Datenschutzrecht - woher kommt es und worum geht es?

(16.03.2022)


Das Datenschutzrecht wird in der Praxis gerne als eine Art Verbotsrecht wahrgenommen, welches in erster Linie Abläufe verkompliziert oder im schlimmsten Fall überhaupt verunmöglicht. In der Tat bestehen gerade im Gemeinderecht eine ganze Reihe von rechtlichen Regulativen in der DSGVO, dem DSG sowie einzelnen datenschutzrechtlichen Bestimmungen in anderen Materiengesetzen, die das Verwaltungshandeln in manchen Bereichen konkretisieren oder beschränken. Es lohnt sich daher, einmal die Intention hinter dem Datenschutzrecht näher zu betrachten, um auch mit Blick auf dessen historische Genese die gesellschaftspolitische Funktion dahinter zu verstehen.

… Denken Sie daran, wenn Sie zB das nächste Mal eine Treueclub-Bonuskarte beantragen…
Das Datenschutzrecht betrifft nahezu sämtliche Bereiche unseres Alltags. In unserer modernen digitalisierten Zeit gibt es kaum noch Lebenssachverhalte, die nicht in irgendeiner Form datenschutzaffin sind. Immer wenn Sie eine Internetseite aufrufen, eine App auf Ihrem Smartphone verwenden, mit der „Treueclub-Bonuskarte“ Ihrer Wahl an der Supermarktkasse bezahlen, einen digitalen Zahlungsdienst für Ihren Online-Einkauf oder Lieferdienst verwenden, sich in sozialen Medien an einer Diskussion beteiligen udgl, generieren Sie (auch personenbezogene) Daten. In Abwandlung des berühmten ersten Axioms des Philosophen und Kommunikationswissenschaftlers Paul Watzlawick, wonach man nicht nicht kommunizieren könne, könnte man sagen, man kann im digitalen Zeitalter kaum noch Daten nicht nicht generieren. Dieser Umstand ist zum Fundament einer mächtigen Datenwirtschaft geworden, für die Daten einen eigenen und überaus wertvollen Rohstoff darstellen.

 
… Neue Utopien der Datenwirtschaft und ist vollständige Anonymisierung von Daten überhaupt noch erreichbar?
Das Engagement des Kärntner Gemeindebundes im Bereich der Umsetzung des sogenannten data governance Acts auf europäischer Ebene, der einen Baustein zur Schaffung einer Art zukünftigen gemeinsamen digitalen Binnenraum bilden soll, hat dabei etliche Probleme aufgeworfen, die mit der Verarbeitung von unüberschaubaren Datenmengen, etwa im big-data-Bereich, einhergehen. Durch Algorithmen, die in der Lage sind, solche Datenmengen geschickt zu verknüpfen, lassen sich womöglich Rückschlüsse, zB auf das Verhalten einzelner Personen, ziehen, selbst wenn das eigentliche Datenmaterial anonymisiert erhoben wurde. 

… Die Persönlichkeit des Menschen als Bezugspunkt der Privatsphäre…
Daraus resultiert eine grundsätzliche Berechenbarkeit und Ausmessung der menschlichen Persönlichkeit, die mit unserem angestammten liberalen Grundrechtskonzept sowie der Idee der Privatsphäre nicht unbedingt vereinbar ist. Eine der historisch ältesten Bestimmungen, die den persönlichkeitsrechtlichen Schutz der Privatsphäre abbildet, stellt § 16 ABGB dar. Diese Bestimmung ist schon in der Stammfassung des ABGB aus dem Jahre 1811 enthalten und billigt dem Menschen durch die Vernunft einleuchtende angeborene Rechte zu und verlangt daher, den Menschen stets als Person zu betrachten. Diese Bestimmung ist als Ausdruck ihrer Zeit stark naturrechtlich geprägt und gilt nach Ansicht der Judikatur als Zentralnorm unserer Rechtsordnung, welche im Kern die Menschenwürde schützt. Zu diesen angeborenen Rechten zählt als wesentliche Facette des (zivilrechtlichen) Persönlichkeitsschutzes auch die Privatsphäre des Einzelnen, die durch grundrechtliche Wertungen entsprechende Konkretisierungen erfährt. 

Der „Vater“ der Bundesverfassung Hans Kelsen als Rechtspositivist und Naturrechtsskeptiker…
Im österreichischen Verfassungsrecht verzichtete Hans Kelsen noch auf die Integration eines eigenen Grundrechtekataloges in den Stammtext des Bundesverfassungsgesetzes (B-VG), welches am 1. Oktober 1920 seinen einhundertsten Geburtstag gefeiert hat. Wesentlich zentraler erscheint zunächst im B-VG die starke Rückbindung der Verwaltung an das Gesetz durch das Legalitätsprinzip in Art 18 B-VG, anstelle einer ganz konkreten Bindung der gesamten staatlichen Gewalt an die Grundrechte, wie sie etwa für das deutsche naturrechtlich geprägte Grundgesetz charakteristisch ist. 

Das österreichische Verfassungsrecht ist stark zersplittert, weshalb die Grundrechte in ganz verschiedenen Rechtsquellen niedergelegt sind. Der Katalog des Staatsgrundgesetzes (StGG) vom 21. Dezember 1867 enthält noch kein konkretes Grundrecht auf Privatsphäre oder Datenschutz. Die Entwicklung der Grundrechte nimmt in Österreich erst nach dem Zweiten Weltkrieg wieder mehr an Fahrt auf. Der Grundrechtskatalog des StGG wird in dieser Zeit insbesondere durch die Europäische Menschenrechtskonvention (EMRK) ergänzt, die seit 1964 im Rang eines Bundesverfassungsgesetzes steht und seither den wesentlichen Kern unserer Grundrechtsordnung darstellt. Auf der Ebene des Europarechts kommen um die Jahrtausendwende noch die Verbürgungen der Grundrechtecharta (EGC) hinzu, die etwa in Art 7 EGC ein Grundrecht auf Schutz des Privat- und Familienlebens sowie in Art 8 GRC ein Recht auf Schutz personenbezogener Daten beinhaltet. 

… Privatsphäre als umfassendes Konzept… 
In Hinblick auf den Schutz der Privatsphäre ist vor allem Art 8 EMRK wesentlich, der ein Recht auf den Schutz des Privat- und Familienlebens gewährleistet. Dieser Schutzbereich wurde durch die Rechtsprechung des Europäischen Gerichtshofes für Menschenrechte (EGMR) sowie der innerstaatlichen Höchstgerichte derart erweitert, dass heute von einem umfassenden Konzept der Privatsphäre ausgegangen werden kann, welches dem Art 8 EMRK zugrunde liegt. In diesem Sinne gilt das Recht auf Privatsphäre nicht nur, wie der Wortlaut des Art 8 EMRK ursprünglich intendiert, im engeren Familienkreis oder in den vier Wänden der eigenen Wohnung (Recht auf Privat- und Familienleben). Der Begriff des Privatlebens bezieht sich auch auf ganz andere Bereiche, wie etwa den Schutz der Privatsphäre des Dienstnehmers am Arbeitsplatz. Hiezu zählen aber auch diverse Formen des Schutzes der individuellen Selbstbestimmung in ihren diversen Ausstrahlungen. So ist etwa die Notwendigkeit neben den Alternativen „männlich“ und „weiblich“ auch eine passende Bezeichnung für das sogenannte „Dritte Geschlecht“ in behördlichen Antragsformularen anzuführen, im Kern auf eine verfassungskonforme Interpretation der jeweiligen Gesetzesbestimmung (zB melderechtliche Vorschrift) im Lichte der von Art 8 EMRK ebenso geschützten geschlechtlichen Selbstbestimmung zurückzuführen. In dieses Konzept der Privatsphäre ist auch das Grundrecht auf Datenschutz eingebettet. Es geht dabei vordergründig um ein Recht auf informationelle Selbstbestimmung, dh als Bürger – so wie es auch das deutsche Bundesverfassungsgericht im bekannten Volkszählungsurteil treffend festgehalten hat - nicht nur darüber Bescheid zu wissen, sondern stets auch entscheiden zu können, wer, was, wann, über ihn weiß. Dieser Grundintention soll im konkreten Datenschutzrecht vor etwa durch die Betroffenenrechte (zB Recht auf Information, Recht auf Auskunft, Recht auf Löschung) so weit wie möglich zum Durchbruch verholfen werden. 

Der Datenschutz als „Kind“ der 1970er Jahre…
Historisch betrachtet ist das Datenschutzrecht nicht nur in Österreich ein „Kind“ der 1970er Jahre. In der Bundesrepublik Deutschland hat das Land Hessen bereits 1970 für den Bereich der öffentlichen Verwaltung ein eigenes Datenschutzgesetz geschaffen, welches als erstes Datenschutzgesetz der Welt gilt. Das erste Gesetz, welches den Datenschutz in Österreich regelt, wird mit dem Datenschutzgesetz 1978 (DSG 1978) eingeführt und damit ziemlich zeitgleich mit dem deutschen Bundesdatenschutzgesetz 1978 (BDSG 1978). Die beginnende Sensibilisierung für Datenschutzthemen am Anfang der 1970er Jahre vermag generell mit dem vermehrten Aufkommen von Großrechnertechnik sowie automatisierter Datenverarbeitung in dieser Zeit zusammenhängen. Auch Polizeibehörden beginnen die Möglichkeiten der Datenverarbeitung, wie etwa im Zusammenhang mit Rasterfahndungen, für sich zu entdecken. Die Grundintention hinter den ersten Datenschutzgesetzen in Österreich und Deutschland trägt damit in erster Linie der Ablehnung der Idee vom „gläsernen Bürger“ oder der Orwell’schen Idee des „Großen Bruders“ als Sinnbild für einen autoritären und seine Bürger auf Schritt und Tritt überwachenden Staatsapparates Rechnung.


… Windows 95, 56k-Modem und Internethype – oder erinnern sie sich noch an ihre erste AOL-Einsteiger CD-ROM?… 
In den 1990er Jahren treten der Personal Computer sowie das Internet zunehmend ihren Siegeszug auch im kommerziellen privaten Bereich an und gelangen im steigenden Maße in die Wohnzimmer der Bürger, wodurch ein erster „Internethype“ etwa in der Mitte des Jahrzehnts einsetzt. Damit vollzieht sich auch ein wesentlicher Schritt in Richtung einer digitalisierten Informationsgesellschaft. Gleichzeitig führt der sogenannte „Lauschangriff“ als umstrittenes Instrument der strafrechtlichen Ermittlung wieder zu einer eingehenderen Diskussion in Hinblick auf relevante Bedrohungen und Risiken für die Privatsphäre. Hinzu kommt der Beitritt Österreichs zur Europäischen Union, die mit der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr einen Anpassungsbedarf des DSG 1978 an die unionsrechtlichen Vorgaben hervorrief. 

… Der große „Millenium-Crash“ blieb aus – ein neues Datenschutzgesetz tritt in Kraft…
Die Notwendigkeit der Umsetzung der Richtlinie hat dazu geführt, dass mit dem Beginn des neuen Jahrtausends auch ein neues Datenschutzgesetz in Gestalt des Datenschutzgesetzes 2000 in Kraft tritt. Ein wesentlicher Meilenstein in der legistischen Entwicklung des Datenschutzgesetzes 2000 war die DSG-Novelle 2010, welche wesentliche Neuerungen, wie etwa die Einführung von konkreten Bestimmungen zur Videoüberwachung sowie entsprechende Melde- und Registrierungspflichten im Datenverarbeitungsregister bei der Datenschutzkommission (nunmehr: Datenschutzbehörde) im Abschnitt 9c des DSG 2000, normierte.


… Am 25. Mai 2018 trat die Datenschutzgrundverordnung in Kraft, das DSG 2000 wurde zum DSG und „alles blieb anders“…
In legistischer Hinsicht bildet die Einführung der Datenschutzgrundverordnung (DSGVO) den vorläufigen Schlussstein dieser Entwicklung. Die Aufregung um die Einführung der DSGVO hat sich mittlerweile gelegt. Die Befürchtungen, die insbesondere aus Kreisen der Wirtschaft dagegen geäußert wurden, haben sich seither kaum bewahrheitet. Kurioserweise hat die beinah hysterische Angst vor den neu geschaffenen Sanktionsmöglichkeiten zu einer besonderen Festlegung des Gesetzgebers in § 11 DSG geführt, der in seinen ersten Fassungen eigentlich Aspekte des Arbeitnehmerdatenschutzes regeln sollte. In seiner Endfassung wurde vielmehr eine allgemeine Verwarnpflicht der Datenschutzbehörde normiert. Demnach soll die Datenschutzbehörde so vorgehen, dass die Verhältnismäßigkeit gewahrt wird. Insbesondere im Falle von erstmaligen Verstößen soll die Datenschutzbehörde zunächst nur verwarnen. Inwieweit diese Vorschrift mit der im Anwendungsvorrang stehenden DSGVO, die eine Verwarnpflicht in dieser Form nicht konkret vorsieht, so ohne weiteres vereinbar ist, steht freilich auf einem anderen Blatt.


Im Unterschied zur vormaligen Datenschutz-RL sind die Bestimmungen der DSGVO unmittelbar anwendbar, dh diese müssen nicht mehr durch den Gesetzgeber in innerstaatliches Recht transformiert werden. Dadurch soll der nächste Entwicklungsschritt im Streben der Union um eine möglichst weitgehende Harmonisierung des Datenschutzniveaus in den Mitgliedstaaten erreicht werden. Die DSGVO enthält aber auch eine ganze Reihe von sogenannten Öffnungsklauseln, welche es dem Mitgliedstaat erlauben, in den davon umfassten Bereichen von der DSGVO abweichende spezifischere Bestimmungen vorzusehen. In Österreich besteht die legistische Besonderheit, dass das DSG 2000 zwar in jenen Bereichen, die mit der DSGVO nicht vereinbar waren, „entkernt“ und angepasst wurde, das eigentliche Grundrecht auf Datenschutz in der Verfassungsbestimmung des § 1 DSG aber im Rechtsbestand verblieb. Deshalb könnte man davon sprechen, dass der Grundrechtsschutz in dieser Hinsicht zweifach ausgebildet ist, was praktisch zur Konsequenz hat, dass im Unterschied zur DSGVO nach dem Grundrecht auf Datenschutz nach § 1 DSG auch juristische Personen vom Anwendungsbereich grundsätzlich erfasst werden.

Das Datenschutzrecht ist eng mit technischen und gesellschaftlichen Entwicklungen verknüpft. Im Unterschied zu anderen Rechtskreisen, wo der Schutz von Daten als eigentliches Ziel des Datenschutzes stärker im Vordergrund steht, ist nach österreichischem oder auch deutschem Verständnis Datenschutz zuvorderst Persönlichkeitsschutz, dh es geht nicht primär um den Schutz des personenbezogenen Datums als Objekt der Datenverarbeitung, sondern vielmehr um den Schutz der Geheimhaltungsinteressen jener Person, auf die sich die personenbezogenen Daten beziehen.



Zum Verfasser:
Mag. Markus Tischitz hat als Universitätsassistent am Institut für Arbeits- und Sozialrecht an der Karl-Franzens-Universität Graz gearbeitet und ist nunmehr als zertifizierter Datenschutzbeauftragter und Jurist für den Kärntner Gemeindebund tätig und in dieser Funktion Verfasser einer Reihe von Stellungnahmen zu Begutachtungsentwürfen und Regierungsvorlagen auf Landes- und Bundesebene. Seine Publikations- und Vortragstätigkeit bezieht sich etwa auf rechtliche Implikationen der Digitalisierung der Arbeitswelt, den Arbeitnehmerdatenschutz sowie auch auf allgemeine datenschutzrechtliche und gemeinderechtliche Fragestellungen.

Ausgewählte Beiträge des Autors:
Tischitz, Videoüberwachung im Rahmen der Privatwirtschaftsverwaltung in WEKA, Auskunfts- und Geheimhaltungspflichten für Gemeinden (2021) Register 3, Kapitel 6, 1 (Stand: Jänner 2022, Losebl)
Tischitz, Mitarbeiterschulung in WEKA, Auskunfts- und Geheimhaltungspflichten für Gemeinden (2021) Register 6, 1 (Stand: Jänner 2022, Losebl)
Tischitz, Was bringt das geplante Informationsfreiheitsgesetz? RFG 2021, 77
Herler/Tischitz, E-Mail-Überwachung und Privatnutzungsverbote am Arbeitsplatz im Lichte von Art 8 EMRK, jusIT 2018/1