Datenschutzrechtliche Aspekte im Hinblick auf die NSA-Affäre

Inhaltsverzeichnis

Literaturverzeichnis

Quellenverzeichnis

Abkürzungsverzeichnis

A Einführung

B Mögliche Datenschutzrechtsverletzungen durch die Handlungen der NSA
I. Die NSA-Affäre in ihren Grundzügen
1. Zur weltweiten Überwachungs- und Spionageaffäre
2. Die Aufdeckung und das an die Öffentlichkeit gelangen der Affäre
II. Entstehung und Grundsätze des deutschen Datenschutzrechts
1. Das verfassungsrechtliche Fundament
2. Europäische Richtlinien und internationale Rechtsquellen als Einflüsse
3. Das deutsche Datenschutzrecht in Form des BDSG
III. Verfassungsrechtliche Betrachtung der NSA-Affäre
1. Das allgemeine Persönlichkeitsrecht
2. Das Recht auf informationelle Selbstbestimmung
3. Aspekte des Fernmeldegeheimnisses
4. Verwertung der Ergebnisse in Form einer Verhältnismäßigkeitsabwägung
5. Zwischenergebnis der verfassungsrechtlichen Einordnung
IV. Datenschutzrechtliche Untersuchung der NSA-Affäre
1. Die NSA als öffentliche oder nicht-öffentliche Stelle
2. Der spezifisch relevante Horizont des Bundesdatenschutzgesetzes
3. Ausgewählte, möglicherweise datenschutzrechtlich problematische Beispiele der NSA-Affäre
V. Internationaler Ausblick unter dem Aspekt besonderer Abkommen und Gesetze
1. Die Europäische Menschenrechtskonvention und die Charta der Grundrechte der Europäischen Union
2. Das Safe Harbor Abkommen
3. Der USA PATRIOT Act
4. Zwischenergebnis der internationalen Betrachtung

C Schlussbetrachtung

Literaturverzeichnis

Abbildung in dieser Leseprobe nicht enthalten.

Quellenverzeichnis

Abbildung in dieser Leseprobe nicht enthalten.

Abkürzungsverzeichnis

Abbildung in dieser Leseprobe nicht enthalten.

A Einführung

Seit ihrem Bekanntwerden 2013 hat die NSA-Affäre zu einer starken medienwirksamen und internationalen Debatte geführt. Verschiedene Faktoren sind dafür verantwortlich. Obwohl grundsätzliche Informationen über Geheimdienste zugänglich sind, haben die konkreten Aufdeckungen große Brisanz. Erstmalig sind weitreichende Details über nachrichtendienstliche Operationen an die Öffentlichkeit gelangt. Der Umfang mancher Aktionen der NSA hat die Dimensionen der Überwachung von Betroffenen durch Geheimdienste aufgezeigt. So werden Millionen von unterschiedlichen Daten weltweit auf verschiedene Weise durch den US-Geheimdienst erhoben und gespeichert. Betroffen sind Metadaten, also z. B. Verbindungsdaten von Webseiten, die eine Person aufgerufen hat, aber auch Inhalte von Telefongesprächen oder E-Mails.¹ Als besonderes Ziel in Europa wird Deutschland am stärksten vom Vorgehen der NSA tangiert.²

Nicht nur der Umfang der Handlungen des US-Nachrichtendienstes hat für Aufsehen gesorgt. Umstritten ist auch die Art der Vorgehensweise des US-Geheimdienstes. Abhöraktionen werden aus Botschaften fremder Staaten heraus durchgeführt.³ Sehr große Datenmengen werden direkt an transatlantischen unterseeischen Glasfaserinternetkabeln abgefangen.⁴ Dies sind einige Beispiele, die begründen, weshalb die Spionageaffäre weltweit in der Öffentlichkeit kontrovers diskutiert wird.

Die Schlüsselfigur in der NSA-Affäre ist Edward Snowden. Durch den ehemaligen Geheimdienstmitarbeiter ist der Vorfall aufgedeckt worden. Snowden hat geheime Dokumente der Öffentlichkeit zur Verfügung gestellt, was unterschiedliche Resonanzen hervorgerufen hat. Die einen sehen in der Veröffentlichung der Dokumente einen wichtigen Schritt zur Aufklärung der Spionageaffäre. Für wieder andere stellen die Dokumente gefährliche Informationen dar, welche nicht an die Öffentlichkeit gelangen sollten.⁵

Es gilt zu untersuchen, wie die Aktionen der NSA im Hinblick auf Grundrechte und Datenschutzrechte zu bewerten sind. Der Fokus soll dabei auf datenschutzrechtlichen Überlegungen beruhen. In diesem Rechtsrahmen fließen spezialgesetzliche Regelungen für Geheimdienste mit ein, ohne einen Schwerpunkt zu bilden.

Im Hinblick auf die große Debatte in der Öffentlichkeit über die NSA-Affäre stellt sich die Frage, ob vorgenannte Rechte tatsächlich verletzt sind oder partiell solche Handlungen gesetzlich gerechtfertigt werden können. Um das Ziel der Untersuchung zu erreichen, sind verschiedene Schritte notwendig.

Zuerst ist die NSA-Affäre verfassungsrechtlich zu betrachten. Das Grundgesetz kann als Fundament des Datenschutzes gesehen werden. Der Datenschutz ist als Persönlichkeitsrecht einzustufen.⁶ Dem folgend stellt sich die Frage, ob das Persönlichkeitsrecht eine Bewertung für die Spionageaffäre zulässt und inwiefern dieses Grundrecht durch die Aktionen der NSA verletzt sein könnte. Anschließend ist das Grundrecht auf informationelle Selbstbestimmung zu untersuchen. Dieses Grundrecht ist vornehmlich durch die Rechtsprechung geformt worden und leitet sich vom allgemeinen Persönlichkeitsrecht ab. Aus diesem Grund ist das sog. Volkszählungsurteil von Bedeutung und muss beleuchtet werden. Im Rahmen des Urteils wurde das Recht auf informationelle Selbstbestimmung ausgearbeitet, ausgelöst durch die Problematiken einer Volkszählung.⁷ Die Problematik einer möglichen Verletzung des Rechts auf informationelle Selbstbestimmung ist auch in diesem Zusammenhang von Bedeutung. Operationen der NSA wirken sich auf Art. 10 GG und das dort verankerte Post-, Brief- und Fernmeldegeheimnis aus. Spezialgesetzliche Regelungen für Geheimdienste, wie das Artikel 10-Gesetz, schränken die Grundrechte aus Art. 10 GG ein. Die NSA könnte als Geheimdienst darunter fallen. Das ist zu erläutern und in diesem Zusammenhang muss eine mögliche Rechtfertigung durch diese gesetzliche Einschränkung erörtert werden. Aufbauend auf den gewonnenen Erkenntnissen ist eine Verhältnismäßigkeitsabwägung vorzunehmen.

Im Anschluss an die verfassungsrechtliche Würdigung der NSA-Affäre ist der Vorfall nach dem Datenschutzrecht zu beurteilen. Dazu muss zunächst der US-Geheimdienst als öffentliche oder nicht-öffentliche Stelle eingeordnet werden. Das ist für den Gang der Untersuchung nach dem BDSG wichtig, da für öffentliche und nicht-öffentliche Stellen unterschiedliche Paragraphen einschlägig sind gem. den §§ 12 ff BDSG und den §§ 27 ff BDSG. Danach müssen die gesetzlichen Voraussetzungen für die Anwendung auf die NSA-Affäre aufgezeigt werden. Die Fülle an unterschiedlichen Operationen des US-Nachrichtendienstes macht eine Gesamtwürdigung aller durchgeführten Aktionen unmöglich. Direkt bezugnehmend auf diesen konkreten gesetzlichen Horizont sind deswegen ausgewählte Einzelbeispiele zu untersuchen und unter diesen zu subsumieren. Dabei werden die jeweiligen rechtlichen Besonderheiten, die jedes einzelne Beispiel aufweist, beleuchtet.

Der starke internationale Bezug, den die Thematik um die NSA-Affäre hat, macht einen internationalen Ausblick nötig. Vor diesem Hintergrund ist in Bezug auf die Spionageaffäre insbesondere europäisches Recht zu analysieren und festzustellen, ob in der Bewertung Unterschiede zum deutschen Recht bestehen. Das Safe Harbor Abkommen ist im Zusammenhang mit involvierten Unternehmen zu betrachten. Den letzten Punkt bildet der USA PATRIOT Act und die Frage der Vereinbarkeit mit deutschem Datenschutzrecht.

B Mögliche Datenschutzrechtsverletzungen durch die Handlungen der NSA

I. Die NSA-Affäre in ihren Grundzügen

Bis zu einem gewissen Grad ist bekannt, in welcher Form Geheimdienste agieren. Konkrete Details werden bewusst im Verborgenen gehalten. Diese Tatsache hat dazu beigetragen, eine weltweite Empörung über die Handlungen der National Security Agency auszulösen, als diese bekannt wurden. Im Folgenden wird in seinen Grundzügen erläutert, was sich im Rahmen der Spionageaffäre abgespielt hat. Darüber hinaus wird dargestellt, wie der Vorfall aufgedeckt worden ist.

1. Zur weltweiten Überwachungs- und Spionageaffäre

Maßgeblich für die weltweite Diskussion um die NSA-Affäre sind die Handlungen des Geheimdienstes in Zusammenarbeit mit Verbündeten sowie das Ausmaß der Opterationen. Global unterschiedlich stark ausgeprägt hat der US-Geheimdienst NSA auf verschiedenste Weise Daten von Regierungen, Unternehmen, aber auch von Privatpersonen ausgespäht.

Darüber hinaus werden Daten über andere Geheimdienste verschiedener Staaten, wie den deutschen Bundesnachrichtendienst, bezogen. Zur effektiveren Zusammenarbeit wurde ein Verbund mit dem Namen „Five Eyes Alliance“ gegründet. In diesem Zusammenschluss tauschen die USA, Großbritannien, Australien, Neuseeland und Kanada Geheimdienstinformationen aus.⁸

Ferner kam es zur Zusammenarbeit zwischen dem deutschen und US-amerikanischen Geheimdienst und insbesondere im Bereich des Afghanistankonflikts zum Austausch von Informationen. NSA-Teams haben den BND beim Gewinnen von Informationen diesbezüglich unterstützt. Von gegenseitiger Hilfe ist bei sogenannten „Joint Operations“ die Rede. In bestimmten Einzelfällen, die u. a. die Terrorabwehr oder Rüstungslieferungen betreffen, wird gemeinsam vorgegangen.⁹

Der gegenseitige Austausch von Informationen hielt die NSA nicht davon ab, Deutschland als primäres Ziel in Europa auszuspionieren.¹⁰ Viele verschiedene Ziele werden in der EU durch die NSA z. B. im Rahmen der Telekommunikation abgehört. In Ländern wie Frankreich oder Italien sind diese Zugriffe signifikant geringer als in Deutschland.¹¹

Daraus ergibt sich die Frage, wie die National Security Agency vorgeht und weshalb Deutschland im Fokus der Operationen des Geheimdienstes steht.

Die NSA teilt Staaten in Kategorien ein. Länder der Klasse zwei, also Partner der „2nd party“, sind für sie enge Freunde. Dazu zählen Staaten wie Großbritannien, Kanada, Australien und Neuseeland. Diese Staaten müssen nicht für die NSA aktiv werden und stellen keine Ausspähziele dar. Anders verhält es sich mit Staaten dritter Klasse, Nationen der „3rd party“, zu denen die NSA ungefähr 30 Länder zählt. Aus einer internen Präsentation des US-Geheimdienstes geht hervor, dass diese Staaten bewusst ausspioniert werden. Deutschland ist eines dieser Länder, die der „3rd party“ angehören.¹²

Nach den Terroranschlägen vom 11. September 2001 in New York wurde von dem damaligen US-Präsidenten George W. Bush der „Krieg gegen den Terror“ erklärt. In diesem Rahmen wurde der sog. USA PATRIOT Act erlassen. Dieser schränkt das Datenschutzrecht mittelbar ein und gibt den Geheimdiensten eine erweiterte Handhabe Daten zu sammeln. Das hat u. a. dazu geführt, dass die NSA in den USA und weltweit ein sehr großes Konvolut an Daten gesammelt hat und immer noch sammelt.¹³

Zwei Gründe sprechen u. a. für Deutschland als Primärziel der NSA in Europa. Ein Mitarbeiter der National Security Agency hat den Zusammenhang zwischen der Überwachung von Deutschland und den Anschlägen des 11. Septembers 2001 in New York verdeutlicht. Die US-amerikanische Regierung sei seit den Anschlägen auf das World Trade Center misstrauisch in Bezug auf Deutschland, denn einige terroristische Piloten seien aus Hamburg gekommen.¹⁴

Ferner laufen in Frankfurt am Main wichtige Internetknotenpunkte zusammen. Der Internetdatenverkehr mit z. B. Mali, Syrien und Osteuropa wird über diese Punkte geregelt. Im Rahmen der deutschen Zusammenarbeit mit dem US-Geheimdienst hat die NSA Zugriff auf diese Punkte. Bei der Suche nach Daten kann die NSA darüber hinaus Filtereinstellungen mit dem BND abstimmen.¹⁵ Diese Gegebenheiten machen Deutschland als Informationsquelle für die NSA besonders interessant.

Geheimdienste wollen mit Ihren Informationen verschiedene Ziele erreichen. So geht es um die innere Sicherheit eines Staates und damit auch um die Verhinderung von terroristischen Anschlägen. Vor diesem Hintergrund agiert die NSA weltweit. Um an Daten zu kommen, bedient sich der US-Geheimdienst verschiedener Methoden und Technologien.

Grundlegend sind zwei Vorgehensweisen bei den Spionageaktivitäten der NSA zu unterscheiden. Auf der einen Seite steht das Abfangen von Informationen in Echtzeit, also das Analysieren von aktuellen Datenströmen einzelner Leitungen der Telekommunikation oder des Internetverkehrs. Die Umleitung und Speicherung von sehr großen Datenmengen des Telekommunikations- und Internetverkehrs fallen ebenso unter die Überwachung in Echtzeit.

Im Gegensatz dazu stehen Informationen, die bereits auf Servern von z. B. Unternehmen gespeichert sind. Diese werden nachträglich mithilfe von Programmen abgefangen.¹⁶ Gesetzlich gibt es Grundlagen in den USA für das Abfangen von gespeicherten Daten, u. a. nämlich Sec. 215 USA PATRIOT Act und FISA. Einige Beispiele sollen zeigen, wie die NSA konkret vorgeht.

Als eine Untereinheit der NSA kooperiert der Special Collection Service mit dem US-Geheimdienst CIA. Diese Einheit erhebt u. a. in Berlin in Echtzeit Daten. Die Daten ergeben sich z. B. aus dem Abhören von Telekommunikation. Wie weit diese Operationen reichen, zeigen geheime Dokumente, aus denen hervorgeht, dass auch die deutsche Bundeskanzlerin abgehört wurde und wird.¹⁷

Für den Geheimdienst sind Smartphones ein interessantes Abhörziel, wie weitere geheime Dokumente belegen. Verschiedene Informationen laufen in diesen Geräten zusammen. Auch Telefone, die als abhörsicher gelten, stellen für die NSA kein Problem dar. Sie können ebenfalls auf diese zugreifen.¹⁸

Ein Beispiel für die nachträgliche Speicherung von Daten ist das Programm „PRISM“. Dieses Programm gewährt Zugriff auf die Daten, welche auf den Servern verschiedener Unternehmen liegen, die im Bereich von Internetdiensten tätig sind.¹⁹

Jegliche Informationen über die Handlungen der NSA unterliegen strengsten Geheimhaltungsstufen. In diesem Zusammenhang wurden auch Informationen über andere Geheimdienste aus verschiedenen Staaten bekannt, die in keiner Weise für die Öffentlichkeit bestimmt waren. Es wird erläutert, wie der Vorfall an die Öffentlichkeit gelangt ist.

2. Die Aufdeckung und das an die Öffentlichkeit gelangen der Affäre

Im Mittelpunkt bei der Aufdeckung des Vorfalls steht Edward Joseph Snowden. Als ehemaliger Mitarbeiter der National Security Agency hatte er Zugriff auf die Computersysteme des Geheimdienstes. Die streng geheimen Dokumente beinhalten verschiedene, unter Verschluss gehaltene Informationen. Einige Inhalte betreffen digitale Spionage, geplante Drohnenangriffe, aber auch weitere Observationen. Snowden hat einen Teil des Materials auf private Festplatten gespeichert und der Öffentlichkeit zugänglich gemacht. Aufgrund dessen wurde eine der größten Debatten über Aktionen von Geheimdiensten weltweit ausgelöst. Europäische Zeitschriften und Tageszeitungen, wie der Guardian und der Spiegel, aber auch die New York Times oder die Washington Post haben die Dokumente weiter ausgewertet. Dabei ist das enorme Ausmaß der Datensammlungen der NSA und weiterer Geheimdienste an das Tageslicht getreten.²⁰

Neben Regierungen, Unternehmen und Privatpersonen wird auch die Snowden unterstützende Enthüllungsplattform Wikileaks ausgespäht. Dokumente des ehemaligen NSA-Mitarbeiters belegen dies.²¹

Das Veröffentlichen der geheimen Dokumente wird weltweit kontrovers beurteilt. Verschiedene Äußerungen in Deutschland aus Politik und Wirtschaft bestätigen das moralische Zerwürfnis in Zusammenhang mit den Veröffentlichungen. Den einen gilt Snowden als Vertreter des Rechts. Andere sehen darin gefährliche Handlungen für beteiligte Personen und für das Ansehen von Staaten.²²

Diese Umstände erfordern die Erläuterung, wie die NSA-Affäre rechtlich zu bewerten ist und ob datenschutzrechtliche Verletzungen gegeben sind. Der Sachverhalt ist staatenübergreifend, denn verschiedene Nationen sind involviert. Die NSA ist ein US-Geheimdienst. Deutschland ist von den Handlungen der Geheimdienste stark betroffen. Dokumente der höchsten Sicherheitsstufe „Top Secret/NOFORN“ belegen, wie die NSA Druck auf den BND ausgeübt hat. Der BND hat in diesem Rahmen die deutsche Regierung beeinflusst, sodass das Artikel 10-Gesetz weicher ausgelegt werden soll als zuvor.²³ Das hat Auswirkungen auf den deutschen Datenschutz. Die Würdigung der Affäre soll nach deutschem Recht erfolgen.

II. Entstehung und Grundsätze des deutschen Datenschutzrechts

Mit dem Datenschutzrecht sollen Personen im Zusammenhang mit ihren Daten geschützt werden. Das passiert mit Bestimmungen über Verfügungsbefugnisse in Bezug auf personenbezogene Daten und aufgrund von technischen Vorkehrungen, die diese Daten schützen sollen. Ein Irrtum ist es anzunehmen, das Datenschutzrecht schütze in erster Linie die eigentlichen Daten. Das kann als technische Begleitmaßnahme angesehen werden. Zweck bzw. Schutzobjekt des Datenschutzes ist die von der Datenverarbeitung betroffene Person. Diese Person soll nicht nur im Hinblick auf ihre Privatsphäre geschützt werden, sondern auch in sozialen und gesellschaftlichen Lebensbereichen. Es soll damit eine Selbst- und Mitbestimmungsbefugnis über persönliche Daten erreicht werden.²⁴

Das deutsche Datenschutzrecht unterliegt verschiedenen Einflüssen. Es fußt auf Verfassungsrecht. Ferner wurde es durch europäische Richtlinien und internationale Rechtsquellen mitgestaltet. Für die rechtliche Bewertung der NSA-Affäre ist es wichtig, die Elemente und Grundzüge des deutschen Datenschutzes aufzuzeigen.

1. Das verfassungsrechtliche Fundament

Zweck des Datenschutzrechts ist es, den Einzelnen davor zu schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird gem. § 1 Abs. 1 BDSG.

Das Datenschutzrecht ist als Persönlichkeitsrecht anzusehen und somit ein essentielles Grundrecht. Sehr früh hat der BGH das allgemeine Persönlichkeitsrecht aus Art. 1, 2 GG als „Muttergrundrecht“ bestätigt. Dass der Begriff des allgemeinen Persönlichkeitsrechts unbestimmt und weit ist, begründet der BGH mit der Dynamik des Inhalts des Persönlichkeitsrechts. Eine abschließende Festlegung der Grenzen des Begriffs sei deshalb nicht vorzunehmen.²⁵ Die Ausprägungen des Inhalts sind abhängig vom Einzelfall.²⁶ Das allgemeine Persönlichkeitsrecht ist in der Menschenwürde aus Art. 1 GG und der freien Selbstbestimmung des Menschen aus Art. 2 Abs. 1 GG begründet.²⁷

Als besondere Form des Persönlichkeitsrechts hat sich das Recht auf informationelle Selbstbestimmung herauskristallisiert. Laut Bundesverfassungsgericht gewährleistet dieses Recht der einzelnen Person, selbst über die Offenlegung ihrer persönlichen Daten zu verfügen. Das umfasst auch die Verwendung der persönlichen Daten.²⁸ Das Recht auf informationelle Selbstbestimmung wird als „Grundrecht auf Datenschutz“ bezeichnet. Es kann im überwiegenden Allgemeininteresse gegenüber den Interessen des Einzelnen eingeschränkt werden.²⁹ Der Grundsatz der Verhältnismäßigkeit ist zu beachten.³⁰

Die Bedeutung der Geräte mit Zugriff auf das Internet bzw. auf Webseiten und Onlinefunktionen nehmen stetig zu. Aus diesem Grund ergeben sich neue Ableitungen von Rechten aus dem Persönlichkeitsrecht bzw. aus dem Recht auf informationelle Selbstbestimmung. Eine weitere Ableitung ist das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme. Die geheime Infiltration und Überwachung von Computern soll in Relation zu einem überragend wichtigen Rechtsgut gesetzt werden. Nur durch Anhaltspunkte einer konkreten Gefahr für ein solches überragendes Rechtsgut kann die Überwachung in Einklang mit verfassungsrechtlichen Grundsätzen stehen.³¹

Im Rahmen des Grundrechtsschutzes in Bezug auf Daten sind bereichsspezifisch geschützte Güter zu beachten. Damit ist u. a. das Telekommunikationsgeheimnis aus Art. 10 GG gemeint. Die nicht direkte unbeobachtete Kommunikation soll geschützt werden.³²

Der Datenschutz in Zusammenhang mit beruflichen Vertrauensverhältnissen ist abgeleitet aus dem Verfassungsrecht. Die ärztliche Schweigepflicht basiert z. B. auf § 203 StGB, kann aber auf das Grundgesetz zurückgeführt werden.³³

Weiterentwicklungen des Grundrechts sind besonders im Bereich der Informationstechnologie zu finden. Die Grundrechte auf Selbstschutz oder auf Anonymität können für Beispiele als Ausprägungen des allgemeinen Persönlichkeitsrechts verstanden werden.

Das Grundrecht auf Selbstschutz im Internet ist im Recht auf Verschlüsselung der eigenen Datenverarbeitung zu sehen. Die anonyme oder pseudonyme Nutzung, z. B. von datenverarbeitenden Systemen, ist Teil des Selbstschutzes.³⁴

Ist die Wahrscheinlichkeit, dass ein personenbezogenes Datum nach dem Stand der Wissenschaft oder Technik einer Person zugeordnet werden kann, ausgeschlossen, so liegt Anonymität vor.³⁵ Wegen des Grundrechts auf Anonymität dürfen nicht beliebig personenbezogene und diesen Personen zurechenbare Daten erhoben werden.

Dogmatisch ist der Ansatz, ein eigenständiges Grundrecht auf Anonymität aus dem allgemeinen Persönlichkeitsrecht abzuleiten, umstritten. Das Recht auf informationelle Selbstbestimmung reiche zum Schutz einer Person vor Ausspähung aus. Aufgrund des Rechtsschutzes Dritter sei diesem Ansatz mit Skepsis zu begegnen.³⁶ Es handelt sich hier um einen dogmatischen Unterschied. Eine hundertprozentige anonyme Nutzung des Internets ist ausgeschlossen, z. B. zum Schutz der Vertragsparteien eines Kaufvertrags. Mit dem Grundrecht auf Anonymität soll klargestellt werden, dass nicht unkontrolliert personenbezogene Nutzerprofile von Nutzern erstellt werden. Der Nutzer einer Webseite soll selbst entscheiden können, inwiefern er persönliche Daten preisgibt. Dieser Schutz kann auch durch das Recht auf informationelle Selbstbestimmung erreicht werden. Beide Ansichten können dem Schutzzweck gerecht werden. Diese schließen sich nicht aus, sondern haben lediglich einen unterschiedlichen rechtssystematischen Ansatz.

Das Verfassungsrecht ist nicht ausschließlich von großer Bedeutung für das deutsche Datenschutzrecht. Es stellt das grundgesetzliche Fundament des Datenschutzes dar. Europäische Richtlinien und internationale Rechtsquellen haben dieses auch mitgeprägt.

2. Europäische Richtlinien und internationale Rechtsquellen als Einflüsse

Innerhalb der Europäischen Union wurde erstmals ein staatenübergreifender Rechtsrahmen für den Datenschutz mit der Datenschutzrichtlinie 95/46/EG geschaffen. Vorige Regelungen, wie die Datenschutzkonvention des Europarats Nr. 108 von 1980, waren aufgrund der neuen Richtlinie gegenstandslos. Bis zum 24.10.1998 hatten die EU-Mitgliedstaaten Zeit die Richtlinie umzusetzen. Die Richtlinie hat eine mittelbare Wirkung gegenüber den Bürgern eines EU-Mitgliedstaates, da sie in nationales Recht eingeflossen ist. Bei einer richtlinienkonformen Auslegung wird diese berücksichtigt.³⁷

In den Erwägungsgründen finden sich die Ziele der Richtlinie. Im Rahmen der Erhebung von personenbezogenen Daten sollen die Grundrechte und -freiheiten natürlicher Personen geachtet werden. Die Privatsphäre fällt auch darunter.³⁸ Ein bestimmtes Schutzniveau soll durch die Richtlinie erreicht bzw. sichergestellt werden. Die unterschiedlichen Datenschutzniveaus der einzelnen EU-Mitgliedstaaten sollen einander angeglichen werden.³⁹ Von großer Relevanz ist das für den freien Verkehr von Waren, Dienstleistungen und Kapital im Binnenmarkt der EU.⁴⁰ Das darf nicht mit einem Mindestschutz verwechselt werden. Eine Klausel über einen Mindeststandard enthält die Richtlinie nicht. Es soll ein gleichwertiges Schutzniveau im Vordergrund stehen.⁴¹

Ein besonderer Unterschied zum BDSG besteht darin, dass die Richtlinie 95/46/EG nicht zwischen öffentlichen und nicht-öffentlichen Stellen unterscheidet. Sie gilt für die öffentlichen Stellen und die Privatwirtschaft gleichermaßen.⁴²

Aufgrund der schnellen Entwicklung des Internets und der damit verbundenen globalen Internetwirtschaft wurde der eingeschränkte Harmonisierungsbereich der Richtlinie diskutiert. Ferner gibt es Äußerungen in der Literatur in Bezug auf die Praktikabilität mancher Datenschutzbestimmungen, besonders im Bereich des konkreten Verarbeitungskontexts.⁴³ Die Richtlinie sei ein erster Schritt hin zu einem präzisen Regelungssystem.⁴⁴ Im Bereich zunehmender mobiler Datenverarbeitung seien Modernisierungen notwendig.⁴⁵

Um diesen Herausforderungen gerecht zu werden, sind neuere Richtlinien erlassen worden. Diese sollen den europäischen Datenschutz an die aktuellen elektronischen Gegebenheiten angleichen.

Eine Neuerung des europäischen Datenschutzes sollte 2002 mit der Richtlinie 2002/58/EG umgesetzt werden. Hintergrund der Richtlinie ist zu diesem Zeitpunkt die immer stärker werdende Relevanz des Internets und der mobilen Kommunikation und der in diesem Zusammenhang erhobenen Daten.⁴⁶ Die immer stärker zum Einsatz kommenden neuen Technologien bringen neue Anforderungen an den Schutz personenbezogener Daten mit sich. Das umfasst die Privatsphäre der Nutzer.⁴⁷ Besondere rechtliche, ordnungspolitische und technische Vorschriften sollen erlassen werden. Diese sollen die Grundrechte und -freiheiten natürlicher Personen schützen sowie die berechtigten Interessen juristischer Personen. Die Bestimmungen sollen zwischen den Mitgliedstaaten harmonisiert werden, um einen gleichwertigen Schutz zu gewährleisten.⁴⁸ Diese Richtlinie ergänzt die Datenschutzrichtlinie 95/46/EG gem. Art. 1 Abs. 2 RL 2002/58/EG.

Aufgrund der rasanten Entwicklung des Internets und der damit verbundenen Technologien sowie der mobilen Kommunikation wurde die Richtlinie 2009/136/EG erlassen. Diese reformiert die Richtlinie 2002/58/EG in verschiedenen Aspekten. Der Fokus liegt auf dem Schutz personenbezogener Daten. Der Art. 4 RL 2002/58/EG soll z. B. dahingehend geändert werden, dass ausschließlich ermächtigte Personen für rechtlich zulässige Zwecke Zugang zu personenbezogenen Daten haben gem. Art. 2 RL 2009/136/EG.

Jede Internetnutzung hinterlässt Daten auf den besuchten Webseiten. Diese Daten verweilen auf Servern. Das langfristige Sichern dieser Daten wird als Vorratsdatenspeicherung bezeichnet. Bestimmungen hierzu finden sich in der Richtlinie 2006/24/EG. Diese Richtlinie wirkt sich auf die Datenschutzrichtlinie 95/46/EG aus und auf die Richtlinie 2002/58/EG. Die Richtlinie 2002/58/EG stellt sicher, dass Daten, die infolge der Nutzung elektronischer Kommunikation entstanden sind, gelöscht werden müssen. Gelöscht werden müssen die Daten, sobald sie nicht mehr zur Übermittlung einer Nachricht benötigt werden. Hingegen dürfen die Daten verbleiben, wenn diese gebraucht werden, um Gebühren abzurechnen. Willigt der Betroffene ein, können die Daten auch zu Vermarktungszwecken verarbeitet werden.⁴⁹ Diese Bestimmungen können aufgeweicht werden, z. B. zum Zwecke der öffentlichen Sicherheit gem. Art. 15 RL 2002/58/EG. Die Richtlinie 2006/24/EG weitet diese Bestimmungen dahingehend aus, dass Dienstanbieter verpflichtet sind bestimmte Daten auf Vorrat zu speichern.⁵⁰ Die Daten sollen zum Zwecke der Ermittlung, Feststellung und Verfolgung von schweren Straftaten bereit stehen nach Art. 1 Abs. 1 RL 2006/24/EG. Die Richtlinie bezieht sich auf sog. Metadaten. Das sind Daten, die durch elektronische Kommunikationsvorgänge, wie Verkehrs- und Standortdaten gem. Art 1 Abs. 2 RL 2006/24/EG, erzeugt werden. Es handelt sich nicht um die Speicherung von inhaltlichen Daten, wie z. B. Gesprächen.⁵¹

Im europäischen Kontext sind ferner internationale Rechtsquellen in Form der EU-Grundrechtecharta und der Europäischen Menschenrechtskonvention beachtlich. Beide Regelwerke enthalten Bestimmungen zum Datenschutz. So ist die Kommunikation jeder Person zu achten gem. Art. 7 der EU-Grundrechtecharta. Darüber hinaus hat jede Person das Recht auf Schutz der sie betreffenden personenbezogenen Daten lt. Art. 8. Vom Recht auf Achtung der Korrespondenz jeder Person spricht Art. 8 EMRK.

Der EuGH hat sich in der verbundenen Rechtssache Digital Rights Ireland Ltd/Kärntner Landesregierung vom 08.04.2014 mit der Rechtmäßigkeit der Richtlinie auseinandergesetzt. Im Rahmen der Verhältnismäßigkeit muss abgewogen werden. Auf der einen Seite steht die Terrorbekämpfung und somit das Gemeinwohl, auf der anderen der Schutz der einzelnen Person und deren Rechte auf Datenschutz und Privatsphäre.⁵² Die Einschränkungen der Achtung des Privatlebens müssen sich auf ein Minimum beschränken.⁵³ Dies war hier nicht der Fall. Der Grundsatz der Verhältnismäßigkeit im Hinblick auf Art. 7 und 8 der EU-Grundrechtecharta wurde vom Unionsgesetzgeber überschritten.⁵⁴ Die Richtlinie 2006/24/EG ist seit dem 08.04.2014 ungültig.

3. Das deutsche Datenschutzrecht in Form des BDSG

Das deutsche Datenschutzrecht reicht bis in die Anfänge der 1970er Jahre zurück. Das Land Hessen hat das erste allgemeine Landesdatenschutzrecht 1970 weltweit verabschiedet. Daraufhin wurde 1971 ein Referentenentwurf zu einem Bundesdatenschutzgesetz vorgelegt. Das Bundesdatenschutzgesetz ist am 01.01.1977 in Kraft getreten. Die zukünftigen technischen Gegebenheiten konnten 1977 nur erahnt werden. Dies gilt auch für die Veränderung der elektronischen Datenverarbeitung.

Aufgrund dessen wurde das Bundesdatenschutzrecht novelliert.⁵⁵ Unter anderem hat das Volkszählungsurteil des Bundesverfassungsgerichts Einfluss auf das Bundesdatenschutzrecht genommen. Das BVerfG hat erstmals von dem Recht auf informationelle Selbstbestimmung gesprochen.⁵⁶ So ist am 01.06.1991 das „zweite“ BDSG in Kraft getreten, dessen Fokus auf den datenschutzrechtlichen Regelungen des öffentlichen Bereichs gelegen hat.⁵⁷

Der Erlass der EU-Datenschutzrichtlinie 1995 hat zu einer weiteren Novellierung des BDSG geführt. Die Neuerungen sollten spätestens bis zum 24.10.1998 umgesetzt werden. Am 23.05.2001 konnte das europarechtskonforme BDSG in Kraft treten.⁵⁸ Mit der zweiten Novellierung hat das BDSG eine Anpassung an die neuen Umstände der elektronischen Datenverarbeitung erfahren. Grundsätze des BDSG, wie die Datenvermeidung und Datensparsamkeit gem. § 3a BDSG, hat der Gesetzgeber 2001 formuliert. Ein weiterer wichtiger Grundsatz ist das Verbot der Datenerhebung mit Erlaubnisvorbehalt aus § 4 BDSG, welches auch in Zusammenhang mit der Datenschutzrichtlinie genannt wurde.⁵⁹ Weitere Anpassungen wurden zunehmend im privaten Bereich vorgenommen, wie z. B. im Arbeitnehmerdatenschutz.⁶⁰

Für die Modernisierung des deutschen Datenschutzes und deren Bestimmungen ist ferner das Urteil des BVerfG vom 27.02.2008 von Bedeutung. Das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme ist damit gemeint. Dieses Grundrecht hat das BVerfG in besagtem Urteil formuliert.⁶¹ Das BDSG gilt in seiner novellierten Fassung vom 14.08.2009.

Bereits 2010 wurde die Vorratsdatenspeicherung von Telekommunikationsdaten als verfassungswidrig eingestuft. Damit hat das BVerfG einige Spezialnormen aus dem TKG, nämlich § 113a und b TKG, für unzulässig erachtet.⁶²

Das Bundesdatenschutzgesetz enthält in § 1 den Zweck des Gesetzes. Eine Legaldefinition des Datenschutzes lässt sich nicht finden. Damit wird der Charakter des Gesetzes verdeutlicht. Der Datenschutz lässt sich nicht mit dem BDSG allein verwirklichen. Zahlreiche weitere spezielle Gesetze sind für den Datenschutz von Bedeutung. Diese konkretisieren den Datenschutz.⁶³ Das BDSG ist ein Schutzgesetz. Daraus ergeben sich verschiedene Konsequenzen. Wird gegen die Normen des Gesetzes verstoßen, die den Betroffenen schützen sollen, besteht möglicherweise ein Schadensersatzanspruch aus § 823 Abs. 2 BGB.⁶⁴

Damit das BDSG einschlägig ist, muss dessen Anwendungsbereich eröffnet sein. Der sachliche Anwendungsbereich ergibt sich aus § 1 Abs. 2 BDSG und der räumliche aus § 1 Abs. 5.

Für den sachlichen Anwendungsbereich muss es sich um die Erhebung, Verarbeitung und Nutzung personenbezogener Daten handeln gem. § 1 Abs. 2 BDSG. Sind andere Vorschriften des Bundes auf personenbezogene Daten anzuwenden, gehen diese vor lt. § 1 Abs. 3 Satz 1 BDSG.

Personenbezogene Daten sind als Informationen über eine Person zu verstehen. Diese Informationen beinhalten Aussagen über Eigenschaften einer natürlichen Person, wie z. B. den Namen und das Alter einer Person. Diese Daten sollen nicht für jeden zugänglich sein. Das Recht auf informationelle Selbstbestimmung des Betroffenen könnte dadurch verletzt werden. Für die Erhebung, Verarbeitung und Nutzung personenbezogener Daten ist deshalb die Erlaubnis durch eine Rechtsvorschrift notwendig oder die Einwilligung des Betroffenen.⁶⁵

Für die Erläuterungen der Erhebung, Verarbeitung und Nutzung gelten die Begriffsbestimmungen des § 3 BDSG. Bei der Erhebung von Daten, bzw. dem Beschaffen gem. § 3 Abs. 3, ist zu beachten, dass diese zielgerichtet gesammelt werden müssen. Mündlich oder schriftlich, aber auch durch Dritte kann die Information beschafft werden. Verarbeiten ist das Speichern, Verändern, Übermitteln, Sperren und Löschen personenbezogener Daten i. S. v. § 3 Abs. 4 Satz 1 BDSG. Das Nutzen personenbezogener Daten ist ein Auffangtatbestand. Dieser wird beachtet, wenn die zielgerichtete Verwendung personenbezogener Daten nicht unter die fünf Formen der Verarbeitung fällt.⁶⁶

Das Gesetz gilt für die Erhebung, Verarbeitung und Nutzung durch öffentliche Stellen oder nicht-öffentliche Stellen nach § 1 Abs. 2 Nr. 1, 2 und 3 BDSG. Es unterteilt die öffentlichen Stellen in öffentliche Stellen des Bundes und in öffentliche Stellen der Länder gem. § 1 Abs. 2 Nr.1, 2 BDSG. Darunter sind alle öffentlich-rechtlichen Tätigkeiten des Bundes zu verstehen. Es ist nicht relevant, ob direkt Bundesbehörden tätig werden oder bundesmittelbare Körperschaften, wie Anstalten oder Stiftungen des öffentlichen Rechts.⁶⁷

Bei öffentlichen Stellen der Länder muss beachtet werden, dass wenn ein Land den Datenschutz durch Landesgesetz regelt, das BDSG nicht anzuwenden ist.⁶⁸

Nicht-öffentliche Stellen, also solche der Privatwirtschaft, werden vom BDSG ebenfalls als Ganzes erfasst, es sei denn das Gesetz regelt bereichsweise etwas anderes.⁶⁹

Für den räumlichen Anwendungsbereich des Gesetzes aus § 1 Abs. 5 BDSG sind verschiedene Theorien zu beachten. Das Sitzlandprinzip, das Niederlassungsprinzip und das Territorialprinzip sind relevant zur Erläuterung der Frage nach der räumlichen Anwendbarkeit des BDSG. Das Sitzlandprinzip ergibt sich aus § 1 Abs. 5 Satz 1 1. Halbsatz BDSG. Für Staaten, die der Europäischen Union angehören oder für Mitglieder des Europäischen Wirtschaftsraums gilt dieses Prinzip. Der Ort der Erhebung, Verarbeitung oder Nutzung ist nach dem Sitzlandprinzip nicht zu beachten. Allein der Sitz der verantwortlichen Stelle ist maßgeblich. Betreibt eine verantwortliche Stelle aus einem anderen EU-Mitgliedstaat eine Niederlassung in Deutschland, wird das Sitzlandprinzip durchbrochen gem. § 1 Abs. 5 Satz 1 2. Halbsatz BDSG. Es gilt das Niederlassungsprinzip. Das BDSG findet dann Anwendung. Für verantwortliche Stellen außerhalb der Europäischen Union bzw. des Europäischen Wirtschaftsraums gilt das Territorialprinzip. Das BDSG ist anzuwenden, wenn diese Stellen im Inland personenbezogene Daten erheben aus § 1 Abs. 5 Satz 2 BDSG.⁷⁰

Diese Prinzipien sind für das Verständnis der Systematik des BDSG wichtig. Für die konkrete Anwendung auf die NSA-Affäre sind die Theorien zum räumlichen Anwendungsbereich entbehrlich. Der Gesetzgeber spricht in seiner Gesetzesbegründung von wirtschaftlichen Belangen in Bezug auf die Theorien und verweist auf Art. 4 DSRL 95/46/EG.⁷¹ Art. 3 der DSRL schließt Sachverhalte, die die öffentliche Sicherheit, die Sicherheit des Staates u. ä. betreffen aus dem Anwendungsbereich der Richtlinie aus. Diese Tatsache schließt die Anwendung vom BDSG auf die NSA-Affäre nicht aus. Das Gegenteil ist der Fall. Die NSA als Institution muss eingeordnet werden. Öffentliche und nicht-öffentliche Stellen werden vom BDSG erfasst. Zuvor soll der Vorfall verfassungsrechtlich gewürdigt werden.

III. Verfassungsrechtliche Betrachtung der NSA-Affäre

Das Datenschutzrecht hat seine Wurzeln im Verfassungsrecht. Das allgemeine Persönlichkeitsrecht aus dem Grundgesetz und seine Ableitungen spielen eine gewichtige Rolle für den Datenschutz. Für die Frage, ob die NSA mit ihren Aktionen das Datenschutzrecht verletzt hat, ist eine verfassungsrechtliche Würdigung essentiell. Zunächst wird erläutert, inwiefern die reine Betrachtung des allgemeinen Persönlichkeitsrechts im Hinblick auf die NSA-Affäre einen Lösungsansatz bieten kann. In Bezug auf datenschutzrechtliche Problematiken wurde an einer solchen Einordnung Kritik geäußert.⁷² Darauf aufbauend wird das aus dem allgemeinen Persönlichkeitsrecht entwickelte Recht auf informationelle Selbstbestimmung untersucht. Für die Betrachtung sind das sog. Volkszählungsurteil und dessen Grundsätze des BVerfG von besonderer Bedeutung.⁷³ Bei den Handlungen von Geheimdiensten spielen das zugesicherte Briefgeheimnis sowie das Post- und Fernmeldegeheimnis gem. Art. 10 GG eine Rolle. Unter bestimmten Umständen kann dies eingeschränkt werden. Diese Umstände ergeben sich aus dem G-10 Gesetz, welches ebenfalls gewürdigt werden soll. Im Anschluss an diese Erkenntnisse stellt sich die Frage der Verhältnismäßigkeit und ob die Abwägung der Interessen der verschiedenen Parteien die Handlungen der NSA rechtfertigen kann.

1. Das allgemeine Persönlichkeitsrecht

Das allgemeine Persönlichkeitsrecht ergibt sich aus dem Grundgesetz. Die Frage der Einordnung ist zu erläutern. Untersucht werden muss, inwiefern das Persönlichkeitsrecht an sich eine Bewertungsgrundlage der NSA-Affäre darstellen kann. Im Anschluss ist zu überprüfen, ob die Handlungen der National Security Agency in Einklang mit dem Grundrecht stehen können.

a Einordnung und Grenzen

Das allgemeine Persönlichkeitsrecht aus Art. 1, 2 GG kann als eine Quelle für den Datenschutz gesehen werden. Es erscheint fraglich, inwiefern eine Betrachtung des allgemeinen Persönlichkeitsrechts die Handlungen der NSA einzuordnen vermag. Die Ansichten, ob das allgemeine Persönlichkeitsrecht eine Handhabe gegen die Verarbeitung von personenbezogenen Daten darstellt, gehen auseinander.

Das allgemeine Persönlichkeitsrecht ist Grundrechtsschutz gegenüber der öffentlichen Gewalt. Eine frühe Meinung geht dahin, dass die Verarbeitung von Daten ein Unterfall des allgemeinen Persönlichkeitsrechts sei. Es ist von einer Sphäre des Persönlichkeitsrechts die Rede. Diese Schutzsphäre sei in der Intimsphäre zu sehen, aus der sich die Privatsphäre ergibt. Diese Privatsphäre umfasse die Datenverarbeitung.⁷⁴

Die Ansicht, aus den verschiedenen Problematiken der Datenverarbeitung einen reinen statischen Unterfall des allgemeinen Persönlichkeitsrechts zu machen, ist umstritten. Auf Kritik ist der Ansatz gestoßen, die Datenverarbeitung einer bestimmten Persönlichkeitssphäre zuzuordnen und somit die Problematik dem Einzelnen zuzuschreiben. Das BDSG spricht auch vom Persönlichkeitsrecht in § 1 Abs. 1 BDSG und nennt dieses als Schutzgegenstand. Damit dieser Schutz effektiv sei, müsse dieser weit vorverlegt werden, damit es gar nicht erst zu einer Beeinträchtigung komme. In den einzelnen Regelungen des Gesetzes sei es konsequent, den Begriff des allgemeinen Persönlichkeitsrechts nicht zu verwenden. So wäre der Schutz weiter und würde auch vermögenswerte Interessen des Betroffenen umfassen.⁷⁵ Der BGH und das BVerfG vertreten ebenfalls die Auffassung von einem dynamischen allgemeinen Persönlichkeitsrecht, dessen Inhalt einzelfallabhängig ist.⁷⁶ Kritik an der Einordnung der Verarbeitung personenbezogener Daten hat Simitis geäußert. Die Regelungsperspektive verenge sich in dem Maße, in welchem die Datenverarbeitung als Unterfall des allgemeinen Persönlichkeitsrechts gesehen werde. Die Folge sei, dass die Auseinandersetzung mit der Datenverarbeitung und deren Konsequenzen ein rein individuelles Problem werden würde. Nur die Grundsätze, die bei Eingriffen in die Rechtsposition des Einzelnen relevant sind, könnten beachtet werden. Der Blick für die Kommunikationsstruktur einer Gesellschaft rücke in den Hintergrund.⁷⁷

Der Ansicht eines dynamischen Begriffs des allgemeinen Persönlichkeitsrechts ist zu folgen. In einer Gesellschaft, in der elektronische Medien, Kommunikation und somit auch Datenverarbeitung ein wesentlicher Bestandteil sind, wäre ein statischer Blick verfehlt. Die Problematiken der gesamten personenbezogenen Datenverarbeitung als reinen Unterfall des allgemeinen Persönlichkeitsrechts zu sehen, ist im Hinblick auf die Struktur des elektronisch beeinflussten Lebens der Gesellschaft weltweit nicht zielführend. Ein kommunikatives Selbstbestimmungsrecht ist nicht ausschließlich über die Konzeption des Grundrechts zu verwirklichen.⁷⁸

Trotz dieser Gegebenheiten bietet ein verfassungsrechtlicher Ansatz die Möglichkeit einer ersten Einordnung des Vorfalls rund um die NSA-Affäre.

b Die Aktionen der NSA in Bezug auf das Persönlichkeitsrecht

Zwei Überlegungen sind für die Frage, ob das Persönlichkeitsrecht durch die Handlungen der National Security Agency verletzt wurde und wird, anzustellen. Dem dynamischen Inhalt des allgemeinen Persönlichkeitsrechts nach stellt sich die Frage, inwiefern die Verarbeitung personenbezogener Daten in das Persönlichkeitsrecht hineinfällt. Wie erwähnt, steht der Umgang mit personenbezogenen Daten in Relation zum Persönlichkeitsrecht des Einzelnen.

Die zweite Überlegung gilt den konkreten Handlungen der NSA und den sich daraus ergebenden Berührungspunkten zum allgemeinen Persönlichkeitsrecht. Zwei spezifische Operationen des Geheimdienstes sollen als Beispiele herangezogen werden.

Während der Operation „Tempora“ hat der britische Geheimdienst GCHQ in Zusammenarbeit mit der NSA internationale Glasfaserkabel angezapft.⁷⁹ Die unterschiedlichen Daten wurden so abgefangen. Bei Datenmengen in dieser Größe wurden auch personenbezogene Daten mit ausgelesen. Berichte über gefilterte Erhebungen bei dieser Operation gibt es nicht.

Ein sehr deutliches Beispiel ist das gezielte Abhören von Smartphones und das Auswerten der darauf befindlichen Daten. Die NSA liest nicht ausschließlich Metadaten, also Rohdaten wie Aufenthaltsorte aus, sondern auch explizit weitere. Dem Geheimdienst ist es möglich auf Bilder und Nachrichten der Smartphonenutzer zuzugreifen.⁸⁰ Der Definition eines personenbezogenen Datums entsprechend fallen diese Dateien unter das allgemeine Persönlichkeitsrecht. Das bedeutet, die Zielpersonen der NSA wurden in ihrem Persönlichkeitsrecht verletzt. Beide betrachtete Aktionen stellen Eingriffe in das allgemeine Persönlichkeitsrecht dar.

Nachfolgend soll untersucht werden, inwieweit das Recht auf informationelle Selbstbestimmung, als Ausprägung des allgemeinen Persönlichkeitsrechts, ein anderes Ergebnis zulässt oder die gewonnenen Erkenntnisse bestätigt.

[...]

---

¹ Pfister/Poitras u. a., Spiegel 30/2013, 18; Poitras/Rosenbach u. a., Spiegel 37/2013, 143 f.

² Poitras/Rosenbach u. a., Spiegel 27/2013, 78.

³ Appelbaum/Blome u. a., Spiegel 44/2013, 21 ff.

⁴ MacAskill/Borger u. a., Guardian, 2, http://www.theguardian.com/uk/2013/jun/21/gchq-cables-secret-world-communications-nsa.

⁵ Vgl. Amann/Darnstädt u. a., Spiegel 45/2013, 24.

⁶ BGH, NJW 1957, 1146 f.

⁷ BVerfG, NJW 1984, 419.

⁸ Heumann/Scott in Überwachtes Netz, 156.

⁹ Becker/Darnstädt u. a., Spiegel 28/2013, 17.

¹⁰ Vgl. Poitras/Rosenbach u. a., Spiegel 27/2013, 78 f.

¹¹ Poitras/Rosenbach u. a., Spiegel 27/2013, 78.

¹² Poitras/Rosenbach u. a., Spiegel 27/2013, 77.

¹³ Schaar in Überwachtes Netz, 120 f.

¹⁴ Appelbaum/Blome u. a., Spiegel 44/2013, 23 f.

¹⁵ Poitras/Rosenbach u. a., Spiegel 27/2013, 77 f.

¹⁶ Heumann/Scott in Überwachtes Netz, 152.

¹⁷ Appelbaum/Blome u. a., Spiegel 44/2013, 21 f.

¹⁸ Poitras/Rosenbach u. a., Spiegel 37/2013, 143 ff.

¹⁹ Heumann/Scott in Überwachtes Netz, 155.

²⁰ Rosenbach/Stark in: Der NSA-Komplex, 9 ff.

²¹ https://wikileaks.org/nsa-gchq-spying.

²² Vgl. Amann/Darnstädt u. a., Spiegel 45/2013, 24.

²³ Vgl. Pfister/Poitras u. a., Spiegel 30/2013, 16, 19.

²⁴ Leupold/Glossner/Scheija/Haag, MAH IT-Recht, Teil 5, Rn 2.

²⁵ BGH, NJW 1957, 1146 f.

²⁶ BVerfG, NJW 1980, 2070, 2071.

²⁷ Kilian/Heussen/Polenz, CHB, Kap.130, Rn 1a.

²⁸ BVerfG, NJW 1984, 419.

²⁹ BVerfG, NJW 1991, 2129, 2132.

³⁰ Hoeren/Sieber/Holznagel/Helfrich, Teil 16.1, Rn 9.

³¹ BVerfG, NJW 2008, 822.

³² Kilian/Heussen/Polenz, CHB, Kap.130, Rn 43, 49.

³³ Vgl. Kilian/Heussen/Polenz, CHB, Kap.130, Rn 52.

³⁴ Kilian/Heussen/Polenz, CHB, Kap.130, Rn 58 ff.

³⁵ Roßnagel/Scholz, MMR 2000, 721, 724.

³⁶ Spindler, GRUR-Beilage 2014, 101, 106.

³⁷ Leupold/Glossner/Scheija/Haag, MAH IT-Recht, Teil 5, Rn 17.

³⁸ DSRL 95/46/EG, Erwägungsgrund 2, 2.

³⁹ DSRL 95/46/EG, Erwägungsgründe 7, 8, 2.

⁴⁰ DSRL 95/46/EG, Erwägungsgrund 3, 2.

⁴¹ Brühann, EuZW 2009, 639, 641.

⁴² Leupold/Glossner/Scheija/Haag, MAH IT-Recht, Teil 5, Rn 22, Roßnagel, MMR 2005, 71 ff, Simitis, in: Simitis, BDSG, Einl., Rn 216.

⁴³ Wolf/Brink/Schneider, Datenschutzrecht, Syst. B, Rn 4.

⁴⁴ Simitis, in: Simitis, BDSG, Einl., Rn 216.

⁴⁵ Roßnagel, MMR 2005, 71.

⁴⁶ Kilian/Heussen/Polenz, CHB, Kap.130, Rn 4.

⁴⁷ RL 2002/58/EG, Erwägungsgrund 5, 1.

⁴⁸ RL 2002/58/EG, Erwägungsgründe 7,8, 1.

⁴⁹ RL 2006/24/EG, Erwägungsgrund 3, 1.

⁵⁰ Vgl. RL 2006/24/EG, Erwägungsgrund 11, 2.

⁵¹ Vgl. RL 2006/24/EG, Erwägungsgrund 13, 2.

⁵² EuGH, Digital Rights Ireland Ltd/Kärntner Landesregierung – Verb. Rs. C-293/12 und C-594/12, Slg. 2014, Rn 44 ff, im Folgenden: EuGH, Verb. Rs. C-293/12 und C-594/12, Rn 44 ff.

⁵³ EuGH, Verb. Rs. C-293/12 und C-594/12, Rn 52.

⁵⁴ EuGH, Verb. Rs. C-293/12 und C-594/12, Rn 69.

⁵⁵ Gola/Schomerus/Gola/Schomerus, BDSG, Einl., Rn 1 f.

⁵⁶ Vgl. BVerfG, NJW 1984, 419 ff.

⁵⁷ Gola/Schomerus/Gola/Schomerus, BDSG, Einl., Rn 7.

⁵⁸ Gola/Schomerus/Gola/Schomerus, BDSG, Einl., Rn 13.

⁵⁹ BR-Drucks. 461/00, 1.

⁶⁰ BT-Drucks. 17/4230, 1 ff.

⁶¹ BVerfG, NJW 2008, 822 ff.

⁶² BVerfG, NJW 2010, 833 ff.

⁶³ Simitis, in: Simitis, BDSG, § 1, Rn 23.

⁶⁴ Gola/Schomerus/Gola/Schomerus, BDSG, § 1, Rn 3.

⁶⁵ Leupold/Glossner/Scheija/Haag, MAH IT-Recht, Teil 5, Rn 44.

⁶⁶ Leupold/Glossner/Scheija/Haag, MAH IT-Recht, Teil 5, Rn 56, 63.

⁶⁷ Gola/Schomerus/Gola/Schomerus, BDSG, § 1, Rn 19.

⁶⁸ Dammann, in: Simitis, BDSG, § 1, Rn 120.

⁶⁹ Dammann, in: Simitis, BDSG, § 1, Rn 136.

⁷⁰ Leupold/Glossner/Scheija/Haag, MAH IT-Recht, Teil 5, Rn 65 ff.

⁷¹ BR-Drucks. 461/00, 76.

⁷² Vgl. Gola/Schomerus/Gola/Schomerus, BDSG, § 1, Rn 6; Simitis, in: Simitis, BDSG, Einl., Rn 26.

⁷³ BVerfG, NJW 1984, 419.

⁷⁴ Schmidt, JZ 1974, 241, 243 f.

⁷⁵ Gola/Schomerus/Gola/Schomerus, BDSG, § 1, Rn 6.

⁷⁶ BGH, NJW 1957, 1146 f; BVerfG, NJW 1980, 2070, 2071.

⁷⁷ Simitis, in: Simitis, BDSG, Einl., Rn 26.

⁷⁸ Trute, JZ 1998, 822, 825.

⁷⁹ Appelbaum/Blome u. a., Spiegel 44/2013, 25.

⁸⁰ Poitras/Rosenbach u. a., Spiegel 37/2013, 143 f.