Datenschutzrecht: Wichtige Gesetze & ihr Verhältnis im Überblick

Auf den ersten Blick ist die Datenschutz-Grundverordnung mit ihren 99 Artikeln ein für juristische Verhältnisse kompaktes Gesetz. Doch wer nun glaubt, dass sich allein mit einem Blick in die DSGVO alle Fragen des Datenschutzrechts klären lassen, irrt. Neben der DSGVO existieren zahlreiche weitere nationale und internationale Gesetze, die je nach Kontext Anwendung finden. Wer im Datenschutzrecht gut aufgestellt sein will, muss daher den Überblick über alle Gesetze und ihr Verhältnis zueinander behalten.

Datenschutz ist Grundrechtsschutz und betrifft alle

Neben der Kenntnis einschlägiger Rechtsnormen ist auch ein umfassendes Verständnis vom Schutzzweck des Datenschutzes von Bedeutung. Ob ein Unternehmen sensible Patientendaten in der Cloud verarbeitet oder als (kleiner) Automobilzulieferer Mitarbeiterdaten in Excel-Listen pflegt – das Datenschutzrecht greift in beiden Fällen. Verantwortliche müssen sich unabhängig von der Größe ihres Betriebs oder der Art der Datenverarbeitung mit den für sie geltenden Datenschutzvorschriften auseinandersetzen. Auf den ersten Blick kann der damit verbundene Aufwand unverhältnismäßig hoch erscheinen. Der Grund für diese strengen Vorgaben liegt in der besonderen Stellung des Datenschutzes als Grundrecht.

EU-Grundrechtecharta, EMRK, DSGVO, BDSG, TDDDG, SGB X, Patientendatenschutzgesetz, Beschäftigtendatenschutzgesetz – der Dschungel an Datenschutzvorschriften ist tief. Dieser Artikel soll daher die wichtigsten Gesetze und ihr Verhältnis zueinander darstellen und so ein besseres Verständnis für das doch nicht so kleine Rechtsgebiet schaffen.

Definition: Was ist Datenschutzrecht?

Wie schon angeklungen gibt es nicht das eine Datenschutzrecht. Das Datenschutzrecht ist vielmehr ein Geflecht an verschiedenen internationalen und nationalen Regelungen, die alle ein gemeinsames Ziel verfolgen: den Schutz der Privatsphäre und der personenbezogenen Daten. Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit definiert das Schutzziel wie folgt:

„Vorrangiges Ziel des Datenschutzes ist es, eine Gefährdung des Persönlichkeitsrechts aller von vorneherein durch das Aufstellen von Verarbeitungsregeln für personenbezogene Daten und über die Gestaltung und den Einsatz von Informationstechnik zu verhindern.“

Auf europäischer Ebene ist dieses Schutzziel in 8 EU-Grundrechtecharta (GRCh), sowie den Art. 16 des Vertrags über die Arbeitsweise der Europäischen Union (AEUV) grundrechtlich verankert. In Deutschland wird der Datenschutz durch das vom Bundesverfassungsgericht entwickelte Grundrecht auf informationelle Selbstbestimmung abgesichert. Konkreter wird es mit der Datenschutz-Grundverordnung: Die DSGVO legt als zentrales Regelwerk der EU fest, wie personenbezogene Daten verarbeitet werden und welche Rechte Betroffenen zustehen. Durch Öffnungsklauseln in der DSGVO wird Mitgliedsstaaten wiederum ermöglicht, eigene bereichsspezifische Regelungen zum Datenschutz zu treffen. Auch wenn mit Einführung der DSGVO eine Vollharmonisierung des Datenschutzrechts auf EU-Ebene angestrebt war, wartet das Datenschutzrecht so mit einem bunten Blumenstrauß an unterschiedlichen Rechtsvorschriften auf.

Das Datenschutzrecht gilt dabei ausschließlich für personenbezogene Daten natürlicher Personen. Nicht unter den Anwendungsbereich fallen anonyme Daten oder Sachdaten (z.B. Maschinendaten).

Was gehört zum Datenschutzrecht auf europäischer Ebene?

Die rechtlichen Grundlagen des EU-Datenschutzes finden sich sowohl im Primärrecht als auch im Sekundärrecht. Das Primärrecht bildet dabei die verfassungsähnliche Grundlage. Das Sekundärrecht – insbesondere die Datenschutz-Grundverordnung (DSGVO) – konkretisiert diese Vorgaben durch detaillierte Regelungen zur Datenverarbeitung und den Rechten betroffener Personen.

Primärrecht: Europäische Grundrechte und Verträge

Das Primärrecht im Datenschutz gründet sich insbesondere auf die Artikel 7 und Artikel 8 der EU-Grundrechtecharta (GRCh), sowie auf Art. 16 AEUV.

• 16 Abs.1 AEUV und Art. 8 GRCh normieren das EU-rechtliche Grundrecht auf Datenschutz. Artikel 8 GRCh geht weiter als Art. 16 Abs. 1 AEUV und greift die wesentlichen Grundprinzipen des Datenschutzrechts auf, nämlich dass personenbezogene Daten nur nach Treu und Glauben und für festgelegte Zwecke und mit der Einwilligung des Betroffenen oder auf gesetzlichen Grundlagen verarbeitet werden dürfen. Damit wird das ursprünglich sekundärrechtlich verankerte Verbot mit Erlaubnisvorbehalt auch auf primärrechtlicher Ebene gefestigt. Als Betroffenenrechte sind das Auskunftsrecht und das Recht auf Berichtigung ausdrücklich genannt. Auch die Kontrolle des Datenschutzes durch unabhängige Stellen wird garantiert.
• Artikel 7 GRCh garantiert das Recht auf Achtung des Privat- und Familienlebens, der Wohnung sowie der Kommunikation. Damit kommt es grundsätzlich zu Überscheidungen mit Art. 8 GRCh. In der Praxis prüft der EuGH daher in der Regel beide Grundrechte zusammen.

Diese primärrechtlichen Vorgaben sind für alle EU-Organe sowie die Mitgliedstaaten bei der Anwendung und Umsetzung von EU-Recht bindend (Art. 51 GRCh). Sie müssen auch bei jeder Ausgestaltung von Sekundärrecht beachtet werden.

Sekundärrecht: EU-Gesetze zum Datenschutz

Sekundärrechtlich ist die DSGVO das zentrale Element im Datenschutzrecht. Als Verordnung findet sie unmittelbar in den Mitgliedstaaten Anwendung. Grundsätzlich genießt Unionsrecht Anwendungsvorrang vor dem nationalen Recht der Mitgliedsstaaten. Das vermag auf den ersten Blick verwundern, gibt es doch neben der DSGVO noch zahlreiche nationale Gesetze mit Datenschutzbezug. Nationale Gesetze können damit entweder auf EU-Richtlinien beruhen, oder aufgrund von Öffnungsklauseln in der DSGVO von den Mitgliedsstaaten erlassen werden.

Richtlinien müssen, anders als Verordnungen, erst in nationales Recht überführt werden, damit sie Anwendung finden. Das betrifft z.B. folgende datenschutzrechtliche Regelungen:

• Die ePrivacy-Richtlinie (Richtlinie 2002/58/EG) regelt Datenschutz in der elektronischen Kommunikation. Sie ist mit dem TDDDG in nationales Recht umgesetzt.
• Richtlinie zum Datenschutz bei Polizei und Justiz (Richtlinie (EU) 2016/680). Gilt für die Verarbeitung personenbezogener Daten durch Strafverfolgungsbehörden. Sie ist im BDSG Kapitel 2 (§§ 45–84 BDSG) umgesetzt.
• Richtlinie 2004/82/EG („PNR-Richtlinie 1.0“) zur Übermittlung von Flugdaten an nationale Behörden, umgesetzt im Luftsicherheitsgesetz (LuftSiG).

Die Öffnungsklauseln der DSGVO hingegen ermöglichen es den Mitgliedsstaaten, für bestimmte Bereiche eigene spezifischere Regelungen zu treffen. Die DSGVO verfügt über zahlreiche Öffnungsklauseln, die für noch zahlreicherer nationale Gesetze mit Datenschutzbezug sorgen. Beispielhaft sei hier auf die Regelung zur Verarbeitung besonderer personenbezogener Daten (§ 22 BDSG), zu Informationspflichten und Betroffenenrechten (§§ 32 – 37 BDSG) und zum Datenschutzbeauftragten (§ 38 BDSG) verwiesen, sowie auf weitere bereichspezifische Datenschutzgesetze, zu finden z.B. im SGB V und SGB X (z.B. die Datenverarbeitung in der elektronischen Patientenalte oder die Datenübermittlung an Krankenkassen) oder die Datenverarbeitung bei Steuerbehörden nach §§ 30 ff AO.

Wo ist der Datenschutz in Deutschland rechtlich verankert?

Analog zum EU-Recht ist der Datenschutz in Deutschland ebenfalls verfassungsrechtlich als auch durch einfache Gesetze gesichert.

Primärrecht: Datenschutzgrundrecht im Grundgesetz

Auf primärrechtlicher Ebene leitet sich der Datenschutz aus dem Grundgesetz ab – konkret aus dem Recht auf informationelle Selbstbestimmung, das vom Bundesverfassungsgericht im Volkszählungsurteil von 1983 entwickelt wurde. Es schützt das Individuum davor, dass persönliche Daten ohne Zustimmung erhoben, gespeichert oder verwendet werden, und wird aus dem Recht auf Menschenwürde (Art. 1 Abs. 1 GG) sowie dem allgemeinen Persönlichkeitsrecht (Art. 2 Abs. 1 GG) hergeleitet. Ergänzt wird dieser Schutz durch das sogenannte IT-Grundrecht, das die Vertraulichkeit und Integrität informationstechnischer Systeme sichert.

Sekundärrecht: Einfache Datenschutzgesetze und ihre Beziehung zueinander

Wer nun glaubt, der Datenschutzgesetzesdschungel sei schon tief genug, der hat noch keinen Blick auf die einfachen Datenschutzgesetze auf sekundärrechtlicher Ebene geworfen. Die DSGVO gilt als unmittelbar anwendbares EU-Recht und wird auf Bundesebene durch das BDSG ergänzt, das unter anderem nationale Spielräume ausfüllt. Neben dem BDSG und den schon oben erwähnten bereichspezifischen Datenschutzrecht, haben die Bundesländer ihre eigenen Landesdatenschutzgesetze erlassen. Diese regeln den Umgang mit personenbezogenen Daten durch öffentliche Stellen der jeweiligen Länder – also z. B. Behörden, Schulen oder Kommunalverwaltungen.

Um die Sache rund zu machen, darf auch das kirchliche Datenschutzrecht nicht vergessen werden. Kirchen und Religionsgemeinschaften genießen gemäß Art. 140 GG i. V. m. Art. 137 WRV ein Selbstverwaltungsrecht, das ihnen auch die Befugnis gibt, eigene Datenschutzregelungen zu erlassen. In Deutschland gilt für die römisch-katholische Kirche das Kirchliche Datenschutzgesetz (KDG), für die evangelische Kirche das Datenschutzgesetz der EKD (DSG-EKD).

Das Verhältnis der Gesetze zueinander klärt die Kollisionsnorm in § 1 Abs. 2 Satz 1 BDSG: Das Bundesdatenschutzgesetz findet keine Anwendung, wenn speziellere Regelungen in anderen Gesetzen bestehen. Solche bereichspezifischen Vorschriften gehen den allgemeinen Regelungen des BDSG vor, sofern sie den datenschutzrechtlichen Anforderungen der DSGVO genügen.

Die besondere Rolle der EMRK und des EGMR im Datenschutzrecht

Die Europäische Menschenrechtskonvention (EMRK) spielt ebenfalls eine wichtige Rolle. Artikel 8 der EMRK garantiert das Recht auf Achtung des Privat- und Familienlebens. Anders als in Art. 8 GRCh ist der Datenschutz nicht ausdrücklich erwähnt. Der Europäische Gerichtshof für Menschenrechte (EGMR) interpretiert den Begriff „Privatleben“ allerdings weit und schließt den Schutz personenbezogener Daten mit ein. Die EMRK hat in Deutschland nach Art. 59 Abs. 2 GG den Rang eines einfachen Bundesgesetzes. Das Bundesverfassungsgericht hat aber im Görgülü-Beschluss (2004) festgestellt, dass Behörden und Gerichte generell verpflichtet sind, die EMRK in der Auslegung durch den EGMR bei der Interpretation des nationalen Rechts zu berücksichtigen. Auf der Ebene des Grundgesetzes ist sie Auslegungshilfe für die Bestimmung von Inhalt und Reichweite der Grundrechten, sofern dies nicht zu einer Einschränkung oder Minderung des Grundrechtsschutzes führen würde. Damit ist der Datenschutz neben Art. 8 GRCh und den grundgesetzlich verankerten Recht auf informationelle Selbstbestimmung noch in einem dritten Grundrechtstext geschützt.

Das Datenschutzrecht – ein bunter Blumenstrauß an Regelungen

Das Datenschutzrecht ist weit mehr als nur die 99 Artikel der DSGVO. Es ist ein komplexes Zusammenspiel aus europäischem und nationalem Recht, Primär- und Sekundärrecht, Bundes- und Landesregelungen sowie bereichsspezifischen Sondervorschriften – vom Sozialrecht über das Strafrecht bis hin zum kirchlichen Datenschutz. Der starke Grundrechtsschutz auf europäischer und nationaler Ebene verdeutlicht die besondere Stellung des Datenschutzes und führt dazu, dass dieser bei jeder Verarbeitung personenbezogener Daten, und mag sie auch klein sein, mitgedacht werden muss. Eines kann gesagt sein – langweilig wird es im Datenschutzrecht sicher nicht!