DSGVO - BDSG - TTDSG

2. Kein Schutz Verstorbener oder Ungeborener und postmortales Persönlichkeitsrecht

15

Aus ErwG 27 folgt, dass sich der Schutz personenbezogener Daten Verstorbener nicht aus der DSGVO ergeben soll. Ebenfalls nicht geschützt sind Ungeborene, weil sie noch keine Person im rechtlichen Sinn und kein eigenständiger Träger von Rechten an ihnen zugeordneten Daten sind.29 Von der Ausnahme der Anwendbarkeit auf Verstorbene ist nach der Ratio ebenfalls die Geltendmachung von Ansprüchen Lebender etwa der Erben erfasst, die sich auf die Daten eines Verstorbenen beziehen.30 ErwG 27 Satz 2 stellt den Mitgliedstaaten jedoch frei, dahingehende Regelungsnormen zu erlassen.31 Erwägungsgründe sind zwar selbst keine rechtsverbindlichen Regelungen, enthalten aber Vorgaben für die Auslegung der Verordnung.32 Der Begriff „natürliche Person“ erfasst folglich nur lebende Personen. Während für das BDSG a.F. die Anwendbarkeit auf Daten Verstorbener noch diskutiert wurde,33 hat sich diese Frage jedenfalls für die DSGVO erledigt. Davon unabhängig stellt sich die Frage, ob es einen postmortalen Persönlichkeitsrechtsschutz gibt und wie dieser begründet werden kann. § 4 Abs. 1 LDSG Berlin34 enthält eine Regelung, nach der Daten von Verstorbenen entsprechend personenbezogenen Daten anzusehen sind, es sei denn, die berechtigten Interessen der Verstorbenen können nicht mehr beeinträchtigt werden. Darüber hinaus sind für das deutsche Recht keine ausdrücklichen Regelungen zum Schutz von Daten über Verstorbene ersichtlich. Rechtspolitisch wird kritisiert, dies führe zu Rechtsunsicherheit.35

16

In der deutschen Verfassungsrechtsprechung wird das Recht auf informationelle Selbstbestimmung aus dem Grundrecht auf freie Entfaltung der Persönlichkeit in Art. 2 Abs. 1 GG und aus der Menschenwürde in Art. 1 Abs. 1 GG abgeleitet. Mit dem Tod erlischt die Fähigkeit zur freien Persönlichkeitsentfaltung und die Fähigkeit zur Wahrnehmung des Achtungsanspruchs aus der Menschenwürde.36 Es wird aber vertreten, das Recht wirke über den Tod hinaus (postmortales Persönlichkeitsrecht). Zur Begründung wird argumentiert, der Schutzzweck der informationellen Selbstbestimmung würde unterlaufen, wenn der Einzelne einen Kontrollverlust über seine Daten nach seinem Tod fürchten müsse. Dann wäre er einem vergleichbaren Überwachungsdruck ausgesetzt, wie bei der Verletzung der informationellen Selbstbestimmung zu Lebzeiten, die ihn zu Verhaltensveränderungen zwinge, vor denen das Recht auf informationelle Selbstbestimmung gerade schützen solle.37 In Rechtsprechung38 und Literatur39 ist im Grundsatz anerkannt, dass es postmortalen Persönlichkeitsschutz gibt. Dieser wird aus der Menschenwürde abgeleitet, ist jedoch nicht im Sinne eines umfassenden Schutzes der Daten Verstorbener zu verstehen. Statt eines umfassenden Datenschutzrechts für Tote leite sich daraus eine objektiv-rechtliche Pflicht des Staates ab, deren Daten zu schützen.40 Entsprechend ist das postmortale Persönlichkeitsrecht ein sonstiges Recht gemäß § 823 Abs. 1 BGB und Teilaspekte stehen unter strafrechtlichem Schutz gemäß § 189 StGB.

17

Auf der Ebene des einfachen Rechts stellt sich insbesondere die Frage, wie mit dem sogenannten digitalen Nachlass Verstorbener umzugehen ist. Gemäß § 1922 BGB gehen die Rechte und Verbindlichkeiten mit dem Tod auf den Erben über.41 Davon erfasst sind auch verselbstständigte vermögensrechtlich relevante Teile des allgemeinen Persönlichkeitsrechts.42 Nicht auf den Erben gehen jedoch höchstpersönliche Rechte des Verstorbenen über. Diese gehen mit dessen Tod grundsätzlich unter.43 Soweit Erben in diesem Zuge Kenntnisse über den Erblasser erhalten, ist dies datenschutzrechtlich zulässig. Insofern müsse das Datenschutzrecht „hinter dem erbrechtlichen Befund zurückstehen“.44 Davon unabhängig können Auskunftsansprüche des Erben zu vermögensrelevanten Informationen bestehen.45 Ansprüche auf Auskunft über höchstpersönliche Informationen, etwa darauf gerichtete datenschutzrechtliche Auskunftsansprüche des Erben, bestehen aber nicht.46 Der Erbe tritt also nicht in datenschutzrechtliche Rechtspositionen des Erblassers ein. Aus dem postmortalen Persönlichkeitsrecht können sich aber für Angehörige Ansprüche auf Unterlassung der Verletzung postmortaler Persönlichkeitsrechtsverletzungen ergeben.47

3. Grundrechte und Grundfreiheiten

18

Die DSGVO soll Grundrechte und Grundfreiheiten schützen, insbesondere das Recht auf den Schutz personenbezogener Daten. Das Ziel des Schutzes der Grundfreiheiten wird in der DSGVO nicht präzisiert.48 Geschützt werden diese jedoch indirekt, indem sich der Einzelne auf unionsweit einheitliche Datenschutzstandards verlassen kann.49

a) Europäische Grundrechte und Grundfreiheiten

19

Europäische Grundrechte sind im Primärrecht verankert und gewähren subjektive Rechtspositionen.50 Sie ergeben sich aus der GRCh sowie vereinzelt aus den Verträgen über die Europäische Union selbst.51 In der Rechtsprechung des EuGH werden zudem die Verfassungsüberlieferungen der Mitgliedstaaten zur Begründung herangezogen, soweit sich diese in Struktur und Ziel der Union einfügen.52 Eine Sonderrolle spielen insoweit grundrechtliche Gewährleistungen in der EMRK, auf die im Primärrecht durch Art. 6 Abs. 3 EUV verwiesen wird und die der EuGH in seiner Rechtsprechung zur Begründung grundrechtlicher Gewährleistungen heranzieht,53 die aber formal nicht zum verbindlichen (Primär-)Recht der EU gehören. Die Eingliederung der EMRK in das europäische Primärrecht erfolgt nämlich erst durch Beitritt der EU zur EMRK.54 Dieser ist nicht zuletzt wegen Vorbehalten des EuGH bisher nicht vollzogen.55 Es wird aktuell geprüft, wie sich vom EuGH adressierte Probleme lösen lassen und ein Beitritt ermöglicht werden kann.56 Europäische Grundfreiheiten werden ausweislich Art. 1 Abs. 1 DSGVO auch durch die DSGVO geschützt. In Abgrenzung zu den Grundrechten dienen sie der Realisierung des in Art. 3 EUV dargestellten Ziels eines gemeinsamen Binnenmarktes,57 richten sich primär an die Mitgliedstaaten,58 enthalten darüber hinaus aber auch subjektive Rechte.59 Den Grundrechten und Grundfreiheiten kommt entscheidende Bedeutung bei der Auslegung des europäischen und des mitgliedstaatlichen Datenschutzrechts zu,60 insbesondere in Bezug auf die unbestimmten Rechtsbegriffe der Erlaubnistatbestände. Indem Art. 1 Abs. 2 DSGVO den Schutz der Grundrechte und Grundfreiheiten zum Ziel und Gegenstand der DSGVO macht, werden diese verbindlicher Auslegungsmaßstab, was faktisch einer gesetzlichen Anordnung unmittelbarer Drittwirkung dieser Gewährleistungen entspricht.61

b) Recht auf Datenschutz in der europäischen Grundrechtsdogmatik

20

Der Schutz personenbezogener Daten ist in Art. 16 Abs. 1 AEUV und in Art. 8 GRCh ausdrücklich als Menschenrecht geregelt. Die Grundrechtscharta und damit auch das Datenschutzgrundrecht werden durch Art. 6 Abs. 1 EUV in das Unionsrecht inkorporiert und entsprechend den EU-Verträgen zum Primärrecht der Union.62 Vor Inkrafttreten der GRCh war das Datenschutzgrundrecht bereits durch die Rechtsprechung des EuGH anerkannt.63 Darin entwickelte Grundsätze gelten auch nach der primärrechtlichen Verankerung des Datenschutzgrundrechts fort.64 Zur Begründung des Grundrechts auf Datenschutz zieht der EuGH ergänzend die Gewährleistung des Rechts auf Achtung des Privat- und Familienlebens heran, das in Art. 7 GRCh und Art. 8 EMRK kodifiziert ist.

21

Das Recht auf Datenschutz gewährleistet, dass personenbezogene Daten nur nach Treu und Glauben für festgelegte Zwecke und mit Einwilligung des Betroffenen oder auf Grundlage einer gesetzlichen Rechtfertigung verarbeitet werden dürfen. Der Schutzbereich ist umfassend und insbesondere nicht abhängig von der Sensitivität des personenbezogenen Datums oder der betroffenen Sphäre. Geschützt werden die Sozial-, Privat- und Intimsphäre.65 Ob neben natürlichen auch juristische Personen Grundrechtsträger sein können, ist nicht abschließend geklärt.66 Der EuGH erkennt einen Schutz juristischer Personen an, soweit der Name der juristischen Personen den Bezug zu natürlichen Personen herstellt.67

22

Das Datenschutzgrundrecht ist kein absolutes Recht des Betroffenen68 und kann durch Gesetz und andere Grundrechte eingeschränkt werden. Gesetzliche Einschränkungen ergeben sich aus der DSGVO sowie den mitgliedstaatlichen Datenschutzgesetzen und anderen Regelungen des Unionsrechts und der Mitgliedstaaten zum Datenschutz. Grundrechte, die das Datenschutzrecht einschränken können, sind insbesondere die Meinungs- und Informationsfreiheit (Art. 11 GRCh), die Forschungsfreiheit (Art. 13 GRCh) und die unternehmerische Freiheit (Art. 16 GRCh).69 Einschränkungen des Datenschutzgrundrechts müssen entsprechend Art. 52 Abs. 1 GRCh den Wesensgehalt achten und verhältnismäßig sein.

23

In Art. 8 GRCh sind wichtige Grundsätze des Datenschutzrechts angelegt, wie das Verbot der Datenverarbeitung mit Erlaubnisvorbehalt, die Verarbeitung nach Treu und Glauben, der Zweckbindungsgrundsatz, das Recht auf Auskunft und die Datenschutzaufsicht, die in der DSGVO entsprechend umgesetzt wurden.

c) Datenschutz in der deutschen und mitgliedstaatlichen Grundrechtsdogmatik

24

Vergleichbar Art. 8 GRCh haben einzelne Mitgliedstaaten eine grundrechtliche Gewährleistung des Rechts auf Datenschutz in ihre Verfassungen aufgenommen.70 Andere Mitgliedstaaten, wie Deutschland, haben keine explizite verfassungsrechtliche Gewährleistung des Datenschutzes. Die mitgliedstaatlichen Gewährleistungen des Rechts auf Datenschutz haben unabhängig von entsprechenden europäischen Gewährleistungen und auch nach Inkrafttreten der GRCh Relevanz. Zum einen als Abwehrrechte gegen öffentliche Stellen des Mitgliedstaats, aber auch für die Auslegung des mitgliedstaatlichen und europäischen Datenschutzrechts. Trotz eines grundsätzlichen Anwendungsvorrangs des Rechts der Union bleiben mitgliedstaatliche Grundrechte nämlich in Kraft.71 Dies ergibt sich zum einen aus dem Grundsatz der begrenzten Einzelermächtigung gemäß Art. 5 Abs. 1 EUV und zum andern aus dem in Art. 53 GRCh angelegten Meistbegünstigungsgrundsatz. Die europäischen Grundrechte sollen den mitgliedstaatlichen Grundrechtsschutz nämlich gerade nicht ersetzen, sondern nur ergänzen.72 Nur für den eher theoretischen Fall einer echten Kollision grundrechtlicher Vorgaben der Union und der Mitgliedstaaten würden der Anwendungsvorrang des Rechts der Union greifen.73

d) Recht auf informationelle Selbstbestimmung

25

Das Recht auf informationelle Selbstbestimmung ist ein dogmatischer deutscher Sonderweg,74 der die Entwicklung des deutschen und europäischen Datenschutzrechts aber wesentlich geprägt hat.75 Entscheidend für seine Entwicklung ist das Volkszählungsurteil.76 Darin hat das BVerfG das Grundrecht erstmals als Fallgruppe des allgemeinen Persönlichkeitsrechts aus Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG abgeleitet. Der Grundrechtscharakter des Rechts auf informationelle Selbstbestimmung wurde in der Folge durch das BVerfG in einer Vielzahl von Entscheidungen betont.77

26

Im Volkszählungsurteil stellte das BVerfG fest, dass es vor dem Hintergrund technischer Entwicklung zunehmend entbehrlich würde, personenbezogene Informationen manuell zusammenzutragen. Diese könnten stattdessen technisch unbegrenzt gespeichert, miteinander verknüpft und zu einem Persönlichkeitsbild zusammengefügt werden und seien so schnell abrufbar, ohne dass der Betroffene die Möglichkeit habe, die Richtigkeit der Daten und deren Verwendung zu beeinflussen. Hieraus ergäben sich neue Möglichkeiten der Einsicht- und Einflussnahme, die es zu kontrollieren gelte. Wer nämlich nicht mit hinreichender Sicherheit überschauen könne, welche personenbezogenen Informationen seiner sozialen Umwelt bekannt seien, könne in der Ausübung seiner Selbstbestimmung wesentlich gehemmt sein. Solange der Einzelne nicht in der Lage sei, darüber zu entscheiden, wer über seine personenbezogenen Daten verfüge und zu welchen Zwecken dies erfolge, laufe Gefahr, die Fähigkeit der Teilnahme am Kommunikationsprozess als Subjekt zu verlieren und zum Informationsobjekt gemacht zu werden. Dies führe insbesondere dazu, dass es kein belangloses Datum mehr gebe.78 Die freie Entfaltung der Persönlichkeit setze unter den Bedingungen moderner Informationstechnologien daher voraus, dass der Einzelne gegen unbegrenzte Erhebung, Speicherung, Verwendung und Weitergabe seiner persönlichen Daten geschützt werde. Dafür müsse ihm die Befugnis eingeräumt werden, selbst über die Preisgabe und Verwendung seiner personenbezogenen Daten zu bestimmen.79

27

Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG schützt daher das Recht zur Selbstbestimmung darüber, wann und innerhalb welcher Grenzen persönliche Lebenssachverhalte offenbart werden.80 Das Recht auf informationelle Selbstbestimmung erfasst sämtliche Daten mit Personenbezug und betrifft alle Formen ihrer Erhebung und Verwendung.81

e) Integrität informationstechnischer Systeme

28

Das BVerfG hat das Recht auf informationelle Selbstbestimmung nach dem Volkszählungsurteil laufend weiterentwickelt. Bisher letzter Meilenstein dieser Rechtsprechung ist die Entwicklung der Fallgruppe des Rechts auf Integrität informationstechnischer Systeme, um neue Gefährdungen der Persönlichkeit vom Grundrechtsschutz zu erfassen, die durch den wissenschaftlichen und technischen Fortschritt entstehen.82 Hier schützt das sog. „Computergrundrecht“83 als subsidiäres Freiheitsrecht vor dem Zugriff auf informationstechnische Systeme. Ein informationstechnisches System besteht aus Hard- und Software sowie aus Daten und dient der Erfassung, Speicherung, Verarbeitung, Übertragung und Anzeige von Informationen und Daten. Erfasst werden hiervon z.B. Personal Computer, Mobiltelefone, und elektronische Terminkalender sowie externe Speichermedien, die mit dem eigentlichen System verbunden sind.84

29

Neben dem Vorliegen eines informationstechnischen Systems ist für die Eröffnung des Schutzbereichs erforderlich, dass der Betroffene das System als eigenes nutzt und nach den Umständen davon ausgehen darf, dass er alleine oder mit anderen selbstbestimmt über das System verfügt85 und dem System personenbezogene Daten in einem Umfang anvertraut, die einen Einblick in wesentliche Teile der Lebensgestaltung seiner Person ermöglichen oder ein aussagekräftiges Bild über die Persönlichkeit zulassen86 und dies in dem Glauben tut, die Daten seien für unbefugte Dritte unzugänglich.87

30

Die räumliche und thematische Erweiterung des Schutzbereichs der informationellen Selbstbestimmung soll Gefahren für die Persönlichkeitsentfaltung abwehren, die darin begründet sind, dass Betroffene persönliche Daten in ein informationstechnisches System einstellen oder durch dessen Nutzung automatisch liefern, sodass das System potenziell aussagekräftige Datenbestände enthält, die die Persönlichkeit des Betroffenen berühren und so die Funktion eines „ausgelagerten Gehirns“ oder einer „ausgelagerten Psyche“ erhält.88 Hinzu tritt die zunehmende Vernetzung, die neben neuen Nutzungsmöglichkeiten auch neue Gefährdungen für die Persönlichkeitsentfaltung mit sich bringt,89 die der Einzelne nur eingeschränkt wahrnehmen und vor denen sich zumindest der durchschnittliche Nutzer nur bedingt schützen kann.90 Nicht erst die, in den klassischen Schutzbereich der informationellen Selbstbestimmung fallende, tatsächliche Erhebung, sondern schon das Eindringen in dieses System und die Verschaffung einer Zugriffsmöglichkeit auf potenziell sehr aussagekräftige Datenbestände, bedroht die freie Persönlichkeitsentfaltung und ist von dem „neuen Grundrecht“ geschützt.91

f) Beeinträchtigung des Rechts auf Schutz personenbezogener Daten

31

Gefahren für das Recht auf Schutz personenbezogener Daten aus Art. 8 Abs. 1 GRCh sowie entsprechender Gewährleistungen des mitgliedstaatlichen Grundrechtsschutzes, denen durch die DSGVO entgegengewirkt werden soll, ergeben sich insbesondere aus dem Einsatz automatisierter Datenverarbeitungseinrichtungen.92 So hat die technische Entwicklung der letzten Jahrzehnte IT-Systeme hervorgebracht, die in der Lage sind, personenbezogene Daten in praktisch unbegrenztem Umfang zu speichern und miteinander zu kombinieren, sodass sich weitreichende Rückschlüsse auf betroffene Personen ziehen lassen, die bis zur Bildung eines vollständigen Persönlichkeitsprofils reichen können. Diese Entwicklung wurde durch eine intensivierte Vernetzung verstärkt, in deren Rahmen in zunehmendem Maße auch dezentral gespeicherte Informationen miteinander kombinierbar wurden, sodass personenbezogene Daten heute global miteinander verknüpft und abgerufen werden können und weitergehende Rückschlüsse über eine größere Zahl von Betroffenen durch die datenverarbeitenden Stellen gezogen werden können.93

32

Betroffene, die mit diesen technischen Möglichkeiten der Datenverarbeitung konfrontiert sind, können nur in geringem Maß darauf Einfluss nehmen, welche Daten über sie erhoben werden und von wem, zu welchem Zweck sie verarbeitet oder miteinander verknüpft werden. Sie können daher nicht mehr überschauen, welche Informationen zu ihrer Person bekannt sind und über welches Wissen Kommunikationspartner verfügen. Dadurch, dass der Einzelne nicht weiß, ob und in welchem Umfang sein Verhalten von staatlichen oder privaten Stellen erfasst, gespeichert, weitergeleitet oder gar öffentlich gemacht wird, entsteht ein psychischer Druck, nicht durch solche Verhaltensweise aufzufallen, die Gegenstand staatlicher oder privater Datenerfassung und Nutzung sind.94 Die freie Entfaltung der Persönlichkeit erfordert daher im Hinblick auf die Möglichkeiten moderner Datenverarbeitung den Schutz des Einzelnen gegen unbegrenzte Erhebung, Speicherung, Verwendung und Weitergabe seiner persönlichen Daten.95

33

Diese Gefahren für das Recht auf Datenschutz erfolgen nicht nur durch staatliche, sondern auch durch private Handlungen. Ein rein grundrechtlicher Schutz des Rechts auf Datenschutz, der direkt nur vor staatlichen Eingriffen schützt, würde daher zu kurz greifen. Für den europäischen Gesetzgeber ergibt sich daher eine Verpflichtung, das Recht auf Datenschutz durch sekundärrechtliche Gewährleistungen auch im Privatrecht zu schützen.96 Die DSGVO dient diesem Zweck und soll Betroffene vor diesen Gefahren der Datenverarbeitung schützen. Entsprechend der europäischen Datenschutztradition setzt die Schutzwirkung des Datenschutzrechts bereits vor dem Auftreten tatsächlicher Beeinträchtigungen des Persönlichkeitsrechts im Sinne einer Vorfeldsicherung an.97 Sind Daten nämlich rechtswidrig erfasst oder verarbeitet worden, kann es für einen effektiven Betroffenenschutz bereits zu spät sein.

4. DSGVO als Schutzgesetz

34

Die DSGVO dient dem Schutz natürlicher Personen vor den Gefahren der Datenverarbeitung und hat daher Schutzgesetzcharakter.98 Hieraus ergeben sich vielfältige Konsequenzen und Überschneidungen mit anderen Rechtsgebieten, wie dem Delikts-, Vertrags-, Arbeits-, Mitbestimmungs-, Wettbewerbs- und Verbraucherrecht.

a) Deliktische und vertragliche Schutzwirkung

35

Bei Verstößen gegen datenschutzrechtliche Normen hat der Betroffene Ansprüche gegen den Verantwortlichen und den Auftragsverarbeiter auf Ersatz des materiellen und immateriellen Schadens gemäß Art. 82 Abs. 1 DSGVO (siehe Art. 82 Rn. 26ff.). Zudem können sich weitere Ansprüche aus deliktischen oder vertraglichen Anspruchsgrundlagen in Verbindung mit der verletzten Norm der DSGVO ergeben, etwa aus § 823 Abs. 2 BGB in Verbindung mit einer Norm der DSGVO. Gegen Datenschutzverletzungen kann der Betroffene Unterlassungsansprüche gemäß §§ 1004 Abs. 1 Satz 1 BGB analog i.V.m § 823 Abs. 1 BGB (quasinegatorischer Beseitigungsanspruch) geltend machen.99 Normen mit vertraglicher und deliktischer Schutzwirkung können etwa folgende Regelungen sein: Art. 6 Abs. 1, Art. 7, Art. 8, Art. 9 Abs. 2, Art. 12, Art. 13, Art. 14, Art. 17, Art. 20 und Art. 22 DSGVO.