Grundsätze des Datenschutzrechts

Schutzgegenstand des Datenschutzrechts sind personenbezogene Daten, also alle Informationen, die sich auf bestimmte oder bestimmbare Personen beziehen (vgl. auch Art. 4 Nr. 1 DSGVO). Dazu gehört neben Namen, Adresse, Telefonnummer, Geburtsdatum, KfZ-Kennzeichen, etc. u. a. auch eine IP-Adresse, denn sie kann einer bestimmten Person zugeordnet werden. Es gibt kein personenbezogenes Datum, das nicht unter die DSGVO fällt, etwa weil es bereits in den Medien veröffentlicht und somit nicht mehr geheimhaltungsbedürftig wäre. Nicht nur geheimhaltungsbedürftige Daten sind vom Datenschutzrecht geschützt, sondern grundsätzlich alle personenbezogenen Daten.

Allerdings gelten nicht für alle Daten zwingend dieselben Anforderungen an den Schutz oder dieselben datenschutzrechtlichen Einschränkungen an die Verarbeitung. So ist die Weitergabe von personenbezogenen Daten, die etwa bereits in einer Landtagsdrucksache veröffentlicht worden sind, grundsätzlich zulässig, während die Weitergabe von Gesundheitsdaten nur unter strengen Zulässigkeitsvoraussetzungen erlaubt ist. Das Datenschutzrecht stellt besondere Kategorien personenbezogener Daten (vgl. § 19 LDSG) unter besonderen Schutz und lässt ihre Verarbeitung nur unter besonders strengen Voraussetzungen zu. Zu den besonderen Kategorien gehören Daten, aus denen die „rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit“ hervorgehen, sowie „genetische Daten, biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung“ (vgl. Art. 9 Abs, 1 DSGVO). Deren Verarbeitung ist grundsätzlich untersagt, es sei denn es liegt ein Ausnahmetatbestand des Art. 9 Abs. 2 DSGVO vor, z. B. die Erforderlichkeit der Datenverarbeitung zum Schutz lebenswichtiger Interessen der betroffenen Person oder zum Schutz eines besonderen öffentlichen Interesses. Besondere Regelungen bestehen z. B. auch für die Daten von Beschäftigten oder von Bewerberinnen und Bewerbern für eine Beschäftigung (vgl. § 20 LDSG sowie §§ 89 ff. des Landesbeamtengesetzes) . Diese Bestimmungen sind insbesondere für die Datenverarbeitung durch die Personalstellen der Kommunalverwaltungen wichtig.

Vom Datenschutzrecht grundsätzlich nicht erfasst sind Betriebs- und Geschäftsgeheimnisse. Bei ihnen handelt es sich nicht notwendigerweise um Daten natürlicher Personen, sondern um Angaben zu Unternehmen. Diese sind über das Grundrecht auf Eigentum (Art. 14 GG und Art. 60 der Landesverfassung) geschützt und werden in Bundes- und Landesgesetzen bereichsspezifisch geregelt, z. B. in § 30 des Verwaltungsverfahrensgesetzes.

Das Datenschutzrecht erfasst nicht nur personenbezogene Daten, die automatisiert verarbeitet werden, also in EDV-gestützten Dateien oder in Textverarbeitungssystemen gespeichert sind, aber auch in Kameras, Smartphones, Scannern, Kopierern, etc., sondern auch personenbezogene Daten, die nichtautomatisiert verarbeitet werden, z. B. handschriftliche Aufzeichnungen, soweit eine Speicherung in einem Dateisystem erfolgt oder erfolgen soll (vgl. Art. 2 Ziff. 1 DSGVO). Ein Dateisystem ist jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind, unabhängig davon, ob diese Sammlung zentral, dezentral oder nach funktionalen oder geografischen Gesichtspunkten geordnet geführt wird (vgl. Art. 4 Nr. 6 DSGVO). Damit sind z. B. auch Akten, Aktensysteme oder Deckblätter erfasst. Niederschriften über Gemeinderatssitzungen nach § 41 GemO können somit auch dem Datenschutz unterfallen. Dies ist etwa für die Frage der Weitergabe im Fall nicht öffentlicher Sitzungen von Bedeutung, aber auch für die Frage, ob personenbezogene Daten in Niederschriften öffentlicher Sitzungen ggf. zu anonymisieren bzw. zu pseudonymisieren sind.

Das Datenschutzrecht regelt die Anforderungen an die Zulässigkeit der Verarbeitung personenbezogener Daten. Unter Datenverarbeitung versteht man allerdings nicht nur die Speicherung von Daten in Dateisystemen. Vielmehr ist auch die Erhebung von Daten erfasst, z. B. durch das persönliche Gespräch mit der Bürgerin bzw. dem Bürger, durch die Zuleitung von Antragsformularen oder Fragebögen oder durch die Anfrage bei der Meldebehörde. Die Übermittlung an andere öffentliche Stellen ist ebenfalls eine Form der Datenverarbeitung. Dazu gehört beispielsweise die Weiterleitung an eine beteiligte Behörde, die Abgabe an das Landesarchiv oder die Auskunft an eine anfragende Behörde. Auch die Übermittlung von Daten an Hochschulen ist davon erfasst, wenngleich für sie ebenso wie für die Datenverarbeitung zu archivarischen oder statistischen Zwecken besondere, erleichterte Zulässigkeitsvoraussetzungen gelten (vgl. Art. 89 DSGVO, § 22 LDSG).

Das Verändern von personenbezogenen Daten ist ebenfalls eine Form der Datenverarbeitung, werden die Daten dadurch unrichtig, besteht ggf. ein Anspruch des Betroffenen auf Berichtigung (Art. 16 DSGVO). Zur Datenverarbeitung gehört auch das Löschen von Daten; auf sie hat der Betroffene unter Umständen einen Anspruch, so etwa, wenn die Behörde die personenbezogenen Daten nicht mehr für die Zwecke, für die sie erhoben worden sind, benötigt (vgl. Art. 17 DSGVO, sog. Recht auf Vergessenwerden).

Die Veröffentlichung personenbezogener Daten ist eine grundsätzlich besonders eingriffsintensive Form der Datenverarbeitung und bedarf daher sorgfältiger Prüfung hinsichtlich ihrer Zulässigkeit. Eine Veröffentlichung ist anders als andere Formen der Datenverarbeitung in ihren Auswirkungen kaum mehr rückgängig zu machen. Im Presserecht gibt es als entgegenstehendes Recht des Betroffenen entweder präventiv den Anspruch auf Unterlassung oder nach Veröffentlichung den Anspruch auf Widerruf, Richtigstellung oder Gegendarstellung (vgl. § 11 Landesmediengesetz).

Die DSGVO beschreibt in Art. 4 Nr. 2 die Datenverarbeitung als jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.

Das informationelle Selbstbestimmungsrecht als Abwehrrecht des Bürgers gegen den Staat untersagt jede dieser Datenverarbeitungen, es sei denn ein Gesetz erlaubt sie (Verbot mit Erlaubnisvorbehalt). Daher bedarf es für jeden Vorgang der Datenverarbeitung einer gesetzlichen Ermächtigungsgrundlage, in der DSGVO, im BDSG oder im LDSG, oder in einem bereichsspezifischen Gesetz. Eine Satzung als untergesetzliche Norm allein reicht dafür nicht aus. Meist erfolgt in der jeweiligen gesetzlichen Bestimmung eine Abwägung mit anderen Rechtspositionen, etwa dem öffentlichen Interesse, lebenswichtiger Interessen der betroffenen Person selbst oder einer anderen natürlichen Person, oder einer rechtlichen Verpflichtung (vgl. Art. 6 Abs. 1 DSGVO).

Eine Verarbeitung ist zudem zulässig, wenn der Betroffene seine Einwilligung für die Datenverarbeitung gegeben hat (vgl. Art. 6 Abs. 1 Buchst. A DSGVO). Der Träger des Grundrechts auf informationelle Selbstbestimmung kann selbstverständlich darüber entscheiden, seine Daten preiszugeben bzw. zur Verfügung zu stellen, dies ist Teil seines Grundrechtes. Für die Einwilligung bedarf es aber besonderer Anforderungen. Zunächst muss die erfolgte Einwilligung vom für die Datenverarbeitung Verantwortlichen nachgewiesen werden. Das Ersuchen um Einwilligung muss verständlich sein, d. h. der Betroffene muss verstehen können, was von ihm gerade erfragt wird und für welchen Zweck die jeweiligen Daten verarbeitet werden. Die Einwilligung muss zudem absolut freiwillig erfolgen. Der Betroffene muss daher eine Wahl haben und darf nicht vor vollendete Tatsachen gestellt werden. So darf der Abschluss eines Vertrages etwa nicht von der Verarbeitung weiterer Daten abhängig gemacht werden, die für die eigentliche Vertragsdurchführung gar nicht nötig sind (vgl. Art. 7 Nr. 4 DSGVO). Für die Einwilligung ist keine besondere Form vorgeschrieben, so dass sie auch mündlich oder elektronisch erklärt werden kann; Der Formfreiheit steht allerdings die Beweispflicht des Verantwortlichen für das Vorliegen einer Einwilligung gegenüber. In Erwägungsgrund 32 zur DSGVO sind weitere konkrete Anforderungen an die Einwilligung etwa durch Ankreuzen eines Kästchens im Internet genannt. Erwägungsgrund 33 erläutert die Einwilligung zur wissenschaftlichen Forschung. Die Einwilligung des Betroffenen ist außerdem jederzeit widerrufbar.

Die danach zulässige Datenverarbeitung muss sich zudem auf das für die Zwecke der Datenverarbeitung notwendige Maß beschränken (sog. Datenminimierung, vgl. Art. 5 Nr. 1 Buchst. c). Zudem gilt der Grundsatz der Zweckbindung der Daten. Die für einen bestimmten Zweck erhobenen oder übermittelten Daten dürfen nur für diesen Zweck weiterverarbeitet werden. Eine Datenverarbeitung für andere Zwecke, z. B. eine Datenübermittlung an andere Behörde für deren Zwecke, ist nur zulässig, wenn dies ein Gesetz erlaubt oder der Betroffene einwilligt. Ein Beispiel: die Zweckbindung von Daten ist für Meldebehörden ausdrücklich in § 5 Bundesmeldegesetz geregelt.

Zu einem effektiven Datenschutz gehört es aber auch, dass ein für die Datenverarbeitung Verantwortlicher durch geeignete technische und organisatorische Maßnahmen sicherstellt, dass personenbezogene Daten geschützt gespeichert werden, d. h. dass Unbefugte keinen Zugriff auf die Daten haben, sie nicht abhanden kommen oder unbefugt verändert werden können. Art. 32 DSGVO bestimmt hierzu, dass der Verantwortliche unter Berücksichtigung des Standes der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen treffen muss, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Zu diesen Maßnahmen gehören z. B. eine Pseudonymisierung oder Verschlüsselung von Daten sowie die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen. Weitere Hinweise zur Sicherheit der Verarbeitung geben auch die Erwägungsgründe, insbesondere Erwägungsgrund 83.

Autor: Dr. Daniela Franke, Harald Pitzer Drucken voriges Kapitel nächstes Kapitel