Show Less
Open access

Datenschutz in sozialen Netzwerken in Europa, Deutschland und Chile

Eine rechtsvergleichende Untersuchung zum europäischen, deutschen und chilenischen Recht

Series:

Pablo Palma Calderón

Der Autor untersucht, ob geltendes Recht in Europa, Deutschland und Chile personenbezogene Daten in sozialen Netzwerken hinreichend vor Missbrauch schützt. Hierbei widmet er sich vertieft dem Vergleich deutscher und europäischer Regelungen mit der Rechtslage in Chile, zwei sehr unterschiedlichen Rechtsordnungen und technologisch komplizierten Sachverhalten. Der Fokus des Buches liegt auf der Untersuchung des Datenschutzes speziell in sozialen Netzwerken und auf der Beleuchtung der internationalen Dimension dieses Phänomens. So leistet der Autor einen rechtswissenschaftlichen Beitrag mit grenzüberschreitendem Blickwinkel zu dem Thema Datenschutz.

Show Summary Details
Open access

Drittes Kapitel: Schutz personenbezogener Daten: Rechtslage in Europa und Deutschland

← 22 | 23 →

Drittes Kapitel: Schutz personenbezogener Daten: Rechtslage in Europa und Deutschland

Rechtliche Grundlagen für Datenschutzbestimmungen finden sich sowohl auf europäischer als auch deutscher Ebene. Das weltweit erste Datenschutzgesetz wurde in Deutschland im Jahr 1970 erlassen,140 womit das Datenschutzrecht als eigenständiges Rechtsgebiet noch relativ jung ist.141 Der deutsche Gesetzgeber reagierte damit auf die seit Mitte der 1960er Jahre neuen Entwicklungen in der Informationstechnologie bzw. die technologischen Umwälzungen im Bereich der automatisierten Datenverarbeitung142. Im Hinblick auf die dadurch immer komplizierter werdende technische Verarbeitung von Informationen rückte der Persönlichkeitsschutz in den Fokus des Interesses des Gesetzgebers, wobei die sog. „personenbezogenen Daten“ Anhalts- und Ausgangspunkt zur Gewährleistung eines hohen Schutzniveaus waren.143 Nach 1970 folgten weitere Datenschutzgesetze, die den Zweck hatten, die einzelne Person vor Persönlichkeitsrechtsverletzungen durch den Umgang mit personenbezogenen Daten zu schützen. Im Folgenden werden die Grundzüge und die Entstehung der Rechtsgrundlagen auf dem Gebiet des europäischen und deutschen Datenschutzrechts untersucht.

A.  Der nationale und internationale Begriff des Datenschutzes

Der Begriff „Datenschutz“ ist irreführend, denn es handelt sich dabei nicht, wie man irrtümlicherweise annehmen könnte, um den Schutz des Datums an sich, sondern um den Schutz des Persönlichkeitsrechts bzw. der Privatsphäre des Betroffenen.144 Der Begriff des „Privaten“ (engl. privacy) und das Recht zum Schutz der Privatsphäre sind sowohl national als auch international anerkannt und genießen in zahlreichen Staaten verfassungsrechtlichen (z. B. Deutschland145) oder zumindest ← 23 | 24 → einfachgesetzlichen Schutz (z. B. Chile146).147 Eine international einheitliche Definition des Begriffs Privatsphäre gestaltet sich aufgrund staatlich unterschiedlicher Rechtsordnungen und sprachlich divergenter Bedeutung der Begrifflichkeiten schwierig.148

In Deutschland bedeutet Datenschutz der Schutz des Persönlichkeitsrechts des Betroffenen, d.h. der Schutz personenbezogener Daten bei deren Erhebung, Verarbeitung und Nutzung.149 „Personenbezogene Daten sind Einzelangaben über persönliche und oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener)“150 und nur als solche anzusehen, wenn sie einer bestimmten Person – unabhängig von Staatsangehörigkeit oder Aufenthaltsort – zugeordnet werden können.151

Die Gefahr des Missbrauchs beim Umgang mit personenbezogenen Daten steigt mit den zunehmenden technischen Möglichkeiten der Datenverarbeitung, vor allem im Internet, da „jedes Datum jederzeit überall verfügbar gemacht werden kann“152.

Datenschutz ist präventiver Schutz vor der Gefahr einer Rechtsgutverletzung beim Umgang mit persönlichen Daten.153

B.  Die historische Entwicklung des Datenschutzrechts

Anlass zur Entwicklung des Datenschutzrechtes war der Fortschritt bei der automatisierten Erhebung und Verarbeitung von Daten durch die elektronische Datenverarbeitung in den 1960er Jahren, die die Auswertung von Daten und die Erstellung von Persönlichkeitsprofilen in einem bis dahin nicht gekannten Ausmaß ermöglichte. Ziel war es, den Bürger vor unrechtmäßiger Sammlung, Verarbeitung und Verwendung seiner Daten zu schützen.154 Durch die fortlaufende technologische Entwicklung und die damit entstandenen Möglichkeiten, immer mehr Daten in immer kürzerer Zeit zu speichern und zu verarbeiten, musste der Gesetzgeber diese ← 24 | 25 → Thematik einer Regelung unterziehen, um die „Unantastbarkeit des Privatlebens“155 zu schützen.156

Ausgangspunkt in Deutschland waren die sog. personenbezogenen Daten und nicht die darin enthaltenen Informationen, um ein möglichst hohes Schutzniveau zu ermöglichen, d.h., den Einzelnen davor zu schützen, dass er durch den Umgang (Erhebung, Speicherung, Verwendung und Weitergabe) mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird.157

Der erste Abschnitt in der Geschichte der Datenschutzgesetzgebung beginnt mit dem 30. September 1970, dem Tag der Verabschiedung des 1. Hessischen Datenschutzgesetzes (HDSG), welches nur für öffentliche Stellen im Land Hessen galt. Es wird allgemein als das weltweit erste Datenschutzgesetz angesehen, womit Deutschland als das „Mutterland des Kerndatenschutzes“158 gilt.159 Die Bundesländer schlossen sich in den Folgejahren mit Landesgesetzen an.160 Nach einem ersten Referentenentwurf für ein Bundesdatenschutzgesetz (BDSG) im Jahr 1971 folgte nach etlichen Neufassungen die erste Fassung des BDSG am 01. Februar 1977, welche am 01. Januar 1978 in vollem Umfang in Kraft trat.161 Bundes- und Landesgesetzgeber einigten sich auf die Bezeichnung „Datenschutz“, die sich seitdem durchgesetzt hat.162

Der zweite Abschnitt in der Geschichte des deutschen Datenschutzes wird von einem Urteil des BVerfG am 15. Dezember 1983, dem sog. „Volkszählungsurteil“163 eingeleitet.164

Das Volkszählungsurteil war die „Sternstunde“165 des Datenschutzes. Mit ihm erfolgte eine rechtliche Fundierung von Datenschutzkontrolle und ihrer Institutionalisierung im deutschen Recht. Dem Volkszählungsurteil ging die Verabschiedung eines Volkszählungsgesetzes voraus, welches in der Bevölkerung Unmut auslöste. Grund dafür war der mit der Totalerhebung verbundene Melderegisterabgleich, der die Vermischung statistischer und administrativer Funktionen bedeutete. Nach dem Willen des Gesetzgebers sollten durch Auskunftspflicht erzwungenermaßen ← 25 | 26 → preisgegebene Informationen für die unterschiedlichsten Zwecke der öffentlichen Stellen verwendet werden.166

Das BVerfG setzte sich ausführlich damit auseinander, welche Anforderungen die Verfassung an die Verarbeitung personenbezogener Daten stellt, und steckte somit mit bewusst programmatischen Aussagen einen Rahmen für alle künftigen Überlegungen zum Umgang mit personenbezogenen Daten.167

In diesem Volkszählungsgesetz leitete das höchste deutsche Gericht aus dem verfassungsrechtlichen allgemeinen Persönlichkeitsrecht das Grundrecht auf informationelle Selbstbestimmung ab.168 Das Gericht stellte fest, dass Betroffene angesichts automatischer Datenverarbeitungstechnologien nicht mehr überschauen können, wer welche Daten wann, wo und zu welchem Zweck verarbeitet und damit in ihrer Freiheit, selbstbestimmt zu entscheiden, eingeschränkt sind.169

Die Entscheidungen des Volkszählungsurteils bereiteten den Boden für ein neues, umfassendes und differenziertes Regelungskonzept für den Datenschutz und haben damit Geschichte geschrieben. Der deutsche Gesetzgeber entwickelte das Datenschutzrecht auf der Basis des Volkszählungsurteils weiter und verabschiedete am 20. Dezember 1990 eine zweite Fassung des BDSG, in der das Recht der Bürger auf informationelle Selbstbestimmung vor staatlichen Informationsansprüchen erstmals verankert wurde.170 Die neueste Fassung des BDSG stammt aus dem Jahr 2009 und wird an anderer Stelle in dieser Arbeit präzise dargestellt.171

Nach 1990 folgten eine Vielzahl von bereichsspezifischen Regelungen, die als jeweilige lex specialis Regelungen gelten.172 Hier ist für soziale Netzwerke vor allem das TMG anzuführen, welches im weiteren Verlauf ausführlich erläutert wird.173

Auch auf internationaler und europäischer Ebene wurde das Thema Datenschutz weiter vorangetrieben, worauf im Dritten Kapitel C. genauer eingegangen werden soll.

C.  Der internationale Datenschutz und seine Rechtsquellen

Der rechtliche Ordnungsrahmen des Datenschutzes auf nationaler und supranationaler Ebene ist von Beginn an auch durch internationale Regelungen auf den Weg gebracht worden.174 Maßgebend für die weitere Entwicklung des Datenschutzrechts auf internationaler Ebene war die Wahrnehmung, dass Datenschutz im Zeitalter ← 26 | 27 → der Neuen Technologien an den Grenzen eines Staates nicht Halt macht. Mit der zunehmenden Technisierung durch das Internet stieg auch der grenzüberschreitende Datenverkehr und wurde vereinfacht. Die Anzahl internationaler Unternehmen sowie die internationale Zusammenarbeit nahmen durch die Globalisierung zu. Dies hatte zur Folge, dass die nationalen Grenzen für die Regelungen des Datenschutzes an Bedeutung verloren, sodass Datenschutz unabwendbar international werden musste.175

Im Folgenden sollen die für die vorliegende Untersuchung relevanten wesentlichen internationalen Regelungswerke über den Schutz persönlicher Daten betrachtet werden.

I.  Internationales Recht

Über die Anfänge des Datenschutzes in Hessen hinaus war für die weitere Entwicklung und Ausgestaltung nationaler Regelungen die Entwicklung in internationalen Organisationen entscheidend. Hervorzuheben sind diesbezüglich die Arbeiten im Europarat, in der Organisation für wirtschaftliche Zusammenarbeit und Entwicklung (engl. Organization for Economic Cooperation and Development – OECD) und in den Vereinten Nationen (engl. United Nations – UN), die den Entstehungsprozess des Datenschutzes auf einzelstaatlicher Ebene vereinfachten. Das Hauptinteresse der OECD galt wirtschaftlichen Aspekten, das des Europarats den menschen- und bürgerrechtlichen Aspekten, wobei beide Organisationen betonten, auch die Aspekte des anderen zu berücksichtigen.176

1.  Vereinte Nationen

Am 10. Dezember 1948 wurde von der UN-Generalversammlung als erste internationale Übereinkunft die Allgemeine Erklärung der Menschenrechte (AEMR) beschlossen: „Niemand darf willkürlichen Eingriffen in sein Privatleben, seine Familie, sein Heim oder seinen Briefwechsel noch Angriffen auf seine Ehre und seinen Beruf ausgesetzt werden.“177 Durch den Anspruch auf Privatsphärenschutz eines jeden Menschen werden die notwendigen Bedingungen für die Anknüpfung eines spezifischen internationalen Datenschutzes gesetzt. Diese Erklärung hatte allerdings keinerlei Rechtswirkung, sie war lediglich als eine Empfehlung der Generalversammlung gedacht.178 ← 27 | 28 →

Durch die automatisierte Verarbeitung personenbezogener Daten hatten die Vereinten Nationen die Befürchtung, dass diese die Menschenrechte gefährden könne.179

Am 14. Dezember 1990 beschloss die UN-Generalversammlung für ihre Mitgliedstaaten sowie für alle Organisationen, die ihr angehören, sog. Guidelines Concerning Computerized Personal Data Files (Richtlinien zur Verarbeitung personenbezogener Daten in automatisierten Dateien)180 für den öffentlichen und nicht öffentlichen Sektor, die jedoch wieder lediglich einen Empfehlungscharakter aufwiesen und damit keine völkerrechtliche Verbindlichkeit hatten.181

2.  Organisation für wirtschaftliche Zusammenarbeit und Entwicklung (OECD)

Die OECD hat bereits früh die Notwendigkeit einer internationalen Regelung des Datenschutzes erkannt mit dem Bestreben, die zunehmende Rechtsungleichheit zu beseitigen, die den ungehinderten Fluss von Informationen über die nationalen Grenzen hinweg behindern und so zu einem diskriminierenden Handelshemmnis führen.182 Die OECD ist eine Organisation westlicher Industrieländer183, der 1961 die Bundesrepublik Deutschland beitrat.184 Der Rat der OECD hat am 23. September 1980 „Leitlinien für den Schutz des Persönlichkeitsbereichs und den grenzüberschreitenden Verkehr personenbezogener Daten“185 verabschiedet, die sich als eine förmliche Empfehlung an die Mitgliedstaaten der OECD wenden.186 Die Leitlinien beinhalten neben verfahrensrechtlichen Vorgaben auch materielle Regelungen für den öffentlichen und privaten Sektor.187

Das Prinzip der Selbstregulierung wird als eine datenschutzrechtliche Leitlinie bezeichnet und soll bei grenzüberschreitenden Datenübermittlungen ausreichen, ← 28 | 29 → d.h., die in den Mitgliedstaaten verantwortlichen Stellen188 bestimmen den Umgang mit personenbezogenen Daten eigenverantwortlich und kontrollieren die Einhaltung ihrer Regeln selbst.189 Damit dient das Instrument der Selbstregulierung nach den Vorstellungen der OECD der Garantie des Schutzes des Persönlichkeitsrechts und der Grundfreiheiten.190

Bei diesen Leitlinien handelt es sich nicht um ein bindendes Völkerrecht, sondern die Umsetzung der Leitlinien in nationales Recht steht den Mitgliedstaaten frei. Dennoch hatten sie einen entscheidenden Anteil an der Etablierung des Datenschutzes auf internationaler Ebene.191

3.  Europarat

Der am 5. Mai 1949 gegründete Europarat, der sich der dauerhaften Sicherung der Demokratie, der Menschenrechte und der Rechtsstaatlichkeit in Europa verschrieben hatte, hat die Entwicklung der Menschenrechte, besonders im Hinblick auf den Datenschutz, entscheidend beeinflusst. Der Europarat als internationale Organisation verfolgte unter anderem das Ziel, innerhalb seiner Mitgliedstaaten einen gemeinsamen Standard des Schutzes der Menschenrechte zu verankern.192 Im Zuge dessen verabschiedete der Europarat am 4. November 1950 die „Konvention zum Schutze der Menschenrechte und Grundfreiheiten“ (sog. Europäische Menschenrechtskonvention – EMRK)193, einen völkerrechtlichen Vertrag, der weit über die Menschenrechtskonventionen hinaus ging und im Jahr 1953 in Kraft trat.194

Sie stellt einen Wendepunkt in der Entwicklung und Durchsetzung der Menschenrechte dar und sieht im Wesentlichen in Art. 8. Abs. 1 EMRK195 die Achtung der Privatsphäre vor.

Ein ausdrückliches Recht auf Datenschutz bzw. Recht auf den Schutz von personenbezogenen Daten ist auch hier nicht direkt vorhanden, stattdessen bildet das in Art. 8 Abs. 1 EMRK garantierte Recht auf Achtung des Privat- und Familienlebens ← 29 | 30 → sowie der Korrespondenz die Grundlage für den Datenschutz.196 Der Begriff „Privatleben“ wird seitens des Europäischen Gerichtshofs für Menschenrechte (EGMR), der bei einer Verletzung der EMRK zuständig ist, weit ausgelegt.197 Nach einem Urteil des EGMR vom 19. September 2013 umfasst der Begriff „Privatleben“ auch „die persönlichen Informationen, bei denen eine Person berechtigterweise erwarten kann, dass sie nicht ohne ihr Einverständnis veröffentlicht werden“.198 Demnach versteht der EGMR den Schutz personenbezogener Informationen als Teilbereich des Schutzes des Privatlebens. Auch in einem älteren Urteil vom 24. Juni 2004 ist das EGMR der Auffassung, dass „angesichts des technischen Fortschritts bei der Aufzeichnung und Wiedergabe personenbezogener Daten eine verstärkte Wachsamkeit beim Schutz des Privatlebens geboten“199 sei. Voraussetzung für den Schutz von Daten ist immer der Bezug zum Privatleben.200 Der Schutz der Achtung des Privatlebens entspricht in der Tendenz dem deutschen Recht auf informationelle Selbstbestimmung.201 Der Begriff Korrespondenz umfasst den Schutz der Vertraulichkeit der Individualkommunikation, also E-Mails, Telefongespräche und Internet-Telefonie.202

Jegliche Art der Erhebung, Nutzung oder sonstige Verarbeitung personenbezogener Daten stellt nach Art. 8 Abs. 2 EMRK einen Eingriff dar und muss gerechtfertigt sein. Ein Eingriff ist nur dann gerechtfertigt, wenn er gesetzlich vorgesehen und für die nationale Sicherheit notwendig ist oder aber auch bestimmten Zielen wie dem wirtschaftlichen Wohl des Landes, der Aufrechterhaltung der Ordnung, Zielen zur Verhütung von Straftaten und zum Schutz der Gesundheit oder der Rechte und Freiheiten anderer dient.203 Die EMRK hat in Deutschland den Rang eines einfachen Gesetzes.204

Zur Konkretisierung des Art. 8 EMRK verabschiedete der Europarat im Mai 1979 das „Übereinkommen zum Schutz des Menschen bei der automatischen Verarbeitung ← 30 | 31 → personenbezogener Daten“205 (sog. Europäische Datenschutzkonvention206), das am 28. Januar 1981 zur Unterzeichnung für die Mitgliedstaaten aufgelegt wurde und 1985 in Kraft trat.207 Der Europarat schuf damit das erste rechtsverbindliche internationale Instrument, das im Bereich des Datenschutzes angenommen wurde und für alle zeichnenden Staaten völkerrechtlich verbindlich ist.208

Die Europäische Datenschutzkonvention beschränkt sich auf die automatische Verarbeitung personenbezogener Daten natürlicher Personen und gilt sowohl im öffentlichen als auch im privaten Bereich der Datenverarbeitung.209 Nichteuropäische Mitgliedstaaten der OECD können ebenfalls beitreten mit der Verpflichtung, die Grundsätze als gemeinsames datenschutzrechtliches Minimum zu verwirklichen, müssen aber die Regelungen in ihr eigenes innerstaatliches Recht umsetzen.210 Die Europäische Datenschutzkonvention enthält Prinzipien des Datenschutzes, die sich auch in der allgemeinen Datenschutzrichtlinie (DSRL)211 der Europäischen Union wiederfinden,212 wie den Grundsatz der rechtmäßigen Datenerhebung nach Treu und Glauben (Art. 6 Abs. 1 lit. a), den Zweckbindungsgrundsatz der Datenerhebung und Datenverarbeitung (Art. 6 Abs. 1 lit. b DSRL), den Verhältnismäßigkeitsgrundsatz bei der Erhebung und Verarbeitung (Art. 6 Abs. 1 lit. c DSRL), das Prinzip der Datenqualität (Art. 6 Abs. 1 lit. d DSRL), den Grundsatz der Datensicherheit (Art. 17 DSRL) sowie Regelungen zum Umgang mit sensiblen Daten (Art. 8 DSRL) und zum grenzüberschreitenden Datenverkehr (Art. 25 und Art. 26 DSRL).213 Nicht-Vertragsstaaten betreffend wird die Übermittlung personenbezogener Daten in einem Zusatzprotokoll zur Datenschutzkonvention geregelt. Danach kann die Übermittlung von personenbezogenen Daten in einen Nicht-Vertragsstaat nur dann erfolgen, „wenn dieser Staat oder diese Organisation ein angemessenes Schutzniveau für die beabsichtigte Datenweitergabe gewährleistet.“214

Die Europäische Datenschutzkonvention war weltweit das erste verbindliche internationale Abkommen in Punkto Datenschutz und ebnete den Weg für einen gemeinsamen europäischen Datenschutz. ← 31 | 32 →

II.  Unionsrecht

Die Gewährleistung des Datenschutzes in der Europäischen Union erfolgt im Rahmen der europäischen Grundrechte (Primärrecht) sowie in allgemeinen und bereichsspezifischen Datenschutzrichtlinien (Sekundärrecht). Im Folgenden sollen die wichtigsten europäischen Regelungen zum Datenschutz in der Europäischen Union erläutert werden, deren Kenntnis im Rahmen dieser Arbeit notwendig ist.

1.  Primärrecht

Primärrechtliche Grundlage der Europäischen Union sind der Vertrag über die Europäische Union (EUV)215 und der Vertrag über die Arbeitsweise der Europäischen Union (AEUV)216, zwei rechtlich gleichrangige Verträge (sog. „die Verträge“).217 Eine Ergänzung liefert die EU-Grundrechtecharta (EGRC) gem. Art. 6 Abs. 1 EUV, wonach die Verträge und die EGRC „rechtlich gleichrangig“ sind.218

Der europäische Grundrechtschutz nimmt seinen Ausgang in Art. 6 Abs. 3 EUV. Danach gelten die EGRC, die EMRK und die gemeinsamen Verfassungsüberlieferungen der Mitgliedstaaten „als allgemeine Grundsätze Teil des Unionsrechts“.219

a)  EU-Grundrechtecharta

Die EGRC gilt als rechtlich verbindliche Formulierung einer Grundrechts- und Werteordnung für die Europäische Union. Ihr wesentlicher Zweck wird in der Präambel zusammengefasst, in der es heißt, dass es notwendig sei, „angesichts der Weiterentwicklung der Gesellschaft, des sozialen Fortschritts und der wissenschaftlichen und technologischen Entwicklungen den Schutz der Grundrechte zu stärken, indem sie in einer Charta sichtbarer gemacht werden.“220 Die EGRC wurde bereits im Jahr 2000 im Rahmen der Regierungskonferenz in Nizza unterzeichnet, jedoch erhielt sie erst mit Inkrafttreten des Vertrages von Lissabon am 1. Dezember 2009221 Rechtsverbindlichkeit und wurde damit auf die Ebene des Primärrechts gestellt.222

Art. 7 EGRC reguliert das Recht auf Achtung des Privat- und Familienlebens und der Kommunikation und entspricht im Wesentlichen Art. 8 EMRK zum Schutz personenbezogener Daten. Gem. Art. 52 Abs. 3 EGRC hat es die gleiche Bedeutung und Tragweite wie die Konventionsrechte. Der Begriff „Kommunikation“ beinhaltet ← 32 | 33 → neben dem Schutz des Brief-, Post- und Telekommunikationsgeheimnisses auch den Schutz moderner Formen der Kommunikation wie bspw. E-Mail und SMS. Nicht nur die Vertraulichkeit des Kommunikationinhaltes wird gewährt, sondern auch der Schutz vor Kenntnisnahme der Umstände (z. B. Ort, Zeit, Häufigkeit etc.). Diese werden jedoch in Art. 8 EGRC (Schutz personenbezogener Daten) konkretisiert.223

Art. 8 EGRC regelt – anders als die EMRK224 – explizit ein Datenschutzgrundrecht, das Recht auf Schutz der sie betreffenden personenbezogenen Daten und wird zu Art. 7 EGRC als lex specialis verstanden.225 Alle Informationen über eine bestimmte oder bestimmbare Person sind geschützt.226 Neben natürlichen Personen können sich auch juristische Personen, soweit wesensmäßig auf sie anwendbar, auf Art. 8 EGRC berufen. Entscheidend hierfür war die Entscheidung des EuGH in den verbundenen Rechtssachen C-92/09 und C-93/09, wonach der EuGH im Rahmen des persönlichen Schutzbereichs entschied, dass sich auch eine GbR, also eine Personengesellschaft und nicht eine natürliche Person, auf den Schutz personenbezogener Daten berufen könne. Dies gehe aber nur, „soweit der Name der juristischen Person eine oder mehrere natürliche Personen bestimmt“227, da über den Namen der GbR Rückschlüsse auf die dahinter stehenden Gesellschafter gezogen werden können, so dass ein indirekter Personenbezug hergestellt werden kann.228

Für die Auslegung des Art. 8 EGRC spielt das Sekundärrecht eine wichtige Rolle.229 So muss die Verarbeitung personenbezogener Daten als Oberbegriff für alle Datenverarbeitungsschritte, angefangen von der Erhebung über die Weitergabe bis hin zur Löschung der personenbezogenen Daten, verstanden werden.230

Die Voraussetzungen, unter denen eine Einschränkung der Ausübung der in der EGRC anerkannten Rechte und Freiheiten zulässig ist, sind in Art. 52 Abs. 1 EGRC geregelt. Danach muss neben dem Erfordernis einer gesetzlichen Grundlage und der Wahrung der Verhältnismäßigkeit auch ein von der Union anerkanntes, dem Gemeinwohl dienendes Ziel vorliegen.231 ← 33 | 34 →

Mit Art. 52 Abs. 3 S. 1 EGRC soll sichergestellt werden, dass die Grundrechtsstandards der EGRC nicht geringer sind als die der EMRK. Damit gelten sowohl für Art. 7 EGRC als auch Art. 8 EGRC die Schranken des Art. 8 Abs. 2 EMRK.232

Art. 8 Abs. 2 S. 1 EGRC selbst regelt Zulässigkeitsvoraussetzungen, wonach Daten „nur nach Treu und Glauben für festgelegte Zwecke und mit Einwilligung der betroffenen Person oder auf einer sonstigen gesetzlich geregelten legitimen Grundlage verarbeitet werden“233 dürfen. Sind diese Voraussetzungen gegeben, so liegt keine Verletzung des Grundrechts vor.234 Diese Vorgaben entsprechen dem Zweckbindungsgrundsatz und den Zulässigkeitsvoraussetzungen aus Einwilligung und gesetzlicher Spezial- und Allgemeinregelung, die auch in der Richtlinie 95/46/EG235 begründet sind, auf die im weiteren Verlauf dieser Arbeit noch genauer eingegangen wird.236

Art. 8 Abs. 2 S. 2 EGRC regelt ein Auskunftsrecht des Betroffenen sowie ein Berichtigungsrecht, die den Regelungen des Art. 12 lit. a und c DSRL entsprechen. Gem. Art. 8 Abs. 3 soll die Überwachung durch eine unabhängige Stelle stattfinden.237

Trotz des unionseigenen Grundrechtsschutzes mit Art. 8 EGRC wird dieser weiterhin durch Art. 8 EMRK beeinflusst.238

b)  Art. 16 AEUV

Mit Inkrafttreten des Vertrags von Lissabon wurde der Datenschutz an einer zweiten Stelle primärrechtlich verankert. Auch Art. 16 Abs. 1 AEUV regelt ein Datenschutzgrundrecht, enthält aber im Gegensatz zu Art. 8 EGRC keine Schrankenbestimmungen.239 Gem. Art. 16 Abs. 2 AEUV dürfen das Europäische Parlament und der Rat Vorschriften zum Schutz personenbezogener Daten und des freien Datenverkehrs erlassen.240 Diese Rechtsgrundlage für sekundärrechtliche Regelungen hat zur Folge, dass zukünftige Sekundärrechtsakte zum Datenschutz unmittelbar in den Dienst des ← 34 | 35 → Grundrechtsschutzes gestellt werden können ohne dabei wie bisher auf die Binnenmarktkompetenz – wie die Richtlinie 95/46/EG – gestützt werden zu müssen.241

Es ist davon auszugehen, dass nur Art. 8 EGRC für eine Grundrechtsprüfung als Rechtsquelle in Frage kommt, um so ein Leerlaufen des Art. 8 i.V.m. Art. 52 Abs. 1 EGRC zu verhindern. In der Rechtsprechung gibt es bisher leider noch keine abschließende Regelung zu den Kohärenzproblemen aus dem Nebeneinander von Art. 8 EGRC und Art. 16 AEUV.242

2.  Sekundärrecht

Das sekundäre Unionsrecht wird von den Rechtsetzungsorganen der EU geschaffen und gilt für alle Mitgliedstaaten.243 Die Umsetzung der Richtlinien in nationales Recht obliegt den einzelnen Mitgliedstaaten.244

Auf Grund eines Mangels von expliziten datenschutzrechtlichen Vorschriften im Primärrecht bzw. auf Grund unterschiedlicher Ausprägung des Datenschutzniveaus in den einzelnen Mitgliedstaaten wurden auf EU-Ebene eine Reihe von sekundärrechtlichen Vorschriften geschaffen, die zwar die Regelungsstrukturen in den Mitgliedstaaten schonen, dennoch einen datenschutzrechtlichen Rahmen in Sinne einer Rechtsangleichung gewährleisten.245

Die Europäische Kommission reagierte mit ihren in den Jahren 1990 bzw. 1992 präsentierten Vorschlägen für ein Maßnahmenpaket relativ spät auf zahlreiche Aufforderungen seitens des Europäischen Parlaments seit 1975 für eine Regelung der Datenverarbeitung.246 Auf nationaler Ebene (vgl. Hessisches Datenschutzgesetz247) und internationaler Ebene (vgl. OECD-Leitlinien248) wurde auf dem Gebiet des Datenschutzes deutlich früher gehandelt.

Mit der am 24. Oktober 1995 verabschiedeten Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr setzte die EU jedoch einen Meilenstein in der Entwicklung des internationalen Datenschutzes.249 Darauf folgten weitere bereichsspezifische Richtlinien wie die Richtlinie 2002/58/EG vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen ← 35 | 36 → Kommunikation250, die Richtlinie 2009/136/EG (sog. „Cookie Richtlinie“)251, die die Richtlinie 2002/58/EG ersetzte, und die Richtlinie 2006/24/EG vom 15. März 2006 über die Vorratsspeicherung von Daten252.

Schließlich wurde am 25. Januar 2012 von der EU-Kommission ein Entwurf für ein Reformpaket veröffentlicht, der u.a. einen Vorschlag für eine Datenschutz-Grundverordnung (DS-GVO)253 beinhaltet, der die Richtlinie 95/46/EG ersetzen soll.254

a)  Richtlinie 95/46/EG

Um die Grundrechte von Einzelpersonen im Bereich der sich intensivierenden transeuropäischen Datenströme abzusichern, erließ die EU am 24. Oktober 1995 die EG-Datenschutzrichtlinie 95/46/EG. Sie stützt sich auf die Binnenmarktkompetenz, d.h., dass sie durch die Errichtung und das Funktionieren des Binnenmarktes legitimiert wird und nicht durch den grundrechtlichen Schutz der Betroffenen.255

Sie bildet die erste Rechtsetzungsmaßnahme auf Gemeinschaftsebene in Bezug auf den Datenschutz und ist nicht nur für Mitgliedstaaten der EU, sondern auch für Länder des Europäischen Wirtschaftsraums (EWR) verbindlich,256 wobei die Mitgliedstaaten bei der Umsetzung der Richtlinie in nationales Recht das Datenschutzniveau der Richtlinie nicht unterschreiten dürfen.257 Durch sie wird ein Wendepunkt in der Geschichte des Datenschutzes markiert, da hier zum ersten Mal der Wahrung von personenbezogenen Daten eine große Bedeutung beigemessen wird. ← 36 | 37 → Im Vordergrund steht die Rechtsangleichung der unterschiedlichen Datenschutzregelungen und -standards in den Mitgliedstaaten, um damit das Handelshemmnis Datenschutz zu Gunsten des Binnenmarktes zu beseitigen.258 Art. 1 DSRL formuliert das Ziel eines gleichwertigen Datenschutzes auf hohem Niveau.259 In Art. 1 Abs. 2 DSRL wird die Schaffung eines freien innereuropäischen Datenschutzes – „das Herzstück der Richtlinie“ – beschrieben.260 Darüber hinaus sollen die Mitgliedstaaten „den Schutz der Grundrechte und Grundfreiheiten und insbesondere den Schutz der Privatsphäre natürlicher Personen bei der Verarbeitung personenbezogener Daten“261 gewährleisten.

Die DSRL wurde in den Folgejahren nach ihrer Verabschiedung in den einzelnen Mitgliedstaaten umgesetzt. Allerdings erfolgten diese Umsetzungen aufgrund der in der Richtlinie teilweise unbestimmten Formulierungen nicht einheitlich, so dass als Konsequenz die Datenschutzvorschriften in den einzelnen Mitgliedstaaten bis heute unterschiedlich sind.262

Da die DSRL keine sektoralen Datenschutzbezüge enthält, wurden bereichsspezifische Regelungen geschaffen, die darauf aufbauen.263

Eine Absicherung der Harmonisierung der Richtlinie erfolgt durch die sog. Artikel 29-Datenschutzgruppe. Die Artikel 29-Datenschutzgruppe ist eine im Oktober 1995 gegründete unabhängige Arbeitsgruppe, bestehend aus Vertretern nationaler Datenschutzbehörden aller EU-Mitgliedstaaten. Sie hat bis heute die Aufgabe, zum einen die Einheitlichkeit der Anwendung der einzelstaatlichen Rechtsvorschriften zur Umsetzung der DSRL zu prüfen, zum anderen Stellung zu nehmen zum Datenschutzniveau innerhalb und außerhalb der EU gegenüber der Europäischen Kommission. Weiterhin soll die Gruppe die Europäische Kommission in allen Fragen beraten, die sich auf Änderungen der DSRL und auf Entwürfe für zusätzliche Maßnahmen zur Gewährleistung von Rechten natürlicher Personen bei der Verarbeitung personenbezogener Daten beziehen. Schließlich soll sie zu Verhaltensregeln Stellung nehmen, die auf EU-Ebene durch Instanzen ausgearbeitet werden, die die verantwortlichen Stellen vertreten. Außerdem informiert die Artikel 29-Datenschutzgruppe die Europäische Kommission über Unterschiede von Datenschutzrechtsvorschriften der einzelnen EU-Mitgliedstaaten und kann Empfehlungen aus eigener Initiative zu allen Fragen abgeben, die den Schutz von Personen bei der Verarbeitung personenbezogener Daten in der EU betreffen.264 Dabei sind ← 37 | 38 → ihre Stellungnahmen rechtlich nicht bindend, tragen aber wesentlich zur Weiterentwicklung des Datenschutzes auf internationaler Ebene bei.265

aa)  Sachlicher Anwendungsbereich

Gem. Art. 3 DSRL findet die Richtlinie Anwendung bei der Verarbeitung personenbezogener Daten.266 In Art. 2 lit. a DSRL wird ein personenbezogenes Datum als jegliche Information bezeichnet, die sich auf eine bestimmte oder bestimmbare natürliche Person bezieht, somit jede Information, die mit einer natürlichen Person in Verbindung gebracht werden kann.267 Sie beschränkt sich nicht nur auf herkömmliche Daten wie z. B. Name und Adresse einer Person, sondern erstreckt sich auch auf Bild- und Tondaten, sowie biometrische Daten.268 Für die Herstellung eines Personenbezugs müssen „alle Mittel berücksichtigt werden, die vernünftigerweise entweder von dem Verantwortlichen für die Verarbeitung oder von einem Dritten eingesetzt werden könnten“269. Dies bedeutet, dass die Bestimmung der Person realistisch und praktisch möglich sein muss.270 Das maßgebliche Kriterium für die Bestimmbarkeit einer Person ist die Möglichkeit ihrer direkten oder indirekten Identifizierbarkeit etwa mittels Kennnummern (z. B. Telefonnummer) oder anderen spezifischen Elementen, „die Ausdruck ihrer physischen, physiologischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität sind“271.272 Auch für die hinter juristischen Personen stehenden natürlichen Personen gilt bei sachgerechter Auslegung ein angemessener Schutz.273 Die Definition personenbezogener Daten ist hier sehr weit gefasst.

Als besondere Kategorien personenbezogener Daten gelten die in Art. 8 DSRL genannten „sensitiven Daten“ bzw. „sensiblen Daten“.274 Darunter fallen personenbezogene Daten über die „rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen“ sowie „Daten über Gesundheit oder Sexualleben“.275 Eine Verarbeitung dieser Daten ist grundsätzlich untersagt. ← 38 | 39 → Ausnahmen von diesem Verbot sind in Art. 8 Abs. 2 DSRL geregelt. So ist eine Verarbeitung mit Einwilligung des Betroffenen zulässig.276

Der Begriff der Verarbeitung wird in Art. 2 lit. b DSRL definiert und sehr weit gefasst, wonach jeder Vorgang im Zusammenhang mit personenbezogenen Daten, angefangen von der Erhebung über ihre Speicherung, Organisation, Aufbewahrung, Anpassung oder Veränderung, das Auslesen, das Abfragen, die Benutzung, Weitergabe, Verbreitung, Sperrung bis hin zur Löschung zu verstehen ist.277 Dabei ist es unerheblich, mit welcher Technik die Daten verarbeitet werden, also auch, ob die Daten automatisiert oder nicht automatisiert verarbeitet werden (sog. Technikneutralität).278

Der Anwendungsbereich wird in Art. 3 Abs. 1 DSRL beschrieben, wonach die DSRL sowohl für die automatisierte Verarbeitung als auch für die nicht automatisierte Verarbeitung – sofern hier eine Speicherung der Daten in einer Datei erfolgt – personenbezogener Daten gilt. Darüber hinaus ist sie sowohl für öffentliche als auch nicht-öffentliche Stellen anwendbar, eine Trennung dieser Bereiche, wie sie im BDSG vorgenommen wird,279 findet nicht statt. Hintergrund dafür ist, dass in den einzelnen Mitgliedstaaten der EU der Begriff und die Auslegung einer öffentlichen Aufgabe nicht einheitlich sind.280 Zwei wichtige Ausnahmen werden in Art. 3 Abs. 2 DSRL gemacht, wobei die Richtlinie keine Anwendung bei der Verarbeitung personenbezogener Daten findet, die die öffentliche Sicherheit, Landesverteidigung und das Strafrecht betreffen.281 Zudem ist die Anwendung bei Verarbeitungen ausgeschlossen, „die von einer natürlichen Person zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten vorgenommen wird“282.

bb)  Räumlicher Anwendungsbereich

Art. 4 DSRL normiert die kollisionsrechtliche Frage des anwendbaren Rechts, indem er die Anwendbarkeit der einzelstaatlichen Datenschutzregelungen, die auf Grundlage der Richtlinie erlassen wurden, regelt, d.h. zum einen das Verhältnis der Datenschutzrechte der Mitgliedstaaten im Verhältnis zum Recht von Drittstaaten283 und zum anderen die Datenschutzrechte der Mitgliedstaaten im Verhältnis zueinander.284 Gerade im Hinblick auf soziale Netzwerke, die mit ihrem Dienst international und ← 39 | 40 → damit in mehreren Mitgliedstaaten und Rechtsordnungen tätig sind, spielen die Richtlinienbestimmungen des anwendbaren Rechts eine immer größere Rolle.285

Das anwendbare Recht für den Verantwortlichen der Verarbeitung personenbezogener Daten richtet sich gem. Art. 4 Abs. 1 lit. a S. 1 DSRL nach dem Ort seiner Niederlassung.

Danach hat der für die Verarbeitung Verantwortliche grundsätzlich das Recht des Mitgliedstaates anzuwenden, in dem er seine Niederlassung hat. Es gilt das sog. Sitzprinzip. Bedeutungslos für das anwendbare Recht sind die Staatsangehörigkeit, der gewöhnliche Aufenthalt der betroffenen Personen und der Ort, an dem sich die personenbezogenen Daten befinden.286

Eine „Niederlassung“ setzt i.S.d. Erwägungsgrunds 19 der DSRL unabhängig von der Rechtsform eine „effektive und tatsächliche Ausübung einer Tätigkeit mittels einer festen Einrichtung voraus“287, wobei es nicht auf den Sitz der verantwortlichen Stelle, um deren Niederlassung es sich handelt, ankommt.288 Die Tätigkeit muss durch menschliches Handeln ausgeübt werden, das zudem einen Datenbezug aufweist.289 Bei der festen Einrichtung muss es sich um einen Raum handeln, der zum dauerhaften Gebrauch eingerichtet ist und ständig oder regelmäßig wiederkehrend genutzt wird.290 Ausschlaggebend für die Anwendung des Art. 4 Abs. 1 lit. a DSRL sind die in einer Niederlassung im Rahmen der Tätigkeiten ausgeführten Datenverarbeitungen und nicht allein das Bestehen einer Niederlassung.291 Anders ausgedrückt findet die Richtlinie Anwendung, wenn die Niederlassung Tätigkeiten nachgeht, in deren Rahmen personenbezogene Daten verarbeitet werden.292

Die grundsätzlich anwendbare Regel in Art. 4 Abs. 1 lit. a S. 1 DSRL wird durch Art. 4 Abs. 1 lit. a S. 2 DSRL durchbrochen, und zwar dann, wenn der Verantwortliche der Verarbeitung in mehreren Mitgliedstaaten datenverarbeitende Niederlassungen betreibt. Danach gilt für jede einzelne Niederlassung, sofern sie selbst Verarbeitungen vornimmt, ausnahmsweise das Recht des Mitgliedstaates, in dem sie ihren Sitz hat, um eine kumulative Anwendung mehrerer Rechtsordnungen zu vermeiden.293 Das Recht der Hauptniederlassung, auch wenn diese weiterhin für die Datenverarbeitungen verantwortlich ist, wird verdrängt. Ist die Niederlassung ← 40 | 41 → selbst Verantwortlicher der Verarbeitung, gilt wieder der allgemeine Grundsatz in Art. 4 Abs. 1 lit. a S. 1 DSRL.294

Art. 4 Abs. 1 lit. c DSRL erweitert die Anwendbarkeit des EU-Datenschutzrechts auch auf Verarbeitungen personenbezogener Daten, „die von einem für die Verarbeitung Verantwortlichen ausgeführt werden, der nicht im Gebiet der Gemeinschaft niedergelassen ist und zum Zwecke der Verarbeitung personenbezogener Daten auf automatisierte oder nicht automatisierte Mittel zurückgreift, die im Hoheitsgebiet des betreffenden Mitgliedstaates belegen sind“ und nicht nur zum Zweck der Durchfuhr (Transit) durch das Gebiet der Europäischen Gemeinschaft verwendet werden.295 Ein Transit liegt vor, wenn personenbezogene Daten durch das Inland geleitet werden, und es dabei weder zu einer Kenntnisnahme, Speicherung oder Datenverwertung kommt. Zwischenspeicherungen, Protokollierungen und andere Datenverarbeitungen, die umgehend nach einem Datentransfer gelöscht werden, fallen ebenfalls unter den Begriff des Transits.296

Besonders im Hinblick auf die technische Entwicklung im Bereich neuer Technologien wie dem Internet und die damit einhergehende einfach durchführbare Verarbeitung personenbezogener Daten aus der Ferne gewinnt die Regelung enorm an Bedeutung.297

Nach der Definition des für die Verarbeitung Verantwortlichen bzw. Datenverantwortlichen in Art. 2 lit. d DSRL entscheidet dieser über Zwecke und Mittel der Verarbeitung von personenbezogenen Daten.298 Der für die Verarbeitung Verantwortliche ist ausdrücklich vom Auftragsverarbeiter in Art. 2 lit. e DSRL abzugrenzen, der „personenbezogene Daten im Auftrag des für die Verarbeitung Verantwortlichen verarbeitet“299 und eine rechtlich eigenständige juristische oder natürliche Person sein muss. Bei der Bestimmung eines Verantwortlichen kommt es darauf an, welche Person oder Stelle die Entscheidungsverantwortung trägt, dabei unerheblich ist die rechtliche Zuordnung der Entscheidung. Dadurch kann es auch möglich sein, dass mehrere Personen gleichzeitig als Verantwortliche gelten.300 Eine genaue Analyse der Verarbeitungsstrukturen ist für die Bestimmung des für die Verarbeitung Verantwortlichen unerlässlich.301

Die Richtlinie selbst lässt offen, wann von einem in einem Mitgliedstaat „belegenen Mittel“ gesprochen werden kann. Laut einer Stellungnahme der Artikel 29-Datenschutzgruppe vom 16. Dezember 2010 ist die Möglichkeit der Einflussnahme ausreichend. Die volle Kontrolle sowie die eigentumsrechtliche Zuordnung ← 41 | 42 → des Mittels sind dabei nicht notwendig.302 Der Begriff der „belegenen Mittel“ wird sehr weit verstanden, so dass auch Datenverarbeitungen durch in der EU ansässige Auftragsverarbeiter die Anwendbarkeit der Richtlinie begründen. Auch mittels Software-Programmen wie Cookies303 erhobene personenbezogene Daten auf Computern von Internetnutzern in der EU lösen eine Anwendung des Art. 4. Abs. 1 lit. c DSRL aus.304

Weiterhin ist nicht relevant, ob es sich um automatisierte Mittel oder nicht automatisierte Mittel handelt. Ein Server, der sich in einem Mitgliedstaat der EU befindet, ist bspw. ein automatisiertes Mittel i.S.d. Art. 4 Abs. 1 lit. c DSRL, soweit die Möglichkeit der Einflussnahme auf die verarbeiteten Daten aus einem Drittstaat möglich ist.305

Art. 4 Abs. 2 DSRL verlangt die Nennung eines im Hoheitsgebiet des genannten Mitgliedstaates ansässigen Vertreters durch den Datenverantwortlichen, wobei die Umsetzungsakte in den einzelnen Mitgliedstaaten hierzu stark auseinander gehen.306

Der EuGH hat mit seinem Urteil,307 dem ein Vorabentscheidungsverfahren, das von der Audiencia Nacional de Espana eingereicht wurde, vorausging, wichtige Entscheidungen in Bezug auf die Anwendbarkeit des europäischen Datenschutzrechts getroffen. Dem Vorabentscheidungsersuch lag der Sachverhalt zugrunde, dass ein Betroffener die Löschung eines Eintrags im Suchindex der Suchmaschine Google im Zusammenhang mit seinem Vor- und Nachname verlangte und eine Beschwerde bei der spanischen Datenschutzbehörde (Agencia Española de Protección de Datos – AEPD) gegen Google Inc. und Google Spain einreichte. Die AEPD gab der Beschwerde mit Entscheidung vom 30. Juli 2010 gegen Google Inc. und Google Spain statt und forderte von diesen die Löschung des Eintrags aus ihrem Suchindex bzw. das Unmöglichmachen eines zukünftigen Zugriffs. Google Inc. und Google Spain erhoben beim Nationalen Obergericht in Spanien Klage und verlangten die Aufhebung der Entscheidung der AEPD. Das spanische Gericht setzte das Verfahren aus und legte dem EuGH Fragen zur Vorabentscheidung vor, die sich u.a. mit dem räumlichen Anwendungsbereich nationaler Datenschutzvorschriften beschäftigten.

In den Schlussanträgen des Generalanwalts des EuGH vom 25. Juni 2013 argumentierte dieser für eine Anwendbarkeit der nationalen Datenschutzvorschriften, ← 42 | 43 → denn die Verarbeitung personenbezogener Daten finde im Rahmen einer Niederlassung des für die Verarbeitung Verantwortlichen i.S.d. Art. 4 Abs. 1 lit. a DSRL statt, wenn der Suchmaschinenbetreiber in einem Mitgliedstaat für die Vermarktung und den Verkauf von Werbeflächen der Suchmaschine eine Niederlassung oder eine Tochtergesellschaft einrichte, deren Tätigkeit sich an die Einwohner dieses Staats richte.308

Seiner Ansicht nach beruhe das Geschäftsmodell Googles, welches für die Frage des räumlichen Anwendungsbereichs geprüft werden müsse, auf der Schlüsselwörterwerbung, die als Finanzierungsquelle die unentgeltliche Bereitstellung der Suchmaschine ermögliche. Google besitze Tochtergesellschaften in zahlreichen Mitgliedstaaten, da solch ein Unternehmen eine Präsenz auf nationalen Werbemärkten benötige. Diese Tochtergesellschaften seien Niederlassungen i.S.d. Art. 4 Abs. 1 lit. a DSRL.309

Google machte hingegen geltend, dass Google Spain mit Sitz in Spanien keine personenbezogenen Daten verarbeite, da Google Spain als Vertreterin von Google Inc. lediglich für den Verkauf der Werbeanzeigen und Marketingzwecke in Spanien zuständig sei. Google berief sich demnach darauf, dass allein die Google Inc. mit Sitz in den USA die verantwortliche Stelle für die Verarbeitung personenbezogener Daten sei, so dass kein europäisches Datenschutzrecht gelte, da in Europa keine relevante Niederlassung oder verantwortliche Stelle bestehe.310

Der EuGH folgt in seinem Urteil der Ansicht des Generalanwalts und hat entschieden, dass europäisches Datenschutzrecht Anwendung findet, da Google als verantwortliche Stelle personenbezogene Daten i.S.d. Art. 4 Abs. 1 lit. a DSRL verarbeite. Dabei legen die Richter des EuGH Art. 4 Abs. 1 lit. a DSRL sehr weit aus. Der durch die DSRL gewährleistete Schutz einer Person dürfe nicht umgangen werden, nur weil ein Diensteanbieter in einem Drittstaat ansässig sei.311 Folglich sei davon auszugehen, dass die Verarbeitung personenbezogener Daten eines Anbieters in einem Drittstaat (Google Inc. mit Sitz in den USA), der in einem EU Mitgliedstaat über eine Niederlassung (Google Spain mit Sitz in Spanien) verfügt, im Rahmen der Tätigkeiten dieser Niederlassung ausgeführt wird, wenn diese Niederlassung die Aufgabe hat, in dem Mitgliedstaat für die Vermarktung und den Verkauf von ← 43 | 44 → Werbeflächen der Suchmaschine zu sorgen.312 Unter diesen Umständen seien die Tätigkeiten der Google Inc. mit Sitz in den USA und der europäischen Niederlassung Google Spain untrennbar miteinander verbunden.313

Der EuGH legt Art. 4 Abs. 1 lit. a DSRL sehr weit aus, was kritisch zu betrachten ist, da sie die Prüfung des Art. 4 Abs. 1 lit. c DSRL als eine weitere Tatbestandsalternative obsolet macht.314 Art. 4 Abs. 1 lit. c DSRL erweitert, wie bereits aufgeführt, die Anwendbarkeit des EU-Datenschutzrechts auch auf Anbieter aus Drittstaaten, wenn sie auf automatisierte oder nicht automatisierte Mittel zurückgreifen, die im Hoheitsgebiet des betreffenden Mitgliedstaates belegen sind. Die Frage, ob Google Inc. mit Sitz in den USA zum Zweck der Datenverarbeitung auf in Spanien belegene Mittel gem. Art. 4 Abs. 1 lit. c DSRL zurückgreift, könnte damit beantwortet werden, dass die Google Spain als Niederlassung selbst als ein Mittel in Betracht kommt, sofern sie keine relevanten Entscheidungen trifft und nur die Steuerung der nationalen Webseite vornimmt.315

Am 14. März 2016 urteilte der Oberste Gerichtshof Spanien, dass die Niederlassung Google Spain nicht für die Verarbeitung personenbezogener Daten verantwortlich sei, sondern allein die Google Inc. mit Sitz in den USA, womit die gegen Google Spain erlassene Entscheidung der spanischen Datenschutzbehörde AEPD zum „Recht auf Vergessenwerden“ aufgehoben wurde, der Anspruch auf dieses Recht jedoch gegenüber der Google Inc. weiter Bestand hat.316

cc)  Allgemeine Grundsätze

Die allgemeinen Grundsätze, unter denen eine Datenverarbeitung im europäischen Recht rechtmäßig ist, werden im Folgenden beschrieben.

(1)  Erlaubnisvorbehalt

Art. 7 DSRL sieht vor, dass eine Verarbeitung personenbezogener Daten nur rechtmäßig ist, wenn der Betroffene darin eingewilligt hat oder wenn sie gesetzlich vorgesehen ist, z. B. zur Wahrung von Interessen Dritter gegenüber den Interessen der Betroffenen oder im Zusammenhang mit Verträgen oder konkreten gesetzlichen Verpflichtungen.317 ← 44 | 45 →

Damit entspricht die Richtlinie den Anforderungen des Art. 8 Abs. 2 S. 1 EGRC318.319 Eine Einwilligung ist wirksam, wenn sie vorab, freiwillig („ohne Zwang“)320 und „ohne jeden Zweifel“321 sowie auf einer hinreichenden Informationsbasis erfolgt.322 Art. 2 lit. h DSRL spricht dabei von einer “Willensbekundung”, wobei deren Form nicht definiert wird. Der Begriff Willensbekundung deutet jedoch auf eine notwendige Handlung des Nutzers hin.323

(2)  Zweckbindung

Nach Art. 6 Abs. 1 lit. b DSRL dürfen Daten grundsätzlich nur für festgelegte Zwecke verarbeitet werden, und es muss eine eindeutige Zweckfestlegung für eine Datenerhebung erfolgen. Eine Weiterverarbeitung, die mit der Zweckbestimmung nicht vereinbar ist, wird untersagt. Dies entspricht auch Art. 8 Abs. 2 EGRC. Die Festlegung der Zwecke, in deren Rahmen Daten verarbeitet werden dürfen, erfolgt durch die Einwilligung des Betroffenen oder eine gesetzliche Erlaubnisnorm.324

(3)  Transparenz

Allgemein gilt der Grundsatz von Treu und Glauben bei der Verarbeitung personenbezogener Daten gem. Art. 6 Abs. 1 lit. a DSRL325.326 Der Betroffene muss grundsätzlich die Möglichkeit haben zu erfahren, wer seine Daten verarbeitet und zu welchem Zweck.327 Die Transparenz bei der Verarbeitung von Daten ist Grundlage für das Selbstbestimmungsrecht und den Datenschutz des Betroffenen.328 Als Ausdruck des Transparenzprinzips gelten die Informationspflichten der Datenverantwortlichen in Art. 10 und 11 DSRL, die sicherstellen sollen, dass der Betroffene die Identität des Datenverantwortlichen und den Zweck der Datenverarbeitung erfährt. Nach Art. 10 DSRL muss der Betroffene diese Informationen grundsätzlich bei der Datenerhebung oder, im Falle, dass die Daten nicht bei der betroffenen Person erhoben wurden, bei der Speicherung und spätestens bei der Übermittlung der ← 45 | 46 → Daten nach Art. 11 DSRL erhalten.329 Nach dem Grundsatz von Treu und Glauben können auch Informationen wie Datenkategorien oder Datenempfänger und Auskunftsrechte in Art. 12 DSRL bzw. Art. 8 Abs. 2 S. 2 EGRC330 erforderlich sein.331

(4)  Datenqualität und Datenerforderlichkeit

Personenbezogene Daten müssen gem. Art. 6 Abs. 1 lit. c DSRL für die Zweckerreichung erforderlich sein und den Zwecken entsprechen, für die sie erhoben und weiterverarbeitet werden (sog. Erforderlichkeitsprinzip).332

Art. 6 Abs. 1 lit. d und e DSRL ergänzen das Erforderlichkeitsprinzip, wonach Daten sachlich richtig und aktuell sein müssen (gem. Art. 6 Abs. 1 lit. d DSRL) und nicht unbegrenzt aufbewahrt werden dürfen (gem. Art. 6 Abs. 1 lit. e DSRL).333 Speicherfristen werden nicht geregelt, ebenso wenig eine automatische Löschungspflicht, die aber logische Konsequenz bei einer Überschreitung der zulässigen Speicherdauer ist. Davon abgesehen hat der Betroffene in diesem Fall gem. Art. 12 lit. b DSRL Anspruch auf Löschung334.335

(5)  Datensicherheit

Der Datenverantwortliche muss gem. Art. 17 DSRL geeignete technische und organisatorische Maßnahmen ergreifen, „die für den Schutz gegen die zufällige oder unrechtmäßige Zerstörung, den zufälligen Verlust, die unberechtigte Änderung, die unberechtigte Weitergabe oder den unberechtigten Zugang – insbesondere wenn im Rahmen der Verarbeitung Daten in einem Netz übertragen werden – und gegen jede andere Form der unrechtmäßigen Verarbeitung personenbezogener Daten erforderlich sind.“336 Diese Maßnahmen müssen nach dem Stand der Technik unter Berücksichtigung der entstehenden Kosten angemessen sein. Eine genauere Definition wird hier nicht vorgenommen, so dass der Datenverantwortliche diesbezüglich großen Spielraum hat.337 ← 46 | 47 →

(6)  Rechte des Betroffenen

Die in Art. 8 Abs. 2 S. 2 EGRC normierten Auskunfts- und Berichtigungsrechte338 werden auch in der DSRL gewährt.339 Sie stärken das Prinzip der Transparenz, wonach der Betroffene immer nachvollziehen können muss, wer wofür welche Daten über ihn verarbeitet. Art. 12 lit. a DSRL340 gewährt daher einen Anspruch auf eine freie und ungehinderte Auskunft.341 Auch der Inhalt der Auskunft wird geregelt, wonach der Betroffene Auskunft über die Empfänger, Herkunft der Daten und bei automatisierten Entscheidungen über den logischen Aufbau der automatisierten Verarbeitung verlangen kann.342

Auch das in Art. 8 Abs. 2 S. 2 EGRC normierte Berichtigungsrecht343 wird in der Richtlinie in Art. 12 lit. b DSRL geregelt.344 Darüber hinaus kann der Betroffene der Verarbeitung der Daten widersprechen345 und bei einer nicht richtlinienkonformen Verarbeitung seiner Daten die Löschung oder Sperrung der Daten346 sowie Schadensersatz347 verlangen.348 Darüber hinaus hat der Betroffene gem. Art. 22 DSRL das Recht bei Verletzung seiner Daten bei Gericht einen Rechtsbehelf einzulegen. Die Gewährleistung, dass der Datenverantwortliche verpflichtet ist, die Datenempfänger über die Berichtigung, Löschung oder Sperrung zu informieren, sofern dies nicht mit einem unverhältnismäßigen Aufwand verbunden ist, ergänzt die Rechte des Betroffenen.349

(7)  Datenschutzkontrolle

Wie bereits in Art. 8 Abs. 3 EGRC und Art. 16 Abs. 2 S. 2 AEUV normiert, ist wesentliches Element350 des Datenschutzes eine in Art. 28 DSRL geregelte unabhängige Kontrolle.351 Gem. Art. 28 Abs. 1 DSRL sind die Mitgliedstaaten verpflichtet, öffentliche Kontrollstellen als unabhängige Institutionen einzurichten, die die Einhaltung der Datenschutzregelungen überwachen, wobei ihnen Untersuchungsbefugnisse352 ← 47 | 48 → (z. B. Zugangsbefugnisse, Recht auf Einholung von Informationen) und wirksame Einwirkungsbefugnisse353 eingeräumt werden, die notwendig sind, um die Rechte der Betroffenen, die häufig nichts von einer Verarbeitung ihrer Daten bemerken, besser durchsetzen zu können.354 Die in der DSRL genannten Befugnisse sind Mindestbefugnisse, wobei es den Mitgliedstaaten obliegt, welche Befugnisse sie anwenden. Ziel aller Aufsichtsbehörden muss dabei jedoch immer die Wirksamkeit im Hinblick auf ihre Aufgabe sein.355 Darüber hinaus haben die Aufsichtsbehörden gem. Art. 28 Abs. 2 DSRL eine beratende Funktion in Rechtsetzungsverfahren, in denen sie angehört werden müssen.356 Ergänzende Befugnisse der Aufsichtsbehörden sind die Zuständigkeit für Ausnahmeentscheidungen bei der Verarbeitung sensibler Daten gem. Art. 8 Abs. 4 DSRL sowie für den Empfang von Meldungen der Datenverantwortlichen vor der Durchführung von Datenverarbeitungen gem. Art. 18 Abs. 1 und 19 DSRL, die Vornahme der Vorabprüfungen gem. Art. 20, die Führung eines Verarbeitungsregisters gem. Art. 21 DSRL und letztendlich die Mitwirkung in der Artikel 29-Datenschutzgruppe gem. Art. 29 DSRL.357 Die Einrichtung eines betrieblichen Datenschutzbeauftragten ist nicht obligatorisch, jedoch eine Möglichkeit, um von der allgemeinen Meldepflicht befreit werden zu können.358

Art. 28 Abs. 6 DSRL regelt die Zuständigkeit der nationalen Kontrollstellen, wonach sich diese nach dem Ort der Verarbeitung der personenbezogenen Daten unabhängig von der Niederlassung des Datenverantwortlichen richtet.359 Es gilt hier das Territorialitätsprinzip.

Erfolgt bspw. die Datenverarbeitung im Rahmen einer Niederlassung des Datenverantwortlichen, der in Mitgliedstaat A seinen Sitz hat, in Mitgliedstaat B, so ist für die Rechtmäßigkeit der Datenverarbeitungsvorgänge nach Art. 4 DSRL das Recht des Mitgliedstaates A maßgebend.360 Unabhängig davon haben die Aufsichtsbehörden des Mitgliedstaates B gem. Art. 28 Abs. 6 DSRL die Befugnis, die Verarbeitungsvorgänge auf Einhaltung des Datenschutzrechts des Mitgliedstaates B zu prüfen. „Die über das anwendbare Recht entscheidenden Kriterien der Richtlinie sehen die Möglichkeit vor, dass eine Aufsichtsbehörde einen in ihrem Hoheitsgebiet erfolgenden Verarbeitungsvorgang auch dann überprüfen darf (und eventuell nachfolgend einschreiten kann), wenn es sich bei dem anwendbaren Recht um das Recht eines anderen Mitgliedstaates handelt.“361 Im Ergebnis kommt es hier zu einer Spaltung des maßgeblichen Rechts bzw. der behördlichen Zuständigkeiten bei ← 48 | 49 → grenzüberschreitenden Verarbeitungsvorgängen362, was eine enge Zusammenarbeit der nationalen Aufsichtsbehörden unter Berücksichtigung ihrer jeweiligen Durchführungsbefugnisse erfordert.363

dd)  Selbstregulierung

Nach Art. 27 Abs. 1 DSRL sollen die Mitgliedstaaten und die EU-Kommission die Ausarbeitung von Verhaltensregeln fördern, „die nach Maßgabe der Besonderheiten der einzelnen Bereiche zur ordnungsgemäßen Durchführung der einzelstaatlichen Vorschriften beitragen sollen, die die Mitgliedstaaten zur Umsetzung dieser Richtlinie erlassen“364. Anders ausgedrückt sollen damit die allgemeinen Vorschriften der Richtlinie durch Verhaltensregeln, d.h. Vorschriften, die sich Mitglieder eines Verbands selbst auferlegen und deren Einhaltung kontrollieren, ergänzt werden. Nach europäischem Verständnis soll eine datenschutzrechtliche Selbstregulierung ausschließlich die Durchführung gesetzlicher Regelungen betreffen, jedoch nicht das Ersetzen gesetzlicher Vorschriften ermöglichen, kein neues Recht schaffen und damit auch keine Allgemeinverbindlichkeit besitzen.365 Folgt man den Ausführungen der Artikel 29-Datenschutzgruppe, wird der Begriff des „Förderns“ im Sinne eines Mehrwerts interpretiert, was bedeutet, dass die Verhaltensregeln einen datenschutzrechtlichen Mehrwert bzw. einen „zusätzlichen Nutzen“ beinhalten müssen366, mit dem Ziel der Erhöhung der bereichsspezifischen Geltung der DSRL.367

Die EU-Kommission hat mit verschiedenen internationalen Anbietern sozialer Netzwerke im Jahr 2009 eine Selbstverpflichtungserklärung für den Jugendschutz vereinbart. Diese sog. „Safer Social Networking Principles for the EU“368 beinhalten sieben Empfehlungen für einen besseren Schutz von Kindern und Jugendlichen in sozialen Netzwerken und sollen Anbietern helfen, Risiken für Kinder und Jugendliche bei der Nutzung sozialer Netzwerke zu minimieren.369 Zu einer einheitlichen Umsetzung verpflichten sich die Anbieter dabei nicht, vielmehr muss jeder Anbieter für sich selbst entscheiden, wie die Empfehlungen auf ihren jeweiligen Dienst anzuwenden sind. Die Prinzipien umfassen unter anderem Informationspflichten, die Sicherstellung altersgemäßer Angebote, die Möglichkeit für Nutzer, den ungewollten Kontakt zwischen Kindern, Jugendlichen und Erwachsenen zu vermeiden sowie ← 49 | 50 → Verstöße melden zu können, worauf die Anbieter schnell reagieren sollten. Durchsetzungsmechanismen oder Sanktionen sieht die Selbstverpflichtungserklärung nicht vor, zudem ist sie rechtlich nicht bindend.370

Mit Ausnahme der Safer Social Networking Principles, die sich nur auf Kinder und Jugendliche beziehen, wurde das Prinzip der Selbstregulierung auf europäischer Ebene im Datenschutzrecht bisher kaum durchgesetzt. Dies liegt u.a. an dem unklaren Begriff „Förderung“, der offen lässt, ob damit eine Präzisierung von allgemeinen gesetzlichen Vorschriften oder ein Mehrwert im Sinne einer Steigerung des Datenschutzniveaus gemeint ist.371

Mit der geplanten DS-GVO soll Art. 27 DSRL überarbeitet werden.372 Dies wird im weiteren Verlauf der Arbeit näher betrachtet.

ee)  Grenzüberschreitender Datenverkehr

Im Zuge der globalen Vernetzung insbesondere im Rahmen von sozialen Netzwerken nehmen Datenübertragungen an Empfänger in Drittländern und deren Wichtigkeit zu. Man muss grundsätzlich zwei Konstellationen im Rahmen des grenzüberschreitenden Datenverkehrs unterscheiden, zum einen die Datenübermittlung innerhalb der EU und des EWR, zum anderen Datenübermittlungen an Stellen in Drittstaaten.373 Gem. Art. 1 Abs. 2 DSRL dürfen Mitgliedstaaten den freien Verkehr personenbezogener Daten untereinander nicht untersagen, womit die DSRL einen europäischen Datenverkehrsraum schafft.374

Schwieriger ist es bei der Übermittlung personenbezogener Daten an Staaten außerhalb der EU und des EWR. Das europäische Datenschutzrecht erfordert, dass die Rechte und Interessen des Betroffenen durch den Export von personenbezogenen Daten nicht gefährdet werden. So muss für personenbezogene Daten, die den sicheren europäischen Hafen verlassen, der innerhalb der EU geltende Schutzstandard beibehalten werden. Dieser Zweck wird mit den Grundsätzen der Art. 25 und 26 DSRL, die für die Datenübermittlung in Drittstaaten zusätzliche Anforderungen festlegen, erfüllt,375 auch um den Import von personenbezogenen Daten in eine sog. „Datenschutzoase“ (Bereiche ohne effektive Datenschutzkontrolle) und den anschließenden Reimport dieser Daten zu vermeiden.376

Art. 25 Abs. 1 DSRL ist als Verbotsnorm zu qualifizieren und gestattet demnach die Übermittlung personenbezogener Daten nur dann, wenn das betreffende ← 50 | 51 → Drittland ein “angemessenes Datenschutzniveau“ gewährleistet. Darunter ist zu verstehen, dass die Gesetze des Mitgliedstaates, die der Richtlinie entsprechen, auch von dem Drittland bei der Übermittlung beachtet werden.377

Gem. Art. 25 Abs. 2 DSRL ist eine Angemessenheit des Schutzniveaus eines Drittstaates unter Berücksichtigung aller Umstände, die bei einer Datenübermittlung eine Rolle spielen, zu beurteilen. „Insbesondere werden die Art der Daten, die Zweckbestimmung sowie die Dauer der geplanten Verarbeitung, das Herkunfts- und das Endbestimmungsland, die in dem betreffenden Drittland geltenden allgemeinen oder sektoriellen Rechtsnormen sowie die dort geltenden Standesregeln und Sicherheitsmaßnahmen berücksichtigt.“378

Da die Kriterien in Art. 25 Abs. 2 DSRL nicht abschließend sind, hat die Artikel 29-Datenschutzgruppe weitere wichtige Auslegungs- und Anwendungshinweise bezüglich des Kriteriums der Angemessenheit vorgestellt, die grundsätzlich den allgemeinen Grundsätzen der DSRL entsprechen.379

Wenn ein angemessenes Schutzniveau vorliegt, ist eine Datenübermittlung erlaubt.

Der Grundsatz in Art. 25 Abs. 1 DSRL wird von Art. 26 DSRL durchbrochen, wobei Art. 26 Abs. 1 DSRL bestimmte Ausnahmetatbestände auflistet (z. B. Einwilligung der betroffenen Person, Erfüllung eines Vertrages) und Art. 26 Abs. 2 DSRL als Ausnahme für eine Übermittlung in Drittländer vertraglich bestimmte Garantien für den Datenschutz festschreibt.380 Diese Garantien können sich aus Vertragsklauseln zwischen dem Datenverantwortlichen in der EU und dem Datenempfänger im Drittstaat ergeben. Dabei kann auf die Standardvertragsklauseln der EU-Kommission zurückgegriffen werden, die die Rechte und Pflichten der Parteien beim Umgang mit personenbezogenen Daten regeln und unverändert übernommen werden müssen. Standardvertragsklauseln stellen die Grundlage von Verträgen zwischen dem Datenverantwortlichen und dem Datenempfänger dar und können von weiteren Verträgen (z. B. Serviceverträgen) begleitet werden. Die letzte Aktualisierung der Standardvertragsklauseln seitens der EU-Kommission erfolgte am 05. Februar 2010.381 Auch Individualverträge können zwischen Datenimporteur und –exporteur geschlossen werden, bedürfen jedoch der Zustimmung der Aufsichtsbehörde bzw. mehrerer Aufsichtsbehörden, sofern ein Unternehmen Niederlassungen in mehreren Mitgliedstaaten der EU besitzt. In einer neuen Stellungnahme382 der Artikel 29-Datenschutzgruppe stellt diese ein Verfahren im Zusammenhang mit der ← 51 | 52 → Prüfung und Genehmigung von Standard- und Individualverträgen vor, welches vor allem international tätige Unternehmen betrifft, die personenbezogene Daten in Drittstaaten übermitteln. Nach diesem Verfahren soll die Tatsache, dass bei der Übermittlung von Daten mehrerer Mitgliedstaaten in ein Drittland jede Aufsichtsbehörde der beteiligten Mitgliedstaaten eine Genehmigung erteilen muss, vereinfacht werden, indem durch ein Kooperationsverfahren der Aufsichtsbehörden eine einheitliche Entscheidung getroffen werden kann.383

Ein weiteres Instrument für eine Garantie gem. Art. 26 Abs. 2 DSRL sind rechtsverbindliche Richtlinien sog. Binding Corporate Rules (BCR), die Unternehmen und Konzerne in Bezug auf den grenzüberschreitenden Umgang mit personenbezogenen Daten aufstellen können, um einen angemessenen Datenschutz zu sichern. Sie stellen ein selbstregulierendes Instrument dar, sind jedoch ausschließlich für die Datenübermittlung innerhalb eines Konzerns bzw. einer Unternehmensgruppe anwendbar und nicht für Übermittlungen an gruppenfremde Unternehmen.384 Für die Umsetzung der BCR ist die Zustimmung der Datenschutzbehörden aller Mitgliedstaaten notwendig, in denen die Unternehmen eines Konzerns ihren Sitz haben, was die BCR zu einem vergleichsweise komplizierten und langwierigen Instrument macht.385

Art. 25 Abs. 3 DSRL sieht vor, dass sich die Mitgliedstaaten und die EU-Kommission untereinander über negative Beurteilungen von Drittstaaten informieren. Wenn die EU-Kommission nach einer Prüfung feststellt, dass in einem Drittland tatsächlich kein angemessenes Schutzniveau vorliegt, müssen die Mitgliedstaaten gem. Art. 25. Abs. 4 DSRL den Transfer der Daten unterlassen. Ebenso sind die Mitgliedstaaten gem. Art. 25 Abs. 6 DSRL an einen positiven Angemessenheitsbeschluss der Kommission gebunden. Dies gilt auch dann, wenn die Angemessenheit als Ergebnis von Verhandlungen der Kommission mit einem Drittstaat nach einer negativen Entscheidung festgestellt wird.386

Positive Angemessenheitsbeschlüsse existieren bereits für die folgenden Länder außerhalb der EU und des EWR: Andorra, Argentinien, Färöer Inseln, Guernsey, Isle of Man, Israel, Jersey, Kanada, Neuseeland, die Schweiz, Ungarn und Uruguay.387 Für die Vereinigten Staaten als einen der wichtigsten Wirtschaftspartner der Europäische Union hat die EU-Kommission eine bedingte Angemessenheitsfeststellung getroffen, die sog. „Safe Harbor“ Regelung, da aufgrund der sehr unterschiedlichen Herangehensweise an den Datenschutz in den Vereinigten Staaten, in denen kein grundsätzliches Verbotsprinzip existiert und es keine dem europäischen Datenschutzrecht entsprechenden umfassenden gesetzlichen Regelungen gibt, ein ← 52 | 53 → positiver Angemessenheitsbeschluss für die Kommission nicht in Frage kam. Safe Harbor dient der Überbrückung von Systemunterschieden zwischen der EU und den USA, was im Rahmen dieser Arbeit gerade vor dem Hintergrund möglicher Datenverarbeitungen personenbezogener Daten europäischer bzw. deutscher Bürger seitens sozialer Netzwerke mit Sitz in den USA bedeutend ist.

Nach den datenschutzrechtlichen Maßstäben Europas weisen die USA kein angemessenes Datenschutzniveau auf, womit eine Datenübermittlung gem. Art. 25 Abs. 1 DSRL388 grundsätzlich unzulässig ist. Art. 25 Abs. 6 DSRL sieht jedoch vor, dass die EU-Kommission die Angemessenheit des Datenschutzes in einem Drittland feststellen kann, wenn dieses bestimmte Anforderungen erfüllt. Um den Datenverkehr in die USA als einen der wichtigsten Wirtschaftspartner der EU zu legitimieren, wurde so zwischen der EU-Kommission und dem US-Handelsministerium (engl. Department of Commerce – DoC) in Kooperation das sog. Safe Harbor Abkommen389 (engl. safe harbor principles) ausgehandelt, das eine Übermittlung personenbezogener Daten aus der EU in die USA gewährleistet und sicherstellt, dass Betroffene im konkreten Einzelfall einen angemessenen Schutz genießen.390 Das Safe Harbor Modell besteht aus sieben Datenschutzprinzipien und Antworten auf fünfzehn „häufig gestellte Fragen“ (engl. Frequently Asked Questions – FAQ). US-Unternehmen, die Daten in die EU importieren, haben die Möglichkeit dem Safe Harbor beizutreten, indem sie sich durch eine entsprechende Erklärung an die US-amerikanische Bundeshandelskommission (engl. Federal Trade Commission – FTC)391 selbst zertifizieren. Diese Erklärung muss jährlich erneuert werden, um dem Safe Harbor zugehörig zu bleiben. Zudem müssen die Unternehmen sich öffentlich, z. B. durch eine online abrufbare Datenschutzerklärung, dazu verpflichten, die Prinzipien und FAQs des Safe Harbor einzuhalten.392

Anknüpfungspunkt der folgenden sieben Grundsätze beim Safe Harbor Modell sind die allgemeinen Grundsätze der DSRL:

Das Prinzip der Informationspflicht verlangt die umfassende Information des Betroffenen über den Zweck der Datenerhebung und -verwendung. Dazu gehört die Information darüber, ob eine Datenweitergabe an Dritte erfolgt und ob und auf welche Weise der Betroffene die Verwendung der Daten einschränken kann. Die ← 53 | 54 → Angaben sind für die Betroffenen unmissverständlich und deutlich erkennbar zu machen, und zwar bei erstmaliger Sammlung und Weitergabe.393 Der Betroffene muss zudem die Möglichkeit erhalten, der Weitergabe seiner personenbezogenen Daten an Dritte und der Verwendung für einen anderen Zweck als ursprünglich vorgesehen zu widersprechen (sog. Opt-out). Bei dem „Opt-out“ Verfahren gilt die Einwilligung des Betroffenen prinzipiell als erteilt, solange der Betroffene nicht von der Möglichkeit der Sperrung Gebrauch gemacht hat. Das „Opt-out“ Verfahren ist vergleichbar mit dem Grundsatz des Erlaubnisvorbehalts und kann als umgekehrte Einwilligung bezeichnet werden.394 Bei sensiblen Daten ist allein die sog. Opt-in – Variante zulässig, d.h., eine Datenverarbeitung ist erst möglich, wenn der Betroffene darin eingewilligt hat. Die Datenweitergabe an Dritte darf nur erfolgen, wenn der Betroffene zum einen darüber informiert und zum anderen über sein Widerspruchsrecht in Kenntnis gesetzt wird.395 Unternehmen des Safe Harbor müssen angemessene Sicherheitsvorkehrungen treffen, um Daten vor Verlust, Missbrauch und unbefugtem Zugriff, Weitergabe, Änderung und Zerstörung zu schützen.396 Der Datenverarbeiter des Safe Harbor wird aufgefordert, die Zuverlässigkeit, Genauigkeit, Vollständigkeit und Aktualität der gesammelten Daten sicherzustellen. Darüber hinaus soll er auf die Erforderlichkeit der fortdauernden Speicherung und die Zweckbindung der Daten achten.397 Unternehmen müssen dem Betroffenen Zugang zu den personenbezogenen Daten, die sie über ihn besitzen, gewähren und ihm die Möglichkeit geben, diese zu korrigieren, zu ändern oder zu löschen, wenn sie falsch sind.398

Das Prinzip der Durchsetzung hat den Zweck der Sicherung und Einhaltung der Grundsätze des Safe Harbor, der Schaffung von Rechtsbehelfen und Beschwerdemechanismen bei Verstößen gegen die Prinzipien und der Sanktionierung von Verstößen gegen die Prinzipien.399

Die fünfzehn FAQs400 mit den dazugehörigen Antworten konkretisieren die allgemein formulierten Safe Harbor Prinzipien und beugen dadurch eventuellen Auslegungsproblemen vor.401

US-Unternehmen, die die Safe Harbor Prinzipien anerkennen, dürfen personenbezogene Daten aus der EU empfangen, bzw. Datenexporteure aus der EU dürfen Daten problemlos, ohne weitere Garantien abgeben zu müssen, aus der EU transferieren.402 ← 54 | 55 →

Die FTC führt eine Liste der Unternehmen, die dem Safe Harbor unterliegen. Darunter befinden sich auch US-amerikanische Anbieter sozialer Netzwerke wie z. B. Facebook und Google Plus.403 Die FTC ist für die Überwachung der Einhaltung verantwortlich und kann bei Verstoß eine Reihe an Sanktionen verhängen.404

Aus europäischer Sicht wird das Safe Harbor Modell u.a. dahingehend kritisiert, dass die Safe Harbor Prinzipien zwar grundsätzlich an die allgemeinen Grundsätze der europäischen DSRL anknüpfen, jedoch zum Teil davon abweichen. Der Grundsatz des Erlaubnisvorbehaltes, dass eine Datenverarbeitung also erst nach Einwilligung des Nutzers möglich ist, wird durch das in den USA geltende Opt-out Prinzip durchbrochen. Zudem werden von vornherein Unternehmen in bestimmten Wirtschaftsbereichen ausgeschlossen (z. B. Finanzwesen, Telekommunikationssektor etc.), da nur Unternehmen, die der FTC bzw. dem Verkehrsministerium zugehörig sind, die Möglichkeit haben, sich dem Safe Harbor zu unterwerfen.405 Ebenso wird das Fehlen einer staatlichen Überwachung des Safe Harbor seitens der USA als unsicher angesehen. Die FTC wird, anders als in der EU, nur auf Beschwerde hin tätig.406 Da in den USA die Folgen des Safe Harbor Abkommens, wie bereits erwähnt, vornehmlich die gewerblichen Datenverarbeiter trifft, und diese sich durch Selbstverpflichtung qualifizieren müssen, um personenbezogene Daten aus der EU importieren zu können, ist die Freiwilligkeit der Entscheidung für oder gegen die Qualifikation eine rein unternehmerische Entscheidung. Die Möglichkeit der freiwilligen Qualifikation durch Selbstverpflichtung bietet dem Datenverarbeiter die freie Wahl über Art und Maß des praktizierten Datenschutzes im Rahmen der ihn betreffenden gesetzlichen Vorschriften.407

Aufgrund einer Studie einer US-Beratungsfirma408 im Jahr 2008, die bei der praktischen Umsetzung der Safe Harbor Prinzipien erhebliche Defizite feststellte (z. B. eine fehlende flächendeckende Kontrolle der Selbstzertifizierungen durch die amerikanischen und europäischen Behörden409), werden in Deutschland seit 2010 strengere Anforderungen an deutsche Unternehmen gestellt, die Daten in die USA ← 55 | 56 → transferieren möchten.410 Danach müssen sich Unternehmen in Deutschland von den Datenimporteuren in den USA einen Nachweis für deren Safe Harbor Zertifizierung und Einhaltung der Safe Harbor Prinzipien einholen, sofern sie personenbezogene Daten an ein US-Unternehmen transferieren möchten. Zudem müssen sie die Mindestprüfung dokumentieren, um sie auf Nachfrage der Aufsichtsbehörde nachweisen zu können.411

Im Zuge der Enthüllungen durch Edward Snowden um die großflächigen Überwachungstätigkeiten ausländischer Geheimdienste im Internet ist in Europa eine neue Diskussion über die Sicherheit der Übermittlung personenbezogener Daten aus der EU in die USA entfacht. Edward Snowden ist ein US-amerikanischer Whistleblower412, der erstmals Anfang Juni 2013 als „top secret“ gekennzeichnete Dokumente des US-Geheimdienstes National Security Agency (NSA) veröffentlichte. Er enthüllte, wie die USA und weitere Staaten seit spätestens 2007 in großem Umfang die Telekommunikation und insbesondere das Internet global und verdachtsunabhängig überwachen und die so gewonnenen Daten auf Vorrat speichern.413 Insbesondere das sog. PRISM Programm, ein streng geheimes Überwachungsprogramm der NSA, das der Auswertung von elektronischen Medien und elektronisch gespeicherten Daten dient, wonach amerikanische Behörden Zugang zu den Daten europäischer Bürger haben und diese Daten in die USA übermitteln und dort verarbeiten, erregte öffentliches Aufsehen. So sollen auch Anbieter sozialer Netzwerke Nutzerdaten europäischer Bürger an den amerikanischen Geheimdienst übermittelt haben. Im Rahmen des Safe Harbor wäre dies grundsätzlich nach Art. 25 Abs. 1 DSRL möglich, sofern die beteiligten Unternehmen bzw. deren europäische Niederlassungen, die nach Meinung einiger Datenschützer an europäisches Datenschutzrecht gebunden sind, gewisse Pflichten einhalten wie u.a. die Benachrichtigung der Betroffenen über die Weitergabe der Daten an Dritte. Da dies nicht erfolgte, hat die Datenschutz-Initiative mit dem Namen „europe-v-facebook.org“ im Juni 2013 Beschwerde bei verschiedenen europäischen Datenschutzbehörden eingereicht.414 ← 56 | 57 →

Die EU-Kommission hat als Folge dieser Überwachungs- und Spionageaffäre am 27. November 2013 in einer Mitteilung415 an das US-Handelsministerium zur Zukunft des Safe Harbor als Teil eines ganzen Maßnahmenpakets, welches sich über Safe Harbor hinaus auf den zukünftigen transatlantischen Datenaustausch bezieht, für den Erhalt der Safe Harbor Prinzipien ausgesprochen. Die EU-Kommission gibt darin insgesamt 13 Empfehlungen für ein zukünftiges verbessertes Safe Harbor Modell ab. So sollen unter anderem die Transparenz durch die Veröffentlichung der Unternehmensdatenschutzrichtlinien und der Liste des US-Handelsministeriums verbessert werden, Streitschlichtungsmechanismen eingerichtet und die Durchsetzung z. B. durch die Überprüfung einiger Unternehmen nach dem Selbstzertifizierungsprogramm unter Safe Harbor auf die Einhaltung der Datenschutzbestimmungen verbessert werden. Darüber hinaus soll in den Unternehmensdatenschutzrichtlinien die Information enthalten sein, in welchen Fällen von den Safe Harbor Prinzipien abgewichen werden muss, um den Anforderungen der US-Gesetze wie bspw. zur nationalen Sicherheit und Strafverfolgung gerecht zu werden.416

Die EU-Kommission gab damit deutlich zu verstehen, dass sie weiterhin an dem Safe Harbor Modell festhalten wollte, jedoch nur unter neuen klaren Vorgaben, die von amerikanischer Seite zu erfüllen sind. Das Europäische Parlament sprach sich hingegen am 15. Januar 2014 gegenüber der EU-Kommission für eine Beendigung des Safe Harbor Abkommens aus.417 Die Artikel 29-Datenschutzgruppe hat in einem Brief418 an die Justizkommissarin der EU419 Verbesserungsvorschläge zur Überarbeitung des Safe Harbor Abkommens vorgelegt und sich darin u.a. zum einen für die 13 Empfehlungen der EU-Kommission ausgesprochen und zum anderen für eine Aussetzung des Safe Harbor, sofern nach dem Überarbeitungsprozess kein positives Ergebnis erlangt werde.420 ← 57 | 58 →

Am 06. Oktober 2015 hat der EuGH in seinem Urteil das Safe Harbor Abkommen für ungültig erklärt.421 Hauptsächlicher Grund für diese Entscheidung ist der Aspekt, dass die EU-Kommission nicht die Anforderungen des EU-Rechts beachtet habe, als sie die Safe Harbor-Entscheidung getroffen hat. Die fehlerhafte Struktur von Safe Harbor und die von der Kommission unterbliebene Untersuchung und Feststellung eines angemessenen Schutzniveaus stellt damit eine Grundrechtsverletzung dar und nicht die generelle Frage der Angemessenheit des Schutzniveaus für personenbezogene Daten in den USA.422

Die EU-Kommission erließ daraufhin am 29. Februar 2016 den Entwurf einer Angemessenheitsentscheidung423, das sog. „EU-US Privacy Shield“,424 ein neues, Safe-Harbor-Abkommen ablösendes System für den transatlantischen Datentransfer. In dem Entwurf sind folgene Punkte hervorzuheben:

Das System der Selbstzertifizierung bleibt erhalten425

Die Überwachung und Einhaltung der Prinzipien erfolgt durch das US-Handelsministerium426

Die Kontrolle und Durchsetzung des Privacy Shields erfolgt durch die FTC, das Verkehrsministerium oder andere Vollstreckungsbehörden427

Die Kommission stellt ein „angemessenes Schutznivau“ fest428 ← 58 | 59 →

Es gibt eine eindeutige Begrenzung für Zugriffe auf Daten, z.B. für Zwecke der nationalen Sicherheit429

Es wird eine Stelle eines Ombudsmannes im Außenministerium geschaffen, der für Beschwerden der Nutzer bzgl. ihrer Datenverarbeitung durch Geheimdienste verantwortlich ist430

Festzuhalten bleibt, dass die vom EuGH vermissten Feststellungen bzgl. des Datenschutzniveaus in dem EU-US Privacy Shield getroffen wurden. Ob diese von der EU-Kommission getroffenen Feststellungen auch im Sinne des EuGH sind, bleibt nun abzuwarten. Durch das Urteil des EuGH vom 06. Oktober 2015 ist jedoch die generelle Notwendigkeit für ein Abkommen im Bereich der transatlantischen Datenübermittlung deutlich geworden.

b)  Richtlinie 2002/58/EG

Am 12. Juli 2002 wurde vom Europäischen Parlament und dem Rat der EU die Richtlinie 2002/58/EG (sog. Datenschutzrichtlinie für elektronische Kommunikation) „über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation“431 im Zuge der technikneutralen Ausrichtung und Neuordnung des gemeinschaftsrechtlichen Telekommunikationsrechts erlassen. Sie ersetzte die Richtlinie 97/66/EG „über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre im Bereich der Telekommunikation“432, da diese aufgrund der sich rasant entwickelnden technischen Neuerungen und ihrer starken Ausrichtung auf die ISDN-Technik nicht mehr zeitgemäß war.433

Die RL 2002/58/EG ergänzt und detailliert als bereichsspezifische Regelung die allgemeine DSRL gem. Art. 1 Abs. 2 RL 2002/58/EG und gilt für alle Arten der elektronischen Kommunikation (Telekommunikationsdienste und Tele- und Mediendienste).434

Im Zusammenhang mit sozialen Netzwerken ist Art. 5 Abs. 3 RL 2002/58/EG hervorzuheben, der den Einsatz von Cookies auf einem Endgerät eines Nutzers grundsätzlich erlaubt, wenn der Betroffene klar und umfassend über sein Verweigerungsrecht und insbesondere über die Zwecke der Verarbeitung informiert wird. Damit gilt hier das sog. Opt-out Verfahren, da die Einwilligung des Nutzers ← 59 | 60 → prinzipiell als erteilt gilt, solange der Nutzer nicht von der Möglichkeit des Widerspruchs Gebrauch gemacht hat.435

c)  Richtlinie 2009/136/EG

Das Europäische Parlament und der Rat der EU beschlossen im November 2009 mit der Richtlinie 2009/136/EG (sog. „Cookie Richtlinie“ oder „E-Privacy Richtlinie“) die Änderung der Richtlinie 2002/58/EG. Sie trat am 19. Dezember 2009 in Kraft. Hervorzuheben ist in der Cookie Richtlinie die Verschärfung des Art. 5 Abs. 3 RL 2002/58/EG, wonach „die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie 95/46/EG u. a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat.“436 Cookies dürfen demnach nicht mehr ohne Einwilligung des Nutzers auf dessen Endgerät gespeichert werden. Ausnahmen betreffen Fälle, in denen die Speicherung ausschließlich zur Inanspruchnahme eines Dienstes notwendig ist. Entscheidend ist, dass mit „Informationen“ in Art. 5 Abs. 3 RL 2002/58/EG sämtliche Informationen gemeint sind, d.h. die Einwilligung auch für Daten ohne Personenbezug gilt.437

Im Gegensatz zur RL 2002/58/EG, nach der Nutzer der Verarbeitung ihrer Daten widersprechen konnten (Opt-out Modell), gilt hier das Opt-in Modell, welches die Einwilligung des Nutzers voraussetzt.438 Nach Art. 15a Abs. 1 Cookie Richtlinie sollten die Mitgliedstaaten die Vorschriften derselben bis 25. Mai 2011 umgesetzt haben, was jedoch nur von wenigen Mitgliedstaaten verwirklicht wurde.439 In Deutschland herrscht diesbezüglich Unklarheit, da die Cookie Richtlinie seit Anfang Februar 2014 offiziell als umgesetzt gilt, es jedoch kein deutsches Gesetz gibt, das den Regelungen der Cookie Richtlinie entspricht. Gesetzesentwürfe zur Änderung des TMG sind nie umgesetzt worden.440 Eine formelle Umsetzung im deutschen Recht hat somit nie stattgefunden, jedoch reicht der EU-Kommission für die Anerkennung der Umsetzung der Cookie Richtlinie in Deutschland eine Stellungnahme der deutschen Bundesregierung zu einem Fragebogen bzgl. der Rechtslage zu Cookies in Deutschland aus.441 Deutschland sieht weiterhin das Opt-Out Modell vor,442 jedoch gibt es seitens der EU-Kommission ← 60 | 61 → die schriftliche Bestätigung, dass die Richtlinie in nationales Recht umgesetzt wurde, so dass anzunehmen ist, dass die EU-Kommission davon ausgeht, dass für Cookies in Deutschland bereits jetzt eine Einwilligung des Nutzers erforderlich ist.443

d)  Richtlinie 2006/24/EG

Die Richtlinie 2006/24/EG (VDSRL), auch sog. Richtlinie der Vorratsdatenspeicherung, trat am 15. März 2006 als Reaktion auf die Terroranschläge vom 11. September 2001 in New York und 11. März 2004 in Madrid in Kraft und wurde am 08. April 2014444 vom EuGH für nichtig erklärt.

Die EU-Mitgliedstaaten waren gem. Art. 3 Abs. 1 VDSRL verpflichtet, „Daten, soweit sie im Rahmen ihrer Zuständigkeit im Zuge der Bereitstellung der betreffenden Kommunikationsdienste von Anbietern öffentlich zugänglicher elektronischer Kommunikationsdienste oder Betreibern eines öffentlichen Kommunikationsnetzes erzeugt oder verarbeitet werden,“445 auf Vorrat für mindestens sechs und höchstens vierundzwanzig Monate446 speichern zu lassen.447 Mit der VDSRL sollte sichergestellt werden, dass in der gesamten EU die betreffenden Daten zum Zweck der Ermittlung, Feststellung und Verfolgung von schweren Straftaten vorliegen, um im Einzelfall darauf zugreifen zu können.448 Anwendung fand sie auf alle Verkehrs- und Standortdaten und alle sonstigen Daten, die zur Identifizierung des Kommunikationsteilnehmers erforderlich sind, wobei dabei sowohl natürliche als auch juristische Personen betroffen waren.449 Gem. Art. 1 Abs. 2 S. 2 VDSRL waren Inhaltsdaten in Bezug auf die Kommunikation und Daten von Cookies ausgenommen.450

Sieht die DSRL in Art. 13 und die RL 2002/58/EG in Art. 15 Abs. 1 Bestimmungen vor, die aus Gründen der nationalen oder öffentlichen Sicherheit und Landesverteidigung eine Vorratsdatenspeicherung für einen begrenzten Zeitraum erlauben, so durchbrach die VDSRL diese Tradition, indem im Zuge eines Kommunikationsdienstes erzeugte oder verarbeitete Verkehrs- und Standortdaten aller EU-Bürger ohne Unterschied, verdachtsunabhängig und flächendeckend auf Vorrat gespeichert werden durften.451

Die Vorgaben der VDSRL wurden vom EuGH in seinem Urteil vom 08. April 2014 für unverhältnismäßig und als ein schwerwiegender Eingriff in die europäischen ← 61 | 62 → Grundrechte auf Privatsphäre (Art. 7 EGRC) und auf den Schutz personenbezogener Daten (Art. 8 EGRC) erklärt.

Bis zu dieser Urteilsverkündung war die Umsetzung der VDSRL in vielen Mitgliedstaaten sowohl politisch als auch rechtlich von Beginn an hoch umstritten und erfolgte sehr unterschiedlich.452 In Deutschland wurde die VDSRL mit Gesetz vom 21. Dezember 2007 zwar umgesetzt, jedoch wurde dies am 02. März 2010 vom BVerfG für verfassungswidrig und nichtig erklärt, da es gegen Art. 10 Grundgesetz453 verstoße. Danach gab es in Deutschland keine Neueinführung der VDSRL.454 Im Mai 2012 reichte die EU-Kommission daher Klage gegen Deutschland beim EuGH wegen fehlender Implementierung der VDSRL ein, wobei die Klage im Mai 2014 zurückgezogen wurde.455

e)  Datenschutz-Grundverordnung

Aufgrund der rasanten technologischen Entwicklung und der dadurch einhergehenden neuen Anwendungsmöglichkeiten bei der Datenverwendung durch öffentliche und private Stellen in der globalisierten Welt von heute werden die EU-Mitgliedstaaten vor immer größere Herausforderungen beim Datenschutz gestellt.

Gerade im Hinblick auf die Möglichkeit der Bereitstellung privater Informationen im weltweiten Netz durch soziale Netzwerke ist eine Gewährleistung des Schutzes personenbezogener Daten im Internet durch die DSRL aus dem Jahr 1995 nicht mehr sichergestellt.456 Darüber hinaus erfolgte die Umsetzung der DSRL in den einzelnen Mitgliedstaaten sehr unterschiedlich, was eine fortschreitende Schwächung der Position der betroffenen Personen zur Folge hat.457 Diese unterschiedliche Umsetzung und Weiterentwicklung der EU-Vorgaben lassen sich zudem im europäischen Binnenmarkt in der Praxis oft nicht grenzüberschreitend durchsetzen.

Als Folge hat die EU-Kommission am 25. Januar 2012 einen Entwurf für eine europäische Datenschutz-Grundverordnung veröffentlicht, die das Ziel hat, einen stabilen, zusammenhängenden und umfassenden Datenschutzrechtsrahmen für die EU zugänglich zu machen.458 Im Zeitraum danach wurde eine enorme Anzahl an Änderungsanträgen seitens des Europäischen Parlaments auf den Vorschlag ← 62 | 63 → der EU-Kommission gestellt. Der neue Entwurf, der die Änderungsvorschläge459 berücksichtigt, wurde am 12. März 2014 vom Ausschuss für Bürgerliche Freiheiten, Justiz und Inneres (LIBE) des Europäischen Parlamentes angenommen, was Verhandlungen zwischen der EU-Kommission, dem Europäischen Parlament und dem Rat der Europäischen Union (sog. Trilog) ermöglichte.460 Die endgültige Textfassung der DS-GVO wurde am 27. April 2016 vom Europäischen Parlament und dem Rat der Europäischen Union beschlossen und am 04. Mai 2016 veröffentlicht.

Die DS-GVO wird somit am 25. Mai 2018 in Kraft treten. Sie würde gem. Art. 288 Abs. 2 AEUV unmittelbar geltendes Recht in allen Mitgliedstaaten werden und soll das europäische Datenschutzrecht vereinheitlichen, dem technologischen Fortschritt nachkommen, dem Grundrecht des Einzelnen gerecht werden, eine Vertrauensbasis in der digitalen Welt schaffen und die rechtlichen Bedingungen für Privatpersonen und Unternehmen vereinfachen.461 Das Inkrafttreten der DS-GVO würde ein gänzliches Ersetzen der DSRL sowie weite Teile des BDSG und der bereichsspezifischen Regelungen bedeuten. Im Folgenden werden die zentralen Punkte der zukünftigen DS-GVO für den Schutz personenbezogener Daten in Europa erläutert.

aa)  Sachlicher Anwendungsbereich

Der sachliche Anwendungsbereich der DS-GVO setzt im Wesentlichen an der DSRL an.462

Die Definition personenbezogener Daten in Art. 4 Abs. 1 DS-GVO enthält keine wesentlichen Änderungen zu Art. 2 lit. a DSRL. Jedoch wird durch Erwägungsgrund 26 deutlich, dass von einem objektiven Personenbezug ausgegangen wird, da bzgl. der Bestimmbarkeit einer Person „alle Mittel“ zu berücksichtigen sind, „die von dem Verantwortlichen oder einer anderen Person nach allgemeinem Ermessen wahrscheinlich genutzt werden.“463 Art. 4 Abs. 1 DS-GVO bezieht Standortdaten und Online-Kennungen (z. B. IP-Adressen oder Cookies) mit ein, so dass bei IP-Adressen grundsätzlich von einem Personenbezug auszugehen ist,464 jedoch ergänzt Erwägungsgrund 30, dass ein Personenbezug bei Standortdaten und Online-Kennungen nicht zwangsläufig gegeben ist, was die Anwendbarkeit des Datenschutzrechts auf diese Daten offen lässt. ← 63 | 64 →

Für die in der in Art. 8 DSRL als sensible Daten benannten personenbezogenen Daten sieht die DS-GVO in Art. 9 eine entsprechende Regelung mit der Einbeziehung genetischer Daten vor.

Ebenso wie in Art. 3 Abs. 2 DSRL ist die Verarbeitung personenbezogener Daten, die für persönliche oder familiäre Zwecke verwendet werden, gem. Art. 2 Abs. 2 lit. c DS-GVO ausgeschlossen.

bb)  Räumlicher Anwendungsbereich

In der DS-GVO wird der räumliche Anwendungsbereich in Art. 3 DS-GVO geregelt, der einige Neuerungen vorsieht. Die DS-GVO findet Anwendung auf „die Verarbeitung personenbezogener Daten, soweit diese im Rahmen der Tätigkeiten einer Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiters in der Union erfolgt, unabhängig davon, ob die Verarbeitung in der Union stattfindet.“465 Zudem wird die DS-GVO auch auf Verantwortliche in Drittstaaten angewandt, wenn die Datenverarbeitung dazu dient, Personen, die sich in der Union aufhalten, Waren oder Dienstleistungen anzubieten oder deren Verhalten zu beobachten (sog. Marktortprinzip).466

Erwägungsgrund 24 DS-GVO merkt an, dass Internetaktivitäten mit Hilfe von Datenverarbeitungstechniken nachvollzogen würden, durch die einer Person ein Profil zugeordnet werde (sog. Profiling), das die Grundlage für die sie betreffenden Entscheidungen bilde oder anhand dessen ihre persönlichen Vorlieben, Verhaltensweisen oder Gepflogenheiten analysiert oder vorausgesagt werden sollten.467 Mit dieser abweichenden Regelung zu Art. 4 Abs. 1 lit. c DSRL ist eine Nutzung von Datenverarbeitungsmitteln in der EU nicht mehr maßgeblich. Darüber hinaus müssen international agierende Unternehmen, die ihren Sitz in einem Drittland haben (so z. B. Facebook und Google Plus), nach Art. 27 DS-GVO einen Vertreter in der Union benennen, der für die Einhaltung der europäischen Datenschutzbestimmungen verantwortlich ist, sofern das Unternehmen nicht besondere Kategorien personenbezogener Daten gem. Art. 9 Abs. 1 DS-GVO oder „Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Artikels 10“ verarbeitet.468

Die Legaldefiniton des Datenverantwortlichen in Art. 2 lit d DSRL wird von der DS-GVO in Art. 4 Abs. 7 DS-GVO übernommen. Dies gilt ebenso für die Definition des Auftragsverarbeiters in Art. 4 Abs. 8 DS-GVO.

cc)  Materielles Recht

Im Folgenden werden die wichtigsten Regelungen zum materiellen Datenschutzrecht erläutert. ← 64 | 65 →

(1)  Erlaubnisvorbehalt

Im geplanten Reformpaket ist wie auch in Art. 7 DSRL die Einwilligung als eine von mehreren Grundsätzen vorgesehen, unter denen eine Verarbeitung personenbezogener Daten rechtmäßig ist. Neben der Legaldefinition in Art. 4 Abs. 11 DS-GVO muss nach Art. 6 Abs. 1 lit. a DS-GVO die Einwilligung „durch eine eindeutige bestätigende Handlung (…) in Form einer schriftlichen Erklärung, die auch elektronisch erfolgen kann, oder einer mündlichen Erklärung“469 erfolgen. Eine konkludente Einwilligung sollte keine Einwilligung darstellen.470 Dabei trägt der für die Verarbeitung Verantwortliche die Nachweispflicht dafür, dass der Betroffene seine Einwilligung erklärt hat.471 Steht die Einwilligung des Betroffenen im Zusammenhang mit einem anderen Sachverhalt, muss sichergestellt werden, dass der Betroffene weiß, dass und wozu er eingewilligt hat durch „das Ersuchen um Einwilligung in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache“472.473 Eine Einwilligung muss unter echter Wahlfreiheit erfolgen, so dass der Betroffene stets ein Widerrufsrecht hat. Der Widerruf der Einwilligung muss so einfach wie die Erteilung der Einwilligung sein.474

Neben der Anforderung der Einwilligung bestehen in Art. 6 DS-GVO weitere Erlaubnistatbestände, die sich im Wesentlichen nicht von denen in Art. 7 DSRL unterscheiden, jedoch weiter präzisiert werden.

Völlig neu sind die Regelungen zur Einwilligung von Kindern in Art. 8 DS-GVO, wonach für soziale Netzwerke die Einwilligung der Erziehungsberechtigten für Kinder unter sechszehn Jahren vorgeschrieben ist, sofern es zu einer Verarbeitung personenbezogener Daten kommt. Eine niedrigere Altersgrenze ist je nach Recht der Mitgliedstaaten möglich, nicht jedoch unter dem vollendeten dreizehnten Lebensjahr.475

Damit wird Kindern die Anmeldung in sozialen Netzwerken deutlich erschwert, und die Gefahr, dass diese sich ohne Einwilligung der Erziehungsberechtigten anmelden, also rechtswidrig, steigt.

(2)  Zweckbindung

In Art. 5 Abs. 1 lit. b DS-GVO ist ebenfalls der Grundsatz der Zweckbindung geregelt. Es wird jedoch schwieriger einmal erhobene personenbezogene Daten später für einen anderen Zweck zu verarbeiten. So können gem. Art. 6 Abs. 4 DS-GVO Daten zu anderen als den ursprünglichen Zwecken nur dann weiterverarbeitet werden, wenn der Verantwortliche unter anderem den Zusammenhang und die Art der personenbezogenen Daten berücksichtigt, „um festzustellen, ob die Verarbeitung ← 65 | 66 → zu einem anderen Zweck mit demjenigen, zu dem die personenbezogenen Daten ursprünglich erhoben wurden, vereinbar ist.“476

(3)  Transparenz

Die Vorschriften zur Transparenz werden in der DS-GVO in Art. 12 bis 14 DS-GVO gegenüber der DSRL deutlich ausgeweitet. Mit Art. 12 DS-GVO soll ein neues Transparenzprinzip eingeführt werden477, das den für die Verarbeitung Verantwortlichen verpflichtet, dem Betroffenen „alle Informationen (…), die sich auf die Verarbeitung beziehen, in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln; dies gilt insbesondere für Informationen, die sich speziell an Kinder richten.“478. Anbieter sozialer Netzwerke müssen danach ihren Nutzern Informationen in einfacher und leicht verständlicher Sprache zugänglich machen.479 Ebenso trägt zur Transparenz bei, dass der Betroffene bei einer Verletzung des Schutzes seiner personenbezogenen Daten vom Datenverantwortlichen unverzüglich darüber benachrichtigt werden muss.480

(4)  Datensparsamkeit, Datenqualität und Datenrichtigkeit

Im Gegensatz zu der DSRL wird in Art. 5 Abs. 1 lit. c DS-GVO das Prinzip der Datensparsamkeit direkt festgelegt. Danach müssen personenbezogene Daten „dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein („Datenminimierung“).“481

Ebenso wie Art. 6 Abs. 1 lit. d DSRL wird in Art. 5 Abs. 1 lit. d DS-GVO die Datenrichtigkeit und Datenaktualisierung normiert. Die DS-GVO sieht die Speicherdauer von Daten in Art. 5 Abs. 1 lit. e vor, der im Wesentlichen Art. 6 Abs. 1 lit. e DSRL entspricht. Anders als in der DSRL wird jedoch die Löschungspflicht ausführlicher geregelt in Art. 17 DS-GVO.482

(5)  Datensicherheit

Die DS-GVO sieht in den Art. 24 Abs. 1 und Art. 32 DS-GVO die Vorgaben zur Datensicherheit vor, wobei diese an die Regelungen der DSRL anknüpfen. Neu ist die Maßnahme der Datenschutz-Folgenabschätzung nach Art. 35 DS-GVO483. Danach muss der Datenverantwortliche für besonders datenschutzrelevante ← 66 | 67 → Verarbeitungsvorgänge484 zwingend eine Datenschutz-Folgenabschätzung vornehmen. Diese muss eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung enthalten, eine Bewertung der Notwendigkeit und Verhältnismäßigkeit sowie der Risiken für die Rechte und Freiheiten des Betroffenen und letztendlich die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, durch die der Schutz personenbezogener Daten sichergestellt werden soll.485

Anstelle der Meldepflicht in der DSRL tritt die Verpflichtung zur Führung eines Verzeichnisses von Verarbeitungstätigkeiten in Art. 30 DS-GVO. Der Wegfall der Meldepflicht wird damit begründet, dass diese Meldepflicht mit einem bürokratischen und finanziellen Aufwand verbunden ist und bisher doch keineswegs in allen Fällen zu einem besseren Schutz personenbezogener Daten geführt hat. Diese unterschiedslosen allgemeinen Meldepflichten wurden daher abgeschafft und durch wirksame Verfahren und Mechanismen ersetzt.486 Das Verfahrensverzeichnis ist nur den Aufsichtsbehörden auf Antrag zur Verfügung zu stellen.487

Zur Sicherheit trägt auch Art. 33 DS-GVO bei, wonach der Datenverantwortliche bei Feststellung einer Verletzung des Datenschutzes unverzüglich die Aufsichtsbehörde informieren muss.

(6)  Rechte des Betroffenen

Die Rechte der Betroffenen werden in der geplanten DS-GVO erweitert und ausführlicher geregelt. Im Wesentlichen werden in Art. 16 DS-GVO die Berichtigungsrechte mit Modifikationen übernommen.

Neu ist eine Ausweitung der Löschungspflicht in Art. 17 DS-GVO („Recht auf Vergessen“). Danach hat die betroffene Person unter bestimmten Voraussetzungen das Recht, von der verantwortlichen Stelle die Löschung ihrer Daten und darüber hinaus die Unterlassung jeglicher weiterer Verbreitung der Daten, also auch die Löschung aller Querverweise auf diese personenbezogenen Daten sowie aller Kopien oder Replikationen zu verlangen.488 So bspw., wenn die Daten für die Zwecke, für die sie einst erhoben wurden, nicht mehr notwendig sind489, der Betroffene seine Einwilligung widerruft oder es an einer anderen Rechtgrundlage für die Datenverarbeitung fehlt490. Darüber hinaus ist die verantwortliche Stelle dazu verpflichtet, Dritte, die diese Daten verarbeiten, darüber zu informieren.491 ← 67 | 68 →

Wenn der Betroffene gem. Art. 15 Abs. 3 DS-GVO in elektronischer Form um Auskunft seiner Daten bittet, müssen ihm diese auch in einem gängigen elektronischen Format erteilt werden.

Wo es technisch möglich ist, soll der Datenverantwortliche auf Wunsch des Betroffenen die Daten direkt an einen anderen Datenverantwortlichen transferieren (sog. Recht auf Datenübertragbarkeit).492 Nutzern von sozialen Netzwerken soll damit die Mitnahme ihrer Daten bei Anbieterwechsel erleichtert werden.493

(7)  Privacy by Design und Privacy by Default

Der präventiv wirkende Systemdatenschutz wird in Art. 25 DS-GVO aufgegriffen. Hintergrund ist der Wunsch den Datenschutz schon von Beginn an bei der Entwicklung neuer Technologien einzubeziehen, um die im Nachhinein mit viel Zeitaufwand verbundenen Korrekturen von Datenschutzproblemen zu vermeiden (sog. Privacy by Design494). Soziale Netzwerke müssen einen Grundschutz gewährleisten, um die Daten ihrer Nutzer zu schützen (sog. Privacy by Default495).

Gem. Art. 25 Abs. 1 DS-GVO müssen Datenverantwortliche bereits „zum Zeitpunkt der Festlegung der Mittel für die Verarbeitung als auch zum Zeitpunkt der eigentlichen Verarbeitung geeignete technische und organisatorische Maßnahmen treffen – wie z. B. Pseudonymisierung –, die dafür ausgelegt sind, die Datenschutzgrundsätze wie etwa Datenminimierung wirksam umzusetzen und die notwendigen Garantien in die Verarbeitung aufzunehmen, um den Anforderungen dieser Verordnung zu genügen und die Rechte der betroffenen Personen zu schützen“496.

Darüber hinaus sollen Datenverantwortliche nur solche personenbezogenen Daten verarbeiten, die für ihren Dienst auch erforderlich sind. Es gilt demnach auch hier das Prinzip der Datensparsamkeit.497

Solche datenschutzfreundlichen Voreinstellungen könnten unter anderem darin bestehen, dass die Verarbeitung personenbezogener Daten minimiert wird, personenbezogene Daten so schnell wie möglich pseudonymisiert werden, Transparenz in Bezug auf die Funktionen und die Verarbeitung personenbezogener Daten hergestellt wird, der betroffenen Person ermöglicht wird, die Datenverarbeitung zu überwachen, und der für die Verarbeitung Verantwortliche in die Lage versetzt wird, Sicherheitsfunktionen zu schaffen und zu verbessern.498 ← 68 | 69 →

(8)  Datenschutzkontrolle

Die Regelungen in der DS-GVO sind im Vergleich zur DSRL deutlich umfassender in den Art. 51 bis 59 DS-GVO aufgeführt. Neben der Präzisierung der Unabhängigkeit in Art. 52 DS-GVO werden in Art. 55 bis 58 die Aufgaben und Befugnisse der Kontrollstellen geregelt, welche die von den Mitgliedstaaten sehr unterschiedlich ausgelegten Regelungen vereinheitlichen sollen.

Die DS-GVO sieht mit dem Prinzip der zentralen Anlaufstelle in Art. 55 Abs. 2 DS-GVO eine völlig neue Regelung vor. Danach ist die Aufsichtsbehörde des betroffenen Mitgliedstaates zuständig (sog. One-Stop-Shop). Zuständig und federführend für die grenzüberschreitende Datenverarbeitung ist die Aufsichtsbehörde der Hauptniederlassung oder der einzigen Niederlassung des für die Verarbeitung Verantwortlichen oder des Auftragsverarbeiters. Europaweit datenverarbeitende Unternehmen mit mehreren Niederlassungen haben danach nur noch mit einer einzigen Aufsichtsbehörde zu tun.499 Hauptniederlassung ist nach Art. 4 Ziff. 16 lit. a DS-GVO im Falle von mehreren Niederlassungen in der EU die Niederlassung mit der Hauptverwaltung, „es sei denn, die Entscheidungen hinsichtlich der Zwecke und Mittel der Verarbeitung personenbezogener Daten werden in einer anderen Niederlassung des Verantwortlichen in der Union getroffen und diese Niederlassung ist befugt, diese Entscheidungen umsetzen zu lassen; in diesem Fall gilt die Niederlassung, die derartige Entscheidungen trifft, als Hauptniederlassung.“500. Unternehmen mit Hauptsitz im Geltungsbereich der Verordnung unterliegen der Aufsichtsbehörde des Mitgliedstaates, in dem das Unternehmen ihren Hauptsitz hat.501

Im Bereich der Bußgelder bei Datenschutzverstößen bringt Art. 83 Abs. 5 DS-GVO erhebliche Veränderungen mit sich. Dieser ermächtigt die Aufsichtsbehörden, Geldbußen bei Verstößen gegen das europäische Datenschutzrecht zu verhängen, die bis zu 20 Millionen Euro oder im Fall eines Unternehmens 4 Prozent des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs reichen können, je nachdem, welcher der Beträge höher ist.502 Für global agierende Unternehmen wie Facebook oder Google könnte dies Beträge in Milliardenhöhe bedeuten.

Die DS-GVO gibt gem. Art. 83 Abs. 7 den Mitgliedstaaten die Befugnis, selbst festzulegen, ob und in welchem Umfang gegen Behörden und öffentliche Stellen, die in dem betreffenden Mitgliedstaat niedergelassen sind, Geldbußen verhängt werden können. Hier ist die Gefahr groß, dass es zu uneinheitlichen Regelungen in Europa kommt, was das Ziel eines einheitlichen Schutzniveaus in der EU verfehlen würde.

Darüber hinaus sieht die DS-GVO in vielen Fällen gem. Art. 63 ff. ein Kohärenzverfahren vor, z. B. bei der Festlegung von Standardvertragsklauseln oder der Genehmigung von Vertragsklauseln. Es handelt sich dabei um ein Verfahren, dass ← 69 | 70 → auf Antrag einer Aufsichtsbehörde, des Europäischen Datenschutzausschusses503 oder der EU-Kommission erfolgt. Entspricht das Ergebnis des Verfahrens nicht dem Willen der Kommission, kann sie Durchführungsakte zur „ordnungsgemäßen Anwendung“ gem. Art. 291 AEUV vollziehen. Letztendlich liegt die Entscheidung immer bei der Kommission, deren Stellung damit erheblich gestärkt werden würde.504 Die Entscheidungsbefugnis der Kommission steht damit im Widerspruch zu der Stellung der Aufsichtsbehörden, die gem. Art. 52 DS-GVO völlige Unabhängigkeit genießen sollen.505 Gem. Erwägungsgrund 136 soll dem Europäischen Datenschutzausschuss jedoch die Befugnis übertragen werden, im Falle von Streitigkeiten zwischen Aufsichtsbehörden mit einer Zweidrittelmehrheit seiner Mitglieder rechtsverbindliche Beschlüsse zu erlassen.506

dd)  Selbstregulierung

Die DS-GVO übernimmt den Grundgedanken aus Art. 27 DSRL, weitet diesen jedoch deutlich aus. So soll gem. Art. 40 Abs. 1 DS-GVO zwar an dem Grundsatz, dass Verhaltensregeln „zur ordnungsgemäßen Anwendung dieser Verordnung beitragen sollen“507, festgehalten werden, jedoch werden darüber hinaus u.a. die Aspekte der Ausgestaltung von Verhaltensregeln konkret benannt.508 Künftig sollen auch Aufsichtsbehörden gem. § 40 Abs. 1 DS-GVO neben den Mitgliedstaaten, dem Europäischen Datenschutzausschuss und der Kommission berechtigt sein, die Ausarbeitung von Verhaltensregeln zu fördern. Für das Aufstellen von Verhaltensregeln in mehreren Mitgliedstaaten soll die Kommission verantwortliche Behörde sein509 und durch den Erlass von Durchführungsakten den Verhaltensregeln allgemeine Gültigkeit erteilen.510

ee)  Grenzüberschreitender Datenverkehr

Die Regelungen zur Übermittlung personenbezogener Daten in Drittländer in der DS-GVO knüpfen an die Regelungen der DSRL an und erweitern diese. ← 70 | 71 →

Art. 44 DS-GVO stellt klar, dass die Einhaltung der Bedingungen sowohl dem Datenverantwortlichen als auch dem Auftragsverarbeiter obliegt. Die Regelungen zu Angemessenheitsbeschlüssen werden in Art. 45 DS-GVO präzisiert, wobei sich Angemessenheitsbeschlüsse nun auch explizit auf „das betreffende Drittland, ein Gebiet oder ein oder mehrere spezifische Sektoren in diesem Drittland oder die betreffende internationale Organisation“511 beziehen können. Das könnte z. B. für die USA bedeuten, dass künftig nur einzelne Bundesstaaten anerkannt werden.512 Die Kriterien für die Entscheidung werden in Art. 45 Abs. 2 DS-GVO spezifiziert. Art. 46 DS-GVO regelt die Garantien als Ausnahme, unter denen eine Datenübermittlung in Drittländer erlaubt ist, darunter fallen die Standardvertragsklauseln der EU, Vertragsklauseln, die BCR und Zertifizierungsverfahren sowie Datenschutzsiegel und -prüfzeichen513.514

Die BCR werden deutlich ausführlicher und auf Grund ihrer Wichtigkeit auch separat in Art. 47 DS-GVO normiert. Für deren Anwendung muss eine Reihe inhaltlicher Kriterien erfüllt werden. Da der Anwendungsbereich erheblich erweitert wurde, umfasst dieser jetzt auch Cloud-Anwendungen.515 Art. 47 Abs. 1 sieht zudem einen ausdrücklichen Genehmigungsakt der Aufsichtsbehörde für BCR nach Maßgabe des sog. Kohärenzverfahrens516 vor.517

Mit dem in Art. 42 f. DS-GVO geregelten Datenschutzsiegel soll eine völlig neue Rechtsgrundlage für die Datenübermittlung in Drittländer geschaffen werden. Eine Erteilung des Europäischen Datenschutzsiegels kann – nach Unterrichtung der Aufsichtsbehörde – durch eine Zertifizierungsstelle erteilt und verlängert werden, die über das geeignete Fachwissen hinsichtlich des Datenschutzes verfügt. Jede Zertifizierungsstelle muss ihre Unabhängigkeit und ihr Fachwissen hinsichtlich des Gegenstands der Zertifizierung zur Zufriedenheit der zuständigen Aufsichtsbehörde nachweisen.518 Diese stellt fest, ob die zu prüfende Verarbeitung personenbezogener Daten mit den Vorschriften der DS-GVO konform ist. Das Datenschutzsiegel ist für maximal fünf Jahre gültig mit der Option der Verlängerung.519 Der Europäische ← 71 | 72 → Datenschutzausschuss nimmt alle Zertifizierungsverfahren und Datenschutzsiegel in ein Register auf und veröffentlicht sie in geeigneter Weise.520

Ebenfalls völlig neu ist die in Art. 48 DS-GVO geregelte sog. Snowden-Klausel (einst auch Anti-Fisa-Klausel). Danach dürfen personenbezogene Daten von EU-Bürgern bei Anfragen von Behörden (z. B. Geheimdienste und Polizeien) in Drittstaaten im Rahmen ihrer Ermittlungen nur dann übermittelt und weitergegeben werden, wenn hierfür eine internationale Übereinkunft (wie etwa ein Rechtshilfeabkommen) mit den jeweiligen Drittstaat existiert oder die Datenübermittlung durch andere Tatbestände der DS-GVO ausdrücklich erlaubt ist.521

Gerade im Hinblick auf die Überwachungs- und Spionageaffäre durch amerikanische Behörden ist diese Regelung von großer Bedeutung für die transatlantischen Beziehungen. Am 04. Februar 2016 hat die die parlamentarische Unterstaatssekretärin im Ministerium für Kultur, Medien und Sport des Vereinigten Königreichs, Baroness Neville-Rolfe, in einer schriftlichen Stellungnahme mitgeteilt, dass sich das Vereinigte Königreich dem Art. 48 DS-GVO und seinem Anwendungsbereich nicht unterwerfen wird.522 Danach willigt das Vereinigte Königreich nicht in die Anerkennung der bindenden Wirkung (sog. opt-in) des Art. 43a DS-GVO ein und bezieht sich auf ihr Recht gem. „Protocol 21“523 (Originaltext in engl. „The UK, and separately Ireland, may choose, within three months of a proposal being presented to the Council pursuant to Title V of Part Three of the TFEU (the part of the Treaty governing JHA matters), whether it wishes to participate in the adoption and application of any such proposed measure.“).

Als Konsequenz bedeutet dies, dass sich Behörden aus Drittstaaten mit Auftragsdatenverarbeitern bzw. Datenverantwortlichen mit Sitz im Vereinigten Königreich nicht an Art. 48 DS-GVO halten müssen. Zu dem verfolgten Ziel eines einheitlichen Schutzniveaus und einer Harmonisierung des Datenschutzrechts in Europa trägt dies nicht bei.524

DS-GVO Art. 49 DS-GVO entspricht Art. 25 Abs. 1 DSRL und ergänzt die Ausnahmetatbestände um die Kategorie berechtigter Interessen des Datenverantwortlichen gem. Art. 49 DS-GVO. ← 72 | 73 →

Im Vergleich mit der DSRL sind die Vorschriften zur Übermittlung personenbezogener Daten in Drittländer in der DS-GVO deutlich ausführlicher geregelt worden. Die Datenübermittlung in die USA ist weiterhin unter denselben Voraussetzungen wie bisher möglich. Darüber hinaus dürfen Mitgliedstaaten internationale Übereinkünfte schließen, die die Übermittlung personenbezogener Daten an Drittländer oder internationale Organisationen beinhalten, sofern sich diese Übereinkünfte weder auf die DS-DVO noch auf andere Bestimmungen des Unionsrechts auswirken und ein angemessenes Schutzniveau für die Grundrechte der betroffenen Personen umfassen.525

III.  Zwischenergebnis zum internationalen Datenschutz und seinen Rechtsquellen

Datenschutz ist von Beginn an durch internationale Regelungen der Vereinten Nationen, der OECD und des Europarats entwickelt worden. Der vom Europarat ausgearbeiteten EMRK kommt für die Prägung des Schutzes personenbezogener Daten in Europa eine besondere Bedeutung zu, da sie am nachhaltigsten auf das europäische Datenschutzrecht eingewirkt hat. Sie dient dem EuGH als Rechtserkenntnisquelle und bildet zusammen mit der EGRC und den nationalen Rechtsordnungen den grundrechtlichen Datenschutz in der Europäischen Union.

Bei der Entwicklung der DSRL dienten die Grundsätze der EMRK als Grundlage, sie wurden mit der DSRL erweitert und konkretisiert.

Die DSRL entstand in einer Zeit, in der das Internet sowie der elektronische Datentransfer noch in den Kinderschuhen steckten bzw. noch nicht das heutige Ausmaß erreicht hatten. Mobile Datennutzung oder global agierende Internetdienste waren noch nicht vorstellbar, so dass die DSRL respektive das Datenschutzrecht in Europa als Abwehrrecht im Verhältnis zwischen Bürgern und Staat entwickelt und ausgelegt wurde. Daten werden heutzutage jedoch auch im Zuge des User-Generated-Content von Internetnutzern selbst verarbeitet (z. B. in sozialen Netzwerken), wo eine automatisierte Verarbeitung von Daten unverzichtbar geworden ist. Die Bestimmungen und Begrifflichkeiten der DSRL sind zum Teil nicht auf das Internet zu beziehen, wodurch eine enorme Rechtsunsicherheit entsteht. Zudem werden grundsätzlich alle Daten gleich behandelt. Darüber hinaus wurde mit der DSRL nur eine hinreichende Harmonisierung des Datenschutzrechts in der EU erreicht, da das Datenschutzrecht in den einzelnen Mitgliedstaaten immer noch sehr unterschiedlich geregelt ist. Je nach Mitgliedstaat kann ein und derselbe Datenverarbeitungsprozess als rechtskonform oder datenschutzwidrig beurteilt werden, was einem „Flickenteppich“ an Datenschutzvorschriften in der EU gleicht. Folglich sind Unternehmen mit einem hohen Bürokratieaufwand, Befolgungskosten und Rechtsunsicherheit konfrontiert.526 ← 73 | 74 →

Die Konsequenz ist die Notwendigkeit einer Anpassung des europäischen Datenschutzes an die technische und gesellschaftliche Realität. Das Ziel der zukünftigen DS-GVO ist es, den Datenschutz in Europa im öffentlichen und privaten Bereich zu harmonisieren. Die DS-GVO würde mit Inkrafttreten in allen EU-Mitgliedstaaten unmittelbar geltendes Recht, wobei den Mitgliedstaaten in vielen Bereichen eine spezifische Ausgestaltung des Rechts überlassen wird.527 So ist die Gefahr groß, dass in vielen Bereichen528 nationales Recht gelten wird und somit unheitliches Recht. Ob die nationalen Regelungen immer sinnvoll und dienlich sind, bleibt abzuwarten. Mit der Möglichkeit eines zu großen Spielraums der Ausgestaltung der DS-GVO ist anzunehmen, dass die erwünschte Harmonisierung nur bedingt eintreten wird.

Mit Inkrafttreten der DS-GVO würde diese sowohl für alle Unternehmen, die in der EU niedergelassen sind, als auch für in Drittstaaten ansässige Unternehmen, die sich an europäische Kunden wenden, gelten.529 Folglich wären auch Anbieter sozialer Netzwerke wie Facebook oder Google vom Geltungsbereich der DS-GVO betroffen.

Unklar bleibt jedoch, wann die nationalen Datenschutzregelungen, die aufgrund der Öffnungsklauseln erlassen werden, bei grenzüberschreitenden Datenverarbeitungen zu beachten sind. Für den Fall, dass Daten von Betroffenen aus mehreren Mitgliedstaaten verarbeitet werden bzw. bei mehreren Niederlassungen in der EU, sieht die DS-GVO derzeit keine Regelung vor, welches nationale Datenschutzrecht dieser betroffenen Mitgliedstaaten neben den Vorschriften der DS-GVO Anwendung findet. Die Frage, wann welches nationale Datenschutzrecht Anwendung findet, kann derzeit nicht beantwortet werden und hängt stark von den zukünftig erlassenen nationalen Regelungen ab.

Im transatlantischen Verhältnis zwischen Europa und den USA bestehen beträchtliche Differenzen hinsichtlich des Schutzes von personenbezogenen Daten. Vor dem Hintergrund, dass aus europäischer Sicht das Risiko einer Gefährdung personenbezogener Daten für europäische bzw. deutsche Bürger unter anderem dadurch entsteht, dass persönliche Daten auf Servern sozialer Netzwerke im außereuropäischen Ausland, vorrangig in den USA, gespeichert bzw. verarbeitet werden, besteht für ← 74 | 75 → Anbieter sozialer Netzwerke mit Hauptsitz in einem Drittstaat Rechtsunsicherheit bzgl. des anwendbaren Rechts.

Die Problematik bzgl. der unterschiedlichen Rolle und Stellung der Aufsichtsbehörden in den einzelnen Mitgliedstaaten würde mit der One-Stop-Shop-Lösung beseitigt, wonach soziale Netzwerke mit mehreren Niederlassungen in der EU nur noch mit einer einzigen Aufsichtsbehörde zu tun hätten. Durch die Möglichkeit delegierter Rechtsakte der Kommission kann flexibel auf neue Technologien reagiert werden, um den Schutz persönlicher Daten in Europa gewährleisten zu können.

Durch eine Ausweitung von Transparenzgeboten, Datensicherheit und Betroffenenrechten in der DS-GVO soll dem Nutzer und seinem Recht auf Bestimmung über die Verwendung seiner Daten besser Rechnung getragen werden.

D.  Rechtslage des Datenschutzes in Deutschland

Das deutsche Datenschutzrecht basiert auf einer Vielzahl unterschiedlicher Regelungen, wobei das BDSG und die Landesdatenschutzgesetze (LDSG) das allgemeine Datenschutzrecht bilden und damit auch als Auffanggesetze bezeichnet werden können. Daneben bestehen zahlreiche bereichsspezifische Rechtsvorschriften wie z. B. das TMG und das Telekommunikationsgesetz (TKG)530.531 Als verfassungsrechtlicher Ausgangspunkt wird das Recht auf informationelle Selbstbestimmung angesehen, das aus dem allgemeinen Persönlichkeitsrecht hergeleitet wurde und von weiteren Grundrechten, z. B. dem Recht auf Integrität und Vertraulichkeit, flankiert wird.532

Das deutsche Datenschutzrecht regelt den Umgang mit Daten und ihren Schutz, wobei Schutzgegenstand der einzelne Betroffene und nicht die Daten als solche sind.533 Datenschutzrechtliche Regelungen haben das Ziel, den Bürger vor der Beeinträchtigung von Persönlichkeitsrechten beim Umgang durch andere mit seinen personenbezogenen Daten zu schützen. Gleichzeitig soll die Akzeptanz für neue Informations- und Kommunikationstechniken gefördert werden. Geschützt werden soll der verfassungsrechtlich geschützte Anspruch des Betroffenen auf eine unantastbare Sphäre privater Lebensgestaltung. Der Einzelne soll grundsätzlich selbst über Preisgabe und Verwendung seiner persönlichen Daten entscheiden.534 Gegenstand des Datenschutzes sind demnach Informationen mit Personenbezug bzw. Informationen, zu denen ein Personenbezug hergestellt werden kann.535 ← 75 | 76 →

I.  Verfassungsrechtlicher Rechtsrahmen im Grundgesetz

Datenschutz ist im deutschen Grundgesetz nicht explizit geregelt. Vielmehr wird der Schutz der Privatsphäre und der personenbezogenen Daten des Einzelnen im allgemeinen Persönlichkeitsrecht536 in seiner Ausprägung als Recht auf informationelle Selbstbestimmung und in weiteren Grundrechten537 geregelt. Ergänzt wird das Recht auf informationelle Selbstbestimmung durch das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme.538

Das Recht auf informationelle Selbstbestimmung, welches sich aus dem allgemeinen Persönlichkeitsrecht heraus entwickelt hat, bildet die grundrechtliche Grundlage für das geltende Datenschutzrecht.539 Durch das Volkszählungsurteil trat das Datenschutzrecht in eine neue Phase ein, indem der Datenschutz zum ersten Mal von höchstrichterlicher Seite auf die Ebene des Grundrechts gesetzt wurde.540

1.  Grundlagen des allgemeinen Persönlichkeitsrechts

Grundsätzlich ist in Deutschland zwischen dem verfassungsrechtlich und dem zivilrechtlich geschützten allgemeinen Persönlichkeitsrecht zu unterscheiden.541 Das zivilrechtlich allgemeine Persönlichkeitsrecht stellt ein geschütztes Rechtsgut i.S.d. § 823 Abs. 1 BGB als „sonstiges Recht“ dar.542 Es leitet sich ab aus dem Schutz der Menschenwürde gem. Art. 1 Abs. 1 GG und dem Grundrecht des Art. 2 Abs. 1 GG auf freie Selbstbestimmung.543 Der Umfang des allgemeinen Persönlichkeitsrechts kann differieren, da es als Rahmenrecht über keine abschließend normierten Schutzbereiche verfügt und somit von der Rechtsprechung genauer zu bestimmen ist.544 Daher wird die Rechtswidrigkeit bei einem Eingriff in das Persönlichkeitsrecht nicht direkt indiziert, sondern sie ist durch eine umfassende Güter- und Interessenabwägung im Einzelfall zu bestimmen.545 ← 76 | 77 →

2.  Schutzbereiche des allgemeinen Persönlichkeitsrechts

Der Schutzzweck des allgemeinen Persönlichkeitsrechts liegt darin, den Einzelnen vor Eingriffen seitens des Staates und im privaten Rechtsverkehr in seinen Lebens- und Freiheitsbereich zu schützen.546 Das allgemeine Persönlichkeitsrecht aus Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG dient dabei nicht nur dem Schutz ideeller, sondern auch kommerzieller Interessen der Persönlichkeit und unterscheidet bei der Schutzbedürftigkeit zwischen den drei Bereichen Intim-, Privat- und Sozialsphäre547.548 Die Intimsphäre ist die engste Privatsphäre und erfährt daher absoluten Schutz. Zur Intimsphäre gehören die innere Gedanken- und Gefühlswelt und ihre äußeren Erscheindungsformen sowie das Sexualleben.549 Ein staatlicher Eingriff in die Intimsphäre, zu der auch der Schutz der Ehre gehört550, ist abolut unzulässig.

Zur Privatsphäre gehört das von der Öffentlichkeit abgewandte Familienleben und der Freundeskreis sowie Lebensvorgänge, die „erkennbar nicht den Blicken einer breiteren Öffentlichkeit“551 dargeboten werden sollen. Die Privatsphäre ist nicht absolut geschützt, d.h. dass eine Güter- und Interessenabwägung grundsätzlich möglich ist.552

Der Schutz der Sozialsphäre fällt geringer aus, da hierunter nicht Aktivitäten fallen, die von der Öffentlichkeit bzw. Umwelt wahrgenommen werden können. Ein zielgerichtetes Auftreten in der Öffentlichkeit erfährt keinen Schutz.553 Veröffentlicht eine Person freiwillig Details aus ihrer Intim- oder Privatsphäre, muss sie mit Eingriffen im Zuge eines berechtigten Informationsinteresses der Allgemeinheit rechnen. Allgemein gilt, „je öffentlicher und „sozialer“ eine Kommunikation ausfällt, desto weniger Schutz kann der Einzelne erwarten.“554

Daneben gibt es weitere Schutzbereiche, die in keine der drei Sphären einzuordnen sind. Von besonderer Bedeutung ist das vom BVerfG entwickelte Recht auf informationelle Selbstbestimmung, welches nachfolgend genauer untersucht werden sollen, da es in der vorliegenden Arbeit im Mittelpunkt des Interesses steht. ← 77 | 78 →

a)  Das Recht auf informationelle Selbstbestimmung

Eine besondere Ausprägung des allgemeinen Persönlichkeitsrechts aus Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG erfährt das Recht auf informationelle Selbstbestimmung. Dieses aus dem verfassungsrechtlichen allgemeinen Persönlichkeitsrecht abgeleitete Grundrecht gewährleistet „die Befugnis des Einzelnen, grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen“555.556 Das Recht auf informationelle Selbstbestimmung wurde mit dem Urteil des BVerfG am 15. Dezember 1983 begründet.557

Nach dem Urteil des BVerfG muss die informationelle Selbstbestimmung zu den Grundvoraussetzungen einer freien Persönlichkeitsentfaltung gehören und bedarf im Bereich der automatisierten Datenverarbeitung eines besonderen Schutzes, da Daten unbegrenzt abrufbar, speicherbar und mit anderen Datensammlungen ohne das Wissen des Betroffenen verbunden werden können.558 Es erkannte, dass es „unter den Bedingungen der automatisierten Datenverarbeitung kein belangloses Datum“559 gibt und machte den Schutz der Daten fortan nicht mehr von der Sphäre abhängig, aus der die Daten stammen.560 Dabei spricht das BVerfG beim Recht auf informationelle Selbstbestimmung explizit von einem Grundrecht.561

In Deutschland wird das Recht auf informationelle Selbstbestimmung vor allem im BDSG geregelt, wo es gem. § 1 Abs. 1 BDSG der Zweck dieses Gesetzes ist, „den Einzelnen davor zu schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird.“562 Das Recht auf informationelle Selbstbestimmung gilt damit nicht nur gegenüber dem Staat, sondern auch gegenüber privaten Dritten z. B. in sozialen Netzwerken und kann daher auch vor ordentlichen Gerichten geltend gemacht werden.563 ← 78 | 79 →

Einschränkungen des Rechts auf informationelle Selbstbestimmung bedürfen gem. § 4 Abs. 1 BDSG einer gesetzlichen Grundlage oder der Einwilligung des Betroffenen für die Verwendung seiner Daten564 (sog. Verbot mit Erlaubnisvorbehalt565). Jede Datenverarbeitung ohne gesetzliche Grundlage oder Einwilligung stellt einen Eingriff in das Recht auf informationelle Selbstbestimmung dar und eine Verletzung des allgemeinen Persönlichkeitsrechts aus Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG. Den Betroffenen werden Unterlassungsansprüche566 und Schadensersatzansprüche567 gewährt.568

Das BVerfG formulierte darüber hinaus Ausgestaltungen des Grundrechts, die sich heute in den verfassungsrechtlichen Grundprinzipien des Datenschutzrechts wiederfinden. Zu diesen Forderungen gehören eine substantielle Begrenzung der Datenerhebung und Transparenz der Datenverarbeitung, eine enge Zweckbindung sowie spezielle Verfahrensrechte wie Auskunfts-, Berichtigungs- und Löschungsrechte.569 Diese verfassungsrechtlichen Grundsätze werden an anderer Stelle näher erörtert.

Auch auf europäischer Ebene ist das Recht auf informationelle Selbstbestimmung in Art. 8 der EU-Grundrechtecharta als spezielles Datenschutzgrundrecht normiert worden.570

Besonders im Internet und speziell in sozialen Netzwerken ist das Recht auf informationelle Selbstbestimmung von besonderer Bedeutung, da eine Nutzung des Internets bzw. sozialer Netzwerke ohne eine Verarbeitung von Daten technisch nicht möglich ist.571

b)  Das Recht am eigenen Bild

Das Recht am eigenen Bild ist eine besondere Ausprägung des allgemeinen Persönlichkeitsrechts und in §§ 22 ff. Kunsturhebergesetz (KUG) geregelt.

Für das Verbreiten und Zurschaustellen von Bildnissen verlangt § 22 S. 1 KUG eine Einwilligung des Abgebildeten, d.h., die abgebildete Person darf selbst entscheiden, ob und inwieweit Dritte ihr Bild öffentlich verwenden dürfen (Selbstbestimmungsrecht des Abgebildeten). Damit steht das Recht am eigenen Bild dem Abgebildeten und nicht dem Urheber zu, womit es ein Persönlichkeits- und kein Urheberrecht ist.572 Die Verbreitung und öffentliche Zurschaustellung kann auch ← 79 | 80 → ohne Einwilligung erfolgen, wenn ein Ausnahmetatbestand gem. § 23 Abs. 1 KUG greift. Darunter fallen u.a. Bildnisse aus der Zeitgeschichte prominenter Persönlichkeiten573.

Bei Verletzung eines berechtigten Interesses des Abgebildeten durch die Verbreitung greift gem. § 23 Abs. 2 KUG kein Ausnahmetatbestand. Das Recht am eigenen Bild erstreckt sich zudem nicht nur auf ideelle Bereiche, sondern umfasst auch kommerzielle Interessen.574

c)  Das Recht auf Integrität und Vertraulichkeit

Mit seinem Urteil vom 27. Februar 2008 zur Online-Durchsuchung575 entwickelte das BVerfG das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme als weitere Ausprägung des allgemeinen Persönlichkeitsrechts. Es schützt vor Eingriffen Dritter in informationstechnische Systeme, soweit deren Schutz nicht durch andere Grundrechte576 oder das Recht auf informationelle Selbstbestimmung gewährleistet ist, und hat damit eine ergänzende Funktion.577 Darüber hinaus schützt es das Interesse des Nutzers, dass die von einem vom Schutzbereich erfassten informationstechnischen System erzeugten, verarbeiteten und gespeicherten Daten vertraulich bleiben.“578 Ausschlaggebend für die Schaffung dieses neuen Grundrechts war die Entwicklung in der Informationstechnik und der damit einhergehenden steigenden Bedeutung von informationstechnischen Systemen wie Personalcomputern, Notebooks, Smartphones oder Tablets für die Lebensführung vieler Bürger.579 Diese Systeme ermöglichen im alltäglichen Leben die Erzeugung, Verarbeitung und Speicherung einer Vielzahl an unterschiedlichen Daten der Bürger, dessen sie sich oftmals nicht bewusst sind.580 Diese und gerade auch die zunehmende Möglichkeit des Datenaustauschs und der Vernetzung über soziale Netzwerke ist für die Persönlichkeitsentfaltung von großer Bedeutung geworden, gleichzeitig führt dies aber auch zu einer neuen Persönlichkeitsgefährdung.581 Nutzer sind häufig überfordert, sich effektiv vor Missbrauch ihrer Daten zu schützen, da die informationstechnischen Systeme mittlerweile sehr komplex ← 80 | 81 → sind.582 Das BVerfG sieht daher ein erhebliches Schutzbedürfnis des Einzelnen583 und stärkt mit dem Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme den Grundsatz der Transparenz zur Sicherung des Selbstbestimmungsrechts des Betroffenen.584

II.  Gesetzliche Regelungen

Das deutsche Datenschutzrecht ist wie bereits erwähnt ein Nebeneinander allgemeiner (BDSG und LDSG) und bereichsspezifischer (z. B. TMG und TKG) Normen. Deutschland ist als Mitglied der EU gesetzlich an die vereinbarten Richtlinien des Gemeinschaftsrechts gebunden, so dass im Zuge der europaweiten Harmonisierung des Datenschutzrechts die Vorgaben der DSRL mit dem BDSG, einbegriffen dessen Novellierungen, umgesetzt wurden. Das BDSG ist somit die Grundlage des deutschen Datenschutzrechts und findet gem. § 1 Abs. 3 BDSG immer dann Anwendung, wenn keine spezielleren, bereichsspezifischen Regelungen anwendbar sind, d.h., das BDSG wird subsidiär angewandt und hat eine Auffangfunktion.585 Neben dem TMG und TKG gibt es eine Vielzahl weiterer bereichsspezifischer Regelungen586, was das Datenschutzrecht in Deutschland nahezu unüberschaubar macht und eine Einordnung in den richtigen Regelungszusammenhang in der Praxis oftmals erschwert.587

Datenschutzvorschriften, die dem Schutz der Nutzer und ihrer personenbezogenen Daten in sozialen Netzwerken dienen, sind im BDSG und TMG verankert. Nachfolgend sollen daher beide Gesetze ausführlich betrachtet werden.

1.  Bundesdatenschutzgesetz (BDSG)

Im Jahr 1978 trat das erste bundesweit gültige „Gesetz zum Schutz vor Missbrauch personenbezogener Daten bei der Datenverarbeitung (Bundesdatenschutzgesetz – BDSG)“ in Kraft.588 Das BDSG wurde erstmals 1991589 und erneut im Jahr 2001590 im Zuge der Anpassung an die Regelungen der europäischen DSRL umfangreich novelliert.591 Die jüngste Überarbeitung des Gesetzes erfolgte im Jahr 2009592. Grundlage ← 81 | 82 → ist weiterhin die europäische DSRL. Wie bereits weiter oben ausgeführt,593 hat die DSRL eine vollharmonisierende Wirkung, womit ein einheitliches Schutzniveau in Europa geschaffen werden soll. Dies bedeutet, dass die Regelungen des BDSG richtlinienkonform ausgelegt werden müssen und nicht über die Regelungen der DSRL hinausgehen dürfen.594

Zweck des BDSG ist es gem. § 1 Abs. 1 „den Einzelnen davor zu schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird.“595 Anders ausgedrückt stellt das BDSG den Schutz vor den Folgen, die eine Verarbeitung personenbezogener Daten für Betroffene haben kann, sicher.596

Anders als die DSRL unterscheidet das BDSG gem. § 1 Abs. 2 grundsätzlich zwischen einer Datenverarbeitung im öffentlichen und einer im nicht-öffentlichen Bereich. Da die Anbieter sozialer Netzwerke als private Unternehmen dem nicht-öffentlichen Bereich zuzuordnen sind, soll sich im Folgenden auch auf diesen Bereich innerhalb des BDSG konzentriert werden. Die datenschutzrechtlichen Grundsätze der Datenvermeidung, Datensparsamkeit, Zweckbindung, Datensicherheit, des Verbots mit Erlaubnisvorbehalt und der Transparenz gelten jedoch sowohl für öffentliche als auch nicht-öffentliche Stellen.

a)  Sachlicher Anwendungsbereich

Die Bestimmungen des BDSG beziehen sich ausschließlich auf den Schutz personenbezogener Daten, daher ist dieser Begriff von zentraler Bedeutung. Dieser und weitere Begriffsdefinitionen wurden im Wesentlichen von der DSRL übernommen, sollen im Folgenden jedoch ebenso wie der sachliche Anwendungsbereich für nicht-öffentliche Stellen genauer erläutert werden.

aa)  Personenbezogene Daten

Das BDSG findet gem. § 1 Abs. 1 Anwendung auf den Umgang mit personenbezogenen Daten i.S.d. § 3 Abs. 1 BDSG597, der besagt, dass es sich bei personenbezogenen Daten um „Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person“598 handelt, sowohl für öffentliche als auch nicht-öffentliche Stellen und unabhängig von der Darstellungsart (analog, digital, Schrift, Zeichen, Bild oder Ton).599 Einzelangaben sind Informationen wie z. B. Namen, Adresse, Fotos, Familienstand, Beruf, Einkommen, Telefonnummer, ← 82 | 83 → die sich auf eine bestimmte oder bestimmbare Person beziehen oder geeignet sind, einen Bezug zu ihr herzustellen.600 Diese Daten dürfen nicht für jedermann frei verfügbar sein, um das Selbstbestimmungsrecht der betroffenen Person nicht zu beeinträchtigen. Laut BVerfG601 gibt es keine Abstufung zwischen mehr oder weniger schützenswerten Daten und damit ist bspw. die E-Mail Adresse nicht weniger schützenswert als die Augenfarbe.602

Analog zu Art. 8 DSRL enthält das BDSG in § 3 Abs. 9 Regelungen für besondere Arten personenbezogener Daten wie z. B. Angaben über Gesundheit, politische Überzeugung, ethnische Herkunft, religiöse Ausrichtung oder das Sexualleben. Die Voraussetzungen einer Verarbeitung dieser Daten entsprechen denen der DSRL gem. Art. 8 DSRL.

(1)  Anonymisierte Daten

In § 3 Abs. 6 BDSG wird der Begriff der Anonymisierung legaldefiniert, wonach Daten anonym sind, wenn sie „nicht mehr oder nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können“603. Zweck anonymer Daten ist demnach die Beseitigung des Personenbezugs eines Datums, um dieses uneingeschränkt bzw. ohne Berücksichtigung von Datenschutzvorschriften zu nutzen. Dabei wird zwischen zwei Arten der Anonymisierung unterschieden:

Bei der absoluten Anonymisierung werden Identifikationsmerkmale wie Name oder Anschrift gelöscht, so dass kein Personenbezug mehr hergestellt werden kann.604 Auch bei den Fällen, bei denen eine bestimmte Merkmalausprägung einer Person innerhalb einer Gruppe (z. B. Alter 60) vorliegt, muss diese Angabe gelöscht oder verallgemeinert werden (z. B. Alter über 60).605

Bei der faktischen Anonymisierung werden Daten so verändert, dass sie nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft von der verantwortlichen Stelle wieder hergestellt werden können.606

Sowohl bei der absoluten als auch bei der faktischen Anonymisierung handelt es sich nicht mehr um personenbezogene Daten, so dass das BDSG nicht anwendbar ist.607 ← 83 | 84 →

(2)  Pseudonymisierte Daten

Ein Pseudonym, also ein „Deckname“, hat den Zweck die wahre Identität zu verbergen.608 Gem. § 3 Abs. 6a BDSG ist Pseudonymisieren „das Ersetzen des Namens und anderer Identifikationsmerkmale durch ein Kennzeichen zu dem Zweck, die Bestimmung des Betroffenen auszuschließen oder wesentlich zu erschweren.“609

Beim reversiblen Pseudonymisierungsverfahren ermöglicht eine Zuordnungsregel, den Personenbezug der Daten wiederherzustellen (Reidentifizierung).610 Im Unterschied dazu haben anonymisierte Daten das Ziel, die Zuordnung zu einer Person möglichst dauerhaft zu unterbinden. Ob bei einem reversiblen Pseudonymisierungsverfahren ein Personenbezug hergestellt werden kann, hängt von der Art des Pseudonyms ab:

Bei selbst generierten Pseudonymen, bei dem sich der Betroffene das Pseudonym selbst vergibt anstatt seinen wahren Namen zu verwenden, fallen die Daten nicht in den Anwendungsbereich des BDSG, da die Rückidentifizierung nur durch die Person selbst erfolgen kann.611

Wird das Pseudonym von einer dritten Stelle vergeben, die auch die Zuordnungsregel verwaltet bzw. kennt, handelt es sich bei den pseudonymisierten Daten um personenbezogene Daten gegenüber dieser Stelle.612

Es gibt auch die Möglichkeit der irreversiblen Pseudonymisierung, was einer Anonymisierung faktisch gleich kommt und bedeutet, dass das BDSG auf diese Daten nicht mehr anwendbar ist.613

bb)  Umgang mit personenbezogenen Daten

Wie bereits erläutert, versteht die europäische DSRL unter dem Begriff „Verarbeitung“ jeden Umgang mit personenbezogenen Daten.614 Das BDSG hingegen unterscheidet zwischen den drei Phasen „Erheben“, „Verarbeiten“ und „Nutzen“ von personenbezogenen Daten, d.h., dass die Phasen des Erhebens und Nutzens nicht vom Begriff des Verarbeitens umfasst sind. In § 1 Abs. 1 verwendet das BDSG den Begriff „Umgang“ mit personenbezogenen Daten als Oberbegriff für die drei Phasen und seine Unterphasen des Erhebens, Verarbeitens (Speichern, Verändern, Übermitteln, Sperren, Löschen) und Nutzens.615 Jeder der drei Phasen des Datenumgangs wird im BDSG gesondert definiert. ← 84 | 85 →

(1)  Erheben

Nach der Legaldefinition gem. § 3 Abs. 3 BDSG ist Erheben „das Beschaffen von Daten über den Betroffenen“616, eine Aktivität, durch die der Erhebende Kenntnis von den betreffenden Daten oder die Verfügungsmacht darüber erhält. Das Erheben von Daten kann sowohl automatisiert (z. B. mittels Social Plugins617) als auch manuell zum Zwecke der Speicherung in einer Datei erfolgen und wird als Voraussetzung für die anschließende Verarbeitung angesehen. Erforderlich ist aber immer ein zielgerichtetes Beschaffen der Daten durch die verantwortliche Stelle,618 sie muss also eine Erhebung der Daten aktiv und mit einem zurechenbaren Willen vornehmen.619 So ist das Abfragen von Cookies durch einen Anbieter eines sozialen Netzwerks als Erheben einzustufen. Dies soll an anderer Stelle genauer betrachtet werden.620

(2)  Verarbeiten

Verarbeiten ist nach § 3 Abs. 4 S. 1 BDSG das „Speichern, Verändern, Übermitteln, Sperren und Löschen personenbezogener Daten.“621 Insofern umfasst der Begriff Verarbeiten nicht die Phasen der Erhebung und Nutzung.622

(2.1)  Speichern

Gem. § 3 Abs. 4 S. 2 Nr. 1 BDSG ist Speichern „das Erfassen, Aufnehmen oder Aufbewahren personenbezogener Daten auf einem Datenträger zum Zwecke ihrer weiteren Verarbeitung oder Nutzung.“623 Ein Datenträger kann dabei jedes Medium sein, auf dem Daten lesbar festgehalten werden können wie bspw. Server oder Festplatten.624 Die Zweckbestimmung der Speicherung richtet sich auf das weitere Verarbeiten oder Nutzen, bis der Speicherungszweck entfällt.625

(2.2)  Verändern

Verändern bedeutet gem. § 3 Abs. 4 S. 2 Nr. 2 BDSG „das inhaltliche Umgestalten gespeicherter personenbezogener Daten“626, bei denen sich dadurch der Informationswert ändert und durch den Verlust des bisherigen Kontextes ein neuer Informationsgehalt ← 85 | 86 → geschaffen wird, etwa durch Hinzufügen neuer Daten, durch teilweise Löschung oder durch Verknüpfung mit anderen personenbezogenen Daten. Ein Datum kann inhaltlich ganz oder teilweise verändert werden. Eine Umgestaltung ohne Änderung des Informationsgehalts ist keine Veränderung.627

(2.3)  Übermitteln

Nach § 3 Abs. 4 S. 2 Nr. 3 BDSG ist „Übermitteln das Bekanntgeben gespeicherter oder durch Datenverarbeitung gewonnener personenbezogener Daten an einen Dritten“628, bzw. ein Dritter erlangt in die zum Abruf bereitgehaltenen Daten Einsicht oder ruft sie ab.629 Dies gilt auch, wenn die Bekanntgabe der Daten nicht an eine einzelne, bestimmte Person erfolgt. Zudem ist es unerheblich, in welcher Form (schriftlich, mündlich, elektronisch etc.) die Weitergabe erfolgt.630 Eine Datenübertragung innerhalb einer verantwortlichen Stelle ist keine Übermittlung. Die Weiterleitung personenbezogener Daten bspw. an ein Tochterunternehmen eines Konzerns stellt jedoch eine Übermittlung dar, da das BDSG kein Konzernprivileg kennt.631

(2.4)  Sperren

§ 3 Abs. 4 S. 2 Nr. 4 BDSG definiert Sperren als „das Kennzeichnen gespeicherter personenbezogener Daten, um ihre weitere Verarbeitung oder Nutzung einzuschränken.“632 Das Ziel des Sperrens ist es, die Daten zukünftig nur noch eingeschränkt oder gar nicht mehr zu nutzen.633 Grundsätzlich besteht eine Sperrungspflicht, wenn gesetzliche, satzungsmäßige oder vertragliche Aufbewahrungsfristen einer Löschung entgegenstehen, wenn durch eine Löschung schutzwürdige Interessen eines Betroffenen beeinträchtigt würden oder wenn eine Löschung nicht oder nur mit einem unverhältnismäßig hohen Aufwand erfolgen kann.634 Daten müssen außerdem gesperrt werden, wenn der Betroffene ihre Richtigkeit bestreitet und sich weder die Richtigkeit noch die Unrichtigkeit feststellen lässt (sog. „non-liquet“- Fall635).636 Darüber hinaus hat der Widerspruch eines Betroffenen eine sperrende Wirkung bspw. wenn „das schutzwürdige Interesse des Betroffenen wegen seiner besonderen persönlichen Situation das Interesse der verantwortlichen Stelle (…) ← 86 | 87 → überwiegt“637, es sei denn, es besteht eine Verpflichtung durch eine Rechtsvorschrift zur Erhebung, Verarbeitung oder Nutzung.638

Das Sperren ist reversibel, das bedeutet, die gesperrten Daten können wieder les- und nutzbar gemacht werden. Grundsätzlich ist dazu die Einwilligung des Betroffenen notwendig, die schriftlich erfolgen sollte, damit der Betroffene seine Entscheidung überdenken kann.639 Die Zweckbindung wird nach § 35 Abs. 8 Nr. 1 BDSG so ausgelegt, dass gesperrte Daten ohne Einwilligung des Betroffenen nur übermittelt oder genutzt werden dürfen, „wenn es zu wissenschaftlichen Zwecken, zur Behebung einer bestehenden Beweisnot640 oder aus sonstigen im überwiegenden Interesse der verantwortlichen Stelle oder eines Dritten liegenden Gründen unerlässlich ist“641.642

Das BDSG schreibt nicht vor, auf welche Art und Weise das Sperren von Daten erfolgen soll. Wichtig ist dabei nur, dass die Kennzeichnungsform den Zugriff, die Verarbeitung und Nutzung der gesperrten Daten tatsächlich einschränkt.643

(2.5)  Löschen

Gem. § 3 Abs. 4 S. 2 Nr. 5 BDSG ist unter dem Begriff „Löschen das Unkenntlichmachen gespeicherter personenbezogener Daten“644 zu verstehen. Auch hier schreibt das Gesetz nicht vor, auf welche Art und Weise das Löschen von Daten erfolgen soll. Dies kann sowohl durch Vernichtung oder Zerstörung des Datenträgers als auch durch Anonymisierung oder Pseudonymisierung erfolgen, sofern dabei der Personenbezug aufgehoben wird. Ziel einer Löschung ist, dass die Daten nicht mehr wiederhergestellt werden können bzw. dies nur mit unverhältnismäßigen Mitteln erfolgen kann.645

Gem. § 35 Abs. 2 S. 1 BDSG hat die verantwortliche Stelle eine generelle Erlaubnis, gespeicherte Daten zu löschen, sofern nicht eine gesetzliche, satzungsmäßige oder vertragliche Pflicht zur Aufbewahrung von Daten besteht und die Löschung nicht schutzwürdige Interessen des Betroffenen beeinträchtigt.646 Eine Pflicht zur ← 87 | 88 → Löschung der Daten besteht, wenn die Speicherung der Daten unzulässig war, die Richtigkeit der Daten nicht bewiesen werden kann, der Zweck ihrer Speicherung erreicht wurde und ihre Kenntnis für die Erreichung des Zwecks nicht mehr erforderlich ist oder sie geschäftsmäßig zum Zwecke der Übermittlung (z. B. Marketingmaßnahmen) verarbeitet werden.647

(3)  Nutzen

In § 3 Abs. 5 BDSG ist bei dem Begriff Nutzen jede Verwendung personenbezogener Daten gemeint, die nicht mit der Verarbeitung648 der Daten erklärt wird.649 Das Nutzen von personenbezogenen Daten gilt als „Auffangtatbestand“, d.h., er erfasst jeden zielgerichteten Umgang oder Gebrauch von personenbezogenen Daten, der nicht den fünf Formen der Verarbeitung zugewiesen werden kann.650 Entscheidend ist die Nutzung des Informationsgehalts, welcher in seiner Eigenschaft als personenbezogene Information verwendet wird. Nutzen der Daten bedeutet hier die Auswertung, die Zusammenstellung, der Abruf oder die zielgerichtete Kenntnisnahme von Daten. Unerheblich ist es, wer die Daten nutzt, zu welchem Zweck es geschieht und ob die Daten zur Kenntnis genommen werden.651 Ebenso wie die Datenerhebung oder die Datenverwendung wird auch die Datennutzung nach § 4 Abs. 1 BDSG als unter dem Verbot mit Erlaubnisvorbehalt stehende eigenständige Phase des Umgangs mit personenbezogenen Daten definiert.652

(4)  Automatisierte Datenverarbeitung

Das BDSG findet gem. § 1 Abs. 2 Nr. 3 und § 27 Abs. 1 S. 1 auf personenbezogene Daten im nicht-öffentlichen Bereich grundsätzlich nur Anwendung, wenn diese unter Einsatz von Datenverarbeitungsanlagen verarbeitet werden, etwa von Computern, Netzwerken und digitalen Bildverarbeitungssystemen, genutzt oder erhoben werden.653 Der Begriff „automatisierte Datenverarbeitung“ umfasst gem. § 3 Abs. 2 BDSG die durch technische Datenverarbeitungsanlagen erfolgende Erhebung, Verarbeitung oder Nutzung personenbezogener Daten und entspricht damit dem Verarbeitungsbegriff der DSRL.654 ← 88 | 89 →

Abb.3: Umgang mit personenbezogenen Daten nach europäischer und deutscher Definition.

image2

Quelle: Eigene Darstellung in Anlehnung an Kühling, Seidel, Sivridis, 2011, S. 96.

cc)  Verantwortliche Stelle

Anders als die DSRL, die in Art. 2 lit. d S. 1 den für die Verarbeitung Verantwortlichen als „die natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle, die allein oder gemeinsam mit anderen über Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet“655, definiert, nimmt das BDSG in § 3 Abs. 7 eine engere Definition vor, die besagt, dass „jede Person oder Stelle, die personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen lässt“, eine verantwortliche Stelle ist.656 Der Begriff verantwortliche Stelle muss demnach richtlinienkonform ausgelegt werden.657

b)  Räumlicher Anwendungsbereich

In § 1 Abs. 5 BSDG wird der räumliche Anwendungsbereich für grenzüberschreitende Sachverhalte geregelt. In Umsetzung des Art. 4 Abs. 1 DSRL658 geht das BDSG in § 1 Abs. 5 BDSG von der Anwendung des Sitzprinzips aus und verdrängt das grundsätzlich im öffentlichen Recht geltende Territorialitätsprinzip, wonach sich ← 89 | 90 → das anzuwendende nationale Recht nach dem Ort der Erhebung, Verarbeitung und Nutzung der personenbezogenen Daten richtet. Nach § 1 Abs. 5 S. 1 BDSG gilt das deutsche Datenschutzrecht, wenn die verantwortliche Stelle ihren Sitz in Deutschland hat und Daten in Deutschland erhebt, verarbeitet und nutzt, oder aber die verantwortliche Stelle ihren Sitz in einem EU-Mitgliedstaat hat, eine Niederlassung in Deutschland betreibt und dort personenbezogene Daten erhebt, verarbeitet oder nutzt.659 Eine Niederlassung stellt für das BDSG gem. § 3 Abs. 7 BDSG keine eigene verantwortliche Stelle dar, weil die geforderte Kompetenz, über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten zu entscheiden, bei Niederlassungen nicht generell unterstellt werden kann.660

§ 1 Abs. 5 S. 1 BDSG findet keine Anwendung bei einer in Deutschland durchgeführten Auftragsdatenverarbeitung einer verantwortlichen Stelle mit Sitz in der EU bzw. im EWR, da die Tätigkeit hier der verantwortlichen Stelle zugeordnet wird, d.h., dass das jeweilige Recht des europäischen Sitzstaates zur Anwendung kommt.661 Diese Regelung soll Unternehmen den Geschäftsverkehr bei grenzüberschreitenden Tätigkeiten erleichtern, indem sie lediglich die Rechtsordnung des Sitzlandes zum Datenschutz beachten müssen und nicht stets das Datenschutzrecht des jeweiligen Betätigungslandes.662

Nach § 1 Abs. 5 S. 2 BDSG gilt das Sitzprinzip nicht für verantwortliche Stellen, die ihren Sitz in Drittstaaten haben und in Deutschland personenbezogene Daten erheben, verarbeiten oder nutzen, sondern es gilt hier wieder das Territorialitätsprinzip.

Nach Art. 4 Abs. 1 lit. c DSRL muss nationales Datenschutzrecht nur angewandt werden, wenn die ausländische verantwortliche Stelle auf „automatisierte oder nicht automatisierte Mittel zurückgreift, die im Hoheitsgebiet des betreffenden Mitgliedstaates belegen sind“.663 Gemäß § 1 Abs. 5 S. 2 BDSG findet hingegen nationales Datenschutzrecht für jede Erhebung, Verarbeitung und Nutzung personenbezogener Daten in deutschem Hoheitsgebiet Anwendung. Im Rahmen einer europarechtskonformen Auslegung von § 1 Abs. 5 S. 2 BDSG müssen die Voraussetzungen von Art. 4 Abs. 1 lit. c DSRL berücksichtigt und in die deutsche Regelung hineingelesen werden.664 ← 90 | 91 →

Mit dieser Regelung soll sichergestellt werden, dass der Standard des deutschen Datenschutzrechts unabhängig vom Schutzniveau des Drittlandes eingehalten wird.665

Nach § 1 Abs. 5 S. 3 BDSG ist von der verantwortlichen Stelle im Rahmen einer Datenverarbeitung aus einem Drittstaat die Ernennung eines im Inland ansässigen Vertreters erforderlich. Ziel der Bestimmung eines Inlandvertreters ist, dass deutsche Aufsichtsbehörden und Betroffene einen direkten Ansprechpartner haben.666 Auch Art. 4 Abs. 2 DSRL verlangt die Nennung eines im Hoheitsgebiet des genannten Mitgliedstaates ansässigen Vertreters.667

Sofern „Datenträger nur zum Zweck des Transits durch das Inland eingesetzt werden“668 ist das BDSG gem. § 1 Abs. 5 S. 4 BDSG nicht anwendbar. § 1 Abs. 5 S. 4 BDSG gilt unabhängig davon, ob der Transit in einem EU bzw. EWR-Land oder einem Drittstaat beginnt oder endet.669

Gem. § 1 Abs. 5 S. 5 BDSG bleiben die Kontrollrechte der Aufsichtsbehörden bestehen, auch bei Anwendung des ausländischen Rechts innerhalb Deutschlands.670

c)  Allgemeine Grundsätze

Ausgehend vom Recht auf informationelle Selbstbestimmung geht das BDSG wie auch die DSRL von wesentlichen Prinzipien des Datenschutzrechts aus. Sie gelten sowohl für allgemeine als auch für bereichsspezifische Datenschutzregelungen und sollen im Folgenden erläutert werden.

aa)  Erlaubnisvorbehalt

Wie auch die DSRL671 geht das BDSG vom Verbotsprinzip mit Erlaubnisvorbehalt aus, d.h., dass grundsätzlich jede Art der Verarbeitung von personenbezogenen Daten verboten ist, es sei denn, es liegt eine Einwilligung des Betroffenen672 selbst oder ein gesetzlicher Erlaubnistatbestand vor.673 Wirksamkeitsvoraussetzungen der datenschutzrechtlichen Einwilligung werden in § 4a BDSG normiert. Eine Einwilligung ist gem. § 4a Abs. 1 BDSG wirksam, sofern sie auf einer freien Entscheidung des Betroffenen beruht, der Betroffene über den Zweck der Datenverarbeitung und die Folgen einer Verweigerung informiert wird und die Einwilligung in „Schriftform, ← 91 | 92 → soweit nicht wegen besonderer Umstände eine andere Form angemessen ist“674, abgegeben wird.675 Die Einwilligung ist bei schriftlicher Erteilung zusammen mit anderen Erklärungen besonders hervorzuheben.676 Für die Einwilligung zu Werbezwecken ist zusätzlich § 28 Abs. 3a BDSG zu beachten. Hier gilt das sog. Koppelungsverbot nach § 28 Abs. 3b BDSG.677 Danach wird der verantwortlichen Stelle untersagt, den Abschluss eines Vertrages von einer Einwilligung für Werbezwecke abhängig zu machen, „wenn dem Betroffenen ein anderer Zugang zu gleichwertigen vertraglichen Leistungen ohne die Einwilligung nicht oder nicht in zumutbarer Weise möglich ist.“678

Liegt keine Einwilligung vor, kann die Verarbeitung personenbezogener Daten jedoch aufgrund eines Erlaubnistatbestands zulässig sein.679 Hier kommen zunächst bereichsspezifische Vorschriften in Betracht, die dem BDSG als lex specialis vorgehen. Findet sich dort keine Vorschrift, kann für nicht-öffentliche Stellen wie soziale Netzwerke auf die Erlaubnistatbestände in den §§ 28 ff. BDSG zurückgegriffen werden.680

Nach § 28 Abs. 1 S. 1 BDSG ist „das Erheben, Speichern, Verändern oder Übermitteln personenbezogener Daten oder ihre Nutzung als Mittel für die Erfüllung eigener Geschäftszwecke“681 zulässig, wenn dies für die „Begründung, Durchführung oder Beendigung eines rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnisses“682 bzw. „zur Wahrung berechtigter Interessen der verantwortlichen Stelle erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Verarbeitung oder Nutzung überwiegt“683, oder „die Daten allgemein zugänglich sind“684. Dabei muss gem. § 28 Abs. 1 S. 2 BDSG bei Erhebung und Speicherung der Daten der Zweck festgelegt werden, der nur unter bestimmten Ausnahmen geändert werden darf.685 ← 92 | 93 →

Nach § 28 Abs. 3 BDSG ist eine Datenverarbeitung u.a. für Werbezwecke zulässig, sofern eine Einwilligung des Betroffenen vorliegt.686

§ 29 Abs. 1 und Abs. 2 BDSG erlauben das „Erheben, Speichern, Verändern oder Nutzen personenbezogener Daten zum Zweck der Übermittlung“687, insbesondere zu Werbezwecken, d.h., dass die verantwortliche Stelle kein eigenes geschäftliches Interesse an den Daten hat.688 Im Rahmen sozialer Netzwerke wird dies in Kapitel vier ausführlicher betrachtet. Mit Inkrafttreten der Datenschutz-Grundverordnung würde Art. 6 DS-GVO die §§ 28 ff. BDSG und die bereichsspezifischen Vorschriften komplett ersetzen, da die Mitgliedstaaten, wie erwähnt, nicht zur Ausgestaltung der Regelungen befugt wären. Rechtsunsicherheit und eine Schwächung des Grundrechtsschutzes wären die Folge.

Eine Erlaubnis für eine Datenverarbeitung gestattet § 1 Abs. 2 Nr. 3 BDSG ausschließlich für persönliche oder familiäre Tätigkeiten.689 Für diese Ausnahmeregelung gilt eine restriktive Auslegung, um den Schutz personenbezogener Daten zu gewährleisten.690

bb)  Zweckbindung

Ein zentraler Punkt der informationellen Selbstbestimmung definiert, dass personenbezogene Daten nur für bestimmte Zwecke genutzt werden dürfen., d.h., die Daten dürfen nur zu dem Zweck, zu dem sie erhoben worden sind, verarbeitet bzw. genutzt werden.691 Weiterhin muss dem Betroffenen dieser Zweck mitgeteilt werden.692

Dieser Grundsatz der Zweckbindung gilt sowohl für private als auch für öffentliche Bereiche. Sowohl rechtmäßig erlangte Personendaten als auch administrativ gespeicherte Daten dürfen nicht zu beliebigen anderen Zwecken genutzt werden.693

cc)  Transparenz

Der Grundsatz der Transparenz hat das Ziel, dem Betroffenen das Wissen zu verschaffen, wer welche Daten zu welchem Zweck verarbeitet. Liegt ein Erlaubnistatbestand vor, so gilt der Grundsatz der Direkterhebung gem. § 4 Abs. 2 BDSG, der dem Grundsatz der Transparenz dient. Danach müssen die Daten direkt beim Betroffenen erhoben werden.694 Dabei ist die verantwortliche Stelle auf die Mitwirkung des ← 93 | 94 → Betroffenen angewiesen, Ausnahmen regelt § 4 Abs. 2 S. 2 BDSG. Darüber hinaus muss der Betroffene gem. § 4 Abs. 3 BDSG über die Identität der verantwortlichen Stelle und den Zweck der Erhebung, Verarbeitung oder Nutzung unterrichtet werden, sofern die Daten beim Betroffenen erhoben werden.695 Werden die Daten nicht beim Betroffenen erhoben, besteht eine Benachrichtigungspflicht bei erstmaliger Speicherung und Übermittlung gem. § 33 BDSG.696 Der Betroffene hat gem. § 34 BDSG ein Auskunftsrecht über die Erhebung, Verarbeitung und Nutzung seiner personenbezogenen Daten697, welches die Ausgangsbasis weiterer Rechte z. B. Recht auf Berichtigung, Löschung und Sperrung von Daten gem. § 35 BDSG darstellt.698 Diese Rechte wurden bereits vorangegangen ausführlich erläutert.

dd)  Datenvermeidung und Datensparsamkeit

§ 3a BDSG regelt den Grundsatz der Datenvermeidung und Datensparsamkeit, der nicht aufgrund der DSRL, sondern vom deutschen Gesetzgeber eigeninitiativ aufgenommen wurde. Der Grundsatz der Datenvermeidung und Datensparsamkeit konkretisiert das von der DSRL geforderte Erforderlichkeitsprinzip in Art. 6 Abs. 1 lit. c DSRL699 und soll das Recht des Betroffenen auf informationelle Selbstbestimmung präventiv schützen (sog. „privacy by design“700).701 Der Grundsatz der Datenvermeidung und Datensparsamkeit gilt für jede Phase des Datenumgangs, sofern keine gesetzliche Spezialregelung anwendbar ist.702

ee)  Datensicherheit

In § 9 BDSG werden die für die Verarbeitung Verantwortlichen verpflichtet, erforderliche technische und organisatorische Maßnahmen zu treffen, die eine Einhaltung der sog. „acht Gebote der Datensicherheit“703, die in der Anlage des BDSG ausführlich erläutert werden, gewährleistet.704 Wie auch Art. 17 DSRL soll § 9 BDSG den ordnungsgemäßen Ablauf der Datenverarbeitung durch Sicherung der Hard- und Software sowie der Daten an sich schützen.705 ← 94 | 95 →

ff)  Datenschutzkontrolle

Die DSRL verlangt gem. Art. 28 Abs. 1 DSRL primär eine externe unabhängige Kontrollstelle, die die Einhaltung der Datenschutzregelungen überwacht.706 Die interne Kontrolle durch einen betrieblichen Datenschutzbeauftragten ist dabei zweitrangig und optional. Das BDSG hingegen verpflichtet die verantwortlichen Stellen gem. § 4f Abs. 1 S. 1 BDSG zu einer Bestellung eines Datenschutzbeauftragten. Voraussetzung ist jedoch gem. § 4f Abs. 1 S. 3 BDSG, dass mehr als neun Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sein müssen. Unterliegen die Verarbeitungen jedoch einer Vorabkontrolle oder werden die Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung automatisiert verarbeitet, gilt diese Voraussetzung wieder nicht.707 In erster Linie obliegt dem Datenschutzbeauftragten gem. § 4g Abs. 1 S. 1 BDSG die Hinwirkung auf die Einhaltung der Datenschutzvorschriften, eine rechtliche Verantwortung hat weiterhin die verantwortliche Stelle.708

Die in § 4d Abs. 5 BDSG geregelte Pflicht der Vorabkontrolle durch den betrieblichen Datenschutzbeauftragten, die durchgeführt werden soll, sofern sensible Daten nach § 3 Abs. 9 BDSG betroffen sind oder die Datenverarbeitung dazu bestimmt ist, die Persönlichkeit des Betroffenen, einschließlich seiner Fähigkeiten, Leistungen oder seines Verhaltens zu bewerten, wird mit Einführung der Folgenabschätzung der DS-GVO in Art. 35 DS-GVO wegfallen müssen.709

Neben der internen Datenschutzkontrolle gibt es auch unabhängige externe Datenschutzbehörden. Für nicht-öffentliche Stellen sind dies die von den Landesregierungen ermächtigten Datenschutzaufsichtsbehörden, die gem. § 38 BDSG für die Einhaltung des BDSG und anderer datenschutzrechtlicher Vorschriften verantwortlich sind. Die Landesdatenschutzbeauftragten haben gem. § 38 Abs. 3 und 4 BDSG Untersuchungs- und Anzeigebefugnisse und können gem. § 38 Abs. 5 BDSG bei schwerwiegenden Verstößen, die mit einer Gefährdung des Persönlichkeitsrechts verbunden sind, die Beseitigung der Verstöße anordnen. § 43 BDSG ermächtigt die Datenschutzbehörden zur Verhängung von Bußgeldern und § 44 Abs. 2 BDSG zum Stellen von Strafanträgen.710

d)  Selbstregulierung

Das BDSG setzt Art. 27 der DSRL mit § 38a um und lehnt sich stark an diesen an. So hat auch § 38a BDSG wesentlich zum Ziel, die bereichsspezifische Geltung des Datenschutzrechts zu erhöhen und einen datenschutzrechtlichen Mehrwert zu ← 95 | 96 → schaffen.711 Nach § 38a Abs. 1 BDSG können Berufsverbände und andere Vereinigungen, die bestimmte Gruppen von verantwortlichen Stellen vertreten, Entwürfe für Verhaltenskodizes (sog. Codes of Conduct) zur Förderung der Durchführung von datenschutzrechtlichen Regelungen der zuständigen Aufsichtsbehörde unterbreitet werden. Diese muss für ein positives Ergebnis der Prüfung die Vereinbarkeit mit dem geltenden Datenschutzrecht feststellen.712 Nur dann ist der Erlass eines Verwaltungsakts durch die zuständige Aufsichtsbehörde möglich, durch den die Verhaltensregeln verbindlich werden können.713 Damit darf die Selbstregulierung wie auch in Art. 27 DSRL das bestehende Datenschutzrecht nicht verändern oder ersetzen. Vielmehr handelt es sich um eine Selbstkontrolle, d.h. freiwillige Verpflichtung zum Vollzug von Vorschriften.714 Der Gesetzgeber selbst ist in seinem Gesetzesentwurf zur Änderung des BDSG vom 13. Oktober 2000 der Auffassung, dass die Verhaltensregeln „als interne Regelungen zur ordnungsgemäßen Durchführung datenschutzrechtlicher Regelungen beitragen“ sollen.715 Eine klare Definition des „Mehrwerts“ nimmt das BDSG jedoch ebenso wie die DSRL nicht vor.

Das BDSG regelt in § 9a mit dem Datenschutzaudit ein weiteres selbstregulierendes Instrument, das über die DSRL hinausgeht. Danach können Anbieter sozialer Netzwerke ihr Datenschutzmanagement bzw. ihre Verhaltensregeln freiwillig durch unabhängige Stellen prüfen und bewerten lassen.716 Ziel des Datenschutzaudits ist es, den Wettbewerb um datenschutzrechtlich einwandfreie Datenverarbeitungen und die Transparenz des Marktes zu fördern, um Nutzern die Möglichkeit zu geben, die Einhaltung der Datenschutzanforderungen bewerten und das datenschutzfreundlichste Angebot auswählen zu können. Bisher fehlt es jedoch an einem Ausführungsgesetz zum Datenschutzaudit gem. § 9a S. 2 BDSG, welches regeln soll, welche „Anforderungen an die Prüfung und Bewertung, das Verfahren sowie die Auswahl und Zulassung der Gutachter“717 gestellt sind.718

e)  Grenzüberschreitender Datenverkehr

§§ 4b, c BDSG führen die Art. 25 ff. DSRL719 aus und regeln den grenzüberschreitenden Datenverkehr sowohl für öffentliche als auch nicht-öffentliche Stellen. Für die Übermittlung personenbezogener Daten an Stellen in der EU gem. § 4b Abs. 1 BDSG gelten ← 96 | 97 → die Zulässigkeitsbeschränkungen der §§ 28 ff. BDSG, d.h., Datenübermittlungen an Stellen in der EU werden genauso behandelt wie Datenübermittlungen innerhalb Deutschlands.720

Für Datenübermittlungen an Drittländer gem. § 4b Abs. 2 BDSG gelten ebenfalls die §§ 28 ff. BDSG mit der Annahme, dass im Datenempfängerland ein angemessenes Schutzniveau gewährleistet ist. Bzgl. der Angemessenheit des Schutzniveaus hat das BDSG in § 4b Abs. 3 den Art. 25 Abs. 2 DSRL fast wortgleich übernommen.721 Ausnahmen für eine Datenübermittlung in Drittstaaten ohne angemessenes Schutzniveau werden in § 4c BDSG geregelt und entsprechen Art. 26 DSRL. Im Gegensatz zur europäischen DSRL besteht in Deutschland bei Abschluss von Standardvertragsklauseln keine Verpflichtung zur Meldepflicht bei einer Aufsichtsbehörde.722

2.  Das Telemediengesetz als bereichsspezifische Regelung

Neben den allgemeinen Regelungen des BDSG sind für den Bereich der elektronischen Medien und Kommunikationsmittel nach den Vorgaben des BVerfG aus dem Volkszählungsurteil bereichsspezifische Regelungen für den Datenschutz geschaffen worden. Zum einen werden bei der Verarbeitung von personenbezogenen Daten im Online-Bereich in erster Linie die bereichsspezifischen Datenschutzvorschriften des Telemediengesetzes in den §§ 11 ff. geltend gemacht. Dieses ist seit dem 01. März 2007 in Kraft und beinhaltet die wirtschaftsbezogenen Regelungen für Tele- und Mediendienste.723 Zum anderen gilt das im Jahr 2004 novellierte Telekommunikationsgesetz in den §§ 91 ff., welches für die datenschutzrechtlichen Regelungen im Bereich der Telekommunikation verantwortlich ist.724

Sowohl das TMG als auch das TKG führen die europäische RL 2002/58/EG in der Bundesrepublik Deutschland aus.725 Zudem dient das TMG zum Teil der Umsetzung der Richtlinie 2000/31/EG726 (ECRL). Eine konkrete Anpassung an die Cookie Richtlinie 2002/58/EG als Änderungsrichtlinie der RL 2002/58/EG fand bisher nicht statt.

Gem. der Negativabgrenzung in § 1 Abs. 1 TMG fallen in den Anwendungsbereich des TMG „alle elektronischen Informations- und Kommunikationsdienste, soweit sie nicht Telekommunikationsdienste nach § 3 Nr. 24 des Telekommunikationsgesetzes, die ganz in der Übertragung von Signalen über Telekommunikationsnetze bestehen, ← 97 | 98 → telekommunikationsgestützte Dienste nach § 3 Nr. 25 des Telekommunikationsgesetzes oder Rundfunk nach § 2 des Rundfunkstaatsvertrages sind (Telemedien).“727

Wenn ein Dienst gem. § 11 Abs. 3 TMG überwiegend in der Übertragung von Signalen besteht, sind das TMG und TKG parallel anzuwenden.728

Da die technische Übertragungsleistung bei sozialen Netzwerken nur eine geringe und keine hauptsächliche bzw. überwiegende Rolle spielt,729 sind soziale Netzwerke grundsätzlich den Telemedien zuzuordnen und fallen damit in den Anwendungsbereich des TMG.730 Die allgemeinen Bestimmungen des BDSG sind subsidiär anzuwenden, d.h., dass auf soziale Netzwerke in Deutschland das TMG dem BDSG vorzuziehen und primär anzuwenden ist. Der Vorrang des TMG gilt nur dann, wenn die bereichsspezifischen Regelungen genau den Sachverhalt betreffen, der auch Inhalt der Regelungen des BDSG ist, also bei Tatbestandskongruenz.731

Voraussetzung einer Anwendung sowohl des TMG als auch des BDSG ist, dass es sich bei den zu untersuchenden Daten um personenbezogene Daten handelt.732

Mit dem Inkrafttreten des TMG am 1. März 2007 wurden die Regelungen der Neuen Medien in Deutschland neu geordnet und die vorherigen Regelungen des Teledienstegesetzes (TDG), des Teledienstedatenschutzgesetzes (TDDSG) und des Mediendienste-Staatsvertrags (MDStV) miteinander vereint. Der MDStV wurde dabei aufgehoben und durch den neuen „Staatsvertrag für Rundfunk und Telemedien (RStV)“ ersetzt.733 Der bis dahin bestehende Dualismus zwischen Medien- und Telediensten und die daraus erforderliche Aufteilung vieler gleich lautender Regelungen in zwei verschiedene Regelwerke hatte den Gesetzgeber dazu veranlasst, ein einheitliches Telemediengesetz zu erarbeiten.734 Das TMG wurde als zentrale Vorschrift insbesondere für den Schutz personenbezogener Daten bei der Nutzung von Telemediendiensten erlassen.735

Der vierte Abschnitt des TMG (§§ 11–15) regelt den Schutz personenbezogener Daten bei der Nutzung sozialer Netzwerke.

a)  Anwendungsbereich

In § 11 TMG wird der Anwendungsbereich des Telemediendatenschutzrechts festgelegt. Es werden grundsätzlich, von Ausnahmen abgesehen, alle Anbieter von Telemedien adressiert. Als Telemedien sind alle elektronischen Informations- und ← 98 | 99 → Kommunikationsdienste, also alle Dienste, die elektronische Text-, Bild- oder Toninhalte anbieten, mit Ausnahme der Telekommunikationsdienste oder des Rundfunks nach § 3 Nr. 24 TKG zu verstehen.736 Soziale Netzwerke sind demnach als Telemedien einzuordnen.737

Der Anwendungsbereich des TMG lässt sich allgemein nur durch die Feststellung bestimmen, dass ein angebotener Dienst nicht in den Anwendungsbereich des TKG und des RStV fällt.738

Die Anwendung des TMG ist gültig für alle Diensteanbieter einschließlich der öffentlichen Stellen, wobei ein Diensteanbieter in § 2 S. 1 Nr. 1 TMG definiert wird als „jede natürliche oder juristische Person, die eigene oder fremde Telemedien zur Nutzung bereithält oder den Zugang zur Nutzung vermittelt“739.740

Gem. § 11 Abs. 2 TMG werden ausschließlich Nutzer, die Telemedien als Verbraucher in Anspruch nehmen, vom TMG datenschutzrechtlich geschützt. Dieser Schutz gilt nicht für Dritte, die nicht selbst Telemedien nutzen.741

b)  Datenschutzrechtliche Regelungen

Die allgemeinen Grundsätze der Datenverarbeitung bei Telemedien sind im Großen und Ganzen aus dem allgemeinen Datenschutzrecht bekannt und werden im TMG übernommen. Aufgrund spezifischer Risiken bei Telemedien sind sie jedoch teilweise angepasst worden.742 So werden im Datenschutzkonzept des TMG die klassischen datenschutzrechtlichen Regelungsansätze, z. B. das bereits erwähnte Verbot mit Erlaubnisvorbehalt in § 4 Abs. 1 BDSG, mit modernen Elementen des Systemdatenschutzes vereint. Ergänzt werden diese allgemeinen Bestimmungen durch besondere Regelungen für die Verarbeitung von telemedientypischen Bestands- und Nutzungsdaten.743 Die wichtigsten datenschutzrechtlichen Regelungen des TMG sollen im Folgenden aufgezeigt werden.

aa)  Grundsätze des Telemediendatenschutzes

In § 12 TMG werden die allgemeinen datenschutzrechtlichen Grundsätze für Telemedien festgelegt, und zwar das grundlegende Verbot mit Erlaubnisvorbehalt744 ← 99 | 100 → sowie der allgemeingültige Zweckbindungsgrundsatz745. Danach legt § 12 Abs. 1 TMG fest, dass ein Diensteanbieter personenbezogene Daten zur Bereitstellung von Telemedien nur dann erheben oder verwenden746 darf, wenn es gesetzlich erlaubt ist oder der Nutzer seine Einwilligung gegeben hat.747 Konkretisiert wird dieses Verbotsprinzip dahingehend, dass andere Rechtsvorschriften als die des TMG eine Datenverarbeitung nur dann legitimieren können, wenn die Vorschriften sich ausdrücklich auf Telemedien beziehen.748 Damit wird § 4 Abs. 1 BDSG verdrängt.

Nach Ansicht der deutschen Regierung wird die von der europäischen Cookie Richtlinie geforderte Einwilligung für die Verwendung von Cookies aus § 12 Abs. 1 TMG hergeleitet.749 Entscheidender Unterschied zur Cookie Richtlinie ist jedoch, dass § 12 Abs. 1 TMG nur für personenbezogene Daten gilt, die Cookie Richtlinie aber auch dann eine Einwilligung der Nutzer vorsieht, wenn die Daten keinen Personenbezug aufweisen.750 In ihrer Stellungnahme zur Umsetzung der Cookie Richtlinie in Deutschland differenziert die deutsche Regierung nicht zwischen „Informationen“ und „personenbezogenen Daten“.751 Auch das geforderte Opt-in Modell in Art. 5 Abs. 3 RL 2002/58/EG findet keine Umsetzung im deutschen Datenschutzrecht. § 15 Abs. 3 TMG sieht ausdrücklich das Opt-Out Modell vor.752

Trotz mangelnder Umsetzung bzw. Nicht-Umsetzung seitens der Bundesregierung ist anzunehmen, dass die EU-Kommission aufgrund der schriftlichen Bestätigung der Stellungnahme des deutschen Gesetzgebers davon ausgeht, dass für Cookies in Deutschland bereits jetzt eine Einwilligung des Nutzers erforderlich ist.753 Da die Stellungnahme keine bindende Wirkung hat, bleibt in Anbetracht der Widersprüche der aktuellen Rechtslage abzuwarten, wie sich das Thema in Zukunft entwickelt.

§ 12 Abs. 2 TMG verschärft den Zweckbindungsgrundsatz, indem ein Diensteanbieter personenbezogene Daten, die er zu Bereitstellung von Telemedien erhoben hat, für andere Zwecke nur verwenden darf, soweit entweder das TMG oder ← 100 | 101 → ein anderes Gesetz, das sich ausschließlich auf Telemedien besitzt, dies erlaubt oder der Nutzer eingewilligt hat.754 Gesetzliche Regelungen, die eine Zweckentfremdung personenbezogener Daten erlauben, sind ausschließlich im TMG selbst, speziell in §§ 14, 15 TMG, geregelt und sollen im Folgenden ausführlich dargelegt werden.

bb)  Gesetzliche Erlaubnistatbestände

Das TMG beinhaltet in den §§ 14 und 15 TMG gesetzliche Erlaubnistatbestände für die Erhebung und Verwendung von Bestands-, Nutzungs- und Abrechnungsdaten.

(1)  Bestandsdaten (§ 14 TMG)

Nach § 14 Abs. 1 TMG wird der Umfang der Befugnis zur Erhebung und Verwendung von Bestandsdaten durch den Diensteanbieter geregelt, und § 14 Abs. 2 TMG erlaubt dem Diensteanbieter, im Einzelfall zuständigen Stellen Auskunft über Bestandsdaten für bestimmte Zwecke zu erteilen.755

Gem. der Legaldefinition in § 14 Abs. 1 TMG darf ein Diensteanbieter „personenbezogene Daten eines Nutzers nur erheben und verwenden, soweit sie für die Begründung, inhaltliche Ausgestaltung oder Änderung eines Vertragsverhältnisses zwischen dem Diensteanbieter und dem Nutzer über die Nutzung von Telemedien erforderlich sind.“756 Gem. diesem sog. Erforderlichkeitsgrundsatz dürfen bestimmte Bestandsdaten vom Diensteanbieter erhoben und verwendet werden. Dies bedeutet eine Konkretisierung der Vorschrift des Erlaubnistatbestands gem. § 12 Abs. 1 TMG für die Erhebung und Verwendung von sog. Bestandsdaten.757 Bestandsdaten sind in der Regel Grunddaten eines Vertragsverhältnisses und werden immer dann als solche definiert, wenn personenbezogene Informationen „abstrakt zur Begründung, inhaltlichen Ausgestaltung oder Änderung eines Telemedienvertrags geeignet“ sind.758 Es gibt keine katalogartige Aufzählung von möglichen Bestandsdaten, sondern es hängt vielmehr von dem jeweiligen Telemedienvertrag ab, welche Daten in Betracht kommen.759 Aufgrund des Erforderlichkeitsgrundsatzes muss der Diensteanbieter die Verwendung von Bestandsdaten auf ein unverzichtbares Maß begrenzen. Der Grundsatz der Erforderlichkeit und der Zweckbindung gilt auch bezüglich der Löschung von Bestandsdaten. Sobald solche Daten nicht mehr zur Abwicklung eines Vertragsverhältnisses, also zur Begründung, inhaltlichen Ausgestaltung oder Änderung eines vertraglichen Nutzungsverhältnisses erforderlich sind, besteht ← 101 | 102 → für den Diensteanbieter eine umgehende Löschungspflicht.760 Der Nutzer hat entsprechend einen Löschungsanspruch gegenüber dem Diensteanbieter. Ausnahmen können sich bei einem Vertrag mit einer Aufbewahrungspflicht der Daten im Original ergeben, bei dem die Daten dann jedoch zu sperren sind.761

In § 14 Abs. 2 TMG wird es Diensteanbietern ermöglicht, im Einzelfall Auskunft über Bestandsdaten zu erteilen, sofern dies für Zwecke der Strafverfolgung, Gefahrenabwehr durch Polizeibehörden, Erfüllung der gesetzlichen Aufgaben von Verfassungsschutzbehörden, des Bundesnachrichtendienstes oder des Militärischen Abschirmdienstes sowie der Abwehr von Gefahren des internationalen Terrorismus erforderlich ist.762 Es handelt sich bei dieser Vorschrift keinesfalls um einen Auskunftsanspruch, sondern um eine sog. datenschutzrechtliche Auskunftserlaubnis, d.h., dass es nicht im Ermessen des Diensteanbieters liegt, eine Entscheidung über die Herausgabe von Bestandsdaten zu treffen.763 Vielmehr darf der Diensteanbieter Auskünfte nur dann erteilen, wenn eine zuständige Stelle durch eine Anordnung dies von ihm fordert.764 Die Bestandsdatenweitergabe kann also verfassungsrechtlich geboten sein, wenn die Voraussetzungen der entsprechenden Ermächtigungsgrundlagen vorliegen. Ist dies der Fall, ist der Diensteanbieter zur Herausgabe der Daten verpflichtet, und er hat keine Wahlmöglichkeit. Die Verantwortung liegt in jedem Fall bei der entsprechenden öffentlichen Stelle.765

(2)  Nutzungsdaten (§ 15 TMG)

Diensteanbieter dürfen gem. § 15 TMG sog. Nutzungs- und Abrechnungsdaten erheben und verarbeiten. Nutzungsdaten sind gem. § 15 Abs. 1 TMG personenbezogene Daten, die erforderlich sind, „um die Inanspruchnahme von Telemedien zu ermöglichen und abzurechnen.“766 Es handelt sich bei Nutzungsdaten im Gegensatz zu den Bestandsdaten um Daten, die bei der Nutzung des Telemediums anfallen. Ein Vertragsverhältnis zwischen Diensteanbieter und Nutzer ist dabei keine Voraussetzung.767 Nutzungsdaten können gleichzeitig auch Bestandsdaten sein, und zwar dann, wenn die Daten für die Begründung und inhaltliche Ausgestaltung des Vertragsverhältnisses erforderlich sind.768 Typische Nutzungsdaten ← 102 | 103 → werden beispielhaft in § 15 Abs. 1 S. 2 TMG aufgelistet769, diese sind jedoch nicht abschließend anzusehen.

Eine Untergruppe der Nutzungsdaten bilden die Abrechnungsdaten, welche in § 15 Abs. 4 TMG geregelt sind. Sie sind Nutzungsdaten, deren Verarbeitung zum Zwecke der Abrechnung mit dem Nutzer erforderlich ist.770 § 15 Abs. 2 TMG erlaubt die Zusammenführung von Nutzungsdaten für die Abrechnung verschiedener Telemedien, wenn dies zur Abrechnung mit dem Nutzer notwendig ist, d.h. wenn unterschiedliche Telemedien von einer verantwortlichen Stelle erbracht werden.771

§ 15 Abs. 3 TMG normiert, unter welchen Voraussetzungen eine Erstellung von Nutzungsprofilen erlaubt ist. Der Diensteanbieter darf unter bestimmten Voraussetzungen zum Zwecke der Werbung, Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien Nutzungsdaten für die Erstellung von Nutzungsprofilen unter Verwendung von Pseudonymen verwenden, solange der Nutzer dem nicht widerspricht (Opt-Out-Modell).772 Hier hat der Diensteanbieter gem. § 13 Abs. 1 TMG die Pflicht, den Nutzer auf sein Widerspruchsrecht hinzuweisen.773 Eine explizite Einwilligung des Nutzers ist dabei nicht notwendig.774 Grundsätzlich darf der Diensteanbieter alle Daten i.S.d. § 15 Abs. 1 TMG verwenden, jedoch nicht Bestandsdaten i.S.d. § 14 Abs. 1 TMG. Da die Vorschrift nur dem jeweiligen Diensteanbieter die Erstellung von Nutzungsprofilen erlaubt, dürfen die Daten nicht an Dritte übermittelt werden. Nutzungsprofile dürfen nur unter einem Pseudonym gebildet werden, wobei ein unter Pseudonym erfasstes Nutzerprofil nicht mit den Daten des Pseudonymträgers zusammengeführt werden darf.775 Bei der Erstellung von Nutzungsprofilen ohne Verwendung eines Pseudonyms muss der Nutzer hierin einwilligen.776 § 15 Abs. 3 TMG knüpft damit an die Mikrozensusentscheidung des BVerfG an, in der entschieden wurde, dass es mit der Menschenwürde nicht vereinbar ist, wenn der Staat für sich in Anspruch nehmen könnte, den Menschen in seiner ganzen Persönlichkeit zu registrieren.777 Ähnliche Registrierungen werden aber gerade durch digitale ← 103 | 104 → Nutzungsprofile theoretisch eröffnet. So gibt die Vorschrift keine Einschränkungen vor, welche Nutzungsdaten für die Profilerstellung herangezogen werden dürfen.778

cc)  Einwilligung als Erlaubnistatbestand

Die Einwilligung des Nutzers gilt, wie auch in der DSRL779 und im BDSG780 vorgesehen, neben den gesetzlichen Erlaubnistatbeständen als Zulässigkeitsalternative für die Erhebung und Verwendung personenbezogener Daten gem. § 12 Abs. 1 TMG. Grundsätzlich gelten die Anforderungen der §§ 4, 4a BDSG, d.h. für die Form der Einwilligung die Schriftform nach § 4a Abs. 1 S. 3 BDSG. Abweichend zur geforderten Schriftform ermöglicht jedoch das TMG gem. § 13 Abs. 2 TMG die Abgabe einer elektronischen Einwilligung unter bestimmten Voraussetzungen, wodurch ein Medienbruch vermieden wird.781 Die Schriftform kann jedoch auch im BDSG gem. § 4 a Abs. 1 S. 3 bei Vorliegen „besonderer Umstände“ durch die elektronische Form nach § 126 Abs. 3 BGB ersetzt werden, wobei dafür eine qualifizierte elektronische Signatur nach § 126 a BGB verlangt wird.782 Da sich diese als praxisuntauglich erwiesen hat und die Nutzung von Telemedien die elektronische Form der Einwilligung als „besonderen Umstand“ rechtfertigt, wird auf die Formvorschriften des § 13 Abs. 2 TMG zurückgegriffen.783

Voraussetzung einer elektronischen Einwilligung ist zum einen, dass der Nutzer die Einwilligung bewusst und eindeutig erteilen muss.784 Die Anforderungen, die im Rahmen des § 13 Abs. 2 TMG an eine bewusste und eindeutige Handlung gestellt werden müssen, entsprechen denen, die allgemein an rechtsgeschäftliche Handlungen gestellt werden. Damit wird der Anspruch an den Handlungswillen, das Erklärungsbewusstsein und den Geschäftswillen des Nutzers erfüllt und sichergestellt, dass der Nutzer die elektronische Einwilligung nicht zufällig oder unbeabsichtigt abgibt.785 Die Einwilligung des Nutzers kann beispielsweise durch eine bestätigende Wiederholung des Übermittlungsbefehls bei gleichzeitiger zumindest auszugsweise auf dem Bildschirm erscheinender Darstellung der Einwilligungserklärung erfolgen.786 Dem Nutzer ← 104 | 105 → müssen die rechtlichen Konsequenzen seiner Handlung bewusst sein.787 Des Weiteren muss der Diensteanbieter die elektronische Einwilligung protokollieren,788 d.h., dass der Zeitpunkt der Einwilligung, der Inhalt und die Identität des Nutzers festgehalten werden müssen, um eine Überprüfung der Legitimation einer Einwilligung zu ermöglichen.789 Darüber hinaus muss der Nutzer den Inhalt der Einwilligung jederzeit abrufen können,790 um das Gebot der Transparenz zu wahren.

§ 13 Abs. 2 Nr. 4 TMG gewährt dem Nutzer zudem ein Widerrufsrecht, das besagt, dass der Nutzer seine Einwilligung jederzeit, auch elektronisch, widerrufen kann.791 Darüber hinaus muss der Nutzer gem. § 13 Abs. 3 TMG auf diese Möglichkeit vor Abgabe der Einwilligung entsprechend hingewiesen werden.792

dd)  Pflichten des Diensteanbieters

§ 13 Abs. 1 TMG dient dem Grundsatz der Transparenz und normiert die Aufgabe des Diensteanbieters, den Nutzer zu Beginn des Nutzungsvorgangs über Art, Umfang, Ort und Zweck der Erhebung und Verwendung von personenbezogenen Daten in verständlicher Form zu unterrichten, wobei die Information jederzeit abrufbar sein muss.793 Gebräuchliche Bezeichnungen für solche Unterrichtungen sind „Datenschutzerklärung“, „Datenschutzunterrichtung“, „Hinweise zum Datenschutz“ oder auch „Ihre Daten“. Die inhaltlichen Anforderungen dieser Unterrichtung müssen den Empfängerhorizont erreichen, d.h., es sollten weder Fremdwörter noch juristische oder technische Fachbegriffe verwendet werden und in solch einer Weise erläutert werden, dass es für einen Laien bzw. durchschnittlichen Nutzer verständlich ist.794 Ebenso muss der Diensteanbieter den Nutzer über den Ort der Datenverarbeitung informieren, wenn die Datenverarbeitung in einem Drittstaat erfolgt, der nicht dem Anwendungsbereich der DSRL untersteht.795

Gem. § 13 Abs. 1 S. 2 TMG wird der Diensteanbieter dazu verpflichtet, vor Beginn eines automatisierten Verfahrens, „das eine spätere Identifizierung des Nutzers ermöglicht und eine Erhebung oder Verwendung personenbezogener Daten vorbereitet“, den Nutzer darüber zu informieren, ob Daten erhoben oder verwendet werden ← 105 | 106 → dürfen.796 Diese Regelung findet hauptsächlich Anwendung bei der Verwendung von Cookies.797 Ein datenschutzrechtliches Risiko besteht darin, wenn Cookies vom Nutzer beim Aufruf einer Webseite unbemerkt in seinem Browser abgelegt werden, da dieser dann keine Einflussmöglichkeit über seine Informationen hat.798 Problematisch ist dabei auch, wenn durch den Diensteanbieter Dritte den Zugriff auf diese Informationen erhalten.799

§ 13 Abs. 4 TMG sichert den Systemdatenschutz in Telemedien, d.h. den durch Technik garantierten Datenschutz.800 Im Rahmen dieser Vorschrift werden Diensteanbieter zu bestimmten technischen und organisatorischen Maßnahmen verpflichtet, um bestimmte Schutzziele zu erreichen, wobei es dem Diensteanbieter überlassen bleibt, welche technischen und organisatorischen Mittel er dafür ergreift.801 Eine besondere Bedeutung kommt dabei der datenschutzkonformen Gesamtorganisation eines Unternehmens, also dem Datenschutzmanagementsystem zu, um den Datenschutz zu gewährleisten.802 In der Praxis lassen sich technische Fehler jedoch nicht immer vermeiden. So waren bspw. im Juni 2013 bis zu sechs Millionen Nutzer des Anbieters Facebook von einem technischen Fehler seitens Facebook betroffen, der fremden Nutzern, die irgendeine Form der Verbindung mit den Betroffenen aufwiesen, den Zugriff auf persönliche E-Mail Adressen und Telefonnummern der Betroffenen ermöglichte. Die Datenpanne war auf einen Fehler in einer Funktion des Anbieters zurückzuführen.803 § 15a TMG verpflichtet den Diensteanbieter im Falle solch einer unrechtmäßigen Kenntniserlangung von Daten, die zuständigen Aufsichtsbehörden und die Betroffenen zu informieren.804 Sinn der Regelung ist, schwerwiegende Beeinträchtigungen von Rechten oder schutzwürdigen Interessen des Nutzers und damit eine Schadensvertiefung zu vermeiden.805 Was die Rechtsfolge betrifft, muss die Benachrichtigung des Betroffenen sowie der Aufsichtsbehörde (nach § 121 BGB) unverzüglich erfolgen,806 was im Fall Facebook ← 106 | 107 → auch getan wurde.807 Wenn die Benachrichtigung für den Diensteanbieter einen unverhältnismäßigen Aufwand erfordert, kann eine solche Benachrichtigung auch unterbleiben. In diesem Fall wird durch eine Anzeige, bspw. in einer Tageszeitung, die Öffentlichkeit entsprechend informiert.808

§ 13 Abs. 5 TMG verpflichtet den Diensteanbieter bei der Weitervermittlung des Nutzers in ein Angebot eines anderen Diensteanbieters zur Sichtbarmachung dieser Weitervermittlung.809 Die Anzeige der Weitervermittlung muss für einen Laien bzw. durchschnittlichen Nutzer verständlich und nachvollziehbar sein, um dem Nutzer die Möglichkeit zu geben, genau zu wissen, in welchem Dienst er sich bewegt und wer ggf. über seine Daten verfügt. Wechselt der Nutzer selbst von sich aus in ein Angebot eines Dritten, besteht keine Anzeigepflicht seitens des Diensteanbieters, denn nach dem Wortlaut der Vorschrift liegt eine Weitervermittlung zu einem anderen Diensteanbieter nur dann vor, wenn der Wechsel des Anbieters von diesem ausgeht.810

Die in § 13 Abs. 6 TMG normierte Pflicht des Diensteanbieters besteht darin, die anonyme und pseudonyme Nutzung zu prüfen, ob und inwieweit die von ihm angebotenen Telemedien ohne das Erheben, Verarbeiten und Nutzen personenbezogener Daten auskommen811, und dann dem Nutzer die Nutzung von Telemedien sowie ihre Bezahlung anonym812 oder unter Pseudonym813 zu ermöglichen, soweit das technisch möglich und zumutbar ist.814 Dies bedeutet eine Konkretisierung des Datenvermeidungsprinzips in § 3a BDSG und ist ein unmittelbarer Ausfluss des Grundrechts auf informationelle Selbstbestimmung.815 Nach dem heutigen Stand der Technik können die meisten Diensteanbieter eine anonyme Nutzung bzw. eine Nutzung unter Pseudonym ermöglichen, bspw. durch Zuordnung sog. Session-IDs816.817 Da die Vorschrift des § 13 Abs. 6 TMG nicht als absolute Verpflichtung verstanden werden kann,818 sollte bei der Prüfung der Zumutbarkeit in konkreten Fällen ← 107 | 108 → eine Verhältnismäßigkeitsprüfung durchgeführt werden, die die grundrechtlich geschützten Interessen des Diensteanbieters berücksichtigt, aber auch das Recht des Nutzers auf informationelle Selbstbestimmung abwägt.819 Nach § 13 Abs. 6 S. 2 TMG muss der Nutzer über die Möglichkeit der anonymen und pseudonymen Nutzung hingewiesen werden, damit er frei entscheiden kann, wie er gegenüber dem Diensteanbieter auftritt und in welchem Maß er von seinem Recht auf informationelle Selbstbestimmung Gebrauch macht.820

Einige Anbieter sozialer Netzwerke, so auch Facebook821, verlangen von ihren Nutzern bei Registrierung die Verwendung ihres echten Namens und sperren Konten bei Nichteinhaltung. Das Unabhängige Landeszentrum für Datenschutz (ULD) sah in dem sog. Klarnamenzwang einen Verstoß gegen deutsches Datenschutzrecht gem. § 13 Abs. 6 S. 2 TMG und erließ gegen das Unternehmen Facebook zwei Verfügungen mit der Verpflichtung, Nutzern in Deutschland die Anmeldung bei Facebook unter Verwendung von Pseudonymen zu gewährleisten.822 Sowohl das VG Schleswig-Holstein823 als auch das OVG Schleswig-Holstein824 haben in ihren Beschlüssen die Beschwerden des ULD zurückgewiesen, vor dem Hintergrund, dass deutsches Recht keine Anwendung finde.825

Eine Verpflichtung zur Verwendung des Klarnamens in sozialen Netzwerken kann nicht ohne weiteres mit der Unzumutbarkeit einer anonymen oder pseudonymen Nutzung gerechtfertigt werden. Eine Ausnahme besteht, wenn das Geschäftsmodell des sozialen Netzwerks auf die Offenlegung der Identität besteht wie bspw. bei Netzwerken zum Aufbau und zur Pflege von geschäftlichen Beziehungen. Hier kommt eine Unzumutbarkeit der Zulassung von Pseudonymen in Betracht.826

§ 13 Abs. 8 S. 1 TMG soll die Transparenz der Datenverarbeitung gegenüber dem Nutzer gewährleisten und verpflichtet den Diensteanbieter zur „Auskunft über die zu seiner Person oder zu seinem Pseudonym gespeicherten Daten“ unter den inhaltlichen Vorgaben des § 34 BDSG.827 Auskunft muss über alle personenbezogene Daten, die der Diensteanbieter über den Nutzer gespeichert hat, eingeschlossen der Daten, die bei der Nutzung fremder Inhalte entstanden sind, gegeben werden. Die Auskunft kann elektronisch, also auch per E-Mail, SMS, Fax, Telefon oder Online-Formular erteilt ← 108 | 109 → werden.828 Bei Auskunftspflicht über Daten zu einem Pseudonym ist das Zusammenführungsverbot des § 15 Abs. 3 S. 3 TMG zu beachten. Das Recht des Nutzers auf Auskunft ist wichtige Voraussetzung für weitere Betroffenenrechte wie das Recht auf Löschung, Berichtigung, Widerruf, Sperrung und Schadensersatz, welche im BDSG geregelt sind.829

c)  Grenzüberschreitender Datenverkehr

§ 3 TMG setzt das sog. Herkunftslandprinzip um, welches innerhalb der EU im Geltungsbereich der ECRL und der Richtlinie über audiovisuelle Mediendienste RL 2010/13/EU (AVMD-RL) gilt. Betroffen sind Staaten der EU und des EWR. Das Herkunftslandprinzip gilt nicht für Anbieter aus Drittstaaten.830 Demnach müssen Anbieter sozialer Netzwerke nur den Vorgaben am Ort ihrer Niederlassung entsprechen, wobei sie keinesfalls der Kontrolle anderer Staaten aufgesetzt sind.831 Das Herkunftslandprinzip findet gem. § 3 Abs. 3 Nr. 4 TMG keine Anwendung auf das „für den Schutz personenbezogener Daten findende Recht“832 und ist daher im Rahmen dieser Arbeit nicht relevant.

III.  Zwischenergebnis zur Rechtslage in Deutschland

Das Datenschutzrecht in Deutschland ist in einer Vielzahl von Gesetzen geregelt. Jeglicher Umgang mit personenbezogenen Daten bedarf einer Legitimation durch besondere Rechtsvorschriften oder der Einwilligung durch betroffene Personen. Vor allem ist die informationelle Selbstbestimmung als Grundlage und Maßstab aller Verwendung personenbezogener Daten von jedem zu respektieren, der personenbezogene Angaben verwenden möchte.833 Diensteanbieter müssen dabei zahlreiche Pflichten erfüllen. Mit den Beschlüssen des VG834 und OVG835 Schleswig-Holstein bzgl. des Klarnamenzwangs bei dem Anbieter Facebook wird deutlich, welche Gefahr von Anbietern sozialer Netzwerke mit Sitz in den USA für das Persönlichkeitsrecht europäischer Nutzer ausgeht, wenn diese sich nicht konsequent an das europäische und deutsche Datenschutzrecht halten.

Verstärkt wird das Risiko einer Gefährdung persönlicher Daten durch technische Sicherheitsmängel. Die Einhaltung der Datensicherheit liegt bei den Anbietern sozialer Netzwerke, indem sie erforderliche technische und organisatorische Maßnahmen treffen müssen. Dazu gehört auch der Schutz der Nutzerdaten vor ← 109 | 110 → unerlaubtem Zugriff Dritter. Eine Garantie zur Vermeidung von Fehlern seitens der Anbieter ist jedoch nicht möglich, so dass mit der Nutzung sozialer Netzwerke und der damit einhergehenden Veröffentlichung privater Daten immer ein gewisses Gefahrenpotential des Missbrauchs personenbezogener Daten besteht.836

Die §§ 11 ff. TMG verdrängen in einzelnen Bereichen die allgemeinen Regeln des BDSG, jedoch kommt das BDSG mangels eigener Vorschriften im TMG ergänzend zur Anwendung für die datenschutzrechtliche Verantwortlichkeit in § 3 Abs. 7 BDSG, die allgemeinen Begriffsbestimmungen gem. § 3 BDSG, die Übermittlung personenbezogener Daten ins Ausland gem. § 1 Abs. 5 BDSG837, die Betroffenenrechte gem. §§ 19 ff., 34 BDSG, den Schadensersatz gem. §§ 7 und 8 BDSG und die behördliche Aufsicht gem. §§ 24, 38 BDSG.838

Das Nebeneinander unterschiedlicher Gesetzesvorschriften in Deutschland, das eine eindeutige Abgrenzung zum Teil erschwert, erzeugt bei Diensteanbietern Rechtsunsicherheit. Die Regelungen des BDSG werden den Anforderungen der Informationsgesellschaft des 21. Jahrhunderts nicht mehr gerecht.839

Die Folgen einer Datenverarbeitung hängen im Wesentlichen von der Verwendung der einzelnen Angaben ab. Es gibt keine belanglosen Daten, denn vermeintlich belanglose Daten können in Verbindung mit weiteren Daten zu neuen Erkenntnissen führen und gewinnen damit an Bedeutung.840 Gerade in sozialen Netzwerken, welche nach ihrer Gesamtkonzeption der Kommunikation dienen, d.h. dem Veröffentlichen und Preisgeben von Daten, gibt es viele Kollisionspunkte der beteiligten Interessen bzgl. der dort verarbeiteten Daten. Dies soll im folgenden Kapitel genauer untersucht werden.


140 1. Hessisches Datenschutzgesetz vom 30.09.1970.

141 Abel in Roßnagel, 2003, Kap. 2.7, Rn. 1.

142 „Unter der automatisierten Verarbeitung ist die Auswertung unter Einsatz von Datenverarbeitungsanlagen sowie die Möglichkeit der technischen Auswertungen personenbezogener Daten zu verstehen“, Kühling/ Seidel/ Sivridis, 2008, S. 24.

143 Abel in Roßnagel, 2003, Kap. 2.7, Rn. 1; Institut für IT-Recht, abrufbar unter http://www.iitr.de/informationen/historie.html (zuletzt abgerufen am 27.03.2017); Simitis in Simitis, 2011, Einleitung, Rn. 29.

144 Simitis in Simitis, 2011, Einleitung, Rn. 2.

145 Das allgemeine Persönlichkeitsrecht in Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG, siehe dazu Drittes Kapitel D. I. 1.

146 Siehe dazu Fünftes Kapitel B.

147 Abrufbar unter https://www.privacyinternational.org/node/44 (zuletzt abgerufen am 27.03.2017).

148 Schiedermair, 2012, S. 59.

149 Stellungnahme des BITKOM vom 05.08.2014, S. 3, abrufbar unter https://www.bitkom.org/Publikationen/2014/Positionen/Gesetz-Verbesserung-zivilrechtlichen-Durchsetzung-von-verbraucherschuetzenden-Vorschriften-Datenschutzrecht/20140805-Stellungnahme-Verbandsklage.pdf (zuletzt abgerufen am 27.03.2017); Tinnefeld in Roßnagel, 2003, Kap. 4.1, Rn. 1 f.

150 § 3 Abs. 1 BDSG.

151 Artikel 29-Datenschutzgruppe, 2010, WP 179, S. 11.

152 Conrad in Auer-Reinsdorff/ Conrad, 2011, § 25, Rn. 3.

153 Grimm, 2012, S. 4, abrufbar unter https://www.bmi.bund.de/SharedDocs/Downloads/DE/Themen/Sicherheit/Datenschutz/rede_grimm.pdf?__blob=publicationFile (zuletzt abgerufen am 27.03.2017).

154 Conrad in Auer-Reinsdorff/ Conrad, 2011, § 25, Rn. 24.

155 Simitis in Simitis, 2011, Einleitung, Rn. 16.

156 Simitis in Simitis, 2011, Einleitung, Rn. 16; Scheja/ Haag in Leupold/ Glossner, 2011, Teil 4 C, Rn. 4.

157 Conrad in Auer-Reinsdorff/ Conrad, 2011, § 25, Rn. 16; Institut für IT-Recht, abrufbar unter http://www.iitr.de/informationen/historie.html (zuletzt abgerufen am 27.03.2017); siehe § 1 Abs. 1 BDSG; Simitis in Simitis, 2011, Einleitung, Rn. 16.

158 Gärtner, 2011, S. 77.

159 Auernhammer, 1993, Kap. 5, Rn. 20; Conrad in Auer-Reinsdorff/ Conrad, 2011, § 25, Rn. 25; Simitis in Simitis, 2011, Einleitung, Rn. 1.

160 Simitis in Simitis, 2011, Einleitung, Rn. 1; das Bundesland Rheinland-Pfalz folgte 1974 als erstes und Hamburg 1981 als letztes mit einem entsprechenden Gesetz.

161 Conrad in Auer-Reinsdorff/ Conrad, 2011, § 25, Rn. 25.

162 Simitis in Simitis, 2011, Einleitung, Rn. 1 f.

163 BVerfG, Urteil vom 15.12.1983, Az. 1 BvR 209/83 = NJW 1984, S. 419, 422.

164 Simitis in Simitis, 2011, Einleitung, Rn. 27.

165 Begriff von Donos, 1998, S. 69.

166 Hatt, 2012, S. 120.

167 Simitis in Simitis, 2011, Einleitung, Rn. 29.

168 Conrad in Auer-Reinsdorff/ Conrad, 2011, § 25, Rn. 27; siehe dazu Drittes Kapitel D. I. 2. a).

169 Jotzo, 2013, S. 40.

170 Conrad in Auer-Reinsdorff/ Conrad, 2011, § 25, Rn. 29.

171 Siehe ausführlich unter Drittes Kapitel D. II. 1.

172 Tinnefeld/ Buchner/ Petri, 2012, S. 69.

173 Siehe Drittes Kapitel D. II. 2.

174 Tinnefeld/ Buchner/ Petri, 2012, S. 70.

175 Burkert in Roßnagel, 2003, Kap. 2.3, Rn. 20; Comans, 2012, S. 68.

176 Burkert in Roßnagel, 2003, Kap. 2.3, Rn. 21; Comans, 2012, S. 68.

177 Art. 12 S. 1 Resolution 217 A (III) der Generalversammlung vom 10.12.1948, abrufbar unter http://www.ohchr.org/en/udhr/pages/language.aspx?langid=ger (zuletzt abgerufen am 27.03.2017).

178 Kühling/ Seidel/ Sivridis, 2011, S. 5; Tinnefeld/ Buchner/ Petri, 2012, S. 70.

179 Schaar, 2002, Kap. 3, Rn. 79; Tinnefeld/ Buchner/ Petri, 2012, S. 70.

180 UN-Generalversammlung. Resolution 45/95 vom 14.12.1990, abrufbar unter http://www.un.org/documents/ga/res/45/a45r095.htm (zuletzt abgerufen am 27.03.2017).

181 Tinnefeld/ Buchner/ Petri, 2012, S. 70; Würmeling, 2000, S. 12 f.

182 Burkert in Roßnagel, 2003, Kap. 2.3, Rn. 23; Mähring, 1993, S. 30; Schaar, 2002, Kap. 3, Rn. 81.

183 Mitgliedstaaten: Australien, Belgien, Chile, Dänemark, Deutschland, Estland, Finnland, Frankreich, Griechenland, Irland, Island, Israel, Italien, Japan, Kanada, Luxemburg, Mexiko, Neuseeland, Niederlande, Norwegen, Österreich, Polen, Portugal, Schweden, Schweiz, Slowakei, Slowenien, Spanien, Südkorea, Tschechien, Türkei, Ungarn, Vereinigte Staaten, Vereinigtes Königreich.

184 Tinnefeld/ Buchner/ Petri, 2012, S. 71.

185 OECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data, abrufbar unter http://www.oecd.org/internet/ieconomy/oecdguidelinesontheprotectionofprivacyandtransborderflowsofpersonaldata.htm (zuletzt abgerufen am 27.03.2017).

186 Burkert in Roßnagel, 2003, Kap. 2.3, Rn. 22; Genz, 2004, S. 13.

187 Kühling/ Seidel/ Sivridis, 2011, S. 6.

188 Eine „verantwortliche Stelle“ wird nach § 3 Abs. 7 BDSG definiert als „jede Person oder Stelle, die personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen lässt.“

189 Kranig/ Peintinger, ZD 2014, S. 3; Kühling/ Seidel/ Sivridis, 2011, S. 6; Tinnefeld/ Buchner/ Petri, 2012, S. 71 f.

190 Weniger, 2005, S. 351.

191 Kühling/ Seidel/ Sivridis, 2011, S. 6; Tinnefeld/ Buchner/ Petri, 2012, S. 71 f.

192 Genz, 2004, S. 13.

193 EMRK vom 4.11.1950, 213 U.N.T.S. 221, zuletzt geändert durch Protokoll Nr. 14 vom 13.05.2004, abrufbar unter http://www.echr.coe.int/documents/convention_deu.pdf (zuletzt abgerufen am 27.03.2017).

194 Hahn, 1994, S. 63.

195 „Art. 8 Recht auf Achtung des Privat- und Familienlebens: (1) Jede Person hat das Recht auf Achtung ihres Privat- und Familienlebens, ihrer Wohnung und ihrer Korrespondenz.“

196 Nink, 2010, S. 167; Tinnefeld/ Buchner/ Petri, 2012, S. 73 f.

197 Piltz, delegedata, abrufbar unter http://www.delegedata.de/2014/01/das-grundrecht-auf-datenschutz-europa/ (zuletzt abgerufen am 27.03.2017); Schneider in Wolff/ Brink, 2013, Syst. B, Rn. 15.

198 EGMR, Urteil vom 19.09.2013, Beschwerde Nr. 8772/10, Rn. 41, abrufbar unter http://hudoc.echr.coe.int/sites/eng/pages/search.aspx?i=001-139651 (zuletzt abgerufen am 27.03.2017).

199 Urteil vom 24.06.2004, Individualbeschwerde Nr. 59320/00, Rn. 70.

200 Piltz, delegedata, abrufbar unter http://www.delegedata.de/2014/01/das-grundrecht-auf-datenschutz-europa/ (zuletzt abgerufen am 27.03.2017).

201 Siehe dazu Drittes Kapitel D. I. 2. a).

202 Kühling/ Seidel/ Sivridis, 2011, S. 8.

203 Piltz, delegedata, abrufbar unter http://www.delegedata.de/2014/01/das-grundrecht-auf-datenschutz-europa/ (zuletzt abgerufen am 27.03.2017); siehe Art. 8 Abs. 2 EMRK.

204 Taeger, 2014, Kap. I, Rn. 25.

205 Abrufbar unter https://rm.coe.int/CoERMPublicCommonSearchServices/DisplayDCTMContent?documentId=0900001680080632 (zuletzt abgerufen am 27.03.2017).

206 Auch sog. Konvention 108.

207 Taeger, 2014, Kap. I, Rn. 25; Jotzo, 2013, S. 29.

208 Kühling/ Seidel/ Sivridis, 2011, S. 10; Tinnefeld/ Buchner/ Petri, 2012, S. 74.

209 Taeger, 2014, Kap. I, Rn. 25; Tinnefeld/ Buchner/ Petri, 2012, S. 74.

210 Tinnefeld/ Buchner/ Petri, 2012, S. 74.

211 Richtlinie 95/46/EG des Europäischen Parlaments und Rates vom 24.10.1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr, ABl. Nr. L 281 v. 23.11.1995, S. 31.

212 Siehe dazu Drittes Kapitel C. II. 2. a) cc).

213 Taeger, 2014, Kap. I, Rn. 25; Tinnefeld/ Buchner/ Petri, 2012, S. 74.

214 Europarat, Zusatzprotokoll zum Übereinkommen zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten bezüglich Kontrollstellen und grenzüberschreitendem Datenverkehr, 2001, Art. 2 Abs. 1.

215 ABl. EU Nr. C 115 v. 9. Mai 2008, S. 13.

216 ABl. EU Nr. C 115 v. 9. Mai 2008, S. 47.

217 Art. 1 Abs. 2 AEUV und Art. 1 Abs. 3 EUV.

218 Art. 6 Abs. 1 EUV; Comans, 2012, S. 74.

219 Kühling/ Seidel/ Sivridis, 2011, S. 15; Tinnefeld/ Buchner/ Petri, 2012, S. 73.

220 ABl. EU Nr. C 364 v. 18.12.2000, Präambel S. 8; ABl. EU Nr. C 303 v. 14.12.2007, S. 2.

221 Vertrag von Lissabon zur Änderung des Vertrags über die Europäische Union und des Vertrags zur Gründung der Europäischen Gemeinschaft (2007/C 306/01), ABl. EU Nr. C 306 v. 17.12.2007.

222 Schaar, 2002, Kap. 3, Rn. 91; Zimmer, 2011, S. 74, 78.

223 Kühling/ Seidel/ Sivridis, 2011, S. 16.

224 Art. 8 EMRK.

225 Piltz, delegedata, abrufbar unter https://www.delegedata.de/2014/01/das-grundrecht-auf-datenschutz-europa/ (zuletzt abgerufen am 27.03.2017); Runte in Lehmann/ Meents, 2011, Kap. 20, Rn. 9.

226 EuGH, verb. Rs. C-92/09 und C-93/09, Urteil vom 9.11.2010, Rn. 52, abrufbar unter http://curia.europa.eu/juris/document/document.jsf?docid=79001&doclang=DE (zuletzt abgerufen am 27.03.2017).

227 Ebd., Rn. 53.

228 Funke, DeLuxe – Europarecht aktuell – 07/2010, 1. Vorbemerkungen.

229 Art. 8 Abs. 1 EGRC; Zimmer, 2011, S. 82.

230 Kühling/ Seidel/ Sivridis, 2011, S. 18.

231 Art. 52 Abs. 1 EGRC.

232 Klein/ Scherer, 2002, S. 24 f., abrufbar unter http://www.jurawelt.com/sunrise/media/mediafiles/14132/grundrechtecharta-text.pdf (zuletzt abgerufen am 27.03.2017); Kühling/ Seidel/ Sivridis, 2011, S. 16.

233 Art. 8 Abs. 2 S. 1 EGRC.

234 EuGH, verb. Rs. C-92/09 und C-93/09, Urteil vom 9.11.2010, Rn. 49, abrufbar unter http://curia.europa.eu/juris/document/document.jsf?docid=79001&doclang=DE (zuletzt abgerufen am 27.03.2017).

235 Richtlinie 95/46/EG des Europäischen Parlaments und Rates vom 24.10.1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr, ABl. Nr. L 281 v. 23.11.1995, S. 31.

236 Siehe dazu Drittes Kapitel C. II. 2. a).

237 Siehe dazu Drittes Kapitel C. II. 2. a) cc) (7).

238 Jotzo, 2013, S. 30.

239 Kühling/ Seidel/ Sivridis, 2011, S. 19.

240 Nguyen, ZEuS 2012, S. 283, abrufbar unter http://archiv.jura.uni-saarland.de/projekte/Bibliothek/text.php?id=702 (zuletzt abgerufen am 27.03.2017).

241 Grimm, 2012, S. 14, abrufbar unter https://www.bmi.bund.de/SharedDocs/Downloads/DE/Themen/Sicherheit/Datenschutz/rede_grimm.pdf?__blob=publicationFile (zuletzt abgerufen am 27.03.2017); Jotzo, 2013, S. 31.

242 Kühling/ Seidel/ Sivridis, 2011, S. 19; Schneider in Wolff/ Brink, 2013, Syst. B, Rn. 22; Tinnefeld/ Buchner/ Petri, 2012, S. 83.

243 Tinnefeld/ Buchner/ Petri, 2012, S. 79.

244 Haug, 2010, Kap. 1, Rn. 11.

245 Zimmer, 2011, S. 83.

246 Kühling/ Seidel/ Sivridis, 2011, S. 23.

247 Siehe dazu Drittes Kapitel B.

248 Siehe dazu Drittes Kapitel C. I. 2.

249 Schneider in Wolff/ Brink, 2013, Syst. B, Rn. 2.

250 Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12.07.2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation, ABl. Nr. L 201 v. 31.07.2002, S. 37.

251 Richtlinie 2009/136/EG des Europäischen Parlaments und des Rates vom 25.11.2009 zur Änderung der Richtlinie 2002/22/EG über den Universaldienst und Nutzerrechte bei elektronischen Kommunikationsnetzen und -diensten, der Richtlinie 2002/58/EG über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation und der Verordnung (EG) Nr. 2006/2004 über die Zusammenarbeit im Verbraucherschutz, ABl. Nr. L 337 v. 18.12.2009, S. 11.

252 Richtlinie 2006/24/EG des Europäischen Parlaments und des Rates vom 15.03.2006 über die Vorratsspeicherung von Daten, die bei der Bereitstellung öffentlich zugänglicher elektronischer Kommunikationsdienste oder öffentlicher Kommunikationsnetze erzeugt oder verarbeitet werden, ABl. Nr. L 105 v. 13.04.2006, S. 54.

253 Verordnung (EU) 2016/679 des Europäischen Parlaments und Rates vom 27.04.2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119/1 v. 04.05.2016.

254 Hustinx, ZD 2013, S. 301; Schneider in Wolff/ Brink, 2013, Syst. B, Rn. 5.

255 Jotzo, 2013, S. 31; Kühling/ Seidel/ Sivridis, 2011, S. 23.

256 Schaar, 2002, Kap. 3, Rn. 99.

257 Erwägungsgrund 10 DSRL; Schaar, 2002, Kap. 3, Rn. 104; in Deutschland erfolgte die Umsetzung der DSRL durch das BDSG, siehe ausführlich Drittes Kapitel D. II. 1.

258 Büllesbach, 2008, S. 26 f.; Schaar, 2002, Kap. 3, Rn. 101; siehe Art. 1 DSRL.

259 Brühann in Roßnagel, 2003, Kap. 2.4, Rn. 15.

260 Kühling/ Seidel/ Sivridis, 2011, S. 23.

261 Art. 1 Abs. 1 DSRL.

262 Artikel 29-Datenschutzgruppe, 2010, WP 179, S. 7.

263 Zimmer, 2011, S. 84.

264 Die Artikel 29-Datenschutzgruppe, abrufbar unter http://www.cnpd.public.lu/de/commission-nationale/activites-eur-inter/groupe29/ (zuletzt abgerufen am 27.03.2017); Schaar, 2002, Kap. 3, Rn. 108.

265 Spies in Forgó/ Helfrich/ Schneider, 2014, Teil V Kap. 2, Rn. 3.

266 Art. 3 Abs. 1 DSRL.

267 Art. 2 lit. a DSRL.

268 Artikel 29-Datenschutzgruppe, 2007, WP 136, S. 8 f.

269 Erwägungsgrund 26 DSRL.

270 Breyer, ZD 2014, S. 400.

271 Art. 2 lit. a DSRL.

272 Wuermeling, 2000, S. 83.

273 EuGH, verb. Rs. C-92/09 und C-93/09, Urteil vom 9.11.2010, Rn. 87 f., abrufbar unter http://curia.europa.eu/juris/document/document.jsf?docid=79001&doclang=DE (zuletzt abgerufen am 27.03.2017); Schneider in Wolff/ Brink, 2013, Syst. B, Rn. 40; dazu auch Drittes Kapitel C. II. 1. a).

274 Comans, 2012, S. 86; Schaar, 2002, Kap. 3, Rn. 105.

275 Art. 8 Abs. 1 DSRL.

276 Art. 8 Abs. 2 lit. a DSRL.

277 Vgl. § 3 Abs. 3 bis 5 BDSG, dazu auch Zweites Kapitel D. II. 1. a) bb).

278 Brühann in Roßnagel, 2003, Kap. 2.4, Rn. 19; Kühling/ Seidel/ Sivridis, 2008, S. 26.

279 Siehe Drittes Kapitel D. II. 1.

280 Tinnefeld/ Buchner/ Petri, 2012, S. 221.

281 Art. 3 Abs. 2 erster Spiegelstrich DSRL; Jotzo, 2013, S. 32 f.

282 Art. 3 Abs. 2 zweiter Spiegelstrich DSRL.

283 Staaten außerhalb der Europäischen Union und des Europäischen Wirtschaftsraums.

284 Schneider in Wolff/ Brink, 2013, Syst. B, Rn. 78 f.

285 Artikel 29-Datenschutzgruppe, 2010, WP 179, S. 8.

286 Artikel 29-Datenschutzgruppe, 2010, WP 179, S. 11.

287 Erwägungsgrund 19 der DSRL.

288 Pauly/ Ritzer/ Geppert, ZD 2013, S. 424; Scheja/ Haag in Leupold/ Glossner, 2011, Teil 4 E, Rn. 57.

289 Pauly/ Ritzer/ Geppert, ZD 2013, S. 424.

290 Pauly/ Ritzer/ Geppert, ZD 2013, S. 424 f.; Scheja/ Haag in Leupold/ Glossner, 2011, Teil 4 E, Rn. 57; Schmidl in Lehmann/ Meents, 2011, Kap. 20, Rn. 379.

291 Art. 4 Abs. 1 lit. a S. 1 DSRL.

292 Artikel 29-Datenschutzgruppe, 2010, WP 179, S. 17, 21.

293 Brühann in Roßnagel, 2003, Kap. 2.4, Rn. 25; Schneider in Wolff/ Brink, 2013, Syst. B, Rn. 86.

294 Brühann in Roßnagel, 2003, Kap. 2.4, Rn. 26.

295 Art. 4 Abs. 1 lit. c DSRL; Schneider in Wolff/ Brink, 2013, Syst. B, Rn. 83.

296 Plath in Plath, 2012, § 1 BDSG, Rn. 70.

297 Artikel 29-Datenschutzgruppe, 2010, WP 179, S. 23; Schneider in Wolff/ Brink, 2013, Syst. B, Rn. 83.

298 Art. 2 lit. d DSRL.

299 Art. 2 lit. e DSRL.

300 Brühann in Roßnagel, 2003, Kap. 2.4, Rn. 21; Kühling/ Seidel/ Sivridis, 2008, S. 26.

301 Schneider in Wolff/ Brink, 2013, Syst. B, Rn. 70.

302 Artikel 29-Datenschutzgruppe, 2010, WP 179, S. 25; Plath in Plath, 2012, § 1 BDSG, Rn. 62, 64.

303 Unter Cookies werden kleine Dateien bzw. Datenpakete verstanden, die ein Diensteanbieter in einer Datei auf der Festplatte des Nutzers abspeichern und später abfragen kann. Damit sind umfangreiche Möglichkeiten verbunden, Daten insbesondere zum Nutzungsverhalten von Kunden zu sammeln, Haug, 2010, Kap. 2, Rn. 406.

304 Artikel 29-Datenschutzgruppe, 2010, WP 179, S. 25 f.

305 Plath in Plath, 2012, § 1 BDSG, Rn. 66.

306 Artikel 29-Datenschutzgruppe, 2010, WP 179, S. 29; Scheja/ Haag in Leupold/ Glossner, 2011, Teil 4 E, Rn. 60.

307 EuGH, Urteil vom 13.05.2014, Az. C-131/12.

308 GA Jääskinen, Schlussanträge vom 25.06.2013, C-131/12, Rn. 138 Abs. 1, abrufbar unter http://curia.europa.eu/juris/document/document.jsf?docid=138782&doclang=DE (zuletzt abgerufen am 27.03.2017).

309 Pauly/ Ritzer/ Geppert, ZD 2013, S. 424; GA Jääskinen, Schlussanträge vom 25.06.2013, C-131/12, Rn. 64, abrufbar unter http://curia.europa.eu/juris/document/document.jsf?docid=138782&doclang=DE (zuletzt abgerufen am 27.03.2017).

310 Pressemitteilung Nr. 77/13 des Gerichtshof der Europäischen Union vom 25.06.2013; Pauly/ Ritzer/ Geppert, ZD 2013, S. 424.

311 Piltz, delegata, abrufbar unter http://www.delegedata.de/2014/05/das-google-urteil-des-eugh-uebers-ziel-hinaus-geschossen/ (zuletzt abgerufen am 27.03.2017).

312 EuGH, Urteil vom 13.05.2014, Az. C-131/12, Rn. 68; Piltz, delegata, abrufbar unter http://www.delegedata.de/2014/05/das-google-urteil-des-eugh-uebers-ziel-hinaus-geschossen/ (zuletzt abgerufen am 27.03.2017).

313 Piltz, delegata, abrufbar unter http://www.delegedata.de/2014/05/das-google-urteil-des-eugh-uebers-ziel-hinaus-geschossen/ (zuletzt abgerufen am 27.03.2017).

314 Vgl. Ziehbarth, ZD 2014, S. 395.

315 Piltz, ZD 2013, S. 262.

316 Abrufbar unter: http://src.bna.com/dk5 (zuletzt abgerufen am 27.03.2017).

317 Art. 7 DSRL; Schneider in Wolff/ Brink, 2013, Syst. B, Rn. 90.

318 Siehe Drittes Kapitel C. II. 1.

319 Jotzo, 2013, S. 43.

320 Art. 2 lit. h DSRL.

321 Art. 7 lit. a DSRL.

322 Schneider in Wolff/ Brink, 2013, Syst. B, Rn. 91.

323 Artikel 29-Datenschutzgruppe, 2011, WP 187, S. 13; Art. 2 lit. h DSRL.

324 Brühann in Roßnagel, 2003, Kap. 2.4, Rn. 28 f.; Jotzo, 2013, S. 44; Schneider in Wolff/ Brink, 2013, Syst. B, Rn. 97.

325 So auch Art. 8 Abs. 2 S. 1 EGRC und Art. 5 lit. a Europäische Datenschutzkonvention.

326 Jotzo, 2013, S. 44; Schneider in Wolff/ Brink, 2013, Syst. B, Rn. 103 ff.

327 Haug, 2010, Kap. 2, Rn. 100.

328 Brühann in Roßnagel, 2003, Kap. 2.4, Rn. 35.

329 Brühann in Roßnagel, 2003, Kap. 2.4, Rn. 35; Schneider in Wolff/ Brink, 2013, Syst. B, Rn. 103.

330 Siehe Drittes Kapitel C. II. 1.

331 Brühann in Roßnagel, 2003, Kap. 2.4, Rn. 35.

332 Jlussi, 2014, S. 52; Kühling/ Seidel/ Sivridis, 2008, S. 28.

333 Brühann in Roßnagel, 2003, Kap. 2.4, Rn. 31; Jotzo, 2013, S. 45.

334 Siehe Drittes Kapitel C. II. 2. a) cc) (6).

335 Schneider in Wolff/ Brink, 2013, Syst. B, Rn. 101.

336 Art. 17 Abs. 1 DSRL.

337 Schneider in Wolff/ Brink, 2013, Syst. B, Rn. 102.

338 Siehe Drittes Kapitel C. II. 1.

339 Vgl. Gridl, 1999, S. 244.

340 Siehe auch §§ 19, 34 BDSG.

341 Haug, 2010, Kap. 2, Rn. 100; Schneider in Wolff/ Brink, 2013, Syst. B, Rn. 117.

342 Kühling/ Seidel/ Sivridis, 2008, S. 29.

343 Siehe Drittes Kapitel C. II. 1.

344 Siehe auch §§ 20, 35 BDSG.

345 Art. 14 DSRL.

346 Art. 12 lit. b und c DSRL.

347 Art. 23 DSRL.

348 Brühann in Roßnagel, 2003, Kap. 2.4, Rn. 38; Schneider in Wolff/ Brink, 2013, Syst. B, Rn. 119.

349 Schneider in Wolff/ Brink, 2013, Syst. B, Rn. 119; siehe Art. 12 lit. c DSRL.

350 Erwägungsgrund 62 DSRL.

351 Brühann in Roßnagel, 2003, Kap. 2.4, Rn. 42; Jotzo, 2013, S. 47; Schneider in Wolff/ Brink, 2013, Syst. B, Rn. 144.

352 Art. 28 Abs. 3 1. Spiegelstrich DSRL.

353 Art. 28 Abs. 3 2. Spiegelstrich DSRL.

354 Jotzo, 2013, S. 47.

355 Brühann in Roßnagel, 2003, Kap. 2.4, Rn. 45.

356 Ebd., Rn. 44.

357 Schneider in Wolff/ Brink, 2013, Syst. B, Rn. 137.

358 Art. 18 Abs. 2 2. Spiegelstrich DSRL, Tinnefeld/ Buchner/ Petri, 2012, S. 279.

359 Wuermeling, 2000, S. 96.

360 Siehe ausführlich Drittes Kapitel C. II. 2. a) ee).

361 Artikel 29-Datenschutzgruppe, 2010, WP 179, S. 32.

362 Schneider in Wolff/ Brink, 2013, Syst. B, Rn. 148.

363 Artikel 29-Datenschutzgruppe, 2010, WP 179, S. 13.

364 Art. 27 Abs. 1 DSRL.

365 Genz, 2004, S. 110; Kranig/ Peintinger, ZD 2014, S. 3.

366 Artikel 29-Datenschutzgruppe, 1998, WP 13, S. 4.

367 Genz, 2004, S. 110 f.

368 Safer Social Networking Principles for the EU vom 10.02.2009, abrufbar unter http://ec.europa.eu/digital-agenda/sites/digital-agenda/files/sn_principles.pdf (zuletzt abgerufen am 27.03.2017).

369 Ebd., S. 1.

370 Piltz, 2013, S. 309 f.

371 Piltz, delegedata, abrufbar unter https://www.delegedata.de/2014/01/datenschuetzer-veroeffentlichen-orientierungshilfe-zur-selbstregulierung/ (zuletzt abgerufen am 27.03.2017).

372 Siehe dazu Drittes Kapitel C. II. 2. e) dd).

373 Tinnefeld/ Buchner/ Petri, 2012, S. 263 f.

374 Schneider in Wolff/ Brink, 2013, Syst. B, Rn. 162.

375 Deutlmoser/ Filip, ZD-Beilage 2012, S. 9.

376 Brühann in Roßnagel, 2003, Kap. 2.4, Rn. 50; Zerdick, Symposium 2009, S. 31.

377 Gola/ Klug, 2003, S. 21.

378 Art. 25 Abs. 2 DSRL.

379 Artikel 29-Datenschutzgruppe, 1998, WP 12, S. 6 f.; Giesen in Giesen/ Bannasch/ Naumann/ Mauersberger/ Dehoust, 2010, S. 197.

380 Giesen in Giesen/ Bannasch/ Naumann/ Mauersberger/ Dehoust, 2010, S. 196.

381 ABl. EU Nr. L 39/5 vom 12.02.2010, abrufbar unter http://eur-lex.europa.eu/LexUriServ/ LexUriServ.do?uri=OJ:L:2010:039:0005:0018:EN:PDF (zuletzt abgerufen am 27.03.2017).

382 Artikel 29-Datenschutzgruppe, 2014, WP 226.

383 Artikel 29-Datenschutzgruppe, 2014, WP 226, S. 2.

384 Artikel 29-Datenschutzgruppe, 2003, WP 74, S. 8 f.

385 Abrufbar unter http://www.thomashelbing.com/de/datenschutz-konzern-internationale-datentransfer-teil-2-safe-harbor-bcr-binding-corporate-rules-eu-standardvertragsklauseln (zuletzt abgerufen am 27.03.2017).

386 Art. 25 Abs. 5 DSRL; Schneider in Wolff/ Brink, 2013, Syst. B, Rn. 165; Wuermeling, 2000, S. 92.

387 Inderst/ Bannenberg/ Poppe, 2013, S. 339; Taeger, 2014, Kap. III, Rn. 236.

388 Siehe auch § 4b Abs. 2 S. 2 BDSG in Kapitel Drei D. II. 1. e).

389 ABl. EU Nr. L 215 vom 25.08.2000, S. 7 ff.

390 Däubler/ Klebe/ Wedde/ Weichert, 2009, Einleitung, Rn. 15; Deutlmoser/ Filip, ZD-Beilage 2012, S. 9.

391 Dies gilt nur für Unternehmen, die in den Zuständigkeitsbereich der FTC fallen. Ausgeschlossen sind Finanzinstitute, Luftverkehrsunternehmen, Telekommunikationsunternehmen und Verpackungsdienste, Artikel 29-Datenschutzgruppe, Safe Harbor, abrufbar unter http://www.bfdi.bund.de/Migration/DE/EuropaUndInternationales/Art29Gruppe/Artikel/SafeHarbor.html?cms_sortOrder=score+desc&cms_templateQueryString=Safe+harbor (zuletzt abgerufen am 27.03.2017).

392 Determann in Gounalakis, 2003, § 64, Rn. 20; Wagner, 2011, S. 40 f.

393 Schaar, 2002, Kap. 5, Rn. 875.

394 Genz, 2004, S. 137.

395 Wagner, 2011, S. 37.

396 ABl. EU Nr. L 215 v. 25.08.2000, S. 11 f.

397 Genz, 2004, S. 139.

398 ABl. EU Nr. L 215 v. 25.08.2000, S. 12.

399 Wagner, 2011, S. 38.

400 ABl. EU Nr. L 215 v. 25.08.2000, S. 13–25.

401 Fink, 2002, S. 74.

402 Determann, 2012, Kap. 2, Rn. 2.22; Wagner, 2011, 35.

403 Diese Liste ist online veröffentlicht und wird jährlich aktualisiert, abrufbar unter https://safeharbor.export.gov/list.aspx (zuletzt abgerufen am 27.03.2017).

404 Determann, 2012, Kap. 2, Rn. 2.22; Wagner, 2011, S. 153.

405 Genz, 2004, S. 174–179.

406 Däubler in Däubler/ Klebe/ Wedde/ Weichert, 2009, § 4b, Rn. 16; Taeger, 2014, Kap. III, Rn. 237.

407 Genz, 2004, S. 156 f.

408 Connolly, The US Safe Harbor – Fact or Fiction?, 2008, abrufbar unter http://www.galexia.com/public/research/assets/safe_harbor_fact_or_fiction_2008/safe_harbor_fact_or_fiction.pdf (zuletzt abgerufen am 27.03.2017).

409 Von insgesamt 1.597 Unternehmen, die zu dem Zeitpunkt der Studie in der öffentlichen Safe Harbor Liste aufgeführt waren, waren nur 1.109 Unternehmen tatsächlich aktuelle Mitglieder des Safe Harbor. Nur 348 Unternehmen erfüllten die formalen Voraussetzungen für diese Zertifizierung, Connolly, The US Safe Harbor – Fact or Fiction?, 2008, S. 4.

410 Düsseldorfer Kreis, Beschluss vom 28./29.04.2010, S. 1, abrufbar unter http://www.bfdi.bund.de/SharedDocs/Publikationen/Entschliessungssammlung/DuesseldorferKreis/290410_SafeHarbor.pdf?__blob=publicationFile (zuletzt abgerufen am 27.03.2017).

411 Schuppert/ von Reden, ZD 2013, S. 213.

412 Jemand, der Missstände (an seinem Arbeitsplatz) öffentlich macht.

413 Abrufbar unter http://www.spiegel.de/politik/ausland/nsa-spaehaktion-eine-chronologie-der-enthuellungen-a-910838.html und http://www.wiwo.de/technologie/digitale-welt/nach-prism-enthuellungen-whistleblower-snowden-legt-britische-datenueberwachung-offen/8391504.html (zuletzt abgerufen am 27.03.2017).

414 Anzeige der europe-v-facebook.org gegen Facebook vom 26.06.2013, abrufbar unter http://www.europe-v-facebook.org/prism/facebook.pdf (zuletzt abgerufen am 27.03.2017).

415 COM(2013)847 final vom 27.11.2013 abrufbar unter http://ec.europa.eu/justice/data-protection/files/com_2013_847_en.pdf (zuletzt abgerufen am 27.03.2017).

416 Verbraucherzentrale Bundesverband, Surfer haben Rechte, abrufbar unter http://www.surfer-haben-rechte.de/cps/rde/xchg/digitalrechte/hs.xsl/75_2940.htm (zuletzt abgerufen am 27.03.2017); COM(2013)847 final vom 27.11.2013 abrufbar unter http://ec.europa.eu/justice/data-protection/files/com_2013_847_en.pdf (zuletzt abgerufen am 27.03.2017).

417 Pressemitteilung des Europäischen Parlaments vom 15.01.2014 abrufbar unter http://www.europarl.europa.eu/news/de/news-room/content/20140115STO32701/html/Datenaustausch-mit-USA-Debatte-%C3%BCber-Safe-Harbour-Abkommen-nach-NSA-Skandal (zuletzt abgerufen am 27.03.2017).

418 Abrufbar unter http://ec.europa.eu/justice/data-protection/article-29/documentation/other-document/files/2014/20140410_wp29_to_ec_on_sh_recommendations.pdf (zuletzt abgerufen am 27.03.2017).

419 Viviane Reding (Status: 01.08.2014).

420 Pressemitteilung des Europäischen Parlaments vom 15.01.2014 abrufbar unter http://www.europarl.europa.eu/news/de/news-room/content/20140115STO32701/html/Datenaustausch-mit-USA-Debatte-%C3%BCber-Safe-Harbour-Abkommen-nach-NSA-Skandal (zuletzt abgerufen am 27.03.2017).

421 EuGH, Urteil vom 06.10.2015, Az. C-362/14, Rn. 98 abrufbar unter http://curia.europa.eu/juris/document/document.jsf?text=&docid=169195&pageIndex=0&doclang=DE&mode=req&dir=&occ=first&part=1&cid=196172 (zuletzt abgerufen am 27.03.2017).

422 EuGH, Urteil vom 06.10.2015, Az. C-362/14, Rn. 97: Die Kommission hat jedoch in der Entscheidung 2000/520 nicht festgestellt, dass die Vereinigten Staaten von Amerika aufgrund ihrer innerstaatlichen Rechtsvorschriften oder internationaler Verpflichtungen tatsächlich ein angemessenes Schutzniveau „gewährleisten“; EuGH, Urteil vom 06.10.2015, Az. C-362/14, Rn. 98: Daher ist, ohne dass es einer Prüfung des Inhalts der Grundsätze des „sicheren Hafens“ bedarf, der Schluss zu ziehen, dass Art. 1 der Entscheidung 2000/520 gegen die in Art. 25 Abs. 6 der Richtlinie 95/46 im Licht der Charta festgelegten Anforderungen verstößt und aus diesem Grund ungültig ist.

423 Original in engl. Commission implementing decision vom 29.02.2016 abrufbar unter http://ec.europa.eu/justice/data-protection/files/privacy-shield-adequacy-decision_en.pdf (zuletzt abgerufen am 27.03.2017).

424 Pressemitteilung der Europäischen Kommission vom 02.02.2016 abrufbar unter http://europa.eu/rapid/press-release_IP-16-216_en.htm (zuletzt abgerufen am 27.03.2017).

425 Erwägungsgrund 14 des Entwurfs einer Angemessenheitsentscheidung.

426 Erwägungsgrund 24 des Entwurfs einer Angemessenheitsentscheidung.

427 Erwägungsgrund 27 des Entwurfs einer Angemessenheitsentscheidung.

428 Erwägungsgrund 116 des Entwurfs einer Angemessenheitsentscheidung.

429 Erwägungsgrund 63 des Entwurfs einer Angemessenheitsentscheidung; weitere Begrenzungen der Eingriffe in Erwägungsgrund 53 ff.

430 Erwägungsgrund 100 des Entwurfs einer Angemessenheitsentscheidung.

431 Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12.07.2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation, ABl. Nr. L 201 v. 31.07.2002, S. 37.

432 Richtlinie 97/66/EG des Europäischen Parlaments und des Rates vom 15.12.1997 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre im Bereich der Telekommunikation, ABl. Nr. L 024 v. 30.01.1998, S. 1.

433 Kühling/ Seidel/ Sivridis, 2008, S. 39; Zimmer, 2011, S. 84 f.

434 Zimmer, 2011, S. 85.

435 Piltz, delegedata, abrufbar unter https://www.delegedata.de/2016/01/olg-frankfurt-einsatz-von-cookies-fuer-werbezwecke-erfordert-kein-opt-in/ (zuletzt abgerufen am 27.03.2017); mehr zum Opt-out Verfahren siehe Viertes Kapitel, B. IV. 4. b) bb).

436 Art. 2 Ziff. 5 RL 2009/136/EG.

437 Artikel 29-Datenschutzgruppe, 2010, WP 171, S. 10.

438 BT-Drs. 17/6689, S. 1, f.; Jotzo, 2013, S. 177 f.

439 Spies/ Vinke, ZD 2012, S. XVI.

440 So etwa BT-Drs. 17/8454; BT-Drs. 17/6765.

441 European Commission, Communications Committee, COCOM11–20, 2011, abrufbar unter https://www.telemedicus.info/uploads/Dokumente/COCOM11-20QuestionnaireonArt.53e-PrivacyDir.pdf (zuletzt abgerufen am 27.03.2017).

442 Siehe § 15 Abs. 3 TMG unter Drittes Kapitel D. II. 2. b) bb) (2).

443 Abrufbar unter http://www.iabeurope.eu/files/5714/0204/2672/Art5_3_transposition_overview_from_June_2014.pdf (zuletzt abgerufen am 27.03.2017).

444 EuGH, Urteil vom 8.04.2014, Az. C-293/12 und C-495–12.

445 Art. 3 Abs. 1 RL 2006/24/EG.

446 Art. 6 RL 2006/24/EG.

447 Kühling, Seidel, Sivridis, 2011, S. 44; Zimmer, 2011, S. 85 f.

448 Art. 1 Abs. 1 VDSRL.

449 Art. 1 Abs. 2 S. 1 VDSRL.

450 Kühling, Seidel, Sivridis, 2011, S. 44; zu Inhaltsdaten siehe ausführlich Viertes Kapitel B. IV. 3.

451 BIM/IRI, 2008, S. 4; Zimmer, 2011, S. 86.

452 Brodowski, ZIS 2011, S. 948.

453 Fernmeldegeheimnis.

454 Knierim, ZD 2011, S. 18.

455 Batke, 2013, S. 49; EuGH, Beschluss vom 05.06.2014, Rs. C-329/12, abrufbar unter http://curia.europa.eu/juris/document/document.jsf?text=&docid=154461&pageIndex=0&doclang=de (zuletzt abgerufen am 27.03.2017).

456 KOM(2012) 11 endgültig, S. 1 f.

457 Artikel 29-Datenschutzgruppe, 2009, WP 168, S. 20.

458 Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (DatenschutzGrundverordnung) vom 28. Januar 2016, Nr. Vordok.: 15321/15, Erwägungsgrund 6, abrufbar unter http://data.consilium.europa.eu/doc/document/ST-5455-2016-INIT/de/pdf (zuletzt abgerufen am 27.03.2017).

459 Änderungsvorschläge seitens des Rates der Europäischen Union vom 16.12.2013, abrufbar unter http://register.consilium.europa.eu/doc/srv?l=EN&t=PDF&gc=true&sc=false&f=ST%2017831%202013%20INIT (zuletzt abgerufen am 27.03.2017).

460 Legislative Entschließung des Europäischen Parlaments vom 12. März 2014 zu dem Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr, P7_TA(2014)0212.

461 Reding, ZD 2012, S. 198; Taeger, 2014, Kap. I, Rn. 50.

462 Vgl. Zweites Kapitel C. II. 2. a) aa).

463 Erwägungsgrund 26 DS-GVO.

464 Art. 2 Abs. 1; Art. 4 Abs. 1 DS-GVO.

465 Art. 3 Abs. 1 DS-GVO.

466 Art. 3 Abs. 2 lit. a, b DS-GVO; Erwägungsgrund 23 DS-GVO.

467 Erwägungsgrund 24 DS-GVO.

468 Art. 27 Abs. 2 lit. a DS-GVO; Härting, BB 2012, S. 462.

469 Erwägungsgrund 32 DS-GVO.

470 Ebd.

471 Art. 7 Abs. 1 DS-GVO.

472 Art. 7 Abs. 2 DS-GVO.

473 Erwägungsgrund 42 DS-GVO.

474 Art. 7 Abs. 3 DS-GVO; Erwägungsgrund 42 DS-GVO.

475 Art. 8 DS-GVO.

476 Art. 6 Abs. 4 DS-GVO.

477 Piltz, 2013, S. 300.

478 Art. 12 Abs. 1 DS-GVO.

479 Erwägungsgrund 58 DS-GVO.

480 Art. 34 DS-GVO.

481 Art. 5 Abs. 1 lit. c DS-GVO.

482 Siehe dazu Drittes Kapitel C. II. 2. e) cc) (6).

483 Vgl. § 4d Abs. 5 BDSG, siehe auch Drittes Kapitel D. II. 1. c) ff).

484 Art. 35 Abs. 1 DS-GVO.

485 Art. 35 Abs. 7 DS-GVO.

486 Erwägungsgrund 89 DS-GVO.

487 Anders § 4g Abs. 2 BDSG, wonach das Verfahrensverzeichnis auf Antrag jedermann zur Verfügung zu stellen ist.

488 Art. 17 Abs. 1 und Abs. 2 DS-GVO.

489 Art. 17 Abs. 1 lit. a DS-GVO.

490 Art. 17 Abs. 1 lit. b DS-GVO.

491 Art. 17 Abs. 2 DS-GVO; Schild/ Tinnefeld, DuD 2012, S. 314.

492 Art. 20 DS-GVO.

493 Dehmel/Hullen, ZD 2013, S. 153.

494 Datenschutz durch Technik.

495 Datenschutzfreundliche Voreinstellungen.

496 Art. 25 Abs. 1 DS-GVO.

497 Schaar, Identity in the Information Society, 2010, S. 1 f.

498 Erwägungsgrund 78 DS-GVO.

499 Caspar, ZD 2012, S. 556.

500 Art. 4 Ziff. 16 lit. a DS-GVO.

501 Kranig, ZD 2013, S. 556.

502 Art. 83 Abs. 5 DS-GVO.

503 Der Europäische Datenschutzausschuss bestehend aus Vertretern der Aufsichtsbehörden eines jeden Mitgliedstaates sowie dem Europäischen Datenschutzbeauftragten tritt an die Stelle der Artikel 29-Datenschutzgruppe gem. Art. 68 bis 76 DS-GVO. Er soll unabhängig und weisungsfrei agieren können und neben seiner beratenden Funktion auch weitere Aufgaben z. B. die Überwachung und Gewährleistung der Anwendung der DS-GVO gem. Art. 57 DS-GVO übernehmen.

504 Hornung, ZD 2012, S. 105; Schild/ Tinnefeld, DuD 2012, S. 314.

505 Hornung, ZD 2012, S. 105; so auch die Datenschutzbeauftragten des Bundes und der Länder auf der 83. Konferenz vom 21./22.03.2012 in Potsdam, DuD 2012, S. 365.

506 Erwägungsgrund 136 DS-GVO; Roßnagel/ Kroschwald, ZD 2014, S. 499.

507 Art. 40 Abs. 1 DS-GVO.

508 Kranig/ Peintinger, ZD 2014, S. 7.

509 § 38 Abs. 8 DS-GVO; Kranig/ Peintinger, ZD 2014, S. 7.

510 § 38 Abs. 9 DS-GVO; Kranig/ Peintinger, ZD 2014, S. 7.

511 Art. 45 Abs. 1 DS-GVO.

512 Haufe, abrufbar unter http://www.haufe.de/recht/datenschutz/eu-datenschutzverordnung/weitere-geplante -neuerungen_224_206190.html (zuletzt abgerufen am 27.03.2017).

513 Art. 42 Abs. 1 DS-GVO; Erwägungsgrund 100 DS-GVO.

514 Stellungnahme des BITKOM vom 18.05.2012, S. 10, abrufbar unter http://www.bitkom.org/files/documents/BITKOM_Stellungnahme_EU-VO_20120518_.pdf (zuletzt abgerufen am 27.03.2017); Dehmel/ Hullen, ZD 2013, S. 150.

515 Hornung, ZD 2012, S. 102.

516 Art. 64 DS-GVO.

517 Filip, ZD 2013, S. 59 f.

518 Art. 43 Abs. 2 lit. a DS-GVO.

519 Art. 43 Abs. 4 DS-GVO.

520 Art. 43 Abs. 6 DS-GVO.

521 Piltz, delegata, abrufbar unter https://www.delegedata.de/2016/02/datenschutz-grundverordnung-snowden-klausel-wird-nicht-im-vereinigten-koenigreich-gelten/ (zuletzt abgerufen am 27.03.2017).

522 Schriftliche Stellungnahme abrufbar unter http://www.parliament.uk/business/publications/written-questions-answers-statements/written-statement/Lords/2016-02-04/HLWS500 (zuletzt abgerufen am 27.03.2017).

523 Protocol 21 abrufbar unter https://www.gov.uk/government/uploads/system/uploads/attachment_data/file/206474/Final_opt-in_webpage_update.pdf (zuletzt abgerufen am 27.03.2017).

524 Piltz, delegata, abrufbar unter https://www.delegedata.de/2016/02/datenschutz-grundverordnung-snowden-klausel-wird-nicht-im-vereinigten-koenigreich-gelten/ (zuletzt abgerufen am 27.03.2017).

525 Erwägungsgrund 102 DS-GVO.

526 Dietzel, acquisa 05/2012, S. 67.

527 Erwägungsgrund 10 DS-GVO: „(…) Diese Verordnung bietet den Mitgliedstaaten zudem einen Spielraum für die Spezifizierung ihrer Vorschriften, auch für die Verarbeitung besonderer Kategorien von personenbezogenen Daten (im Folgenden „sensible Daten“). Diesbezüglich schließt diese Verordnung nicht Rechtsvorschriften der Mitgliedstaaten aus, in denen die Umstände besonderer Verarbeitungssituationen festgelegt werden, einschließlich einer genaueren Bestimmung der Voraussetzungen, unter denen die Verarbeitung personenbezogener Daten rechtmäßig ist.“

528 Insgesamt gibt es über 60 Öffnungsklauseln, vorrangig für den öffentlichen Sektor (bspw. im Bereich der Sanktionen), aber auch im privaten Sektor (bspw. bei der Altersgrenze zur rechtmäßigen Einwilligung von Kindern oder der Zulässigkeit des Profilings).

529 Vgl. Marktortprinzip Art. 3 DS-GVO; Härting, BB 2012, S. 459; Weichert, RDV 2012, S. 118.

530 Telekommunikationsgesetz vom 22.06.2004, BGBl. I 1190; zuletzt geändert durch Art. 1 des Gesetzes vom 03.05.2012, BGBl. I 958.

531 Dix in Simitis, 2011, § 1 BDSG, Rn. 171; Gola/ Klug, 2003, S. 7; Wohlgemuth/ Gerloff, 2005, S. 7.

532 Jotzo, 2013, S. 39; Zimmer, 2011, S. 87.

533 Simitis in Simitis, 2011, Einleitung, Rn. 2; Tinnefeld in Roßnagel, 2003, Kap. 4.1, Rn. 1 f.

534 Gola, 2011, S. 278; Gola/ Schomerus, 2007, § 1 BDSG, Rn. 2 f.

535 Tinnefeld in Roßnagel, 2003, Kap. 4.1, Rn. 1.

536 Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG.

537 So z. B. das Recht am eigenen Bild in §§ 22 ff. Kunsturhebergesetz (KUG).

538 Conrad in Auer-Reinsdorff/ Conrad, 2011, § 25, Rn. 41; Haug, 2010, Kap. 2, Rn. 75; Wohlgemuth/ Gerloff, 2005, S. 7.

539 Klewitz-Hommelsen, 1996, S. 74.

540 Jandt, 2008, S. 89; Simitis in Simitis, 2011, Einleitung, Rn. 30.

541 BVerfG, Beschluss vom 14.02.1973, Az. 1 BvR 112/65 = NJW 1973, S. 1221; Sprau in Palandt, 2012, § 823 BGB, Rn. 84.

542 BGH, Urteil vom 25.05.1954, Az. I ZR 211/53 = NJW 1954, S. 1404; BGH, Urteil vom 14.02.1958, Az. I ZR 151/56 = NJW 1958, S. 827; Brink in Wolff/ Brink, 2013, Syst. C, Rn. 11; Weidner-Braun, 2012, S. 74 f.

543 Baston-Vogt, 1997, S. 16; Nink in Spindler/ Schuster, 2011, § 823 BGB, Rn. 4.

544 Baston-Vogt, 1997, S. 88; Klass, 2004, S. 241 f.; Nink in Spindler/ Schuster, 2011, § 823 BGB, Rn. 5.

545 Ehmann, Das Allgemeine Persönlichkeitsrecht, S. 9; Klass, 2004, S. 241; Nink in Spindler/ Schuster, 2011, § 823 BGB, Rn. 5.

546 Brink in Wolff/ Brink, 2013, Syst. C, Rn. 12; Conrad in Auer-Reinsdorff/ Conrad, 2011, § 25, Rn. 15; Ehmann, Das Allgemeine Persönlichkeitsrecht, S. 1.

547 Auch bezeichnet als Individualsphäre.

548 BGH, Urteil vom 01.12.1999, Az. I ZR 49/97 = NJW 2000, S. 2195; Brink in Wolff/ Brink, 2013, Syst. C, Rn. 14; Conrad in Auer-Reinsdorff/ Conrad, 2011, § 25, Rn. 15; Hubmann, 1967, S. 268 ff.; Nink in Spindler/ Schuster, 2011, § 823 BGB, Rn. 21.

549 Nink in Spindler/ Schuster, 2011, § 823 BGB, Rn. 23; Spindler, 2012, S. 39.

550 BVerfG, Beschluss vom 03.06.1987, Az. 1 BvR 313/85.

551 EGMR, Urteil vom 24.06.2004, Az.: 59320/00 = NJW 2004, 2647–2652.

552 Nink in Spindler/ Schuster, 2011, § 823 BGB, Rn. 24.

553 Spindler, 2012, S. 40.

554 Ebd.

555 BVerfG, Urteil vom 15.12.1983, Az. 1 BvR 209/83, Leitsätze Nr. 1 = NJW 1984, S. 419, 422.

556 Nink in Spindler/ Schuster, 2011, § 823 BGB, Rn. 28; Taeger, 2014, Kap. II, Rn. 1 f.; Trute in Roßnagel, 2003, Kap. 2.5, Rn. 1, 7.

557 BVerfG, Urteil vom 15.12.1983, Az. 1 BvR 209/83 = NJW 1984, S. 419, 422, vgl. Drittes Kapitel B.

558 Klewitz-Hommelsen, 1996, S. 85; Patzak, 2006, S. 258; Simitis in Simitis, 2011, Einleitung, Rn. 31.

559 BVerfG, Urteil vom 15.12.1983, Az. 1 BvR 209/83 = NJW 1984, S. 419.

560 Jandt, 2008, S. 90.

561 BVerfG, Urteil vom 15.12.1983, Az. 1 BvR 209/83, Rn. 173; Simitis in Simitis, 2011, Einleitung, Rn. 30.

562 § 1 Abs. 1 BDSG.

563 Brink in Wolff/ Brink, 2013, Syst. C, Rn. 45; BVerfG, Urteil vom 11.06.1991, Az. 1 BvR 239/90 = NJW 1991, S. 2411, Rn. 30; Jandt, 2008, S. 90 f.; Kühling, Seidel, Sivridis, 2011, S. 54; Lehner/ Lachmayer in Bauer/ Reimer, 2009, S. 96; Schaar, 2002, Kap. 3, Rn. 127; Wohlgemuth/ Gerloff, 2005, S. 13.

564 Vgl. § 4a BDSG.

565 Siehe dazu Drittes Kapitel D. II. 1. c) aa).

566 § 1004 Abs. 1 S. 2 BGB.

567 §§ 7 f. BDSG und § 823 Abs. 1 BGB.

568 Simitis in Simitis, 2011, § 4a BDSG, Rn. 35; Taeger in Taeger/ Gabel, 2010, § 4a BDSG, Rn. 73; vgl. auch Lorenz, ZD 2012, S. 371.

569 Jandt, 2008, S. 91.

570 Vgl. Drittes Kapitel C. II. 1. a).

571 Piltz, 2013, S. 15.

572 Kühling, Seidel, Sivridis, 2011, S. 56; Piltz, 2013, S. 12.

573 Z. B. Politiker, Angehörige regierender Königs- und Fürstenhäuser, Künstler, Schauspieler, Sänger etc., abrufbar unter https://www.rechtambild.de/2010/03/das-recht-am-eigenen-bild/ (zuletzt abgerufen am 27.03.2017).

574 BGH, Urteil vom 01.12.1999, Az. I ZR 49/97 = NJW 2000, S. 2195; BVerfG, Beschluss vom 22.08.2006, Az. 1 BvR 1168/04 = MIR 10/2006, S. 2.

575 BVerfG, Urteil vom 27.02.2008, Az. 1 BvR 370/07, 595/07 = NJW 2008, S. 822.

576 Insbesondere Art. 10 und Art. 13 GG.

577 BVerfG, Urteil vom 27.02.2008, Az. 1 BvR 370/07, 595/07 = NJW 2008, 7. Leitsatz, Rn. 167, 201.

578 Ebd., Rn. 204.

579 Ebd., Rn. 171.

580 Ebd., Rn. 178.

581 Ebd., Rn. 176 f.

582 Ebd., Rn. 180.

583 Ebd., Rn. 181.

584 Jotzo, 2013, S. 42.

585 Conrad in Auer-Reinsdorff/ Conrad, 2011, § 25, Rn. 61, 64; Tinnefeld/ Buchner/ Petri, 2012, S. 221 f.; Weidner-Braun, 2012, S. 92 ff.

586 So z. B. Sozialgesetze (SGB), Betriebsverfassungsgesetz (BetrVG), Grundbuchordnung (GBO), etc.

587 Kühling, Seidel, Sivridis, 2011, S. 72; Tinnefeld/ Buchner/ Petri, 2012, S. 221.

588 BGBl. I 1977, S. 201; dazu Abel in Roßnagel, 2003, Kap. 2.7, Rn. 17.

589 BDSG vom 01.06.1991, Verkündung am 20.12.1990.

590 BDSG vom 23.05.2001.

591 Abel in Roßnagel, 2003, Kap. 2.7, Rn. 44, 52.

592 BDSG vom 10.07.2009.

593 Vgl. Drittes Kapitel, C. II. 2. a).

594 Plath in Plath, 2012, § 1 BDSG, Rn. 5.

595 § 1 Abs. 1 BDSG; vgl. Art. 1 Abs. 1 DSRL.

596 Simitis in Simitis, 2011, Einleitung, Rn. S. 78.

597 Vgl. Art. 2 lit. a DSRL.

598 § 3 Abs. 1 BDSG.

599 Dammann in Simitis, 2011, § 3 BDSG, Rn. 4; Tinnefeld in Roßnagel, 2003, Kap. 4.1, Rn. 18.

600 Gola/ Schomerus, 2007, § 3 BDSG, Rn. 3.

601 BVerfG, Urteil vom 15.12.1983, Az. 1 BvR 209/83, Rn. 176.

602 Dammann in Simitis, 2011, § 3 BDSG, Rn. 8.

603 § 3 Abs. 6 BDSG.

604 Dammann in Simitis, 2011, § 3 BDSG, Rn. 206; Zech, 2007, S. 71.

605 Dammann in Simitis, 2011, § 3 BDSG, Rn. 207.

606 BVerfG, Beschluss vom 24.09.1987, Az. 1 BvR 970/87 = NJW 1987, S. 2805; Tinnefeld in Roßnagel, 2003, Kap. 4.1, Rn. 23.

607 Vgl. Dammann in Simitis, 2011, § 3 BDSG, Rn. 196.

608 Tinnefeld in Roßnagel, 2003, Kap. 4.1, Rn. 30.

609 § 3 Abs. 6a BDSG.

610 Bauer/ Greve/ Hopf, 2011, S. 101.

611 Kaymaz, 2011, S. 104; Plath/ Schreiber in Plath, 2012, § 3 BDSG, Rn. 63.

612 Gola/ Schomerus, 2007, § 3a BDSG, Rn. 10; Kühling, Seidel, Sivridis, 2011, S. 85; Plath/ Schreiber in Plath, 2012, § 3 BDSG, Rn. 64.

613 Plath/ Schreiber in Plath, 2012, § 3 BDSG, Rn. 62; Tinnefeld/ Buchner/ Petri, 2012, S. 228.

614 Art. 2 lit. b DSRL, vgl. Zweites Kapitel C. II. 2. a) aa).

615 Gola/ Schomerus, 2007, § 1 BDSG, Rn. 22.

616 § 3 Abs. 3 BDSG.

617 Siehe mehr Viertes Kapitel B. III.

618 Gola/ Schomerus, 2007, § 3 BDSG, Rn. 24.

619 Dammann in Simitis, 2011, § 3 BDSG, Rn. 102.

620 Siehe Viertes Kapitel B. II. 2.

621 § 3 Abs. 4 S. 1 BDSG.

622 Dammann in Simitis, 2011, § 3 BDSG, Rn. 111.

623 § 3 Abs. 4 S. 2 Nr. 1 BDSG.

624 Dammann in Simitis, 2011, § 3 BDSG, Rn. 118.

625 Ebd., Rn. 120.

626 § 3 Abs. 4 S. 2 Nr. 2 BDSG.

627 Dammann in Simitis, 2011, § 3 BDSG, Rn. 129 ff.; Plath/ Schreiber in Plath, 2012, § 3 BDSG, Rn. 36; Tinnefeld/ Buchner/ Petri, 2012, S. 231.

628 § 3 Abs. 4 S. 2 Nr. 3 BDSG.

629 Elixmann, 2012, S. 112.

630 Dammann in Simitis, 2011, § 3 BDSG, Rn. 146.

631 Plath/ Schreiber in Plath, 2012, § 3 BDSG, Rn. 40.

632 § 3 Abs. 4 S. 2 Nr. 4 BDSG.

633 Plath/ Schreiber in Plath, 2012, § 3 BDSG, Rn. 48.

634 § 35 Abs. 3 BDSG.

635 Lat. = es ist nicht klar.

636 Gola/ Schomerus, 2007, § 35 BDSG, Rn. 18; § 35 Abs. 4 BDSG.

637 § 35 Abs. 5 S. 1 BDSG.

638 § 35 Abs. 5 S. 2 BDSG.

639 Witt, 2010, S. 76.

640 Die Übermittlung oder Nutzung von gesperrten Daten kann nur zur Behebung einer bestehenden Beweisnot erfolgen, also wenn Tatsachen nicht anders als durch Vorlage gesperrter Daten bewiesen werden können. Es muss allerdings eine akute Beweisnot vorlegen und nicht etwa eine zu erwartende Situation, aus der sich eine Beweisnot ergeben könnte, Gola/ Schomerus, 2007, § 20, Rn. 32.

641 § 35 Abs. 8 Nr. 1 BDSG.

642 Bonk, 2009, S. 175.

643 Gola/ Schomerus, 2007, § 3 BDSG, Rn. 39.

644 § 3 Abs. 4 S. 2 Nr. 5 BDSG.

645 Dammann in Simitis, 2011, § 3, Rn. 174–182; Plath/ Schreiber in Plath, 2012, § 3 BDSG, Rn. 52.

646 Gola/ Schomerus, 2007, § 35 BDSG, Rn. 10.

647 Ebd., Rn. 11, 12, 14.

648 Vgl. D. II. 1. a) bb) (2).

649 § 3 Abs. 5 BDSG.

650 Gola/ Schomerus, 2007, § 3 BDSG, Rn. 42; Plath/ Schreiber in Plath, 2012, § 3 BDSG, Rn. 53; Tinnefeld/ Buchner/ Petri, 2012, S. 231 f.

651 Dammann in Simitis, 2011, § 3, Rn. S. 189.

652 Gola/ Schomerus, 2007, § 3 BDSG, Rn. 41; Plath/ Schreiber in Plath, 2012, § 3 BDSG, Rn. 55.

653 Gola/ Schomerus, 2007, § 3 BDSG, Rn. 15; § 1 Abs. 2 Nr. 3 BDSG; § 27 Abs. 1 S. 1 BDSG.

654 Kühling, Seidel, Sivridis, 2011, S. 96.

655 Art. 2 lit. d S. 1 DSRL.

656 § 3 Abs. 7 BDSG.

657 Plath/ Schreiber in Plath, 2012, § 3 BDSG, Rn. 66; Tinnefeld/ Buchner/ Petri, 2012, S. 232.

658 Vgl. Zweites Kapitel C. II. 2. a) bb).

659 Karg, ZD 2013, S. 372; Scheja/ Haag in Leupold/ Glossner, 2011, Teil 4 E, Rn. 58; siehe dazu auch Drittes Kapitel C. II. 2. a) bb).

660 OVG Schleswig, Beschluss vom 22.04.2013, Az. 4 MB 11/13 = ZD 2013, S. 365.

661 Plath in Plath, 2012, § 1 BDSG, Rn. 60.

662 Grapentin in Auer-Reinsdorff/ Conrad, 2011, § 26, Rn. 13; Sachs, 2008, S. 110; Schmidl in Lehmann/ Meents, 2011, Kap. 20, Rn. 377.

663 Vgl. Zweites Kapitel C. II. 2. a) bb).

664 Grapentin in Auer-Reinsdorff/ Conrad, 2011, § 26, Rn. 19; Klar, ZD 2013, S. 109; Plath in Plath, 2012, § 1 BDSG, Rn. 62; Sachs, 2008, S. 110 f.

665 Plath in Plath, 2012, § 1 BDSG, Rn. 61; Sachs, 2008, S. 101.

666 Plath in Plath, 2012, § 1 BDSG, Rn. 67; Scheja/ Haag in Leupold/ Glossner, 2011, Teil 4 E, Rn. 60.

667 Vgl. Zweites Kapitel C. II. 2. a) bb).

668 § 1 Abs. 5 S. 4 BDSG; vgl. Art. 4 Abs. 1 lit. c DSRL.

669 Plath in Plath, 2012, § 1 BDSG, Rn. 69 f.; Scheja/ Haag in Leupold/ Glossner, 2011, Teil 4 E, Rn. 61.

670 Plath in Plath, 2012, § 1 BDSG, Rn. 71.

671 Vgl. Art. 7 DSRL.

672 Vgl. § 28 Abs. 3 S. 1, Abs. 3a BDSG.

673 § 4 Abs. 1 BDSG.

674 § 4a Abs. 1 S. 3 BDSG.

675 Simitis in Simitis, 2014, § 4a BDSG, Rn. 62; Spindler/ Nink in Spindler/ Schuster, 2011, § 4a BDSG, Rn. 4 ff.

676 § 4a Abs. 1 S. 4 BDSG; Plath in Plath, 2012, § 4a BDSG, Rn. 2; Simitis in Simitis, 2014, § 4a BDSG, Rn. 40; Spindler/ Nink in Spindler/ Schuster, 2011, § 4a BDSG, Rn. 8.

677 Däubler in Däubler/ Klebe/ Wedde/ Weichert, 2009, S. 166; Plath in Plath, 2012, § 4a BDSG, Rn. 4 f.; Scheja/ Haag in Leupold/ Glossner, 2011, Teil 4 E, Rn. 73.

678 § 28 Abs. 3b BDSG; Scheja/ Haag in Leupold/ Glossner, 2011, Teil 4 E, Rn. 91; Siehe ausführlich Viertes Kapitel B. IV. 4. b) bb) (1).

679 Simitis in Simitis, 2014, § 4a BDSG, Rn. 1.

680 Spindler/ Nink in Spindler/ Schuster, 2011, § 4 BDSG, Rn. 4; Taeger in Tager/ Gabel, 2010, § 28 BDSG, Rn. 1; Taeger, 2014, Kap. III, Rn. 142.

681 § 28 Abs. 1 S. 1 BDSG.

682 § 28 Abs. 1 S. 1 Nr. 1 BDSG.

683 § 28 Abs. 1 S. 1 Nr. 2 BDSG.

684 § 28 Abs. 1 S. 1 Nr. 3 BDSG.

685 § 28 Abs. 2 BDSG.

686 § 28 Abs. 3 BDSG.

687 § 29 Abs. 1 BDSG.

688 Taeger, 2014, Kap. III, Rn. 189.

689 Vgl. Art. 3 Abs. 2 zweiter Spiegelstrich DSRL und Art. 2 Abs. 2 lit. c DS-GVO; Gola, 2011, S. 281.

690 Dammann in Simitis, 2014, § 1 BDSG, Rn. 148.

691 § 28 Abs. 1 S. 2 BDSG.

692 § 4 Abs. 3 Nr. 2, § 4a Abs. 1 S. 2, § 33 Abs. 1 S. 1 BDSG.

693 Däubler/ Klebe/ Wedde/ Weichert, 2009, S. 81.

694 Spindler/ Nink in Spindler/ Schuster, 2011, S. 49; Taeger, 2014, Kap. III, Rn. 122.

695 § 4 Abs. 3 BDSG; vgl. Art. 10 DSRL und Art. 11 Abs. 2 DS-GVO.

696 § 33 BDSG; vgl. Art. 11 DSRL.

697 § 34 BDSG; vgl. Art. 12 DSRL.

698 Vgl. Drittes Kapitel C. II. 2. a) cc) (6).

699 Vgl. §§ 13–16, § 28 Abs. 1 S. 1 Nr. 2 und § 30 Abs. 1 S. 2 BDSG; vgl. Drittes Kapitel C. II. 2. a) cc) (4).

700 Siehe mehr unter Drittes Kapitel C. II. 2. e) cc) (7).

701 Schreiber in Plath, 2012, § 3a BDSG, Rn. 2.

702 Scholz in Simitis, 2011, § 3a, Rn. 20.

703 1. Zutrittskontrolle, 2. Zugangskontrolle, 3. Zugriffskontrolle, 4. Weitergabekontrolle, 5. Eingabe-kontrolle, 6. Auftragskontrolle, 7. Verfügbarkeitskontrolle, 8. Zweckbindung/Trennungsgebot, Anlage BDSG.

704 Scheja/ Haag in Leupold/ Glossner, 2011, Teil 4 E, Rn. 27.

705 Jandt, 2008, S. 108.

706 Art. 28 Abs. 1 DSRL; vgl. Drittes Kapitel C. II. 2. a) cc) (7).

707 § 4f Abs. 1 S. 6 BDSG.

708 Tinnefeld/ Buchner/ Petri, 2012, S. 283.

709 Abrufbar unter https://www.datenschutz-notizen.de/datenschutz-grundverordnung-datenschutzmanagement-teil-1-0413814/ (zuletzt abgerufen am 27.03.2017); § 4d Abs. 5 BDSG; siehe auch Drittes Kapitel C. II. 2. e) cc) (5).

710 Jandt, 2008, S. 111; Tinnefeld/ Buchner/ Petri, 2012, S. 286.

711 Genz, 2004, S. 112.

712 § 38a Abs. 2 BDSG.

713 Kranig/ Peintinger, ZD 2014, S. 4 f.; Taeger, 2014, Kap. VI, Rn. 9.

714 Roßnagel in Roßnagel, 2003, Kap. 3.6, Rn. 2.

715 BT-Drs. 14/4329, S. 46.

716 Genz, 2004, S. 113; Taeger, 2014, Kap. VI, Rn. 9; vgl. auch Roßnagel in Roßnagel, 2003, Kap. 3.6, Rn. 2.

717 § 9a S. 2 BDSG.

718 Bohnen, 2011, S. 12; Genz, 2004, S. 114 f.

719 Vgl. Drittes Kapitel C. II. 2. a) ee).

720 Scheja/ Haag in Leupold/ Glossner, 2011, Teil 4 E, Rn. 193 f.

721 Vgl. Drittes Kapitel C. II. 2. a) ee).

722 Scheja/ Haag in Leupold/ Glossner, 2011, Teil 4 E, Rn. 205 f.

723 Tinnefeld/ Buchner/ Petri, 2012, S. 387.

724 Jotzo, 2013, S. 49 f.

725 Weidner-Braun, 2012, S. 92 ff.

726 Richtlinie 2000/31/EG des Europäischen Parlaments und des Rates vom 08.06.2000 über bestimmte rechtliche Aspekte der Dienste der Informationsgesellschaft, insbesondere des elektronischen Geschäftverkehrs, im Binnenmarkt (sog. Richtlinie über den elektronischen Geschäftsverkehr).

727 § 1 Abs. 1 S. 1 TMG.

728 Hawellek in Forgó/ Helfrich/ Schneider, 2014, Teil VII Kap. 2, Rn. 28 f.; Karg/ Fahl, K&R 2011, S. 456; Kühling, Seidel, Sivridis, 2011, S. 225.

729 Siehe Viertes Kapitel B. I.

730 So auch Hawellek in Forgó/ Helfrich/ Schneider, 2014, Teil VII Kap. 2, Rn. 16 f.

731 Gola/ Schomerus, 2007, § 1 BDSG, Rn. 24.

732 Köhler/ Arndt/ Fetzer, 2011, Kap. IX, Rn. 907; Piltz, 2013, S. 265.

733 Roßnagel in Roßnagel, 2013, Einleitung, Rn. 17.

734 Ufer, 2007, S. 23.

735 Scheja/ Haag in Leupold/ Glossner, 2011, Teil 4 H, Rn. 414.

736 Weidner-Braun, 2012, S. 99.

737 Pfeiffer/ Weller/ Nordmeier in Spindler/ Schuster, § 3 TMG, Rn. 3; weitere Beispiele für Telemediendienste: Suchmaschinen (z. B. Google), Onlineshops (z. B. amazon.de), Chatrooms (z. B. tinychat.com), Videoportale (z. B. youtube.de) etc., BT-Drs. 16/3078, S. 13 f.

738 Roßnagel in Roßnagel, 2013, Einleitung, Rn. 27.

739 § 2 S. 1 Nr. 1 TMG.

740 Schwartmann/ Gennen/ Völkel, 2009, S. 455.

741 Jotzo, 2013, S. 54.

742 Kamps in Lehmann/ Meents, 2011, Kap. 20, Rn. 168.

743 Kamps in Lehmann/ Meents, 2011, Kap. 20, Rn. 167, siehe ausführlich Viertes Kapitel B. IV.

744 Vgl. § 4 Abs. 1 BDSG.

745 Vgl. § 28 Abs. 1 S. 2 BDSG.

746 Der Begriff des „Verwendens“ umfasst die Begriffe des Verarbeitens und Nutzens personenbezogener Daten, welche in § 3 Abs. 4 und 5 BDSG definiert sind.

747 Schwartmann/ Gennen/ Völkel, 2009, S. 461.

748 Tinnefeld/ Buchner/ Petri, 2012, S. 391.

749 European Commission, Communications Committee, COCOM11–20, 2011, S. 4 f., abrufbar unter https://www.telemedicus.info/uploads/Dokumente/COCOM11-20QuestionnaireonArt.53e-PrivacyDir.pdf (zuletzt abgerufen am 27.03.2017).

750 Vgl. Drittes Kapitel C. II. 2. c).

751 European Commission, Communications Committee, COCOM11–20, 2011, S. 4 f., abrufbar unter https://www.telemedicus.info/uploads/Dokumente/COCOM11-20QuestionnaireonArt.53e-PrivacyDir.pdf (zuletzt abgerufen am 27.03.2017).

752 Dazu sogleich § 15 Abs. 3 TMG unter Drittes Kapitel D. II. 2. b) bb) (2).

753 Telemedicus, Recht der Informationsgesellschaft, abrufbar unter http://www.telemedicus.info/article /2716-EU-Kommission-Cookie-Richtlinie-ist-in-Deutschland-umgesetzt.html (zuletzt abgerufen am 27.03.2017).

754 Heckmann, 2009, Kap. 1.12, Rn. 58.

755 Spindler/ Nink in Spindler/ Schuster, 2011, § 14 TMG, Rn. 1.

756 § 14 Abs. 1 TMG.

757 Hullen/ Roggenkamp in Plath, 2012, § 14 TMG, Rn. 1.

758 Dix in Roßnagel, 2013, § 14 TMG, Rn. 21.

759 Dix in Roßnagel, 2013, § 14 TMG, Rn. S. 253; Kühling, Seidel, Sivridis, 2011, S. 233; Tinnefeld/ Buchner/ Petri, 2012, S. 393; zu sozialen Netzwerken siehe ausführlich Viertes Kapitel B. IV. 1.

760 Dix in Roßnagel, 2013, § 14 TMG, Rn. 40 f.

761 Hullen/ Roggenkamp in Plath, 2012, § 14 TMG, Rn. 15.

762 Heckmann, 2009, Kap. 1.14, Rn. 25; Hullen/ Roggenkamp in Plath, 2012, § 14 TMG, Rn. 20; Spindler/ Nink in Spindler, Schuster, 2011, § 14 TMG, Rn. 6; Tinnefeld/ Buchner/ Petri, 2012, S. 393.

763 Schwartmann, 2011, S. 312.

764 Hullen/ Roggenkamp in Plath, 2012, § 14 TMG, Rn. 17.

765 Spindler/ Nink in Spindler/ Schuster, 2011, § 14 TMG, Rn. 6.

766 § 15 Abs. 1 TMG.

767 Heckmann, 2009, Kap. 1.15, Rn. 1 ff.; Siebert, 2011, S. 106; Tinnefeld/ Buchner/ Petri, 2012, S. 394.

768 § 14 Abs. 1 TMG; Spindler/ Nink in Spindler/ Schuster, 2011, § 15 TMG, Rn. 2.

769 Merkmale zur Identifikation des Nutzers, Angaben über Beginn und Ende sowie des Umfangs der jeweiligen Nutzung und Angaben über die vom Nutzer in Anspruch genommenen Telemedien.

770 § 15 Abs. 4 S. 1 TMG; Siebert, 2011, S. 106; Tinnefeld/ Buchner/ Petri, 2012, S. 394.

771 Hullen/ Roggenkamp in Plath, 2012, § 15 TMG, Rn. 32.

772 Dix/ Schaar in Roßnagel, 2013, § 15 TMG, Rn. 61; Spindler/ Nink in Spindler/ Schuster, 2011, § 15 TMG, Rn. 7.

773 Dix/ Schaar in Roßnagel, 2013, § 15 TMG, Rn. 71; siehe auch Drittes Kapitel D. II. 2. b) dd).

774 Dix/ Schaar in Roßnagel, 2013, § 15 TMG, Rn. 61; Hullen/ Roggenkamp in Plath, 2012, S. 1051; Missling in Weitnauer, 2012, S. 379; Spindler/ Nink in Spindler/ Schuster, 2011, § 15 TMG, Rn. 7 f.

775 § 15 Abs. 5 S. 3 TMG.

776 Dix/ Schaar in Roßnagel, 2013, § 15 TMG, Rn. 8; Heckmann, 2009, Kap. 1.15, Rn. 23.

777 BVerfG, Beschluss vom 16.07.1969, Az. 1 BvL 19/63.

778 Spindler/ Nink in Spindler/ Schuster, 2011, § 15 TMG, Rn. 63.

779 Vgl. Art. 7 DSRL.

780 Vgl. § 4 Abs. 1 BDSG.

781 Hullen/ Roggenkamp in Plath, 2012, § 12 TMG, Rn. 21 f.; Jandt/ Schaar/ Schulz in Roßnagel, 2013, § 13 TMG, Rn. 66 f.; Spindler/ Nink in Spindler, Schuster, 2011, § 12 TMG, Rn. 3.

782 Gola/ Schomerus, 2007, § 4a BDSG, Rn. 13; Spindler/ Nink in Spindler, Schuster, 2011, § 13 TMG, Rn. 6.

783 Piltz, 2013, 123 ff.; Plath in Plath, 2012, § 4a BDSG, Rn. 15; Scheja/ Haag, 2011, S. 339.

784 § 13 Abs. 2 Nr. 1 TMG.

785 Heckmann, 2009, Kap. 1.13, Rn. 25; Jandt/ Schaar/ Schulz in Roßnagel, 2013, § 13 TMG, Rn. 72.

786 BGH, Urteil vom 16.07.2008, Az. VIII ZR 348/06 = NJW 2008, S. 3055; BGH, Urteil vom 11.11.2009, Az. VIII ZR 12/08 = NJW 2010, S. 864; Kahler/ Werner, 2007, S. 213; OLG Brandenburg; Urteil vom 11.01.2006, Az. 7 U 52/05 = MMR 2006, S. 405; Scheja/ Haag in Leupold/ Glossner, 2011, Teil 4 E, Rn. 83.

787 Jandt/ Schaar/ Schulz in Roßnagel, 2013, § 13 TMG, Rn. 73; Scheja/ Haag in Leupold/ Glossner, 2011, Teil 4 E, Rn. 83; Tinnefeld/ Buchner/ Petri, 2012, S. 399.

788 § 13 Abs. 2 Nr. 2 TMG.

789 Hullen/ Roggenkamp in Plath, 2012, § 13 TMG, Rn. 25.

790 § 13 Abs. 2 Nr. 3 TMG.

791 Jandt/ Schaar/ Schulz in Roßnagel, 2013, § 13 TMG, Rn. 83.

792 Kahler/ Werner, 2007, S. 213; Spindler/ Nink in Spindler, Schuster, 2011, § 13 TMG, Rn. 3a.

793 Schneider, Pischel, 2009, S. 208; § 13 Abs. 1 TMG.

794 Jandt/ Schaar/ Schulz in Roßnagel, 2013, § 13 TMG, Rn. 43–46.

795 Ebd., Rn. 3.

796 § 13 Abs. 1 S. 2 TMG.

797 Kamps in Lehmann/ Meents, 2011, Kap. 20, Rn. 173.

798 Ausführlich dazu siehe Viertes Kapitel B. II. 2.

799 Jandt/ Schaar/ Schulz in Roßnagel, 2013, § 13 TMG, Rn. 54.

800 Vgl. Art. 23 DS-GVO.

801 Kalberg, 2008, S. 16.

802 Jandt/ Schaar/ Schulz in Roßnagel, 2013, § 13 TMG, Rn. 97; § 4f und g BDSG.

803 Zeit Online, 22.06.2013, abrufbar unter http://www.zeit.de/digital/datenschutz/2013-06/facebook-kontaktdaten-sicherheitsluecke (zuletzt abgerufen am 27.03.2017).

804 Stellungnahme Facebook vom 21.06.2013, abrufbar unter https://www.facebook.com/notes/facebook-security/important-message-from-facebooks-white-hat-program/10151437074840766 (zuletzt abgerufen am 27.03.2017).

805 Hullen/ Roggenkamp in Plath, 2012, § 15a TMG, Rn. 1.

806 BT-Drs. 16/12011, S. 34.

807 “We have already notified our regulators in the US, Canada and Europe, and we are in the process of notifying affected users via email.”, Stellungnahme Facebook vom 21.06.2013, abrufbar unter https://www.facebook.com/notes/facebook-security/important-message-from-facebooks-white-hat-program/10151437074840766 (zuletzt abgerufen am 27.03.2017).

808 BT-Drs. 16/12011, S. 34 f.

809 § 13 Abs. 5 TMG.

810 Heckmann, 2009, Kap. 1.13, Rn. 71–74; Jandt/ Schaar/ Schulz in Roßnagel, 2013, § 13 TMG, Rn. 117.

811 Jandt/ Schaar/ Schulz in Roßnagel, 2013, § 13 TMG, Rn. 20.

812 Vgl. § 3 Abs. 6 BDSG, siehe dazu auch Drittes Kapitel D. II. 1. a) (aa) (1).

813 Vgl. § 3 Abs. 6a BDSG, siehe dazu auch Drittes Kapitel D. II. 1. a) (aa) (2).

814 § 13 Abs. 6 TMG.

815 Spindler/ Nink in Spindler/ Schuster, 2011, § 13 TMG, Rn. 10.

816 Zufällig ausgewählte Zahlenketten, die dem Nutzer für die Dauer der Nutzung zugeschrieben werden.

817 Spindler/ Nink in Spindler/ Schuster, 2011, § 13 TMG, Rn. 11.

818 Heckmann, 2009, Kap. 1.13, Rn. 78.

819 Jandt/ Schaar/ Schulz in Roßnagel, 2013, § 13 TMG, Rn. 30.

820 Spindler/ Nink in Spindler/ Schuster, 2011, § 13 TMG, Rn. 10.

821 So Facebook in der „Erklärung der Rechte und Pflichten“ gem. Ziff. 4: „Facebook-Nutzer geben ihre wahren Namen und Daten an und wir benötigen deine Hilfe, damit dies so bleibt.“ abrufbar unter https://www.facebook.com/legal/terms (zuletzt abgerufen am 27.03.2017).

822 Karg, ZD 2013, S. 247 f.; Poller/ Waldmann, 08/2013, S. 53.

823 Urteil vom 14.02.2013, Az. 8 B 60/12.

824 Urteil vom 22.04.2013, Az. 4 MB 10/13 und 4 MB 11/13 = ZD 2013, S. 364.

825 Siehe mehr Viertes Kapitel A.

826 Hullen/ Roggenkamp in Plath, 2012, § 13 TMG, Rn. 42.

827 § 13 Abs. 8 S. 1 TMG.

828 § 13 Abs. 8 S. 2 TMG; Spindler/ Nink in Spindler/ Schuster, 2011, § 13 TMG, Rn. 16.

829 Hullen/ Roggenkamp in Plath, 2012, § 13 TMG, Rn. 44.

830 Gitter in Roßnagel, 2013, § 3 TMG, Rn. 15 f.

831 Ebd., Rn. 20.

832 § 3 Abs. 3 Nr. 4 TMG.

833 Simitis in Simitis, 2011, § 1 BDSG, Rn. 48 f.

834 VG Schleswig-Holstein, Urteil vom 14.02.2013, Az. 8 B 60/12.

835 OVG Schleswig-Holstein, Urteil vom 22.04.2013, Az. 4 MB 10/13, 4 MB 11/13.

836 So auch International Working Group on Data Protection in Telecommunications, Bericht und Empfehlung zum Datenschutz in sozialen Netzwerkdiensten – Rom-Memorandum, 43. Sitzung, 2008, S. 3, abrufbar unter http://www.datenschutz.fu-berlin.de/dahlem/ressourcen/675_36_13-ROM-Memorandum.pdf (zuletzt abgerufen am 27.03.2017).

837 Vgl. § 4b und c BDSG.

838 Roßnagel in Roßnagel, 2003, Kap. 7.9, Rn. 36.

839 Härting, BB 2012, S. 459.

840 Vgl. Simitis in Simitis, 2011, Einleitung, Rn. 34.