Kurz: Datenschutz, Privatsphäre und Cybersicherheit in Deutschland
Alle Fragen
Überblick
Deutschland ist Vorreiter in der Datenschutzgesetzgebung. 1970 erließ das Bundesland Hessen das weltweit erste Datenschutzgesetz. Bald folgten weitere Bundesländer und am 1. Januar 1978 trat das erste deutsche Bundesdatenschutzgesetz (BDSG) in Kraft. Diese Gesetze legen Grundprinzipien des Datenschutzes fest, wie z. B. das Erfordernis einer gesetzlichen Genehmigung oder Zustimmung der betroffenen Person zur Verarbeitung personenbezogener Daten. 1983 entschied das Bundesverfassungsgericht, dass dem Einzelnen ein verfassungsmäßiges Recht auf „informierte Selbstbestimmung“ zustehe. Hintergrund dieses wegweisenden Urteils war die geplante Volkszählung von 1983, die sich hauptsächlich auf die gesamtdeutsche Volkszählung durch elektronische Datenverarbeitung konzentrierte. Die Menschen in Deutschland waren begeistert von der Idee und in der Folge – mehr als 1.600 Beschwerden des Deutschen Bundestages gegen das Volkszählungsgesetz wurden beim Bundesverfassungsgericht eingereicht. Schließlich erklärte das Bundesverfassungsgericht im Dezember 1983 einzelne Bestimmungen des Volkszählungsgesetzes für verfassungswidrig.
Im Laufe der Zeit wurde das Bundesdatenschutzgesetz an die Bedürfnisse einer Gesellschaft angepasst, in der die Datenverarbeitung immer wichtiger wurde. Insbesondere die Digitalisierung warf viele Fragen auf, die es zu klären galt. Vor diesem Hintergrund hat der Gesetzgeber im Jahr 2007 das Telemediengesetz (DMA) erlassen, das eine Verpflichtung zur Wahrung der Datensicherheit beim Betrieb von Telemediendiensten auferlegt. Als jedoch Datenschutzrecht und Telemediengesetze zunehmend durch das Internet gestört wurden, plante der europäische Gesetzgeber, dass die ePrivacy-Verordnung zeitgleich mit der Datenschutz-Grundverordnung (DSGVO) das TMA ablöst. Obwohl die DSGVO am 25. Mai 2018 in Kraft getreten ist, wird die ePrivacy-Verordnung auf europäischer Ebene noch verhandelt und wird voraussichtlich nicht vor 2024 in Kraft treten. Die dadurch entstehende Rechtsunsicherheit will der deutsche Gesetzgeber beseitigen. Das neue Telekommunikations- und Telemediendatenschutzgesetz (TTDSG) setzt die Anforderungen der europäischen ePrivacy-Richtlinie um, die schon vor einigen Jahren in deutsches Recht hätte umgesetzt werden sollen. Das TTDPA trat schließlich im Dezember 2021 in Kraft.
Der folgende Text gibt einen Überblick über die aktuelle Rechtslage in Deutschland und stellt die mit der Digitalisierung einhergehenden Veränderungen und Herausforderungen des neuen Datenschutzzeitalters dar.
Jahr im Rückblick
Im vergangenen Jahr hat sich die Zuständigkeit für immaterielle Schadensersatzansprüche geändert. Und selbst die Vor- und Obergerichte wenden die sachlichen Grenzen nicht streng wie in früheren Jahren an. Eine erhebliche Einschränkung setzt einen konkreten Gegenstand der Beeinträchtigung oder des Verlusts eines objektiv erkennbaren und beobachtbaren Persönlichkeitsrechts voraus. Einige Gerichte wenden diesen Grundsatz strikt an.2 Andere haben ein breiteres Verständnis und schließen geringfügige Schäden ein3 oder einen Verstoß gegen die Bestimmungen der DSGVO, einschließlich formeller Anforderungen, für einen immateriellen Schadensersatzanspruch als ausreichend erachten4 Gemäß Artikel 82 DSGVO. Diese Entwicklung wird sich in den nächsten Jahren fortsetzen, da die bisherige deutsche Rechtsprechung, die immaterielle Schäden nur bei schwerwiegenden Persönlichkeitsrechtsverletzungen vorsah, im Rahmen des Art. 82 DSGVO keine Anwendung mehr findet. Bei geltender DSGVO ist „Schaden“ ein europarechtlicher Begriff, der keine wesentliche Beschränkung kennt.5 Da Gerichte Artikel 82 der DSGVO zunehmend weit auslegen, erhöht dieser Trend die Haftungsrisiken für Unternehmen, insbesondere für solche mit mehreren Kunden. Bedenkt man, dass geringfügige Verstöße zu angemessenen Schadensersatzansprüchen führen können, können sich Entschädigungs- und Prozesskosten schnell zu einer hohen Summe summieren.
Das vergangene Jahr war geprägt vom Ausgleich der durch das Urteil des Europäischen Gerichtshofs (EuGH) vom 16. Juli 2020 (Schrems II) hat der EuGH in diesem Fall das EU-US Privacy Shield für ungültig erklärt, sodass diese Entscheidung nicht als angemessener Übermittlungsmechanismus dienen konnte. Als Hauptargument gegen ein angemessenes Datenschutzniveau in den USA nannte das Gericht das Recht der US-Behörden, vertraulich und ohne wirksame Rechtsbehelfe auf personenbezogene Daten von EU-Bürgern zuzugreifen. Obwohl der Gerichtshof in seinem Urteil die Standardvertragsbestimmungen der Europäischen Kommission bestätigte, forderte er zusätzliche Garantien, um eine sichere Datenübertragung zu gewährleisten.6 Wie genau zusätzliche Sicherheitsmaßnahmen ausgestaltet werden sollten, hängt vom konkreten Einzelfall ab. Der Europäische Datenschutzausschuss hat jedoch Richtlinien zu diesem Thema erlassen.7 Darüber hinaus hat die Europäische Kommission neue Standardvertragsklauseln eingeführt, die Ende 2022 verpflichtend wurden und bereits eine gesetzliche Verpflichtung zur Durchführung einer Transfer-Folgenabschätzung enthalten (Artikel 14).8
Die Einschätzung, ob eine sichere Datenübertragung in die USA gewährleistet werden kann, ist für viele Unternehmen eine große Herausforderung. Einerseits sind sie immer noch damit beschäftigt, die Anforderungen der DSGVO und der damit verbundenen neuen Rechtsprechung zu erfüllen (z. B. die Einholung der Einwilligung betroffener Personen bei der Verwendung von Tracking-Cookies für Marketing- und Analysezwecke). Andererseits haben US-Dienstleister aufgrund der fehlenden Kooperation der von ihnen genutzten Dienste keine Möglichkeit zu überprüfen, ob die Voraussetzungen für eine rechtmäßige Datenübermittlung erfüllt sind. Kleine Unternehmen wissen nicht, was sie tun sollen. Am deutlichsten wurde dies beim erhöhten Bedarf an digitaler Kommunikation infolge der Covid-19-Pandemie; Zum Beispiel die Verwendung von Videokonferenz-Tools. Besonders problematisch ist, dass Unternehmen selbst für die Einhaltung der DSGVO-Anforderungen verantwortlich sind.
Da die deutschen Datenschutzbehörden begonnen haben, die Rechtmäßigkeit von Datenübermittlungen in Drittländer, insbesondere in die USA, zu prüfen, müssen sie diese Verantwortung ernster nehmen. Zu diesem Zweck versenden Datenschutzbehörden Fragebögen, in denen sie Unternehmen auffordern, solche Übermittlungen offenzulegen und sich zu notwendigen Sicherheitsmaßnahmen zu äußern. Erschwerend kommt hinzu, dass die deutschen Datenschutzbehörden nicht davor zurückschrecken, bei schwerwiegenden Datenschutzverstößen hohe Bußgelder zu verhängen.