Michael Wächter *Wie ist im Datenschutz ein Fortschritt erreichbar?Teil I: Methodische Überlegungen, Allgemeiner Teil des BDSG (Abs. 1 -
85) |
| Mit der EG-Datenschutzrichtlinie v. 24.10.1995 wurde supranationales Datenschutzrecht geschaffen. Für deren Umsetzung in nationales Recht wurde dem deutschen Gesetzgeber eine Frist von drei Jahren bis Oktober 1998 gesetzt. Da dieser Novellierungstermin nicht wahrgenommen wurde, läuft der "count down" zur BDSG-Umsetzung, d.h. der Novellierung des 1990 novellierten BDSG, nach wie vor. Am 28.5.1997 wurde ein Referentenentwurf zur Umsetzung der EG-Novellierungsvorgabe vorgelegt. Nun liegt ein aktueller Entwurf - mit Begründung - vom 6.7.1999 vor. Die Absicht, das BDSG nun endlich zu novellieren, wurde jetzt von Bundesinnenminister Otto Schily im März 2000 bekräftigt. Mit bis heute bekannten Initiativen wurde indes sehr weitgehend an den Regelungsinhalten des BDSG v. 20.12.1990 festgehalten. Zur künftigen Sicherstellung von effektivem Datenschutz bedarf es aufgrund dieses Befundes um so mehr einer verbesserten Umsetzung von Prinzipien des Datenschutzes und der Datensicherung unter Nutzung des Regelungsgegenstandes des BDSG: der Datenverarbeitung selbst. Diese Fragestellung wird nachfolgend – eingeschränkt auf Kernprobleme der Datenverarbeitungspraxis von Wirtschaftsunternehmen – behandelt. | JurPC Web-Dok.
85/2000, Abs. 1 |
A. Einleitung |
| Angesichts begrenzter Effizienz staatlicher Regulierung sind im privaten Datenschutz "Selbstregulierungsmechanismen" zu implementieren. Ein zentraler Ansatz hierzu ist, den Datenschutz zu einem Qualitätsmerkmal auszubauen(1). Datenschutz soll "entbürokratisiert" werden und es sollen Verhaltensregeln und Prinzipien erarbeitet werden, welche die ordnungsgemäße Durchführung datenschutzrechtlicher Regelungen fördern(2). | Abs. 2 |
| Thema dieses Beitrags ist es, auf welche Weise und anhand welcher Kriterien eine Verbesserung des Privatsphäre- und Persönlichkeitsschutzes - und damit ein eigens zu definierender Fortschritt im Datenschutzrecht – bei personenbezogener Datenverarbeitung erreicht werden kann. | Abs. 3 |
I. Problem der Fortschreibung von Datenschutzrecht |
| Der Grund für eine neuerliche Novellierung des BDSG liegt "für den Gesetzgeber" in der seit Oktober 1995 in Kraft getretenen EG-Datenschutz-Richtlinie. Denn ihr zu nutzender Umsetzungsspielraum ist zeitlich auf drei Jahre begrenzt (vgl. Art. 32 Abs. 1(3)der Richtlinie(4)). Dazu sind die erforderlichen Korrekturen am geltenden Bundesdatenschutzgesetz festzulegen. Hierzu fand in Deutschland eine rege Diskussion statt; es ergingen auch Initiativen(5). | Abs. 4 |
| These dieses Beitrags ist es indes, daß sich die relevant veränderungsbedürftigen Regelungsvorgaben des Datenschutzrechts für datenverarbeitenden Stellen nicht allein aufgrund von Vorschriften der EG-Datenschutz-Richtlinie ergeben, als im wesentlichen Umfang auch aufgrund von Notwendigkeiten des Regelungsgegenstands des BDSG, d.h. der Datenverarbeitung selbst. | Abs. 5 |
| Datenschutz ist in diesem eben definierten Sinne Technikfolgenrecht(6). Die ständigen Veränderungen der Informationstechnik bleiben nicht ohne Folgen. Von daher ist Datenschutzrecht eines der dynamischsten Rechtsgebiete und ist auch inmitten des Strudels der allgemeinen Globalisierungsdiskussion im Recht(7). Nicht nur die Technik, sondern auch die gesellschaftlichen und politischen Rahmenbedingungen verändern sich permanent. Vor diesem Hintergrund geht es heute im Datenschutzrecht um "krisische Lösungsstrategien", die diesen sich verändernden Bedingungen gerecht werden. | Abs. 6 |
| Zur Erörterung der spezifischen Fortschreibungserfordernisse für das Datenschutzgesetz ist es hilfreich, einen kurzen Blick auf die bisherige Entwicklung des Datenschutzrechts(8) und seiner Regelungsziele(9) zu werfen Denn erst eine daran orientierte Fassung der Zwecksetzung von Datenschutzrecht und der Regelungszwecke einzelner Vorschriften des Datenschutzgesetzes macht die Festlegung von Veränderungserfordernissen für datenschutzrechtliche Regelungsvorgaben begründbar. In Frage steht konkret: inwiefern muß bzw. inwieweit soll das BDSG 1990 "als Rahmenrecht!" verändert werden(10). | Abs. 7 |
| Das Anliegen Datenschutz ist nun seit den 70er Jahren aufgrund einer rasanten Entwicklung der DV-Technologie entstanden. Denn man sah sich aufgrund der Möglichkeiten einer solchen Technologie einem Staat gegenüber, dem weitgehende Verwertungsmöglichkeiten für massenhaft gespeicherte Daten eröffnet wurden(11). Datenschutz wurde insofern auf eine bilaterale Beziehung zwischen Staat und Bürger vor dem Hintergrund der Datenverarbeitung im öffentlichen Bereich verkürzt und als Grundrechtsthematik diskutiert. Dieser Ansatz wird den heutigen vielschichtigen Problemen nicht (mehr) gerecht. | Abs. 8 |
| Die Technologieentwicklung der Datenverarbeitung ist seit dieser Zeit, was im übrigen mit Kategorien normativ-juristischen Denkens typologisch schwer faßbar ist und in weiten Bereichen auch die rechtsdogmatischen Probleme des Datenschutzrechts ausmacht, einen Weg der Dezentralisierung, Vernetzung und Multifunktionalität gegangen. Diese technische Entwicklung ist gekennzeichnet durch eine Verlagerung von Host-basierten Informationssystemen hin zu verteilten Systemen zur Lösung komplexer Aufgabenstellungen, ohne daß dies bis heute in dem für den Datenschutz zur Verfügung stehenden rechtlichen Instrumentarium zur Sicherstellung von Datenschutz hinreichend zum Ausdruck gekommen wäre. Dies ist mißlich. Denn Datenschutz muß sich mit der Technik auseinandersetzen, da seine "Implementierungsfähigkeit" ganz wesentlich von dessen Affinität zur Technik abhängt. | Abs. 9 |
| Die künftige Entwicklung der DV in den nächsten Jahren wird – bezogen auf Wirtschaftsunternehmen und deren DV für eigene Zwecke - zum Teil wieder auf zentrale Lösungen zurückgehen (Inhouse oder im Rahmen einer Host-Application). Zielsetzung ist hierbei die Entwicklung von Software unabhängig von der Hardware. Das bedeutet: die Erarbeitung von software solutions oder hardware-chips mit beliebiger Hardware (z.B. unter Nutzung des "Java byte code" als Programmiersprache) statt einer heute noch üblichen Erarbeitung von software solutions mit einem compiler (Übersetzer) für einen Maschinencode abhängig vom Processor, d.h. für eine exakt passende Hardware. | Abs. 10 |
| Von einem NC (Network-Computer) wird man dann - z.B. bei Bezahlung pro Minute des Zugriffs - auf einem Server und einer Datenbank über Hunderte von "Software-solutions" verfügen. Auch dieser qualitativen Veränderung wird der Datenschutz wieder gerecht werden müssen. | Abs. 11 |
| Je weiter sich Datenschutzrecht und Technik "auseinanderentwickeln" - so vorliegende These -, desto weniger kann Datenschutz in der Realität verwirklicht werden. Konsequenz daraus und der sich zwischen Recht und Rechtswirklichkeit tatsächlich vollzogenen Kluft für das Datenschutzrecht ist es, daß die Regelungsgrenzen der normativen Vorschriften erreicht sind(12). Darüber besteht unter den Kennern der Rechtsmaterie weitgehende Einigkeit(13). Gerade aufgrund technischer Innovationen ist die Determinationskraft der bestehenden gesetzlichen Vorgaben erschöpft. Als "Datenspeicher bisheriger Fallerfahrung" bedarf es beim BDSG 1990 neuer Schritte zur Schaffung einer erweiterten Problemlösungskapazität. | Abs. 12 |
| Damit zusammen hängt für eine Fortschreibung des Datenschutzgesetzes auch, welche datenschutzrechtlichen Fragestellungen durch gesetzliche Änderungen und Neuregelungen überhaupt "zugriffsfähig" sind. Denn dort, wo aufgrund dynamischer technischer Prozesse eine normative "Ad-hoc-Regelungsunmöglichkeit" besteht, brauchen wir eine spezifische "Datenschutztechnologie". Allerdings bleiben abgesehen von dieser Thematik der Schaffung spezifischer gesetzlicher Regelungen (und dies um so mehr) fundamentale Prinzipien und auch rechtliche Rahmenvorgaben für den Datenschutz bei der Entwicklung der - und für die Entwicklung von (!) -Technik erforderlich. | Abs. 13 |
| Datenschutz hängt damit aufgrund seiner Regelungsmaterie bei der rechtlichen Umsetzung von weitgehend abstrakten Regelungsvorgaben unausweichlich mit folgenadäquater Rechtskonkretisierung zusammen. Das bedeutet: es gibt keine begründbare Alternative zu dem durch Folgenreflexion vorbereiteten Urteil über die Akzeptabilität einer Alternative im Hinblick auf die im Datenschutzrecht zu bewertenden Interessen(14). | Abs. 14 |
| Im übrigen lassen sich datenschutzrechtliche Fragestellungen nicht losgelöst vom staatlichen und gesellschaftlichen Substrat beantworten. Sie erfordern einen konkreten Realitätsbezug. Ein wichtiger Grund liegt hierbei sicherlich auch im hohen "Politisierungsgrad" des Datenschutzrechts. Die Behandlung von Datenschutz muß insofern Überlegungen zur sozialen Dynamik des Rechtssystems einschließen. Durch seinen Regelungsbereich hat sich Rechtsgewinnung damit also nicht nur an einer fortschreitenden technologischen Entwicklung, sondern auch an sozialen Veränderungen zu orientieren. | Abs. 15 |
II. Reflexionsrahmen einer Falsifikation zur Fortentwicklung von Datenschutz |
1. Fortentwicklung des Datenschutzrechts |
| Fortschritt im Datenschutz erfolgt durch Herstellung von Konsens, Sicherstellung von Menschenwürde, institutionelle Absicherung (Sicherstellung im gesellschaftlichen Rahmen: Wissenschaft in einer freien Gesellschaft und konkret für das Datenschutzrecht die drei Säulen der Datenschutzkontrolle: Eigen-, Selbst- und Fremdkontrolle) sowie durch Bemühungen des technisch-organisatorischen Datenschutzes (Datensicherung), insbesondere des Qualitätsmanagements. | Abs. 16 |
| Zur Festlegung der für die Fortentwicklung des Datenschutzrechts erforderlichen Kriterien ist herauszuarbeiten, welche Bestimmungen für das Bundesdatenschutzgesetz kreative (produktive), d.h. den materiellen datenschutzrechtlichen Gehalt verändernde und insbes. verstärkende Sätze sind. Und für eine Novellierung des BDSG 1990 ist konkret festzulegen, welche Vorschriften bzw. Sätze der Richtlinie einen unmittelbaren Einfluß insofern haben sollten, als sie zu Veränderungen des Gesetzestextes und/oder der Gesetzessystematik des Bundesdatenschutzgesetzes führen. | Abs. 17 |
| Im Kontext einer wissenschaftlichen Fortschreibung des Datenschutzrechts geht es mithin um begründbare Behauptungen zur Schaffung "neuer" materieller datenschutzrechtlicher Gehalte und um die Frage, welche davon in korrigierender Weise bei den bisher geltenden Regelungen zu berücksichtigen sind und zu Neufassungen von BDSG-Vorschriften führen(15). Erforderlich ist hierzu neben der Analyse der Richtlinie und des Referentenentwurfs auch eine rationale Diskussion zur Begründung von moralischen Normen, d.h. datenschutzrechtlichen Prinzipien in einer "offenen Gesellschaft"(16). | Abs. 18 |
| Nachfolgende die BDSG-Novellierung begleitende Vorschläge beinhalten eine Reflexion von Umsetzungserfordernissen, -möglichkeiten und -chancen, welche aufgrund - und z.T. auch trotz - des vorliegenden und sich sehr stark am BDSG 1990 orientierenden Referentenentwurfs wahrgenommen werden sollten. Gespannt kann man letztendlich darauf sein, was der Gesetzgeber tun wird, welchen Erfordernissen er folgt, welche Barrieren einer Implementation er überwindet, an welchen er sich durch "Formelkompromisse" reibt, bzw. bei welchen er Halt macht. | Abs. 19 |
| Bei den Inhalten der die Novellierung verursachenden EG-Datenschutz-Richtlinie handelt es sich nun nicht um "vordergründige Ratschläge", sondern um weitgehend konkrete Regelungsvorgaben(17). Vor dem Hintergrund der Entwicklung des Datenschutzrechts in der Europäischen Union soll in Deutschland aufgrund eines nicht umfassenden Korrekturerfordernisses des Bundesdatenschutzgesetzes die Gelegenheit allerdings explizit nicht genutzt werden, dieses im Rahmen der Schaffung neuer Vorschriften zu "modernisieren"(18). Einige Elemente des Schutzsystems der Richtlinie sollen nicht in das bundesdeutsche BDSG übertragen werden. So ist das zu erreichende Ziel der Richtlinie - unter Beachtung der "Normprogrammgrenze"(19) der Richtlinie nach Bildung der Normhypothesen - zwar verbindlich, auf der anderen Seite sind aber Form und Mittel weitgehend flexibel (vgl. Art. 189 EG-Vertrag(20)). | Abs. 20 |
| Erreichtes sollte vor diesem Hintergrund in den Mitgliedstaaten meines Erachtens zwar nicht grundsätzlich in Frage gestellt werden, wohl aber angesichts der Richtlinienvorgaben "neu überdacht" werden. So heißt es in Erwägungsgrund Nr.9 der Richtlinie auch, daß die Mitgliedstaaten bei den allgemeinen Bedingungen für die Rechtmäßigkeit der Verarbeitung eine Verbesserung des gegenwärtig durch ihre Rechtsvorschriften gewährten Schutzes anstreben sollen. | Abs. 21 |
| Soweit Regelungsvorgaben der Richtlinie unbestimmt sind(21), bleibt für den deutschen Gesetzgeber ein größerer Spielraum, welchen er prinzipiell durch die Beibehaltung von Bestimmungen des Bundesdatenschutzgesetzes oder auch durch eine Fortschreibung "nach oben" nutzen kann(22). In der Literatur wurden die Abänderungserfordernisse für das Bundesdatenschutzgesetz zumeist zu undifferenziert, d.h. ohne hinreichend genaue Analyse der einzelnen Vorschriften beschrieben. Von daher reicht das Spektrum einer erforderlichen BDSG-Umsetzung vom Vorschlag, eine "kleine Lösung", mit ein paar Federstrichen am BDSG 1990 durchzuführen, bis hin zu einer "großen Lösung", d.h. der Notwendigkeit einer "Totalreparatur" des Datenschutzgesetzes. Erfolgt ist eine Beibehaltung des BDSG mit gesetzessystematischen Korrekturen und Ergänzungen bzw. Abänderungen einzelner Vorschriften. | Abs. 22 |
| Die erste Fortschreibung des BDSG 1977 zum BDSG 1990 wurde seinerzeit als "Flickwerk" bezeichnet(23). Ähnliches geschieht nun aller Wahrscheinlichkeit nach mit der Novellierung des BDSG 1990. Zur Verbesserung von Datenschutz bedarf es insofern methodischer Bemühungen, als auch einer technisch-organisatorischen Umsetzung datenschutzgesetzlicher Vorgaben. | Abs. 23 |
2. Topisch-rhetorische Bemühungen |
| Da der deutsche Gesetzgeber die Möglichkeit der Fortschreibung des Datenschutzgesetzes wahrscheinlich (aus heutiger Sicht!) nur in geringem Umfang nutzen wird, bedarf es künftig auch beim novellierten Gesetz weitgehender methodischer Bemühungen. Diese könnten dazu dienen, die von den Mitgliedstaaten in der Richtlinie gemeinsam verkörperten Vorstellungen im Rahmen eines europäischen Gesamtkonzepts doch noch (auf der Ebene der Methodik und Technik) zu realisieren. Diese Bemühungen dienen dazu, das BDSG 1990 anhand guter Ansätze des Schutzsystems der Richtlinie in Art.6 zu "erneuern". | Abs. 24 |
| Diese Vorgehensweise bedeutet, daß bei der BDSG-Fortentwicklung ganz explizit auch weiterhin auf den Technologiebezug des Rechts abgestellt wird. Hilfreich ist es zu dessen "rechtlicher Begleitung", d.h. für die Entwicklung und Interpretation des BDSG eine Konzentration, d.h. eine Fokussierung auf für die Entwicklung des Datenschutzrechts wesentlichen Eckpunkte zu bewerkstelligen(24). | Abs. 25 |
| Die Richtlinie enthält durch ihren vom Bundesdatenschutzgesetz abweichenden Begriffsapparat eine Anzahl von Vorschriften, welche mit der Terminologie und auch inhaltlichen Festlegung des BDSG 1990 nicht in Einklang stehen. Dies betrifft eine Vielzahl von Begriffsbestimmungen. Die Regelungen der Datenschutzrichtlinie sind von daher auch insofern relevant, als erforderliche Begriffsänderungen nicht nur zu materiellrechtlichen Änderungen im Bundesdatenschutzgesetz, sondern auch zu solchen der Konzeption der Regelungsinstrumentarien führen muß bzw. sollte. | Abs. 26 |
| Die Beantwortung dieser Fragestellung setzt eine rechtliche - und auch politische! - Entscheidung darüber voraus, ob bestimmte Regelungskonzepte der Richtlinie eine zwingende oder opportune, weil für die deutsche Datenschutzgesetzgebung günstige, Korrektur des BDSG-Gesetzestextes nach sich ziehen. Die anstehende BDSG-Umsetzung und deren Implementierung hat damit eine eminent rechtspolitische(25) und auch "ethische Dimension"(26). | Abs. 27 |
| Im Datenschutzrecht geht es hierbei nicht um einen (uneinlösbaren) Anspruch auf letztverbindliche Erkenntnisse. Letztbegründungsversuche "richtigen Rechts" sind ohnehin bislang gescheitert. Damit führt jeder Begründungsversuch in ein "Trilemma", welches sich daraus ergibt, daß man unter einer Begründung den Rekurs auf etwas vom zu Begründenden Verschiedenes versteht. Diese logische Konstellation vom infinitiven Regreß, Zirkel(27) oder Abbruch des logischen Verfahrens bildet das sog. "Münchhausen-Trilemma"(28). | Abs. 28 |
| Diesen Schwierigkeiten Rechnung tragend kommt es in vorliegendem Kontext darauf an, zureichende Begründungen für die Festlegung datenschutzrechtlicher Regelungen und Prinzipien vor dem Hintergrund der BDSG-Umsetzung aufgrund der EG-Datenschutzrichtlinie und auch anderer Erfordernisse zu finden(29). Und hierbei geht es im Sinne eines Prinzips bestmöglicher Ausschöpfung aller Erkenntnismittel um einen verbesserten Datenschutz. | Abs. 29 |
| Eine logische Letztbegründung datenschutzrechtlicher Sachverhalte kann somit nicht geleistet werden. Vorliegende Argumentationen sind von daher produktiv und basieren nicht auf "äquivalenten Transformationen"(30), oder besser: Transpositionen der Richtlinie. Nicht zuletzt vor diesem Argumentationshintergrund und dem vorliegenden Novellierungsentwurfs geht es für ein künftiges Datenschutzrecht darum, die Problemlösungskapazität eines Gesetzes bzw. deren gesetzlicher Vorschriften auszuschöpfen und die "Hauptsäulen datenschutzrechtlichen Denkens", d.h. deren Prinzipien zu wahren. | Abs. 30 |
B. Eckpfeiler einer künftigen Datenschutzentwicklung |
| Zur Sicherstellung der Hauptsäulen datenschutzrechtlichen Denkens sind die geltenden Regelungsvorgaben des BDSG 1990 am Maßstab der Richtlinie "auf der Höhe datenschutzrechtlicher Probleme" zu reflektieren. Es geht mithin um eine "substantielle Argumentation" von Veränderungsanforderungen für das Bundesdatenschutzgesetz und damit um die Herstellung eines hinreichenden Diskussionsstands für die Sicherstellung einer Fortentwicklung des Datenschutzrechts. | Abs. 31 |
| Datenschutz wird nun gemeinhin als die "Kunst des Möglichen" angesichts ökonomischer Zwänge bezeichnet. So die gängige Sicht(31). Zu fragen ist bei der BDSG-Umsetzung allerdings konkreter danach, ob bewährte rechtliche Instrumentarien des Bundesdatenschutzgesetzes zur "Entschlüsselung" komplexer Themen noch taugen, und inwieweit diese vor dem Hintergrund der Vorgaben der Richtlinie und den tatsächlich bestehenden Problemen zu überarbeiten bzw. zu ergänzen sind. | Abs. 32 |
| Zielsetzung hierbei sollte sein, daß der Betroffene beim Datenschutz als Individualrecht nicht in eine Zuschauerrolle ohne Einfluß gedrängt wird. Seine Rechte und deren Fortschreibung sind gerade auch vor dem Hintergrund einer Antizipation künftiger Phänomene und Risiken der Informationsverarbeitung ein zentrales Thema. In diesem Hinblick sollte die gemeinsame Basis zwischen der Richtlinie und dem Datenschutzgesetz unterstrichen werden, während die Betrachtung von deren Unterschieden für die Festlegung des Umfangs der rechtlichen Verpflichtung zur Umsetzung für den deutschen Gesetzgeber bei der Novellierung des BDSG 1990 von Bedeutung ist. | Abs. 33 |
I. Prinzipien und "Grundnormen" des Datenschutzes |
1. Die Inhalte datenschutzrechtlicher Prinzipien |
| Augenfällig ist in der Richtlinie in Art.6 die Fassung und explizite Festlegung von datenschutzrechtlichen Prinzipien(32). In dieser Vorschrift findet sich der Grundsatz der Zweckbindung i. S. einer Festlegung des Verarbeitungszwecks, sowie der Rechtmäßigkeit der Verarbeitung. Zweckbindung bedeutet vor diesem Hintergrund, daß personenbezogene Daten von der speichernden Stelle nur für denjenigen Zweck verarbeitet und genutzt werden dürfen, für den sie die Daten erhalten hat. Dies impliziert auch ein Verbot der Zweckänderung. | Abs. 34 |
| Beide Prinzipien bestimmen sich nach im einzelnen festgelegten Kriterien. Eigens verankert sind der "Grundsatz der Verhältnismäßigkeit"(33), Richtigkeit und Sicherheit sowie das Prinzip der Verarbeitung nach "Treu und Glauben", welches voraussetzt, daß der Betroffene über die Verarbeitung seiner personenbezogenen Daten unterrichtet ist. In diesem Sinne sind auch Grundrechte als Prinzipien zu begreifen, deren Nichtumsetzung zu einem "chilling effect" des Rechts auf informationelle Selbstbestimmung i. S. einer Verfügungsbefugnis des Betroffenen über seine Daten führen kann(34). | Abs. 35 |
| Diese Prinzipien könnten dazu dienen, die im Datenschutzgesetz ohnehin konkreter gefaßten Zulässigkeiten weiter zu stabilisieren. Vor dem Hintergrund dieser Prinzipien sind auch folgende Festlegungen der Richtlinie zu sehen: | Abs. 36 |
| - Als Bestimmungen von rechtspolitischer Bedeutung werden die Art. 25 und 26 zur Übermittlung personenbezogener Daten in Drittstaaten bezeichnet, deren Anwendung im Normalfall auf dem Prinzip der Angemessenheit des im jeweiligen Drittstaat garantierten Schutzes gründen soll. Die Bestimmung des Art. 25 verweist im Hinblick auf ihren Regelungsgegenstand auf Länderebene. Hier sollte die Betrachtung des Datenschutzrechts auf die Vertragspartner unter Beachtung von Zulässigkeitsbestimmungen (wieder) "heruntergebrochen" werden. | Abs. 37 |
| - Für den in Art.8 festgehaltenen Grundsatz des Verarbeitungsverbots für sensible Daten (politische Meinung, ethnische Herkunft, u.a.m.) ist zu bemerken, daß es bei der Datenverarbeitung für den Regelungsgegenstand nicht eigentlich auf die "Sensitivität" von Daten, sondern auf deren Möglichkeiten einer multifunktionalen Verwendung ankommt; vgl. aber § 3 Abs. 9. | Abs. 38 |
| - Zu diskutieren sind ferner die Rechte des Einzelnen auf Auskunft nach Art. 12 (vgl. aber auch Art. 13), die Datenkorrekturrechte in Art. 12 b) und c) sowie das Recht auf Kenntnis der Herkunft der Daten nach Art. 12 a), 2. Spiegelstrich und auch nach Art. 15 das Recht, nicht einer Entscheidung unterworfen zu werden, die sich allein auf die automatisierte Erstellung eines Verhaltensprofils stützt(35). Art. 15 ist hierbei als eine Erweiterungsmöglichkeit zu betrachten, künftigen Entwicklungsperspektiven der Datenverarbeitung gerecht zu werden. | Abs. 39 |
| - Für die Datenschutzpraxis zu diskutieren ist auch die Festlegung der Befugnisse der unabhängigen Kontrollstellen nach Art. 28 Abs. 3. Denn mit dieser Vorschrift sollen diese Stellen in den Stand gesetzt werden, schnell auf Beschwerden eingehen zu können und Hilfestellung bei der Bewertung von Sachverhalten zu leisten. Von nachhaltiger Bedeutung sind auch die Festlegungen zu festzusetzenden Haftungsregelungen nach Art. 23 und Sanktionen nach Art. 24. | Abs. 40 |
2. Die Implementierung dieser Prinzipien |
| Wesentlich wären künftig im Datenschutzrecht "Grundsätze in Bezug auf die Qualität"(36). Denn der in der Richtlinie verfolgte Regelungsansatz ist präventiv sowohl im Hinblick auf die Vermeidung von Datenschutzverletzungen, als auch in dem prospektiven Sinne, daß neue Phänomene der Informationsverarbeitung diesen Schutzprinzipien ebenfalls zu unterwerfen sind(37). Insofern sind Qualitätsgedanken für die Fortschreibung des Datenschutzrechts elementar. | Abs. 41 |
| Die in Art. 6 festgeschriebenen Prinzipien sind nicht nur punktuell auf einzelne Verarbeitungsvorgänge bzw. -bereiche bezogen, sondern beanspruchen auch eine generelle Geltung. Sie stellen neben den Zulässigkeitskriterien nach Art.7 und 8 eigenständige Rechtmäßigkeitskriterien der Datenverarbeitung dar. Die beiden Prinzipien der Zweckbindung der Verarbeitung sowie der Qualität der Daten stehen dabei im Zentrum der Rechtmäßigkeitsprüfung. Von daher wäre es nicht gut durchdacht, diese Prinzipien nicht in das zu novellierende BDSG zu überführen. Dies ändert freilich nichts an nachfolgendem Befund: | Abs. 42 |
| Personenbezogene Daten dürfen nur für einen bestimmten, d.h. dem Betroffenen gegenüber erkennbaren Zweck verarbeitet werden. Hierdurch wird eine Überschaubarkeit und Kontrollierbarkeit der Verwendung personenbezogener Daten, mithin eine Transparenz der Datenverarbeitung selbst gewährleistet. Der "Verarbeitungsradius" einer multifunktionalen Verwendungsmöglichkeit für personenbezogene Daten wird dadurch formal, nicht aber - und das ist wesentlich - inhaltlich eingeschränkt(38). Anders freilich im IT-Datenschutz(39). Hinzuweisen ist allerdings auch auf § 3 a, in welchem für die Gestaltung und Auswahl von Datenverarbeitungssystemen künftig Prinzipien der Datenvermeidung und Datensparsamkeit gelten sollen, was eine inhaltliche Beschränkung der DV impliziert. | Abs. 43 |
| Weitere Konsequenz einer solchen Zweckbindung ist die zeitliche Befristung der Verarbeitung personenbezogener Daten. Stehen personenbezogene Daten zu einem bestimmten Zweck zur Verfügung, ist die Verarbeitungsbefugnis rechtlich auf diesen begrenzt. Die Dynamik der Datenverarbeitung erfordert bei einer nachfolgenden Verarbeitung, d.h. einer neuen DV-Phase wiederum eine Zulässigkeitsprüfung. | Abs. 44 |
| Das Wissen der Betroffenen darüber, wer ihre personenbezogenen Daten zu welchem Zweck beansprucht und verarbeitet, entspricht nicht nur einem Transparenzgebot, sondern dient auch dem "Anonymitätsinteresse" von Betroffenen. Denn es bedarf einer präzisen Aussage darüber, wann Anonymität und in welcher Weise aufgehoben werden darf. Dort, wo Anonymität aufgehoben wird, kommt es darauf an, die Grenzen der Zweckbindung festzulegen. Weiterhin ist zu bedenken, daß ein Übermaß an Speicherung von Daten einer Person gegen das Verhältnismäßigkeitsprinzip verstößt. | Abs. 45 |
| Bei der Verarbeitung von personenbezogenen Daten bedarf es insofern auch der Einhaltung von Qualitätsvorgaben. Denn mit dem Datenschutz steht nur eine Verarbeitung richtiger Daten in Einklang. Es dürfen keine falschen Daten verwendet oder richtige Daten verfälscht werden. Der Fehlervermeidung können in der Datenschutzpraxis freiwillige Verhaltensregeln wie z.B. die Erstellung von Datenausdrucken und deren Zurverfügungstellung an Betroffene dienen(40). | Abs. 46 |
| Die Prinzipien des Art.6 können als "guidance" für den Umgang mit personenbezogenen Daten verstanden werden. Werden sie auch unter Beibehaltung des BDSG 1990 nicht (explizit) übernommen, so sind sie doch implizit bei der Rechtsanwendung zu berücksichtigen. | Abs. 47 |
II. Öffentlicher/Nicht-öffentlicher Bereich |
| Eine im Verhältnis zur Prinzipiendiskussion ebenfalls wesentliche Fragestellung ist diejenige einer Differenzierung des Datenschutzrechts in einen öffentlichen und einen nicht-öffentlichen Bereich. Zu beantworten ist in der heutigen Situation, ob ein "gesetzlich gleichgewichtiger" Schutz unabhängig vom öffentlichen bzw. privaten Tätigkeitsbereich zu fordern ist(41). Eine Zusammenlegung beider rechtlicher Regelungsbereiche ist im Ergebnis, so vorliegende These, allerdings nicht erforderlich(42). Die Vorgaben aus der Richtlinie sind vielmehr differenziert je nach und für jeden Bereich umzusetzen. Eine Aufspaltung des Datenschutzgesetzes in jeweils ein Gesetz für den öffentlichen und privaten Bereich ist (nach wie vor) ebenfalls nicht erforderlich(43). | Abs. 48 |
| Nicht nur aus datenschutzrechtlicher, sondern auch aus grundsätzlicher Sicht sollte an der Unterscheidung zwischen privatem und öffentlichem Recht festgehalten werden. Wird eine Gleichsetzung von öffentlichem mit dem privaten Recht gefordert, so hängt dies heute weitgehend mit einer Unzulänglichkeit der Charakterisierung von Privatrecht zusammen(44). Denn dieses wird gemeinhin unter dem Aspekt einer relativ staatsfernen Rechtsmaterie gesehen, welche in Konflikt zu staatlicher Machtausübung steht(45). Dies trifft weder im allgemeinen, noch im besonderen beim Datenschutzrecht zu. Richtigerweise ist das private Datenschutzrecht vom öffentlichen aber rein von seinem Regelungsgegenstand her betrachtet qualitativ unterscheidbar(46). | Abs. 49 |
| Der Einwand, daß es für den Betroffenen erforderlich sei, die Datenverarbeitung einer privaten Stelle ebenso unter das Regime des öffentlichen Datenschutzrechts zu stellen, weil für den Betroffenen in beiden Fällen dasselbe Rechtsgut auf dem Spiel stehe, ist argumentativ zu kurz gegriffen. Dies trifft zwar prinzipiell zu, hindert aber nicht daran, den Rechtsgüterschutz an den verschiedenartigen Rechts-(und damit auch Regelungs-)verhältnissen zu orientieren. | Abs. 50 |
| So geht es beim privaten Datenschutzrecht ganz konkret darum, Datenschutz im Rahmen von rechtlich gleichgeordneten Beziehungen zwischen privaten Rechtssubjekten untereinander sicherzustellen. Insofern sind beide Bereiche nicht zu Lasten des jeweils konkreten Problembezugs zu "nivellieren". Dieser Befund kann auch verfassungsrechtlich durch Rückgriff auf die Grundrechtsträgerschaft speichernder Stellen gestützt werden(47). | Abs. 51 |
| Insgesamt kann in der verfassungsrechtlichen Fundierung des datenschutzrechtlichen Schutzes der Persönlichkeit ein "Moment der Relativierung" dieses Rechts liegen(48). Denn an die Stelle eines "normativen Konzepts"(49) eines Persönlichkeitsschutzes mit festem deliktsrechtlichen Tatbestand tritt hier eine argumentative Interessenabwägung aller Umstände des Einzelfalls(50). | Abs. 52 |
| Im Datenschutzgesetz sollte also die Aufteilung zwischen öffentlichem und privatem Bereich aufrecht erhalten werden. Allerdings sollte den Prinzipien nach Art.6 durch Verankerung im Allgemeinen Teil des Gesetzes eine übergeordnete Bedeutung zukommen. | Abs. 53 |
III. Verantwortlicher der Verarbeitung |
| In Frage steht, ob im Bundesdatenschutzgesetz künftig am Begriff der "speichernden Stelle" festgehalten werden sollte, weil diese Adressat von Verpflichtungen ist, welche durch den Begriff "Speicherung" nicht hinreichend beschrieben sind. Gegen die Beibehaltung des Begriffs speichernde Stelle könnte ferner sprechen, daß mit der Richtlinie die Verantwortung für die Verarbeitung personenbezogener Daten und nicht der Ansatz der Ausführung eines technischen Vorgangs verfolgt wird(51). | Abs. 54 |
| Dem Verantwortlichen obliegen nun die Verpflichtungen aus der Richtlinie. Allerdings nach Art. 3 Abs. 2, 2. Spiegelstrich dann nicht, wenn die Verarbeitung einer natürlichen Person zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten vorgenommen wird(52). | Abs. 55 |
| Beschreibt man als Adressat für die Pflichten der speichernden Stellen nach Bundesdatenschutzgesetz(53)die natürliche oder juristische Person, welche die Zwecke und Mittel der Verarbeitung bestimmt, so ist dies unpräzise. Denn die Geschäftsleitung kann die Verantwortung für die Datenverarbeitung an die Fachabteilungen im Unternehmen delegieren. Diese Thematik zeigt sich auch bei der Datenverarbeitung im Auftrag. Der Auftraggeber bleibt "Herr der Daten". Die Verantwortung für die Datenverarbeitung kann delegiert werden. | Abs. 56 |
| Der Begriff "speichernde Stelle" - ggf. auch datenverarbeitende Stelle – verdeutlicht besser, daß trotz eigens zu bestimmender Zuordnung von Verantwortung der Technikbezug des Datenschutzrechts durch Prüfung seiner Zulässigkeiten aufrechtzuerhalten ist. § 3 Abs. 7 sieht nun allerdings den Begriff "verantwortliche Stelle" vor. | Abs. 57 |
IV. Verarbeitungsbedingungen und Haftung |
| Art. 7 und 8 regeln die Verarbeitungsgrundlagen(54). Art. 7 gleicht dabei aufgrund seiner weiten Fassung einem Katalog von Regeln einer "fairen" Verarbeitung(55). Die Zulässigkeiten nach § 28 BDSG sind insofern präziser als die Vorgaben der Richtlinie. | Abs. 58 |
| Nicht explizit beschränkt sind diese Aussagen auf die automatisierte Datenverarbeitung. So ist zu fragen, ob z.B. die Regelung der Erhebung von Daten für den privaten Bereich paßt(56). | Abs. 59 |
| Das Bundesdatenschutzgesetz bezieht sich im privaten Bereich lediglich auf automatisierte Verarbeitungen. Von der Richtlinie werden nach Art. 3 1 nicht-automatisierte Verarbeitungen erfaßt, wenn sie sich auf Daten beziehen, die in einer Datei gespeichert sind oder gespeichert werden sollen. | Abs. 60 |
| Dateien sind nach der Richtlinie alle strukturierten Sammlungen personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind. Mißlich ist, daß die Richtlinie den Begriff "Struktur" in Art. 2c) nicht definiert. Üblicherweise werden Akteninhalte chronologisch abgelegt, was keine "Struktur" beinhaltet. Akten sind von der Richtlinie insofern nicht mitumfaßt(57). | Abs. 61 |
| Art. 1 Abs. 1 wird durch die Festlegung des Anwendungsbereichs nach Art. 3 Abs. 1 eingeschränkt(58). Die Datenerhebung sollte im Bundesdatenschutzgesetz für den privaten Bereich nicht eigens als Zulässigkeitstatbestand definiert werden. Im englischen Text wird auch - weitaus präziser - von "data processing" gesprochen. | Abs. 62 |
| Eine weitere Fragestellung ist auch der Anwendungsbereich des Bundesdatenschutzgesetzes beim sog. Phänomen "Multimedia". Wird das Internet ausschließlich für private Zwecke genutzt, findet das Bundesdatenschutzgesetz nach § 1 Abs. 1 Nr. 3 keine Anwendung(59). Nach § 3 Abs. 3 BDSG zählen Bild- und Tonträger zu den Akten. Sofern sie im privatwirtschaftlichen Bereich zur Anwendung kommen, unterliegen sie nach § 1 Abs. 2 Nr.3 BDSG nicht dem Bundesdatenschutzgesetz. | Abs. 63 |
| Bildliche und graphische Darstellungen einer Person auf CD-ROM sind regelmäßig nicht durch das Datenschutzgesetz geschützt, wohl aber nach §§ 22 ff. Kunsturhebergesetz(60). Nach den Erwägungsgründen Nr. 17 und Nr. 37 findet darauf Art. 9 eingeschränkt Anwendung. Dieser Fragenkreis beschreibt allerdings erst den Anfang einer tiefgreifenden Entwicklung(61). | Abs. 64 |
| Wesentliche vom Bundesdatenschutzgesetz abweichende Regelungen sind die Fassung der Einwilligung sowie Zulässigkeitserfordernisse. So definiert Art. 2 h) die Einwilligung in der Weise, daß sie den Ausdruck eines Willens "im konkreten Fall" durch den Betroffenen (vgl. Art.7a) verlangt. Eine Einwilligung erfordert "Kenntnis der Sachlage", was die Kenntnis der in Art.10 festgelegten Elemente umfaßt. | Abs. 65 |
| Bei Verarbeitungen im Rahmen vertraglicher Beziehungen ist es nach Art. 7 b) erforderlich, daß sie für die Erfüllung des Vertrags notwendig sind. Bei Daten aus allgemein zugänglichen Quellen sieht die Richtlinie keine Bevorzugung für die Güterabwägung wie, wie dies in § 28 Abs. 1 S.1 Nr.3 BDSG erfolgt ist(62). Dies könnte als eine Präzisierung des Erforderlichkeits- und Abwägungsgrundsatzes nach Art. 7 f) verstanden werden. Bei der Übermittlung zur Wahrung berechtigter Interessen eines Dritten nach § 28 Abs. 2 Nr. 1 a) BDSG sollten nach Art. 7 f) zusätzlich die Interessen des Betroffenen gegen die an der Übermittlung abgewogen werden. | Abs. 66 |
| Am System der abgestuften Zulässigkeiten ist im Datenschutzgesetz festzuhalten. Veränderungen in diesem System sind aufgrund der Einbindung ins bundesdeutsche Gesamtrechtssystem eher defensiv zu handhaben, es sei denn sie können durch die Berücksichtigung von Prinzipien des Art.6 gerechtfertigt werden. | Abs. 67 |
| Geht man von dem (paradoxen) Grundsatz aus, daß der Fortschritt im Recht denen zu verdanken ist, die es verletzen, so hat die Festlegung der Haftungsvoraussetzungen eine wesentliche Funktion für die Entwicklung eines Rechtsgebiets(63). Die Haftungsfrage hängt insofern eng mit den Verarbeitungsbedingungen und auch den Regelungsprinzipien im Datenschutzrecht zusammen. Erleidet jemand einen Schaden aufgrund einer Datenverarbeitung, so kann die betroffene Person (resultierend aus Art. 23 Abs. 1) vom Verantwortlichen der Verarbeitung (vgl. Art. 2 d)) Schadensersatz verlangen(64). Im Ergebnis enthält die Haftung damit ein Verschuldenselement(65). | Abs. 68 |
| Aufgrund ihrer Bedeutung soll diese Fragestellung einer Haftung bei Datenschutzverstößen unter dem Gesichtspunkt näher betrachtet werden, ob anläßlich der Richtlinie eine Gefährdungshaftung für den privaten Bereich eingeführt werden sollte. | Abs. 69 |
| Hierbei ist zu bedenken, daß Auslöser einer Haftung im Datenschutzrecht nicht die Verwirklichung einer nach der Intention des Gesetzgebers im Regelfall erlaubten Datenverarbeitung ist, sondern umgekehrt die Durchführung einer nach einem Verbot mit Erlaubnisvorbehalt nach § 4 BDSG prinzipiell untersagten Datenverarbeitung (Verstoß gegen Zulässigkeiten). | Abs. 70 |
| Bei der typischen Gefährdungshaftung (vgl. § 33 Luftverkehrsgesetz sowie den §§ 1 Abs. 2 S.1 Haftpflichtgesetz und § 7 Abs. 2 S. 1 Straßenverkehrsgesetz) bleibt selbst innerhalb der im Verkehr berechtigterweise zu erwartenden Sicherheitsstandards eine Haftpflicht bestehen. Bei unrichtiger Datenverarbeitung durch fehlerhafte Computerprogramme wird heute gemeinhin eine Gefährdungshaftung gefordert (Verstoß gegen technische Anforderungen)(66). | Abs. 71 |
| Von der Einführung einer Gefährdungshaftung für das private Datenschutzrecht sollte abgesehen werden, da die Pflichten der speichernden Stellen primär verhaltens- und nicht gefährdungsorientiert sind. So handelt es sich bei der Datenverarbeitung nicht um ein per se gefährliches Werkzeug(67). Verhaltensorientierte Verstöße liegen typischerweise in der Verletzung von Organisationspflichten(68), die im Grundsatz beherrschbar sind. | Abs. 72 |
| Gefährdungshaftung führt bei der personenbezogenen Datenverarbeitung auch begrifflich in die Irre, da abgestellt wird auf den Umstand der Gefährdung, d.h. der "in-Gefahr-Setzung" eines bloß drohenden Schadens. Dabei geht es um den erlittenen Schaden selbst(69). | Abs. 73 |
| Danach kann eine unzureichende Datenschutzkontrolle zur Verletzung von Verhaltenspflichten führen. Die entscheidende Frage hierbei ist, ob eine Datenverarbeitung dem normativ geforderten Sorgfalts- und Sicherheitsstandard entspricht oder nicht. Bleibt sie dahinter zurück, kann dem Verantwortlichen die Verletzung einer Verhaltenspflicht vorgehalten werden. | Abs. 74 |
| Sinnvoll ist es hierbei, den Maßstab des § 276 BGB als Sorgfaltsmaßstab für eine solche Sicherheitskontrolle heranzuziehen. Die rechtsdogmatische Figur der Gefährdungshaftung ist von daher mit dem Konzept einer Sicherheitskontrolle nicht vereinbar, denn der Gefährdungshaftung liegen keine Verhaltenspflichten zugrunde(70). Bewertungsmaßstab einer Haftung sollte von daher sein, ob das tatsächliche Tun vom gesollten Verhalten abweicht. Werden die Verhaltenspflichten allerdings zu "Gefahrkontrollpflichten" erhöht, so kann eine solchermaßen intensiv bemessene Sorgfalt allerdings (ungewollt) zu einer "Quasigefährdungshaftung" führen(71). | Abs. 75 |
| Da sich die Kategorie der Verantwortung nun nicht nur an juristische, sondern auch an natürliche Personen wendet, ist es auch unter diesem Gesichtspunkt korrekter, die Haftung auf ein Verschulden zu gründen. Nach der Richtlinie geht es um adäquate Gefahrenkontrolle, nicht um haftungsrechtliche Konsequenzen einer "freigegebenen Gefahr". | Abs. 76 |
| Die Regelung für Schadensersatz bleibt damit im Bereich eines nach deutschem Recht fortexistierenden autonomen Deliktsrechts. Für die Einführung einer Gefährdungshaftung für den privaten Bereich besteht nach der Richtlinie kein Anlaß. Zweck der im deutschen Recht enumerativ eingeführten Tatbestände einer Gefährdungshaftung (vgl. §§ 231, 833 S.1 BGB, § 7 Abs. 1, Abs. 3 S. 1 1.Halbsatz Straßenverkehrsgesetz, §§ 1, 2 Haftpflichtgesetz, §§ 33 Abs. 1, Abs. 2 S.1, S. 3, 54 f. Luftfahrtgesetz, §§ 25, 26 Atomgesetz, § 22 Wasserhaushaltsgesetz, § 1 Produkthaftungsgesetz(72), § 84 Arzneimittelgesetz, § 1 Umwelthaftungsgesetz und § 32 Gentechnikgesetz(73)) ist es, innerhalb eines vom Schutz absoluter Rechte und Rechtsgüter her aufgebauten Deliktsrechtssystems Verhaltensweisen als erlaubt einstufen zu können, die "an sich" als rechtswidrig und nach den Regeln der "actio libera in causa" (vorverlegte Verantwortlichkeit) auch als schuldhaft anzusehen gewesen wären. Eine solche "Gefährdungsschwelle" ist bei der Datenverarbeitung im privaten Bereich nicht gegeben. | Abs. 77 |
| Rechtshistorisch hat die Gefährdungshaftung menschliche Handlungsspielräume erweitert(74). Rechtsdogmatisch ging man mit ihr einen Schritt von der Gefahrenvermeidung hin zur Gefahrenkontrolle, weil die Begründung der Gefahr als nicht mehr sorgfaltswidrig angesehen wurde. Die Gefährdungshaftung nach § 7 BDSG ist hingegen verhaltensbezogen anzusehen, da die Unrechtmäßigkeit vom Erfolg "unzulässiger oder unrichtiger" (vgl. § 7 Abs. 1 BDSG) automatisierter Datenverarbeitung her betrachtet wird(75). | Abs. 78 |
| Die Handlungsspielräume und Verantwortlichkeiten werden im Datenschutzrecht durch die Zulässigkeiten bzw. Rechtmäßigkeitsvoraussetzungen bestimmt. Zur Einführung einer Gefährdungshaftung besteht diesbezüglich kein Anlaß. Mit der Ausreifung der DV-Technik wird im übrigen auch das Argument schwächer, eigens eine Haftung für nicht beherrschbare Gefahren einzuführen. Es würde sich auch die Frage stellen, ob die Einführung eines Gefährdungstatbestands für private Datenverarbeitung nach deutschem Recht sich im Rahmen der europäischen Rechtsordnungen behaupten könnte(76). | Abs. 79 |
| Beachtenswert ist bei der Haftungsvorschrift der Richtlinie, daß diese nicht explizit eine schwere Verletzung der Persönlichkeit voraussetzt. Bei Verstößen gegen das Datenschutzrecht gelten in Deutschland für die Privatwirtschaft die §§ 823 ff. BGB i.V.m. der Beweislastregelung des § 8 BDSG(77). Für den Ersatz immaterieller Schäden ist auf die (bis vor kurzem) prinzipiell einschränkende Rechtsprechung des BGH zu verweisen(78). Danach gibt es bei schwerer Verletzung des Persönlichkeitsrechts bzw. bei schwerem Verschulden einen Anspruch auf Schmerzensgeld (auch in der Genugtuungsfunktion). Damit hat Schmerzensgeld im Bereich schwerer Verstöße auch eine Funktion der "punitive damages"(79). | Abs. 80 |
| Der Grad der Beeinträchtigung sollte für die Anerkennung des Anspruchs keine ausschlaggebende Bedeutung haben. Allerdings ist das deutsche Recht auch dann "richtlinienkonform", wenn es eine schwere Verletzung voraussetzt. | Abs. 81 |
| Es ist denkbar, daß sich der Grad der Beeinträchtigung lediglich auf die Höhe des zu ersetzenden Schadens auswirkt. Nach neuerer Diskussion wird im Rahmen zivilrechtlicher Sanktion bei Persönlichkeitsverletzungen die Präventionswirkung in den Vordergrund gestellt(80). Bei einer Geldentschädigung würde es sich demnach weniger um ein sog. Schmerzensgeld handeln, als um ein Recht, welches unmittelbar auf den Schutzauftrag der Art. 2 Abs. 1 GG i.V.m. Art.1 Abs. 1 GG zurückgeht. | Abs. 82 |
| Der Präventivgedanke wurde als für das allgemeine Schadensrecht "nicht systemkonform" betrachtet, da er prinzipiell dem Strafrecht zuzuordnen sei. Im Hinblick auf eine datenschutzrechtliche Prävention ist dieser Ansatzpunkt - angesichts der Anerkennung und erforderlichen Durchsetzung von Sanktionen(81) - für das Datenschutzrecht allerdings als systemkonform anzusehen. Für den Datenschutz könnte sich hieraus ein "Hemmungseffekt" ergeben, wie er ihn auch § 1 Abs. 1 BDSG beschreibt(82), und der auch für die Schadensersatzbetrachtung von Bedeutung sein kann. | Abs. 83 |
| Der Schadensersatzanspruch wegen Verletzung der Persönlichkeit ist fester Bestandteil der Rechtsordnung(83). Die Schadensersatzthematik im Datenschutzrecht ist damit im Ergebnis nicht lediglich "Entlastungsventil für ein unbefriedigtes Rechtsgefühl"(84), sondern "Geldäquivalent" für Verletzungen der Persönlichkeit angesichts der Möglichkeiten der automatisierten Datenverarbeitung. | Abs. 84 |
| Im privaten Bereich ist an der Verschuldenshaftung festzuhalten. Daran wurde im Referentenentwurf auch richtigerweise festgehalten. Die moderne Diskussion um den Ersatz immaterieller Schäden könnte berücksichtigt werden. Auch die Haftung nach § 7 BDSG für den öffentlichen Bereich sollte als "verhaltensbezogen" angesehen werden. | Abs. 85 |
V. Betroffenenrechte |
| Der individuelle Ansatz des Datenschutzrechts setzt voraus, daß Betroffene ihre Rechte wahrnehmen können und dies auch tun(85). Es geht mithin um ein "Gebot der Sicherung der Rechtspositionen von Betroffenen"(86). Darauf gründet auch das Instrumentarium der Selbstkontrolle im Datenschutz(87). Zielsetzung der Konzeption des Verfassers ist es, Rechte der Betroffenen in das Pflichtenspektrum der speichernden Stellen zu überführen. | Abs. 86 |
| Die Informationspflichten der Verantwortlichen nach Art. 10 und 11 sollen den Betroffenen die Wahrnehmung ihrer Rechte ermöglichen. Sie erfassen alle Verarbeitungsvorgänge und -bereiche. Ebenfalls umfaßt ist die Erhebung. Der Zeitpunkt der Information variiert allerdings je nach Art der Erhebung. Wird beim Betroffenen selbst erhoben, muß dieser bei entsprechender Notwendigkeit sofort, in Fällen, bei denen die Daten nach Art. 11 nicht bei der betroffenen Person erhoben wurden, bei der Speicherung bzw. spätestens bei der ersten Übermittlung informiert werden. Die Vorschriften der Art. 10 und 11 beinhalten damit eine "Vorverlagerung" der Informationspflichten des für eine DV Verantwortlichen(88). | Abs. 87 |
| Im nicht-öffentlichen Bereich ist in § 33 BDSG eine Informationspflicht über die Zweckbestimmung nicht gegeben. Art. 10 verlangt hingegen weitere differenzierte Angaben, z.B. über die Identität des für die Verarbeitung Verantwortlichen nach Art. 10 a). | Abs. 88 |
| Das Auskunftsrecht ist in Art. 12 festgelegt. Adressat dieses Rechts ist der für die Verarbeitung Verantwortliche. Die Auskunft sollte nach Art. 12 a) "in angemessenen Abständen" und "ohne unzumutbare Verzögerung" erfolgen. | Abs. 89 |
| Je höher die Komplexität von Systemen ist, ein desto spezifischeres Instrumentarium könnte für die Betroffenen - z.B. gerade auch im Hinblick auf einen effektiven Arbeitnehmerdatenschutz(89) - erforderlich sein. | Abs. 90 |
| Fraglich ist von daher, ob in das Bundesdatenschutzgesetz zum Kanon der Rechte nach §§ 33 bis 35 weitere neue Betroffenenrechte einzuführen sind: | Abs. 91 |
| Abs. 92 |
| Die Einführung solcher Rechte würde das Tätigkeitsfeld des Datenschutzbeauftragten erheblich erweitern. | Abs. 93 |
| Gesondert hinzuweisen ist auf die Vorschrift des Art. 14 a), welche betroffenen Personen aufgrund sich aus ihrer besonderen Situation heraus ergebenden Gründen ein Widerspruchsrecht gewährleistet. Diese Regelung könnte für Sonderfälle das Erfordernis der Umsetzung in nationales Recht mit sich bringen(90). | Abs. 94 |
| Vor diesem Hintergrund habe ich eine technische Umsetzung dieser Rechte für Betroffene erarbeitet, welche rechtsdogmatisch die §§ 33 ff. BDSG mit § 9 BDSG in Beziehung setzt. Flankiert wird dieses Konzept durch die betrieblich-organisatorische Umsetzung der Zulässigkeiten nach §§ 27 ff. BDSG, ergänzt durch die Anwendung der §§ 5 und 9 BDSG. Die Betroffenenrechte könnten danach unabhängig von einer expliziten Aufnahme der Prinzipien nach Art.6 in das Datenschutzgesetz in der Rechtswirklichkeit realisiert, und zugunsten der Betroffenen effektiv umgesetzt werden. | Abs. 95 |
VI. Datensicherheit und Qualitätsmanagement |
| Die Frage der Sicherheit der Verarbeitung behandelt Art. 17. Diese Vorschrift orientiert sich an modernen Sicherheitssystemen(91) und verlangt z.B. auch einen Schutz gegen zufällige Zerstörung und zufälligen Verlust von personenbezogenen Daten. | Abs. 96 |
| Das vom Bundesverfassungsgericht kreierte Recht auf informationelle Selbstbestimmung(92)beinhaltet ein institutionelles Recht, welches Datenschutzkontrolle und auch technisch-organisatorische Bedingungen, d.h. Maßnahmen der Datensicherung und des Qualitätsmanagements für dessen Realisierung zur Voraussetzung hat(93). Dies entspricht einem "Systemdatenschutz"(94). Der Systemdatenschutz soll das Individualrecht Datenschutz durch technisch-organisatorische Maßnahmen besser verwirklichen helfen. Der Begriff Systemdatenschutz sollte allerdings keinesfall zu einer Reformulierung des Rechtsguts Persönlichkeitsrecht(95) bzw. Privatsphäreschutz(96) im Datenschutzrecht führen. Er ist "rechtsgutsneutral"(97). | Abs. 97 |
| In diesem Sinne sollten in weitem Umfang auch die systemimmanenten Möglichkeiten der DV genutzt werden, Sicherungsanliegen des Datenschutzes, insbes. die BDSG-spezifischen Anliegen der Betroffenenrechte (vgl. §§ 33 bis 35 BDSG), fortzuschreiben und damit effizienter umzusetzen. Erforderlich sind Vorschläge zur Erweiterung der Betriebssystem-Software für Zwecke des Datenschutzes und einer darauf anzuwendenden Zertifizierung bzw. Erteilung eines diesbezüglichen Gütesiegels an die Hersteller solcher den Datenschutz stützender Software(98). Zu begrüßen ist von daher § 9 a, in welchem das Datenschutzaudit aufgenommen wurde. | Abs. 98 |
| Wir befinden uns heute in einer "Sicherheitsspirale", welche neue Erfordernisse für generelle Sicherungsverfahren mit sich bringt(99). Hierzu gehören die Schaffung geschlossener Systemwelten durch Etablierung eines geschlossenen Netzes; die Schaffung von Firewalls als geschützte Durchgänge zwischen einer Organisation und der Außenwelt(100); die Vergabe von Zugangsberechtigungen; die Nutzung von Verschlüsselungstechniken und biometrischen Verfahren; die Vornahme von information splitting, u.a.m. Daneben ist aber auch das Internet als "offenes System" zu berücksichtigen(101). | Abs. 99 |
| Ein wesentlicher Aspekt wird vor diesem Hintergrund künftig die Sicherheit der Übermittlung personenbezogener Daten sein, welche vollständig, authentisch und vertraulich übermittelt werden müssen, was auch eine Anwendung von Verschlüsselungstechniken mit sich bringt(102). | Abs. 100 |
| Der Dekalog der technischen und organisatorischen Maßnahmen der Anlage zu § 9 S. 1 BDSG ist von seinen Anforderungen her beizubehalten. Er sollte allerdings punktuell überarbeitet werden. Im Referentenentwurf ist eine textliche Zusammenfassung auf sieben Regeln der Datensicherung erfolgt. | Abs. 101 |
VII. Auftragsdatenverarbeitung |
| In Art. 2 e) ist der Auftragsdatenverarbeiter definiert. Es handelt sich hierbei um eine Stelle, die personenbezogene Daten im Auftrag des für die Verarbeitung Verantwortlichen verarbeiten(103). Nach der Vorgabe der Richtlinie wären lediglich bei der Auftragsdatenverarbeitung außerhalb ihres Geltungsbereichs nach § 3 Abs. 9 S. 2 i.V.m. §§ 3 Abs. 5 Nr. 3, 27 ff. BDSG die Vorschriften über Übermittlungen an Dritte anzuwenden. An dieser Stelle ist man im Hinblick auf Rechtspositionen von Betroffenen relativ arglos, wenn im Gegensatz dazu die vehemente Diskussion zum Datentransfer in Drittländer betrachtet. | Abs. 102 |
| Nach der Richtlinie sind innerhalb der Europäischen Gemeinschaft ansässige Auftragsdatenverarbeiter explizit mit in Deutschland ansässigen gleichzubehandeln(104). Dies hat zur Konsequenz, daß Auftragsdatenverarbeiter aus EG-Staaten nicht als "Dritte" zu bewerten sind(105). | Abs. 103 |
| § 11 BDSG ist eine bewährte Regelung, welche lediglich für die Auftragsdatenverarbeitung im europäischen Ausland durch Streichung der Formulierung "im Geltungsbereich dieses Gesetzes" in § 3 Abs. 9 BDSG verändert werden müßte. Im Referentenentwurf wurde für eine Novellierung des BDSG 1990 in § 3 Abs. 8 folgende Formulierung vorgesehen: "Empfänger ist jede Person oder Stelle, die Daten erhält. Dritter ist jede Person oder Stelle außerhalb der verantwortlichen Stelle. Dritte sind nicht der Betroffene sowie diejenigen Personen und Stellen, die im Inland oder im Geltungsbereich der Rechtsvorschriften zum Schutz personenbezogener Daten der Mitgliedstaaten der Europäischen Union personenbezogene Daten im Auftrag erheben, verarbeiten oder nutzen." | Abs. 104 |
VIII. Datenschutzbeauftragter |
| Der Datenschutzbeauftragte ist als Institution der Eigenkontrolle in den Unternehmen in der Richtlinie eigens vorgesehen(106). Seine Zuständigkeit für Kontrollforderungen der Eigenkontrolle(107)wurde damit supranational geklärt. | Abs. 105 |
| Wesentlich für seine künftige Aufgabenstellung ist, daß die Richtlinie ganz explizit auf die Effektivität der Arbeit des Datenschutzbeauftragten abgestellt (vgl. Art. 18 Abs. 2, 2. Spiegelstrich). Denn die Ausnahme von der Meldepflicht hat zur Voraussetzung, daß er präventiv zur Vermeidung von Gefährdungen der Privatsphäre tätig wird. | Abs. 106 |
| Art. 18 Abs. 1 verlangt eine Pflicht zur Meldung, bevor eine Verarbeitung stattfindet. Eine Vereinfachung oder das Entfallen einer solchen Meldepflicht ist nach Art. 18 Abs. 2, 2.Spiegelstrich vorgesehen, wenn der für die Verarbeitung Verantwortliche einen Datenschutzbeauftragten bestellt(108). | Abs. 107 |
| Art. 20 sieht die Einführung einer Vorabkontrolle für Verarbeitungen vor, die spezifische Risiken für die Rechte und Freiheiten für Personen beinhalten können. Diese Aufgabe kann nach Art. 20 Abs. 2 der Datenschutzbeauftragte übernehmen. | Abs. 108 |
| Durch die Richtlinie hat die Funktion des Datenschutzbeauftragten und damit das Konzept der Eigenkontrolle durch die Unternehmen selbst eine Bestätigung erfahren. Dies ist im Referentenentwurf in den §§ 4 d Abs. 6, 4 f und 4 g auch zum Ausdruck kommen. | Abs. 109 |
IX. Datentransfer in Drittländer |
| Der Diskussionsschwerpunkt in der Literatur zum Thema EG-Datenschutz-Richtlinie liegt bei der Fragestellung des Datentransfers in Drittländer(109). Die Richtlinie sieht bei einer Anzahl von Fallkonstellationen die Möglichkeit vor, personenbezogene Daten auch ohne angemessenes Datenschutzniveau zu übermitteln(110). | Abs. 110 |
| Grundregel ist, daß ein Datentransfer in einen Drittstaat nur zulässig sein soll, wenn der Drittstaat ein "angemessenes Schutzniveau" gewährleistet (vgl. Art. 25 Abs. 1)(111). Gemessen am Schutzniveau des Bundesdatenschutzgetzes ist hierbei problematisch, ob Drittstaaten einen solchen Nachweis führen können(112). Eine Übermittlung ist nach der Konzeption der Richtlinie auch immer dann zulässig, wenn der Betroffene auf den konkreten Fall bezogen eingewilligt hat (vgl. Art. 26 Abs. 1 a)). Im übrigen soll der Datenexport in ein Land ohne angemessenes Datenschutzniveau auch dann zulässig sein, wenn ein solcher Transfer für die Erfüllung eines Vertrages zwischen dem Betroffenen und der übermittelnden Stelle oder zur Durchführung entsprechender vorvertraglicher Maßnahmen erforderlich ist (vgl. Art. 26 Abs. 1 b)). | Abs. 111 |
| Gleiches gilt, wenn der Verantwortliche im Interesse des Betroffenen einen Vertrag mit einem ausländischen Dritten geschlossen hat und zur Durchführung dieses Vertrages Daten übermittelt werden müssen (Art. 26 Abs. 1 c)). Daten dürfen schließlich nach der Richtlinie auch in das außereuropäische Ausland transferiert werden, wenn sie aus öffentlichen Registern (Grundbücher, Handelsregister, Schuldnerverzeichnisse) stammen (vgl. Art. 26 Abs. 1 f)). | Abs. 112 |
| Adressat des anwendbaren Rechts bei grenzüberschreitenden Verarbeitungen ist die Person des Verantwortlichen. Das anzuwendende Recht richtet sich nach dem Ort seiner Niederlassung. Nicht mehr entscheidend ist der Ort, an welchem eine bestimmte Verarbeitung vorgenommen wird. Eine Ausnahme ist dann gegeben, wenn eine ausländische Niederlassung des Verantwortlichen Verarbeitungsvorgänge vornimmt. Dann soll nach der Richtlinie dennoch nicht das Recht des Ortes des Verantwortlichen, sondern das Recht des Landes ihrer Niederlassung angewandt werden. | Abs. 113 |
| Ein wesentlicher Problempunkt ist vor diesem Hintergrund, inwieweit datenschutzrechtliche Absicherungen nach § 26 Abs. 2 durch privatautonome Vereinbarungen zwischen der übermittelnden Stelle und dem Datenempfänger im Drittstaat gewährleistet werden können(113). | Abs. 114 |
| Hier ist festzuhalten, daß die primäre Verantwortung für die Verarbeitung nach der Übermittlung der Daten beim Datenempfänger liegt. Inwieweit die Betroffenen selbst Rechte aus einem solchen Vertrag ableiten können, hängt davon ab, ob es sich dabei um einen echten Vertrag zugunsten Dritter handelt(114). Denn liegt kein drittberechtigender Vertrag im Sinne von § 328 BGB vor(115), steht dem Betroffenen kein eigenes Recht aus dem Vertrag zwischen dem Übermittler und dem Empfänger zu. Hier zeigen sich die rechtlichen Regelungsgrenzen des Datenschutzes. | Abs. 115 |
| Für die Privatwirtschaft wesentlich ist die Fragestellung, ob mit bilateralen vertraglichen Zusicherungen ("data protection agreements") die fehlende Adäquanz eines gesetzlichen Standards eines Drittlands, z.B. den USA, kompensiert werden kann(116). Denn es besteht nach der Zielsetzung der Richtlinie ein grundsätzlicher Vorrang des Art. 25 vor Vertragslösungen, welche Art 26 zuläßt. Im Einzelfall kann bei ausführlicher Berücksichtigung datenschutzrechtlicher Vorgaben, insbes. der Sicherstellung von Betroffenenrechten und der Datenschutzkontrolle, eine Adäquanz nach Art. 26 zu bejahen sein. Vertragliche Lösungen sind nach der Intention der Richtlinie allerdings die Ausnahme und dürfen bei ihrer Akzeptanz im Einzelfall aufgrund der Systematik der Richtlinie keinen "Modellcharakter" haben(117). Ohne Vertragslösungen kommt die Praxis allerdings nicht aus. | Abs. 116 |
| Wenn dies so ist, könnte ein "Rettungsanker" für Betroffene sein, wenn diese ihre Ansprüche gegen inländische Übermittler geltend machen könnten. Dies setzt freilich voraus, daß diese solche Ansprüche gegenüber den Empfängern der Daten im Ausland durchsetzen können(118). Diese Thematik zeigt, daß man die Richtlinie praktikabel auslegen muß. | Abs. 117 |
| Es bestehen vor diesem Hintergrund berechtigte rechtsdogmatische Zweifel daran, ob sog. Vertragslösungen (d.h. die Begründung eines gleichwertigen bzw. angemessenen Datenschutzstandards auf vertraglicher Basis) ausreichend sind, um eine Übermittlung von personenbezogenen Daten in ein Drittland zu legitimieren(119). Denn nach Erwägungsgrund Nr. 60 sind Übermittlungen in Drittstaaten "auf jeden Fall nur unter Einhaltung der Rechtsvorschriften zulässig, die die Mitgliedstaaten gemäß dieser Richtlinie, insbesondere gemäß Artikel 8, erlassen haben". | Abs. 118 |
| Für die Beurteilung der Angemessenheit von Bedeutung ist hierbei das aufgrund der Richtlinie geschaffene nationale Recht. Dieser Befund verdeutlicht ein hohes rechtliches Datenschutzniveau für die Zulässigkeit einer Datenübermittlung von Deutschland an Drittländer. Dies ist problematisch vor dem Hintergrund des in Art.1 Abs. 2 verkörperten "Kooperationsmodells". Denn Datenübermittlungen z.B. von Italien in Drittländer wären damit rechtlich leichter zu rechtfertigen, weshalb die Richtlinie durch die Verlagerung "ihres Angemessenheitsanspruchs" auf die nationale Ebene ihre eigenen Maßstäbe konterkariert(120). | Abs. 119 |
| In § 1 Abs. 5 ist hierzu eine Regelung festgeschrieben. Die Thematik verdeutlicht aber, auch für die Zukunft nach einer BDSG-Novellierung, die Schwierigkeiten einer grenzüberschreitenden Harmonisierung von Datenschutzrecht. Sie zeigt aber auch die Bedeutung der Erarbeitung und Einhaltung datenschutzrechtlicher Prinzipien und freiwilliger Verhaltensregeln. | Abs. 120 |
X. Freiwillige Verhaltensregeln |
| Die Richtlinie regt in Art. 27, was sehr positiv zu vermerken ist, zur Erarbeitung und Einhaltung freiwilliger Verhaltensregeln (Codes of conduct) an(121). Übernommen wurde dieser Gedanke in § 38 a. Solche Verhaltensregeln sollten getragen sein von "datenethischen Grundsätzen"(122). Denn diese stellen eine Antwort auf die Herausforderungen der Informationsverarbeitung dar und können als angewandte Rechtsphilosophie unter "Berücksichtigung der Hauptströmungen der gegenwärtigen rechtsethischen Diskussion"(123)betrachtet werden. Konkret geht es dabei im Datenschutz um die Erarbeitung von "Codes of Ethics"(124). Besondere Bedeutung könnte hierbei der Beachtung des Grundsatzes der Fairneß zukommen(125). Dies kann auch Basis für internationale Rechtsregeln zum Datenschutz sein. Dieser Ansatz sollte verstärkt genutzt werden. | Abs. 121 |
| Dies könnte auch unter einem weiteren Gesichtspunkt erheblich sein. So ist der Schutz der Menschenrechte und Grundfreiheiten(126) eine zentrale Aufgabe der Mitgliedstaaten(127). Beschränkungen des Binnenmarkts sind erlaubt, sofern sie allgemeinen Interessen dienen. Und zu diesen Beschränkungen gehören auch die Grundrechte; vgl. Art. 59 EG-Vertrag(128). | Abs. 122 |
| Neben der technischen Implementierung von Datenschutz ist die Erarbeitung von "Codes of Ethics" ein ganz wesentliches Instrumentarium, um Fortschritte im Datenschutz zu erreichen. | Abs. 123 |
XI. Gütesiegel Datenschutz |
| Art. 6 beinhaltet einen Katalog von Grundvoraussetzungen für die Beschaffenheit personenbezogener Daten, welcher Art. 5 des Datenschutzübereinkommens des Europarats angelehnt ist(129). Dieser Katalog ist den Zulässigkeitsbestimmungen der Art. 7 und 8 vorangestellt. Die Erfüllung von Art. 6 ist damit rechtssystematisch ebenso wie die Zulässigkeiten nach Art. 7 und 8 Rechtmäßigkeitsvoraussetzung einer Datenverarbeitung. | Abs. 124 |
| Aufgrund der Bedeutung von Art. 6 kann diese Vorschrift zur Sicherstellung des Datenschutzes als "Grundnorm des Datenschutzes" begriffen werden(130). Danach hat der Verantwortliche der Verarbeitung für unabdingbare Datenschutzstandards zu sorgen. Dazu gehört im besonderen die Einhaltung des Grundsatzes der Verarbeitung nach Treu und Glauben, - und daran anknüpfend(131) - die Einhaltung des Grundsatzes der Bindung an eindeutig festgelegte und rechtmäßige Zwecke, die Einhaltung des Grundsatzes der Beschränkung und Relevanz der Daten auf die Zwecke, für die sie erhoben und weiterverarbeitet werden, die Einhaltung des Grundsatzes der Richtigkeit und Aktualität der Daten sowie die Einhaltung des Grundsatzes der zeitlichen Beschränkung der Verfügungsbefugnis über personenbezogene Daten. § 9 a, der sich mit dem Datenschutzaudit befaßt, knüpft an Prüf- und Berwertungsverfahren an, die genau diese Zielrichtung verfolgen. | Abs. 125 |
| Wesentlich ist hierbei auch die Erkenntnis, daß die Einsicht in die Richtigkeit datenschutzrechtlicher Vorgaben etwas anderes ist, als deren Befolgung. Insofern ist zur Befolgung durch eine konsequente Implementierung von Datenschutz "nachzuhelfen". Für die Einhaltung solcher Maßstäbe kann eine Zusammenarbeit mit den Aufsichtsbehörden erfolgen. Durch die Anerkennung von Qualitätsmerkmalen für den Datenschutz als konzeptioneller Bestandteil - ggf. auch durch die Einführung von "Datenschutzaudits"(132)nach § 9 a - kann die Implementierung von Datenschutz gefördert werden. | Abs. 126 |
| Für die Sicherstellung dieser spezifischen datenschutzrechtlichen Regelungsvorgaben können Prinzipien des Qualitätsmanagements und der Qualitätssicherung herangezogen werden. Hierzu kann auch eine Zertifizierung bzw. die Erteilung eines Gütesiegels für Hersteller von den Datenschutz stützender Software dienen. | Abs. 127 |
XII. Aufsichtsbehörden |
| Die Grundannahme eines datenschutzrechtlichen Regelungserfordernisses für den Fall einer zentralen Speicherung von Daten bei Schaffung des BDSG 1977 erweist sich für heutige Anforderungen als nicht mehr ausreichend. Es geht heute primär und damit zusätzlich um Regelungskonzepte für dezentrale Datenverarbeitung in vernetzten Systemen. Hierzu bedarf es effektiver datenschutzrechtlicher Kontrollmaßnahmen, für welche auch die Aufsichtsbehörden erweiterte Instrumentarien für ihre Tätigkeiten benötigen(133). | Abs. 128 |
| Grundsätzlich ist bei einer Überarbeitung des Bundesdatenschutzgesetzes im Hinblick auf die Thematik der Fremdkontrolle zu diskutieren, ob eine Trennung der Aufsicht für den öffentlichen und nicht-öffentlichen Bereich sinnvoll ist. Den Kontrollstellen sind nach der Intention der Richtlinie Untersuchungsbefugnisse zu verleihen, die unabhängig von einem konkreten Anlaß bestehen(134). Art. 28 Abs. 3 enthält eine Aufzählung erforderlicher Eingriffsbefugnisse(135). Als unabdingbar für eine Fortschreibung des Bundesdatenschutzgesetzes werden hierbei von Brühann(136) die Einführung eines Klagerechts der Behörde, die Information der Beschwerdeführer sowie die regelmäßige Vorlage eines Berichts durch die Aufsichtsbehörden erachtet. | Abs. 129 |
| Die Richtlinie sollte genutzt werden, die Aufsichtsbehörden zu (re-)aktivieren und die Zusammenarbeit mit den Datenschutzbeauftragten zu intensivieren. Dies ist im Referentenentwurf nicht erfolgt, was auch noch einmal die Bedeutung der technischen Umsetzung von Datenschutz durch die Datenverarbeitung selbst verdeutlicht. | Abs. 130 |
C. Schlußfolgerungen |
I. Zusammenfassung |
| Datenschutz ist nach der Richtlinie "in Summe(!)" zu verbessern. Damit geht es um die Fortschrittsfrage im Datenschutz. Was sind Kriterien, diesen in Deutschland, in Europa und auch international zu verbessern. Hierzu soll Methode (Methoden der Gesetzesanwendung und Wissenschaftstheorie) und Technik (Datenschutzroutinen als Qualitätsmanagement sowie Maßnahmen der Datensicherung) dienen. | Abs. 131 |
| Der einzige allgemeine Grundsatz, den Fortschritt nicht zu behindern, lautet nun nach Paul Feyerabend: "Anything goes"(137). Vorliegend wird allerdings vorgeschlagen, die Methode eines "konsequenten Fallibilismus" zu verfolgen. Der kritische Rationalismus wird insofern ganz offensiv als ein "Entwicklungstool" zur Verbesserung von Datenschutz genutzt. | Abs. 132 |
| Bei der Fortschreibung bzw. Korrektur von Normhypothesen des Bundesdatenschutzgesetzes ist innerhalb der Richtlinienvorgabe die "Struktur"(138) datenschutzrechtlicher Problemstellungen zu beachten. Zur Einlösung einer solchen Forderung ist auch die heuristische Leistungsfähigkeit des sog. Hempel-Oppenheim-Modells für normative Begründungen von Interesse(139). | Abs. 133 |
| Zielsetzung der BDSG-Umsetzung sollte - im Ergebnis jedenfalls - eine "strukturelle Verbesserung" des Datenschutzes sein(140). Denn Zielsetzung der Richtlinie ist es, gemeinschaftsweit einen gleichwertigen Datenschutz in den Mitgliedstaaten der EU auf einem hohen Schutzniveau zu schaffen. Richtigerweise kann es vor diesem Hintergrund heute und für die Zukunft nur um eine rechtmäßige und eine den Gerechtigkeitspostulaten entsprechenden Datenverarbeitung, nicht aber um die Negation von Datenverarbeitung selbst gehen(141). | Abs. 134 |
| Eine wesentliche Zielsetzung der Richtlinie ist hierbei allerdings - und dies sollte nicht aus den Augen verloren werden - den Austausch von personenbezogenen Daten im Territorium der Gemeinschaft nicht durch ein unterschiedliches Datenschutzniveau in den unterschiedlichen Mitgliedstaaten zu behindern. Es geht also gewissermaßen um Fragen des grenzüberschreitenden Datenverkehrs, weshalb Datenschutz aber in seiner Betrachtung nicht an die "Außengrenzen der Gemeinschaft" verschoben werden sollte(142). | Abs. 135 |
| Zu verhindern gilt es in jedem Fall, daß Datenschutzrecht lediglich von einer "den Binnenmarkt integrierenden Datenfluß- und Verkehrsordnung, bei welcher der Persönlichkeitsschutz nur Mittel zum Zweck ist", handelt(143). Es darf im Hinblick auf den Datenschutz nicht darum gehen, Datenflüsse lediglich ökonomisch, und von daher unter Betrachtung "alternativer Weg-Strukturen" für den Transport von Personen und Gütern auf physischem Weg zu definieren(144). Es geht vielmehr ganz zentral um den Rechtsgüterschutz Persönlichkeit und Privatsphäre. | Abs. 136 |
II. Ausblick |
| Künftig wird es zur Sicherstellung der Effektivität von Datenschutz ganz zentral darum gehen, Datenschutz durch Mittel der Technik selbst sicherzustellen. Und im Hinblick auf das Rechtsgut ist nicht weniger wesentlich, Datenschutz künftig jedenfalls nicht "lediglich" unter dem Aspekt eines Annexes eines Verbraucherschutzes für EU-Bürger zu betrachten(145). Denn Datenschutz basiert in Europa - ohne Ansehen der Staatsangehörigkeit(146) - auf den Prinzipien der Menschenrechte (vgl. Art. 8 Europäische Menschenrechtskonvention)(147). In Erwägungsgrund Nr. 10 heißt es, daß Gegenstand der einzelstaatlichen Rechtsvorschriften die Gewährleistung der Achtung der Grundrechte und -freiheiten sei. Vor diesem Hintergrund der Bestimmung des zu schützenden Rechtsguts soll die Angleichung der Rechtsvorschriften darauf abzielen, in der Gemeinschaft ein hohes Schutzniveau zu erreichen und sicherzustellen. | Abs. 137 |
| Nimmt man diese Vorgabe ernst, so wird es in Deutschland darauf ankommen, das Bundesdatenschutzgesetz in denjenigen Punkten zu korrigieren, welche Schwachstellen ("gaps") bei der Verfolgung dieser Zielsetzung beinhalten. Dies gilt generell weniger für die Festlegung der Zulässigkeiten, deren abgestuftes System sich weitgehend bewährt hat(148), als um Fragen der Durchsetzung, d.h. Implementierung und Kontrolle von Datenschutz, und ggf. die der Sanktionierung von Verstößen. Die Komplexität der BDSG-Umsetzung sollte hierbei nicht unterschätzt werden. Denn die Richtlinie ist kein "systematischer Wurf", welcher in Tatbestandskongruenz zum Bundesdatenschutzgesetz steht. Sie ist aber als "Integrationsfortschritt" für den europäischen Datenschutz aufzugreifen. Diesen Gedanken hat der Referentenentwurf nur sehr defensiv bzw. "versteckt" aufgegriffen. | Abs. 138 |
| Zielsetzung der BDSG-Umsetzung sollte auch weiterhin sein, das
Datenschutzgesetz nicht ohne automatisierte Datenverarbeitung zu verstehen. Dies
kommt auch in Erwägungsgrund Nr. 15 zum Ausdruck. Die Konsequenzen einer
Nutzung moderner DV haben den Gesetzgeber zum Tätigwerden veranlaßt.
So regelt das Bundesdatenschutzgesetz die zusätzlichen Fragestellungen bzw.
Risiken, welche sich aus der Nutzung der DV-Technologie ergeben. Dies spiegelt
sich auch in den Vorschriften des Bundesdatenschutzgesetzes wider(149). Dieser Ansatzpunkt sollte nicht zu
Lasten eines effektiven Datenschutzes, d.h. dessen Kontrollierbarkeit, bei der
BDSG-Umsetzung verwischt werden. Stimmt man dem zu, kann auch die DV zur Lösung
der von ihr selbst "ausgelösten" Probleme dienen.
| Abs. 139 |
Fußnoten: |
(1) Ausführlich zu diesem Ansatz M. Wächter, Falsifikation und Fortschritt im Datenschutz: Qualitätsmanagement und Haftung im privaten Datenschutzrecht, 2000, S. 111 ff., 343 ff. (2) So jetzt auch in der Begründung zum Aktuellen Entwurf des BDSG vom 6.7.1999. (3) Vgl. dazu auch Erwägungsgrund Nr. 69. Die Erwägungsgründe stellen Orientierungspunkte zur Auslegung der Richtlinie 95/46/EG dar. Als politische Absichtserklärungen "konterkarieren" sie diese aber auch zum Teil. (4) Art. ohne Gesetzesangabe sind im Folgenden solche der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr. §§ ohne Gesetzesangaben sind solche des Referentenentwurfs des Bundesministerium des Innern v. 6.7.1999. (5) S. instruktiv dazu die Bestandsaufnahme - und die Formulierung künftiger Erfordernisse - bei H.-H. Trute, JZ 1998, 822 ff. (6) Dies gilt sowohl für den Datenschutz, als auch die ihn begeleitenden, d.h. den Datenschutz gestaltenden und ihn sicherstellenden Maßnahmen der Datensicherung; s. dazu G.F. Müller/M. Wächter, Der Datenschutzbeauftragte, Eine systematische Darstellung des Bundesdatenschutzgesetzes, 2.A.(1991), S. 185 ff. und vor dem Hintergrund rechtspolitischer Implikationen H.Bäumler,DuD 1997, 446 ff. ; konzis zur generellen Fragestellung der Gesetzesfolgenabschätzung auch H. Wagner, ZRP 1999, 480 ff. (7) S. dazu B. Lutterbeck, CR 2000, 52 ff., auch mit dem zutreffenden Hinweis auf S. 60, daß die "Zeit der großen Kodifikationen vorbei ist". Vorliegend wird von daher das Konzept der Falsifikation als "Rechtstheorie für die Informationsgesellschaft" vertreten. (8) Vgl. ausführlich dazu auch S. Simitis, in: ders./U. Dammann/H. Geiger/O. Mallmann/St. Walz, Kommentar zum Bundesdatenschutzgesetz, 4. A. (1992 ff.), § 1 Rdnrn. 1 ff., 162 ff. (9) Konzis dazu D. Klippel, BB 1983, 407 ff. (410). Er definiert vier unterschiedlich stark ausgeprägte durch das Datenschutzgesetz geschützte Interessen: das Informationsinteresse des Betroffenen, sein Interesse an der Richtigkeit und Vollständigkeit seiner verarbeiteten Daten, die Beachtung der Kontextgebundenheit, d.h. der Zweckgebundenheit der Verarbeitung personenbezogener Daten, sowie schließlich den Gedanken der Bewahrung von Privatheit, d.h. der Privatsphäre des Betroffenen. |
(10) Implikationen hierfür ergeben sich auch aus anderen rechtlichen Entwicklungssträngen sowie dem "neuen Themenbestand Internet"; s. dazu M. Wächter, Falsifikation und Fortschritt im Datenschutz: Qualitätsmanagement und Haftung im privaten Datenschutzrecht, 2000, S. 84 ff., 91 ff. (11) S. zu dieser Sichtweise Fr. Hufen, JZ 1984, 1072 ff., der sich - aus heutiger Sicht in verkürzter Betrachtung - mit der Fragestellung auseinandersetzt, ob das sog. Volkszählungsurteil (BVerfGE 65, 1 ff.) eine juristische Antwort auf Orwells Roman "1984" ist. (12) Kritisiert wird von daher auch, daß das Recht auf informationelle Selbstbestimmung die Verbindlichkeit der Verbürgung des datenschutzrechtlichen Persönlichkeitsrechts in Frage stellt. Generell merkt R. Dreier, JZ 1985, 353 ff., zur Thematik der Gesetzesbindung an, daß Recht und Gesetz nur noch "prima facie" verbindlich seien. Für das Datenschutzrecht, insbes. seine europäische Entwicklung, kann festgestellt werden, daß zwar eine Gesetzesbindung datenschutzrechtlicher Vorschriften vorhanden ist, Gesetz und Recht aber "driften". Dieses sog. Driften (engl. "drift"; franz. "derive") ist für die heutige Umbruchsituation bezeichnend. Noch weitergehend Th. Hoeren, ZRP 1996, 284 ff. (286), der der Jurisprudenz - unter Bezugnahme auf Jacques Derrida - vor diesem Hintergrund (nur noch) die Aufgabe zuweist, den "Un-Sinn" von Rechtsvorschriften aufzudecken. (13) Vgl. dazu P. Gola/R. Schomerus, Bundesdatenschutzgesetz mit Erläuterungen, 6.A. (1997), Einleitung 5. bis 7. (= S. 48-50) m.w.N. (14) Ausführlich dazu M. Wächter, Falsifikation und Fortschritt im Datenschutz: Qualitätsmanagement und Haftung im privaten Datenschutzrecht, 2000, S. 199 ff. (15) Vgl. zur methodischen Umsetzung von Fragestellungen de lege ferenda F. Bydlinski, Juristische Methodenlehre und Rechtsbegriff, 2.A. (1991), S. 618 ff. (639 ff.: Methode der "umgekehrten Subsumtion" und der "konkretisierenden Komparation"). S. in diesem Zusammenhang zur Umsetzung der Richtlinie unter Gesichtspunkten der juristischen Methodik ferner F. Haft, Juristische Rhetorik, 5.A. (1995), S. 25 ff. und Nachwort zur 3.Auflage (1985), S. 191 ff. (Strukturdenken) sowie die Kontroverse zwischen E. v. Savigny, ARSP (Archiv für Rechts- und Sozialphilosophie) 59 (1973), 249 ff. und Th.-M. Seibert, ARSP 59 (1973), 37 ff. und 155 zur Leistungsfähigkeit von Topik und Axiomatik, d.h. zu deren Aufgabenstellung bzw. Verwendbarkeit im Recht. Die Axiomatik ist auf enge Teilbereiche des Rechts beschränkt; vgl. dazu J. Rödig, Schriften zur juristischen Logik, Herausgegeben von E. Bund/B. Schmiedel/G. Thieler-Mevissen, mit einem Geleitwort von Ulrich Klug, 1980, S. 65 ff. (79-82). Im Datenschutzrecht spielen methodische Fragen aufgrund seines Charakters als Querschnittsmaterie, seinen vielen vagen und unbestimmten Rechtsbegriffen - und damit zusammenhängend bzw. in Folge davon spezifische Abwägungserfordernisse (vgl. dazu J.-R. Sieckmann, ARSP 1995, 164 ff.) sowie Implementierungserfordernisse - eine zentrale Rolle. (16) Vgl. zu diesem rechtspolitischen Hintergrund K.R. Popper, Die offene Gesellschaft und ihre Feinde, Band II: Falsche Propheten Hegel, Marx und die Folgen, 7.A. (1992), Kapitel 23: Die Wissenssoziologie, S. 248 ff. und Kapitel 24: Die orakelnde Philosophie und der Aufstand gegen die Vernunft, S. 262 ff. Zur Bedeutung des "kritischen Rationalismus" für eine solche politische Diskussion vgl. - in kritischer Sicht - H. Keuth, Rationalität und Wahrheit: Zur Kritik des kritischen Rationalismus, 1978, S. 1-8 sowie E. Döring, Karl R. Popper: >Die offene Gesellschaft und ihre Feinde<, Ein einführender Kommentar, 1996, S. 41 ff. (Die 'offene Gesellschaft'), S. 46 ff. ('Der Zauber Platons'(Band I)) und S. 89 ff. ('Hegel, Marx und die Folgen'(Band II)). S. demgegenüber zu Versuchen einer Letztbegründung ethischer Normen bzw. von Argumentationsregeln die Darstellung des Stands der Wissenschaft bei E. Hilgendorf, Rechtstheorie (Zeitschrift für Logik, Methodenlehre, Kybernetik und Soziologie des Rechts) 27 (1995), 183 ff. sowie zu einer diesbezüglichen Fortschreibung von Diskursregeln R. Alexy, Theorie der juristischen Argumentation, 2.A. (1991), Nachwort zur 2. Auflage, S. 417-426. Vgl. abschließend zur Kritik der Transzendentalpragmatik und Universalpragmatik sowie zur Diskursethik auch H. Keuth, Erkenntnis oder Entscheidung: Zur Kritik der kritischen Theorie, 1993, S. 43 ff., 263 ff. (17) Vgl. dazu U. Di Fabio, NJW 1990, 947 ff. sowie V. Götz, NJW 1992, 1849 ff., insbes. zur unmittelbaren Wirkung nicht umgesetzter Richtlinienbestimmungen S. 1855 f.; instruktiv ferner auch H. D. Jarass, NJW 1994, 881 ff. (884 f.). (18) So ganz dezidiert E. Werthebach, (Staatssekretär im Bundesministerium des Innern), RDV 1997, 1ff (2): "Wir planen, das BDSG nur in dem Umfang zu novellieren, der durch die Richtlinie vorgegegeben ist." (19) Fr. Müller, Juristische Methodik, 6.A. (1995), S. 293 ff. (296 f.: Normprogrammgrenze) und 107 ff. (Hypothesenbildung). |
(20) S. zu dieser Bestimmung A. Bach, JZ 1990, 1108 ff.; vgl. speziell zu dieser Durchführungspflicht der Mitgliedstaaten auch R. Geiger, EG-Vertrag: Kommentar zu dem Vertrag zur Gründung der Europäischen Gemeinschaft, 2.A. (1995), Art. 189 Rdnrn. 9 ff.; vgl. konkret zum Datenschutzrecht ferner Körner-Dammann, RDV 1993, 14 ff. (19 f.); und im besonderen zu den Risiken einer nicht rechtzeitigen bzw. unrichtigen BDSG-Umsetzung I. Geis, CR 1995, 171 ff. (176 ff.): Bei Verletzung der Umsetzungspflicht nach Art. 189 Abs. 3 EG-Vertrag verlangt der EuGH, daß die Richtlinie die Verleihung subjektiver Rechte bezweckt, daß der Inhalt dieser Rechte "bestimmt werden" kann, und daß ein Kausalzusammenhang zwischen dem Pflichtenverstoß des Staates, also der Nicht- oder Falschumsetzung und dem geltend gemachten Schaden besteht. Im übrigen sei der Anspruch im Rahmen des nationalen Haftungsrechts abzuwickeln, insbesondere die Ausgestaltung der gerichtlichen Zuständigkeiten und die Ausgestaltung des Verfahrens richte sich nach nationalem Recht. Der gemeinschaftsrechtliche Staatshaftungsanspruch basiert mithin auf dem Gedanken des "effet utile" (kritisch dazu allerdings W. Möschel, NJW 1994, 1709 f.), d.h. der größtmöglichen (in der Diktion des EuGH "vollen") Wirksamkeit des Gemeinschaftsrechts, und auf der Kooperationsvorschrift des Art.5 EG-Vertrag, welche eine Pflicht zur Gemeinschaftsloyalität bzw. -treue beinhaltet. (21) Vgl. zum Erfordernis der Bestimmtheit von Richtlinien EuGH, NJW 1992, 165 ff. (165) sowie NJW 1996, 1401 f.; s. zur Auslegung des europäischen Gemeinschaftsrechts P.Meyer, Jura (Juristische Ausbildung) 1994, 455 ff. (speziell zu den Besonderheiten der Auslegung S. 457 f.) und allgemein zur Handhabung unbestimmter Rechtsbegriffen und Generalklauseln auch K. Engisch, Einführung in das juristische Denken, 8.A. (1983), S. 106 ff. Instruktiv zum aktuellen Stand der Diskussion über das europäische Staatshaftungsrecht J. Bröhmer, JuS 1997, 117 ff. (120 ff.). (22) Vgl. dazu auch M. Weber, CR 1995, 297 ff. (298); kritisch dazu S. Simitis, in: Informationsgesellschaft und Rechtskultur in Europa, Informationelle und politische Teilhabe in der Europäischen Union, Hrsg. M.-Th. Tinnefeld/L. Philipps/S. Heil, 1995, S. 51 ff. (59). Hier spricht S. Simitis, resultierend aus der Datenschutzrichtlinie, von einem "racing to the bottom" für den Datenschutz. Neuerdings scheint S. Simitis die Situation für den europäischen Datenschutz wieder optimistischer zu sehen; vgl. ders., NJW 1997, 281 ff. (282, 287). (23) So St. Walz, CR 1991, 364 ff. (365). (24) Das Gesetz muß dabei so angelegt werden, damit jeweils neue Probleme bzw. Problemsituationen bewältigt werden können, damit den Problemstellungen auch entsprechende Problemlösungsversuche folgen. Durch die Richtlinie erhalten wir jetzt jedenfalls für das Datenschutzrecht neue, weil "schärfer gefaßte" Probleme; vgl. zu diesem wissenschaftstheoretischen Hintergrund K.R. Popper, Alles Leben ist Problemlösen: Über Erkenntnis, Geschichte und Politik, 1994, S. 15 ff. (31). Dennoch ist die Zukunft der "Informationstechnologie" "nicht voraussagbar". Dies gilt im übrigen für alle Bereiche, in denen radikale begriffliche Neuerungen stattfinden; vgl. dazu A. MacIntyre, Der Verlust der Tugend: Zur moralischen Krise der Gegenwart, 1995, S. 130 ff. (132) unter Bezugnahme auf K.R. Popper. Erforderlich ist von daher die Anwendung der Methode eines "konsequenten Fallibilismus". (25) S. näher dazu M. Piazolo, in: Arbeit in der mobilen Kommunikationsgesellschaft: Arbeits-, datenschutzrechtliche, wirtschaftliche und soziale Auswirkungen der Telearbeit, M.-Th. Tinnefeld/Kl. Köhler/ders. (Hrsg.), 1996, S. 52 ff. (26) Vgl. grundlegend zu den Geltungsmodalitäten moralischer Normen R. Alexy, Begriff und Geltung des Rechts, 2.A.(1994), S. 139 ff. (141 f.) sowie R. Zippelius, Recht und Gerechtigkeit in der offenen Gesellschaft, 1994, Kap. 11: Recht und Moral, S. 133 ff. Instruktiv zur Einbeziehung moralischer Aspekte und der dabei auftauchenden Problempunkte bei deren Anwendung für Fragestellungen der modernen Jurisprudenz E. Hilgendorf, ARSP 1996, 397 ff. (27) Dies bedeutet insbes., daß eine Erklärung bzw. Erläuterung der Richtlinie "ihren Zweck nur dann erfüllt", wenn vermieden wird, diejenigen Begriffe zu verwenden, die einer Erläuterung bedürfen; vgl. dazu E. Picardi, in: Die Wahrheit der Interpretation, Beiträge zur Philosophie Donald Davidsons, Herausgegeben von Eva Picardi und Joachim Schulte, 1990, Einleitung: Zu Davidsons Philosophie der Sprache, S. 7 ff. (8). (28) Vgl. H. Albert, Traktat über kritische Vernunft, 5.A. (1991), S. 13 ff.; vgl. auch S. 219 ff. S. ergänzend dazu M. Wächter, JuS 1986, 763 ff. (765) sowie W. Enderlein, Abwägung in Recht und Moral, 1992, S. 122 ff.; vgl. insbes. auch S. 156. (29) Vgl. grundlegend zur Betrachtung von Rechtsvorschriften als "Handlungsspielräume" L. Philipps, Der Handlungsspielraum: Untersuchungen über das Verhältnis von Norm und Handlung im Strafrecht, 1974, insbes. S. 15 ff. (Erster Teil: Norm und Handlungsspielraum) und 58 ff. (Zweiter Teil: Norm und Realität); vgl. auch S. 132 ff. (Dritter Teil: Norm und System). Die Richtlinie selbst wird vorliegend als ein "Stück Sprachverwendung" gesehen und aus der Perspektive ihrer Sprachlichkeit betrachtet. S. näher zu dieser methodischen Tendenz F. Haft, Juristische Rhetorik, 5.A. (1995), S. 117 f. Grundlegend dazu Th. Viehweg, Topik und Jurisprudenz, 5.A. (1974), S. 81 ff. sowie O. Ballweg, in: ders./Th.-M. Seibert (Hrsg.), Rhetorische Rechtstheorie, 1982, S. 27 ff.; s. ferner aber auch K. Sobota, Sachlichkeit, Rhetorische Kunst der Juristen, 1990, S. 1 ff. und 13 ff. und F. Haft, in: Jenseits des Funktionalismus, Arthur Kaufmann zum 65. Geburtstag, Hrsg. L. Philipps/H. Scholler, 1989, S. 21 ff. |
(30) A. Peczenik, Grundlagen der juristischen Argumentation, 1983, S. 5 ff. (6 f.). (31) Dies darf freilich nicht zu einer Reduzierung datenschutzrechtlicher Fragestellungen auf eine ökonomische Sichtweise führen. So aber erfolgt z.B. bei W. Kilian, Europäisches Wirtschaftsrecht, 1996, Rdnrn. 748 ff. (=S. 302 ff.). Vgl. demgegenüber den nach wie vor instruktiven Beitrag zum "Schutz vor Datenschutz" in Zeiten ökonomischer Spannungen H. Meister, DuD 1986, 173 ff. (32) Vgl. dazu für das BDSG 1990 G. F. Müller/M. Wächter, Der Datenschutzbeauftragte, Eine systematische Darstellung des Bundesdatenschutzgesetzes, 2.A. (1991), S. 333 ff. (33) S. dazu auch G.F. Müller/M. Wächter, Der Datenschutzbeauftragte, Eine systematische Darstellung des Bundesdatenschutzgesetzes, 2.A. (1991), S. 2. Vgl. zu den einzelnen Elementen der Rechtskonkretisierung im Verfassungsrecht Fr. Müller, Juristische Methodik, 6.A. (1995), S. 183 ff., 198 ff. sowie zu den Konflikten zwischen diesen Konkretisierungselementen S. 249 ff. (34) S. dazu S. Simitis, NJW 1997, 1902 f. (1903). (35) In letzteren Kontext gehören auch Fragestellungen der "Datenspur" bzw. des "Datenschattens". Denn die aufgrund soziologischer und kybernetischer Methoden erwiesene Rückwirkung einer Handlung auf die Persönlichkeitsentfaltung des Handelnden erfordert es, den Schutz des Art.2 Abs. 1 GG auch auf die jeweiligen Handlungsfolgen zu erstrecken. Demzufolge muß dem Handelnden auch ein Bestimmungsrecht über die Folgen seiner Handlung in der Umwelt zustehen, vgl. dazu auch O. Baller, in: Herausforderungen an das Recht der Informationsgesellschaft, Herausgegeben von A. Haratsch/D. Kugelmann/U. Repkewitz, 1996, S. 33 ff. (43 f.) sowie M.-Th. Tinnefeld, DuD 1996, 520 ff. (520: unter Hinweis auf "Peter Schlemihls wundersame Geschichte" von A. v. Chamisso). Ein diesbezüglich originelles Argument einer "informationellen Ökologie" mit Blick auf das Phänomen der "Informationsarmut" und des "Informationsüberflusses" führt J. N. Druey (in: Festschrift zum 65. Geburtstag von Mario. M. Pedrazzini, Hrsg. E. Brem/ders./E. A. Kramer/I. Schwander, 1990, S. 379 ff. (382 ff.)) ein. Das Phänomen Datenschutz würde demnach mit dem übermäßigen "Ausstoß" von Informationen zusammenhängen. Je größer das "Informationsangebot", desto größer wird nach diesem Theorieansatz auch das Risiko der "Informationsverschmutzung", d.h. das Risiko des Mißbrauchs von Daten. Bei der solchermaßen definierten "Datenschutzökologie" kann es heute freilich - so die Auffassung des Verfassers - nicht um eine "Ressourcenschonung", d.h. Reduzierung der Verarbeitung von personenbezogenen Daten per se gehen, sondern allenfalls um eine Reduzierung von Komplexität zur Beherrschung und Kontrolle der "Datenflut". (36) In diesem Sinne auch G. Runge, DuD 1997,453 ff. (457). (37) Diese Zielrichtung bedeutet auch eine Verstärkung eines systematischen Ansatzes für Datenschutz. Vgl. zu diesem generellen Befund auch A. Podlech, in: Festgabe für Hans Grüner, Beiträge zum Sozialrecht, hrsg. v. K. Brückner/G. Dalichau, 1982, S. 451 ff. (454 ff.). (38) S. dazu G.F. Müller/M. Wächter, Der Datenschutzbeauftragte, Eine systematische Darstellung des Bundesdatenschutzgesetzes, 2.A. (1991), S. 13. (39) S. dazu M. Wächter, Falsifikation und Fortschritt im Datenschutz: Qualitätsmanagement und Haftung im privaten Datenschutzrecht, 2000, S. 89. |
(40) Vgl. zu einem solchen Vorschlag G.F. Müller/M. Wächter, Der Datenschutzbeauftragte, Eine systematische Darstellung des Bundesdatenschutzgesetzes, 2.A. (1991), S. 175 ff. (183 f.: zur freiwilligen Benachrichtigung neuer Mitarbeiter). Nicht hilfreich ist hingegen die simple Festschreibung von Benachrichtigungspflichten durch "Überdehnung" gesetzlicher Vorschriften; vgl. dazu aber H. H. Wohlgemuth, Datenschutzrecht: Eine Einführung mit praktischen Fällen, 2.A. (1993), Rdnrn. 326 und 328 (=S. 119), der seinerseits M. Wächter, CR 1992, 558 ff. (558 f.) kritisiert, weil dieser "offenbar im Rahmen vertraglicher Beziehungen generell die Benachrichtigungspflicht wegen § 33 Abs. 2 Nr.1 BDSG verneint". Es hat allerdings nach Auffassung des Verfassers wenig Sinn, Mitarbeitern Rechte zuzuschreiben, die sie nach objektiv geltender Rechtslage nicht haben. Einen solchen Weg beschreitet neben H. H. Wohlgemuth auch W. Däubler, CR 1994, 754 ff. (758), wenn er schreibt: "Der einzelne Arbeitnehmer kann nach § 34 Abs. 1 S.1 BDSG jederzeit einen Ausdruck seiner Daten verlangen." Eine solche Aussage stiftet mehr Verwirrung als Rechtsklarheit. Hier sollten vielmehr im Rahmen des "Betriebsverhältnisses" zwischen Arbeitgeber und Betriebsrat Betriebsvereinbarungen als "Instrumente der Gesetzesinterpretation de lege ferenda" genutzt werden. Ferner sollten die Datenschutzbeauftragten in den Unternehmen dem Arbeitgeber freiwillige Maßnahmen empfehlen bzw. es sollte der Datenschutz arbeitnehmerfreundlich "ausgestaltet!" werden. Hilfreich sind hierbei in Konfliktsituationen ferner auch Verfahren der Beachtung eines rationalen Verhandlungskonzepts; vgl. dazu F. Haft, Verhandeln: Die Alternative zum Rechtsstreit, 1992, insbes. S. 69 ff. (Strukturdenken - der Weg zur rationalen Bewältigung von Komplexität in Verhandlungen), 108 ff. (Die Grundlagen des rationalen Verhandlungsmodells). (41) Vgl. zum Wegfall dieser formalen Unterscheidung im Rahmen der Betrachtung der EG-Datenschutzrichtlinie F. Kopp, RDV 1993, 1 ff. (4). (42) So auch Th. Hoeren, WM (Wertpapier Mitteilungen) 1994, 1 ff. (2 f.) und S. Lütkemeier, DuD 1995, 597 ff. (598). (43) Vgl. G. F. Müller/M. Wächter, Der Datenschutzbeauftragte, Eine systematische Darstellung des Bundesdatenschutzgesetzes, 2.A. (1991), S. 9. (44) S. näher dazu F. Bydlinski, Das Privatrecht im Rechtssystem einer "Privatrechtsgesellschaft", 1994, insbes. S. 59 ff., und zur Darstellung des rein etatistischen Rechtsmodells (des Rechtspositivismus) S.1-21. Vgl. zu rechtsethischen Grundsätzen als Bestandteil des Rechts und zur rechtswissenschaftlichen Systembildung auch ders., Über prinzipiell-systematische Rechtsfindung im Privatrecht, 1995, S. 9 ff. und 14 ff. (45) S. näher dazu F. Bydlinski, Fundamentale Rechtsgrundsätze: Zur rechtsethischen Verfassung der Sozietät, 1988, S. 31 ff. (33). Vgl. auch W. v. Simson, Der Staat als Teil und als Ganzes, 1993, S. S. 11 ff., 27 ff. und insbes. S. 64-96. (46) Vgl. dazu auch M. Wächter, DuD 1996, 200 ff. (202). (47) Vgl. dazu nur S. Lütkemeier, DuD 1995, 597 ff. (598). (48) So auch St. Smid, in: Rechtsphilosophische Hefte, Band I: Recht und Moral, 1992, S. 43 ff. (51). (49) S. dazu H.-M. Pawlowski, Methodenlehre für Juristen, 2.A. (1991), Rdnrn. 786 ff. (= S. 348 ff.); vgl. auch ders., JuS 1988, 441 ff. (442 f.). |
(50) Vgl. dazu M. Wächter, DuD 1994, 75 ff. (79 f. = These 8 des Beitrags); s. ferner St. Smid, in: Rechtsphilosophische Hefte, Band I: Recht und Moral, 1992, S. 43 ff. (52 f., 57 ff.) sowie zur allgemeinen Thematik K.-H. Ladeur, ARSP 69 (1983), 463 ff. (51) Vgl. dazu U. Brühann/Th. Zerdick, CR 1996, 429 ff. (430). (52) Vgl. auch Erwägungsgrund Nr. 12. (53) S. ausführlich dazu G. F. Müller/M. Wächter, Der Datenschutzbeauftragte, Eine systematische Darstellung des Bundesdatenschutzgesetzes, 2.A. (1991), Teil B: Pflichten der speichernden Stellen, S. 105 ff. (Zulässigkeiten: S. 105-175, Benachrichtigung: S. 175-184, Datensicherung: S. 184-215). (54) S. hierzu die allgemeinen Ausführungen von F. Kopp, DuD 1995, 204 ff. (208). (55) So auch F. Kopp, DuD 1993, 11 ff. (13). Vgl. näher zur Thematik der Fairneß im Datenschutz G.F. Müller/M. Wächter, Der Datenschutzbeauftragte, Eine systematische Darstellung des Bundesdatenschutzgesetzes, 2.A. (1991), S. 46 - 48 sowie grundlegend zu diesem Prinzip J. Rawls, Eine Theorie der Gerechtigkeit, 1990, S. 19 ff., 133 f. und 378 ff. Auch wenn sich dieses Prinzip nunmehr weitgehend etabliert hat, so ist doch auch zu bedenken, daß rechtsethische Prinzipien ganz generell immer auch die Moral eines besonderen sozialen und kulturellen Standpunkte ausdrücken; instruktiv zu diesem Befund A. MacIntyre, Der Verlust der Tugend: Zur moralischen Krise der Gegenwart, 1995, vgl. insbes. Postskript zur zweiten Auflage, S. 352 ff. (356). (56) Ganz dezidiert dagegen E. Laicher, DuD 1996, 409 ff. (412). (57) Vgl. aber Erwägungsgrund Nr. 27. Dort wird ausgeführt, daß Akten "nicht von vornherein" aus dem Anwendungsbereich der Richtlinie fallen, sondern nur manuelle Verarbeitungen solcher Daten, die nicht nach bestimmten Merkmalen zugänglich sind. (58) Dies räumt auch S. Simitis, NJW 1997, 281 ff. (283) ein, auch wenn er die Datenschutzrichtlinie zum Anlaß nimmt, die alte Abgrenzungsdiskussion zwischen Datei und Akte wieder aufzugreifen. (59) Vgl. auch Th. Hoeren, in: Computerrechts-Handbuch: Computertechnologie in der Rechts- und Wirtschaftspraxis, Herausgegeben von W. Kilian/B. Heussen, Teil 14: Multimedia-Recht, Stand: August 1996, Abschnitt 145 Rdnr.7. |
(60) Vgl. dazu auch Th. Hoeren, in: Computerrechts-Handbuch: Computertechnologie in der Rechts- und Wirtschaftspraxis, Herausgegeben von W. Kilian/B. Heussen, Teil 14: Multimedia-Recht, Stand: August 1996, Abschnitt 145 Rdnr. 8. (61) Stichworte hierzu sind gesetzgeberische Initiativen wie das Teledienstegesetz, das Signaturgesetz sowie das Telekommunikationsgesetz und der Medienstaatsvertrag. Vgl. zum Themenkreis "Cyberspace" und "virtuelle Welten" auch Fr. C. Mayer, NJW 1996, 1782 ff. Im übrigen leben wir heute in einer "Zeitenwende", in welcher wir neue Bilder der Wirklichkeit akzeptieren müssen; vgl. für das Recht G. Roellecke, NJW 1997, 432 ff. und im Hinblick auf die Naturwissenschaften F. Capra, Lebensnetz: Ein neues Verständnis der lebendigen Welt, 1996, insbes. S. 17 f., 29 ff. und 134 ff. (62) Kritisch zu dieser Vorgabe der Richtlinie im Hinblick auf eine mögliche Übernahme in das Datenschutzgesetz G. Rüpke, ZRP 1995, 185 ff. (188, 190). (63) Vgl. zu diesem Gesichtspunkt auch W. Seagle, Die Weltgeschichte des Rechts, 1967, insbes. S. 249 ff. (64) Vgl. zum geltenden Prinzip eines allgemeinen Schädigungsverbots, d.h. des "alterum non laedere" G. Schiemann, JuS 1989, 345 ff. (65) S. dazu R. Bachmeier, RDV 1995, 49 ff. (51), der einen Umsetzungsbedarf bei Art. 23 aus deutscher Sicht verneint. Vgl. auch I. Wind/M. Siegert, CR 1993, 46 ff. (53) sowie F. Kopp, DuD 1993, 11 ff. (14) und ders., RDV 1993, 1 ff. (8). (66) Vgl. J. Taeger, RDV 1996, 77 ff. (83) und ders., Außervertragliche Haftung für fehlerhafte Computerprogramme, 1995, S. 267 ff. (272 ff. und 316 f.); vgl. ergänzend dazu auch ders., CR 1996, 257 ff. (67) Vgl. bereits schon G.F. Müller/M. Wächter, DuD 1989, 239 ff. (241 f.). (68) Vgl. dazu G.F. Müller/M. Wächter, Der Datenschutzbeauftragte, Eine systematische Darstellung des Bundesdatenschutzgesetzes, 2.A. (1991), S. 287 ff. (293). (69) Instruktiv zu diesem Befund und den Grundlagen der sog. Gefährdungshaftung – freilich dort in einem anderen Haftungkontext – Cl. Luttermann, JZ 1998, 174 ff. (177 f.). |
(70) Vgl. BGHZ 79, 259 ff. (262 f.). Dort heißt es in Leitsatz a) auf S. 259: "Im Rahmen der reinen Gefährdungshaftung ist bei der Prüfung der sogenannten Adäquanz für verhaltensbezogene Zurechnungsmerkmale in der Regel kein Raum." (71) So auch I. Geis, CR 1993, 269 ff. (271, 273); s. auch ders., in: Der Datenschutzbeauftragte im Unternehmen: Funktion, Stellung, Berufsbild, hrsg. v. E. Ehmann, 1993, S. 63 ff. (69) im Hinblick auf Haftungsrisiken des Datenschutzbeauftragten. Im Ergebnis liegt das Haftungsrisko freilich bei der speichernden Stelle und nicht beim Datenschutzbeauftragten. Ihn trifft auch nicht die Beweislast in analoger Anwendung des § 8 BDSG; vgl. dazu aber M. Helfrich, CR 1992, 456 ff. (457 f.). (72) Bei § 1 Produkthaftungsgesetz dürfte allerdings die Haftungsvoraussetzung des Inverkehrbringens eines fehlerhaften Produkts stets ein Unrecht bedeuten. Dann handelt es sich hierbei im Grunde aber um eine verschuldensunabhängige Haftung aus rechtswidrigem Verhalten. (73) Vgl. dazu D. Medicus, Bürgerliches Recht, 17.A. (1996), Rdnrn. 604 und 631 ff. ( = S. 437 und 463 ff.). (74) S. dazu Chr. v. Bar, in: Festschrift für Hermann Lange zum 70. Geburtstag am 24. Januar 1992, herausgegeben von D. Medicus/H.-J. Mertens/K. W. Nörr/W. Zöllner, 1992, S. 373 ff. (385). (75) Vgl. näher zur Vorschrift des § 7 BDSG M. Wächter, DuD 1992, 402 f. sowie Th. Weichert, in: Computerrechts-Handbuch: Computertechnologie in der Rechts- und Wirtschaftspraxis, Herausgegeben von W. Kilian/B. Heussen, Teil 13: Datenschutz, Stand: Mai 1993, Abschnitt 133 Rdnr. 40. S. ferner auch zur rechtsdogmatischen Fundierung dieser Betrachtungsweise Chr. v. Bar, in: Festschrift für Hermann Lange zum 70. Geburtstag am 24. Januar 1992, herausgegeben von D. Medicus/H.-J. Mertens/K. W. Nörr/W. Zöllner, 1992, S. 373 ff. (390 f.). (76) Vgl. zur gesamteuropäischen Entwicklung des Haftungsrechts Chr. v. Bar, Gemeineuropäisches Deliktsrecht, Erster Band: Die Kernbereiche des Deliktsrechts, seine Angleichung in Europa und seine Einbettung in die Gesamtrechtsordnungen, 1996, , insbes. § 4 Vereinheitlichung und Angleichung von Deliktsrecht in der Europäischen Union, Rdnrn. 367 ff. (= S. 362 ff.). Zu diesen Entwicklungstendenzen instruktiv auch G. Brüggemeier, in: Die Präventivwirkung zivil- und strafrechtlicher Sanktionen. Beiträge zum VI. Travemünder Symposium zur ökonomischen Analyse des Rechts vom 25.-28.März 1998, hrsgg. von Claus Ott und Bernd Schäfer, 1999, S. 171 ff. (insbesondere zum Ersatz immaterieller Schäden bei Personenverletzungen S. 184 ff.). (77) Vgl. dazu H. Auernhammer, Bundesdatenschutzgesetz, Kommentar, 3.A. (1993), § 8 Rdnrn. 4 und 5 (=S. 134 f.). (78) Vgl. BGH, NJW-RR (Rechtsprechungsreport) 1994, 1437 f.: Danach läßt die Rechtsordnung bei Persönlichkeitsverletzungen, die wegen mangelnder Schwere keinen Schmerzensgeldanspruch rechtfertigen, keine anderweitige Sanktion zu. (79) Kritisch dazu allerdings B.-R. Kern, AcP (Archiv für die civilistische Praxis) 191 (1991), 247 ff. (256 ff. und insbes. 262-267, 268-272). |
(80) S. dazu BGH, NJW 1996, 984 f. (Caroline von Monaco) sowie OLG Bremen, NJW 1996, 1000 f. (Willi Lemke); s. ferner dazu auch die Beiträge von M. Prinz, NJW 1996, 953 ff. und J. Frömming/B. Peters, NJW 1996, 958 ff. (81) Ausführlich dazu J. Rosengarten, NJW 1996, 1935 ff. (82) Dies ist in Übereinstimmung mit BGH, NJW 1996, 984 f. (985). (83) Vgl. dazu BVerfG, NJW 1973, 1221 ff. (1223 f.). (84) E. Steffen, NJW 1997, 10 ff. (10). (85) Vgl. aber zur diesbezüglichen Zurückhaltung der Bürger im Bereich des öffentlichen Datenschutzes, insbes. was die "Prozeßfreudigkeit" anbelangt, Kl. Vogelgesang/E. Vogelgesang, CR 1996, 752 ff. (753 f.). (86) A. Podlech, in: Festgabe für Hans Grüner, Beiträge zum Sozialrecht, hrsg. v. K. Brückner/G. Dalichau, 1982, S. 451 ff. (460). (87) Ausführlich dazu G. F. Müller/M. Wächter, Der Datenschutzbeauftragte, Eine systematische Darstellung des Bundesdatenschutzgesetzes, 2.A. (1991), S. 36 ff. (88) Vgl. dazu auch H. H. Wohlgemuth, BB 1996, 690 ff. (694). (89) Vgl. dazu F. Kopp, in: Arbeit in der mobilen Kommunikationsgesellschaft: Arbeits-, datenschutzrechtliche, wirtschaftliche und soziale Auswirkungen der Telearbeit, M.-Th. Tinnefeld/Kl. Köhler/M. Piazolo (Hrsg.), 1996, S. 243 ff. |
(90) Vgl. dazu M. Weber, CR 1995, 297 ff. (301), die als spezialgesetzliche Regelungen hierzu § 7 Nr.5 Melderechtsrahmengesetz, § 76 Abs. 2 Nr.1 Sozialgesetzbuch X und § 3 Abs. 2 S.2 Krebsregistergesetz nennt. (91) Vgl. auch Erwägungsgrund Nr. 46. (92) Vgl. BVerfGE 65, 1 ff.; und dazu M.-Th. Tinnefeld/E. Ehmann, Einführung in das Datenschutzrecht, 2.A. (1994), S. 32 ff. (93) S. zum Spannungsfeld Informationsverarbeitungssicherheit, Datenschutz und Qualitätsmanagement A. Büllesbach, RDV 1995, 1 ff., der als Voraussetzung für einen verantwortbaren Einsatz von Informationstechnik die Installation eines "IV-Sicherheitsmanagements" sieht. Ein solches IV-Sicherheitsmanagement soll als gestalterisches Element für den Datenschutz die Entwicklung der Informationsgesellschaft in "technikzugewandter Weise" begleiten. S. zur Evaluierung und Zertifizierung von Produkten und Systemen sowie deren Einsatz unter dem Gesichtspunkt des Sicherheitsmanagements auch A. Sommer, in: Computerrechts-Handbuch: Computertechnologie in der Rechts- und Wirtschaftspraxis, Herausgegeben von W. Kilian/B. Heussen, Teil 15: Datenkommunikations- und Datensicherheit, Stand: August 1996, Abschnitt 152. (94) S. zur Thematik Individualdatenschutz-Systemdatenschutz A. Podlech, in: Festgabe für Hans Grüner, Beiträge zum Sozialrecht, hrsg. v. K. Brückner/G. Dalichau, 1982, S. 451 ff.: Danach bedeutet Systemdatenschutz eine "strukturelle", d.h. systemanalytische Ergänzung des individuellen Rechtsschutzes von Betroffenen (vgl. S. 451 f.). Zentrale Bedeutung kommen hierbei den Prinzipien der Rechtmäßigkeit und der Zweckbindung zu. Vgl. zum Prinzip der Datenvermeidung, der Anonymisierung bzw. Pseudonymisierung und Transparenz ferner auch §§ 3, 4 und 6 TDDSG. Dieser Ansatz führt auch hin zu einer Betrachtung von gesellschaftlichen Folgen der Datenverarbeitung. Vgl. ferner zur rechtstheoretischen Fundierung systemtheoretischer Ansatzpunkte, welche für den Datenschutz fruchtbar gemacht werden könnten, A. Büllesbach, in: Einführung in Rechtsphilosophie und Rechtstheorie der Gegenwart, Arth. Kaufmann/W. Hassemer (Hrsg.), 6.A. (1994), S. 371 ff. (95) Die nach § 1 Abs. 1 BDSG zu schützende "Persönlichkeit" bedeutet eine relativ umfängliche Vorstellung der menschlichen Individualität und ist damit weniger "äußere Aktion", als ein "innerer Vorgang"; vgl. dazu M. Morlok, Selbstverständnis als Rechtskriterium, 1993, S. 70 f.; vgl. zur Entwicklung des allgemeinen Persönlichkeitsrechts auch H.-E. Brandner, JZ 1983, 689 ff. und zu dessen Struktur H. Ehmann, JuS 1997, 193 ff. (96) Konzis dazu F. Haft, Strafrecht, Besonderer Teil: Die wichtigsten Tatbestände des Besonderen Teiles des Strafgesetzbuches, 6.A. (1997), S. 67 f. (97) S. näher zur Frage des Rechtsguts im Datenschutzrecht M. Wächter, DuD 1994, 75 ff. (98) Vgl. hierzu bereits Wächter, DuD 1996, 272 ff. Zu diesem Vorschlag einer technischen Umsetzung der Vorschriften des Datenschutzrechts bemerkt J.-R. Sieckmann in einem Schreiben v. 6.1.1997 an den Verfasser, daß er zwar keine Einwände gegen eine solche Vorgehensweise habe. Eigens zu lösen seien aber seines Erachtens nach wie vor "Grenzprobleme", wie die Struktur moralischer Autonomie, die Entwicklung von Konzeptionen eines guten Lebens oder die Gewichtung von Interessen. Dieser Einwand von J.-R. Sieckmann ist richtig und auch von grundlegender Bedeutung. Um diesem Einwand zu begegnen, hält der Verfasser auch die Sicherstellung von Prinzipien im Datenschutz als Problem des Schutzes der Persönlichkeit eines jeden Einzelnen bei der automatisierten Verarbeitung seiner Daten für unabdingbar. Im Rahmen ihrer Umsetzung bei der Rechtsfindung imDatenschutz kann diesem Erfordernis entsprochen werden. (99) Vgl. G.F. Müller/M. Wächter, Der Datenschutzbeauftragte, Eine systematische Darstellung des Bundesdatenschutzgesetzes, 2.A. (1991), S. 184 ff. ; und vertiefend dazu A. Sommer/P. Mertes, in: Computerrechts-Handbuch: Computertechnologie in der Rechts- und Wirtschaftspraxis, Herausgegeben von W. Kilian/B. Heussen, Teil 15. Datenkommunikations- und Datensicherheit, Stand: August 1996, Abschnitte 150 bis 153. Zu den Perspektiven der Datensicherheit s. ferner auch M. Choc, in: Datensicherheit und Datenschutz: Technische und rechtliche Persepktiven, P. Fleissner/ders. (Hrsg.), 1996, S. 393 ff. |
(100) S. dazu im Hinblick auf die straf- und zivilrechtliche Verantwortlichkeit des Access Providers im Zusammenhang mit der Multimedia-Thematik Th. Hoeren, in: Computerrechts-Handbuch: Computertechnologie in der Rechts- und Wirtschaftspraxis, Teil 14: Multimedia-Recht, Stand: August 1996, Abschnitt 145 Rdnr. 16. (101) S. dazu St. Ernst, JuS 1997,776 ff.; vgl. auch R. Grimm, DuD 1995, 715 ff.; s. zu den datenschutzrechtlichen Aspekten I. Geis, NJW 1997, 288 ff. sowie Cl. D. Müller-Hengstenberg, NJW 1996, 1777 ff. (1782), insbes. zu Aspekten des Strafrechts E. Hilgendorf, NJW 1997, 1878 ff. sowie R. Derksen, NJW 1997, 1878 ff. (102) Vgl. zur Kryptographie in der zivilen Informationsgesellschaft J. Bizer, in: Arbeit in der mobilen Kommunikationsgesellschaft: Arbeits-, datenschutzrechtliche, wirtschaftliche und soziale Auswirkungen der Telearbeit, M.-Th. Tinnefeld/Kl. Köhler/M. Piazolo (Hrsg.), 1996, S. 285 ff.; vgl. ferner auch K. Rihaczek, DuD 1996, 596 ff. (103) Vgl. zur Konzeption der Auftragsdatenverarbeitung nach BDSG 1990 G. F. Müller/M. Wächter, Der Datenschutzbeauftragte, Eine systematische Darstellung des Bundesdatenschutzgesetzes, 2.A. (1991), S. 261 ff. (104) Die Erweiterung der Datenverarbeitung im Auftrag auf grenzüberschreitende Auftragsdatenverarbeitung wird auch den Realitäten besser gerecht; vgl. zu diesem empirischen Befund nur R. Ellger, RabelsZ (Rabels Zeitschrift für ausländisches und internationales Privatrecht; Ernst-Joachim Mestmäcker zum 70. Geburtstag), Band 60 (1996), 738 ff. (741). (105) Vgl. U. Brühann/Th. Zerdick, CR 1996, 429 ff. (430). (106) Vgl. zur im Jahr 1993 vehement geführten Diskussion um die Institution des Datenschutzbeauftragten und seiner Perspektive in Europa E. Ehmann und I. Geis, in: Der Datenschutzbeauftragte im Unternehmen: Funktion, Stellung, Berufsbild, hrsg. von Eugen Ehmann, 1993, S. 1 ff. und 15 ff.; vgl. auch J. Schneider, CR 1993, 35 ff. (38). (107) S. ausführlich dazu G. F. Müller/M. Wächter, Der Datenschutzbeauftragte, Eine systematische Darstellung des Bundesdatenschutzgesetzes, 2.A. (1991), S. 42 ff. (43 ff. und insbes. 48-51). (108) S. näher zu den Einzelheiten M. Weber, DuD 1995, 698 ff. (109) Vgl. dazu bereits schon R. Ellger, RDV 1991, 57 ff., 121 ff. |
(110) S. dazu R. Ellger, in: Datenschutz im europäischen Umfeld, Hrsg. R. H. Weber/D. Thürer/R. Zäch, 1995, S. 1 ff. (41-43). (111) Vgl. dazu und zum Folgenden auch Erwägungsgründe Nr. 57 bis 60. (112) So auch Th. Hoeren, in: Computerrechts-Handbuch: Computertechnologie in der Rechts- und Wirtschaftspraxis, Herausgegeben von W. Kilian/B. Heussen, Teil 14: Multimedia-Recht, Stand: August 1996, Abschnitt 145, Rdnr. 18. (113) Zu unterscheiden sind hierbei Verträge zwischen Übermittlern und Empfängern in Länder ohne angemessenes Datenschutzniveau von vertraglichen Vereinbarungen des Betroffenen mit dem Übermittler selbst; vgl. zu letzterer Variante Art. 26 Abs. 1 b). (114) S. dazu R. Ellger, RabelsZ 60 (1996), 738 ff. (764). Die Beantwortung der Frage, ob der Dritte das Recht erwirbt, also ob ein echter Vertrag zugunsten Dritter vorliegt, ist im Wege der Auslegung des Willens der Vertragspartner zu ermitteln; vgl. näher dazu H. Heinrichs, in: Palandt, Bürgerliches Gesetzbuch, 56. A. (1997), § 328 Rdnr. 1 (= S. 419 f.). S. ferner dazu konkret zur Datenschutzthematik - in kritischer Sicht - auch E. Ehmann, CR 1991, 234 ff. (115) Vgl. dazu D. Medicus, Bürgerliches, 17.A. (1996), Rdnr. 681 (=S. 508). (116) S. insgesamt zur Frage der "ausreichenden Garantien" für den Privatsphäreschutz nach Art. 26 Abs. 2 Ellger, RabelsZ 60 (1996), 738 ff. (752 ff.: allgemein; 755-759 und 769 f.: durch Vertrag). Im Ergebnis hält R. Ellger die Vertragslösung für nicht geeignet, das Fehlen eines Datenschutzgesetzes im Empfängerland auszugleichen. Der Begriff "ausreichende Garantien" i.S.v. Art. 26 Abs. 2 ist seines Erachtens deshalb bei vertraglichen Vereinbarungen "eng zu interpretieren". (117) Vgl. zur Kritik der Vertragslösung S. Simitis, in: ders./U. Dammann/H. Geiger/O. Mallmann/St. Walz, Kommentar zum Bundesdatenschutzgesetz, 4.A. (1992 ff.), § 1 Rdnr. 100. (118) Vgl. zu einem solchen Vorschlag R. Ellger, RabelsZ, Band 60 (1996), 738 ff. (764). (119) S. zum Meinungsstand 1992 H.-J. Ordemann/R. Schomerus/P. Gola, Bundesdatenschutzgesetz mit Erläuterungen, 5.A. (1992), § 28 Rdnr. 8.1. (= S. 346 f.); s. ferner G. F. Müller/M. Wächter, Der Datenschutzbeauftragte, Eine systematische Darstellung des Bundesdatenschutzgesetzes, 2.A. (1991), S. 11 f. ,168 ff. und M. Körner-Dammann, RDV 1993, 14 ff. (17 f.). Vgl. auch H.H. Wohlgemuth, BB 1996, 690 ff. (694), der allerdings (in praxisferner Sicht) die Übermittlung in Drittstaaten nur für den Fall der Anwendung einer gesetzlichen Regelung anerkennen möchte, obwohl die Adäquanzregelung nach Art. 25 Abs. 2 Alternativen zuläßt. |
(120) So Th. Hoeren, DuD 1996, 542 ff. (547); vgl. zum Ganzen auch R. Ellger, CR 1994, 558 ff. (564 f.) sowie N. Lavranos, DuD 1996, 400 ff. (403). (121) Vgl. auch Erwägungsgrund Nr.61; kritisch zu solchen Regeln aber S. Simitis, in: ders./U. Dammann/H. Geiger/O. Mallmann/St. Walz, Kommentar zum Bundesdatenschutzgesetz, 4.A. (1992 ff.), § 1 Rdnr. 157. (122) S. dazu Kl.-Ph. Seif, Daten vor dem Gewissen, Die Brisanz der personenbezogenen Datenverarbeitung, 1986, S. 107 ff. sowie G. F. Müller/M. Wächter, Der Datenschutzbeauftragte, Eine systematische Darstellung des Bundesdatenschutzgesetzes, 2.A. (1991), S. 41 -43; vgl. auch R. Funiok und K. Weis, in: Arbeit in der mobilen Kommunikationsgesellschaft: Arbeits-, datenschutzrechtliche, wirtschaftliche und soziale Auswirkungen der Telearbeit, M.-Th. Tinnefeld/Kl. Köhler/M. Piazolo (Hrsg.), 1996, S. 18 ff. und 31 ff. (123) S. dazu den Überblick bei R. Dreier, ARSP 1995, 155 ff. Vgl. zu "Wegen und Holzwegen" zur Gerechtigkeit auch R. Zippelius, in: Einheit und Vielfalt der Rechtsordnung, Festschrift zum 30jährigen Bestehen der Münchener Juristischen Gesellschaft, Herausgegeben vom Vorstand der Münchener Juristischen Gesellschaft e.V., 1996, S. 333 ff. (124) Instruktiv dazu I. Geis, NJW 1997, 288 ff. (292 f.); kritisch demgegenüber S. Simitis, in: ders./U.Dammann/H.Geiger/O. Mallmann/St. Walz, Kommentar zum Bundesdatenschutzgesetz, 4.A. (1992 ff.), § 1 Rdnr. 157, der in diesen Prinzipien die Gefahr der Umgehung von Rechtsvorschriften sieht. (125) S. dazu M. Wächter, in: Arbeit in der mobilen Kommunikationsgesellschaft: Arbeits-, datenschutzrechtliche, wirtschaftliche und soziale Auswirkungen der Telearbeit, M.-Th. Tinnefeld/Kl. Köhler/M. Piazolo (Hrsg.), 1996, S. 72 ff. (74-76). (126) Vgl. dazu Erwägungsgrund Nr. 10. (127) Vgl. zu dieser Thematik vor dem Hintergrund der Fragestellung, ob Europa eine Verfassung benötigt A.Heldrich/H. Eidenmüller, D. Grimm, J. Habermas und J.H.H. Weiler, in: Informationsgesellschaft und Rechtskultur in Europa: Informationelle und politische Teilhabe in der Europäsichen Union, Hrsg. M.-Th. Tinnefeld/L. Philipps/S. Heil, 1995, S. 203 ff., 211 ff., 231 ff. und 236 ff. (128) Ausführlich zu den einzelnen Beschränkungen der Dienstleistungsfreiheit W. Hakenberg, in: EG-Vertrag: Kommentar zu dem Vertrag zur Gründung der Europäischen Gemeinschaften, hrsg. von Carl Otto Lenz, 1994, Art. 59 und 60, Rdnrn. 19 ff. und Rdnrn. 31 - 34 speziell zur Frage der Beschränkung der Dienstleistungsfreiheit aufgrund des Rechtfertigungstatbestandes der "zwingenden Gründe des Allgemeininteresses". Vgl. zu dieser Vorschrift auch R. Geiger, EG-Vertrag: Kommentar zu dem Vertrag zur Gründung der Europäischen Gemeinschaft, 2.A. (1995), Art. 59; vgl. insbes. Rdnr. 5. (129) Vgl. dazu H. Burkert, CR 1988, 751 ff. |
(130) So auch G. Runge, DuD 1996, 261 ff. (263). (131) Vgl. Erwägungsgrund Nr. 38. (132) S. dazu auch P. Sieber, DuD 1996, 661 ff. Vgl. grundlegend zur Installation eines Qualitätsmanagement-Systems mit 6-Stufen-Konzept W. Brakhahn/U. Vogt, ISO 9000 für Dienstleister: schnell und effektiv zum Zertifikat, 1996, insbes. S. 178 ff. (133) Anderer Ansicht allerdings M. Weber, CR 1995, 297 ff. (298), die (nach Vorliegen des Referentenentwurfs wohl berechtigterweise) davon ausgeht, daß der Status der Aufsichtsbehörden der Länder unverändert beibehalten bleibt. Vgl. kritisch zum status quo der Befugnisse von Aufsichtsbehörden St. Walz, in: Arbeit in der mobilen Kommunikationsgesellschaft: Arbeits-, datenschutzrechtliche, wirtschaftliche und soziale Auswirkungen der Telearbeit, M.-Th. Tinnefeld/Kl. Köhler/M. Piazolo (Hrsg.), 1996, S. 234 ff. (134) Vgl. dazu U. Brühann, RDV 1996, 12 ff. (16). (135) Vgl. auch Erwägungsgrund Nr. 63. (136) So U. Brühann, RDV 1996, 12 ff. (16). (137) P. Feyerabend, Wider den Methodenzwang, 5.A. (1995), insbes. S. 21 ff. (138) Instruktiv dazu Th. Schlapp, Theorienstrukturen und Rechtsdogmatik. Ansätze zu einer strukturalistischen Sicht juristischer Theoriebildung, 1989, S. 81 ff. (Das strukturalistische Theorienkonzept), 122 ff. (Juristische Dogmatik in strukturalistischer Sicht) und 175 ff. (Das strukturalistische Dogmatikkonzept in Aktion). (139) Die Anwendung dieses Schemas bedeutet die "Rationalität der Wissenschaften" auf das Recht anzuwenden; vgl. W. Krawietz, Rechtstheorie 15 (1984), 423 ff. (434 ff.). S. näher dazu U. Neumann, in: Festschrift für Günther Jahr zum siebzigsten Geburtstag, Vestigia iuris, Herausgegeben von M. Martinek/J. Schmidt/E. Wadle, 1993, S. 157 ff.; vgl. auch G.H. v. Wright, Erklären und Verstehen, 3.A. (1991), S. 27 ff., 42 ff. sowie neuerdings U. Charpa, Grundprobleme der Wissenschaftsphilosophie, 1996, S. 155 ff., 168 ff. Allerdings nimmt K.R. Popper für sich Anspruch, Urheber dieser Theorie, wie er sie bezeichnet, der "kausalen Erklärung" zu sein. Darauf weist K.R. Popper den Verfasser in einem Schreiben v. 4.11.1986 hin. Nachzulesen ist dieses Faktum auch bei G.H. v. Wright, Erklären und Verstehen, 3.A. (1991), S. 35 Fußn. 35 (=S. 155). |
(140) Bei einer solchen "interdisziplinären Basisdiskussion" zur Verbesserung von Datenschutz geht es bei grundlegenden Fragestellungen um die Herstellung von Intersubjektivität und Konsens, Wahrheit und Gerechtigkeit; vgl. zu den hierfür für die Jurisprudenz aktuell vorgeschlagenen Lösungskonzepten M. R. Deckert, ARSP 1996, 43 ff. (44 ff., 52 ff.); instruktiv zur diesbezüglichen Nutzung einer "experimentierenden Methode" im Recht R. Zippelius, Recht und Gerechtigkeit in der offenen Gesellschaft, 1994, Kap.1: Die experimentierende Methode im Recht, S. 21 ff. (27 ff.: Probe der Wirksamkeit von Rechtsvorschriften, 31 ff.: Probe der Gerechtigkeit, und 35 ff.: Probe der "Systemverträglichkeit"). S. im übrigen zu verfassungstheoretischen Implikationen dieser Fragestellung auch P. Häberle, Wahrheitsprobleme im Verfassungsstaat, 1995, S. 79 ff. (141) So auch F. Haft, in: Festschrift für Helmut Schippel zum 65. Geburtstag, Herausgegeben von der Bundesnotarkammer, 1996, S. 35 ff. (57 ff.). Anderer Ansicht ist allerdings S. Simitis, NJW 1997, 281 ff. (285), wenn er als einen "Eckwert" der Richtlinie die Reduktion der Verarbeitung auf das "Unvermeidbare"(?) bezeichnet. (142) Instruktiv zu diesem Phänomen R. Ellger, CR 1993, 2 ff. (3); s. ferner auch S. Simitis, in: ders./U.Dammann/H. Geiger/O. Mallmann/St.Walz, Kommentar zum Bundesdatenschutzgesetz, 4. A. (1992 ff.), § 1 Rdnr. 161. (143) So P. Dippoldsmann, KJ (Kritische Justiz) 1994, 369 ff. (370) in kritischer, z.T. allerdings sehr polemischer Betrachtung des EG-Datenschutzrechts. (144) Instruktiv zu diesem Aspekt R. H. Weber, Wege nach Europa: Rechtliche Regelungsstrukturen für Verkehrsordnungen und Information Highways, 1996, insbes. S. 35 ff. (145) So aber völlig unverständlich W. Kilian, Europäisches Wirtschaftsrecht, 1996, der Datenschutzrecht nach der Richtlinie (nur) als "materielles Verbraucherschutzrecht" (Rdnr. 814 = S. 323) betrachtet. Für ihn ist nach europäischem Datenschutzrecht der Schutz der Persönlichkeit im Binnenmarkt auch kein Anliegen (Rdnr. 751 = S. 303). (146) Vgl. dazu Erwägungsgrund Nr.2. (147) In diesem Sinne konkretisiert die Richtlinie die im Übereinkommen des Europarats v. 28.1.1981 niedergelegten Grundsätze auf Achtung der Privatsphäre; vgl. dazu Erwägungsgrund Nr.11. Vgl. zur Konvention des Europarats zum Datenschutz auch H. Burkert, CR 1988, 751 ff. sowie zum Spannungsverhältnis zwischen der EG-Datenschutzrichtlinie und der Datenschutzkkonvention des Europarats auch R. Ellger, CR 1994, 558 ff. (148) Vgl. ausführlich dazu G. F. Müller/M. Wächter, DuD 1994, 191 ff. (149) Vgl. auch Erwägungsgrund Nr. 27. |
| * Dr. Michael Wächter ist Leiter Vertragswesen und -durchführung und Justitiar der BRAIN International AG Software & Consulting. Seit 1988 befaßt sich der Autor im Schwerpunkt mit Fragen des EDV-Rechts, insbesondere des Datenschutzrechts und des Arbeitsrechts. Der Autor hat im Jahr 1998 an der Universität Tübingen bei Prof. Dr. Fritjof Haft mit "summa cum laude" zum Datenschutzrecht promoviert. Der Verfasser ist Mitautor des Werks "Der Datenschutzbeauftragte", C.H. Beck, 2. Aufl. 1991, gemeinsam mit Diplom-Kaufmann Gerhard F. Müller. Eine Neuauflage des Werks ist in Vorbereitung. |
| [online seit: Teil I (Abs. 1 - 85) online seit 29.05.2000 Teil II (Abs. 86 - 139) online seit 05.06.2000] |
| Zitiervorschlag: Autor, Titel, JurPC Web-Dok., Abs. |
| Zitiervorschlag: Wächter, Michael, Wie ist im Datenschutz ein Fortschritt erreichbar? Teil I: Methodische Überlegungen, Allgemeiner Teil des BDSG - JurPC-Web-Dok. 0085/2000 |
