Zurück zum Inhaltsverzeichnis des 37. Tätigkeitsbericht
Wer mobil sein will, hinterlässt eine Vielzahl von Spuren. Das war schon früher so und war immer riskant. Daher gibt es den alten Spruch von Laotse „Gut geht, wer ohne Spuren geht“. Wer heute unbeobachtet mobil sein möchte, ist auf Sicherheitspfade angewiesen. Solche Pfade eröffnet ihm der Datenschutz. Der moderne Datenschutz entstand bekanntlich in Hessen. Die hessischen Regelungen entfalteten bis ins Ausland Vorbildwirkung. Mittlerweile haben Bund, Länder und die Europäische Gemeinschaft auf dem Gebiet des Datenschutzes nachgezogen und teilweise im Hinblick auf den Datenzugangsschutz (Informationsfreiheit) überholt. Mehr noch: der deutsche Datenschutz steht gegenwärtig auf dem gemeinschaftsrechtlichen Prüfstand. Bezogen auf die gemeinschaftsrechtlich gebotene Unabhängigkeit des (gesamten) Datenschutzes ist wieder ein hessisches Vorbild gefragt. Das Problem liegt in der Kollision von institutioneller Unabhängigkeit des Datenschutzes und der Ministerialverantwortlichkeit. Einen ministerialfreien Datenschutz gibt es in Deutschland aus verfassungsrechtlichen Gründen, d.h. mit Rücksicht auf die nationale Ausgestaltung der Gewaltenteilung, aus verständlichen Gründen nicht. Bei einer Zusammenführung von privatem und öffentlichem Bereich ließe sich die Gewaltenteilung jedoch auch jenseits der Ministerialverantwortlichkeit wahren. Es kommt nur darauf an, Unabhängigkeitsprinzip und Verantwortlichkeitsprinzip zu harmonisieren. Aus der Sicht des Hessischen Datenschutzbeauftragten ist das realisierbar, wenn dem HDSB unter Beibehaltung seiner Unabhängigkeit auch der private Bereich in der Zuständigkeit des Landes übertragen und dabei seine parlamentarische Verantwortlichkeit verstärkt würde. Zu denken wäre an eine parlamentarische Kontrollkommission nach dem Vorbild etwa der G10-Kommission. Eine derartige Kommission bietet sich mit Rücksicht auf den Grundrechtsschutz an. Das Modell hat den Vorteil, dass auf dem Gebiet des Datenschutzes die Rechte des Parlaments gravierend verstärkt würden. Die Einzelheiten bedürfen noch sorgfältiger Prüfung. Der Gesetzgeber verfügt hinsichtlich der konkreten Ausformung des Datenschutzes über eine weitgehende Gestaltungsfreiheit. Der materielle Datenschutz ist im Übrigen grundrechtlich verbürgt, ohne dass es einer Änderung des Grundgesetzes oder der Hessischen Verfassung bedürfte. Allerdings ist das Grundrecht auf informationelle Selbstbestimmung nicht ausdrücklich dort aufgeführt. Vielmehr handelt es sich um ein unbenanntes Grundrecht, das durch das Volkszählungs-Urteil des Bundesverfassungsgerichts vom 15. Dezember 1983 (BVerfGE 65,1) getauft wurde. Aus diesem Grund veranstaltete die Konferenz der Datenschutzbeauftragten am 15. Dezember 2008 zusammen mit dem Bundesverfassungsgericht in Karlsruhe eine Feier „25 Jahre Volkszählungsurteil“, auf der die deutsche Vorreiterrolle auf dem Gebiet des Datenschutzes noch einmal deutlich hervortrat. Wie alle Grundrechte hat das unbenannte Grundrecht auf informationelle Selbstbestimmung mehrere Dimensionen. Auch der vorliegende Tätigkeitsbericht beginnt mit nach den Hauptstoßrichtungen des Datenschutzes unterscheidenden allgemeinen Bemerkungen. Daran anknüpfend wird auf die Rechtsentwicklung des Datenschutzes im Berichtszeitraum sowie auf die Rechtsstellung des Hessischen Datenschutzbeauftragten eingegangen. Es folgen Überblicke über die Entwicklungen des Datenschutzes auf europäischer Ebene und auf der Ebene des Bundes, namentlich über die die Rechtsprechung des Bundesverfassungsgerichts. Den Schwerpunkt dieses Tätigkeitsberichts bilden landesspezifische datenschutzrechtlich relevante Fragestellungen und Entwicklungen im Zusammenhang mit der Videoüberwachung und der Bereitstellung von Daten im Internet, im Bereich der Justiz, der Polizei, des Ausländerrechts, der Schulen und Schulverwaltung, des Gesundheitswesens, des Sozialwesens, des Personal- und Finanzwesens, der Kommunen und sonstigen Selbstverwaltungskörperschaften. Bei den Prüfungen und Beratungen ist die Untersuchung der eingesetzten oder geplanten Technik und die Abschätzung von deren Folgen oft unverzichtbare Voraussetzung für die Beurteilung, ob das Recht auf informationelle Selbstbestimmung beeinträchtigt ist. Rechtliche und technische Bewertungen verzahnen sich zunehmend. Der Bilanzbericht und die vom Hessischen Datenschutzbeauftragten mitgetragenen Entschließungen der Konferenz der Datenschutzbeauftragten des Bundes und der Länder schließen wiederum den Tätigkeitsbericht ab.
Zurück zur Übersicht
Zurück zum Inhaltsverzeichnis des 37. Tätigkeitsbericht
Im Jahr 2008 ergingen einige richtungweisende Entscheidungen des Bundesverfassungsgerichts zum Datenschutz. Am spektakulärsten war das Urteil vom 27. Februar 2008 zur „Online-Durchsuchung“ (1 BvR 370/07 und 1 BvR 595/07, NJW 2008, 1042 mit Anm. Kutscha, NJW 2008, 1042 ff.), mit dem das Bundesverfassungsgericht das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme kreierte (kritisch Britz, Vertraulichkeit und Integrität informationstechnischer Systeme, DÖV 2008, 411 ff.; Sachs/Krings, Das neue „Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme“, JuS 2008,481 ff., positiv Hirsch, Das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme, NJOZ 2008, 2902 ff.; Leisner, Das neue „Kommunikationsgrundrecht“ – Nicht Alibi für mehr, sondern Mahnung zu weniger staatlicher Überwachung, NJW 2008, 2902 ff.). Unmittelbar auf Hessen bezogen war das Urteil vom 11. März 2008 (1 BvR 2074/05, 1 BvR 1254/07, NJW 2008, 1505, hierzu Besprechung durch Roßnagel, Verfassungsrechtliche Grenzen polizeilicher Kfz-Kennzeichenerfassungen, NJW 2008, 2547 ff.), mit der die Regelung des § 14 Abs. 4 HSOG über die automatisierte Erfassung von Autokennzeichen aufgehoben wurde. Im Streit um die Vorratsdatenspeicherung ergingen bereits Entscheidungen über Eilanträge (Beschluss vom 15. Oktober 2008, 2 BvR 236/08, 237/08, DVBl. 2008, 1566 sowie Beschluss vom 28. Oktober 2008, 1 BvR 256/08, DVBl. 2008, 1669). Ein Überblick über die datenschutzrechtlich relevante Rechtsprechung findet sich unter Ziff. 1.3.2.
1.2.1
Abwehrkomponente
Die Abwehrkomponente des Datenschutzes richtet sich gegen die öffentliche Gewalt. Im Verfassungsstaat gilt für das Verhältnis von Staatsgewalt und Gewaltunterworfenen das Verteilungsprinzip. Danach ist die Freiheit der Einzelnen als etwas vom Staat Gegebenes prinzipiell unbegrenzt, während die Möglichkeiten des Staates zu Eingriffen in diese Sphäre prinzipiell begrenzt sind. Eingriffsmöglichkeiten muss sich der Staat durch Erlass von Befugnisnormen erst schaffen, wobei er den verfassungsmäßigen Bindungen bei Grundrechtsbeschränkungen unterliegt. Dies gilt auch für Eingriffe in die informationelle Selbstbestimmung durch den Staat. Auch hier benötigen Eingriffe Befugnisnormen, bei deren Erlass und Anwendung die allgemeinen (verfassungskonkretisierenden) Datenschutzgrundsätze zu beachten sind. Demzufolge ist die Verarbeitung personenbezogener Daten grundsätzlich verboten, es sei denn, eine Rechtsvorschrift ordnet sie an oder lässt sie zu oder der Betroffene willigt hierzu ohne jeden Zweifel ein (repressives Verbot mit Zulassungsvorbehalt). Die Einwilligung muss ohne jeden Zwang erfolgen, wobei der Zwang insbesondere bei der elektronischen Kommunikation so erdrückend empfunden werden kann, dass die Einwilligung nur in Form einer positiven Abgabe einer Einwilligungserklärung ausgesprochen werden kann (zu den Anforderungen an die Freiwilligkeit BGH, Urteil vom 16. Juli 2008, VIII ZR 348/06, NJW 2008, 3055, 3056). Die Zulassung der Verarbeitung personenbezogener Daten muss dann für festgelegte, eindeutige und rechtmäßige Zwecke erfolgen (Zweckbindungsgrundsatz). Die Verarbeitung personenbezogener Daten ist ferner nur zulässig, wenn sie zur rechtmäßigen Erfüllung der Aufgaben der Daten verarbeitenden Stelle für den jeweils damit verbundenen Zweck erforderlich ist (Erforderlichkeitsgrundsatz). Der Erforderlichkeitsgrundsatz wird schließlich dahingehend erweitert, dass bei der automatisierten Verarbeitung personenbezogener Daten das Verfahren auszuwählen oder zu entwickelt ist, das die zur Zweckerreichung nötige Menge personenbezogener Daten so gering wie möglich hält.
1.2.2
Schutzkomponente
Die Schutzkomponente erlangte Brisanz in den „Datenskandalen“, die im Berichtszeitraum die Öffentlichkeit bewegten und den Bemühungen um eine Aktualisierung des BDSG den nötigen Motivationsschub verliehen. Ließen die gemeinsamen Mitarbeiterkontrollen bei Lidl, Telekom, Lufthansa und Gerling sich durch fehlendes Unrechtsbewusstsein erklären (vgl. Dann/Gastell, Gemeinsame Mitarbeiterkontrollen: Straf- und arbeitsrechtliche Risiken bei unternehmensinterner Aufklärung, NJW 2008, 2945 ff.), so beruhte die Kreditkarten-Datenpanne im Dezember 2008 auf grobem Fehlverhalten. Die Panne entstand, als ein Kurier die Datensätze, die auf Mikrofiches gespeichert waren, vom Kreditkarten-Dienstleister Atos Worldline in Frankfurt am Main zur Berliner Landesbank verbringen sollte. Die Datensätze wurden dann aber in einem Paket bei der "Frankfurter Rundschau" aufgefunden. Die in diesem Zusammenhang von Bundespolitikern ausgesprochenen Schuldzuweisungen an Kontrollorgane der Länder entbehrten zwar der Grundlage, die Pannen zeigen jedoch auch, dass die staatlichen Kontrollmöglichkeiten verbesserungsbedürftig sind. Die erwähnten Pannen betrafen zwar schwerpunktmäßig den privaten Bereich, wirkten sich aber auch auf den öffentlichen Bereich aus. Dies ist ein weiterer Beleg dafür, dass die Trennung von öffentlichem und privatem Bereich nicht mehr zeitgemäß ist.
1.2.3
Datenzugangsschutz
Das Grundrecht auf informationelle Selbstbestimmung umfasst auch einen Anspruch des Einzelnen auf Information über seine bei der Behörde gespeicherten persönlichen Daten (vgl. BVerwG, Urteil vom 28. November 2007, 6 A 2.07, DÖV 2008, 276, Auskunftsanspruch gegenüber dem Bundesnachrichtendienst). Der G10-Kommission steht bei der Festlegung des richtigen Zeitpunkts der Mitteilung der Telefonüberwachung an den Betroffenen eine Beurteilungsermächtigung zu (BVerwG, Urteil vom 23. Januar 2008, 6 A 1.07, DVBl. 2008, 850).
Zurück zur Übersicht
Zurück zum Inhaltsverzeichnis des 37. Tätigkeitsbericht
1.3.1
Überblick
Die Gesetzgeber in Bund und Land und auf Gemeinschaftsebene waren auch im vorliegenden Berichtszeitraum rührig und erließen eine Vielzahl datenschutzrechtlich relevanter Vorschriften (vgl. den Bericht von Gola/Klug, Die Entwicklung des Datenschutzrechts, NJW 2008, 2481 ff.) Diese sind im jeweiligen Sachzusammenhang gewürdigt. Die dem Datenschutz immer wieder entgegengehaltenen Belange der Abwehr von Kriminalität und Terrorismus beeinflussten vor allem das Strafprozessrecht, wo nach einem „stimmigen System“ der Beweisverbote gesucht wird (hierzu Wolfgang Mitsch, Strafprozessuale Beweisverbote im Spannungsfeld zwischen Jurisprudenz und realer Gefahr, NJW 2008, 2295 ff.) Mit der beliebten Forderung auf Verankerung des Datenschutzes im Grundgesetz (vgl. nur Renate Künast, „Meine Daten gehören mir“ – und der Datenschutz gehört ins Grundgesetz, ZRP 2008, 201) lassen sich derartige Entwicklungen nicht besser steuern als nach der gegebenen Verfassungsrechtlage (skeptisch nunmehr auch Hans Peter Bull, Neue Bewegung im Datenschutz, ZRP 2008, 233 ff., 236). Denn auch ein neues Grundrecht könnte nicht schrankenlos formuliert werden. Eher würden solche Schranken die Rechtsprechung an einer flexiblen und zeitgemäßen Rechtsfortbildung hindern.
1.3.2
Rechtsprechung
Das in Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG gewährleistete Grundrecht auf informationelle Selbstbestimmung umfasst auch die Befugnis des Einzelnen, grundsätzlich zu bestimmen, wann und innerhalb welcher Grenzen persönliche Lebenssachverhalte offenbart werden. Auch die Veröffentlichung der Vergütung der Vorstände gesetzlicher Krankenkassen wird vom Schutzbereich des Grundrechts umfasst. Das Grundrecht auf informationelle Selbstbestimmung ist jedoch nicht schrankenlos gewährleistet. Beschränkungen auf einer verfassungsmäßigen gesetzlichen Grundlage, die insbesondere dem Grundsatz der Verhältnismäßigkeit genügen, sind zulässig. Eine derartige Grundlage stellt nach Ansicht der 1. Kammer des Ersten Senats des BVerfG § 35a Abs. 4 Satz 2 SGB IV dar. (Beschluss vom 25. Februar 2008, 1 BvR 3255/07, NJW 2008, 1435), der den legitimen Zweck verfolgt, die Beitragszahler und die Öffentlichkeit über den Einsatz öffentlicher Mittel, die auf gesetzlicher Grundlage erhoben werden, zu informieren. Recht rigide ging die 1. Kammer des Zweiten Senats mit einem Beamten um, dessen Steuerhinterziehung dem Dienstherrn durch die Weitergabe von in Selbstanzeige offenbarten Steuerdaten zur Kenntnis gebracht worden war. Danach ist Beschränkung der informationellen Selbstbestimmung durch § 125c Abs. 4 und 6 Satz 2 BRRG, § 30 Abs. 4 Nr. 5 AO verfassungskonform (Beschluss vom 6. Mai 2008, 2 BvR 336/07, NJW 2008, 3489). Der Datenschutz wird verstärkt durch den Beschluss der 3. Kammer des Zweiten Senats vom 5. Mai 2008 (2 BvR 1801/06, NJW 2008, 2422), der die Durchsuchung einer Rechtsanwaltskanzlei nur unter engen Voraussetzungen für zulässig erklärte und dabei den Schutz von Berufsgeheimnisträgern in Beziehung zur informationellen Selbstbestimmung setzte (zur Durchsuchung einer Arztpraxis BVerfG, Beschluss vom 21. Januar 2008, 2 BvR 121/07, BeckRS 2008, 31921). Ähnlich argumentierte der EGMR (Urteil vom 16. Oktober 2007, 74336/01, Wieser u. Bicos Beteiligungen GmbH/Österreich, NJW 2008, 3409 mit Anm. Stefanie Schork). Eine unnötige Beschneidung des Landesgesetzgebers bedeutet die Interpretation der Regelungsreichweite von § 203 StGB durch das OLG Koblenz (Beschluss vom 3. Juni 2008, 1 Ss 13/08, NJW 2008, 2794). Auch für die hessische Verwaltung bedeutsam ist die Entscheidung des OLG Oldenburg vom 20. Mai 2008 (13 WF 93/108, NJW 2008, 3508), wonach ein Detektiv für eine illegale GPS-Observierung keine Kostenerstattung verlangen kann. Im Verhältnis zwischen Datenschutz und Pressefreiheit entschied der EuGH im Urteil vom 16. Dezember 2008 (Rs C73/07 - Tietosujavaltuutettu/Satakunnan Markkinapörssi Oy u. a) zugunsten der Pressefreiheit.
Zurück zur Übersicht
Zurück zum Inhaltsverzeichnis des 37. Tätigkeitsbericht
1.4.1
Herleitung
„Daseinsvorsorge“ ist schon deshalb ein Rechtsbegriff, weil der Ausdruck in die Gesetzsprache und Rechtsprechung eingegangen ist. Im Schrifttum wird zwar gelegentlich noch die rechtliche Relevanz der Daseinsvorsorge bestritten (vgl. Krajewski, Rechtsbegriff Daseinsvorsorge?, VerwArch 2008, 174 ff.; Maurer Allgemeines Verwatungsrecht, 17. Aufl. 2009, § 1 Rn 16a). Der Rechtsbegriff der Daseinsvorsorge dagegen hat die Struktur eines Rechtssatzes. Ein Rechtssatz formuliert Tatbestand und Rechtsfolge einer Norm. Der Tatbestand besteht in der Regel in der abstrakten Beschreibung eines Lebenssachverhalts. Bei der Daseinsvorsorge fallen abstrakte Beschreibung des Daseinsvorsorgegegenstandes und Begriff im Tatbestand zusammen. Abstrakt bezieht sich der Begriff der Daseinsvorsorge auf im allgemeinen Interesse liegende Aufgaben. Welche Aufgaben das im Einzelnen sind, lässt sich nicht ein für allemal festlegen, weil es keinen abschließenden Katalog der öffentlichen Aufgaben gibt. Generell steht aber fest, dass es für den Alltag in einem zivilisierten Verfassungsstaat unverzichtbare und damit staatlich zu garantierende Leistungen geben muss; Leistungen für die ein Versorgungsbedürfnis der Allgemeinheit besteht. Das Versorgungsbedürfnis der Bevölkerung richtet sich nach dem allgemeinen Lebensstandard. Das gilt für den Gegenstand der Vorsorge wie auch für die qualitativen Anforderungen an ihre Erfüllung. Die daraus folgende Unbestimmtheit, die immer wieder dem Rechtsbegriff der Daseinsvorsorge entgegengehalten wird, bedeutet gerade seine Stärke, nämlich die Entwicklungsoffenheit.
1.4.2
Anwendungsbereich
Erfasst werden Bereiche
Die Daseinsvorsorge ist als „Vorsorge zur optimalen Freiheitsverwirklichung“ essenzielle staatliche Aufgabe. Das bedeutet jedoch nicht, dass der Staat diese Aufgabe selbst erfüllen müsste. Ein Gutteil der Daseinssicherung, kann jedoch ebenso (oder besser) durch Private erfolgen. Der Staat muss hier lediglich durch Intervention oder auf sonstige Weise gewährleisten, dass die Daseinssicherung tatsächlich erfolgt. Von wem die Leistung erbracht wird, spielt keine Rolle. Auch das Wie, d.h. in welcher Rechtsform die Aufgaben der Daseinsvorsorge wahrgenommen werden, ist nachrangig. Wie Daseinsvorsorge im Wettbewerb möglich ist, kommt eine Daseinsvorsorge durch Wettbewerb in Betracht. Auch im Wettbewerb darf der Staat die Leistungsaufgaben der Daseinsvorsorge nicht dem freien Spiel der Kräfte überlassen. Bedient sich der Staat zur Erfüllung seiner Aufgaben oder zur eigenen Betätigung der Formen und Regelungen des Privatrechts, bleibt er an das Gemeinwohl gebunden. Daseinsvorsorge bedeutet, dass selbst beim Handeln in Privatrechtsform öffentlich-rechtliche Grundsätze gelten. Der Begriff der Daseinsvorsorge dient somit dazu, in den leistenden Funktionen des modernen Staates, ein öffentlich-rechtliches Element aufzuweisen. Es kommt zulasten der Privatautonomie zu einer Entprivatisierung des Privatrechts. Die Gemeinwohlbindung geht privaten Interessen vor. Die Grundrechte gelten unmittelbar. Datenschutzrechtlich zählen die Leistungen der Daseinsvorsorge zum öffentlichen Bereich.
Zurück zur Übersicht
Zurück zum Inhaltsverzeichnis des 37. Tätigkeitsbericht