Entstehungsgeschichte des europäischen Datenschutzrechts

Auch wenn man erst seit Anwendbarkeit der Datenschutz-Grundverordnung (DSGVO) das Gefühl hat, dass Datenschutzrecht wirklich ernst genommen wird und sich allmählich ein „Bewusstsein“ für die Materie in der Bevölkerung bildet, darf nicht vergessen werden, dass Datenschutz im deutschsprachigen Raum eine überaus lange Tradition hat: Vom weltweit ersten Datenschutzgesetz in Hessen 1970[1], gefolgt vom österreichischen DSG 1978[2], über die Europaratskonvention 1981[3] und das deutsche Volkszählungsurteil 1983[4], bis hin zur RL 95/46/EG und schließlich zur DSGVO[5] – nur um einige Schlaglichter zu nennen – wurden in Europa stets Maßstäbe gesetzt. Maßstäbe deren Wirkung weit über die Grenzen des Kontinents in andere Rechtsordnungen ausstrahlten und dort nicht nur wahrgenommen, sondern oftmals auch rezipiert wurden.[6]

Datenschutz hat also Tradition. Daraus kann aber keineswegs auf ein starres unveränderliches System dieses Rechtsgebiet geschlossen werden; im Laufe seiner Entwicklung verstand es dieses Gebiet sich stets neu zu erfinden und auf veränderte technische und wirtschaftliche Gegebenheiten der Datenverarbeitung zu reagieren. Richtete sich die Schutzrichtung des Gebiets in seinen Anfängen[7] vor allem noch gegen die Datenverarbeitung durch den (übermächtigen) Staat[8] und seine Behörden, sind es nunmehr (auch bzw va) Private, welche der datenschutzrechtlichen Regulierung unterworfen sind. Diese Ausweitung der Schutzrichtung des Gebiets hat ferner sogar ein Grundrecht, dass sich in unmittelbarer Drittwirkung gegen Private richtet, hervorgebracht. Eine Eigenschaft, die in unserer Grundrechtslandschaft einzigartig ist und in Vergegenwärtigung der ursprünglich konzeptionierten Abwehrfunktion der Grundrechte gegen den Staat, die Verschiebung der Datenhoheit vom Staat hin zu Privaten weiter unterstreicht.

Von persönlichen Daten zu personenbezogenen Daten

Nicht alle Daten unterliegen dem Regime des (klassischen) Datenschutzrechts, sondern nur sog personenbezogene Daten. Die Legaldefinition und Auslegung dieses Begriffs spielen somit in der Frage, ob der Anwendungsbereich des Datenschutzrechts überhaupt eröffnet ist, eine zentrale Rolle.

Ebenso wie die Ausweitung der Schutzrichtung des Gebiets, hat sich auch der sachliche Anwendungsbereich erweitert: Während es in den Anfängen des Rechtsgebiets (sinngemäß) noch vor allem um „persönliche Daten“ ging, sprechen wir nunmehr von „personenbezogenen Daten“. Ein entscheidender Unterschied, der den Anwendungsbereich des Datenschutzrechts erheblich erweitert und dogmatische Einordnungsprobleme mit sich bringt, wenn anonyme Daten von personenbezogenen Daten abzuheben sind.[9]

So können auch mehr als zweieinhalb Jahre nach Anwendbarkeit der DSGVO in dieser Hinsicht keine klaren und befriedigenden Einordnungen vorgenommen werden. Eine rechtliche Unschärfe, die freilich auch Unklarheiten bei der Entwicklung von KI-Modellen erzeugt. Die Untersuchung des Personenbezugs, in technischer und rechtlicher Hinsicht, soll im gegenständlichen Forschungsprojekt daher eine zentrale Rolle einnehmen.

[1]    Hessisches DSG 1970 < http://starweb.hessen.de/cache/GVBL/1970/00041.pdf#page=1>(14.12.2020).

[2]    Bundesgesetz vom   18.  Oktober   1978 über den Schutz personenbezogener Daten (Datenschutzgesetz - DSG), BGBl  565/1978 <https://www.ris.bka.gv.at/Dokumente/BgblPdf/1978_565_0/1978_565_0.pdf>(14.12.2020).

[3]    Europarat, Konvention 108 - Übereinkommen zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten (1981)< https://www.coe.int/en/web/conventions/full-list/-/conventions/rms/0900001680078b38>(14.12.2020).

[4]    DBVerfG, Urteil des Ersten Senats vom 15.12.1983 – 1 BvR 209/83 -, Rn. 1-215<http://www.bverfg.de/e/rs19831215_1bvr020983.html>(14.12.2020).

[5]    VERORDNUNG (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung).

[6]    Vgl etwa den California Consumer Privacy Act (CCPA) in den USA.

[7]    Die Anfänge von Datenerhebungen en masse sind im staatlichen Bereich angesiedelt und finden sich bereits in der Bibel, die von Volkszählungen durch die „Obrigkeit“ berichtet; vgl ausführlich Haase, Datenschutzrechtliche Fragen des Personenbezugs (2015) 15.

[8]    So beschränkte das hessische DSG 1970 in § 1 seine Anwendung auf den "Bereich der Behörden des Landes und der der Aufsicht des Landes unterstehenden Körperschaften, Anstalten und Stiftungen des öffentlichen Rechts".

[9]    Vgl insb Haase, Datenschutzrechtliche Fragen des Personenbezugs (2015).