einer Vorschrift des Unionsrechts verwendete Formulierung nicht als alleinige Grundlage für die Auslegung dieser Vorschrift herangezogen werden oder Vorrang vor den anderen sprachlichen Fassungen beanspruchen kann.“ 15 Die EU-Kommission, Antwort auf Parlamentarische Anfragen vom 13. Juli 2018, P-003121/2018(ASW) (Bezugsdokument P-003121/2018), abrufbar unter http://www.europarl.europa.eu/doceo/document/P-8-2018-003121-ASW_DE.html (zuletzt abgerufen am 11.04.2021).
Teil 1: Datenschutzrecht in der EU und in Deutschland
Der Schutz natürlicher Personen durch verbindliche Regelungen für die automatisierte Verarbeitung von personenbezogenen Daten beschäftigt die Europäische Union (EU) spätestens seit den siebziger Jahren des zwanzigsten Jahrhunderts.16 Doch die Wurzeln der datenschutzrechtlichen Entwicklung entstammen Protestbewegungen in den USA aufgrund der Computerisierung von Datenbanken in den 1960er Jahren.17 War es in der Vergangenheit umständlich bis unmöglich, aus verschiedenen Registern Daten über eine natürliche Person zusammenzutragen und ein Profil zu erstellen, sollte dies mit Hilfe des „National Data Centers“ in den Vereinigten Staaten mit nur einem Knopfdruck möglich werden.18
Auf dem europäischen Kontinent wurden ähnliche Themen nur wenige Jahre später diskutiert, als auch hier die Computerisierung von Datenbanken Einzug hielt.19 Der Begriff „data protection“ oder „Datenschutz“ existierte in dem Zusammenhang in den sechziger und zu Beginn der siebziger Jahre noch nicht. In den USA wurde von einem Eingriff in das Schutzgut „privacy“ gesprochen, welches bereits im Jahr 1890 in dem Aufsatz „The Right to Privacy“ von Samuel D. Warren und Louis D. Brandeis geprägt wurde.20
Eingeführt wurde der Begriff des Datenschutzes als Verlegenheitslösung, weil sich „privacy“ ins Deutsche nicht wortgleich ohne Bedeutungsverlust übersetzen ließ.21 Der deutsche Begriff „Datenschutz“ setzte sich durch und wurde internationalisiert,22 obwohl Schutzgut nicht primär die Daten sind, sondern natürliche Personen.23 Eine Abweichung der Terminologie war auch im Rahmen der Fortentwicklung des EU-Rechts und des nationalen Rechts nicht erkennbar und so ist der Begriff auch ein zentrales Element der DSGVO.
16 Simitis, Die EU-Datenschutzrichtlinie – Stillstand oder Anreiz?, NJW 1997, S. 281. 17 Robertson, Data Center Held Peril to Privacy, The New York Times 1966, S. 41, abrufbar unter https://nyti.ms/3uHKOKM (zuletzt abgerufen am 11.04.2021). 18 Packard, Don’t Tell It To the Computer, The New York Times 1967, S. 235, 257–260. 19 Weinraub, Computer Invasion Of Personal Privacy Worries Europeans, The New York Times 1971, S. 1; Blume, The Public Sector and the Forthcoming EU Data Protection Regulation, EDPL 2015, S. 32; Danielsson, Experiences with the Swedish Data Act and Special Regard to its Impact on Organizational Procedures and Technical Measures for Data Protection, in: Griesser (Hrsg.), Realization of Data Protection in Health Information Systems, 1977, S. 115ff. 20 Warren, Samuel D./Brandeis, Louis D., HRL 1890, S. 193–220. 21 Ronellenfitsch, in: Wolff/Brink (Hrsg.), BeckOK DatenschutzR, 28. Aufl. 2019, BDSG 2003 [aK] – II. Historische Entwicklung, Rn. 5; der Ursprung des Begriffes ist unbekannt und lässt sich auf die Ursprünge des hessischen Datenschutzgesetzes im Jahr 1970 zurückführen, vgl. Rüpke/v. Lewinski/Eckhardt, Datenschutzrecht, 2018, § 2 Rn. 53. 22 Vgl. Ronellenfitsch, in: Wolff/Brink (Hrsg.), 28. Aufl. 2019, BDSG 2003 [aK] – II. Historische Entwicklung, Rn. 5: „data protection, protection des données, protección de datos, protezione dei dati, zaschtschyta danych, προστασία δεδομένων, προσωπικού χαρακτήρα; veri koruma, הגנה על נתונים“. 23 Gola/Hümmerich/Kerstan, in: Gola/Hümmerich/Kerstan (Hrsg.), Datenschutzrecht, Teil I, 1977, S. 20: „Aufgabe des Datenschutzes ist es, den Bürger vor mißbräuchlicher Verarbeitung seiner personenbezogenen Daten – das sind Daten, die Auskunft über seine persönlichen oder sachlichen Verhältnisse geben – zu schützen. Nicht die Daten oder der Besitz an den Daten (Stichwort: Computerkriminalität) soll geschützt werden, sondern die Privatsphäre des Einzelnen und sein verfassungsrechtlich geschützter Anspruch (Art. 2 GG) auf eine unantastbare Sphäre privater Lebensgestaltung“.
A. Datenschutzrecht in der EU
Das Datenschutzrecht der EU wird in den Verträgen24 und in der Rechtsprechung des Europäischen Gerichtshofs (EuGH) auf verschiedene Weise gewürdigt. Art. 16 AEUV formuliert, dass jede Person ein Recht auf Schutz der sie betreffenden personenbezogenen Daten hat und ermächtigt zum Erlass von diesbezüglichem Sekundärrecht. Die Europäische Grundrechtecharta (GRCh)25, die den Verträgen im Rang gleichgestellt ist26, sieht in Art. 7 die Achtung des Privat- und Familienlebens vor, während Art. 8 ausdrücklich den Schutz personenbezogener Daten betrifft. Die Vorschriften werden durch Urteile EuGH ausgelegt und präzisiert.
Bis zum Erlass der DSRL im Jahr 1995 war es nicht gelungen, verbindliche europäische Vorgaben für die Datenschutzgesetzgebung zu verabschieden.27 Mit damals nur fünfzehn Mitgliedstaaten verabschiedete der Rat der EU die DSRL am 24. Juli 1995.28 Bis zur Anwendbarkeit der DSGVO im Jahr 2018 war die DSRL das maßgebende Harmonisierungsinstrument für den Datenschutz im europäischen Binnenmarkt.29 Der Überarbeitungsprozess, der letztlich in die DSGVO mündete, wurde allerdings schon im Jahr 2009 angestoßen.30
I. Die Entwicklung des Datenschutzrechts in der EU
Die offizielle Debatte um die Regelungen für den Schutz von Personen aufgrund von computergesteuerter Datenverarbeitung begann in der EU zu Beginn der 1970er Jahre durch Anfragen aus dem Europäischen Parlament (EU-Parlament) an die Europäische Kommission (EU-Kommission).31 Das EU-Parlament forderte in seinen Entschließungen von der EU-Kommission eine „Richtlinie über die Freiheit des Einzelnen und die Datenverarbeitung“32, die das „höchste Schutzniveau für die Gemeinschaftsbürger“33 vorsieht. Dies stand im Widerspruch zu den Interessen der EU-Kommission, den gemeinsamen Markt mit möglichst wenig Beschränkungen zu verwirklichen.34 Immer mehr Mitgliedstaaten führten derweil in nationalen Alleingängen zwischen 1970 und 1988 Datenschutzgesetze ein, die inhaltlich im klaren Widerspruch zur Haltung der EU-Kommission standen.35 Fast zwei Jahrzehnte nach den Forderungen des EU-Parlaments, im Jahr 1990, sollte die EU-Kommission der Europäischen Gemeinschaft den ersten Entwurf für die DSRL vorlegen.36
1. Entwicklung und Ziele der Datenschutzrichtlinie
Die DSRL sollte dazu dienen, das Recht der Mitgliedstaaten zu harmonisieren und dadurch einen freien Fluss der Daten ermöglichen.37 Inhaltlich war die Richtlinie kein Novum, sondern orientierte sich deutlich an den Prinzipien der Datenschutzkonvention des Europarates38 und der Europäischen Menschenrechtskonvention (EMRK) von 1950,39 die sich in den nationalen Gesetzen der Mitgliedstaaten wiederfanden.40 Die Datenschutzgesetze in Deutschland beeinflussten die DSRL ebenfalls.41 Gleichzeitig verkörperte die Richtlinie einen Spagat zwischen der Errichtung eines gemeinsamen Marktes und dem Schutz von natürlichen Personen.42 Sie stellt einen Meilenstein dar, der unter anderem einen Ausbau von Betroffenenrechten und Informationspflichten, unabhängige Kontrolle durch Datenschutzaufsichtsbehörden und eine strenge Zweckbindung der Verwendung von Daten vorsah.43
Die DSRL deckte die Verarbeitung personenbezogener Daten generisch ab und enthielt insbesondere keine spezifischen Vorgaben für die Verarbeitung von personenbezogenen Daten im medizinischen Bereich.44 Die besondere Rolle und das Schutzbedürfnis medizinischer Daten wurde nur dadurch