Datenschutz: Datenschutzrecht in Europa

In Europa ist durch den europäischen Gesetzgeber in der Richtlinie EG-DSRl (Richtlinie 95/46/EG) der europäische Schutz personenbezogener Daten geregelt worden.

Die EG-DSRl waren so konzipiert, dass diese als einheitlicher Umsatzmaßstab (auf hohem Niveau) dienen sollte. Ausdrücklich sollte durch die Umsetzung dieser Richtlinie in den einzelnen Ländern keine Reduzierung des Schutzniveaus der personenbezogenen Daten stattfinden.

Daneben sind die Datenschutzrichtlinie für elektronische Kommunikation (Richtlinie 2002/58/EG) und die Richtlinie über die Vorratsdatenspeicherung (Richtlinie 2006/24/EG) erlassen worden. Letztere sorgt aktuell wieder für sehr viel Gesprächsstoff, da das europäische Parlament Deutschland zu einer entsprechenden Umsetzung bzw. bereits auch jetzt zur Vorratsdatenspeicherung auffordert.

Als ein wesentlicher Unterschied zwischen der EG-DSRl und dem BDSG ist unter anderem die fehlende Differenzierung zwischen der Datenverarbeitung durch öffentliche und nicht-öffentliche Stellen zu nennen. Dies steht jedoch nicht der Umsetzung bzw. der heutigen Regelung im BDSG und der dort vorgenommenen Differenzierung zwischen öffentlichen und privaten Stellen entgegen. Auch erfasst die EG-DSRl gleichermaßen die automatisierte und auch die nicht-automatisierte Verarbeitung. Schließlich liegt der EG-DSRl ein umfassender Begriff der Datenverarbeitung zugrunde, der auch die Datenerhebung und die Nutzung umfasst, was nun auch in § 3 Abs. 3 und Abs. 5 BDSG aufgenommen worden ist.

Die Umsetzung der EG-DSRl erfolgte (trotz Frist bis zum 24.10.1998) erst im Jahre 2001, nachdem bereits gegen Deutschland ein Vertragsverletzungsverfahren durch die Europäische Kommission eingeleitet worden war. Prägend war bereits dort die Aufnahme der Prinzipien der Datenvermeidung und der Datensparsamkeit (§ 3a BDSG), sowie des Datenschutzes durch Technik oder eines Datenschutzaudits (§§ 9, 9a BDSG).

Hier lag oder liegt ein großes Problem von Europa! Durch die Richtlinienkompetenz, galten diese Normen nicht unmittelbar und zwingend in den einzelnen EU-Ländern, sondern mussten erst jeweils umgesetzt werden. Allein dies sorgte natürlich für unterschiedliche Schutzniveaus.

Durch den Vertrag von Lissabon (in Kraft getreten am 01.12.2009) gab es noch einmal neue Impulse in Bezug auf das europäische Datenschutzrecht. Zum einen sind die drei Säulen der Europäischen Union, nämlich die Europäische Gemeinschaft (EG), die Gemeinsame Außen- und Sicherheitspolitik (GASP) und die polizeiliche und justizielle Zusammenarbeit in Strafsachen (PJZS), weitestgehend vereinigt worden. Zum anderen regelt Art. 16 Absatz 2 AEUV (Konsolidierte Fassung des Vertrages über die Arbeitsweise der Europäischen Union) nun die Zuständigkeit für den Erlass von Datenschutzvorschriften umfassend und ordnet an, dass sowohl vom Parlament als auch vom Rat Datenschutzvorschriften im ordentlichen Gesetzgebungsverfahren erlassen werden, was zu einer Zustimmungspflicht des Parlaments für sämtliche datenschutzrelevante Rechtsakte führt und somit dessen Kompetenzen erheblich vergrößert.

Inhaltlich ist eine Erweiterung durch den Vertrag von Lissabon insoweit eingetreten, als dass die EU nun auch Regelungen aufstellen kann, die nicht nur für die Verarbeitung personenbezogener Daten für die europäischen Organe und Einrichtungen gelten, sondern auch für die Mitgliedstaaten. Zudem ist mit dem Vertrag von Lissabon die Europäische Grundrechte-Charta für alle Staaten (bis auf Großbritannien und Polen) rechtsverbindlich geworden, die in Art. 8 das Grundrecht des Schutzes personenbezogener Daten enthält.

 

Durch den Vertrag von Lissabon ist es Europa möglich geworden, selbst Datenschutzverordnungen zu erlassen, die sodann unmittelbar und zwingend in allen europäischen Ländern gelten.

Dies wird aktuell durch eine neue EU Datenschutzverordnung geplant. Ein erster Entwurf / Vorschlag ist am 25.1.2012 vorgelegt worden. 

Weitere Hinweise zur EU-Datenschutzverordnung finden Sie hier.

Datenschutz: Der Aufbau und einige wichtige Grundsätze des BDSG

Der grundsätzliche Aufbau:

  • Allgemeine und gemeinsame Vorschriften §§ 1 – 11 BDSG (Definitionen, Zweck und Anwendungsbereich des Gesetzes, Prinzipien des Datenschutzes, Datenschutzbeauftragter, etc.).
  • Datenverarbeitung der öffentlichen Stellen §§ 12 – 26 BDSG (Rechtsgrundlagen der Datenverarbeitung, Rechte des Betroffenen und schließlich Regelungen in Bezug auf den Bundesbeauftragten für den Datenschutz).
  • Datenverarbeitung nicht – öffentlicher Stellen und öffentlich – rechtlicher Wettbewerbsbetriebe §§ 27 – 38a BDSG (Rechtsgrundlagen der Datenverarbeitung, Rechte des Betroffenen, Aufsichtsbehörde).
  • Regelungen über Sondervorschriften §§ 39 – 42a BDSG (Daten bei Berufs- oder Amtsgeheimnis, Forschungseinrichtungen, Medien).
  • Übergangs- und Bußgeldvorschriften §§ 43 – 48 BDSG (§§ 43 und 44 BDSG Bußgeld- und Strafvorschriften).

Die einzelnen Vorschriften des allgemeinen Teils:

Anwendungsbereich (§ 1 Abs. 2 BDSG):
Adressaten des Gesetzes sind

  • Öffentliche Stellen des Bundes
  • Öffentliche Stellen der Länder                                            eine Definition enthält § 2 BDSG
  • Nicht-öffentliche Stellen

Der sachliche Anwendungsbereich erstreckt sich auf die in § 3 Abs. 3 – 5 genannte Erhebung, Verarbeitung oder Nutzung personenbezogener Daten mit automatisierten Systemen. Zwar sieht die EG-DSRl vor, dass von dieser bei öffentlichen Stellen sowohl die automatisierte als auch die nicht – automatisierte Verarbeitung erfasst sein sollen. Letztere jedoch nur, wenn sie nach personenbezogenen Kriterien geordnet sind. Gleichwohl konnte der deutsche Gesetzgeber hiervon abweichen. Für nicht-öffentliche Stellen enthält § 1 Abs. 2 Nr. 3 eine Anordnung, wonach das BDSG nicht anwendbar ist, soweit Daten in nicht.

Bei der Datenverarbeitung durch öffentliche Stellen der Länder gilt die Besonderheit, dass durch die Länderkompetenz in mittlerweile allen Bundesländern spezialgesetzliche landesdatenschutzrechtliche Bestimmungen erlassen worden sind. Diese gehen in jedem Falle dem BDSG vor. Soweit jedoch die Länder Bundesaufgaben wahrnehmen, gilt dann das BDSG. Dies gilt darüber hinaus gem. § 1 Abs. 2 Nr. 2b auch, soweit die Bundesländer als Organe der Rechtspflege tätig werden und in dieser Funktion Verwaltungstätigkeit ausüben.

Das BDSG findet keine Anwendung, sofern die Datenverarbeitung im nicht-öffentlichen Bereich ausschließlich zu persönlichen oder familiären Zwecken erfolgt.

§ 1 Abs. 3 BDSG enthält einen „Vorrang des besonderen Datenschutzrechts“. Dies meint z.B. folgende Normen:

Das Allgemeine Gleichbehandlungsgesetz, Ausländergesetz, Bundesgrenzschutzgesetz, das Kreislaufwirtschafts- und Abfallgesetz, das Postgesetz, die Sozialgesetze, das Telekommunikationsgesetz, etc.

In § 1 Abs. 5 BDSG ist die internationale Anwendbarkeit geregelt.

§ 3 BDSG enthält einige Legaldefinitionen:

  • Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren Person (§ 3 Abs. 1).
  • Automatisierte Verarbeitung (§ 3 Abs. 2)
  • Erheben (§ 3 Abs. 3)
  • Verarbeiten (§ 3 Abs. 4):
    • Speichern
    • Verändern
    • Übermitteln
    • Sperren
    • Löschen
  • Nutzen (§ 3 Abs. 5)
  • Anonymisieren (§ 3 Abs. 6)
  • Pseudonymisieren (§ 3 Abs. 6a)
  • Verantwortliche Stelle (§ 3 Abs. 7)
  • Empfänger / Dritter (§ 3 Abs. 8 )
  • Besondere Arten personenbezogener Daten (§ 3 Abs. 9)
  • Mobile personenbezogene Speicher- und Verarbeitungsmedien (§ 3 Abs. 10)
  • Beschäftigte (§ 3 Abs. 11).

Die Grundsätze des BDSG

Es gelten gem. § 3 a BDSG die Grundsätze der Datenvermeidung und Datensparsamkeit:
Dies resultiert aus dem Konzept des BDSG als Verbotsgesetz mit Erlaubnisvorbehalt. Danach dürfen personenbezogene Daten nur ausnahmsweise und unter engen Voraussetzungen verwendet werden, so dass zwangsläufig möglichst sparsam mit den Daten umgegangen werden soll. Geeignete Methoden sind hier die Anonymisierung und die Pseudonymisierung. Diese Konkretisierung der Grundsätze der Datensparsamkeit und Datenvermeidung unterliegen dem Zweckvorbehalt. D. h. es ist nur dann erforderlich, diese Verfahren zu benutzen, wenn dies zum einen technisch möglich ist und zum anderen der Zweck der Datenerhebung immer noch erreicht werden kann.

Beide Grundsätze sind letztlich auch dem verfassungsrechtlichen Verhältnismäßigkeitsgrundsatz geschuldet, da zum einen die Datenverarbeitung für die Erreichung des angestrebten Ziels geeignet, erforderlich und schließlich verhältnismäßig im engeren Sinne sein muss. Insofern kommt es im Rahmen des BDSG immer konkret auf den Zweck bzw. das Ziel an.

Neben dem verfassungsrechtlichen Grundsatz der Verhältnismäßigkeit ist jeweils noch das Gebot der Normklarheit zu beachten. Dies bedeutet letztlich, dass der Gesetzgeber keine allzu unbestimmten Rechtsbegriffe und keine zu weit gefassten Generalklauseln verwenden darf. Es muss dem Bürger trotz aller unbestimmter Rechtsbegriffe und der Formulierung generalisierender Klauseln möglich sein zu erkennen, welches Verbot oder Gebot eine Norm ausspricht.

Mittels desGrundsatzes der Zweckbindung werden Einschränkungen des Rechts auf informationelle Selbstbestimmung auf das Unvermeidbare reduziert. Das Erheben von personenbezogenen Daten darf nur für eindeutig festgelegte und rechtmäßige Zwecke erfolgen. Des Weiteren darf die Weiternutzung (Nutzung / Verarbeitung) der Daten nur auf eine mit der Zweckbestimmung zu vereinbarenden Weise erfolgen.

Grundsatz der Transparenz: Dieser wird durch das Recht des Betroffenen, Einsicht in seine gespeicherten personenbezogenen Daten zu nehmen, gewährleistet. Dieser Grundsatz wird zum einen durch die Informationspflichten für die datenverarbeitende Stelle und zum anderen durch das Auskunftsrecht des Betroffenen realisiert.

Gibt es Rechtsfolgen bei Verstößen gegen § 3a BDSG?

Nein!!! Die entsprechende Datenverarbeitung bleibt rechtmäßig und auch die Bußgeld- und Strafvorschriften gem. §§ 43, 44 BDSG enthalten diesbezüglich keine Regelung.

§ 4 BDSG – Regelungen zur Zulässigkeit der Datenerhebung – Verbot mit Erlaubnisvorbehalt
In dieser Norm ist das grundsätzliche Verbot der Datenerhebung und der Erlaubnisvorbehalt für den Fall geregelt, dass das BDSG oder ein anderes Gesetz dieses ausdrücklich erlauben oder eine konkrete Einwilligung des Betroffenen vorliegt.

Öffentliche Stellen haben dieses Verbot bei jeder Form der Erhebung und Verwendung von personenbezogenen Daten zu beachten (§ 1 Abs. 2 Nr. und 2 BDSG).

Nicht-öffentliche Stellen haben dieses Verbot nur zu beachten, wenn die personenbezogenen Daten nicht ausschließlich für persönliche oder familiäre Tätigkeiten unter Einsatz von Datenverarbeitungsanlagen oder in bzw. aus Dateien verwendet werden (§ 1 Abs. 2 Nr. 3 BDSG).

Verstöße gegen dieses Verbot haben weitreichende Konsequenzen. Neben einem Bußgeldverfahren und Schadensersatzan-sprüchen (§ 823 Abs. I bzw. § 823 Abs. 2 i.V.m. der Norm des BDSG) besteht die Möglichkeit einer strafrechtlichen Verfolgung gem. § 44 BDSG.

Die Verwendung der Daten ist unzulässig gem. § 20 Abs. 2 bzw. § 30 Abs. 3 oder § 35 Abs. 2 BDSG. Der Betroffene hat ggf. einen Löschungsanspruch.

Maßgebliche Normen, die die Datenerhebung für nicht-öffentliche Stellen (und auch für die öffentlich-rechtlichen Wettbewerbsunternehmen) erlauben, sind die §§ 28 – 30, 35 und 40 BDSG.

Auch für nicht-öffentliche Stellen gibt es außerhalb des BDSG Normen, die die Speicherung von Daten erlauben (z.B. § 91 AktG, § 10 WpHG, etc.).

Im Arbeitsrecht werden Tarifverträge und Betriebsvereinbarungen (§ 77 BetrVG ordnet die normative Außenwirkung für Betriebsvereinbarungen an) als entsprechende Normen in diesem Sinne anerkannt.

§ 4 Abs. 2 S. 1 BDSG (Regel) ordnet zudem den Grundsatz der Direkterhebung an. D. h. die Daten sollen möglichst durch Mitwirkung oder zumindest Kenntnis des Betroffenen erhoben werden. Die heimliche oder in Unkenntnis des Betroffenen erhobene Datenspeicherung ist hiervon natürlich nicht erfasst.

§ 4 Abs. 2 S. 2 BDSG (Ausnahme) regelt die Möglichkeit der Datenerhebung ohne Mitwirkung des Betroffenen. Die Möglichkeit besteht, wenn eine Rechtsvorschrift dies vorsieht (1. Alt.) oder gar zwingend voraussetzt (2. Alt.). Hiervon werden unter anderem die Fälle der verdeckten Ermittlung, Rasterfahndung, Postbeschlagnahme, TÜ (Telekommunikationsüberwachung), Bildaufnahme im Zuge von Observationen oder z.B. automatisierte Auskunftsverfahren bezüglich der bei Telekommunikationsdiensteanbietern gespeicherten Kundendaten (§ 111 ff. TKG) erfasst.

§ 4 Abs. 3 BDSG regelt die Unterrichtungs-, Hinweis- und Aufklärungspflichten des Betroffenen.
Bereits bei der Erhebung hat die verantwortliche Stelle den Betroffenen über

  • die Identität der erhebenden Stelle
  • die Zweckbestimmungen der Erhebung, Verarbeitung und Nutzung und
  • die Kategorien von Empfängern zu unterrichten (soweit der Betroffene mit der Übermittlung an diese nicht rechnen muss)

Bei natürlichen Personen und Gesellschaften bürgerlichen Rechts (GbR) genügen

  • Name und Anschriften der Personen
  • Telefonnummer
  • Emailadresse

Bei juristischen Personen sind

  • die Firmenbezeichnung einschließlich der vollen Namen (Vor- und Zuname) der Vertretungsberechtigten
  • die ladungsfähige Anschrift (kein Postfach)
  • Telefonnummer
  • Emailadresse
  • Registergericht und Registernummer

anzugeben.