Zurück zum Inhaltsverzeichnis des 38. Tätigkeitsbericht
In den vorangegangenen Tätigkeitsberichten wurde die Konzeption der informationellen Selbstbestimmung erörtert. Diese Konzeption wurde u.a. von Ladeuer (Das Recht auf informationelle Selbstbestimmung: Eine juristische Fehlkonstruktion, DÖV 2009, 45 ff.) und wohl auch Bull (Informationelle Selbstbestimmung Vision oder Illusion, Tübingen, 2009) missverstanden. Daher wird anschließend die Konzeption aus der Sicht des Hessischen Datenschutzbeauftragten noch einmal dargestellt:
Zurück zur Übersicht
Zurück zum Inhaltsverzeichnis des 38. Tätigkeitsbericht
Der grundrechtliche Datenschutz ist Ausprägung des in der Verfassung verankerten Persönlichkeitsrechts, das neben besonders geregelten Garantien (Art. 10 Abs. 1, Art. 13 Abs. 1 GG) Ausdruck fand im Grundrecht auf informationelle Selbstbestimmung sowie im Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme.
1.2.1
Werteordnung des Grundgesetzes
Das Grundgesetz ist nicht nur ein Katalog zeitbedingter politischer Zielvorgaben, sondern eine Kodifikation und bildet damit ein System, das aus sich selbst heraus ergänzt werden kann (Werteordnung des Grundgesetzes). Auf der Grundlage dieser Werteordnung erfolgt der gebotene Ausgleich zwischen privaten Freiheitspositionen, sonstigen Grundrechten und staatlichen Eingriffsbefugnissen. Der Ausgleich findet seinen Niederschlag in der Konkretisierung des grundrechtlichen Schutzbereichs und der Formulierung von Schranken, die der Gesetzgeber in Bund und Land, unter Kontrolle durch die Verfassungsgerichtsbarkeit vorzunehmen hat. Im System der Grundrechte ist von der grundsätzlichen Freiheit als Regel und den staatlichen Eingriffsmöglichkeiten als Ausnahme auszugehen. Die Freiheitsrechte bestehen auch dort, wo sie nicht ausdrücklich genannt sind. Es gibt benannte und unbenannte, starke und schwache, schwer und leicht beschränkbare Grundrechte. Maßgeblich ist nicht allein der Gegensatz zwischen speziellen benannten Freiheitsrechten und der allgemeinen Handlungsfreiheit als Auffanggrundrecht. Die unbeschränkbare Menschenwürde auf der einen und die mit plausibler Begründung gesetzgeberisch beschränkbare allgemeine Handlungsfreiheit auf der anderen Seite sind vielmehr Eckpunkte auf einer Skala mit ansteigendem Schutzgehalt: Je mehr sich ein Eingriff der Menschenwürde nähert, desto eher stößt er auf den unbeschränkbaren Kernbereich privater Lebensgestaltung. Je mehr die öffentliche Sphäre der Lebensgestaltung betroffen ist, desto leichter werden die Beschränkungsmöglichkeiten. Nach ständiger Rechtsprechung des Bundesverfassungsgerichts, die schon vor dem Volkszählungsurteil einsetzte, ist der Kernbereich privater Lebensgestaltung absolut geschützt (BVerfGE 6, 32, 41; Beschluss vom 16. Juli 1969 – 1 BvL 19/63, BVerfG Urteil vom 16. Januar 1957 – 1 BvR 253/56 –, BVerfGE 6, 32, 41, BVerfGE 27, 1, 6; vom 15. Januar 1970 – 1BvR 13/68, BVerfGE 27, 344, 350; zuletzt Beschluss vom 10. Juni 2009 – 1 BvR 1107/09, NJW 2009, 3357, 3559). Die allgemeine Handlungsfreiheit reicht demgegenüber nur soweit wie ihre Nutzung nicht gegen die verfassungsmäßige Rechtsordnung verstößt, zu der alle formell und materiell verfassungsmäßigen Gesetze zählen (BVerfG Urteil vom 4. Juli 2000, – 1 BvR 2014/95 –, BVerfGE 103, 197, 205).
1.2.2
Informationelle Selbstbestimmung
Im Urteil vom 15. Dezember 1983 kreierte das Bundesverfassungsgericht das Recht auf informationelle Selbstbestimmung, das die Befugnis des Einzelnen gewährleistet, grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen (1 BvR 209, 269, 342, 420, 440, 484/83 –, BVerfGE 65,1 43; ferner BVerfG Beschluss vom 9. März 1988 – 1 BvL 49/8, BVerfGE 78, 77, 84; Beschluss vom 11. Juni 1991 – 1 BvR 239/90 –, BVerfGE 84, 192, 194; Beschluss vom 12. April 2005 – 2 BvR 1027/32 -, BVerfGE 113, 29, 46; Urteil vom 2. März 2006 – 2 BvR 2099/04 , BVerfGE 115, 166, 188; Beschluss vom 4. April 2006 – 1 BvR 518/02 –, BVerfGE 115, 320, 341 f.; Urteil vom 13. Februar 2007 – 1 BvR 421/05 –, BVerfGE 117, 202; Beschluss vom 13. Juni 2007 – 1 BvR 1550/03, 2357/04, 603/05, BVerfGE 118, 168; Urteil vom 27. Februar 2008 – 1 BvR 370, 595/07 –, BVerfGE 120, 274, 312; Urteil vom 11. März 2008 – 1 BvR 2074/05, 1254/07 –, BVerfGE 120, 378, 397 ff.; BVerwG Urteil vom 30. April 2008 – 3 C 16.07; BGH Urteil vom 1. März 2007 – IX ZR 189/05 –, BGHZ 171, 252 , 256; BGH Urteil vom 23. Juni 2009 – VI ZR 196/08 – NJW 2009, 2888, 2891). Da ein derartiges Grundrecht im Grundgesetz nicht ausdrücklich genannt ist, hätte das Bundesverfassungsgericht allein auf die allgemeine Handlungsfreiheit zurückgreifen können. Es stützte jedoch das Recht auf informationelle Selbstbestimmung auf Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG. Schon vorher hatte das Bundesverfassungsgericht ein Grundrecht auf Privatheit anerkannt und zur Begründung die genannten Bestimmungen herangezogen. Das Grundrecht auf informationelle Selbstbestimmung ist nicht schrankenlos gewährleistet. Der Einzelne muss jedoch nur solche Beschränkungen hinnehmen, die auf einer verfassungsmäßigen gesetzlichen Grundlage beruhen. Die Anforderungen an die Ermächtigungsgrundlage richten sich nach der Art und Intensität des Grundrechtseingriffs (BVerfGE 120, 378, 401).
1.2.3
Vertraulichkeit und Integrität informationstechnischer Systeme
Das allgemeine Persönlichkeitsrecht aus Art. 1 Abs. 1 i.V.m. Art. 2 Abs. 1 GG erfuhr in der Entscheidung des Bundesverfassungsgerichts vom 27. Februar 2008 (BVerfGE 120, 274) eine weitere besondere Ausprägung als Grundrecht auf Gewährleitung der Vertraulichkeit und Integrität informationstechnischer Systeme. Dieses Grundrecht schützt vor Eingriffen in informationstechnische Systeme, soweit der Schutz nicht durch andere Grundrechte, wie insbesondere Art. 10 oder 13 GG sowie durch das Recht auf informationelle Selbstbestimmung gewährleistet ist. Auch das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme ist nicht schrankenlos. Der Einzelne muss jedoch nur solche Beschränkungen seines Rechts hinnehmen, die auf einer verfassungsmäßigen gesetzlichen Grundlage beruhen (BVerfGE 120, 274, 315).
Zurück zur Übersicht
Zurück zum Inhaltsverzeichnis des 38. Tätigkeitsbericht
1.3.1
Datenschutzrecht
Das allgemeine Persönlichkeitsrecht in seinen Ausprägungen als Recht auf informationelle Selbstbebestimmung und als Recht auf Vertraulichkeit und Integrität informationstechnischer Systeme ist der Einschränkung im überwiegenden Allgemeininteresse zugänglich. Die Einschränkung kann dann aber nur auf einer gesetzlichen Grundlage erfolgen, die dem Gebot der Normenklarheit entspricht und verhältnismäßig ist. Der Datenschutz ist dabei eine Querschnittsmaterie. Seine Rechtsgrundlagen ergeben sich aus dem allgemeinen und bereichsspezifischen Datenschutzrecht. Die Belange des Datenschutzes sind im jeweiligen Sachzusammenhang mit konträren Belangen Einzelner oder der Allgemeinheit abzuwägen (vgl. Ronellenfitsch, Freiheit, Sicherheit und Datenschutz im Rechtsstaat, in: Festschrift für Seok, 2009, S. 95 ff.). Das bedeutet, dass das Abwägungsmaterial ermittelt, bewertet und sodann gewogen werden muss. Bei der Abwägung sind zwingende Abwägungsvorgaben zu beachten, vom Gesetzgeber besonders hervorgehobene Belange zu optimieren und andere Belange jedenfalls zu berücksichtigen. Zur Orientierung hat der Gesetzgeber Datenschutzgrundsätze normiert, die immer zu beachten sind und konkretisiertes Verfassungsrecht darstellen.
1.3.2
Datenschutzgrundsätze
Bei der Abwägung von Datenschutzbelangen ist auszugehen vom repressiven Verbot der Erhebung, Verarbeitung und Übermittlung personenbezogener Daten, das nur durch eine gesetzliche Ermächtigung oder durch die Zustimmung der Betroffenen aufgehoben werden kann (repressives Verbot mit Zulassungsvorbehalt). Regel ist der Schutz der Privatsphäre, Ausnahme der Eingriff. Während der Staat sich zumeist auf gesetzliche Eingriffsermächtigungen berufen kann, ist im privaten Bereich häufig eine Einwilligung des Betroffenen erforderlich. Die Einwilligung muss freiwillig gegeben werden, spezifisch sein (sich auf einen bestimmten Zweck beziehen), den tatsächlichen Willen der Betroffenen ausdrücken und in voller Kenntnis der Sachlage ohne jeden Zweifel gegeben werden. Aus dem Regel-Ausnahmeverhältnis folgt der Zweckbindungsgrundsatz. Der Grundsatz besagt, dass personenbezogene Daten nur für eindeutig festgelegte rechtmäßige Zwecke erhoben und vor allem nur diesem Zweck entsprechend weiterverarbeitet werden dürfen. Der Grundsatz der Zweckbestimmung setzt sich fort im Grundsatz der zweckgebundenen Aufbewahrung. Länger als es für die Realisierung der legitimierenden Zwecke geboten ist, dürfen personenbezogene Daten nicht aufbewahrt oder verarbeitet werden. Aus dem Regel-Ausnahme-Verhältnis folgt weiter der Transparenzgrundsatz. Datenverarbeitung nach Treu und Glauben setzt voraus, dass die betroffenen Personen in der Lage sind, das Vorhandensein einer Verarbeitung zu erfahren und ordnungsgemäß und umfassend über die Bedingungen der Erhebung informiert zu werden, wenn Daten bei ihnen erhoben werden. Für mobile personenbezogene Speicher- und Verarbeitungsmedien, präzisiert § 8 Abs. 2 HDSG den Transparenzgrundsatz. Danach müssen Kommunikationsvorgänge, die auf dem Medium eine Datenverarbeitung auslösen, für die Betroffenen eindeutig erkennbar sein. Spezifische Bedeutung als Datenschutzgrundsatz hat der Grundsatz der Erforderlichkeit. Die Erforderlichkeit ist im Datenschutzrecht noch rigider als das allgemeine Übermaßverbot. Die Erhebung, Verarbeitung und Übermittlung personenbezogener Daten ist nur zulässig, wenn sie zur rechtmäßigen Erfüllung der Aufgaben der Daten verarbeitenden Stelle für den jeweils damit verbundenen Zweck erforderlich ist. Hinzu kommt, dass bei der automatisierten Verarbeitung personenbezogener Daten das Verfahren auszuwählen oder zu entwickeln ist, das die zur Zweckerreichung nötige Menge personenbezogener Daten so gering wie möglich hält. Unzulässig ist vor allem die (zweckfreie) Vorratsdatenspeicherung. Ein weiterer Datenschutzgrundsatz ist somit der Grundsatz der Datenverminderung und Datensparsamkeit, der letztlich eine Konkretisierung des Erforderlichkeitsgrundsatzes darstellt und für alle Daten verarbeitenden Stellen gilt.
1.3.3
Einfachgesetzliche Ausgestaltung des Datenschutzes
Das Hessische Datenschutzgesetz vom 7. Oktober 1970 (GVBl. I S. 625) war das „Pionierwerk“ des deutschen Datenschutzrechts. Es stamme aus einer Zeit, in der wenige Daten aus begrenzten Lebensbereichen formularmäßig erfasst und in Rechenzentren mit Großrechnern in erster Linie für Verwaltungszwecke verarbeitet wurden. Dadurch entstanden Ängste vor dem „großen Bruder“. Inzwischen ist mit der Einführung von Personalcomputern und dem Internet eine völlig andere Situation eingetreten. Die Möglichkeiten privater Datenverarbeitung haben nicht nur Informationsansprüche entstehen lassen. Aus dem großen Bruder ist vielmehr zugleich eine Vielzahl bedrohlicher kleiner Brüder und Schwestern geworden. Der öffentliche und private Bereich gehen ineinander über. Der zeitgemäße Datenschutz lässt sich nur noch mehrdimensional begreifen. Eine Modernisierung des Datenschutzrechts aus einem Guss erscheint dringend geboten. Dabei ist den gemeinschafts- und verfassungsrechtlichen Vorgaben hinsichtlich der Ausgestaltung und Funktion der Datenschutzbehörden Rechnung zu tragen. Bereits nach bestehender Rechtslage sind die verschiedenen Komponenten des Datenschutzes auseinanderzuhalten.
1.3.3.1
Abwehrkomponente
Die Abwehrkomponente des Datenschutzes betrifft den Schutz vor staatlichen Eingriffen in das Persönlichkeitsrecht. Der Schutzgehalt ist im 37. Tätigkeitsbericht ausführlich entwickelt. Das allgemeine Persönlichkeitsrecht wird gemäß Art. 2 Abs. 1 GG durch die verfassungsmäßige Ordnung und Rechte anderer beschränkt. Diese, ebenfalls im erwähnten Tätigkeitsbericht erörterten, Schranken legitimieren Eingriffe in die informationelle Selbstbestimmung und leiten über zur Schutzkomponente.
1.3.3.2
Schutzkomponente
Der Schutz der Privatsphäre ist zunächst eine originäre eigene Aufgabe der Betroffenen. Der beste Datenschutz beginnt bei sich selbst. Offenbar fehlt es vielfach bei der privaten Lebensgestaltung am Bewusstsein dafür, dass man seine Privatheit nicht mehr als nötig aufgeben sollte. Daraus erwächst der staatliche Auftrag, der mangelnden Sensibilisierung der Bevölkerung für die Bedeutung des Datenschutzes im Hinblick auf die Persönlichkeitsentfaltung der Bürgerinnen und Bürger entgegenzuwirken. Vor allem folgt aber aus der Schutzkomponente des Datenschutzgrundrechts die staatliche Verpflichtung, den Einzelnen Schutz dagegen zu bieten, dass private Dritte ohne ihr Wissen auf ihre personenbezogenen Daten zugreifen. Der Staat ist Wächter und Schiedsrichter zugleich. Die informationelle Selbstbestimmung erfordert nämlich auch einen geschützten Datenaustausch. Sie setzt sich deshalb fort im Datenzugangsschutz.
1.3.3.3
Datenzugangsschutz
Der Datenzugangschutz ist ein Teilaspekt der Informationszugangsfreiheitsrechten. Die Einführung von Informationszugangsrechten ist nur noch bedingt eine autonome Entscheidung der nationalen Gesetzgeber, namentlich des Hessischen Landtages. Durch die Umweltinformationsrichtlinie 2003/4/EG vom 28. Januar 2003 (ABl. EG 2003 Nr. L 41) ist für Umweltinformationen das Amtsgeheimnis aufgehoben. Im Hinblick auf Umweltinformationen sind damit behördliche Umweltdaten eine allgemein zugängliche Quelle geworden. Auch nach dem Verbraucherinformationsgesetz (VIG) vom 5. November 2007 (BGBl. I S. 2558) werden staatliche und teilweise sogar privaten Stellen auskunftspflichtig, ohne dass die Antragsteller ein besonderes Interesse geltend machen müssten. Dies gilt nicht, wenn auf diese Weise Betriebs- und Geschäftsgeheimnisse oder personenbezogene Daten offenbart würden. Die Frage, ob ein Informationsanspruch besteht, ist damit von der Frage zu trennen, ob ein Auskunftsbegehren im behördlichen Interesse beschränkt werden kann. Zudem steht die Art und Weise des Informationszugangs im Ermessen der Auskunftsbehörde (hierzu Sarah Walz, Zur Art und Weise des Informationszugangs, DÖV 2009, 623 ff.) Der Ausschluss des Informationsanspruchs aus Datenschutzgründen unterliegt der Kontrolle des Hessischen Datenschutzbeauftragten. Es erscheint daher sachgerecht, den Hessischen Datenschutzbeauftragten generell in die Entscheidungsfindung einzubinden. Ob das Land Hessen sich gegenüber einer scheibchenweisen Einführung des Konzepts der Informationszugangsfreiheit sperren kann oder sich um einen kontrollierten Informationszugang bemühen sollte – wie etwa der Bund (Informationsfreiheitsgesetz – IFG – vom 5. September 2005, BGBl. I S. 2722) –, ist politisch zu entscheiden.
Zurück zur Übersicht
Zurück zum Inhaltsverzeichnis des 38. Tätigkeitsbericht
1.4.1
Überblick
Die Datenschutzskandale im privaten Bereich des Jahres 2008, die sich auch 2009 fortsetzen, wurden flankiert durch eine intensive Rechtsprechungstätigkeit und rege gesetzgeberische Tätigkeit (Überblick bei Gola/Klug, Die Entwicklung des Datenschutzrechts, NJW 2009, 2577 ff.), die den Zuständigkeitsbereich des Hessischen Datenschutzbeauftragten nicht unberührt lässt. So können Geodaten auch im öffentlichen Bereich Relevanz erlangen. Aus diesem Grund verfolgt der Hessische Datenschutzbeauftragte die Entwicklung mit größter Aufmerksamkeit (vgl. Johannes Caspar, Geoinformationen und Datenschutz am Beispiel des Internetdienstes Google Street View, DÖV 2009, 965 ff.).
1.4.2
Rechtsprechung
Aus dem Jahr 2008, wegen der später erfolgten Veröffentlichung im vorangegangenen Tätigkeitsbericht nicht mehr zu berücksichtigen, war das Urteil der Großen Kammer des EuGH vom 16. Dezember 2008 – C 524/56 – DVBl. 2009, 171, wonach das System zur Verarbeitung personenbezogener Daten im Ausländerzentralregister gegen EU-Recht verstößt. Ebenfalls die Große Kammer des EuGH entschied mit Urteil vom 10. Februar 2009 – C-201/06 (Irland/Europäisches Parlament), NJW 2009, 1801, dass die Richtlinie 2006/24/EG in Art. 95 EG (Vorratsdatenspeicherung) eine ausreichende Rechtsgrundlage finde. Dabei stellt die Kammer ausdrücklich klar, dass sich die Entscheidung auf die Wahl der Rechtsgrundlage beschränke und nicht eine Verletzung der Grundrechte als Folge von mit der Richtlinie verbundenen Eingriffen in das Recht auf Privatsphäre zu Gegenstand habe. Die Entscheidung ist ein Beispiel für Kompetenzanmaßungen von EU-Organen und sollte nicht aus Türöffner für beliebige Verstöße gegen den Grundsatz der Datensparsamkeit missverstanden werden (zutreffend Simitis, Der EuGH und die Vorratsdatenspeicherung oder die verfehlte Kehrtwende bei der Kompetenzregulierung, NJW 2009, 1782 ff.). Die Rechtsprechung zur Eingriffsqualität der Kfz-Kennzeichenüberwachung (BVerfGE 120, 378) setzte das Bundesverfassungsgericht durch Kammerbeschluss vom 17. Februar 2009 – 1 BvR 2492/08 – und vom 11. August 2009 – 2 BvR 941/08 –, DVBl. 2009, 1237 fort. Um eine Präzisierung des Kernbereichs privater Lebensgestaltung bemüht sich der Kammerbschluss vom 10. Juni 2008 – 1 BvR 1107/0 –, NJW 2006, 3357, 3359. Die Sicherstellung und Beschlagnahme von E-Mails auf dem Mailserver des Providers betrachtet das Bundesverfassungsgericht als Eingriff in Art. 10 Abs. 1 GG, der nach § 94 StPO gerechtfertigt werden kann (ebd.). Auf die informationelle Selbstbestimmung musste das Gericht nicht zurückgreifen. Das gilt auch für den BGH, der die Zulässigkeit einer heimlichen Überwachung von Ehegattengesprächen in einem Besuchsraum in der Untersuchungshaft am Rechtsstaatsprinzip maß und auch von daher zu einem Verwertungsverbot gelangte (Urteil vom 29. April 2009 – 1 StR 701/08 -, NJW 2009, 2463). Bei der Nutzung von Betriebsrechnern zum privaten E-Mail-Verkehr stellt der HessVGH zutreffend auf Art. 10 GG ab, nicht jedoch auf die informationelle Selbstbestimmung (Beschluss vom 19. Mai 2009 – 6 A 2672/08 Z. – NJW 2009, 2470). Für die Mitteilung personenbezogener Daten durch die Polizei in den privaten bzw. in den nicht öffentlichen Bereich lässt § 23 HSOG die Erfüllung polizeilicher Aufgaben genügen. Die Entscheidung des OVG Hamburg vom 4. Juni 2009 – 4 Bf 213/07 –, wonach die Öffentlichkeitsfahndung nach offiziellen Terrorverdächtigen eine erhebliche Gefahr erfordert, lässt Zweifel an der Verfassungsmäßigkeit der hessischen Regelung aufkommen.
Zurück zur Übersicht
Zurück zum Inhaltsverzeichnis des 38. Tätigkeitsbericht
1.5.1
Gemeinsamer Ausgangspunkt
Die Hessische Landesregierung hat sich mehrfach dahingehend geäußert, dass sie ebenso wie der Hessische Datenschutzbeauftragte der Ansicht sei, dass jedenfalls die hoheitlichen Bereiche der Daseinsvorsorge dem öffentlichen Bereich zuzuordnen seien. Über die Reichweite der Daseinsvorsorge bestehen allerdings nach wie vor unterschiedliche Auffassungen.
1.5.2
Landesregierung
Auf der 27. Plenarsitzung des Hessischen Landtags vom 19. November 2009 wurde der Standpunkt der Landesregierung wie folgt dargestellt:
Der Hessische Datenschutzbeauftragte vertrete hinsichtlich seiner datenschutzrechtlichen Zuständigkeit für privatrechtlich organisierte Unternehmen, die auf dem Gebiet der Daseinsvorsorge tätig sind, eine sehr weitgehende Auslegung des Gesetzes. Er sei der Ansicht, es handele sich bei diesen immer um öffentliche Stellen im Sinne des Hessischen Datenschutzgesetzes, die damit seiner Aufsicht unterliegen würden, weil sich der Staat der Aufgabe der Daseinsvorsorge nicht entledigen könne. Auch wenn diese Aufgabe durch einen Privaten erfüllt werde, ändere dies nichts an der Zuordnung zum öffentlichen Bereich. Dem hielt der Vertreter der Landesregierung entgegen, das geltende Recht verlange in jedem Fall für jedes Unternehmen, dessen Tätigkeit in den Bereich der Daseinsvorsorge fallen könnte, eine mehrstufige Prüfung auf der Grundlage des § 2 BDSG und des § 3 HDSG. Für öffentliche Stellen in Hessen mit Ausnahme derer des Bundes gelte das HDSG. Für nicht öffentliche Stellen gelte grundsätzlich das Bundesdatenschutzgesetz. Die gesetzliche Definition der nicht öffentlichen Stellen befinde sich in § 2 Abs. 4 BDSG. Der Bund habe insoweit von seiner Gesetzgebungskompetenz Gebrauch gemacht. Weder der Landesgesetzgeber noch die Landesregierung könnten eine hiervon abweichende Regelung treffen. Nach der Systematik des Bundesdatenschutzgesetzes sei eine Vereinigung des privaten Rechts nur dann eine öffentliche Stelle, wenn daran mindestens eine öffentliche Stelle beteiligt sei und sie Aufgaben der öffentlichen Verwaltung wahrnehme. Dies ergebe sich aus § 2 Abs. 3 BDSG. Das Bundesdatenschutzgesetz unterscheide also bei der Zuordnung privatrechtlich organisierter Unternehmen zu den öffentlichen Stellen zwischen hoheitlichen Aufgaben und anderen Aufgaben der öffentlichen Verwaltung. Nur wenn hoheitliche Aufgaben wahrgenommen würden, komme es auf eine Beteiligung der öffentlichen Hand nicht an. Nach Auffassung der Landesregierung dürfe die Definition im Bundesrecht nicht durch eine weite Auslegung des Begriffs der „hoheitlichen Aufgaben“ in § 3 Abs. 1 HDSG umgangen werden, wie das der Hessische Datenschutzbeauftragte vorschlage. Private Unternehmen würden sonst entgegen der Regelung des Bundesdatenschutzgesetzes dem Landesdatenschutzgesetz unterworfen. Die Landesregierung sehe es als ihre Aufgabe an, für die korrekte Anwendung des Bundesdatenschutzgesetzes auf nicht öffentliche Stellen Sorge zu tragen. Damit solle weder einer Flucht in das Privatrecht Vorschub geleistet werden, noch solle die Aufgabenstellung des Hessischen Datenschutzbeauftragten ausgehöhlt werden. Hier setze das Bundesrecht der Interpretierbarkeit des Landesrechts eine Grenze.
1.5.3
Hessischer Datenschutzbeauftragter
Das BDSG ist nach seinem § 1 Abs. 2 Nr. 1 anwendbar für die Erhebung, Verarbeitung und Nutzung personenbezogener Daten durch öffentliche Stellen des Bundes. Eine Legaldefinition der öffentlichen Stellen des Bundes enthält § 2 Abs. 1 Satz 1 BDSG. Danach handelt es sich um „die Behörden, die Organe der Rechtspflege und andere öffentlich-rechtlich organisierte Einrichtungen des Bundes, der bundesunmittelbaren Körperschaften, Anstalten und Stiftungen des öffentlichen Rechts sowie deren Vereinigungen ungeachtet ihrer Rechtsform“. Dem Wortlaut entsprechend ist auf Bundesebene von einem organisationsrechtlichen Begriff der öffentlichen Stelle auszugehen. Die öffentliche Stelle muss demnach öffentlich-rechtlich organisiert sein. Spiegelbildlich sind öffentliche Stellen der Länder nach der Legaldefinition in § 2 Abs. 2 BDSG „die Behörden, die Organe der Rechtspflege und andere öffentlich-rechtlich organisierte Einrichtungen eines Landes, einer Gemeinde, eines Gemeindeverbandes und sonstiger der Aufsicht des Landes unterstehender juristischer Personen des öffentlichen Rechts sowie deren Vereinigungen ungeachtet ihrer Rechtsform“. Diese Legaldefinition betrifft jedoch lediglich die Auslegung des BDSG. Dem Bundesgesetzgeber fehlt es an der Kompetenz, für den Landesbereich den Begriff der öffentlichen Stelle des Landes zu definieren. Das HDSG hat auf eine eigene Legeldefinition verzichtet; es gilt jedoch nach seinem § 3 Abs. 1 für Behörden, aber auch für „sonstige Stellen“. In Abgrenzung zum organisationsrechtlichen Behördenbegriff sind „sonstige öffentliche Stellen“ funktional, d.h. entsprechend ihrer Aufgabenstellung zu verstehen. Eine sonstige Stelle ist – vergleichbar mit der Stelle öffentlicher Verwaltung i.S.v. § 2 Abs. 1 Nr. 1 UIG – eine Stelle, die öffentlich-rechtlich (hoheitlich oder schlicht-hoheitlich) wie auch privatrechtlich (fiskalisch oder verwaltungsprivatrechtlich) handelt (vgl. BVerwG Urteil vom 18. Oktober 2005 – 7 C 5.04 –, DÖV 2006, 435, 436). Erfasst werden alle Stellen, die bei ihrer Aufgabenerfüllung öffentlich-rechtlichen Bindungen unterliegen. Das sind zum einen alle Stellen, die hoheitliche Aufgaben im engeren Sinne wahrnehmen. Handelt es sich um Personen des privaten Rechts, müssen diese ohnehin mit Hoheitsgewalt beliehen werden, so dass sie dann als Behörden nach § 1 Abs. 2 VwVfG handeln. Zum öffentlichen Bereich zählen aber auch Tätigkeiten zur Erfüllung des öffentlichen Daseinsvorsorgeauftrags. Daseinsvorsorge impliziert nämlich unmittelbare Grundrechtsbindungen. Da Adressat des Datenschutzrechts zur Wahrung der Grundrechte in erster Linie der Staat ist, ist es nur folgrichtig, dass die Datenschutzgesetze in ihrem Anwendungsbereich unterscheiden, ob die Erhebung, Verarbeitung und Nutzung personenbezogener Daten durch im weitesten Sinne staatliche Stellen oder durch Bürger beziehungsweise gewerblich Tätige, also private Stellen durchgeführt wird. Nur zur Klarstellung sei darauf hingewiesen, dass der öffentliche Bereich nicht notwendig durchgängig öffentlich-rechtlich geregelt sein muss. Es sind durchaus auch Handlungen auf privatrechtlicher Grundlage möglich, die aber öffentlich-rechtlicher Regulierung unterliegen. Die Überwachung der Einhaltung solcher Regulierungsvorgaben ist mit „Aufsicht“ gemeint.
1.5.4
Anwendungsbereiche
Im 37. Tätigkeitsbericht wurden die Anwendungsbereiche der Daseinsvorsorge wie folgt umrissen:
Erfasst werden Bereiche
Zurück zur Übersicht
Zurück zum Inhaltsverzeichnis des 38. Tätigkeitsbericht