• Rechtmäßigkeit der Verarbeitung,
• Verarbeitung nach Treu und Glauben,
• Transparenz,
• Zweckbindung,
• Datenminimierung,
• Richtigkeit,
• Speicherbegrenzung beziehungsweise Erforderlichkeit sowie
• Integrität und Vertraulichkeit.
3.1.2. Personenbezogenes Datum
Elementar für die Anwendung des Datenschutzrechts ist die Definition des Begriffs personenbezogenes Datum. Denn hierüber wird sowohl der sachliche Anwendungsbereich der DSGVO gemäß Art. 2 Abs. 1 DSGVO definiert als auch die Betroffenheit des Schutzbereichs des Grundrechts auf informationelle Selbstbestimmung nach Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG sowie den vergleichbaren Grundrechten auf supranationaler oder völkerrechtlicher Ebene. Art. 4 Nr. 1 DSGVO enthält eine Legaldefinition. Demnach sind personenbezogene Daten alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Neben diesem Auszug wird in Art. 4 Nr. 1 DSGVO weiter konkretisiert, wann eine natürliche Person als identifizierbar angesehen wird. Diese Definition ist sehr weit gefasst und hat einen niedrigschwelligen Ansatz.95 So sind zunächst nahezu alle Informationen grundsätzlich erfasst, auch wenn sie nicht unmittelbar beziehungsweise keinen offensichtlichen Bezug zu einer Person haben.96 Demnach gibt es kein belangloses Datum.97 Einzig absolute Sachdaten wie die Einwohnerzahl einer Stadt, sind hiervon nicht erfasst.98 Im nationalen Kontext wird eine vergleichbare Definition verwendet. Hiernach umfasst das Grundrecht auf informationelle Selbstbestimmung jede Verarbeitung von persönlichen, das heißt individualisierten oder individualisierbaren Informationen.99
Vorliegend dürften insbesondere Online-Kennungen von Relevanz sein. Online-Kennungen sind beispielsweise IP- und MAC-Adressen oder auch Cookie-IDs. Dies sind zwar keine Daten, mit denen Personen stets identifiziert werden können, jedoch ermöglichen sie die Identifizierbarkeit, sobald weitere Informationen zur Verfügung stehen und diese den personenbezogenen Daten und damit natürlichen Personen zugeordnet werden.100 Diese Auffassung folgt der relativen Betrachtungsweise des Personenbezugs mit objektiven Elementen.101
Ein Großteil der Informationen, die im Internet technisch ausgetauscht oder erhoben werden, sind als personenbezogene Daten im datenschutzrechtlichen Sinne einzustufen.
3.1.3. Zwischenergebnis
Die nationale und europäische Entwicklung zeigt, dass das Datenschutzrecht erhebliche Schutzziele verfolgt. Dennoch muss festgestellt werden, dass die technischen Entwicklungen so rasant voranschreiten, dass das Recht stets unter Reflexion der technischen Neuerungen angepasst werden muss. Ungeachtet dessen sind die zentralen Aspekte des Datenschutzrechts sowohl vom Gesetzgeber als auch von der Rechtsprechung anerkannt und bilden damit seit Entstehung des Datenschutzrechts die Grundlage für die Rechtsanwendung und -fortentwicklung.
75 Simitis, Hornung, Spiecker, Datenschutzrecht, Einleitung Rn. 1 ff. 76 Simitis, Hornung, Spiecker, Datenschutzrecht, Einleitung Rn. 9 f. 77 BVerfGE 65, 1. 78 BVerfGE 100, 313; BVerfGE 115, 320; BVerfGE 120, 274; BVerfGE 125, 260. 79 Schmidt in: Taeger, Gabel, DSGVO – BDSG, Art. 1 DSGVO Rn. 25 ff. 80 Bretthauer in: Specht, Mantz, Handbuch Europäisches und deutsches Datenschutzrecht, § 2 Rn. 4 ff. 81 Simitis, Hornung, Spiecker, Datenschutzrecht, Einleitung Rn. 31. 82 Dreier in: Dreier, Bauer, Grundgesetz, Art. 2 I Rn. 79 ff. 83 Kitzinger in: Schläger, Thode, Handbuch Datenschutz und IT-Sicherheit, Teil A Nr. 1.1 Rn. 26 f. 84 Bretthauer in: Specht, Mantz, Handbuch Europäisches und deutsches Datenschutzrecht, § 2 Rn. 47. 85 Albrecht, Jotzo, Das neue Datenschutzrecht, Teil 1 Rn. 1. 86 Übereinkommen zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten (Konvention Nr. 108). 87 BGBl. 1985 II 539. 88 Schiedermair in: Simitis, Hornung, Spiecker, Datenschutzrecht, Einleitung Rn. 169. 89 Kitzinger in: Schläger, Thode, Handbuch Datenschutz und IT-Sicherheit, Teil A Nr. 1.1 Rn. 38. 90 Kingreen in: Calliess, Ruffert, EUV / AEUV, AEUV, Art. 16 Rn. 4. 91 Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr vom 24. Oktober 1995 (EG-DSRL). 92 Richtlinie 2002/58/EG über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation vom 12. Juli 2002 (ePrivacy-Richtlinie). 93 Kitzinger in: Schläger, Thode, Handbuch Datenschutz und IT-Sicherheit, Teil A Nr. 1.1 Rn. 49. 94 Hornung, Spiecker in: Simitis, Hornung, Spiecker, Datenschutzrecht, Einleitung Rn. 212 f. 95 Eßer in: Auernhammer, DSGVO BDSG, Art. 4 DSGVO Rn. 7. 96 Mantz, Marosi in: Specht, Mantz, Handbuch Europäisches und deutsches Datenschutzrecht, § 3 Rn. 11. 97 BVerfGE 65, 1, 45. 98 Eßer in: Auernhammer, DSGVO BDSG, Art. 4 DSGVO Rn. 9. 99 Di Fabio in: Maunz, Dürig, Grundgesetz-Kommentar, Art. 2 Rn. 176. 100 Arning, Rothkegel in: Taeger, Gabel, DSGVO – BDSG, Art. 4 DSGVO Rn. 27 oder auch Karg in: Simitis, Hornung, Spiecker, Datenschutzrecht, Art. 4 Nr. 1 Rn. 57. 101 Arning, Rothkegel in: Taeger, Gabel, DSGVO – BDSG, Art. 4 DSGVO Rn. 34 f.
3.2. Rechtsgrundlagen für die Datenverarbeitung
Wie oben skizziert bestehen im Datenschutzrecht unterschiedliche Rechtsgrundlagen. Daher ist zu klären, welche Rechtgrundlagen grundsätzlich