Читать книгу: «Die datenschutzrechtliche Einwilligung im Gesundheitsbereich unter der DSGVO», страница 6

B. Datenschutzrecht in Deutschland

In Deutschland regeln sowohl bundes- als auch landesrechtliche Vorschriften den Datenschutz, da der Bundesgesetzgeber im öffentlichen Bereich weder eine ausschließliche noch eine konkurrierende Gesetzgebungszuständigkeit hat.252 Nach Art. 70 Grundgesetz (GG)253 ist die Gesetzgebung Sache der Länder, soweit das GG selbst nicht dem Bund entsprechende Gesetzgebungsbefugnisse zuweist.254 Für den Bund ergibt sich die Zuständigkeit für datenschutzrechtliche Vorgaben in der öffentlichen Verwaltung als Annex zu den Gesetzgebungskompetenzen aus Art. 73–75 GG.255 Kompetenzen des Bundes für nichtöffentliche datenverarbeitende Stellen ergeben sich vorwiegend gem. der konkurrierenden Gesetzgebung aus der dem jeweiligen Sachgebiet zugeordneten Gesetzgebungskompetenz.256 Allerdings liegt insbesondere im öffentlichen Gesundheitswesen die Gesetzgebungskompetenz in wesentlichem Umfang bei den Ländern, was sich auch im Datenschutz auswirken kann.257

I. Die Entwicklung des Datenschutzrechts in Deutschland

Im Bundesland Hessen erfolgte im Jahr 1970 die weltweit erste Kodifizierung eines Datenschutzgesetztes.258 Ziel des Gesetzes war es, die sozialen und politischen Konsequenzen von automatisierter Verarbeitung personenbezogener Daten rechtlich einzurahmen.259 Der Anwendungsbereich umfasste jedoch nur die öffentliche Verwaltung des Landes, die Informationssysteme eingeführt hatte.260 Erst im Jahr 1977 verabschiedete die Bundesrepublik Deutschland das Bundesdatenschutzgesetz, das bereits zu Beginn der 1970er Jahre in Entwurfsfassungen diskutiert, aber nicht verabschiedet wurde.261

Auch weitere Überarbeitungen des BDSG gestalteten sich politisch von Anfang an als schwierig.262 Es zeigten sich beispielsweise 1990, nach einer Novellierung des BDSG, gravierende Unterschiede zwischen dem bundeweit geltenden BDSG und den in den einzelnen Bundesländern geltenden Landesdatenschutzgesetzen.263 Zu diesem Zeitpunkt hatte die EU-Kommission außerdem bereits einen Richtlinienvorschlag vorgelegt, sodass sich bereits abzeichnete, dass das Datenschutzsystem durch eine weitere Ebene ergänzt werden würde.264 Ein weiterer Baustein der Entwicklung im Datenschutz war die Rechtsprechung durch Bundesgerichtshof (BGH) und Bundesverfassungsgericht (BVerfG).265

1. Die Entwicklung des Persönlichkeitsrechts in Deutschland

Ein allgemeines Persönlichkeitsrecht, von welchem das Recht auf informationelle Selbstbestimmung abgeleitet wird, ist nicht ausdrücklich im GG verankert, sondern hat sich in der zivilrechtlichen Rechtsprechung entwickelt.266 Das allgemeine Persönlichkeitsrecht, kurz APR genannt, wurzelt in Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG und soll Einzelne vor Verletzungen gegen ihre Persönlichkeit schützen.267 Die Verankerung im Grundrecht auf Menschenwürde (Art. 1 Abs. 1 GG) verdeutlicht, dass das Recht einen Kern hat, der vorbehaltlos geschützt ist.268 Das APR ist facettenreich und schützt verschiedene Ausprägungen der Persönlichkeit eines Menschen, unter anderem erstreckt sich der Schutzbereich auf die Erfassung von Personen überhaupt.269

Im Jahr 1983 fällte das BVerfG schließlich ein bahnbrechendes Urteil, in dem das Grundrecht auf informationelle Selbstbestimmung geschaffen und als Teil des APR eingeordnet wurde.270 Somit wurzelt auch das Recht auf informationelle Selbstbestimmung in der Kombination aus Menschenwürde und Handlungsfreiheit, die die freie Entfaltung der Persönlichkeit schützt und den Menschen davor schützen soll, zu einem „verwalteten, nur abgebildeten, überwachten und subtil gesteuerten ‚Objekt‘ degradiert zu werden“.271 Anlass war das Gesetz über eine Volks-, Berufs- Wohnungs-, und Arbeitsstättenzählung272 vom 25. März 1982, auch Volkszählungsgesetz (VZG) genannt, gegen das zahlreiche Bürger der Bundesrepublik Deutschlands Verfassungsbeschwerde erhoben.273 Das Gericht setzte sich damit auseinander, unter welchen Rahmenbedingungen und verfahrensmäßigen Sicherungen die Erfassung personenbezogener Daten zu statistischen Zwecken verhältnismäßig und rechtmäßig sein könnte.274 Kern des informationellen Selbstbestimmungsrechts ist es, selbst darüber zu bestimmen, ob die eigenen personenbezogenen Daten preisgegeben werden und wie sie verwendet werden.275 Ursprünglich als Abwehrrecht gegenüber staatlichen Behörden entwickelt, schützt das subjektiv-öffentliche Recht vor einer Wissensasymmetrie, da Freiheitsbeschneidungen zu befürchten sind, wenn eine Person nicht erkennen oder nachvollziehen kann, welche sie betreffende Daten bekannt sind.276

Das BVerfG stellte Risiken sowohl für die individuelle Entfaltung als auch für das Gemeinwohl der Gesamtbevölkerung unter Demokratiegesichtspunkten fest.277 In Anbetracht potentieller Risiken für Individuum und Gesellschaft folgerte das Gericht, dass es keine belanglosen Daten gibt.278 Das Recht auf informationelle Selbstbestimmung ist dennoch nicht unbeschränkbar, denn der Einzelne muss einen Eingriff in sein Recht aufgrund überwiegender Allgemeininteressen hinnehmen.279 Die Schwere eines Eingriffs hängt dabei nicht bloß vom personenbezogenen Datum für sich betrachtet ab, sondern von den jeweiligen Zwecken und Verarbeitungsmöglichkeiten.280

Diese Grundsätze sind auch auf privatwirtschaftende Unternehmen übertragbar, auf welche die objektive Werteordnung des Grundgesetzes Einfluss nimmt.281 Die Grundrechte gelten also mittelbar im privaten Bereich, indem sie bei ausfüllungsbedürftigen Generalklauseln einwirken bzw. berücksichtigt werden müssen.282 Auch der EuGH bejaht die mittelbare Drittwirkung durch grundrechtskonforme Auslegung von EU-Sekundärrecht, welches sich an private Akteure richtet und ihnen Pflichten auferlegt.283

Seit Anwendbarkeit der DSGVO stellte sich zuweilen die Frage, ob und inwieweit das deutsche Grundrecht auf informationelle Selbstbestimmung seine Relevanz im Datenschutzrecht behält.284 Die Vorgaben der DSGVO genießen einen Anwendungsvorrang vor nationalem Recht,285 als Schutzgut wird in der DSGVO der Begriff „informationelle Selbstbestimmung“ nicht genannt. Dem EuGH nach ist die Auslegung unionsrechtlicher Bestimmungen, sofern kein ausdrücklicher Verweis auf mitgliedstaatliches Recht vorliegt, anhand des Unionsrechts und nicht anhand des nationalen Rechts zu beurteilen.286 Dies gilt auch, wenn es sich um nationales Verfassungsrecht handelt; insbesondere sind unionsrechtliche Bestimmungen nicht „anhand der Grundrechte, wie sie in den nationalen Verfassungen der Mitgliedstaaten ausgestaltet sind“, zu beurteilen.287 Im November 2019 hatte das BVerfG Gelegenheit, sich in zwei Beschlüssen zur Anwendbarkeit von deutschen Grundrechten im Mehrebenensystem zu äußern. Der Beschluss Recht auf Vergessen I288 und dessen Bedeutung für das Mehrebenensystem soll nachfolgend begutachtet werden.

2. Relevanz des Grundrechts auf informationelle Selbstbestimmung nach Anwendbarkeit der DSGVO

Die Zuständigkeiten für die jeweiligen Grundrechtsebenen sind oder waren in der Theorie klar verteilt: Das BVerfG wacht über das GG und der EuGH wacht über die GRCh.289 Die Praxis sah allerdings aufgrund fortschreitenden „Um- und Ausgreifens des Unionsrechts“290 anders aus.291 In seinen Beschlüssen, die auf den ersten Blick nahezu widersprüchlich anmuten, entschied das BVerfG einerseits, dass im Rahmen der Durchführung von Unionsrecht bei der Prüfung von Grundrechten des GG die Unionsgrundrechte mitgeprüft werden (hierzu unter a) und andererseits, dass im Rahmen von vollständig vereinheitlichtem Unionsrecht die Grundrechte des GG nicht anwendbar sind, allerdings das BVerfG die Unionsgrundrechte prüft (hierzu unter b). Die Frage, inwieweit das Grundrecht auf informationelle Selbstbestimmung im Rahmen der DSGVO zur Anwendung kommen kann, soll anhand der beiden Beschlüsse untersucht werden.

a) Beschluss des BVerfG zur Anwendbarkeit von Grundrechten im Mehrebenensystem – Recht auf Vergessen I

Aus dem Beschluss Recht auf Vergessen I lässt sich entnehmen, dass das Grundrecht auf informationelle Selbstbestimmung in bestimmten Situationen auch im Anwendungsbereich der DSGVO zur Anwendung kommen könnte. Nach dem BVerfG kann dies in den Fällen geschehen, in denen das Unionsrecht nicht abschließend („nicht vollständig determiniert“) ist, selbst wenn das innerstaatliche Recht der Durchführung des Unionsrechts dient.“292 Da auch in diesem Fall die deutschen Grundrechte im Lichte der GRCh ausgelegt werden müssen, ist aber richtigerweise zu erwarten, dass nationale Besonderheiten gegenüber der Rechtsprechung des EuGH weniger von Relevanz sein werden.293

Der Anwendungsbereich der GRCh und somit der Unionsgrundrechte ist gem. Art. 51 GRCh eröffnet, wenn eine Durchführung von Unionsrecht vorliegt. Diese Durchführung von Unionsrecht begrenzt die Anwendbarkeit der Unionsgrundrechte neben dem Grundgesetz.294 Sofern ein europäischer Rechtsakt den Mitgliedstaaten Spielräume überlässt, die Umsetzung oder Ausgestaltung der Spielräume aber „erkennbar auch unter Beachtung der Unionsgrundrechte konkretisiert werden soll“, treten die Unionsgrundrechte zu den Gewährleistungen des Grundgesetzes hinzu.295

Die DSGVO lässt sich überzeugenderweise trotz ihres Verordnungscharakters, nämlich im Spielraum ihrer Öffnungsklauseln und aufgrund ihrer Abstraktheit als vom BVerfG bezeichnetes „nicht vollständig determiniertes innerstaatliches Recht“ einordnen.296 Bei der direkten Anwendbarkeit der DSGVO müssen die Unionsgrundrechte geprüft werden, da es sich in den Mitgliedstaaten um die Durchführung von Unionsrecht handelt.297 Auch die Umsetzung und Ausgestaltung von Öffnungsklauseln im von der DSGVO vorgegebenen Rahmen ist eine Durchführung des Unionsrechts i.S.d. Art. 51 der GRCh.298

Das BVerfG führt in seinem Beschluss ferner aus, dass es in dem Fall, in dem die Unionsgrundrechte zu den Grundrechtsgewährleistungen hinzutreten, „seine Prüfungskompetenz primär am Maßstab des Grundgesetzes“ ausübt.299 Das BVerfG spricht insofern von einer „Mitgewährleistung“ des Schutzniveaus der GRCh durch den Schutz der deutschen Grundrechte und einer Auslegung der deutschen Grundrechte im Lichte der GRCh.300 Die Grundrechte der GRCh und die des Grundgesetzes sind dennoch „jeweils autonom auszulegen“ und eine Vermutung dahingehend, dass die Rechte der GRCh durch das deutsche GG abgedeckt sind, ist widerleglich.301

Daraus folgt m.E., dass im Anwendungsbereich der DSGVO neben die Grundrechte des GG die Grundrechte der GRCh hinzutreten. In den Fällen, in denen die DSGVO einen Gestaltungsspielraum lässt, gilt primär der Maßstab der nationalen Grundrechte.302 Dabei ist der Grundrechtsschutz der GRCh nach Ansicht des BVerfG durch das Grundgesetz mitgewährleistet.303 Das BVerfG will aber in dem Fall, in dem das grundgesetzliche Schutzniveau nicht das unionsrechtliche Schutzniveau abdeckt, die Rechte der GRCh in seine Prüfung miteinbeziehen und erweitert damit seinen Prüfungsmaßstab.304 Somit könnte sich das BVerfG m.E. auch mit der Frage auseinandersetzen, ob oder inwieweit ein Recht auf informationelle Selbstbestimmung auch im Rahmen der DSGVO Anwendung finden kann. Da dies aber derzeit eine ungeklärte Rechtsfrage ist, müsste das BVerfG diese Frage richtigerweise dem EuGH nach Art. 267 Abs. 3 AEUV vorlegen.

b) Beschluss des BVerfG zur Anwendbarkeit von Grundrechten im Mehrebenensystem – Recht auf Vergessen II

Aus seinem Beschluss Recht auf Vergessen II lässt sich entnehmen, dass das BVerfG die Grundrechte als nicht anwendbar ansieht, wenn es um Rechtsnormen geht, die vollständig durch das Unionsrecht vereinheitlicht wurden.305 In einer Materie, die „unionsrechtlich vollständig vereinheitlicht“ wurde, gelten somit allein die Grundrechte der GRCh.306 Der umfassend innerstaatliche Grundrechtsschutz erfordert es, dass die Fachgerichte den unionsrechtlichen Grundrechtsschutz gewährleisten307 und dass das BVerfG die Fachgerichte diesbezüglich kontrolliert.308 Damit ändert das BVerfG seine bisherige Rechtsprechung309 und führt künftig seine Kontrolle nicht nur „am Maßstab des Art. 101 Abs. 1 Satz 2 GG“ aus, sondern bezieht die Unionsgrundrechte selbst in seinen Prüfungsmaßstab ein.310 Die Kontrolle will das BVerfG insoweit ausüben, wie die Grundrechtsauslegung durch den EuGH hinreichend geklärt ist oder wenn die anzuwendenden Auslegungsgrundsätze aus sich heraus offenkundig sind.311

Die Frage, ob Fachgerichte die Grundrechte der GRCh oder des GG prüfen müssen, hängt davon ab, ob das zu prüfende Recht vollständig vereinheitlichtes oder gestaltungsoffenes Unionsrecht ist.312 Das BVerfG unterscheidet unter anderem danach, ob es sich um eine Richtlinie oder um eine Verordnung handelt.313 Dabei ist zu beachten, dass die Rechtsform alleine nicht zwingend eine eindeutige Antwort gibt, da auch Verordnungen über Öffnungsklauseln den Mitgliedstaaten Gestaltungsfreiräume überlassen können.314 Wenn die Verordnung einen bestimmten Sachverhalt abschließend regelt, ist aber im Grunde davon auszugehen, dass eine vollständig vereinheitlichte europäische Regelung vorliegt.315

Das bedeutet m.E., dass der Prüfungsmaßstab der Grundrechte jeweils einzelfallabhängig daran zu bestimmen ist, ob eine sekundärrechtliche Regelung, die dem Europarecht entstammt – unabhängig von der in Art. 288 AEUV gewählten Rechtsform – vollständig vereinheitlichtes Unionsrecht darstellt, oder ob die Regelung den Mitgliedstaaten Gestaltungsfreiräume lässt. So kann dann auch im Anwendungsbereich einer Verordnung – je nach Regelungsmaterie – ein Raum für nationale Grundrechte, wie das Grundrecht auf informationelle Selbstbestimmung, bestehen. Allerdings ist m.E. auch anzuerkennen, dass eine hinreichende Klärung oder Offenkundigkeit, dass Art. 7 bzw. Art. 8 GRCh sich in den Einzelheiten mit dem informationellen Recht auf Selbstbestimmung aus Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG deckt, derzeit nicht besteht.316

Es gibt nur wenige Anhaltspunkte dafür, dass das Recht auf informationelle Selbstbestimmung, das in Deutschland entwickelt wurde, inzwischen in den Mitgliedstaaten rezipiert wurde.317 Aus diesem Grund wäre hier das Verhältnis zwischen dem GG und der GRCh m.E. nicht durch das BVerfG, sondern durch den EuGH zu klären. Sollte der EuGH zu dem Ergebnis kommen, dass sich die GRCh zum Grundrechtsschutz aus dem GG anschließt und sich in Einzelheiten mit diesem deckt,318 müsste nur eine formale Unterscheidung danach erfolgen, ob das Grundrecht aus dem GG oder der GRCh hergeleitet wird.

c) Informationelle Selbstbestimmung als Unionsgrundrecht

Die EU und ihre Mitgliedstaaten achten die Grund- und Menschenrechte, wie sie sich aus der EMRK und den gemeinsamen Verfassungsüberlieferungen der Mitgliedstaaten ergeben (vgl. Art. 6 EUV).319 Teilweise wird ein dem deutschen Grundrecht auf informationelle Selbstbestimmung entsprechendes Gemeinschaftsgrundrecht anerkannt.320 Mitunter wird das Grundrecht auch direkt in Art. 8 GRCh hineininterpretiert.321 Zwar verwendete der Generalanwalt Pedro Cruz Villalón den Begriff der informationellen Selbstbestimmung – unter Verweis auf Veröffentlichungen von deutschen und belgischen Autoren – in seinen Schlussanträgen vom 12. Dezember 2013.322 Allerdings hat der EuGH in keinem seiner Urteile ausdrücklich ein „Recht auf informationelle Selbstbestimmung“ bestätigt.

Im Ergebnis sprechen daher die überzeugenderen Argumente dafür, dass auf europäischer Ebene eine (flächendeckende) Anerkennung des Grundrechts auf informationelle Selbstbestimmung bislang nicht erfolgt ist.323 Es gibt auch keine Anhaltspunkte dafür, dass dies erfolgen wird oder erforderlich ist. Dieses Grundrecht ist daher nur im Anwendungsbereich des deutschen GG relevant; nicht darüber hinaus. Das BVerfG hat in seinem Beschluss Recht auf Vergessen II klargestellt, dass aufgrund des Anwendungsvorrangs des Unionsrechts bei Anwendung unionsrechtlich vollständig vereinheitlichter Regelungen allein die Unionsgrundrechte maßgeblich sind.324 Daher wird m.E. bei Anwendung der DSGVO in der Regel das Recht auf informationelle Selbstbestimmung nicht zur Anwendung kommen. Im Rahmen von Öffnungsklauseln der DSGVO sind die nationalen Grundrechte im Lichte der GRCh auszulegen.325

3. Das BDSG bis zum 25. Mai 2018

Mit Verabschiedung des BDSG vom 27.01.1977 gehörte die Bundesrepublik Deutschland zu den ersten Ländern weltweit, das ein nationales Datenschutzgesetz verabschiedete.326 Das BDSG ist – wie auch Landesdatenschutzgesetze – als „Reaktion auf die zunehmende Automatisierung der Datenverarbeitung“ zu sehen.327 Vor der Überarbeitung von 1990 lag der Fokus eher darauf, dass ein Missbrauch von personenbezogenen Daten verhindert werden sollte.328

Diese Beschränkung wurde mit der Neufassung von 1990 aufgehoben, da das BDSG auf Basis des Volkszählungsurteils weiterentwickelt wurde, um den Vorgaben des BVerfG gerecht zu werden, aber auch, um die weitere technologische Entwicklung zu berücksichtigen.329 In das damals neue Gesetz wurden unter anderem Schadensersatzregelungen aufgenommen, Betroffenen wurde ein Widerspruchsrecht gegen die Übermittlung der Daten zu Zwecken der Werbung oder Markt- und Meinungsforschung eingeräumt, Auskünfte gegenüber Betroffenen mussten unentgeltlich erteilt werden.330

Nachdem die DSRL in Kraft getreten war, erfolgte erneut eine Überarbeitung und Anpassung des BDSG.331 In dieser Fassung wurde zum ersten Mal eine Unterscheidung zwischen personenbezogenen Daten und „besonderen personenbezogenen Daten“ vorgenommen, die die DSRL voraussetzte, und die bisher der deutschen Gesetzgebung fremd war.332 Seit der Volkszählungs-Entscheidung des BVerfG wurde das Schutzbedürfnis personenbezogener Daten vom jeweiligen Verwendungszusammenhang abhängig gemacht.333

Die letzte Anpassung des BDSG vor Mai 2018 fand im Jahre 2009 statt.334 Hier wurden insbesondere spezifische Themen adressiert, die beispielsweise (Kredit-)Scoring, Datenverarbeitung zu Zwecken des Adresshandels und der Werbung und den Beschäftigtendatenschutz betrafen.335

4. Die Umsetzung des neuen BDSG in Deutschland

Die DSGVO fordert durch ihre Öffnungsklauseln die Mitgliedstaaten dazu auf, bestimmte Regelungen – teilweise fakultativ, teilweise obligatorisch – auf nationaler Ebene zu treffen.336 In Deutschland wurden diese Regelungen in einer Überarbeitung des BDSG manifestiert.337

a) Entwürfe des Umsetzungsgesetzes

Der (Regierungs-)Entwurf für ein neues BDSG (das den Namen „Datenschutz-Anpassungs- und –Umsetzungsgesetz EU – DSAnpUG-EU“ trägt)338, das sich in die Vorgaben der DSGVO einfügen sollte, wurde von der Bundesregierung am 01.02.2017 ins Gesetzgebungsverfahren eingebracht.339 Der Entwurf hatte 85 Paragraphen, erheblich mehr als das alte BDSG und war in drei Teile aufgeteilt, die gemeinsamen Bestimmungen, Bestimmungen zur DSGVO und Bestimmungen zur Umsetzung der Richtlinie (EU) 2016/680 zum Datenschutz im Bereich der Justiz und Polizei.340 Das Gesetz sollte noch vor den Bundestagswahlen im September 2017 verabschiedet werden, weswegen nur wenig Zeit verblieb, in der sich die Verwaltung, Öffentlichkeit, Institutionen und Unternehmen mit dem Entwurf beschäftigen konnten.341

Aus dem Entwurf war ersichtlich, dass möglichst wenig „Anpassungs- und Umstellungskosten“ für den Staat, für private Unternehmen und für Bürger verursacht werden sollten.342 Es wurden weitgehend bereits bestehende Regelungen des alten BDSG übernommen oder weitergeführt.343 Am Entwurf kritisiert wurde jedoch beispielsweise, dass keine ergänzenden Regelungen zu den von der DSGVO recht abstrakten Pflichten für verantwortliche Datenverarbeiter aufgenommen wurden, beispielsweise in Art. 24 DSGVO (sog. „risikobasierter Ansatz“), Art. 25 DSGVO (Datenschutz durch Technikgestaltung und Voreinstellungen) oder Art. 36 DSGVO (vorherige Konsultation mit der Aufsichtsbehörde).344 Dem ursprünglichen Entwurf nach sollten die abstrakten Pflichten durch delegierte Rechtsakte der EU-Kommission konkretisiert und ergänzt werden, nicht durch nationales Recht.345

Kritisiert wurde ferner, dass der Entwurf einseitige Interessenausgleiche zum Vorteil von Verantwortlichen schuf, die auf Seiten von Betroffenen Einschränkungen ihrer Rechte beinhalteten.346 Andererseits ist eine nationale Absenkung des von der DSGVO vorgegebenen Schutzniveaus nicht grundsätzlich ausgeschlossen, beispielsweise kann in Art. 8 DSGVO die Altersgrenze für eine Einwilligung bei Minderjährigen durch nationales Recht von sechzehn auf dreizehn Jahre herabgesetzt werden.347