Das erste Datenschutzgesetz der Welt kommt aus Hessen.
Als das Bundesland Hessen 1970 ein Gesetz zum Schutz der Persönlichkeitsrechte von Betroffenen erlies, steckte die elektronische Datenverarbeitung noch in den Kinderschuhen. Datenverarbeitung fand, wenn überhaupt, zentralisiert in Rechenzentren statt. Programmcode wurde auf Lochkarten gespeichert, und Festplatten hatten eine Kapazität, die in Megabytes angegeben wurde. Datenverarbeitung war darauf ausgelegt, nur die Daten zu speichern, die auch benötigt wurden, da Speicherplatz teuer war. Mit dem hessischen Gesetz war der Datenschutz geboren worden. Sieben Jahre später wurde das erste deutschlandweit gültige Bundesdatenschutzgesetz verabschiedet, welches vor allem im nichtöffentlichen Bereich die Landesgesetze ersetzte. Dennoch steckte der Datenschutz zu diesem Zeitpunkt noch in den Kinderschuhen, und Datensicherheit wurde teilweise sträflichst vernachlässigt. Seit den 70er Jahren hat sich beim Thema Datenschutz viel getan - sowohl im politischen als auch im technologischen und juristischen Bereich. Dieser Artikel gibt einen Überblick über die Entwicklungen der vergangenen Jahrzehnte und zeigt, was sich mit der neuen europäischen Datenschutzverordnung für Unternehmen ändert.
Bei der wohl bekanntesten Volkszählung der Geschichte - vor 2000 Jahren vom römischen Statthalter Quirinus in Syrien organisiert und vom Evangelisten Lukas literarisch verarbeitet - sollte sich ein jeder Bürger in seinem Heimatort in die Steuerlisten eintragen. Nicht ganz zwei Jahrtausende später, im Frühjahr 1983, sollte in Deutschland eine Volkszählung stattfinden. Hier sollten allerdings weit mehr Daten erhoben werden sollten als nur die Anzahl der Bürger. Die Beauftragten zur Volkszählung sollten von Tür zu Tür gehen und in jedem Haushalt unterschiedlichste Daten erheben. Dazu gehörte laut Volkszählungsgesetz beispielsweise, wie viele Bewohner dauerhaft dort lebten, wie hoch das Einkommen ist oder welcher Religion die Bewohner angehörten. Gegen diese Art der Totalerhebung wurden von Bürgern mehrere Verfassungsbeschwerden erhoben. Daraufhin beschäftigte sich das Bundesverfassungsgericht sich mit dem Thema - das Ergebnis war das Volkszählungsurteil vom 15. Dezember 1983. Zum ersten Mal wurde hier das „Recht auf informationelle Selbstbestimmung" erwähnt und dann auch im Volkszählungsurteil als Grundrecht für die Bürger bestätigt. Die Anerkennung dieses Rechtsgutes hatte damit direkte Auswirkungen auf das damalige Bundesdatenschutzgesetz. Dieses wurde 1990 einer weitgehenden Revision unterzogen. Jede Person sollte wissen, welche persönlichen Daten von welcher Behörde oder welchem Unternehmen verwendete wurden und zu welchem Zweck. Damit wurde der Schutz der Daten des Individuums Rechnung getragen: Seither konnten die speichernden Stellen nicht mehr selbst über die Dauer und Verwendung dieser Daten entscheiden. Einhergehend mit der Anpassung auf eine Zweckbindung der Datenverarbeitung gab es auch Ansätze, dass Daten auch wieder gelöscht werden sollten, wenn sie nicht mehr weiter benötigt wurden. Allerdings war die gesetzliche Formulierung so schwammig formuliert, dass Unternehmen und Behörden einer Löschung immer Argumente gegenüberstellten, um sich von Ihrer Löschpflicht zu befreien. Allerdings wurde einer endlosen Speicherung von Daten damals noch nicht so viel Bedeutung beigemessen, wie es heute der Fall ist.
Mit der Modernisierung der Informationstechnologie ging auch eine Modernisierung der Datenverarbeitung einher. Speicherplatz wurde immer billiger, und für Datensparsamkeit gab es keine wirtschaftlichen Gründe mehr. Unternehmen begannen vermehrt, Daten zu sammeln, zu analysieren und für eigene Maßnahmen zu nutzen. Dieser Entwicklung konnte durch den Datenschutz nicht ignoriert werden; allerdings sollte der Wirtschaft das Instrument der Datensammlung nicht genommen werden. Übertrieben haben es hierbei Unternehmen aus der Werbebranche, die Kooperationen mit Unternehmen eingingen und mit den Daten der Kunden individualisierte Werbemaßnahmen entwickelten. Bei einer Vielzahl von Gewinnspielen konnten teure Reisen, moderne Fernsehgeräte oder sogar Häuser im Lostopf gewonnen werden. Das Ziel solcher Aktionen war immer das gleiche: An aktuelle Adressen zu kommen, die dann weiterverkauft oder anderweitig verwertet werden konnten. Gleiches gilt für die Kundenkarten, die ihre Besitzer mit Treuepunkten belohnen und auch heute noch für Maßnahmen der Kundenbindung genutzt werden. HappyDigits beispielsweise wurde 2002 von der Telekom und Karstadt entwickelt mit dem Ziel, die eigenen Kunden besser kennen zu lernen. Mit jedem Einkauf konnte das Unternehmen mehr über die Person erfahren: Wo und was sie einkaufte und wieviel die Warenkörbe wert waren. In dieser Zeit wurde das sogenannte „Profiling“ - die Erstellung detaillierter Kundenprofile - immer weiter optimiert und in Verbindung mit der rasanten Entwicklung des Internets interessanter und vielfältiger. "Googeln" als Synonym für „Online Suchen und Finden“ wurde in diesen frühen Jahren des neuen Jahrtausends zum geflügelten Wort (und hat mittlerweile sogar Eingang in den Duden gefunden).
Durch die Technologien von Google wurden die Daten der Bürger transparenter - und damit auch für andere Unternehmen noch interessanter. Gleichzeitig gaben immer mehr auch persönlichste Daten an Unternehmen weiter, ohne darauf zu achten, was diese damit tatsächlich taten. Die Folge: Der Mensch und seine Aktivitäten wurden immer gläserner, Datenwege aber immer undurchsichtiger. Unternehmen tauschten die gewonnenen Daten untereinander aus. Letztendlich verteilten sich die Informationen über den gesamten Erdball, ohne dass der Betroffene Kenntnis hat, wer nun im Besitz der eigenen Daten ist. In diese Zeit der Datensammelwut fiel ein weiteres dunkles Kapitel: Unternehmen wie Lidl ließen ihre Mitarbeiter in den Sozialräumen überwachen und schreckten nicht einmal davor zurück, Kameras in den Umkleideräumen zu installieren. Auch das Ausspähen von Arbeitnehmervertretern im Aufsichtsrat der Deutschen Bahnentwickelte sich zu einem Datenschutzskandal. Der Gesetzgeber erkannte: Nicht nur die Informationstechnologie entwickelt sich weiter; auch die Gesetzgebung muss sich dieser anpassen, um die Bürger entsprechend schützen zu können. Daher wurde das Datenschutzrecht Schritt für Schritt verschärft und - von der Perspektiveder der Wahrung der Persönlichkeitesrechte - stark verbessert. Mit den Novellierungen des Bundesdatenschutzgesetzes bis 2010 gab es nun mehr Transparenz in Bezug auf die Übermittlungen von Daten. Vor allem durften Unternehmen nun nur noch solche Daten verwenden, zu denen der Betroffene auch explizit seine Einwilligung gegeben hatte oder aber das Bundedatenschutzgesetz es konkret erlaubte. Generell sollten nun Verarbeitungsvorgänge für den Betroffenen nachvollziehbarer werden. Das neue Gesetz entzog der Werbewirtschaft eine wichtige Grundlage - die unkontrollierte Erhebung und Nutzung von Personendaten. Für die Betroffenen bot es den Vorteil, die Hoheit über die eigenen Daten zurückzuerhalten.
Die Grundlagen des europäischen Datenschutzes liegen in Art. 8 der Konvention zum Schutz der Menschenrechte und Grundfreiheiten (EMRK). Seit den 70er Jahren leitete der europäische Gerichtshof für Menschenrechte hier bereits den grundrechtlichen Schutz personenbezogener Daten her. Die deutsche Gesetzgebung hatte die Auswirkungen aus diesem Schutz öffentlichkeitswirksam bei dem Volkszählungsurteil 1983 mit berücksichtigt. Mit der allgemeinen Datenschutzrichtlinie 95/46/EG vom 24.10.1995 sollte ein einheitlicher europäischer Datenschutz in allen Unionsländern und teilweise darüber hinaus (z.B. Schweiz und Norwegen) gelten. Was der Gesetzgeber nicht vorhersagen konnte, war die technologische Fortentwicklung, insbesondere das Internet. Der Mobilfunk entwickelte sich bereits in diesen Jahren schon ständig weiter, aber an Smartphones und dazugehörige "Apps" dachte noch keiner. Ebensowenig wurde der Verknüpfung von Personendaten im Internet eine tragende Rolle zugestanden, wie es heute bei den Social-Medien-Netzwerken der Fall ist. Diese Verarbeitungsform blieb nur großen Unternehmen vorbehalten, und auch dort nur für deren besondere Zwecke. Durch den technologischen Wandel, bedingt vor allem durch das starke Wachstum von Google, Facebook und Co, legte sich der Schwerpunkt in die Verarbeitung von personenbezogenen Daten: bei Google durch das Geschäftsmodell der individualisierbaren, zielorientierten Werbung, bei Facebook eher in der Schaffung eines weltweiten Netzwerkes (mit einem nachgelagerten Erlösmodell durch noch besser individualisierbare Werbung).
Und genau hier zeigten sich die Schwächen einer europäischen Richtlinie: Während sich Deutschland bemühte, seiner Vorreiterrolle als "Datenschutzland" gerecht zu werden, und die Regelungen der Richtlinie in den dort gültigen Datenschutzgesetzen (Bundesdatenschutzgesetz, Telemediengesetz) in nationales Recht umzusetzen, nahmen andere Länder kein weitreichenden Änderungen vor. Sie galten fortan als "liberale" Orte, in denen der Datenschutz auch aus wirtschaftlichen Gründen nicht konsequent zu Gunsten des Betroffenen ausgelegt wurde.
Auch die geschaffenen Datenschutzbehörden waren stark unterschiedlich in ihren Auslegungen der Gesetzesnormen: So entschied sich beispielsweise Facebook, den Sitz für das europäische Tochterunternehmen in Irland auszuwählen - was nicht nur steuerliche, sondern auch datenschutzrechtliche Vorteile verschaffte.
Die Unterschiede in der Auslegung der Datenschutzrichtlinie waren am Ende so groß, dass sich das Europäische Parlament auf die Reformierung des Datenschutzes einigte. Der Rechtsrahmen für die digital sich weiterentwickelnde Welt sollte neu geschaffen, neu justiert werden. Der erste Entwurf der Datenschutz-Grundverordnung wurde von der damaligen Justizkommisarin Viviane Reding vorgelegt. Nach Prüfung des dafür zuständigen Ausschusses für bürgerliche Freiheiten, Justiz und Inneres (der sogenannte "LIBE"-Ausschuss) wurde der grüne Abgeordnete Jan-Phillip Albrecht damit beauftragt, diesen Entwurf mit den Anmerkungen des LIBE-Ausschusses zu überarbeiten. Knapp ein Jahr später wurde der geänderte Gesetzestext dem Europäischen Parlament vorgelegt, damit dessen Ausschüsse eine eigene Liste von Anpassungen zu diesem Gesetzesvorhabens erstellen konnten. Heraus kamen 3.999 Änderungsanträge, deren Ursprung in der Miteinbeziehung vieler Interessenvertretungen der Wirtschaft und auch der (europäischen) Verbraucherverbände lag. Vor allem aber hatte sich die Meinung zum Schutz von Personendaten aufgrund der Snowden-Affäre verändert. Fraktionsübergreifend überwog bei den Abgeordneten die Meinung, dass die Grundrechte der Bürger im digitalen Raum besser geschützt werden müssen, so dass der Berichtsentwurf mit den Änderungsvorschlägen im Herbst 2013 fast einheitlich (von den Ausschüssen) angenommen wurde. Allerdings war die Gesetzesiniative damit längst nicht abgeschlossen. Nun sollte der Europäische Rat diesen Entwurf zu einer Verordnung bringen, und zwar am besten noch vor den Parlamentswahlen, die im Jahre 2014 stattfinden werden. Dies gestaltete sich als schwierig und am Ende verging dann doch mehr als über ein Jahr, bis die Einigung im Europäischen Rat am 15.05.2015 vollzogen war. Danach begannen die Verhandlungen mit dem Trilog, also Vertretern des Rates, des Europäischen Parlamentes und der Kommission. Erst Ende des Jahres 2015 war der Kompromisstext fertiggestellt und stand zur Übersetzung in die 24 Amtssprachen an.
Am 27.04.2016 wurde der in zwei Lesungen abgestimmte finale Text unterzeichnet und eine Woche später als Verordnung (EU) 2016/679 im Amtsblatt veröffentlicht. Weitere zwanzig Tage danach trat die Datenschutz-Grundverordnung in Kraft. Allerdings wird sie erst zwei Jahre später unmittelbar anwendbares Recht: Der 25.05.2018 gilt seitdem als magisches Datum. Unternehmen hatten mit Veröffentlichung der Verordnung nun zwei Jahre lang Zeit, die Anforderungen des neuen Datenschutzgesetzes zu erfüllen. Interpretationsspielräume gibt es zwar noch immer genügend. Diese sollten aber durch Konkretisierung der Anforderungen näher erläutert werden, als es die sogenannten "Erwägungsgründe" bereits tun, die mit als Bestandteil der Verordnung gelten. Dabei bestehen Öffnungsklauseln, in denen der nationale Gesetzgeber die Möglichkeit hat, eigene Vorstellungen wirken zu lassen, Diese Öffnungsklauseln sind aber auch nur dort zu beschreiben, in denen sie auch vom europäischen Gesetzgeber erlaubt sind, so zum Beispiel bei der Bestimmung der nationalen datenschutzrechtlichen Regelungen von Mitarbeiterdaten. In anderen Fällen, wo die Verordnung nicht auf eine Öffnungsklausel verweist, kann auch keine anderslautende oder präzisierende Regelung Anwendung finden. Der in der Überschrift erwähnte Paukenschlag war nicht unbedingt, dass nach vierjähriger intensiver Verhandlung der Europadatenschutz endlich Anwendung findet. Viel eher sind die mit Datenschutzverstößen verbundenen Bußgelder von bis zu 20 Millionen EUR ein deutliches Warnsignal an die Unternehmen, sich nun endlich ernsthaft mit dem Thema Datenschutz auseinander zu setzen. Für Branchengrößen kann das Bußgeld auch höher ausfallen: Bis zu 4 % des jährlichen weltweiten Umsatzes werden bei massiven Datenschutzverstößen angedroht - die werden damit ähnlich hoch sanktioniert wie Kartellrechtsverstöße. Die schmerzhaften Bußgelder sollen Unternehmen anspornen, sich zeitnah um die Umsetzung des europäischen Datenschutzes zu kümmern, um im Mai 2018 alle Prozesse, Anwendungen, Dienstleister, sonstigen Beteiligten und Mitarbeiter auf die sensiblere Handhabung mit personenbezogenen Daten eingestellt zu haben. In Deutschland, bedingt durch die verbleibenden nationalen Regelungen, wird das Datenschutz Anpassungs- und Umsetzungsgesetz EU (DSAnpUG-EU) vom 30.06.2017 angewendet werden. Das sogenannte "neue" BDSG ersetzt das alte letztmalig 2010 novellierte Bundesdatenschutzgesetz. Die weitreichenden Änderungen befinden sich jedoch im Fokus der Datenschutz-Grundverordnung.
Oft ist zu hören, dass Deutschland gut auf die Datenschutz-Grundverordnung vorbereitet sei. Grund dafür ist, dass durch das bestehende Bundesdatenschutzgesetz hierzulande bereits heute ein "schärferes" Datenschutzgesetz als die europäischen Nachbarn existiert. Dies mag richtig sein, dennoch ergeben sich einige Änderungen. Problematisch ist vor allem, dass sich Urteile, die sich auf das Bundesdatenschutzgesetz und die darin vorhandenen Regelungen berufen, unter Umständen nicht mehr gelten, da sich die Anforderungen am 25.05.2018 grundlegend geändert haben. Konnte sich beispielsweise eine Bank auf eine Spezialvorschrift aus dem Bundesdatenschutzgesetz berufen, ist dies nicht mehr möglich, da die Grundverordnung keine Ausnahme mehr zulässt. Vieles, was bis zum 24.05.2018 konkret im BDSG geregelt wurde, muss ab 25.05.2018 anderen Rechtsvorschriften weichen. Geändert hat sich auch, dass Datenschutz nun proaktiv und nicht mehr reaktiv ausgelegt werden soll. Durch die neue Rechenschaftspflicht, die Unternehmensleitungen die Aufgabe stellt, sich vorher Gedanken über die Rechtmäßigkeit ihrer Datenverarbeitung zu machen, bedeutet, dass das Risikomanagement in Unternehmen gestärkt wird, um so den erkannten Risiken (auf die Rechte und Freiheiten von einzelnen Personen) geeignete Präventivmaßnahmen gegenüberstellen zu können. Nicht mehr der Verstoß durch eine Datenschutzpanne soll zu einem Änderungsmanagement führen; stattdessen sind die Möglichkeiten der Verstöße zu benennen und mit technischen und organisatorischen Maßnahmen zu kontern. So sollen Datenschutzverstöße schon im Ansatz vermieden werden. Doch auch die Betroffenenrechte haben sich geändert. Zukünftig muss Betroffenen mit "klarer und einfacher" Sprache deutlich gemacht werden, welche personenbezogenen Daten von einem Unternehmen angefordert und verarbeitet werden, und zu welchem Zweck diese Daten gespeichert werden. Eine Änderung dieses Zweckes nach Erhebung dieser Daten bei einer Person soll nur dann gestattet sein, wenn der Betroffene davon Kenntnis erhält. Teilweise muss er dem neuen Zweck auch aktiv zustimmen. Auch sollen Betroffene bei erstmaliger Speicherung ihrer Daten bei einem Unternehmen genauer auf den Verwendungszweck der Daten sowie auf seine Rechte in Bezug auf Selbstauskunft, Widerruf und Beschwerde hingewiesen werden. Zudem muss ihnen die Möglichkeit der Kontaktaufnahme mit dem betrieblichen Datenschutzbeauftragten gegeben werden.
Fakt ist: Seit den 70er Jahren hat sich beim Thema Datenschutz einiges getan. Von Zeiten, in denen dem Sammeln von Daten lediglich technische Grenzen gesetzt waren, bis zur neuen Europäischen Datenschutzverordnung war es ein weiter und in vielen Teilen auch steiniger Weg. Massive Datenschutzskandale in vielen Unternehmen waren sicherlich der Auslöser für ein Umdenken in der Politik. Welchen Weg der Datenschutz nach dem 25. Mai 2018 nehmen wird, wird sicherlich spannend. Mut machen kann hier vor allem die Vergangenheit. Der vergleichsweise restriktive deutsche Datenschutz hat sich, vor allem nach dem Snowden-Skandal, zu einem echten Wettbewerbsvorteil und Exportschlager entwickelt: Unternehmen lagern sensible Daten bewusst in Deutschland.
Autor: Thomas Stemmer, Datenschutzbeauftragter der UNIVERSUM Group
ZURÜCK ZUR ÜBERSICHT
Wir nutzen Cookies, um Ihnen die bestmögliche Nutzung unserer Webseite zu ermöglichen, Inhalte für Sie zu personalisieren und unseren Service mit Ihnen zu verbessern. Wir berücksichtigen hierbei Ihre Interessen und verarbeiten Daten für unser Marketing, Web-Analytics und zur Personalisierung nur, wenn Sie uns durch Klicken auf "alle zustimmen und weiter" Ihr Einverständnis erteilen. Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen. Unter dem Link Cookie-Datenschutzhinweise finden Sie den Button "Cookie Einwilligung widerrufen". Weitere Informationen zu den Cookies und deren Anpassungsmöglichkeiten finden Sie unter dem Button "Cookie-Einstellungen anzeigen".
Wir nutzen Cookies, um Ihnen die bestmögliche Nutzung unserer Webseite zu ermöglichen und unsere Kommunikation mit Ihnen zu verbessern. Treffen Sie hier Ihre persönliche Präferenz:
Notwendige Cookies helfen dabei, eine Webseite nutzbar zu machen, indem sie Grundfunktionen wie Seitennavigation und Zugriff auf sichere Bereiche der Webseite ermöglichen. Die Webseite kann ohne diese Cookies nicht richtig funktionieren.
Statistik-Cookies helfen Webseiten-Besitzern zu verstehen, wie Besucher mit Webseiten interagieren, indem Informationen anonym gesammelt und gemeldet werden.
Marketing-Cookies werden verwendet, um Besuchern auf Webseiten zu folgen. Die Absicht ist, Anzeigen zu zeigen, die relevant und ansprechend für den einzelnen Benutzer sind und daher wertvoller für Publisher und werbetreibende Drittparteien sind.
