Kommunikation & Recht 27 BDSG und Datenschutzvorschriften des TKG und TMG Bearbeitet von Prof. Dr. Jürgen Taeger, RA Dr. Detlev Gabel 2., überarbeitete Auflage 2013. Buch. XXVII, 1688 S. Gebunden ISBN 978 3 8005 1531 8 Recht > Handelsrecht, Wirtschaftsrecht > Telekommunikationsrecht, Postrecht, IT- Recht > Datenschutz, Postrecht Zu Inhaltsverzeichnis schnell und portofrei erhältlich bei Die Online-Fachbuchhandlung beck-shop.de ist spezialisiert auf Fachbücher, insbesondere Recht, Steuern und Wirtschaft. Im Sortiment finden Sie alle Medien (Bücher, Zeitschriften, CDs, eBooks, etc.) aller Verlage. Ergänzt wird das Programm durch Services wie Neuerscheinungsdienst oder Zusammenstellungen von Büchern zu Sonderpreisen. Der Shop führt mehr als 8 Millionen Produkte.
Transcript
Kommunikation & Recht 27
BDSG
und Datenschutzvorschriften des TKG und TMG
Bearbeitet vonProf. Dr. Jürgen Taeger, RA Dr. Detlev Gabel
Die Online-Fachbuchhandlung beck-shop.de ist spezialisiert auf Fachbücher, insbesondere Recht, Steuern und Wirtschaft.Im Sortiment finden Sie alle Medien (Bücher, Zeitschriften, CDs, eBooks, etc.) aller Verlage. Ergänzt wird das Programmdurch Services wie Neuerscheinungsdienst oder Zusammenstellungen von Büchern zu Sonderpreisen. Der Shop führt mehr
Literatur: Abel, EuGH: G�terabw�gung im Datenschutz muss gew�hrleistet bleiben,DSB 2012, S. 31; B�cker/Hornung, Rechtsgrundlage EU-Richtlinie f�r die Datenverar-beitung bei Polizei und Justiz in Europa, ZD 2012, S. 147; Bartsch, Die Vertraulichkeitund Integrit�t informationstechnischer Systeme als sonstiges Recht nach § 823 Abs. 1BGB, CR 2008, S. 613; Boehm, Datenschutz in der Europ�ischen Union, JA 2009, S. 435;Braum, „Parallelwertungen in der Laiensph�re“, ZRP 2009, S. 174; Br�hann, EU-Daten-schutzrichtlinie – Umsetzung in einem vernetzten Europa, RDV 1996, S. 12; Buchner, In-formationelle Selbstbestimmung im Privatrecht, T�bingen 2006; Claessen, Das neue Da-tenschutzgesetz in der evangelischen Kirche, DuD 1995, S. 8; Diedrich, Vollharmonisie-rung des EU-Datenschutzrechts, CR 2013, S. 408; Diller, „Konten-Aussp�h-Skandal“ beider Deutschen Bahn: Wo ist das Problem?, BB 2009, S. 438; Dix, Datenschutzaufsicht imBundesstaat – ein Vorbild f�r Europa, DuD 2012, S. 318; Drewes, Werbliche Nutzung vonDaten, ZD 2012, S. 115; Duisberg, Datenschutz im Internet der Energie, in: Peters/Kers-ten/Wolfenstetter (Hrsg.), Innovativer Datenschutz, Berlin 2012; Durner, Zur Einf�h-rung: Datenschutzrecht, JuS 2006, S. 213; Ehmann, Prinzipien des deutschen Daten-schutzrechts – unter Ber�cksichtigung der Datenschutz-Richtlinie der EG vom 24.10. –(1. Teil), RDV 1998, S. 235; Ehmann, Prinzipien des deutschen Datenschutzrechts – unterBer�cksichtigung der Datenschutz-Richtlinie der EG vom 24.10. – (2. Teil), RDV 1999,S. 12; Faber, Verrechtlichung – ja, aber immer noch kein „Grundrecht“! – Zwanzig Jahreinformationelles Selbstbestimmungsrecht, RDV 2003, S. 278; Fachet, Datenschutz in derkatholischen Kirche, RDV 1996, S. 177; Forst, Besch�ftigtendatenschutz im Kommissi-onsvorschlag einer EU-Datenschutzverordnung, NZA 2012, S. 364; Franzen, Der Vor-schlag f�r eine EU-Datenschutz-Grundverordnung und der Arbeitnehmerdatenschutz,DuD 2012, S. 322; Frey, Direktmarketing und Adresshandel im Spannungsfeld von UWGund BDSG, in: Taeger/Wiebe (Hrsg.), Inside the Cloud – Neue Herausforderungen f�r dasInformationsrecht, Tagungsband Herbstakademie 2009, Edewecht 2009, S. 33; Gabel,Update EDV-Vertragsrecht, in: Taeger/Wiebe (Hrsg.), Inside the Cloud – Neue Herausfor-derungen f�r das Informationsrecht, Tagungsband Herbstakademie 2009, Edewecht2009, S. 193; Germann, Das kirchliche Datenschutzrecht als Ausdruck kirchlicher Selbst-bestimmung, ZevKR 48, S. 446; Giesen, Das Grundrecht auf Datenverarbeitung, JZ2007, S. 918; Gola, EU-Datenschutz-Grundverordnung und der Besch�ftigtendaten-schutz, RDV 2012, S. 60; Grentzenberg/Schreibauer/Schuppert, Die Datenschutznovelle(Teil I), K&R 2009, S. 368; Grentzenberg/Schreibauer/Schuppert, Die Datenschutznovel-le (Teil II), K&R 2009, S. 535; Gundel, Vorratsdatenspeicherung und Binnenmarktkom-petenz: Die ungebrochene Anziehungskraft des Art. 95 EGV, Europarecht 2009, S. 536;G�rtler, Baustelle Datenschutz – internationale Entwicklungen, RDV 2012, S. 126; Han-loser, Die BDSG-Novelle II: Neuregelungen zum Kunden- und Arbeitnehmerdaten-schutz, MMR 2009, S. 594; H�rting, Starke Beh�rden, schwaches Recht – der neue EU-Datenschutzentwurf, BB 2012, S. 459; Herrmann, Modernisierung des Datenschutz-rechts – ausschließlich eine europ�ische Aufgabe?, ZD 2012, S. 49; Hoffmann-Riem, Dergrundrechtliche Schutz der Vertraulichkeit und Integrit�t eigengenutzter informations-
Taeger/Schmidt 1
Einf�hrung
technischer Systeme, JZ 2008, S. 1009; Hohmann-Dennhardt, Freir�ume – Zum Schutzder Privatheit, NJW 2006, S. 545–549; Hornung, Ein neues Grundrecht, CR 2008, S. 299;Holznagel/Schumacher, Auswirkungen des Grundrechts auf Vertraulichkeit und Integri-t�t informationstechnischer Systeme auf RFID-Chips, MMR 2009, S. 3; Hornung, Daten-schutz durch Technik in Europa, ZD 2011, S. 51; Hornung, Eine Datenschutz-Grundver-ordnung f�r Europa, ZD 2012, S. 99; Huppertz/Ohrmann, Wettbewerbsvorteile durchDatenschutzverletzungen, CR 2011, S. 449; Jasper, Die EU-Datenschutz-Grundverord-nung, DuD 2012, S. 571; Kahler, Auftragsdatenverarbeitung im Drittstaat, RDV 2012,S. 167; Kamlah, Right of Privacy, K�ln et al. 1969; Kilian, Informationelle Selbstbestim-mung und Marktprozesse, CR 2002, S. 921; Kilian/Lenk/Steinm�ller (Hrsg.), Daten-schutz, Darmstadt 1973; Klug, Revision des EU-Datenschutzrechts aus Unternehmer-sicht, RDV 2011, S. 129; Kock/Francke, Mitarbeiterkontrolle durch systematischenDatenabgleich zur Korruptionsbek�mpfung, NZA 2009, S. 646; Kock/Francke, „Mitar-beiter-Screenings“ zur internen Korruptionsbek�mpfung, ArbRB 2009, S. 110; K�hling,Auf dem Weg zum vollharmonisierten Datenschutz!?, EuZW 2012, S. 281; Kuner, Euro-pean Data Protection Law: Corporate Compliance and Regulation, 2. Aufl., Oxford 2007;Kutscha, Das „Computer-Grundrecht“ – eine Erfolgsgeschichte?, DuD 2012, S. 391;Lang, Reform des EU-Datenschutzrechts, K&R 2012, S. 145; Leopold, Datenschutz aufSkandinavisch – Das norwegische Datenschutzgesetz, DuD 2000, S. 471; von Lewinski,Europ�isierung des Datenschutzrechts, DuD 2012, S. 564; von Lewinski, Geschichte desDatenschutzrechts von 1600 bis 1977, in: Arndt et al. (Hrsg.), Freiheit – Sicherheit – �f-fentlichkeit, 48. Assistententagung �ffentliches Recht, Baden Baden 2009, S. 196; vonLewinski, T�tigkeitsberichte der Datenschutzbeh�rden – Neuer Zugang zu sprudelndenQuellen, RDV 2009, S. 267; Lorenz, Die Novellierung des Bundesdatenschutzgesetzes inihren Auswirkungen auf die Kirchen, DVBl. 2001, S. 428; Luch, Das neue „IT-Grund-recht“, MMR 2011, S. 75; Masing, Ein Abschied von den Grundrechten, SZ v. 9.1.2012;Moos, Die Entwicklung des Datenschutzrechts im Jahr 2008, K&R 2009, S. 154; Moos,Die Entwicklung des Datenschutzrechts im Jahr 2009, K&R 2010, S. 166; Moos, Die Ent-wicklung des Datenschutzrechts im Jahr 2010, K&R 2011, S. 145; Moos, Update Daten-schutzrecht, in: Taeger/Wiebe (Hrsg.), Inside the Cloud – Neue Herausforderungen f�rdas Informationsrecht, Tagungsband Herbstakademie 2009, Edewecht 2009, S. 79; Piltz/Schulz, Die Stiftung Datenschutz – moderner Datenschutz neu gedacht, RDV 2011,S. 117; Podlech, Verfassungsrechtliche Probleme �ffentlicher Informationssysteme,DVR 1972/73, S. 149; Reding, Herausforderungen an den Datenschutz bis 2020: Eine eu-rop�ische Perspektive, ZD 2011, S. 1; Reding, Sieben Grundbausteine der europ�ischenDatenschutzreform, ZD 2012, S. 195; Richter, Datenschutz durch Technik und die Grund-verordnung der EU-Kommission, DuD 2012, S. 576; Riesenhuber, Die Einwilligung desArbeitnehmers im Datenschutzrecht, RdA 2011, S. 257; Ronellenfitsch, Fortentwicklungdes Datenschutzes, DuD 2012, S. 561; Roßnagel, Modernisierung des Datenschutzrechts– Empfehlung eines Gutachtens f�r den Bundesinnenminister, RDV 2002, S. 61; Roßna-gel/M�ller, Ubiquitous Computing – neue Herausforderungen f�r den Datenschutz, CR2004, S. 625; Schaar, Datenschutz muss mit einer Stimme sprechen!, DuD 2011, S. 756;Schild/Tinnefeld, Datenschutz in der Union – Gelungene oder missgl�ckte Gesetzesent-w�rfe?, DuD 2012, S. 312; Schmidt, Arbeitnehmerdatenschutz in § 32 BDSG – Eine Neu-regelung (fast) ohne Ver�nderung der Rechtslage, RDV 2009, S. 193; Schmidt, Besch�f-tigtendatenschutz in § 32 BDSG, DuD 2010, S. 207; Schneider, Hemmnis f�r einenmodernen Datenschutz: Das Verbotsprinzip, AnwBl 2011, S. 233; Schneider, Anforde-rungen an eine Neugestaltung des Datenschutzes, ITRB 2011, S. 243; Schneider/H�rting,
2 Taeger/Schmidt
Einf�hrung
Warum wir ein neues BDSG brauchen, ZD 2011, S. 63; Schneider/H�rting, Wird der Da-tenschutz nun endlich internettauglich? ZD 2012, S. 199; Schultze-Melling, Ein Daten-schutzrecht f�r Europa – eine sch�ne Utopie oder irgendwann ein gelungenes europ�-isches Experiment?, ZD 2012, S. 97; Schulz, Das neue IT-Grundrecht – staatliche Schutz-pflicht und Infrastrukturverantwortung, DuD 2012, S. 395; Schwartmann, Ausgelagertund ausverkauft – Rechtsschutz nach der Datenschutz-Grundverordnung, RDV 2012,S. 55; Simon/Taeger, Rasterfahndung, Baden-Baden 1981; Steinm�ller, Datenverkehrs-recht, Film und Recht 1977, S. 440; Steinm�ller, Das informationelle Selbstbestimmungs-recht – Wie es entstand und was man daraus lernen kann, RDV 2007, S. 158; St�gm�ller,Vertraulichkeit und Integrit�t informationstechnischer Systeme in Unternehmen, CR2008, S. 435; Taeger, Grenz�berschreitender Datenverkehr und Datenschutz in Europa,Clausthal-Zellerfeld 1995; Taeger, Datenschutzrecht in Europa, EWS 1995, S. 69; Taeger,Risiken web-basierter Personalisierungsstrategien, in: Taeger/Wiebe, Informatik – Wirt-schaft – Recht: Regulierung in der Wissensgesellschaft, Festschrift f�r Wolfgang Kilianzum 65. Geburtstag, Baden-Baden 2004, S. 241; Wagner, Bundesstiftung Datenschutz –Chancen? Grenzen!, RDV 2011, S. 229; Wagner, Grenzen des europ�ischen Datenschutz-rechts, DuD 2012, S. 303; Weichert, Wem geh�ren die privaten Daten, in: Taeger/Wiebe,Informatik – Wirtschaft – Recht: Regulierung in der Wissensgesellschaft, Festschrift f�rWolfgang Kilian zum 65. Geburtstag, Baden-Baden 2004, S. 281; Westin, Privacy andFreedom, New York 1967; Westphal, Grundlagen und Bausteine des europ�ischen Daten-schutzrechts, in: Bauer/Reimer (Hrsg.), Handbuch Datenschutzrecht, Wien 2009, S. 53;Winteler, Betrugs- und Korruptionsbek�mpfung vs. Arbeits- und Datenschutzrecht, in:Taeger/Wiebe (Hrsg.), Inside the Cloud Cloud – Neue Herausforderungen f�r das Infor-mationsrecht, Tagungsband Herbstakademie 2009, Edewecht 2009, S. 469; Wuermeling,Besch�ftigtendatenschutz auf der europ�ischen Achterbahn, NZA 2012, S. 368; Wybitul,Das neue Bundesdatenschutzgesetz: Versch�rfte Regeln f�r Compliance und interne Er-mittlungen, BB 2009, S. 1582; Wybitul, Handbuch Datenschutz im Unternehmen, Frank-furt a.M. 2010; Wybitul/Rauer, EU-Datenschutz-Grundverordnung und Besch�ftigtenda-tenschutz, ZD 2012, S. 160; Wybitul, Wie geht es weiter mit dem Besch�ftigtendaten-schutz, ZD 2013, S. 99; Ziekow, Datenschutz und evangelisches Kirchenrecht, T�bingen2002; Zilkens, Europ�isches Datenschutzrecht – Ein �berblick, RDV 2007, S. 196.
�bersichtRn. Rn.
I. Entwicklung des Datenschutzrechts . . 11. Normierung des Datenschutz-
1 Erste �berlegungen zum Schutz von Betroffenen vor den Gefahren elektronischerDatenverarbeitung kamen in den 60er Jahre des vergangenen Jahrhunderts auf, zu-n�chst in den USA und dann auch in Deutschland, als die automatisierte Datenver-arbeitung (ADV) mit ihren Großrechnern in der �ffentlichen Verwaltung Einzughielt.1 In Deutschland m�ndeten sie Ende der 1970er Jahre in die ersten Kodifizie-rungen allgemeiner Datenschutzgesetze im Land Hessen und im Bund.
1. Normierung des Datenschutzrechts
2 Die Normierung des Datenschutzrechts ist eng verkn�pft mit der technischen Ent-wicklung von Datenverarbeitungssystemen. Diese l�sst sich vereinfacht in drei Pha-sen darstellen.2 Am Anfang standen dezentrale Rechenzentren und Einzelrechner,die eine intensivierte Datenverarbeitung in lokalen Strukturen erm�glichten. Diezweite Phase war gepr�gt von einer Verkn�pfung dezentraler Rechnerstrukturen,durch die zun�chst der Austausch von Daten zwischen einzelnen Rechnern und Re-chenzentren erm�glicht wurde und die in ihrer Entwicklung zur umfassenden glo-balen Vernetzung durch das Internet gef�hrt hat. Die dritte Phase zeichnet sichdurch die Entstehung einer Vielzahl von Diensten aus, die das Einstellen von Infor-mationen in lokalen Netzwerken und dem Internet vereinfachten und zu einem ra-santen Anwachsen globaler Datenstr�me und Datenbest�nde gef�hrt hat. Das heuti-ge „Web 2.0“ erm�glicht eine weltweite Kommunikation und Interaktion �ber Platt-formen, in die Nutzer selbst Inhalte – h�ufig mit sehr pers�nlichen Daten �ber sichselbst und Dritte – einstellen. „Social networks“ sind Ausdruck einer anhaltendenTendenz der Verlagerung des realen Lebens in das Internet. Eine erhebliche Zunah-me der kollaborativen Plattformen (Virtuelle Welten) wird f�r das Web 3.0 erwar-
4 Taeger/Schmidt
1 Grundlegend aus Anlass des Aufbaus einer staatlichen Datenbank in den USA die verfas-sungsrechtliche Studie von Westin, Privacy and Freedom. Zur Folgediskussion in Deutsch-land etwa R. Kamlah, Right of Privacy; Kilian/Lenk/Steinm�ller (Hrsg.), Datenschutz; Pod-lech, DVR 1972/73, S. 149; Steinm�ller, Datenverkehrsrecht, Film und Recht 1977, S. 440.Die Geschichte des Pers�nlichkeitsschutzes vor den Risiken der (analogen) Datenverarbei-tung l�sst sich wesentlich weiter zur�ckverfolgen; siehe zur Entwicklung des Datenschutz-rechts von 1600 bis 1977 von Lewinski, in: Freiheit – Sicherheit – �ffentlichkeit, S. 196.
2 Roßnagel/M�ller, CR 2004, S. 625 (627 f.).
Entwicklung des Datenschutzrechts
tet. Zudem sehen sich Betroffene mit dem Ph�nomen konfrontiert, dass einmal indas Internet gelangte Informationen nicht mehr zuverl�ssig entfernt werden k�nnenund z.B. durch die Nutzung von Internet-Archiven3 auch noch Jahre nach einer„Entfernung“ auffindbar sein k�nnen.
3Die technische Entwicklung im gewerblichen Bereich wird in j�ngster Zeit durchAnwendungen gepr�gt, die unter dem Stichwort „Big Data“ diskutiert werden.4 Inder Privatwirtschaft ist es in den letzten Jahren durch den technischen Fortschritt,etwa durch den zunehmenden Einsatz von Cloud Computing, SaaS, mobiler Kom-munikation, Social-Media-Kan�len oder RFID-Chips zu einem rasanten Anwach-sen von Datenbest�nden gekommen und es ist zu erwarten, dass sich dieser Trendnoch verst�rken wird.5 Big Data Anwendungen setzen dort an, wo die M�glichkei-ten konventioneller Anwendungen aufh�ren, die unter den Stichworten Data Ware-housing und Data Mining diskutiert wurden. Ziel von „Big Data“ ist es, diese ex-trem großen Datenmengen zu strukturieren und als „vierte[n] Produktionsfaktor ne-ben Kapital, Arbeitskraft und Rohstoffe[n]“6 nutzbar zu machen. Neben dempotenziellen Nutzen, etwa in den Bereichen Wissenschaft und Forschung, Marke-ting oder Korruptionsbek�mpfung stellt „Big Data“ das Datenschutzrecht vor neueHerausforderungen.
4Die Fortschritte in der Datenverarbeitungstechnik waren stets ein bestimmendesElement f�r die Weiterentwicklung des Datenschutzrechts,7 und sie werden auch inZukunft dessen weitere Entwicklung pr�gen. Die T�tigkeitsberichte der Aufsichts-beh�rden, die �ber das „Zentralarchiv f�r T�tigkeitsberichte des Bundes- und derLandesdatenschutzbeauftragten und der Aufsichtsbeh�rden f�r den Datenschutz(ZAfTDa)“ erschlossen werden k�nnen,8 sind ein Spiegelbild der st�ndig neuen He-rausforderungen f�r die Datenschutzaufsicht. Die Vorstellung der Steuerung techni-scher Entwicklung durch das Datenschutzrecht wird sich nur bedingt umsetzen las-sen. Vielmehr ist anzunehmen, dass die technischen Entwicklungen auch in der Zu-kunft neue Herausforderungen f�r die Gew�hrleistung des Betroffenenschutzesdurch das Datenschutzrecht schaffen werden.
5Die Normierung des Datenschutzrechts stellt eine Reaktion der Gesellschaft aufdiese Ver�nderung ihrer sozialen Umwelt dar. Sie begann mit dem weltweit erstenDatenschutzgesetz,9 das 1970 in Hessen in Kraft trat. Es wurde gefolgt von einemvergleichbaren Regelungswerk in Bayern, das jedoch nicht als Datenschutzgesetz,
Taeger/Schmidt 5
3 Wayback machines, wie www.archive.org.4 Siehe hierzu BITKOM Leitfaden „Big Data im Praxiseinsatz“.5 BITKOM Leitfaden „Big Data im Praxiseinsatz“, S. 12, der davon ausgeht, dass 2020 das
Weltweite Datenvolumen 100 Zettabytes erreichen wird.6 BITKOM Leitfaden „Big Data im Praxiseinsatz“, S. 7.7 Vgl. hierzu auch Taeger, Risiken web-basierter Personalisierungsstrategien, in: Taeger/Wie-
be (Hrsg.), FS Kilian, S. 241.8 www.zaftda.de; dazu von Lewinski, RDV 2009, S. 267.9 Datenschutzgesetz vom 7.10.1970, Hess. GVBl. I, S. 625.
Einf�hrung
sondern als EDV-Organisationsgesetz betitelt wurde,10 dem schwedischen Daten-schutzgesetz aus dem Jahr 1973,11 dem Privacy Act von 197412 in den USA unddem norwegischen Datenschutzgesetz von 1978.13 Die Bundesregierung befasstesich mit dem Problem des Datenschutzes erstmals Ende der 60er Jahre;14 das Bun-desministerium des Innern erteilte der Universit�t Regensburg 1970 einen For-schungsauftrag zur Erstellung eines Datenschutzkonzepts,15 das die Entwicklungdes Datenschutzrechts in der Folge pr�gen sollte.16 1977 wurde das erste Daten-schutzgesetz des Bundes17 verabschiedet, das am 1.1.1978 in Kraft trat und mate-rielle Regeln der Datenverarbeitung f�r �ffentliche und private Stellen enthielt.Nach Hessen folgten die �brigen Bundesl�nder mit allgemeinen Datenschutzgeset-zen auf Landesebene zur Regelung des Datenschutzes bei landesunmittelbarenStellen. Im Bund und in den L�ndern wurde, insbesondere im Anschluss an dasBVerfG-Urteil zur Volksz�hlung 1983, eine große Zahl bereichsspezifischer Daten-schutzgesetze verabschiedet, die dem BDSG bzw. dem LDSG nur insoweit vorge-hen, als sie eine abweichende Regelung vorgesehen; im �brigen bleiben die allge-meinen Datenschutzgesetze anwendbar. Die bereichsspezifischen Gesetze konkre-tisieren die Erlaubnistatbest�nde des allgemeinen Datenschutzrechts und kn�pfendie Erhebung und Verarbeitung an besondere Voraussetzungen, wie dies etwa beimTelemediengesetz oder dem Telekommunikationsgesetz der Fall ist, oder schr�nkendie Rechte der Betroffenen aufgrund einer von der Legislative vorgenommenen In-teressenabw�gung ein, wie beispielsweise durch das BKA-Gesetz. Die Kirchen re-geln den Datenschutz aufgrund der Freiheitsgarantie des Art. 140 GG i.V.m.Art. 137 Abs. 3 Satz 1 WRV und des daraus folgenden kirchlichen Selbstbestim-mungsrechts selbst18 und haben sich dabei weitgehend an den allgemeinen Daten-schutzgesetzen orientiert.
6 Taeger/Schmidt
10 Gesetz �ber die Organisation der elektronischen Datenverarbeitung im Freistaat Bayernvom 12.10.1970, GVBl. S. 457.
11 Datalagen (1973:289) verabschiedet am 11.5.1973, in Kraft getreten am 1.6.1974.12 www.justice.gov/opcl/privstat.htm.13 Lov om personregistre, hierzu Leopold, DuD 2000, S. 471.14 Tinnefeld/Ehmann/Gerling, Einf�hrung in das Datenschutzrecht, S. 88.15 Steinm�ller/Lutterbeck/Mallmann/Harbort/Kolb/Schneider, Grundfragen des Datenschut-
zes, Gutachten im Auftrag des Bundesministeriums des Innern, Juli 1971, BT-Drs. 6/3826,S. 5; dazu Steinm�ller, RDV 2007, S. 158.
16 Hierzu Steinm�ller, RDV 2007, S. 158.17 Gesetz zum Schutz vor Missbrauch personenbezogener Daten bei der Datenverarbeitung
(Bundesdatenschutzgesetz – BDSG) vom 27.1.1977, BGBl. I, S. 201; hierzu Buchner, In-formationelle Selbstbestimmung im Privatrecht, S. 26 ff.
18 Siehe dazu etwa Ziekow, Datenschutz und evangelisches Kirchenrecht; Germann, Daskirchliche Datenschutzrecht als Ausdruck kirchlicher Selbstbestimmung, ZevKR 48,S. 446; Fachet, Datenschutz in der katholischen Kirche, RDV 1996, S. 177; Claessen, Dasneue Datenschutzgesetz in der evangelischen Kirche, DuD 1995, S. 8; Lorenz, Die Novel-lierung des Bundesdatenschutzgesetzes in ihren Auswirkungen auf die Kirchen, DVBl.2001, S. 428.
Entwicklung des Datenschutzrechts
6Mit der Vorstellung des Entwurfs der EU-DSGVO durch die Kommission steht dieEntwicklung des Datenschutzrechts vor einer neuen Z�sur, indem erstmals verbind-liches und in den Mitgliedstaaten unmittelbar anwendbares Recht geschaffenwird.19
2. Gesetzgebungskompetenz
7Eine ausdr�ckliche Regelung der legislativen Zust�ndigkeit findet sich f�r den Da-tenschutz nicht, sodass seine Normierung weder auf eine klare Kompetenz der L�n-der noch des Bundes gest�tzt werden kann. Will man diese ermitteln, so muss nachdem konkreten Regelungszusammenhang gefragt werden, und dieser muss in dieZust�ndigkeitsregelungen gem. Art. 70ff. GG eingeordnet werden.20 Gem. Art. 70Abs. 1 GG gilt der Grundsatz der L�nderkompetenz. Abweichungen sind zul�ssig,soweit zu schaffende datenschutzrechtliche Regelungen einen Zusammenhang zueiner Kompetenz des Bundes aufweisen.21 Zur Regelung des Datenschutzes f�r dieDatenverarbeitung durch nicht-�ffentliche Stellen kann sich der Bund insbesondereauf seine Kompetenz zur konkurrierenden Gesetzgebung gem. Art. 74 Abs. 1 Nr. 1,Nr. 11 und Nr. 14 GG berufen, da eine einheitliche Regelung des Datenschutzrechtszur Wahrung der Rechts- und Wirtschaftseinheit erforderlich ist.22
8Die Zust�ndigkeit des Bundes f�r den Erlass von Datenschutzvorschriften f�r Stel-len der Judikative ergibt sich aus seiner Zust�ndigkeit f�r die Gerichtsverfassungund das gerichtliche Verfahren gem. Art. 74 Nr. 1 GG. F�r die Kompetenz zur Re-gelung des Datenschutzes in der �ffentlichen Verwaltung gibt es dar�ber hinauskeine unmittelbar passende Kompetenzgrundlage. Regelungen des materiellen Da-tenschutzrechts dienen prim�r n�mlich nicht der organisatorischen Anleitung derVerwaltung bei der Aus�bung ihrer T�tigkeit, sondern dem Schutz der Betroffenenvor den Gefahren der Datenverarbeitung. Eine Bundeskompetenz kann sich dahernicht aus der Zust�ndigkeit f�r die Regelung des Verwaltungsverfahrens ergeben,23
sondern nur aus einer Annexkompetenz zu Art. 73 und 74 GG, wenn �ffentlicheStellen personenbezogene Daten im Zusammenhang mit einer Materie bearbeiten,f�r die eine Bundeskompetenz besteht.24 Eine Ausnahme hiervon ergibt sich f�r dieBestellung eines Datenschutzbeauftragten des Bundes als besonderer Kontroll-instanz. In dieser Funktion unterscheidet sich der Bundesdatenschutzbeauftragtevon den �brigen Beh�rden und �ffentlichen Stellen des Bundes. Dennoch ist er die-
sen als Bestandteil der Organisationsgewalt des Bundes soweit angen�hert, dasssich eine Zust�ndigkeit zur Regelung seiner Kompetenzen aus Art. 86 GG ergibt.25
9 Vor dem Hintergrund dieser heterogenen Kompetenzzuweisung ist die Differenzie-rung datenschutzrechtlicher Vorschriften nach ihrem Adressatenkreis in § 1 Abs. 2BDSG und in §§ 12ff. BDSG sowie §§ 27ff. BDSG zu begr�ßen.
3. BDSG-Novellen seit 1977
10 Das BDSG erfuhr seit seiner erstmaligen Verabschiedung 1977 drei wesentliche�berarbeitungen. Die Novelle des BDSG aus dem Jahr 1990 durch das Gesetz zurFortentwicklung der Datenverarbeitung und des Datenschutzes26 entwickelte dasBDSG auf der Basis des verfassungsrechtlichen Meilensteins des Datenschutz-rechts,27 dem Volksz�hlungsurteil des Bundesverfassungsgerichts vom 15.12.1983,28 weiter.29 Der Schwerpunkt lag hierbei auf der �berarbeitung der Regelun-gen des Datenschutzes im �ffentlichen Bereich.30 Die zweite �berarbeitung desBDSG erfolgte im Jahr 2001 durch das Gesetz zur �nderung des Bundesdaten-schutzgesetzes und anderer Gesetze,31 in dem der Gesetzgeber die Anforderungender EG-DSRl in deutsches Recht umsetzte.32
11 Zuletzt wurde das BDSG 2009 durch drei Reformgesetze ge�ndert.33 Die sog.BDSG-Novelle I34 erfolgte durch das Gesetz zur �nderung des Bundesdatenschutz-gesetzes vom 29.7.2009.35 Sie trat zum 1.4.2010 in Kraft und befasst sich mit Sco-ring, Rating und dem Recht der Auskunfteien. Die Novelle brachte Neuerungen desDatenschutzrechts insbesondere in vier Bereichen; so werden Mitteilungs- und Er-kl�rungspflichten bei automatisierten Einzelentscheidungen, Zul�ssigkeitsregelnf�r Scoring-Verfahren sowie die �bermittlung von Daten an Auskunfteien undAuskunftspflichten im Bezug auf Scorewerte neu geregelt.36
8 Taeger/Schmidt
25 Vgl. Simitis, in: Simitis, BDSG, § 1 Rn. 14 ff.26 BGBl. I, S. 2954.27 Tinnefeld/Ehmann/Gerling, Einf�hrung in das Datenschutzrecht, S. 89.28 BVerfGE 65, 1.29 Tinnefeld/Ehmann/Gerling, Einf�hrung in das Datenschutzrecht, S. 89 f.30 Gola/Schomerus, BDSG, Einl. Rn. 7.31 BGBl. I, S. 904.32 Richtlinie zum Schutz nat�rlicher Personen bei der Verarbeitung personenbezogener Da-
ten und zum freien Datenverkehr, RL 95/46/EG.33 Darstellung bei Moos, in: Taeger/Wiebe, Inside the Cloud, S. 79.34 Hierzu Grentzenberg/Schreibauer/Schuppert, K&R 2009, S. 368; Moos, in: Taeger/Wiebe,
Inside the Cloud, S. 79.35 BGBl. I, S. 2254.36 Moos, Update Datenschutz, in: Taeger/Wiebe, Inside the Cloud, S. 79.
Entwicklung des Datenschutzrechts
12Die zweite Novellierung des BDSG37 im Jahr 2009 erfolgte durch das Gesetz zur�nderung datenschutzrechtlicher Vorschriften vom 14.8.2009.38 Sie trat in ihrenwesentlichen Teilen zum 1.9.2009 in Kraft, in den durch Art. 5 des �nderungsge-setzes benannten Ausnahmen hingegen erst mit Wirkung zum 1.4.2010. Durch dasGesetzesvorhaben sollten nach urspr�nglicher Intention des Bundeskabinetts insbe-sondere die Voraussetzung zur Durchf�hrung eines freiwilligen Datenschutzauditsgem. § 9a BDSG39 durch ein Datenschutzauditgesetz40 geschaffen werden. Hiervonwurde im Laufe des Gesetzgebungsverfahrens aber Abstand genommen. Die No-velle brachte jedoch Ver�nderungen f�r das sog. Listenprivileg gem. § 28 Abs. 3S�tze 2–5 BDSG,41 die Auftragsdatenverarbeitung gem. § 11 BDSG42 sowie eineErh�hung des Bußgeldrahmens f�r Datenschutzverst�ße gem. § 43 BDSG,43 dieNeuregelung von Informationspflichten bei unrechtm�ßiger Kenntniserlangungvon Daten gem. § 42a BDSG44 und die Einf�hrung einer Regelung zum Arbeitneh-merdatenschutz in § 32 BDSG.45
13Die BDSG-Novelle III46 erfolgte durch Art. 5 des Gesetzes zur Umsetzung der Ver-braucherkreditrichtlinie, des zivilrechtlichen Teils der Zahlungsdienstrichtlinie so-wie zur Neuordnung der Vorschriften �ber das Widerrufs- und R�ckgaberecht vom29.7.2009.47 Sie enth�lt unter anderem Regelungen zum Umgang mit personenbe-zogenen Daten im Zusammenhang mit der Kreditw�rdigkeitspr�fung von Verbrau-chern und �nderungen der Informationspflichten beim Abschluss bzw. der Ableh-nung von Verbraucherdarlehensvertr�gen in § 29 BDSG.48
14Die �nderungen des BDSG wurden unmittelbar vor Ende der Legislaturperiode be-schlossen. Im Koalitionsvertrag49 der schwarz-gelben Regierung k�ndigten die Ko-alitionsparteien an, dass sie f�r mehr Datenschutz, insbesondere einen st�rkerenSelbstdatenschutz sorgen wollten, um Datenmissbrauch vorzubeugen. Die Koali-tion wolle pr�fen, wie durch eine �nderung des Datenschutzrechts der Schutz per-
Taeger/Schmidt 9
37 Hierzu Grentzenberg/Schreibauer/Schuppert, K&R 2009, S. 535 (535 ff.); Hanloser,MMR 2009, S. 594.
38 BGBl. I, S. 2814.39 Vgl. § 9a BDSG Rn. 8 ff.40 Hierzu Grenzenberg/Schreibauer/Schuppert, K&R 2009, S. 535 (541f.); Moos, K&R
2009, S. 154 (160).41 Vgl. § 28 BDSG Rn. 8, 152 ff.; Frey, in: Taeger/Wiebe, Inside the Cloud, S. 33 (36 ff.).42 Ausf�hrlich hierzu § 11 BDSG Rn. 65 ff.; Gabel, in: Taeger/Wiebe, Inside the Cloud,
S. 193 (203f.).43 Siehe § 43 BDSG Rn. 73 ff.; Moos, in: Taeger/Wiebe, Inside the Cloud, S. 79 (82 f.).44 Vgl. § 42a BDSG Rn. 7 ff.; Moos, in: Taeger/Wiebe, Inside the Cloud, S. 79 (83 f.).45 Ausf�hrlich hierzu § 32 BDSG Rn. 1 ff.; Schmidt, RDV 2009, S. 193; Winteler, in: Taeger/
Wiebe, Inside the Cloud, S. 469 (471 ff.).46 Hierzu Moos, in: Taeger/Wiebe, Inside the Cloud, S. 79 (85); Moos, K&R 2010, S. 166
(170).47 BGBl. I, S. 2355; Inkrafttreten: 1.6.2010.48 Ausf�hrlich hierzu § 29 BDSG Rn. 33.49 www.cdu.de/doc/pdfc/091024-koalitionsvertrag-cducsu-fdp.pdf.
Einf�hrung
sonenbezogener Daten im Internet verbessert werden k�nne. Die Koalition k�ndig-te an, dass das BDSG unter Ber�cksichtigung der europ�ischen Rechtsentwicklunglesbarer und verst�ndlicher sowie zukunftsfest und technikneutral ausgestaltet wer-den solle. Dabei sei die Einwilligung eine wesentliche S�ule des informationellenSelbstbestimmungsrechts. Im Verlauf dieser Legislaturperiode ist es bisher jedochlediglich zum Beschluss der Gr�ndung einer Stiftung Datenschutz durch den Bun-destag gekommen,50 w�hrend insbesondere die Diskussion um eine Neuregelungdes Besch�ftigtendatenschutzes bisher nicht zur Verabschiedung einer gesetzlichenRegelung gef�hrt hat.51
4. Stiftung Datenschutz
15 Die Idee einer Stiftung Datenschutz geht zur�ck auf ein Positionspapier der FDP-Bundestagsfraktion aus dem Jahr 200852 und fand Eingang in den Koalitionsver-trag. Die Stiftung Datenschutz sollte hiernach den Auftrag bekommen, Produkteund Dienstleistungen auf Datenschutzfreundlichkeit zu pr�fen, die Bildung im Be-reich des Datenschutzes zu st�rken, den Selbstdatenschutz durch Aufkl�rung zuverbessern, die Sensibilit�t und Selbstverantwortung zu st�rken und ein Daten-schutzaudit zu entwickeln.53
16 Auf dieser Grundlage hat der Bundestag am 28.6.2012 mit den Stimmen der Regie-rungsfraktionen beschlossen, bis zum Oktober 2012 eine Stiftung Datenschutz zuerrichten.54 Nachdem die Datenschutzbeauftragten der L�nder am 8.11.2012 be-schlossen haben, auf ihre Sitze im Beirat zu verzichten, ist die Zukunft des Projektsungewiss.
17 Mit der Stiftung Datenschutz soll die Idee einer „(regulierten) Selbstregulierung“55
verwirklicht werden und den Herausforderungen an einen modernen Datenschutzentsprochen werden. Diese werden insbesondere darin gesehen, dass der Daten-schutz auf eine fortschreitende Virtualisierung und Dezentralisierung der Datenver-arbeitung im Internet sowie auf einen zunehmend offenherzigen Umgang mit per-sonenbezogenen Daten im Zeitalter webbasierter sozialer Vernetzung reagierenm�sse.56
18 Der Bundestag hat 10 Mio. Euro Stiftungskapital zur Verf�gung gestellt. Zus�tzli-che Mittel kann die Stiftung Datenschutz aus der Vergabe von G�tesiegeln und Au-
10 Taeger/Schmidt
50 Hierzu Rn. 15 ff.51 Hierzu Rn. 23 ff.52 Positionspapier der FDP-Bundestagsfraktion „Datenschutz im �ffentlichen und nicht-�f-
fentlichen Bereich vom 14.10.2008, hierzu Piltz/Schulz, RDV 2011, S. 117 (119).53 Koalitionsvertrag, S. 97 f.54 Vgl. den hierauf gerichteten gemeinsamen Antrag, BT-Drs. 17/10092.55 Piltz/Schulz, RDV 2011, S. 117 (119).56 Piltz/Schulz, RDV 2011, S. 117 (118).
Entwicklung des Datenschutzrechts
dits sowie durch Spenden erwirtschaften, soweit hierdurch ihre Unabh�ngigkeitnicht gef�hrdet wird.57
19Die Stiftung Datenschutz soll in der Rechtsform einer gemeinn�tzigen Stiftung b�r-gerlichen Rechts58 mit Sitz in Leipzig errichtet werden. Ihre Aufgaben liegen ins-besondere in der St�rkung des Selbstdatenschutzes durch Aufkl�rung und Bil-dungsangebote sowie in der Einf�hrung eines Datenschutzg�tesiegels f�r digitaleAnwendungen.59 Das G�tesiegel soll einen bundeseinheitlichen Zertifzierungsstan-dard einf�hren, der vergleichbar dem Testsiegel der Stiftung Warentest f�r die Nut-zer in vertrauensw�rdiger Weise �ber die Datenschutzfreundlichkeit einer Anwen-dung Auskunft gibt und dar�ber hinaus f�r Unternehmen Anreize f�r einen verbes-serten Datenschutz bei Prozessen und Anwendungen schafft.60
20Die Organe der Stiftung Datenschutz sind der Vorstand, der Verwaltungsrat und derBeirat. Die Satzung soll vorsehen, dass als Mitglieder des Vorstands und des Ver-waltungsrats nur solche Personen bestellt werden, bei denen Interessenkonflikte –insbesondere Konflikte mit Unternehmensinteressen – ausgeschlossen sind.61 DerVorstand soll im Benehmen mit der Stifterin vom Verwaltungsrat bestimmt werdenund der Verwaltungsrat auf Vorschlag des Beirats von der Stifterin ernannt werden.Der Beirat soll pluralistisch besetzt werden und aus Mitgliedern, die von der Stifte-rin benannt werden sowie Vertreter aus den Bereichen Datenschutz, Wirtschaft undVerbraucherschutz bestehen.
21W�hrend die Errichtung der Stiftung Datenschutz insbesondere von der Wirt-schaft62 und vom Bundesbeauftragten f�r den Datenschutz und die Informations-freiheit63 unterst�tzt wird, finden sich in der Netzgemeinde und den Aufsichtsbe-h�rden auch kritische Stimmen. So wird bem�ngelt, dass durch die Angliederungan das Innenressort und die Einbindung der Wirtschaft von dem Ziel der St�rkungdes Verbraucherschutzes nicht viel �brig geblieben und die Stiftung ein „zahnloserTiger“ sei.64 Vorbehalte bestehen auch im Hinblick auf die verfassungsrechtlichenGrenzen der Kompetenzen einer Stiftung Datenschutz. So k�nne die Stiftung Da-tenschutz keine Testreihen an Produkten und Dienstleistungen durchf�hren, soweitsie hiermit in Widerspruch zu verbindlichen Anordnungen der Aufsichtsbeh�rden
Taeger/Schmidt 11
57 BT-Drs. 17/10092; Diskussionspapier des Bundesbeauftragten f�r den Datenschutz unddie Informationsfreiheit vom 1.2.2011.
58 Vgl. Diskussionspapier des Bundesbeauftragten f�r den Datenschutz und die Informati-onsfreiheit vom 1.2.2011.
59 Vgl. BT-Drs. 17/10092.60 Hierzu Piltz/Schulz, RDV 2011, S. 117 (120ff.).61 Diskussionspapier des Bundesbeauftragten f�r den Datenschutz und die Informationsfrei-
heit vom 1.2.2011.62 BITKOM Presseinformation zur Stiftung Datenschutz vom 28.6.2012.63 Diskussionspapier des Bundesbeauftragten f�r den Datenschutz und die Informationsfrei-
heit vom 1.2.2011.64 http://netzpolitik.org/2012/zahnloser-tiger-regierung-stellt-stiftung-datenschutz-vor/;
siehe auch Weichert, DuD 2012, S. 230.
Einf�hrung
nach § 38 BDSG treten kann, da hierdurch der Grundsatz der L�nderexecutive gem.Art. 83 GG verletzt w�rde.65 Kompetenzkonflikte best�nden auch bei einer T�tig-keit im Zusammenhang mit Bildungsangeboten, da die Gesetzgebungskompetenzhier gem. Art. 70 Abs. 1 GG ausschließlich bei den L�ndern liege, sowie bei Auf-kl�rungs- und Informationsaufgaben, da sich die Zust�ndigkeit nur aus einer An-nexkompetenz f�r die Sachmaterie ergeben k�nne.66 Die Stiftung Datenschutz stehedaher auf verfassungsrechtlich unsicherem Boden, sodass besser vorhandene Struk-turen gest�rkt werden sollten, anstatt eine neue Institution zu schaffen. Jedenfallssei es aber erforderlich, der Stiftung im Hinblick auf bestehende Zust�ndigkeitender Aufsichtsbeh�rden eine Zur�ckhaltungspflicht aufzugeben und ihre Zust�ndig-keit enumerativ festzuschreiben.67
22 Die verfassungsrechtliche Kritik an der Stiftung Datenschutz setzt an der heteroge-nen Kompetenzzuweisung des GG f�r den Datenschutz an,68 die zur Folge hat, dasssich eine (Bundes)Stiftung Datenschutz nicht nahtlos in die Kompetenzverteilungzwischen Bund und L�ndern, insbesondere im Hinblick auf die T�tigkeit der Auf-sichtsbeh�rden, einf�gt. Den Zust�ndigkeiten der L�nder, insbesondere bei der Da-tenschutzaufsicht, muss daher bei der Ausgestaltung der Kompetenzen der StiftungDatenschutz Rechnung getragen werden.
5. Besch�ftigtendatenschutz
23 Nachdem 2009 im Rahmen der BDSG-Novelle II69 die Regelung des § 32 BDSGals Provisorium zur Verankerung des Besch�ftigtendatenschutzes in das BDSG ein-gef�gt wurde, ohne hiermit eine abschließende Regelung schaffen zu wollen,70 hatdie Diskussion um die Neuregelung des Besch�ftigtendatenschutzes bis heute nichtzu einer �ber § 32 BDSG hinausgehenden gesetzlichen Regelung gef�hrt.71
24 Der vom damaligen Bundesminister f�r Arbeit Scholz (SPD) zur Diskussion ge-stellte Entwurf eines Besch�ftigtendatenschutzgesetzes wurde von der SPD-Frak-tion am 28.11.2009 als Gesetzentwurf72 in den Bundestag eingebracht und am3.12.2009 an den Innenausschuss �berwiesen.
25 Auf Grundlage des Eckpunktepapiers des Bundesinnenministeriums vom31.3.2010 hat die Bundesregierung am 25.8.2010 den Entwurf eines Besch�ftigten-datenschutzgesetzes beschlossen und in den Bundestag eingebracht.73 Nachdem der
12 Taeger/Schmidt
65 Wagner, RDV 2011, S. 229 (230).66 Wagner, RDV 2011, S. 229 (230 f.).67 Wagner, RDV 2011, S. 229 (232 f.).68 Siehe hierzu Rn. 7 ff.69 Hierzu Rn. 12.70 Hierzu Schmidt, DuD 2010, S. 207 (208).71 Hierzu § 32 Rn. 2 f.72 BT-Drs. 17/69.73 BT-Drs. 17/4230; hierzu § 32 Rn. 3; Moos, K&R 2011, S. 145; Wybitul, Handbuch Daten-
schutz im Unternehmen, Anhang 3.
Recht auf informationelle Selbstbestimmung
Bundesrat hierzu Stellung genommen hat,74 wurde der Entwurf gemeinsam mit ei-nem Entwurf der Fraktion der Gr�nen75 in erster Lesung am 25.2.2011 an den fe-derf�hrenden Innenausschuss und die mitberatenden Aussch�sse �berwiesen. ImInnenausschuss fand am 23.5.2011 eine Expertenanh�rung statt. Anfang Februar2012 verst�ndigten sich die Regierungsfraktionen �ber strittige Punkte des Ent-wurfs, ohne dass dies jedoch zu einem Fortschritt im Gesetzgebungsverfahren ge-f�hrt h�tte. Nachdem es zun�chst aussah, als solle die Entwicklung auf europ�-ischer Ebene im Hinblick auf den Entwurf der Kommission f�r eine EU-DSGVOvom 25.1.201276 abgewartet werden,77 war zuletzt wieder Schwung in das Gesetz-gebungsverfahren gekommen.78 Nach heftiger Kritik u.a. von der Opposition, denGewerkschaften und Arbeitgeberverb�nden79 wurde die Beratung mehrfach von derTagesordnung im Innenausschuss und im Plenum des Bundestages gestrichen. DieBundesregierung hat das Thema im Februar 2013 endg�ltig zur�ckgestellt. EinGesetz zum Besch�ftigtendatenschutz wird es daher fr�hestens in der n�chstenLegislaturperiode geben. Von der europ�ischen Entwicklung h�ngt das Schicksaleiner deutschen Regelung jedenfalls nicht ab, da die derzeitige Fassung mit Art. 82EU-DSGVO-E eine �ffnungsklausel f�r eine nationale Regelung des Besch�ftig-tendatenschutzes vorsieht.80
26Der Entwurf enth�lt unter anderem Regelungen zur Video�berwachung am Ar-beitsplatz, zur Datenverarbeitung zur Aufdeckung von Straftaten sowie zum Zugriffauf Bewerberdaten in Social Networks.81
II. Recht auf informationelle Selbstbestimmung
27Pr�gend f�r die Entwicklung des Datenschutzrechts war neben der Entstehung undder technischen Weiterentwicklung von Datenverarbeitungseinrichtungen dasRecht auf informationelle Selbstbestimmung. Das Grundgesetz enth�lt dieses, imGegensatz zu Art. 8 der Europ�ischen Grundrechtscharta, jedoch nicht ausdr�ck-lich. Entscheidend f�r seine Entwicklung und damit auch f�r die Entwicklung desDatenschutzrechts wurde daher das Volksz�hlungsurteil,82 in dem das BVerfG erst-
Taeger/Schmidt 13
74 BR-Drs. 535/10.75 BT-Drs. 17/4853.76 KOM (2012) 11, hierzu Rn. 56 ff.77 F�r den Abschluss des Gesetzgebungsverfahrens unter Ber�cksichtigung der �berlegun-
gen der Kommission spricht sich Gola, RDV 2012, S. 60 (63) aus.78 Ein letzter �nderungsvorschlag der Regierungsfraktionen datiert vom 10.1.2013 (Aus-
schuss-Drs. 17(4)636).79 Hierzu Wybitul, ZD 2013, S. 99 (101f.).80 Wuermeling, NZA 2012, S. 368 (370), hierzu Rn. 66; Wybitul/Rauer, ZD 2012, S. 160
(161).81 Hierzu ausf�hrlich § 32 Rn. 4 f.82 BVerfGE 65, 1; Darstellung bei Buchner, Informationelle Selbstbestimmung im Privat-
recht, S. 30 ff.; Ehmann, RDV 1998, S. 235 (240ff.); Faber, RDV 2003, S. 278 (278 ff.).
Einf�hrung
mals ein solches Recht auf informationelle Selbstbestimmung, als Fallgruppe desallgemeinen Pers�nlichkeitsrechts aus Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG und da-mit ein Grundrecht zum Schutz personenbezogener Daten ableitete. Der Grund-rechtscharakter des Rechts auf informationelle Selbstbestimmung wurde in der Fol-ge durch das BVerfG in einer Vielzahl von Entscheidungen betont.83
1. Schutzbereich
28 Im Volksz�hlungsurteil stellte das BVerfG fest, dass es vor dem Hintergrund techni-scher Entwicklung zunehmend entbehrlich w�rde, personenbezogene Informationenmanuell zusammenzutragen. Diese k�nnten stattdessen technisch unbegrenzt ge-speichert, miteinander verkn�pft und zu einem Pers�nlichkeitsbild zusammengef�gtwerden und seien schnell abrufbar, ohne dass der Betroffene die M�glichkeit habe,die Richtigkeit der Daten und deren Verwendung zu beeinflussen. Hieraus erg�bensich neue M�glichkeiten der Einsicht- und Einflussnahme, die es zu kontrollierengelte. Wer n�mlich nicht mit hinreichender Sicherheit �berschauen k�nne, welchepersonenbezogenen Informationen seiner sozialen Umwelt bekannt seien, k�nne inder Aus�bung seiner Selbstbestimmung wesentlich gehemmt sein. Solange der Ein-zelne nicht in der Lage sei, dar�ber zu entscheiden, wer �ber seine personenbezoge-nen Daten verf�gt und zu welchen Zwecken dies erfolgt, laufe Gefahr, die F�higkeitder Teilnahme am Kommunikationsprozess als Subjekt zu verlieren und zum Infor-mationsobjekt gemacht zu werden.84 Dies f�hre insbesondere dazu, dass es kein „be-langloses“ Datum mehr gebe,85 sodass die freie Entfaltung der Pers�nlichkeit unterden Bedingungen moderner Informationstechnologien voraussetze, dass der Einzel-ne gegen unbegrenzte Erhebung, Speicherung, Verwendung und Weitergabe seinerpers�nlichen Daten gesch�tzt werde, indem ihm die Befugnis einger�umt wird,selbst �ber die Preisgabe und Verwendung seiner personenbezogenen Daten zu be-stimmen.86 Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG sch�tzt daher das Recht zur Selbst-bestimmung dar�ber, wann und innerhalb welcher Grenzen pers�nliche Lebenssach-verhalte offenbart werden.87 Dieses Recht auf informationelle Selbstbestimmung er-fasst s�mtliche Daten mit Personenbezug und betrifft alle Formen ihrer Erhebungund Verwendung.88 Damit stellt es ein rechtliches Gegengewicht zu sich intensivie-
14 Taeger/Schmidt
83 BVerfGE 78, 77 (84); BVerfGE 100, 313 (381); BVerfG NJW 2004, 999 (1016); BVerfGNJW 2008, 822 (836); BVerfG NJW 2008, 1505 (1505); Simitis leitet das Recht auf infor-mationelle Selbstbestimmung, anders als das BVerfG aus dem regulatorischen Konnex ei-ner Reihe von Grundrechtsartikeln, wie Art. 2 Abs. 1 GG i.V.m. Art. 1 Abs. 1 GG,Art. 5 GG, Art. 8, 9 GG und Art. 10 GG ab, Simitis, in: Simitis, BDSG, § 1 Rn. 46.
88 Roßnagel, RDV 2002, S. 61 (62); Weichert, FS Kilian 2004, S. 281 (291).
Recht auf informationelle Selbstbestimmung
renden M�glichkeiten der Verarbeitung personenbezogener Daten dar und verschafftdem Betroffenen die M�glichkeit, den Informationsstand seiner Kommunikations-partner �ber die eigene Person abzusch�tzen und eigene Standpunkte als gleichwerti-ger Kommunikationspartner zu formulieren.89 In das Recht auf informationelleSelbstbestimmung wird durch jede Erhebung und Verarbeitung personenbezogenerDaten eingegriffen, die ohne Einwilligung des Betroffenen vorgenommen werden.90
2. Integrit�t informationstechnischer Systeme
29Das BVerfG hat das Recht auf informationelle Selbstbestimmung nach dem Volks-z�hlungsurteil laufend weiterentwickelt. Bisher letzter Meilenstein dieser Recht-sprechung ist die Entwicklung der Fallgruppe des Rechts auf Integrit�t informati-onstechnischer Systeme, um neue Gef�hrdungen der Pers�nlichkeit vom Grund-rechtsschutz zu erfassen, die durch den wissenschaftlichen und technischenFortschritt entstehen.91 Hier sch�tzt das sog. „Computergrundrecht“ als subsidi�resFreiheitsrecht vor dem Zugriff auf informationstechnische Systeme. Ein informati-onstechnisches System besteht aus Hard- und Software sowie aus Daten und dientder Erfassung, Speicherung, Verarbeitung, �bertragung und Anzeige von Informa-tionen und Daten. Erfasst werden hiervon z.B. Personalcomputer, Mobiltelefoneund elektronische Terminkalender sowie externe Speichermedien, die mit dem ei-gentlichen System verbunden sind.92
30Neben dem Vorliegen eines informationstechnischen Systems ist es f�r die Er�ff-nung des Schutzbereichs erforderlich, dass der Betroffene das System als eigenesnutzt und nach den Umst�nden davon ausgehen darf, dass er allein oder mit anderengemeinsam selbstbestimmt �ber das System verf�gt93 und dem System personenbe-zogene Daten in einem Umfang anvertraut, die einen Einblick in wesentliche Teileder Lebensgestaltung seiner Person erm�glichen oder ein aussagekr�ftiges Bild�ber die Pers�nlichkeit zulassen94 und dies in dem Glauben tut, diese Daten seienf�r unbefugte Dritte unzug�nglich.95
31Die r�umliche und thematische Erweiterung des Schutzbereichs der informationel-len Selbstbestimmung soll Gefahren f�r die Pers�nlichkeitsentfaltung abwehren,die darin begr�ndet sind, dass Betroffene pers�nliche Daten in ein informations-technisches System einstellen oder durch dessen Nutzung automatisch liefern, so-dass das System potenziell aussagekr�ftige Datenbest�nde enth�lt, die die Pers�n-
90 Weichert, in: D�ubler/Klebe/Wedde/Weichert, BDSG, Einl. Rn. 9 ff.91 BVerfG NJW 2008, 822 (824).92 Hornung, CR 2008, S. 299 (303); St�gm�ller, CR 2008, S. 435 (436).93 BVerfG NJW 2008, 822 (827).94 BVerfG NJW 2008, 822 (827); Kutscha, DuD 2012, S. 391; Schulz, DuD 2012, S. 395.95 Holznagel/Schumacher, MMR 2009, S. 3 (4); Luch, MMR 2011, S. 75 (76).
Einf�hrung
lichkeit des Betroffenen ber�hren und so die Funktion eines „ausgelagerten Ge-hirns“ oder einer „ausgelagerten Psyche“ erh�lt.96 Hinzu tritt die zunehmende Ver-netzung, die neben neuen Nutzungsm�glichkeiten auch neue Gef�hrdungen f�r diePers�nlichkeitsentfaltung mit sich bringt,97 die der Einzelne nur eingeschr�nktwahrnehmen und vor denen sich zumindest der durchschnittliche Nutzer nur be-dingt sch�tzen kann.98 Nicht erst die in den klassischen Schutzbereich der informa-tionellen Selbstbestimmung fallende tats�chliche Erhebung, sondern schon dasEindringen in dieses System und die Verschaffung einer Zugriffsm�glichkeit aufpotenziell sehr aussagekr�ftige Datenbest�nde bedroht die freie Pers�nlichkeitsent-faltung und ist von dem „neuen Grundrecht“ gesch�tzt.99
32 Ein Eingriff in das Grundrecht auf Integrit�t informationstechnischer Systeme istgegeben, wenn zielgerichtet auf das System zugegriffen wird, sodass dessen Leis-tungen, Funktionen und Speicherinhalte durch Dritte genutzt werden k�nnen undderen Vertraulichkeit oder Integrit�t beeintr�chtigt ist, ohne dass es auf den hierf�rerforderlichen Aufwand ankommt.100
3. Einschr�nkung der informationellen Selbstbestimmung
33 Das Recht auf informationelle Selbstbestimmung bewegt sich in einem Spannungs-feld, das von den Interessen des Individuums an der Verf�gungsgewalt �ber seinepersonenbezogenen Daten sowie den Interessen seiner sozialen Umwelt an der Nut-zung dieser Daten gepr�gt wird. Diese Interessen Dritter sind typischerweise aufdie Zug�nglichkeit von Information gerichtet101 und neben dem Betroffenenschutzbei der Ausgestaltung des Datenschutzrechts angemessen zu ber�cksichtigen. F�rdie rechtliche Bewertung des Spannungsfeldes zwischen dem Interesse an der Ge-heimhaltung von Information und dem Interesse an deren Zug�nglichkeit ist auchzu beachten, dass dem Betroffenen nicht immer damit geholfen ist, wenn anderem�glichst wenig �ber ihn wissen. Als Intimperson auf der einen und Sozialpersonauf der anderen Seite hat er vielmehr eine ambivalente Interessensausrichtung. AlsIndividuum und Intimperson strebt der Betroffene n�mlich typischerweise danach,bestimmte Informationen zu seiner Person vor anderen zu verbergen. Als Sozialper-son hingegen ist er an Kommunikation und dem Austausch von Informationen,auch zu seiner Person, mit seiner Umwelt interessiert.102 Diese Interessenambiva-lenz ist auch f�r die Bestimmung des Schutzes durch das Recht auf informationelleSelbstbestimmung und seine Einschr�nkbarkeit pr�gend. Als Abbild sozialer Reali-t�t, unter Ber�cksichtigung der Angewiesenheit des Individuums auf die Kommuni-
100 BVerfG NJW 2008, 822 (827); Bartsch, CR 2008, S. 613 (615).101 Bull, NJW 2006, S. 1617 (1622f.); Schneider/H�rting, ZD 2012, S. 199 (200).102 Ehmann, RDV 1998, S. 235 (236); Hohmann-Dennhardt, NJW 2006, S. 545 (547).
Recht auf informationelle Selbstbestimmung
kation mit seiner sozialen Umwelt, kann das Recht auf informationelle Selbstbe-stimmung daher nicht als absolute Verf�gungsbefugnis des Einzelnen �ber seinepersonenbezogenen Daten im Sinne eines absoluten, nicht einschr�nkbaren Herr-schaftsrechts des Betroffenen �ber seine Daten verstanden werden und schranken-los gew�hrleistet sein.103 Informationelle Selbstbestimmung ist vielmehr ein Mitbe-stimmungsrecht des Betroffenen �ber die Verwendung seiner Daten im Rahmen derverfassungsm�ßigen Ordnung.
34Einschr�nkungen des Rechts auf informationelle Selbstbestimmung durch ein Ge-setz sind nur im �berwiegenden Allgemeininteresse zul�ssig.104 Im Allgemeinin-teresse kann die Verarbeitung personenbezogener Daten insbesondere dann liegen,wenn hierdurch grundrechtlich gesch�tzten Informationsrechten Dritter zur Gel-tung verholfen wird.105 Informationsinteressen der Allgemeinheit erhalten in die-sem Zusammenhang Relevanz, wenn sie der Aus�bung grundrechtlicher Freihei-ten dienen.106 Dies ist etwa bei der Berufung von Religionsgemeinschaften aufihre Glaubens- und Bekenntnisfreiheit gem. Art. 4 GG, f�r den Zugriff auf Datenaus Melderegistern, relevant. Auch die Berufung auf die Meinungsfreiheit(Art. 5 GG) kann die informationelle Selbstbestimmung einschr�nken, wenn per-sonenbezogene Daten Gegenstand einer Meinungs�ußerung sind oder ihre Nut-zung f�r diese erforderlich ist. Gleiches gilt f�r die Verarbeitung personenbezoge-ner Daten bei der Aus�bung der Versammlungsfreiheit gem. Art. 8 GG. Direkt er-fasst wird die Freiheit des Informationszugangs auch von der allgemeinenHandlungsfreiheit gem. Art. 2 Abs. 1 GG.107 Die Nutzung personenbezogener Da-ten hat auch als Wirtschaftsgut Relevanz und ist daher potenziell vom Schutzbe-reich von Art. 14 GG erfasst. So h�ngen z.B. Massenmedien und die Werbewirt-schaft, aber auch die Forschung wesentlich von der Verarbeitung personenbezoge-ner Daten ab.108
35Der Grundrechtsschutz Dritter rechtfertigt jedoch nicht die generelle Zur�ckdr�n-gung des Schutzbereichs der informationellen Selbstbestimmung, sondern kann de-ren Einschr�nkung nur in spezifischen Verarbeitungssituationen rechtfertigen.109
Hieraus folgt, dass zur Einschr�nkung des Grundrechts ein allgemeiner Hinweisauf das Bestehen von Allgemeinwohlinteressen oder dessen bloße Umschreibungnicht hinreichend ist. Erforderlich ist vielmehr, dass das Informationsbed�rfnis derAllgemeinheit spezifisch und nachvollziehbar dargelegt ist und begr�ndet wird,
105 Simitis, in: Simitis, BDSG, § 1 Rn. 90.106 Hierzu Buchner, Informationelle Selbstbestimmung im Privatrecht, S. 60 ff.107 Giesen, JZ 2007, S. 918 (918).108 Giesen, JZ 2007, S. 918 (919); Hupertz/Ohrmann, CR 2011, S. 449.109 Simitis, in: Simitis, BDSG, § 1 Rn. 91 ff.
Einf�hrung
warum die Informationserwartung der Allgemeinheit im Einzelfall das Recht derSelbstbestimmung �ber personenbezogene Informationen des Betroffenen zur�ck-dr�ngt.110
36 Dar�ber hinaus bedarf die Einschr�nkung des informationellen Selbstbestim-mungsrechts gem. Art. 2 Abs. 1 GG einer verfassungsm�ßigen, gesetzlichen Er-m�chtigung.111 Diese Anforderung erf�llen insbesondere lediglich nach innen wir-kende Verwaltungsvorschriften nicht.112 Eine gesetzliche Erm�chtigungsgrundlagemuss auch dem Gebot der Normenklarheit entsprechen, was voraussetzt, dass sichaus ihr in nachvollziehbarer Weise die Voraussetzungen der Datenverarbeitung, desAblaufs der Verarbeitung sowie dessen Umfang und Beschr�nkungen ergeben.113
Hierbei gilt der Grundsatz, dass eine Eingriffsbefugnis umso konkreter ausgestaltetwerden muss, je eingriffsintensiver sie ist. Die bloß indirekt erkennbare Intentionder Datenverarbeitung kann die Beschr�nkung der informationellen Selbstbestim-mung jedoch selbst bei geringerer Eingriffsintensit�t nicht legitimieren. Gleichesgilt f�r bloße Aufgabenbeschreibungen, die keinen konkret herausgearbeiteten Be-zug zur Datenverarbeitung aufweisen.114 Dem Gebot der Normenklarheit kann derGesetzgeber daher nicht mit der Schaffung einer datenschutzrechtlichen General-klausel als Erlaubnistatbestand entsprechen, sondern nur durch ein Konzept be-reichsspezifischer Datenschutzregelungen.115
37 Bereits das erste BDSG ist f�r seine mangelnde Normenklarheit kritisiert wor-den,116 und auch an der heutigen Fassung wird noch bem�ngelt, das BDSG habeeinen zu hohen Abstraktionsgrad und enthalte zu viele unbestimmte Rechtsbegrif-fe.117 Allgemein gefasste Eingriffserm�chtigungen im BDSG k�nnen und m�ssenaufgrund der konzeptionell bedingten Auffangfunktion des BDSG jedoch bis zu ei-ner gewissen Eingriffsintensit�t hingenommen werden,118 soweit der Gesetzgeberdie Voraussetzungen und Grenzen f�r intensivere Eingriffe in das Recht auf infor-mationelle Selbstbestimmung im besonderen Datenschutzrecht regelt.
38F�r die Datenverarbeitung durch �ffentliche Stellen folgt aus dem Gebot der Nor-menklarheit, dass die Datenverarbeitung nicht auf eine generalklauselartige Er-m�chtigung gest�tzt werden kann, was anschaulich durch die Bezeichnung der„Amtshilfefestigkeit“119 der informationellen Selbstbestimmung durch das BVerfGumschrieben wird. Dies gilt im Grundsatz auch f�r nicht-�ffentliche Stellen, f�r dieeine Datenverarbeitung ohne die Einwilligung des Betroffenen ebenfalls nur auf-grund einer ausdr�cklichen gesetzlichen Erm�chtigung gestattet ist, was § 4 Abs. 1BDSG einfachgesetzlich regelt.120
39Die gesetzliche Erm�chtigung muss dar�ber hinaus auch dem Grundsatz der Ver-h�ltnism�ßigkeit gen�gen;121 so darf der Gesetzgeber die Datenverarbeitung nur ge-statten, wenn sie zur Erreichung des angestrebten Zwecks geeignet, erforderlichund angemessen ist. Er hat daher den Eingriff in die informationelle Selbstbestim-mung f�r den Betroffenen m�glichst schonend zu gestalten.122 Die gleiche Verant-wortung trifft auch den Normanwender bei der Umsetzung der datenschutzrechtli-chen Erlaubnisnorm. F�r die Zul�ssigkeit der Einschr�nkung des Pers�nlichkeits-rechts im Hinblick auf die Verh�ltnism�ßigkeit differenzierte das BVerfGurspr�nglich zwischen drei Sph�ren, die sich nach der Tiefe des Eindringens in denprivaten Lebensbereich des Betroffenen unterscheiden lassen.
40So wurde schon vor dem Volksz�hlungsurteil, in der Mikrozensus-Entscheidung123
durch das BVerfG auf die Unverletzlichkeit der Intimsph�re hingewiesen. Diesesch�tzt den „Innenraum“ der Pers�nlichkeit, in dem sich der Einzelne „selbst besitzt“und „in den er sich zur�ckziehen kann, zu dem die Umwelt keinen Zutritt hat, in demman in Ruhe gelassen wird und ein Recht auf Einsamkeit genießt“.124 Der Intimsph�-re sind der Außenwelt unzug�ngliche Informationen zuzuordnen, die von Natur ausGeheimnischarakter haben.125 Die Intimsph�re genießt als Auspr�gung der Men-schenw�rdegarantie (Art. 1 Abs. 1 GG) absoluten Schutz. Eingriffe sind selbst zurWahrung schwerwiegender Interessen des Allgemeinwohls nicht gerechtfertigt.126
41Die Intimsph�re wird von der Privatsph�re umgeben. Sie sch�tzt die private Entfal-tung der Pers�nlichkeit und ist im Gegensatz zur �ffentlichkeit zu verstehen, alsein nach außen erkennbar abgegrenzter Bereich des Einzelnen,127 „in dem er allein
GG, Art. 2 Rn. 60.127 Tinnefeld/Ehmann/Gerling, Einf�hrung in das Datenschutzrecht, S. 140.
Einf�hrung
zu bleiben, seine Entscheidungen in eigener Verantwortung zu treffen und von Ein-griffen jeder Art nicht behelligt zu werden w�nscht“.128 Ob ein Sachverhalt demunantastbaren Kernbereich privater Lebensgestaltung oder dem Bereich privaterLebensgestaltung zuzuordnen ist, h�ngt von der Art und Intensit�t eines sozialenBezugs der Information zur privaten Umwelt des Betroffenen ab und ist unter Be-r�cksichtigung der Besonderheiten des Einzelfalls zu bestimmen.129
42 Den �ußeren Schutzbereich des Pers�nlichkeitsrechts bildet die Sozialsph�re. Sieumfasst die Teilnahme des Einzelnen am �ffentlichen Leben. Ihr sind solche Infor-mationen zuzuordnen, die f�r die Allgemeinheit frei zug�nglich sind. Auch Datenaus der Sozialsph�re sind vom Grundrechtsschutz der informationellen Selbstbe-stimmung erfasst.130
43 Die Sph�rentheorie ist starker Kritik ausgesetzt.131 Bem�ngelt wird hieran insbe-sondere, dass eine klare Abgrenzung zwischen den Sph�ren nicht m�glich sei.132
Heute gilt die Sph�rentheorie f�r das Recht auf informationelle Selbstbestimmungweitgehend als �berholt,133 da das BVerfG den Schutz einer Information seit demVolksz�hlungsurteil nicht mehr von der Zuordnung zu einer Sph�re abh�ngig machtund davon ausgeht, dass es wegen der technisch m�glichen Verkn�pfung einzelnerDaten kein „belangloses Datum“ mehr gebe. Es komme daher nicht darauf an, obDaten einer „�ußeren“ oder „inneren“ Sph�re zuzurechnen seien, sondern allein da-rauf, ob die Belastung des Einzelnen mit dem Verh�ltnism�ßigkeitsprinzip verein-bar ist.134
44 Aus diesem Umstand ist jedoch nicht der Schluss zu ziehen, dass die Sensitivit�tder Daten f�r die Frage nach dem Schutz vor ihrer Verarbeitung belanglos w�re.Aus der Feststellung, dass es kein belangloses Datum mehr gebe, l�sst sich n�mlichnur der Schluss ziehen, dass auch der Zugriff auf vermeintlich harmlose Daten, ins-besondere solcher aus der Sozialsph�re, aufgrund der m�glichen Verkn�pfung mitanderen Daten einen unverh�ltnism�ßigen Eingriff in das Pers�nlichkeitsrecht be-deuten kann. Der Schluss, dass es f�r den Zugriff auf Daten aus der Privat- oderIntimsph�re keine erh�hte Rechtfertigungslast mehr gebe, l�sst sich hingegen nichtziehen. So gilt weiterhin der absolute Schutz der Intimsph�re vor staatlichem Zu-
![[Anforderungen des neuen Datenschutzrechts] · NEUES DATENSCHUTZRECHT . Die Modernisierung des personenbezogenen Datenschutzes Verordnung (EU) 2016/679 (DS-GVO) Anpassungen in BDSG,](https://static.unterlagen.site/doc/80x56/5e148d50bbb5ee18ce092fbf/anforderungen-des-neuen-datenschutzrechts-neues-datenschutzrecht-die-modernisierung.jpg)
