Datenschutz: Unterschied zwischen den Versionen
K (Datenschutz) |
K |
||
Zeile 119: | Zeile 119: | ||
</p> | </p> | ||
<p> | <p> | ||
− | + | Schadensersatz bei (schweren) Persönlichkeitsverletzungen ist schon lange anerkannt; im D.-Recht wird allerdings bisher höchst zurückhaltend Schadensersatz zugesprochen, sodass dieses Instrument zur Steuerung der Datenverarbeiter weitgehend leerläuft und von den Betroffenen auch nur selten geltend gemacht wird. Problematisch ist prozessual auch, ob beweisrechtliche Erleichterungen zugunsten der Betroffenen gelten sollen. | |
</p> | </p> | ||
<p> | <p> | ||
Zeile 166: | Zeile 166: | ||
</div> | </div> | ||
<p id="quotation1"> | <p id="quotation1"> | ||
− | I. Spiecker gen. Döhmann: Datenschutz, Version | + | I. Spiecker gen. Döhmann: Datenschutz, Version 24.11.2022, 15:57 Uhr, in: Staatslexikon<sup>8</sup> online, URL: {{fullurl:Datenschutz}} (abgerufen: {{CURRENTDAY2}}.{{CURRENTMONTH}}.{{CURRENTYEAR}}) |
</p> | </p> | ||
</div> | </div> |
Version vom 24. November 2022, 15:46 Uhr
1. Begriff und Einordnung
Unter D. wird zumeist ein Schutz personenbezogener Daten verstanden. Im weiteren Sinne fallen unter diesen Begriff sämtliche Rechte, die Daten vor dem Zugriff anderer schützen, also etwa auch der Schutz von Betriebs- und Geschäftsgeheimnissen. In einer Gesellschaft, die sich zunehmend als Wissensgesellschaft begreift, in der v. a. die Gewinnung und Verfügbarkeit von Wissen als wesentliche Faktoren für Produktion und Wohlstand angesehen werden, ist der Schutz von Daten ein ganz wesentlicher Produktions- und Entwicklungsfaktor, ermöglicht doch nur er Entwicklung, Innovation und Unterscheidbarkeit sowie in der Folge Vorsprung und Steuerung.
2. Schutz von Daten
2.1 Schutzrichtung
D. im engeren Sinne mit Bezug zu personenbezogenen Daten hat zum Ziel, das (Selbstbestimmungs-)Recht (Selbstbestimmungsrecht) des Einzelnen zu wahren, über die Erhebung, Verwendung und Weitergabe der ihn betreffenden Daten selbst zu entscheiden (BVErfGE 65, 1, 45). Auch wenn mit einem europäischen Rechtsrahmen diese Definition des BVerfG nicht mehr die gleiche Bedeutung haben wird wie zuvor, so kann sie gleichwohl weiterhin als wichtige Umschreibung des D.-Rechts gelten. D. ist daher mehr als der Schutz von Privatheit, weshalb auch im öffentlichen Raum und bei geteilten Informationen (Information) D.-Rechte bestehen. D. ist auch mehr als der Schutz von Erwartungen und Typisierungen, etwa durch „vernünftige Erwartungen“, wie sie für das US-amerikanische Recht typisch sind, weil ihm ein Selbstbestimmungsrecht innewohnt.
Das D.-Recht ist eng verbunden mit dem Persönlichkeitsrecht (Persönlichkeitsrechte) und aus diesem hervorgegangen. Es kann als ein Rückgrat der Freiheitsrechte verstanden werden, ermöglicht doch der Schutz personenbezogener Daten, dass andere Freiheitsrechte geltend gemacht werden können. Wer fürchten muss, beobachtet und ausgeforscht zu werden, verhält sich möglicherweise anders als er es ohne Observation tun würde und wird daher von seinen Rechten anders Gebrauch machen.
Als Technologierecht ist das D.-Recht geprägt vom Vorsorgeprinzip: Es geht nicht um die Abwehr bereits erfolgter oder unmittelbar bevorstehender Eingriffe und tatsächliche, physisch spürbare Einschränkungen; vielmehr ist D.-Recht ein Vorfeldrecht, das zum Teil unklare Risiken gering halten und den Eintritt weitergehender Folgen bereits im Vorfeld verhindern will. Die positive Grundausrichtung des Rechts – Schutz des Einzelnen und Sicherstellung von Persönlichkeitsentwicklung in freien Rechtsräumen, ungeachtet von Beobachtung, Nachverfolgbarkeit und Kontrollierbarkeit – wird daher oft missverstanden als eine Beschränkung anderer, unmittelbar bevorstehender positiver Effekte. Eine Abwägung zwischen D.- und anderen Rechten muss diesem Aspekt Rechnung tragen.
Die Besonderheit liegt darin, dass D.-Rechte damit keine eigentumsähnlichen Rechte gewährleisten, gleichwohl aber umfassende Berücksichtigung fordern.
D.-Rechte gelten gegenüber jedermann, also Staat und Privaten gleichermaßen.
2.2 Schutzgut
Obwohl der D. den Begriff des Datums im Namen trägt, ist sein Schutzgut doch unklar. Das liegt wesentlich an der Begriffsvielfalt und der unklaren Abgrenzung zu Nachbarbegriffen wie Informationen und Wissen. Im Kern geht es dem D.-Recht nicht um den Schutz der zugrundeliegenden Zeichenabfolge, sondern um die darüber liegende Ebene der kontextuellen Einbindung.
Geschützt werden daher zwar dem Namen nach Daten, wohl eher aber Informationen, d. h. nach der DS-RL (DS-GVO) Einzelangaben über eine natürliche Person, die entweder direkt oder indirekt ermittelbar ist. Dabei kommt es nicht darauf an, ob dafür gleich mehrere Zwischenschritte erforderlich sind.
Datenschutzrechtlich gebunden sind sowohl Privatpersonen als auch der Staat; die Entscheidungen von EuGH und BVerfG betonen jeweils die objektive Wertedimension, die ein staatliches Regulieren des privaten Informationsmarkts unter Berücksichtigung der Erfordernisse des D.es gebietet.
Das D.-Recht steht in engem Zusammenhang mit anderen Privatheit gewährleistenden Schutzgütern, etwa dem Schutz der Wohnung sowie dem Post- und Telekommunikationsgeheimnis; zudem besteht ein enges Näheverhältnis zu anderen informationellen Schutzgütern wie Presse, Medien und Meinungsfreiheit.
Die Besonderheit des Schutzguts, die zum Vorfeldschutz führt, liegt darin, dass Informationen mehrfach und von mehreren Verarbeitern verwendet werden können, ohne ihren Wert zu verlieren. Für den Betroffenen ist daher die Nachverfolgbarkeit der ihn betreffenden Daten schwierig, Eingriffe sind nur schwer zu detektieren.
2.3 Normierung
Verfassungsrechtlich ist in Deutschland der D. seit der Entscheidung des BVerfG zur Volkszählung 1983 (BVerfGE 65, 1) abgesichert; auf europäischer Ebene ist der D. – jedenfalls mit der Integration der Charta der Grundrechte der EU – als Grundrecht nach Art. 8 (Grundrechte) gewährleistet. Verstärkung auf europäischer Ebene erfährt der D. durch Art. 7 mit dem Schutz der Privatheit.
Einfachgesetzlich hat sich 1970 das Land Hessen das erste weltweite D.-Recht gegeben; seither hat der D. global erhebliche Aufmerksamkeit erfahren, die im Zeitalter der Digitalisierung, nach anfänglicher Zurückhaltung, nunmehr erheblich zugenommen hat.
Entsprechend zugenommen hat seit 1970 auch die Normierung von D.-Rechten. In unterschiedlicher Weise kennen viele Staaten D.-Rechte. Eine Reihe von unverbindlichen Richtlinien und Absichtserklärungen auf völkerrechtlicher Ebene ergänzt die normativen Vorstellungen; in der EMRK ist mit Art. 8 der Schutz der Privatheit vorgesehen, in welchen der D. integriert ist. Seit 1995 gilt für alle Mitgliedstaaten der EU die Europäische DS-RL. Sie normiert wesentliche Prinzipien und Voraussetzungen für einen legalen Umgang mit Daten, einschließlich Sanktionen und der Einrichtung von Aufsichtsbehörden. Ihre Umsetzung hat sie im deutschen Recht im BDSG von 2001 und den diversen Landesdatenschutzgesetzen gefunden, ergänzt um die Umsetzungen einiger weniger spezieller Richtlinienvorgaben, wie etwa der E-Privacy-Richtlinie. Datenschutzrechtliche Regelungen finden sich wegen des Querschnittscharakters der Materie in fast allen Gesetzen, insb. zur Rechtfertigung von Informationseingriffen gegenüber Privaten.
Zu Beginn 2016 hat die EU mit der DS-GVO eine neue D.-Gesetzgebung verabschiedet; aufgrund der zum Teil erheblichen Differenzen in den Mitgliedstaaten in der verbindlichen, unmittelbar anwendbaren Form der Verordnung. Diese wird 2018 in Kraft treten. Sie baut im Kern auf der DS-RL auf, verändert allerdings einige wesentliche Aspekte. In Deutschland werden mit dem In-Kraft-Treten der Verordnung insb. das BDSG und die Landesdatenschutzgesetze wegfallen; in Teilen ermöglichen Öffnungsklauseln, insb. für den staatlichen Umgang mit Daten, die Fortgeltung speziellen mitgliedstaatlichen D.-Rechts. Diese werden in einer Neufassung des BDSG zum Tragen kommen, die im Sommer 2017 verabschiedet wird.
Zudem wird 2017 auch die neue E-Privacy-Verordnung erlassen, die z. T. erhebliche Abweichungen von der DS-GVO für den Bereich des Internetdatenschutzes erwarten lässt.
Europäisches D.-Recht ist im Wesentlichen nicht anwendbar auf die Bereiche außerhalb der Kompetenzen der EU; Eingriffe etwa durch den in- und ausländischen Verfassungsschutz, etwa im Rahmen von Ermittlungen der NSA oder des BND, bedürfen einer verfassungs- und völkerrechtlich fundierten Beurteilung.
3. Grundprinzipien
D. basiert auf einigen Grundprinzipien, die als Abwägungs- und Entscheidungshilfe jenseits ihrer konkreten rechtlichen Ausformung herangezogen werden können. Sie können als weltweit abgesichert gelten.
3.1 Personenbezogene Daten
D. wird allg. verstanden als ein Schutz von personenbezogenen Daten; sachbezogene Daten wie etwa Unternehmensdaten oder statistische Daten fallen grundsätzlich nicht in den Anwendungsbereich. Unter personenbezogenen Daten sind Einzelangaben zu verstehen. Strittig ist, inwieweit auch Gruppendaten oder statistische Daten, jedenfalls dann, wenn sie auf den Einzelnen angewendet werden, dem D.-Recht unterfallen. Dies spielt insb. bei neueren Formen der Datenverarbeitung wie Big Data und darauf basierender Profilbildung eine nicht unerhebliche Rolle. Zudem müssen diese Einzelangaben wenigstens mittelbar auf eine konkrete natürliche Person bezogen werden können. Auch hier besteht Streit, ob eine Einschränkung dahingehend vorzunehmen ist, ob zur Beurteilung nur Zusatzwissen, das der verarbeitenden Stelle zur Verfügung steht, herangezogen werden darf. Dies würde den Anwendungsbereich des D.-Rechts erheblich einschränken und den Schutz variabel gestalten: Je nach Datenverarbeiter könnte ein Datum personenbezogen und damit vom Schutz des D.-Rechts erfasst sein oder aber nicht. Für den Betroffenen wäre dieser Umstand nicht erkennbar. Der EUGH hat 2016 entschieden, dass grundsätzlich ein weiter Begriff anzunehmen ist. Insb. für moderne Verarbeitungskontexte, die etwa unter dem Schlagwort von „Big Data“ zusammengefasst werden, kann die Verwendung personenbezogener Daten eine wesentliche rechtliche Beschränkung der Verarbeitungstätigkeit bedeuten; gleichzeitig ist hier die Gefährdung des Individuums und der Persönlichkeit wegen der Übertragung solcher Daten auf Individuen und ihre Beurteilung anhand statistischer Aussagen bes. groß.
Ein wirksamer Schutz kann theoretisch eine Anonymisierung sein, wonach der Personenbezog aufgehoben und D.-Recht nicht mehr anwendbar wäre; allerdings ist diese angesichts der Vielzahl an verfügbaren Daten und der Re-Identifizierbarkeit oftmals nicht zu gewährleisten. Auch eine Pseudonomyisierung stößt daher an Grenzen.
3.2 Geltungsbereich des Europäischen Datenschutzrechts
Angesichts globalisierter Datenströme, insb. vermittelt durch das Internet, ist die Bestimmung des anwendbaren Rechts für die Regulierung der Datenströme unklar. Das europäische Recht ging unter der DS-RL vom sog.en Territorialitätsprinzip aus, wonach die Zuständigkeit durch die Örtlichkeit des Datenverarbeitungsvorgangs bestimmt wurde. Die neue DS-GVO knüpft dagegen an das sog.e Marktortprinzip an, wonach eine an EU-Bürger gerichtete Informationsdienstleistung an EU-Recht gebunden ist. Letzteres führt faktisch zu einer Ausweitung europäischen D.-Rechts über die Grenzen Europas hinaus.
3.3 Verbotsprinzip und Prinzip der Verantwortlichkeit
Aus der Selbstbestimmtheit und den weiteren Prinzipien folgt, dass ein Datenumgang nur zulässig ist, wenn es eine ausdrückliche gesetzliche Ermächtigungsgrundlage gibt oder der Betroffene selbst eingewilligt hat (sog.es Verbotsprinzip). Die Voraussetzungen der Einwilligung sollen gewährleisten, dass die Willensfreiheit des Einzelnen gewahrt bleibt. Daher ist die Freiwilligkeit ein gewichtiges Kriterium, das durch die Neufassung der DS-GVO noch einmal gestärkt wurde. Dieses Kriterium gerät erheblich unter Druck, wenn ohne Einwilligung Informationsdienste nicht genutzt werden können, die in der modernen digitalisierten Welt als allgegenwärtig empfunden werden, aber auf dem Prinzip „Dienstleistung gegen Daten“ basieren. Zudem sieht die neue DS-GVO Grenzen der Einwilligungsfähigkeit bei Minderjährigen vor. Ausdruck des Verbotsprinzips ist auch das Prinzip der Verantwortlichkeit. Danach ist der Datenverarbeiter – dieser Begriff wird weit verstanden – verantwortlich für die Einhaltung der datenschutzrechtlichen Anforderungen. (Wenige) Previligierungen wie die Auftragsdatenverarbeitung ermöglichen auch arbeitsteiliges Vorgehen, z. T. müssen, wie etwa beim Cloud Computing, komplexe Vertragswerke die Verantwortlichkeit sicherstellen.
Besonders strikt wird die Übermittlung von Daten in das Nicht-EU-Ausland nach dem Europäischen Recht (Europarecht) beurteilt: Das Verbotsprinzip gilt hier bes. streng. Eine Übermittlung ist ausnahmsweise nur möglich, wenn im Drittstaat ein vergleichbares Recht besteht; wann dies der Fall ist, ist unklar, nachdem der EuGH 2015 den Transfer auf der Basis eines sog.en Safe-Harbor Agreements jedenfalls mit den USA faktisch für unzulässig erklärt hat. Unternehmen versuchen zumeist, mit sog.en Standardvertragsklauseln Rechtssicherheit zu erlangen.
3.4 Berechtigte Interessen
D. ist ein wichtiger öffentlicher und privater Belang mit starken Rechtspositionen der Betroffenen. Gleichwohl können auch Interessen entgegenstehen. Diese werden anerkannt, auch in der einfachgesetzlichen Ausprägung, etwa den nationalen Gesetzen oder der europäischen DS-RL und DS-GVO. Anerkannt sind öffentliche Interessen wie das Funktionieren staatlicher Einrichtungen oder öffentliche Sicherheitsinteressen. Berechtigte Interessen des Datenverarbeiters, die ihrerseits grundrechtlich abgesichert sein können – etwa über die Berufsfreiheit –, können gegenüber datenschutzrechtlichen Interessen überwiegen. Zudem kann ein Umgang mit Daten auch im Interesse der Öffentlichkeit sein, wobei dieses Kriterium umstritten ist. Schließlich hat oftmals auch der Betroffene selbst ein Interesse an der Verarbeitung seiner Daten, etwa bei Vertragserfüllung oder im Notfall.
Während das bisher geltende nationale D.-Recht zum Teil ausgefeilte Vorschriften für Scoring, Werbung, Profiling, Videoüberwachung und andere spezifische Datenverwendungen und -weiterverwendungen vorsah, stützt sich die neue DS-GVO in Art. 5 und 6 auf einen allg.en Grundsatz, dessen Ausgestaltung und Konkretisierung in den kommenden Jahren mit Spannung erwartet wird.
3.5 Prinzip der Datensparsamkeit
Eines der wesentlichen Elemente von D. besteht im Prinzip der Datensparsamkeit: Daten sind nur auf ein bestimmtes, konkretisiertes Ziel hin zu erheben und zu verwenden, wenn es keinen anderen Weg zur Zielerreichung gibt. Das Prinzip der Datensparsamkeit ist also eine Umschreibung der Erforderlichkeit des juristischen Verhältnismäßigkeitsgrundsatzes (Verhältnismäßigkeit), allerdings in einer strengen und konkretisierten Ausprägung.
Dieses Prinzip gerät derzeit durch die Entwicklung der digitalisierten Welt (Digitalisierung) erheblich unter Druck: Eine immer größere Vernetzung macht immer größere Datenmengen verfügbar; deren Zusammenführung und Auswertung, unter dem Schlagwort „Big Data“ erfolgend, wird erhebliche Auswirkungen auf Entscheidungen und Freiheitlichkeit von Menschen haben, werden diese doch zunehmend auf statistischer Basis vorhersagbar und planbar, ohne dass der konkreten Individualität des Menschen Rechnung getragen wird. Dies ist rechtmäßig nur möglich, wenn der Erforderlichkeitsgrundsatz und das Prinzip der Datensparsamkeit aufgegeben werden, Vollzugsdefizite treten allerdings nicht selten auf.
3.6 Prinzip der Zweckbestimmtheit
Eng mit der Datensparsamkeit verbunden ist das Prinzip der Zweckbestimmtheit: Daten dürfen nur zu einem vorher bekannten genau bestimmten Zweck erhoben und verwendet werden. Das Vorliegen eines solchen Zwecks ist also Voraussetzung der Rechtmäßigkeit von Erhebung und Verwendung. Eine Zweckänderung für spätere andere Verarbeitungen ist nur ausnahmsweise möglich.
Diese Anforderung gilt auch für gesetzliche Grundlagen, aufgrund derer datenschutzrechtliche Eingriffe möglich sind: Sie müssen in gesteigerter Weise bereichsspezifisch und präzise bestimmt sein, um zweckentfremdende Nutzungen auszuschließen.
3.7 Risikoabwägung/bes. Daten
Gelegentlich wird vertreten, Datenverarbeitung könne anhand von Risikobereichen reguliert werden. Dahinter steht auch die Vorstellung, es gäbe Daten, die per se bes. Persönlichkeitsrelevanz aufwiesen. Diese Ansicht verkennt, dass zumeist nicht das einzelne Datum Gefährdungspotential für den Betroffenen aufweist, sondern die Rekombination mit anderen Daten. Dies ist aber nicht vorhersehbar. Eine Risikobeurteilung kann also nicht zur Grundlage datenschutzrechtlicher Prüfung gemacht werden.
Gleichwohl sieht das Europäische D.-Recht vor, dass sensible Daten, d. h. Daten mit einem Bezug etwa zu Rasse, Gesundheit, Sexualität, Gewerkschafts- oder Religionszugehörigkeit einen bes.n Schutz genießen. Die neue DS-GVO sieht zudem bes. Regelungen bei bes. risikogeneigten Datenverarbeitungen vor. Hier müssen Datenverarbeiter bereits frühzeitig eine Risikoabschätzung vornehmen und die Aufsichtsbehörden einbeziehen.
3.8 Verbot automatisierter Einzelentscheidung
Im Zeitalter von „Big Data“ gewinnt das Verbot der automatisierten Einzelentscheidung bes. Bedeutung: Es sieht vor, dass belastende Entscheidungen nicht allein auf der Basis von Algorithmen und statistischer Steuerung ergehen sollen. Faktisch läuft dieses Prinzip allerdings häufig leer; seine fortgesetzte Anwendbarkeit ist zwar auch in der DS-GVO vorgesehen, lässt aber eine konkrete Ausgestaltung offen. Sein Gewicht wird für die Wahrung der Freiheitlichkeit und Individualität unterschätzt.
4. Vollzugsdefizit
Aus verschiedenen Gründen besteht ein erhebliches Vollzugsdefizit, das erst allmählich gesehen und dem erst allmählich gegengesteuert wird. Die Mühen des Rechtsschutzes in der globalisierten Informationsdienstleistungswelt sind nur ein Faktor; die Schwierigkeit der Detektion von Dateneingriffen ist ein Hauptproblem. Es fehlen zumeist technische Kenntnisse und Mittel, um solche zu erkennen und sie einem Verursacher zuzuordnen. Zudem bestehen Dateneingriffe gegenüber Privaten oftmals darin, wenige scheinbar unbedeutende Eingriffe vorzunehmen. Werden diese allerdings massenhaft bei vielen vorgenommen, können sich daraus erhebliche Vorteile für Informationsdienstleister ergeben, gegen D.-Recht zu verstoßen, ohne Rechtsmittel fürchten zu müssen.
5. Rechte des Einzelnen/Rechtsschutz
Zur Durchsetzung des Rechts sind verschiedene Rechte einschließlich Rechtsschutz des Betroffenen normiert. Dazu gehört zunächst das Recht auf Auskunft über Bestand und Herkunft der gespeicherten Daten bei einem Datenverarbeiter. Weiterhin sind vorgesehen das Recht auf Löschung (häufig auch als „Recht auf Vergessen“ irreführend postuliert), Sperrung und Berichtigung, teilweise auch auf Widerspruch, mittels dessen eine gesonderte Abwägungsentscheidung eingefordert werden kann. Der Auskunftsanspruch soll spätere Abwehrrechte wie Löschung überhaupt erst ermöglichen; er trägt dem Problem Rechnung, dass für einen Betroffenen kaum überschaubar ist, wo Daten gelagert sind und wer sie überhaupt wie verarbeitet.
Schadensersatz bei (schweren) Persönlichkeitsverletzungen ist schon lange anerkannt; im D.-Recht wird allerdings bisher höchst zurückhaltend Schadensersatz zugesprochen, sodass dieses Instrument zur Steuerung der Datenverarbeiter weitgehend leerläuft und von den Betroffenen auch nur selten geltend gemacht wird. Problematisch ist prozessual auch, ob beweisrechtliche Erleichterungen zugunsten der Betroffenen gelten sollen.
Wegen des Vollzugsdefizits wird der individuelle Rechtsschutz durch Verbandsklagerechte verstärkt.
6. Flankierende Maßnahmen des Datenschutzes
Jenseits der konkreten Anforderungen an individuelle Eingriffe verlangt das D.-Recht weitergehende allg.e Schutzmaßnahmen. Diese sind Ausdruck der Sicherung von Grundrechten durch Verfahren.
IT-Sicherheit: Dazu gehören technisch-organisatorische Schutzvorkehrungen, also eine Sicherheits-Infrastruktur der datenerhebenden und -verwendenden Stellen. Damit ist im Rahmen des D.es auch das Konzept der IT-Sicherheit angesprochen. In Deutschland und Europa wird verstärkt ein Schutz von sog.en „Kritischen Infrastrukturen“ normiert.
Aufsichtsbehörden: Zudem sehen sowohl das nationale als auch das Europarecht unabhängige weitere Kontrollinstanzen vor. Das D.-Recht soll also nicht allein in der Kontrollhoheit des Privaten stehen, sondern zudem durch weitere Einrichtungen durchgesetzt werden. Dieses Konzept ist angesichts der Besonderheiten der Eingriffe in D.-Rechte und des erheblichen Vollzugsdefizits geboten. Als solche unabhängigen Kontrolleinrichtungen z. B. fungieren zum einen in den Unternehmen selbst betriebliche D.-Beauftragte (Datenschutzbeauftragter), die das D.-Anliegen mittels bes.r Rechte, u. a. direkter Zugangsmöglichkeiten zum Vorstand, unternehmensintern wahren sollen. Zudem gibt es sowohl in den Ländern und beim Bund als auch auf der europäischen Ebene eingerichtete Aufsichtsbehörden. Diese sind auch in der DS-GVO mit einer bes.n Unabhängigkeit ausgestattet, sodass sie dem demokratisch legitimierenden Zugriff einer Rechtsaufsicht entzogen sind. Die Rechte der Aufsichtsbehörden sind im Zuge der Novellierung des Europäischen D.-Rechts erheblich ausgeweitet und intensiviert worden, u. a. besteht nunmehr die Möglichkeit, bei Verstößen gegen D.-Vorschriften empfindliche Bußgelder in Abhängigkeit vom weltweiten Jahresumsatz zu verhängen.
Während im Rahmen der DS-RL zum Teil erhebliche Differenzen über Zuständigkeiten und in den Rechtsauffassungen der mitgliedstaatlichen Aufsichtsbehörden bestanden, sieht die neue DS-GVO ein umfassendes System vor, nach dem grundsätzlich nur eine Aufsichtsbehörde zuständig ist („One-stop-shop“), sich die Aufsichtsbehörden aber untereinander abstimmen müssen und eine einheitliche Vorgehensweise insb. gegenüber international agierenden Informationsdienstleistern abgesichert wird, sog.es Kohärenzverfahren.
Informationspflichten der Datenverarbeiter: Die Datenverarbeiter sind verpflichtet, bei D.-Verstößen oder IT-Sicherheitslücken (nach dem IT-Sicherheitsgesetz) die zuständigen Behörden zu informieren.
Datengeheimnis: Alle mit der Datenverarbeitung befassten Personen sind zur Wahrung des Datengeheimnisses verpflichtet; eine Verletzung ist zum Teil strafbewehrt.
Literatur
I. Spiecker gen. Döhmann u. a.: The regulation of commercial profiling, EDPL 2/1(2016), 535–554 • J. Eckhardt: Datenschutz in der Werbung, in: DuD 38/6 (2014), 381–388 • S. Simitis (Hg.): Bundesdatenschutzgesetz. Kommentar, 82014 • J. Taeger: Rechtlicher Regelungsrahmen des Scorings in Deutschland, in: K&R 10 (2014), 4–32 • M. Bäcker: Grundrechtlicher Informationsschutz gegen Private, in: Der Staat 51/1 (2012), 91–116 • M. Hansen: Vertraulichkeit und Integrität von Daten und IT-Systemen im Cloud-Zeitalter, in: DuD 36/6 (2012), 407–412 • M. Karg: Die Rechtsfigur des personenbezogenen Datums, in: ZD 2/6 (2012), 255–260 • I. Spiecker gen. Döhmann: Die Durchsetzung datenschutzrechtlicher Mindestanforderungen bei Facebook und anderen sozialen Netzwerken, in: K&R 11 (2012), 717–724 • J. Caspar: Arbeitnehmerdatenschutz, in: DuD 35/10 (2011), 687–693 • T. Dreier/I. Spiecker genannt Döhmann: Die systematische Aufnahme des Straßenbildes, 2010 • T. Petri/M.-T. Tinnefeld: Völlige Unabhängigkeit der Datenschutzkontrolle, in: MMR 13/3 (2010), 157–161 • A. Roßnagel: Das Bundesverfassungsgericht und die Vorratsdatenspeicherung in Europa, in: DuD 34/8 (2010), 544–548 • A. Dix/T. Petri: Das Fernmeldegeheimnis und die deutsche Verfassungsidentität, in: DuD 33/9 (2009), 531–535 • G. Britz: Vertraulichkeit und Integrität informationstechnischer Systeme, in: DÖV 10 (2008), 411–414 • J. Bizer: Sieben goldene Regeln des Datenschutzes, in: DuD 31/5 (2007), 350–356 • M. Albers: Informationelle Selbstbestimmung, 2005.
Empfohlene Zitierweise
I. Spiecker gen. Döhmann: Datenschutz, Version 24.11.2022, 15:57 Uhr, in: Staatslexikon8 online, URL: https://www.staatslexikon-online.de/Lexikon/Datenschutz (abgerufen: 25.11.2024)