Historie - Die Entstehungsgeschichte des BDSG in seiner heutigen Fassung

Die Datenschutzgesetzgebung geht mit der Verabschiedung des ersten Hessischen Datenschutzgesetztes zurück auf den 30.09.1970. Es folgte 1974 das Bundesland Rheinland-Pfalz.

Der Bundesgesetzgeber verabschiedete 1977 das erste BDSG. Die Bundesländer schlossen sich in den Folgejahren mit Landesgesetzen an.

All jene Gesetze wurden unter dem missverständlichen Begriff „Datenschutz“ zusammengefasst; eine Bezeichnung, die den Eindruck suggeriert, dass Daten der Betroffenen geschützt würden. In realiter indes schützten die Landesgesetzgeber und der Bundesgesetzgeber mit den gesetzlichen Regelungen die Betroffenen lediglich vor den möglichen Folgen der Verarbeitung personenbezogener Angaben, nicht aber die Daten der Betroffenen selbst.

Für die Landesgesetzgeber wie für den Bund waren in der Anfangszeit bei der Verabschiedung der Gesetze insbesondere folgende Gesichtspunkte maßgeblich:

1. Der Gesetzgeber sah auf Grund der zunehmenden Automatisierung der Datenverarbeitung die Notwendigkeit, diese Thematik einer Regelung zu unterziehen: man wollte die mit der voranschreitenden Automatisierung geschaffenen Gefahr, den Einzelnen intensiv zu kontrollieren, minimieren.

2. Man sah keine Alternative zu einer gesetzlichen Regelung: durch die Automatisierung hielt man zentrale verfassungsrechtliche Grundsätze für gefährdet, insbesondere beabsichtigte man, die „Unantastbarkeit des Privatlebens“ zu schützen. Anknüpfungspunkt für die gesetzlichen Regelungen waren stets die so genannten „personenbezogenen Daten“ und nicht deren Inhalt (Anm.: also die darin enthaltenen Informationen ), um ein möglichst hohes Schutzniveau zu gewährleisten. So formulierte man im BDSG in seiner Fassung von 1990 in § 1 Abs. 1 als Zweck des Gesetzes, „den einzelnen davor zu schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird“ (§ 1 Abs. 1 BDSG idF von 1990).

Die nächste „Zäsur“ erfolgte mit dem Volkszählungsurteil des BVerfG. Der eigentliche Anlass der Entscheidung, die Verfassungsmäßigkeit des 1982 verabschiedeten Volkszählungsgesetzes trat im Urteil beinahe in den Hintergrund: Das Volkszählungsgesetz wurde zum damaligen Zeitpunkt von einer breiten Öffentlichkeit stark kritisiert und abgelehnt. „Der Protest, so unterschiedlich er (…) auch ausgefallen sein mag, [drehte sich] immer wieder um die eine Frage (…), ob die Volkszählung nicht doch die Grundlage für eine schrankenlose, durch die automatisierte Verarbeitung begünstigte Verknüpfung der unzähligen, von den verschiedensten staatlichen und privaten Stellen bereits gespeicherten Daten abgeben könnte.“

Das Gericht nahm die Entscheidung über das Volkszählungsgesetz daher zum Anlass, die „Furcht der Bevölkerung vor einer unkontrollierten Persönlichkeitserfassung“ aufzugreifen und in der Entscheidung allgemeine Aussagen darüber zu treffen, welche Anforderungen die Verfassung an die Verarbeitung personenbezogener Daten stellt.

Dem Urteil lassen sich dabei insbesondere folgende Vorgaben entnehmen:

1. Der einzelne hat ein grundgesetzlich geschütztes Recht auf „informationelle Selbstbestimmung“: Das BVerfG schreibt: „Im Mittelpunkt der grundgesetzlichen Ordnung stehen Wert und Würde der Person, die in freier Selbstbestimmung als Glied einer freien Gesellschaft wirkt. Ihrem Schutz dient - neben speziellen Freiheitsverbürgungen – das in Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG gewährleistete allgemeine Persönlichkeitsrecht, das gerade auch im Blick auf moderne Entwicklungen und die mit ihnen verbundenen neuen Gefährdungen der menschlichen Persönlichkeit Bedeutung gewinnen kann. (…) Freie Entfaltung der Persönlichkeit setzt unter den modernen Bedingungen der Datenverarbeitung den Schutz des Einzelnen gegen unbegrenzte Erhebung, Speicherung, Verwendung und Weitergabe seiner persönlichen Daten voraus. Dieser Schutz ist daher von dem Grundrecht des Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG umfasst. Das Grundrecht gewährleistet insoweit die Befugnis des Einzelnen, grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen. “ Dieses Recht des Einzelnen wird als Recht auf „informationelle Selbstbestimmung“ bezeichnet.

2. Der Rang des informationellen Selbstbestimmungsrechts als Grundrecht verpflichtet den Gesetzgeber, organisatorische und verfahrensrechtliche Vorkehrungen zu treffen, um den Gefahren einer Verletzung des Persönlichkeitsrechts entgegenzuwirken. Das BVerfG formuliert also das Postulat an den Gesetzgeber, der Existenz des Grundrechts der informationellen Selbstbestimmung in Form eines neuen, die Vorgaben des BVerfG beachtenden Datenschutzgesetzes Rechnung zu tragen.

3. Das Recht auf informationelle Selbstbestimmung wird nicht uneingeschränkt gewährleistet: „Der Einzelne hat nicht ein Recht im Sinne einer absoluten, uneinschränkbaren Herrschaft über „seine“ Daten; er ist vielmehr eine sich innerhalb der sozialen Gemeinschaft entfaltende, auf Kommunikation angewiesene Persönlichkeit. Information, auch soweit sie personenbezogen ist, stellt ein Abbild sozialer Realität dar, das nicht ausschließlich dem Betroffenen allein zugeordnet werden kann. (…) Grundsätzlich muss daher der Einzelne Einschränkungen seines Rechts auf informationelle Selbstbestimmung im überwiegenden Allgemeininteresse hinnehmen.“ Diese Beschränkungen wiederum müssen in einer für den Betroffenen klaren und erkennbaren Weise gesetzlich geregelt werden, aus der sich Voraussetzungen und Umfang der Beschränkungen ergeben und die dem Gebot der Normenklarheit entsprechen.

4. Es darf keine „belanglosen“ Daten geben; die Sensibilität von Daten darf also beispielsweise nicht danach bestimmt werden, ob sie für sich genommen intime Vorgänge betreffen. Vielmehr haben sämtliche Daten des Betroffenen dem informationellen Selbstbestimmungsrecht zu unterfallen. Grund hierfür ist, dass es zur Feststellung der persönlichkeitsrechtlichen Bedeutung eines Datums auf dessen Verwendungszusammenhang ankommt. Vermeintlich belanglose Daten können bei Verknüpfung mit weiteren Daten zu neuen Erkenntnissen führen; und sind damit letztlich sehr wohl von Belang.

5. Wird der Bürger gegenüber dem Staat verpflichtet, bestimmte Daten preiszugeben, an Hand derer er individualisierbar ist, hat der Staat den Verwendungszweck der Daten bereichsspezifisch und präzise zu bestimmen. Die Verwendung der Daten ist auf den gesetzlich bestimmten Zweck zu begrenzen. Auch darf die Erhebung der Daten durch den Staat das für die Erfüllung des jeweiligen Gesetzeszwecks notwendige Maß nicht überschreiten. Nur so ist im Licht des Verhältnismäßigkeitsgrundsatzes die Einschränkung des Rechts auf informationelle Selbstbestimmung des Einzelnen als verfassungsmäßig zulässig zu erachten.

6. Zur Überwachung der Einhaltung dieser unter 5. aufgestellten Vorgaben empfiehlt das BVerfG die Beteiligung unabhängiger Datenschutzbeauftragter, um das Recht auf informationelle Selbstbestimmung effektiv zu schützen: „Wegen der für den Bürger bestehenden Undurchsichtigkeit (…) und auch im Interesse eines vorgezogenen Rechtsschutzes (…) ist die Beteiligung unabhängiger Datenschutzbeauftragter von erheblicher Bedeutung (…).“

Die Umsetzung dieser Vorgaben des BVerfG durch den Gesetzgeber ließ besonders auf Bundesebene lange auf sich warten.

Zum einen aus rein politischen Gründen, da man vermeiden wollte, durch die Vorgaben des BVerfG die Arbeit der Verwaltung zu erschweren und zu beschränken; so warnte beispielsweise der damalige Bundesinnenminister Dr. Zimmermann in seinem Bericht vom 25.4.1984 zum Volkszählungsurteil des BVerfG vor einer zu „maximalistischen Interpretation“ des Urteils und einem „Stillstand der Verwaltung“. Auch wurde eingewendet, die Vorgaben des BVerfG entfalteten allenfalls für das beschwerdegegenständliche Volkszählungsgesetz Bedeutung („[die Tragweite der Entscheidung des BVerfG] für den übrigen Bereich der Rechtssetzung und Rechtsanwendung [tritt] nicht von vornherein offen zu Tage“ ). Auch wurde vertreten, dass es – da das BVerfG dem Gesetzgeber keine Frist zur Umsetzung seiner Forderungen gesetzt hatte (dies aber wohl eher wegen der Komplexität der zu regelnden Materie) – der Entscheidung des Gesetzgebers obliege, binnen welcher Zeit die Vorgaben umzusetzen seien (so genannter „Übergangsbonus“).

Zum anderen wird aber auch der reine Umfang und die Kompliziertheit der Materie „Datenschutz“ eine Rolle gespielt haben, weshalb eine zeitnahe Umsetzung des Urteils des BVerfG unterblieb.

(Das Urteil des BVerfG ist bis heute noch nicht vollständig umgesetzt: So fehlt es beispielsweise nach wie vor an einer Regelung des für die Betroffenen äußerst sensiblen Bereichs des Arbeitnehmerdatenschutzes. Ein Gebiet, dessen Regelung hinsichtlich des Datenschutzes das Urteil des BVerfG zum Schutz des Rechts auf informationelle Selbstbestimmung an sich fordert. )

Als erstes unternahm 1986 der hessische Landesgesetzgeber den Versuch, die Vorgaben des BVerfG umzusetzen. In den Jahren darauf folgten weitere Bundesländer, indes mit zum Teil gravierenden Unterschieden in den Regelungen.

Eine Neuregelung auf Bundesebene erfolgte erst am 20.12.1990, nachdem in den Vorjahren zuerst die Fraktionen untereinander und sodann später Bundestag und Bundesrat um einen zustimmungsfähigen Entwurf gerungen hatten. Indes: zu viele Interessen waren zu berücksichtigen und so war das neu gestaltete BDSG letztlich auch nicht aus einem Guss und in sich schlüssig, sondern vielmehr „Flickwerk“ und häufig in sich widersprüchlich. Zudem enthielt das BDSG in seiner Fassung von 1990 keine Regelung des nicht-öffentlichen Bereichs. Zu diesem Zeitpunkt indes war bereits absehbar, dass die EG-Kommission für den nicht-öffentlichen Bereich ebenfalls datenschutzrechtliche Regelungen entwickeln würde, die der deutsche Gesetzgeber zu beachten haben würde. Und so war bereits bei der Verabschiedung des BDSG 1990 klar, dass in Kürze eine erneute Novellierung zu erfolgen habe.

Mit Wirkung zum 24.10.1995 trat dann auch auf Vorschlag der EG-Kommission die Richtlinie 95/46/EG des europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr in Kraft (so genannte EG-Datenschutzrichtlinie).

Anders als das Urteil des BVerfG enthielt die EG-Datenschutzrichtlinie in Art. 32 Abs. 1 Unterabs. 1 zudem eine Verpflichtung der Mitgliedsstaaten, die Richtlinie innerhalb von drei Jahren umzusetzen. Es bestand also grundsätzlich Handlungsbedarf.

Doch kam der Bundesgesetzgeber dieser Verpflichtung nicht fristgemäß nach. Erst auf Druck der EG-Kommission, die am 11.1.2000 ein Vertragsverletzungsverfahren gegen Deutschland (sowie Frankreich, Irland, Luxemburg und die Niederlande) vor dem EuGH einleitete, begann die Anpassung der deutschen Datenschutzgesetze.

Die Fraktionen im Bundestag einigten sich auf das bereits 1998 in einem Eckpapier der SPD vorgeschlagene zweistufige Vorgehen: in einem ersten Schritt sollte das bereits bei der Verabschiedung als reformbedürftig empfundene BDSG in der Fassung von 1990 möglichst rasch an die EG-Datenschutzrichtlinie angepasst werden, um einem Urteilsspruch des EuGH im Vertragsverletzungsverfahren zuvor zu kommen. In einem zweiten Schritt – so die ursprüngliche Absicht – wollte man das gesamte Datenschutzrecht neu fassen und modernisieren.

Der Anpassungsprozess ging dementsprechend rasch von statten: Von der Vorlage des ersten Referentenentwurfes am 17.4.2000 bis zur Verabschiedung des Gesetzes am 6.4.2001 verging nur ein Jahr: Am 22.5.2001 schließlich trat das neue BDSG in Kraft.

Indes war die neue Gesetzesfassung hinsichtlich Verständlichkeit und Lesbarkeit keine Verbesserung zum BDSG in der Fassung von 1990. Vielmehr führte die Kürze der parlamentarischen Verhandlungen zu einer Vielzahl von Kompromissen und halbherzigen Regelungen, die der Praxis in der Folgezeit erhebliche Probleme bei der Anwendung des Gesetzes bescheren sollten. Bezeichnend war, dass der Bundestag mit dem neuen BDSG ein Gesetz mit der erklärten Intention verabschiedete, es möglichst bald wieder aufzuheben. In der Folge wurde der neue Gesetzestext in der Literatur heftig kritisiert.

Vielfach wird zudem vertreten, dass das überarbeitete BDSG nicht nur häufig schwer verständlich und in sich widersprüchlich ist, sondern auch die Vorgaben der EG-Datenschutzrichtlinie nicht richtig umgesetzt wurden. So wird in der Literatur insbesondere argumentiert, dass (i) § 4 f BDSG den Beauftragten für den Datenschutz im Widerspruch zu Art. 18 Abs. 2 der EG-Datenschutzrichtlinie nur unzureichende Unabhängigkeit gewähre , (ii) die Aufsicht des nicht-öffentlichen Bereiches nach § 38 BDSG im Widerspruch zu der von Art. 28 Abs. 1 Unterabs. 2 der EG-Datenschutzrichtlinie geforderten „völligen Unabhängigkeit“ der Aufsichtsbehörden stünde und (iii) sich die Regelung der Erhebung, Verarbeitung und Nutzung personenbezogener Daten durch die Medien in § 41 BDSG im offenen Widerspruch zu Art. 9 der EG-Datenschutzrichtlinie befände .

Inwieweit sich Einzelpersonen auf die unmittelbare Wirkung der genannten Vorschriften der EG-Datenschutzrichtlinie berufen könnten, ist vom EuGH noch nicht zu entscheiden gewesen. Voraussetzung hierfür wäre insbesondere die Begünstigung eines Einzelnen durch eine Vorschrift der EG-Datenschutzrichtlinie, der Ablauf der Umsetzungsfrist der EG-Datenschutzrichtlinie sowie eine inhaltlich unbedingte wie hinreichend bestimmte Formulierung der Vorschrift in der EG-Datenschutzrichtlinie, auf die sich der Betroffene berufen könnte.

Unabhängig von dieser Frage, ob ein einzelner seine aus der EG-Datenschutzrichtlinie direkt ergebenden Rechte einklagen könnte, ist die unmittelbare Wirkung einer nicht umgesetzten Richtlinienbestimmung von Rechtsprechung und Verwaltung zudem von Amts wegen zu berücksichtigen: Jede Behörde ist grundsätzlich verpflichtet, Richtlinienbestimmungen anzuwenden, auch wenn sich aus dieser keine individuellen Rechte begründen, da dieser Aspekt per se keinen Einfluss auf die sich für den Mitgliedsstaat ergebenden Verpflichtung zur Umsetzung der Richtlinie haben kann.

Damit ist die nach Art. 28 Abs. 1 Unterabs. 2 der EG-Datenschutzrichtlinie geforderte „völlige Unabhängigkeit“ der Aufsichtsbehörden nicht gewährleistet und die derzeitige Praxis europarechtswidrig. Die entsprechenden deutschen Behörden verstoßen daher mit ihrer derzeitigen Praxis gegen geltendes Recht, das sie von Amts wegen zu beachten hätten.

Wie eine Lösung in dieser Frage aussehen könnte wurde lange Zeit zwischen der Kommission der Europäischen Gemeinschaften und den deutschen Behörden diskutiert. Die Kommission entschied sich am5.7.2005, ein Vertragsverletzungsverfahren in diesem Punkt gegen die Bundesrepublik Deutschland einzuleiten. Nach erfolgloser Durchführung der Vorverfahren wurde am 18.7.2007 der EuGH mit der Entscheidung der Sache betraut. Indes soll auch diese Frage an dieser Stelle nicht breiter diskutiert werden (da für die gegenständlichen Fragen nicht relevant), sondern nur der Verdeutlichung des Umstandes dienen, dass das BDSG in seiner derzeitigen Fassung die Vorgaben der EG-Datenschutzrichtlinie nur unzureichend umgesetzt hat und daher dringend der erneuten Reform bedarf.

Doch dieses an sich im Jahr 2000 bei Verabschiedung der letzten großen Veränderung des BDSG bereits formulierte Vorhaben, das BDSG nun grundlegend zu reformieren und zu modernisieren, ist von der Politik bislang nicht mehr aufgegriffen worden. Und so bleibt letztlich nur die Forderung an den Gesetzgeber im Raum, endlich eine klar verständliche und rechtmäßige Regelung des Datenschutzes umzusetzen, während in der Zwischenzeit Literatur und Praxis zu versuchen haben, die vorhandenen Gesetze europarechtskonform und dem Wandel der technologischen Möglichkeiten und damit einhergehenden neuen Fragestellungen angepasst auszulegen.

„Zeigen Sie Ihren Kunden und Mitarbeitern, dass Sie Datenschutz betreiben.
Nutzen Sie den Datenschutz als Ihre positive Botschaft.“

IITR - qualifizierter Datenschutz

Kontakt

Sie erreichen uns unter folgender Adresse:

IITR GmbH - Institut für IT-Recht

Marienplatz 2
80331 München

Tel.: +49 (0)89 1891 7360

E-Mail: email@iitr.de

 

Kontakt zum Datenschutz:

Dr. Sebastian Kraska Rechtsanwalt, Diplom-Kaufmann Spezialisiert auf DatenschutzrechtDr. Sebastian Kraska
Rechtsanwalt, Diplom-Kaufmann
Spezialisiert auf das Datenschutzrecht

Tel.: +49 (0)89 1891 7360

E-Mail: email@iitr.de

IITR GmbH ist zertifiziert
DIN EN ISO 9001

Wir sind zertifiziert nach DIN EN ISO 9001-2015Mitglied DIN

 wird überprüft von der Initiative-S