Schufa und Creditreform

Wie auch die staatlich veranlasste Coronakrise zeigte, besteht wohl derzeit kein ausreichender, insbesondere effektiver Schutz der personenbezogenen Daten der Bürger.

Auf der anderen Seite kann in einigen Bereichen durchaus ein berechtigtes Interesse festgestellt werden, persönliche Daten zur Verfolgung legitimer Ziele und Zwecke zu verwenden. Um weitere Diskussionen in diesem Bereich zu fördern, haben wir im Nachfolgendem die wesentlichen rechtlichen Aspekte – verständlich für einen Laien – zusammengefasst.

Datenschutz und EuGH

Der Datenschutz und das Datenschutzrecht sind im Wesentlichen durch europäische Regelungen geprägt. Es geht um den Schutz und die Selbstbestimmung natürlicher Personen, frei über ihre Daten, deren Verarbeitung und Nutzung bestimmen zu können. Die informationelle Selbstbestimmung ist ein Grundrecht.

In diesem Beitrag zeigen wir auf, was Datenschutz bedeutet, was die wichtigsten nationalen und europäischen Gesetze zum Datenschutz sind und warum der Europäische Gerichtshof (EuGH) eine wichtige Rolle für den Datenschutz in Europa spielt.

Was bedeutet Datenschutz?

Beim Thema Datenschutz denken viele Menschen nicht an ihre persönlichen Daten, sondern an den Schutz von Daten großer Konzerne und Unternehmen, die z.B. durch Hackerangriffe oder Spionage anderer Unternehmen entwendet werden können. Dabei beginnt der gesetzliche Datenschutz, der spätestens seit 2018 und dem Inkrafttreten der sogenannten Datenschutz-Grundverordnung in aller Munde ist, bei den personenbezogenen Daten, die es zu schützen gilt. Das sind die Daten natürlicher Personen, also jedes lebenden Menschen.

Personenbezogene Daten

Personenbezogene Daten sind solche Daten, mit denen eine Person identifizierbar wird oder bereits identifiziert ist. Dies sind also solche Daten, die eine Person nicht anonym bleiben lassen, sondern Rückschlüsse auf die Identität der Person zulassen.

Eine natürliche Person kann als bestimmbar angesehen werden, wenn bestimmte besondere Merkmale dieser Daten, etwa dem Namen dieser Person, ihren Standortdaten, einer Online-Kennung oder Ähnlichem, mit ihr in Verbindung gebracht werden können. Besondere Merkmale können beispielsweise Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sein.

Beispiele für Kategorien personenbezogener Daten sind:

• Allgemeine Daten einer Person: Name, Geburtsdatum, Geburtsort, Wohnanschrift, E-Mail-Adresse.
• Besondere Daten einer Person: Konfession, Gesundheitsdaten, genetische Daten, politische Meinung, Mitgliedschaft in einer politischen Partei, Vorliegen einer Behinderung/Schwerbehinderung (besonderer Schutz gem. Art. 9 DSGVO)
• Körperliche Informationen: Geschlecht, Konfektionsgröße, Augenfarbe
• Identifikationsnummern: Sozialversicherungsnummer, Krankenversicherungsnummer, Steuernummer/Steuer-ID
• Berufsbezogene Daten und Bewertungen: Arbeitgeber, Schul- und Berufsausbildung, Schul- und Studienabschlüsse, Noten und Zeugnisse
• Bankdaten und Vermögensinformationen: Kontonummer/IBAN, Kontostand, Kredite, Einkommen, Eigentum, Vermögen
• Kundendaten: Bestelldaten, Zahlungsdaten, Liefer- und Rechnungsadressen, Lieferhistorie, Zahlungsverhalten

Die Erhebung, Speicherung, Verarbeitung und Nutzung personenbezogener Daten kann z.B. zulässig sein, weil der Betroffene eingewilligt hat oder andere Rechtsvorschriften dies erlauben.

Datenschutz ist ein Grundrecht

Der Datenschutz ist in Deutschland ein Grundrecht und dient dem Schutz der Privatsphäre des Einzelnen. Da personenbezogene Daten und deren Kenntnis in die schutzwürdigen Selbstbestimmungsrechte der Betroffenen eingreifen können, muss der Betroffene selbst entscheiden können, ob, wem, welche und zu welchem Zweck Daten preisgegeben werden.

Zwar ist der Datenschutz als solcher nicht wörtlich im Grundgesetz verankert. Das Bundesverfassungsgericht hat jedoch aus der Achtung der Menschenwürde (Art. 1 Abs. 1 GG) und dem Recht auf freie Entfaltung der Persönlichkeit (Art. 2 Abs. 1 GG) das so genannte Allgemeine Persönlichkeitsrecht entwickelt. Da die Mütter und Väter des Grundgesetzes bei der Schaffung der Verfassung nicht jede Gefährdung der Persönlichkeit und der Privatsphäre des Menschen erkennen konnten – gerade vor dem Hinblick sich neu entwickelnder Technologien, wird der grundrechtlich geschützte Bereich durch neuere Entwicklungen immer wieder erweitert und angepasst.

Eine Ausprägung des Allgemeinen Persönlichkeitsrechts ist das Recht auf informationelle Selbstbestimmung. Dieses Grundrecht hat das Bundesverfassungsgericht 1983 im Volkszählungsurteil begründet. Danach muss der Einzelne selbst über die Preisgabe und Verwendung seiner persönlichen Daten bestimmen können. Begründet wird dies damit, dass die moderne Datenverarbeitung die freie Entfaltung der Persönlichkeit gefährden würde, wenn nicht jeder Einzelne über die Preisgabe und Verwendung seiner Daten selbst entscheiden könnte.

Das Recht auf informationelle Selbstbestimmung bildet die Grundlage des Datenschutzrechts.

Welche Datenschutzgesetze gibt es in der EU und in Deutschland?

Seit den 1970er Jahren gibt es in Deutschland Gesetze, die den Datenschutz gewährleisten sollen. Das erste Bundesdatenschutzgesetz trat 1978 in Kraft und bildet seitdem den Kern des gesetzlichen Datenschutzes in Deutschland. In den einzelnen Bundesländern gibt es Landesdatenschutzgesetze.

Für bestimmte besonders schutzbedürftige Bereiche gibt es weitere und speziellere Datenschutzvorschriften. So gelten beispielsweise für Internetprovider, Postdienstleister und Telekommunikationsunternehmen die spezielleren Regelungen des Telemediengesetzes, der Postdienste-Datenschutzverordnung oder des Telekommunikationsgesetzes. Für den Schutz von Sozialdaten enthält das Sozialgesetzbuch 10 (SGB X) spezielle Regelungen. Der Umgang mit genetischen Daten ist im Gendiagnostikgesetz geregelt.

Europäischer Datenschutz

Vor 2016 wurde der Datenschutz in Europa hauptsächlich durch die Artikel 7 und 8 der Charta der Grundrechte der Europäischen Union und durch Artikel 8 der Europäischen Menschenrechtskonvention gewährleistet. Eine speziellere Regelung zum Schutz personenbezogener Daten wurde durch die Datenschutzrichtlinie von 1995 geschaffen, deren Hauptziel die Harmonisierung des Schutzniveaus in Europa war.

Die Datenschutzrichtlinie von 1995 wurde durch die Verabschiedung der Datenschutz-Grundverordnung am 27.04.2016 und deren endgültiges Inkrafttreten am 25.05.2016 abgelöst. Die Datenschutz-Grundverordnung regelt ab dem 25.05.2018 erstmals einheitlich die Verarbeitung personenbezogener Daten in Europa.

Was ist die DSGVO?

Die Datenschutz-Grundverordnung – kurz DSGVO – ist ein europäisches Regelwerk zum Schutz personenbezogener Daten in den Mitgliedsstaaten der Europäischen Union. Darüber hinaus gilt die DSGVO auch in den Staaten des Europäischen Wirtschaftsraums (EWR), zu dem neben allen EU-Staaten auch Island, Liechtenstein und Norwegen gehören.

Die Datenschutz-Grundverordnung gilt seit dem 25.05.2018 unmittelbar in den Mitgliedsstaaten der Europäischen Union. Die Mitgliedstaaten dürfen den in der DSGVO festgeschriebenen Datenschutz auf nationaler Ebene nicht abschwächen oder von den Regelungen der DSGVO abweichen. Es bestehen jedoch Möglichkeiten durch Öffnungsklauseln, die den Nationalstaaten in bestimmten definierten Bereichen Abweichungen von der DSGVO und den Erlass abweichender Regelungen erlauben.

Grundprinzip der DSGVO ist, dass eine Verarbeitung personenbezogener Daten nur dann erlaubt ist,

• wenn die betroffene Person dazu eingewilligt hat,
• die Verarbeitung zur Erfüllung eines Vertrags oder einer rechtlichen Verpflichtung notwendig ist,
• um lebenswichtige Interessen zu schützen,
• um Aufgaben, die im öffentlichen Interesse liegen, wahrzunehmen oder
• zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist.

Bei der Verarbeitung der Daten gelten bestimmte Grundsätze:

• die Verarbeitung muss rechtmäßig sein
• die Verarbeitung darf nur für festgelegte Zwecke geschehen
• die Daten müssen dem Zweck angemessen sein und auf das notwendige Maß reduziert werden
• die Daten müssen richtig sein (Möglichkeiten zur Berichtigung oder Löschung falscher Daten)
• die Daten dürfen nur so lange gespeichert werden, wie dies dem Zweck angemessen ist
• die personenbezogenen Daten müssen sicher sein und die notwendige Vertraulichkeit muss gewährleistet sein (Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung)

Für wen gilt die DSGVO?

Die DSGVO gilt sowohl für den öffentlichen als auch für den nicht-öffentlichen Bereich. Der öffentliche Bereich umfasst z.B. die öffentliche Verwaltung, so dass der einzelne Bürger seine Rechte auf Auskunft, Berichtigung und Löschung gegenüber der öffentlichen Verwaltung geltend machen kann.

Zum nicht-öffentlichen Bereich gehören unter anderem Unternehmen, aber auch Privatpersonen. Verarbeitet man als Unternehmen, egal ob Großkonzern oder KMU, personenbezogene Daten, müssen sich Unternehmen an die Regeln der DSGVO halten.

Auch Unternehmen außerhalb der EU müssen die Regelungen der DSGVO beachten, wenn sie Produkte und Dienstleistungen für Bürger der EU anbieten und deren Daten erheben und verwenden.

Warum ist der EuGH für den Datenschutz zuständig?

Als oberstes Rechtsprechungsorgan sorgt der Europäische Gerichtshof – kurz EuGH – dafür, dass das europäische Recht in allen Mitgliedstaaten der EU einheitlich angewendet wird. Als oberstes Rechtsprechungsorgan kann der EuGH aber auch auf aktuelle Entwicklungen reagieren und die Rechtsprechung zum Datenschutz weiterentwickeln oder an technische Entwicklungen anpassen. Ihm obliegt auch die Auslegung der DSGVO und ihre mögliche Anpassung an technische Neuerungen. Die Rechtsprechung ermöglicht es den mit dem Datenschutz betrauten Personen, z. B. den Datenschutzbeauftragten, ihre Arbeit rechtssicher zu gestalten, den europäischen Datenschutz umzusetzen und auf neue Entwicklungen rechtssicher zu reagieren.

Da die Datenschutz-Grundverordnung in den Mitgliedsstaaten unmittelbar gilt, ist der EuGH zwar nicht die erste Anlaufstelle für Rechtsstreitigkeiten oder rechtliche Auseinandersetzungen. Dies sind die Datenschutzbehörden und Gerichte in den Mitgliedstaaten. Der EuGH entscheidet daher in der Regel nur dann, wenn ihm entweder andere Gerichte datenschutzrechtliche Fragen vorlegen oder wenn sich bereits mehrere gerichtliche Instanzen mit konkreten Fragen des europäischen Datenschutzrechts, seiner Auslegung und Fortentwicklung befasst haben.