Eine andere gesetzlich geschützte Kategorie von Daten sind die personenbezogenen Daten gem. § 3 Abs. 1 BDSG. Es gibt keine offensichtliche Überschneidung mit der Gruppe geschützter Daten als Werke, Patente oder Marken. Dabei handelt es sich um Daten als Ergebnis menschlicher Geistestätigkeit. Personenbezogene Daten sind dagegen
„Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person“, also Daten, die sich aus dem Verhältnis einer Person zu seiner Umwelt ergeben. Dabei handelt es sich um die unmittelbar personenbezogenen Daten wie Name, Anschrift, E-Mail-Adresse, aber auch mittelbar personenbezogene wie Vorlieben (bei Amazon: „Ihnen könnte auch gefallen“) oder Beziehungen zu Dritten (bei Facebook: „Freunde“). Umstritten war lange die Eigenschaft dynamischer IP-Adressen als personenbezogene Daten, dies hat der
EuGH aber mittlerweile bestätigt.
EuGH, U.v. 19.10.2016, C-582/14:
(…) [31] Mit seiner ersten Frage möchte das vorlegende Gericht wissen, ob Art. 2 Buchst. a RL 95/46 dahin auszulegen ist, dass eine dynamische IP-Adresse, die von einem Anbieter von Online-Mediendiensten beim Zugriff einer Person auf eine Website, die dieser Anbieter allgemein zugänglich macht, gespeichert wird, für den Anbieter ein personenbezogenes Datum im Sinne der genannten Bestimmung darstellt, wenn nur ein Dritter – hier der Internetzugangsanbieter dieser Person – über die zu ihrer Identifizierung erforderlichen Zusatzinformationen verfügt.
[32] Nach Art. 2 Buchst. a RL 95/46 bezeichnet der Ausdruck „personenbezogene Daten“ „alle Informationen über eine bestimmte oder bestimmbare natürliche Person (‚betroffene Person‘)“. Weiter heißt es dort, dass eine Person als bestimmbar angesehen wird, die direkt oder indirekt identifiziert werden kann, insbesondere durch Zuordnung zu einer Kennnummer oder zu einem oder mehreren spezifischen Elementen, die Ausdruck ihrer physischen, physiologischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität sind. (…)
[35] Vorliegend betrifft die erste Frage (…) den Fall, dass die Bundesrepublik Deutschland als Anbieter von Online-Mediendiensten die IP-Adressen der Nutzer einer von ihr allgemein zugänglich gemachten Website speichert, ohne über die zur Identifizierung dieser Nutzer erforderlichen Zusatzinformationen zu verfügen.
[36] Zudem steht fest, dass die vom vorlegenden Gericht angesprochenen IP-Adressen „dynamische“ IP-Adressen sind, das heißt vorübergehende Adressen, die bei jeder Internetverbindung zugewiesen und bei späteren Verbindungen ersetzt werden, und keine „statischen“ IP-Adressen, die unveränderlich sind und die dauerhafte Identifizierung des an das Netz angeschlossenen Geräts ermöglichen.
[37] Die erste Frage des vorlegenden Gerichts beruht somit auf der Prämisse, dass Daten, die aus einer dynamischen IP-Adresse und dem Zeitpunkt des über sie vorgenommenen Zugriffs auf eine Website bestehen und von einem Anbieter von Online-Mediendiensten gespeichert werden, für sich genommen diesem Anbieter nicht die Möglichkeit bieten, den Nutzer zu bestimmen, der die Website während dieses Zugriffs abgerufen hat, während der Internetzugangsanbieter über Zusatzinformationen verfügt, die – in Verbindung mit der IP-Adresse – eine Bestimmung des Nutzers ermöglichen würden.
[38] Insoweit ist zunächst festzustellen, dass eine dynamische IP-Adresse unstreitig keine Information darstellt, die sich auf eine „bestimmte natürliche Person“ bezieht, da sich aus ihr unmittelbar weder die Identität der natürlichen Person ergibt, der der Computer gehört, von dem aus eine Website abgerufen wird, noch die Identität einer anderen Person, die diesen Computer benutzen könnte.
[39] Um zu klären, ob eine dynamische IP-Adresse in dem in Rn. 37 des vorliegenden Urteils dargestellten Fall für einen Anbieter von Online-Mediendiensten ein personenbezogenes Datum iSv Art. 2 Buchst. a RL 95/46 darstellt, ist sodann zu prüfen, ob eine solche vom Anbieter gespeicherte IP-Adresse als Information über eine „bestimmbare natürliche Person“ eingestuft werden kann, wenn die zur Identifizierung des Nutzers einer Website, die der betreffende Diensteanbieter allgemein zugänglich macht, erforderlichen Zusatzinformationen dem Internetzugangsanbieter des Nutzers vorliegen.
[40] Insoweit geht aus dem Wortlaut von Art. 2 Buchst. a RL 95/46 hervor, dass nicht nur eine direkt identifizierbare, sondern auch eine indirekt identifizierbare Person als bestimmbar angesehen wird.
[41] Die Verwendung des Begriffs „indirekt“ durch den Unionsgesetzgeber deutet darauf hin, dass es für die Einstufung einer Information als personenbezogenes Datum nicht erforderlich ist, dass die Information für sich genommen die Identifizierung der betreffenden Person ermöglicht. (…)
[43] Da dieser Erwägungsgrund auf die Mittel Bezug nimmt, die vernünftigerweise entweder von dem Verantwortlichen für die Verarbeitung oder von einem „Dritten“ eingesetzt werden könnten, ist sein Wortlaut ein Indiz dafür, dass es für die Einstufung eines Datums als „personenbezogenes Datum“ iSv Art. 2 Buchst. a RL 95/46 nicht erforderlich ist, dass sich alle zur Identifizierung der betreffenden Person erforderlichen Informationen in den Händen einer einzigen Person befinden.
[44] Dass über die zur Identifizierung des Nutzers einer Website erforderlichen Zusatzinformationen nicht der Anbieter von Online-Mediendiensten verfügt, sondern der Internetzugangsanbieter dieses Nutzers, vermag daher nicht auszuschließen, dass die von einem Anbieter von Online-Mediendiensten gespeicherten dynamischen IP-Adressen für ihn personenbezogene Daten iSv Art. 2 Buchst. a RL 95/46 darstellen.
[45] Zu prüfen ist jedoch, ob die Möglichkeit, eine dynamische IP-Adresse mit den Zusatzinformationen zu verknüpfen, über die der Internetzugangsanbieter verfügt, ein Mittel darstellt, das vernünftigerweise zur Bestimmung der betreffenden Person eingesetzt werden kann.
[46] Wie der Generalanwalt in Rn. 68 seiner Schlussanträge (…) im Wesentlichen ausgeführt hat, wäre dies nicht der Fall, wenn die Identifizierung der betreffenden Person gesetzlich verboten oder praktisch nicht durchführbar wäre, zum Beispiel weil sie einen unverhältnismäßigen Aufwand an Zeit, Kosten und Arbeitskräften erfordern würde, so dass das Risiko einer Identifizierung de facto vernachlässigbar erschiene.
[47] Das vorlegende Gericht weist in seiner Vorlageentscheidung zwar darauf hin, dass das deutsche Recht es dem Internetzugangsanbieter nicht erlaube, dem Anbieter von Online-Mediendiensten die zur Identifizierung der betreffenden Person erforderlichen Zusatzinformationen direkt zu übermitteln, doch gibt es offenbar – vorbehaltlich der vom vorlegenden Gericht insoweit vorzunehmenden Prüfungen – für den Anbieter von Online-Mediendiensten rechtliche Möglichkeiten, die es ihm erlauben, sich insbesondere im Fall von Cyberattacken an die zuständige Behörde zu wenden, damit diese die nötigen Schritte unternimmt, um die fraglichen Informationen vom Internetzugangsanbieter zu erlangen und die Strafverfolgung einzuleiten.
[48] Der Anbieter von Online-Mediendiensten verfügt somit offenbar über Mittel, die vernünftigerweise eingesetzt werden könnten, um mit Hilfe Dritter, und zwar der zuständigen Behörde und dem Internetzugangsanbieter, die betreffende Person anhand der gespeicherten IP-Adressen bestimmen zu lassen.
[49] Nach alledem ist auf die erste Frage zu antworten, dass Art. 2 Buchst. a RL 95/46 dahin auszulegen ist, dass eine dynamische IP-Adresse, die von einem Anbieter von Online-Mediendiensten beim Zugriff einer Person auf eine Website, die dieser Anbieter allgemein zugänglich macht, gespeichert wird, für den Anbieter ein personenbezogenes Datum im Sinne der genannten Bestimmung darstellt, wenn er über rechtliche Mittel verfügt, die es ihm erlauben, die betreffende Person anhand der Zusatzinformationen, über die der Internetzugangsanbieter dieser Person verfügt, bestimmen zu lassen. (…)
abgedruckt in NJW 2016, 3579.
Personenbezogene Daten sind auf vielfältige Art rechtlich geschützt. Zwar ist dies nicht verfassungsrechtlich im Grundgesetz ausdrücklich verankert. Das
BVerfG hat im Volkszählungsurteil von 1983 aber aus der Gesamtschau von Art. 2 Abs. 1, Art. 1 Abs. 1 GG das
Recht der informationellen Selbstbestimmung und damit den Schutz aller personenbezogenen Daten anerkannt.
BVerfG, U.v. 15.12.1983, I BvR 209/83:
II. Prüfungsmaßstab ist in erster Linie das durch Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG geschützte allgemeine Persönlichkeitsrecht.
1. a) Im Mittelpunkt der grundgesetzlichen Ordnung stehen Wert und Würde der Person, die in freier Selbstbestimmung als Glied einer freien Gesellschaft wirkt. Ihrem Schutz dient - neben speziellen Freiheitsverbürgungen - das in Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG gewährleistete allgemeine Persönlichkeitsrecht, das gerade auch im Blick auf moderne Entwicklungen und die mit ihnen verbundenen neuen Gefährdungen der menschlichen Persönlichkeit Bedeutung gewinnen kann (…). Die bisherigen Konkretisierungen durch die Rechtsprechung umschreiben den Inhalt des Persönlichkeitsrechts nicht abschließend. Es umfaßt (…) auch die aus dem Gedanken der Selbstbestimmung folgende Befugnis des einzelnen, grundsätzlich selbst zu entscheiden, wann und innerhalb welcher Grenzen persönliche Lebenssachverhalte offenbart werden
Diese Befugnis bedarf unter den heutigen und künftigen Bedingungen der automatischen Datenverarbeitung in besonderem Maße des Schutzes. Sie ist vor allem deshalb gefährdet, weil bei Entscheidungsprozessen nicht mehr wie früher auf manuell zusammengetragene Karteien und Akten zurückgegriffen werden muß, vielmehr heute mit Hilfe der automatischen Datenverarbeitung Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren Person (personenbezogene Daten (vgl. § 2 Abs. 1 BDSG)) technisch gesehen unbegrenzt speicherbar und jederzeit ohne Rücksicht auf Entfernungen in Sekundenschnelle abrufbar sind. Sie können darüber hinaus - vor allem beim Aufbau integrierter Informationssysteme - mit anderen Datensammlungen zu einem teilweise oder weitgehend vollständigen Persönlichkeitsbild zusammengefügt werden, ohne daß der Betroffene dessen Richtigkeit und Verwendung zureichend kontrollieren kann. Damit haben sich in einer bisher unbekannten Weise die Möglichkeiten einer Einsicht- und Einflußnahme er weitert, welche auf das Verhalten des einzelnen schon durch den psychischen Druck öffentlicher Anteilnahme einzuwirken vermögen.
Individuelle Selbstbestimmung setzt aber - auch unter den Bedingungen moderner Informationsverarbeitungstechnologien - voraus, daß dem einzelnen Entscheidungsfreiheit über vorzunehmende oder zu unterlassende Handlungen einschließlich der Möglichkeit gegeben ist, sich auch entsprechend dieser Entscheidung tatsächlich zu verhalten. Wer nicht mit hinreichender Sicherheit überschauen kann, welche ihn betreffende Informationen in bestimmten Bereichen seiner sozialen Umwelt bekannt sind, und wer das Wissen möglicher Kommunikationspartner nicht einigermaßen abzuschätzen vermag, kann in seiner Freiheit wesentlich gehemmt werden, aus eigener Selbstbestimmung zu planen oder zu entscheiden. Mit dem Recht auf informationelle Selbstbestimmung wären eine Gesellschaftsordnung und eine diese ermöglichende Rechtsordnung nicht vereinbar, in der Bürger nicht mehr wissen können, wer was wann und bei welcher Gelegenheit über sie weiß. Wer unsicher ist, ob abweichende Verhaltensweisen jederzeit notiert und als Information dauerhaft gespeichert, verwendet oder weitergegeben werden, wird versuchen, nicht durch solche Verhaltensweisen aufzufallen. Wer damit rechnet, daß etwa die Teilnahme an einer Versammlung oder einer Bürgerinitiative behördlich registriert wird und daß ihm dadurch Risiken entstehen können, wird möglicherweise auf eine Ausübung seiner entsprechenden Grundrechte (Art. 8, 9 GG) verzichten. Dies würde nicht nur die individuellen Entfaltungschancen des einzelnen beeinträchtigen, sondern auch das Gemeinwohl, weil Selbstbestimmung eine elementare Funktionsbedingung eines auf Handlungs- und Mitwirkungsfähigkeit seiner Bürger begründeten freiheitlichen demokratischen Gemeinwesens ist.
Hieraus folgt: Freie Entfaltung der Persönlichkeit setzt unter den modernen Bedingungen der Datenverarbeitung den Schutz des einzelnen gegen unbegrenzte Erhebung, Speicherung, Verwendung und Weitergabe seiner persönlichen Daten voraus. Dieser Schutz ist daher von dem Grundrecht des Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG umfaßt. Das Grundrecht gewährleistet insoweit die Befugnis des einzelnen, grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen. (…)
abgedruckt in BVerfGE 65, 1
Unter dem Vorzeichen zunehmender privater Nutzung von Informationstechnologie und Datenverarbeitungssystemen hat das
BVerfG dieses Recht auf informationelle Selbstbestimmung im Jahr 2008 ausgeweitet zu einem Vertrauensrecht in diese Systeme, das
Recht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme.
BVerfG, U.v. 27.2.2008, 1 BvR 370/07 und 1 BvR 595/07:
(…) 1. § 5 Abs. 2 Nr. 11 Satz 1 Alt. 2 VSG ermächtigt zu Eingriffen in das allgemeine Persönlichkeitsrecht in seiner besonderen Ausprägung als Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme; sie tritt zu den anderen Konkretisierungen dieses Grundrechts, wie dem Recht auf informationelle Selbstbestimmung, sowie zu den Freiheitsgewährleistungen der Art. 10 und Art. 13 GG hinzu, soweit diese keinen oder keinen hinreichenden Schutz gewähren.
a) Das allgemeine Persönlichkeitsrecht gewährleistet Elemente der Persönlichkeit, die nicht Gegenstand der besonderen Freiheitsgarantien des GG sind, diesen aber in ihrer konstituierenden Bedeutung für die Persönlichkeit nicht nachstehen (…). Einer solchen lückenschließenden Gewährleistung bedarf es insb., um neuartigen Gefährdungen zu begegnen, zu denen es im Zuge des wissenschaftlich-technischen Fortschritts und gewandelter Lebensverhältnisse kommen kann (…). Die Zuordnung eines konkreten Rechtsschutzbegehrens zu den verschiedenen Aspekten des Persönlichkeitsrechts richtet sich vor allem nach der Art der Persönlichkeitsgefährdung (…).
b) Die Nutzung der Informationstechnik hat für die Persönlichkeit und die Entfaltung des Einzelnen eine früher nicht absehbare Bedeutung erlangt. Die moderne Informationstechnik eröffnet dem Einzelnen neue Möglichkeiten, begründet aber auch neuartige Gefährdungen der Persönlichkeit. (...)
c) Aus der Bedeutung der Nutzung informationstechnischer Systeme für die Persönlichkeitsentfaltung und aus den Persönlichkeitsgefährdungen, die mit dieser Nutzung verbunden sind, folgt ein grundrechtlich erhebliches Schutzbedürfnis. Der Einzelne ist darauf angewiesen, dass der Staat die mit Blick auf die ungehinderte Persönlichkeitsentfaltung berechtigten Erwartungen an die Integrität und Vertraulichkeit derartiger Systeme achtet. Die grundrechtlichen Gewährleistungen der Art. 10 und Art. 13 GG wie auch die bisher in der Rspr. des BVerfG entwickelten Ausprägungen des allgemeinen Persönlichkeitsrechts tragen dem durch die Entwicklung der Informationstechnik entstandenen Schutzbedürfnis nicht hinreichend Rechnung.
aa) Die Gewährleistung des TK-Geheimnisses nach Art. 10 Abs. 1 GG schützt die unkörperliche Übermittlung von Informationen an individuelle Empfänger mit Hilfe des TK-Verkehrs (…), nicht aber auch die Vertraulichkeit und Integrität von informationstechnischen Systemen. (…)
cc) Auch die bisher in der Rspr. des BVerfG anerkannten Ausprägungen des allgemeinen Persönlichkeitsrechts, insb. die Gewährleistungen des Schutzes der Privatsphäre und des Rechts auf informationelle Selbstbestimmung, genügen dem besonderen Schutzbedürfnis des Nutzers eines informationstechnischen Systems nicht in ausreichendem Maße.
(1) In seiner Ausprägung als Schutz der Privatsphäre gewährleistet das allgemeine Persönlichkeitsrecht dem Einzelnen einen räumlich und thematisch bestimmten Bereich, der grds. frei von unerwünschter Einsichtnahme bleiben soll (…). Das Schutzbedürfnis des Nutzers eines informationstechnischen Systems beschränkt sich jedoch nicht allein auf Daten, die seiner Privatsphäre zuzuordnen sind. Eine solche Zuordnung hängt zudem häufig von dem Kontext ab, in dem die Daten entstanden sind und in den sie durch Verknüpfung mit anderen Daten gebracht werden. Dem Datum selbst ist vielfach nicht anzusehen, welche Bedeutung es für den Betroffenen hat und welche es durch Einbeziehung in andere Zusammenhänge gewinnen kann. Das hat zur Folge, dass mit der Infiltration des Systems nicht nur zwangsläufig private Daten erfasst werden, sondern der Zugriff auf alle Daten ermöglicht wird, sodass sich ein umfassendes Bild vom Nutzer des Systems ergeben kann.
(2) Das Recht auf informationelle Selbstbestimmung geht über den Schutz der Privatsphäre hinaus. Es gibt dem Einzelnen die Befugnis, grds. selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen (vgl. BVerfGE 65, 1, 43; (…)). Es flankiert und erweitert den grundrechtlichen Schutz von Verhaltensfreiheit und Privatheit, indem es ihn schon auf der Stufe der Persönlichkeitsgefährdung beginnen lässt. Eine derartige Gefährdungslage kann bereits im Vorfeld konkreter Bedrohungen benennbarer Rechtsgüter entstehen, insb. wenn personenbezogene Informationen in einer Art und Weise genutzt und verknüpft werden können, die der Betroffene weder überschauen noch verhindern kann. Der Schutzumfang des Rechts auf informationelle Selbstbestimmung beschränkt sich dabei nicht auf Informationen, die bereits ihrer Art nach sensibel sind und schon deshalb grundrechtlich geschützt werden. Auch der Umgang mit personenbezogenen Daten, die für sich genommen nur geringen Informationsgehalt haben, kann, je nach dem Ziel des Zugriffs und den bestehenden Verarbeitungs- und Verknüpfungsmöglichkeiten, grundrechtserhebliche Auswirkungen auf die Privatheit und Verhaltensfreiheit des Betroffenen haben (…).
Die mit dem Recht auf informationelle Selbstbestimmung abzuwehrenden Persönlichkeitsgefährdungen ergeben sich aus den vielfältigen Möglichkeiten des Staates und ggf. auch privater Akteure (…) zur Erhebung, Verarbeitung und Nutzung personenbezogener Daten. Vor allem mittels EDV können aus solchen Informationen weitere Informationen erzeugt und so Schlüsse gezogen werden, die sowohl die grundrechtlich geschützten Geheimhaltungsinteressen des Betroffenen beeinträchtigen als auch Eingriffe in seine Verhaltensfreiheit mit sich bringen können (…).
Jedoch trägt das Recht auf informationelle Selbstbestimmung den Persönlichkeitsgefährdungen nicht vollständig Rechnung, die sich daraus ergeben, dass der Einzelne zu seiner Persönlichkeitsentfaltung auf die Nutzung informationstechnischer Systeme angewiesen ist und dabei dem System persönliche Daten anvertraut oder schon allein durch dessen Nutzung zwangsläufig liefert. Ein Dritter, der auf ein solches System zugreift, kann sich einen potenziell äußerst großen und aussagekräftigen Datenbestand verschaffen, ohne noch auf weitere Datenerhebungs- und DV-Maßnahmen angewiesen zu sein. Ein solcher Zugriff geht in seinem Gewicht für die Persönlichkeit des Betroffenen über einzelne Datenerhebungen, vor denen das Recht auf informationelle Selbstbestimmung schützt, weit hinaus.
d) Soweit kein hinreichender Schutz vor Persönlichkeitsgefährdungen besteht, die sich daraus ergeben, dass der Einzelne zu seiner Persönlichkeitsentfaltung auf die Nutzung informationstechnischer Systeme angewiesen ist, trägt das allgemeine Persönlichkeitsrecht dem Schutzbedarf in seiner lückenfüllenden Funktion über seine bisher anerkannten Ausprägungen hinaus dadurch Rechnung, dass es die Integrität und Vertraulichkeit informationstechnischer Systeme gewährleistet. Dieses Recht fußt gleich dem Recht auf informationelle Selbstbestimmung auf Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG; es bewahrt den persönlichen und privaten Lebensbereich der Grundrechtsträger vor staatlichem Zugriff im Bereich der Informationstechnik auch insoweit, als auf das informationstechnische System insgesamt zugegriffen wird und nicht nur auf einzelne Kommunikationsvorgänge oder gespeicherte Daten.
aa) Allerdings bedarf nicht jedes informationstechnische System, das personenbezogene Daten erzeugen, verarbeiten oder speichern kann, des besonderen Schutzes durch eine eigenständige persönlichkeitsrechtliche Gewährleistung. Soweit ein derartiges System nach seiner technischen Konstruktion lediglich Daten mit punktuellem Bezug zu einem bestimmten Lebensbereich des Betroffenen enthält – z.B. nicht vernetzte elektronische Steuerungsanlagen der Haustechnik –, unterscheidet sich ein staatlicher Zugriff auf den vorhandenen Datenbestand qualitativ nicht von anderen Datenerhebungen. In einem solchen Fall reicht der Schutz durch das Recht auf informationelle Selbstbestimmung aus, um die berechtigten Geheimhaltungsinteressen des Betroffenen zu wahren.
Das Grundrecht auf Gewährleistung der Integrität und Vertraulichkeit informationstechnischer Systeme ist hingegen anzuwenden, wenn die Eingriffsermächtigung Systeme erfasst, die allein oder in ihren technischen Vernetzungen personenbezogene Daten des Betroffenen in einem Umfang und in einer Vielfalt enthalten können, dass ein Zugriff auf das System es ermöglicht, einen Einblick in wesentliche Teile der Lebensgestaltung einer Person zu gewinnen oder gar ein aussagekräftiges Bild der Persönlichkeit zu erhalten. Eine solche Möglichkeit besteht etwa beim Zugriff auf PC, einerlei ob sie fest installiert oder mobil betrieben werden. Nicht nur bei einer Nutzung für private Zwecke, sondern auch bei einer geschäftlichen Nutzung lässt sich aus dem Nutzungsverhalten regelmäßig auf persönliche Eigenschaften oder Vorlieben schließen. Der spezifische Grundrechtsschutz erstreckt sich ferner z.B. auf solche Mobiltelefone oder elektronische Terminkalender, die über einen großen Funktionsumfang verfügen und personenbezogene Daten vielfältiger Art erfassen und speichern können.
bb) Geschützt vom Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme ist zunächst das Interesse des Nutzers, dass die von einem vom Schutzbereich erfassten informationstechnischen System erzeugten, verarbeiteten und gespeicherten Daten vertraulich bleiben. Ein Eingriff in dieses Grundrecht ist zudem dann anzunehmen, wenn die Integrität des geschützten informationstechnischen Systems angetastet wird, indem auf das System so zugegriffen wird, dass dessen Leistungen, Funktionen und Speicherinhalte durch Dritte genutzt werden können; dann ist die entscheidende technische Hürde für eine Ausspähung, Überwachung oder Manipulation des Systems genommen.
(1) Das allgemeine Persönlichkeitsrecht in der hier behandelten Ausprägung schützt insb. vor einem heimlichen Zugriff, durch den die auf dem System vorhandenen Daten ganz oder zu wesentlichen Teilen ausgespäht werden können. Der Grundrechtsschutz umfasst sowohl die im Arbeitsspeicher gehaltenen als auch die temporär oder dauerhaft auf den Speichermedien des Systems abgelegten Daten. Das Grundrecht schützt auch vor Datenerhebungen mit Mitteln, die zwar technisch von den Datenverarbeitungsvorgängen des betroffenen informationstechnischen Systems unabhängig sind, aber diese DV-Vorgänge zum Gegenstand haben. So liegt es etwa bei einem Einsatz von sog. Hardware-Keyloggern oder bei einer Messung der elektromagnetischen Abstrahlung von Bildschirm oder Tastatur.
(2) Der grundrechtliche Schutz der Vertraulichkeits- und Integritätserwartung besteht unabhängig davon, ob der Zugriff auf das informationstechnische System leicht oder nur mit erheblichem Aufwand möglich ist. Eine grundrechtlich anzuerkennende Vertraulichkeits- und Integritätserwartung besteht allerdings nur, soweit der Betroffene das informationstechnische System als eigenes nutzt und deshalb den Umständen nach davon ausgehen darf, dass er allein oder zusammen mit anderen zur Nutzung berechtigten Personen über das informationstechnische System selbstbestimmt verfügt. Soweit die Nutzung des eigenen informationstechnischen Systems über informationstechnische Systeme stattfindet, die sich in der Verfügungsgewalt anderer befinden, erstreckt sich der Schutz des Nutzers auch hierauf. (…), abgedruckt in BVerfG MMR 2008, 315
Diese grundrechtlichen Vorgaben zum Schutz personenbezogener Daten insbesondere in informationstechnologischen Systemen werden
einfachgesetzlich geregelt im
-
Bundesdatenschutzgesetz (BDSG) für die Datenerhebung und -verarbeitung durch Privatpersonen (auch Unternehmen) und die öffentliche Verwaltung des Bundes,
- Landesdatenschutzgesetze für die Datenerhebung und -verarbeitung durch die öffentliche Verwaltung der Bundesländer,
- §§ 91 ff. TKG für die Datenerhebung und -verarbeitung im Zusammenhang mit der Erbringung von Telekommunikationsdienstleistungen,
- §§ 11 ff. TMG für die Datenerhebung und -verarbeitung im Zusammenhang mit der Erbringung von Telemedien.
Dieses System zum Schutz personenbezogener Daten wird im Frühjahr 2018 mit der Umsetzung der europäischen Datenschutz-Grundverordnung (EU-DSGVO) in nationales Recht teilweise grundlegend geändert (vgl. zu Einzelheiten Modul 04 – Datenschutzrecht).
Der Schutz personenbezogener Daten folgt dabei den Grundsätzen der
Datenvermeidung und
Datensparsamkeit, d.h. es sollen so wenig personenbezogene Daten erhoben und verarbeitet werden wie möglich. Dieser Grundsatz wird in § 3a S. 1 BDSG festgelegt:
§ 3a S. 1 BDSG
Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten und die Auswahl und Gestaltung von Datenverarbeitungssystemen sind an dem Ziel auszurichten, so wenig personenbezogene Daten wie möglich zu erheben, zu verarbeiten oder zu nutzen.. |
Diesen Grundsätzen hat danach nicht nur die Tätigkeit der Erhebung, Verarbeitung und Nutzung der personenbezogenen Daten zu folgen, sondern bereits die Einrichtung der Datenverarbeitungssysteme. Hieraus wird die Verpflichtung zu einem
Systemdatenschutz gezogen. Insbesondere im Zusammenhang mit der Datenverarbeitung bei Telemedien ergibt sich zudem das
Zweckbindungsprinzip (s. dazu § 12 Abs. 2 TMG), so dass die erhobenen Daten nur für den ursprünglichen Zweck der Erhebung genutzt werden dürfen; Zweckänderungen sind nur nach Information und Einwilligung des Betroffenen zulässig. Ebenfalls im Telemediendatenschutz ist der Grundsatz der anonymen Nutzung verankert (s. § 13 Abs. 6 TMG), was Ausfluss des Grundsatzes der Datenvermeidung und -sparsamkeit ist.
Abbildung: Grundsätze des Datenschutzes
Die Hoheit über personenbezogene Daten folgt nicht aus dem Eigentumsrecht (
Art. 14 Abs. 1 GG), sondern aus dem Allgemeinen Persönlichkeitsrecht (Art. 2 Abs. 1 i.V.m.
Art. 1 Abs. 1 GG). Da die personenbezogenen Daten aber
nicht nur alleinnützig einer Person zugewiesen sind, sondern auch für die sozialen Beziehungen der Person innerhalb einer Gesellschaft, kann kein Ausschließungsrecht damit verbunden sein. Diese Datenhoheit muss daher auch das Bedürfnis der Allgemeinheit an der Nutzung personenbezogener Daten berücksichtigen, kann also nicht schrankenlos gelten.
Im Zusammenhang mit Digitalisierung und Automatisierung ist fraglich, inwieweit hier überhaupt personenbezogene Daten, d.h. Daten natürlicher Personen relevant (vgl. § 3 Abs. 1 BDSG) werden. Sicherlich werden in diesem Zusammenhang Daten von Bedienpersonal protokolliert, so dass hier die datenschutzrechtlichen Vorgaben zu berücksichtigen sind. Die autonomen Systeme selbst sind aber nach dem Menschenbild des deutschen Rechts (noch?) keine natürlichen Personen, so dass Daten, die im Zusammenhang mit ihrer Tätigkeit generiert werden, nicht datenschutzrechtlich geschützt sind. Die Hoheit über personenbezogene Daten hat daher für
digitale, vernetzte und autonome Systeme trotz der stärkeren Verfügbarkeit von Daten nur eine eingeschränkte Bedeutung.
Zurück zur übergeordneten Seite
Daten als geschützte Rechte
Autor: Prof. Dr. Ulf Müller