Kurzbeitrag : System der Betroffenenrechte im Datenschutz : aus der RDV 3/2015, Seite 137 bis 142
Ausgehend vom Verbot mit Erlaubnisvorbehalt (§ 4 Abs. 1 BDSG) wird das Datenschutzrecht allzu oft von der Warte der Erlaubnistatbestände, also der Ermächtigungsgrundlagen betrachtet. Die unzähligen Vorschriften und bereichsspezifischen Besonderheiten erschweren dabei den Zugang zur Materie. Mit dem Betroffenen der Datenverarbeitung im Fokus offenbart sich jedoch ein umfassendes Anspruchssystem.
I. Einführung
Das System meint ein „sinnvoll gegliedertes Ganzes, dessen einzelne Teile in einem zweckmäßigen Zusammenhang stehen oder unter einem höheren Prinzip, einer Idee, einem Gesetz sich zu einer Einheit zusammenordnen“[1].
Das Grundrecht auf informationelle Selbstbestimmung nach den Artt. 1 Abs. 1, 2 Abs. 1 GG[2] zergliedert sich in eine Vielzahl einzelner Ansprüche, Gestaltungs- und sonstiger Rechte. Bislang ist kein zufriedenstellender Versuch unternommen worden, diese in eine konsistente Ordnung zu überführen[3]. Der Blick ins Gesetz erhellt ebenfalls nicht: § 6 BDSG, redaktionell mit „Rechte des Betroffenen“ überschrieben, enthält keine Aufzählung, sondern erklärt lediglich eine Teilmenge für unabdingbar[4].
Der Betroffene, das ist gemäß § 3 Abs. 1 BDSG eine bestimmte oder bestimmbare natürliche Person. Dessen informationelle Selbstbestimmung besitzt eine prohibitive und – was oft unterschlagen wird – eine permissive Ausprägung. Der Betroffene ist nicht nur in der Lage, Datenverarbeitungen zu verhindern, er kann sie auch gestatten. Es handelt sich somit nicht ausschließlich um ein Abwehrrecht, vielmehr kommt gleichermaßen der Entfaltungsaspekt des Art. 2 Abs. 1 GG zum Tragen.
II. Betroffenenrechte nach Zielen
Nach hiesiger Ansicht können fünf Hauptgruppen möglicher Begehren der Betroffenen ausgemacht werden. Permissionsrechte gestatten Datenverarbeitungen, die ansonsten ausgeschlossen wären; Informationsrechte vermitteln ein Bild darüber, was mit den Daten geschieht; Interventionsrechte vermögen bestimmte Datenverarbeitungen zu verhindern; Petitionsrechte verbriefen Beschwerdemöglichkeiten und Kompensationsrechte gewähren Schadensersatz.
1. Permission
a) Allgemeine Einwilligung
Die allgemeine datenschutzrechtliche Einwilligung nach § 4a BDSG[5] gehört zu den wichtigsten Erlaubnistatbeständen. Nach zutreffender Auffassung betrifft sie sowohl das „Ob“ als auch das „Wie“ der Datenverarbeitung[6]. Sie muss informiert (§ 4a Abs. 1 S. 2, Abs. 3 BDSG), freiwillig (§ 4a Abs. 1 S. 1 BDSG) und grundsätzlich schriftformgemäß (§ 4a Abs. 1 S. 3 und 4 BDSG) erfolgen. Zwar ist umstritten, ob es sich um eine rechtsgeschäftliche Erklärung handelt, jedenfalls aber können auch Minderjährige je nach Verwendungszusammenhang wirksam einwilligen[7].
An der Freiwilligkeit kann es in Zwangslagen, Subordinations- oder Abhängigkeitsverhältnissen[8] bisweilen fehlen. § 28 Abs. 3b BDSG statuiert zugleich ein Koppelungsverbot zu Lasten marktbeherrschender Stellen. Auf die Schriftform der Einwilligung kann ausnahmsweise bei Vorliegen besonderer Umstände verzichtet werden (§ 4a Abs. 1 S. 3, Abs. 2 BDSG).
b) Werbeeinwilligung und andere Spezialnormen
Eine spezielle Form der Einwilligung existiert gemäß § 7 UWG für konkrete Werbemaßnahmen. Telefon-, Fax, eMailund SMS-Werbung müssen als belästigende Wettbewerbsmaßnahmen grundsätzlich von einer (noch gültigen[9]) Werbeeinwilligung gedeckt sein. Formvorschriften gelten hierbei nicht. Im eigenen Interesse des Werbetreibenden sollte jedoch eine Nachweismöglichkeit geschaffen werden[10]. Weitere bereichsspezifische Einwilligungen sind etwa in § 22 KUG („Recht am eigenen Bild“), § 94 ff. TKG, § 13 Abs. 2 TMG oder auch § 3 Abs. 2 S. 4 DeMailG vorgesehen.
c) Schweigepflichtentbindung
Die Schweigepflichtentbindung im Sinne des § 203 Abs. 1 StGB betrifft berufsrechtliche Verschwiegenheitspflichten wie diejenigen der Ärzte, Anwälte, Steuerberater, Wirtschaftsprüfer etc. Die Entbindung von der Schweigepflicht stellt eine Offenbarungsbefugnis dar. Sie kann formfrei erfolgen, freilich hat der jeweilige Berufsgeheimnisträger auch hier ein Eigeninteresse am Nachweis.
d) Erlass
Der Erlass datenschutzrechtlicher Pflichten gemäß § 397 Abs. 1 BGB ist nur sehr eingeschränkt möglich. § 6 Abs. 1 BDSG steht einer rechtsgeschäftlichen Abbedingung der Ansprüche auf Berichtigung, Löschung oder Sperrung entgegen[11]. Der Betroffene ist hinsichtlich dieser Kernkomponenten schlichtweg nicht dispositionsbefugt[12]. Die Beantwortung einer Auskunftsanfrage kann hingegen ohne weiteres nach § 397 Abs. 1 BGB erlassen werden, da der Anspruch mit jedem Auskunftsverlangen neu entsteht.
e) Löschwiderspruch
Der Löschwiderspruch gemäß § 35 Abs. 2 S. 1 Nr. 4 BDSG gehört trotz seiner scheinbar prohibitiv-intervenierenden Wirkung zu den Permissionsrechten: Daten, die geschäftsmäßig zum Zweck der Übermittlung verarbeitet werden und erledigte Sachverhalte betreffen, dürfen nach einem Widerspruch länger vorgehalten werden.
2. Intervention
a) Widerruf der Einwilligung
Die datenschutzrechtliche Einwilligung ist grundsätzlich frei widerruflich. Durch den Widerruf werden weitere Datenverarbeitungen ex nunc gehindert, es sei denn, die verantwortliche Stelle kann sich auf einen anderen Erlaubnistat bestand im Sinne des § 4 Abs. 1 BDSG stützen[13]. Ausnahmsweise ist der Widerruf der Einwilligung ausgeschlossen, wenn er in rechtsmissbräuchlicher Weise erfolgt (§§ 226, 242 BGB), hieran sind jedoch hohe Anforderungen zu stellen.
b) Widerspruch
Gesetzliche Widerspruchsrechte existieren allgemein hinsichtlich automatisierter Verarbeitung oder der Verarbeitung in nicht-automatisierten Dateien (§§ 20 Abs. 5, 35 Abs. 5 BDSG). Dies gilt jedoch nur, sofern das schutzwürdige Interesse des Betroffenen wegen seiner besonderen persönlichen Situation das Interesse der verantwortlichen Stelle an dieser Erhebung, Verarbeitung oder Nutzung überwiegt.
Hier fließen Aspekte ein, die der verantwortlichen Stelle im Rahmen der Interessenabwägung des § 28 Abs. 1 S. 1 Nr. 2 BDSG oder der Erforderlichkeitsprüfung des § 32 Abs. 1 S. 1 BDSG noch unbekannt waren. Den Betroffenen trifft insoweit eine Initiativverantwortung, entgegenstehende Gesichtspunkte der verantwortlichen Stelle zur Kenntnis zu bringen. Beispielhaft können dies etwa Fälle sein, in der eine bereits von Datenschutzverstößen betroffene Person weiteren Beeinträchtigungen vorbeugen will[14].
Bereichsspezifische Widerspruchsrechte gibt es für die Werbung bzw. die Markt- und Meinungsforschung (§§ 28 Abs. 4, 30a Abs. 5 BDSG, § 7 Abs. 3 Nr. 3 UWG).
c) Allgemeiner Unterlassungsanspruch
Der allgemeine Unterlassungs- und Beseitigungsanspruch gem. der §§ 1004 Abs. 1, 823 Abs. 1 und 2 BGB i.V.m. mit dem allgemeinen Persönlichkeitsrecht bzw. konkreten datenschutzrechtlichen Vorschriften hindert rechtswidrige Datenverarbeitungen. Der BGB-Anspruch hat neben den spezialgesetzlichen Unterlassungsansprüchen auf Löschung, Sperrung oder Berichtigung seine Bedeutung nicht verloren. Immerhin kann über § 823 Abs. 2 BGB auf die Art und Weise der Verarbeitung Einfluss genommen werden, ohne direkt einen völligen Stopp herbeizuführen. § 1004 Abs. 1 BGB gewährt zudem bei Wiederholungsgefahr einen Titel auf zukünftige Unterlassung, der in den spezielleren Anspruchsgrundlagen nicht originär enthalten ist.
d) Gegendarstellung
Der medienrechtliche Gegendarstellungsanspruch, der Sache nach auf Beseitigung gerichtet, leitet sich aus dem allgemeinen Persönlichkeitsrecht nach den Artt. 1 Abs. 1, 2 Abs. 1 GG ab. Spezialgesetzlich ist er in den Pressegesetzen der Länder (Zeitungen und Zeitschriften) sowie § 56 RStV (Fernsehen, Radio, Internetveröffentlichungen) geregelt. Der Anspruch richtet sich gegen Tatsachenbehauptungen. Die Gegendarstellung muss in Platzierung und Umfang der ursprünglichen Äußerung entsprechen. Bei zulässiger Verdachtsberichterstattung besteht kein Anspruch auf Gegendarstellung, sondern lediglich auf die Mitteilung, dass der Verdacht ausgeräumt ist[15].
§ 35 Abs. 6 S. 2 BDSG enthält ferner einen spezifisch datenschutzrechtlichen Gegendarstellungsanspruch, der etwa dann eingreift, wenn eine Pressedokumentation Fehler enthält[16]. Die Gegendarstellung ist fortan stets mit zu übermitteln.
e) Löschung
Gemäß der §§ 20 Abs. 2, 35 Abs. 2 BDSG bzw. § 84 Abs. 2 SGB X sind Daten zu löschen, die entweder gar nicht gespeichert werden dürfen oder ihren Zweck bereits erfüllt haben. Besonders kompromittierende Daten (etwa zu Gesundheit, Sexualität, Religion, Strafverfahren etc.[17]) müssen gem. § 35 Abs. 2 S. 1 Nr. 2 BDSG außerdem gelöscht werden, wenn ihre Richtigkeit nicht nachgewiesen werden kann[18].
Nach der Vorstellung des Gesetzgebers soll die Löschung grundsätzlich auf Initiative der verantwortlichen Stelle geschehen, es bedarf dort also stets eines tauglichen Löschkonzeptes. Der Anspruch auf Löschung kann jedoch auch auf Betreiben des Betroffenen geltend gemacht und eingeklagt werden.
Handels- und steuerrechtliche Aufbewahrungsfristen[19] sowie anderweitige Archivierungspflichten[20] können einer Löschung entgegenstehen. Werden Daten zur Rechtsverteidigung benötigt, sind ggf. Verjährungs- oder Klageausschlussfristen[21] abzuwarten.
f) Sperrung
Die Sperrung (§§ 20 Abs. 3 und 4, 35 Abs. 3 und 4 BDSG, § 84 Abs. 3 und 4 SGB X) kommt zum Einsatz, wenn die Daten nicht mehr aktiv verarbeitet werden müssen, eine Löschung jedoch rechtlich oder tatsächlich nicht möglich ist. Es handelt sich um einen eigenständigen Anspruch, der als wesensgleiches Minus bereits im Löschbegehren enthalten ist. Er kann prozessual direkt und ohne den Umweg über einen Löschanspruch geltend gemacht werden[22].
g) Berichtigung
„Nichts ist ja schwerer zu stopfen, als so ein winziges Loch in einer Lochkarte“ schrieb einst Heinrich Böll[23]. Der Berichtigungsanspruch (§§ 20 Abs. 1, 35 Abs. 1 BDSG, § 84 Abs. 1 SGB X) gehört zu den prohibitiven Betroffenenrechten: Der Rechtskreis der datenverarbeitenden Stelle wird durch die Berichtigung keineswegs erweitert, vielmehr handelt es sich um einen Unterlassungsanspruch bezogen auf die Verarbeitung unzutreffender Daten.
3. Information
Der Begriff der informationellen „Selbst-Bestimmung“ bedeutet zweierlei. Er rekurriert nicht nur auf ein Entscheidungs- und Interventionsrecht des Betroffenen, sondern meint zugleich eine Bestandsaufnahme und Verortung im Hinblick auf die eigenen Daten. Nach dem Volkszählungsurteil von 1983 ist stets offenzulegen, „wer was wann und bei welcher Gelegenheit“ über den Betroffenen weiß[24]. Daraus folgende Informationsrechte greifen z.T. auf Initiative der verantwortlichen Stelle, z.T. auf Verlangen durch den Betroffenen selbst[25].
a) Unterrichtung
§ 4 Abs. 3 BDSG betrifft die Direkterhebung beim Betroffenen. Dieser ist über die Identität der verantwortlichen Stelle, die Zweckbestimmungen der Erhebung, Verarbeitung oder Nutzung sowie die Kategorien von Empfängern[26] zu informieren. Dies gilt jedenfalls, sofern er nicht bereits auf andere Weise Kenntnis erlangt hat.
b) Benachrichtigung
§ 33 BDSG ist das Gegenstück zur Unterrichtung nach § 4 Abs. 3 BDSG, sofern Daten ohne Kenntnis des Betroffenen erstmalig gespeichert werden. Hervorzuheben ist hier jedoch der umfassende Katalog an Ausschlussgründen in § 33 Abs. 2 S. 1 Nrn. 1 bis 9 BDSG. Hierdurch soll u.a. den rechtlichen Interessen der verantwortlichen Stelle bzw. denjenigen Dritter Rechnung getragen oder die öffentliche Sicherheit geschützt werden. Dogmatisch gesehen handelt es sich hierbei um Leistungsverweigerungsrechte, die sowohl peremptorisch als auch dilatorisch wirken können.
c) Datenpannen
§ 42a BDSG und daran angelehnte Vorschriften[27] statuieren eine eingeschränkte Skandalisierungspflicht bei unberechtigter Kenntnisnahme durch Dritte. Nur wenn bestimmte Hochrisikodaten betroffen sind und die Gefahr eines Datenmissbrauchs besteht, müssen Betroffene (und Aufsichtsbehörden) informiert werden[28].
d) Weitere Transparenzpflichten
Das Gesetz enthält vielfältige weitere Transparenzpflichten[29]. Klagbare Ansprüche werden hierdurch nicht ohne weiteres gewährt, stattdessen greifen hier die Auskunfts- und Einsichtsansrüche. Ob ein Verstoß die Datenverarbeitung rechtswidrig macht oder ob es sich um (ggf. bußgeldbewehrte) Obliegenheiten der verantwortlichen Stelle handelt, muss im Einzelfall geprüft werden[30].
e) Allgemeine datenschutzrechtliche Auskunft
Die §§ 19, 34 BDSG regeln das Auskunftsrecht des Betroffenen[31]. Nach diesen Vorschriften kann der Betroffene umfassend[32] Auskunft über die zu seiner Person gespeicherten Daten verlangen, den Empfängern sowie dem jeweiligen Zweck der Speicherung. Die Betroffeneneigenschaft muss schlüssig dargelegt sein[33]und nach den §§ 19 Abs. 1 S. 2, 34 Abs. 1 S. 2 BDSG soll zumindest nach Möglichkeit die Art der zu beauskunftenden Daten näher bezeichnet werden.
Geheimschutz- und sicherheitsrechtliche Bedenken finden in § 19 Abs. 4 BDSG[34] Berücksichtigung. Für nicht öffentliche Stellen erklärt § 34 Abs. 7 BDSG auszugsweise die Leistungsverweigerungsrechte des § 33 Abs. 2 S. 1 Nr. 2, 3, 5 bis 7 BDSG für anwendbar. Die eingeschränkte Entgeltpflicht nach § 34 Abs. 8 S. 3 BDSG stellt eine dilatorische Einrede dar. Umfangreichere Suchaktionen sind hingegen zumutbar und begründen keine wirtschaftliche Unmöglichkeit iSv § 275 Abs. 2 BGB[35]. Hinsichtlich personenbezogener Daten anderer Personen können ggf. Schwärzungsrechte bestehen[36].
f) Spezielle Einsichtsrechte
Einsichtsrechte existieren derweil in vielfältiger Form. Die Einsicht kann in aller Regel wie die allgemeine Auskunft in Form der Abschrift gewährt werden. Etwas anderes gilt, wenn Zweifel an der Vollständigkeit der Abschrift bzw. einer Digitalisierungsmaßnahme bestehen, oder um Kosten zu sparen (vgl. § 34 Abs. 9 BDSG).
Zu den wichtigsten Einsichtsrechten gehören die Einsicht in Personalakten nach § 83 BetrVG bzw. § 110 BBG und die (mittlerweile durch das Patientenrechtegesetz gesetzlich geregelte) Einsicht in Patientenakten, § 630g BGB. Sonderfälle wie das Einsichtsrecht in den Herkunftsnachweis bei vertraulicher Geburt nach § 31 SchKG sind vom Gesetzgeber ebenfalls bedacht worden. Zu den uneigentlichen Betroffenenrechten[37] gehören das vertragliche Informationsrecht nach den §§ 311, 242 BGB[38] und das Urkundeneinsichtsrecht nach § 810 BGB[39]. Für die Urkundeneinsicht bedarf es eines konkreten rechtlichen Interesses. Dieses fehlt, wenn der Anspruchsteller nur auf Grund vager Vermutungen Material für eine spätere Rechtsverfolgung sammeln möchte[40].
4. Petition
Das Petitionsrecht ist ein Grundrecht. Gemäß Art. 17 GG hat jedermann hat das Recht, sich einzeln oder in Gemeinschaft mit anderen schriftlich mit Bitten oder Beschwerden an die zuständigen Stellen zu wenden.
Erste Anlaufstelle, gewissermaßen als „Anwalt der Betroffenen“, ist der betriebliche oder behördliche Datenschutzbeauftragte (§ 4g Abs. 1 BDSG und landesrechtliche Parallelvorschriften). Der Datenschutzbeauftragte ist unabhängiges Organ innerhalb der verantwortlichen Stelle. Er besitzt eigene Nachschau-, Betretungs- und Kontrollrechte und darf wegen der Ausübung seiner Tätigkeit weder gekündigt noch sonst benachteiligt werden. Über Fragen des Beschäftigtendatenschutzes wacht gem. § 80 Abs. 1 Nr. 1 BetrVG der Betriebsrat, er kann gem. § 85 Abs. 1 BetrVG angerufen werden.
Scheitert jedoch die innerorganisatorische Selbstkontrolle, kommen die Datenschutzaufsichtsbehörden ins Spiel (§§ 21, 38 BDSG[41] und LDSGs). Für Bundesbehörden und Telekommunikationsunternehmen ist die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit zuständig. Landesbehörden und nicht öffentliche Stellen werden durch die Landesbeauftragten für den Datenschutz kontrolliert[42]. Sie können die üblichen ordnungsbehördlichen Instrumentarien des Verwaltungszwangs (Zwangsgeld, Ersatzvornahme) verwenden und Bußgelder verhängen (§ 38 Abs. 5 BDSG).
Verstöße gegen berufsrechtliche Verschwiegenheitspflichten können von den jeweiligen Kammern standesrechtlich geahndet werden. Auch andere standesrechtliche Gremien, wie z.B. der Rat der deutschen Markt- und Sozialforschung, bieten eigenständige Beschwerdemöglichkeiten[43].
Strafrechtliche Datenschutzverstöße nach den §§ 201 ff., 303a f. StGB, § 44 BDSG, § 85a SGB X oder § 148 TKG können schließlich gem. § 158 Abs. 1 StPO bei Staatsanwaltschaft und Polizei zur Anzeige gebracht werden.
5. Kompensation
Schadensersatzansprüche existieren datenschutzspezifisch etwa nach den §§ 7, 8 BDSG, § 82 SGB X oder § 44 TKG. § 7 BDSG statuiert eine Haftung für vermutetes Verschulden, § 8 BDSG gilt verschuldensunabhängig für öffentliche Stellen (auf Bundesebene[44]) bei automatisierter Datenverarbeitung. Die allgemeinen zivilrechtlichen Normen der §§ 280 ff., 823 ff. BGB werden durch die Spezialnormen nicht verdrängt.
III. Sonstige Systematisierungen
Abseits von einer Ordnung nach Zielen sind abstraktere Einteilungen möglich. So offenbaren sich Ansprüche, Gestaltungsrechte, Obliegenheiten sowie eigentliche und uneigentliche Betroffenenrechte. Ferner sind reine Informationsrechte abzugrenzen.
Der Anspruch als das Recht, von einem anderen ein Tun oder Unterlassen zu verlangen (§ 194 Abs. 1 BGB), kann vor Gericht eingeklagt werden und im Falle der Schlechtleistung auch Schadensersatzpflichten auslösen. Vor allem bei den Unterlassungs-, Auskunfts- und Einsichtsrechten handelt es sich um klagbare Ansprüche.
Der Widerruf der Einwilligung und die gesetzlichen Widerspruchsrechte machen demgegenüber die Datenverarbeitung rechtswidrig. Als Gestaltungsrechte sind sie der Geltendmachung von weitergehenden Unterlassungs- und Kompensationsansprüchen vorgelagert.
Transparenzpflichten sind auf Intitiative der verantwortlichen Stelle zu erfüllen. Zum Teil wird hierbei in „aktive“ und „passive“ Transparenz unterschieden[45]. Bei den aktiven Pflichten handelt es sich um Obliegenheiten. Die Auskunftsund Einsichtsrechte decken das Informationsinteresse des Betroffenen demgegenüber als Ansprüche ab. Auch die Informationspflicht bei unberechtigter Kenntnisnahme nach § 42a BDSG ist eine bußgeldbewehrte Obliegenheit. Datenpannen sind jedoch zugleich nach § 34 BDSG zu beauskunften[46].
Uneigentliche Betroffenenrechte sind solche, die vom Betroffenen zur Flankierung seiner informationellen Selbstbestimmung geltend gemacht werden können, die aber nicht direkt an die Betroffeneneigenschaft oder das Vorhandensein personenbezogener Daten geknüpft sind. Hierzu gehören die vertraglichen Informationsrechte nach den §§ 311, 242 BGB oder der Urkundeneinsichtsanspruch nach § 810 BGB.
Informationsrechte nach den Informationsfreiheitsgesetzen von Bund und Ländern, dem UmweltinformationsG, dem VerbraucherinformationsG oder dem GeodatenzugangsG sowie presserechtliche Auskunftsansprüche sind reine Informationsrechte, die grundsätzlich jedermann zustehen. Wegen des ggf. bestehenden Personenbezuges der Informationen mag es sich zwar um datenschutzrechtliche Ansprüche im weitesten Sinne handeln, nicht jedoch um Betroffenenrechte.
IV. Zusammenfassung und Ausblick
Das informationelle Selbstbestimmungsrecht zergliedert sich nach dem oben Gesagten in Permission, Intervention, Information, Petition und Kompensation. Diese fünf Komponenten ergeben ein System aus Ansprüchen und Gestaltungsrechten des Betroffenen sowie Obliegenheiten der verantwortlichen Stelle. Die gesetzlichen Konkretisierungen enthalten entsprechende Anspruchsvoraussetzungen und gewähren einschlägige Leistungsverweigerungsrechte.
Die EU-Datenschutz-Grundverordnung (DS-GVO)[47] soll in den kommenden Jahren die nationalen Datenschutzgesetze ablösen, sofern nicht Öffnungsklauseln einen gesetzgeberischen Spielraum lassen. Die Betroffenenrechte – als direkter Ausdruck der informationellen Selbsbestimmung – finden im DS-GVO-E selbstverständlich Berücksichtigung. Art. 7 des Entwurfs behandelt die Einwilligung, Artt. 11 ff. enthalten Transparenzregeln, Artt. 14 ff. die datenschutzrechtliche Auskunft, Art. 32 die Benachrichtigung bei Datenpannen, Artt. 16 f. Berichtigung und Löschung, Art. 19 das Widerspruchsrecht, Art. 52 Nr. 1 lit. b) das Beschwerderecht bei der Aufsichtsbehörde. Zwischen Verabschiedung und Inkrafttreten der DS-GVO werden voraussichtlich zwei Jahre liegen. Eine Zergliederung der Betroffenenrechte in die fünf hier vorgestellten Ausprägungen wird das Verständnis der neuen Regelungen erleichtern und das Selbstbewusstsein der Betroffenen stärken.
* Der Verfasser ist Referent für Sozial-, Gesundheits- und Beschäftigtendatenschutz bei der Gesellschaft für Datenschutz und Datensicherheit e.V. in Bonn sowie Lehrbeauftragter für Datenschutzrecht an der Fachhochschule Köln.
[1] Grimm, Deutsches Wörterbuch, Bd. 20, 1942, Stichwort „System“. Zum Systemdenken im Recht siehe Coing, Geschichte und Bedeutung des Systemgedankens in der Rechtswissenschaft, in: Coing, Gesammelte Aufsätze Bd. 1, 1982, S. 191 ff.; ders., JZ 1951, 481 ff.
[2] Grundlegend BVerfGE 65, 1 ff. („Volkszählungsurteil“).
[3] Dix, in: Schmidt/Weichert, Datenschutz. Grundlagen, Entwicklungen und Kontroversen, 2012, S. 290 ff. unterscheidet in Transparenz-, Steuerungs- und Sanktionsrechte. Weichert, in: Kilian/Heussen, Computerrecht-Handbuch, 26. EL 2008, Stichwort „Betroffenenrechte“ benennt Auskunft/Akteneinsicht, Benachrichtigung, Widerspruch, Datenkorrekturansprüche (Berichtigung, Löschung, Sperrung, Gegendarstellung), Unterlassung/ Be seitigung/Folgenbeseitigung, Schadensersatz, Anrufung von Datenschutzbeauftragten, Strafverfolgung und Störungsbeseitigung. Neundorf in: Hauschka, Corporate Compliance, 2. Aufl. 2010, § 30 Rn. 42 ff. unterscheidet in Informationelle Selbstbestimmung (?), Auskunft, Löschung, Sperrung, Berichtigung, Benachrichtigung.
[4] Im Zuge der BDSG-Novelle I von 2009 entfiel „Unabdingbare“ im Titel. Bei der Parallelnorm § 84a SGB X ist die einstige Überschrift noch erhalten.
[5] Vgl. auch die sozialdatenschutzrechtliche Parallelnorm § 67b Abs. 2 bis 4 SGB X.
[6] VG Berlin, Urt. v. 24.05.2011, 1 K 133/10 (openjur.de/u/284643. html) zur Abdingbarkeit technisch-organisatorischer Maßnahmen.
[7] Simitis, in: Simitis, BDSG, 8. Aufl. 2014, § 4a Rn. 20 f.; Kühling, in: Wolff/Brink, Datenschutzrecht, 2013 § 4a Rn. 32.
[8] Etwa im Arbeitsverhältnis, Simitis, in: Simitis, BDSG, 8. Aufl. 2014, § 4a Rn. 62 bzw beim Abschluss von Kredit-, Versicherungs- oder Versorgungsverträgen, Kühling, in: Wolff/Brink, Datenschutzrecht, 2013 § 4a Rn. 35.
[9] Gültigkeitsdauer weniger als 17 Monate, LG München I, Urt. v. 08.04.2010, 17 HK O 138/10 (openjur.de/u/483674.html).
[10] OLG München, Urt. v. 27.9.2012 – 29 U 1682/12 (openjur.de/u/ 566511.html).
[11] Einige LDSGs zählen den Schadensersatzanspruch ebenfalls auf. Die Aufzählung in § 6 Abs. 1 BDSG gilt als nicht abschließend, Widerspruchsrechte, Petitionsrechte und der Schadensersatzanspruch nach § 7 BDSG werden hierzugezählt, Dix, in Simitis, BDSG, 8. Aufl. 2014, § 6 Rn. 19 f.
[12] Der Gesetzgeber beabsichtigte ausdrücklich eine Einschränkung der Privatautonomie im Interesse der Betroffenen, BT-Drs. 11/4306, S. 41.
[13] Der Rückgriff auf gesetzliche Erlaubnistatbestände kann ausgeschlossen sein, sofern in der Datenschutzerkärung zugesichert wird, ausschließlich auf Grundlage einer Einwilligung personenbezogene Daten verarbeiten zu wollen.
[14] Brink, in: Wolff/Brink, Datenschutzrecht in Bund und Ländern, 2013, § 35 BDSG Rn. 76.
[15] BGH, Urt. v. 18.11.2014 – VI ZR 76/14 – (http://dejure.org/2014, 35148).
[16] Brink, in: Wolff/Brink, Datenschutzrecht in Bund und Ländern, 2013, § 35 BDSG Rn. 23.
[17] Der Katalog des § 35 Abs. 2 S. 1 Nr. 2 BDSG ist geringfügig weiter als derjenige des § 3 Abs. 9 BDSG.
[18] Vgl. abweichend im Sozialdatenschutz § 84 Abs. 1 S. 2 f. SGB X.
[19] § 257 HGB; § 147 AO.
[20] Etwa § 10 Abs. 3 MBO-Ä; § 28 RöntgenVO, § 6 PBV u.v.m.
[21] §§ 195 f. BGB; § 4 S. 1 KSchG; § 21 Abs. 5 AGG.
[22] Scheitert die Klage auf Löschung, bedarf es nach hiesiger Ansicht keines Hilfsantrages auf Sperrung. Wird hernach zur Sperrung verurteilt, dürfte dies gleichsam keine anteilige Kostentragungspflicht gem. § 92 Abs. 1 ZPO nach sich ziehen.
[23] Böll, „Der Wegwerfer“, erstmals in: FAZ vom 24.12.1957 (unter dem Titel „Bekenntnisse eines Wegwerfers“).
[24] BVerfGE 65, 1, 43 (openjur.de/u/268440.html).
[25] Bsp.: § 4 Abs. 3 S. 3 BDSG enthält eine Aufklärungspflicht über Rechtsvorschriften, die grundsätzlich nur im Einzelfall, auf Verlangen hingegen stets greift.
[26] Im Regime des § 4 BDSG gilt der weite Empfängerbegriff, auch Auftragsdatenverarbeiter fallen hierunter.
[27] Vgl. § 83a SGB X; § 109a TKG; § 15a TMG. Auch die Landesdatenschutzgesetze von Berlin, Mecklenburg-Vorpommern, Rheinland-Pfalz und Schleswig-Holstein enthalten inzwischen solche Meldepflichten.
[28] Einzelheiten bei Franck, GDD-Ratgeber Datenpannen, 2014, online unter bit.ly/1B96FJ5.
[29] Vgl. §§ 4b Abs. 4, 6 Abs. 2 S. 3, 6b Abs. 4, 6c Abs. 1, 19a, 28 Abs. 4, 28a Abs. 1 und 2, 28b Nr. 4, 29 Abs. 7 BDSG, § 93 Abs. 1 TKG, § 13 TMG.
[30] Bsp.: Verstoß gegen die Kennzeichnungspflicht bei Videoüberwachung nach § 6b Abs. 2 BDSG hindert den Kameraeinsatz als solchen nicht.
[31] Vgl. die LDSGs sowie Spezialnormen in § 83 SGB X, § 305 SGB V, § 13 Abs. 7 TMG bzw. § 16 DeMailG. Nicht hierher gehört die Auskunfterteilung nach § 105 TKG zu Lasten des Teilnehmers.
[32] Zur Beschränklung der Auskunft in Big-Data-Szenarien vgl. Liedke, K&R 2014, 709, 710 ff.
[33] Zur gerichtlichen Durchsetzung näher Fischer, RDV 2012, 230 ff.
[34] Ebenso § 83 Abs. 4 SGB X.
[35] LG Kiel, Urt. v. 4.4.2008, 8 O 50/07 (openjur.de/u/167342.html) zur Durchsuchung der Bunkerräume eines Universitätsklinikums.
[36] BGH, Urt. v. 7.11.2013, III ZR 54/13 (openjur.de/u/659329.html), Schwärzungsrecht des Therapeuten für ihn betreffende persönlichkeitsbezogene Aufzeichnungen. Nach BVerfG, Beschl. v. 9.1.2006, 2 BvR 443/02 (openjur.de/u/178581.html) jedoch nicht bei objektiven Befunden, die keinen Einblick in die Persönlichkeit des Behandelnden geben.
[37] „Uneigentlich“, siehe Punkt III.
[38] BGH, Urt. v. 23.11.1982, VI ZR 222/79 (dejure.org/1982,125); LG Bochum, Urt. v. 22.08.2008, I-5 S 72/08 (openjur.de/u/133343. html); AG München, Urt. v. 24.2.2009, 282 C 26259/08 (openjur. de/u/474499.html).
[39] LG Kiel, Urt. v. 4.4.2008, 8 O 50/07 (openjur.de/u/167342.html).
[40] BGH, Beschl. v. 20.6.2013, IX ZB 50/12 (openjur.de/u/643776.html).
[41] Vgl. auch 42 Abs. 3 BDSG.
[42] In Bayern erfolgt die Kontrolle durch zwei unterschiedliche Stellen. Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) ist zuständig für die nicht öffentlichen Stellen, der Bayerische Landesbeauftragte für den Datenschutz kontrolliert die Behörden. Kirchen und Rundfunkanstalten stellen eigene Kontrollorgane.
[43] Einzelheiten unter rat-marktforschung.de/beschwerde/.
[44] Vgl. einschlägige LDSGs.
[45] Dix, in: Simitis, BDSG, 8. Aufl. 2014, § 33 Rn. 33, zudem unsauber als Bring- bzw. Holschuld bezeichnet.
[46] Franck, GDD-Ratgeber Datenpannen (Fn. 24), S. 32 ff.
[47] Inoffizielle konsolidierte Fassung vom 19.12.2014 unter www.delegedata.de/wp-content/uploads/2014/06/DS-GVO-konsolidiert.pdf.