2018-11-19

Datenschutz

Beata Hubrig

Photo Credit: Beata Hubrig

Ein Gastbeitrag von Beata Hubrig

Das Gebiet des Datenschutzes entwickelte sich erst Ende des 20. Jahrhundert, als wir damit begannen, unsere persönlichen Informationen in technische Geräte auszulagern und dadurch einen Kontrollverlust über uns selbst erlitten. Die Regeln zum Datenschutz sind klassische Schutzgesetze und dienen dem Zweck, Menschen davor zu schützen, dass sie einen Schaden durch Datenmissbrauch  erleiden. Prominentes Beispiel ist der Identitätsdiebstahl, bei dem mit gestohlenen Namen und Adressdaten Produkte eingekauft werden und an eine abweichende Adresse geliefert werden. Obwohl das Opfer des Identitätsdiebstahls die Produkte nicht selbst kaufte, muss es den Kaufpreis zunächst bezahlen. Geschädigte müssen aus eigener Kraft bei Verkäufer*innen und Inkassounternehmen nachweisen, dass sie die Käufe nicht selbst getätigt haben, unter Umständen ermittelt auch die Staatsanwaltschaft wegen Betruges.

Verletzungen des Rechts auf informationelle Selbstbestimmung können also weitreichende Konsequenzen für Betroffenen mit sich bringen. Aus diesem Grund gibt es das sogenannte “präventive Verbot mit Erlaubnisvorbehalt”. Unser Rechtssystem funktioniert im Grunde so, dass jede Handlung erlaubt ist, solange sie in kodifiziertem Recht nicht ausdrücklich verboten wurde. Dazu regelt unsere Verfassung, dass diese Verbote bestimmt genug formuliert sein müssen, damit Bürger*innen im Vorfeld Informationen darüber einholen können, welche Handlungen ihnen verboten sind. Dabei müssen diese verbotenen Handlungen so konkret und bestimmt sein, dass sie für Normalbürger*innen verständlich sind. Jede*r Bürger*in muss in der Lage sein, sich jederzeit gesetzestreu verhalten zu können, weil er*sie die Anforderungen, die der Staat an ihn*sie stellt, versteht.

DSGVO als neue Rechtsgrundlage

Die Regeln zum Datenschutz durchbrechen dieses System der grundsätzlichen freien Handlung und verbieten jede Erhebung, Verarbeitung und Übermittlung von personenbezogenen Daten. Dieses Verbot gilt für jede*n gleichermaßen. Das Verbot betrifft alle personenbezogene Daten. Diese sind alle persönlichen oder sachlichen Informationen über natürliche Personen, die identifizierbar sind. Gegenstand des Datenschutzes sind also Informationen über natürliche Personen wie Größe, Vorlieben, familiäre Situationen, Fähigkeiten,Aufenthaltsorte, Freunde. Darüber hinaus auch sachliche Angaben wie finanzielle Situation, Zahlungsmoral, persönliche Gegenstände, der Zustand dieser Gegenstände, vertragliche Beziehungen und so fort.

Jede Verarbeitung solcher Informationen muss für sich genommen konkret vom Gesetzgeber erlaubt sein, wobei der Gesetzgeber sich deutlich ausdrückt, wenn er Verarbeitungsvorgänge für einen bestimmten Bereich erlaubt. Beispiele dafür sind das 10. Sozialgesetzbuch und das Telemediengesetz. Hier wird auch der konkrete Zweck der Verarbeitung festgelegt, der später nicht neuen Bedürfnissen oder Betätigungsfeldern angepasst werden kann. Das ist die sogenannte strenge Zweckbindung.

Umfangreiche Informiertheit und freiwillige Entscheidung

Die andere Möglichkeit für eine Verarbeitungserlaubnis ist die Einwilligung der Betroffenen. Hier hat der europäische Gesetzgeber in der seit dem 25.5.2018 geltenden Datenschutzgrundverordnung in Art. 7 DSGVO die Bedingungen für eine rechtmäßige Einwilligung aufgestellt. Die beiden Eckpfeiler der rechtmäßigen Einwilligung sind die umfangreiche Informiertheit und die darauf beruhende freiwillige Entscheidung, die Einwilligung abzugeben. Ein nach der Verarbeitung eingeholtes Einverständnis ist rechtlich irrelevant und ändert an der Rechtswidrigkeit der Datenverarbeitung nichts.

Der Betroffene muss vor der Einwilligung in die Datenverarbeitung seiner Daten den
Sachverhalt überschauen und verstehen können und auf der Grundlage seines Verständnisses einwilligen oder eben nicht. Die gesetzlichen Erlaubnisse und die Einwilligung schließen sich gegenseitig aus. Erlaubt der  Betroffene eine konkrete Datenverarbeitung ausdrücklich, wie zum Beispiel in einer Vertragsbeziehungen wie dem Mietvertrag, dann darf eine Einwilligung darüber hinaus nicht eingeholt werden.

Besonders wichtig ist die Informiertheit. Die Kenntnisse, die betroffene Personen von der Datenverarbeitung haben müssen, sind  nicht zu unterschätzen. Wochen, bevor die neuen Datenschutzverordnung galt, ging ein Raunen durch die Sozialen Medien, weil die Pflicht zur Information über eigene Verarbeitung fremder Daten lediglich einen größeren Verwaltungsaufwand darstelle. Dies aber nur, weil das Verständnis fehlte. Die Möglichkeit, seine eigenen Daten zu schützen, ist abhängig von der Information darüber, dass überhaupt eine fremde Verarbeitung der eigenen Daten stattfindet. Also ohne das Wissen darüber, wer welche Daten wo und zu welchem Zweck verarbeitet, gibt es  keine Möglichkeit, sich  vor der missbräuchlichen Datenverarbeitung durch Unternehmen, Staaten und Personen aus dem Sozialkreis zu wehren.

Wenn Gegenstände gestohlen werden oder jemandem Blut abgezapft, Haare abgeschnitten werden o. ä. wird dies in den allermeisten Fällen bemerkt. Wenn Daten gestohlen werden, bekomme man  dies einfach nicht mit und kann sich nicht dagegen wehren. Erst wenn die Daten dann missbraucht und ein Schaden zugefügt wird, erfährt das Opfer von der missbräuchlichen Datennutzung. Aus diesem Grund hat der europäischen Gesetzgeber umfangreich die Transparenz über die Verarbeitung unserer Daten festgelegt. Jederzeit müssen wir  in der Lage sein, zu wissen oder zu erfahren, wer, wann welche Daten hat und was er mit ihnen anfängt.

Für die Umsetzung der DSGVO sind die Landesaufsichtsbehörden für Datenschutz und Informationsfreiheit zuständig. Darüber hinaus arbeiten betriebliche Datenschutzbeauftragte in Unternehmen daran, dass die Regeln bekannt sind und umgesetzt werden. Schadenersatz kann über die unerlaubte Handlung nach § 823 Abs. 2 BGB durchgesetzt werden, da die Regeln zum Datenschutz Schutzgesetze darstellen.

Ein gutes Beispiel ist die zivilrechtliche Klage eines ehemaligen Genius Mitarbeiter gegen die Apple Retail Germany GmbH. Der Kläger hatte seinen Arbeitsplatz im Back of House und wurde unberechtigt von seinem Arbeitgeber videoüberwacht. Dies war ein Eingriffen in das Recht auf informationelle Selbstbestimmung. Denn die Videoüberwachung im Backoffice war unberechtigt. Vor dem Landesarbeitsgericht Frankfurt am Main klagte er erfolgreich Schmerzensgeld von 7.000€ ein.

Wichtige Tipps

Es ergibt immer Sinn, sich im Alltag mit seinen Daten auseinanderzusetzen. Einer der wichtigsten Tipps ist wohl, in Erfahrung zu bringen, welche Scoring-Unternehmen am Markt sind und welche Daten diese von Privatpersonen  verarbeiten. Sollten falsche oder veraltete Daten durch diese Unternehmen verarbeitet und an andere Unternehmen, mit denen man  Geschäfte machen möchten übermittelt werden, entsteht ein kaum wieder gutzumachender Schaden für die betroffene Person. Deshalb sollte man sich immer wieder Gedanken machen, wem man seine Daten zur Verfügung stellt, wer auf sie zugreifen kann, wer diese Personen, dieser Staat oder dieses Unternehmen sind und welche Interessen sie verfolgen. Können diese Stellen mit den personenbezogenen Daten diese Ziele erreichen und haben diese negative Konsequenzen? Welche Nachteile entstehen durch die Verarbeitung dieser Daten: What could possible go wrong?

Wichtig bei Datenschutz ist es auch, immer selbst für die Sicherheit seiner Daten zu sorgen. Deshalb sollte man unter anderem  für ein funktionierendes Backup sorgen und eine Liebe zu Verschlüsselungstechniken entwickeln. Für E-Mails empfehle ich PGP, für Messenger Threema und für Rechnerverschlüsselung FileVault (macOS) oder Bitlocker (Windows).

Zur Autorin: Beata Hubrig ist Rechtsanwältin für Datenschutz, Urheber- und Internetrecht. Seit mehr als zehn Jahren berät sie zu den Themen Verfassungsrecht und Datenschutz. Auch für die re:publica GmbH ist sie als Datenschutzbeauftragte beratend tätig.