b) Vereinte Nationen
10
Auch die Vereinten Nationen haben sich der automatisierten Datenverarbeitung angenommen und 1985 einen ersten Richtlinienentwurf zum Datenschutz durch die UN-Menschenrechtskommission erarbeitet.38 1990 wurden die „Richtlinien zur Verarbeitung personenbezogener Daten in automatisierten Dateien“ verabschiedet.39 Sie enthalten allgemeine Empfehlungen für die Gestaltung des Datenschutzrechts unter Beachtung des Grundsatzes der Datenrichtigkeit, der Zweckbestimmung und der Beachtung der Rechte der Betroffenen40 im privaten und im öffentlichen Sektor. Wie bei den OECD-Leitlinien handelt es sich jedoch nicht um bindendes Völkerrecht, sodass sich keine Umsetzungspflicht für nationale Gesetzgeber ergibt.41
c) Europarat
11
Die erste völkerrechtlich verbindliche Normierung des Datenschutzrechts ist die Europäische Datenschutzkonvention,42 die 1981 verabschiedet, den Mitgliedstaaten zur Ratifizierung vorgelegt und 1985 mit der Verabschiedung des Ratifizierungsgesetzes43 in Deutschland geltendes Recht wurde. Mit Stand Dezember 2020 ist die Konvention von 55 Staaten ratifiziert worden.44 Sie regelt den Datenschutz bei der automatischen Verarbeitung personenbezogener Daten natürlicher Personen und enthält Prinzipien des Datenschutzes, wie den Grundsatz der rechtmäßigen Datenerhebung nach Treu und Glauben (Art. 5a), den Zweckbindungsgrundsatz der Datenerhebung und Verarbeitung (Art. 5b und 5c), den Grundsatz der richtigen Datenerhebung (Art. 5d), den Grundsatz der Anonymisierung (Art. 5e) sowie den Grundsatz der Datensicherheit (Art. 7). In Art. 12 werden zudem Regelungen zum grenzüberschreitenden Datenverkehr getroffen.
3. Datenschutzrichtlinie
12
Noch Anfang der 1990er Jahre differierte das Datenschutzniveau innerhalb der Union erheblich und wurde damit ein Hindernis für den innereuropäischen Handel.45 Dies war Anlass für den europäischen Gesetzgeber, den Schutz personenbezogener Daten in der DSRl46 zu normieren.47 In der Folge haben die Mitgliedstaaten nationale Umsetzungsgesetze erlassen und so jedenfalls theoretisch einen europäischen Informationsbinnenmarkt mit einem einheitlichen Datenschutzniveau geschaffen (siehe Art. 1 Rn. 50ff.). Praktisch divergierte das Schutzniveau innerhalb der Union dennoch stark. Begründet war das neben der unterschiedlichen Ausgestaltung des Datenschutzrechts in den nationalen Datenschutzgesetzen insbesondere in der teils erheblich divergierenden Auslegung und Durchsetzungspraxis.
13
Die DSRl sollte in einem Rechtsakt die Grundsätze zum Schutz personenbezogener Daten zusammenzufassen und damit die Grundlage der Normierung des Datenschutzrechts in den Mitgliedstaaten schaffen,48 um das Datenschutzrecht auf möglichst hohem Niveau in der Union zu vereinheitlichen.49 Die DSRl knüpfte dafür an die Grundsätze des Datenschutzes nach der Datenschutzkonvention des Europarates an50 und ordnete in ErwG 10 an, dass ihre Umsetzung nicht zu einer Absenkung des Schutzniveaus in den Mitgliedstaaten führen darf. Die DSRl strebte eine umfassende, aber nicht lückenlose Harmonisierung des Datenschutzrechts in der Union an und den Abbau rechtlicher Hindernisse für den freien Datenverkehr (ErwG 7).51 Die Normierung des Datenschutzrechts erfolgte in Ergänzung zur DSRl auf europäischer Ebene durch weitere Richtlinien, wie die ePrivacy-Richtlinie,52 die Richtlinie über die Vorratsdatenspeicherung53 und die Cookie-Richtlinie.54
4. Bundesdatenschutzgesetz 1977–2018
14
Schon lange vor Erlass der DSRl im Jahr 1995 war das Datenschutzrecht in Deutschland durch das BDSG a.F. und Datenschutzgesetze der Länder geregelt (siehe Rn. 4ff.). Das BDSG a.F. wurde 1977 verabschiedet und in drei Novellen wesentlich überarbeitet. Das Gesetz zur Fortentwicklung der Datenverarbeitung und des Datenschutzes55 aus dem Jahr 1990 entwickelte das BDSG auf der Basis des verfassungsrechtlichen Meilensteins des Datenschutzrechts,56 dem Volkszählungsurteil des Bundesverfassungsgerichts,57 weiter (zum Volkszählungsurteil siehe Art. 1 Rn. 25f.). Der Schwerpunkt lag hierbei auf der Überarbeitung der Regelungen des Datenschutzes im öffentlichen Bereich.58
15
Die zweite Überarbeitung des BDSG erfolgte im Jahr 2001 durch das Gesetz zur Änderung des Bundesdatenschutzgesetzes und anderer Gesetze,59 in dem der Gesetzgeber die Anforderungen der DSRl in deutsches Recht umsetzte.60 Dabei wurde aber im Grundsatz die Konzeption des BDSG a.F. beibehalten, sodass es auch relevante Unterschiede zur Konzeption des Datenschutzrechts in der DSRl gab, unter anderem die in der DSRl fehlende Differenzierung zwischen der Datenverarbeitung durch öffentliche und nichtöffentliche Stellen. Anders als das BDSG a.F. differenziert die DSRl auch nicht zwischen der verwendeten Technologie und erfasst automatisierte und nicht automatisierte Verarbeitung im gleichen Maße wie das BDSG a.F.61
16
Die Umsetzung der DSRl war gemäß Art. 32 Abs. 1 DSRl bis zum 24.10.1998 vorzunehmen. In Deutschland zog sie sich jedoch in die Länge und erfolgte im Jahr 2001, zweieinhalb Jahre nach Ablauf der Umsetzungsfrist und erst nach der Einleitung eines Vertragsverletzungsverfahrens durch die Europäische Kommission.62 Das war zum einen bedingt durch das Ende der Legislaturperiode, zum anderen durch die Forderung nach einer grundlegenden Modernisierung des Datenschutzrechts.63 Bei der Umsetzung beschränkte sich der Gesetzgeber dann nicht zuletzt aufgrund des Zeitdrucks weitgehend auf die Umsetzung der DSRl.64 Es wurden hierbei aber auch Grundsätze eines modernen Datenschutzrechts mit Elementen ökonomischer Anreize eingeführt, wie die Prinzipien der Datenvermeidung und der Datensparsamkeit (§ 3a BDSG), des Datenschutzes durch Technik oder eines Datenschutzaudits (§ 9a BDSG).65 Zur grundlegenden Reform des BDSG a.F. kam es im Rahmen der Umsetzung der DSRl durch das Gesetz zur Änderung des Bundesdatenschutzgesetzes und anderer Gesetze66 jedoch nicht. Die Forderung nach einer umfassenderen Modernisierung des Datenschutzrechts blieb bestehen.67
17
Zuletzt wurde das BDSG a.F. 2009 durch drei Reformgesetze geändert.68 Die sog. BDSG-Novelle I69 erfolgte durch das Gesetz zur Änderung des Bundesdatenschutzgesetzes vom 29.7.2009.70 Sie trat zum 1.4.2010 in Kraft und befasst sich mit Scoring, Rating und dem Recht der Auskunfteien. Die Novelle brachte Neuerungen des Datenschutzrechts insbesondere in vier Bereichen; so wurden Mitteilungs- und Erklärungspflichten bei automatisierten Einzelentscheidungen, Zulässigkeitsregeln für Scoring-Verfahren sowie die Übermittlung von Daten an Auskunfteien und Auskunftspflichten in Bezug auf Scoringwerte neu geregelt.71 Die zweite Novellierung des BDSG72 im Jahr 2009 erfolgte durch das Gesetz zur Änderung datenschutzrechtlicher Vorschriften vom 14.8.2009.73 Sie trat in ihren wesentlichen Teilen zum 1.9.2009 in Kraft, in den durch Art. 5 des Änderungsgesetzes benannten Ausnahmen hingegen erst mit Wirkung zum 1.4.2010.
18
Durch die BDSG-Novelle II sollten ursprünglich die Voraussetzungen zur Durchführung eines freiwilligen Datenschutzaudits gemäß § 9a BDSG a.F. durch ein Datenschutzauditgesetz74 geschaffen werden. Hiervon wurde im Laufe des Gesetzgebungsverfahrens aber Abstand genommen. Die BDSG-Novelle II brachte jedoch Veränderungen für das sog. Listenprivileg gemäß § 28 Abs. 3 Sätze 2–5 BDSG a.F.,75 die Auftragsdatenverarbeitung gemäß § 11 BDSG a.F.76 sowie eine Erhöhung des Bußgeldrahmens für Datenschutzverstöße gemäß