Das Recht auf Privatsphäre
E.2
Ist der Schutz personenbezogener Daten gegenüber Regierungen, Unternehmen und anderen Organisationen gesetzlich garantiert und in der Praxis durchgesetzt, einschließlich des Rechts auf Zugang zu den vorhandenen Informationen und auf Rechtsbehelfe?
Indikator 35: Rechtlicher Rahmen für den Datenschutz, einschließlich Überwachungsmechanismen und Rechtsbehelfe, und Nachweis, dass er von der Regierung und anderen zuständigen Behörden respektiert und durchgesetzt wird.
Indikator 36: Rechtsrahmen für die kommerzielle Nutzung personenbezogener Daten und die internationale Datenübertragung/Sicherheit, einschließlich Überwachungsmechanismen und Rechtsmittel.
Indikator 37: Existenz und Befugnisse einer unabhängigen Datenschutzbehörde oder einer ähnlichen Einrichtung.
Datenschutz ist in Deutschland nach der Verfassung im Rahmen des Rechts auf informationelle Selbstbestimmung aus Art. 1 Abs. 1 und 2 Abs. 1 GG garantiert. Das Bundesverfassungsgericht hat in seinem sog. Volkszählungsurteil von 19831 festgelegt, dass ein Eingriff in das Recht auf informelle Selbstbestimmung nur auf der Grundlage eines Gesetzes erfolgen darf, das auch dem Datenschutz Rechnung trägt. Jede staatliche Erfassung von Daten, die Datennutzung, das Datenabfangen und Speichern bedarf einer gesetzlichen Ermächtigungsgrundlage, die im Einklang mit der Verfassung stehen muss. Dazu zählen Befugnisse in den Polizeirechten der Bundesländer (Allgemeines Sicherheits- und Ordnungsgesetz (ASOG)/Gesetz zum Schutz der öffentlichen Sicherheit und Ordnung (SOG)), ebenso wie solche in der Strafprozessordnung (z.B. §§ 100a StPO ff. und § 110 StPO). Staatliche Maßnahmen können vor den Verwaltungsgerichten überprüft werden. In Deutschland gilt seit dem 25. Mai 2018 außerdem die Datenschutzgrundverordnung (DSGVO),2 die – wie im Datenschutzrecht generell – zu einer starken europäischen Überprägung der Materie geführt hat.
Die Einhaltung der Datenschutzbestimmungen wird von den Datenschutzbeauftragten der Länder3 und dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) überwacht. Durch die föderale Organisation der Länder in Deutschland kommt es bei der Aufsicht zu einer föderalen Zersplitterung vieler einzelner Landesdatenschutzbehörden. Die übrigen EU-Mitgliedstaaten haben hingegen in der Regel zentrale Aufsichtsbehörden.
Bei der Ausübung seines Amtes ist der BfDI seit 2016 als „eigenständige oberste Bundesbehörde“4 weisungsunabhängig und ausschließlich den Gesetzen unterworfen.5 Der BfDI wird insgesamt von ca. 220 Mitarbeitenden bei seiner Arbeit unterstützt.6
Der BfDI hat umfassende Untersuchungsbefugnisse. Das bedeutet konkret, dass „alle öffentlichen Stellen des Bundes und Anbietende von Post- oder Telekommunikationsdiensten“7 verpflichtet sind, den BfDI bei seiner Arbeit zu unterstützen.8 Dazu zählt, dass sie seine Fragen beantworten, ihm umfassende Akteneinsicht und Einsicht in gespeicherte Daten und die Funktionsweise von Datenverarbeitungsprogramme gewähren müssen und der BfDI ein uneingeschränktes Zutrittsrecht genießt (§ 16 III Bundesdatenschutzgesetz (BDSG), Ausnahmen u.U. § 29 III BDSG). Kontrollen können auch anlasslos durchgeführt werden.9
Stellt der BfDI Datenschutzverstöße fest, kann er Maßnahmen ergreifen, die von einer Warnung oder Verwarnung gegenüber dem Verantwortlichen oder Auftragsdatenverarbeiter, bis zu einem Verbot der Datenverarbeitung und einer Geldbuße reichen, ergreifen.10 Die Maßnahmen sind auch gegenüber Behörden und öffentlichen Stellen verbindlich, was eine deutliche Verbesserung des Datenschutzniveaus im Vergleich zu der früheren Möglichkeit der Beanstandung darstellt.11 Die Anordnungen des Bundesbeauftragten sind vor den Verwaltungsgerichten überprüfbar.
Unternehmen haben nach der DSGVO unter bestimmten Voraussetzungen einen Datenschutzbeauftragten zu benennen. Die kommerzielle Nutzung von Daten wird ebenfalls von der DSGVO und dem BDSG geregelt, auch hier gilt ebenfalls vorrangig als „sicherste Variante“ das Prinzip der Einwilligung.12 Darüber hinaus werden insbesondere Regelungen zum Beschäftigtendatenschutz in diesem Zusammenhang relevant.13 Beschwerden können wiederum bei den Datenschutzbehörden gemeldet werden. Überprüft wird die Verletzung von Datenschutzbestimmungen durch die Gerichte.14
Mit dem Urteil des EuGH vom 16. Juli 2020 in einem Vorabentscheidungsverfahren in der Rechtssache C-311/18 (Schrems II) ist eine rechtmäßige Übertragung von personenbezogenen Daten in die USA auf Grundlage der sogenannten Privacy Shields (EU-Kommissionsbeschluss 2016/1250) nicht mehr möglich. Die Übermittlung von Daten auf Grundlage der sog. Standardvertragsklauseln (SCCs), die auf den Beschluss der Kommission 2010/87/EG zurückgehen, soll jedoch unter bestimmten Voraussetzungen weiterhin rechtmäßig sein.15 Die Voraussetzungen sind, dass die Daten in dem Drittland „ein Schutzniveau genießen, das dem in der Europäischen Union durch diese Verordnung im Licht der Charta der Grundrechte der Europäischen Union garantierten Niveau der Sache nach gleichwertig ist. Bei der insoweit im Zusammenhang mit einer solchen Übermittlung vorzunehmenden Beurteilung sind insbesondere die vertraglichen Regelungen zu berücksichtigen, die zwischen dem in der Europäischen Union ansässigen Verantwortlichen bzw. seinem dort ansässigen Auftragsverarbeiter und dem im betreffenden Drittland ansässigen Empfänger der Übermittlung vereinbart wurden, sowie, was einen etwaigen Zugriff der Behörden dieses Drittlands auf die übermittelten personenbezogenen Daten betrifft, die maßgeblichen Elemente der Rechtsordnung dieses Landes, insbesondere die in Art. 45 Abs. 2 der Verordnung 2016/679 genannten Elemente.“16 Das führt dazu, dass gegebenenfalls Einzelfallprüfungen notwendig werden.17
Der BfDI begrüßte die Stärkung der europäischen Grundrechte durch das Urteil und kündigte seine Unterstützung bei der Umsetzung der neuen Vorgaben an.18 Obwohl der Gerichtshof die SCCs nicht per se für unzureichend erklärt hat, bleibt es fraglich, ob US-amerikanische Unternehmen überhaupt ein gleichwertiges Schutzniveau garantieren können. Zur Unterstützung bei der Umsetzung des Urteils hat der Europäische Datenschutzausschuss (EDSA) FAQ ausgearbeitet und veröffentlicht.19
Bundesverfassungsgericht (1983), Az.: 1 BvR 209/83, 1 BvR 269/83, 1 BvR 362/83, 1 BvR 420/83, 1 BvR 440/83, 1 BvR 484/83.
Bundesministerium des Innern, für Bau und Heimat (2018).
Datenschutzkonferenz (2020).
Bundesbeauftragter für den Datenschutz und die Informationsfreiheit (2015).
Bundesbeauftragter für den Datenschutz und die Informationsfreiheit (2020b).
Ebd.
Bundesbeauftragter für den Datenschutz und die Informationsfreiheit (2020b).
Ebd.
Ebd.
Ebd.
Ebd.
Uecker, P. (2019).
Körner, M. (2019).
z.B. LG Karlsruhe, Urteil vom 2.8.2019 – 8 O 26/19, ZD 2019 und KG, Urteil vom 20.12.2019 - 5 U 9/18 - 2019.
Europäische Union (2016c).
Ebd., Tenor (2.).
Ebd., para. 134.
Bundesbeauftragter für den Datenschutz und die Informationsfreiheit (2020a).
European Data Protection Board (2020).
E.3
Sind die Befugnisse der Strafverfolgungs- und anderer Behörden für das rechtmäßige Abfangen von Daten von Benutzerinnen und Benutzern notwendig, verhältnismäßig und auf Umstände beschränkt, die mit internationalen und regionalen Vereinbarungen, Gesetzen und Normen vereinbar sind?
Indikator 38: Rechtsrahmen für das rechtmäßige Abfangen von Daten, einschließlich unabhängiger Aufsicht und Transparenz, sowie Nachweise für die Umsetzung durch die Regierung und andere zuständige Behörden.
Der Datenzugriff, das Abfangen von Daten, die Datenspeicherung und insbesondere die Vorratsdatenspeicherung sind in Deutschland gesetzlich geregelt und werden sowohl vom BfDI als auch von den Gerichten überwacht.
Die gesetzliche Grundlage der Online-Durchsuchung in Deutschland ist seit Inkrafttreten des Art. 3 des Gesetzes zur effektiveren und praxistauglicheren Ausgestaltung des Strafverfahrens am 24. August 20171 der neue § 100b StPO. Beim BVerfG sind fünf Verfassungsbeschwerden anhängig, die die gesetzliche Änderung für verfassungswidrig halten.2 Im Jahr 2008 hat das BVerfG3 Folgendes entschieden:
„Das allgemeine Persönlichkeitsrecht (Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG) umfasst das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme. Die heimliche Infiltration eines informationstechnischen Systems, (…) ist verfassungsrechtlich nur zulässig, wenn tatsächliche Anhaltspunkte einer konkreten Gefahr für ein überragend wichtiges Rechtsgut bestehen (…)“.4 Sie ist „grundsätzlich unter den Vorbehalt richterlicher Anordnung zu stellen. Das Gesetz, das zu einem solchen Eingriff ermächtigt, muss Vorkehrungen enthalten, um den Kernbereich privater Lebensgestaltung zu schützen.“5
Nach längeren Verhandlungen für ein Gesetz zur Ausweitung der Möglichkeiten des Einsatzes des sogenannten „Staatstrojaners“6 einigte sich die große Koalition im Herbst 2020 auf einen Entwurf für ein Gesetz zur Harmonisierung des Verfassungsschutzrechts.7 Der Entwurf erntete Kritik von vielen Seiten und die Gesellschaft für Freiheitsrechte hat bereits angekündigt bei Inkrafttreten gegen das Gesetz zu klagen.8
Vorratsdatenspeicherung beschäftigt seit fast 15 Jahren immer wieder Gerichte auf nationaler und europäischer Ebene.9 Beim BVerfG wurden gegen die Vorratsdatenspeicherung insgesamt über 35.000 Verfassungsbeschwerden erhoben. Im Jahr 2008 schränkte das BVerfG zunächst die Nutzungsmöglichkeiten der auf Vorrat gespeicherten Daten stark ein.10 Im März 2010 erklärte das BVerfG die gesetzlichen Vorschriften zur Vorratsdatenspeicherung für verfassungswidrig.11 Das Gericht führte in diesem Zusammenhang aus, dass eine Speicherung von personenbezogenen Daten über einen Zeitraum von sechs Monaten auf Vorrat immer dann verfassungswidrig sei, wenn sie aufgrund von unbestimmten und/oder nicht bestimmbaren Zwecken erfolge.12 Eine verfassungsgemäße Ausgestaltung der Vorratsdatenspeicherung sei somit grundsätzlich möglich. Dabei müssten jedoch bestimmte, strenge Anforderungen beachtet werden. Das BVerfG nennt vier Aspekte, die angesichts des intensiven Grundrechtseingriffs beachten werden müssten: ein hoher Standard der Datensicherheit;13 hinreichende Transparenz und ein effektiver Rechtsschutz;14 klare Regelungen zum Umfang der Datenverwendung;15 der Ausnahmecharakter der vorsorglichen, anlasslosen Datenspeicherungen.16
Mit dem „Gesetz zur Einführung einer Speicherpflicht und einer Höchstspeicherfrist für Verkehrsdaten“17 von 2015 sollte in Deutschland erneut eine Vorratsdatenspeicherung eingeführt werden. Die Bundesnetzagentur hat die Verpflichtung von Telekommunikationsunternehmen jedoch ausgesetzt, nachdem das Oberverwaltungsgericht Münster entschied, dass Bestimmungen zur Vorratsdatenspeicherung möglicherweise nicht mit der EU-Grundrechtecharta vereinbar sein könnten.18 Als Reaktion auf diese Ankündigung haben die deutschen Telekommunikationsunternehmen vorerst davon abgesehen, die Vorratsdatenspeicherung umzusetzen. Das Bundesverwaltungsgericht in Leipzig hat am 25. September 2019 entschieden, dem EuGH eine Frage zur Auslegung der Datenschutzrichtlinie für elektronische Kommunikation19 vorzulegen.20 Die Anwendbarkeit der im Telekommunikationsgesetz (TKG) enthaltenen Regelungen zur Vorratsdatenspeicherung wird von dieser Entscheidung abhängen.21
Neben Verkehrsdaten ist auch der rechtliche Umgang mit Bestandsdaten zur Zeit nicht letztlich geklärt. In einem Beschluss vom Mai 2020,22 hob das Bundesverfassungsgericht hervor, dass bei bestimmten Bestandsdaten, gerade bei der Übermittlung und Abfrage von Bestandsdaten durch Zuordnung einer IP-Adresse, die Gesetzgebenden höhere Hürden als bisher vorsehen müssen. Die konkrete Zuordnung der IP-Adresse müsse zusätzlich „auch dem Schutz oder der Bewehrung von Rechtsgütern von zumindest hervorgehobenem Gewicht dienen“ und sowohl die für die „Übermittlung der Bestandsdaten durch die Telekommunikationsanbieter als auch für den Abruf dieser Daten durch die Behörden“ müsse jeweils – im Sinne eines Doppeltürenmodells – eine verhältnismäßige Rechtsgrundlage geschaffen werden. Diese Entscheidung ist auch der Grund dafür, dass die Reform des Netzwerkdurchsetzungsgesetzes sich verzögerte.
Am 6. Oktober 2020 entschied der EuGH im Fall Privacy International,23 dass EU-Recht nationalen Rechtsvorschriften (hier in Belgien, Frankreich und England) entgegensteht, die Vorratsdatenspeicherung vorsehen. In Situationen jedoch, in denen ein Mitgliedstaat einer ernsthaften Bedrohung der nationalen Sicherheit ausgesetzt ist, sind Speichermaßnahmen möglich, wenn diese gesetzlich vorgesehen sind, zeitlich auf das unbedingt Notwendige beschränkt sind, mit wirksamen Schutzmaßnahmen einhergehen und von einem Gericht oder einer unabhängigen Verwaltungsbrde überprüft werden können.
Bundesanzeiger (2017b).
2 BvR 897/18, 2 BvR 1797/18, 2 BvR 1838/18, 2 BvR 1850/18, 2 BvR 2061/18: Verfassungsbeschwerden von unter anderem Rechtsanwaltschaft, Kunstschaffenden und Medienschaffenden, darunter einige Mitglieder des Deutschen Bundestages, zu der Frage, ob die durch das Gesetz zur effektiveren und praxistauglicheren Ausgestaltung des Strafverfahrens vom 17. August 2017 (BGBl. I S. 3202, in Kraft getreten am 24. August 2017) bewirkten Änderungen der Strafprozessordnung (StPO), insbesondere die Möglichkeit der Anordnung der sog. Quellen-Telekommunikationsüberwachung und der Online-Durchsuchung (mittels des sog. „Staatstrojaners“), verfassungsgemäß sind.
Bundesverfassungsgericht (2008b).
Ebd.
Ebd.
Fiedler, M. (2020).
Meister, Andre (04.06.2020).
Ebd.
Bundesbeauftragter für den Datenschutz und die Informationsfreiheit (2020c).
Bundesverfassungsgericht (2008a).
Bundesverfassungsgericht (2010).
Ebd., para 162.
Ebd., para 186.
Ebd.
Bundesverfassungsgericht (2010), para 231.
Ebd., para 244.
Bundesanzeiger (2015).
Beck aktuell (2017).
Richtlinie 2002/58/EG.
Bundesnetzagentur (2019).
Meister, A. (25.09.2019).
BVerfG, Beschl. v. 27.05.2020, Az. 1 BvR 1873/13 u.a.
EuGH, 6.10.2020, Urteile in den Fällen Case C-623/17, Privacy International, and in Joined Cases C-511/18, La Quadrature du Net and Others, C-512/18, French Data Network and Others, and C-520/18, Ordre des barreaux francophones et germanophone and Others.