Geschichte des Datenschutzes und der Dienststelle

Geschichte des Datenschutzes

Als Mitte der sechziger Jahre die automatisierte Datenverarbeitung in den Verwaltungen der Bundesrepublik Deutschland immer stärker vorangetrieben wurde, begann eine Diskussion über die Gefährdungen durch die aufkommenden Datenbanken staatlicher Behörden. Sowohl das Bestreben, die Privatsphäre des Einzelnen zu schützen, als auch die Befürchtung, dass eine umfassende Informationsmacht des Staates über seine Bürgerinnen und Bürger entstehen könnte, führten zur Überzeugung, dass die immer effektiver werdende automatisierte Informationsverarbeitung durch öffentliche Stellen der Begrenzung durch den Datenschutz bedarf. Am 30. September 1970 verabschiedete Hessen als erstes Bundesland ein Landesdatenschutzgesetz. Dieses sah unter anderem vor, dass elektronisch verarbeitete Daten vor dem Zugriff Unbefugter zu schützen sind, die mit der Datenverarbeitung Beschäftigten über den Inhalt der Daten Verschwiegenheit zu wahren haben und Betroffene unrichtige Daten berichtigen lassen können. Es bestimmte auch die Einrichtung eines Datenschutzbeauftragten als unabhängige Kontrollbehörde für die öffentlichen Stellen des Landes.

Das Bundesdatenschutzgesetz vom 28. Januar 1977 konzentrierte sich ebenfalls auf den Schutz der „personenbezogenen Daten“ und war vom Grundgedanken bestimmt, dass staatliche Stellen, aber auch Unternehmen nicht ohne Weiteres in das Recht des Einzelnen, allein gelassen zu werden, eingreifen dürfen. Für die Datenverarbeitung öffentlicher Stellen wurde der „Erforderlichkeitsgrundsatz“ eingeführt, d.h. es durften nur solche personenbezogene Daten verarbeitet werden, die für die Erledigung der gesetzlichen Aufgabe der Behörde erforderlich waren. Personenbezogene Daten durften zudem nur verarbeitet werden, wenn entweder ein Gesetz dies vorsah oder der Betroffene der Verarbeitung freiwillig zustimmte. Die private, geschäftsmäßige Datenverarbeitung war weiter gehend gestattet, wenn sie im Geschäftsinteresse lag und die schutzwürdigen Belange der Betroffenen gegenüber den berechtigten Interessen des Unternehmens nicht überwogen.

Bis 1981 gaben sich sämtliche Bundesländer der alten Bundesrepublik ein Landesdatenschutzgesetz. Eine geplante Volkszählung wurde mit dem sog. Volkszählungsurteil des Bundesverfassungsgerichts vom 15. Dezember 1983 teilweise für verfassungswidrig erklärt. Das aus Artikel 1 Absatz 1 und Artikel 2 Abs. 1 Grundgesetz abgeleitete „Recht auf informationelle Selbstbestimmung“, befand das höchste Gericht, wird verletzt, wenn und soweit die betroffenen Bürgerinnen und Bürger der Datenverarbeitung nicht grundsätzlich selbst über die Verwendung ihrer Daten bestimmen können. Damit war das Grundrecht auf Datenschutz etabliert. Personenbezogene Daten dürfen seitdem durch staatliche Stellen ohne Einwilligung der Betroffenen nur dann verwendet werden, wenn dies durch ein Gesetz erlaubt wird. Die Bürgerinnen und Bürger haben einen Anspruch darauf, darüber hinaus zu erfahren, welche Daten die staatlichen Stellen über sie verarbeiten. Aus diesem Transparenzgebot werden individuelle Auskunftsansprüche abgeleitet. Der Gesetzgeber wurde aufgefordert, Maßnahmen zu treffen, die das Grundrecht auf informationelle Selbstbestimmung bei der automatisierten Datenverarbeitung gewährleisten. Als Folge dieses Urteils wurden die Datenschutzgesetze der Länder und des Bundes erneuert und Datenschutzregelungen für die einzelnen Bereiche der staatlichen Tätigkeit geschaffen. Dieser Prozess mündete in die Neufassung des Bundesdatenschutzgesetzes im Jahre 1990.

Die neuen Bundesländer verabschiedeten in den ersten zwei Jahren ihrer erneuten Gründung eigene Datenschutzgesetze, z.B. das Brandenburgische Datenschutzgesetz vom 22. Januar 1992. Diese orientierten sich sowohl an den Regelungen, die in den westlichen Bundesländern aus dem Volkszählungsurteil erwachsen sind, als auch an den eigenen Erfahrungen mit einem Staat, in dem ein Recht auf Datenschutz unbekannt war. Das Recht, zu wissen, wer welche Daten zur eigenen Person verarbeitet, wurde durch den im Stasi-Unterlagen-Gesetz normierten Anspruch auf Einsicht in die „eigene“ Stasi-Akte erstmals sogar auf einen aufgelösten Geheimdienst erstreckt.

Nicht nur die beiden Teile Deutschlands wuchsen in den neunziger Jahren zusammen, auch die Vertiefung der Europäischen Union schritt voran. Mit der Datenschutzrichtlinie vom 24. Oktober 1995 (Richtlinie 95/46/EG) setzte die Europäische Union neue Maßstäbe für die nationale Datenschutzgesetzgebung. Die Richtlinie unterscheidet nicht mehr grundsätzlich zwischen Datenverarbeitung im öffentlichen und nicht-öffentlichen Bereich. Sie macht den besonderen Schutz von sensitiven Daten zur Regel und stärkt die Rechte der betroffenen Person. Bei der Vorbereitung von Regelungen mit Auswirkungen auf den Datenschutz werden Risikoanalyse, Vorabkontrolle, Technikfolgenabschätzung sowie Verpflichtung zur Beteiligung der Datenschutzbeauftragten verpflichtend vorgeschrieben. Die Datenschutzrichtlinie erleichtert zugleich die Übermittlung personenbezogener Daten innerhalb der Union, indem sie ein harmonisiertes Datenschutzniveau in allen Mitgliedsstaaten vorschreibt. An Drittstaaten dürfen Bürgerdaten nur übermittelt werden, soweit dort ein angemessenes Datenschutzniveau herrscht. Zur Umsetzung der europäischen Datenschutzrichtlinie trat das geänderte Bundesdatenschutzgesetz am 23. Mai 2001 in Kraft, während die Länder Hessen und Brandenburg als erste bereits 1998/1999 ihre Landesdatenschutzgesetze den europäischen Vorgaben angeglichen hatten.

Auf Grundlage der EG-Verordnung 45/2001 vom 18. Dezember 2000 wurde mit dem Europäischen Datenschutzbeauftragten eine unabhängige Kontrollinstanz für den Datenschutz geschaffen und Ende des Jahres 2003 der erste Europäische Datenschutzbeauftragte gewählt. Der Datenschutz wurde in die Charta der Grundrechte der Europäischen Union aufgenommen, die am 1. Dezember 2009 gemeinsam mit dem In-Kraft-Treten des Vertrags von Lissabon Rechtskraft erlangte.

Mit seinem Urteil vom 27. Februar 2008 (1 BvR 370/07, 1 BvR 595/07) forderte das Bundesverfassungsgericht, dass staatliche Maßnahmen, die die Informationssicherheit beeinträchtigen, nur unter engen, gesetzlich ausdrücklich geregelten Bedingungen vorgenommen werden dürfen. Das mit diesem Urteil etablierte Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme zeigt deutlich, welchen Stellenwert der technische Datenschutz für die Privatsphäre inzwischen erlangt hat. Die Änderung des Brandenburgischen Datenschutzgesetzes vom 30. November 2007 und seine Anpassung an den Stand der Technik hatten dieser Entwicklung bereits Rechnung getragen.

Nach diversen Datenpannen hat der Deutsche Bundestag im Jahre 2009 das Bundesdatenschutzgesetz geändert: Unter anderem wurden die Tätigkeit von Auskunfteien sowie das Scoring neu geregelt und die Bestimmungen zum Adresshandel geändert.

Die Vorgabe der europäischen Datenschutzrichtlinie für eine unabhängige Datenschutzkontrolle sowohl im öffentlichen als auch im privatwirtschaftlichen Bereich hat der Landesgesetzgeber erst nach einem entsprechenden Urteil des Europäischen Gerichtshofs vom 9. März 2010 umgesetzt. Er beschloss die Zusammenlegung der bis dahin in getrennter Zuständigkeit tätigen Aufsichtsbehörden bei der Landesbeauftragten und somit einen einheitlichen Ansprechpartner für Datenschutzfragen mit Wirkung vom 1. Juni 2010. Mit seinem Urteil vom 16. Oktober 2012 (Rechtssache C-614/10) verlangte der Europäische Gerichtshof im Ergebnis eines Vertragsverletzungsverfahrens gegen die Republik Österreich die völlige Unabhängigkeit der Datenschutzaufsicht in den Mitgliedstaaten. Die Bestimmungen des Brandenburgischen Datenschutzgesetzes zur Rechtsstellung der Landesbeauftragten wurden mit dem Gesetz vom 27. Juli 2015 entsprechend geändert.

Auch weitere Entwicklungen des Datenschutzes gehen unmittelbar auf die Rechtsprechung des Europäischen Gerichtshofs zurück. So stellte dieser in seinem Urteil vom 13. Mai 2014 (Rechtssache C-131/12) fest, dass der Betreiber einer Internetsuchmaschine bei personenbezogenen Daten, die auf von Dritten veröffentlichten Internetseiten erscheinen, für die von ihm vorgenommene Verarbeitung verantwortlich ist. Die auf eine Abwägung im Einzelfall gestützte Pflicht  der Suchmaschinenbetreiber, rechtswidrig gespeicherte Suchergebnisse zu löschen, wird als Recht auf Vergessenwerden bezeichnet.

Die Vorratsdatenspeicherung war ebenfalls Gegenstand der Rechtsprechung. Zunächst erklärte das Bundesverfassungsgericht die deutschen Vorschriften zur Vorratsdatenspeicherung am 2. März 2010 für verfassungswidrig und formulierte höhere Anforderungen an Zweckbindung, Transparenz und Datensicherheit, unter denen eine entsprechende Regelung zulässig wäre (1 BvR 256/08, 1 BvR 263/08, 1 BvR 586/08). Die Telekommunikationsanbieter mussten ihre bis dahin gesammelten Daten wieder löschen.  Am 8. April 2014 erklärte der Europäische Gerichtshof die EU-Richtlinie zur Vorratsdatenspeicherung für ungültig (Rechtssache C-293 /12 und C-594/12). In Deutschland trat am 18. Dezember 2015 ein neues Gesetz zur Einführung einer Speicherfrist und einer Höchstspeicherfrist für Verkehrsdaten in Kraft, dessen Speicherpflichten von den Telekommunikationsanbietern spätestens ab dem 1. Juli 2017 zu erfüllen waren.

Kurz vor Ablauf der Umsetzungsfrist entschied das Oberverwaltungsgericht Nordrhein-Westfalen am 22. Juni 2017 in einem Eilverfahren auf Antrag eines bayerischen Providers, dass die deutsche Regelung zur verdachtsunabhängigen Speicherung von Standort- und Verkehrsdaten nicht mit europäischem Recht vereinbar ist (13 B 238/17). Zwischenzeitlich sind zudem mehrere Verfassungsbeschwerden gegen das Gesetz zur Einführung einer Speicherfrist und einer Höchstspeicherfrist für Verkehrsdaten eingelegt worden. Eine abschließende gerichtliche Klärung steht noch aus.

Am 6. Oktober 2015 (Rechtssache C-362-14) erklärte der Europäische Gerichtshof die Feststellung der Kommission, dass die Vereinigten Staaten von Amerika ein angemessenes Schutzniveau übermittelter personenbezogener Daten gewährleisten (Safe-Harbor-Abkommen), für ungültig. Auf Grundlage des Safe-Harbour-Abkommens konnten Unternehmen bislang personenbezogene Daten in die USA übermitteln, wenn sich der Datenempfänger durch einfache Erklärung den Safe-Harbor-Regelungen unterwarf.  Im Ergebnis einer Neuverhandlung zwischen der Europäischen Kommission und den Vereinigten Staaten von Amerika entstand mit dem EU-US Privacy Shield ein – wenngleich umstrittenes – Nachfolgeabkommen, dessen Anwendbarkeit die Kommission im Juli 2016 beschlossen hat.

Nach Jahren intensiver Diskussion um die Reform des europäischen Datenschutzrechts trat im April 2016 die Datenschutz-Grundverordnung - Verordnung (EU) 2016/679 – mit einer zweijährigen Übergangsfrist in Kraft. Sie ist seit dem 25. Mai 2018 anwendbar und ersetzt die Datenschutzrichtlinie aus dem Jahre 1995.  Die Verordnung gilt unmittelbar und einheitlich in allen Mitgliedstaaten und soll insbesondere in grenzüberschreitenden Fällen eine einheitliche Anwendung der Datenschutzvorschriften in der EU gewährleisten. Ihr Ziel ist es, sowohl ein einheitliches Datenschutzniveau zu erreichen als auch den freien Datenverkehr innerhalb des europäischen Binnenmarktes zu gewährleisten.  Sie gilt auch für Unternehmen, die ihren Sitz außerhalb der Europäischen Union haben und sich mit ihren Angeboten an Unionsbürger wenden. Das betrifft beispielsweise große Internetunternehmen.  Betroffenenrechte - so zum Beispiel das sogenannte Recht auf Vergessenwerden oder das Recht auf Datenportabilität – werden durch die Datenschutz-Grundverordnung gestärkt. Nicht anwendbar ist die Datenschutz-Grundverordnung auf den Bereich der polizeilichen und justiziellen Zusammenarbeit. Um auch hier ein einheitliches Datenschutzniveau zu garantieren und den freien Datenverkehr und die Zusammenarbeit zwischen europäischen Polizei- und Justizbehörden zu erleichtern, trat am 5. Mai 2016 die EU-Richtlinie für Justiz und Inneres - Richtlinie (EU) 2016/680 - in Kraft, die seit dem 6. Mai 2018 anzuwenden ist. Das Bundesrecht wurde inzwischen an die Datenschutz-Grundverordnung angepasst und setzt die Richtlinie für Justiz und Inneres um. Während das Brandenburgische Datenschutzgesetz rechtzeitig neu gefasst wurde, steht die Umsetzung der Richtlinie in brandenburgisches Landesrecht noch aus.

Geschichte der Dienststelle

Errichtet wurde die Dienststelle der Landesbeauftragten aufgrund des Brandenburgischen Datenschutzgesetzes vom 22. Januar 1992. Der Landtag Brandenburg wählte Dr. sc. med. vet. Dietmar Bleyl am 15. Februar 1992 als ersten Datenschutzbeauftragten des Landes. Sein Amt übte er zunächst mit einer räumlich und personell äußerst provisorischen Ausstattung aus. Erst im September 1992 stand ein, wenn auch unmöbliertes, Gebäude auf einer noch heute als Dienstsitz genutzten Kleinmachnower Liegenschaft zur Verfügung. Zusammen mit den ersten Mitarbeiterinnen und Mitarbeitern gelang Bleyl der Aufbau der Dienststelle. Er engagierte sich insbesondere für die Schaffung spezialgesetzlicher Regelungen für den Datenschutz, um diesen im Verwaltungsalltag handhabbar zu gestalten – Pionierarbeit im 360-Grad-Winkel. Die Menschen in Brandenburg, die zuvor in der DDR einer systematischen informationellen Bevormundung ausgesetzt waren, haben in dieser Zeit zunehmend ihr Grundrecht auf informationelle Selbstbestimmung aus der Landesverfassung eingefordert.

Am 31. Mai 1998 endete Bleyls Amtszeit. Sein Nachfolger, Dr. Alexander Dix, übernahm die Leitung der Behörde am darauf folgenden Tag. Er trat seinen Dienst bereits in einer Behörde mit erweiterter Zuständigkeit an. Seit dem In-Kraft-Treten des Akteneinsichts- und Informationszugangsgesetzes vom 10. März 1998, für das sein Vorgänger sich vehement eingesetzt hatte, oblag dem Landesbeauftragten neben dem Datenschutz auch die Wahrung des Grundrechts auf Akteneinsicht. Das Gesetz war ein Novum in Deutschland – ebenso wie die Herausforderung, dass ein Datenschutzbeauftragter auch für die Informationsfreiheit zuständig ist. Das Brandenburgische Datenschutzgesetz erfuhr während Dix Amtszeit eine umfassende Novellierung und wurde zu einem der modernsten in der Bundesrepublik Deutschland. Internationale Bezüge wurden auch für Brandenburg immer wichtiger. Vor dem Hintergrund der Anschläge vom 11. September 2001 geriet der Datenschutz zunehmend in ein Spannungsfeld zwischen dem Bedürfnis nach Sicherheit und dem Wunsch nach Freiheit.

Der Landtag Brandenburg wählte Dagmar Hartge am 19. Mai 2005 als neue Landesbeauftragte. Zuletzt wurde sie am 28. Juni 2017 wiedergewählt. In Hartges bisherige Amtszeiten fallen wichtige Weichenstellungen für den Datenschutz: Seit dem Jahre 2010 liegen die Kontrolle öffentlicher und die zuvor vom Ministerium des Innern wahrgenommene Aufsicht über private Stellen bei der Landesbeauftragten in einer Hand; die Unabhängigkeit der Aufsichtsbehörde wurde gestärkt. Berichte über eine umfängliche nachrichtendienstliche Überwachungspraxis bewirkten in den letzten Jahren eine zusätzliche Sensibilisierung für Datenschutzfragen. Gleichzeitig ergingen höchstrichterliche Entscheidungen, die den Datenschutz weiter stärkten – nicht zuletzt auf europäischer Ebene. Auf die zunehmende internationale Verflechtung sowie auf die rasante technologische Entwicklung der Datenverarbeitung hat die Europäische Union mit der Verabschiedung der Datenschutz-Grundverordnung reagiert. Sie ist seit dem 25. Mai 2018 unionsweit anzuwenden und mit vielen zusätzlichen Aufgaben für die Landesbeauftragte verbunden.

 

Downloads