Das Datenschutzrecht umfasst nach deutschem und europäischem Verständnis die Rechtsnormen, die den Umgang (im europäischen Rechtskontext ist „Verarbeitung“ der Oberbegriff) mit personenbezogenen Daten regeln. In der deutschen Verfassungsordnung findet es seine Grundlage in dem vom Bundesverfassungsgericht im „Volkszählungsurteil“ von 1983 entwickelten Grundrecht auf informationelle Selbstbestimmung, das eine spezielle Ausprägung des Allgemeinen Persönlichkeitsrechts (Art. 2 Abs. 1 in Verbindung mit Art. 1 Abs. 1 Grundgesetz) darstellt.
Explizit ist das Grundrecht auf Datenschutz inzwischen in zahlreichen Verfassungen der Länder sowie – auf europäischer Ebene – in der Charta der Grundrechte der EU (Art. 8, neben dem allgemeineren Recht auf Privatleben in Art. 7) enthalten. In der Rechtsprechung des Europäischen Gerichtshofes für Menschenrechte ergibt sich der Schutz personenbezogener Daten aus dem Recht auf Privatsphäre (Art. 8 der Europäischen Menschenrechtskonvention).
Die Einzelheiten dieses Grund- und Menschenrechts sind innerhalb der EU mittlerweile vor allem durch die Datenschutzrichtlinie (RL 95/46/EG) geregelt, die im Mai 2018 durch die dann in Kraft tretende Datenschutz-Grundverordnung (EU 2016/679) abgelöst wird. Abgesehen von bestimmten Öffnungsklauseln, die national divergierende Regelungen ermöglichen, gelten die in der DS-GVO aufgestellten Rechte und Pflichten unmittelbar und einheitlich in allen Mitgliedstaaten. Hinsichtlich der Öffnungsklauseln finden das Bundesdatenschutzgesetz und vielfältige spezialgesetzliche Regelungen Anwendung.
Die Verarbeitung personenbezogener Daten ist nach den vorgenannten Regelungen und Entscheidungen grundsätzlich nur zweckgebunden zulässig (sog. Zweckbindungsgrundsatz). Die Wahrung der aufgestellten Grundsätze in den Mitgliedstaaten sollen unabhängige Datenschutzbehörden und die Einführung eines Marktort-Prinzips sicherstellen.
Mit der Reform des Rechtsrahmens für elektronische Kommunikation 2009 wurden weiter durch die Richtlinie 2009/136/EG u. a. Informationspflichten für Dienstanbieter im Falle von Datenlecks und eine Zustimmungspflicht des Betroffenen für die Speicherung von Browser-„Cookies“ in die RL 2002/58/EG eingefügt. 2018 sollen diese Bereiche einheitlich von der E-Privacy-Verordnung geregelt werden. Diese stellt eine Lex specialis zur DS-GVO dar und wird sie im Hinblick auf elektronische Kommunikationsdaten, die als personenbezogene Daten einzustufen sind, präzisieren und ergänzen.
Den Ausgleich mit dem Grundrecht auf Meinungsfreiheit stellen Vorschriften zum Datenschutz im Rahmen von journalistisch-redaktionellen Tätigkeiten (sog. Redaktionsdatenschutz) her, die sich für den Rundfunk im Rundfunkstaatsvertrag (RStV) sowie in weiteren Staatsverträgen und Landesmediengesetzen finden. Eine gesetzliche Regulierung für die Presse hat bisher nur rudimentär in den Pressegesetzen einiger Länder stattgefunden; überwiegend wird der Schutz personenbezogener Daten dort durch Mechanismen der freiwilligen Selbstkontrolle, vor allem den Pressekodex des Presserates, sichergestellt. Auf Telemedien finden die speziellen Vorschriften des Telemediengesetzes (TMG) Anwendung.
Mit der DS-GVO wird das Medienprivileg für die Datenverarbeitung in Art. 85 an die Mitgliedsstaaten übertragen. Hiermit werden die Mitgliedstaaten verpflichtet, durch Rechtsvorschriften das Recht auf den Schutz personenbezogener Daten mit dem Recht auf freie Meinungsäußerung und Informationsfreiheit, einschließlich der Verarbeitung zu journalistischen Zwecken und zu wissenschaftlichen, künstlerischen oder literarischen Zwecken, in Einklang zu bringen.
Neben dem Datenschutz gewinnt auch die Datensicherheit mit steigendem Digitalisierungsgrad an Bedeutung. Auch wenn die Datensicherheit Schnittmengen zum Datenschutz aufweist, zielt sie zum einen weniger auf die Persönlichkeitsrechte eines Betroffenen, als vielmehr auf wirtschaftliche Interessen und Bedrohungen unmittelbar für Unternehmen, mittelbar für die Gesellschaft ab. Zum anderen ist Schutzziel nicht das Datum des Einzelnen, sondern die Sicherstellung von Vertraulichkeit, Verfügbarkeit und Integrität der IT-Systeme. In der Praxis finden sich vielfältige Regularien und Normierungen, um die Datensicherheit sicherstellen zu können. Dies sind beispielsweise der IT-Grundschutz des BSI oder ISO/IEC-27000.
Auf europäischer Ebene stehen Maßnahmen und Regularien unter dem Banner der European Cybersecurity Strategy (EU-CSS), die 2013 von der Kommission herausgegeben und deren Notwendigkeit vor allem mit der alarmierenden Zunahme von Sicherheitsvorfällen im Cyberraum – ob nun kriminell oder politisch motiviert, terroristisch oder staatlich veranlasst, beabsichtigt oder unbeabsichtigt -, die die Inanspruchnahme solcher Dienste, die für die Bürger selbstverständlich sind, erheblich stören (können) begründet wurde. In der EU-CSS werden allgemeine Ziele und Vorstellungen von einer Cybersicherheitspolitik dargestellt, die sich auf die drei EU-Politikbereiche Digitale Agenda, Inneres und Außen- und Sicherheitspolitik verteilen. Im Fokus steht dabei unter anderem die Widerstandsfähigkeit („resilience“) gegenüber Cyberangriffen, die durch die Richtlinie zur Netz- und Informationssicherheit (NIS-RL) von 2016 im Bereich kritischer Infrastrukturen hergestellt werden soll.
Auf nationaler Ebene tritt die IT-Sicherheit vor allem aus der Nationalen Strategie zum Schutz Kritischer Infrastrukturen, die sich mit Infrastrukturen im Allgemeinen und Kritischen Infrastrukturen im Besonderen als unverzichtbare Lebensadern moderner, leistungsfähiger Gesellschaften befasst, und der Cyber-Sicherheitsstrategie für Deutschland aus dem Jahre 2016, die sich auf den Bereich der Informationstechnik beschränkt, hervor. Aus diesen resultiert schließlich auch das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) vom 17. Juli 2015, dessen Regulierungsziel vorrangig die Gewährleistung der Verfügbarkeit und Sicherheit der IT-Systeme insbesondere im Bereich der Kritischen Infrastrukturen durch die bewirkten Änderungen im BSI-Gesetz ist. Allerdings gab es auch Änderungen in anderen Bereichen, wobei vor allem die Änderung des Telemediengesetzes für den Medienbereich eine entscheidende Rolle spielt, da sie die Medien als Anbieter (auch) von Online-Inhalten regelmäßig adressiert.
Für Medienunternehmen, die sich in Bezug auf Cyberattacken in einer potentiellen Gefährdungslage befinden, ist der Rechtsrahmen insoweit relevant, als sie von dem großen Rahmen in Form der Strategien (EU-CSS und KRITIS-Strategie) angesprochen werden. Auf Regulierungsebene (NIS-RL und ITSiG) sind die Medien als solche aber offensichtlich nicht – auch nicht analog – angesprochen. Im interoperativen Bereich, also im Bereich der Zusammenarbeit auf Plattformen sind sie wiederum – mehr oder weniger ausdrücklich – zur Beteiligung und Herstellung von IT-Sicherheit aufgerufen.
Rückblick: Webinar „Pay or Okay“ 2024
In unserem Webinar “Pay or Okay” am 8. Juli 2024 hat Kristin Benedikt, Mitglied im Vorstand des EMR, einen Überblick über Angebote von Online-Diensten gegeben, die Nutzern die Wahl lassen, ein bezahlpflichtiges Abo abzuschließen oder personenbezogene Daten für...
EMR-Beitrag in „The Legal Consistency of Technology Regulation in Europe“
{:de} Das von Inge Graef and Bart van der Sloot (Tilburg University) herausgegebenen Handbuch "The Legal Consistency of Technology Regulation in Europe", zu dem auch das EMR ein Kapitel beigetragen hat, wurde im Juni 2024 veröffentlicht. Durch eine Verbindung von...
Rückblick: Jahrestagung zum Europäischen Medienrecht 2023
Am 1. und 2. Juni 2023 fand die Annual Conference on European Media Law statt, die das EMR jährlich in Zusammenarbeit mit der Europäischen Rechtsakademie (ERA) Trier veranstaltet. Tagungsort war in diesem Jahr nicht wie üblich Brüssel, sondern das Konferenzzentrum der...
EuG weist Beschwerde von WhatsApp gegen EDSA-Entscheidung zurück
Mit Beschluss vom 7.12.2022 hat das Gericht der Europäischen Union (EuG) in der Rechtssache WhatsApp Ireland Ltd. gegen Europäischen Datenschutzausschuss (T-709/21) die von WhatsApp gegen den verbindlichen Beschluss des Europäischen Datenschutzausschusses (EDSA) vom...
EuGH entscheidet (erneut) über Vorratsdatenspeicherung
In seinen Urteilen in den Rechtssachen SpaceNet (C-793/19 u.a.) und VD (C-339/20 u. a.) hat der Europäische Gerichtshof am 20. September 2022 erneut über Fragen der anlasslosen Vorratsdatenspeicherung entschieden. Seiner bisherigen Rechtsprechung folgend hat das...
VoD: Alles auf Null bei der digitalen Werbung?
Hitzige Regulierungsdebatten auf beiden Seiten des Atlantiks, die Abschaffung von Cookies von Drittanbietern, die explosionsartige Zunahme von Online-Streaming und E-Commerce – die Werbeindustrie ist derzeit dabei, die Grundlagen ihrer Funktionsweise zu erneuern, mit...
UFITA 2/21 veröffentlicht, Beitrag von Jörg Ukrow
Die UFITA wurde 1928 als „Archiv für Urheber-, Film- und Theaterrecht“ gegründet und gehört seitdem zu den führenden Zeitschriften zum Recht des Geistigen Eigentums. Seit dem Jahr 2018 erscheint sie als neu konzipierte interdisziplinäre Zeitschrift für Medienrecht und...
VoD: Zahlen mit Daten
Der deutsche Gesetzgeber hat im BGB neue Regelungen zu Verträgen über digitale Produkte geschaffen. Sie gelten ab dem 1. Januar 2022 und gehen auf die Digitale-Inhalte-Richtlinie zurück. Damit ist klar, dass der Nutzer mit „seinen Daten bezahlen“ kann. Seine Rechte...
Bundesverfassungsgericht zu Hasskommentaren auf sozialen Plattformen
Mit Beschluss vom 19. Dezember 2021 hat das Bundesverfassungsgericht (BVerfG) mehrere Entscheidungen unterinstanzlicher Gerichte aufgehoben, die der Beschwerdeführerin einen Auskunftsanspruch über die Bestandsdaten von Nutzern, die auf einem sozialen Netzwerk...
Digital Services Act: Europäisches Parlament gibt grünes Licht für Beginn der Verhandlungen mit Mitgliedstaaten
Am 20.1.2022 hat das Europäische Parlament über seine Positionierung zum Vorschlag für eine Verordnung über einen Binnenmarkt für digitale Dienste (Gesetz über digitale Dienste) und zur Änderung der Richtlinie 2000/31/EG abgestimmt. Mit dem mit 530 zu 78 bei 80...