Die Beauftragte für den Datenschutz und die Informationsfreiheit

Informationelle Selbstbestimmung

Datenschutz – vom Volkszählungsurteil zur Datenschutzgrundverordnung

Das Bundesverfassungsgericht hat in seinem wegweisenden Volkszählungsurteil von 1983 den Grundrechtscharakter des Datenschutzes – seitdem Recht auf informationelle Selbstbestimmung genannt – herausgearbeitet. Gestützt auf das allgemeine Persönlichkeitsrecht und die Menschenwürde hat das Gericht dies so beschrieben:

„Das Grundrecht gewährleistet insoweit die Befugnis des Einzelnen, grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen“.

Zur Begründung führte das Gericht aus:

„Wer nicht mit hinreichender Sicherheit überschauen kann, welche ihn betreffenden Informationen in bestimmten Bereichen seiner sozialen Umwelt bekannt sind, und wer das Wissen möglicher Kommunikationspartner nicht einigermaßen abzuschätzen vermag, kann in seiner Freiheit wesentlich gehemmt werden, aus eigener Selbstbestimmung zu planen oder zu entscheiden. Mit dem Recht auf informationelle Selbstbestimmung wären eine Gesellschaftsordnung und eine diese ermöglichende Rechtsordnung nicht vereinbar, in der Bürger nicht mehr wissen können, wer was wann und bei welcher Gelegenheit über sie weiß. Wer unsicher ist, ob abweichende Verhaltensweisen jederzeit notiert und als Information dauerhaft gespeichert, verwendet oder weitergegeben werden, wird versuchen, nicht durch solche Verhaltensweisen aufzufallen.“

Das Bundesverfassungsgericht hat auch nach dem Volkszählungsurteil immer wieder den Schutz der Privatsphäre gestärkt. Im Februar 2008 hat das Gericht seine Rechtsprechung zum Schutz des Persönlichkeitsrechts angesichts fortschreitender technischer Möglichkeiten durch Formulierung eines „Grundrechts auf Gewährleistung der Vertraulichkeit und Integrität der informationstechnischen Systeme“ weiterentwickelt.

Das Recht auf den Schutz personenbezogener Daten ist aber nicht nur ein deutsches, sondern auch ein europäisches Grundrecht. Es wurde in Artikel 8 der Charta der Grundrechte der Europäischen Union sowie in Artikel 16 des Vertrages über die Arbeitsweise der Europäischen Union (AEUV) aufgenommen.

Nach Artikel 8 der Grundrechtecharta hat jede Person das Recht auf Schutz der sie betreffenden personenbezogenen Daten. Eine Verarbeitung dieser Daten ist danach nur nach Treu und Glauben für festgelegte Zwecke und mit Einwilligung der betroffenen Person oder auf einer sonstigen gesetzlich geregelten legitimen Grundlage erlaubt. Zudem sind in Artikel 8 der Grundrechtecharta das Recht auf Auskunft und das Recht auf Berichtigung sowie die Kontrolle des Datenschutzes durch unabhängige Stellen garantiert.

Seit Inkrafttreten des Vertrags von Lissabon ist die Charta der Grundrechte nicht nur für die Europäische Union und ihre Institutionen, sondern auch für die Mitgliedstaaten bindendes Recht.

In den letzten Jahren hat auch der Europäische Gerichtshof (EuGH) in verschiedenen Urteilen die Bedeutung des Grundrechts auf Datenschutz betont und festgestellt, dass die Grundrechte auf Achtung der Privatsphäre und auf Wahrung des Datenschutzes wirtschaftliche Interessen an der Verarbeitung personenbezogener Daten im Allgemeinen überwiegen. Daraus folgt, dass eine Verarbeitung personenbezogener Daten immer einer besonderen Rechtfertigung bedarf. Dabei macht der EuGH auch keinen signifikanten Unterschied zwischen der Verarbeitung personenbezogener Daten durch Behörden und öffentliche Stellen einerseits und Unternehmen und nichtöffentliche Stellen andererseits.

Artikel 16 Absatz 1 AEUV wiederholt noch einmal das Grundrecht auf Datenschutz und enthält in seinem Absatz 2 eine Rechtssetzungsbefugnis für die Schaffung von Vorschriften über den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten. Dies ist die primärrechtliche Basis für die Ausarbeitung und die Verabschiedung der Datenschutz-Grundverordnung (DSGVO). Da sich Artikel 16 AEUV in den allgemeinen Bestimmungen dieses Vertrages befindet, wird auch deutlich, dass das Datenschutzrecht als Querschnittsmaterie grundsätzlich alle Bereiche erfassen soll, die in irgendeiner Weise in den Anwendungsbereich des Unionsrechts fallen.

Mit der DSGVO, die seit dem 25.05.2018 - auch in Deutschland - anwendbar ist, wird der Datenschutz in einem sehr viel stärkerem Maße europäisch geprägt, als dies bislang der Fall war. Dies bedeutet aber nicht, dass sich die Ziele des Datenschutzes grundlegend verändert hätten. Das ist schon deswegen nicht verwunderlich, als das neue europäische Datenschutzrecht ohne die stark aus Deutschland geprägte Tradition des Datenschutzes als besondere Ausprägung des allgemeinen Persönlichkeitsrechts kaum denkbar gewesen wäre.

Artikel 1 Absatz 1 und 2 DSGVO greifen den grundrechtlichen Charakter des Datenschutzes auf und legen ausdrücklich fest, dass die DSGVO die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten schützt.

Aus Artikel 1 Absatz 1 und 3 DSGVO folgt aber noch ein weiteres Ziel der DSGVO: Sie dient nämlich auch dem freien Verkehr personenbezogener Daten innerhalb der Europäischen Union. Damit ist nicht gemeint, dass innerhalb der EU Daten ohne jede Begrenzung nach Belieben übermittelt werden dürfen. Selbstverständlich gelten die grundrechtlichen Bindungen des Datenschutzrechts auch innerhalb der Union. Mit dem Prinzip des freien Datenverkehrs soll vielmehr deutlich gemacht werden, dass innerhalb der EU überall die gleichen Regelungen gelten sollen und es keine über die DSGVO hinausgehenden speziellen Beschränkungen in einzelnen Mitgliedstaaten geben darf. Oder anders ausgedrückt: In Deutschland dürfen keine Regelungen geschaffen werden, die eine Verarbeitung personenbezogener Daten in anderen Mitgliedstaaten in irgendeiner Weise einschränken. Kern dieses Harmonisierungsgedankens ist, dass die Mitgliedstaaten der EU untereinander keine Drittstaaten und damit  – rein datenschutzrechtlich betrachtet – kein Ausland sind.