Meine Merkliste Geteilte Merkliste PDF oder EPUB erstellen

Wir müssen über Gesetze reden! | Datenschutz | bpb.de

Datenschutz Praktiken und Risiken sozialer Medien Datenschutzrecht: Bestandsaufnahme und Ausblick Welchen Preis hat Privatsphäre? Meine Daten gehören mir! Leitfaden Datenschutz im Alltag Sicherheit oder Privatsphäre? Ein Dialog Video-Interview Peter Schaar Redaktion

Wir müssen über Gesetze reden! Datenschutzrecht: Bestandsaufnahme und Ausblick

Prof. Kai von Lewinski Kai von Lewinski

/ 11 Minuten zu lesen

Das Datenschutzrecht umfasst Gesetze, Vereinbarungen, Anordnungen und Gerichtsentscheidungen, die dem Schutz der Privatsphäre dienen, das Recht auf informationelle Selbstbestimmung ausgestalten oder den Umgang mit personenbezogenen Daten regeln. Dr. Kai von Lewinski gibt einen Überblick über die wichtigsten Grundsätze, Zielsetzungen und Bestandteile des deutschen Datenschutzrechts.

Paragrafen-Symbole an Türgriffen am Eingang zum Landgericht in Bonn. (© picture-alliance/dpa)

Warum Datenschutzgesetze? Diese Frage, die sich mancher in den Siebziger Jahren, aus denen die ersten Datenschutzgesetze stammen, noch stellte, ist heute leicht zu beantworten: Es geht um die Begrenzung von informationellen Asymmetrien – Wissen ist Macht. Der Staat kann mit seinen Bürokratien und durch Geheimdienste machtvoll auftreten, und private Datenmacht kann über Werbung und Kundenanalysen jedenfalls zu Geld gemacht werden. Hier (und allgemein) es ist eine wichtige Aufgabe des Rechts, Machtungleichgewichte auszutarieren oder jedenfalls erträglich zu machen.

Speziell beim Datenschutz kommt hinzu, dass der Datenhunger von Staat und Unternehmen für den Einzelnen nicht recht spürbar ist. Jedenfalls ist die Schwelle, sich gegen informationelle Zudringlichkeiten zu wehren oder nur den Anbieter zu wechseln, oft zu hoch für ein Tätigwerden. Man spricht in diesem Zusammenhang von rationaler Apathie. Auch hier kann Recht helfen.

Grundkonzept des Datenschutzrechts

Das Datenschutzrecht setzt die verfassungsrechtlich geforderteExterner Link: informationelle Selbstbestimmung durch ein Konzept der informationellen Fremdbestimmung um. Es enthält Regelungen, mittels derer die Verarbeitung eigener Daten bei einem Dritten beschränkt und unterbunden werden kann.

Anwendungsbereich

Allgemein und umgangssprachlich wird manchmal auch der Schutz vor Industriespionage, die Verweigerung zur Herausgabe von Behördendaten oder das Wegschließen des Tagesbuches vor den Eltern als Datenschutz bezeichnet. In der bürokratisch-spröden Terminologie des Datenschutzrechts bezieht sich das Gesetz nur auf personenbezogene Daten eines Betroffenen bei einer verantwortlichen Stelle mit einem Bezug zu Deutschland.

Betroffene (Externer Link: § 3 Abs. 1 BDSG) sind alle natürlichen Personen, also neben Verbrauchern auch Freiberufler und Einzelunternehmer. Staatsangehörigkeit und Alter sind irrelevant.

Als personenbezogene Daten (Externer Link: § 3 Abs. 1 BDSG) werden alle Angaben erfasst, die sich auf einen Betroffenen beziehen oder (mittels Zusatzwissens und eines vertretbaren Aufwands) auf ihn bezogen werden können. Problematisch sind personenbezogene Daten mit Mehrfachbezug (Gruppenmerkmale, die aber auch schon bei Angaben über Ehegatten vorliegen).

Auch beschränkt sich das Datenschutzrecht auf die Datenverarbeitung durch verantwortliche Stellen (§ 3 Abs. 7 BDSG[http://www.gesetze-im-internet.de/bdsg_1990/__3.html]), worunter nur behördliche und kommerzielle Datenverarbeiter fallen. Private Datenverarbeitung (eigene Kalender und Listen, Korrespondenz) fallen nicht hierunter, Websites mit anderer Leute Daten aber schon.

Schließlich ist das (deutsche) Datenschutzrecht nicht weltweit anwendbar. So wie wir nicht wollen, dass andere Staaten uns ihr Datenschutzrecht vorschreiben, so können wir uns nicht anmaßen, unser Datenschutzrecht auch in anderen Ländern angewendet zu sehen. Dies ist – ganz allgemein und unabhängig vom Datenschutzrecht – eine Frage des sogenannten Kollisionsrechts. Während die Frage des anwendbaren Datenschutzrechts bei der Verarbeitung der personenbezogenen Daten eines Deutschen in Deutschland durch eine deutsche verantwortliche Stelle unproblematisch ist, ist dies bei Fällen mit Auslandsberührung oft weniger eindeutig. Hier stellt das Externer Link: BDSG in § 1 Abs. 5 darauf ab, ob die Datenverarbeitungsanlage sich in Deutschland befindet; nur im Fall eines Verarbeiters mit (Geschäfts‑)Sitz in der EU ist das Recht des Sitzlandes einschlägig.

Grundprinzipien des Datenschutzrechts

Das (deutsche) Datenschutzrecht basiert auf dem formellen Regelungsprinzip des Verbots mit Erlaubnisvorbehalt, auf dem Prinzip der Zweckbindung und der Transparenz sowie materiell auf einem Ideal der Anonymität.

Verbot mit Erlaubnisvorbehalt

Das (formelle) Verbot mit Erlaubnisvorbehalt (Externer Link: § 4 Abs. 1 BDSG) bedeutet, dass eine Verarbeitung von personenbezogenen Daten eines Betroffenen durch eine verantwortliche Stelle (zur Terminologie s.o.) rechtlich nur dann erlaubt ist, wenn entweder der Betroffene eingewilligt hat oder ein Gesetz es erlaubt.

Die Einwilligung muss informiert und ausdrücklich erfolgen, regelmäßig sogar in Schriftform (Externer Link: § 4a BDSG). Dies kann auch für den Betroffenen lästig sein, wenn er zum Beispiel am Telefon einen Vertrag mit Datenverarbeitungsklausel abschließen will. Jedenfalls führt das verbreitete Einwilligungserfordernis zu Bleiwüsten an Kleingedrucktem. Das alternative Erfordernis gesetzlicher Gestattung hat dazu geführt, dass die Datenschutzgesetze sich wie Datenverarbeitungserlaubnisgesetze lesen. Das ist aber freilich nur die Folge davon, dass, wenn im Ausgangspunkt etwas verboten ist, es als strukturelle Ausnahme jeweils erlaubt sein muss.

Zweckbindung

Ein wichtiges materielles Prinzip des Datenschutzrechts ist die Zweckbindung. Das Zweckbindungsprinzip ist als allgemeiner Grundsatz (Externer Link: vgl. aber § 31 BDSG) nicht ausdrücklich im Gesetz niedergelegt, ergibt sich aber im Gegenschluss aus den ausdrücklichen Zweckänderungsvorschriften (z.B. § 14 Abs. 2, Externer Link: § 28 Abs. 2 BDSG). Danach dürfen Daten nur in dem Rahmen verwendet werden, der durch Einwilligung bzw. Gesetz abgesteckt wurde. Zweckänderungen und Zweckerweiterungen bedürfen deshalb einer (erneuten) Einwilligung oder einer gesetzlichen Zweckänderungsnorm. Das heißt, dass zum Beispiel ein Versandhändler, der dies vorab nicht vereinbart hat, die Adressdaten für Werbung nur verwenden darf, wenn der Betroffene einwilligt oder soweit das Gesetz (z.B. Externer Link: § 28 Abs. 3 Satz 2 BDSG) ihm Direktwerbung erlaubt.

Transparenz

Besonders wichtig ist dem Datenschutzrecht zur Verwirklichung informationeller Selbstbestimmung die Transparenz personenbezogener Datenverarbeitung. Die Informierungspflichten im Datenschutz reichen weit. So müssen Datenverarbeiter schon allgemein und unabhängig von einer Betroffenheit über sich und ihre Datenverarbeitungen informieren. Dies umfasst die an die Allgemeinheit gerichteten Datenschutzerklärungen und Privacy Policies ebenso wie die Verarbeitungsverzeichnisse (Externer Link: § 4g Abs. 2 Satz 2 BDSG) und das Web-Impressum (Externer Link: § 5 TMG), mittels derer man den Verarbeiter und seinen Geschäftsgegenstand bzw. die Verwaltungstätigkeit jedenfalls grob einschätzen kann. Auch die seit einiger Zeit bestehende Pflicht zur (öffentlichen) Informierung bei sogenannten Datenpannen (Externer Link: § 42a BDSG; Externer Link: § 109a TKG; Externer Link: § 15a TMG) ist hierfür hilfreich. Auf dieser Grundlage mussten in der letzten Zeit Spielkonsolenbetreiber und Mobilfunkunternehmen, die Opfer erfolgreicher Hacking-Attacken geworden waren, dies ihren Kunden und der Öffentlichkeit mitteilen.

Wenn Daten beim Betroffenen selbst erhoben werden, bestehen Unterrichtungspflichten (Externer Link: § 4 Abs. 3 BDSG). Die verantwortliche Stelle hat anlässlich der Datenerhebung über die wesentlichen Umstände zu informieren. Wenn die Daten nicht beim Betroffenen erhoben werden, kann er bei dieser Gelegenheit auch nicht unterrichtet werden. An die Stelle der Unterrichtung tritt die Benachrichtigung (Externer Link: § 19a, Externer Link: § 33 BDSG). Die Benachrichtigungspflicht kennt aber eine lange Reihe von Ausnahmen, die auf Bagatellsachverhalte und auf Geheimnisschutz Rücksicht nehmen. Ob die Ausnahmen zu weit gefasst sind, wird rechtspolitisch diskutiert.

Jedenfalls können Defizite bei (vorgängiger) Unterrichtung und (nachgängiger) Benachrichtigung durch ein Auskunftsverlangen (Externer Link: § 19, Externer Link: § 34 BDSG) kompensiert werden. Aber auch die Auskunftspflicht kennt einige Ausnahmetatbestände, so dass jedenfalls nicht jeder Datenverarbeitung und jedem Datenschutzverstoß auf den Grund gegangen werden kann.

Datensparsamkeit und Datenvermeidung

Von seinem Anonymitätsideal ausgehend wünscht das Datenschutzrecht Datenvermeidung und Datensparsamkeit (Externer Link: § 3a BDSG). Allerdings handelt es sich dabei nicht um unmittelbar anwendbares Recht, kann aber über den (Um‑)Weg der Auslegung anderer Datenschutznormen gleichwohl indirekte Wirkung entfalten.

Struktur der Datenschutzgesetze

Dabei ist das Datenschutzrecht in besonderer Weise unübersichtlich. Es ist horizontal und vertikal gegliedert, zudem auch thematisch verteilt. Teilweise kann nur ein Fachmann das für den jeweiligen Fall anwendbare Recht finden. So ist die Frage, ob deutsche Landesdatenschutzbeauftragte für den Datenschutz bei Facebooks irischer Tochtergesellschaft zuständig sind, ebenso schwierig zu beantworten wie die nach der Rechtsgrundlage für die Führung von Polizeiakten über aus der Haft entlassenen Terroristen.

Das Bundesdatenschutzgesetz (Externer Link: BDSG) ist zwar in gewisser Weise ein Grund-Gesetz des deutschen Datenschutzes, neben dem der Bund auch die Länder und zunehmend die Europäische Union weitere Regelungen erlassen haben. Vereinfacht kann man sagen, dass die Länder für ihre Verwaltungsbehörden zuständig sind und der Bund für die Bundesbehörden sowie den Bereich der Wirtschaft. Die EU hat zwar die allgemeine Externer Link: EG-Datenschutzrichtlinie erlassen, die aber nur mittels mitgliedstaatlicher Umsetzungsrechtsakte, für uns also den deutschen Datenschutzgesetzen, gilt. Die angekündigte EU-Datenschutz-Grundverordnung wird dies alles grundlegend ändern, soweit sie das bisherige europäische und das mitgliedstaatliche Recht ersetzt.

Das BDSG regelt zudem auch nicht einmal das gesamte Datenschutzrecht des Bundes, sondern wird durch viele bereichsspezifische Regelungen ergänzt; gleiches gilt übrigens auch für die Datenschutzgesetze der Länder. So sind der Datenschutz bei Sicherheitsbehörden in der Strafprozessordnung (Externer Link: StPO) und den Polizei- und Nachrichtendienstgesetzen geregelt, der Internetdatenschutz (hauptsächlich) im Telekommunikationsgesetz (Externer Link: TKG) und im Telemediengesetz (Externer Link: TMG). Das Werbedatenschutzrecht dagegen ist Teil des BDSG (Externer Link: § 28 Abs. 3 BDSG). Der Beschäftigtendatenschutz ist gesetzlich nur rudimentär in Externer Link: § 32 BDSG geregelt und beruht deshalb vorwiegend auf Richterrecht. Auch zieht sich durch das BDSG noch die Unterscheidung zwischen dem öffentlichen Bereich ([Bundes‑]Verwaltung; Externer Link: §§ 12 ff. BDSG) und dem so genannten nicht-öffentlichen Bereich (Privatwirtschaft; Externer Link: § 27 ff. BDSG); Grenzfälle sind Stadtwerke und Sparkassen. Insoweit ist das BDSG zwei Gesetze in einem, die allerdings viele Gemeinsamkeiten haben.

Insgesamt hat man es oft mit Gemengelagen zu tun, in denen Normen aus mehreren Gesetzen zusammengelesen werden müssen: So bestimmt sich die Rechtmäßigkeit von Direktmarketing aus der Zusammenschau der Datenschutzregeln des BDSG (Externer Link: § 28 Abs. 3 BDSG) und des Belästigungsschutzes nach Wettbewerbsrecht (Externer Link: § 7 UWG). Im Beschäftigtendatenschutz gelten Externer Link: § 32 BDSG, Richterrecht und die betriebsindividuell ausgehandelten Betriebsvereinbarungen zwischen Arbeitgeber und Betriebsrat. Die Datenverarbeitung der Polizei (Personenkontrollen, Videoüberwachung, Lauschangriff) richtet sich für die Fahndung nach Straftätern nach der Strafprozessordnung (Externer Link: StPO) des Bundes, bei der Gefahrenabwehr (Polizei als Freund und Helfer) nach den Polizeigesetzen der Länder tätig. Die deutschen Nachrichtendienste arbeiten nach jeweils spezifischen Vorschriften (Gesetz über den Bundesnachrichtendienst, Externer Link: BNDG Bundesverfassungsschutzgesetz, Externer Link: BVerfSchG; Gesetz über den Militärischen Abschirmdienst, Externer Link: MADG).

Betroffenenrechte und Durchsetzung von Datenschutz

Problematisch bei der Durchsetzung datenschutzrechtlicher Ansprüche ist neben der Unübersichtlichkeit der verschiedenen Gesetze, dass die meisten Datenschutzverstöße für den Einzelnen regelmäßig weit davon entfernt sind, so störend oder eingreifend zu sein, dass es sich (wirtschaftlich oder auch nur emotional) lohnt, dagegen vorzugehen. Man nennt dieses Phänomen rationale Apathie. Ebenfalls problematisch für die individuelle Durchsetzung des Datenschutzes ist der Umstand, dass ein Eingriff nicht fühlbar ist, deshalb nur schwer und oft erst verzögert bemerkt werden kann. Beiden Spezifika des Datenschutzes versucht das Datenschutzrecht entgegenzuwirken, nämlich durch die oben beschriebenen umfangreichen Informierungs- und Transparenzpflichten der verantwortlichen Stelle gegenüber dem Betroffenen sowie durch institutionelle Hilfestellung bei der Durchsetzung datenschutzrechtlicher Ansprüche. Den Betroffenen soll über die Hürde geholfen werden, ihre Datenschutzrechte in die Hand zu nehmen und durchzusetzen. Wegen Werbepost wird kaum jemand den Gang zu Gericht unternehmen, ein Anruf beim Datenschutzbeauftragten aber vielleicht doch machen.

Eigene Rechtsdurchsetzung

Wie bei allen Angelegenheiten ist es zunächst die Sache jedes Einzelnen, sich um die Wahrung seiner Rechte zu kümmern. Hier kann man (noch im Vorhof des Rechts) zunächst den Verarbeiter um Unterlassungen und Löschungen bitten, man kann die eingeräumten Widerspruchsrechte ausüben (insb. den Werbewiderspruch nach Externer Link: § 28 Abs. 4 BDSG) oder Berichtigungs- und Löschungsansprüche (Externer Link: § 20, Externer Link: § 35 BDSG) geltend machen, notfalls mit Hilfe eines Rechtsanwalts und auch vor Gericht. Hier spielt die Datenschutzaufklärung im Sinne einer Selbstermächtigung eine wichtige Rolle. Neben Schule und dem (öffentlichrechtlichen) Rundfunk sowie etwa der Bundeszentrale für politische Bildung ist es Aufgabe der Datenschutzbeauftragten (Externer Link: § 26 Abs. 1 S. 2 Var. 2 BDSG) und der Stiftung Datenschutz, das Datenschutzbewusstsein zu heben.

Institutionelle Hilfe

Wegen des Phänomens der rationalen Apathie, stößt die Selbstwahrnehmung der eigenen Interessen an seine Grenzen. Wie auch in anderen Bereichen des Verbraucherschutzes wird die Durchsetzung des Datenschutzes deshalb institutionell befördert und erleichtert.

Hier sind zunächst die betrieblichen und behördlichen Beauftragten für den Datenschutz (bDSB) zu nennen (Externer Link: § 4f BDSG). Sie sind einerseits als Teil der verantwortlichen Stelle mit den Umständen der Datenverarbeitung vertraut. Andererseits sind sie mit Unabhängigkeit ausgestattet, so dass sie auch Anlaufstelle für Beschwerden sein können.

Daneben existieren Datenschutzbehörden. In allen Bundesländern (bis auf Bayern) sind die Landesdatenschutzbeauftragten für die Datenschutzkontrolle der Verwaltung und die Datenschutzaufsicht über die Wirtschaft (Externer Link: § 38 Abs. 1 BDSG) einheitlich zuständig. Sie können den Datenschutz gegenüber Behörden durch Beanstandungen (Externer Link: vgl. § 25 BDSG) und gegenüber Unternehmen mit Verfügungen (Externer Link: § 38 Abs. 5 BDSG) und Bußgeldern (Externer Link: § 41 BDSG) durchsetzen. Ein Anspruch auf das Tätigwerden der staatlichen Datenschutzkontrollstellen besteht aber nicht.

Bei Datenschutzverstößen durch Unternehmen kann daneben noch das Wettbewerbsrecht genutzt werden, um Hilfe Dritter zu aktivieren. Denn ein Datenschutzverstoß kann zugleich eine unlautere Wettbewerbshandlung sein, die es den Verbraucherschutzverbänden, vor allem aber Konkurrenten ermöglicht, den Verletzer abzumahnen. Allerdings kann man hier als Betroffener, wie auch gegenüber den Datenschutzbehörden, ein Vorgehen lediglich anregen, hat aber keinen Anspruch auf ein Einschreiten.

Zukunft des Datenschutzrechts

Ist Technik immer schneller als Recht?

Recht ist die Nachhut des Fortschritts. Dieser beliebte Spruch von und über Juristen gilt für das Datenschutzrecht nur eingeschränkt. Denn in geschichtlicher Perspektive zeichnet sich der Datenschutz dadurch aus, dass für dieses schon 1970 bzw. 1977 die gesetzliche Regelung geschaffen wurde, bevor die Informationsverarbeitung in das allgemeine Bewusstsein gerückt war und die Informationsgesellschaft begann, Wirklichkeit zu werden. Auch hat sich das BDSG – mit Ausnahme von § 6a bis § 6c BDSG – um eine technikneutrale Sprache und Regelungsmethode bemüht.

Als allerdings wenig zukunftstauglich und entwicklungsoffen hat sich das Regelungsprinzip des Verbots mit Erlaubnisvorbehalt erwiesen. Bewusst ist dieser defensive Regelungsansatz als Technikverbot konzipiert. Je mehr die Gesellschaft in der Informationsgesellschaft ankommt, desto näher liegt es, das Verbot mit Erlaubnisvorbehalt durch eine Generalklausel (Treu und Glauben) zu ersetzen. (Personenbezogene) Datenverarbeitung darf selbstverständlich nicht im rechtsfreien Raum stattfinden, aber sie muss vom Gesetz nicht pauschal erst einmal verboten sein. Dieser risikoaverse Ansatz mag begünstigt haben, dass Facebook und Google sich nicht in Deutschland oder Europa gebildet haben und nun (räumlich) ganz außerhalb unserer Gesetzgebung operieren.

Europäisierung des Datenschutzrechts

Für den Datenschutz gilt von europäischer Ebene die Externer Link: EG-Datenschutzrichtlinie, die bald durch eine Externer Link: EU-Datenschutz-Grundverordnung (aufgerufen am 4.11.2014) ersetzt werden soll. Noch mehr Gesetze? Dieser Stoßseufzer in Richtung Europa ist nicht auf den Datenschutz beschränkt. Europäisches Datenschutzrecht liegt aber in der Logik des Binnenmarktes und ist bei so etwas Beweglichem wie Daten sinnvollerweise auf einer oberen, gemeinsamen Ebene zu regeln.

Datenschutz als eine hochgradig durchnormierte Materie würde den Interner Link: Binnenmarkt, auf dem die EU konzeptionell beruht, behindern, wenn er den Mitgliedstaaten überlassen bliebe. Wenn jedes Unternehmen in Europa sich auf 28 unterschiedliche Datenschutzregime einstellen müsste, würden viele (grenzüberschreitende) Angebote unterbleiben. Gerade in kleineren Mitgliedstaaten würde dann manches Angebot v.a. aus dem Internet nicht erreichbar sein – ein Phänomen, das wir auch in Deutschland in Gestalt von wegen des Streits mit der GEMA gesperrt Internet-Musikvideos kennen.

Die europäische Vereinheitlichung des Datenschutzrechts wird oft mit der Befürchtung der Absenkung des Datenschutzniveaus verbunden. Dies ist nicht unplausibel, da eine Rechtsvereinheitlichung notwendigerweise nationale Besonderheiten beseitigt. Und zu den Besonderheiten gehören immer auch Regelungen, die einen besonders hohen oder einen besonders geringen Schutz bewirkt haben. Auch kann es durchaus sein, dass bei einer Vereinheitlichung des europäischen Datenschutzniveaus die bislang besonders datenschutzstarken Mitgliedstaaten der Europäischen Union als Preis für die Vereinheitlichung eine Absenkung des Datenschutzniveaus hinnehmen müssen. Während dies also der europäischen Einigung immanent ist, bestehen daneben aber auch (grundsätzlich legitime) Lobby-Bestrebungen, die Reformphase des europäischen Datenschutzes zu nutzen, um den Interessen und Gesichtspunkten ihrer Auftraggeber Gehör zu verschaffen.

Perspektivisch ist eine Hochzonung des Datenschutzrechts auch über die Mitgliedstaaten hinaus wegen der weltweiten Übertragbarkeit der Daten sinnvoll. Ein jeweils nur auf einen Staat begrenztes Datenschutzrecht ist durch Vertrags- und Netzwerkgestaltungen leicht zu umgehen. Am sinnvollsten wäre deshalb ein globales Datenschutzrecht, was aber einstweilen Illusion bleibt. Dies nicht nur wegen unterschiedlicher gesellschaftlicher Datenschutzvorstellungen diesseits und jenseits des Atlantiks, sondern auch, weil der Export westlicher Privatheitsvorstellungen in alle Welt einen kulturimperialistischen Zug hätte.

Weiterführende Literaturhinweise:

  • Schmidt, Jan-Hinrik/Weichert, Thilo (Hrsg.), Datenschutz (Schriftenreihe der bpb Nr. 1190), 2012.

  • Tinnefeld, Marie-Theres/Buchner, Benedict/Petri, Thomas, Einführung in das Datenschutzrecht, 5. Aufl. München 2013.

  • Woertge, Hans-Georg, Die Prinzipien des Datenschutzrechts und ihre Realisierung im geltenden Recht, Heidelberg 1984.

Weitere Inhalte

Kai von Lewinski hat einen Lehrstuhl für Öffentliches Recht, Medien- und Informationsrecht an der Universität Passau. 2013 hat er ein Semester am Humboldt Institut für Internet und Gesellschaft geforscht. Davor war er Rechtsanwalt in einer internationalen Wirtschaftskanzlei, seine Arbeitsschwerpunkte waren Datenschutz- und Softwarelizenzrecht.