Diplom-Informatiker
Werner Hülsmann:

Eine kurze Einführung zum Datenschutz

IT-SEC-Consult.de
Werner Hülsmann
Am Leutenberg 1
87745 Mörgen-Eppishausen
wh@it-sec-consult.de
http://www.it-sec-consult.de

 

1      Begriffe.. 2

1.1       Datenschutz. 2

1.2       Datensicherung.. 2

2      Datenschutzrecht.. 2

2.1       Entwicklung des Datenschutz. 2

2.2       Volkszählungsentscheidung.. 2

2.2.1        Grundsätze, die im Zusammenhang bezüglich des Datenschutzes wesentlich sind: 2

2.2.2        Zusätzliche Ausführungen des Gerichts: 3

2.2.3        Zur Stellung und Aufgabe der Datenschutzbeauftragten stellt das Gericht fest: 3

3      Überblick über die datenschutzrechtlichen Grundlagen.. 3

3.1       Regelungen auf Bundesebene. 4

3.1.1        Bundesdatenschutzgesetz. 4

3.1.2        Bereichsspezifische Regelungen. 4

3.2       Regelungen auf Landesebene. 4

3.2.1        Bayerisches Datenschutzgesetz. 4

3.2.2        Bereichsspezifische Regelungen. 4

4      WWW-Adressen zum Datenschutz. 4

 


1         Begriffe

1.1      Datenschutz

Datenschutz bezeichnet nicht nur den Schutz der Betroffenen vor der missbräuchlichen Verwendung (Speicherung, Verarbeitung, Übermittlung, Nutzung, ...) ihrer (d.h. der sie betreffenden) personenbezogener Daten. Zweck des Datenschutzes ist es vielmehr, den/die einzelnen davor zu schützen, dass er/sie durch den Umgang mit seinen/ihren personenbezogenen Daten in seinem/ ihrem Persönlichkeitsrecht beeinträchtigt wird. (vgl. auch BayDSG, § 1 Abs. 1, BDSG § 1 Abs. 1). Datenschutz soll den Erhalt der Privatheit (engl. privacy) des/der Einzelnen sicherstellen!

1.2      Datensicherung

Datensicherung bezeichnet den Schutz von Daten (personenbezogen oder nicht) vor

       unbefugter Einsichtnahme,

       unbeabsichtigter Änderung und

       unbeabsichtigter Löschung.

Die Datensicherung soll insbesonder die Vertraulichkeit, die Integrität und die Verfügbarkeit der Daten (zumindest aber ihre Rekonstruierbarkeit) sicherstellen.

"unbeabsichtigt" meint in diesem Zusammenhang von den Nutzungsberechtigten nicht beabsichtigt, d.h. versehentlich durch Fehleingaben, (un)-absichtlich durch Unbefugte, Zerstörung durch technische Schäden (Feuer, Wasser, Festplattencrash, ... ) etc.

2         Datenschutzrecht

2.1       Entwicklung des Datenschutz

1971         1. Hessisches Datenschutzgesetz

1977         1. Bundesdatenschutzgesetz

1978         1. Bremisches Datenschutzgesetz

1980         bereichsspezifische Regelungen im Bremischen Polizeigesetz

1981         bereichsspezifische Regelungen im Bremischen Verfassungsschutzgesetz

1983         Volkszählungsurteil

1987         Novellierung des Bremischen Datenschutzgesetzes zur Umsetzung des Volkszählungsurteils

1991         Novellierung des Bundesdatenschutzgesetzes zur Umsetzung des Volkszählungsurteils

1993         Novellierung des Bayerischen Datenschutzgesetzes

1995         Novellierung des Bremischen Datenschutzgesetzes

1995         Verabschiedung der Europäischen Datenschutzrichtlinie, die bis Oktober 1998 in nationales Recht umgesetzt werden muss (d.h. u.a. Novellierung des BDSG und der LDSG, aber auch der bereichspezifischen Regelungen)

1997         Aufnahme des Datenschutz in die Bremische Landesverfassung

1998         Novellierung des Bayrischen Datenschutzgesetzes

2000         Novellierung des Bayrischen Datenschutzgesetzes zur Anpassung an die EU-Datenschutzrichtlinie

2001         Novellierung des BDSG zur Anpassung an die EU- Datenschutzrichtlinie (geplant für 1. Halbjahr)

2001/02    grundlegende Novellierung des BDSG zur Anpassung an die technische und die Rechtsentwicklung geplant

2.2      Volkszählungsentscheidung

(Urteil des BVerfG vom 15. Dez. 1983; BVerfGE 65,1)

2.2.1      Grundsätze, die im Zusammenhang bezüglich des Datenschutzes wesentlich sind:

1.    Unter den Bedingungen der modernen Datenverarbeitung wird der Schutz des/der Einzelnen gegen unbegrenzte Erhebung, Speicherung, Verwendung und Weitergabe seiner persönlichen Daten von dem allgemeinen Persönlichkeitsrecht des Art. 2 Abs. 1 in Verbindung mit Art. 1 Abs. 1 GG umfasst. Das Grundrecht gewährleistet insoweit die Befugnis des/der Einzelnen, grundsätzlich selbst über die Preisgabe und Verwendung seiner/ihrer persönlichen Daten zu bestimmen.

2.    Einschränkungen dieses Rechts auf "informationelle Selbstbestimmung" sind nur im überwiegenden Allgemeininteresse zulässig. Sie bedürfen einer verfassungsgemäßen gesetzlichen Grundlage, die dem rechtsstaatlichen Gebot der Normenklarheit entsprechen muss. Bei seinen Regelungen hat der Gesetzgeber ferner den Grundsatz der Verhältnismäßigkeit zu beachten. Auch hat er organisatorische und verfahrensrechtliche Vorkehrungen zu treffen, welche der Gefahr einer Verletzung des Persönlichkeitsrechts entgegenwirken.

3.    Bei den verfassungsrechtlichen Anforderungen an derartige Einschränkungen ist zu unterscheiden zwischen personenbezogenen Daten, die in individualisierter, nicht anonymer Form erhoben und verarbeitet werden, und solchen, die für statistische Zwecke bestimmt sind.  Bei der Erhebung für statistische Zwecke kann eine enge und konkrete Zweckbindung der Daten nicht verlangt werden. Der Informationserhebung und -verarbeitung müssen aber innerhalb des Informationssystems zum Ausgleich entsprechende Schranken gegenüberstehen.

4.    Das Erhebungsprogramm des Volkszählungsgesetzes 1983 (§ 2 Nr. 1 bis 7, §§ 3 bis 5) führt nicht zu einer mit der Würde des Menschen unvereinbaren Registrierung und Katalogisierung der Persönlichkeit; es entspricht auch den Geboten der Normenklarheit und der Vehältnismäßigkeit. Indessen bedarf es zur Sicherung des Rechts auf informationelle Selbstbestimmung ergänzender verfahrensrechtlicher Vorkehrungen für Durchführung und Organisation der Datenerhebung.

5.    Die in § 9 Abs. 1 bis 3 VZG 1983 vorgesehenen Übermittlungsregelungen (unter anderem Melderegisterabgleich) verstoßen gegen das allgemeine Persönlichkeitsrecht. Die Weitergabe zu wissenschaftlichen Zwecken (§ 9 Abs. 4 VZG 1983) ist mit dem Grundgesetz vereinbar.

2.2.2      Zusätzliche Ausführungen des Gerichts:

       Individuelle Selbstbestimmung setzt aber - auch unter den Bedingungen moderner Informationsverarbeitungstechnologien - voraus, daß dem/der Einzelnen Entscheidungsfreiheit über vorzunehmende oder zu unterlassende Handlungen einschließlich der Möglichkeit gegeben ist, sich auch entsprechend dieser Entscheidung tatsächlich zu verhalten. Wer nicht mit hinreichender Sicherheit überschauen kann, welche ihn/sie betreffende Informationen in bestimmten Bereichen seiner/ihrer sozialen Umwelt bekannt sind, und wer das Wissen möglicher Kommunikationspartner nicht einigermaßen abzuschätzen vermag, kann in seiner/ihrer Freiheit wesentlich gehemmt werden, aus eigener Selbstbestimmung zu planen und zu entscheiden. Mit dem Recht auf informationelle Selbstbestimmung wären eine Gesellschaftsordnung und eine diese ermöglichende Rechtsordnung nicht vereinbar, in der BürgerInnen nicht mehr wissen können, wer was wann und bei welcher Gelegenheit über sie weiß. Wer unsicher ist, ob abweichende Verhaltensweisen jederzeit notiert und als Information dauerhaft gespeichert, verwendet oder weitergegeben werden, wird versuchen, nicht durch solche Verhaltensweisen aufzufallen.

       Wer damit rechnet, dass etwa die Teilnahme an einer Versammlung oder einer BürgerInneninitiative behördlich registriert wird und dass ihm/ihr dadurch Risiken entstehen können, wird mög­licherweise auf eine Ausübung seiner entsprechenden Grundrechte (Art. 8,9 GG) verzichten. Dies würde nicht nur die individuellen Entfaltungschancen des/der Einzelnen beeinträchtigen, sondern auch das Gemeinwohl, weil Selbstbestimmung eine elementare Funktionsbedingung eines auf Handlungs- und Mitwirkungsfähigkeit seiner BürgerInnen begründeten freiheitlichen demokratischen Gemeinwesens ist.

Unter der Feststellung, dass es unter den Bedingungen der modernen Datenverarbeitung kein "belangloses" Datum geben kann, hebt das Gericht hervor:

Wieweit Informationen sensibel sind, kann hiernach nicht allein davon abhängen, ob sie intime Vorgänge betreffen. Vielmehr bedarf es zur Feststellung der persönlichkeitsrechtlichen Bedeutung eines Datums der Kenntnis seines Verwendungszusammenhangs: Erst wenn Klarheit besteht, zu welchen Zweck Angaben verlangt werden und welche Verknüpfungs- und Verwendungsmöglichkeiten bestehen, lässt sich die Frage einer zulässigen Beschränkung des Rechts auf informationelle Selbstbestimmung beantworten.

2.2.3      Zur Stellung und Aufgabe der Datenschutzbeauftragten stellt das Gericht fest:

Wegen der für die BürgerInnen bestehenden Undurchsichtigkeit der Speicherung und Verwendung der Daten unter den Bedingungen der automatischen Datenverarbeitung und auch im Interesse eines vorgezogenen Rechtsschutzes durch rechtzeitige Vorkehrungen ist die Beteiligung unabhängiger Datenschutzbeauftragter von erheblicher Bedeutung für einen effektiven Schutz des Rechts auf informationelle Selbstbestimmung.

3         Überblick über die datenschutzrechtlichen Grundlagen

Entsprechend der föderalen Struktur der BRD unterteilt sich auch das Datenschutzrecht in Bundes- und in Länderrecht. In den Bereichen, in denen der Bund eine Gesetzgebungskompetenz hat, ist er auch für den Erlass der datenschutzrechtlichen Regelungen zuständig. In den Bereichen, in denen die Länder die Gesetzgebungskompetenz haben, sind sie auch für den Datenschutz zuständig.

In bestimmten Bereichen - wie z.B. dem Melderecht steht dem Bund die Kompetenz der Rahmengesetzgebung zu (z.B. Melderechtsrahmengesetz). In diesen Bereichen kann der Bund auch den Rahmen der Datenverarbeitungs- und -schutzvorschriften festlegen. Die Länder haben sich dann bei ihrer Gesetzgebung innerhalb des vorgegebenen Rahmen zu bewegen. Unmittelbar geltendes Recht sind allerdings nur die jeweiligen Landesgesetze, nicht das Rahmengesetz des Bundes.

Hieraus ergibt sich die nachfolgend grob dargestellte Struktur:


Bereich

nichtöffentlich

öffentlich

Bund


Länder

Gesetz

Bundesdatenschutz-gesetz (BDSG): 1, 3, 4 & 5. Abschnitt u.bs.R.

BDSG: 1, 2, 4 & 5. Abschnitt und bs.Regel.

Landes-DSG u. bereichssp.R.

Kon-trolle

Aufsichtsbehörden der Länder (Ausnahme: BfD im Bereich der Telekommunikation)

Bundesbeauf-tragter für den Datenschutz (BfD)

Landesbeauf-tragte für den Datenschutz

(vgl. hierzu auch die Geltungsbereiche des BDSG und der Landes-DSG)

3.1       Regelungen auf Bundesebene

Auf Bundesebene ist zwischen dem öffentlichen Bereich des Bundes (z.B. Arbeitsämter, Bundesministerien) und dem nicht-öffentlichen Bereich (z.B. Firmen) zu unterscheiden. Für beide Bereiche gelten die Abschnitte 1, 4 und 5 des BDSG. Für den öffentlichen Bereich gilt zusätzlich der Abschnitt 2 und für den nicht-öffentlichen Bereich zusätzlich der Abschnitt 3 des BDSG.

Bei der Anwendung des BDSG ist zu berücksichtigen, dass es ein sog. Auffanggesetz ist, d.h., dass bereichsspezifische Regelungen vorgehen. So enthält z.B. das Sozialgesetzbuch X datenschutzrechtliche Regelungen für die sozialen Bereiche, die u.a. in SGB I, IV, - VII und XI geregelt sind. Die dort enthaltenen Regelungen zur Sicherung des Sozialgeheimnisses gehen den Regelungen des BDSG vor.

3.1.1       Bundesdatenschutzgesetz

siehe Broschüre: "BfD - INFO 1"

3.1.2      Bereichsspezifische Regelungen

Zu den bereichsspezifischen Regelungen zum Datenschutz auf Bundesebene gehören neben dem bereits erwähnten SGB X als weitere Beispiele das Teledienstedatenschutzgesetz (TDDSG) und der 11. Abschnitt im Telekommunikationsgesetz (TKG). Letzteres bestimmt auch eine Ausnahme der Datenschutzkontrolle, da nach TKG für TK-Unternehmen, die Dienstleistungen für Dritte erbringen, an Stelle der Aufsichtsbehörden der Bundesbeauftragte für den Datenschutz tritt.

3.2      Regelungen auf Landesebene

3.2.1      Bayerisches Datenschutzgesetz

Vgl. im Internet.

3.2.2      Bereichsspezifische Regelungen

Zu den bereichsspezifischen Regelungen auf Landesebene gehören vor allem datenschutzrechtliche Regelungen in den Breichen Medien, Meldewesen, Sicherheitsbehörden und Kultus. Im Medienbereich ist der Mediendienste-Staatsvertrag hervorzuheben (vgl. Unterlagen zum Telekommunikations- und Medienrecht)

4         WWW-Adressen zum Datenschutz

Über die nachfolgenden Adressen finden sich alle wichtigen Materialien, Gesetzestexte, ...  zum Datenschutz

http://www.datenschutz.de:               Das virtuelle Datenschutzbüro

http://bfd.bund.de:                             Der Bundesbeauftragte für den Datenschutz

http://www.bayern-datenschutz.de:  Der bayerische Landesbeauftragte für den Datenschutz