Datenschutz Verstehen – informationelle Selbstbestimmung
Informationelle Selbstbestimmung im Grundgesetz
Das Recht auf informationelle Selbstbestimmung ist der Schutz der Persönlichkeit einer Person. Es stellt das Recht jedes Einzelnen dar, selbstständig über seine personenbezogenen Daten zu entscheiden und zu bestimmen, sei es die Preisgabe oder die Verwendung dieser Daten. Geschützt ist dieses Recht im Grundgesetz unter Art. 2 Abs. 1 in Verbindung mit Art. 1 Abs. 1 GG, sowie in der Datenschutz-Grundverordnung (DSGVO) und Art. 8 Abs. 1 der Europäischen Menschenrechtskonvention. Das dieses Recht so häufig und umfangreich im deutschen und europäischen Recht geschützt wird, zeigt, wie wichtig und relevant dies für die freie Entfaltung der Persönlichkeit und Freiheit der Person ist. Besonders durch die immer moderner werdende Datenverarbeitung gewinnt diese Thematik mehr und mehr an Bedeutung. Die Digitalisierung darf keine Beeinflussung, Gefährdung oder Verletzung der informationellen Selbstbestimmung mit sich bringen. Daher erfahren Sie in diesem Beitrag die wichtigsten Informationen rund um die informationelle Selbstbestimmung.
Was ist die informationelle Selbstbestimmung?
Hierbei handelt es sich um die Befugnis des Einzelnen, frei entscheiden zu können, welche persönliche Daten offenbart werden. Hierzu zählt auch in welchem Rahmen und zu welcher Zeit seine Daten offenbart werden. Jeder Einzelne darf dabei frei entscheiden, welche Daten er freigibt und welche Daten verwendet werden dürfen. Die informationelle Selbstbestimmung bietet somit Schutz vor der staatlichen Datenerhebung, sowie Datenverarbeitung aber auch vor Datenübermittlung durch eine öffentliche Stelle an andere Stellen öffentlicher oder nichtöffentlicher Art. Des Weiteren schützt dieses Recht davor, dass personenbezogene Daten für einen anderen, nicht durch den Eigentümer zugestimmten Verwendungszweck, genutzt werden. Dies bedeutet im Umkehrschluss, dass Niemand ohne verfassungsrechtlich zulässigen Grund diese Daten für einen anderen Verwendungszweck nutzen kann, als von dem Einzelnen befugt und bestimmt. Ansonsten liegt ein ungerechtfertigter Eingriff in das Grundrecht vor. Man erkennt schon hier Parallelen zur DSGVO, denn dieser Wortlaut der Zweckbestimmung findet sich auch im Art. 6 DSGVO wieder. Hiernach ist die Verarbeitung der Daten nur rechtmäßig, wenn ein oder mehrere bestimmte Zwecke gegeben sind.
Jedoch ist auch zu berücksichtigen, dass das Recht auf informationelle Selbstbestimmung nicht schrankenlos besteht. Bedeutet, dass es auch rechtliche Möglichkeiten gibt eben dieses Grundrecht einzuschränken. Um das Grundrecht einschränken zu dürfen, müssten die Voraussetzungen einer gesetzlichen Grundlage vorliegen. Überdies ist zu beachten, dass das rechtsstaatliche Gebot der Normenklarheit gegeben ist und das Übermaßverbot berücksichtigt wurde. Das Erheben, Speichern und Verwenden der Daten des Einzelnen kann das Recht auf Selbstverwirklichung und Entfaltung der Persönlichkeit und folglich der informationelle Selbstbestimmung erheblich entgegenstehen.
Selbstbestimmung
Um zu verstehen, was die informationelle Selbstbestimmung ist, sollte man zunächst verstehen, wie Selbstbestimmung definiert wird. Burn-out ist als Volkskrankheit in aller Munde. Scheinbar sind Stress, welcher oftmals durch Fremdbestimmung entsteht, in unserem Alltag die größten Schädlinge, die an unserer Gesundheit nagen. Das Gegenteil von Selbstbestimmung ist also die Fremdbestimmung, welche offensichtlich nicht gut für uns ist.
Dennoch gibt es Fremdbestimmung nicht nur in der realen Welt, sondern verstärkt auch in der digitalen Welt. So kommt es, dass einige Organisationen gezielt personenbezogene Daten nutzen, um als Meinungsmacher zu fungieren, sodass eine unterbewusste Fremdbestimmung entsteht. Sie kennen es bestimmt: Aufgrund sehr gezielten Werbeanzeigen auf Ihre Person kaufen Sie Gegenstände, obwohl Sie gar keinen Bedarf bei Ihnen ohne diese Werbeanzeigen vermutet hätten.
Die Selbstbestimmung bzw. die informationelle Selbstbestimmung setzt an dem Schutz der Persönlichkeit an, um ein ausgeglichenes und stressfreies Leben zu ermöglichen. Durch die informationelle Selbstbestimmung und dem dazugehörigen gesetzlichen Rahmen, soll eine Fremdbestimmung verhindert werden. Das wichtigste Instrument hierfür ist die Europäische Datenschutzgrundverordnung (DSGVO).
Recht auf informationelle Selbstbestimmung
Das Grundrecht erschließt sich nicht nur aus dem deutschen Grundgesetz, sondern ist in unterschiedlicher Weise in Deutschland und auch über Ländergrenzen hinweg geprägt. Die Wichtigkeit bzw. Relevanz dieses Themas für Mensch, Staat und andere Länder wird hierdurch immer deutlicher. Diese Erkenntnis hatte bereits die Europäische Kommission und regelte dies auch in Art. 8 Abs. 1 Europäische Menschenrechtskonvention.
Jede Person hat das Recht auf Achtung ihres Privat- und Familienlebens, ihrer Wohnung und ihrer Korrespondenz.
Geschützt ist also auch hier die Privatsphäre, die damit inbegriffene informationelle Selbstbestimmung und somit auch die personenbezogenen Daten. Ob sich diese Daten auf das öffentliche oder private Leben der Einzelnen beziehen oder sogar belanglos sind, spielt hierbei keine Rolle, stellte das Bundesverfassungsgericht fest. Insofern erklärte das Gericht ebenso, dass alle Daten inbegriffen seien und es keine belanglosen Daten gäbe.
Auch die Datenschutz-Grundverordnung und das Bundesdatenschutzgesetz (BDSG) schützen die informationelle Selbstbestimmung durch ein neues europäisches, rechtliches Fundament und bieten ebenfalls Schutz für die in Art. 8 der Charta der Grundrechte der europäischen Union genannten Rechtsgüter (Privat- und Familienleben, Wohnung und Korrespondenz).
Wann gilt die informationelle Selbstbestimmung?
Ab wann die informationelle Selbstbestimmung vorliegt, ist davon abhängig, ab wann der Schutzbereich dieses Grundrechtes eröffnet ist. Hierzu müsste das jeweilige Grundrecht durch eine konkrete Situation eingeschränkt worden sein. Da sich die informationelle Selbstbestimmung aus dem allgemeinen Persönlichkeitsrecht gemäß Art. 2 Abs. 1 GG ableitet, beeinhaltet dieses Grundrecht eine weite Fassung des Schutzbereichs. Das Grundrecht wird also jedem Einzelnen (natürlichen Personen) gewährt, solange dadurch keine Rechte anderer verletzt werden und solange kein Verstoß gegen die verfassungsmäßige Ordnung oder das Sittengesetz vorliegt. Demnach ist es Jedermann gestattet “zu tun und zu lassen, was er will”. Außerdem bleibt das Grundrecht uneingeschränkt bestehen und gilt für den Betroffenen, solange keine gesetzliche Grundlage vorliegt, die zur einschränkung berechtigen würde. Es gilt also ein allgemeiner Gesetzesvorbehalt, der das Grundrecht aus Art. 2 Abs. 1 GG einschränken könnte und somit dazu führt, dass die informationelle Selbstbestimmung nicht gelten würde. Konkretisiert sind durch den Gesetzesvorbehalt formelle als auch materielle Gesetze zur Rechtfertigung in der lage, solange sie verfassungsgemäß sind.
Zusammenfassend gilt die informationelle Selbstbestimmung also z.B. beim Verwalten und zur Verfügung stellen eigener personenbezogenen Daten immer uneingeschränkt, solange keine rechtfertigenden Gründe dieses Recht einschränken.
Was bedeutet informationelle Selbstbestimmung für Unternehmen?
Auch Unternehmen sind der informationellen Selbstbestimmung unterworfen und haben dieses Recht stets zu wahren. Wie genau sich dies in der Umsetzung der Unternehmenstätigkeit darstellt, ergibt sich unter anderem aus der DSGVO. Die Verordnung erlegt nicht nur allen europäischen Ländern diese Pflicht auf, sondern erstreckt sich auf alle Länder, die Daten europäischer Staatsbürger verarbeiten.
Eine sehr hohe Relevanz liegt darin, die essentiellen Anforderungen jederzeit einzuhalten. Hierzu gehören zunächst die Grundsätze für die Verarbeitung personenbezogener Daten gemäß Art. 5 Abs. 1 lit. a) – f) DSGVO:
- Das Gebot nach Rechtmäßigkeit, Treu und Glauben und Transparenz der Verarbeitung, sprich die Datenverarbeitung muss auf einem legitimen Zweck beruhen, welcher nicht einseitig überschritten werden darf und zudem verständlich für den Betroffenen sein muss.
- Zweckbindung, bedeutet dass die personenbezogene Daten für festgelegte, eindeutige und legitime Zwecke erhoben werden und diese im Gegenteil nicht weiterverarbeitet werden dürfen, ohne vereinbarten bestimmten Zweck.
- Datenminimierung, demnach dürfen die personenbezogenen Daten nur in notwendiger Weise verarbeitet werden.
- Richtigkeit, beschreibt die Erforderlichkeit, dass alle Daten sachlich richtig und auf dem aktuellsten Stand sind. Gegebenenfalls müssen die Daten bei Abweichungen unverzüglich gelöscht oder berichtigt werden.
- Speicherbegrenzung, auch hier bezieht sich die Speicherung der personenbezogenen Daten auf den vereinbarten Zweck. Zu Beachten ist daher, dass die Speicherung bezogen auf den Zweck “erforderlich” sein muss.
- Integrität und Vertraulichkeit ist der Grundsatz, der eine angemessene Sicherheit gewährleistet durch geeignete technische und organisatorische Maßnahmen.
Neben dieser Grundsätze stellt die DSGVO konkrete Anforderungen, die ebenfalls ausnahmslos einzuhalten sind. Hervorzuheben ist dabei das Prinzip des Verbots mit Erlaubnisvorbehalt. Bedeutet, dass grundsätzlich ein allgemeines Verbot besteht personenbezogene Daten zu verarbeiten, jedoch eine Erlaubnis in Form einer Rechtsgrundlage die Verarbeitung erlauben kann. Die Rede ist von der Rechtmäßigkeit der Verarbeitung gemäß Art. 6 DSGVO und der Verarbeitung der besonderer Kategorien personenbezogener Daten gemäß Art. 9 DSGVO. Eine rechtmäßige Datenverarbeitung würde also zum Beispiel vorliegen, wenn im Sinne des Art. 6 Abs. 1 lit. a) DSGVO die betroffene Person ihre Einwilligung zur Verarbeitung gegeben hat oder wenn gemäß Art. 6 Abs. 1 lit. b) DSGVO ein Vertrag zur Verarbeitung berechtigt.
Eine Rechtsgrundlage könnte auch im Sinne des Art. 9 Abs. 2 lit. a) – j) DSGVO vorliegen und somit die Verarbeitung von besonders geschützten Daten wie ethnische Herkunft, politische Meinung, religiöse Überzeugung sowie biometrischen und genetischen Daten rechtfertigen. Art. 9 Abs. 2 lit. a) DSGVO ist das Äquivalent zu Art. 6 DSGVO und spricht von einer ausdrücklichen Einwilligung der betroffenen Person.
Um der informationellen Selbstbestimmung datenschutzkonform gerecht zu werden, müssen Unternehmen darüber hinaus Informationspflichten gemäß Art. 12 bis 14 DSGVO, Technische organisatorische Maßnahmen gemäß Art. 32, 25 II DSGVO und Sensibilisierung und Schulung der Mitarbeiter erfüllen sowie Datenschutzfolgenabschätzungen gemäß Art. 35 DSGVO vornehmen.
Wieso gibt es die informationelle Selbstbestimmung?
Der BGH stellte fest, dass “bei der Abwägung der beiderseitigen Rechtspositionen dem Schutz der Privatsphäre eben ein besonderer Stellenwert zukomme. Das Recht auf Achtung der Privatsphäre sei Ausfluss des allgemeinen Persönlichkeitsrechts, das jedermann einen autonomen Bereich der eigenen Lebensgestaltung zugestehe, in der er seine individualität unter Ausschluss anderer entwickeln und wahrnehmen könne.”
Es ist also festzuhalten, dass keine Vereinbarkeit der Gesellschaftsordnung und Rechtsordnung bestünde, wenn der Bürger kein Wissen darüber hat, „wer was wann und bei welcher Gelegenheit über sie weiß“. Bestimmte Verhaltensweisen, die Rückschlüsse auf die Person geben könnten, würden durch diese Unsicherheit unterdrückt werden. Die Angst, dass ein bestimmtes Verhalten festgehalten bzw. aufgenommen und dauerhaft gespeichert werden, führt zwangsläufig dazu, dass der Bürger seine Informationen und Daten zu schützen versucht und hierdurch sein Verhalten einschränken wird. Dies stellte das Bundesverfassungsgericht in seinem Urteil vom 15. Dezember 1983 – 1 BvR 209/83 fest und erklärt infolgedessen die Übermittlungsregelungen, wie z.B. der Melderegisterabgleich des damaligen Volkszählungsgesetzes § 9 Abs. 4 von 1983 als unvereinbar mit dem Grundgesetz – Die Geburtsstunde der informellen Selbstbestimmung.
Das Verhalten eines Bürgers darf folglich nicht durch eine Verletzung der informationellen Selbstbestimmung eingeschränkt werden und somit zur Einschränkung des allgemeinen Persönlichkeitsrechts gemäß Art. 2 Abs. 1 GG führen.
Herr Nils Möllers ist Gründer und Geschäftsführer der Keyed GmbH. Als Experte für Datenschutz in Konzernen, Unternehmensgruppen und Franchise-Systemen, ist Herr Möllers ebenfalls als zertifizierter Datenschutzbeauftragter tätig. Ergänzend zur datenschutzrechtlichen Expertise ist Herr Möllers im Bereich der IT-Sicherheit, begleitend zur ISO27001 und TISAX-Assessments, beratend tätig.