beck-shop.de Druckerei C. H. Beck ... Revision, Recht des Datenschutzes Auer-Reinsdorff/Conrad, Beck sches Mandatshandbuch, IT-Recht

Transkript

1 beck-shopde Druckerei C H Beck Revision, I Einleitung 1 25 Revision Conrad I Einleitung Recht des Datenschutzes Recht des Datenschutzes Übersicht Rdnr I Einleitung 1 9 II Persönlichkeitsrecht, Datenschutz und verfassungsrechtliche Grundlagen Schutzgüter und Abgrenzungen Entwicklung der Datenschutzgesetzgebung a) Die erste Fassung des BDSG (1977) b) Volkszählungsurteil des BVerfG und die zweite Fassung des BDSG c) Europäisches Datenschutzrecht 31, 32 d) Dritte Fassung des BDSG e) Drei BDSG-Novellen in , 35 f) Entwurf eines Gesetzes zur Regelung des Beschäftigtendatenschutzes 36 3 Querverbindungen zu anderen Rechtsgebieten a) Verfassungsrecht und (zivilrechtliches) allgemeines Persönlichkeitsrecht 41 b) Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme c) E-Commerce (Telemedien- und TK-Recht) und Datenbankenschutz 58 d) Digital Rights Management 59 e) UWG 60 III Überblick über das Bundesdatenschutzgesetz Systematik des Datenschutzrechts a) Verhältnis des BDSG zu anderen Datenschutzvorschriften und -regelungen b) Anwendungsbereich des BDSG im öffentlichen und nicht-öffentlichen Bereich 67, 68 c) Geltung des BDSG bei Auslandsbezug 69, 70 2 Aufbau des BDSG 71, 72 3 Grundbegriffe des BDSG a) Personenbezogene Daten 73 b) Ansätze von BDSG und Richtlinie 95/46/EG im Hinblick auf besondere Kategorien personenbezogener Daten und Phasen des Datenumgangs c) Verantwortliche Stelle und nicht automatisierte Dateien 78 d) Adressat datenschutzrechtlicher Pflichten 79, 80 e) Abgrenzung zwischen Datenschutz und Datensicherung/Datensicherheit 81 4 Grundprinzipien des BDSG a) Transparenz gegenüber dem Betroffenen 85 b) Erweiterte Verarbeitungsbeschränkungen 86 c) Behördliche Datenschutzaufsicht IV Zulässigkeit des Umgangs mit personenbezogenen Daten Beispiel Beschäftigtendatenschutz Ausgangssituation zum Konzerndatenschutz Erlaubnisvorschriften außerhalb des BDSG a) 1 Abs 3 S 1 BDSG b) andere Rechtsvorschrift im Sinne des 4 Abs 1 BDSG Normalfall des 32 Abs 1 S 1 BDSG bei der Erhebung, Verarbeitung und Nutzung von Beschäftigtendaten a) Anwendungsbereich 106, 107 b) Zwecke des Beschäftigungsverhältnisses und besonderte Arten von Beschäftigtendaten c) Datenerhebung zur Begründung und Durchführung eines Beschäftigungsverhältnisses Kontrollen von Beschäftigtendaten und interne Ermittlungen a) Regelungsinhalt des 32 Abs 1 S 2 BDSG 120, 121 Conrad 1179

2 beck-shopde Druckerei C H Beck Revision, Recht des Datenschutzes 1180 Conrad Rdnr b) Verhältnis von 32 zu 28 BDSG speziell bei präventiven Kontrollen c) Qualifikations- und Abrechnungsnachweise gegenüber Dritten 125, 126 d) Tätigkeit der Innenrevision, Screening, Whistleblowing e) Firmenkreditkarte 130 f) E-Learning, Gesundheitstests, Video- und TK-Datenüberwachung g) Data Loss Prevention (DLP) h) Ortungssysteme, Flottenmanagement Konzerndatenschutz, Auftragsdatenverarbeitung ( 11 BDSG) und Funktionsübertragung a) Kein Konzernprivileg, Probleme bei Matrix-Strukturen 143, 144 b) Zulässigkeit der Datenübermittlung im Konzern nach 32 und 28 BDSG c) Auftragsdatenverarbeitung ( 11 BDSG) in Abgrenzung zur Funktionsübertragung Arbeitnehmereinwilligungen und Beteiligung des Betriebsrats a) Einwilligung von Arbeitnehmern 157, 158 b) Beteiligung des Betriebsrats, Betriebsvereinbarungen Novelle im Beschäftigtendatenschutz a) Überblick über die Regelungen des Gesetzesentwurfs vom b) Bewerberdaten aus sozialen Netzwerken 171, 172 c) Automatisierte Datenabgleiche (Screening) d) Videoüberwachung 176 e) Überwachung der Nutzung von Telekommunikationsdiensten 177, 178 f) Einwilligung und Betriebsvereinbarung 179, 180 g) Kritik am Gesetzesentwurf vom V Betrieblicher Beauftragter für den Datenschutz Europarechtliche Vorgaben und Entwicklung 182, Pflichten bei der Bestellung eines Beauftragten für den Datenschutz Fachkunde und Zuverlässigkeit Aufgaben des Datenschutzbeauftragten Rechte des betrieblichen Datenschutzbeauftragten a) Unabhängigkeit und unmittelbare Unterstellung unter die Geschäftsleitung b) Unterstützung durch die verantwortliche Stelle c) Kündigungsschutz des Datenschutzbeauftragten d) Weiterbildungsanspruch 222 e) Verschwiegenheitspflicht Externer Datenschutzbeauftragter als gewerbliche Tätigkeit 224 VI Datenschutzrechtliche Einwilligung Einwilligung nach BDSG a) Abgrenzung der Anforderungen und Transparenz 225, 226 b) OLG Frankfurt v Haushaltsumfrage c) BGH v Payback d) BGH v Happy Digits Einwilligung nach TMG Einwilligung nach TKG Einwilligung im Direktmarketing VII Kundendatenschutz (Adresshandel, CRM, Scoring u ä) Adresshandel und Werbung 258, Customer Relationship Management (CRM), Profilbildung Bonitätsprüfung, Scoring, Geo-Scoring a) Bonitätsprüfung, Scoring 276 b) Regelung des Scoring vor der BDSG-Novelle I und III c) Neue Gesetzesregelung zur Datenübermittlung an Auskunfteien ( 28 a BDSG) und zum Scoring ( 28 b BDSG) d) Google Street View Datenschutz und Marketing das Zusammenspiel von UWG und BDSG a) UWG-Novelle b) Unzulässige Formen der Kundenansprache c) Wettbewerbsmaßnahmen per Telefon, , SMS und Fax gegenüber Verbrauchern d) Unerwünschte Kundenansprache mittels Briefen, Prospekten und Katalogen

3 beck-shopde Druckerei C H Beck Revision, I Einleitung 1 25 Rdnr e) Wettbewerbsrechtliche Relevanz von Verstößen gegen datenschutzrechtliche Informationspflichten f) Verstoß gegen die eigene Datenschutzerklärung als wettbewerbswidrige Nichteinhaltung eines Verhaltenskodex? 316, 317 g) Verwendung von Datenschutz-Gütesiegeln ohne Genehmigung 318 VIII Weitere Bedrohungsszenarien Mautdaten Vorratsdatenspeicherung TKÜV 328, Fluggastdaten Smart Metering Cloud Computing a) Computerleistung aus der Wolke b) Datenschutzrechtliche Beurteilung 348, 349 c) Sicherheitsaspekte Tests mit Echtdaten bei Systemeinführungen IX Informationsfreiheitsgesetz Allgemeines Informationszugangsmöglichkeiten vor Inkrafttreten des IFG 358, Aufbau des IFG und wesentliche Folgerungen 360 Anhang: Ausgewählte Verfahren mit Rechtsprechungs- und Literaturbeispielen Schrifttum: Abel, Die neuen BDSG-Regelungen, RDV 2009, 147; Abel, Nutzung von Meldedaten in der Wirtschaft Möglichkeiten und Grenzen, RDV 2008, 195; Backu, Geolokalisation und Datenschutz, ITRB 2009, 88; Balsmeier/Weißnicht, Überwachung am Arbeitsplatz und deren Einfluss auf die Datenschutzrechte Dritter, K&R 2005, 537; Bäumler, Audits und Gütesiegel im Datenschutz, CR 2001, 795; Beder, Betriebsrat und Betrieblicher Datenschutzbeauftragter, CR 1990, 475; Beisenherz/Tinnefeld, Aspekte der Einwilligung, DuD 2011, 110; Bella, Entwurf eines Gesetzes zur Regelung des Beschäftigtendatenschutzes, RDG 11, 38; Boehme-Neßler, Datenschutz in der Informationsgesellschaft, Vom Datenschutz zum Informationswirtschaftsrecht, K&R 2002, 217; Borgmann, Von Datenschutzbeauftragten und Bademeistern Der strafrechtliche Schutz am eigenen Bild durch den neuen 201 a StGB, NJW 2004, 2133; Bräutigam/Sonnleitner, Stiftung Datenschutz, AnwBl 2011, 240; Breinlinger/Krader, Whistleblowing Chancen und Risiken bei der Umsetzung von anonym nutzbaren Hinweisgebersystemen im Rahmen des Compliance-Managements von Unternehmen, RDV 2006, 60; Brisch/Laue, E-Discovery und Datenschutz, RDV 2010, 1; Bull, Zweifelsfragen um die informationelle Selbstbestimmung Datenschutz als Datenaskese?, NJW 2006, 1617; Büllesbach, Datenschutz bei Data Warehouses und Data Mining, CR 2000, 11; ders, Datenschutz in einem globalen Unternehmen, RDV 2000, 1; ders, Datenschuttrechtliche Aspekte des Digital Rights Managements in: ders/dreier: Wem gehört die Information im 21 Jahrhundert?, 2004, S 163; ders Finanzdatenschutz in Europa, CR 2000, 544; Busch, Täter-Opfer-Ausgleich im Datenschutz, NJW 2002, 1326; Conrad, RFID-Ticketing aus datenschutzrechtlicher Sicht, CR 2005, 537; dies, Transfer von Mitarbeiterdaten zwischen verbundenen Unternehmen, Fragen der zentralen Personaldatenverwaltung im Hinblick auf die Datenschutzaufsichtsprüfung, ITRB 2005, 164; dies/antoine, Betriebsvereinbarungen zu IT- und TK-Einrichtungen, Betriebsverfassungs- und datenschutzrechtliche Aspekte im Überblick, ITRB 2006, 90; dies/hausen, Datenschutzgerechte Löschung personenbezogener Daten ITRB 2006, 90; dies/ders, Datenschutzrechtliche Aspekte von Data Loss Prevention und Cloud Computing, in: Buchner/Bruier (Hrsg) DGR Jahrbuch 2009, S 21; Damman, Internationaler Datenschutz, RDV 2002, 70; Däubler, Betriebsübergang, Personaldaten und Mandat des betrieblichen Datenschutzbeauftragten, RDV 2004, 55; ders, Neue Unabhängigkeit für den betrieblichen Datenschutzbeauftragten?, DuD 2010, 20; Deutsch/Diller, Die geplante Neuregelung des Arbeitnehmerdatenschutzes in 32 BDSG, DB 2009, 1462; Dieckmann, Die Verpflichtung externer Personen- insbesondere externer Prüfer- zur Einhaltung datenschutzrechtlicher Vorschriften, RDV 2004, 256; Dieckmann/Eul/Klevenz, Verhindert der Datenschutz Fusionen?, Fusionen aus der Sicht der betrieblichen Datenschutzbeauftragten, RDV 2000, 149; Eichler, Datenschutz bei Outsourcing, CI 2000, 145; Engel-Flechsig, Zur Reichweite der Kontrollkompetenz behördlicher Datenschutzbeauftragter bezogen auf Daten über die Gesundheit, RDV 2005, 7; Fassbender, Die Umsetzung der EG-Datenschutzrichtlinie als Nagelprobe für das Demokratieprinzip deutscher Prägung, RDV 2009, 96; Fischer, Datenschutz in der Apotheke, RDV 2005, 93; Flisek, Datenschutzrechtliche Fragen des E-Learning an Hochschulen, Lernplattformen im Spannungsfeld zwischen didaktischem Nutzen und datenschutzrechtlichen Risiken, CR 2004, 62; Forst, Der Regierungsentwurf zur Regelung des Beschäftigtendatenschutzes, NZA 10, 1043; Franzen, Die Novellierung des Bundesdatenschutzgesetzes und ihre Bedeutung für die Privatwirtschaft, DB 2001, 1867; Gassner/Schmidl, Datenschutzrechtliche Löschungsverpflichtung und zivilrechtliche Verjährungsvorschriften, RDV 2004, 153; Geis/Geis, Das informationelle Selbstbestimmungsrecht als Pathosformel des Datenschutzrechts oder Schutz der Privatheit während und nach der elektronischen Kommunikation, K&R 2006, 279; Gerhold, Aktuelle Überlegungen zur Änderung der Bestellpflicht von betrieblichen Datenschutzbeauftragten, RDV 2006, 6; Gola, Die Erhebung von Bewerberdaten ein Vergleich der geltenden Conrad 1181

4 beck-shopde Druckerei C H Beck Revision, Recht des Datenschutzes 1182 Conrad Rechtslage mit (eventuellem) künftigen Recht, RDV 2011, 109; ders/reif, Datenschutzrelevante Aspekte des novellierten UWG, RDV 2009, 104; ders/reif, Kundendatenschutz, 3 Aufl 2011; ders/schomerus, BDSG, München, 10 Aufl, 2010; ders/wronka, Das neue BDSG und der Arbeitnehmerdatenschutz, RDV 1991, 165; Härting, Datenschutz in der Anwaltskanzlei das große Mysterium, ITRB 2004, 279; ders, Datenschutz und Anwaltsgeheimnis Subsidiarität oder Spezialität?, Erwiderung zu Rüpke, AnwBl 2004, 552 und Schneider, AnwBl 2004, 618, AnwBl 2005, 131; Gounalakis/Klein, Zuverlässigkeit von personenbezogenen Bewertungsplattformen, NJW 2010, 566; Grosskreutz/Lemmen/Rüping, Privacy-Preserving Data-Mining, Informatikspektrum 2010, 380; Haase/Heermann/Rottwinkel, Der neue Beschäftigtendatenschutz im Bewerbungs- und Einstellungsverfahrfen, DuD 2011, 83; Hanloser, Dialogmarketing und Adresshandel Möglichkeiten und Grenzen nach der BDSG-Novelle, RDV 2010, 155; Heil, Neues Wettbewerbsrecht: Wechselwirkungen zwischen UWG und Datenschutz, RDV 2004, 205; Hilber, Die datenschutzrechtliche Zulässigkeit intranetbasierter Datenbanken internationaler Konzerne, RDV 2005, 143; Hoeren, Rechtliche Grundlagen des SCHUFA-Scoring-Verfahrens, RDV 2007, 93; ders, Die Vereinbarkeit der jüngsten BDSG-Novellierungspläne mit der europäischen Datenschutzrichtlinie, RDV 2009; Hornung, Informationen über Datenpannen Neue Pflichten für datenverarbeitende Unternehmen, NJW 2010, 1841; ders/desoi, Smart Cameras und automatische Verhaltensanalyse, K&R 2011, 153; Hüpers, Zur beamtenrechtlichen Datenschutz in den sogenannten Denunziantenfällen Eine Kritik der neueren Rechtsprechung des Bundesverwaltungsgerichts, RDV 2004, 62; Klug, Globaler Arbeitnehmerdatenschutz Ausstrahlungswirkung der EG-Datenschutzrichtlinie auf Drittländer am Beispiel der USA, RDV 1999, 109; ders, Internationalisierung der Selbstkontrolle im Datenschutz, RDV 2005, 163; ders/gola, Die Entwicklung des Datenschutzrechts in den Jahren 2009/2010, NJW 2010, 2483; Kosmides, Zivilrechtliche Haftung für Datenschutzverstöße, München 2010; Kühling, Datenschutzrechtlicher Überarbeitungsbedarf beim Steuerehrlichkeitsgesetz, ZRP 2005, 196; Lepperhoff/Tinnefeld, Aussagewert der Verkehrsdaten Aspekte der Sicherheitspolitik des Datenschutzes und der Wirtschaft, RDV 2004, 7; von Lewinski, Tätigkeitsberichte im Datenschutz, RDV 2004, 163; von Lewinski, Persönlichkeitsprofile und Datenschutz bei CRM, RDV 2003, 122; Lohse/Janetzko, Technische und juristische Regulationsmodelle des Datenschutzes am Beispiel von P3P, CR 2001, 55; Losano, Das italienische Datenschutzgesetz, CR 1997, 308; Lüttge, Unternehmensumwandlungen und Datenschutz, NJW 2000, 2463; Mantz, Unternehmensumwandlungen und Datenschutz, CR 2006, 90; Meyer/Brocks/Nordmann, Gericht kontra Datenschutz: Kein strafrechtlicher Schutz mehr für Fahrzeughalterdaten?, RDV 2000, 11; Moos, Die Entwicklung des Datenschutzrechts im Jahr 2009, K&R 2010, 166; ders, Die Entwicklung des Datenschutzrechts im Jahr 2010, K&R 2011, 145; Müller, Das datenschutzpolitische Mandat der BfD, RDV 2004, 211; Müller- Thele, Hartz IV Eine datenschutzrechtliche Risikoanalyse, NJW 2005, 1541; Münch, Zum sachlichen Profil der Beauftragten für Datenschutz und Datensicherheit, RDV 2003, 157; Niedermeier/Schröcker, Asset- Tracking datenschutzrechtlicher Zündstoff?, CR 2002, 241; ders/ders, Die Homogene Datenschutzzelle, Ein Company-to-Company-Agreement als Lösungsansatz für die Übermittlung personenbezogener Daten im Finanzkonzern, RDV 2001, 91; Oberwetter, Soziale Netzwerke im Fadenkreuz des Arbeitsrechts, NJW 2011, 417; Ötzbek, Datenschutzkonformer Einsatz von E-Discovery Systemen, DuD 2010, 576; Patzak/Beyerlein, Adresshandel zu Telefonmarketingzwecken, MMR 2007, 687; Peltier, (IT-)Revision und Beauftragter für den Datenschutz Personalunion oder zwingende Funktionstrennung?, RDV 2002, 121; Peters/Kersten, Technisches Organisationsrecht im Datenschutz Bedarf und Möglichkeiten, CR 2001, 576; Petri, Datenschutz im Krankenhaus, DuD 2010, 206; ders, Wertewandel im Datenschutz und die Grundrechte, DuD 2010, 25; Peukert, Beauftragte für die Gemeinfreiheit, MMR 2/11, 73; Rasmussen-Bonne/Ralf, Neues beim Beschäftigtendatenschutz Worauf sich Unternehmen einstellen müssen, GWR 11, 80; Roßnagel, Die Novellen zum Datenschutzrecht Scoring und Adresshandel, NJW 2009, 2716; ders, Modernisierung des Datenschutzrechts für eine Welt allgegenwärtiger Datenverarbeitung, MMR 2005, 71; ders, Modernisierung des Datenschutzrechts Empfehlungen eines Gutachters für den Bundesinnenminister, RDV 2002, 61; ders, Konflikte zwischen Informationsfreiheit und Datenschutz?, MMR 2007, 16; ders/müller, Ubiquitous Computing neue Herausforderungen für den Datenschutz, Ein Paradigmenwechsel und die von ihm betroffenen normativen Ansätze, CR 2004, 625; ders/scholz, Datenschutz durch Anonymität und Pseudonymität, Rechtsfolgen der Verwendung anonymer und pseudonymer Daten, MMR 2000, 721; Runte/Schreiber/Held/Bond/Dana/Flower, Anonymous Hotlines for Whistleblowers, CRi 2005, 135; Rüpke, Das Anwaltsgeheimnis auf dem Prüfstand des Strafrechts ein quasidatenschutzrechtliches Missverständnis zu 203 StGB?, NJW 2002, 2835; ders, Ein Beauftragter für den Datenschutz in der Anwaltskanzlei?, RDV 2004, 252; Sasse, Der Gesetzentwurf zur Regelung des Beschäftigtendatenschutz, ArbRB 2010, 309; Schaar, Datenschutz bei Web-Service, RDV 2003, 59; ders, Herausforderung und Perspektiven für die Arbeit des neuen Bundesbeauftragen für den Datenschutz, RDV 2004, 1; ders, Datenschutz im Spannungsfeld von Privatsphärenschutz, Sicherheit und Informationsfreiheit, RDV 2006, 1; Schaffland, Datenschutz und Bankgeheimnis bei Fusion (k)ein Thema?, NJW 2002, 1539; Schild, Der interne Datenschutzbeauftragte Neue Aufgaben durch neues BDSG in Betrieb und Verwaltung, RDV 1998, 52; Schilde-Stenzel, Lehrevaluation oder Prangerseite im Internet: wwwmein profde Eine datenschutzrechtliche Bewertung, RDV 2006, 104; Schilmar/Breiteneicher/Wiedenhofer, Veräußerung notleidender Kredite Aktuelle rechtliche Aspekte bei Transportaktionen von Non-Performing Loans u a Datenschutz, DB 2005, 1367; Schläger, Datenschutz in Netzen, DuD 1995, 270; Schleipfer, Datenschutzgerechte Gestaltung von Web-Eingabeformularen, RDV 2005, 56; Schneider, Datenschutz und Beauftragte für den Datenschutz in der Anwaltskanzlei, AnwBl 2004, 618; ders, 12 Thesen zum Datenschutz, AnwBl 2011, 233; Seifert, Videoüberwachung im künftigen Beschäftigtendatenschutz, DuD 2011, 98; Seffer/

5 beck-shopde Druckerei C H Beck Revision, I Einleitung Horter, Datenschutzrechtliche Aspekte des EDV-Outsourcing privater Versicherungsunternehmen, ITRB 2004, 165; Selk, Datenschutz in der EU, AnwBl 2011, 244; Steinau-Steinrück/Mosch, Datenschutz für Arbeitnehmer Bestandsaufnahme und Ausblick, NJW-Spezial 2009, 450; Simitis in: Simitis (Hrsg), BDSG, Baden-Baden, 6 Aufl 2006; ders, Übermittlung der Daten von Flugpassagieren in die USA: Dispens vom Datenschutz?, NJW 2006, 2011; Spies, Transatlantischer Datenschutz: Turbulenzen und sichere Häfen, MMR 2002, 641; Spindler, Authentifizierungssysteme, Datenschutz- und sicherheitsrechtliche Anforderungen sowie zivilrechtliche Auswirkungen, CR 2003, 534; Tauss/Özdemir, Umfassende Modernisierung des Datenschutzrechts in zwei Stufen, RDV 2000, 143; Thüsing, Verbesserungsbedarf beim Beschäftigtendatenschutz, NZA 2011, 16; Tinnefeld, Menschenwürde, Biomedizin und Datenschutz, Zur Aufklärung neuer Risiken im Arbeits- und Versicherungswesen, ZRP 2000, 10; dies/petri/brink, Aktuelle Fragen um ein Beschäftigtendatenschutzgesetz MMR 2010, 727; ders/petri/brink, Aktuelle Fragen zur Reform des Beschäftigtendatenschutzgesetzes, MMR 2011, 427; dies/trappehl/schmidl, Der Gemeinschaftsbetrieb als datenschutzrechtlicher Erlaubnistatbestand, RDV 2005, 100; Ulmer, IT-Outsourcing und Datenschutz bei der Erfüllung öffentlicher Aufgaben, Über die datenschutzrechtliche Zulässigkeit von Outsourcing-Vorhaben in der öffentlichen Verwaltung und Grundlagen der Umsetzung, CR 2003, 701; Vieregge, Wirtschaftsfaktor Datenschutz, RDV 2002, 275; Wagner, Datenschutz und Mandatsgeheimnis der Umgang mit personenbezogenen Daten im Anwaltsmandat, BRAK-Mitt 2011, 2; Wedler, Quo vadis Datenschutzaufsicht?, Neue Aufgaben der Datenschutzaufsichtsbehörden nach einer Novellierung des Bundesdatenschutzgesetzes (BDSG), RDV 1999, 251; Weichert, Der Bodyscanner und die menschliche Scham, RDV 2009, 154; ders, Regulierte Selbstregulierung- Plädoyer für eine etwas andere Datenschutzaufsicht, RDV 2005, 1; ders, Datenschutzrechtliche Anforderungen an Data-Warehouse-Anwendungen bei Finanzdienstleistern, RDV 2003, 113; Wengert/Widmann/Wengert, Bankenfusion und Datenschutz, NJW 2000, 1289; Wengert/Widmann/Wengert, Bankenfusion und Datenschutz, RDV 2000, 47; Weniger, Das Verfahrensverzeichnis als Mittel datenschutzkonformer Unternehmensorganisation, RDV 2005, 153; Wybitul, Streit um den neuen Beschäftigtendatenschutz, MMR 2011, ; Wittig, Die datenschutzrechtliche Problematik der Anfertigung von Persönlichkeitsprofilen zu Marketingzwecken, RDV 2000, 59; Wohlfahrt, Elektronische Verwaltung Vorgaben und Werkzeuge für datenschutzgerechte Anwendungen, RDV 2002, 231; Wronka, Datenschutzrechtliche Aspekte beim Postversand, RDV 2011, 122; Zilkens, Arbeitszeiterfassungssysteme und Datenschutz, RDV 2005, 50; ders, Videoüberwachung Eine rechtliche Bestandsaufnahme, DuD 2007, 279 I Einleitung Datenschutz ist Schutz personenbezogener Daten bei deren Erhebung, Verarbeitung und Nutzung Neben dem Missbrauch beim Umgang mit personenbezogenen Daten geht es v a um die Sorge vor permanenter Beobachtung und gläsernen Bürgern/Kunden/Arbeitnehmern Die Sicherheit der Daten ist nur ein Aspekt des Datenschutzes, stand aber für viele Techniker bis 2007 meist im Vordergrund Ursprünglich (in den 70er und 80er Jahren) ging es beim Datenschutz im Wesentlichen um Bedrohungsszenarien der damals zentralen und v a staatlichen Datenbanken und DV-Systeme 1983 sprach das BVerfG im sog Volkszählungsurteil 1 von den Gefährdungspotentialen der modernen Datenverarbeitung Die Bedrohung sah man im zunehmenden Kontrollverlust, welche Daten v a der Staat über den Einzelnen sammelt und zu welchen Zwecken Seit den 90er Jahren hat sich das Bedrohungspotential gewandelt Zunehmend sind spezielle Techniken und Geschäftspraktiken in das Blickfeld der Datenschützer gerückt Zu nennen sind etwa öffentliche Video-Aufnahme, Internet-, TK- und Telefonüberwachung, GPS, Maut, Kundenbindungsprogramme und Gesundheitskarte Stichworte zum Bedrohungspotential sind Persönlichkeits-, Bewegungs- und Interessenprofile Der Effekt, dass letztlich jedes Datum jederzeit überall verfügbar gemacht werden kann, ist nun unter anderem dank des Internets erreicht Das Vollbild der Bedrohungen ist etwa im Hinblick auf die Zulässigkeit von Ermittlungsmethoden relevant 2 Sowohl der Staat als auch die Wirtschaft sind an möglichst umfassenden Erkenntnissen über einzelne Bürger bzw Mitarbeiter und Kunden interessiert Das Risikopotential wird v a in der Vernetzung und der Ubiquität 3 der Datenverarbeitung gesehen, aber auch in der Heimlichkeit der Datenerhebung und -verarbeitung (z B Online-Durchsuchung, unbemerkte Datenerhebung bei DRM, Aktivierung/Registrierung, 1 BVerfGE 65, 1 2 Zu GPS s etwa BVerfG Urt v BvR 581/01 3 Roßnagel/Müller CR 2004, 625 Conrad

6 beck-shopde Druckerei C H Beck Revision, Recht des Datenschutzes Conrad trusted computing ) Das Bundesverfassungsgericht 4 betonte in seiner Entscheidung zur Online-Durchsuchung die Risiken speziell der allgegenwärtigen Vernetzung von IT-Systemen und entwickelte das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme 5 Die Infiltration und das heimliche Ausspähen über vernetzte Systeme bedrohen nicht nur das Persönlichkeitsrecht, sondern auch die wirtschaftlichen Unternehmensinteressen Für die Unternehmen steht unter Sicherheits- und Compliance-Aspekten die Sorge vor einem geschäftskritischen Datenverlust und Know-How-Abfluss im Vordergrund Speziell im Zusammenhang mit dem Risikomanagement in IT-Projekten und im laufenden Betrieb hat sich eine große Anzahl an Standards entwickelt 6 Als Schutz-/Sicherheitsmaßnahmen werden auch z B Entnetzung 7 und Verwendung verschiedener Pseudonyme im Internet empfohlen 8 Nicht zuletzt Wikileaks 9 hat gezeigt, dass höchst sensible Daten all zu leicht auf Veröffentlichungsplattformen im Internet auftauchen können Eine technische Lösung, die angeboten wird um ungewollten Abfluss und Missbrauch von Unternehmensdaten zu verhindern, ist Data Loss Prevention (DLP) 10 Gleichzeitig birgt DLP Datenschutzrisiken, die angesichts der aktuellen Entwicklung des Beschäftigtendatenschutzes weiter steigen werden Je größer und unüberschaubarer die Datenmenge ist, die ein Unternehmen nicht nur beherrschen und sichern, sondern v a effektiv und kostengünstig verwalten und nutzen muss, um so eher locken Angebote, die kostenintensive IT-Infrastruktur der Datenhaltung auszulagern und den Datenstrom (wie manche Cloud-Angebote versprechen) kostengünstig aus der Steckdose 11 zu beziehen Dass Unternehmen sich mit der Nutzung von Cloud-Diensten oft auch einer gewissen Kontrolle über ihre Daten begeben, wird teilweise (noch) zu wenig als Problem wahrgenommen und adressiert Das gilt v a im Hinblick auf besondere Arten von personenbezogenen Daten und im Hinblick auf 203 StGB Während z B für den Marketing-Bereich die Aktualität von personenbezogenen Daten eine große Rolle spielt, wird dieser Aspekt in der datenschutzrechtlichen Literatur wenig diskutiert Etwa bei den Treffern von Personensuchmaschinen sieht man bisweilen ein kunterbuntes Nebeneinander und Durcheinander von aktuellen und veralteten oder unkorrekten personenbezogenen Angaben Verslummung 12 beschreibt das unkontrollierte, wenn nicht gar unkontrollierbare Anwachsen und Fließen von personenbezogenen Daten Verslummung impliziert Instabilität und Missbrauch Die Gefahr dieser Entwicklung ist in verfassungs- und datenschutzrechtlicher Hinsicht nicht nur eine fortschreitende und irreversible Transparenz aller Lebensbereiche des Menschen 13 sondern auch genau gegenteilig eine zunehmende Intransparenz was Umfang, Qualität und Ab- und Zuflüsse von personenbezogenen Daten betrifft Die Datenskandale in den Jahren 2007 und 2008 haben die Politik wachgerüttelt Im BDSG überschlagen sich seit 2009 die Novellen Nie war (Beschäftigten-)Datenschutz präsenter als heute Viele Unternehmen registrierten erst seit der öffentlichen Debatte um die großen Datenskandale der letzten Jahre, dass eigentlich schon seit Jahrzehnten folgendes Prinzip im Datenschutzrecht herrscht: Jeder Umgang mit personenbezogenen Daten ist ge- 4 BVerfG Urt v BvR 370/07, 1 BvR 595/07 5 Als Facette des allgemeinen Persönlichkeitsrechts ist dieses Grundrecht (zumindest in erster Linie) auf den einzelnen Bürger anzuwenden Noch ist unklar, inwieweit das neue Grundrecht auch im Verhältnis zwischen Privaten also etwa zwischen Arbeitgeber und Arbeitnehmer oder zwischen zwei Unternehmen Anwendung findet Vgl statt vieler: Spindler: Evtl macht sich jemand sogar haftbar, der auch nur fahrlässig eine Sicherheitslücke öffnet (in: Der Spiegel 10/2008 v , S 43) 6 Z B ISO 9000-Normenreihe, ISO Norm , CMM, PRINCE2, ITIL, COBIT 7 Gaycken/Karger MMR 2011, 3 8 Zu Datenschutz durch Anonymität und Pseudonymität siehe Roßnagel/Scholz MMR 2000, Siehe unter wwwwikileakscom 10 Siehe unten Rdnr 136 ff 11 Pohle/Ammann CR 2009, 273 m w N 12 Zum Begriff im Zusammenhang mit den Risiken einer nicht ausreichend strukturierten und dokumentierten komplexen Standardsoftware siehe Weizenbaum, Kurs auf den Eisberg, S 94 f; Conrad in: Conrad (Hrsg), Inseln der Vernunft, S VII f 13 So schon 1983 das BVerfG (BVerfGE 65, 1) im Zusammenhang mit dem Volkszählungsurteil

7 beck-shopde Druckerei C H Beck Revision, I Einleitung 8 25 mäß 4 Abs 1 BDSG grundsätzlich verboten, soweit keine ausdrückliche Erlaubnis vorliegt Dieses Verbotsprinzip mit Erlaubnisvorbehalt ist auch in der europäischen Datenschutzrichtlinie verankert Persönlichkeitsrecht und informationelle Selbstbestimmung sind verfassungsrechtlich geschützt Personenbezogene Daten sind aber gleichzeitig Wirtschaftsgüter und bedeutende Unternehmenswerte Das Grundgesetz schützt auch das Eigentum und die berufliche Entfaltung der Arbeitgeber Erforderlich ist ein gerechter, effektiver und rechtssicherer Ausgleich der Grundrechtspositionen Dies versuchte der Gesetzgeber bislang teilweise durch generalklauselartige, weite, auslegungsfähige Erlaubnistatbestände zu erreichen Im Ergebnis lässt das den Unternehmen Spielräume, aber die Rechtslage ist sehr unklar und wie auch die Datenskandale zeigen teilweise nicht effektiv genug Der Gesetzesentwurf zum Beschäftigtendatenschutz vom regelt viele Einzelfälle sehr detailliert 14 Ob dies in der Vielzahl von Fallgestaltungen, etwa bei der Videoüberwachung, zu angemessenen Lösungen führt, bleibt abzuwarten Es wird bereits überlegt, ob das Verbotsprinzip noch zeitgemäß 15 ist und ob eine Stiftung Datenschutz 16 ins Leben gerufen wird Auch die europäische Datenschutzrichtlinie 95/46/EG ist auf dem Prüfstand 17 Nicht zuletzt die kostengünstigen Dienste aus den Datenwolken, die Social Networks und der Siegeszug der Smartphones und der location based services 18 scheinen am Rande zu einer Art Post Privacy -Diskussion geführt zu haben: Die einen betonen die Kommunikations- und Meinungsfreiheit als Gegengewicht zur informationellen Selbstbestimmung und zum Datenschutz, 19 andere sehen in der Datenvermeidung im Web 20 ein Indiz für asoziales Verhalten, wieder andere resignieren ob der abnehmenden Realisierbarkeit von Datenschutz und der steigenden Komplexität von Datenschutzvorschriften 20 Beispiele: Praxisrelevante Themen (teils aus neuerer Zeit) sind im öffentlichen (staatlichen) Bereich vor allem: 21 Ausweitung der Videoüberwachung von Plätzen durch die Sicherheitsbehörden, Smart Cameras Polizeiliche Rasterfahndung auf der Grundlage von Täterprofilen Elektronische Kfz-Kennzeichenerfassung LKW-Maut, PKW-Maut und Zweckentfremdung Einheitliche Steuernummer und Steuerdatenübermittlung Biometrische Pässe E-Gesundheitskarte E-Government 22 BKA-Datei Gewalttäter Sport 23 und Akkreditierungsverfahren für die Leichtathletik-Weltmeisterschaft: Abgleich der Journalistendaten mit den Datenbanken von Polizei, Verfassungsschutz und Bundesnachrichtendienst (Screening) 24 Zugriff des US-Geheimdienstes auf Finanzdaten von EU-Bürgern (S W I F T), Einzelheiten siehe unten Rdnr 36 ff 15 Schneider AnwBl 2011, Bräutigam/Sonnleithner AnwBl 2011, Selk AnwBl 2011, Siehe etwa Heise-News-Meldung vom (10:00): iphone überträgt bei jedem Kontakt zu einem IPv6-tauglichen Server/WLAN eine eindeutige Hardware-ID 19 Siehe zur Diskussion statt vieler: Härting AnwBl 2011, 246; Feldmann AnwBl 2011, 250; Weichert AnwBl 2011, Am hat der Bundestag einen Gesetzesentwurf zur Regelung des Beschäftigtendatenschutzes, den die Bundesregierung am beschlossen hatte, in erster Lesung kontrovers diskutiert Zuvor hatte der Bundesrat den Gesetzesentwurf am in einzelnen Punkten, aber auch hinsichtlich der Verständlichkeit kritisiert 21 Nachweise siehe unten Anhang nach Rdnr Siehe dazu auch 28 Berufsspezifische Regelungen, Recht der elektronischen Signaturen, elektronischer Personalausweis, D 23 Siehe MMR-Aktuell 2010, m w N: BVerwG Urt v C 509: Speicherung in Gewalttäter-Datei ist rechtmäßig; VG Hannover Urt v A 2412/07 ; OVG Lüneburg Urt v LC 229/08 24 Abrufbar unter: 25 Siehe Das Europäische Parlament hat am das Interimsabkommen mit den USA abgelehnt, siehe heisede/newsticker/meldung/928630html Conrad

8 beck-shopde Druckerei C H Beck Revision, Recht des Datenschutzes Conrad Die Ausdehnung der Anti-Terrorgesetze und der gläserne Nutzer, 26 US-Präsident Bush stoppt die weitere Untersuchung der NSA-Abhörmethodik nach dem durch das Justizministerium 27 Veröffentlichung von Subventionsempfängern im Internet 28 Wikileaks Aktuelle praxisrelevante Themen im nicht-öffentlichen Bereich (Privatwirtschaft) sind unter anderem: Ermittlung der Kreditwürdigkeit durch Scoring-Verfahren 29 Schufa gibt mehr Verbrauchern Zugang zur Online-Auskunft (und zwar unter wwwmeineschufade) 30 Kundenprofile durch Data Warehouse-Verfahren 31 Ticketing (z B Fußball-WM 2006-Tickets mit RFID) 32 elektronische Kundenkarte (Payback, 33 Happy Digits 34 ) Metro Future Store Asset Tracking 35 Datenschutz bei Smart Metering 36 Bewertungsportale im Internet, 37 anonyme Plagiatsjäger im Internet 38 Geplante Einführung von Nackt-Scannern an Flughäfen 39 Diskussion um die Notwendigkeit eines eigenen Arbeitnehmerdatenschutzgesetzes 40 Google Street View 41 Im Folgenden beziehen sich Zitate von Vorschriften des BDSG, die ohne nähere Bestimmung angegeben werden, auf die Fassung der Bekanntmachung vom , zuletzt geändert durch Art 5 des Gesetzes vom und Art 1 des Gesetzes vom II Persönlichkeitsrecht, Datenschutz und verfassungsrechtliche Grundlagen II Persönlichkeitsrecht, Datenschutz und verfassungsrechtliche Grundlagen 1 Schutzgüter und Abgrenzungen Seit dem hessischen Datenschutzgesetz (aus dem Jahre 1970) und dem Beitrag von Simitis (NJW 1971, 673) wird der Schutz des Einzelnen vor den Bedrohungen durch die Verarbeitung seiner Daten Datenschutz genannt Dies hat sich auch im Bundesdatenschutzgesetz 1977 niedergeschlagen und ist bis heute so geblieben Ziel und Zweck des Datenschutzes ist es, den Einzelnen vor Beeinträchtigungen seines Persönlichkeitsrechts (und in seinem Recht auf informationelle Selbstbestimmung) zu schützen Datenschutz soll dem Einzelnen einen Bereich selbstbestimmter Lebensführung vor dem Eingriff staatlicher und privater datenverarbeitender Stellen sichern Das formelle Daten- 26 Abrufbar unter wwwheisede/newsticker/meldung/75621, siehe auch Stellungnahme des DAV zum BKA- Gesetz v unter 27 Siehe wwwtagesschaude/aktell/meldungen/ (vom ) 28 Dagegen VG Wiesbaden, Beschluss v L 359/09; VG Mainz, Beschluss v L 471/09; dafür OVG Münster, Beschluss v B 485/09 29 Siehe auch neuen 28 b BDSG, eingeführt durch sog BDSG-Novelle I (BT-Drs 16/ vom i d F der Beschlussempfehlung des Innenausschusses vom , BT-Drs 16/ Abrufbar unter: wwwheisede/newsticker/meldung/ Siehe unten VII2 32 Siehe Conrad CR 2005, 537 sowie zu RFID-Technik 2 Compliance, IT-Sicherheit, Ordnungsmäßigkeit der Datenverarbeitung 33 BGH Urt v VIII ZR 348/06 Payback 34 BGH Urt v VIII ZR 12/08 Happy Digits 35 Niedermeier/Schröder CR 2002, Siehe unten VIII 37 Siehe Greve/Schärdel MMR 2008, 644; BGH Urt v VI ZR 196/08 Zur Zulässigkeit der Erhebung, Speicherung und Übermittlung von personengebundenen Daten im Rahmen eines Bewertungsforums im Internet (wwwspickmichde), siehe dazu auch 27 Datenschutz der Telemedien 38 Spiegel online vom Abrufbar unter: Weichert RDV 2009, Abrufbar unter: Ein Arbeitnehmerdatenschutzgesetz wurde entgegen den ursprünglichen Plänen in der 16 Legislaturperiode nicht mehr verabschiedet 41 Abrufbar unter: Ultimatum html

9 beck-shopde Druckerei C H Beck Revision, II Persönlichkeitsrecht, Datenschutz und verfassungsrechtliche Grundlagen schutzrecht (BDSG, Landes-DSG) hat ein enger gefasstes Ziel im Rahmen einer Zweck-/ Mittel-Relation: Zweck dieses Gesetzes ist es, den Einzelnen davor zu schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird ( 1 Abs 1 BDSG) Daneben bestehen auch nach den diversen Novellierungen des BDSG das Recht auf informationelle Selbstbestimmung, das allgemeine Persönlichkeitsrecht sowie zahlreiche Sonderregelungen, etwa zu Fernmeldegeheimnis, Amts- und Berufsgeheimnissen Beim Datenschutz sind das eigentliche Schutzgut gerade nicht die Daten Diese dogmatische Ungenauigkeit ist zuletzt sogar in die Grundrechte-Charta 42 der EU gewandert, wobei das Ergebnis Schutz der personenbezogenen Daten vom Rang her sehr zu begrüßen ist 43 Bei der Diskussion um das Schutzgut sind voneinander abzugrenzen: Privatsphäre, Selbstbestimmung und/oder Persönlichkeitsrecht und/oder Datengeheimnis Im allgemeinen Sprachgebrauch, aber zum Teil auch im rechtlichen Bereich, werden die Begriffe Daten, Informationen und Nachrichten häufig synonym oder mit unklarer Abgrenzung gebraucht Allerdings müsste etwa bei (mobiler) Kommunikation im Hinblick auf die Frage nach Rechtsgütern, Schutzgütern und anwendbaren Vorschriften differenziert werden zwischen (wobei sich die Bereiche teilweise überlappen): personenbezogenen Daten (APR, informationelle Selbstbestimmung, formeller Datenschutz, Schutzgut ist die Persönlichkeit des Individuums) Nachrichten ( Content in Abgrenzung zu Verkehrs- und Nutzungsdaten, geschützt durch TKG, teilweise auch TMG, 88 TKG und TK-/TM-Datenschutz; Art 10 GG: Brief- und Fernmeldegeheimnis) Information (der Begriff ist sehr unterschiedlich besetzt; siehe etwa IFG 44 und TMG; 45 Schutzgut kann auch der Wert der Information, evtl das Geheimnis, Schutz z B über UrhG, PatG, evtl Geheimhaltungsvereinbarungen) Bildnis, Video (APR, Recht am eigenen Bild, KUG 46 ) dem gesprochenen Wort (APR, StGB) bereichsspezifischen Datengeheimnissen (z B 203 StGB: Berufsgeheimnis, 30 AO: Steuergeheimnis, 6 Hess MeldeG: Meldegeheimnis, 35 SGB I: Sozialgeheimnis, 16 Hess LStatG: Statistikgeheimnis) Der Schutz der Persönlichkeit ist wesentlich älter als der Datenschutz In grober Einteilung lässt sich die Entwicklung dreier Rechtsinstitute nach dem 2 Weltkrieg ausmachen, innerhalb derer sich letztlich vier zum großen Teil überschneidende Schutzkreise herausgebildet haben: a) Allgemeines Persönlichkeitsrecht, 48 entwickelt aus Art 2 Abs 1 i V m Art 1 Abs 1 GG und 823 BGB; 49 die Dogmatik unterscheidet insoweit von Innen nach Außen zwischen 42 Siehe Art 8 ( Schutz personenbezogener Daten ) und Art 7 ( Achtung des Privat- und Familienlebens ) der Charta der Grundrechte der Europäischen Union (2000/C 364/01) 43 Schneider, CompR IT- und Computerrecht, 9 Aufl 2010, S XIV 44 Das Informationsfreiheitsgesetz (IFG) enthält ausdrücklich auch Regelungen zur Wahrung des Datenschutzes als evtl konträrem, aber auf gleicher Ebene liegendem Regelungsgehalt Siehe auch unten Rdnr 357 ff 45 Siehe etwa 7 10 TMG Einzelheiten zum Datenschutz der Telemedien siehe Das KUG verwendet nicht den Begriff der personenbezogenen Daten, sondern spricht von Bildnis Der Begriff des Bildes wird im KUG dann benutzt, wenn Personen nur eine untergeordnete Rolle spielen, siehe 23 Abs 1 Nr 2, 3 KUG Möhring/Nicolini/Gass UrhG, 22 KUG Rdnr 12 Zum strafrechtlichen Schutz des Rechts am eigenen Bild siehe Borgmann NJW 2004, BGH, Urt v XI ZR 165/02 NJW 2003, Zum Persönlichkeitsschutz BVerfG Urt v BvR 507/01 Persönlichkeitsschutz bei der Verbreitung von Luftaufnahmen bei der Anwesenheit Prominenter (Luftbilder von auf Mallorca gelegenen Wohnhäusern prominenter Personen, Überlassung an Presseunternehmen zusammen mit Angaben zur Identität der Conrad

10 beck-shopde Druckerei C H Beck Revision, , 17 Recht des Datenschutzes Conrad Intimsphäre Privatsphäre und Individual-/Sozialsphäre Dieses Modell ist für den Einzelfall geeignet, die Tiefe des Eindringens zu beurteilen und somit die Abwägung mit den für eine Rechtfertigung vorgebrachten Rechtsgütern zu erleichtern Nur im Einzelfall können diesen Sphären jeweils als konzentrische Kreise Datenarten einigermaßen klar zugeordnet werden: Relativität der Privatsphäre Die Daten sind kontextabhängig und somit situativ unterschiedlich sensitiv Dies zwingt dazu, bei zwangsläufig pauschalisierenden Regelungen weitgehend ohne Abstufungen und Sphären auszukommen: Es gibt kein per se belangloses Datum (BVerfGE 65, 1) b) Formeller Datenschutz, ausgeprägt in EU-Richtlinien, BDSG (Datengeheimnis gemäß 5 BDSG), den Landesdatenschutzgesetzen und einer Vielzahl von Spezialdatenschutzregelungen und c) Recht auf informationelle Selbstbestimmung, v a gegründet auf dem Urteil des BVerfG zum Volkszählungsgesetz 1983 (sogenanntes Volkszählungsurteil BVerfGE 65, 1), das in der Zwischenzeit auch von BVerfG und BGH weiterentwickelt wurde 50 Beim Recht auf informationelle Selbstbestimmung handelt es sich nach wohl überwiegender Meinung nicht um eine Facette des Allgemeinen Persönlichkeitsrechts 51 d) Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme, postuliert im Urteil des BVerfG vom (1 BvR 370/07) zur Online- Durchsuchung sowie zur Aufklärung des Internet 52 Zumindest die drei Komplexe a) bis c) überlagern sich Insbesondere b) hat jedoch (formal) einen anderen Schutzgegenstand, nämlich personenbezogene Daten Dabei darf nicht verkannt werden, dass im Datenschutzrecht der Schutz der Daten nicht Selbstzweck ist Vielmehr dient der Schutz der personenbezogenen Daten vor Beeinträchtigungen des Persönlichkeitsrechts des Betroffenen (siehe 1 Abs 1 BDSG) Teilweise in Abgrenzung, meist jedoch als Verstärkung des Allgemeinen Persönlichkeitsrechts sind zu sehen: Art 6 GG (Ehe und Familie), 53 Art 10 GG (Brief-, Post- und Fernmeldegeheimnis), Art 13 GG (Unverletzlichkeit der Wohnung) Betroffenen und zur Lage der Anwesen (evtl auch Anfahrtsbeschreibungen) zwecks Veröffentlichung) Allgemein bekannt geworden war die gesamte Thematik der Bild-Berichterstattung über Prominente im Zusammenhang mit der Veröffentlichung von Fotos von Prinz Ernst August von Hannover Dies war von besonderer Brisanz insofern, als dieser gerade der Ehemann derjenigen Person ist, zu deren Gunsten zu dem entsprechenden Problem früher bereits Entscheidungen des Gerichts ergangen waren, sogenannte Caroline-Entscheidungen (BVerfG Urt v BvR 758/97 ; Urt v BvR 1622/05 zu Prinz Ernst August von Hannover; Urt v BvR 3/05; s a BVerfG Urt v BvR 1454/97, 1 BvR 1353/99 im Hinblick auf die Rechte des Kindes hinsichtlich Fotos und bestimmter Äußerungen vor Veröffentlichungen) Die Grundsatzentscheidung war wohl die vom BvR 653/96 mit den Fotos von diversen Kindern in verschiedenen Konstellationen Danach wurde das Verfahren zur erneuten Entscheidung an den BGH zurückverwiesen, soweit es um Bilder ging, die die Beschwerdeführerin mit ihren Kindern zeigten Der BGH hatte nach Ansicht des Gerichts den das allgemeine Persönlichkeitsrecht verstärkenden Einfluss von Art 6 GG nicht berücksichtigt Der EGMR (Beschwerde-Nr /00, , NJW 2004, 2647 ff) entschied letztinstanzlich, dass durch die Veröffentlichung der Bilder das Recht auf Achtung des Privatlebens (Art 8 der EMRK) verletzt worden sei Der sich daraus ergebende Anspruch auf Schadensersatz wurde außergerichtlich vereinbart Die deutsche Bundesregierung zahlte Caroline im Jahre 2005 Schadensersatz wegen nicht ausreichenden Schutzes durch die deutschen Gerichte und zusätzlich eine Kostenerstattung Insgesamt belief sich die Zahlung auf , Seit 2008 gibt es weitere Urteile zu Caroline und ihren mittlerweile erwachsenen Kindern In seinem Urteil vom BvR 1602, 07 hatte das BVerfG die Entscheidung des BGH vom VI ZR 52/06 aufgehoben und die Pressefreiheit gestärkt 49 Der zivilrechtliche Persönlichkeitsschutz ist wesentlich älter als der grundrechtliche Palandt/Sprau Rdnr 83 ff zu 823 m w N 50 Schneider in: Schneider Handbuch des EDV-Rechts, Kap B Rdnr 8 ff; zur für 2011 geplanten Volkszählung: Forgó/Heermann K&R 2011, Hufen Staatsrecht II Grundrechte, 2 Aufl 2009, S Einzelheiten dazu siehe unten Rdnr 42 ff 53 BVerfG Urt v BvR 653/96 zu Fotos von Kindern von Caroline Das BVerfG hatte das Verfahren an den BGH zurückverwiesen, weil der BGH den das allgemeine Persönlichkeitsrecht verstärkenden Einfluss von Art 6 GG nicht berücksichtigt hatte

11 beck-shopde Druckerei C H Beck Revision, II Persönlichkeitsrecht, Datenschutz und verfassungsrechtliche Grundlagen Häufig in einem gewissen Gegensatz zu oben genannten grundrechtlichen Positionen stehen etwa im Zusammenhang mit Meinungsäußerungen in Bewertungsforen 54 Art 5 GG (Meinungsäußerungsfreiheit, Medienfreiheit, Kunst- und Wissenschaftsfreiheit) 55 Speziell im Beschäftigungsverhältnis sind als konfligierende Grundrechtspositionen auch Art 12 GG (Berufsausübungsfreiheit) 56 und Art 14 GG (Eigentumsfreiheit) denkbar Die Verflechtung und gegenseitige Verstärkung von Grundrechten hat Hufen 57 im Zusammenhang mit den Konsequenzen aus dem BVerfG-Urteil 58 zur akustischen Wohnraumüberwachung am Beispiel des Art 13 GG wie folgt dargelegt: [ ] Bei jeder Maßnahme hängt deren Verfassungsmäßigkeit von einer Feststellung der Intensität und Intimität der beobachteten Kommunikation ab Bei bestimmten Privaträumen anders als bei Geschäftsräumen spricht eine Vermutung für die durch die Menschenwürde geschützte Intimsphäre und damit gegen die Verfassungsmäßigkeit akustischer Maßnahmen Dasselbe gilt, wenn der Betroffene allein oder mit einem privilegierten Kommunikationspartner (Ehepartner, Kinder, Geschwister aber auch Rechtsanwälte und Priester) sich im geschützten Raum der Privatwohnung aufhält Auf eine Aufzeichnung muss verzichtet werden, um die Verletzung der Menschenwürde auszuschließen bzw jederzeit abbrechen zu können Beim formellen Datenschutzrecht geht es also um eine Mittel-Zweck-Relation, deren Grundlage das datenschutzrechtliche Verbot mit Erlaubnisvorbehalt ist: Jede Erhebung, Verarbeitung und Nutzung personenbezogener Daten ist im Geltungsbereich der Norm verboten, es sei denn, sie ist durch eine Norm oder die Einwilligung des Betroffenen erlaubt (Verbotsprinzip) Prinzipien und Abwägungen, wie sie beim allgemeinen Persönlichkeitsrecht und ggf bei anderen Grundrechten eine Rolle spielen, wie z B der Kernbereich der Menschenwürde bzw der selbstbestimmten Lebensführung oder die Privatheit und Intimität, spielen wegen des Verbotsprinzips beim formellen Datenschutz grundsätzlich keine Rolle Dies gilt jedoch nur eingeschränkt Zum einen ist auch im formellen Datenschutzrecht für den nicht-öffentlichen Bereich die Erhebung, Verarbeitung und Nutzung von Daten für ausschließlich persönliche oder familiäre Tätigkeiten privilegiert ( 1 Abs 2 Nr 3 BDSG) Zum anderen lösen die Datenschutzgesetze die Strenge des Verbotsprinzips und seinen potentiellen Konflikt mit den Grundrechten der datenverarbeitenden Stellen über relativ weite Erlaubnisnormen Um diese wiederum im Lichte des Rechts auf informationelle Selbstbestimmung einzugrenzen, sehen einige Erlaubnisnormen Abwägungen vor (siehe etwa 28 Abs 1 S 1 Nr 2 und Nr 3 BDSG) 59 Mit der Entwicklung des Beschäftigtendatenschutzes werden das datenschutzrechtliche Erforderlichkeitsprinzip und das Prinzip der Datenvermeidung und Datensparsamkeit ( 3 a BDSG) mehr und mehr durch das Verhältnismäßig- 54 BGH Urt v VI ZR 196/08 spickmichde 55 Zu den Schranken der Meinungsfreiheit: BVerfG Beschl v BvR 2150/08 K&R 2010, 648; dazu Ladeur K&R 2010, Siehe auch BVerfG Beschl v BvR 1287/08, NJW 2011, 665 zur Teilnahme eines Zahnarztes an einem dem Preisvergleich dienenden Internetportal Ein Berufsgericht für Zahnärzte hatte dem Zahnarzt einen Verweis erteilt, u a weil er aus berufsrechtlichen Gründen ohne persönliche Untersuchung keine Kostenschätzung abgeben dürfe Aus Sicht des BVerfG verletzt das Urteil des Landesberufsgerichts BW den Zahnarzt in Art 12 II GG Aus den Leitsätzen: [ ] 2 Allein die Wahl des Mediums Internet erlaubt es vom Grundsatz her nicht, die Grenzen erlaubter Außendarstellung von freiberuflich Tätigen enger zu ziehen 3 Es ist nicht mit Art 12 I GG vereinbar, eine im Internet abgegebene Kostenschätzung eines Zahnarztes generell als berufsrechtliche Werbung [ ] zu qualifizieren [ ] 57 Hufen, Der Menschenwürdegehalt der Wohnungsfreiheit, Statement im Rahmen des Symposiums: Folgerungen aus dem Urteil des Bundesverfassungsgerichts zur akustischen Wohraumüberwachung: Staatliche Eingriffsbefugnisse auf dem Prüfstand?, Berlin, abrufbar unter: SharedDocs/Publikationen/PM37-04ThesenpapierHufenpdf? blob=publicationfile 58 BVerfGE Urt v BvR 2378/98 und 1 BvR 1084/99, NJW 2004, Teilweise wird vertreten (so wohl auch Simitis/Simitis BDSG 6 Aufl 28 Rdnr 21), man müsse die Abwägung auch als ungeschriebenes Merkmal in 28 Abs 1 S 1 Nr 1 BDSG hineinlesen Conrad

12 beck-shopde Druckerei C H Beck Revision, Recht des Datenschutzes Conrad keitsprinzip abgelöst Dies deutet sich bereits in 32 Abs 1 S 2 BDSG an und wird weiter um sich greifen, sollte der Gesetzesentwurf zum Beschäftigtendatenschutz 60 in Kraft treten Sogar der Kernbereich privater Lebensgestaltung (siehe 32 e Abs 7 BDSG-E) soll im Bereich des Beschäftigtendatenschutzes Eingang ins BDSG finden Ob diese terminologische Änderung auch inhaltliche Auswirkungen hat, bleibt abzuwarten Jedenfalls nähert sich das BDSG auf diese Weise dem Sprachgebrauch der Arbeitsgerichte an, die zumindest bislang viele Fälle zum Arbeitnehmerdatenschutz auf Basis des allgemeinen Persönlichkeitsrechts entschieden haben, ohne auf datenschutzrechtliche Vorschriften Bezug zu nehmen Nach seiner eigentlichen Konzeption gehören zum Instrumentarium des Datenschutzes Zulässigkeitsvoraussetzungen, Kontrollinstitutionen, Rechte des Betroffenen und technisch/ organisatorische Maßnahmen Letztere sind inhaltlich weitgehend deckungsgleich mit der IT-Sicherheit Jedoch ist der Fokus des Rechts der IT-Sicherheit ein anderer Dort geht es tatsächlich um Vorschriften zum Schutz von (automatisierten) Daten und IT-Systemen, um Verluste bzw Risiken für Unternehmen vor allem in deren Interesse und im Dritt-Interesse zu vermeiden 61 Daraus ergibt sich naturgemäß ein Spannungsfeld zwischen den Kontroll-, Überwachungs- und Protokolliergeboten der IT-Sicherheit und dem Schutz vor solchen Maßnahmen (jedenfalls wenn sie unverhältnismäßig sind) durch den Datenschutz Gleichwohl ist der technisch-organisatorische Datenschutz, ausgeprägt v a im Grundsatz der Datenvermeidung und Datensparsamkeit ( 3 a BDSG) und in den technisch- organisatorischen Maßnahmen des 9 BDSG i V m Anlage 62 dazu, eines der Grundprinzipien und Voraussetzung für einen funktionsfähigen Datenschutz 63 Die Problematik des vordatenschutzrechtlichen Persönlichkeitsschutzes bestand insbesondere in der Geldentschädigung, die nur unter besonderen Voraussetzungen bzw bei schwerem Eingriff gewährt wurde In 7 BDSG ist zwar ein Schadensersatzanspruch geregelt, der aber schon allein wegen des schwierigen Kausalitätsnachweises kaum durchsetzbar ist Auch im Rahmen der weiter anhaltenden Modernisierungsbestrebungen im Datenschutz fordern daher Datenschützer eine Effektivierung des Datenschutzes mit zivilrechtlichen Mitteln, etwa mittels eines lizenzähnlichen Schadensersatzanspruches, den der Betroffene bei unrechtmäßiger Verwendung seiner Daten oder bei Zweckentfremdung ohne konkreten Schaden beziffern und geltend machen könnte 64 2 Entwicklung der Datenschutzgesetzgebung a) Die erste Fassung des BDSG (1977) Das Datenschutzrecht hat sich seit Anfang der siebziger Jahre weitgehend unabhängig vom eigentlichen EDV-(Vertrags-)Recht entwickelt 65 Auslöser war der Fortschritt bei der automatisierten Erhebung und Verarbeitung von Daten durch die EDV in den 60er Jahren, die eine bis dahin nicht gekannte Auswertung von Daten und damit die Erstellung aussagekräftiger Persönlichkeitsprofile ermöglichte Angesichts wachsender Schnelligkeit und Umfang der EDV, die nicht an nationale Grenzen gebunden ist und potentiell jeden Lebensbereich erfassen kann, sollte der Mensch vor unbefugter Sammlung, Verarbeitung und Verwendung seiner privaten, beruflichen oder sonstigen Daten geschützt werden Nachdem bereits 1970 das Land Hessen ein Landesdatenschutzgesetz, und zwar das erste allgemeine Datenschutzgesetz der Welt überhaupt, verabschiedet hatte (das Land Rheinland-Pfalz folgte 1974), wurde 1971 ein erster Referentenentwurf für ein Bundesdaten- 60 Der Grundentwurf stammt vom , am hat die Bundesregierung auf die Kritik des Bundesrats zu diesem Entwurf reagiert, aber Änderungen im Wesentlichen abgelehnt 61 Zum Schutz der Daten im Recht der IT-Sicherheit siehe 2 Compliance, IT-Sicherheit, Ordnungsmäßigkeit der Datenverarbeitung 62 Siehe speziell für Telemedien die technisch-organisatorischen Maßnahmen in 13 Abs 3 7 TMG 63 Enzmann/Scholz, Technisch-organisatorische Gestaltungsmöglichkeiten, in: Roßnagel (Hrsg) Datenschutz beim Online-Einkauf, 2002, 73 Zu Datenschutz durch Anonymität und Pseudonymität: Roßnagel/ Scholz MMR 2000, Schneider AnwBl 2011, 233, Zu den Anfängen des EDV-Rechts siehe Geiger, Der Weg zur Rechtsinformatik erste praktische Schritte in den Jahren 1969 bis 1972 in: Conrad (Hrsg), Inseln der Vernunft, 2008

13 beck-shopde Druckerei C H Beck Revision, II Persönlichkeitsrecht, Datenschutz und verfassungsrechtliche Grundlagen schutzgesetz vorgelegt Mehrjährige Beratungen und Neufassungen der Texte folgten, bis schließlich die erste Fassung des BDSG am verkündet wurde und am in vollem Umfang in Kraft trat Nachfolgend haben dann auch alle anderen Bundesländer teils neue, teils novellierte Datenschutzgesetze erlassen In den folgenden Jahren, in denen der Datenschutz in der Praxis Gestalt annahm, vollzogen sich durch die technische Entwicklung in der Datenverarbeitung wesentliche Änderungen Die Großrechenzentren waren nicht mehr vorrangig Gegenstand datenschutzrechtlicher Überlegungen Der Computer hatte am individuellen Arbeitsplatz aber auch im häuslich privaten Bereich seinen Platz gefunden Gleichzeitig vollzog sich ein andauernder Wandel der Verarbeitungstechniken Die Möglichkeiten des Direktzugriffs, der Verwendung freier Abfragesprachen, die fortschreitende, inzwischen weltweite Vernetzung verschiedener Informationssysteme sowie die zunehmende Dezentralisierung der Verarbeitungen sind Beispiele hierfür b) Volkszählungsurteil des BVerfG und die zweite Fassung des BDSG 1990 Auch das rechtliche Umfeld wurde wesentlich verändert Das ist vorrangig dem Urteil des BVerfG zum Volkszählungsgesetz 1983 (BVerfGE 65, 1 = NJW 1984, 419) und dem damit geschaffenen Recht auf informationelle Selbstbestimmung 66 zu verdanken 67 BVerfGE 65, S 1 = NJW 1984, 419: Freie Entfaltung der Persönlichkeit setzt unter den Bedingungen moderner Datenverarbeitung den Schutz des Einzelnen gegen unbegrenzte Erhebung, Speicherung, Verwendung und Weitergabe seiner persönlichen Daten voraus Dieser Schutz ist daher von dem Grundrecht des Art 2 Abs 1 i V m mit Art 1 Abs 1 GG (= Schutz der Menschenwürde) umfasst Mit einer Vielzahl von Veränderungen im positiven Recht, etwa durch neue bereichsspezifische Vorschriften, und einer das Datenschutzrecht präzisierenden und fortschreibenden Rechtsprechung ging auch ein gewandeltes Rechtsempfinden der Bürger einher Die Mehrzahl der Bundesländer hat das Grundrecht auf Datenschutz in die Landesverfassungen übernommen Im Hinblick auf die technischen und rechtlichen Veränderungen des Datenschutzumfeldes wurden sodann verschiedene Anläufe zu einer Novellierung des BDSG gemacht Insgesamt lagen den Parlamenten zehn Gesetzentwürfe vor, bis dann im Jahr 1990 das BDSG in der zweiten Fassung verabschiedet wurde 68 Der Schwerpunkt der Änderungen lag im öffentlichen Bereich Vor dem Hintergrund des Volkszählungsurteils sollte dem Bürger in erster Linie ein Recht auf informationelle Selbstbestimmung vor staatlichen Informationsansprüchen eingeräumt werden Andererseits wurde mehr und mehr erkennbar, dass die insoweit subsidiären Regelungen des BDSG durch die fortschreitende bereichsspezifische Gesetzgebung zunehmend an Bedeutung verloren 69 Etwa für den Multimediabereich wurden datenschutzrechtliche Bestimmungen zum einen im Telekommunikationsgesetz (TKG) erlassen und zum anderen im Teledienstedatenschutzgesetz (TDDSG vom ), das 2007 durch das Telemediengesetz (TMG) abgelöst wurde 70 c) Europäisches Datenschutzrecht Maßgebend für die weitere Entwicklung des Datenschutzrechts war die Erkenntnis, dass Datenschutz an den Grenzen eines Staates nicht Halt macht Allein durch die wirtschaftlichen Verpflichtungen und die Erfordernisse des Transborder Data Flows bedarf Datenschutz als grenzüberschreitende Problemstellung sowohl internationaler, als auch insbesondere im Hinblick auf den europäischen Binnenmarkt europaeinheitlicher Regelungen Die EG-Kommission hat im Rahmen eines Datenschutzpaketes 66 Aktuell zum Recht auf informationelle Selbstbestimmung siehe BVerfG Urt v BvR 2074/05; 1 BvR 1254/07 zur polizeilichen Kfz-Kennzeichenerfassung unten VIII1 67 Siehe zum Volkzählungsurteil und Recht auf informationelle Selbstbestimmung: Garstka DuD 1994, 243; Schrader CR 1994, Zu BDSG 1991 siehe Dammann, Das neue Bundesdatenschutzgesetz Überblick über die am in Kraft getretene Neufassung (BGBl 1990 I S 2954), NVwZ 1991, 640; Büllesbach NJW 1991, Zum Reformbedarf siehe etwa: Roßnagel/Pfitzmann/Garstka, Modernisierung des Datenschutzrechts Gutachten im Auftrag des Bundesministeriums des Innern, Berlin Einzelheiten zum Datenschutz der Telemedien siehe 27 Conrad

14 beck-shopde Druckerei C H Beck Revision, , 33 Recht des Datenschutzes Conrad bereits 1990 einen Vorschlag für eine Datenschutzrichtlinie vorgelegt, die in überarbeiteter Fassung im Jahr 1995 als Richtlinie zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr verabschiedet wurde Die EU- Staaten wurden verpflichtet, ihr Datenschutzrecht innerhalb von drei Jahren den Vorgaben der Richtlinie anzupassen Der europarechtliche Rahmen für den Datenschutz sieht auszugsweise wie folgt aus: Richtlinie 95/46/EG 71 des Europäischen Parlamentes und des Rates vom zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr Datenschutzrichtlinie, ABl L 281 vom , S 31 Mitte 2009 hat die europäische Kommission eine erste Konsultationsphase zur Novellierung der Richtlinie erlassen 72 Richtlinie 97/66/EG 73 des Europäischen Parlaments und des Rates vom über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre im Bereich der Telekommunikation, ABl L 24 vom , S 1 8 Richtlinie 2000/31/EG des Europäischen Parlaments und des Rates vom über bestimmte rechtliche Aspekte der Dienste der Informationsgesellschaft, insbesondere des elektronischen Geschäftsverkehrs, im Binnenmarkt Richtlinie über den elektronischen Geschäftsverkehr, ABl L 178 vom , S 1 Richtlinie 2002/58/EG 74 des Europäischen Parlaments und des Rates vom über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation Datenschutzrichtlinie für elektronische Kommunikation, ABl L 108 vom , S 33; die überarbeitete Richtlinie enthält Regelungen zu Cookies und Opt-ins und muss bis zum umgesetzt werden 75 Nicht zum Datenschutzrecht im eigentlichen Sinne gehört die 2006 in Kraft getretene und heftig umstrittene Richtlinie 2006/24/EG 76 über die Vorratsspeicherung von Daten d) Dritte Fassung des BDSG 2001 Im Mai 2001 wurde in Umsetzung der Datenschutzrichtlinie 95/46/EG die dritte Fassung des BDSG verabschiedet In der Folgezeit erfolgten nur kleinere Änderungen, wie etwa durch ein Gesetz zum Abbau bürokratischer Hemmnisse vom Juni Auch nach der dritten Fassung des BDSG gab es diverse offene bzw strittige Punkte, wofür bzw wie der Datenschutz gelten soll Einige werden kurz aufgelistet: Privater/Öffentlicher Bereich Natürliche Personen/Juristische Personen Bedrohungen durch elektronische Medien/jede Verarbeitung personenbezogener Daten Phasenweise Schutz-Konzepte und Zulässigkeitsvoraussetzungen (so das BDSG) oder flexibles Schutzgut Bei Schutz personenbezogener Daten: Abstufung nach Sensitivität? (jetzt: Besondere Arten personenbezogener Daten nach 3 Abs 9 BDSG 2001) Komplettes Verbot oder weitgehende Einschränkung des Handels mit Daten Selbstregulierung und/oder Kontroll- und Sanktionensystem v a interner/externer betrieblicher Datenschutzbeauftragter und/oder Aufsichtsbehörden, Unabhängigkeit der Aufsichtsbehörden 71 Zu den Prinzipien des deutschen Datenschutzrechts unter Berücksichtigung dieser Datenschutzrichtlinie der EG vom (1 Teil), RDV 1998, 235 (I), RDV 199, 12 (2); Gounalakis/Mand CR 1997, 431 (I), 497 (II); Eul/Godefroid RDV 1998, 185; Ehmann/Helfrich EG-Datenschutzrichtlinie, 1999; Ehmann/ Sutschet RDV 1997, 3 Zu Rechtsstellung, Aufgaben und Befugnissen der Datenschutzkontrollstellen nach Art 28 der RL 95/46/EG: Giesen RDV 1998, Selk AnwBl 2011, Zur sog ISDN-Datenschutzrichtlinie siehe Rihaczek DuD 1994, Ohlenburg MMR 2003, 82 Roy RDV 1995, 53 Ohlenburg MMR 2003, 82; Krader RDV 2000, Siehe dazu 27 Datenschutz der Telemedien 76 Siehe unten VIII 2 77 Zur Entwicklung des Datenschutzrechts in den Jahren siehe: Gola/Jaspers RDV 1998, 47; Gola/Klug NJW 2001, 3747; dies NJW 2002, 2431; dies NJW 2003, 2420; dies NJW 2004, 2428; dies NJW 2005, 2434

15 beck-shopde Druckerei C H Beck Revision, II Persönlichkeitsrecht, Datenschutz und verfassungsrechtliche Grundlagen e) Drei BDSG-Novellen in Einige der strittigen Punkte wurden im Rahmen der aktuellen Überarbeitungen des BDSG in Angriff genommen Der Bundestag hat kurz vor Ende der 16 Legislaturperiode drei Novellen zum BDSG verabschiedet Die BDSG-Novelle I (Gesetz zur Änderung des Bundesdatenschutzgesetzes vom , BGBl I S 2254, in Kraft seit ) beschäftigt sich v a mit der Datenübermittlung an Auskunfteien 79 ( 28 a BDSG, neu) und dem Kredit-Scoring ( 28 b BDSG, neu) Damit zusammenhängend steht auch die BDSG Novelle III (Gesetz zur Änderung des Bundesdatenschutzgesetzes vom , BGBl I S 2355, in Kraft seit ) Die BDSG-Novelle II (Gesetz zur Änderung datenschutzrechtlicher Vorschriften vom , BGBl I S 2814, in Kraft seit ) enthält ein Kessel Buntes und ist maßgeblich durch Datenschutzskandale der letzten Zeit motiviert gewesen Die Neuerungen in Stichpunkten: Auftragsdatenverarbeitung (siehe 11 Abs 2 BDSG: Klarstellung der Anforderungen an die Festlegung im Auftragsdatenverarbeitungsvertrag) Adresshandel und Werbung (siehe 28 Abs 3 BDSG sowie 28 Abs 3 a und 3 b BDSG, Abs 3 a und 3 b sind neu) Beschäftigtendatenschutz ( 32 BDSG, neu) Stellung des betrieblichen Datenschutzbeauftragten (Kündigungsschutz und Recht auf Fort- und Weiterbildung, 4 f BDSG) Behördliche Datenschutzkontrolle (Anordnungen nach 38 Abs 5 BDSG bei Datenschutzverstößen sowie Erhöhung des Bußgeldrahmens 43 BDSG) Informationspflicht bei unrechtmäßiger Kenntniserlangung von Daten ( 42 a BDSG, neu) Die geplanten Regelungen zum Datenschutzauditgesetz sind zugunsten eines dreijährigen Pilotprojekts zunächst gestrichen worden f) Entwurf eines Gesetzes zur Regelung des Beschäftigtendatenschutzes Nachdem das BDSG in 2009 in drei Schnellverfahren novelliert wurde, begann bereits wenige Tage nach Inkrafttreten die Reform der Reform Bereits im September 2009 wurde vom damaligen Arbeitsminister ein Entwurf eines Arbeitnehmerdatenschutzgesetzes veröffentlicht 80 In 2010 wurden seitens der Bundesregierung diverse Referentenentwürfe vorgelegt 81 Das Bundeskabinett hat am den Entwurf eines Gesetzes zur Regelung des Beschäftigtendatenschutzes 82 beschlossen, zu dem der Bundesrat am kritisch Stellung nahm 83 Die Bundesregierung hat am eine Gegenäußerung abgegeben, in der sie einen Großteil der Vorschläge des Bundesrats ablehnte 84 Am wurde der Entwurf im Bundestag in erster Lesung kontrovers diskutiert Am fand im Innenausschuss des Bundestages eine öffentliche Anhörung zum Thema Beschäftigtendaten- 78 Für einen zusammenhängenden Überblick über die Neuerungen: Gola NJW 2009, 2577, Abel RDV 2009, 147, Roßnagel NJW 2009, 2716 Zum europarechtlichen Aspekt: Fassbender RDV 2009, Siehe zu datenschutzrechtlichen Fragen der Datenübermittlungen an die Schufa und dem Schufa-Verfahren, allerdings nach altem Recht: Kamlah MMR 1999, 395; Kloepfer/Kutzschbach MMR 1998, Siehe etwa Entwurf für ein Gesetz zum Datenschutz im Beschäftigungsverhältnis (Beschäftigtendatenschutzgesetz BDatG) vom Der Regierungsentwurf vom ist der sechste Entwurf eines Gesetzes zur Regelung des Beschäftigtendatenschutzes in 2010 Der erste Referentenentwurf in 2010 stammt vom , die drei nachfolgenden Referentenentwürfe vom 28 5, 28 6 (mit Korrektur vom 7 7) und Daneben gibt es einen Fraktionsentwurf von Bündnis 90/Die Grünen vom Zumindest der erste Referentenentwurf vom 23 3 weicht teilweise erheblich vom Regierungsentwurf vom ab Siehe auch die Synopse von Zimmer-Helfrich/Hanloser im MMR-Forum Beschäftigtendatenschutz, abrufbar unter wwwblogbeckde Am haben verschiedene Abgeordnete und Bündnis 90/Die Grünen einen Entwurf eines Gesetzes zur Verbesserung des Schutzes personenbezogener Daten der Beschäftigten in der Privatwirtschaft und bei öffentlichen Stellen vorgelegt (BT-Drs 17/4853) 82 Vorliegend in der überarbeiten Fassung unter der Bundestags-Drucksache 17/4230 vom , abrufbar unter 83 Stellungnahme des Bundesrats zum Entwurf eines Gesetzes zur Regelung des Beschäftigtendatenschutzes, BR-Drs 535/10, abrufbar unter templateid=raw,property=publicationfilepdf/535-10pdf 84 BT Drs 17/4230 (dort Anlage 4) Conrad

16 beck-shopde Druckerei C H Beck Revision, Recht des Datenschutzes Conrad schutz statt, für die Sachverständige und Interessenvertreter schriftliche Stellungnahmen abgegeben hatten 85 Ob und wann der Gesetzesentwurf in seiner aktuellen Gestalt verabschiedet wird, ist gegenwärtig nicht absehbar 86 Die Bestrebungen zur Schaffung eines Sonderrechts für den Arbeitnehmerdatenschutz gehen bereits weiter zurück bis zu den Anfängen des BDSG 87 Als Bestandteil der BDSG- Novelle II in 2009 ist 32 BDSG eingeführt worden und zum in Kraft getreten 88 Die BDSG-Novellen 2009 haben das Bewusstsein erhöht, dass ein unkontrolliertes Sammeln von Beschäftigtendaten seinerseits Risiken schafft und somit zu begrenzen ist Dennoch ist sich die Literatur weitgehend einig, dass 32 BDSG mehr Fragen aufgeworfen als bestehende Rechtsunsicherheiten geklärt hat BDSG soll nach dem Gesetzentwurf vom durch einen eigenen Unterabschnitt (13 Paragraphen, l BDSG-E) der die Erhebung, Verarbeitung und Nutzung personenbezogener Daten von Beschäftigten für Zwecke des Beschäftigtenverhältnisses abschließend regelt, ersetzt werden Absicht des Gesetzgebers ist es, mit der Neuregelung sowohl die betriebliche Praxis wie auch die bisher ergangene Rechtsprechung der Arbeitsgerichte zum Thema Datenschutz im Beschäftigtenverhältnis im Gesetz abzubilden 90 Eine erste Auseinandersetzung mit den inhaltlichen Regelungen des Entwurfs hat in der Literatur bereits stattgefunden 91 Der Regierungsentwurf will die Schaffung einer umfassenden Regelung für den Arbeitnehmerdatenschutz verwirklich[en], sich aber gleichzeitig auf die in der betrieblichen Praxis relevanten Datenschutzfragen konzentrieren und [b]estehende Schutzlücken schließen 92 Das Bundeskabinett nennt folgende Grundprinzipien als kennzeichnend 93 für den Regierungsentwurf 2010: Transparenz, Erforderlichkeit und Löschungspflicht für Daten, die für den erhobenen Zweck nicht mehr erforderlich sind Transparenz und Erforderlichkeit gehören seit jeher zu den grundlegenden Prinzipien des BDSG Bereits aus dem Recht auf informationelle Selbstbestimmung ergibt sich ein Zweckbindungsgebot bzw ein Zweckentfremdungsverbot 94 Auch jetzt schon kennt 20 Abs 2 BDSG eine Löschungspflicht, wobei jedoch in bestimmten Fällen an Stelle der Löschung eine Sperrverpflichtung tritt ( 20 Abs 3 BDSG) Das Grundprinzip, das den Datenumgang zumindest bislang am stärksten eingeschränkt hat, ist das Verbotsprinzip ( 4 Abs 1 85 Siehe ua Stellungnahme des DGB (AusschussDrs 17 (4) 252 A), der GDD (Jaspers AusschussDrs 17 (4) 252 B), des BDA/BDI (17 (4) 252 C), der DVD (Hilbrans AusschussDrs 17 (4) 252 G); sehr interessant: Hornung (AusschussDrs 17 (4) 252 D) sowie Kramer (AusschussDrs 17 (4) 252 F) 86 So hat die Fraktion Bündnis 90/Die Grünen am einen konkurrierenden Gesetzesentwurf eingebracht, Entwurf eines Gesetzes zur Verbesserung des Schutzes personenbezogener Daten der Beschäftigten in der Privatwirtschaft und bei öffentlichen Stellen, BT-Drs 17/4853 vom , abrufbar unter dipbtbundestagde/dip21/btd/17/048/ pdf 87 Siehe dazu etwa Simitis AuR 1977, 97 ff; Simitis NJW 1998, 2397; BfD, 17 TB , S 131 Zum Umsetzungsbedarf der EU-Datenschutzrichtlinie und den Auswirkungen aus der Sicht des Arbeitsrechts: Ehmann/Sutschet RDV 1997, 3 88 Siehe oben e) 89 Gola/Jaspers RDV 2009, S 212; siehe etwa zur Streitfrage, ob 28 Abs 1 S 1 Nr 2 BDSG neben 32 BDSG anwendbar bleibt, unten Rdnr 122 ff 90 Siehe Eckpunktepapier des BMI zum Beschäftigtendatenschutz vom Siehe z B Tinnefeld/Petri/Brink, Aktuelle Fragen um ein Beschäftigtendatenschutzgesetz, MMR 2010, 727, Beckenschulze/Natzel, Das neue Beschäftigtendatenschutzgesetz Eine Darstellung des aktuellen Gesetzesentwurfs vom , BB 2010, 2368, Forst, Der Regierungsentwurf zur Regelung des Beschäftigtendatenschutzes, NZA 2010, 1043, Sasse, Der Gesetzesentwurf zur Regelung des Beschäftigtendatenschutzes, ArbRB 2010, 309, Thüsing, Verbesserungsbedarf beim Beschäftigtendatenschutz, NZA 2011, 16, Heinson/ Sörup/Wybitul, Der Regierungsentwurf zur Neuregelung des Beschäftigtendatenschutzes, CR 2010, 751; Vietmeyer/Byers MMR 2010, 807; Gola RDV 2011, 109; Tinnefeld/Petri/Brink MMR 2011, Siehe Hintergrundpapier zum Entwurf eines Gesetzes zur Regelung des Beschäftigtendatenschutzes Kabinettsbeschluss vom , Stand des Hintergrundpapiers: Hervorhebungen von der Verfasserin 93 Hintergrundpapier zum Reg-E vom , S 1 94 Schneider in: Schneider (Hrsg) Handbuch des EDV-Rechts, 4 Aufl 2009, Kap B Rdnr 108 mit Verweis auf BVerfG Urt v , NJW 1984, 2271 Flickausschuss i V m BVerfG Urt v , NJW 1991, 2129, 2132 Quellensteuer

17 beck-shopde Druckerei C H Beck Revision, II Persönlichkeitsrecht, Datenschutz und verfassungsrechtliche Grundlagen 41, BDSG nur zulässig, soweit ) Dieses Grundprinzip nennt das Hintergrundpapier zum Regierungsentwurf 2010 zumindest nicht ausdrücklich Eine geplante Abkehr vom Verbotsprinzip lässt sich damit wohl nicht begründen Nicht ohne weiteres transparent ist z B das Verhältnis des restriktiven 31 BDSG zu den geplanten Beschäftigtendatenschutzregelungen (v a zu 32 d Abs 3 BDSG-E) Im Ergebnis würde der Gesetzesentwurf vom nur teilweise mehr Klarheit schaffen, teilweise die Probleme verlagern und neue kreieren 95 3 Querverbindungen zu anderen Rechtsgebieten a) Verfassungsrecht und (zivilrechtliches) allgemeines Persönlichkeitsrecht Ungeachtet der Streitfragen im Zusammenhang mit dem Begriff Datenschutz gibt es ein riesiges Rechtsgebiet, das sich um den Datenschutz im weiteren Sinne gebildet hat bzw zu diesem gehört Der Datenschutz im weiteren Sinne ist geprägt durch eine Vielschichtigkeit der gesetzlichen Regelungen und Rechtsinstitutionen Grob umrissen umfasst dieses Gebiet den formellen Datenschutz, insbesondere im BDSG und in Landesdatenschutzgesetzen mit zahlreichen Verordnungen, sowie in spezialgesetzlichen Datenschutzvorschriften etwa im TMG 96 und TKG, 97 teils mit starker Überschneidung zu den vorgenannten Bereichen: das (zivilrechtliche) Allgemeine Persönlichkeitsrecht ( 823 Abs 1 BGB), das zugleich die Schnittstelle zu verwandten Bereichen wie dem Medienrecht und dem damit verknüpften Recht auf Gegendarstellung bildet, den materiellen Datenschutz aus verfassungsrechtlichen Wurzeln in Form des Allgemeinen Persönlichkeitsrechts (Art 2 Abs 1, Art 1 Abs 1 GG) in seiner Ausprägung als Recht auf informationelle Selbstbestimmung, begründet in dem verfassungsrechtlichen Datenschutz, wie er seit dem Urteil des BVerfG vom (BVerfGE 65, 1) entwickelt wurde 98 Zum verfassungsrechtlichen Persönlichkeits- und Datenschutz kommt das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme hinzu, postuliert im Urteil des BVerfG vom (1 BvR 370/07) 99 Eine weitere Querverbindung des Datenschutzrechts besteht zum Informationsfreiheitsgesetz IFG 100 b) Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme Der Erste Senat des BVerfG hat mit Urteil vom (1 BvR 370/07; 1 BvR 595/07) nicht nur die Vorschriften des Verfassungsschutzgesetzes Nordrhein-Westfalen ( 5 ff VSG NRW) zur Online-Durchsuchung sowie zur Aufklärung des Internet für verfassungswidrig und nichtig erklärt, sondern auch ein neues Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme postuliert 101 So heißt es in der entsprechenden Pressemitteilung des BVerfG: 5 Abs 2 Nr 11 Satz 1 Alt 2 VSG, der den heimlichen Zugriff auf informationstechnische Systeme regelt ( Online-Durchsuchung ), verletzt das allgemeine Persönlichkeitsrecht in seiner besonderen Ausprägung als Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme und ist nichtig Einzelheiten zu einigen Regelungen des Entwurfs siehe unten Rdnr 166 ff 96 Siehe etwa Schaar, Datenschutz im Internet, München, 2002; zu den Datenschutzregelungen für Telemedien im TMG siehe unten VI 97 Zu TK-Datenschutz siehe 29 Telekommunikationsrecht Siehe auch Breyer RDV 2004, 147; Ohlenburg K&R 2003, 265; Ohlenburg MMR 2004, 431; Koenig/Neumann ZRP 2003, 5; Koenig/Neumann K&R 2000, 417; Koenig/Röder CR 2000, Siehe im Zusammenhang mit TDDSG Schmitz, 2000; Aktuelle BVerfG-Urteile zum Recht auf informationelle Selbstbestimmung im Zusammenhang mit polizeilicher Kfz-Kennzeichenerfassung, siehe unten VIII1 und zur Vorratsdatenspeicherung, siehe unten VIII2 99 Dazu sogleich unter II 3 b) 100 Dazu siehe unten IX 101 Aktuell zum Urteil selbst: Hoeren, Das Urteil des Bundesverfassungsgerichts vom , Jusletterch v ; s a Buermeyer RDV 2008, 8; BVerfG-Pressemitteilung Nr 22/2008 vom , abrufbar unter BVerfG Urt v (1 BvR 370/07; 1 BvR 595/07) Rdnr 166 Conrad

18 beck-shopde Druckerei C H Beck Revision, Recht des Datenschutzes Conrad aa) Verfassungswidrigkeit der angegriffenen Normen Angesichts der Schwere des Eingriffs ist die heimliche Infiltration eines informationstechnischen Systems, mittels derer die Nutzung des Systems überwacht und seine Speichermedien ausgelesen werden können, verfassungsrechtlich nur zulässig, wenn auch der Grundsatz der Verhältnismäßigkeit gewahrt wird, insbesondere: tatsächliche Anhaltspunkte einer konkreten Gefahr für ein überragend wichtiges Rechtsgut bestehen, der Eingriff grundsätzlich unter den Vorbehalt richterlicher Anordnung gestellt wird und insgesamt das Gebot der Verhältnismäßigkeit gewahrt wird, insbesondere hinreichende gesetzliche Vorkehrungen getroffen werden, um Eingriffe in den absolut geschützten Kernbereich privater Lebensgestaltung zu vermeiden, und der Grundsatz der Normenbestimmtheit und Normenklarheit gewahrt ist Die Ermächtigung zum heimlichen Aufklären des Internet in 5 Abs 2 Nr 11 Satz 1 Alt 1 VSG NRW verletzt ebenfalls die Verfassung und ist nichtig Das heimliche Aufklären des Internet greift in das Telekommunikationsgeheimnis ein, wenn die Verfassungsschutzbehörde zugangsgesicherte Kommunikationsinhalte überwacht, indem sie Zugangsschlüssel nutzt, die sie ohne oder gegen den Willen der Kommunikationsbeteiligten erhoben hat Ein derart schwerer Grundrechtseingriff setzt grundsätzlich zumindest die Normierung einer qualifizierten materiellen Eingriffsschwelle voraus Gerade im Vorfeld konkreter Gefährdungen ist das Gewicht der möglichen Rechtsgutsverletzung, auch gegenüber Dritten, zu berücksichtigen Insbesondere sind Vorkehrungen zum Schutz des Kernbereichs privater Lebensgestaltung zu treffen Nimmt der Staat im Internet dagegen öffentlich zugängliche Kommunikationsinhalte wahr oder beteiligt er sich an öffentlich zugänglichen Kommunikationsvorgängen, greift er grundsätzlich nicht in Grundrechte ein bb) Abgrenzung von anderen Grundrechten und Rangverhältnis Zur Begründung des neuen Grundrechts führt das BVerfG 103 aus: Die Nutzung informationstechnischer Systeme sei für die Persönlichkeitsentfaltung vieler Bürger von zentraler Bedeutung, begründe gleichzeitig aber neuartige Gefährdungen der Persönlichkeit Eine Überwachung der Nutzung solcher Systeme und eine Auswertung der auf den Speichermedien befindlichen Daten können weit reichende Rückschlüsse auf die Persönlichkeit des Nutzers bis hin zu einer Profilbildung ermöglichen Hieraus folgert das BVerfG ein grundrechtlich erhebliches Schutzbedürfnis Die Gewährleistungen der Art 10 GG (Telekommunikationsgeheimnis) und Art 13 GG (Unverletzlichkeit der Wohnung) wie auch die bisher in der Rechtsprechung des Bundesverfassungsgerichts entwickelten Ausprägungen des allgemeinen Persönlichkeitsrechts insbesondere Schutz der Privatsphäre und Recht auf informationelle Selbstbestimmung tragen, so das BVerfG, dem durch die Entwicklung der Informationstechnik entstandenen Schutzbedürfnis nicht hinreichend Rechnung Die Reichweite des Fernmeldegeheimnisses ist immer wieder Gegenstand von Urteilen 104 In 2009 hat das BVerfG 105 im Zusammenhang mit einer Beschlagnahme von s klargestellt, die Sicherstellung/Beschlagnahme auf dem Mailserver eines Providers greift in den Schutzbereich von Art 10 GG ein Art 10 Abs 1 GG knüpft nicht an den rein technischen TK-Begriff im Sinne des TKG an, sondern an die Schutzbedürftigkeit des Grundrechtsträgers Der Schutzbereich des Art 10 GG gilt, solange s nicht im Herrschaftsbereich des Nutzers sind: solange s beim Provider ruhen und weiter, auch wenn s nach Kenntnisnahme weiter beim Provider gespeichert bleiben Das VG Frankfurt/M 106 hatte 2009 entschieden, dass das Fernmeldegeheimnis endet, wenn s von Mitarbeiter an selbst gewählter Stelle archiviert oder gespeichert werden 103 BVerfG a a O Rdnr 169 ff 104 Einzelheiten siehe 2 Compliance, IT-Sicherheit, Ordnungsmäßigkeit der Datenverarbeitung 105 BVerfG Urt v (2 BvR 902/06) Im konkreten Fall war der Eingriff nach Ansicht des BVerfG verhältnismäßig 106 VG Frankfurt/M WM 2009, 948

19 beck-shopde Druckerei C H Beck Revision, II Persönlichkeitsrecht, Datenschutz und verfassungsrechtliche Grundlagen Im Einzelfall kann jedoch die Reichweite des grundrechtlichen Schutzes des Art 10 Abs 1 GG unklar sein Im Zusammenhang mit der Onlinedurchsuchung stellte das BVerfG klar, Art 10 GG erstreckt sich nicht auf die nach Abschluss eines Kommunikationsvorgangs im Herrschaftsbereich eines Kommunikationsteilnehmers gespeicherten Inhalte und Umstände der Telekommunikation, sofern dieser Kommunikationsteilnehmer eigene Schutzvorkehrungen gegen den heimlichen Datenzugriff treffen kann Art 10 GG erfasst auch nicht Fälle, in denen die Nutzung eines informationstechnischen Systems als solche überwacht wird oder die Speichermedien des Systems durchsucht werden Allerdings werden diese Fälle regelmäßig durch das Recht auf informationelle Selbstbestimmung geschützt (bzw einfachgesetzlich durch den formellen Datenschutz) Gleichwohl sieht das BVerfG eine Schutzlücke, die durch das neue Grundrecht zu schließen sei Wird ein komplexes informationstechnisches System zum Zweck der Telekommunikationsüberwachung technisch infiltriert ( Quellen-Telekommunikationsüberwachung ), so ist mit der Infiltration die entscheidende Hürde genommen, um das System insgesamt auszuspähen Die dadurch bedingte Gefährdung geht weit über die hinaus, die mit einer bloßen Überwachung der laufenden Telekommunikation verbunden ist Insbesondere können auch die auf dem Personalcomputer abgelegten Daten zur Kenntnis genommen werden, die keinen Bezug zu einer telekommunikativen Nutzung des Systems aufweisen 107 Auch die Garantie der Unverletzlichkeit der Wohnung belässt Schutzlücken gegenüber Zugriffen auf informationstechnische Systeme Art 13 Abs 1 GG vermittelt dem Einzelnen keinen generellen, von den Zugriffsmodalitäten unabhängigen Schutz gegen die Infiltration seines informationstechnischen Systems, auch wenn sich dieses System in einer Wohnung befindet Denn der Eingriff im Wege der Onlinedurchsuchung kann unabhängig vom Standort erfolgen Ein raumbezogener Schutz ist nicht in der Lage, die spezifische Gefährdung des informationstechnischen Systems abzuwehren Soweit die Infiltration die Verbindung des betroffenen Rechners zu einem Rechnernetzwerk ausnutzt, lässt sie so das BVerfG die durch die Abgrenzung der Wohnung vermittelte räumliche Privatsphäre unberührt Auch die bisher in der Rechtsprechung des BVerfG anerkannten Ausprägungen des allgemeinen Persönlichkeitsrechts, insbesondere die Gewährleistungen des Schutzes der Privatsphäre und des Rechts auf informationelle Selbstbestimmung, genügen dem besonderen Schutzbedürfnis nicht ausreichend Das Schutzbedürfnis des Nutzers eines informationstechnischen Systems beschränkt sich nicht allein auf Daten, die seiner Privatsphäre zuzuordnen sind Zwar schützt das Recht auf informationelle Selbstbestimmung auch sonstige personenbezogene Informationen Allerdings kann sich ein Dritter, der auf ein solches System zugreift, einen potentiell äußerst großen und aussagekräftigen Datenbestand verschaffen, ohne noch auf weitere Datenerhebungs- und Datenverarbeitungsmaßnahmen angewiesen zu sein Ein solcher Zugriff geht in seinem Gewicht für die Persönlichkeit des Betroffenen über einzelne Datenerhebungen, vor denen das Recht auf informationelle Selbstbestimmung schützt, weit hinaus 108 cc) Auswirkungen des jüngsten Grundrechts im nicht-öffentlichen Bereich Das Computer -Grundrecht ist nicht nur Abwehrrecht des Bürgers gegen staatliche Online-Zugriffe Auch bislang schon sind über die sogenannte mittelbare Drittwirkung 109 Grundrechte etwa im Wege der Auslegung unbestimmter Rechtsbegriffe auch im nichtöffentlichen Bereich zur Anwendung gekommen Als Teil der sogenannten objektiven Wertordnung ist das Computer - Grundrecht auch eine Art Orientierungsmarke für die Gewährleistung von IT-Sicherheit bei der staatlichen, unternehmerischen und privaten IT-Nutzung 107 BVerfG a a O Rdnr Siehe auch Hohmann-Dennhardt, Informationeller Selbstschutz als Bestand des Persönlichkeitsrechts, RDV 2008, Zur Drittwirkung der Grundrechte siehe auch: BVerfG Urt v BvE 11/83 und 2 BvE 15/83, NJW 1984, 2271 Flickausschuss; BVerfG Urt v BvR 1493/89, NJW 1991, 2129 Quellensteuer; BVerfG Urt v BvR 26/84, NJW 1990, 1469 Handelsvertreter Conrad

20 beck-shopde Druckerei C H Beck Revision, Recht des Datenschutzes Conrad Das BVerfG hat zu Recht herausgestellt, dass die allgegenwärtige IT-Nutzung permanenten Gefährdungen ausgesetzt ist und dass dieser hohen Verletzlichkeit der IT-Infrastrukturen durch Schutzmaßnahmen zu begegnen ist Dabei genügt der zweifellos wichtige Beitrag der IT-Sicherheitsbranche wohl nicht Neben den Anstrengungen jedes einzelnen Nutzers ist auch der Staat gefordert, den wirksamen Gebrauch dieses Grundrechts zu gewährleisten Wie er seiner Schutzpflicht genügt, bleibt abzuwarten Möglicherweise sind auch die Sorgfaltsmaßstäbe und Haftungsregeln im IT-Sicherheitsrecht zu überdenken Schon bisher war die Auswirkung der Grundrechte im Arbeitsverhältnis, also im Verhältnis zwischen Arbeitgeber und Arbeitnehmer, besonders groß Die Rechtsprechung des BAG hat jedem Grundrecht auch dem Recht auf informationelle Selbstbestimmung eine besondere Ausprägung im Arbeitsverhältnis verliehen Es ist davon auszugehen, dass auch das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme zwischen Privaten, insbesondere auch im Arbeitsverhältnis, zur Anwendung kommen wird Welche Auswirkungen dieses Grundrecht zwischen Privaten jedoch im Detail haben wird, ist noch weitestgehend ungeklärt 110 Es soll subsidiär in seinem Schutzbereich gelten, nachrangig gegenüber den Grundrechten auf Fernmeldegeheimnis (Art 10 GG), Unverletzlichkeit der Wohnung (Art 13 GG) sowie Recht auf informationelle Selbstbestimmung, siehe oben b Unklar ist v a, welche Systeme durch das Computer -Grundrecht geschützt sind bzw bei welchen Systemen das Grundrecht zur Anwendung kommt Das BVerfG stellt nämlich fest, dass die Gebote, die das BVerfG in seinen Leitsätzen festhält, nicht etwa bei allen Systemen zum Tragen kommen, sondern nur bei bestimmten Insoweit stellt das BVerfG folgende Voraussetzungen auf: 111 Dieses Grundrecht ist anzuwenden, wenn die Eingriffsermächtigung Systeme erfasst, die allein oder in ihren technischen Vernetzungen personenbezogene Daten des Betroffenen in einem Umfang und in einer Vielfalt enthalten können, dass ein Zugriff auf das System es ermöglicht, einen Einblick in wesentliche Teile der Lebensgestaltung einer Person zu gewinnen oder gar ein aussagekräftiges Bild der Persönlichkeit zu erhalten Das BVerfG hat somit die Vertraulichkeit der Daten auf persönlichen Computing-Geräten zum Grundrecht erhoben Fraglich ist, ob auch der Firmenrechner, der zwar eigentlich dem Arbeitgeber gehört, aber auf dem der Arbeitnehmer personenbezogene Daten speichert, vom Schutzbereich erfasst ist Insbesondere bedürfen in Zukunft viele Anwendungen des sogenannten Ubiquitären Computing, etwa RFID-Chips sowie Software-Tools, die eine weitgehend lückenlose Mitarbeiter- oder Kundenorganisation und -überwachung ermöglichen (z B Workflow-Management), der Überprüfung Tendenziell kritisch sind sämtliche Funktionen, die evtl in einer Software enthalten sind, sich automatisch online schalten und unbemerkt für den Nutzer/Anwender z B Updates herunterladen und installieren, oder zu DRM-Zwecken Daten über das Nutzungsverhalten an den Lizenzgeber übermitteln 112, 113 Wahrscheinlich wird es Überarbeitungsbedarf bei nahezu allen Nutzungsbedingungen geben, die nicht anvisierte Datenspeicherung und sei es nur im Rahmen der Zulässigkeit des TMG vertraglich regeln wollen Beispiele für offene Fragen: Dürfen Netzriesen wie Google oder Amazon den Gewohnheiten ihrer Kunden weiterhin nachspüren? Muss der Staat dem Bürger gegen Störer sogar helfend zur Seite stehen? Wie sind die Konsequenzen für das Abhören von Internet-Telefonie? Wie sind die Konsequenzen für den Bereich Produktpiraterie, Urheberrechtsverletzung, DRM-Schutz (etwa von Napster etc)? 110 Siehe dazu etwa Darnstädt/Hipp Spiegel 10/2008, S BVerfG Urt v Rdnr DRM steht für Digital Rights Management und erfasst z B urheberrechtsrelevante Schutzmechanismen Zur kartellrechtlichen Relevanz siehe 13 Kartellrechtlicher Bezug Rdnr 257 mit Beispielen 113 Spindler: Evtl macht sich jemand sogar haftbar, der auch nur fahrlässig eine Sicherheitslücke öffnet (in: Der Spiegel 10/2008 v , S 43)