Читать книгу Datenschutz bzgl. Kundendaten bei Unternehmenstransaktionen unter besonderer Berücksichtigung der DSGVO - Carmen Födisch - Страница 13

Als Reaktion auf den technischen Fortschritt im Hinblick auf die Entwicklung von Großrechnertechnologien musste der Gesetzgeber mit rechtlichen Rahmenbedingungen nachfolgen. Als erstes Bundesland verabschiedete Hessen im Jahr 1970 ein allgemeines Landesdatenschutzgesetz.39 Auf Länderebene zogen die westlichen Bundesländer bis 1981 und schließlich die neuen Bundesländer bis 1992 nach, während auf Bundesebene bereits 1977 das erste deutsche Bundesdatenschutzgesetz (BDSG) im Bundesgesetzblatt verkündet wurde.40 Schon damals hatte der Gesetzgeber von 1977 den Grundsatz in § 3 BDSG eingeführt, dass die Verarbeitung personenbezogener Daten nur auf der Grundlage einer Einwilligung des Betroffenen oder einer gesetzlichen Grundlage zulässig sein sollte (sog. Verbot mit Erlaubnisvorbehalt), wodurch der Bürger nicht nur gegenüber dem Staat, sondern auch gegenüber Privaten in seinen Grundrechten geschützt wurde.41

Bis heute erfolgten im Wesentlichen drei umfangreiche Novellierungen des BDSG von 1977. Die Anerkennung eines umfassenden grundrechtlich verankerten Rechts auf informationelle Selbstbestimmung, welches das BVerfG im Urteil vom 15. Dezember 1983 zum Volkszählungsgesetz (sog. ‚Volkszählungsurteil‘)42 als Ausprägung des allgemeinen Persönlichkeitsrechts nach Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG etabliert hatte, markierte eine Zäsur im deutschen Datenschutzrecht. Das BVerfG forderte, dass das Recht auf informationelle Selbstbestimmung – im Wesen als Abwehrrecht gegenüber dem Staat zu verstehen – den Einzelnen davor schützen solle, dass seine persönlichen Daten in Anbetracht der modernen Datenverarbeitung unbegrenzt erhoben, gespeichert, verwendet und weitergegeben werden.43 Es wurde als die „Befugnis des Einzelnen, grundsätzlich selbst zu entscheiden, wann und innerhalb welcher Grenzen persönliche Lebenssachverhalte offenbart werden“ konstituiert.44 Um diesen Vorgaben des BVerfG zu genügen, die weit über den ursprünglichen Beschwerdegegenstand hinaus eher in allgemeinen Grundsätzen mündeten,45 wurde das BDSG von 1977 zum ersten Mal durch das Gesetz zur Fortentwicklung der Datenverarbeitung und des Datenschutzes vom 20. Dezember 199046 novelliert.47

Im Jahr 2001 führte die Umsetzung der sog. EU-Datenschutzrichtlinie48 zur zweiten Novellierung des BDSG (im Folgenden: BDSG a.F.).49 Fortan wurde das in Europa existierende, auf der EU-Datenschutzrichtlinie basierende Datenschutzrecht oftmals als „Flickenteppich“ bezeichnet.50 Zwar wurde schon mit der EU-Datenschutzrichtlinie der Zweck verfolgt, dass die „Vorschriften zum Schutz der Grundrechte und Grundfreiheiten natürlicher Personen bei der Datenverarbeitung sowie die Gewährleistung des freien Verkehrs personenbezogener Daten zwischen den Mitgliedstaaten“ harmonisiert werden sollten (Erwägungsgrund 3, Art. 1 EU-Datenschutzrichtlinie).51 Allerdings konnte dieses Ziel mit einer ‚bloßen‘ Richtlinie nicht erreicht werden. Die Mitgliedstaaten durften in Anbetracht des Art. 288 Abs. 3 AEUV die Form und Mittel zur Erreichung des verbindlichen Ziels der Richtlinie selbst wählen, wodurch der Datenschutz in der EU unterschiedlich gehandhabt wurde (Erwägungsgrund 9). Nicht nur nationale Umsetzungsgesetze wichen infolge dieser Umsetzungsspielräume erheblich voneinander ab, sondern auch deren Auslegung und Anwendung war von Stellungnahmen und Interpretationshilfen der jeweiligen nationalen Datenschutzbehörden geprägt. Solche Divergenzen standen einer vom europäischen Datenschutzrecht beabsichtigten ausgeprägten Binnenmarktdimension (also der Gewährleistung des freien Verkehrs personenbezogener Daten) entgegen.52 Unternehmen, die auf mehreren europäischen Märkten agierten, waren in der Praxis mit der beschwerlichen Aufgabe konfrontiert, die Orientierung bei der Einhaltung der zahlreichen unterschiedlichen datenschutzrechtlichen Vorgaben nicht zu verlieren.53 Die durch die verschiedenen nationalstaatlichen Regelungen bedingte Rechtszersplitterung innerhalb der EU führte zudem in der Wirtschaft auch meist zu einem höheren Verwaltungsaufwand und zu unnötigen Kosten.54 Teils wurde aber auch schon die Entscheidung über den Ort der Niederlassung in einem bestimmten Mitgliedstaat der EU davon abhängig gemacht, wo die für den Geschäftsbetrieb vorteilhaftesten, meist schwächsten Datenschutzgesetzen galten.55 Das deutsche Umsetzungsgesetz – das BDSG a.F. – galt indes als eines der strengsten Europas. Von einem „gleichwertigen Schutzniveau hinsichtlich der Rechte und Freiheiten von Personen bei der Verarbeitung dieser [personenbezogenen] Daten in allen Mitgliedstaaten“56, wie es vom europäischen Gesetzgeber wünschenswert war, konnte derweil in Anbetracht der existierenden Rechtsunsicherheit keine Rede sein.57

Schließlich entschloss sich der europäische Gesetzgeber 2016 nach einem herausfordernden Gesetzgebungsverfahren58 mit der Verabschiedung der DSGVO zu einem Rechtsaktwechsel – also der Abkehr von einer ‚bloßen‘ Richtlinie hin zu einer in allen Teilen verbindlichen, unmittelbar in jedem Mitgliedstaat geltenden Verordnung (vgl. Art. 288 Abs. 2 AEUV59), woraufhin letztlich die dritte Novellierung des BDSG folgte.60 Damit wurde dem Datenschutz in Europa seine entsprechende Wichtigkeit zugemessen.61

39 Datenschutzgesetz vom 7. Oktober 1970 (GVBl. I für das Land Hessen vom 12.10.1970, S. 625ff.). 40 Gesetz zum Schutz vor Mißbrauch personenbezogener Daten bei der Datenverarbeitung vom 27. Januar 1977 (BGBl. I vom 1.2.1977, S. 201ff.). Im Gegensatz zu den Landesdatenschutzgesetzen enthielt das BDSG von 1977 neben Regelungen für die Verarbeitung personenbezogener Daten durch öffentliche Stellen auch solche für die Datenverarbeitung durch private Stellen. Im Vergleich zum Datenschutzrecht auf europäischer Ebene, auf der sowohl in der EU-Datenschutzrichtlinie als auch in der DSGVO die Datenverarbeitung durch den öffentlichen und privaten Sektor einheitlich durch den Begriff des Verantwortlichen (vgl. Art. 2 lit. d EU-Datenschutzrichtlinie bzw. Art. 4 Nr. 7 DSGVO) konzipiert ist, bleibt eine solche Differenzierung im BDSG bis heute erhalten. 41 Der § 3 BDSG von 1977 wurde den speziellen Vorschriften zur Datenverarbeitung öffentlicher Stellen (§§ 7ff.) und nicht-öffentlicher Stellen (§§ 22ff.) vorangestellt, vgl. Buchner, Informationelle Selbstbestimmung im Privatrecht, S. 30. 42 Vgl. BVerfG, Urteil vom 15. Dezember 1983 – 1 BvR 209/83 (juris) = BVerfGE 65, 1 (45ff.). 43 Mit dem ‚Volkszählungsurteil‘ (BVerfG, Urteil vom 15. Dezember 1983 – 1 BvR 209/83 (juris) = BVerfGE 65, 1 (1ff.).) wendete sich das BVerfG von der räumlich geprägten Sphärentheorie (die heute nur noch im Presserecht Anwendung findet) zur Rechtfertigung eines Eingriffs in das allgemeine Persönlichkeitsrecht ab und stellte die Selbstbestimmung des Individuums im Rahmen der elektronischen Datenverarbeitung in den Vordergrund. Der Schutzbereich der informationellen Selbstbestimmung wird nun individuell durch den Einzelnen bestimmt, da Daten nicht räumlich oder aufgrund ihres Ursprungs eingeordnet werden können, sondern ihr Schutz stets im Zusammenhang mit ihren Nutzungs- und Verwendungsmöglichkeiten zu betrachten ist. Werden Daten aus ihrem Kontext gerissen und mit weiteren Informationen angereichert, kann sich eine weitaus höhere Schutzbedürftigkeit ergeben als zuvor, wobei ein absolut geschützter Kernbereich privater Lebensgestaltung zu garantieren ist. Unter den Bedingungen der modernen Datenverarbeitung kann daher kein Datum mehr als „belanglos[...]“ gelten, vgl. BVerfG, Urteil vom 15. Dezember 1983 – 1 BvR 209/83 (juris) = BVerfGE 65, 1 (45). Während das BVerfG 1983 bei der Entwicklung des Grundrechts vor allem noch von staatlichen Eingriffen ausging, kommt dem Recht auf informationelle Selbstbestimmung heute insbesondere in der datengetriebenen Privatwirtschaft und den Herausforderungen der Informationsgesellschaft Gewichtung zu, vgl. m.w.N. Nebel, ZD 2015, 517 (518ff.); ebenso m.w.N. Buchner, Informationelle Selbstbestimmung im Privatrecht, S. 26. 44 BVerfG, Urteil vom 15. Dezember 1983 – 1 BvR 209/83 (juris) = BVerfGE 65, 1 (42). 45 Gegenstand der Verfassungsbeschwerde war nämlich nur das Gesetz über eine Volks-, Berufs-, Wohnungs- und Arbeitsstättenzählung (Volkszählungsgesetz 1983). Auf dessen Grundlage sollten Daten aller Einwohner Deutschlands mittels einer sog. Totalerhebung durch die öffentliche Verwaltung statistisch erhoben werden, um aktuelle Informationen über Bevölkerungsstand, räumliche Verteilung der Bevölkerung, ihre Zusammensetzung nach sozialen und demografischen Merkmalen und ihre wirtschaftliche Betätigung zu erlangen. Zwar ließ das BVerfG die Volkszählung mit Einschränkungen zu, stellte daneben jedoch weitere grundsätzliche Anforderungen an den Datenschutz auf, auf die die Legislative zu agieren hatte; m.w.N. Buchner, Informationelle Selbstbestimmung im Privatrecht, S. 30f. 46 BGBl. I vom 29.12.1990, S. 2954. 47 Kursorisch zu den Neuregelungen vgl. m.w.N. Gola/Klug/Körffer, in: Gola/Schomerus, BDSG a.F., Einleitung, Rn. 7. 48 Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. L 281 vom 23.11.1995, S. 31ff.), im Folgenden: EU-Datenschutzrichtlinie. 49 Gesetz zur Änderung des Bundesdatenschutzgesetzes und anderer Gesetze vom 18. Mai 2001 (BGBl. I vom 22.5.2001, S. 904ff.) sowie Bundesdatenschutzgesetz in der Fassung der Bekanntmachung vom 14. Januar 2003 (BGBl. I vom 24.1.2003, S. 66ff.), im Folgenden: BDSG a.F. Zuvor hatte die Kommission am 1.12.2000 ein Vertragsverletzungsverfahren gegen Deutschland wegen Überschreitung der Umsetzungsfrist der EU-Datenschutzrichtlinie vor dem EuGH eingeleitet (Klage der Kommission der Europäischen Gemeinschaften gegen die Bundesrepublik Deutschland, Rs. C-443/00, ABl. C 45/17 vom 10.2.2001, S. 8). 50 Albrecht/Jotzo, Das neue Datenschutzrecht der EU, Teil 1, B, Rn. 7; GDD-Ratgeber, Werbung und Kundendatenschutz nach der Datenschutz-Grundverordnung, 2016, S. 11. 51 Die Gewährleistung eines gleichwertigen und hohen Schutzniveaus für die Rechte und Freiheiten natürlicher Personen bei der Verarbeitung von Daten in allen Mitgliedstaaten der EU soll auch weiterhin unter der DSGVO Bestand haben, vgl. Erwägungsgrund 9 Satz 1, 10 Satz 1. 52 Mitteilung der Kommission an das Europäische Parlament, den Rat, den Europäischen Wirtschafts- und Sozialausschuss und den Ausschuss der Regionen, Gesamtkonzept für den Datenschutz in der Europäischen Union vom 4.11.2010, KOM (2010) 609 endgültig, S. 11. 53 Vgl. Hamann, BB 2017, 1090 (1090); diese Unterschiede im Schutzniveau der Rechte und Freiheiten von natürlichen Personen im Zusammenhang mit der Datenverarbeitung in den Mitgliedstaaten konnten nicht nur den unionsweiten freien Verkehr solcher Daten behindern, sondern auch ein Hemmnis für die unionsweite Ausübung von Wirtschaftstätigkeiten darstellen und den Wettbewerb verzerren (Erwägungsgrund 9 Satz 3). 54 Vgl. Albrecht/Jotzo, Das neue Datenschutzrecht der EU, Teil 1, D, Rn. 22; Mitteilung der Kommission an das Europäische Parlament, den Rat, den Europäischen Wirtschafts- und Sozialausschuss und den Ausschuss der Regionen, Der Schutz der Privatsphäre in einer vernetzten Welt, Ein europäischer Datenschutzrahmen für das 21. Jahrhundert vom 25.1.2012, KOM (2012) 9 endgültig, Abschnitt 3., S. 7. 55 Vgl. GDD-Ratgeber, Werbung und Kundendatenschutz nach der Datenschutz-Grundverordnung, 2016, S. 11. 56 Erwägungsgrund 8 S. 1 EU-Datenschutzrichtline. 57 So auch etwa Albrecht/Jotzo, Das neue Datenschutzrecht der EU, Teil 1, B, Rn. 7. 58 Vertiefend zum Gesetzgebungsverfahren der DSGVO vgl. Albrecht/Jotzo, Das neue Datenschutzrecht der EU, Teil 1, C, Rn. 11ff.; Schantz/Wolff, Das neue Datenschutzrecht, Rn. 197ff.; insbesondere zu den politischen und äußeren Einflüssen im Gesetzgebungsverfahren vgl. Albrecht, CR 2016, 88 (89f.). 59 Vertrag über die Arbeitsweise der Europäischen Union in der Fassung der Bekanntmachung vom 9. Mai 2008 (ABl. C 115 vom 9.5.2008, S. 47ff.), im Folgenden: AEUV. 60 Die im Jahr 2009 erfolgten drei Änderungen des BDSG waren weniger eine Novellierung, sondern eher bloße Einzelfallkorrekturen, vgl. m.w.N. Simitis, in: Simitis, BDSG a.F., Einleitung, Rn. 102. 61 Mit Geltung der DSGVO wurde zeitgleich gem. Art. 94 Abs. 1 DSGVO die EU-Datenschutzrichtlinie aufgehoben.