Auch der neuen Bundesregierung ist es bisher nicht gelungen, einen endgültigen Entwurf für die richtlinienkonforme Anpassung des Bundesdatenschutzgesetzes (BDSG) and die Europäische Datenschutzrichtlinie (EU-Richtlinie) vorzulegen[1]. Die Folge ist, dass die Europäische Kommission im vergangenen Jahr bereits zwei "blaue Briefe" an die Bundesregierung geschickt hat und eine Klage beim Europäischen Gerichtshof vorbereitet[2].

Eine der wesentlichen Ursachen der Verzögerung ist ein Dilemma, in dem sich die Bundesregierung befindet. Einerseits ist allen Beteiligten klar, dass der von der vorherigen Regierung übernommene Entwurf die Vorgaben der Richtlinie nicht hinreichend umsetzte, technologiepolitische Akzente vermissen ließ und dabei so kompliziert war, dass selbst Fachleute Schwierigkeiten haben, die einzelnen Regelungen nachzuvollziehen. Von daher wäre es erforderlich gewesen, eine völlig neue Konzeption des deutschen Datenschutzrechts ins Auge zu fassen, die Richtlinienkonformität, Zukunftsgerichtetheit und Verständlichkeit in sich vereinigt. Die Entwicklung eines derartigen Konzepts würde allerdings so lange dauern, dass von den europäischen Behörden nicht unerhebliche Sanktionen verhängt würden - ungeachtet des Umstands, dass ein Rechtszustand, der mit den europäischen Vorgaben nicht zu vereinbaren ist, nicht zufrieden stellen kann und es wegen der nach Ablauf der Umsetzungsfrist geltenden unmittelbaren Wirkungen[3] zu erheblichen Anwendungsschwierigkeiten insbesondere beim grenzüberschreitenden Datenverkehr kommt[4]. Um dies zu verhindern, blieb kein anderer Weg, als auf der Basis der übernommenen Vorarbeiten einen Gesetzesentwurf zu entwickeln, der die bislang nicht enthaltenen unerlässlichen Regelungen enthält und gewisse Impulse für die Fortentwicklung der Datenschutztechnik gibt (z. B. Verankerung des Datensparsamkeitsprinzips, Regelungen zur Chipkarte und zur Videotechnik). Der auf dieser Basis im Sommer vorgelegte neue Vorentwurf[5] wurde in den letzten Monaten des Jahres intensiv diskutiert. Die von mehreren Seiten erhobenen Einwände führten immer wieder zur Verzögerung bei der Fertigung der endgültigen Kabinettsvorlage, die bis in das neue Jahr hineinreichten. Vor allem eine öffentliche Initiative des Deutschen Presserates hemmte die Arbeiten. Aufgrund einer überzogenen Fehleinschätzung der beabsichtigten Neuregelungen zum Presseprivileg wurde die Gefahr an die Wand gemalt, die Pressefreiheit könne durch die Einrichtung betrieblicher Datenschutzbeauftragter und die Einräumung von Auskunftsrechten für die Betroffenen beeinträchtigt werden[6]. Gleichwohl ist damit zu rechnen, dass die zwingend notwendige Novellierung im laufenden Jahr zu Stande kommt.

Nicht aus dem Auge verloren wurde die Zielsetzung, das Datenschutzrecht bei Wahrung der Europakonformität inhaltlich so neuzustrukturieren, dass außer der gebotenen Normenklarheit und Verständlichkeit auch wegweisende Impulse für die Fortentwicklung der Informationstechnik gegeben werden. Die Arbeiten zur Realisierung dieser "zweiten Welle" sollen so bald wie möglich aufgenommen werden, damit Ergebnisse noch in dieser Legislaturperiode vorliegen. Damit verbunden werden könnten Überlegungen, ob nicht die Vorbereitung eines Informationsfreiheitsgesetzes des Bundes, das Gegenstand der Koalitionsvereinbarungen ist, mit diesen Arbeiten koordiniert werden kann.

Auch eine zweite europäische Hausaufgabe blieb unerledigt: Die geplante Angleichung der Telekommunikationsdienstunternehmen-Datenschutzverordnung (TDSV) an die Europäische Telekommunikations-Datenschutzrichtlinie[7] wurde ebenfalls nicht zu Ende geführt. Die bisher vorliegenden Entwürfe, die deutliche Minderungen der Rechte der Telekommunikationsteilnehmer vorsehen, stoßen auf Kritik der Datenschutzbeauftragten[8].

Europäische Vorgaben werden künftig mehr und mehr die Ausgestaltung und Umsetzung des Datenschutzes bestimmen. So werden weitere bereits verabschiedete (Fernabsatzrichtlinie[9], , Richtlinie über die elektronische Signatur[10]) und zu erwartende Richtlinien (insbesondere die Finanzdienstleistungsrichtlinie[10] und die E-Commerce Richtlinie[12]) Auswirkungen auf das deutsche Datenschutzrecht haben.

Die der Europäischen Kommission im Zusammenwirken mit der Gruppe der Datenschutzbeauftragten nach Art. 29 bzw. dem Ausschuss der Regierungsvertreter nach Art. 31 der EU-Richtlinie eingeräumten Befugnisse zur Anerkennung internationaler Verpflichtungen (Art. 25 Abs. 6 EU-Richtlinie) sowie zu Verhaltensregeln einzelner Gesellschaftsbereiche (Art. 27 EU-Richtlinie) werden zu einer Reihe untergesetzlicher Regelungen führen, die auch die innerstaatlichen Rechtsverhältnisse (etwa durch eine entsprechende Interpretation des Bundesdatenschutzgesetzes) bestimmen werden. So sind im vergangenen Jahr Vorlagen u. a. von der Europäischen Föderation der Direktmarketing-Unternehmen (FEDMA) für die Verwendung von personenbezogenen Daten im Direktmarketing sowie der Internationalen Lufttransport Gesellschaft (IATA) zur Verarbeitung personenbezogener Daten beim internationalen Lufttransport von Passagieren und Fracht vorgelegt worden. Schließlich schicken sich die europäischen Gremien an, - ebenfalls verspätet - die Vorgaben des Amsterdamer Vertrages (Art. 286) umzusetzen und auch für die eigenen Einrichtungen mit einer Verordnung[13] den Datenschutz sicherzustellen.

Gegen Jahresende hat der Ausschuss zur Schaffung einer Europäischen Grundrechte-Charta unter dem Vorsitz des ehemaligen Bundespräsidenten Roman Herzog seine Arbeit aufgenommen. Nach einigen gescheiterten Versuchen ist dies ein erneuter Anlauf, das europäische Primärrecht mit Grundrechtsbestimmungen zu krönen. Er geht auf einen Beschluss des Europäischen Gipfels vom Juni 1999 in Köln zurück. Bis Dezember 2000 sollen die Arbeiten abschlossen sein und das Dokument vom Europäischen Rat und vom Europaparlament feierlich proklamiert werden. Die Konferenz der Datenschutzbeauftragten hat diese Initiative begrüßt und die Bundesregierung aufgefordert, sich für die Aufnahme eines Grundrechtes auf Datenschutz einzusetzen[14]. Die Bundesministerin für Justiz hat sich inzwischen hierfür ebenfalls eingesetzt, wenn sie auch die Erfolgschancen für Einfügung derartiger "Grundrechte der dritten Generation" (nach Freiheits- und Sozialrechten) skeptisch beurteilt[15].

Trotz des Beginns einer neuen Legislaturperiode ist im vergangenen Jahr eine Reihe wichtiger Gesetzgebungsvorhaben zu Ende geführt worden, die erhebliche datenschutzrechtliche Konsequenzen haben. Vorgesehen war im Rahmen der Gesundheitsreform 2000 eine enorme Vermehrung des Datenaustausches zwischen den Ärzten und den Krankenkassen. Zwar konnte im Laufe der Diskussion durch die Einführung von Pseudonymisierungsverfahren eine Verbesserung des Entwurfs erreicht werden. In der politischen Auseinandersetzung sind jedoch sowohl die Regelungen zum Datenaustausch als auch diejenigen zur Pseudonymisierung gestrichen worden[16]. Die umstrittene Gesetzgebung zur Bekämpfung der Scheinselbständigkeit führte dazu, dass Stellen, die Werk- oder Honorarverträge vergeben, nunmehr eine Vielzahl personenbezogener Daten erheben und an die Krankenkassen weiterleiten müssen. Beide Gesetzgebungsvorhaben zeigen exemplarisch, dass das Prinzip der Datensparsamkeit, jedenfalls im Bereich der Sozialgesetzgebung, nicht nur nicht beachtet, sondern durch die Schaffung von mehr und mehr Datenströmen konterkariert wird.

Auch im Bereich der Justiz sind Gesetze geschaffen worden, die neue Befugnisse zur Verarbeitung von Daten schaffen: Durch das DNA-Identitätsfeststellungsgesetz wird die Befugnis zur Verarbeitung von DNA-Analysen bei Altfällen sowie nach Abschluss von Ermittlungsverfahren erweitert; zur Erleichterung des Täter-Opfer-Ausgleichs können nunmehr auch ohne ausdrückliche Einwilligung Täter- und Opferdaten von der Staatsanwaltschaft an (private) Schlichtungsstellen weitergegeben werden. Auch die Arbeiten an der jahrelang überfälligen Einfügung von Datenschutzvorschriften in die Strafprozessordnung sind nicht viel weiter vorangekommen, obwohl die neue Bundesregierung den Entwurf von 1996 erneut eingebracht hat. Auch hier ist ein Zurückdrängen der Datenschutzvorschriften zu Gunsten der Ausweitung von Datenverarbeitungsmöglichkeiten zu beobachten[17].

Signale zur Verbesserung des Datenschutzes sind in einem Eckpunktepapier der Bundesregierung vom Juni 1999 enthalten, in den die Kryptografie als "eine entscheidende Voraussetzung für den Datenschutz der Bürger" hervorgehoben wird. Von Gesetzen, die den Gebrauch kryptografischer Methoden einschränken, soll vorläufig abgesehen werden. Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder hat diese Initiative begrüßt[18].

Gegenüber dieser eher ernüchternden Gesetzgebungsbilanz hat das Bundesverfassungsgericht in drei Entscheidungen wegweisende Grundsätze für die Fortentwicklung des Datenschutzes entwickelt.

In seinem lange erwarteten Urteil zur Verfassungsmäßigkeit von Telekommunikationsüberwachungsmaßnahmen des Bundesnachrichtendienstes hat das Gericht zwar im Wesentlichen die Befugnisse des BND aufgrund des Verbrechensbekämpfungsgesetzes 1994 bestätigt, dabei aber die Bedeutung des Fernmeldegeheimnisses für das Grundrecht auf freie Telekommunikation in einer bisher nicht da gewesenen Weise bestätigt sowie eine ganze Reihe von verfahrensmäßigen Anforderungen an die Durchführung der Telefonüberwachung formuliert. Insbesondere wurde festgelegt, dass sich der Schutz auch auf den auf die eigentliche Überwachungsmaßnahme anschließenden Informations- und Datenverarbeitungsprozess sowie die Verwendung der Kenntnisse erstreckt[19].

Eine grundsätzliche Frage, die auch schon in der US-amerikanischen Diskussion über die Fortentwicklung des dortigen Informationsfreiheitsgesetzes eine große Rolle spielte, betrifft die gerichtliche Überprüfung einer Verwaltungsentscheidung, dass Unterlagen geheim zu halten und deshalb an Antragsteller nicht herauszugeben sind. Bei der gerichtlichen Überprüfung müssten zur Wahrung des rechtlichen Gehörs die Unterlagen allen Verfahrensbeteiligten zur Verfügung gestellt werden. Daher wird von der Verwaltung seit jeher geltend gemacht, ihre Beurteilung der Geheimhaltungsbedürftigkeit unterliege keiner gerichtlichen Kontrolle. Das in den USA als Ergebnis der Diskussion eingeführte "In-camera-Verfahren" (die Richter entscheiden ohne Verfahrensbeteiligte über die Geheimhaltungsbedürftigkeit) wurde hier für verfassungswidrig gehalten. Das Bundesverfassungsgericht widerlegte dies mit dem Hinweis darauf, dass es zur Effektivität des Rechtsschutzes gehöre, dass das Gericht das Rechtsschutzbegehren umfassend prüfen kann und genügend Entscheidungsbefugnisse besitzt, um drohende Rechtsverletzungen abzuwenden. Dies schließe grundsätzlich eine Bindung des Gerichts an die im Verwaltungsverfahren getroffenen Feststellungen aus. Das Recht der Verwaltung, dem Gericht Akten vorzuenthalten (§ 99 Abs. 1 Satz 2 VwGO) ist mit den Rechtsweggarantieen unvereinbar, soweit die Aktenvorlage auch in den Fällen ausgeschlossen ist, in denen die Gewährung des Rechtsschutzes von der Kenntnis der Verwaltungsvorgänge abhängt. Eine Beschränkung des Akteneinsichtsrechts der Verfahrensbeteiligten kann hingenommen werden, wenn erst durch diese Beschränkung ein effektiver Rechtsschutz möglich ist[20]. Der Berliner Datenschutzbeauftragte hatte schon 1982 die Einführung eines In-camera-Verfahrens in die deutsche Rechtsordnung gefordert[21].

Das Verhältnis zwischen der Pressefreiheit und dem Persönlichkeitsrecht von Prominenten war Gegenstand eines Urteils, in dem das Gericht betont, dass sich die geschützte Privatsphäre nicht auf den häuslichen Bereich beschränkt, sondern die einzelne Person die Möglichkeit haben muss, sich auch an anderen, erkennbar abgeschiedenen Orten von der Bildberichterstattung unbehelligt zu bewegen. Das Recht kommt auch prominenten Personen zu (in diesem Fall Prinzessin Caroline von Monaco). Es muss allerdings zurücktreten, wenn sich jemand selbst damit einverstanden zeigt, dass bestimmte, gewöhnlich als privat angesehene Angelegenheiten öffentlich gemacht werden: Das allgemeine Persönlichkeitsrecht ist nicht im Interesse einer Kommerzialisierung der eigenen Person gewährleistet. Verstärkten Schutz genießen auch bei Prominenten die Rechte von Kindern[22].

In seiner letzten Sitzung vor Ende der Legislaturperiode hat das Abgeordnetenhaus das Gesetz zur Förderung der Informationsfreiheit im Land Berlin (Berliner Informationsfreiheitsgesetz - IFG -) verabschiedet. Es ist am 30. Oktober 1999 in Kraft getreten. Nach dem Land Brandenburg, das bereits seit 1998 aufgrund eines Verfassungsauftrages über ein derartiges Gesetz verfügt[23], ist das Land Berlin nunmehr das zweite Bundesland, das seinen Bürgerinnen und Bürgern einen Zugang zu den Unterlagen der öffentlichen Verwaltung gewährt, ohne dass diese selbst betroffen sind oder ein besonderes berechtigtes Interesse geltend machen müssen. Die beiden Länder haben damit Anschluss an eine Entwicklung in vielen demokratischen Staaten gefunden, die - allen voran die USA im Jahre 1967 [LINK]- die Öffnung der Verwaltung als ein Instrument zur demokratischen Meinungs- und Willensbildung geschaffen haben. Wesentliches Anliegen war bei der Gesetzgebung, Informationsfreiheit und Datenschutz in ein angemessenes Verhältnis zu bringen[24].

Datenschutzrechtliche Änderungen des Berliner Landesrechts hat es im Wesentlichen im Bereich der öffentlichen Sicherheit und Ordnung gegeben: Nach der Einführung des Großen Lauschangriffs müssen auch in Berlin Berichtspflichten über die Durchführung dieser Maßnahmen eingeführt werden; die Benachrichtigungspflicht, wenn die Speicherung polizeilicher Daten länger als fünf Jahre andauert, wurde gestrichen; das umstrittene Instrument der Schleierfahndung eingeführt. Im Gesetz über den freiwilligen Polizeidienst wurden unsere Vorschläge, die Überprüfung der Bewerber normenklar zu regeln, nicht aufgegriffen, das Katastrophenschutzgesetz enthält nunmehr eine Rechtsgrundlage für die Weitergabe personenbezogener Daten in Katastrophenfällen. Insgesamt eine Bilanz, die gemischte Gefühle hervorruft[25].

[1] Richtlinie 95/46/EG des Europäischen Parlaments und des Rates v. 24.10.1995

zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten

und zum freien Datenverkehr, ABlEG L 281/31

[2] vgl. auch Entschließung der Konferenz der Datenschutzbeauftragten des Bundes

und der Länder zu "Modernisierung des Datenschutzrechtes jetzt - umfassende

Novellierung des Bundesdatenschutzgesetzes nicht aufschieben", Anlagenband

"Dokumente zum Datenschutz 1999", Teil A I

[3] JB 1998, 1.1

[4] vgl. 4.7

[5] Entwurf zur Änderung des BDSG und anderer Gesetze v. 6.7.1999

[6] vgl. hierzu unsere Presseerklärung v. 3.12.1999

[7] Richtlinie 97/66/EG des Europäischen Parlaments und des Rates v. 15.12.1997

über die Verarbeitung personenbezogener Daten und den Schutz der Privatssphäre

im Bereich der Telekommunikation, ABlEG L 24/1

[8] vgl. 5.1

[9] Richtlinie 97/7/EG des Europäischen Parlaments und des Rates v. 20.5.1997

über den Verbraucherschutz bei Vertragsabschlüssen im Fernabsatz,

ABlEG L 144/19

[10]Richtlinie 99/93/EG des Europäischen Parlaments und des Rates v. 13.12.1999

über gemeinsame Rahmenbedingungen für elektronische Signaturen, ABlEG L 013/12-20

[11] Vorschlag für eine Richtlinie des Europäischen Parlaments und des Rates v. 19.11.1998 über

den Fernabsatz von Finanzdienstleistungen an Verbraucher, ABlEG C385/10

L 013/12-20

[12] Vorschlag für eine Richtlinie des Europäischen Parlaments und des Rates über
bestimmte rechtliche Aspekte des elektronischen Geschäftsverkehrs im Binnenmarkt, KOM (98) 586 endg. Ratsdok. 5123/99

[13] Vorschlag einer Verordnung des Europäischen Parlaments und des Rates zum
Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch
die Organe und Einrichtungen der Gemeinschaft und zum freien Datenverkehr,

KOM (99) 337 endg., Ratsdok. 11144/99

[14] Entschließung zu "Beschluss des Europäischen Rates zur Erarbeitung einer

Charta der Grundrechte der Europäischen Union", Anlagenband "Dokumente zum

Datenschutz 1999", Teil A III

[15] Frankfurter Allgemeine Zeitung v. 10.1.2000, S. 11

[16] vgl. 4.4.2

[17] vgl. 4.3.1

[18] Entschließung zu "Eckpunkte der deutschen Kryptopolitik - ein Schritt in die richtige

Richtung", Anlagenband "Dokumente zum Datenschutz 1999", Teil A III

[19] Urteil v. 14.7.1999 [LINK], Az.: 1 BvR 2226/94, 1 BvR 2420/95, 1 BvR 2437/95; vgl. 4.1.1,

4.1.2, 4.3.1

[20] Beschluss v. 27.10.1999 [LINK], Az.:1 BvR 385/90

[21] JB 1982, 6.3

[22] Urteil v. 15.12.1999 [LINK], Az.: 1 BvR 653/96

[23] Akteneinsichts- und Informationszugangsgesetz (AIG) v. 10.3.1998, GVBl I, S. 46

[24] vgl. 3.1

[25] vgl. 4.1.2