3. Datenschutzrechtliche Rahmenbedingungen und Implikationen
Bei der Nutzung von Sozialen Medien durch öffentliche Stellen sind insbesondere die datenschutzrechtlichen Rahmenbedingungen und Implikationen zu klären. Diese sind dafür entscheidend, ob Soziale Medien beziehungsweise einzelne Anwendungen überhaupt als Mittel zur Öffentlichkeitsarbeit und Informationstätigkeit öffentlicher Stellen eingesetzt werden dürfen und wenn dies bejaht wird, welche datenschutzrechtlichen Rahmenbedingungen für die Nutzung gelten. Für die Praxis ist die Klärung dieser Fragen von Bedeutung, da das Datenschutzrecht omnipräsent zu sein scheint, aber gleichzeitig Unsicherheiten bei den Anwenderinnen und Anwendern damit verbunden sind.74
74 Siehe Befragung von Bitkom, bei der die Rechtsunsicherheit als größte Herausforderung im Zusammenhang mit der DSGVO genannt wird: Bitkom, Welches sind die größten Herausforderungen bei der Umsetzung der DS-GVO?, https://de.statista.com(...)deutschland/.
3.1. Datenschutzrechtliche Vorüberlegungen
Damit eine umfassende Betrachtung der datenschutzrechtlichen Rahmenbedingungen erfolgen kann, sind Vorüberlegungen anzustellen, wie sich das gegenwärtige Datenschutzrecht entwickelt hat und welche Aspekte bei der Entwicklung maßgeblich waren. Daneben ist zu klären, was unter personenbezogene Daten im Sinne des Datenschutzrechts zu verstehen ist.
3.1.1. Entstehung und Entwicklung des Datenschutzrechts
Im nationalen Recht ist der Ursprung des Datenschutzrechts in Hessen zu finden. Hier wurde am 30. September 1970 weltweit das erste Datenschutzgesetz verabschiedet. 1977 zog der Bund mit dem ersten Bundesdatenschutzgesetz nach. In beiden Fällen ist die Entstehung demnach auf legislative Initiativen zurückzuführen.75 Die Gesetzgeber wurden maßgeblich vom Gedanken der automatisierten Prozesse und den damit einhergehenden Folgen geleitet. Sie erkannten die Gefahren für den Einzelnen hinsichtlich sozialer, politischer und wirtschaftlicher Diskriminierung, die mithilfe der Gesetze verhindert werden sollten.76 In den darauffolgenden Jahren wurde das deutsche Datenschutzrecht maßgeblich weiterentwickelt und bekam durch das Volkszählungsurteil des Bundesverfassungsgerichts vom 15. Dezember 1983 ein erhebliches Mehrgewicht.77 Das Bundesverfassungsgericht äußerte sich anschließend in weiteren Entscheidungen zum Datenschutzrecht und bildet dieses bis dato fort.78
Konkret schuf das Bundesverfassungsgericht das Recht auf informationelle Selbstbestimmung und das Recht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme.79 Beide Rechtsfortbildungen werden dem allgemeinen Persönlichkeitsrecht aus Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG zugeordnet.80 Sie haben damit eine wesentliche verfassungsrechtliche Bedeutung und werden als Grundrechte eingestuft, die elementar für die freiheitliche Demokratie sind.81 Im Kern geht es bei beiden Grundrechten um die freie Entfaltung der Persönlichkeit, die insbesondere durch die Verarbeitung personenbezogener Daten gefährdet werden kann. Der Schutzbereich des Rechts auf informationelle Selbstbestimmung umfasst Informationen über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren Person mittels automatisierter Daten oder jede andere Form der Erhebung, Speicherung, Verwendung, Weitergabe oder Veröffentlichung von Daten und Information einer bestimmten oder bestimmbaren Person.82
Kerngedanke des deutschen Datenschutzrechts ist zusammengefasst die Privatsphäre des Einzelnen vor der Informationsmacht des Staates aber auch vor der Informationsmacht der Privatwirtschaft zu schützen. Die ersten Landesdatenschutzgesetze richteten sich jedoch nur an staatliche Stellen. Erst mit dem Bundesdatenschutzgesetz aus dem Jahr 1977 wurde der Geltungsbereich auf die Privatwirtschaft erweitert.83 Auch die vom Bundesverfassungsgericht geschaffenen Grundrechte sind zunächst klassische Abwehrrechte gegen den Staat, wobei diese aufgrund der mittelbaren Drittwirkung auch eine Schutzwirkung gegen Private entfalten. Geleitet wurde die Entwicklung des Datenschutzrechts in Deutschland von den grundlegenden Prinzipien der Erforderlichkeit, Zweckbindung, Transparenz, Datenminimierung und Kontrolle.84
Im internationalen Bereich gibt es diverse Rechtsquellen, in denen das Datenschutzrecht entwickelt wurde. So lassen sich mit Art. 7 GRCh, das Recht auf Privatleben, Art. 8 GRCh, das Recht auf Schutz personenbezogener Daten, und Art. 8 EMRK, das Recht auf Achtung des Privat- und Familienlebens, Normen mit datenschutzrechtlichen Bezügen in völkerrechtlichen Verträgen beziehungsweise im europäischen Primärrecht finden. Maßgeblich in der internationalen Entwicklung dürfte Art. 8 EMRK sein. Aus dieser Norm leitet der Europäische Gerichtshof für Menschenrechte seit 1970 Schutzrechte in Bezug auf personenbezogene Daten ab.85 1981 beschloss sodann der Europarat die Datenschutzkonvention86, die wiederum 1985 in Deutschland ratifiziert wurde87. Wesentlicher Inhalt ist gemäß Art. 1 Datenschutzkonvention die Sicherstellung des Rechts auf einen Persönlichkeitsbereich bei der automatisierten Verarbeitung personenbezogener Daten. Konkret werden bereits 1981 in Art. 5 Datenschutzkonvention die Datenschutzgrundsätze Rechtmäßigkeit, Zweckbindung, Erforderlichkeit und Richtigkeit benannt, die das Datenschutzrecht bis dato prägen.
Mit Inkrafttreten der Grundrechtscharta im Jahr 2009 entfaltete Art. 8 GRCh Rechtswirkung, wobei der EuGH schon wesentlich früher das Grundrecht auf Datenschutz materiell in seiner Rechtsprechung verwendete.88 Art. 8 GRCh dürfte fortan für das Datenschutzrecht wesentlich gewesen sein, da es sich hier um ein ausdrückliches Datenschutzgrundrecht handelt.89 Inhaltlich korrespondierend zu Art. 8 GRCh enthält Art. 16 AEUV ebenfalls datenschutzrechtliche Bestimmungen. Zudem schafft Art. 16 Abs. 1 S. 1 AEUV eine Gesetzgebungskompetenz für die Europäische Union,90 sodass auf dieser Grundlage ausdrücklich supranationale datenschutzrechtliche Regelungen erlassen werden können, auf denen letztendlich die DSGVO beruht. Vor Inkrafttreten der DSGVO waren im europäischen Sekundärrecht insbesondere die Datenschutz-Richtlinie91 und die ePrivacy-Richtlinie92