Читать книгу Öffentliche Stelle in den Sozialen Medien - Robert Kreyßing - Страница 16

3.1. Datenschutzrechtliche Vorüberlegungen

Damit eine umfassende Betrachtung der datenschutzrechtlichen Rahmenbedingungen erfolgen kann, sind Vorüberlegungen anzustellen, wie sich das gegenwärtige Datenschutzrecht entwickelt hat und welche Aspekte bei der Entwicklung maßgeblich waren. Daneben ist zu klären, was unter personenbezogene Daten im Sinne des Datenschutzrechts zu verstehen ist.

3.1.1. Entstehung und Entwicklung des Datenschutzrechts

Im nationalen Recht ist der Ursprung des Datenschutzrechts in Hessen zu finden. Hier wurde am 30. September 1970 weltweit das erste Datenschutzgesetz verabschiedet. 1977 zog der Bund mit dem ersten Bundesdatenschutzgesetz nach. In beiden Fällen ist die Entstehung demnach auf legislative Initiativen zurückzuführen.75 Die Gesetzgeber wurden maßgeblich vom Gedanken der automatisierten Prozesse und den damit einhergehenden Folgen geleitet. Sie erkannten die Gefahren für den Einzelnen hinsichtlich sozialer, politischer und wirtschaftlicher Diskriminierung, die mithilfe der Gesetze verhindert werden sollten.76 In den darauffolgenden Jahren wurde das deutsche Datenschutzrecht maßgeblich weiterentwickelt und bekam durch das Volkszählungsurteil des Bundesverfassungsgerichts vom 15. Dezember 1983 ein erhebliches Mehrgewicht.77 Das Bundesverfassungsgericht äußerte sich anschließend in weiteren Entscheidungen zum Datenschutzrecht und bildet dieses bis dato fort.78

Konkret schuf das Bundesverfassungsgericht das Recht auf informationelle Selbstbestimmung und das Recht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme.79 Beide Rechtsfortbildungen werden dem allgemeinen Persönlichkeitsrecht aus Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG zugeordnet.80 Sie haben damit eine wesentliche verfassungsrechtliche Bedeutung und werden als Grundrechte eingestuft, die elementar für die freiheitliche Demokratie sind.81 Im Kern geht es bei beiden Grundrechten um die freie Entfaltung der Persönlichkeit, die insbesondere durch die Verarbeitung personenbezogener Daten gefährdet werden kann. Der Schutzbereich des Rechts auf informationelle Selbstbestimmung umfasst Informationen über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren Person mittels automatisierter Daten oder jede andere Form der Erhebung, Speicherung, Verwendung, Weitergabe oder Veröffentlichung von Daten und Information einer bestimmten oder bestimmbaren Person.82

Kerngedanke des deutschen Datenschutzrechts ist zusammengefasst die Privatsphäre des Einzelnen vor der Informationsmacht des Staates aber auch vor der Informationsmacht der Privatwirtschaft zu schützen. Die ersten Landesdatenschutzgesetze richteten sich jedoch nur an staatliche Stellen. Erst mit dem Bundesdatenschutzgesetz aus dem Jahr 1977 wurde der Geltungsbereich auf die Privatwirtschaft erweitert.83 Auch die vom Bundesverfassungsgericht geschaffenen Grundrechte sind zunächst klassische Abwehrrechte gegen den Staat, wobei diese aufgrund der mittelbaren Drittwirkung auch eine Schutzwirkung gegen Private entfalten. Geleitet wurde die Entwicklung des Datenschutzrechts in Deutschland von den grundlegenden Prinzipien der Erforderlichkeit, Zweckbindung, Transparenz, Datenminimierung und Kontrolle.84

Im internationalen Bereich gibt es diverse Rechtsquellen, in denen das Datenschutzrecht entwickelt wurde. So lassen sich mit Art. 7 GRCh, das Recht auf Privatleben, Art. 8 GRCh, das Recht auf Schutz personenbezogener Daten, und Art. 8 EMRK, das Recht auf Achtung des Privat- und Familienlebens, Normen mit datenschutzrechtlichen Bezügen in völkerrechtlichen Verträgen beziehungsweise im europäischen Primärrecht finden. Maßgeblich in der internationalen Entwicklung dürfte Art. 8 EMRK sein. Aus dieser Norm leitet der Europäische Gerichtshof für Menschenrechte seit 1970 Schutzrechte in Bezug auf personenbezogene Daten ab.85 1981 beschloss sodann der Europarat die Datenschutzkonvention86, die wiederum 1985 in Deutschland ratifiziert wurde87. Wesentlicher Inhalt ist gemäß Art. 1 Datenschutzkonvention die Sicherstellung des Rechts auf einen Persönlichkeitsbereich bei der automatisierten Verarbeitung personenbezogener Daten. Konkret werden bereits 1981 in Art. 5 Datenschutzkonvention die Datenschutzgrundsätze Rechtmäßigkeit, Zweckbindung, Erforderlichkeit und Richtigkeit benannt, die das Datenschutzrecht bis dato prägen.

Mit Inkrafttreten der Grundrechtscharta im Jahr 2009 entfaltete Art. 8 GRCh Rechtswirkung, wobei der EuGH schon wesentlich früher das Grundrecht auf Datenschutz materiell in seiner Rechtsprechung verwendete.88 Art. 8 GRCh dürfte fortan für das Datenschutzrecht wesentlich gewesen sein, da es sich hier um ein ausdrückliches Datenschutzgrundrecht handelt.89 Inhaltlich korrespondierend zu Art. 8 GRCh enthält Art. 16 AEUV ebenfalls datenschutzrechtliche Bestimmungen. Zudem schafft Art. 16 Abs. 1 S. 1 AEUV eine Gesetzgebungskompetenz für die Europäische Union,90 sodass auf dieser Grundlage ausdrücklich supranationale datenschutzrechtliche Regelungen erlassen werden können, auf denen letztendlich die DSGVO beruht. Vor Inkrafttreten der DSGVO waren im europäischen Sekundärrecht insbesondere die Datenschutz-Richtlinie91 und die ePrivacy-Richtlinie92 von Bedeutung. Wichtige Neuerungen bei der Datenschutz-Richtlinie waren unter anderem das Transparenzprinzip sowie das Recht auf Löschung und Berichtigung.93 Im Mai 2018 trat dann die DSGVO in Kraft. Die DSGVO entfaltet aufgrund des Rechtsaktes Verordnung gemäß Art. 288 AEUV eine unmittelbare Wirkung in den Mitgliedsstaaten. Sie konstatiert im Wesentlichen den Kern der davor geltenden Datenschutz-Richtlinie, enthält aber auch bedeutende Neuerungen wie beispielsweise erweiterte Transparenzpflichten, Präzisierungen von Betroffenenrechten, Meldepflichten bei Datenschutzverstößen oder den Grundsatz privacy by design.94 In Art. 5 Abs. 1 DSGVO sind die Grundsätze für die Verarbeitung personenbezogener Daten verankert, die gegenwärtig das Datenschutzrecht prägen. Im Einzelnen sind dies folgende Prinzipien:

 • Rechtmäßigkeit der Verarbeitung,

 • Verarbeitung nach Treu und Glauben,

 • Transparenz,

 • Zweckbindung,

 • Datenminimierung,

 • Richtigkeit,

 • Speicherbegrenzung beziehungsweise Erforderlichkeit sowie

 • Integrität und Vertraulichkeit.

3.1.2. Personenbezogenes Datum

Elementar für die Anwendung des Datenschutzrechts ist die Definition des Begriffs personenbezogenes Datum. Denn hierüber wird sowohl der sachliche Anwendungsbereich der DSGVO gemäß Art. 2 Abs. 1 DSGVO definiert als auch die Betroffenheit des Schutzbereichs des Grundrechts auf informationelle Selbstbestimmung nach Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG sowie den vergleichbaren Grundrechten auf supranationaler oder völkerrechtlicher Ebene. Art. 4 Nr. 1 DSGVO enthält eine Legaldefinition. Demnach sind personenbezogene Daten alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Neben diesem Auszug wird in Art. 4 Nr. 1 DSGVO weiter konkretisiert, wann eine natürliche Person als identifizierbar angesehen wird. Diese Definition ist sehr weit gefasst und hat einen niedrigschwelligen Ansatz.95 So sind zunächst nahezu alle Informationen grundsätzlich erfasst, auch wenn sie nicht unmittelbar beziehungsweise keinen offensichtlichen Bezug zu einer Person haben.96 Demnach gibt es kein belangloses Datum.97 Einzig absolute Sachdaten wie die Einwohnerzahl einer Stadt, sind hiervon nicht erfasst.98 Im nationalen Kontext wird eine vergleichbare Definition verwendet. Hiernach umfasst das Grundrecht auf informationelle Selbstbestimmung jede Verarbeitung von persönlichen, das heißt individualisierten oder individualisierbaren Informationen.99

Vorliegend dürften insbesondere Online-Kennungen von Relevanz sein. Online-Kennungen sind beispielsweise IP- und MAC-Adressen oder auch Cookie-IDs. Dies sind zwar keine Daten, mit denen Personen stets identifiziert werden können, jedoch ermöglichen sie die Identifizierbarkeit, sobald weitere Informationen zur Verfügung stehen und diese den personenbezogenen Daten und damit natürlichen Personen zugeordnet werden.100 Diese Auffassung folgt der relativen Betrachtungsweise des Personenbezugs mit objektiven Elementen.101

KURZ UND KNAPP

Ein Großteil der Informationen, die im Internet technisch ausgetauscht oder erhoben werden, sind als personenbezogene Daten im datenschutzrechtlichen Sinne einzustufen.

3.1.3. Zwischenergebnis

Die nationale und europäische Entwicklung zeigt, dass das Datenschutzrecht erhebliche Schutzziele verfolgt. Dennoch muss festgestellt werden, dass die technischen Entwicklungen so rasant voranschreiten, dass das Recht stets unter Reflexion der technischen Neuerungen angepasst werden muss. Ungeachtet dessen sind die zentralen Aspekte des Datenschutzrechts sowohl vom Gesetzgeber als auch von der Rechtsprechung anerkannt und bilden damit seit Entstehung des Datenschutzrechts die Grundlage für die Rechtsanwendung und -fortentwicklung.

75 Simitis, Hornung, Spiecker, Datenschutzrecht, Einleitung Rn. 1 ff. 76 Simitis, Hornung, Spiecker, Datenschutzrecht, Einleitung Rn. 9 f. 77 BVerfGE 65, 1. 78 BVerfGE 100, 313; BVerfGE 115, 320; BVerfGE 120, 274; BVerfGE 125, 260. 79 Schmidt in: Taeger, Gabel, DSGVO – BDSG, Art. 1 DSGVO Rn. 25 ff. 80 Bretthauer in: Specht, Mantz, Handbuch Europäisches und deutsches Datenschutzrecht, § 2 Rn. 4 ff. 81 Simitis, Hornung, Spiecker, Datenschutzrecht, Einleitung Rn. 31. 82 Dreier in: Dreier, Bauer, Grundgesetz, Art. 2 I Rn. 79 ff. 83 Kitzinger in: Schläger, Thode, Handbuch Datenschutz und IT-Sicherheit, Teil A Nr. 1.1 Rn. 26 f. 84 Bretthauer in: Specht, Mantz, Handbuch Europäisches und deutsches Datenschutzrecht, § 2 Rn. 47. 85 Albrecht, Jotzo, Das neue Datenschutzrecht, Teil 1 Rn. 1. 86 Übereinkommen zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten (Konvention Nr. 108). 87 BGBl. 1985 II 539. 88 Schiedermair in: Simitis, Hornung, Spiecker, Datenschutzrecht, Einleitung Rn. 169. 89 Kitzinger in: Schläger, Thode, Handbuch Datenschutz und IT-Sicherheit, Teil A Nr. 1.1 Rn. 38. 90 Kingreen in: Calliess, Ruffert, EUV / AEUV, AEUV, Art. 16 Rn. 4. 91 Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr vom 24. Oktober 1995 (EG-DSRL). 92 Richtlinie 2002/58/EG über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation vom 12. Juli 2002 (ePrivacy-Richtlinie). 93 Kitzinger in: Schläger, Thode, Handbuch Datenschutz und IT-Sicherheit, Teil A Nr. 1.1 Rn. 49. 94 Hornung, Spiecker in: Simitis, Hornung, Spiecker, Datenschutzrecht, Einleitung Rn. 212 f. 95 Eßer in: Auernhammer, DSGVO BDSG, Art. 4 DSGVO Rn. 7. 96 Mantz, Marosi in: Specht, Mantz, Handbuch Europäisches und deutsches Datenschutzrecht, § 3 Rn. 11. 97 BVerfGE 65, 1, 45. 98 Eßer in: Auernhammer, DSGVO BDSG, Art. 4 DSGVO Rn. 9. 99 Di Fabio in: Maunz, Dürig, Grundgesetz-Kommentar, Art. 2 Rn. 176. 100 Arning, Rothkegel in: Taeger, Gabel, DSGVO – BDSG, Art. 4 DSGVO Rn. 27 oder auch Karg in: Simitis, Hornung, Spiecker, Datenschutzrecht, Art. 4 Nr. 1 Rn. 57. 101 Arning, Rothkegel in: Taeger, Gabel, DSGVO – BDSG, Art. 4 DSGVO Rn. 34 f.