DATENSCHUTZ

Datenschutz,

 

der Schutz des Einzelnen vor Beeinträchtigungen seiner Persönlichkeitsrechte durch den missbräuchlichen Umgang mit auf seine Person bezogenen Daten (Rechtskonstrukt der »informationellen Selbstbestimmung«). Der Schutz der Daten selbst (etwa vor absichtlichem oder unabsichtlichem Löschen) wird in Abgrenzung dazu als Datensicherung bezeichnet.

 

Das Problem des Datenschutzes und die Entwicklung eines eigenen damit befassten Rechtsgebiets ergab sich erst in der zweiten Hälfte des vergangenen Jahrhunderts, als es möglich wurde, durch maschinelle Datenverarbeitung personenbezogene Informationen schnell und einfach zusammenzustellen und zu manipulieren.Die dabei auftretenden Missbrauchsmöglichkeiten bestehen vor allem im Erstellen sog. Persönlichkeitsprofile sowie der nicht autorisierten Weitergabe von Informationen. In diesem Zusammenhang tauchte in den 1960er- und 1970er-Jahren das Schreckbild vom allgegenwärtigen »Überwachungsstaat« auf, aber auch Firmen können aus der Kenntnis personenbezogener Daten (illegalen) Nutzen ziehen, z. B. Banken und Versicherungen oder Versandhandelsunternehmen.

 

Das Verlangen nach informationeller Selbstbestimmung wurde zuerst in den 1960er-Jahren in den USA formuliert, im Oktober 1970 wurde in Hessen das weltweit erste Datenschutzgesetz verabschiedet; andere Bundesländer folgten. 1977 wurde dann das erste Bundesdatenschutzgesetz (BDSG) beschlossen. 1990 kam es zu einer vollständigen Neuformulierung des BDSG, welche die Erhebung, Verarbeitung und Nutzung personenbezogener Daten sowohl durch öffentliche als auch - in eingeschränktem Maß - durch nicht öffentliche Stellen regelt. In vielen weiteren Gesetzen finden sich heute Datenschutzbestimmungen, so im Sozialgesetzbuch, im Melderechtsrahmengesetz, in den Gesetzen über Polizei und Verfassungsschutz sowie im Straßenverkehrsrecht. Auf europäischer Ebene enthält u. a. das Schengener Abkommen von 1995 Datenschutzbestimmungen. Eine wichtige Rolle in der Entwicklung des Datenschutzrechts in Deutschland spielte das sog. Volkszählungsurteil des Bundesverfassungsgerichts aus dem Jahr 1983. Darin wurde erstmals ein Grundrecht auf informationelle Selbstbestimmung direkt aus dem Grundgesetz abgeleitet.

 

Die Grundregel im heutigen Datenschutzrecht ist, dass Verarbeitung und Nutzung von personenbezogenen Daten nur aufgrund einer Einwilligung des Betroffenen oder einer gesonderten gesetzlichen Erlaubnis oder Anordnung zulässig sind. Öffentliche Stellen dürfen Daten nur dann erheben, wenn dies zur Erfüllung ihrer Aufgaben erforderlich ist. Der Betroffene ist über die Erhebung zu informieren, die Daten müssen direkt bei ihm aufgenommen werden. Für die gespeicherten Daten ist ein Auskunftsrecht gesetzlich vorgeschrieben. Im nicht öffentlichen Bereich sind nur die kommerzielle Datensammlung und -nutzung geregelt, private Informationssammlung wird rechtlich nicht erfasst. Auch hier gibt es Einschränkungen der Gründe für eine kommerzielle Erhebung privater Daten sowie Benachrichtigungs- und Auskunftsverpflichtungen.

 

Die Einhaltung der Datenschutzbestimmungen wird von Datenschutzbeauftragten auf Bundes- und Landesebene überwacht. Auch Firmen müssen i. d. R. Datenschutzbeauftragte ernennen, wenn mindestens fünf Mitarbeiter ständig mit der Verarbeitung von personenbezogenen Daten beschäftigt sind.

 

Im Gegensatz zu den heftigen Diskussionen vor allem der 1980er-Jahre ist die Notwendigkeit des Datenschutzes heute weitgehend anerkannt. Allerdings ergeben sich durch die enorme Leistungssteigerung sowohl im Bereich der Datenverarbeitung als auch der Telekommunikation und der zunehmenden globalen Vernetzung neue Gefährdungen.

 

 

 

Befinden sich auf einer Diskette gelöschte Dateien, sollte der Datenträger nicht an andere weitergegeben werden, sofern die Inhalte vertraulich waren. Die Dateien können sich noch unbeschädigt auf der Diskette befinden, denn beim üblichen Löschen wird nur das erste Zeichen des Namens durch ein Löschzeichen ersetzt. Die Datei lässt sich danach noch mit speziellen Programmen bzw. Betriebssystembefehlen wiederherstellen. Ein ähnliches Problem entsteht bei der Schnellformatierung. Erst eine vollständige Formatierung bietet einen weitgehenden Datenschutz.

Datenschutz,

 

Inbegriff aller Regelungen, Maßnahmen und Vorkehrungen, die dem Schutz des Einzelnen davor dienen, durch die unzulässige Verarbeitung der Informationen über ihn (personenbezogene Daten) in seinem als Grundrecht gewährleisteten Persönlichkeitsrecht (insoweit als »Recht auf informationelle Selbstbestimmung« bezeichnet) verletzt zu werden. Das allgemeine Persönlichkeitsrecht ist vom Bundesverfassungsgericht (BVerfG) aus dem im GG als tragendem Konstitutionsprinzip festgeschriebenen Recht auf Achtung der Würde des Menschen (Art. 1) und aus dem in Art. 2 garantierten Recht auf freie Entfaltung der Persönlichkeit entwickelt worden. Es sichert jedem Einzelnen einen autonomen und unausgeforschten Bereich privater Lebensgestaltung, in dem er seine Individualität entwickeln und wahren kann. Ein Teilbereich dieses Persönlichkeitsrechts ist das Grundrecht auf informationelle Selbstbestimmung, wie es vom BVerfG in seiner Entscheidung zum Volkszählungsgesetz (»Volkszählungsurteil« vom 15. 12. 1983) garantiert wurde. Dieses gewährleistet die Befugnis des Einzelnen, grundsätzlich selbst über die Preisgabe und Verwendung der ihn betreffenden Informationen, also seiner persönlichen Daten zu bestimmen (z. B. Landesverfassung von Berlin, Brandenburg, Mecklenburg-Vorpommern, Saarland, Sachsen, Sachsen-Anhalt, Thüringen). Geschützt sind alle Informationen über eine Person; ihre Anzahl ist unüberschaubar. Eine Information ist bereits dann ein personenbezogenes Datum, wenn die natürliche Person, auf die sich die Aussage bezieht (Betroffener), zwar nicht ausdrücklich genannt ist, jedoch mit Zusatzwissen bestimmt werden kann. Informationen über juristische Personen des öffentlichen und privaten Rechts haben oft einen Personenbezug. Sie werden darüber hinaus in besonderen Fällen als Betriebsgeheimnisse geschützt.

 

Dem Schutz der Daten dienen rechtliche Regelungen und der technische Datenschutz. Rechtlich bewirkt das Grundrecht, dass öffentliche Stellen personenbezogene Daten nur auf normenklarer Rechtsgrundlage zu vorher bestimmten Zwecken verarbeiten dürfen. Fast die gesamte Verwaltungstätigkeit wird damit gesetzlich gebunden. Ferner müssen organisatorische und technische Schutzmaßnahmen getroffen und die Rechte des Betroffenen gewahrt werden: Er hat Anspruch auf Auskunft, unter Umständen auf Benachrichtigung und gegebenenfalls auf Berichtigung, Sperrung oder Löschung der Daten, ferner auf Anbringung von Widerspruchsvermerken (z. B. §§ 19 folgende BDSG). Er kann sich dazu der Hilfe einer unabhängigen Datenschutzkontrollbehörde bedienen, die daneben die Aufgabe hat, die öffentlichen Stellen zu beraten und zu kontrollieren. Technischer Datenschutz besteht in Maßnahmen und Vorkehrungen zur Sicherung des technischen Datenverarbeitungsvorgangs vor unbefugter Einwirkung. Hierzu gehören z. B. die Vergabe von Passwörtern, die Verschlüsselung mit den Methoden der Kryptographie oder der Steganographie (Verstecken eines Textes hinter einem »harmlosen« Bild meist mit Hilfe digitalisierter Signale), der Schutz vor Computerviren und die Protokollierung von Datenverarbeitungsvorgängen.

 

 Entwicklung des Datenschutzes

 

Entwickelt hat sich der Datenschutz aus der Erkenntnis, dass die Gewinnung und Verteilung von Informationen über den Einzelnen, besonders auch infolge des technischen Fortschritts bei der Verarbeitung von Daten, seine Freiheit berührt und (tendenziell) gefährdet. Bereits 1890 haben die US-Amerikaner Samuel D. Warren (1852-1910) und Louis D. Brandeis (neben der körperlichen Unversehrtheit und dem Schutz des Wohn-Raumes) in Bezug auf die Informationen über den Einzelnen erstmals den Begriff »right to privacy« (deutsch »Recht auf Privatsphäre«) geprägt und gefordert, dass diese Privatsphäre vor Ausforschung (durch die Presse) geschützt werden müsse. Das »right to privacy« verstanden sie als das Recht jedes Menschen, selbst zu bestimmen, in welchem Umfang seine Gedanken und Gefühle anderen mitgeteilt werden sollen. Der Einzelne habe ein »right to be let alone«, ein Recht, in Ruhe gelassen zu werden. Die Presse mit ihren investigativen Methoden gefährde dieses Recht.

 

In Deutschland hat erstmals 1954 der Bundesgerichtshof (BGH) das Bestehen eines allgemeinen Persönlichkeitsrechts festgestellt. Zuvor sind Persönlichkeitsrechte nur für bestimmte Persönlichkeitsgüter, z. B. das Recht am eigenen Bild, das Namensrecht und das Urheberpersönlichkeitsrecht, anerkannt worden. Der BGH hat eine Verletzung des allgemeinen Persönlichkeitsrechts darin erblickt, dass ein Zeitungsverlag eine Zuschrift ohne Billigung des Verfassers mit Änderungen veröffentlicht und hierdurch in die persönlichkeitsrechtliche Eigensphäre des Verfassers eingegriffen hatte, weil solche vom Verfasser nicht gebilligten Äußerungen ein falsches Persönlichkeitsbild vermitteln könnten. Das Persönlichkeitsrecht sei ein durch das Recht auf Achtung der Menschenwürde und das Recht auf freie Entfaltung der Persönlichkeit verfassungsmäßig gewährleistetes Recht, das auch im Privatrechtsverkehr von jedermann zu achten sei. Das BVerfG hat 1957 für das öffentliche Recht im so genannten Elfes-Urteil die freie Entfaltung der Persönlichkeit dann als gewährleistet angesehen, wenn dem Einzelnen eine Sphäre privater Lebensgestaltung vorbehalten bleibe, die der Einwirkung der gesamten öffentlichen Gewalt entzogen ist. Freie Entfaltung bedeutet also nicht nur Handlungsfreiheit, sondern auch, wie bereits von Warren/Brandeis hervorgehoben, in Ruhe gelassen zu werden. Das BVerfG hat in späteren Entscheidungen konkretisiert, was unter dieser Sphäre privater Lebensgestaltung zu verstehen sei. 1969 hat es in seinem Urteil zur Verfassungsmäßigkeit einer Repräsentativstatistik ausgeführt, dass es mit der Menschenwürde nicht zu vereinbaren sei, wenn der Staat den Menschen zwangsweise in seiner ganzen Persönlichkeit registriere. Dem Bürger müsse um seiner freien Entfaltung willen ein »Innenraum« verbleiben, »in dem er in Ruhe gelassen werde«. In Hessen (1970) und im Bund (1977) wurden die ersten Datenschutzgesetze erlassen.

 

1983 definierte das BVerfG das Recht, selbst zu bestimmen, wer welche Informationen über die eigene Person erhalten soll, als einen eigenen Teilbereich des Persönlichkeitsrechts, nämlich als Recht auf informationelle Selbstbestimmung (Urteil zum Volkszählungsgesetz). Das BVerfG führte verbindlich für alle Träger öffentlicher Gewalt in Deutschland aus, dass unter den Bedingungen der modernen Datenverarbeitung der Schutz des Einzelnen vor unbegrenzter Erhebung, Speicherung, Verwendung und Weitergabe seiner persönlichen Daten von dem allgemeinen Persönlichkeitsrecht umfasst wird. Der Einzelne dürfe grundsätzlich selbst entscheiden, wann und innerhalb welcher Grenzen persönlicher Sachverhalte offenbart werden. Diese Befugnis bedürfe unter den Bedingungen der automatisierten Datenverarbeitung eines besonderen Schutzes, da Daten unbegrenzt speicherbar und abrufbar seien und Datensammlungen, für den Betroffenen unkontrollierbar, sekundenschnell und weltweit zu Persönlichkeitsbildern zusammengefügt werden könnten. Diese typische Gefährdungslage hat das BVerfG in seinem für die Entwicklung des deutschen Datenschutzrechts maßgebenden Volkszählungsurteil vom 15. 12. 1983 charakterisiert: »Wer unsicher ist, ob abweichende Verhaltensweisen jederzeit notiert und als Information dauerhaft gespeichert, verwendet oder weitergegeben werden, wird versuchen, nicht durch solche Verhaltensweisen aufzufallen. Ein solcher Verzicht auf Grundrechtsausübung - so das BVerfG weiter - würde nicht nur die individuellen Entfaltungschancen des Einzelnen beeinträchtigen, sondern auch das Gemeinwohl, weil Selbstbestimmung eine elementare Funktionsbedingung eines auf Handlungs- und Mitwirkungsfähigkeit seiner Bürger begründeten freiheitlichen demokratischen Gemeinwesens ist.«

 

Damit ist verbindlich klargestellt, dass jede Beeinträchtigung der vom GG garantierten inneren Entschlussfreiheit nur innerhalb verfassungsgemäßer gesetzlicher Schranken erfolgen darf. Dieses Recht auf informationelle Selbstbestimmung ist jedoch nicht schrankenlos gewährleistet. Weil jeder Mensch gemeinschaftsbezogen und gemeinschaftsgebunden ist, muss er gesetzliche Beschränkungen seiner Selbstbestimmung hinnehmen, allerdings nur, wenn diese Einschränkung wegen eines überwiegenden Allgemeininteresses notwendig ist. Die Beschränkung bedarf einer gesetzlichen Grundlage, aus der sich die Voraussetzungen und der Umfang der Beschränkung für den Bürger erkennbar ergeben. Der Zweck, zu dem die Daten erhoben werden, muss in einem angemessenen Verhältnis zur Tiefe des Eingriffs in das Grundrecht stehen. Die Verhältnismäßigkeit des Gesetzes, Rechtsschutz gegen jeden Eingriff und eine grundsätzlich an den im Gesetz angegebenen Zweck gebundene Verwendung der Daten sind tragende Grundsätze des Datenschutzrechts. Der Einzelne kann sein Selbstbestimmungsrecht auch dahingehend ausüben, dass er darauf verzichtet, also in eine Datenverarbeitung einwilligt. Diese Einwilligung befreit die öffentlichen Stellen aber nicht vom Grundsatz der Gesetzmäßigkeit der Verwaltung Daraus folgt, dass eine öffentliche Stelle Daten nur verarbeiten darf (d. h. erheben, speichern, übermitteln, nutzen oder in sonstiger Weise verwenden), wenn eine Rechtsvorschrift dies erlaubt oder (in den Grenzen gesetzlicher Zuständigkeit, Aufgabe und Befugnis) der Betroffene eingewilligt hat.

 

 Rechtliche Bestimmungen für die Datenverarbeitung durch öffentliche und nichtöffentliche Stellen

 

Es gibt spezielle Rechtsvorschriften, die vorrangig für die Datenverarbeitung bestimmter Stellen gelten, und allgemeine Rechtsvorschriften, die nachrangig die Datenverarbeitung durch öffentlichen Stellen allgemein regeln. Hierzu gehören das Bundesdatenschutzgesetz (BDSG) vom 20. 12. 1990, zuletzt am 18. 5. 2001 novelliert, und die Datenschutzgesetze der Länder. Spezialgesetzliche Vorschriften zur Datenverarbeitung öffentlicher Stellen enthalten z. B. die Verfahrensordnungen der einzelnen Gerichtszweige, v. a. die Straf- und die Zivilprozessordnung mit den Regelungen zu Akteneinsichts- und Auskunftsrechten der Verfahrensbeteiligten sowie zu Zeugnisverweigerungsrechten und Verwertungsverboten. Spezialvorschriften sind die Polizei- und Verfassungsschutzgesetz der Länder sowie die auf die Tätigkeit der Polizei- und Sicherheitsbehörden des Bundes (Bundeskriminalamt, Verfassungsschutz, Militärischer Abschirmdienst, Bundesnachrichtendienst) anwendbaren Bestimmungen, das Stasiunterlagengesetz, die Abgabenordnung, die das Steuergeheimnis schützt, sowie die Sozialgesetzbücher, die das für Sozialleistungsträger geltende Sozialgeheimnis umfassend regeln. Auch die auf Amtsträger bezogenen Strafvorschriften des StGB zur Verletzung von Amts- und Dienstgeheimnissen sowie die Melde-, Statistik- und Archivgesetze u. a. sind bereichsspezifische Vorschriften.

 

Verarbeitet eine nichtöffentliche Stelle (ein Privater) Daten, sind die genannten Grundsätze (Notwendigkeit einer gesetzlichen Eingriffsermächtigung) nicht direkt anwendbar. Denn das Grundrecht ist ein Abwehrrecht gegen staatliche Eingriffe. Zwischen Privatpersonen entfaltet das Grundrecht lediglich mittelbar über Normen des Privatrechts Wirkung (»Drittwirkung«). Eine solche Rechtsvorschrift ist z. B. § 823 BGB, nach dem derjenige Schadensersatz zu leisten hat, der das Persönlichkeitsrecht eines anderen widerrechtlich verletzt. Was unter dem Begriff Persönlichkeitsrecht zu verstehen und wann es verletzt ist, kann im Hinblick auf die Verfassung beantwortet werden; insoweit wirken die Grundrechte mittelbar ein. Die Datenverarbeitung durch nichtöffentlichen Stellen wird des Weiteren im dritten Abschnitt des BDSG geregelt, wobei seit dessen Novellierung im Mai 2001 nur noch die Datenverarbeitung durch Private erfasst wird, die unter Einsatz von Datenverarbeitungsanlagen erfolgt. Nicht mehr abgestellt wird auf den Verarbeitungszweck (beruflich, gewerblich). Der Schutz vor den Gefahren automatisierter Datenverarbeitung wird damit verstärkt. Spezielle Regelungen zur Datenverarbeitung sind die Geheimhaltungsvorschriften der Berufsordnungen (z. B. der Ärzte und Apotheker), deren Verletzung in § 203 StGB strafbewehrt ist. Hierher gehören auch die arbeitsrechtlichen Bestimmungen über Beurteilungen und Zeugnisse sowie die Führung von und die Einsichtnahme in Personalakten der Betriebe. Das lange geforderte Arbeitnehmer-Datenschutzrecht, etwa in einem Arbeitsvertragsgesetz, existiert noch nicht.

 

 Kontrolle des Datenschutzes

 

Die Einhaltung der Datenschutzvorschriften kontrollieren bei den öffentlichen Stellen die Datenschutzbeauftragten des Bundes und der Länder (DSB), im nichtöffentlichen Bereich die Stellen, die die Landesregierung hierfür bestimmt haben (zum Teil auch die DSB der Länder, zum Teil die Innenministerien oder Regierungspräsidien). Ferner gibt es behördliche DSB z. B. in öffentlich-rechtlichen Körperschaften und deren Organisationsbereichen (Verwaltungen, Krankenhäusern, Stiftungen usw.) sowie betriebliche DSB in Unternehmen, die nur intern verbindlich wirken; sie prägen aber die datenschutzrechtliche Praxis und ihre Fortbildung nach dem Stand der technischen Entwicklung und der Globalisierung. Die Bestellung des DSB ist in vielen Ländern verfassungsrechtlich geregelt (Bayern, Berlin, Brandenburg, Mecklenburg-Vorpommern, Niedersachsen, Nordrhein-Westfalen, Sachsen, Sachsen-Anhalt und Thüringen). Auch wenn die DSB damit keine selbstständigen Verfassungsorgane sind, wird ihre Bedeutung doch betont und ihr Amt gesichert. Art. 28 der 1995 erlassenen EG-Datenschutzrichtlinie verlangt, dass die DSB ihre Aufgaben »in völliger Unabhängigkeit« wahrnehmen. Das BDSG und alle Landesdatenschutzgesetze schreiben zwar vor, dass der DSB unabhängig und nur dem Gesetz unterworfen ist. Diese Unabhängigkeit ist aber mit den bestehenden fach- oder rechtsaufsichtlichen Regelungen unvereinbar. So steht der Bundesdatenschutzbeauftragte noch immer unter der Rechtsaufsicht der Bundesregierung und die Landesdatenschutzbeauftragten, die auch für den nichtöffentlichen Bereich zuständig sind, stehen insofern auch unter Rechtsaufsicht, meist der Innenminister. Derartige Restriktionen im deutschen Recht sollen künftig entfallen. Weil die DSB von den Parlamenten gewählt werden und ihnen gegenüber rechenschaftspflichtig sind, bestehen keine verfassungsrechtlichen Bedenken dagegen, den DSB richtergleiche Unabhängigkeit zu verleihen.

 

Ferner schreibt die EG-Datenschutzrichtlinie vor, dass die Datenschutzkontrollstellen über »wirksame Einwirkungsbefugnisse« verfügen müssen. Auch insofern reicht das bisherige Beanstandungsrecht, das keine zwingenden Rechtsfolgen auslöst, nicht aus. Zumindest müsste die Forderung zur Mängelbeseitigung im deutschen Recht durchsetzbar werden. Gegen solche Verfügungen der DSB, in Eilfällen mit der Anordnung der sofortigen Vollziehung, stünde dann sowohl privaten als auch öffentlichen Stellen der Rechtsweg vor den Verwaltungsgerichten offen. Auch in dieser Frage besteht noch gesetzgeberischer Umsetzungsbedarf.

 

Die Medien unterliegen, aber nur soweit sie sich auf die Pressefreiheit nach Art. 5 GG stützen können, keiner externen (staatlichen) Datenschutzkontrolle.

 

Die materiell-rechtlichen Schutzvorschriften der EG-Datenschutzrichtlinie gelten sowohl für die automatisierte als auch für die nicht automatisierte Datenverarbeitung sowie für die öffentliche und die private Datenverarbeitung gleichermaßen. Ferner stellt die Richtlinie besonders sensible Daten (rassischer und ethnischer Herkunft, politische Meinungen, religiöse und philosophische Überzeugungen, Gewerkschaftszugehörigkeit sowie Daten über Gesundheit und Sexualleben) unter einen besonderen Schutz. Die Umsetzung dieser Prinzipien in deutschem Recht zwingt zur Änderung der Datenschutzgesetze (bereits erfolgt im BDSG in der Fassung vom 18. 5. 2001 und in den novellierten Landesdatenschutzgesetzen) und vieler spezialrechtlichen Vorschriften. Soweit aufgrund der Vertragsfreiheit von der Einwilligung der Vertragspartner in Datenverarbeitungsvorgänge ausgegangen wird, müssen die Berufsverbände und sonstigen Vereinigungen der beteiligten Kreise verbindliche Regelwerke schaffen. Die Richtlinie will so einen einheitlichen (hohen) Datenschutzstandard in den Mitgliedsländern garantieren, der breite gesellschaftliche Akzeptanz genießt.

 

Datenübermittlungen an Drittländer erlaubt die EG-Datenschutzrichtlinie nur, wenn das Empfängerland ein angemessenes Schutzniveau gewährleistet, wie dies z. B. schon in der Schweiz und in Ungarn der Fall ist. Die nach Art. 29 der Richtlinie gebildete Datenschutzgruppe, die zu Fragen des Schutzniveaus Stellung zu nehmen hat, erarbeitet hierzu einen Kriterienkatalog. Die Diskussion der Datenschutzrichtlinie und ihrer Umsetzung hat in den letzten Jahren auch zu einer Vielzahl von gesetzlichen Regelungen im Bereich der Telekommunikation und der Medien geführt. Sie tragen dem Umstand Rechnung, dass die technische Entwicklung rapide vorangeschritten ist. In einer künftigen Umsetzungsphase der Datenschutzrichtlinie sollen das BDSG, die Datenschutzgesetze der Länder u. a. Rechtsvorschriften novelliert werden. Dazu gehören v. a. Änderungen im technisch-organisatorischen Datenschutz (Datensicherheit). Nicht mehr eine einheitliche Großrechnerwelt, organisiert in zentralen Rechenzentren, steht im Mittelpunkt. Kommunikations- und Verarbeitungsstrukturen haben sich vielmehr dezentralisiert und differenziert und ändern sich ständig. Die grundlegenden gesetzlichen Anforderungen müssen deshalb zielbestimmt und technikunabhängig formuliert werden. Ein Beispiel ist der nachfolgende Katalog von zu sichernden Schutzzielen.

 

Es ist zu gewährleisten,

 

- dass nur Befugte personenbezogene Daten zur Kenntnis nehmen können (Vertraulichkeit),

 

- dass personenbezogene Daten während der Verarbeitung unverfälscht, vollständig und widerspruchsfrei bleiben (Integrität),

 

- dass personenbezogene Daten zeitgerecht zur Verfügung stehen und ordnungsgemäß verarbeitet werden können (Verfügbarkeit),

 

- dass jederzeit personenbezogene Daten ihrem Ursprung zugeordnet werden können (Authentizität),

 

- dass festgestellt werden kann, wer wann welche personenbezogenen Daten in welcher Weise verarbeitet hat (Revisionsfähigkeit),

 

- dass die Verfahrensweisen bei der Verarbeitung personenbezogener Daten vollständig, aktuell und in einer Weise dokumentiert sind, dass sie in zumutbarer Zeit nachvollzogen werden können (Transparenz).

 

Daneben sind für Bereiche, bei denen es spezifische Besonderheiten gibt (z. B. Telekommunikation, neue Medien, Videoüberwachung, Chipkarteneinsatz), spezielle Regelungen geschaffen beziehungsweise in Vorbereitung. Auch hier muss auf neue technische Entwicklungen Rücksicht genommen werden. Bisherige überkommene rechtliche Trennungen lassen sich z. B. im Telekommunikations- und Medienbereich bei der Konvergenz der technischen Systeme und der Dienstleistungen nicht mehr aufrechterhalten und müssen angeglichen werden. Potentiale neuer technischen Entwicklungen müssen überprüft und die damit verbundenen möglichen Gefährdungen bedacht werden. Entgegen der bisherigen Regelungsmaxime ist dabei die Realisierung datenschutzrechtlicher Ziele bereits im Vorfeld des Einsatzes von technischen Systemen und Anwendungen bei der Entwicklung zu berücksichtigen, da eine Durchsetzung dieser Ziele erst im Nachhinein bei der mittlerweile globalen Vernetzung und dem ständigen technischen Wandel nicht mehr gewährleistet ist. Die generelle Datensparsamkeit bei der Verarbeitung, die Möglichkeit anonymer und pseudonymer Nutzung, die verteilte, nur bei Notwendigkeit zusammengeführte Datenhaltung sind entsprechende Gestaltungsansätze. Bereits der Nutzer muss entscheiden können, ob und wie er sich schützen will. Die technischen Systeme und Anwendungen müssen solche Möglichkeiten vorhalten.

 

Auch Österreich hat in seine Verfassungsbestimmungen das Grundrecht auf Datenschutz aufgenommen. Danach hat jedermann Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten. Einschränkungen dieses Grundrechts sind nur aufgrund von Gesetzen zulässig. Diese Gesetze müssen den Anforderungen des Art. 8 Absatz 2 der Europäischen Menschenrechtskonvention genügen, d. h. sie sind ihrerseits nur zulässig zur Wahrung der öffentlichen Sicherheit und Ordnung oder des wirtschaftlichen Wohles des Landes, zur Straftatenverhütung, zum Schutz der Gesundheit oder der Rechte und Freiheiten anderer. Österreich hat 1999 ein neues Bundesgesetz über den Schutz personenbezogener Daten (DSG 2000) erlassen, das die EG-Datenschutzrichtlinie von 1995 umsetzt. Nunmehr werden private und öffentliche Stellen den gleichen Rechtsregeln hinsichtlich der Zulässigkeit der Datenverarbeitung unterstellt, es wird zwischen der Verarbeitung sensibler und nichtsensibler Daten unterschieden. Wer Daten verarbeiten will, hat dies zuvor der Datenschutzkommission zu melden. Die Datenschutzkommission wird vom Bundespräsidenten auf Vorschlag der Bundesregierung bestellt. Sie ist in Ausübung ihres Amtes unabhängig und weisungsfrei. Diese Bestimmung hat Verfassungsrang. Die Kommission kontrolliert die Datenverarbeitung im öffentlichen und privaten Bereich. Sie hat ein Anzeige- und Klagerecht, wenn ihren Empfehlungen zur Beseitigung eines rechtswidrigen Zustandes nicht entsprochen wird. Der beim Bundeskanzleramt eingerichtete Datenschutzrat gibt Stellungnahmen zu grundsätzlichen Fragen des Datenschutzes und zu Gesetzentwürfen ab.

 

Die Datenschutzregelungen der Schweiz entsprechen den deutschen Bestimmungen. Die Bundesverfassung enthält in Art. 13 Satz 2 das Grundrecht auf Datenschutz, das jeder Person einen Anspruch auf Schutz vor Mißbrauch ihrer persönlichen Daten gewährt. Einschränkungen dieses Grundrechts bedürfen einer gesetzlichen Grundlage, welche mit dem Bundesgesetz über den Datenschutz (DSG) 1992 geschaffen wurde. Das DSG regelt die Verarbeitung von Personendaten zum einen durch Bundesorgane, zum anderen durch Privatpersonen. Bei Letzteren bleibt die Verarbeitung ausschließlich zum persönlichen Gebrauch außer Betracht; hier entfaltet das Grundrecht also keine Wirkung. Neben dem DSG gibt es kantonale Datenschutzvorschriften, die für kantonale Organe beim Vollzug von Bundesrecht gelten. Kontrolliert wird die Einhaltung des Datenschutzes bei den Bundesorganen durch den Eidgenössischen DSB, bei den kantonalen Organen, soweit sie Bundesrecht vollziehen, durch ein vom jeweiligen Kanton bestimmtes Kontrollorgan. Weiterhin gibt es eine Eidgenössische Datenschutzkommission, die als Schieds- und Rekurskommission über die in Art. 33 DSG bestimmten Beschwerden entscheidet. Das Schweizer DSG versteht unter Personendaten auch Angaben über juristische Personen. Bundesorgane dürfen Personendaten nur auf gesetzlicher Grundlage verarbeiten; eine Einwilligung des Betroffenen kommt nur ausnahmsweise im Einzelfall in Betracht. Die Datenverarbeitung durch Private wird nicht durch einen DSB kontrolliert. Der Betroffene wird auf den Klageweg vor die Zivilgerichte nach Art. 28 ZGB verwiesen.

 

Literatur:

 

H. G. Zeger: D. in Österreich (Wien 1991);

 

Bundesdatenschutz-Ges., bearb. v. S. Simitis, Losebl. (⁴1992 ff.);

 

D.-Recht, bearb. v. L. Bergmann u. a., Losebl. (Neuausg. 1992 ff.);

 H. Auernhammer: Bundesdatenschutz-Ges. (³1993);

 

D. = Protection des données, hg. v. U. Maurer (Basel 1994; Text dt., engl., frz., ital.);

 H.-J. Ordemann: Bundesdatenschutz-Ges., bearb. v. R. Schomerus u. a. (⁶1997);

 H. H. Wohlgemuth: D.-Recht (³1997);

 

Praxis-Hb. D., bearb. v. H. Abel, Losebl. (1999 ff.).