Datenschutz: Rechtliche Grundlagen

Bild: marc falardeau, Lizenz: CC BY

In Deutschland ist der Datenschutz durch eine Reihe von Bestimmungen geregelt, die einerseits das Recht der Bürger auf den selbstbestimmten Umgang mit ihren Daten definieren und andererseits staatlichen Institutionen und der Wirtschaft Pflichten zum sorgfältigen Umgang mit ihnen auferlegen. Dabei muss man wissen, dass es einerseits ein Bundesdatenschutzgesetz und andererseits ein Landesdatenschutzgesetz gibt. Gerade für den schulischen Zusammenhang ist dies wichtig, denn hier gelten die jeweiligen Landesdatenschutzgesetze.

Datenschutz als Grundrecht

Aus Artikel 2 Absatz 1 in Verbindung mit Art. 1 Absatz 1 des Grundgesetzes leitet sich das Recht auf freie Entfaltung der Persönlichkeit, das so genannte allgemeine Persönlichkeitsrecht ab. Es gewährleistet jedem – im Rahmen der geltenden Gesetze – die engere persönliche Lebenssphäre und ergänzt damit bestimmte Freiheiten aus dem Grundgesetz, also z. B. seine politische Meinung äußern zu können, ohne dafür Repressalien seitens des Staates fürchten zu müssen (Art 5, Abs. 1 GG). Im so genannten Volkszählungsurteil von 1983 präzisierte das Bundesverfassungsgericht mit Bezug auf die sich damals rasant verbreitende elektronische Datenverarbeitung:

 

„Freie Entfaltung der Persönlichkeit setzt unter den modernen Bedingungen der Datenverarbeitung den Schutz des Einzelnen gegen unbegrenzte Erhebung, Speicherung, Verwendung und Weitergabe seiner persönlichen Daten voraus. […] Das Grundrecht gewährleistet insoweit die Befugnis des Einzelnen, grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen.“ (BVerfGE 65, 1, 43) [1]

 

Dieses Recht auf informationelle Selbstbestimmung soll der Urteilsbegründung nach vor einer Gesellschaftsordnung schützen, „in der Bürger nicht mehr wissen können, wer was wann und bei welcher Gelegenheit über sie weiß.“ [2] 

 

Derzeit arbeitet die EU-Kommission an einheitlichen Datenschutzbestimmungen für alle 28 EU-Staaten. Sie sollen 2018 in Kraft treten und haben zum Ziel Bürgern mehr Kontrolle über ihre personenbezogenen Daten zu geben. Dazu gehören auch ein „Recht auf Vergessen“ und eine leichtere Durchsetzung des Wunsches nach einer Löschung von Daten, die Unternehmen und Behörden erfasst haben. Mehr Informationen dazu finden Sie hier.

Schutz von personenbezogenen Daten

Zentral für den Datenschutz ist die Frage, ob aus einer bestimmten Information (Datum) direkt oder indirekt hervor geht, auf wen sie sich bezieht. Im Bundesdatenschutzgesetz (BDSG) werden personenbezogene Daten als „Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person“ [3] definiert (§ 3 Absatz  1 BDSG). Die gleiche Definition findet sich auch in § 3 Absatz 1 LDSG BW. So sind z.B. Name, Adresse, Telefonnummer und E-Mail-Adresse personenbezogene Daten. Je nach Kontext kann auch eine Information, die nur durch Verknüpfung mit weiteren Informationen den Bezug auf eine Person eindeutig zulässt, ein personenbezogenes Datum sein [4]: Während beispielsweise ein Passant auf der Straße aus dem Autokennzeichen nicht auf den Besitzer schließen kann, kann das die Polizei zu Zwecken der Strafverfolgung sehr wohl (relativer Personenbezug).

 

Bereits den Verfassungsrichtern des Volkszählungsurteils war klar, dass „es unter den Bedingungen der automatischen Datenverarbeitung kein ‚belangloses‘ Datum mehr [gibt].“ [5] Ein Grundsatz, der heute im Internetzeitalter umso stärker gilt. Das für das Internet(-recht) zentrale Beispiel sind IP-Adressen, die nötig sind, um sich überhaupt im Internet zu bewegen. Mit normalen Mitteln lässt sich aus den – zudem meist ständig wechselnden (dynamischen) – Identifikationsnummern, nicht schließen, wer da gerade surft. Webseitenbetreiber können den Nutzer anhand der dynamischen IP-Adresse nur dann identifizieren, wenn er während der entsprechenden Internetsitzung Daten über sich eingibt, z.B. beim Login in ein soziales Netzwerk. [6] Telekommunikationsanbieter (Provider) dürfen die IP-Adressen allerdings mit Verweis auf die Notwendigkeit zur Abrechnung oder zur Beseitigung von Störungen für bis zu sieben Tage speichern. [7] Anhand dieser Daten lässt sich der Personenbezug herstellen. Bei bestehendem Verdacht können diese Daten auch benutzt werden, um Strafverfolgung bei Urheberrechtsverletzungen zu ermöglichen. Das Gesetz zur anlasslosen Speicherung von Verbindungsdaten durch Provider für sechs Monate, die sog. Vorratsdatenspeicherung, wie sie von der EU vorgeschrieben wird, wurde in Deutschland 2010 durch das Bundesverfassungsgericht gekippt. Über die Möglichkeiten einer – ggf. modifizierten – Wiedereinführung wird derzeit politisch gerungen.

 

Nicht nur schriftliche Informationen, auch ein Foto oder die Videoaufnahme (z.B. durch eine Überwachungskamera) einer Person kann ein personenbezogenes Datum sein. Technologien der Gesichtserkennung, wie sie nicht nur bei biometrischen Ausweisen, sondern auch von Unternehmen wie Facebook eingesetzt werden, machen abgebildete Personen eindeutig identifizierbar. Analog zum Recht auf informationelle Selbstbestimmung gilt bei Bildern das Recht am eigenen Bild (KunstUrhG §22f.), das dem Abgebildeten erlaubt, selbst darüber zu entscheiden, was mit seinem Abbild geschieht.

 

Weiterführender Link: Die Initiative klicksafe erklärt das Recht am eigenen Bild genauer und beschreibt das Vorgehen für das Einholen von Einverständniserklärungen für die Veröffentlichung von Bildern.

Rechte der Bürger

Den Einzelnen davor zu schützen, „dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird“ [8], ist Zweck der Datenschutzgesetze (vgl. § 1 Absatz 1 BDSG, § 1 LDSG BW). Für Landesbehörden gelten die entsprechenden Landesdatenschutzgesetze (LDSG), wie etwa das LDSG Baden-Württemberg. Aus diesen Gesetzen ergeben sich u.a. folgende Rechte für Bürgerinnen und Bürger:

 

Weiterführender Link: Das Bundesdatenschutzgesetz (BDSG) in seiner aktuellen Fassung ist zusammen mit umfassenden Erläuterungen und Anhängen wie Auszügen aus dem Volkszählungsurteil in einer Broschüre des Bundesbeauftragten für Datenschutz und Informationsfreiheit veröffentlicht.

 

  • Freiwilligkeit: Personenbezogene Daten dürfen nur nach vorheriger freiwilliger Einwilligung der betroffenen Person oder aufgrund einer entsprechenden rechtlichen Grundlage erhoben werden. Die Einwilligung kann vom Betroffenen widerrufen werden.
  • Transparenz: Für den Betroffenen muss zu jedem Zeitpunkt klar sein, wer seine Daten erhebt, speichert oder ggf. (an wen) weiter gibt und zu welchem Zweck diese Person oder Institution dies tut.
  • Recht auf Auskunft: Personen, über die Informationen erhoben werden/wurden können jederzeit verlangen, dass ihnen die entsprechende Stelle Auskunft darüber gibt, welche Daten von ihnen zu welchem Zweck gespeichert hat. Besonders öffentlichkeitswirksam tat dies der österreichische Jura-Student Max Schrems, der bei Facebook die über ihn gespeicherten Daten anforderte und ein Dokument von 1 200 Seiten erhielt. [9]
  • Recht auf Schadenersatz: Fügt eine verantwortliche Stelle dem Betroffenen durch eine nach Vorschriften über den Datenschutz unzulässige oder unrichtige Erhebung, Verarbeitung oder Nutzung seiner personenbezogenen Daten einen Schaden zu, ist sie oder ihr Träger dem Betroffenen zum Schadensersatz verpflichtet (§§ 7–8 BDSG).
  • Recht auf Anrufung von Kontrollinstanzen: Fühlt sich ein Betroffener durch die Verarbeitung seiner Daten in seinem Persönlichkeitsrecht eingeschränkt, kann er sich an die im entsprechenden Gesetz genannten Kontrollinstitution wenden. Diese Institutionen können ggf. Bußgelder verhängen, die Behebung eines Missstandes anordnen oder die Datenverarbeitung in dem entsprechenden Fall untersagen. Bei Fällen, die Bundesbehörden oder Telekommunikationsunternehmen betreffen, ist dies Der Bundesbeauftragte für Datenschutz und Informationsfreiheit. Bei Fällen, die Landes- oder Kommunalbehörden und Unternehmen (nicht-öffentliche Institutionen) betreffen, die ihren Sitz im entsprechenden Bundesland haben, ist dies Der Landesbeauftragte für den Datenschutz (z.B. in Baden-Württemberg).

Pflichten öffentlicher und privater datenverarbeitender Stellen

Behörden und Unternehmen haben vor dem Hintergrund der deutschen Datenschutzgesetze zweierlei zu leisten: Den Schutz von Daten (Datensicherheit) und den Schutz vor dem Missbrauch von Daten. Im BDSG heißt es dazu: „Zweck des Gesetzes ist es, den Einzelnen davor zu schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird“. (§ 1 Abs. 1 BDSG) [10].

 

  • Der erste Punkt bezieht sich auf technisch-organisatorische Maßnahmen zum Datenschutz: Datenverarbeitende Institutionen haben die Pflicht, personenbezogene Daten z.B. durch Verschlüsselung vor dem Zugriff Unbefugter zu sichern und dafür zu sorgen, dass die Verknüpfung mit anderen Daten nur mit unverhältnismäßigem Aufwand möglich ist. Kommt es bei Institutionen, die dem BDSG unterliegen, zu Datenschutzpannen, wie z. B. der Offenlegung von Kunden- und Bankdaten, müssen die Betroffenen laut Bundesdatenschutzgesetz informiert werden.
  • Der Schutz vor Daten umfasst Maßgaben, die beim Umgang mit personenbezogenen Daten von den Behörden oder Unternehmen zu berücksichtigen sind: Datenvermeidung und Datensparsamkeit. Grundsätzlich sind so wenig personenbezogene Daten wie möglich zu erheben.
  • Pflicht zur Einholung des Einverständnisses – schriftlich (§ 126 BGB) oder in Textform (§ 126b BGB) – des Betroffenen: Dies geschieht bei Webseiten über die allgemeinen Geschäftsbedingungen (AGB) oder die Datenschutzbestimmungen, denen z.B. vor dem ersten Login zuzustimmen ist (Einverständnis in Textform). Ohne Mitwirkung des Betroffenen dürfen personenbezogene Daten nur in einigen gesetzlichen Ausnahmefällen erhoben werden und wenn keine schutzwürdigen Interessen verletzt werden.
  • Zweckbindung: Es dürfen von öffentlichen Stellen nur die Daten verarbeitet werden, die für den konkreten, genannten Zweck, z.B. Steuerzahlungen, notwendig sind. Nach Erfüllung des Zwecks sind die Daten zu löschen. Auch private Stellen wie Unternehmen müssen neben dem Einholen des Einverständnisses die Zwecke schon bei der Datenerhebung deutlich machen.
  • Verantwortung bei Datenverarbeitung im Auftrag: Werden personenbezogene Daten z.B. in ein externes Rechenzentrum verlagert, bleibt die Behörde oder das Unternehmen, dass die Daten erhoben hat, für die Einhaltung des Datenschutzes verantwortlich. 

Datenschutz bei der Kommunikation

Weiter bestehen datenschutzrechtliche (Zusatz-)Regelungen für den Medien-, Kommunikations- und Rundfunkbereich u.a. im Telemedien- (TMG) und im Telekommunikationsgesetz (TKG), die zusätzlich zum BDSG gelten. Alltagsrelevant sind hier u.a. folgende Regelungen:

 

  • Fernmeldegeheimnis: Das Fernmeldegeheimnis (TKG § 88) schützt vor dem Hintergrund der Meinungs(äußerungs)freiheit die nicht-öffentliche Kommunikation von Bürgern vor der Überwachung durch den Staat. Dabei bezieht es sich nicht nur auf die Inhalte, sondern auch auf die so genannten Verkehrsdaten, die z.B. erfassen wer, wann mit wem kommuniziert hat. Unter anderem mit Bezug auf das Fernmeldegeheimnis kippte das Bundesverfassungsgericht 2010 die durch eine EU-Richtlinie angeordnete verdachtslose Speicherung von Internetverbindungsdaten (Vorratsdatenspeicherung) in Deutschland. Für Zwecke der Strafverfolgung kann das Recht auf vertrauliche Kommunikation allerdings eingeschränkt werden. Gegenüber der Überwachung durch private Stellen (wie Unternehmen) sind Bürger über das Strafrecht geschützt. [11]
  • Recht auf anonyme/pseudonyme Nutzung von Diensten: Anbieter von Informations- oder Kommunikationsmedien (z.B. Chat- oder E-Mail-Anbieter) haben Kunden die Möglichkeit einzuräumen, ihre Dienste anonym oder pseudonym zu benutzen und zu bezahlen, soweit dies technisch möglich und zumutbar ist (vgl. TMG, § 13 Absatz 6). Außerdem hat der Anbieter das Pseudonym des Nutzers zu schützen (TMG, § 15 Absatz 3), indem er es beim Erstellen von Nutzerprofilen nicht mit personenbezogenen Daten verknüpft.

Mehr dazu unter Gelebter Datenschutz

Datenschutz international

Die genannten rechtlichen Grundlagen gelten für Behörden und private Stellen in Deutschland, doch die vieldiskutierten Datenschutzproblematiken treten auch bei der Nutzung internationaler (Internet-)Dienste wie den großen Sozialen Netzwerken auf. Für den Nutzer ist es unmöglich nachzuvollziehen, wohin sich seine Daten über das Internet verbreiten und wer im entsprechenden Fall verantwortlich ist. Das bedeutet, dass die Daten deutscher Nutzer, sobald sie im Ausland verarbeitet werden, nicht immer deutschem Datenschutzrecht unterliegen. Das deutsche Recht auf anonyme bzw. pseudonyme Nutzung von Kommunikationsdiensten gilt z.B. einer Entscheidung des Oberverwaltungsgerichts Schleswig-Holstein nach für Facebook nicht, da Facebook seinen europäischen Sitz in Dublin hat und die irischen Datenschutzgesetze das genannte Recht nicht einräumen. [12] Außerdem zeigt dieses Beispiel, dass sich viele Datenschutzfragen und -probleme in Zusammenhang mit dem Internet erst durch juristische Verfahren klären lassen, da die entsprechenden Gesetze (noch) nicht auf die sich so schnell verändernden Gegebenheiten des Webs abgestimmt sind.

 

Weiterführender Link: Aus der Initiative von Max Schrems heraus hat sich europe-v-facebook.org, der Verein zur Durchsetzung des Grundrechts auf Datenschutz gegründet. Die Website protokolliert den Stand datenschutzrechtlicher Verfahren gegen Facebook, die der Verein v. a. bei der irischen Datenschutzbehörde eingebracht hat und führt eine Liste, welche Daten Facebook über seine Nutzer sammelt.

 

Die Übermittlung von Daten aus Deutschland in Länder, die dem europäischen Datenschutzstandard nicht genügen, ist nach dem BDSG nicht ohne weiteres zulässig (vgl. §§ 4b, 4c BDSG). So muss der Betroffene hierfür sein Einverständnis geben. Außerdem wird der Datenexport in die USA über das so genannte Safe Harbor-Abkommen („Sicherer Hafen“) möglich. Es erlaubt unterzeichnenden Unternehmen wie Google, die Daten aus Deutschland auch in den USA zu verarbeiten. Sie verpflichten sich in diesem Abkommen sieben Prinzipien des Datenschutzes einzuhalten. [13] Die Überprüfung dessen ist allerdings als freiwillige Selbstkontrolle geregelt und Datenschützern zufolge daher nur unzureichend.

 

Zusätzlich schränken Rechte, die sich die US-Administrationen im Zuge der Terrorbekämpfung eingeräumt haben, das europäische Datenschutzrecht erheblich ein. Darunter fallen bekannte Maßnahmen wie das SWIFT-Abkommen, das den USA die Verfolgung von Banktransaktionen europäischer Bürger im Ausland ermöglicht [14], oder das PNR-Agreement (Passenger Name Record), das den USA Zugriff auf eine Vielzahl an Daten von Fluggästen erlaubt [15]. Aber auch geheimdienstliches Vorgehen, wie es durch die Enthüllungen von Edward Snowden 2013 offenbar wurde, verletzt deutsches Datenschutzrecht.

 

Mehr dazu unter Warum Datenschutz?

 

Das mangelnde Datenschutzniveau im Ausland ist auch einer der Gründe, warum das Baden-Württembergische Kultusministerium im Sommer 2013 u.a. die Nutzung von Facebook für dienstliche Zwecke untersagte.

 

Mehr dazu unter Datenschutz in Schule und Unterricht.

Quellen

[1] Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (Hrsg.): Info 1: Bundesdatenschutzgesetz. Text und Erläuterung. Bonn 2014, S. 182. [zurück]

[2] Die informationelle Selbstbestimmung leitet das BVerfG aus Art. 2 in Verbindung mit Art. 1 des Grundgesetzes (GG) ab. Im ersten Leitsatz des Urteils ist dies gut erklärt, siehe: Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (Hrsg.): Info 1: Bundesdatenschutzgesetz. Text und Erläuterung. Bonn 2014, S. 182. [zurück]

[3] Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (Hrsg.): Info 1: Bundesdatenschutzgesetz. Text und Erläuterung. Bonn 2014, S. 182. [zurück]

[4] Sind IP-Adressen personenbeziehbare Daten? Die Landesbeauftragte für den Datenschutz Niedersachsen. [23.09.2015] [zurück]

[5] Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (Hrsg.): Info 1: Bundesdatenschutzgesetz. Text und Erläuterung. Bonn 2014, S. 184. [zurück]

[6] Was sind personenbezogene Daten? Die Landesbeauftragte für den Datenschutz Niedersachsen. [23.09.2015] [zurück]

[7] Solmecke, Christian: OLG Frankfurt: Anlasslose Speicherung von IP-Adressen durch Provider kann zulässig sein. Wilde Beuger Solmecke. Rechtsanwälte. 17.09.2013. [23.09.2015] [zurück]

[8] Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (Hrsg.): Info 1: Bundesdatenschutzgesetz. Text und Erläuterung. Bonn 2014, S. 74. [zurück]

[9] Beuth, Patrick: Facebook löscht nicht zuverlässig. Zeit Online. 26.09.2011. [23.09.2015] [zurück]

[10] Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (Hrsg.): Info 1: Bundesdatenschutzgesetz. Text und Erläuterung. Bonn 2014, S. 74. [zurück]

[11] Brief-, Post- und Fernmeldegeheimnis. Bundeszentrale für politische Bildung. [23.09.2015] [zurück]

[12] Gericht bestätigt Klarnamenzwang bei Facebook. Zeit Online. 23.04.2013. [23.09.2015] [zurück]

[13] Safe Harbor. Die Bundesbeauftragte für Datenschutz und Informationsfreiheit. [23.09.2015] [zurück]

[14] SWIFT-Abkommen: Neues Verfahren für Auskünfte oder Berichtigungs-, Löschungs- oder Sperrungsanträge. Die Bundesbeauftragte für Datenschutz und Informationsfreiheit. [23.09.2015]. [zurück]

[15] Übermittlung von Passagierdaten in die USA: Der gläserne Passagier. Die Bundesbeauftragte für Datenschutz und Informationsfreiheit. [23.09.2015]. [zurück]

Links

Das Bundesdatenschutzgesetz (BDSG)

Das BDSG in seiner aktuellen Fassung ist zusammen mit umfassenden Erläuterungen und Anhängen wie Auszügen aus dem Volkszählungsurteil in einer Broschüre des Bundesbeauftragten für Datenschutz und Informationsfreiheit veröffentlicht.

 

Grundlagenwissen Recht am eigenen Bild bei klicksafe

Die Initiative klicksafe erklärt das Recht am eigenen Bild genauer und beschreibt das Vorgehen für das Einholen von Einverständniserklärungen für die Veröffentlichung von Bildern.

 

LDSG Baden-Württemberg

Für Landesbehörden gelten die jeweiligen Landesdatenschutzgesetze (LDSG), aus denen sich bestimmte Rechte für Bürgerinnen und Bürger ergeben.

 

Telemediengesetz (TMG)

Das TMG gilt zusätzlich zum BDSG und enthält datenschutzrechtliche (Zusatz-)Regelungen für den Medien-, Kommunikations- und Rundfunkbereich.

 

Telekommunikationsgesetz (TKG)

Das TKG gilt zusätzlich zum BDSG und enthält datenschutzrechtliche (Zusatz-)Regelungen für den Medien-, Kommunikations- und Rundfunkbereich.

 

Der Bundesbeauftragte für Datenschutz und Informationsfreiheit

Fühlt sich ein Betroffener durch die Verarbeitung seiner Daten in seinem Persönlichkeitsrecht eingeschränkt, kann er sich an die im entsprechenden Gesetz genannten Kontrollinstitution wenden. Bei Fällen, die Bundesbehörden oder Telekommunikationsunternehmen betreffen, ist dies Der Bundesbeauftragte für Datenschutz und Informationsfreiheit.

 

Der Landesbeauftragte für den Datenschutz Baden-Württemberg

Fühlt sich ein Betroffener durch die Verarbeitung seiner Daten in seinem Persönlichkeitsrecht eingeschränkt, kann er sich an die im entsprechenden Gesetz genannten Kontrollinstitution wenden. Bei Fällen, die Landes- oder Kommunalbehörden und Unternehmen (nicht-öffentliche Institutionen) betreffen, die ihren Sitz im entsprechenden Bundesland haben, ist dies Der Landesbeauftragte für den Datenschutz.


SESAM-Themenbank Datenschutz und Privatsphäre im Netz
In dieser Themenbank aus dem LMZ-Projekt Medien – aber sicher! gibt es zahlreiche Arbeitsmaterialien und didaktisch-methodische Anregungen.

Pädagogische Praxis

Dienstliche Nutzung von WhatsApp – nicht für Lehrkräfte

Viele Lehrkräfte nutzen WhatsApp als Kommunikations- und Austauschmöglichkeit mit ihren Schülerinnen und Schülern – was laut Kultusministerium verboten ist. Wie die Stuttgarter Zeitung am 8. Januar 2018 berichtet, nehmen die Beschwerden von Eltern, die sich um den Datenschutz ihrer Kinder sorgen,...weiterlesen

Neuerscheinungen der Aktion Jugendschutz

Im Mai neu erschienen: die Arbeitshilfe zur medienpädagogischen Arbeit mit Familien und Band 5 der Schriftenreihe Medienkompetenz „Grundrechte im digitalen Raum – Ein Thema für den Jugendschutz“ der Aktion Jugendschutz.weiterlesen

Unterrichtsmodul: Selbstdarstellung und Datenschutz im Internet

Deutsch/fachunabhängig, Klasse 8, GY/WRS/RS: Jugendliche geben in Sozialen Netzwerken viel von sich preis. Dieses Unterrichtsmodul behandelt die Frage, wie sich Jugendliche präsentieren und zugleich hinreichend schützen können.weiterlesen

Weitere Anregungen für die pädagogische Praxis