I. Vorbemerkung
Für das Datenschutzrecht in Europa hat mit der Datenschutzgrundverordnung (DSGVO) am 25.5.2018 ein neues Zeitalter begonnen. Sie soll die Antwort auf die globalen und digitalen Herausforderungen der Zukunft sein. Da zum Anwendungsbereich der DSGVO jedermann gehört, der personenbezogene Daten erhebt oder verarbeitet, wirken sich die Neuregelungen der DSGVO i.V.m. der Novellierung des Bundesdatenschutzgesetzes auf jegliches Verwaltungshandeln und kommunale Umsetzungsmaßnahmen direkt aus. Dabei kommt es aus anwaltlicher Sicht darauf an, Mandanten, insbesondere auch Unternehmen, bei der Umsetzung der DSGVO zu beraten und zu begleiten, aber auch bei der Interessenwahrnehmung für die Behörde sicherzustellen, dass nicht zum Nachteil des Betroffenen gehandelt und dessen Rechte verletzt werden. Soweit bei Mandaten also Ämter und Behörden beteiligt sind, so empfiehlt es sich immer, den Sachverhalt auch in datenschutzrechtlicher Hinsicht zu überprüfen und mögliche Verstöße geltend zu machen.
Aktuell ist die Anzahl gerichtlicher Entscheidungen zum neuen Datenschutzrecht eher noch gering. Allerdings sind noch viele Fragen offen, die aber zunehmend zu beantworten sein werden.
Insoweit steigt dann auch wieder die Gefahr, dass die Zahl von Abmahnungen zunimmt und auch Kontrollen durch die jeweiligen Landesdatenschutzbehörden perspektivisch immer mehr erfolgen.
II. Einführung
1. Der Begriff des Datenschutzes
Begonnen hat alles am 27.1.1977 mit dem ersten deutschen Bundesdatenschutzgesetz – dem Gesetz zum Schutz von Missbrauch personenbezogener Daten bei der Datenverarbeitung (BGBl I, Nr. 7 S. 201). Der Datenschutz findet auch seine Grundlage im Recht auf informationelle Selbstbestimmung nach Art. 2 Abs. 1, Art. 1 Abs. 1 GG (vgl. hierzu auch Volkszählungsurteil, BVerfG NJW 1984, 419).
Schon damals ging es nicht um den Schutz der Daten an sich, sondern wie auch heute um die dahinterstehenden Persönlichkeitsrechte. Und die sollen mit der seit dem 25.5.2018 in allen europäischen Ländern geltenden DSGVO (Verordnung [EU] 2016/679 v. 27.4.2016) gewährleistet werden. Diese Verordnung hat die bislang geltende EU-Datenschutzrichtlinie 95/46/EG abgelöst.
Zusammen mit der DSGVO erfolgte auch eine Novellierung des BDSG (BGBl I S. 2092). Dieses gilt für öffentliche Stellen des Bundes und auch der Länder, jedenfalls soweit der Datenschutz nicht durch entsprechende Landesgesetzes explizit geregelt ist (§ 1 BDSG neu).
Soweit es das Verhältnis der DSGVO auf der einen und dem BDSG auf der anderen Seite betrifft, so ist dieses nicht selten als kompliziert zu bezeichnen. Denn viele Verweise und Bezugnahmen machen eine eindeutige Zuordnung oft schwierig und führen im Ergebnis immer wieder dazu, dass keine hinreichende Transparenz zu erkennen ist, was wiederum zu einer entsprechenden Rechtsunsicherheit führt.
Vorrangig ist die DSGVO jedenfalls dort, wo sie explizit für die in Rede stehenden Bereiche Regelungen trifft. Ausnahmen sieht die Verordnung über sog. Öffnungsklauseln nach Art. 84 DSGVO, die dem nationalen Gesetzgeber Spielraum lassen das eine oder andere selbst zu bestimmen oder bereits bestehende Regelungen weiter aufrecht zu erhalten (vgl. zur Thematik Foto unten, V.1.).
Erstmalig sind Verstöße gegen datenschutzrechtliche Vorschriften auch bußgeldbewehrt (vgl. unten, VI.4.)
2. Was sind personenbezogene Daten?
Zunächst stellt sich die Frage, was überhaupt Daten sind. Eine Legaldefinition hierfür existiert nicht. Unter Daten werden also Angaben, Werte, Tatsachen und Informationen verstanden – diese allerdings ohne jeglichen Personenbezug. Beispiel: Der Tag oder das Jahr. Denn derartige Daten weisen für sich noch keinen Personenbezug auf. Dieser ergibt sich erst dann, wenn es sich um Geburtsdaten handelt, die wiederum einer konkreten Person zugeordnet werden können.
Personenbezug ist immer bei den "personenbezogenen Daten" gegeben. Was hierunter zu verstehen ist, ergibt sich aus der Legaldefinition nach Art. 4 Nr. 1 DSGVO. Artikel 4 enthält Begriffsbestimmungen – neben den personenbezogenen Daten auch diejenigen der Verarbeitung, des Verantwortlichen, des Auftragsverarbeiters oder auch der Einwilligung oder hinsichtlich bestimmter Daten, wie z.B. biometrische oder Gesundheitsdaten.
Mit den personenbezogenen Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, gemeint. Als identifizierbar wird eine natürliche Person dann angesehen, die insbesondere mittels Zuordnung durch Kennung wie einen Namen, Kennnummer, Standortdaten oder anderen besonderen Merkmalen direkt oder indirekt identifiziert werden kann, die insoweit Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Personen sind.
Die wichtigsten Elemente sind also zum einen die Information und zum anderen der unmittelbare oder mittelbare Bezug zu einer natürlichen Person. Dies bedeutet dann aber auch, dass die DSGVO nur auf natürliche Personen Anwendung findet, nicht indes auf juristische Personen wie z.B. GmbH, UG oder OHG.