DSGVO - BDSG - TTDSG. Группа авторов
Bund. Weitere Meilensteine waren der Erlass der DSRl im Jahr 1995 und zuletzt der DSGVO.
1. Normierung des Datenschutzrechts
2
Die Normierung des Datenschutzrechts ist eng verknüpft mit der technischen Entwicklung von Datenverarbeitungssystemen. Diese lässt sich vereinfacht in drei Phasen darstellen.2 Am Anfang der Entwicklung standen dezentrale Rechenzentren und Einzelrechner, die eine intensivierte Datenverarbeitung in lokalen Strukturen ermöglichten. Die zweite Phase war geprägt von einer Verknüpfung dezentraler Rechnerstrukturen, durch die zunächst der Austausch von Daten zwischen einzelnen Rechnern und Rechenzentren ermöglicht wurde und die in ihrer Entwicklung zur umfassenden globalen Vernetzung durch das Internet geführt hat. Die dritte Phase zeichnet sich durch die Entstehung einer Vielzahl von Diensten aus, die das Einstellen von Informationen in lokalen Netzwerken und dem Internet vereinfachten und zu einem rasanten Anwachsen globaler Datenströme und Datenbestände geführt hat. Das heutige „Web 2.0“ ermöglicht eine weltweite Kommunikation und Interaktion über Plattformen, in die Nutzer selbst Inhalte einstellen, häufig mit sehr persönlichen Daten über sich selbst oder Dritte. Die Verarbeitung personenbezogener Daten erfolgt dabei sowohl im Kontext privater Nutzung von Diensten, als auch bei der Verarbeitung personenbezogener Daten im Zusammenhang mit Geschäftsprozessen zunehmend in dezentralen und global vernetzten Strukturen. Diese sind weitgehend unabhängig von nationalen Grenzen gestaltet. Häufig kennen dabei weder Nutzer noch Betroffene den Ort der Datenverarbeitung.
3
Fortschritte in der Datenverarbeitungstechnik waren stets bestimmendes Element für die Weiterentwicklung des Datenschutzrechts3 und sie werden auch in Zukunft dessen weitere Entwicklung prägen. Die Vorstellung der Steuerung technischer Entwicklung durch das Datenschutzrecht wird sich nur bedingt umsetzen lassen. Vielmehr ist anzunehmen, dass die technischen Entwicklungen auch in der Zukunft neue Herausforderungen für die Gewährleistung des Betroffenenschutzes durch das Datenschutzrecht schaffen werden. Die Normierung des Datenschutzrechts stellt eine Reaktion der Gesellschaft auf diese Veränderung ihrer sozialen Umwelt dar. Sie begann mit dem weltweit ersten Datenschutzgesetz,4 das 1970 in Hessen in Kraft trat. Es wurde gefolgt von einem vergleichbaren Regelungswerk in Bayern, das jedoch nicht als Datenschutzgesetz, sondern als EDV-Organisationsgesetz betitelt wurde,5 dem schwedischen Datenschutzgesetz aus dem Jahr 1973,6 dem Privacy Act von 19747 in den USA und dem norwegischen Datenschutzgesetz von 1978.8 Die Bundesregierung befasste sich mit dem Problem des Datenschutzes erstmals Ende der 1960er Jahre,9 das Bundesministerium des Innern erteilte der Universität Regensburg 1970 einen Forschungsauftrag zur Erstellung eines Datenschutzkonzepts,10 das die Entwicklung des Datenschutzrechts in der Folge prägen sollte.11
4
1977 wurde das erste Datenschutzgesetz des Bundes12 verabschiedet, das am 1.1.1978 in Kraft trat und materielle Regeln der Datenverarbeitung für öffentliche und private Stellen enthielt. Nach dem Bundesland Hessen folgten auch die übrigen Bundesländer und erließen allgemeine Datenschutzgesetze zur Regelung des Datenschutzes bei landesunmittelbaren Stellen. Im Bund und in den Ländern wurde, insbesondere im Anschluss an das BVerfG-Urteil zur Volkszählung 1983,13 eine große Zahl bereichsspezifischer Datenschutzgesetze verabschiedet. Diese konkretisieren Erlaubnistatbestände des allgemeinen Datenschutzrechts und knüpfen die Verarbeitung an besondere Voraussetzungen, etwa beim Telemediengesetz oder dem Telekommunikationsgesetz, oder schränken die Rechte der Betroffenen aufgrund einer von der Legislative vorgenommenen Interessenabwägung ein, wie beispielsweise mit dem BKA-Gesetz.
5
Seit dem Inkrafttreten der DSRl kommt auch dem europäischen Datenschutzrecht eine entscheidende Rolle zu (siehe Rn. 11f.), das über die Grenzen Europas hinaus Impulse für Datenschutzgesetzgebung nach europäischem Vorbild gibt.14 Die Harmonisierung des Datenschutzrechtes in der Union erreicht mit der DSGVO nun eine neue Qualität (siehe Rn. 20ff.). Das Ende dieser Entwicklung ist noch nicht absehbar. Ziele der digitalen Agenda für Europa 201015 und der Strategie für einen digitalen Binnenmarkt für Europa16 sind die Schaffung eines gemeinsamen digitalen Binnenmarkts beziehungsweise dessen Vertiefung. Diese Digitalisierungsstrategie der Kommission setzt unter anderem auf die unionsweite gemeinsame Nutzung von IT-Infrastruktur und die Vereinheitlichung von Standards. Die unionsweite Rechtsvereinheitlichung wird dabei auch künftig eine große Rolle spielen und Veränderungen des Datenschutzrechts und angrenzender Regelungsmaterien verursachen. Der nächste große Schritt auf diesem Weg, die Überführung der ePrivacy-Richtlinie17 in eine ePrivacy-Verordnung,18 die zeitgleich mit der DSGVO wirksam werden sollte (Art. 29 Abs. 2 ePrivacy-VO-KOM-E), war dann wiederholt verschoben worden und schien nach mehreren vergeblichen Initiativen unter der jeweiligen Ratspräsidentschaft gescheitert zu sein.19 Nun hat sich der Rat der Europäischen Union unter der portugiesischen Ratspräsidentschaft aber auf eine Entwurfsfassung einer ePrivacyVO geeinigt20 – bei Enthaltung des deutschen Vertreters im Rat. Der Entwurf, der auf heftige Kritik stößt,21 wird im Trilog weiter beraten werden – Ausgang ungewiss. Im Vorgriff auf die ePrivacyVO, deren Wirksamenwerden nicht absehbar ist, wurde das „Gesetz zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien (TTDSG)“ verabschiedet22 (siehe dazu die Kommentierung in diesem Werk).
6
Weitere Impulse für die Vereinheitlichung des europäischen Datenschutzrechts und Weiterentwicklung des Informationsbinnenmarktes verspricht die Digitalstrategie der neuen Kommission.23 Zentrale Elemente davon sind die Regulierung künstlicher Intelligenz,24 Cybersicherheit und die Europäische Datenstrategie.25 Ziel der Europäischen Datenstrategie ist nicht weniger als „die EU in die Lage [zu] versetzen [...], zur attraktivsten, sichersten und dynamischsten datenagilen Wirtschaft der Welt zu werden, [...].“26 Erster Schritt zur Umsetzung der Datenstrategie ist der Kommissionsentwurf eines Daten-Governance-Gesetzes27 mit dem der europäische Informationsbinnenmarkt gestärkt werden soll. Ziele, die mit dem Entwurf des Daten-Governance-Gesetzes verfolgt werden, sind die Bereitstellung von Daten aus dem öffentlichen Sektor zur Weiterverwendung der Daten, an denen Rechte Dritter bestehen, die gemeinsame Datennutzung durch Unternehmen gegen Entgelt, die gemeinsame Datennutzung personenbezogener Daten durch Einschaltung von Mittlern und die Ermöglichung der Datennutzung zu altruistischen Zwecken. Nächste Schritte im Gesetzgebungsverfahren sind die Beratung und Beschlussfassung im Europäischen Parlament und im Europäischen Rat.
7
Die Kirchen regeln den Datenschutz aufgrund der Freiheitsgarantie des Art. 140 GG i.V.m. Art. 137 Abs. 3 Satz 1 WRV und des daraus folgenden kirchlichen Selbstbestimmungsrechts autonom28 und haben sich dabei weitgehend an den allgemeinen Datenschutzgesetzen orientiert. Nach Art. 91 DSGVO ist ihnen das weiter möglich, soweit ihr Datenschutzrecht mit der DSGVO „in Einklang“ steht (siehe dazu Art. 91 Rn. 25f.).29 Der Datenschutz in der Evangelischen Kirche ergibt sich aus dem Kirchengesetz über den Datenschutz der Evangelischen Kirche in Deutschland (EKD-Datenschutzgesetz – DSG-EKD), der Datenschutz in der katholischen Kirche ist im Gesetz über den Kirchlichen Datenschutz (KDG) geregelt.
2. Internationales Datenschutzrecht
8
Wie bei der Normierung des nationalen Datenschutzrechts ist auch auf internationaler Ebene die technische Entwicklung Schrittmacher des Datenschutzrechts.30 Die globale Vernetzung und die Entstehung des Internets sind nicht an nationale Grenzen gebunden und machen eine internationale Regulierung des Datenschutzrechts erforderlich.31
a) OECD
9
Bereits 1980 wurden von der OECD „Leitlinien für den Schutz des Persönlichkeitsrechts und den grenzüberschreitenden Verkehr personenbezogener Daten“ verabschiedet.32 Diese enthalten materielle und verfahrensrechtliche Regelungen des Datenverkehrs im privaten und im öffentlichen Sektor sowie Regeln für die grenzüberschreitende Datenübermittlung.33 Bedeutung kommt ihnen insbesondere durch