Definition und Abgrenzung

Datenschutzrecht ist eine EU-rechtliche Kategorie (mit deutschen Wurzeln). Aus dem europäischen Verfassungsrecht (Primärrecht) ergibt sich eine ausdrückliche Anerkennung (samt Regelungsauftrag) des Datenschutzes (Art. 16 AEUV; Art. 8 GRCh). Für das Datenschutzrecht besteht, weil auf einen ansonsten für unionale Rechtsetzung erforderlichen Binnenmarktbezug verzichtet wird, eine sehr weitgehende Regelungszuständigkeit (Art. 16 Abs. 2 AEUV). Auf europäischer Ebene dominiert mit der Datenschutz-Grundverordnung (DS-GVO) der Ansatz einer allgemeinen Regelung; und auch die JI-RL (Richtlinie [EU] 2016/680 „zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung“) ist, wenngleich als solche bereichsspezifisch, eine allgemeine Regelung. Für spezielle Lebens- und Rechtsbereiche ist insbesondere der Telekommunikationsbereich zu nennen (E-Privacy-RL; geplante E-Privacy-VO). Aspekte der (regulierten) Selbstregulierung (Art. 40 f. DS-GVO) werden zwar ausführlich geregelt, die praktische Bedeutung ist aber nach wie vor noch sehr gering.

Das Datenschutzrecht will den Betroffenen in den Stand versetzen, seine informationellen Interessen und Belange wahrzunehmen. Als Leitbild des Datenschutzes wird zwar häufig die Selbstbestimmung des Individuums angeführt, was bezüglich der Einwilligungsmöglichkeiten des Betroffenen auch nicht von der Hand zu weisen ist. Andererseits zeichnet sich die gewählte Regelungsmethode eines Verbots der Verarbeitung personenbezogener Daten mit Erlaubnisvorbehalt aber stark dadurch aus, dass hier vor allem Dritten Grenzen für die Verarbeitung gesetzt werden. Freiheit und Freiraum zur informationellen Selbstbestimmung soll zunächst einmal durch diese „Fremdbeschränkung“ geschaffen werden. Zumindest rechtstechnisch ist allerdings (inzwischen) auch der freie Verkehr personenbezogener Daten als Schutzziel ausdrücklich anerkannt (Art. 1 Abs. 1 a.E. DS-GVO), womit gerade auch der unternehmerischen Freiheit der Verarbeiter aus Art. 15 EU-GRCh Rechnung getragen wird.

Geschichte

Zentraler Ausgangspunkt für das Datenschutzrecht in Deutschland war – nach Vorarbeiten in den 1970er-Jahren – die Idee der „informationellen Selbstbestimmung“ über personenbezogenen Daten aus dem Volkszählungsurteil des Bundesverfassungsgerichts (1983). Das Gericht leitete aus dem allgemeinen Persönlichkeitsrecht ein „Recht auf informationelle Selbstbestimmung“ her. Der Einzelne solle selbst darüber bestimmen können, wer seine Daten erhält und verarbeitet, und gegen die unbegrenzte Erhebung, Speicherung, Verwendung und Weitergabe seiner persönlichen Daten geschützt werden. In den Schutzbereich der informationellen Selbstbestimmung fallen dabei alle Formen der Verarbeitung personenbezogener Daten.

Das (deutsche) Datenschutzrecht entspringt vor allem auch der Skepsis gegenüber staatlicher Datenverarbeitung (Volkszählung, vorher schon Mikrozensus und Rasterfahndung) und weniger, später aber auch, gegenüber der SCHUFA. Das europäische Datenschutzrecht hatte schon wegen des Kompetenzschwerpunkts auf dem Binnenmarkt die Wirtschaft im Blick. In der aktuellen datenschutz- und digitalpolitischen Debatte stehen die (zudem US-amerikanischen) Digitalkonzerne (GAFAM) im Fokus.

Die (jedenfalls im deutschen Rechtskreis bedeutsame) Unterscheidung zwischen öffentlichem und privatem (früher: nicht öffentlichem) Bereich gibt es vorderhand im unionalen Datenschutzrecht nicht. Mit am deutschen Datenschutzrecht geschulten Auge kann man aber in den Bereichsausnahmen des Art. 23 DS-GVO und der JI-RL gleichwohl diese dichotomische Unterscheidung erkennen.

Anwendung und Beispiele

Rechtstechnischer Ausgangspunkt der DS-GVO ist das Verbot mit Erlaubnisvorbehalt (vgl. die Erlaubnistatbestände des Art. 6 DS-GVO). Daneben bestehen weitere eher organisationale Grundpflichten (Art. 5 DS-GVO). Risikobasierte Ansätze gibt es im unionalen Datenschutzrecht wenige (etwa bei der Datenschutzfolgenabschätzung, Bestellungspflicht für betriebliche Datenschutzbeauftragte; bei sensitiven Daten). Das EU-Datenschutzrecht ist zudem grundsätzlich nicht abdingbar, im Verhältnis zwischen „Verantwortlichem“ und „Betroffenen“ aber mittels Einwilligung recht weitgehend ausgestaltbar, wobei die Einwilligung ihrerseits recht voraussetzungsvoll ist.

a) Anwendungsbereich

Trotz ihres umfassenden Regelungskonzepts ist die Datenschutz-Grundverordnung nicht auf alles und jedes anwendbar. So ist die Geltung durch die Reichweite des EU-Regelungskonzepts insgesamt beschränkt. In den mitgliedsstaatlichen Vorbehaltsbereich fallen etwa das Parlamentsrecht (auch wenn das umstritten ist), das Begnadigungsrecht und das Titelrecht. Umstritten ist die Anwendbarkeit für den Gesundheits- und Katastrophenbereich; auch für das Militär (vgl. Art. 39 EUV) und für Nachrichtendienste gilt sie nicht. Manche Bereiche nimmt die DS-GVO mehr oder minder von ihrem Regelungsanspruch aus, etwa die Medien (Art. 85 DS-GVO), den Informationszugang (Art. 86 DS-GVO), in anderen öffnet sie sie für mitgliedsstaatliche Regelungen (etwa Personenkennziffer, Art. 87 DS-GVO; Beschäftigung, Art. 88 DS-GVO; Archiv, historische Forschungs- und Statistikzwecke, Art. 89 DS-GVO). Überhaupt ist die Anwendbarkeit der DS-GVO gegenständlich dadurch begrenzt, dass sie nur auf elektronische und (teil)automatisierte Datenverarbeitung anwendbar ist, auf die „gedankliche“ oder „manuelle“ Datenverarbeitung also nicht. Auch die privat-familiäre Datenverarbeitung (Art. 2 Abs. 2 lit. c DS-GVO, sog. „Haushaltsausnahme“) ist von der DS-GVO ausgenommen. Die Ausnahme wird in der Praxis allerdings so eng verstanden, dass selbst Kirchenchöre in den Anwendungsbereich des Datenschutzrechts fallen.

Die datenschutzrechtliche Legaldefinition für „personenbezogene Daten“ als Schutzgegenstand der DS-GVO findet sich in Art. 4 Nr. 1 DS-GVO. Sie wird weit verstanden und schließt insbesondere auch die Personenbeziehbarkeit ein. Veröffentlichte personenbezogene Daten fallen tatbestandsmäßig in den Anwendungsbereich der DS-GVO, werden aber in den Fällen einer journalistisch-redaktionellen Veröffentlichung oder einer solchen zu künstlerischen, literarischen oder meinungsäußernden Zwecken gemäß Art. 85 DS-GVO dem mitgliedsstaatlichen Recht (zurück-)überwiesen.

Eine Unterscheidung zwischen In- und Ausländern macht das europäische Recht der personenbezogenen Daten nicht. Tote werden nicht als Person und deren Daten nicht (mehr) als personenbezogen verstanden; allerdings lässt das europäische Recht hier Raum zu mitgliedsstaatlicher Erweiterung. Für die „besonderen Kategorien personenbezogener Daten“ kommt es auf das Vorliegen der qualifizierenden Merkmale bei der Person an, auf die sich die Daten beziehen. Auf den Verantwortlichen oder den Ort der Verarbeitung oder insbesondere auch den Kontext kommt es nicht an.

b) Einwilligung

Die Einwilligung in die Verarbeitung von Daten gibt dem Einzelnen die Möglichkeit, eine Verarbeitung seiner Daten zu gestatten. Damit hier nur bewusste Entscheidungen berücksichtigt werden, werden an die Freiwilligkeit und die Eindeutigkeit der Einwilligung hohe Anforderungen gestellt. Gleichzeitig stellt die Einwilligung aus Verarbeitersicht in der Praxis aber das flexibelste Werkzeug für die rechtmäßige Verarbeitung von Daten außerhalb der (beschränkten) gesetzlichen Erlaubnisnormen dar.

c) Gesetzliche Erlaubnistatbestände

Im Interesse der Allgemeinheit und Dritter hat das Bundesverfassungsgericht schon zum Zeitpunkt der Volkszählungs-Entscheidung im Jahre 1983 Ausnahmen vom grundsätzlichen Verbot der Datenverarbeitung zugelassen und festgestellt, dass dieses Recht des Einzelnen nicht absolut gelten kann. Diesem Konzept des „Verbots mit Erlaubnisvorbehalt“ folgt auch die DS-GVO (vgl. Art. 6 DS-GVO). In Anbetracht der technischen und gesellschaftlichen Realität einer allgegenwärtigen Datenverarbeitung scheint dies auch kaum anders denkbar. So ist es alternativ zur Einwilligung erlaubt, dass derjenige, der personenbezogene Daten verarbeitet, sich hierfür auch auf eine gesetzliche Grundlage stützen kann.

d) Flankierende Informationspflichten

Unabhängig von dem Rechtsgrund für eine personenbezogene Datenverarbeitung – Einwilligung oder gesetzliche Gestattung – setzt das Datenschutzrecht zum Schutz personenbezogener Daten des Einzelnen insbesondere bei den Informierungen an und will bestehende Wissensdefizite der Betroffenen verringern. Ohne Kenntnis davon, wer was über ihn weiß, können Betroffene ihre Rechte nicht wirksam geltend machen. Herkömmliche Mittel hierzu sind die Unterrichtung bei der Datenerhebung, die nachträgliche Benachrichtigung oder die Auskunft auf Verlangen des Betroffenen. Hinzukommen vereinzelt Kennzeichnungspflichten und öffentliche Bekanntmachungen von Datenpannen.

e) Datenschutzmanagement

Eine funktionierende Datenschutzstrategie ist unter der DS-GVO nun zur echten Rechtspflicht geworden (vgl. Art. 24 DS-GVO). Verantwortliche Stellen müssen vor Beginn der Datenverarbeitung ein Verzeichnis mit Verarbeitungstätigkeiten anlegen (Art. 30 DS-GVO). Darunter fallen auch Maßnahmen zur Datensicherheit. Zudem illustriert die Pflicht, vor risikoreichen Verarbeitungstätigkeiten eine Datenschutzfolgenabschätzung durchzuführen, dass sich Verarbeiter ein konkretes Vorstellungsbild über den Datenschutz machen müssen. Letztlich bauen hierauf auch die Kommunikationspflichten der DS-GVO auf. Diese erklären die Transparenz der Verarbeitung (Art. 5 Abs. 1 lit. a DS-GVO) und insbesondere die Transparenz gegenüber den Betroffenen (Art. 12 DS-GVO) – auch bei Ausübung seiner Betroffenenrechte gem. Art. 15 ff. DS-GVO – zu Grundpflichten für jede datenverarbeitende Stelle. Auch werden der verantwortlichen Stelle in Art. 5 Abs. 2 DS-GVO umfangreiche Rechenschaftspflichtigkeiten (engl.: accountability) über die Einhaltung der Verarbeitungs- und Transparenzpflichten auferlegt.

Kritik und Probleme​​

Das „Eingangstor“ zur DS-GVO ist schnell erreicht. Maßgeblich hierfür sind sehr weite und risikounabhängige Begriffe der Verarbeitung und des Personenbezugs. Ferner sieht die DS-GVO im Wesentlichen gleichförmige Pflichten unabhängig von der (wirtschaftlichen) Größe des Verarbeiters vor (one size fits all), was teils als übermäßige Belastung für Non-Profit-Organisationen sowie kleine und mittlere Unternehmen wahrgenommen wird.

Ein wichtiger Kritikpunkt ist die Kommunikation der datenschutzrechtlich relevanten Verarbeitungsvorgänge (und die darauf aufbauende „informierte“ Einwilligung). Es wird den Betroffenen eine „rationale Apathie“ attestiert. Für die Betroffenen scheint es oft „günstiger“, Datenschutzverletzungen oder informationelle Zudringlichkeiten von Verarbeitern hinzunehmen, ja sogar, sich mit der Tatsache und den Rahmenbedingungen personenbezogener Datenverarbeitung überhaupt nicht zu befassen. Ursache hierfür ist neben der schieren Informationsmenge das Informationsgefälle zwischen Verantwortlichem und Betroffenem, zum Teil auch der Informationsfluss selbst. So hat die Menge der heutzutage verarbeiteten Informationen ein nur noch schwer in vorstellbaren Einheiten zu verbildlichendes Ausmaß erreicht. Ebenso haben Verarbeiter einen oft schwer kompensierbaren Kenntnis- und Informationsvorsprung. Der Gesetzgeber versucht dies in vielen Bereichen durch detaillierte Informationspflichten auszugleichen; es zeigt sich aber, dass umfangreiche Mitteilungs- und Dokumentationspflichten den Betroffenen oftmals nicht helfen, wenn ihnen eine Prüfung der mitgeteilten Informationen kaum möglich ist. Man umschreibt dieses Phänomen häufig mit dem Begriff „information overload“.

Hinzu kommt, dass informationelle Eingriffe nicht unmittelbar fühlbar sind. Sie haben meist keine direkte Konsequenz. Aus psychologischer Perspektive ist es daher verständlich, dass Gefährdungen und Verletzungen der informationellen Privatheit als weniger dringlich empfunden werden als Beeinträchtigungen durch die physische Umwelt. Zudem finden die häufigsten Verstöße auf einer sehr niederschwelligen Ebene statt (insbesondere im Werbebereich und im Internet), sodass von rechtlichen Schritten meist nicht nur abgesehen wird, sondern diese gar nicht erst als eine Option wahrgenommen werden. Ein weiterer Faktor ist die Gewöhnung an die Weitergabe von Daten im „Umsonst-Internet“, bei der die Daten gewissermaßen im Tausch gegen Inhalte oder Dienste abgegeben werden.

Solange die Betroffenen daher Datenschutzinformationen nicht für wichtig halten, befindet man sich schlussendlich in der Situation, dass der Datenschutz nicht nur für die Verantwortlichen, sondern auch für die Betroffenen „lästig“ ist. Die Verantwortlichen versuchen, den Vorgaben formal zu genügen, während die Betroffenen den Informationen, soweit es geht, mechanisch durch Wegklicken und Wegwischen ausweichen.

Forschung

Der derzeitige Schwerpunkt datenschutzrechtlicher Forschung dürfte sich nach wie vor auf die mannigfaltigen Auslegungsfragen bei der DS-GVO konzentrieren. Ganz grundlegend wird darüber hinaus ergründet, ob und inwieweit die Instrumente der DS-GVO handhabbar, zweckmäßig, innovationsfördernd und gefährdungsadäquat sind. Hierzu wird nicht nur interdisziplinär, sondern vor allem auch rechtsvergleichend gearbeitet (beispielsweise im Projekt Vektoren der Datenpreisgabe – Eine komparative Untersuchung zum Einsatz eigener personenbezogener Daten aus den Perspektiven der Rechtswissenschaft, Kulturwissenschaft und Wirtschaftsinformatik). Nicht nur in diesem Zusammenhang sind die globalen Rechtssetzungsaktivitäten im Datenschutzrecht von besonderem Interesse. Vor allem mit Blick auf den globalen Süden stellen sich dabei auch Fragen des Rechtstransfers (und -imperalismus) sowie der Einhegung eines „data colonialism“ (Couldry/Mejias). Da eine weltweite Harmonisierung der Datenschutzrechte ebenso wie eine Änderung der DS-GVO derzeit nicht naheliegend ist, wird auf absehbare Zeit auch und gerade dem Kollisionsrecht eine bedeutende Rolle zukommen.

Weiterführende Links und Literatur​​​​

  • FREDI | Lehrstuhl Hennemann, Global Data Law Maps
  • Hans Peter Bull, Informationelle Selbstbestimmung – Vision oder Illusion, 2. Aufl. 2011
  • Moritz Hennemann/Patricia Boshe/Ricarda von Meding, Datenschutzrechtsordnungen in Afrika, ZfDR (2021), 193–247
  • Moritz Hennemann, Wettbewerb der Datenschutzrechtsordnungen, RabelsZ 84 (2020), 864–895
  • Kai von Lewinski/Giselher Rüpke/Jens Eckhardt, Datenschutzrecht, 2. Aufl. 2022
  • Kai von Lewinski, Die Matrix des Datenschutzes, 2014
  • Nikolaus Marsch, Das europäische Datenschutzgrundrecht, 2018
  • Vance Packard, Die wehrlose Gesellschaft, 1964

Quellen

Bundesverfassungsgericht, Volkszählungs-Entscheidung, Urt. v. 15.12.1983 – Az. 1 BvR 209/83 u. a., BVerfGE 65, S. 1 ff.

Nick Couldry/Ulises A. Mejias, Data Colonialism: Rethinking Big Data’s Relation to the Contemporary Subject, Television & Media 20(4) (2019)