Aufgabentext

Werbung
Datenschutz
Datenschutz ist ein in der zweiten Hälfte des 20. Jahrhunderts entstandener Begriff, der nicht
einheitlich definiert und interpretiert wird. Je nach Betrachtungsweise wird Datenschutz verstanden
als Schutz vor missbräuchlicher Datenverarbeitung, Schutz des Rechts auf informationelle
Selbstbestimmung, Schutz des Persönlichkeitsrechts bei der Datenverarbeitung oder Schutz der
Privatsphäre. Datenschutz steht für das grundgesetzlich abgesicherte Recht, dass jeder Mensch
grundsätzlich selbst darüber entscheiden darf, wem wann welche seiner persönlichen Daten
zugänglich sein sollen. Der Wesenskern des Datenschutzrechts besteht dabei darin, dass die
Machtasymmetrie zwischen sehr viel mächtigeren Organisationen und Einzelpersonen unter
Bedingungen gestellt werden kann. Der Datenschutz soll der in der zunehmend digitalen und
vernetzten Informationsgesellschaft bestehenden Tendenz zum so genannten gläsernen Menschen
und dem Ausufern staatlicher Überwachungsmaßnahmen (Überwachungsstaat) und Datenmonopole
von Privatunternehmen entgegenwirken.
Begriff und wissenschaftliche Begründung
Datenschutz sind organisatorische und technische Maßnahmen gegen Missbrauch von Daten durch
Organisationen, während IT-Sicherheit die technischen Maßnahmen gegen Verfälschen von Daten
auf Seiten der Organisationen betrifft. Die besondere Betonung der öffentlichen Sicherheit trifft nicht
die primären Interessen des privaten Datenschutzes[1], sondern lediglich die entgegen stehenden
Interessen des staatlichen Gewaltmonopols.
Ursprünglich wurde unter dem Begriff Datenschutz der Schutz der Daten selbst im Sinne der
Datensicherung, z.B. vor Verlust, Veränderung oder Diebstahl verstanden. Dieses Verständnis fand
auch seinen Niederschlag im ersten Hessischen Datenschutzgesetz von 1970. Demgegenüber wurde
der heute gültige Begriff des Datenschutzes erstmals 1970 in dem Aufsatz „Ulrich Seidel,
Persönlichkeitsrechtliche Probleme der elektronischen Speicherung privater Daten, Neue juristische
Wochenschrift (NJW) 1970, S. 1581 (1583 f.)“ geprägt. Dabei wurde außerdem die schutzrechtliche
Aufspaltung von Daten aus der nicht geschützten Sozialsphäre und der geschützten Privat- und
Intimsphäre aufgegeben und in einen einheitlichen Schutz von personenbezogenen Daten
umgedeutet. In seiner Dissertation „Datenbanken und Persönlichkeitsrecht“ von 1972 hat Seidel das
materielle Datenschutzrecht als die Regelung personenbezogener Datenverarbeitungen insgesamt
begriffen und gegenüber dem formellen Datenschutzrecht und der Datensicherung abgegrenzt. Mit
seiner Arbeit hat er dem Datenschutz die seitdem allgemein und über Deutschland hinaus
gebräuchliche Bedeutung gegeben (vgl. Rechtshistoriker von Lewinski, Geschichte des
Datenschutzrechts von 1600 bis 1977, Freiheit-Sicherheit- Öffentlichkeit, 48. Assistententagung
Öffentliches Recht, Nomos Verlag Baden-Baden 2009, S. 197/198 mit weiteren Nachweisen). Für die
wissenschaftliche Begründung des Datenschutzbegriffes wurde Seidel bereits 1986 mit dem
Bundesverdienstkreuz ausgezeichnet.
Das deutsche Bundesdatenschutzgesetz von 1977 (BDSG 1977) sah es als Aufgabe des Datenschutzes
an „durch den Schutz personenbezogener Daten vor Missbrauch bei ihrer Speicherung,
Übermittlung, Veränderung und Löschung (Datenverarbeitung) der Beeinträchtigung schutzwürdiger
Belange der Betroffenen entgegenzuwirken“ (§ 1 Abs. 1 BDSG 1977). Missbräuchlich war jede
Datenverarbeitung, die nicht auf gesetzlicher Grundlage erfolgte. Datenschutz wurde damals also als
Schutz personenbezogener Daten vor einer gesetzlich nicht legitimierten Datenverarbeitung
angesehen. Fünf Jahre später stellte das Bundesverfassungsgericht im so genannten
Volkszählungsurteil klar, dass auch eine Datenverarbeitung auf gesetzlicher Grundlage unzulässig in
die Grundrechte der Betroffenen eingreifen kann. Das Gericht leitete aus dem allgemeinen
Persönlichkeitsrecht ein „Recht auf informationelle Selbstbestimmung“ ab. Das Volkszählungsurteil
prägte in Deutschland das Verständnis von Datenschutz. Seitdem versteht man Datenschutz als
Schutz des Rechts auf informationelle Selbstbestimmung (z. B. § 1 Landesdatenschutzgesetz
Schleswig-Holstein) oder – etwas allgemeiner – als Schutz des Persönlichkeitsrechts bei der
Verarbeitung personenbezogener Daten (§ 1 BDSG).
In der Schweiz und in Liechtenstein wird Datenschutz definiert als „Schutz der Persönlichkeit und der
Grundrechte von Personen, über die Daten bearbeitet werden“ (§ 1 Bundesgesetz über den
Datenschutz der Schweiz, Art. 1 Abs. 1 Datenschutzgesetz Liechtenstein). In Österreich wird
Datenschutz beschrieben als Anspruch auf Geheimhaltung von personenbezogenen Daten, soweit
ein schutzwürdiges Interesse besteht (§ 1 Abs. 1 Satz 1 Datenschutzgesetz 2000).
Die Europäische Union versteht unter Datenschutz „insbesondere den Schutz der Privatsphäre
natürlicher Personen bei der Verarbeitung personenbezogener Daten“ (Art. 1 Abs. 1 Richtlinie
95/46/EG). Der Europarat definiert Datenschutz als Schutz des „Recht[s] auf einen
Persönlichkeitsbereich […] bei der automatischen Verarbeitung personenbezogener Daten“ (Art. 1
Europäische Datenschutzkonvention). Im englischen Sprachraum spricht man von privacy (Schutz der
Privatsphäre) und von data privacy oder information privacy (Datenschutz im engeren Sinne). Im
europäischen Rechtsraum wird in der Gesetzgebung auch der Begriff data protection verwendet.
Bedeutung
Die Bedeutung des Datenschutzes ist seit der Entwicklung der Digitaltechnik stetig gestiegen, weil
Datensicherheit, Datenhaltung, Datenverarbeitung, Datenerfassung, Datenweitergabe und
Datenanalyse immer einfacher werden. Technische Entwicklungen wie Internet, E-Mail,
Mobiltelefonie, Videoüberwachung und elektronische Zahlungsmethoden schaffen neue
Möglichkeiten zur Datenerfassung. Dieser Entwicklung steht eine gewisse Gleichgültigkeit großer
Teile der Bevölkerung gegenüber, in deren Augen der Datenschutz keine oder nur geringe praktische
Bedeutung hat.
Interesse an personenbezogenen Informationen haben sowohl staatliche Stellen als auch private
Unternehmen.
Sicherheitsbehörden
möchten
beispielsweise
durch
Rasterfahndung,
Telekommunikationsüberwachung und Bestandsdatenauskunft die Verbrechensbekämpfung
verbessern, Finanzbehörden sind an Banktransaktionen interessiert, um Steuerdelikte aufzudecken.
Unternehmen versprechen sich von Mitarbeiterüberwachung (siehe Arbeitnehmerdatenschutz)
höhere Effizienz, Kundenprofile sollen beim Marketing einschließlich Preisdifferenzierung helfen und
Auskunfteien die Zahlungsfähigkeit der Kunden sicherstellen (siehe Verbraucherdatenschutz, Schufa,
Creditreform).
Geschichte
Ausgangspunkt der weltweiten Debatte um den Datenschutz sind die Pläne der US-Regierung unter
John F. Kennedy Anfang der 1960er Jahre, ein Nationales Datenzentrum zur Verbesserung des
staatlichen Informationswesens einzurichten. Dort sollten Daten aller US-Bürger registriert werden.
Vor dem Hintergrund, dass es in den USA kein flächendeckendes Melderegister oder Meldewesen
gibt und auch keine bundesweit geltenden Ausweise, wurde diese Planung in den nachfolgenden
Debatten als Eingriff in das verfassungsrechtlich postulierte „Right to be alone“ betrachtet. Eine
große Rolle spielte dabei auch das bereits 1890 von Samuel D. Warren und dem späteren
Bundesrichter Louis D. Brandeis entwickelte „The Right to Privacy“,[2] nach dem jedem Individuum
das Recht zustehe, selbst zu bestimmen, inwieweit seine „Gedanken, Meinungen und Gefühle“,
mithin personenbezogene Informationen, anderen mitgeteilt werden sollten. Das Vorhaben
scheiterte im Kongress mit der Folge, dass Forderungen nach gesetzlichen Grundlagen für die
Verarbeitung personenbezogener Daten laut wurden. Ergebnis war die Verabschiedung des Privacy
Act – allerdings erst 1974 –, der Regeln für die Bundesbehörden einführte, die bereits die
wesentlichen Prinzipien des Datenschutzes enthielten: Erforderlichkeit, Sicherheit, Transparenz.
Überlegungen, das Gesetz allgemein auch auf den privaten Bereich auszudehnen, führten auf Grund
eines Sachverständigengutachtens, das zum fatalen Ergebnis kam, der Wettbewerb würde dies
regeln, nicht zum Erfolg.
Über die amerikanische Debatte wurde auch in Europa berichtet. In Deutschland wurde Ende der
1960er Jahre nach einem Begriff gesucht, der die unmittelbare Übersetzung des Begriffs „Privacy“ –
(allgemeines) Persönlichkeitsrecht – wegen der kontroversen Debatte seit dem 19. Jahrhundert
sowie seiner Sperrigkeit – vermeiden sollte. In Anlehnung an den Begriff „Maschinenschutz“
(Gesetzgebung zur Sicherheit von Arbeitsgerät) wurde in der Wissenschaft das Wort „Datenschutz“
geschaffen, das zunächst wegen seiner Missverständlichkeit (nicht die Daten werden geschützt,
sondern die Menschen) kritisiert wurde, jedoch inzwischen international gebräuchlich ist (data
protection, protection des données, protección de datos, zaschtschyta danych, προστασία
δεδομένων προσωπικού χαρακτήρα usw.).
1970 verabschiedete Hessen das weltweit erste Datenschutzgesetz; 1977 folgte das
Bundesdatenschutzgesetz (BDSG), die Schwerpunkte lagen in der Bestimmung der Voraussetzung für
die Einführung von Datenschutzbeauftragten und der Vorrangstellung des Schutzes
personenbezogener Daten. Landesdatenschutzgesetze waren 1981 für alle Bundesländer
beschlossen.
Ein Meilenstein war die Prägung des Begriffs des informationellen Selbstbestimmungsrechts, das
heißt das Recht des Einzelnen, grundsätzlich selbst über die Preisgabe und Verwendung seiner
persönlichen Daten zu bestimmen, im Zusammenhang mit dem Volkszählungsurteil 1983.
1995 wurde die Europäische Datenschutzrichtlinie 1995/46/EG verabschiedet. In den Jahren 2001
und 2006 folgten Novellierungen des BDSG. Die letzten drei Novellen stammen vom 29. Mai 2009, 2.
und 3. Juli 2009.[3]
Regelungen
Vergleich einiger Staaten im privacy ranking 2007 der Organisation Privacy International.
(je heller der Farbton, desto höher ist das Schutzniveau)
Internationale Regelungen
Seit 1980 existieren mit den OECD Guidelines on the Protection of Privacy and Transborder Data
Flows of Personal Data international gültige Richtlinien, welche die Ziele haben, die
mitgliedstaatlichen Datenschutzbestimmungen weitreichend zu harmonisieren, einen freien
Informationsaustausch zu fördern, ungerechtfertigte Handelshemmnisse zu vermeiden und eine Kluft
insbesondere zwischen den europäischen und US-amerikanischen Entwicklungen zu verhindern.
1981 verabschiedete der Europarat mit der Europäischen Datenschutzkonvention eines der ersten
internationalen Abkommen zum Datenschutz.[4] Die Europäische Datenschutzkonvention ist bis
heute in Kraft und hat völkerrechtlich verbindlichen Charakter für alle 46 Staaten (Stand: 30. Juli
2013), die sie ratifiziert haben.[5] Die Konvention steht Staaten weltweit offen. Erster Beitrittsstaat
außerhalb Europas ist Uruguay, für den die Konvention zum 1. August 2013 in Kraft trat. (Dagegen
sind die Datenschutzrichtlinien der Europäischen Union nur für die EU-Mitgliedstaaten verbindlich
und somit auch nur von diesen in nationales Recht umzusetzen.)
Vereinigte Staaten
Der Datenschutz ist in den Vereinigten Staaten kaum rechtlich durch Gesetze oder andere
Vorschriften geregelt. Der Zugriff auf private Daten ist in vielen Fällen gesellschaftlich akzeptiert, z. B.
eine Bonitätsprüfung vor der Vereinbarung eines Arbeitsverhältnisses oder vor der Anmietung einer
Wohnung. Es gibt zwar Regelungen für einzelne Teilbereiche, z. B. den Children’s Online Privacy
Protection Act (COPPA, deutsch: „Gesetz zum Schutz der Privatsphäre von Kindern im Internet“) und
im Bereich Krankenversicherung den Health Insurance Portability and Accountability Act (HIPAA),
jedoch keine umfassende Regelung für den Umgang mit persönlichen Daten.
Ein möglicher Grund dafür ist, dass in den USA der Regierung wenig zugetraut wird,
personenbezogene Informationen wirklich zu schützen. Es wird argumentiert, in vielen Fällen
kollidiere der Datenschutz mit den Vorgaben im 1. Zusatzartikel zur Verfassung der Vereinigten
Staaten (First Amendment), der die Meinungsfreiheit regelt. Auch sei schon in vielen Staaten der
Welt der Datenschutz als Instrument zur Unterdrückung der Meinungsfreiheit eingesetzt worden.
Der Oberste Gerichtshof der Vereinigten Staaten hat zwar im Fall Griswold v. Connecticut 1965 die
Verfassung dahingehend interpretiert, dass sie dem Einzelnen ein Recht auf Privatsphäre zugesteht.
Dennoch erkennen nur sehr wenige US-Bundesstaaten ein Recht des Individuums auf Privatsphäre
an. Eine der wenigen Ausnahmen ist Kalifornien. In Artikel 1, Abschnitt 1, der kalifornischen
Verfassung ist ein unveräußerliches Recht auf Privatsphäre festgelegt und die kalifornische
Gesetzgebung hat diesen Grundsatz in einigen rechtlichen Regelungen zumindest ansatzweise
umgesetzt. So verpflichtet beispielsweise der California Online Privacy Protection Act (OPPA) aus
dem Jahr 2003 Betreiber kommerzieller Internetseiten oder Onlinedienste, die über ihre Webseiten
personenbezogene Informationen über Bürger des Staates Kalifornien sammeln, auf selbigen Seiten
einen auffälligen Hinweis über ihre Umgangsweise mit den Daten zu platzieren und diese – inhaltlich
jedoch nicht näher vorgegebenen – selbstgesetzten Datenschutzrichtlinien auch einzuhalten.
Das US-Handelsministerium entwickelte zwischen 1998 und 2000 das (freiwillige) Safe HarborVerfahren, mit dem US-Unternehmen im Umgang mit europäischen Geschäftspartnern einfacher die
Einhaltung der Datenschutzrichtlinie der EU-Kommission (95/46/EC) belegen können sollen.
Es gibt in den USA keine umfassende unabhängige Datenschutzaufsicht, lediglich die im Bereich
Handel tätige Federal Trade Commission (FTC), die sich gelegentlich auch mit Datenschutzproblemen
befasst. Die FTC schreitet jedoch nur dann ein, wenn ein Unternehmen seine selbst gesetzten
Datenschutzrichtlinien nicht einhält; es gibt jedoch keinerlei Mindestvorgaben über die Existenz oder
Ausgestaltung einer solchen Selbstverpflichtung. Verpflichtet sich also ein Unternehmen nicht
freiwillig zum Datenschutz, schreitet auch die FTC nicht ein, da ja kein Verstoß gegen irgendwelche
Vorschriften vorliegt.
Im Gegensatz zu europäischen Regelungen gibt es in den USA keinerlei rechtliche Vorgaben über die
Aufbewahrungsdauer gesammelter personenbezogener Daten. Es gibt des Weiteren kein Recht auf
Auskunft gegenüber Behörden oder Unternehmen, welche Daten zur Person gespeichert sind (mit
Ausnahme des Freedom of Information Act), sowie kein Recht auf Berichtigung falscher Daten.
Sämtliche bestehenden Datenschutzregelungen beziehen sich nur auf Bürger der USA und solche, die
sich langfristig in den USA aufhalten, nicht auf Daten, die aus dem Ausland kommen.
Der damalige Bundesbeauftragte für den Datenschutz, Peter Schaar, hat daher die im März 2008
zwischen der Bundesrepublik Deutschland und den USA vereinbarte Erweiterung des im Prümer
Vertrag geregelten innereuropäischen automatisierten Datenaustausches auf die USA kritisiert.
Europäische Union
Der Schutz personenbezogener Daten ist in der Europäischen Union ein Grundrecht.[6] Mit der
Richtlinie 95/46/EG (Datenschutzrichtlinie) haben das Europäische Parlament und der Europäische
Rat Mindeststandards für den Datenschutz der Mitgliedsstaaten festgeschrieben. Die Richtlinie gilt
jedoch nicht für den Bereich der justiziellen und polizeilichen Zusammenarbeit, die so genannte
Dritte Säule der Union. In Deutschland wurde die Richtlinie im Jahr 2001 mit dem Gesetz zur
Änderung des Bundesdatenschutzgesetzes und anderer Gesetze in nationales Recht umgesetzt.
Geregelt wird auch die Übermittlung von personenbezogenen Daten an Drittstaaten, die nicht
Mitglied der EU sind, oder einem Vertragsstaat des Abkommens über den europäischen
Wirtschaftsraum angehören: Gemäß Artikel 25 ist die Übermittlung nur dann zulässig, wenn der
Drittstaat ein „angemessenes Schutzniveau“ gewährleistet. Die Entscheidung, welche Länder dieses
Schutzniveau gewährleisten, wird von der Kommission getroffen, die dabei von der so genannten
Artikel-29-Datenschutzgruppe beraten wird. Aktuell (Stand 04/2015) wird gemäß Entscheidung der
Kommission von folgenden Drittstaaten ein angemessenes Schutzniveau gewährleistet: Andorra,
Argentinien, Färöer, Guernsey, Isle of Man, Israel, Jersey, Kanada, Neuseeland, Schweiz, Uruguay
sowie bei der Anwendung der vom US-Handelsministerium vorgelegten Grundsätze des „Sicheren
Hafens“ und bei der Übermittlung von Fluggastdatensätzen an die US-Zoll- und Grenzschutzbehörde
(CBP).[7]
Insbesondere die Entscheidung über die Zulässigkeit der Übermittlung von Fluggastdatensätzen an
die US-amerikanischen Zollbehörden ist stark umstritten. Der Europäische Gerichtshof (EuGH) hat auf
Grund einer Klage des Europäischen Parlaments diese Entscheidungen der Kommission und des Rates
annulliert.
Ergänzt wurde die allgemeine Datenschutzrichtlinie durch die bereichsspezifische Richtlinie
2002/58/EG (Datenschutzrichtlinie für elektronische Kommunikation).
Vom EU-Parlament wurde mit den Stimmen von Christdemokraten und Sozialdemokraten am 14.
Dezember 2005 eine Richtlinie über eine obligatorische Vorratsdatenspeicherung von Verkehrsdaten
der Telekommunikation und des Internets gebilligt. Diese Richtlinie verpflichtete die Mitgliedstaaten
zur Einführung von Mindestspeicherungsfristen von sechs Monaten (Internet) bzw. einem Jahr
(Telefonie).
Diese
Richtlinie
über
die
Vorratsdatenspeicherung
wurde
von
Bürgerrechtsorganisationen und Datenschutzbeauftragten kritisiert und war ebenfalls Gegenstand
einer Klage vor dem Europäischen Gerichtshof. Am 8. April 2014 wurde sie durch den EuGH für
ungültig erklärt.[8] Die Ungültigerklärung wurde zum Zeitpunkt des Inkrafttretens der Richtlinie
wirksam.[9]
Im Januar 2012 wurde der EU-Kommissions-Entwurf der europäischen DatenschutzGrundverordnung veröffentlicht, der vor allem unter deutschen Datenschutzexperten Anlass zu
eindeutigen Stellungnahmen[10][11] gab. Auch die deutschen Datenschutzbehörden diskutierten
diesen Entwurf seit seiner Veröffentlichung kontrovers,[12][13] wobei auch datenschutzkritische
Stimmen öffentlich Kritik daran geäußert haben („Ulmer Resolution“). Die folgenden Beratungen im
EU-Parlament waren gekennzeichnet durch intensives Lobbying insbesondere von Seiten der USRegierung und von US-amerikanischen IT-Unternehmen, wobei insgesamt über 3100
Änderungsanträge eingebracht wurden. Trotzdem gelang im Europäischen Parlament, mit dem
Grünen Europaabgeordneten Jan Philipp Albrecht als Berichterstatter, die Erarbeitung einer
gemeinsamen Verhandlungsposition, die im Oktober 2013 im Innen- und Justizausschuss und im
März 2014 im Plenum mit überwältigender Mehrheit angenommen[14] und am 12. März 2014 durch
das Plenum bestätigt wurde.[15] Seitdem verhandeln die Mitgliedstaaten (Rat) über den Entwurf.
Anschließend, voraussichtlich 2015, erfolgt dann die Abstimmung zwischen Rat, Europäischem
Parlament und Europäischer Kommission (sogenannter Trilog).
Im Gegensatz zu der bisherigen Richtlinie 95/46/EG (Datenschutzrichtlinie), die wie bei allen EURichtlinien in jeweils nationales Recht der Mitgliedstaaten umgesetzt wurde, wäre die DatenschutzGrundverordnung in allen Mitgliedstaaten rechtsverbindlich und würde beispielsweise in
Deutschland das Bundesdatenschutzgesetz ablösen.
Deutschland
Der Datenschutz ist nach der Rechtsprechung des Bundesverfassungsgerichts ein Grundrecht (Recht
auf informationelle Selbstbestimmung). Danach kann der Betroffene grundsätzlich selbst darüber
entscheiden, wem er welche persönlichen Informationen bekannt gibt.
Dieses Grundrecht wird im Grundgesetz allerdings nicht explizit erwähnt. Dagegen wurde in den
meisten Landesverfassungen eine Datenschutzregelung aufgenommen, so in Berlin (Art. 33),
Brandenburg (Art. 11), Bremen (Art. 12), Mecklenburg-Vorpommern (Art. 6 Abs. 1 und 2), NordrheinWestfalen (Art, 4 Abs. 2 sowie die Verbürgung der Einrichtung des Datenschutzbeauftragten in Art.
77a), Rheinland-Pfalz (Art. 4a), Saarland (Art. 2 Abs. 2), Sachsen (Art. 33), Sachsen-Anhalt (Art. 6 Abs.
1) und Thüringen (Art. 6).
Auf Bundesebene regelt das Bundesdatenschutzgesetz (BDSG) den Datenschutz für die
Bundesbehörden und den privaten Bereich (d. h. für alle Wirtschaftsunternehmen, Institutionen,
Vereinen etc. gegenüber natürlichen Personen). Daneben regeln die Datenschutzgesetze der Länder
den Datenschutz in Landes- und Kommunalbehörden. Datenschutzrechtliche Regelungen finden sich
darüber hinaus in etlichen weiteren Gesetzen, etwa dem Telekommunikationsgesetz und dem
Telemediengesetz, die jeweils für ihren Anwendungsbereich speziellere Regelungen zum Datenschutz
enthalten. Diese bereichsspezifischen Regelungen gehen dem Bundesdatenschutzgesetz jeweils vor,
das BDSG gilt nur ergänzend.
Die öffentlichen Stellen des Bundes sowie die Unternehmen, die geschäftsmäßig
Telekommunikations- oder Postdienstleistungen erbringen, unterliegen der Aufsicht durch den
Bundesbeauftragten für den Datenschutz. Die Landesbehörden werden durch die
Landesdatenschutzbeauftragten kontrolliert. Die privaten Unternehmen (bis auf Telekommunikation
und Post) unterliegen der Aufsicht der Datenschutzaufsichtsbehörden für den nicht-öffentlichen
Bereich, die beim Landesdatenschutzbeauftragten oder bei den Landesbehörden (z. B.
Innenministerium) angesiedelt sind. Die EU-Kommission hat ein Vertragsverletzungsverfahren gegen
die Bundesrepublik Deutschland eingeleitet, da einige Landesdatenschutzbeauftragte und alle
Landesbehörden nicht „in völliger Unabhängigkeit“ arbeiten, sondern die Landesregierung
weisungsbefugt ist.[16]
Österreich
Rechtsgrundlage für den Datenschutz ist in Österreich das Datenschutzgesetz 2000 (DSG 2000). Die
Einhaltung des Datenschutzes kontrolliert die Datenschutzbehörde, die seit 1. Jänner 2014 von
Andrea Jelinek geleitet wird.
Möglich ist aber auch die zivilrechtliche Durchsetzung des Datenschutzes bei den ordentlichen
Gerichten (insbesondere Löschung und Richtigstellung von fehlerhaften Daten).
Schweiz
Ähnlich wie in Deutschland regelt das Datenschutzgesetz des Bundes den Datenschutz für die
Bundesbehörden und für den privaten Bereich; auf die kantonalen Behörden ist das jeweilige
kantonale Datenschutzgesetz anwendbar.
Kontrolliert wird die Einhaltung des Datenschutzgesetzes im Bund durch den Eidgenössischen
Datenschutz- und Öffentlichkeitsbeauftragten und sein Sekretariat. Momentan wird diese Stelle
durch Hanspeter Thür besetzt.
Für die Kontrolle der Einhaltung der kantonalen Datenschutzgesetze sind die Kantone zuständig. Sie
sind dem Eidg. Datenschutzbeauftragten nicht unterstellt, sondern kontrollieren unabhängig.
Ein bemerkenswerter Unterschied zu den Regelungen in beispielsweise Deutschland und Österreich
ist die Tatsache, dass in der Schweiz zusätzlich zur Auskunftspflicht auch eine Informationspflicht
existiert (Art. 14 u. Art. 18a): Werden Personendaten von Bundesorganen bearbeitet oder besonders
schützenswerte Personendaten oder Persönlichkeitsprofile von privaten Personen bearbeitet, dann
müssen grundsätzlich die betroffenen Personen aktiv durch den Inhaber der Datensammlung
informiert werden. Ähnlich wie es in Deutschland und Österreich definiert ist, sind auch in der
Schweiz jegliche Daten, die eine Profilbildung erlauben (Art. 3d), den besonders schützenswerten
Daten gleichgestellt.
Kirche
In der Kirche hat Datenschutz eine sehr lange Tradition. So wurden bereits 1215 n. Chr. Seelsorgeund Beichtgeheimnis im Kirchenrecht schriftlich verankert. Heute schützt für den Bereich der
römisch-katholischen Kirche das weltweit gültige kirchliche Gesetzbuch Codex Iuris Canonici (CIC) das
Persönlichkeitsrecht auf Schutz der Intimsphäre in Canon 220. In Deutschland gelten die
Datenschutzgesetze von Bund und Ländern im Bereich der öffentlich-rechtlichen Kirchen
(einschließlich Caritas und Diakonie) vielfach nicht, da die Kirchen diesbezüglich ein
Selbstbestimmungsrecht haben. Stattdessen gelten vergleichbare Datenschutzregelungen der
Kirchen selbst. In der Evangelischen Kirche in Deutschland (EKD) gilt das Datenschutzgesetz der EKD
(DSG-EKD), in der römisch-katholischen Kirche in Deutschland die Anordnung über den kirchlichen
Datenschutz (KDO) und in der alt-katholischen Kirche die Ordnung über den Schutz von
personenbezogenen Daten (Datenschutz-Ordnung, DSO) im Bereich des Katholischen Bistums der
Alt-Katholiken in Deutschland. Allerdings gilt wieder das allgemeine Datenschutzrechtlichen, wenn
die Kirchen außerhalb des karitativen oder sonst zum kirchlichen Auftrag gehörenden Bereichs in
Formen des Privatrechts tätig werden.[17]
Verfahren
Hauptprinzipien des Datenschutzes sind




Das Verbot mit Erlaubnisvorbhealt (§4 BDSG), wonach Daten ohne eine Rechtsgrundlage
nicht verarbeitet werden dürfen
Datensparsamkeit und Datenvermeidung,
Erforderlichkeit,
Zweckbindung.
Wenn Daten aufgrund einer Rechtsgrundlage verarbeitet werden dürfen, so sind technischorganisatorische Maßnahmen zur Gewährleistung des operativen Datenschutzes bei den technischen
Prozessen und Funktionen zu treffen. Das Standard-Datenschutzmodell (SDM) formuliert alle
operativ zu erfüllenden Anforderungen, die personenbezogene Verfahren zu erfüllen haben.
Geltungsbereich
Der Datenschutz bezieht sich auf die Erhebung, die Verarbeitung und die Nutzung
personenbezogener Daten.
Definitionen:



Erheben = Beschaffen, § 3 Abs. 3 BDSG.
Verarbeiten = Speichern, Verändern, Übermitteln, Sperren, Löschen, § 3 Abs. 4 BDSG.
Nutzen = Jedes Verwenden, soweit es sich nicht um Verarbeiten handelt, d. h. Verwenden ist
der Oberbegriff für Verarbeiten und Nutzen, § 3 Abs. 5 BDSG.
Datenschutzkontrolle
Als Aufsicht für den öffentlichen Sektor gibt es:



den Bundesbeauftragten für den Datenschutz, für den Bereich der Bundesbehörden
die Landesbeauftragten für den Datenschutz, für den Bereich von Landesbehörden
besondere Datenschutzbeauftragte bei Körperschaften, Anstalten und Stiftungen des
öffentlichen Rechtes (z. B. Rundfunkdatenschutzbeauftragter)
Zusätzlich haben Behörden die Möglichkeit/Verpflichtung behördliche Datenschutzbeauftragte zu
ernennen. Diese können einzelne Aufgaben (z. B. Führung des Datenschutzregisters) übernehmen,
verhindern jedoch nicht die Kontrolle durch den übergeordneten Beauftragten.
Im nicht-öffentlichen Bereich ist die Datenschutzaufsicht landesrechtlich geregelt. Diese ist z. B. bei
der Bezirksregierung, dem Innenministerium oder dem Landesbeauftragten für Datenschutz
angesiedelt. Für Post- und Telekommunikationsunternehmen ist ebenfalls der Bundesbeauftragte für
den Datenschutz zuständig.
Ab einer bestimmten Firmengröße muss nach dem Bundesdatenschutzgesetz ein betrieblicher
Datenschutzbeauftragter bestellt werden. Diese sind teilweise im Berufsverband der
Datenschutzbeauftragten Deutschlands organisiert.
Auch verschiedene Vereine beschäftigen sich mit der Stärkung des Datenschutzes, etwa die Deutsche
Vereinigung für Datenschutz, die Gesellschaft für Datenschutz und Datensicherheit, das FIfF,
digitalcourage (vormals FoeBuD), oder in Österreich die ARGE Daten.
Konflikte
Datenschutz kollidiert in verschiedenen Bereichen mit anderen Zielen. Diese Zielkonflikte müssen
durch ein Abwägen des Datenschutzes mit anderen Zielen gelöst werden. Ein übertriebener
Datenschutz oder Datenschutz am falschen Ort kann auch schädlich sein.
Datenschutz und Informationsfreiheit
Datenschutz steht grundsätzlich im Konflikt mit der Forderung nach Informationsfreiheit.
Informationsfreiheit
bedeutet,
dass
Informationen
der
öffentlichen
Verwaltung
(Verwaltungstransparenz) und Politik dem Bürger öffentlich gemacht werden (Öffentlichkeitsprinzip).
Diese Informationen unterliegen jedoch auch dem Datenschutz und sollten daher vertraulich
behandelt werden. Dieser Zielkonflikt wird sehr unterschiedlich gelöst. In Schweden wird das
Öffentlichkeitsprinzip traditionell weitaus höher bewertet als der Datenschutz. Selbst hochprivate
Daten wie die Einkommensteuererklärung sind öffentlich. In Deutschland bestand traditionell eine
geringe Bereitschaft öffentlicher Verwaltungen zur Veröffentlichung von Informationen. Erst 2006
wurde diese Haltung durch das Informationsfreiheitsgesetz gelockert. Die Abwägung zwischen den
Belangen von Informationsfreiheit und Datenschutz wurde in § 5 Informationsfreiheitsgesetz
weitgehend zu Gunsten des Datenschutzes vorgenommen:
„Zugang zu personenbezogenen Daten darf nur gewährt werden, soweit das Informationsinteresse
des Antragstellers das schutzwürdige Interesse des Dritten am Ausschluss des Informationszugangs
überwiegt oder der Dritte eingewilligt hat. Besondere Arten personenbezogener Daten im Sinne des
§ 3 Abs. 9 des Bundesdatenschutzgesetzes dürfen nur übermittelt werden, wenn der Dritte
ausdrücklich eingewilligt hat“
– § 5 Informationsfreiheitsgesetz[18]
Ähnliche Konflikte ergeben sich auch auf Unternehmensebene. Hier kollidiert ein eventueller
Auskunftsanspruch von Kunden oder Dritten mit dem Datenschutz. So hatte etwa der
Mobilfunkbetreiber T-Mobile den Wunsch eines Kunden, den Absender von Werbe-SMS zu erfahren,
mit dem Hinweis auf Datenschutz abgewiesen – und wurde erst durch ein Urteil des
Bundesgerichtshof (Az. I ZR 191/04) dazu gezwungen.[19]
Kosten des Datenschutzes
Datenschutz verursacht Kosten und steht damit im Konflikt zu dem Ziel von Unternehmen und
Verwaltungen, kosteneffizient zu arbeiten.[20] Datenschutz kann (wenn auch in geringerem Umfang)
zu Kostenersparnissen beitragen.
Ihnen entstehen unter anderem Kosten:




für den Datenschutzbeauftragten und seine Organisation (z. B. Sachmittel,
Mitarbeiterschulungen)
dadurch, dass die betriebliche Datenverarbeitung durch den Datenschutz komplizierter und
damit teurer wird (z. B. Zugriffsrechtverwaltung, Lösch-, Archivierungs- und Sperrfunktionen)
durch die Bearbeitung der Anfragen von Dritten über gespeicherte Daten und Korrekturoder Löschforderungen
durch die Dokumentation und Prüfung der vorgenommenen Maßnahmen des Datenschutzes
Dazu kommen indirekte Kosten, zum Beispiel in Form von Mehrfacheingaben von Daten, wenn eine
automatisierte Datenübernahme unzulässig ist (z. B. darf das Finanzamt nicht automatisiert
Adressänderungen der Steuerpflichtigen vom Einwohnermeldeamt übernehmen). Auch sind
Nutzungen von Daten, die zu Geschäftschancen führen, aufgrund des Datenschutzes teilweise nicht
zulässig. So dürfen z. B. Banken nicht den Zahlungsverkehr ihrer Kunden daraufhin auswerten, ob
diese Geschäftsverbindungen zu Wettbewerbern haben, und ihnen daraufhin Produktangebote
unterbreiten.
Von noch größerer Bedeutung sind volkswirtschaftliche Kosten, welche daraus entstehen, dass bei
Nichtexistenz von perfekter Information eine wesentliche Abweichung von den Annahmen eines
vollkommenen Marktes vorliegt. Datenschutz, der (sonst wäre er inhaltsleer) den Fluss an
Informationen mindert, verringert automatisch die volkswirtschaftliche Effizienz (hierzu und zu
weiteren Literaturhinweisen vgl. Maennig 2006). Im Extremfall wird das Verbergen von
Informationen mit Hinweis auf den Datenschutz als Versuch interpretiert, sich oder sein
Unternehmen zum Schaden Anderer bzw. der Gesellschaft falsch oder unvollständig darzustellen,
indem beispielsweise unangenehme Informationen unterdrückt werden. Als typisches Beispiel
werden Gesetze genannt, die finanzielle Informationen schützen. Diese machen es beispielsweise
Personen und Unternehmen mit Insolvenzhistorie möglich, sich ebenso positiv darzustellen wie
andere Personen und Unternehmen. Wenn sie daraufhin Kredite, Kreditkarten etc. erhalten, besteht
die Gefahr, dass die Zahl der zukünftigen „defaults“ und somit das Kreditrisiko steigt – mit der Folge
von höheren Risikomargen für alle, auch die Unbescholtenen.
Aufgrund der mit Datenschutz einhergehenden volkswirtschaftlichen Kosten lautet die ökonomische
Antwort auf die Frage nach dem Datenschutz nicht ja oder nein; vielmehr wird nach einer optimalen
Menge und Ausgestaltung des Datenschutzes gesucht.
Zu Kostenersparnissen können z. B. beitragen:


Geringere Datenmengen aufgrund des Prinzips der Datensparsamkeit
Effizientere EDV-Systeme aufgrund systematischerer DV-Organisation und -Dokumentation
Der Kostenaspekt wird seit den Anfängen des Datenschutzes thematisiert.[21] Eine Studie von 1985
wies für die Zeit von 1977 bis 1985 datenschutzinduzierte Kosten von



bis 0,3 Millionen Mark bei fast allen kleinen und einigen mittleren Unternehmen,
0,3 bis 0,6 Millionen Mark bei dem überwiegenden Teil der mittleren Unternehmen und
1 bis 3 Millionen Mark bei den meisten Großunternehmen auf.
Einige wenige Großunternehmen wiesen Kosten von mehr als 20 Millionen Mark auf.[22] Aufgrund
immer weiter verschärfter Datenschutzregelungen sind die Kosten heute um ein Vielfaches höher.
Auch fehlender Datenschutz verursacht Kosten in teils erheblicher Höhe bei den Organisationen. Als
direkte Kosten sind hier z. B. Bußgelder für die Nichteinhaltung von Datenschutzbestimmungen zu
nennen. Verstöße gegen Datenschutz sind potentiell geeignet, das Image der Organisation zu
beschädigen und damit das Geschäft zu schädigen.
Datenschutz und Kriminalitätsbekämpfung
In der Öffentlichkeit vielfach diskutiert ist der Konflikt zwischen Datenschutz und
Kriminalitätsbekämpfung. Ein weitgehender Zugriff der Strafverfolgungsbehörden auf
personenbezogene Daten (auch von Unschuldigen/Unverdächtigen) erleichtert diesen die Arbeit. Ein
Datenschutz ist hier jedoch besonders wichtig, da ein Überwachungsstaat mit dem Prinzip eines
Rechtsstaates unvereinbar ist. Der Schutz der Grundrechte der Einwohner bedarf der gesetzlichen
Regelung der Zugriffs- und Speichermöglichkeiten der Strafverfolgungsbehörden auf persönliche
Daten. Der Umfang dieser Möglichkeiten und damit verbunden das Verhältnis zwischen Nutzen
(Sicherheit) und Schaden (Eingriff in die Freiheits- und Bürgerrechte) ist politisch hoch umstritten.
Während die einen auch bei kleineren Eingriffen das Bild eines Überwachungsstaates bemühen,
lautet ein pauschales Schlagwort der Gegenseite „Datenschutz ist Täterschutz“.
Für die Abwägung der Interessen des Datenschutzes und der Kriminalitätsbekämpfung muss die
konkrete Maßnahme betrachtet werden. Ansatzpunkte für eine Bewertung sind:


Schwere der Eingriffe in den Datenschutz
Grad der Eignung der Maßnahme zur Verbesserung der Kriminalitätsbekämpfung
Die Themen, an denen sich die Diskussion um Datenschutzes und Kriminalitätsbekämpfung
festmacht, wechselte im Laufe der Zeit. In den 1970ern wurde die Rasterfahndung und ab den
1990er Jahren die Videoüberwachung intensiv diskutiert. Heute macht sich die Diskussion z. B. an
DNA-Reihenuntersuchungen, der Einführung von biometrischen Daten (Fingerabdruck,
Gesichtsmaße, zukünftig eventuell Irisscan) und RFID-Chips in den Reisepass (Biometrischer
Reisepass) fest.
Am 24. Februar 2012 entschied das Bundesverfassungsgericht in Karlsruhe, dass Polizei und
Nachrichtendienste bei ihren Ermittlungen nicht auf Passwörter und PIN-Codes zugreifen dürfen.[23]
Zurzeit stehen auch die infolge eines Abkommens zwischen der EU und den USA bei Flugreisen
übermittelten Passenger Name Records in der Kritik, bei der vor Flugantritt personenbezogene Daten
des Passagiers an die USA übermittelt und dort für mindestens 15 Jahre gespeichert werden. Ein
ähnliches Abkommen wurde bereits 2006 vom EuGH gekippt, allerdings kurz darauf wenig verändert
wieder auf den Weg gebracht.
Datenschutz und Wissenschaft
Auch wissenschaftliche Datensammlungen unterliegen dem Datenschutz. Hier kann ein Konflikt
zwischen der Forschungsfreiheit und Datenschutz entstehen. Unproblematisch ist aus
Datenschutzsicht die Verwendung pseudonymisierter oder gar anonymisierter Daten. Vielfach
werden in der Wissenschaft jedoch auch personenbezogene Daten genutzt. In diesen Fällen wäre
eine konsequente Anwendung der datenschutzrechtlichen Vorschriften manchmal ein Verbot der
wissenschaftlichen Forschungen. Um dies zu vermeiden bestehen Sonderregelungen für
wissenschaftliche Forschungen. Auf internationaler Ebene bestehen die Europarat-Empfehlung zum
Schutz personenbezogener Daten für Zwecke der wissenschaftlichen Forschung und Statistik (Nr. R
[83] 10), auf nationaler Ebene gibt es Ausnahmetatbestände im BDSG für wissenschaftliche
Forschung. So z. B. im Bezug auf die Einwilligung der Betroffenen (§ 4a (2)), der Datenerhebung (§ 13
(2) Ziffer 8), der Datenspeicherung, -veränderung und -nutzung (§ 14 (2) Ziffer 9 bzw. (5) Ziffer 2)
oder der Löschung und Sperrung (§ 20 (7) Ziffer 1).
Dennoch stellt die Einhaltung des Datenschutzes in vielen wissenschaftlichen Forschungen einen
Kostenfaktor und eine Einschränkung bei der Erhebung und Nutzung von Daten dar.
Datenschutz und Medizin
In der Medizin besteht ein besonderes Maß an Vertraulichkeit (siehe Ärztliche Schweigepflicht).
Daher sind Datenschutzvorschriften hier relativ unstrittig.
Konfliktfelder sind hier der Datenaustausch zwischen Ärzten, Krankenkassen, Krankenhäusern und
anderen Dienstleistern im Gesundheitswesen. Eine wirksame und kostengünstige Behandlung (z. B.
die Vermeidung von Doppeluntersuchungen) setzt Wissen über Vorerkrankungen, bisherige Diagnose
und Behandlung und Medikamentennutzung voraus. Ein Austausch dieser Daten erfolgt aufgrund der
Datenschutzvorschriften hier nur manuell. Für die diesbezügliche Diskussion siehe: Elektronische
Gesundheitskarte.
Genetik
Im Zuge immer weiter fortschreitender, leichterer und perfekter auch persönlicher Genanalysen mit
der Erstellung so genannter genetischer Fingerabdrücke wird auch hier der Datenschutz der
„genetischen Privatsphäre“ immer wichtiger.[24]
Herunterladen