Grundsätze des deutschen Datenschutzrechts

Wiki

Den Grundsätzen des deutschen Datenschutzrechts ist gemein, dass sie das Ziel verfolgen, das Recht auf informationelle Selbstbestimmung zu gewährleisten und zu schützen.[1]

Rechtsgrundlagen

Da die Grundsätze deutschlandweit gelten und um Wiederholungen zu vermeiden, sind diese nicht in jedem einzelnen Landesdatenschutzgesetz geregelt, sondern im Bundesdatenschutzgesetz. Sobald datenschutzrechtliche Sachverhalte nicht im Landesrecht geregelt sind, muss auf das Bundesdatenschutzgesetz zurückgegriffen werden. Daher gelten die Grundsätze des Bundesdatenschutzgesetzes (BDSG) in jedem Bundesland, unabhängig davon, ob sie im Landesdatenschutzgesetz zu finden sind. Die Grundsätze finden sich aber auch im neuen Datenschutzrecht der EU wieder. Dies zeigt, dass die Datenschutzgrundverordnung (DS-GVO) auf denselben Grundüberlegungen wie das deutsche Datenschutzrecht basiert.

Verbot mit Erlaubnisvorbehalt für die Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten

Die zentrale Regel im Umgang mit personenbezogenen Daten stellt § 4 Abs. 1 BDSG dar bzw. § 4 Abs. 1 Datenschutzgesetz des Landes Sachsen-Anhalt (DSG LSA), der das allgemeine Verbot der Erhebung, Verarbeitung und Nutzung vorschreibt, welches einem Erlaubnisvorbehalt unterliegt. Dies bedeutet, dass prinzipiell und im Vorhinein jeglicher Umgang mit personenbezogenen Daten untersagt ist, wenn er nicht durch eine der drei Alternativen des § 4 Abs. 2 DSG LSA erlaubt wird. Eine solche zentrale Norm stellt im europäischen Recht Art. 6 DS-GVO dar. Die erste Alternative ist die Erlaubnis aufgrund der Einwilligung des Betroffenen. Dies ist direkter Ausdruck des Rechts auf informationelle Selbstbestimmung, da dieses den Betroffenen berechtigt, selbst zu entscheiden, was mit seinen personenbezogenen Daten passieren soll. [2] Die DS-GVO gibt das Recht zur Einwilligung in Art. 6 Abs. 1 lit. a. Wenn der Betroffene also in den Umgang mit seinen Daten einwilligt, steht der Erhebung, Verarbeitung oder Nutzung insofern nichts mehr im Wege.

Die zweite Alternative ist die Erlaubnis aufgrund einer sonstigen Rechtsvorschrift, also einer Norm, die nicht aus dem Landesdatenschutzgesetz selbst stammt. Das können auch Rechtsvorschriften sein, die den Umgang nicht nur erlauben, sondern sogar dazu verpflichten.[3] ür die Universität ist insbesondere das Hochschulgesetz des Landes Sachsen-Anhalt oder z. B. die Rahmenstudien- und Prüfungsordnung für das Bachelor- und Masterstudium der MLU relevant. So normiert § 119 Hochschulgesetz des Landes Sachsen-Anhalt (HSG LSA), dass Studierende und Prüfungskandidaten verpflichtet sind, bestimmte personenbezogene Daten für Verwaltungszwecke preiszugeben.

Die dritte Alternative stellt die Erlaubnis aufgrund der Zulässigkeitsgründe des BDSG bzw. DSG LSA dar. Dies sind also Normen, die im Bundesdatenschutzgesetz bzw. Landesdatenschutzgesetz selbst den Umgang erlauben. Die für die öffentlich-rechtlich verantwortlichen Stellen, also auch für die Universität relevanten Erlaubnistatbestände, finden sich im zweiten Abschnitt des DSG LSA. Jedoch ist zu beachten, dass diese dritte Alternative lediglich ein Auffangtatbestand ist, also nur im “Notfall”, wenn keine andere gesetzliche Regelung gefunden werden kann, den Umgang mit personenbezogenen Daten rechtfertigen kann. Deshalb muss zuerst geprüft werden, ob es landesrechtliche Erlaubnisse gibt. Wenn dies nicht der Fall ist, ist zu prüfen, ob es in anderen Bundesgesetzen speziellere Erlaubnisse gibt. Erst danach - in einem dritten Schritt - kann man auf die Regelungen im zweiten Abschnitt des BDSG zurückgreifen. Die Universität erhält ihre Aufgabe durch den staatlichen Lehrauftrag und stellt eine Körperschaft des öffentlichen Rechts dar. Mithin nimmt sie Aufgaben der öffentlichen Gewalt wahr. Damit kann das vorher gesagte bezüglich der letzten beiden Alternativen auch auf europäischer Ebene durch Art. 6 Abs. 1 lit. e DS-GVO gestützt werden. Es ergeben sich also keine Änderungen durch das neue europäische Datenschutzrecht.

Zweckbindungs- und Erforderlichkeitsgrundsatz

Der Grundsatz der Zweckbindung ist eines der Leitprinzipien des deutschen Datenschutzrechts.[4] Es besagt, dass personenbezogene Daten nicht ohne Zweckbestimmung – auf Vorrat – erhoben oder gespeichert werden dürfen, sondern noch vor Erhebung muss der Zweck des Datenumgangs festgelegt worden sein.[5] Dies dient dazu, dass der Betroffene den Umgang mit seinen Daten überschauen und kontrollieren kann. In engem Zusammenhang zum Zweckbindungsgrundsatz steht der Grundsatz der Erforderlichkeit, da nach diesem Grundsatz nur die mildeste, also die das Recht des Betroffenen am wenigsten einschränkende Maßnahme, ergriffen werden darf. [6]

Grundsatz der Transparenz

Aus dem Recht auf informationelle Selbstbestimmung lässt sich ableiten, dass nur wer weiß, was bei welcher Gelegenheit durch wen über ihn in Erfahrung gebracht wird, frei über sich selbst entscheiden kann. [7] Daher muss der Umgang mit personenbezogenen Daten transparent sein, damit der Betroffene sich jederzeit gegen die weitere Offenlegung seiner Daten entscheiden kann. Daraus ergibt sich auch der Grundsatz der Direkterhebung gem. § 4 Abs. 2 S. 1 BDSG (Daten müssen direkt beim Betroffenen erhoben werden) sowie die Auskunftsrechte nach § 15 DSG LSA und §§ 19, 34 BDSG. Ferner bestehen auch Informationspflichten gegenüber dem Betroffenen bezüglich des Umgangs mit seinen Daten.

Grundsatz der Datenvermeidung und Datensparsamkeit

§ 3a BDSG bezieht sich also vor allem auf den Ausschluss unnötiger Datenerhebung schon auf technischer Ebene.[8] Der Umgang mit personenbezogenen Daten sowie die Systemstrukturen der Software, die mit personenbezogenen Daten umgeht, soll so konzipiert werden, dass die Daten nur im unbedingt erforderlichen Umfang erhoben, verarbeitet oder genutzt werden.

Nachweise

  1. Kühling/Seidel/Sivridis, Datenschutzrecht, S. 127 Rn. 275.
  2. Gola/Klug/Körffer, in: Gola/Schomerus, BDSG, 12. Auflage 2015, § 4 Rn. 5.
  3. Kühling/Seidel/Sivridis, Datenschutzrecht, S. 130 Rn. 280.
  4. Kühling/Seidel/Sivridis, Datenschutzrecht, S. 132 Rn. 286.
  5. Gola/Klug, Grundzüge des Datenschutzrechts, 2003, S. 48 f.
  6. Kühling/Seidel/Sivridis, Datenschutzrecht, S. 133 Rn. 290.
  7. BVerfGE 65, 1 (43).
  8. Kühling/Seidel/Sivridis, Datenschutzrecht, S. 134 Rn. 294 f.
Alert Die Inhalte dieser Seite stellen eine allgemeine Information und keine Rechtsberatung dar. Sie können diese nicht ersetzen. Trotz sorgfältiger Recherche wird keine Garantie für die Richtigkeit der Inhalte übernommen. Mitarbeiter und Mitarbeiterinnen der Martin-Luther-Universität Halle-Wittenberg wenden sich für Rechtsauskünfte Forschung oder Lehre betreffend bitte an das Justitiariat der Universität.