(TL) Im Jahr 2006 führte der Europarat einen europäischen Datenschutztag ein, welcher jährlich am 28. Januar stattfindet. An diesem Aktionstag soll den in der EU lebenden Menschen der hohe Stellenwert, welcher dem Datenschutz europaweit zukommt, nähergebracht werden. Insbesondere stehen dabei die Rechte des Einzelnen an seinen personenbezogenen Daten im Fokus. Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte (Klarname, Adresse etc.) oder identifizierbare (durch die Summe an unterschiedlichen Informationen) Person beziehen.

Ein aktuell kontrovers diskutiertes Beispiel für die alltägliche Relevanz des Datenschutzes für Jedermann ist der Zugriff der Polizei auf, zum Zwecke des Infektionsschutzes, gesammelte personenbezogene Daten. Dabei haben unterschiedliche polizeiliche Ermittlungsbehörden die Gesundheitsämter, aber auch die Luca-App Betreiber, mit der Bitte um Herausgabe der mit der Luca-App gesammelten Daten, kontaktiert. Bei einem Ermittlungsverfahren in Mainz war dieser Versuch erfolgreich verlaufen. Die Polizei griff auf die gesammelten Daten zurück, um nach einem tödlichen Sturz in einer Gaststätte mögliche Zeugen zu ermitteln.

Das hat auf der einen Seite zu viel Kritik an dem Vorgehen der Polizei geführt. Denn das Infektionsschutzgesetz bindet die Datenerhebung explizit an den Zweck der Kontaktnachverfolgung im Rahmen des Infektionsschutzes. Auf der anderen Seite hingegen wurden Stimmen laut, die diese Vorgehensweise für richtig halten. Den Ermittlungsbehörden solle im Zweifelsfall jeder Weg offenstehen, um ein Verbrechen aufzuklären.

Um unseren Teil zum Aktionstag beizutragen, wird im Folgenden die Geschichte des Datenschutzes in Deutschland und Europa beleuchtet. Eine Entscheidung zu treffen darüber, ob der Schutz personenbezogener Daten über dem Aufklärungsinteresse der Ermittlungsbehörden steht, sei dem Leser daraufhin selbst überlassen.

Datenschutz in Deutschland

Insbesondere Deutschland kommt die Vorreiterrolle auf dem Gebiet des Datenschutzes zu. Das weltweit erste Datenschutzgesetz wurde 1970 in Hessen erlassen. Weitere Bundesländer folgten dem Beispiel und so waren ab 1981 Landesdatenschutzgesetze für alle Bundesländer erlassen. Im Fokus dieser Datenschutzgesetze stand die Datenverarbeitung durch öffentliche Stellen.

Die erste Fassung des Bundesdatenschutzgesetzes (BDSG) wurde am 27.01.1977 erlassen. Danach war die Datenverarbeitung nur zulässig, wenn die betroffene Person in diese einwilligte oder das BDSG oder eine andere Rechtsvorschrift dies erlaubte.

Das Volkszählungsurteil

Der Grundstein für das heutige Verständnis des Datenschutzes und seiner Ausprägungen wurde aber vor allem mit dem Volkszählungsurteil vom 15. Dez. 1983 gelegt.

Zugrundeliegender Sachverhalt

Ursächlich für das Urteil waren beim Bundesverfassungsgericht (BVerfG) gegen das Volkszählungsgesetz (im Urteil enthalten) eingegangene Verfassungsbeschwerden. Das Gesetz sollte die Grundlage für umfassende Datenerhebungen im Rahmen einer Volkszählung bilden. Darunter wären Angaben zu Familie und Lebenspartnerschaft, zur Wohnsituation, zu schulischer und beruflicher Ausbildung und Erwerbstätigkeit, zur Stellung im Beruf, zur Arbeitszeit sowie zum Arbeitsweg enthalten gewesen. Ebenfalls enthalten wäre eine Hauskennummer. Durch die Fülle an Informationen sahen sich die Beschwerdeführer unter anderem in Ihrem Grundrecht auf freie Entfaltung der Persönlichkeit aus Art. 2 Abs. 1 in Verbindung mit Art. 1 Abs. 1 Grundgesetz (GG) beschränkt. Die Hauskennummer und der Umfang der erhobenen Daten machen eine Identifizierung der hinter den erhobenen Daten stehenden Person möglich. Insbesondere die voranschreitende Digitalisierung und die damit einhergehende Möglichkeit schnell auf umfangreiche Datenmengen Zugriff zu nehmen, trage zu der Grundrechtsverletzung bei. Im Vergleich dazu, war vor der Digitalisierung eine Datenerhebung und Verarbeitung mittels Papierakten, dem Zusammenstellen dieser, dem Versand sowie der mühseligen Durchsicht jeder einzelnen Akte verbunden. Der Bürger habe dadurch keinerlei Kontrolle mehr darüber, wer, zu welchem Zweck seine personenbezogenen Daten verarbeiten würde. Zur Einordnung in den weiteren geschichtlichen Kontext sei auf den Weltkrieg II und die spätere Überwachung durch das Ministerium der Staatssicherheit der DDR hingewiesen. Eine Sensibilisierung der Menschen in Bezug auf die Wichtigkeit der Kontrolle über eigene personenbezogene Daten war zum Zeitpunkt der geplanten Volkszählung offenbar bereits erfolgt.

Urteilsbegründung (Randnummern 145 ff. des Volkszählungsurteils)

Im Mittelpunkt der grundgesetzlichen Ordnung stehen Wert und Würde der Person, die in freier Selbstbestimmung als Glied einer freien Gesellschaft wirkt. Daraus folge die Befugnis des Einzelnen, grundsätzlich selbst zu entscheiden, wann und innerhalb welcher Grenzen persönliche Lebenssachverhalte offenbart werden. Diese Befugnis bedürfe unter den heutigen und künftigen Bedingungen der automatischen Datenverarbeitung in besonderem Maße des Schutzes.

Sie sei vor allem deshalb gefährdet, weil mit Hilfe der automatischen Datenverarbeitung Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren Person technisch gesehen unbegrenzt speicherbar und jederzeit ohne Rücksicht auf Entfernungen in Sekundenschnelle abrufbar seien.

Sie könnten darüber hinaus mit anderen Datensammlungen zu einem teilweise oder weitgehend vollständigen Persönlichkeitsbild zusammengefügt werden, ohne dass der Betroffene dessen Richtigkeit und Verwendung zureichend kontrollieren könne.

Wer nicht mit hinreichender Sicherheit überschauen könne, welche ihn betreffende Informationen in bestimmten Bereichen seiner sozialen Umwelt bekannt sind, und wer das Wissen möglicher Kommunikationspartner nicht einigermaßen abzuschätzen vermag, könnte durch diesen Umstand in seiner Freiheit wesentlich gehemmt werden, tatsächlich freiwillig zu planen oder zu entscheiden.

Mit dem Recht auf informationelle Selbstbestimmung wären eine Gesellschaftsordnung und eine diese ermöglichende Rechtsordnung nicht vereinbar, in der Bürger nicht mehr wissen können, wer was wann und bei welcher Gelegenheit über sie weiß.

Wer unsicher sei, ob abweichende Verhaltensweisen jederzeit notiert und als Information dauerhaft gespeichert, verwendet oder weitergegeben werden, würde versuchen, nicht durch solche Verhaltensweisen aufzufallen. Wer damit rechne, dass etwa die Teilnahme an einer Versammlung oder einer Bürgerinitiative behördlich registriert wird und dass dies negative Konsequenzen nach sich ziehen könnte, wird möglicherweise auf eine Ausübung seiner entsprechenden Grundrechte (Art. 8, 9 GG) verzichten. Dies würde nicht nur die individuellen Entfaltungschancen des Einzelnen beeinträchtigen, sondern auch das Gemeinwohl, weil Selbstbestimmung eine elementare Funktionsbedingung eines auf Handlungs- und Mitwirkungsfähigkeit seiner Bürger begründeten freiheitlichen demokratischen Gemeinwesens ist.

Mit diesem Urteil wurde das Grundrecht auf informationelle Selbstbestimmung, abgeleitet aus Artt. 2 Abs. 1, 1 Abs. 1 GG, etabliert.

Datenschutz in der EU / DSGVO

Nach Gründung der EU rückte der Datenschutz auch länderübergreifend stärker in den Fokus. Verstärkte Datenströme zwischen den EU-Mitgliedsstaaten machten es notwendig, das unterschiedliche Niveau des Schutzes der Rechte und Freiheiten von Personen, insbesondere der Privatsphäre, innerhalb der EU anzugleichen. Dies erfolgte durch eine Reihe von erlassenen Richtlinien, wie zum Beispiel der Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr. Die Angleichung des Datenschutzniveaus gipfelte vorerst in der seit 2018 in allen EU Mitgliedsstaaten unmittelbar geltenden Datenschutzgrundverordnung (DS-GVO).

Eine Besonderheit der DS-GVO stellt das Marktortprinzip in Art. 3 Abs. 2 DS-GVO dar. Danach findet die DS-GVO nicht nur auf in der EU ansässige Unternehmen Anwendung, sondern entfaltet ihre Wirkung auch auf ausländische Unternehmen, die am EU-Markt teilnehmen. Das hat zur Folge, dass bei Nichtbeachten der DS-GVO auch diese Unternehmen mit Bußgeldern oder Schadensersatzforderungen konfrontiert werden.

Die DS-GVO wird von weiteren Staaten (z.B. Brasilien) als Vorbild für eigene Datenschutzgesetze genommen, was sowohl am Marktortprinzip der DS-GVO liegt, aber nicht zuletzt auch auf Kapitel V der DS-GVO zurückzuführen ist. Danach erfordert die Datenübermittlung in EU-Drittstaaten die Einhaltung von in der DS-GVO beschriebenen Bedingungen. Eine davon ist, dass im Empfängerland ein dem Grunde nach gleichwertiges Schutzniveau der personenbezogenen Daten garantiert sein muss, wie in der EU. Wenn diese Voraussetzung nicht erfüllt wird, dürfen die Daten, unter Androhung von Bußgeldern bei Zuwiderhandlung, nicht übermittelt werden. Wenn die Drittstaaten nun ihrerseits eine Angleichung der Datenschutzbestimmungen vornehmen, kann von der EU ein Angemessenheitsbeschluss (Art. 45 DS-GVO) erlassen werden, womit die Datenübermittlung möglich wird. Mit diesem Vorgehen versucht die EU den Schutz der personenbezogenen Daten über die Grenzen der EU hinaus zu schützen.

Fazit

Die Begründung für die Notwendigkeit eines umfassenden Datenschutzes entspricht bis heute in den Grundzügen der Begründung aus dem Volkszählungsurteil (s.o.). Bei immer höheren Mengen an übertragenen Daten und der fortschreitenden Digitalisierung, sollen die Menschen nicht in ihrer Freiheit über ihre personenbezogenen Daten zu bestimmen beschränkt werden. Die Folge daraus wäre eine fehlende Mitwirkungs- und Handlungsfähigkeit der Menschen. Gemeinhin anerkannt ist, dass eine Demokratie unter solchen Bedingungen nicht umsetzbar ist. Genau dafür steht die DS-GVO. Sie soll den Schutz natürlicher Personen bei der Verarbeitung ihrer personenbezogenen Daten gewährleisten und damit dazu beitragen, dass Grundrechte und Grundfreiheiten der Personen ungeachtet ihrer Staatsangehörigkeit oder ihres Aufenthaltsorts gewahrt bleiben.