Was ist Datenschutz? Begriff und Geschichte

Fachbeitrag

Datenschutz ist heutzutage jedem ein Begriff. Das war nicht immer so. Über die Geschichte der Entstehung dieses Grundrechts und welche Rolle der Datenschutz im Zeitalter der Digitalisierung spielt, indem Informationen einfacher und schneller abrufbar sind denn je.

Die Geschichte und Entwicklung des Datenschutzes

Zunächst ein kurzer Überblick zur Geschichte und Entwicklung des Datenschutzes insbesondere in Deutschland und Europa:

1970 – Die Geburtsstunde des Datenschutzes

Wenn man ehrlich ist, ist 1970 noch gar nicht so furchtbar lange her. Trotzdem gab es erst in diesem Jahr das erste Datenschutzgesetzt weltweit (!). Und es war das Bundesland Hessen, das mit dem Hessischen Datenschutzgesetz vom 07. Oktober 1970 die Vorreiterrolle übernahm. Dieses Gesetz behandelte zwar nur die Datenverarbeitung durch öffentliche Stellen, deckte aber ansonsten schon erstaunlich viele Punkte ab, die auch heute noch Kernelemente gesetzlicher Regelungen wie der Datenschutz-Grundverordnung (DSGVO) oder dem BDSG sind.

Das heute als Verzeichnis von Verarbeitungstätigkeiten bekannte vormalige Verarbeitungsverzeichnis hatte die Datenschutzbeauftragten der Unternehmen auch schon 1977 zu führen, wenngleich es etwas weniger Angaben enthielt als heutzutage. Selbst die Auftragsverarbeitung fand sich im Gesetz von 1977 bereits wieder, und zwar als „Geschäftsmäßige Datenverarbeitung nicht-öffentlicher Stellen für fremde Zwecke“.

Das Volkszählungsurteil von 1983

Elementar für unser heutiges Verständnis des Datenschutzes war aber vor allem das Volkszählungsurteil vom 15. Dezember 1983. Auslöser für dieses Urteil war eine für April bis Mai 1983 geplante Volkszählung in der Bundesrepublik Deutschland. Der Staat wollte im Rahmen der auf dem „Volkszählungsgesetz“ basierenden Volkszählung viele personenbezogene Daten erheben, u.a. detaillierte Angaben zu Familie und Lebenspartnerschaft, zur Wohnsituation, zu schulischer und beruflicher Ausbildung und Erwerbstätigkeit, zur Stellung im Beruf, zu Arbeitszeit und zum Arbeitsweg.

Hiergegen wurden gleich mehrere Verfassungsbeschwerden erhoben, die letztlich zum Volkszählungsurteil führten. In diesem wurde nicht nur die Rechtswidrigkeit der geplanten Volkszählung festgestellt und das Volkszählungsgesetz für verfassungswidrig erklärt. Es wurde vor allem das Grundrecht (!) auf informationelle Selbstbestimmung etabliert (als Ausfluss des allgemeinen Persönlichkeitsrechts (Art. 2 Absatz 1 Grundgesetz) und der Menschenwürde (Art. 1 Absatz 1 Grundgesetz).

Bund und Länder reformierten daraufhin bestehende Datenschutzgesetze und schafften neue bereichsspezifische Datenschutzgesetze – u.a. auch betreffend der Volkszählung, die dann schließlich 1987 in datenschutzkonformer Ausgestaltung doch noch stattfand.

Datenschutz goes Europe

Bedingt durch das Bedürfnis nach mehr Einheitlichkeit zur Erleichterung des innereuropäischen Verkehrs von Daten wurde 1995 die europäische Richtlinie zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Richtlinie 95/46/EG) erlassen. Diese trug der technischen Fortentwicklung der letzten Jahrzehnte Rechnung, wenngleich auch damals die Technik dem Recht natürlich schon weit voraus war. Unter anderem war die Datenschutzrichtlinie vor allem für die Gründung der sog. „Artikel-29-Datenschutzgruppe“ verantwortlich. Dieses Gremium aus Vertretern der einzelnen Mitgliedsstaaten sollte in der Zukunft mit seinen zahlreichen Stellungnahmen, u.a. in Form der sog. Working Papers, zentralen Einfluss auf die Auslegung datenschutzrechtlicher Regelungen nehmen. Und es existiert im Grunde bis heute fort, nunmehr unter der Bezeichnung Europäischer Datenschutzausschuss.

2002 folgte dann die Datenschutzrichtlinie für elektronische Kommunikation (Richtlinie 2002/58/EG), auch bekannt als ePrivacy- oder Cookie-Richtlinie, die neue Standards für den Datenschutz im Bereich der Telekommunikation setzte. Dies verursachte 2004 die Novellierung des Telekommunikationsgesetzes in Deutschland. Im Jahr 2009 wurden Teile der ePrivacy-Richtlinie nochmal überarbeitet (Richtlinie 2009/136/EG). Ob diese neuen Vorgaben im deutschen Recht vollständig umgesetzt wurden oder wie diese in Deutschland wirkten, war anschließend für 11 Jahre ein unter Datenschützern beliebtes Diskussionsthema. Der Streit hat sich durch das „Cookie-Einwilligung II“-Urteil des BGH nunmehr erledigt. Entsprechend sah sich der Gesetzgeber gezwungen, in dem im Dezember in Kraft tretenden „Gesetz zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien“ (Telekommunikation-Telemedien-Datenschutzgesetz) unter anderem die Umsetzung nachzureichen. Die Umsetzung der für die Richtlinie namensstiftende Vorschrift zu Cookies findet sich dann in § 25 TTDSG.

Europäische Datenschutz-Grundverordnung (DSGVO)

Die am 14. April 2016 vom EU-Parlament verabschiedete und seit dem 25. Mai 2018 anwendbare DSGVO hat schließlich für eine weitgehende Harmonisierung des Datenschutzes in allen Mitgliedsstaaten gesorgt. Anders als die vorangegangenen Richtlinien gilt sie als Verordnung auch ohne weiteren nationalen Umsetzungsakt unmittelbar in allen Mitgliedstaaten.

Was ist Datenschutz – eine Definition

Datenschutz ist ein Begriff, der nicht einheitlich verstanden wird. Er umfasst je nach Perspektive Aspekte wie den Schutz der Privatsphäre, den Schutz vor missbräuchlicher Datenverarbeitung oder die Entscheidungshoheit darüber, wem wann welche seiner persönlichen Daten zugänglich sein sollen. Aus der Sicht des Datenschutzrechtlers betrifft Datenschutz den Schutz des vom Grundgesetz geschützten Rechts auf „informationelle Selbstbestimmung“ bzw. des „Rechts auf Schutz der (eine Person) betreffenden personenbezogenen Daten“ (Art. 8 Abs. 1 der Grundrechtecharta der EU).

Man kann daher den Datenschutz vielleicht am einfachsten als den

„Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten“

definieren. So formuliert es etwa der 1. Erwägungsgrund zur DSGVO. Datenschutz ist also nicht gleichzusetzen mit dem Schutz von Daten an sich (was der Begriff nahelegen könnte). Es geht vielmehr um den Schutz der Grundrechte und Grundfreiheiten der natürlichen Person, die hinter diesen Daten steht. Dementsprechend spricht die DSGVO auch stets vom Schutz personenbezogener Daten.

Unterschied zwischen Datenschutz und Datensicherheit

Damit ist auch schon der zentrale Unterschied zum Begriff der Datensicherheit angesprochen: Denn hier steht gerade die Sicherheit der Daten im Vordergrund, ohne dass es darauf ankäme, ob sie einer konkreten Person zugeordnet werden können. Datensicherheit spielt damit auch bei rein technischen oder wirtschaftlichen Daten eine Rolle, die – insbesondere, wenn sie in den Bereich der Geschäftsgeheimnisse fallen – natürlich ebenfalls eines angemessenen Schutzes bedürfen.

Wer von Datensicherheit spricht, meint damit den Schutz von Daten vor gewissen Sicherheitsrisiken wie etwa der Manipulation, dem Verlust oder der unberechtigten Kenntnisnahme. Hier geht es also nicht um die Zulässigkeit oder die rechtskonforme Ausgestaltung einer konkreten Datenverarbeitung (von personenbezogenen Daten) sondern um die generelle Frage, welche Maßnahmen zum Schutz der Daten getroffen werden müssen. Hierzu gehört dann u.a. die Umsetzung durch geeignete technische und organisatorische Maßnahmen, die auch das Datenschutzrecht erfordert.

Warum ist Datenschutz wichtig?

Wie eben erwähnt geht es beim Datenschutz letztlich um den Schutz von Grundrechten und der Selbstbestimmung natürlicher Personen. Angesichts der massenhaften Datenverarbeitungen, die unsere digitale Lebenswirklichkeit bereits heute mit sich bringt (und es wird künftig noch mehr werden!), kann dieser Schutz nicht hoch genug geschätzt werden. Und für Unternehmen gilt: Mangelhafter Datenschutz wird früher oder später dazu führen, dass sie in den Fokus der Öffentlichkeit oder gar der Datenschutzaufsichtsbehörden geraten. Die Bedrohung durch potenzielle Bußgelder ist dabei ebenso real wie diejenige eines ernsthaften Reputationsschadens.

Warum ist Datenschutz im Unternehmen wichtig?

Vor allem weil ein Datenschutzverstoß heute kostspielig sein kann.

Bußgelder und Schadensersatz

Über aktuelle (Millionen-)Bußgelder kann man sich mittlerweile leicht im Internet informieren, so melden auch wir auf Dr-Datenschutz.de zu Beginn eines jeden Monats die Top 5 DSGVO-Bußgelder. Wer den Datenschutz ernst nimmt, gerät weniger in Gefahr, überhaupt ein Bußgeld zu kassieren. Oder dieses wird zumindest – im Fall der Fälle – weit geringer ausfallen. Denn die DSGVO sagt zur Höhe einer Geldbuße, dass sie in jedem Einzelfall wirksam und abschreckend sein soll – aber eben auch verhältnismäßig. Wer entsprechende Anstrengungen beim Datenschutz vorweisen kann, darf daher auf eine erheblich geringere Buße hoffen.

Unzureichender Datenschutz kann aber auch Auslöser für monetäre Ansprüche von Privatpersonen sein. So besagt Art. 82 Abs. 1 DSGVO ausdrücklich:

„Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.“

Im Einzelnen ist hier noch viel umstritten und bedarf der Klärung durch den EuGH. Nach ursprünglicher Zurückhaltung der deutschen Gerichte werden nunmehr auch häufiger etwas höhere Summen zugesprochen. Der Aspekt der Schadensersatzzahlungen sollte jedenfalls nicht außer Acht gelassen werden, da bei Datenschutzverstößen wie etwa einem Datenleck, eine Vielzahl potenzieller Anspruchsteller Entschädigung verlangen könnte. Und mit dem Ende der Umsetzungsfrist der EU-Verbandsklagerichtlinie zum Jahresende 2022 entsteht zudem bald die Möglichkeit von DSGVO-Sammelklagen auf Schadensersatz.

Datenschutz rückt ins öffentliche Bewusstsein

Mit zunehmender Sensibilisierung der Öffentlichkeit für das Thema Datenschutz wird zudem ein potenzieller Imageschaden sogleich wahrscheinlicher wie empfindlicher. Gerade in der Digitalwirtschaft, wo der Konkurrent oft nur einen Mausklick entfernt ist, ist auch die wirtschaftliche Bedeutung des Bekanntwerdens von Verstößen gegen den Datenschutz, nicht zu unterschätzen. Oder andersherum: Ein besonders sensibler, datenschutzkonformer Umgang mit den Daten der Kunden kann ein echter Wettbewerbsvorteil werden.

Immer mehr Beachtung findet der Datenschutz auch bei Unternehmenskäufen. Für den Unternehmenswert ist auch der Umgang mit personenbezogenen Daten (nicht zuletzt denjenigen der Kunden) von immer größerer Bedeutung. Außerdem nimmt auch der Wert der im Unternehmen vorhandenen Daten immer weiter zu. Wer heutzutage den Datenschutz vernachlässigt, schadet dem Wert des Unternehmens und damit seinen Anteilseignern.

Warum ist Datenschutz im Privatleben wichtig?

Wenn es nicht möglich ist zu wissen oder zu beeinflussen, welche Informationen über einen selbst gespeichert, verwendet oder weitergegeben werden, wird der Einzelne sein Verhalten entsprechend anpassen, um nicht durch abweichende Verhaltensweisen aufzufallen. Das wiederum führt zu einer Beeinträchtigung der individuellen Entfaltungschancen des Einzelnen und darüber hinaus auch zu einer Beeinträchtigung des Gemeinwohls. Denn ein freiheitlich demokratisches Gemeinwesen zeichnet sich auch durch die Selbstbestimmung seiner Bürger aus.

So argumentierte bereits das BVerfG im Volkszählungsurteil aus dem Jahre 1983. Heute, wo jeder von uns tagtäglich, mal mehr, mal weniger freiwillig, Daten von sich im Internet und anderswo preisgibt, gelten diese Gedankengänge umso mehr. Nur sind wir heute nicht nur der Datensammelei der eigenen Staatsmacht ausgesetzt, sondern auch derjenigen kommerzieller Player, deren einziges Ziel die Steigerung von Profit ist. Wenn diese Unternehmen nicht durch den Datenschutz reglementiert würden, gäbe es so etwas wie Datenhoheit oder Datensouveränität nicht mehr. Der gläserne Bürger bzw. Nutzer wäre längst Realität. Dass wir alle, entgegen einem gern zitierten Satz, sehr wohl etwas zu verbergen haben, sollten wir uns häufiger ins Gedächtnis rufen. Jedenfalls dann, wenn wir auch zukünftig unsere Entscheidungen selbst treffen und dies nicht den großen Internetkonzernen oder Werbenetzwerken überlassen wollen.

Wie man sich gegen Datenkraken und andere digitale Bösewichte zur Wehr setzen kann, illustrieren z.B. die „Kurze Anleitung zur digitalen Selbstverteidigung“ der Digitalen Gesellschaft oder auch das „Kleine Einmaleins der digitalen Selbstverteidigung“ von „netzpolitik“ sehr gut.

Datenschutz: Als Exportschlager zum weltweiten Trend

Die DSGVO stellt auch über 3 Jahre nach ihrem „Inkrafttreten“ die Wirtschaft weiter vor erhebliche Herausforderungen. Zugleich aber loben viele die DSGVO als Exportschlager oder datenschutzrechtlichen Goldstandard, sehen Europa aufgrund der DSGVO in einer Vorreiterrolle. Aufgrund der Vernetzung der globalen Wirtschaft wird die Einhaltung der DSGVO weltweit immer wichtiger. Zudem treffen die Verpflichtungen aus der DSGVO aufgrund des Marktortprinzips des Art. 3 Abs. 2 DSGVO Unternehmen oft auch dann, wenn diese gar nicht in der EU sitzen.

So ist es nur konsequent, dass immer mehr Staaten neue Datenschutzgesetze verabschieden, die sich weitgehend oder zumindest hinsichtlich zentraler Prinzipien an der DSGVO ausrichten. Als derzeit relevanteste seien genannt Kaliforniens Consumer Privacy Act (CCPA), das Datenschutzgesetz Brasiliens (Lei Geral de Proteção de Dados), die Überarbeitung des japanischen Datenschutzgesetzes (APPI) oder Chinas neues Datenschutzgesetz aus diesem Jahr.

Eine Anpassung ihrer nationalen Gesetze in Richtung der DSGVO ist für Drittstaaten aber auch deshalb interessant, weil sie so die Chancen auf einen Angemessenheitsbeschluss der Kommission erhöhen und dadurch die Wirtschaftsbeziehungen mit der EU verbessern können. Derzeit befindet sich die Prüfung eines Angemessenheitsbeschlusses für Südkorea auf der Zielgeraden.

Datenschutz schreibt Geschichte

So sehr man sich auch an einzelnen Regelungen der DSGVO oder an deren Auslegung durch die Aufsichtsbehörden reiben mag, ihr internationaler Erfolg zeigt, wie überfällig die robuste Novellierung des Datenschutzrechts und dessen weitgehende Vereinheitlichung in Europa war – und in vielen Regionen der Welt weiterhin ist. Datenschutz ist gerade in unserer digitalen Welt, die zukünftig noch viel digitaler und datengetriebener sein wird, die Grundlage für unser selbstbestimmtes Leben. Die Geschichte des Datenschutzes ist mit der DSGVO um ein wesentliches Kapitel fortgeschrieben worden. Sie zu einer Erfolgsgeschichte zu machen, liegt in unser allen Händen. Jeder einzelne von uns kann mit seinem Verhalten und seiner Haltung daran mitschreiben.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Externer Datenschutzbeauftragter

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.