffen will, ZRP 2008, S. 143 – 146. Pitschas, Rainer: Informationelle Selbstbestimmung zwischen digitaler Ökonomie und Internet – Zum Paradigmawandel des Datenschutzrechts in der globalen Informationsgesellschaft, DuD 1998, S. 139 – 149. Plath, Kai-Uwe (Hrsg.): Bundesdatenschutzgesetz. Kommentar zum BDSG sowie den datenschutzrechtlichen Regelungen des TMG und des TKG, 2. Aufl., Köln 2016. Platten, Nick: Background to and History of the Directive, in: David Bainbridge (Hrsg.), EC Data Protection Directive, London u. a. 1996, Chapter 2. Podlech, Adalbert: Verfassungsrechtliche Probleme öffentlicher Datenbanken, DÖV 1970, S. 473 – 475. – Datenschutz im Bereich der öffentlichen Verwaltung – Entwürfe eines Gesetzes zur Änderung des Grundgesetzes (Art. 75 GG) zur Einführung einer Rahmenkompetenz für Datenschutz und eines Bundesdatenschutz-Rahmengesetzes, Berlin 1973. – Die Trennung von politischer, technischer und fachlicher Verantwortung in EDV-unterstützten Informationssystemen, in: Wilhelm Steinmüller (Hrsg.), Informationsrecht und Informationspolitik, Bd. 1, Rechtstheorie und Informationsrecht, München u. a. 1976, S. 207 – 216. – Individualdatenschutz – Systemdatenschutz, in: Klaus Brückner/Gerhard Dalichau (Hrsg.), Beiträge zum Sozialrecht – Festgabe für Hans Grüner, Percha am Starnberger See 1982, S. 451 – 462. Podszun, Rupprecht/de Toma, Michael: Die Durchsetzung des Datenschutzes durch Verbraucherrecht, Lauterkeitsrecht und Kartellrecht, NJW 2016, S. 2987 – 2994. Pohle, Jan: EU-Datenschutz: Entwurf einer e-Privacy-VO, ZD-Aktuell 2017, 05452. Pohle, Jörg: Das Scheitern von Datenschutz by Design: Eine kurze Geschichte des Versagens, FIfF-Kommunikation 2015, S. 41 – 44. Pohlmann, Norbert: Zur Entwicklung einer IT-Sicherheitskultur – Wie das IT-Sicherheitsgesetz den gesellschaftlichen Umgang mit IT-Risiken fördern kann., DuD 2016, S. 38 – 42. Polenz, Sven: Verbraucherdatenschutz durch Selbstregulierung? US-amerikanische und europäische Ansätze, VuR 2012, S. 303 – 308. Poscher, Ralf: Grundrechte als Abwehrrechte – reflexive Regelung rechtlich geordneter Freiheit, Tübingen 2003. Potacs, Michael: Effet utile als Auslegungsgrundsatz, EuR 2009, S. 465 – 487.
Literaturverzeichnis
293
Pötters, Stephan: Primärrechtliche Vorgaben für eine Reform des Datenschutzrechts, RDV 2015, S. 10 – 16. Preusche, Burkhard: Das Verbot mit Erlaubnisvorbehalt als Regelungsinstrument, Frankfurt a.M. 1980. Raab, Charles D.: Co-Producing Data Protection, International Review of Law, Computers and Technology 1997, S. 11 – 24. Radlanski, Philip: Das Konzept der Einwilligung in der datenschutzrechtlichen Realität, Tübingen 2016. Rasmussen, Heike: Datenschutz im Internet – Gesetzgeberische Maßnahmen zur Verhinderung der Erstellung ungewollter Nutzerprofile im Web – Zur Neufassung des TDDSG, CR 2002, S. 36 – 45. Rath, Michael/Kuss, Christian/Bach, Simone: Das neue IT-Sicherheitsgesetz, K&R 2015, S. 437 – 440. Rebmann, Kurt: Der Einsatz verdeckt ermittelnder Polizeibeamter im Bereich der Strafverfolgung, NJW 1985, S. 1 – 6. Reif, Yvette: Entwurf eines Gesetzes zur Verbesserung der zivilrechtlichen Durchsetzung von verbraucherschützenden Vorschriften des Datenschutzrechts, RDV 2014, S. 206 – 207. Reimer, Franz: „… einfach wieder die Folgerungsweise des Polizeistaates“. Zur Unterscheidung von Aufgaben und Befugnissen im Polizeirecht, in: Dirk Heckmann/Ralf P. Schenke/ Gernot Sydow (Hrsg.), Verfassungsstaatlichkeit im Wandel – Festschrift für Thomas Würtenberger zum 70. Geburtstag, Berlin 2013, S. 1047 – 1066. Reisen, Andreas: Digitale Identität im Scheckkartenformat – Datenschutzvorkehrungen für den elektronischen Personalausweis, DuD 2008, S. 164 – 167. Renz, Hartmut T./Frankenberger, Melanie: Compliance und Datenschutz – Ein Vergleich der Funktionen unter Berücksichtigung eines risikobasierten Ansatzes, ZD 2015, S. 158 – 161. Richter, Philipp: Datenschutz durch Technik und die Grundverordnung der EU-Kommission, DuD 2012, S. 576 – 580. – Datenschutz zwecklos? – Das Prinzip der Zweckbindung im Ratsentwurf der DSGVO, DuD 2015, S. 735 – 740. – Instrumente zwischen rechtlicher Steuerung und technischer Entwicklung, DuD 2016, S. 89 – 93. Richter, Philipp/Nebel, Maxi: Datenschutz bei Internetdiensten nach der DS-GVO – Vergleich der deutschen Rechtslage mit dem Kommissionsentwurf, ZD 2012, S. 407 – 413. Ricke, Thorsten/Nüßing, Christoph: Perspektiven deutscher Netzpolitik, MMR-Aktuell 2010, 297942. Riegel, Reinhard: Zur Frage der Begründung einer Auskunftsverweigerung nach § 13 II BDSG, NVwZ 1983, S. 337 – 338. – Auf dem Weg zur europäischen Informations- und Technologiegemeinschaft (Teil 1), DSWR 1989, S. 36 – 43; (Teil 2), DSWR 1989, S. 65 – 68. – Europäische Gemeinschaft und Datenschutz, ZRP 1990, S. 132 – 135.
294
Literaturverzeichnis
– Gemeinschaftsrechtlicher Datenschutz – Entwurf einer EG-Datenschutzrichtlinie, CR 1991, S. 179 – 183. Ritter, Falko: De-Mail: Meilenstein in der Entwicklung der elektronischen Kommunikation?, VuR 2014, S. 334 – 342. Ritter, Franziska/Schwichtenberg, Simon: Die Reform des UKlaG zur Eliminierung des datenschutzrechtlichen Vollzugsdefizits – neuer Weg, neue Chancen?, VuR 2016, S. 95 – 102. Ritzer, Christoph: Verhaltensregeln (Code of Condutct) [sic] im Datenschutz – Gestaltungsmöglichkeiten für Unternehmen in Verbänden, in: Jürgen Taeger (Hrsg.), Big Data & Co – Neue Herausforderungen für das Informationsrecht, Tagungsband Herbstakademie 2014, Oldenburg 2014, S. 501 – 512. Roessler, Beate/Mokrosinska, Dorota: Social Dimensions of Privacy – Interdisciplinary Perspectives, Cambridge 2015. Rogall, Klaus: Moderne Fahndungsmethoden im Lichte gewandelten Grundrechtsverständnisses, GA 132 (1985), S. 1 – 27. Rogosch, Patricia Maria: Die Einwilligung im Datenschutzrecht, Baden-Baden 2013. Röhl, Hans Christian: Öffnung der öffentlich-rechtlichen Methode durch Internationalität und Interdisziplinarität: Erscheinungsformen, Chancen und Grenzen, VVDStRL 74 (2014), S. 7 – 38. Rohlf, Dietwalt: Der grundrechtliche Schutz der Privatsphäre – Zugleich ein Beitrag zur Dogmatik des Art. 2 Abs. 1 GG, Berlin 1980. Ronellenfitsch, Michael: Der Vorrang des Grundrechts auf informationelle Selbstbestimmung vor dem AEUV, DuD 2009, S. 451 – 461. – Fortentwicklung des Datenschutzes – Die Pläne der Europäischen Kommission, DuD 2012, S. 561 – 563. Roos, Philipp: Der Entwurf eines IT-Sicherheitsgesetzes – Regulierungsinhalte und ihre Übereinstimmung mit dem Richtlinienvorschlag der Kommission, K&R 2013, S. 769 – 775. – Der neue Entwurf eines IT-Sicherheitsgesetzes – Bewegung oder Stillstand?, MMR 2014, S. 723 – 730. Roßnagel, Alexander: Offene Rechtsfragen des Signaturgesetzes, MMR 1998, S. 75 – 79. – Elektronische Signaturen in Europa – Der Richtlinienvorschlag der Europäischen Kommission, MMR 1998, S. 331 – 337. – Audits stärken Datenschutzbeauftragte – Replik zum Beitrag „Datenschutzaudit“ von Drews und Kranz, DuD 2000, S. 231 – 232. – Allianz von Medienrecht und Informationstechnik – Hoffnungen und Herausforderungen, in: ders. (Hrsg.), Allianz von Medienrecht und Informationstechnik? – Ordnung in digitalen Medien durch Gestaltung der Technik am Beispiel von Urheberschutz, Datenschutz, Jugendschutz und Vielfaltschutz, Baden-Baden 2001, S. 17 – 35. – Neuordnung des Medienrechts – Neuer rechtlicher Rahmen für eine konvergente Technik?, Baden-Baden 2005. – Konflikte zwischen Informationsfreiheit und Datenschutz?, MMR 2007, S. 16 – 21.
Literaturverzeichnis
295
– Das Telemediengesetz – Neuordnung für Informations- und Kommunikationsdienste, NVwZ 2007, S. 743 – 748. – „Technikneutrale“ Regulierung: Möglichkeiten und Grenzen, in: Martin Eifert/Wolfgang Hoffmann-Riem (Hrsg.), Innovationsfördernde Regulierung – Innovation und Recht II, Berlin 2009, S. 323 – 338. – Die Novellen zum Datenschutzrecht – Scoring und Adresshandel, NJW 2009, S. 2716 – 2722. – Verurteilung Deutschlands zur Neuorganisation seiner Datenschützer – Anmerkung zum Urteil des EuGH vom 09. 03. 2010 (Az.: C-518/07, abgedruckt in EuZW 2010, S. 296), EuZW 2010, S. 299 – 301. – Das Gebot der Datenvermeidung und -sparsamkeit als Ansatz wirksamen technikbasierten Persönlichkeitsschutzes?, in: Martin Eifert/Wolfgang Hoffmann-Riem (Hrsg.), Innovation, Recht und Öffentliche Kommunikation, Berlin 2011, S. 41 – 66. – Das De-Mail-Gesetz – Grundlage für mehr Rechtssicherheit im Internet, NJW 2011, S. 1473 – 1478. – Datenschutzgesetzgebung – Monopol oder Vielfalt?, DuD 2012, S. 553 – 555. – Unabhängigkeit der Datenschutzaufsicht – Zweites Gesetz zur Änderung des BDSG, ZD 2015, S. 106 – 111. – Wie zukunftsfähig ist die Datenschutz-Grundverordnung? – Welche Antworten bietet sie für die neuen Herausforderungen des Datenschutzrechts?, DuD 2016, S. 561 – 565. – Modernisierung des Datenschutzes – aber richtig!, Vortrag auf der Sommerakademie des ULD, 19. September 2016, abrufbar unter: https://datenschutzzentrum.de/uploads/sommer akademie/2016/SAK2016_Beitrag_Rossnagel_Stand-12. 09. 2016_web.pdf. – Europäische Datenschutz-Grundverordnung – Vorrang des Unionsrechts – Anwendbarkeit des nationalen Rechts, Baden-Baden 2017. – Entwurf einer E-Privacy-Verordnung – Licht und Schatten, ZRP 2017, S. 33. – Datenschutzgesetzgebung für öffentliche Interessen und den Beschäftigungskontext – Chancen für risikoadäquate Datenschutzregelungen?, DuD 2017, S. 290 – 294. Roßnagel, Alexander/Nebel, Maxi: Policy Paper – Die neue Datenschutz-Grundverordnung – Ist das Datenschutzrecht nun für heutige Herausforderungen gerüstet?, 2016, abrufbar unter: https://www.forum-privatheit.de/forum-privatheit-de/texte/veroeffentlichungen-des-forums/ positionspapiere-policy-paper/PolicyPaper-5-Die-neue-DSGVO_1.-Auflage_Mai_2016.pdf. Roßnagel, Alexander/Pfitzmann, Andreas/Garstka, Hansjürgen: Modernisierung des Datenschutzrechts – Gutachten im Auftrag des Bundesministeriums des Innern, Berlin 2001. – Modernisierung des Datenschutzrechts, DuD 2001, S. 253 – 263. Roßnagel, Alexander/Richter, Philipp/Nebel, Maxi: Besserer Internetdatenschutz für Europa – Vorschläge zur Spezifizierung der DS-GVO, ZD 2013, S. 103 – 108. – Was bleibt vom Europäischen Datenschutzrecht? – Überlegungen zum Ratsentwurf der DSGVO, ZD 2015, S. 455 – 460. Roßnagel, Alexander/Schnabel, Christoph: Das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme und sein Einfluss auf das Privatrecht, NJW 2008, S. 3534 – 3538.
296
Literaturverzeichnis
Roth, Hans-Peter: Neuer Referentenentwurf zum IT-Sicherheitsgesetz – Dringende Neuregelung der Netz- und Informationssicherheit, ZD 2015, S. 17 – 22. Rubinstein, Ira S.: Regulating Privacy by Design, Berkeley Technology Law Journal 2011, S. 1409 – 1456. Rublack, Susanne: Terrorismusbekämpfungsgesetz – Neue Befugnisse für die Sicherheitsbehörden, DuD 2002, S. 202 – 206. Ruckriegel, Werner: Das Bundesdatenschutzgesetz – erste Konsequenzen, ÖVD 1976, S. 350 – 355. Rüpke, Giselher: Der verfassungsrechtliche Schutz der Privatheit – Zugleich ein Versuch pragmatischen Grundrechtsverständnisses, Baden-Baden 1976. – Perspektiven für ein europäisches Datenschutzrecht – Eine Betrachtung aus deutscher Sicht, EuZW 1993, S. 149 – 156. Sasse, Christoph: Sinn und Unsinn des Datenschutzes, Karlsruhe 1976. – Das Bundesdatenschutzgesetz – Licht und Schatten, in: Schimmelpfeng GmbH (Hrsg.), Aktuelle Beiträge über den Datenschutz, Frankfurt a.M. 1977, S. 75 – 87. Schaar, Peter: Datenschutzrechtliche Einwilligung im Internet, MMR 2001, S. 644 – 648. – Datenschutz im Internet – Die Grundlagen, München 2002. – Neuer Datenschutz für TeleMediendienste, DuD 2002, S. 4. – Minimalprogramm in Sachen Datenschutz, MMR 2014, S. 641 – 642. – Persönlichkeitsrechte im Internet: Zwischen Transparenz und Privatsphäre, in: Joachim Hruschka/Jan C. Joerden (Hrsg.), Jahrbuch für Recht und Ethik 23 (2015), S. 245 – 256. – ABDSG-Entwurf: Gesetz zur Aufweichung des Bundesdatenschutzgesetzes?, 7. September 2016, abrufbar unter: https://www.eaid-berlin.de/?p=1309. Schaar, Peter/Landwehr, Sebastian: Anmerkung zum Beschluss des BGH vom 31. 1. 2007 – StB 18/06 – zur verdeckten Online-Durchsuchung, K&R 2007, 158 ff., K&R 2007, S. 202 – 205. Schadow, Helmut: Telekommunikationsdienstunternehmen-Datenschutzverordnung – Zielsetzung, Inhalt, Anwendung, RDV 1997, S. 51 – 59. Schallbruch, Martin: Die EU-Richtlinie über Netz- und Informationssicherheit: Anforderungen an digitale Dienste – Wie groß ist der Umsetzungsbedarf der NIS-Richtlinie in deutsches Recht im Bereich digitaler Dienste?, CR 2016, S. 663 – 670. Schantz, Peter: Die Datenschutz-Grundverordnung – Beginn einer neuen Zeitrechnung im Datenschutzrecht, NJW 2016, S. 1841 – 1847. Schapper, Claus Henning: Rechtsstaatliche Fundierung der Informationsverarbeitung bei Sicherheitsbehörden und Nachrichtendiensten, DRiZ 1987, S. 221 – 225. Schenke, Wolf-Rüdiger/Graulich, Kurt/Ruthig, Josef (Hrsg.): Sicherheitsrecht des Bundes – BPolG, BKAG, ATDG, BVerfSchG, BNDG, VereinsG, München 2014. Scherer, Joachim: Zum Datenzugang im Bereich der öffentlichen Verwaltung – Organisations-, Entscheidungs- und Verfahrensprobleme eines deutschen Datenzugangsgesetzes, DuD 1982, S. 14 – 20.
Literaturverzeichnis
297
– Rechtsprobleme des Staatsvertrags über Bildschirmtext, NJW 1983, S. 1832 – 1838. Scheuring, Michael: Das Gesetz zur Änderung datenschutzrechtlicher Vorschriften – die richtige Antwort auf die Datenskandale?, NVwZ 2010, S. 809 – 811. Schild, Hans-Hermann: Zur Novellierung des BDSG – Ein Problemanriß offener Fragen, DuD 1997, S. 720 – 723. – Die Richtlinie über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre im Bereich der Telekommunikation, EuZW 1999, S. 69 – 74. – Die völlige Unabhängigkeit der Aufsichtsbehörden aus europarechtlicher Sicht – zugleich Überlegungen, die bestehende Vertragsverletzung im Bereich der Kontrollbehörden nach Art. 28 EG-DS-RiLi der Bundesrepublik Deutschland endlich zu beenden, DuD 2010, S. 549 – 553. Schild, Hans-Hermann/Tinnefeld, Marie-Theres: Datenschutz in der Union – Gelungene oder missglückte Gesetzentwürfe?, DuD 2012, S. 312 – 317. Schlegel, Stephan: Warum die Festplatte keine Wohnung ist – Art. 13 GG und die „OnlineDurchsuchung“, GA 2007, S. 648 – 663. Schleipfer, Stefan: Das 3-Schichten-Modell des Multimediadatenschutzrechts, DuD 2004, S. 727 – 733. Schliesky, Ute u. a. (Hrsg.): Schutzpflichten und Drittwirkung im Internet – Das Grundgesetz im digitalen Zeitalter, Baden-Baden 2014. Schmidl, Matthias: Die österreichische Datenschutzkommission erfüllt nach Ansicht des Gerichtshofs der Europäischen Union nicht das Kriterium der „völligen“ Unabhängigkeit – Kommission ./. Republik Österreich, EuGH (Große Kammer), Urteil vom 16. Oktober 2012, C-614/10, ELR 2012, S. 291 – 293. Schmidt, Bernd: Arbeitnehmerdatenschutz gemäß § 32 BDSG – Eine Neuregelung (fast) ohne Änderung der Rechtslage, RDV 2009, S. 193 – 200. Schmidt, Walter: Die bedrohte Entscheidungsfreiheit, JZ 1974, S. 241 – 250. Schmidt-Aßmann, Eberhard: Das allgemeine Verwaltungsrecht als Ordnungsidee – Grundlagen und Aufgaben der verwaltungsrechtlichen Systembildung, 2. Aufl., Berlin 2006. Schmitz, Wolfgang: Die Gesetzesflut – Folge und Ausdruck der Überforderung des Staates, in: Vorstand des Österreichischen Juristentages (Hrsg.), Verhandlungen des siebten Österreichischen Juristentages Salzburg 1979, Bd. 1, Wien 1980, 1. Teil B. Schneider, Hans: Verfassungsrechtliche Beurteilung des Volkszählungsgesetzes 1983, DÖV 1984, S. 161 – 164. Schneider, Jochen: Hemmnis für einen modernen Datenschutz: Das Verbotsprinzip. Modernisierung des BDSG mit einem neuen Ansatz – und mit 12 Thesen zu einem Stufenmodell, AnwBl. 2011, S. 233 – 239. Scholand, Markus: Videoüberwachung und Datenschutz. Nur ein Thema am Rande?, DuD 2000, S. 202 – 203. Schomerus, Rudolf: Das informationelle Selbstbestimmungsrecht in neueren Datenschutzgesetzentwürfen, RDV 1986, S. 61 – 66.
298
Literaturverzeichnis
Schreiber, Frank: Das Regelungsmodell der Genehmigung im integrierten Umweltschutz – Ein Beitrag zur Lehre vom Verbot mit Erlaubnisvorbehalt unter besonderer Berücksichtigung der Richtlinie 96/61/EG vom 24. September 1996 über die integrative Vermeidung und Verminderung der Umweltverschmutzung, Berlin 2000. Schröder, Markus: Datenschutz als Wettbewerbsvorteil – Es ist an der Zeit!, ZD 2012, S. 193 – 194. – Selbstregulierung im Datenschutzrecht – Notwehr oder Konzept? – Das Verhältnis zwischen Gesetzgebung und selbstregulatorischen Ansätzen, ZD 2012, S. 418 – 421. Schueler, Hans: Neue Zumutung – Wieder Ärger über Zimmermanns Pläne, Die Zeit vom 29. Januar 1988, abrufbar unter: http://www.zeit.de/1988/05/neue-zustimmung. Schulte, Laura: Eine kurze Geschichte des britischen Datenschutzrechts – Ein Überblick über die Entwicklung der Datenschutz-Policy der britischen Regierung und des britischen Privacy-Case Laws seit 1960, ZNR 2015, S. 272 – 290. – Kommentar zu OLG Düsseldorf, I-20 U 40/60, K&R 2017, S. 196 ff. – Like-Button, K&R 2017, S. 198 – 199. Schulz, Gabriel: Das neue IT-Grundrecht – staatliche Schutzpflichten und Infrastrukturverantwortung, DuD 2012, S. 395 – 400. Schulz, Sebastian: Privacy by Design – Datenschutz durch Technikgestaltung im nationalen und europäischen Kontext, CR 2012, S. 204 – 208. – Datenschutz als überindividuelles Interesse – Anmerkungen zur geplanten Reform des UKlaG, ZD 2014, S. 510 – 514. Schumacher, Pascal: Innovationsregulierung im Recht der netzgebundenen Elektrizitätswirtschaft, Baden-Baden 2009. Schweizer, Rainer J.: Die Rechtsprechung des Europäischen Gerichtshofes für Menschenrechte zum Persönlichkeits- und Datenschutz, DuD 2009, S. 462 – 468. Schweizer, Robert: Kernprobleme des Bundesdatenschutzgesetzes (Teil 1), DB 1977, S. 289 – 294; (Teil 2), DB 1977, S. 337 – 339. Seidel, Ulrich: Persönlichkeitsrechtliche Probleme der elektronischen Speicherung privater Daten, NJW 1970, S. 1581 – 1583. – Datenbanken und Persönlichkeitsrecht – unter besonderer Berücksichtigung der amerikanischen Computer Privacy, Köln 1972. Seipel, Peter: Transborder Flows of Personal Data. Reflections on the OECD-Guidelines, Transnational Data Report 1981, S. 32 – 44. Selk, Robert/Gierschmann, Sibylle: Stellungnahme der DGRI zum Entwurf eines Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz), CR 2015, S. 273 – 276. Sevignani, Sebastian: Privacy and Capitalism in the Age of Social Media, New York 2016. Siemen, Birte: Grundrechtsschutz durch Richtlinien / Die Fälle Österreichischer Rundfunk u. a. und Lindqvist – Anmerkungen zu den Urteilen des Europäischen Gerichtshofes in den verbundenen Rechtssachen C-465/00, C-138/01 und C-139/01 und C-101/01, EuR 2004, Rn. 306 – 321 –, EuR 2004, S. 306 – 321.
Literaturverzeichnis
299
– Datenschutz als europäisches Grundrecht, Berlin 2006. Simic´-Draws, Daniela u. a.: Holistic and Law Compatible IT Security Evaluation: Integration of Common Criteria, ISO 27001/IT-Grundschutz and KORA, International Journal of Information Security and Privacy 2013, S. 16 – 35. Simitis, Spiros: Informationskrise des Rechts und Datenverarbeitung, Karlsruhe 1970. – Chancen und Gefahren der elektronischen Datenverarbeitung – Zur Problematik des „Datenschutzes“, NJW 1971, S. 673 – 682. – Datenschutz – Verteidigung der Privatsphäre, in: Johannes Schlemmer (Hrsg.), Verlust der Intimität, München 1976, S. 67 – 78. – Bundesdatenschutzgesetz – Ende der Diskussion oder Neubeginn?, NJW 1977, S. 729 – 737. – Das informationelle Selbstbestimmungsrecht – Grundbedingung einer verfassungskonformen Informationsordnung, NJW 1984, S. 398 – 405. – Reicht unser Datenschutzrecht angesichts der technischen Revolution? – Strategien zur Wahrung der Freiheitsrechte, in: Andreas von Schoeler (Hrsg.), Informationsgesellschaft oder Überwachungsstaat? – Strategien zur Wahrung der Freiheitsrechte im Computerzeitalter, Opladen 1986, S. 21 – 41. – Datenschutz und Europäische Gemeinschaft, RDV 1990, S. 3 – 23. – „Sensitive Daten“ – Zur Geschichte und Wirkung einer Fiktion, in: Ernst Brem u. a. (Hrsg.), Festschrift zum 65. Geburtstag von Mario M. Pedrazzini, Bern 1990, S. 469 – 493. – Vom Markt zur Polis: Die EU-Richtlinie zum Datenschutz, in: Marie-Theres Tinnefeld/ Lothar Philipps/Susanne Heil (Hrsg.), Informationsgesellschaft und Rechtskultur in Europa – informationelle und politische Teilhabe in der Europäischen Union, Baden-Baden 1995, S. 51 – 72. – Die EU-Datenschutzrichtlinie – Stillstand oder Anreiz?, NJW 1997, S. 281 – 288. – Datenschutz – Rückschritt oder Neubeginn?, NJW 1998, S. 2473 – 2479. – Das Volkszählungsurteil oder der lange Weg zur Informationsaskese – (BVerfGE 65, 1), KritV 2000, S. 359 – 375. – Bundesdatenschutzgesetz, 8. Aufl., Baden-Baden 2014. Simitis, Spiros/Walz, Stefan: Das neue Hessische Datenschutzgesetz, RDV 1987, S. 157 – 169. Skipper, Andrew: Perspektiven für ein europäisches Datenschutzrecht – A U. K. Perspective, EuZW 1993, S. 145 – 149. Skouris, Vassilios: Leitlinien der Rechtsprechung des EuGH zum Datenschutz, NVwZ 2016, S. 1359 – 1364. Sofiotis, Ilias I.: Das Recht auf Vergessen im Spannungsfeld von Datenschutz und Informationsfreiheit, VR 2015, S. 84 – 89. SPD/Bündnis 90/Die GRÜNEN: Aufbruch und Erneuerung – Deutschlands Weg ins 21. Jahrhundert, Koalitionsvereinbarung zwischen der Sozialdemokratischen Partei Deutschlands und Bündnis 90/Die GRÜNEN, Bonn 20. Oktober 1998, abrufbar unter: https://www.spd.de/fileadmin/Dokumente/Beschluesse/Bundesparteitag/koalitionsvertrag_ bundesparteitag_bonn_1998.pdf.
300
Literaturverzeichnis
– Koalitionsvertrag 2002 – 2006: Erneuerung – Gerechtigkeit – Nachhaltigkeit, Für ein wirtschaftlich starkes, soziales und ökologisches Deutschland. Für eine lebendige Demokratie, Berlin 16. Oktober 2002, abrufbar unter: https://www.nachhaltigkeit.info/media/1248173 898php7wc9Pc.pdf. Specht, Louisa: Konsequenzen der Ökonomisierung informationeller Selbstbestimmung – Die zivilrechtliche Erfassung des Datenhandels, Köln 2012. Spindler, Gerald: Verbandsklagen und Datenschutz – das neue Verbandsklagerecht – Neuregelungen und Probleme, ZD 2016, S. 114 – 119. – Selbstregulierung und Zertifizierungsverfahren nach der DS-GVO, ZD 2016, S. 407 – 414. Spindler, Gerald/Schmitz, Peter/Geis, Ivo: Teledienstegesetz, Teledienstedatenschutzgesetz, Signaturgesetz, München 2004. Ständige Deputation des Deutschen Juristentages (Hrsg.): Grundsätze für eine gesetzliche Regelung des Datenschutzes: Bericht der Datenschutzkommission des Deutschen Juristentages, München 1974. Starck, Christian: Die Rechtswissenschaft in der Zukunft, in: Carl-Eugen Eberle/Martin Ibler/ Dieter Lorenz (Hrsg.), Der Wandel des Staates vor den Herausforderungen der Gegenwart. Festschrift für Winfried Brohm zum 70. Geburtstag, München 2002, S. 567 – 583. Steidle, Roland/Pordesch, Ulrich: Im Netz von Google. Web-Tracking und Datenschutz, DuD 2008, S. 324 – 329. Steinbach, Robert: Die Umsetzung der EG-Richtlinie Datenschutz im Sozialgesetzbuch, NZS 2002, S. 15 – 25. Steinmüller, Wilhelm: Diskussion um das Datenschutzgesetz – Staatswohl vor Bürgerrechten?, bdw 1976, S. 76 – 80. – Informationsrecht und Informationspolitik, in: ders. (Hrsg.), Informationsrecht und Informationspolitik, Bd. 1, Rechtstheorie und Informationsrecht, München u. a. 1976, S. 1 – 20. – Datenverkehrsrecht oder Informationelles Selbstbestimmungsrecht des Bürgers? – Tendenzen und Probleme der Informationsautomation, in: Robert Hansen/Klaus Theo Schröder/ Herrmann Joachim Weihe (Hrsg.), Mensch und Computer – Zur Kontroverse über die ökonomischen und gesellschaftlichen Auswirkungen der EDV, München 1979, S. 137 – 148. Steinmüller, Wilhelm/Arbeitsgruppe Rechtsinformatik an der Universität Regensburg: EDV und Recht: Einführung in die Rechtsinformatik, JA-Sonderheft, Berlin 1970. Stern, Klaus/Sachs, Michael (Hrsg.): Europäische Grundrechte-Charta, München 2016. Stickelbrock, Barbara: „Impressumspflicht“ im Internet – eine kritische Analyse der neueren Rechtsprechung zur Anbieterkennzeichnung nach § 6 TDG, GRUR 2004, S. 111 – 117. Stögmüller, Thomas: Vertraulichkeit und Integrität informationstechnischer Systeme in Unternehmen – Ausstrahlungswirkungen des „neuen“ Grundrechts in die Privatwirtschaft, CR 2008, S. 435 – 439. Sydow, Gernot/Kring, Markus: Die Datenschutzgrundverordnung zwischen Technikneutralität und Technikbezug – Konkurrierende Leitbilder für den europäischen Rechtsrahmen, ZD 2014, S. 271 – 276. Taeger, Jürgen (Hrsg.): Die Volkszählung, Reinbek 1983.
Literaturverzeichnis
301
– Der neue Personalausweis, Reinbek 1984. – Big Data & Co. – Neue Herausforderungen für das Informationsrecht, Tagungsband Herbstakademie 2014, Oldenburg 2014. Taeger, Jürgen/Gabel, Detlev (Hrsg.): Kommentar zum BDSG und den Datenschutzvorschriften des TKG und TMG, 2. Aufl., Frankfurt a.M. 2013. Taraz, Daniel: Das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme und die Gewährleistung digitaler Privatheit im grundrechtlichen Kontext – Wegbereiter für eine digitale Privatsphäre?, Hamburg 2016. Tauss, Jörg/Özdemir, Cem: Umfassende Modernisierung des Datenschutzrechtes in zwei Stufen, RDV 2000, S. 143 – 146. Tettenborn, Alexander: Die Evaluierung des IuKDG – Erfahrungen, Erkenntnisse und Schlußfolgerungen, MMR 1999, S. 516 – 522. Thoma, Florian: Risiko im Datenschutz – Stellenwert eines systematischen Risikomanagements in BDSG und DS-GVO-E, ZD 2013, S. 578 – 581. Thomé, Sarah: Die Unabhängigkeit der Bundesdatenschutzaufsicht, VuR 2015, S. 130 – 133. Tiedemann, Klaus/Sasse, Christoph: Delinquenzprophylaxe, Kreditsicherung und Datenschutz in der Wirtschaft, Köln u. a. 1973. Tinnefeld, Marie-Theres: Die Novellierung des BDSG im Zeichen des Gemeinschaftsrechts, NJW 2001, S. 3078 – 3083. Towfigh, Emanuel V.: Das Parteien-Paradox – Ein Beitrag zur Bestimmung des Verhältnisses von Demokratie und Parteien, Tübingen 2015. Trute, Hans-Heinrich: Öffentlich-rechtliche Rahmenbedingungen einer Informationsordnung, VVDStRL 57 (1998), S. 216 – 273. – Der Schutz personenbezogener Daten in der Informationsgesellschaft, JZ 1998, S. 822 – 831. – Verfassungsrechtliche Grundlagen, in: Alexander Roßnagel (Hrsg.), Handbuch Datenschutzrecht – Die neuen Grundlagen für Verwaltung und Wirtschaft, München 2003, Kap. 2.5. ULD/GP Forschungsgruppe (Hrsg.): Scoring nach der Datenschutz-Novelle 2009 und neue Entwicklungen, Abschlussbericht Az.: 314 – 06.01 – 2812HS021, Kiel/München 2014, abrufbar unter: https://www.bmjv.de/SharedDocs/Downloads/DE/PDF/Scoring-Studie.pdf?__ blob=publicationFile&v=3. Ulrich, Otto: Leitbildwechsel: dem (sicherheits-)technologisch aktivierten Datenschutz gehört die Zukunft, DuD 1996, S. 664 – 671. Veil, Winfried: DS-GVO: Risikobasierter Ansatz statt rigides Verbotsprinzip – Eine erste Bestandsaufnahme, ZD 2015, S. 347 – 353. Vieweg, Klaus (Hrsg.): Techniksteuerung und Recht – Referate und Diskussionen eines Symposiums an der Universität Erlangen-Nürnberg, Köln u. a. 2000. Vogelgesang, Klaus: Grundrecht auf informationelle Selbstbestimmung? (Studien und Materialien zur Verfassungsgerichtsbarkeit), Baden-Baden 1987.
302
Literaturverzeichnis
Vogt, Ute/Tauss, Jörg: Entwurf für ein Eckwerte-Papier der SPD-Bundestagsfraktion: Modernes Datenschutzrecht für die (globale) Wissens- und Informationsgesellschaft 1998, abrufbar unter: http://docplayer.org/13693648-Entwurf-fuer-ein-eckwerte-papier-der-spdbundestagsfraktion-modernes-datenschutzrecht-fuer-die-globale-wissens-und-informationsge sellschaft.html. Voigt, Paul/Gehrmann, Mareike: Die europäische NIS-Richtlinie – Neue Vorgaben zur Netzund IT-Sicherheit, ZD 2016, S. 355 – 358. Voigt, Paul/Klein, David: Deutsches Datenschutzrecht als „blocking statute“? Auftragsverarbeitung unter dem USA Patriot Act, ZD 2013, S. 16 – 20. Volkmann, Uwe: Leitbildorientierte Verfassungsanwendung, AöR 134 (2009), S. 157 – 196. Voßkuhle, Andreas: Neue Verwaltungsrechtswissenschaft, in: Wolfgang Hoffmann-Riem/ Eberhard Schmidt-Aßmann/Andreas Voßkuhle (Hrsg.), Grundlagen des Verwaltungsrechts, Bd. 1, Methoden, Maßstäbe, Aufgaben, Organisation, 2. Aufl., München 2012, § 1. Wächter, Michael: Falsifikation und Fortschritt im Datenschutzrecht – Qualitätsmanagement und Haftung im privaten Datenschutzrecht, Berlin 2000. Waldhoff, Christian: Kritik und Lob der Dogmatik: Rechtsdogmatik im Spannungsfeld von Gesetzesbindung und Funktionsorientierung, in: Gregor Kirchhof/Stefan Magen/Karsten Schneider (Hrsg.), Was weiß Dogmatik? – Was leistet und wie steuert die Dogmatik des Öffentlichen Rechts?, Tübingen 2012, S. 17 – 38. Walkenhaus, Ralf u. a. (Hrsg.): Staat im Wandel – Festschrift für Rüdiger Voigt zum 65. Geburtstag, Stuttgart 2006. Walz, Stefan: Das neue Bundesdatenschutzgesetz – Kompromiß als Leitprinzip, CR 1991, S. 364 – 369. Wambach, Tim/Schulte, Laura/Knorr, Konstantin: Einbettung von Drittinhalten im Web – Eine technische und rechtliche Betrachtung, DuD 2016, S. 523 – 527. Warntjen, Maximilian: Heimliche Zwangsmaßnahmen und der Kernbereich privater Lebensgestaltung – Eine Konzeption im Anschluss an das Urteil des Bundesverfassungsgerichts zur akustischen Wohnraumüberwachung, BVerfGE 109, 279, Baden-Baden 2007. – Die verfassungsrechtlichen Anforderungen an eine gesetzliche Regelung der OnlineDurchsuchung, Jura 2007, S. 581 – 585. Warren, Samuel D./Brandeis, Louis D.: The Right to Privacy, Harvard Law Review 1890, S. 193 – 220. Weber, Beatrix/Buschermöhle, Heinrich: Rechtssicherheit durch Technische Sicherheit: ITCompliance als dauerhafter Prozess, CB 2016, S. 339 – 343. Weber, Hermann: 48. Deutscher Juristentag in Mainz – Vom 1970 – 09 – 22 bis 1970 – 09 – 25 in Mainz, JuS 1970, S. 644 – 649. Weber, Jörg-Andreas: Google „Street View“ und ähnliche Geo-Datendienste im Internet aus zivilrechtlicher Sicht, NJOZ 2011, S. 673 – 676. Weber, Martina: EG-Datenschutzrichtlinie – Konsequenzen für die deutsche Datenschutzgesetzgebung, CR 1995, S. 297 – 303.
Literaturverzeichnis
303
– Der betriebliche Datenschutzbeauftragte im Lichte der EG-Datenschutzrichtlinie, DuD 1995, S. 698 – 702. Weichert, Thilo: Audio- und Videoüberwachung – Kontrolltechniken im öffentlichen Raum, CILIP 1998, S. 12 – 19. – Der Entwurf eines Bundesdatenschutzgesetzes von Bündnis 90/Die Grünen, RDV 1999, S. 65 – 69. – Rechtsfragen der Videoüberwachung, DuD 2000, S. 662 – 669. – Private Videoüberwachung und Datenschutzrecht, Detektiv-Kurier 2001, S. 9 – 17. – Die Ökonomisierung des Rechts auf informationelle Selbstbestimmung, NJW 2001, S. 1463 – 1469. – Datenschutzrechtliche Anforderungen an Verbraucher-Kredit-Scoring, DuD 2005, S. 582 – 587. – Scoring – Die statistische Verbraucherdiskriminierung, in: Till Müller-Heidelberg u. a. (Hrsg.), Grundrechte-Report 2006 – Zur Lage der Bürger- und Menschenrechte in Deutschland, Frankfurt a.M. 2006, S. 37 – 39. – Geodaten – datenschutzrechtliche Erfahrungen, Erwartungen und Empfehlungen, DuD 2009, S. 347 – 352. – Datenschutz bei Internetveröffentlichungen, VuR 2009, S. 323 – 330. – Datenschutzverstoß als Geschäftsmodell – der Fall Facebook, DuD 2012, S. 716 – 721. – Datenschutz im Auto – Teil 1 – Das KfZ als großes Smartphone mit Rädern, SVR 2014, S. 201 – 207. Weiler, Joseph H. H.: The Transformation of Europe, The Yale Law Journal 1991, S. 2403 – 2483. Weise, Michael/Brühl, Stefan: Auswirkungen eines künftigen IT-Sicherheitsgesetzes auf Betreiber Kritischer Infrastrukturen – Herausforderungen für Strom- und Gasnetzbetreiber bei der verpflichtenden Implementierung eines ISMS nach ISO 27001 ff., CR 2015, S. 290 – 294. Westin, Alan F.: Privacy and Freedom, New York 2015. Westin, Alan F./Baker, Michael A.: Databanks in a Free Society – Computers, Record-Keeping and Privacy – A Project of the Computer Science and Engineering Board, National Academy of Sciences, New York 1972. Wewer, Göttrik: Leitbilder und Verwaltungskultur, in: Bernhard Blanke/Stephan von Bandemer/Göttrik Wewer (Hrsg.), Handbuch zur Verwaltungsreform, 2. Aufl., Opladen 2001, S. 155 – 163. Wichtermann, Marco: Die Datenschutz-Folgenabschätzung in der DS-GVO – Die Folgenabschätzung als Nachfolger der Vorabkontrolle, DuD 2016, S. 797 – 801. Wieacker, Franz: Zur praktischen Leistung der Rechtsdogmatik, in: Rüdiger Bubner/Konrad Cramer/Reiner Wiehl (Hrsg.), Hermeneutik und Dialektik – Hans-Georg Gadamer zum 70. Geburtstag, Bd. 2, Sprache und Logik, Theorie der Auslegung und Probleme der Einzelwissenschaften, Tübingen 1970, S. 311 – 336.
304
Literaturverzeichnis
Wieczorek, Mirko: Der räumliche Anwendungsbereich der EU-Datenschutz-Grundverordnung – Ein Vergleich von § 1 Abs. 5 BDSG mit Art. 3 DS-GVO-E, DuD 2013, S. 644 – 649. Wilhelm, Maria: Auskunftsansprüche in der Informationsgesellschaft – Zur Pfadabhängigkeit der individuellen Rechtsdurchsetzung, DÖV 2016, S. 899 – 905. Wind, Irene/Siegert, Michael: Datenschutzrichtlinie der EG – mögliche Auswirkungen auf das BDSG, RDV 1992, S. 118 – 121. – Entwurf für eine EG-Richtlinie zum Datenschutz – Ein Überblick, CR 1993, S. 46 – 55. Wischmeyer, Thomas: Überwachung ohne Grenzen – Zu den rechtlichen Grundlagen nachrichtendienstlicher Tätigkeiten in den USA, Baden-Baden 2017. Witt, Thorsten/Freudenberg, Philipp: NIS-Richtlinie – Die Richtlinie über Maßnahmen zur Gewährleistung einer hohen gemeinsamen Netz- und Informationssicherheit (NIS) in der Union, CR 2016, S. 657 – 663. Wolfram, Dieter: „Underground Law?“ – Abgeleitete Rechtssetzung durch Komitologieverfahren in der EU: Bedeutung, Stand und Aussichten nach dem Vertrag von Lissabon, Freiburg 2009. Wolters, Sabine: Einkauf via Internet – Verbraucherschutz durch Datenschutz, DuD 1999, S. 277 – 280. Worms, Christoph: Das Internet und die Grundrechte – Neue Gewährleistungsplichten als Ausdruck von Verfassungswandel?, RuP 2009, S. 138 – 145. Wronka, Georg: Datenschutz heute und morgen – Anmerkungen zur Novellierungsdiskussion über das BDSG, in: Hans Gliss/Bernd Hentschel/Georg Wronka (Hrsg.), Betrieblicher Datenschutz aus betrieblicher, behördlicher und wissenschaftlicher Sicht – DAFTA-Tagungsband 10, Köln 1991, S. 239 – 248. Wuermeling, Ulrich: Referentenentwurf zur BDSG-Novelle liegt vor, DSB 1998, S. 1 – 3. – Skandalgesetz verschärft Datenschutz, NJW 37/2009, S. III. Wybitul, Tim: Welche Folgen hat die EU-Datenschutz-Grundverordnung für Compliance?, CCZ 2016, S. 194 – 198. Zahrnt, Christoph: 1. Kongreß der Bundesdatenschutz-Beauftragten [sic], NJW 1978, S. 1908. Zeiter, Anna/Moos, Flemming: Vorabwiderspruch bei Geodiensten – Gesetz oder Geste? – Zwischenbilanz anhand erster Gerichtsentscheidungen zu Google Street View, ZD 2013, S. 178 – 182. Ziebarth, Wolfgang: Demokratische Legitimation und Unabhängigkeit der deutschen Datenschutzbehörden – Warum das durch die Rechtsprechung des EuGH (Rs. C-518/07, CR 2010, 339 und Rs. C-614/10) Erreichte durch den Entwurf für eine Datenschutz-Grundverordnung gefährdet wird, CR 2013, S. 60 – 68. Zilkens, Martin: Behördlicher Datenschutzbeauftragter in Landes- und Kommunalbehörden Nordrhein-Westfalens, RDV 2001, S. 178 – 181. Zinke, Michaela: Eine Erweiterung der Verbandsklagebefugnisse auf datenschutzrechtliche Verstöße stärkt den Datenschutz in Zeiten von Big Data, in: Jürgen Taeger (Hrsg.), Big Data & Co – Neue Herausforderungen für das Informationsrecht, Tagungsband Herbstakademie 2014, Oldenburg 2014, S. 161 – 170.
Literaturverzeichnis
305
Zippelius, Reinhold: Verhaltenssteuerung durch Recht und kulturelle Leitideen, Berlin 2004. Zöllner, Wolfgang: Datenschutz- und Informationsschutz im Arbeitsverhältnis, Köln u. a. 1982. – Die gesetzgeberische Trennung des Datenschutzes für öffentliche und private Datenverarbeitung, RDV 1985, S. 3 – 16. Alle Internetquellen wurden zuletzt am 31. Dezember 2017 abgerufen.
Sachwortverzeichnis AGB 67, 74, 188, 226 Algorithmen 50 Allgemeines Bundesdatenschutzgesetz 243 Allgemeines Persönlichkeitsrecht 30, 34 f., 45, 61, 72, 79 Amazon 190, 231 Amtsgeheimnis 51, 84 Anonymität 140, 222 Aufklärungspflichten 74, 76 Berufsgeheimnis 51, 84 Beschäftigtendatenschutz 92, 98, 160 f., 176, 178, 230, 239 Betroffenenrechte 44, 47, 57 f., 63, 75, 81, 84, 88, 91, 103, 109, 114, 121, 125, 127, 131, 133, 149, 156, 189, 211, 215, 221, 228 – 230, 232, 238, 244, 246 f., 249, 253, 260 Bewegungsprofile 180 f. Big-Data 159, 219, 242, 251 Binnenmarkt 119, 129, 209, 214 f., 242 – digitaler 214 BITKOM 181 BSIG 105, 107 f., 203 Bundesdatenschutz-Rahmengesetz 41 ff. Chipkarten 149, 157, 245 Cloud-Computing 214, 220, 237, 242, 251 Code of Conduct 121, 132, 137, 155 Code of Practice 23, 136 Cookies 225, 231 Copyright 144 Cybersicherheitsrichtlinie 206 Datei 49, 51, 68, 84, 86, 103 f., 109, 116, 127 f., 199 – Begriff 72, 92, 98, 120 Daten – freie 50, 56 – 58, 63 – interne 63, 84, 104 – Portabilität 215, 221, 228 f.
– Qualität 121 – sensible 57 f., 63, 84, 121, 174, 215, 225, 230, 244, 246 Datenbank 39, 42, 47, 88 Datenschutz – Audit 138 f., 143 f., 146 – 149, 151, 153, 155 f., 160, 165, 173, 202, 206 – 208, 224 – Auditgesetz 173 f., 176, 178 – Compliance 224 – Folgenabschätzung 215, 220, 225, 235 f. – Gütesiegel 173 – Kodex 180 – Policies 23, 227 – qualitativer 22 f., 105, 108, 112 f., 126, 134, 140, 147 f., 150, 185, 191, 238 – quantitativer 23, 67 f., 134 Datenschutz durch Technik 45, 47, 68, 90, 101, 112, 127, 151, 183 f., 222, 226, 237, 251 Datenschutz-Anpassungs- und -Umsetzungsgesetz EU 245, 247 Datenschutzstandards 71, 112, 129 – 131, 154, 173, 230, 234, 242 Datensicherheit 37, 39, 44, 63, 92, 105, 118, 121, 124 – 126, 132, 136, 138, 140, 178 f., 182, 205, 223, 227, 249 Datenvermeidung und -sparsamkeit 77, 80, 123, 137 – 139, 142 f., 146 f., 149, 153 – 155, 165 f., 173, 198, 215, 222, 229, 233, 250 f., 254, 263 De-Mail-Dienste 197, 199 f., 204, 207, 264 Dienste der Informationsgesellschaft 219 DIN-Norm 43 Drei-Stufen-Modell 135 DS-GVO 22, 24, 32, 182, 185, 189, 209, 216 – 225, 227 – 249, 253 f., 259 – 261, 265 DSL 135 E-Business 198 f. E-Government 198 f. E-Mail 199
Sachwortverzeichnis e-Privacy 207 f., 237, 251, 264 – Richtlinie 162, 212 – Verordnung 261 Eckwerte-Papier 151 effet utile-Grundsatz 241 Effizienz 40, 48, 60, 65 f., 261 Ehescheidungsaktenbeschluss 24, 34, 257 Einwilligung 35, 42, 47, 49, 62 f., 74, 84, 100 f., 120 f., 125, 142, 146, 159, 173, 175, 183, 188, 198, 211, 215, 219, 226, 242, 263 elektronischer Personalausweis 208 ff. EMRK 210 f. Enquete-Kommission 77 f., 179, 182, 185, 207 Erforderlichkeitsgrundsatz 39, 75, 158, 233 Europäische Datenschutzkonvention 104, 109, 114, 117 f., 121, 123 Europäische Grundrechtecharta 32, 209 – 211, 249, 251, 260 Europäischer Datenschutzausschuss 222 f., 227, 233, 235 Facebook 22, 190, 231 Fernmeldegeheimnis 136, 192, 194, 205 Fremdkontrolle 53, 56 Generalklausel 47, 50, 52, 65 f., 92 Google 22, 190 – Earth 179 – Maps 179 – Street View 179 f. Governance 30 Großer Hessenplan 36 IFG 162 f. Info 2000 139 informationelle Selbstbestimmung 21, 32, 47, 70, 79 – 85, 87 f., 90 f., 93, 95 f., 98, 100, 102 f., 107, 109, 111 f., 143, 151 f., 158 f., 191 f., 195, 197 f., 207, 217, 244, 250 f., 255 f., 258 f., 262 f. Informations- und KommunikationsdiensteGesetz 139, 141, 144 f., 155 Informationsgesellschaft 22, 105, 134, 139, 144, 151, 165, 182 Informations-Icons 226 f. IP-Adressen 218, 225, 231
307
ISDN 122, 135, 160, 162 IT-Sicherheitsgesetz 168, 197, 201, 205 Kohärenzverfahren 222 kommunikative Entfaltung 22 Kontrolldefizit Siehe Vollzugsdefizit Kooperation 23, 93, 132, 147, 165, 194, 199, 207 f., 213, 234, 256, 259, 264 Kopplungsverbot 174, 189 Koregulierung 184 Kritische Infrastrukturen 203, 205 Kryptographie 124, 140, 149, 151, 154, 199 f., 202, 248 Listenprivileg 173, 175 f. Lobbyismus 65, 189, 265 Mediendienstestaatsvertrag 137 – 139, 142 f., 145, 147, 149, 162, 165 Melderecht 46, 73 Menschenwürdegarantie 35 Mikrozensusbeschluss 32, 34, 61, 80 Netzpolitik 179 f. Normung 125 f., 140, 144, 165, 213 Normwiederholungsverbot 241, 253 NSA-Skandal 22, 187, 205, 227 Öffnungsklauseln 153, 229, 237 – 242, 253, 260 One-Stop-Shop-Prinzip 221 Online-Durchsuchung 24, 32, 167, 191 f., 196, 199, 204, 207, 258, 264 Personenkennziffer 45, 73 Persönlichkeitsprofile 50, 75, 79, 140, 195, 257 Privacy 46 – by Default 206, 209, 220, 227, 233 f., 249, 253, 261 – by Design 45, 132, 139, 165, 183, 206, 209, 214 – 216, 220, 222, 227, 234, 249, 253, 261 – Enhancing Technologies 143, 213, 215 – right to be let alone 262 Privacy Enhancing Technologies 145, 151 Privatheit 60, 81, 83, 85, 91, 262, 264
308
Sachwortverzeichnis
Privatsphäre 42, 45 – 48, 50 f., 59, 61, 63, 65 f., 122 f., 128, 192, 214, 216, 226, 251 Programmschutz 44 Pseudonymisierung 222, 229, 233, 248 Rationalisierung 40, 65 f. Recht auf Vergessenwerden 215, 221, 228 regulierte Selbstregulierung 23, 130, 132, 136, 139, 143, 148, 150, 155, 165, 177, 180 f., 184, 209, 213, 261 RFID 184, 198, 245 Right to be let alone Siehe Privacy risikobasierte Regulierung 23, 209, 216, 222, 224, 253 RL 95/46/EG 24, 32, 113, 115, 130 – 134, 142, 148, 154 f., 164 f., 169, 186, 209 f., 212, 214, 216 f., 219 – 221, 224, 228, 231 – 233, 235 – 237, 252 f., 259 f., 263 RL 97/66/EG 133 f., 160 Rote-Linie-Gesetz 179 Schadensersatz 37, 57, 72, 77, 85, 91, 98, 103, 109, 117, 143, 181 Scoring 169 – 171, 246 f. – Geoscoring 169 Selbstdatenschutz 23, 48, 57, 150 f., 156, 159 f., 178, 263 Selbstkontrolle 42, 48, 140, 151, 224 Sicherheitsgesetze 70, 86, 90, 107 Sicherheitszertifikate 105, 107, 202 Smartphones 207 Software 118, 202 soziale Netzwerke 226 Sphärentheorie 80, 195, 256 f., 259 Stand der Technik 56, 124, 132, 136, 184, 203, 232, 234 Standardisierung 45, 126, 165, 213 Standesregeln 121 Steinmüller-Gutachten 48 ff. Systemdatenschutz 55, 68, 138 f., 142 f., 146 f., 149, 155, 159 f., 163 – 165, 264 targeted advertising 193, 219 TDDSG 141 – 147, 149, 161 f. TDG 141 Technikfolgenabschätzung 145, 150
Technikneutralität 68, 183, 220 Technologiefeindlichkeit 83 TKG 136 f., 147, 204 TMG 138, 183, 229, 233 Transparenz 85, 89, 133, 146, 162, 170, 173, 175, 177, 183, 214, 219, 223 Übermaßverbot 56 Ubiquitous Computing 184, 237 UKlaG 174, 177, 188 – 190 unbestimmte Rechtsbegriffe 63, 65 f., 68, 131 unternehmensinterne Vorschriften 223 UWG 188, 190 Verbandsklage 167, 185, 188, 191 Verbot mit Erlaubnisvorbehalt 21, 39, 56, 62, 66 f., 99, 111, 116, 120, 124, 138, 140, 142, 147, 152, 158, 183, 211, 235, 251, 254 f., 262 Verbraucherschutz 164, 171 f., 174, 177, 188 – 190, 207 Verhaltensregeln 121, 150, 223 Verhältnismäßigkeitsgrundsatz 35 Verschlüsselung 106 Vertraulichkeit und Integrität informationstechnischer Systeme 21, 167, 191, 193 f., 197, 200 – 202, 204 f., 207, 250 f., 256, 258 Videoüberwachung 99, 101, 111, 153, 155, 157, 246 Volkszählungsurteil 24, 32, 70, 78, 80, 83 f., 86 f., 90, 95 – 97, 107 f., 111, 152, 194, 257 Vollzugsdefizit 54, 143, 149, 183, 186, 188, 190 Vorratsdatenspeicherung 161, 204 Web-Tracking
219, 227, 229, 231
ZAG 91 – 94, 102 Zertifizierung 126, 206 – 208, 215, 223 f. ZEVIS 88, 95 f. Zweckbindung 51, 63, 75, 80 f., 133, 137 f., 140, 142, 147, 158, 183, 205, 211, 222, 233, 238, 244, 246, 251 Zweckbindungsgrundsatz 35, 39, 44, 85, 88, 91, 109, 114, 116, 124, 244, 254