Datenschutzrecht

Fallverzeichnis

Fallbeispiel 1 Anonyme Kontaktanzeige – Datenschutz nach Art. 8 EMRK

Lösung

Fallbeispiel 2 EU-Agrarbeihilfen – Datenschutz nach der GrCh

Lösung

Fallbeispiel 3 Ermittlung von Mobilfunkdaten durch IMSI-Catcher – Fernmeldegeheimnis

Lösung

Fallbeispiel 4 Löschbegehren gegen Online-Archiv – Recht auf Vergessen I

Lösung

Fallbeispiel 5 Löschbegehren gegen Suchmaschinenbetreiber – Recht auf Vergessen II

Lösung

Fallbeispiel 6 Vorratsdatenspeicherungsrichtlinie – Vereinbarkeit mit Kompetenzgefüge, GrCh, EMRK

Lösung

Fallbeispiel 7 Google Spain – Räumlicher Anwendungsbereich der DS-GVO

Lösung

Fallbeispiel 8 IP-Adressen – Personenbezogene Daten und Haushaltsausnahme

Lösung

Fallbeispiel 9 Verwertungsgesellschaft – Zulässigkeitstatbestände (I)

Lösung

Fallbeispiel 10 Fitnessstudio – Zulässigkeitstatbestände (II)

Lösung

Fallbeispiel 11 Fußball-EM – Einwilligung

Lösung

Fallbeispiel 12 Expansion im Limonadenhandel – Drittlandtransfer und Datenschutzverträge

Lösung

Fallbeispiel 13 Internet-Bewertungsportal – Betroffenenrechte

Lösung

Fallbeispiel 14 Datensammlung des BfF für Auslandsgesellschaften – Reichweite des Auskunftsanspruchs

Lösung

Fallbeispiel 15 Videoüberwachung einer Arztpraxis

Lösung

Fallbeispiel 16 Versicherungskaufmann – Beschäftigtendatenschutz

Lösung

Fallbeispiel 17 Instant-Messenger-App – Telekommunikationsdatenschutz

Lösung

Abbildungsverzeichnis

1 Betroffenheit des Fernmeldegeheimnisses beim E-Mail-Versand

2 Schutzbereichsentsprechungen der Datenschutzgrundrechte im Mehrebenensystem

3 Chronologische Entwicklung des Datenschutzrechts vor der Reform

4 Die Europäische Datenschutzreform

5 Datenschutzvorschriften im Mehrebenensystem

6 Prüfungsreihenfolge im Datenschutzrecht

7 Zentrale Grundbegriffe des Datenschutzrechts

8 Personenbezogene Daten – Begriff

9 Personenbezogene und anonyme Daten

10 Verbot mit Zulässigkeitstatbeständen

11 Grundsätze und Rechenschaftspflicht des Verantwortlichen nach Art. 5 DS-GVO

12 Zulässigkeitstatbestände des Art. 6 Abs. 1 UAbs. 1 DS-GVO

13 Prüfung der Rechtmäßigkeit einer Übermittlung personenbezogener Daten in ein Drittland

14 Grenzüberschreitender Datenverkehr im Rahmen der DS-GVO

15 Wesentliche Rechte der betroffenen Person

16 Aufsichtsbehörden auf EU-Ebene

17 Aufsichtsbehörden in Deutschland

18 Verbundverwaltung im Mehrebenensystem

19 Kohärenzverfahren bei Einspruch anderer betroffener Aufsichtsbehörde nach Art. 60 Abs. 4 i.V.m. 65 Abs. 1 lit. a DS-GVO

20 Kohärenzverfahren bei widersprechender Stellungnahme des EDSA nach Art. 64 i.V.m. 65 Abs. 1 lit. c DS-GVO

21 Datenschutz-Folgenabschätzung nach Art. 35 DS-GVO

22 Pflicht zur Benennung eines Datenschutzbeauftragten

23 Wesentliche Pflichten des Verantwortlichen

Ausgewählte Literatur

Einführung

1

Entsprechend der Regel, die Gordon E. Moore vor gut 50 Jahren aufgestellt hat,[1] wonach die Anzahl von Transistoren auf einem Mikrochip sich alle ein bis zwei Jahre verdoppelt, werden Computer immer leistungsfähiger. Proportional dazu steigen die Möglichkeiten, Informationen über Personen zu erfassen und auszuwerten. Die technische Entwicklung der letzten 50 Jahre ist beeindruckend. Es besteht jedoch weitgehend Konsens, dass nicht alles, was technisch machbar ist, gesellschaftlich auch wünschenswert ist.

2

Der Wandel der Datenverarbeitung selbst und mit ihm der Bedeutungsanstieg eines effektiven normativen Datenschutzes in den letzten Jahren ist vor diesem Hintergrund enorm. Dabei sind zwei Treiber zu erkennen: Die eingangs skizzierte technische Entwicklung einerseits, die vor allem die Datenverarbeitung in allen öffentlichen und privaten Bereichen beschleunigt und vervielfacht hat, und zunehmende staatliche Kontroll- und Überwachungsmaßnahmen andererseits, nicht zuletzt vor dem Hintergrund der fortdauernden terroristischen Bedrohungslage.

3

Dabei zeichnet sich immer deutlicher ab, in welcher Totalität unser Alltag durch datenverarbeitende Prozesse begleitet und geprägt sein wird.[2] Durch die Miniaturisierung, die Verringerung des Energieverbrauchs, die Verbesserungen der Datenaufbewahrung und der Telekommunikationsmöglichkeiten erleben wir gegenwärtig eine beschleunigte Entwicklung und Verbreitung mobiler Kommunikationssysteme. Zudem sinken die Preise für die Speicherung von Daten rasant. Hinzu kommt die Vernetzung der vielfältigen Rechnerkapazitäten durch das Internet. Visionen einer datenbasierten Gesellschaft scheinen in naher Zukunft Realität zu werden. In dieser Welt des „allgegenwärtigen Rechnens“ („Ubiquitous Computing“) ist der Mensch stets und überall mit Computeranwendungen konfrontiert.

4

Digitalisierung, Telemedizin, Cloud-Computing und das „Internet of Things“ sind schon heute in den Medien als Schlagworte omnipräsent.[3] Das Smartphone ist für einen Großteil der Bevölkerung bereits ständiger Begleiter. „Smarte“ Haustechnik optimiert die Heimautomation und spart Energie. Sie wird teils ergänzt durch ständige intelligente persönliche Assistenten, die das Heim oder den Medienkonsum steuern, aber zugleich eine ständige Datenübertragungsquelle im Haus sind – gleichsam ein freiwilliger „großer Lauschangriff“ auf der Basis des Vertrauens zu privaten Unternehmen. Autos kommunizieren mit ihrer Umgebung und sollen in einigen Jahren weitgehend autonom ihren Weg durch den Straßenverkehr finden. Die fortschreitende Vernetzung mit hohen Bandbreiten ermöglicht den Transport unvorstellbarer Mengen von Daten. Diese Möglichkeiten führen zu einer immer arbeitsteiligeren Datenverarbeitung, um Rechenkapazitäten und Know-How möglichst effizient zu nutzen und auszulasten, so dass selbst bei einfachen Vorgängen oft eine Vielzahl von Personen potentiell Zugriff auf Daten erhält. Nicht nur die dahinterstehende Technik, sondern auch die Datenströme werden immer komplexer und sind selbst wiederum nur automatisiert zu verwalten. Zunehmend agieren datenverarbeitende Geräte daher automatisiert und erfordern keine menschliche Interaktion mehr. Dabei entwickeln sich die Algorithmen selbstständig weiter und schaffen so eine künstliche und lernende Intelligenz. Das alles führt zu sehr komplexen und allgegenwärtigen Datenverarbeitungsstrukturen, die selbst für Fachleute im Einzelfall nur noch schwer zu überblicken sind.

5

Die Vorteile sind enorm: Neue Produkte und Dienste wie soziale Netzwerke entstehen. Über alle Bereiche hinweg können die Produktion und der Verbrauch von Gütern deutlich effizienter gestaltet werden. Barrieren durch Landesgrenzen, Sprache und Entfernungen werden abgebaut. Der Zugang zu Informationen wird vereinfacht und diese damit für eine viel größere Zahl an Personen verfügbar.

6

Andererseits können Bewegungen im Netz sowie zahlreiche App-basierte Aktivitäten mit dem Smartphone weitgehend registriert werden, so dass jegliches Verhalten digitale Spuren hinterlässt. Damit ist die vollständige Erfassung der Handlungen in diesem immer wichtiger werdenden virtuellen Sozialraum möglich. Das gilt vor allem für die sog. Social-Web-Angebote wie die von Instagram oder Facebook.[4] Derartige Online-Plattformen eröffnen für Tausende von Nutzern die Möglichkeit des sozialen Austauschs mit all ihren privatheitsrelevanten Implikationen. Soziale Beziehungen und Strukturen werden zunehmend über das World Wide Web aufgebaut und abgewickelt – damit aber zugleich digital nachgezeichnet und datentechnisch erfassbar.

7

Es entsteht so zunehmend ein virtuelles Abbild des Verhaltens und der sozialen Interaktionen von Menschen, das mittels Big-Data-Techniken automatisiert ausgewertet werden kann. Big Data und insbesondere Big-Data-Anwendungen bezeichnen dabei als Sammel- oder Oberbegriffe grundsätzlich solche Anwendungen, Applikationen oder Analyseprogramme, die eine außerordentlich große und ggf. heterogene Datenmenge innerhalb kurzer Zeit (oder in Echtzeit) auswerten.[5] Als Kernmerkmale werden häufig die „drei Vs“ genannt: volume (Menge), velocity (Geschwindigkeit/Echtzeit) und variety (unterschiedliche Daten).[6] Hinzu kommen teilweise noch validity (Richtigkeit bzw. Wahrheitsgehalt der Daten) oder alternativ veracity (Genauigkeit) und value (wirtschaftlicher Wert), so dass man auch von „fünf Vs“ sprechen kann.[7] Eine außergewöhnlich hohe Trennschärfe bietet der Begriff damit nicht und kann schon gar nicht als rechtliche Definition verstanden werden. Jedoch treten im Rahmen von Big-Data-Anwendungen in der Regel eine Reihe von Besonderheiten auf, die sodann (datenschutz-)rechtliche Fragestellungen aufwerfen. Hierzu zählt vor allem, dass – anders als bei vielen herkömmlichen Analysetechniken – nicht gezielt nach der Antwort auf eine bestimmte Fragestellung gesucht wird, sondern die Anwendung ergebnisoffen nach Mustern und Zusammenhängen sucht, woraus sich gänzlich neue Erkenntnisse ergeben können.[8] Durch das Aufzeigen von Korrelationen kann die Big-Data-Anwendung so oftmals dazu beitragen, die richtigen Fragen überhaupt erst zu stellen. Dementsprechend groß sind die Hoffnungen, die in verschiedensten Lebensbereichen – beispielsweise im Gesundheitssektor – in Big-Data-Techniken gesetzt werden. Demgegenüber stehen jedoch die Risiken, die mit der systematischen Auswertung solch großer Datenmengen einhergehen.[9] Die Persönlichkeitsrechtsverletzungen bei einer Big-Data-Anwendung werden in der Regel Folgen für eine große Zahl von Betroffenen entfalten. Werden darüber hinaus auch noch sensible Daten (wie Gesundheitsdaten) verarbeitet, können Datenschutzrechtsverstöße besonders schwer wiegen. Letztlich ist zu befürchten, dass ein unkontrolliertes Sammeln großer Mengen von personenbezogenen Daten in Verbindung mit einer detaillierten und intelligenten Auswertung dieser den Menschen zum vielbeschworenen „gläsernen Bürger“ macht.

8

Durch die immer weitergehende Durchdringung sämtlicher Lebensbereiche mit datenverarbeitenden Prozessen, die eine weitreichende Abbildung der „Offline-Welt“ in datentechnisch erfassbaren Formen ermöglicht, ist die oben skizzierte Entwicklung nicht mehr davon abhängig, ob man sich bewusst „im Internet“ bewegt. Es geschieht vielmehr beiläufig, so dass es auch immer schwieriger wird, sich entsprechenden Datenverarbeitungen zu entziehen. Andererseits eröffnet sich eine ganz neue Dimension innovativer und attraktiver Dienste. Die Anwendungen reichen vom Einsatz in der Arbeitswelt über den Reisebereich bis hin zu neuen Unterhaltungsformen. Insbesondere ist das Smartphone inzwischen zu einer mobilen Informations-, Navigations- und Kommunikationszentrale geworden.

9

Zugleich werden jene Informationen potenziell dem Zugriff hoheitlicher Organe eröffnet. Die immer wieder aufflammende Diskussion um den Zugriff auf die Toll-Collect-Daten[10] für die Strafverfolgung ist nur ein durchaus noch beschränktes Beispiel. Die Datenbestände sozialer Netzwerke wecken viel größere Begehrlichkeiten. Hinzu kommt, dass zunehmend Datenbestände durch Private explizit für hoheitliche Zwecke geschaffen werden. Das gilt beispielsweise für den Aufbau der Kontenevidenzzentrale. Dort sind sämtliche Bestandsdaten der deutschen Banken gesammelt, also Informationen darüber, wer bei welcher Bank welche Arten von Konten führt. Noch problematischer war der massive Ausbau der Speicherpflichten für Telekommunikationsunternehmen durch die – inzwischen wohl gescheiterten[11] – mehrfachen gesetzgeberischen Anläufe zur Einführung einer Vorratsdatenspeicherung. Zuletzt hat in Zeiten der Corona-Krise die Diskussion um den Einsatz einer sogenannten „Corona-Tracing-App“ die nachvollziehbaren öffentlichen Interessen am Zugriff auf die im Smartphone gesammelte Kontaktdaten plastisch vor Augen geführt.[12]

10

Zugleich wachsen die Gefahren des missbräuchlichen Zugriffs auf jene Datenmengen – sei es von hoheitlicher oder von privater Seite, die nicht zuletzt durch die Enthüllungen von Edward Snowden einer breiten Öffentlichkeit in ihrem vollen Ausmaß vor Augen geführt wurden. So wundert es nicht, dass Insuffizienzen beim Datenschutz immer öfter in die Schlagzeilen gelangen.

11

Mit diesen Entwicklungen erlangte auch das Datenschutzrecht als modernes Rechtsgebiet eine zunehmende Bedeutung und nimmt in der öffentlichen Debatte breiten Platz ein. Möchte man auf die Vorzüge des technischen Fortschritts nämlich nicht schlechthin verzichten, so lassen sich Einschränkungen für den Schutz der Daten von betroffenen Personen grundsätzlich nicht vermeiden.

12

Aufgabe des Datenschutzrechts ist es, für jeden Einzelfall eine befriedigende Antwort zu liefern, ob konkret das Interesse der betroffenen Person am Schutz ihrer personenbezogenen Daten überwiegt oder Einschränkungen im Interesse des Gemeinwohls oder eines Dritten hinzunehmen sind. Je mehr Daten verarbeitet werden, desto häufiger stellt sich ein (ggf. multipolarer) Grundrechtskonflikt. Diesen im Wege der praktischen Konkordanz aufzulösen, kann nur auf der Basis eines konsistenten Datenschutzrechts unter Zusammenwirken von Gesetzgeber, Wissenschaft und Rechtsprechung gelingen.

13

Deutschland und die Europäische Union beschreiten dabei einen grundrechtsbasierten, datenschutzorientierten Weg, der zugleich die berechtigten Datenverarbeitungsinteressen berücksichtigen muss, soll er sich gegen andere Modelle im Wettbewerb durchsetzen. Diese können zugespitzt als „Surveillance Capitalism“[13] US-amerikanischer Ausprägung[14] und „Surveillance Communism“ chinesischer Ausprägung bezeichnet werden. Während im ersten Fall die großen US-amerikanischen Internetgiganten wie Facebook, Google & Co die Datenverarbeitungsprozesse prägen und auf eine maximale Datenausbeute zur Finanzierung der extrem leistungsfähigen und innovativen Dienste ausgerichtet sind, treten im zweiten Fall neben einer ebenfalls profitorientierten (staats-)kapitalistischen Maximalverdatung zusätzliche etatistische Überwachungsinteressen, die mit europäischen Rechtsstaatsvorstellungen allzu oft nicht kompatibel sind. Dennoch beeindrucken die innovativen Dienste, die in diesen anders austarierten Rechtssystemen entstehen. Umso wichtiger ist ein funktionsfähiges europäisches Datenschutzmodell, das auch eine „Datensouveränität“[15] im „Big-Data“-Zeitalter gewährleistet. Denn eine Vielzahl der Datenverarbeitungen ist sogar ganz im Interesse der betroffenen Person, da die Nutzung der innovativen Dienste erleichtert wird. Dies ist aber auch für die Möglichkeiten und Grenzen eines Geschäftsmodells „Leistung gegen Daten“ relevant (siehe dazu → Rn. 514). Eine Hypertrophie des Datenschutzes ist dabei unbedingt zu vermeiden (dazu → Rn. 53 f.).

14

Dieses Buch soll den Einstieg in die Materie ermöglichen und ist sowohl für Studierende als auch für Praktiker geeignet. Das Buch hat dabei folgenden Aufbau: Eingangs werden die Grundlagen des internationalen Datenschutzrechts, aber vor allem auch die wichtigen primär- und verfassungsrechtlichen Quellen differenziert aufbereitet. Die ausführliche Darstellung der Entwicklung des Datenschutzrechts soll das notwendige Systemverständnis schaffen. Im zweiten Kapitel steht die Datenschutz-Grundverordnung (DS-GVO) im Vordergrund sowie deren Zusammenspiel mit den deutschen Datenschutzgesetzen auf Bundes- und Landesebene. Das dritte Kapitel befasst sich mit besonderen Verarbeitungssituationen in DS-GVO und BDSG und behandelt die bereichsspezifischen Datenschutzvorschriften im Rahmen der Verbrechensbekämpfung und im Telekommunikations- und Mediensektor.