Marie-Theres Tinnefeld

Simitis (Hrsg.), Bundesdatenschutzgesetz


Spiros Simitis (Hrsg.), Bundesdatenschutzgesetz, Baden-Baden (Nomos) 7. Aufl. 2011, ISBN 978-3-8329-4183-3, € 178,-

 

ZD-Aktuell 2011, 24         "Wissen ist Macht“. Seit Francis Bacons (1620) wirkmächtiger Formulierung ist Wissen an die Vorstellung von Herrschaft gebunden – zunächst über die Natur und dann über den Menschen. Die moderne Konzeption des Wissens hat seit Orwells Roman „1984“ neue Konturen gewonnen. Vor diesem Hintergrund gewinnt „Wissen“ zunehmend als digitalisierte Information Macht über den Menschen. Sie ist technisch ausgerichtet und an einen weltweiten Zugriff gebunden. Und im Laufe dieser Entwicklung werden persönliche Daten zum Produkt, das sich lohnend verkauft oder vom Staat zum Zwecke des Kampfes gegen den Terrorismus im sog. Cyberwar ausgespäht wird. Dabei ist es durchaus unsicher, ob die persönlichen Informationen im richtigen Kontext erscheinen, also zutreffendes Wissen über eine Person vermitteln. Und dies ist nur eine der vielen offenen Fragen, die das Grundrecht auf Datenschutz meistern möchte, obwohl viele der mächtigen global player gerade diesem Recht keine Chance mehr einräumen: Anything goes! Verblasst der so selbstverständliche Schutz der Privatheit? Ist der Datenschutz in einer Krise?

 

Der französische Historiker Roger Chartier merkte 1998 zur Krise der Geschichtswissenschaften an: „If history is a discipline in crisis, it is a crisis of riches, not poverty.“ Nichts anderes lässt sich über den Datenschutz sagen, wenn man die 7. Auflage des einbändigen Groß-Kommentars zum Bundesdatenschutzgesetz von Spiros Simitis betrachtet, in dem der Herausgeber in teilweise neuer Besetzung die schwierigen Herausforderungen eines reichen Menschenrechts im 21. Jahrhundert in Angriff nimmt.

 

Als Kommentatoren sind Johann Bizer, Hansjörg Geiger und Stefan Walz ausgeschieden und Achim Seifert (Definition des Beschäftigten, Beschäftigtendatenschutz) sowie Philip Scholz (Definition des Pseudonyms und der Speicher- und Verarbeitungsmedien u.a. sowie die Erörterung der automatisierten Einzelentscheidung, der Videoüberwachung und der Vorschriften über mobile personenbezogene Speicher- und Verarbeitungsmedien) neu hinzugekommen. Teilweise haben auch „alte“ Autoren Texte neu bearbeitet, etwa Thomas Petri die auch international bedeutsame Vorschrift zur Auftragsverarbeitung.

 

Simitis behandelt in seiner umfassenden Einleitung „Geschichte – Ziele – Prinzipien“ des Datenschutzes (E, S. 1-250). Er widmet sich insbesondere dem notwendigen Zusammenspiel von EU-Recht und nationalem Recht, das seit dem Vertrag von Lissabon auch im öffentlichen Bereich wachsen wird, da es die Drei-Säulen-Struktur seit dem Reformvertrag nicht mehr gibt. Bei der Schaffung von Mindestvorschriften im Bereich der polizeilichen und justiziellen Zusammenarbeit in Strafsachen sind allerdings in besonderer Weise die „Unterschiede zwischen den Rechtsordnungen und -traditionen der Mitgliedstaaten“ zu berücksichtigen. Der supranationale Datenschutz endet weder an den nationalen noch an den internationalen Grenzen, auch wenn drei Mitgliedstaaten der EU von den unionsweiten Anforderungen der EU-Grundrechte-Charta ausdrücklich ausgenommen worden sind (E, S. 250).

 

Simitis spricht das (noch deutsche) „Grundrecht auf Vertraulichkeit und Integrität informationstechnischer Systeme“ im Rahmen der Ausführungen zu Zweck und Anwendungsbereich des BDSG erstmalig und als Ergänzung der informationellen Selbstbestimmung an (§ 1, S. 44) und verbindet es späterhin mit der Onlinedurchsuchung, die Anlass für die Schaffung des neuen Grundrechts war (§ 1, S. 171). Auch Sokol stellt nur den lückenschließenden Charakter des Grundrechts (§ 13, S. 2, 14) fest. Im Kommentar fehlt eine nähere Erörterung des offenen Begriffs der (eigenen) „informationstechnischen Systeme“, die einen breiten Leistungsumfang ansprechen und etwa im Rahmen von netzbasierten Anwendungsprogrammen (z.B. bei Gehirnverknüpfungen mit dem iPhone im Falle von Alzheimer-Patienten oder Beobachtungen im Terrorismuskampf) sehr intensiv und zunehmend das Recht auf Privatheit berühren.

 

Scholz befasst sich mit der neuen Zielvorgabe für die Datenverarbeitung und Datensparsamkeit, die sich seit der Novellierung des BDSG 2009 auf Erhebung und Verwendung von personenbezogenen Daten erstreckt. Er betont zu Recht, dass damit der gesamte Verarbeitungsprozess einem Zusammenhang unterliegt, der sich auf die Gestaltung von Geschäftsmodellen auswirkt (§ 3a, S. 43) und sich als Anknüpfungspunkt einer entsprechenden Organisation der Datenverarbeitungsprozesse für ein Datenschutzmanagement anbietet (§ 3a, S. 44).

 

Eine der brisantesten datenschutzrechtlichen Fragen ist die zunehmende Videoüberwachung zu repressiven und präventiven Zwecken in allen Lebensbereichen öffentlich zugänglicher Räume, die auf einer breiten Akzeptanz der Bevölkerung fußt. Scholz nennt dafür das steigende Sicherheitsbedürfnis der Bürger (§ 6b, S. 10, 11) und analysiert die neuen technischen Möglichkeiten der intelligenten Bildübertragung, der Netzwerkkameras u.a., die diese Technik zwar attraktiver (§ 6b, S. 12-15), aber auch risikoreicher für den Privatheitsschutz im Sinne der EU-Datenschutzrichtlinie und des deutschen Verfassungsrechts machen (§ 6b, S. 23-33). Im Folgenden wird der Anwendungsbereich und die Zulässigkeit der Videoüberwachung rechtlich-technisch anhand praktischer Beispiele erläutert, die auch im umstrittenen Feld des Beschäftigtendatenschutzes von großem Interesse sind (§ 6b, S. 5, 6).

 

Petri erörtert die brisanten Fragen der Auftragsdatenverarbeitung, die nach den Datenskandalen (2008 und 2009) im Jahre 2009 in mehreren Punkten (Anforderungen an die Auswahl der Dokumentation und konkrete Überprüfung des Auftragnehmers u.a.) neu geregelt wurden (§ 11, S. 5, 52). Gerade im Bereich der Auftragsdatenverarbeitung spielen auch der europa- und verfassungsrechtliche Kontext eine wichtige Rolle. Petri untersucht differenziert die Zulässigkeit der Auslagerung hoheitlicher Aufgaben an nicht-öffentliche Stellen im Kernbereich hoheitlicher Tätigkeit, beim Steuergeheimnis und anderer Tätigkeiten etwa im Rahmen der Asylunterkunft (§ 11, S. 9-11). Von besonderem praktischen Nutzen ist die Behandlung von Einzelfällen, z.B. im Rahmen des „Cloud Computing“ im nationalen und supranationalen Raum (§ 11, S. 30) sowie die Kriterien für die Auslagerung an eine übergeordnete Behörde und innerhalb eines Konzerns (§ 11, S. 35f.). Die umstrittene konzerntypische Auslagerung der gesamten Personaldatenverwaltung soll im Gegensatz zum Beschäftigtendatenschutz auf EU-Ebene geregelt werden, wobei die Maßstäbe auf der supranationalen Ebene kaum anders gesetzt werden dürften. Seifert befasst sich ausführlich mit dieser Fragestellung auch unter betriebsverfassungsrechtlichen Gesichtspunkten (§ 32, S. 116-121).

 

Seifert setzt neue Schwerpunkte im Beschäftigtendatenschutz. Er konkretisiert eingehend den Begriff des Beschäftigten unter Berücksichtigung kirchlicher Einrichtungen und anderer Tendenzbetriebe (§ 3, S. 279ff). Auch wenn kirchliche Beamte einen Sonderstatus haben, so wäre vielleicht eine kritische Anmerkung im Verhältnis zu Normalarbeitsverhältnissen sinnvoll, wenn es um grundrechtliche Kernfragen des Privatheitsschutzes geht, an den auch Kirchen gebunden sind. Anknüpfend an die Begriffsklärungen unternimmt Seifert eine Analyse der 2009 eingeführten Bestimmung zum Beschäftigtendatenschutz (§ 32) anhand des Erforderlichkeitsprinzips als zentralen Beurteilungsmaßstab, das einer Abwägung widerstreitender Interessen auch in Abhängigkeitsverhältnissen den Weg weisen soll (§ 32, S. 9-11). Der Autor ergänzt seine Ausführungen durch eine Erörterung der geplanten neuen Bestimmungen zum Beschäftigtendatenschutz etwa zur Videoüberwachung (§ 32, S. 81) unter Einbindung der Beteiligung/Mitwirkung kollektiver Vertretungen (§ 32, S. 144-196). Von besonderem Interesse sind die Erörterungen zu § 32 Abs. 6 Satz 2 RegE (§ 32, S. 51), die sich mit der Erhebung von Beschäftigtendaten aus sozialen Netzwerken befassen, insbesondere auch solchen, die zur Darstellung der beruflichen Qualifikation ihrer Mitglieder bestimmt sind. Falls man wie der Autor das überwiegende berechtigte Interesse des Arbeitgebers an einer solchen Datenerhebung ohne Mitwirkung des Beschäftigten bejaht, müssen in jedem Fall die Rechte der Beschäftigten durch entsprechende rechtzeitige Informationspflichten seitens des Arbeitgebers etwa im Bewerbungsverfahren gestärkt werden, um sicherzustellen, dass die Daten im richtigen Kontext genutzt werden und zutreffendes Wissen über eine Person vermitteln.

 

Dix befasst sich mit der Betroffenenauskunft und den nachfolgenden Korrektur- bzw. Löschungsansprüchen. Die Rechte des Betroffenen wurden 2009 durch eine „Verpflichtung sowohl der übermittelnden als auch der empfangenden Stelle zur Speicherung und Beauskunftung der Herkunft und der (weiteren) Empfänger der Daten“ gestärkt, so auch das eingeschränkte Listenprivileg nach § 28 Abs. 3 Satz 4 (§ 34, S. 32). Dix kritisiert die nur zweijährige Speicherpflicht der speichernden Stelle hinsichtlich zusammengefasster personenbezogener Daten zu Werbezwecken. Es bleibt die Frage, ob sie im schnelllebigen Advertisement länger von Interesse sein kann, als Dix vermutet. Hervorzuheben ist die Scoring-Novelle von 2009. Dix stellt die notwendig gewordenen Ergänzungen deutlich dar: Wahrscheinlichkeits-(Score-)Werte dürfen nicht mehr länger als Betriebs- und Geschäftsgeheimnisse klassifiziert werden. Dem Betroffenen ist auf Verlangen einzelfallbezogen Auskunft zu erteilen, wobei der Transparenzgedanke u.a. hinsichtlich der Datengrundlage für den Wahrscheinlichkeitswert weitmöglichst berücksichtigt werden muss, ggf. auch unter Ausdehnung auf anonyme Daten (§ 34, S. 33-36).

 

Der in jeder Hinsicht schwergewichtige Kommentar gibt auch im Rahmen neuer technologischer Entwicklungen Information und Starthilfen im öffentlichen und privaten Sektor, die hier nicht in allen Einzelheiten ausgebreitet werden können. Die vertiefenden datenschutzrechtlichen Ausführungen im Kommentar machen deutlich, dass nur allseitig richtiges, kontextbezogenes Wissen Macht in der Hand derjenigen erzeugen kann, die Betroffene einbeziehen. Nur unter diesem Vorzeichen hat ein ausbalancierter Datenschutz weiterhin eine Chance zu überleben.

 

Der Kommentar ist nicht nur in erster Linie ein Kommentar der Datenschutzinstanzen, er stammt auch überwiegend aus der Feder von derzeitigen und ehemaligen Mitgliedern der entsprechenden Einrichtungen. Dabei stellt sich die spannende Frage, ob und wie sich deren Rolle in Staat und Wirtschaft, die sich bisher mehr auf die reine Datenschutzkontrolle (Rechtmäßigkeitskontrolle) konzentrierte, nunmehr auch auf eine Rolle hin bewegt und bewegen muss, die auch die Funktion eines zukunftsorientierten Ratgebers beinhaltet. Der Kommentar steuert diese Richtung an und ist so in der Lage, dem Datenschutz etwa in Richtung Cyberwar neue Konturen zu geben.

 

Prof. Dr. Marie-Theres Tinnefeld, Professorin für Datenschutz und Wirtschaftsrecht an der Hochschule München.