39,99 €
Mehr erfahren.
- Herausgeber: Schäffer Poeschel
- Kategorie: Fachliteratur
- Sprache: Deutsch
Ob in Kanzleien, Unternehmen oder der öffentlichen Verwaltung – rechtliche Fragestellungen im digitalen Umfeld sind allgegenwärtig. Wer mit Daten arbeitet, benötigt daher ein solides Verständnis für die Grundstrukturen dieses Rechtsgebiets. Das Buch bietet einen praxisnahen und zugleich effizienten Einstieg: In 36 Fällen werden die zentralen Prinzipien des Datenschutz- und IT-Rechts anschaulich erläutert. Jedes Kapitel beginnt mit einer kompakten Einführung, die die rechtlichen Grundlagen und Zusammenhänge strukturiert darstellt. Im Anschluss werden diese anhand konkreter Fallgestaltungen vertieft und systematisch gelöst. So wird sichtbar, wie sich abstrakte Normen auf praktische Sachverhalte anwenden lassen. Ein besonderer Schwerpunkt liegt auf der methodischen Herangehensweise. Gerade in einem Rechtsgebiet, das von technischen Entwicklungen und ständigen Neuerungen geprägt ist, ist es entscheidend, die dogmatischen Grundlagen sicher zu beherrschen. Das Buch vermittelt dafür die nötigen Werkzeuge – verständlich, systematisch und fallorientiert. Die dargestellten Fälle verstehen sich dabei nicht als abschließende Lösungen, sondern als Anregung zur eigenen Auseinandersetzung mit den Herausforderungen des digitalen Rechts. Das Buch erleichtert den Einstieg in das IT- und Datenschutzrecht und unterstützt auch diejenigen, die ihr Wissen auffrischen oder erweitern möchten.
Das E-Book können Sie in Legimi-Apps oder einer beliebigen App lesen, die das folgende Format unterstützen:
Seitenzahl: 327
Veröffentlichungsjahr: 2025
Ähnliche
Inhaltsverzeichnis
InhaltsverzeichnisHinweis zum UrheberrechtmyBook+ImpressumVorwortAbkürzungsverzeichnisTeil 1: Datenschutzrecht1 Grundlagen des Datenschutzrechts1.1 Datenschutzrecht und informationelle Selbstbestimmung1.2 Rechtsquellen und Anwendungsbereiche1.3 Grundsätze der DSGVO2 Rechtsgrundlagen2.1 Rechtsgrundlage der Einwilligung2.2 Rechtsgrundlagen Vertragserfüllung, Rechtliche Verpflichtung2.3 Berechtigtes Interesse, Subsidiarität2.4 Besondere Kategorien personenbezogener Daten3 Datenschutzrechtliche Verantwortlichkeit3.1 Verantwortlichkeit und Auftragsverarbeitung3.2 Datenübertragung in Drittländer4 Rechte betroffener Personen4.1 Auslegung und Abgrenzung von Anfragen4.2 Speicherbegrenzung und Löschbegehren5 Datenschutzorganisation5.1 Datenschutzbeauftragter5.2 Abgrenzung zur Datensicherheit5.3 Technische und organisatorische Maßnahmen5.4 Dokumentationspflichten und Risikoprävention5.5 Beschäftigtendatenschutz6 Behördliche Aufsicht, Sanktionen und Zugang zu öffentlichen Daten6.1 Datenschutzrechtliche Aufsicht und individueller Schadensersatz6.2 Daten- und IT-Strafrecht6.3 Informationsfreiheit und DatenrechtTeil 2: IT-Recht1 Schutzrechte an Software1.1 Geistiges Eigentum an Software1.2 Urheberrecht und Schutzumfang1.3 Namensrechte und Domainrecht1.4 Open Source Software, Freeware, Shareware2 IT-Verträge2.1 Vertragstypologie, EVB-IT2.2 Erstellung von Software2.3 Cloud Computing2.4 Internationale IT-Verträge2.5 Zivilprozessuale Besonderheiten3 Verbraucherschutz, Internetrecht, Marktregulierung3.1 Verträge über digitale Produkte3.2 Rechtsverletzungen im Internet3.3 Providerhaftung3.4 Anforderungen an Webseiten und medienrechtliche Bezüge3.5 Die Regulierung großer Plattformen4 Das Recht neuer Technologien4.1 Künstliche Intelligenz − Teil 14.2 Künstliche Intelligenz − Teil 24.3 Blockchain, NFTs, Smart ContractsSchlussbemerkungLiteraturverzeichnisDer AutorIhre Online-Inhalte zum Buch: Exklusiv für Buchkäuferinnen und Buchkäufer!StichwortverzeichnisBuchnavigation
InhaltsubersichtCoverTextanfangImpressumHinweis zum Urheberrecht
Alle Inhalte dieses eBooks sind urheberrechtlich geschützt.
Bitte respektieren Sie die Rechte der Autorinnen und Autoren, indem sie keine ungenehmigten Kopien in Umlauf bringen.
Dafür vielen Dank!
myBook+
Ihr Portal für alle Online-Materialien zum Buch!
Arbeitshilfen, die über ein normales Buch hinaus eine digitale Dimension eröffnen. Je nach Thema Vorlagen, Informationsgrafiken, Tutorials, Videos oder speziell entwickelte Rechner – all das bietet Ihnen die Plattform myBook+.
Ein neues Leseerlebnis
Lesen Sie Ihr Buch online im Browser – geräteunabhängig und ohne Download!
Und so einfach geht’s:
Gehen Sie auf https://mybookplus.de, registrieren Sie sich und geben Sie Ihren Buchcode ein, um auf die Online-Materialien Ihres Buches zu gelangen
Ihren individuellen Buchcode finden Sie am Buchende
Wir wünschen Ihnen viel Spaß mit myBook+ !
Bibliografische Information der Deutschen Nationalbibliothek
Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie; detaillierte bibliografische Daten sind im Internet über http://dnb.dnb.de abrufbar.
Print:
ISBN 978-3-7910-6792-6
Bestell-Nr. 17221-0001
ePub:
ISBN 978-3-7910-6793-3
Bestell-Nr. 17221-0100
ePDF:
ISBN 978-3-7910-6794-0
Bestell-Nr. 17221-0150
Christian Herles
Datenschutz- und IT-Recht
1. Auflage, November 2025
© 2025 Schäffer-Poeschel Verlag für Wirtschaft · Steuern · Recht GmbH
Breitscheidstr. 10, 70174 Stuttgart
www.schaeffer-poeschel.de | [email protected]
Bildnachweis (Cover): © bgblue, iStock
Produktmanagement: Anna Pietras
Dieses Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Alle Rechte, insbesondere die der Vervielfältigung, des auszugsweisen Nachdrucks, der Übersetzung und der Einspeicherung und Verarbeitung in elektronischen Systemen, vorbehalten. Der Verlag behält sich auch eine Nutzung des Werks für Text und Data Mining im Sinne von § 44b UrhG vor. Alle Angaben/Daten nach bestem Wissen, jedoch ohne Gewähr für Vollständigkeit und Richtigkeit.
Schäffer-Poeschel Verlag Stuttgart Ein Unternehmen der Haufe Group SE
Sofern diese Publikation ein ergänzendes Online-Angebot beinhaltet, stehen die Inhalte für 12 Monate nach Einstellen bzw. Abverkauf des Buches, mindestens aber für zwei Jahre nach Erscheinen des Buches, online zur Verfügung. Ein Anspruch auf Nutzung darüber hinaus besteht nicht.
Sollte dieses Buch bzw. das Online-Angebot Links auf Webseiten Dritter enthalten, so übernehmen wir für deren Inhalte und die Verfügbarkeit keine Haftung. Wir machen uns diese Inhalte nicht zu eigen und verweisen lediglich auf deren Stand zum Zeitpunkt der Erstveröffentlichung.
Für meine Tochter Julia
Vorwort
Digitalisierung und Datenverarbeitung finden in sämtlichen juristischen Berufsfeldern statt. Ein Grundverständnis für das Datenschutz- und IT-Recht benötigt daher jede Rechtsanwenderin und jeder Rechtsanwender. Zudem wird das Datenschutz- und IT-Recht als Spezialisierung in Unternehmen, Kanzleien und Verwaltung immer verbreiteter.
Auch wenn das Datenschutz- und IT-Recht eine komplexe Materie darstellt, folgt es − wie jedes Rechtsgebiet − bestimmten Grundsätzen. Diese Grundsätze zu verstehen, ist essenziell für die Bearbeitung rechtlicher Fragestellungen in der Praxis. Ein solides Basiswissen hilft, die Struktur und Systematik des Rechts zu durchdringen und auf konkrete Fälle anzuwenden. Gerade im Datenschutz- und IT-Recht, wo rechtliche Grundlagen von technologischen Entwicklungen überholt werden, ist eine klare methodische Herangehensweise entscheidend.
Um den Einstieg in dieses Rechtsgebiet zu erleichtern, beginnt jedes Kapitel mit einer kurzen Einführung. Diese dient dazu, zentrale Prinzipien und Zusammenhänge darzustellen, bevor sie anhand konkreter Fallgestaltungen vertieft werden. Ein besonderer Schwerpunkt dieses Buchs liegt auf der Veranschaulichung am Fall, da sich die Rechtsanwendung am besten durch praxisnahe Beispiele erlernen lässt.
Juristische Arbeit bedeutet stets, theoretische Normen auf konkrete Sachverhalte anzuwenden. Daher werden in diesem Buch fiktive Fälle vorgestellt, die die Herausforderungen des Datenschutz- und IT-Rechts greifbar machen. Dabei ist jede Falllösung allein als Vorschlag und vom Autor vertretener Ansatz zu verstehen.
Dieses Buch soll sowohl den Einstieg in das Datenschutz- und IT-Recht erleichtern als auch diejenigen unterstützen, die ihr Wissen in diesem Bereich auffrischen möchten. Die thematischen Abhandlungen sind dabei selbstredend nicht abschließend, sondern stehen vielmehr exemplarisch für Rechtsfragen im digitalen Zeitalter.
München, im Sommer 2025
Christian Herles
Abkürzungsverzeichnis
AES
Advanced Encryption Standard
AG
Aktiengesellschaft (Gesellschaftsrecht) / Amtsgericht (Fundstelle)
AGB
Allgemeine Geschäftsbedingungen
AGG
Allgemeines Gleichbehandlungsgesetz
AI
Artificial Intelligence
AIaaS
AI as a Service
API
Application Programming Interface
APR
Allgemeines Persönlichkeitsrecht
ARGE
Arbeitsgemeinschaft
ASOG Berlin
Allgemeines Gesetz zum Schutz der öffentlichen Sicherheit und Ordnung in Berlin
ASP
Application Service Provider
AVV
Auftragsverarbeitungsvereinbarung
Az
Aktenzeichen
BAG
Bundesarbeitsgericht
BayHO
Bayerische Haushaltsordnung
BayITR
IT-Richtlinien für die bayerische Staatsverwaltung
BBDI
Berliner Beauftragte(r) für Datenschutz und Informationsfreiheit
BCR
Binding Corporate Rules
Bd.
Band
BDSG
Bundesdatenschutzgesetz
BFH
Bundesfinanzhof
BFSG
Barrierefreiheitsstärkungsgesetz
BGB
Bürgerliches Gesetzbuch
BGBl.
Bundesgesetzblatt
BGH
Bundesgerichtshof
BKartA
Bundeskartellamt
BImSchG
Bundes-Immissionsschutzgesetz
BSI
Bundesamt für Sicherheit in der Informationstechnik
BVerfG
Bundesverfassungsgericht
B2B
Business to Business (Geschäftskunden)
B2C
Business to Consumer (Privatkunden)
CE
Communauté Européenne
CFO
Chief Financial Officer
CISG
United Nations Convention on Contracts for the International Sale of Goods
COM
Vorschlag oder Mitteilung der Europäischen Kommission
CR
Computer und Recht (Zeitschrift)
CRM
Customer Relationship Management
C5
Cloud Computing Compliance Criteria Catalogue
DA
Data Act
DDG
Digitale-Dienste-Gesetz
DENIC
Deutsches Network Information Center
DGA
Data Governance Act
DiGA
Digitale Gesundheits-App
DIN
Deutsches Institut für Normung
DMA
Digital Markets Act
DNG
Datennutzungsgesetz
DPF
Data Privacy Framework
DPRC
Data Protection Review Court
DSA
Digital Services Act
DSB
Datenschutzbeauftragter / Datenschutz-Berater (Zeitschrift)
DSFA
Datenschutzfolgenabschätzung
DSGVO
Datenschutzgrundverordnung
DSK
Datenschutzkonferenz
DSRITB
Tagungsband Deutsche Stiftung für Recht und Informatik (Zeitschrift)
EDSA
Europäischer Datenschutzausschuss
eIDAS
electronic Identification, Authentication and trust Services (EU-Verordnung)
Einl.
Einleitung
EMRK
Europäische Menschenrechtskonvention
etc.
et cetera
EU
Europäische Union
EuGH
Europäischer Gerichtshof
EUGrCh
Charta der Grundrechte der Europäischen Union
EuGVVO
Europäische Verordnung über die gerichtliche Zuständigkeit und die Anerkennung und Vollstreckung von Entscheidungen in Zivil- und Handelssachen
EUIPO
Amt der Europäischen Union für geistiges Eigentum
EuZW
Europäische Zeitschrift für Wirtschaftsrecht
EVB-IT
Ergänzende Vertragsbedingungen für die Beschaffung von IT-Leistungen
EWR
Europäischer Wirtschaftsraum
E2EE
End-to-End-Encryption
f./ff.
folgende/fortfolgende
FSF
Free Software Foundation
GDNG
Gesundheitsdatennutzungsgesetz
GeschGehG
Gesetz zum Schutz von Geschäftsgeheimnissen
GewO
Gewerbeordnung
GG
Grundgesetz
GmbH
Gesellschaft mit beschränkter Haftung
GRUR
Gewerblicher Rechtsschutz und Urheberrecht (Zeitschrift)
GWB
Gesetz gegen Wettbewerbsbeschränkungen
HessBfDI
Der Hessische Beauftragte für Datenschutz und Informationsfreiheit
HGB
Handelsgesetzbuch
h. M.
herrschende Meinung
HR
Human Resources
IaaS
Infrastructure as a Service
IEC
Internationale Elektrotechnische Kommission
IFG
Informationsfreiheitsgesetz
IoT
Internet of Things
IP
Intellectual Property
IPR
Internationales Privatrecht
ISMS
Informationssicherheits-Managementsystem
ISO
International Organization for Standardization
ISP
Internet-Service-Provider
i. S. d.
im Sinne der/des
i. S. v.
im Sinne von
i. V. m.
in Verbindung mit
ITRB
IT-Rechtsberater (Zeitschrift)
IWG
Informationsweiterverwendungsgesetz
JuS
Juristische Schulung (Zeitschrift)
Kap.
Kapitel
KI
Künstliche Intelligenz
KIR
Künstliche Intelligenz und Recht (Zeitschrift)
KRITIS
Kritische Infrastrukturen
K&R
Kommunikation & Recht (Zeitschrift)
LAG
Landesarbeitsgericht
LG
Landgericht
M&A
Mergers & Acquisitions
MarkenG
Markengesetz
MiCAR
Markets in Crypto-Assets Regulation
MMR
Multimedia und Recht (Zeitschrift)
MStV
Medienstaatsvertrag
NDA
Non-Disclosure Agreement
NetzDG
Netzdurchsetzungsgesetz
NFT
Non-Fungible Token
NIS2
Network and Information Security Directive 2
NJW
Neue Juristische Wochenschrift
Nr.
Nummer
NZA
Neue Zeitschrift für Arbeitsrecht
OEM
Original Equipment Manufacturer
OLG
Oberlandesgericht
OSS
Open-Source-Software
PaaS
Platform as a Service
PatG
Patentgesetz
PinG
Privacy in Germany (Zeitschrift)
PO
Product Owner
ProdHaftG
Produkthaftungsgesetz
PVS
Praxisverwaltungssystem
P2B-VO
Platform-to-Business-Verordnung
P2P
Peer-to-Peer-Netzwerk
RDi
Recht Digital (Zeitschrift)
RDV
Recht der Datenverarbeitung (Zeitschrift)
Rn.
Randnummer
Rspr.
Rechtsprechung
qeS
qualifizierte elektronische Signatur
S.
Satz/Seite
SaaS
Software as a Service
SCC
Standard Contractual Clauses
SGB
Sozialgesetzbuch
SLA
Service Level Agreement
StGB
Strafgesetzbuch
StPO
Strafprozessordnung
str.
strittig
SVO
Sachverständigenordnung (Muster)
TDDDG
Gesetz über den Datenschutz und den Schutz der Privatsphäre in der Telekommunikation und bei digitalen Diensten
TIA
Transfer Impact Assessment
TLS
Transport Layer Security
TMG
Telemediengesetz
TOM
Technische und organisatorische Maßnahmen
TTDSG
Telekommunikations-Telemedien-Datenschutz-Gesetz
UK
United Kingdom
UNCITRAL
United Nations Commission on International Trade Law
UrhG
Urhebergesetz
USA
United States of America
UWG
Gesetz gegen den unlauteren Wettbewerb
Var.
Variante
VFX
Visual Effects
VLOP
Very Large Online Platform
VLOSE
Very Large Online Search Engines
VPN
Virtual Private Network
VuR
Verbraucher und Recht (Zeitschrift)
VV
Verwaltungsvorschrift
VVZ
Verfahrensverzeichnis
VwVfG
Verwaltungsverfahrensgesetz
z. B.
zum Beispiel
ZD
Zeitschrift für Datenschutz
ZGI
Zeitschrift für das gesamte Informationsrecht
ZJS
Zeitschrift für das juristische Studium
ZPO
Zivilprozessordnung
ZUM
Zeitschrift für Urheber- und Medienrecht
Teil 1: Datenschutzrecht
1 Grundlagen des Datenschutzrechts
1.1 Datenschutzrecht und informationelle Selbstbestimmung
Zentrale Inhalte
Verfassungsrechtliche Grundlagen des Datenschutzes
Grundrechtlicher Schutzumfang
Abwägung von Rechtsgütern
Der rechtliche Umgang mit Daten ist in einer Vielzahl von Normen geregelt, wobei die EU-Datenschutz-Grundverordnung die zentrale Kodifizierung im Umgang mit personenbezogenen Daten darstellt. Bevor auf die Grundsätze des Datenschutzrechts auf einfachgesetzlicher und EU-sekundärrechtlicher Ebene in den folgenden Abschnitten eingegangen wird, lohnt sich ein Blick auf die verfassungsrechtlichen Grundlagen des Datenschutzrechts.
Dass die Herrschaft über die eigenen Daten grundrechtlich geschützt ist, wurde bereits mit dem Volkszählungsurteil von 1983 durch das BVerfG klargestellt (BVerfG NJW 1984, 419). Dabei stellte das Bundesverfassungsgericht im Übrigen nicht nur auf eine Datenbegrenzung ab, sondern auf die positive Freiheit des Einzelnen, über seine Daten zu entscheiden. Aus der Menschenwürde und der allgemeinen Handlungsfreiheit wurde ein Grundrecht auf informationelle SelbstbestimmungInformationelles Selbstbestimmungsrecht abgeleitet (Art. 1 I i. V. m. 2 I GG). Es kann als besondere Ausprägung des allgemeinen PersönlichkeitsrechtsAllgemeines Persönlichkeitsrecht angesehen werden. Das BVerfG hat das Recht auf informationelle Selbstbestimmung später weiter konkretisiert, insbesondere mit dem Urteil zur Online-Durchsuchung (BVerfG NJW 2008, 822), in dem es das Grundrecht auf Vertraulichkeit und Integrität informationstechnischer SystemeVertraulichkeit und Integrität informationstechnischer Systeme eingeführt hat.
Auch im internationalen Grund- und Menschenrechtsschutz finden sich entsprechende Rechte. In Art. 8 der Europäischen Menschenrechtskonvention (EMRK) sowie in Art. 8 der Europäischen Grundrechtecharta (GRCh) findet sich etwa ein Recht auf Privatsphäre, das auch im digitalen Raum Bestand hat.
Dieser Grund- und Menschenrechtsschutz wird durch die jeweiligen Gesetzgeber (auf EU-, Bundes- und Landesebene) ausgestaltet.1 Dabei ist nicht nur der primäre Schutzzweck als Abwehrrecht gegen das Handeln staatlicher Institutionen selbst zu berücksichtigen. Die Mehrheit der Anwendungsfälle im Datenschutzrecht dreht sich um den Schutz personenbezogener Daten gegenüber nichtstaatlichen Stellen. Hier kommt dem Staat eine Schutzpflicht zu. Gesetzgeber und Gerichte haben die Bedeutung des informationellen Selbstbestimmungsrechts auch bei der Regelung von privaten Rechtsverhältnissen zu beachten.
Neben dem Schutz der Daten natürlicher Personen besteht auch ein großes Bedürfnis, nicht personenbezogene Wirtschaftsdaten (z. B. Know-how oder Finanzdaten) hinreichend zu schützen. Auch hier können grundrechtliche Positionen wie das Eigentum (Art. 14 GG) und der durch die Berufsfreiheit nach Art. 12 GG geschützte Gewerbebetrieb einschlägig sein (BVerfG MMR 2006, 375). Gemeinhin ist unter dem Datenschutzrecht aber der Schutz personenbezogener Daten gemeint, wie es dem Anwendungsbereich der DSGVO entspricht.
Der folgende Beispielsfall soll das Verhältnis der unterschiedlichen Rechtsebenen im Datenschutz und den Einfluss des grundrechtlichen Schutzes aufzeigen.
Übungsfall 1 − Ein feuriger Fan
Sachverhalt
Fußballfan F ist glühender Anhänger des Zweitliga-Fußballvereines (V) in Berlin. Die Fans des V pflegen eine traditionelle Rivalität zum örtlichen Fußballverein des Nachbarbezirks. Während der Derbys zwischen beiden Vereinen kommt es regelmäßig zu Fanausschreitungen. In der Woche vor dem anstehenden nächsten Derby wird F bei einer Personenkontrolle am Hauptbahnhof von der Polizei kontrolliert und durchsucht. Dabei werden mehrere illegale Feuerwerkskörper (sog. »Bengalos«) sichergestellt und ein Ermittlungsverfahren wegen Verstoßes gegen das Sprengstoffgesetz eingeleitet. F ist dem sog. szenekundigen Beamten (SKB) bestens bekannt, da er in der Vergangenheit bereits wegen Gewalttaten im Vorfeld von Spielen des V aufgefallen war. Die Polizei entschließt sich zwar nicht dazu, im Hinblick auf das anstehende Derby eigene präventive Maßnahmen gegen F einzuleiten. Jedoch übermittelt die Polizei der Geschäftsstelle sowie dem Fanbeauftragten des V eine Nachricht und »regt an«, ein Stadionverbot auszusprechen. Tatsächlich hatte F ein Ticket erworben, wie V durch Datenabgleich erkennen kann. Noch vor dem Spiel erhält F daher per Post eine »Stornierung« des Tickets mit dem Hinweis, dass V von seinem Hausrecht Gebrauch mache und F ein Stadionverbot für das anstehende Wochenende erhalte. Dabei bezieht sich V ausdrücklich auf polizeiliche Erkenntnisse im Zusammenhang mit einem befürchteten Verstoß gegen die Stadionregeln zum Einsatz von Pyrotechnik.
F sieht seine Grundrechte durch das Vorgehen der Polizei verletzt. Es könne zudem nicht sein, dass V derart rechtswidrig erlangte Daten für ein Stadionverbot nutze. Hat er Recht?
Hinweise:
§ 45 Allgemeines Sicherheits- und Ordnungsgesetz (ASOG Berlin) gestattet der Polizei eine Datenweitergabe an nicht öffentliche Stellen unter anderem dann, wenn dies zur Erfüllung polizeilicher Aufgaben oder zur Abwehr erheblicher Nachteile für das Gemeinwohl erforderlich ist.
Auf polizeiinterne Datenbanken (etwa die »Datei Gewalttäter Sport«) ist nicht einzugehen.
Lösungsvorschlag
I. Rechtmäßigkeit der Datenweitergabe durch die Polizei
1. Polizeirechtliches Erheben und Verarbeiten der Daten
Die Polizei hat im vorliegenden Fall Daten des F zunächst erhoben. Dies erfolgte sowohl aufgrund präventiver Gefahrenabwehrmaßnahmen (Personenkontrolle, Durchsuchung, Sicherstellung der Bengalos) als auch im Rahmen strafprozessualer Maßnahmen (Ermittlungsverfahren wegen Verstoßes gegen das Sprengstoffgesetz).
Für die Weitergabe der Daten an V benötigt die Polizei jedoch eine eigene Rechtsgrundlage. Die Weitergabe personenbezogener Daten durch die Polizei an nicht öffentliche Stellen (z. B. den V) bedarf gemäß Art. 6 I lit. c, e i. V. m. Art. 6 III DSGVO einer speziellen Rechtsgrundlage im nationalen Recht. § 45 I S. 1 ASOG Berlin stellt eine solche Öffnungsklausel im Sinne des Art. 6 III DSGVO dar, indem er die Übermittlung personenbezogener Daten an nicht öffentliche Stellen erlaubt, wenn dies zur Erfüllung polizeilicher Aufgaben erforderlich ist. Eine Weitergabe von Daten an nicht öffentliche Stellen wie den V ist nach § 45 ASOG Berlin möglich, wenn dies zur Erfüllung polizeilicher Aufgaben erforderlich ist. Zu diesen Aufgaben gehört in erster Linie die Abwehr von Gefahren für die öffentliche Sicherheit (vgl. § 1 I ASOG Berlin). Dabei stellt die Polizei eine Prognose an, ob es mit einer hinreichenden Wahrscheinlichkeit zu Verletzungen von Rechtsgütern kommen kann. Die Prognose basierte hier auf den Tatsachen, dass F einerseits illegale Feuerwerkskörper besaß, die regelmäßig auch in Fußballstadien eingesetzt werden, und sich F überdies bereits in der Vergangenheit an Fanausschreitungen beteiligte. Zudem umfasst die öffentliche Sicherheit auch den Schutz privater Rechtsgüter wie etwa das Hausrecht eines Veranstalters. Eine Gefahr für die öffentliche Sicherheit lag somit vor. Die Polizei hat die Daten an V mit der Anregung weitergegeben, dem F ein Stadionverbot auszusprechen. Sie hat damit zwar keine eigene Gefahrenabwehrmaßnahme unmittelbar gegen F als Handlungsstörer ergriffen. Gleichwohl erfolgte die Anregung zu dem Zweck, Fanausschreitungen zu verhindern, indem es V ermöglicht wird, von seinem Hausrecht Gebrauch zu machen. Die Datenweitergabe erfolgte somit gleichwohl im Rahmen der Aufgabenerfüllung der Polizei.2
Der Polizei steht bei der Auswahl ihrer Gefahrenabwehrmaßnahmen ein Ermessen zu. Vor dem Hintergrund, dass die Sicherheit innerhalb eines Fußballstadions primär in der Verantwortung des gastgebenden Fußballvereins als Veranstalter liegt (Herles 2016, S. 106 ff.), ist die Datenweitergabe an V zur Festsetzung und Durchsetzung eines Stadionverbots erforderlich.3
2. Vereinbarkeit mit dem Grundrecht auf informationelle Selbstbestimmung
Die Datenweitergabe durch die Polizei wäre jedoch nicht materiell rechtmäßig, wenn sie den F in seinem Grundrecht auf informationelle SelbstbestimmungInformationelle Selbstbestimmung gem. Art. 1 I i. V. m. 2 I GG verletzt hätte.
Als Ausprägung des Allgemeinen Persönlichkeitsrechts umfasst der Schutzbereich der informationellen Selbstbestimmung das Recht des Einzelnen, grundsätzlich selbst über die Preisgabe und Verwendung seiner personenbezogenen Daten bestimmen zu können. Zu diesen personenbezogenen Daten zählen die polizeilichen Informationen über die Personalien des F und die Sachverhaltsangaben zur Sicherstellung von Feuerwerkskörpern und zu früheren Vorkommnissen bei Fanausschreitungen. Mit der Weitergabe dieser Informationen an V hat die Polizei in den Schutzbereich eingegriffen.
Der Eingriff könnte jedoch gerechtfertigt sein. Das Recht auf informationelle Selbstbestimmung findet seine Schranken insbesondere in der verfassungsmäßigen Ordnung. Mit der Rechtsgrundlage des § 45 ASOG Berlin findet sich insofern eine Schranke in Form eines formellen Gesetzes (Gesetzesvorbehalt).
Gleichwohl bildet der Grundsatz der Verhältnismäßigkeit eine wichtige Schranken-Schranke. Danach ist ein Eingriff in den Schutzbereich nur zulässig, wenn er geeignet, erforderlich und angemessen ist. Die Geeignetheit der Datenweitergabe zur Aufrechterhaltung der öffentlichen Sicherheit ist hier ohne Weiteres gegeben, da mithilfe des Datenabgleichs bei V ein Stadionverbot ausgesprochen werden kann. Mögliche Fanausschreitungen können somit präventiv unterbunden werden. Für die Erforderlichkeit darf kein gleich geeignetes milderes Mittel bestehen. Betrachtet man die Datenweitergabe isoliert, könnte man erwägen, ob eine unmittelbare Maßnahme durch die Polizei ohne Zwischenschaltung des privaten Veranstalters milder wäre. Jedoch wäre mit einer polizeilichen Verfügung (etwa eines Platzverweises) ein noch intensiverer Grundrechtseingriff verbunden als mit der bloßen Weitergabe der Daten an den privaten Veranstalter.4
Entscheidend ist daher eine Güterabwägung im Rahmen der Angemessenheitsprüfung. Dabei sind zunächst die betroffenen Rechtsgüter als solche zu betrachten. Bei den Daten des F handelt es sich um sensible Informationen mit Rückschlussmöglichkeit auf ein strafbares Verhalten. Demgegenüber dient die Weitergabe der Daten dem Schutz wichtiger Rechtsgüter, die durch Fanausschreitungen gefährdet werden, unter anderem das Recht auf Leben und körperliche Unversehrtheit (Art. 2 II GG), das Eigentum (Art. 14 GG) sowie das Allgemeine Persönlichkeitsrecht Dritter (etwa gegnerischer Fans). Die Polizei ist zum Schutz dieser Grundrechtspositionen verpflichtet. Einschlägig ist der Schutz des V als Veranstalter, von seinem Hausrecht Gebrauch zu machen. Hinzu kommt, dass die Datenerhebung im Rahmen einer polizeilichen Maßnahme am Hauptbahnhof erfolgte, mithin also in der Öffentlichkeitssphäre. Auch die von V abzugleichenden Daten über einen Ticketverkauf gehören nicht der Intim- oder Privatsphäre des F an. Zudem hat F letztere Daten freiwillig an V übermittelt. Insgesamt überwiegt daher der Maßnahmenzweck gegenüber der Grundrechtsposition des F.
Die Maßnahme war somit rechtmäßig.
II. Zulässigkeit des Datenabgleichs innerhalb des V
Bei dem Abgleich der von der Polizei erhaltenen Daten des F mit dem hauseigenen Ticketsystem handelt es sich um einen Verarbeitungsvorgang personenbezogener Daten, für den V eine Rechtsgrundlage benötigt.
Auf den ersten Blick scheint hier die polizeiliche Initiierung zu einem Handeln zur Erfüllung einer rechtlichen Verpflichtung nach Art. 6 I 1 lit. c DSGVO zu führen. Jedoch regte die Polizei die Aussprache eines Stadionverbots lediglich an und verpflichtete V hierzu nicht.
Der Schwerpunkt der Verarbeitungstätigkeit liegt jedoch in der Wahrnehmung des Hausrechts des V als Veranstalter. Der Datenabgleich erfolgt im berechtigten Interesse nach Art. 6 I 1 lit. f DSGVO, da V verhindern möchte, dass F pyrotechnische Mittel einsetzen wird und sich an Fanausschreitungen beteiligen wird. Bedenkt man die Verantwortung des austragenden Vereins als Veranstalter einschließlich drohender verbandsrechtlicher Sanktionen für Fanausschreitungen, überwiegen die Interessen des V an einem Datenabgleich gegenüber dem Vertraulichkeitsinteresse des F. Dies umso mehr, als F seine Daten im Rahmen des Ticketverkaufs bereits an V übermittelt hatte.
Allerdings ist zusätzlich zu prüfen, ob die Zweckänderung der Datenverarbeitung nach Art. 6 IV DSGVO zulässig ist. Eine Zweckänderung ist dann möglich, wenn die neue Verarbeitung mit dem ursprünglichen Erhebungszweck kompatibel ist. Hier spricht für die Kompatibilität, dass der ursprüngliche Zweck − der Ticketverkauf − in einem engen Zusammenhang mit dem Zutritt zum Stadion und den dort geltenden Sicherheitsmaßnahmen steht. V als Veranstalter trägt die Verantwortung für die Sicherheit im Stadion und kann berechtigterweise Maßnahmen ergreifen, um Risiken im Vorfeld zu minimieren. Zudem werden die weitergegebenen Daten nicht für andere Zwecke genutzt, sondern ausschließlich für die Prüfung eines Stadionverbots, wodurch der Eingriff in die Rechte des F begrenzt bleibt.
Insgesamt überwiegt das Sicherheitsinteresse des V die schutzwürdigen Interessen des F, da der Datenabgleich auf eine konkrete Gefahrenabwehr gerichtet ist und keine weitergehende Nutzung der Daten erfolgt. Da sowohl die Verarbeitung auf Art. 6 I lit. f DSGVO gestützt werden kann als auch die Zweckänderung nach Art. 6 IV DSGVO als zulässig anzusehen ist, war der Datenabgleich rechtmäßig. Folglich durfte V auf Grundlage der erhaltenen Informationen ein Stadionverbot gegen F aussprechen.
Denkbar wäre darüber hinaus eine zusätzliche Rechtsgrundlage des Handelns im öffentlichen Interesse nach Art. 6 I 1 lit. e DSGVO. Dafür spricht, dass die Herstellung der öffentlichen Sicherheit gerade auch im Rahmen einer Sportgroßveranstaltung unter Mitwirkung des privaten Veranstalters erfolgt.
Der Datenabgleich war zulässig.
Auf den Punkt gebracht
Das Volkszählungsurteil von 1983 begründete das Grundrecht auf informationelle Selbstbestimmung als Ausprägung von Menschenwürde und allgemeiner Handlungsfreiheit.
Spätere Entscheidungen wie zur Online-Durchsuchung entwickelten das Grundrecht weiter zum Schutz der Vertraulichkeit und Integrität informationstechnischer Systeme.
Eingriffe in diese Grundrechte aus Art. 2 I i. V. m. 1 I GG bedürfen einer Rechtfertigung, wobei insbesondere die Schranke der verfassungsmäßigen Ordnung in Betracht kommt. Verfassungsrechtlich wie auch datenschutzrechtlich bedarf es daher einer Rechtsgrundlage.
Bei der Rechtsgrundlage ist die Zweckbindung von maßgeblicher Bedeutung.
Eingriffe müssen verhältnismäßig sein, also geeignet, erforderlich und angemessen im Hinblick auf die betroffenen Grundrechte.
1 Zu beachten ist stets auch die Normenhierarchie, so haben europarechtliche Normen wie die DSGVO grundsätzlich Vorrang vor nationalem Recht. Die DSGVO enthält aber zahlreiche Öffnungsklauseln für den nationalen Gesetzgeber.
2 Problematisch ist hierbei, ob die Polizei sich ihrer Gefahrenabwehraufgaben durch eine private Maßnahme des V entledigen darf oder ob dies eine unzulässige Delegation polizeilicher Aufgaben darstellt. Die Abgrenzung privater und öffentlicher Sicherheitsaufgaben bei Sportgroßveranstaltungen ist regelmäßig Gegenstand von Diskussionen (hierzu Herles (2016), S. 141 ff.).
3 Daneben wäre auch die zweite Tatbestandsalternative des § 45 ASOG, der Abwehr erheblicher Nachteile für das Gemeinwohl, denkbar, im Ergebnis kommt es hierauf aber nicht mehr an.
4 Die Weitergabe personenbezogener Daten an den privaten Veranstalter anstelle einer unmittelbaren polizeilichen Maßnahme (z. B. Platzverweis) wirft Fragen hinsichtlich der Umgehung effektiven Rechtsschutzes auf. Wird staatliches Handeln durch Einschaltung Privater ersetzt, kann dies dazu führen, dass Betroffene faktisch von Grundrechtsschutz abgeschnitten werden, ohne die Möglichkeit einer gerichtlichen Kontrolle (Herles (2016) S. 147 f.).
1.2 Rechtsquellen und Anwendungsbereiche
Zentrale Inhalte
Rechtsquellen des Datenschutzrechts
Sachlicher und räumlicher Anwendungsbereich der DSGVO
Abgrenzung zum Berufsgeheimnis
Datenschutzrecht als Querschnittsmaterie
In einer digitalisierten Welt ist der Schutz personenbezogener Daten ein allumfassender Aspekt quer durch (fast) alle Rechtsgebiete. Mit der Datenschutz-Grundverordnung (DSGVO), die am 25. Mai 2018 in Kraft trat, findet sich zwar ein zentrales und prominentes Regelungswerk für Verarbeitungsvorgänge mit räumlichem oder personellem Bezug zur EU. Neben der DSGVO existieren jedoch auch nationale Datenschutzgesetze wie das Bundesdatenschutzgesetz (BDSG), das die DSGVO ergänzt und spezifische nationale Regelungen enthält. Hinzu kommen zahlreiche Spezialgesetze, wie das Gesetz über den Datenschutz und den Schutz der Privatsphäre in der Telekommunikation und bei digitalen Diensten (TDDDG).
Sachlicher Anwendungsbereich der DSGVO
Für die Anwendbarkeit des Datenschutzrechts kommt es im Kern auf das Vorliegen personenbezogener Daten an. Nach Art. 4 Nr. 1 DSGVO sind dies alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Es genügt also eine auch nur potenzielle Identifizierbarkeit, etwa durch Zuordnung zu einem Namen, einer Kennnummer oder besonderen persönlichen Merkmalen (hierzu Hubert CR 2027, S. 77 ff.). Die Definition ist also weit gefasst und umfasst auch scheinbar triviale und unverfängliche Anknüpfungspunkte wie IP-AdressenIP-Adresse oder pseudonyme DatenPseudonyme Daten (nicht aber anonyme DatenAnonyme Daten, die nicht mehr zurückverfolgt werden können). Nach Art. 2 DSGVO unterliegt die Verarbeitung dem Anwendungsbereich, wenn sie ganz oder teilweise automatisiert erfolgt oder, wenn sie nicht automatisiert ist, die Daten in einem Dateisystem gespeichert werden. Durch letztere Alternative werden also auch Verarbeitungsvorgänge umfasst, die zunächst analog erfolgen, später aber digital dokumentiert werden. Eine praktisch wichtige Ausnahme für den sachlichen Anwendungsbereich ist der private und familiäre Bereich, Art. 2 II lit. c DSGVO. In diesem Bereich befindet sich eine Person bereits in einer Privatsphäre, die einer geringeren staatlichen Kontrolle unterliegt.
Räumlicher Anwendungsbereich der DSGVO
Der räumliche Anwendungsbereich der DSGVO ist weit gehalten. Er soll sowohl Sachverhalte mit räumlichen Bezügen zum Gebiet der EU abdecken als auch mit personellem Bezug zu EU-Bürgern. Nach Art. 3 I DSGVO gilt die Verordnung für die Verarbeitung personenbezogener Daten, die im Rahmen der Tätigkeiten einer Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiters in der EU erfolgt − unabhängig davon, ob die Verarbeitung selbst in der EU stattfindet. Es handelt sich somit im Grundsatz um ein Sitz- und Niederlassungsprinzip, ohne dass es auf den praktisch wichtigen Ort der Verarbeitung (z. B. in einem Rechenzentrum) ankommt (Freund u. a. (Hrsg.) (2023) S. 13 ff.). Art. 3 II DSGVO erweitert den Anwendungsbereich auf Verantwortliche und Auftragsverarbeiter ohne Niederlassung in der EU, wenn sie personenbezogene Daten von Personen in der EU verarbeiten. Hier wird also ein ergänzendes Marktortprinzip eingeführt. Zusätzlich regelt Art. 3 III DSGVO, dass die Verordnung auf Datenverarbeitungen außerhalb der EU anwendbar ist, wenn der Ort der Verarbeitung aufgrund völkerrechtlicher Vereinbarungen dem Recht eines EU-Mitgliedstaates unterliegt, beispielsweise in diplomatischen Missionen oder auf Schiffen unter Flagge eines EU-Staates (Taeger/Gabel (Hrsg.) (2022) Art. 3 Rn. 34).
Übungsfall 2 − Ein Arztbesuch
Sachverhalt
Patient Alfred Müller vereinbart telefonisch einen Termin bei seiner Hautarztpraxis, da er vor einigen Jahren einen gutartigen Hautkrebs hatte. Der Medizinische Fachangestellte (MFA) der Praxis bestätigt einen Termin und notiert im Verwaltungssystem der Praxis einen Termin für Herrn Müller zur Krebsnachsorge.
Als Herr Müller bei der Praxis ankommt, parkt er seinen Wagen auf einem Privatparkplatz des Ärztehauses. Dabei werden alle Kfz-Kennzeichen durch eine Kamera überwacht und in einem Parkleitsystem vorübergehend gespeichert.
Im Wartezimmer der Praxis schreibt Herr Müller seinem befreundeten Kollegen B eine SMS, dass er einen Arzttermin hat und sich ggf. ein bisschen im Büro verspätet. Der MFA der Praxis betritt den Warteraum und ruft unter den Anwesenden Herrn Müller namentlich aus.
Welche dieser Vorgänge fallen in den Anwendungsbereich der DSGVO?
Lösungsvorschlag
1. Der Arzttermin
Die Speicherung des Termins von Herrn Müller im Verwaltungssystem der Hautarztpraxis fällt in den Anwendungsbereich der DSGVO. Es handelt sich um eine automatisierte Verarbeitung personenbezogener Daten im Sinne von Art. 2, 4 Nr. 1 DSGVO, da der Name und der vereinbarte Termin eindeutig auf Herrn Müller als natürliche Person bezogen sind. Zudem enthält die Terminvereinbarung den Besuchsgrund der Krebsnachsorge sowie die Facharztbezeichnung »Hautarztpraxis«. Diese Informationen lassen überdies Rückschlüsse auf den Gesundheitszustand zu und sind daher besondere personenbezogene Daten i. S. v. Art. 9 I DSGVO (LfD Niedersachsen 2024, S. 9).
2. Der Parkplatz
Weiter ist zu prüfen, ob die Erfassung und vorübergehende Speicherung des Kfz-Kennzeichens durch das Parkleitsystem in den Anwendungsbereich der DSGVO fällt. Mittlerweile besteht Einigkeit, dass Kfz-Kennzeichen personenbezogene Daten im Sinne von Art. 4 Nr. 1 DSGVO sind, da sie eine natürliche Person durch Zuordnung zu einem Fahrzeughalter indirekt identifizieren können (etwa VG Ansbach NJW 2023, 1596). Die Speicherung dieser Daten erfolgt automatisiert durch die Kamera und das Leitsystem, wodurch die Verarbeitung ebenfalls in den sachlichen Anwendungsbereich der DSGVO fällt.
3. Die SMS
Fraglich ist, ob die SMS von Herrn Müller an seinen Kollegen B in den Anwendungsbereich der DSGVO fällt. Gemäß Art. 2 II lit. c DSGVO findet die Verordnung keine Anwendung auf Verarbeitungen, die von natürlichen Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten vorgenommen werden. Man könnte dies hier zwar anzweifeln, da Herr Müller die SMS verschickte, um sein etwaiges Zuspätkommen am Arbeitsplatz mitzuteilen. Doch handelt es sich um eine private Kommunikation über das Mobiltelefon des befreundeten Kollegen. Etwas anderes würde wohl bei einer Kommunikation mit einem Vorgesetzten oder dem Arbeitgeber gelten.
4. Das Ausrufen in der Praxis
Fraglich ist, ob der namentliche Ausruf von Herrn Müller im Wartezimmer in den Anwendungsbereich der DSGVO fällt. Dies setzt gemäß Art. 2 I DSGVO voraus, dass personenbezogene Daten verarbeitet werden, und die Verarbeitung ganz oder teilweise automatisiert erfolgt oder in einem Dateisystem gespeichert ist. Zwar erfolgt der Ausruf manuell, jedoch könnte er im Zusammenhang mit einer automatisierten Verarbeitung stehen, etwa dem Abruf aus einer Terminverwaltungssoftware. Solch ein Abruf stellt eine Verarbeitung im Sinne von Art. 4 Nr. 2 DSGVO dar. Auch bei rein manueller Verarbeitung greift die DSGVO, sofern die Daten in einem strukturierten Dateisystem gespeichert sind. Letztlich soll die DSGVO mit einem weit auszulegenden Schutzbereich dazu führen, dass die in ihr enthaltenen Grundsätze gelten, wo mit (teilweise) automatisierter Datenverarbeitung umgegangen wird. Da die Sprechstundenhilfe hier primär auf Daten aus der automatisierten Praxisverwaltung zurückgreift, ist eine Anwendbarkeit zu bejahen.5
Auf den Punkt gebracht
Datenschutzrecht als Querschnittsmaterie: Der Schutz personenbezogener Daten betrifft zahlreiche Rechtsbereiche und ist nicht auf ein einzelnes Rechtsgebiet beschränkt. Rechtsgrundlage ist primär die EU-DSGVO, ergänzt durch nationale Regelungen wie das BDSG und spezielle Gesetze für bestimmte Bereiche.
Sachlicher Anwendungsbereich: Die DSGVO gilt für jede (teil-)automatisierte Verarbeitung personenbezogener Daten sowie für analoge Daten, die in einem Dateisystem gespeichert werden. Personenbezogenheit erfordert eine potenzielle Zuordnung zu einer natürlichen Person (Identifizierbarkeit). Private und familiäre Verarbeitungen sind ausgenommen.
Räumlicher Anwendungsbereich: Die DSGVO greift nach dem Niederlassungsprinzip (Verarbeitung im Rahmen einer EU-Niederlassung) und dem Marktortprinzip (Angebot an Personen in der EU), ggf. auch bei völkerrechtlich gebundenen Orten außerhalb der EU.
Berufsgeheimnisträger wie Ärzte unterliegen neben dem Datenschutz auch straf- und berufsrechtlichen Verschwiegenheitspflichten.
5 Neben der Anwendung des Datenschutzrechts ist das laute und namentliche Ausrufen in einem besetzten Wartezimmer auch im Hinblick auf die ärztliche Schweigepflicht nach § 203 StGB kritisch zu sehen.
1.3 Grundsätze der DSGVO
Zentrale Inhalte
Technologieneutralität der DSGVO
Normierte Grundsätze der DSGVO
Rechenschaftspflicht des Verantwortlichen
Als die DSGVO ins Leben gerufen wurde, war der europäische Gesetzgeber vor allem mit zwei Herausforderungen konfrontiert: nationale Unterschiede und die Geschwindigkeit des technologischen Fortschritts. Mit der DSGVO musste ein erster gemeinsamer Nenner im Umgang mit personenbezogenen Daten gefunden werden, der auf unterschiedliche Situationen und technologische Rahmenbedingungen (TechnologieneutralitätTechnologieneutralität) passte. Daher lebt das Datenschutzrecht von Grundsätzen, die unmittelbar gelten und zudem bei der Auslegung der übrigen Vorschriften der DSGVO helfen. Die unmittelbare Geltung der Grundsätze der DSGVOPrinzipien der DSGVO zeigt sich auch an der RechenschaftspflichtRechenschaftspflicht nach Art. 5 II DSGVO: Die Einhaltung der Grundsätze muss von der verantwortlichen Stelle nachgewiesen werden können (Plath (2023) S. 78).
Für die Rechtsanwendung stellen die Grundsätze der DSGVO überdies eine enorme Erleichterung dar. Wer im Rahmen einer Datenverarbeitung alle Grundsätze gedanklich durchgeht, hat einen Großteil der DSGVO-Prüfung schon vollbracht.
Grundsätze nach Art. 5 I lit. a−f DSGVO, Erwägungsgrund 39
Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz
Jede Datenverarbeitung bedarf einer Rechtsgrundlage. Zudem muss sie für die betroffene Person transparent und fair6 sein. Transparenz muss in klarer Weise über Art und Umfang der Verarbeitung bestehen und Aufschluss über die verantwortliche Stelle geben.
Zweckbindung
Die Rechtmäßigkeit einer Datenverarbeitung bezieht sich stets auf einen bestimmten Zweck, der nicht ohne Weiteres geändert werden darf.
Datenminimierung
Die Verarbeitung der personenbezogenen Daten muss auf das notwendige Maß beschränkt sein. Es sollen nur solche Daten erhoben und verarbeitet werden, die für die jeweiligen Zwecke erforderlich sind.
Richtigkeit
Personenbezogene Daten müssen sachlich richtig und auf dem neuesten Stand sein. Der Verantwortliche hat sicherzustellen, dass unrichtige Daten unverzüglich gelöscht oder berichtigt werden.
Speicherbegrenzung
Daten dürfen nur so lange gespeichert werden, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist. Praktisch relevant ist dies vor allem im Zusammenhang mit Löschfristen und -konzepten.
Integrität und Vertraulichkeit
Daten müssen in einer Weise verarbeitet werden, die ihre Sicherheit und Vertraulichkeit gewährleistet. Der Schutz vor unbefugtem oder unrechtmäßigem Zugriff, unbeabsichtigtem Verlust, Zerstörung oder Schädigung muss durch geeignete technische und organisatorische Maßnahmen sichergestellt sein.
Übungsfall 3 − Videoüberwachter Markt
Sachverhalt
A betreibt ein großes Feinkostgeschäft in Düsseldorf. Dabei handelt es sich um eine großflächige Halle, die in unterschiedliche Abteilungen aufgeteilt ist. Die Kundinnen und Kunden sollen durch das Geschäft flanieren und Waren vor Ort kosten oder in ihre Einkaufskörbe legen. Leider kommt es immer wieder zu Ladendiebstählen, weshalb A in weiten Teilen des Geschäfts Überwachungskameras anbringen lässt. Unter anderem wird der Bereich für wertvolle Spirituosen überwacht, da gerade hier regelmäßig Einbußen durch Ladendiebstähle zu beklagen waren.
Eines Sommers beauftragt A die Werbepsychologin W, die Gestaltung des Feinkostgeschäfts so zu optimieren, dass Kunden unbewusst möglichst lange durch die wertvollen Spirituosen schlendern. Dabei soll W auch die Videoaufzeichnungen aus dem Spirituosenbereich aus der Vorweihnachtszeit, der Hauptsaison für A, analysieren, da hier große Kundenströme in Zeitraffer dargestellt werden können.
Als W datenschutzrechtliche Bedenken äußert, fragt sich A, ob und wie er die Videoüberwachung einsetzen darf.
Lösungsvorschlag
Der Fall zeigt die praktischen Auswirkungen und den Geltungsbereich der datenschutzrechtlichen Grundsätze am Beispiel der Videoüberwachung in öffentlichen Räumen auf.
1. Rechtsgrundlage für die Videoüberwachung
Die Videoüberwachung nebst Speicherung der Aufzeichnungen stellt eine Verarbeitung der personenbezogenen Daten von Kunden (und ggf. auch Mitarbeitenden) dar. Nach dem Grundsatz der Rechtmäßigkeit bedarf es daher zunächst einer Rechtsgrundlage.
Für die Videoüberwachung bestehen sowohl Regelungen der DSGVO als auch des BDSG. Dabei wird zwischen der Videoüberwachung des öffentlich und nicht öffentlich zugänglichen Betriebsgeländes unterschieden. Für öffentlich zugängliche Räume sind die Rechtsgrundlagen in § 4 BDSG geregelt. Ein geschlossener Marktraum wie der des A ist öffentlich zugänglich, da zumindest während der Öffnungszeiten eine unbestimmte Anzahl von Personen Zutritt hat − und haben soll (Gülker K&R 2022, S. 29).
A müsste daher die in § 4 BDSG genannten Voraussetzungen erfüllen. Das bedeutet jedoch nicht, dass die Regelungen der DSGVO auf den vorliegenden Fall nicht Anwendung finden. Insbesondere die in Art. 5 DSGVO genannten Grundsätze der Verarbeitung personenbezogener Daten müssen auch bei einer im BDSG geregelten Verarbeitungstätigkeit berücksichtigt werden. Dies folgt schon aus dem Geltungsvorrang der DSGVO als (sekundärrechtliche) EU-Norm. Zudem ergänzen die Regelungen des BDSG die DSGVO lediglich in bestimmten Bereichen, wie hier für Überwachung von Betriebsgelände deutscher Unternehmen (vgl. BVerwG NJW 2019, 2556).
a) Wahrung des Hausrechts
A möchte in seinem Feinkostgeschäft eine weiträumige Videoüberwachung etablieren. Konkret geht es hier um den Bereich für Spirituosen. Als Hauptzweck der Videoüberwachung ist hier die Verhinderung und Aufklärung von Ladendiebstählen anzusehen. Damit macht A von seinem Hausrecht nach § 4 I Nr. 2 BDSG Gebrauch. Die Tatbestandsvariante der Wahrung des Hausrechts greift insbesondere für Maßnahmen gegen Straftaten auf dem Betriebsgelände.
b) Berechtigtes Interesse
Denkbar ist zudem ein Abstellen auf ein berechtigtes Interesse nach § 4 I Nr. 3 BDSG. Als Maßnahme gegen Ladendiebstahl kann A sein Interesse am Schutz seines Eigentums durchaus in einer Interessenabwägung mit den Rechten überwachter Kunden anführen. Neben der Tatbestandsvariante der Wahrung des Hausrechts kommt es hierauf aber nicht an.
Für die Videoüberwachung als Maßnahme gegen Ladendiebstahl ist jedoch das Prinzip der DatenminimierungDatenminimierung zu beachten. Danach dürfen Daten nur in dem Umfang erhoben werden, wie zur Erreichung des Zwecks erforderlich. Nicht jeder Bereich im Feinkostgeschäft des A wird vom Ladendiebstahl ebenso betroffen sein wie die Spirituosenabteilung. Eine Videoüberwachung ist daher nicht generell und flächendeckend zulässig.
Problematisch ist jedoch die Nutzung der Videoaufnahmen zum Zwecke der verkaufspsychologischen Optimierung der Geschäftsräume. Wegen des Grundsatzes der ZweckbindungZweckbindung ist ein Abstellen auf die Rechtsgrundlage als Sicherheitsmaßnahme nicht möglich. Es handelt sich vielmehr um einen weiteren Zweck. In Betracht kommt hier nur das legitime Interesse nach § 4 I Nr. 3 BDSG. Wie die Formulierung der Norm bereits nahelegt, sind vor allem Sicherheitsinteressen als besonderes legitimes Interesse anerkannt. Bei der verkaufspsychologischen Analyse von Aufzeichnungen handelt es sich um eine Verarbeitung, die allein kommerziellen Interessen des A dient. Demgegenüber stehen die Persönlichkeitsrechte als schutzwürdige Interessen der Kunden. Auch wenn die Analyse mitunter in einem Zeitraffer erfolgen soll, können Kunden identifiziert werden. Zeit und Umstände des Besuches können potenziell eingesehen werden. Hinzu kommt, dass ein Hinweis auf das Alkoholkonsumverhalten und damit ggf. sogar ein Rückschluss auf Gesundheitsdaten (Art. 9 DSGVO) nicht ausgeschlossen werden kann. A hat somit kein berechtigtes Interesse an der Verarbeitung zum Zwecke der verkaufspsychologischen Analyse.
2. Transparenzpflicht
Für eine rechtmäßige Überwachung zu Sicherheitszwecken ist zudem auf Transparenz nach § 4 II BDSG, 13 DSGVO zu achten (Schaffland/Wiltfang (Hrsg.) (2025) § 4 BDSG Rn. 43 ff.). Praktisch bedeutsam sind insbesondere Hinweisschilder, die über den Umstand, die Rechtsgrundlage und die verantwortliche Stelle informieren. Damit wird dem Grundsatz der Transparenz Rechnung getragen.
3. Speicherdauer
Für eine rechtmäßige Videoüberwachung kommt es schließlich auf eine SpeicherbegrenzungSpeicherbegrenzung an. Die Aufzeichnungen dürfen nach § 4 III BDSG nur so lange gespeichert werden, wie dies für die Zweckerreichung erforderlich ist. Eine Aufzeichnung zur Verhinderung oder Aufdeckung von Ladendiebstählen ist wohl nur bis zur nächsten Kontrollmöglichkeit außerhalb der Ladenöffnungszeiten zulässig. In der Regel wird eine Speicherung von bis zu 48 Stunden als erforderlich angesehen (DSK Nr. 15 (2020) S. 22).
Die Speicherung von Aufzeichnungen für mehrere Monate, wie hier im Hinblick auf die zunächst beabsichtigte Analyse, ist somit nicht zulässig.
Auf den Punkt gebracht
Die DSGVO ist technologieneutral gehalten, um mit allgemeinen Wertentscheidungen sämtlichen technologischen Entwicklungen Rechnung tragen zu können.
Von zentraler Bedeutung sind im Datenschutzrecht daher die Grundsätze der DSGVO (Art. 5), nach denen personenbezogene Daten rechtmäßig, transparent, zweckgebunden, sparsam, richtig, befristet und sicher verarbeitet werden müssen.
Dreh- und Angelpunkt bei der Beurteilung ist die jeweilige Rechtsgrundlage und die Zweckbindung.
Der Verantwortliche hat die Einhaltung der Grundsätze nachzuweisen und ist insofern rechenschaftspflichtig.
6 Der deutsche zivilrechtliche Begriff von Treu und Glauben in § 242 BGB kann nicht unmittelbar zur Auslegung der unionsrechtlichen DSGVO herangezogen werden.
2 Rechtsgrundlagen
2.1 Rechtsgrundlage der Einwilligung
Zentrale Inhalte
Die Einwilligung als Rechtsgrundlage
Freiwilligkeit und Koppelungsverbot
Einwilligungserklärungen
Mit der Erteilung einer EinwilligungEinwilligung (Art. 6 I lit. a DSGVO) kann eine betroffene Person unmittelbar von ihrem Recht auf informationelle Selbstbestimmung Gebrauch machen, entsprechend hervorgehoben ist ihre Bedeutung als Rechtsgrundlage. Auch der Verantwortliche profitiert von der Gestaltungsfreiheit der Einwilligung. Während etwa die Rechtsgrundlage der Vertragserfüllung sich streng an der Erforderlichkeit messen muss, kann eine Einwilligung in gewissen Grenzen (vor allem Freiwilligkeit und Koppelungsverbot) für jeden Zweck erteilt werden. Allerdings kann eine Einwilligung auch jederzeit widerrufen werden, dann wiederum entfällt die Rechtsgrundlage (Art. 7 III DSGVO).
Die Gestaltungsfreiheit einer Einwilligungsabfrage kennt aber in der Praxis die wichtigen Grenzen der Freiwilligkeit und des KoppelungsverbotsKoppelungsverbot (Art. 7 IV DSGVO). Mit der Versagung einer Einwilligung darf also kein Nachteil verbunden sein und mehrere Einwilligungen dürfen nicht sachwidrig voneinander abhängig gemacht werden (Schaffland/Wiltfang (2025) Art. 7 Rn. 2 ff.).
Der Verantwortliche muss das Vorliegen einer Einwilligung nachweisen können. Dagegen besteht keine strenge Formvorgabe. In der Regel genügt auch eine konkludente Einwilligung.7
Übungsfall 4 − Piraten im Netz
Sachverhalt
Paula (P) hat von einem besonderen Angebot ihrer Lieblingsband »Piraten« gehört: Exklusive VIP-Karten für das nächste Konzert, inklusive einem Treffen mit der Band hinter den Kulissen. Die Karten können jedoch nur über einen speziellen Link gekauft werden, der im Newsletter der Band enthalten ist. Um den Newsletter zu erhalten, muss Paula auf der Website der Managementagentur (M) ihre Einwilligung erteilen, sämtliche Werbenachrichten der M zu empfangen. Obwohl sie eigentlich keine Werbung möchte, stimmt sie zu, da es keinen anderen Weg gibt, die begehrten VIP-Karten zu kaufen.
