Rechtliche Grundlagen
Wenn man von etwas nichts weiß, dann macht es einen auch nicht heiß. – Notwendige Voraussetzung für aufgeklärtes Handeln im Bereich moderner Datenverarbeitung ist, dass die Betroffenen die informationellen Zugriffe oder die entsprechende Verarbeitung erkennen können.
Das Betroffenenleitbild des Datenschutzrechts weist dabei viele Parallelen zum Verbraucherschutz auf. Dabei beschränkt sich der Schutz des Datenschutzrechtes nicht nur auf das Verhältnis zwischen Individuum und Staat, sondern soll dem Betroffenen insbesondere – wie auch der Verbraucherschutz – Rechte gegenüber Privatunternehmen einräumen.
"Informationelle Selbstbestimmung" als Grundrecht
Das Datenschutzrecht will den Betroffenen zunächst einmal in den Stand setzen, seine informationellen Interessen und Belange wahrzunehmen. Da informationelle Eingriffe nicht fühlbar sind und sich – wenn überhaupt – erst mit Zeitversatz bemerkbar machen, ist es eine Notwendigkeit, dass der Betroffene über die Verarbeitung seiner Daten informiert und orientiert ist.
Zwar wird als Leitbild des Datenschutzes häufig die Selbstbestimmung des Individuums angeführt, was bezüglich der Einwilligungsmöglichkeiten des Betroffenen auch nicht von der Hand zu weisen ist. Andererseits zeichnet sich die gewählte Regelungsmethode eines Verbots der Verarbeitung personenbezogener Daten mit Erlaubnisvorbehalt aber auch stark dadurch aus, dass hier vor allem Dritten Grenzen für die Verarbeitung gesetzt werden. Freiheit und Freiraum zur informationellen Selbstbestimmung soll zunächst einmal durch diese „Fremdbeschränkung“ geschaffen werden.
Ausgangspunkt war für den Datenschutz in Deutschland aus rechtlicher Sicht die Idee der "informationellen Selbstbestimmung“ über die personenbezogenen Daten aus dem Volkszählungsurteil des Bundesverfassungsgerichts (Amtliche Sammlung [BVerfGE], Bd. 65, S. 1 ff.). Dieses leitete aus dem allgemeinen Persönlichkeitsrecht ein „Recht auf informationelle Selbstbestimmung“ her. Der Einzelne solle selber darüber bestimmen können, wer seine Daten erhält und verarbeitet und gegen die unbegrenzte Erhebung, Speicherung, Verwendung und Weitergabe seiner persönlichen Daten geschützt werden. In den Schutzbereich der informationellen Selbstbestimmung fallen dabei alle Formen der Verarbeitung personenbezogener Daten.
Einwilligung
Die Einwilligung in die Verarbeitung von Daten gibt dem Einzelnen die Möglichkeit, eine Verarbeitung seiner Daten zu gestatten. Hier geht es vorrangig um die eigentliche Ausübung informationeller Freiheit und nicht primär um die Kontrolle der Datenverarbeitung durch andere. Damit hier auch nur bewusste Entscheidungen berücksichtigt werden, werden an die Freiwilligkeit und die Eindeutigkeit der Einwilligung hohe Anforderungen gestellt. Gleichzeitig stellt die Einwilligung aus Verarbeitersicht in der Praxis aber auch das flexibelste Werkzeug für die rechtmäßige Verarbeitung von Daten außerhalb der (beschränkten) gesetzlichen Erlaubnisnormen dar. So wird eine Rechtfertigung einer Verwendung zu Werbezwecken über ein legitimes Interesse des Verarbeiters kaum möglich sein und bei besonderen personenbezogenen Daten besteht neben der Einwilligung überhaupt keine Möglichkeit der rechtmäßigen Verarbeitung.
Gesetzliche Erlaubnistatbestände
Im Interesse der Allgemeinheit und Dritter hat das Bundesverfassungsgericht aber schon zum Zeitpunkt der Volkszählungs-Entscheidung im Jahre 1983 Ausnahmen von generellen Verbot der Datenverarbeitung zugelassen und festgestellt, dass dieses Recht des Einzelnen nicht absolut gelten kann. In Anbetracht der technischen und gesellschaftlichen Realität einer allgegenwärtigen Datenverarbeitung scheint dies auch kaum anders denkbar. So ist es alternativ zur Einwilligung erlaubt, dass derjenige, der personenbezogene Daten verarbeitet, sich hierfür auch auf eine gesetzliche Grundlage stützen kann. Diesem Konzept des „Verbots mit Erlaubnisvorbehalt“ folgt auch die EU-Datenschutz-Grundverordnung (DSGVO).
Flankierende Informationspflichten
Unabhängig von dem Rechtsgrund für eine personenbezogene Datenverarbeitung – Einwilligung oder gesetzliche Gestattung – setzt das Datenschutzrecht zur Sicherung des Schutzes personenbezogener Daten des Einzelnen insbesondere bei den Informierungen an und will bestehende Wissensdefizite der Betroffenen verringern. Ohne Kenntnis davon, wer was über ihn weiß, können Betroffene ihre Rechte nicht wirksam geltend machen.
Herkömmliche Mittel hierzu sind die Unterrichtung bei der Datenerhebung, die nachträgliche Benachrichtigung oder die Auskunft auf Verlangen des Betroffenen. Letztere setzt natürlich schon eine gewisse Kenntnis oder zumindest Vermutung über eine mögliche Datenverarbeitung voraus. Hinzu kommen vereinzelt Kennzeichnungspflichten und öffentliche Bekanntmachungen von Datenpannen.
Eine funktionierende Datenschutzkommunikationsstrategie ist unter der neuen EU-Datenschutz-Grundverordnung (DSGVO) nun zur echten Rechtspflicht geworden. Diese erklärt die Transparenz der Verarbeitung (Art. 5 Abs. 1 lit. a DSGVO; ErwGr. 39, 58 u. 78) und insbesondere auch die Transparenz der Information der Betroffenen (Art. 12 DSGVO) zu Grundpflichten für die Verantwortliche Stelle. Auch werden der Verantwortlichen Stelle in Art. 5 Abs. 2 DSGVO umfangreiche Rechenschaftspflichten (engl.: „accountability“) über die Einhaltung der Verarbeitungs- und Transparenzpflichten auferlegt.
Die EU-Datenschutz-Grundverordnung
Die neue EU-Datenschutzgrund-Verordnung (DSGVO) ist zwar bereits in Kraft getreten, ihre rechtlichen Wirkungen entfaltet sie jedoch erst ab dem 25. Mai 2018. Bis zu diesem Zeitpunkt muss das derzeit geltende BDSG an die neuen Bedingungen angepasst werden. Eine besondere Herausforderung für den Gesetzgeber wird dabei die Überprüfung der zahlreichen bereichsspezifischen gesetzlichen Regelungen auf ihre Vereinbarkeit mit der neuen Grundverordnung sein.
Die genauen Auswirkungen der DSGVO lassen sich zwar in Detailbereichen – auch wegen diverser Regelungsspielräume für die Mitgliedsstaaten – nur schwer präzise vorhersagen. Die Grundvorstellung des bisherigen deutschen Datenschutzrechtes bleibt aber auch unter der DSGVO erhalten: Die Verarbeitung von personenbezogenen Daten wird auch weiterhin im Grundsatz für schädlich gehalten. Es besteht deshalb regelungstechnisch ein Verbot mit Erlaubnisvorbehalt. Die Verarbeitung von personenbezogenen Daten ist verboten, solange sich die Verantwortliche Stelle nicht auf eine gesetzliche Erlaubnisnorm oder auf eine wirksame Einwilligung des Betroffenen berufen kann. Daneben gibt es umfangreiche Informationspflichten (Art. 13, 14 DSGVO). Tendenziell werden die Anforderungen an Verständlichkeit und Transparenz gegenüber dem bisherigen Datenschutzrecht erhöht. Insbesondere die Transparenz wird durch den Art. 5 Abs. 1 lit. a DSGVO zu einem zentralen Prinzip der Datenverarbeitung erklärt. Art. 12 DSGVO legt dabei genauere Voraussetzungen für die Kommunikation bei der Erhebung von Daten und insbesondere für die Information über die Ausübung der Betroffenenrechte fest. Auch für die Wirksamkeit einer beim Betroffenen eingeholten Einwilligung scheint die DSGVO ein erhöhtes Maß an Transparenz und Verständlichkeit zu verlangen.
Auch inhaltlich gilt ein strenger Maßstab. So muss die Einwilligung informiert erfolgen, und sie muss unmissverständlich sein. Die Formulierungen deuten darauf hin, dass Mängel in der Kommunikation im Zweifel zulasten der Verantwortlichen Stelle gehen, denn der Nachweis der nach obigen Bedingungen erfolgten Einwilligung obliegt ihr (Art. 7 Abs. 1 DSGVO).
Das Ziel der Vollharmonisierung und seine Ausnahmen
Die bisherige Strukturierung der Datenschutzgesetze in Deutschland trägt jedoch wenig zur Übersichtlichkeit des Datenschutzrechtes bei. So verteilten sich die anwendbaren Normen je nach Einzelfall über diverse Bundes-, Landes- und bereichsspezifische Spezialgesetze. Insbesondere die Abgrenzungen zwischen einzelnen Spezialgesetzen erweisen sich im Detail als schwierig.
Die bisher zentrale Unterscheidung für die Anwendbarkeit nach öffentlichen und nicht-öffentlichen Stellen sowie Spezialregelungen für bestimmte Datenkategorien wird durch die DSGVO im Wesentlichen beseitigt. Für nicht-öffentliche Stellen – also die Wirtschaft – gilt ausnahmslos die DSGVO; man spricht hier von einer Vollharmonisierung. Auch die Verarbeitung durch öffentliche Stellen – also die Verwaltung – richtet sich grundsätzlich genauso nach Art. 6 DSGVO.
Aus zwei Gründen kann eine Unterscheidung aber auch nach Wirksamwerden der DSGVO noch nötig sein, soweit für den öffentlichen Bereich Öffnungsklauseln bestehen. In Art. 23 DSGVO findet sich eine Auflistung von diversen Bereichen des öffentlichen Sektors, in denen die Mitgliedsstaaten abweichende Regelungen erlassen könnten. Ob davon Gebrauch gemacht wird, bleibt abzuwarten. Hier wäre eine Aufrechterhaltung der Trennung durch den Bundesgesetzgeber im BDSG grundsätzlich denkbar. Für den öffentlichen Bereich hat die Grundverordnung dadurch eher Richtliniencharakter. Art. 23 Abs. 2 DSGVO legt aber auch für diesen Bereich grundsätzliche datenschutzrechtliche Anforderungen fest, die aber im Geltungsbereich des Grundgesetzes auch unabhängig von der DSGVO zu beachten wären.
Eine weitere spezielle Ausnahme stellen die öffentlichen Stellen dar, die generell nicht der Anwendung des Unionsrechts unterfallen. Für diese müsste bei komplettem Wegfallen des BDSG erstmals eine eigenständige Regelung geschaffen werden. Zu nennen sind hier das Bundesamt für Verfassungsschutz, der Bundesnachrichtendienst, der Militärische Abschirmdienst und der Bereich des Sicherheitsüberprüfungsgesetzes. Nicht unerwähnt bleiben sollte hier auch die bisher noch nicht in mitgliedstaatliches Recht umgesetzte Richtlinie (EU) 2016/680 „zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung“. Für diesen Bereich wird es nach Umsetzung durch die Mitgliedsstaaten separate Regelungen geben.