Das Recht auf informationelle Selbstbestimmung

informationelle Selbstbestimmung
Allgemein

Verstanden wird das Recht auf informationelle Selbstbestimmung als Recht des Einzelnen, grundsätzlich selbst über die Preisgabe und Verwendung seiner personenbezogenen Daten zu bestimmen. Im Grundgesetz selbst ist das Recht auf informationelle Selbstbestimmung nicht konkret geregelt. Stattdessen handelt es sich um eine spezielle Ausprägung des allgemeinen Persönlichkeitsrechts (APR), bei der es sich um eine Verbindung von Art. 2 Abs. 1 GG und Art. 1 Abs. 1 GG handelt. Die Anerkennung als Grundrecht durch das Bundesverfassungsgericht erfolgte erst im Jahr 1983 im sogenannten Volkszählungsurteil.

Informationelle Selbstbestimmung – früher vs. heute

Obwohl die informationelle Selbstbestimmung gerade im digitalen Zeitalter besonders aktuell scheint, wurde das Grundrecht schon anerkannt, bevor die Datenschutzgrundverordnung (DSGVO) überhaupt existierte.

Als im Jahr 1983 eine durch die Bundesregierung beauftragte Volkszählung durchgeführt werden sollte und Bürgerinnen und Bürger dazu angehalten wurden, private Daten an die Beamten und Mitarbeiter der öffentlichen Verwaltung weiterzugeben, regte sich Widerstand in der Bevölkerung. Grund dafür war nicht nur die umstrittene Datenerhebung allein, sondern auch die Ungewissheit über die Weiterverarbeitung der gesammelten Daten und das damit verbundene Gesetz der Bundesregierung. Neben einzelnen Bürgerinnen und Bürgern legten auch zahlreiche Bürgerinitiativen Beschwerde beim Bundesverfassungsgericht ein. Dies führte schlussendlich dazu, dass das Gesetz in einem Urteil im Jahr 1983 als verfassungswidrig beurteilt wurde. Grund dafür war die Verletzung des Rechts auf informationelle Selbstbestimmung der Bürgerinnen und Bürger durch das Gesetz der Bundesregierung.

Heute scheint das Recht auf informationelle Selbstbestimmung wichtiger denn je, hinterlassen User doch tagtäglich zahlreiche Datenspuren im Internet, die es ermöglichen, Rückschlüsse auf ihre Person und ihr Leben zu ziehen. Der Schutz der personenbezogenen Daten, die durch datenverarbeitende Unternehmen erhoben werden können, ist daher in der Datenschutzgrundverordnung (DSGVO) geregelt. Das Erheben, Speichern, Erfassen und sonstige Verarbeiten personenbezogener Daten ist allerdings dann zulässig, wenn die Informationen bereits öffentlich zugänglich sind, eine Rechtsgrundlage für die Verarbeitung besteht oder die betroffene Person aktiv eingewilligt hat, dass sie mit der Datenverarbeitung einverstanden ist. Beachtet werden sollte hier allerdings, dass diese Einwilligung zweckgebunden und ein Widerruf jederzeit möglich ist. Zu den typischen personenbezogenen Daten zählen zum Beispiel:

  • Allgemeine Personendaten (Name, Geburtsdatum, Anschrift, Telefonnummer etc.)
  • Kennnummern (Nummern von Versicherungen, Steuert-ID etc.)
  • Bankdaten (Kontonummer, Kreditinstitut etc.)
  • Online-Daten (Cookies, IP-Adresse etc.)
  • Physische Merkmale (Geschlecht, Haarfarbe, Augenfarbe, Statur etc.)

Schutzbereiche des Grundrechts: Sensible Daten vs. unsensible Daten

Durch die weite Fassung des Rechts auf informationelle Selbstbestimmung, erfolgt keine konkrete Unterscheidung zwischen sensiblen und weniger sensiblen Daten. Grund dafür ist die Tatsache, dass durch die aktuelle Informationstechnologie zur Datenverarbeitung und Datenverknüpfung auch unsensibel oder belanglos erscheinende Daten als sensibel eingestuft werden können. Daraus folgt, dass es keine belanglosen Daten mehr geben kann, wie im Urteil des Bundeverfassungsgerichts festgestellt worden ist.

Grenzen und Einschränkungen des Rechts auf informationelle Selbstbestimmung

Obgleich das Recht auf informationelle Selbstbestimmung weitgefasst ist, gilt es auch hier, die Grenzen zu berücksichtigen. Da es sich beim Recht auf informationelle Selbstbestimmung um ein Grundrecht handelt, kann eine Einschränkung erfolgen, allerdings ist dafür eine gesetzliche Grundlage erforderlich. Dabei ist eine Einschränkung laut Bundesverfassungsgericht nur dann zulässig, wenn diese überwiegend Allgemeininteressen verfolgen und dem rechtsstaatlichen Gebot der Normenklarheit entsprechen.

Das Gebot der Normenklarheit besagt, dass ein Gesetz für Bürgerinnen und Bürger eindeutig formuliert sein muss. Das heißt, dass es klar zu verstehen ist und keine Generalklauseln oder unklare Rechtsbegriffe beinhalten darf. Weiterhin gilt hier, dass der Gesetzgeber eine Abwägung nach den Grundsätzen der Verhältnismäßigkeit vornehmen muss, wenn das Interesse auf Geheimhaltung des Betroffenen und das öffentliche Informationsinteresse verarbeitender Stellen gegenübergestellt werden.

Freier Wille des Betroffenen vs. fehlendes Einverständnis

Im Volkzählungsurteil erfolgte weiterhin die Festlegung, dass zwischen Maßnahmen, die ohne oder gegen den Willen des Betroffenen vorgenommen werden, und Maßnahmen, die freiwillig erfolgen, unterschieden werden muss. Demnach ist wenigstens dann eine gesetzliche Ermächtigung notwendig, die „bereichsspezifisch, präzise und amtshilfefest” sein muss, wenn der Betroffene mit der Weitergabe der ihn betreffenden Informationen nicht einverstanden ist.

Anonymisierte Daten vs. personalisierte Daten

Grundsätzlich kann weiterhin eine Unterscheidung zwischen anonymisierten und personalisierten Daten erfolgen. Erstere ermöglichen keinerlei Rückschlüsse auf die betroffene Person und es gilt eine gelockerte Zweckbindung. Die personalisierten Daten, die konkrete Rückschlüsse auf den Betroffenen zulassen, unterliegen hingegen einer strengen Zweckbindung und sind besonders schutzbedürftig. Demnach ist der Gesetzgeber hier verpflichtet dafür zu sorgen, dass die Daten nicht missbräuchlich verwendet werden.

Insbesondere Unternehmen sind oftmals daran interessiert, persönliche Daten von Usern und Kunden zu sammeln, um individualisierte Werbekampagnen durchführen und Kundeninteressen besser einschätzen zu können. Selbstverständlich gilt auch für diese die Einhaltung der Gesetze zum Datenschutz und damit auch der DSGVO. Um einen sensiblen und rechtlich sicheren Umgang mit personenbezogenen Daten gewährleisten zu können, ist die Bestellung eines Datenschutzbeauftragten in diesen Fällen unverzichtbar. Wenn Sie als Unternehmen noch auf der Suche nach einem professionellen externen Datenschutzbeauftragten sind, stehen wir Ihnen mit unserer juristischen sowie technischen Expertise gerne zur Seite.

Verstöße gegen das Recht auf informationelle Selbstbestimmung und mögliche Konsequenzen

Sammelt oder verarbeitet ein Unternehmen personenbezogene Daten ohne die Einwilligung der betroffenen Person oder ohne die gesetzliche Erlaubnis, hat der Betroffene grundsätzlich mehrere Möglichkeiten. So kann er seine Betroffenenrechte geltend machen und beispielsweise Auskunft über die Datenspeicherung und den oder die Verwendungszwecke verlangen. Kommt das Unternehmen dem Wunsch nach Auskunft nicht nach, können Betroffene sich an die Aufsichtsbehörden für den Datenschutz wenden. Daneben können sie sich auch anwaltlicher Hilfe bedienen, wobei eine Abmahnung durch den Anwalt oder sogar die Erhebung eine Klage vor Gericht das rechtliche Mittel der Wahl sein kann. Zu berücksichtigen gilt, dass die betroffene Person die damit verbundenen Kosten zunächst selbst trägt, diese aber in der Regel im Erfolgsfalle vom Unternehmen ersetzt verlangen kann.

Jetzt Kontakt aufnehmen

Egal ob IT-Sicherheit, Infrastruktur oder Datenschutz: gerne unterhalten wir uns über Ihre Pläne und Vorstellungen. Wir freuen uns, wenn wir Sie dabei unterstützen können, wieder mehr Zeit für das Tagesgeschäft zu haben. Jetzt unverbindlich informieren.