(zuletzt abgerufen am 11.04.2021). 13 Hierzu Mišćenić, Legal Translation vs. Legal Certainty in EU Law, in: Mišćenić/Raccah (Hrsg.), Legal risks in EU law: Interdisciplinary studies on legal risk management and better regulation in Europe, 2016, S. 88–105. 14 Die Amtssprachen sind somit zugleich „Inspirationsquelle“ und Herausforderung, vgl. Niedobitek, Europarecht, Grundlagen und Politiken der Union, 2. Aufl. 2020, S. 149; der EuGH hat in der Vergangenheit aber bereits alle (damaligen) Sprachfassungen miteinander verglichen, vgl. hierzu EuGH, Urteil vom 2. Oktober 1997, C-259/95, Parlament/Rat, ECLI:EU:C:1997:454, Rn 12; vgl. auch EuGH, Urteil vom 25. Juli 2018, C-239/17, Teglgaard und Fløjstrupgård, ECLI:EU:C:2018:597, Rn. 37, wonach „die in einer der Sprachfassungen einer Vorschrift des Unionsrechts verwendete Formulierung nicht als alleinige Grundlage für die Auslegung dieser Vorschrift herangezogen werden oder Vorrang vor den anderen sprachlichen Fassungen beanspruchen kann.“ 15 Die EU-Kommission, Antwort auf Parlamentarische Anfragen vom 13. Juli 2018, P-003121/2018(ASW) (Bezugsdokument P-003121/2018), abrufbar unter http://www.europarl.europa.eu/doceo/document/P-8-2018-003121-ASW_DE.html (zuletzt abgerufen am 11.04.2021).
Teil 1: Datenschutzrecht in der EU und in Deutschland
Der Schutz natürlicher Personen durch verbindliche Regelungen für die automatisierte Verarbeitung von personenbezogenen Daten beschäftigt die Europäische Union (EU) spätestens seit den siebziger Jahren des zwanzigsten Jahrhunderts.16 Doch die Wurzeln der datenschutzrechtlichen Entwicklung entstammen Protestbewegungen in den USA aufgrund der Computerisierung von Datenbanken in den 1960er Jahren.17 War es in der Vergangenheit umständlich bis unmöglich, aus verschiedenen Registern Daten über eine natürliche Person zusammenzutragen und ein Profil zu erstellen, sollte dies mit Hilfe des „National Data Centers“ in den Vereinigten Staaten mit nur einem Knopfdruck möglich werden.18
Auf dem europäischen Kontinent wurden ähnliche Themen nur wenige Jahre später diskutiert, als auch hier die Computerisierung von Datenbanken Einzug hielt.19 Der Begriff „data protection“ oder „Datenschutz“ existierte in dem Zusammenhang in den sechziger und zu Beginn der siebziger Jahre noch nicht. In den USA wurde von einem Eingriff in das Schutzgut „privacy“ gesprochen, welches bereits im Jahr 1890 in dem Aufsatz „The Right to Privacy“ von Samuel D. Warren und Louis D. Brandeis geprägt wurde.20
Eingeführt wurde der Begriff des Datenschutzes als Verlegenheitslösung, weil sich „privacy“ ins Deutsche nicht wortgleich ohne Bedeutungsverlust übersetzen ließ.21 Der deutsche Begriff „Datenschutz“ setzte sich durch und wurde internationalisiert,22 obwohl Schutzgut nicht primär die Daten sind, sondern natürliche Personen.23 Eine Abweichung der Terminologie war auch im Rahmen der Fortentwicklung des EU-Rechts und des nationalen Rechts nicht erkennbar und so ist der Begriff auch ein zentrales Element der DSGVO.
16 Simitis, Die EU-Datenschutzrichtlinie – Stillstand oder Anreiz?, NJW 1997, S. 281. 17 Robertson, Data Center Held Peril to Privacy, The New York Times 1966, S. 41, abrufbar unter https://nyti.ms/3uHKOKM (zuletzt abgerufen am 11.04.2021). 18 Packard, Don’t Tell It To the Computer, The New York Times 1967, S. 235, 257–260. 19 Weinraub, Computer Invasion Of Personal Privacy Worries Europeans, The New York Times 1971, S. 1; Blume, The Public Sector and the Forthcoming EU Data Protection Regulation, EDPL 2015, S. 32; Danielsson, Experiences with the Swedish Data Act and Special Regard to its Impact on Organizational Procedures and Technical Measures for Data Protection, in: Griesser (Hrsg.), Realization of Data Protection in Health Information Systems, 1977, S. 115ff. 20 Warren, Samuel D./Brandeis, Louis D., HRL 1890, S. 193–220. 21 Ronellenfitsch, in: Wolff/Brink (Hrsg.), BeckOK DatenschutzR, 28. Aufl. 2019, BDSG 2003 [aK] – II. Historische Entwicklung, Rn. 5; der Ursprung des Begriffes ist unbekannt und lässt sich auf die Ursprünge des hessischen Datenschutzgesetzes im Jahr 1970 zurückführen, vgl. Rüpke/v. Lewinski/Eckhardt, Datenschutzrecht, 2018, § 2 Rn. 53. 22 Vgl. Ronellenfitsch, in: Wolff/Brink (Hrsg.), 28. Aufl. 2019, BDSG 2003 [aK] – II. Historische Entwicklung, Rn. 5: „data protection, protection des données, protección de datos, protezione dei dati, zaschtschyta danych, προστασία δεδομένων, προσωπικού χαρακτήρα; veri koruma, הגנה על נתונים“. 23 Gola/Hümmerich/Kerstan, in: Gola/Hümmerich/Kerstan (Hrsg.), Datenschutzrecht, Teil I, 1977, S. 20: „Aufgabe des Datenschutzes ist es, den Bürger vor mißbräuchlicher Verarbeitung seiner personenbezogenen Daten – das sind Daten, die Auskunft über seine persönlichen oder sachlichen Verhältnisse geben – zu schützen. Nicht die Daten oder der Besitz an den Daten (Stichwort: Computerkriminalität) soll geschützt werden, sondern die Privatsphäre des Einzelnen und sein verfassungsrechtlich geschützter Anspruch (Art. 2 GG) auf eine unantastbare Sphäre privater Lebensgestaltung“.
A. Datenschutzrecht in der EU
Das Datenschutzrecht der EU wird in den Verträgen24 und in der Rechtsprechung des Europäischen Gerichtshofs (EuGH) auf verschiedene Weise gewürdigt. Art. 16 AEUV formuliert, dass jede Person ein Recht auf Schutz der sie betreffenden personenbezogenen Daten hat und ermächtigt zum Erlass von diesbezüglichem Sekundärrecht. Die Europäische Grundrechtecharta (GRCh)25, die den Verträgen im Rang gleichgestellt ist26, sieht in Art. 7 die Achtung des Privat- und Familienlebens vor, während Art. 8 ausdrücklich den Schutz personenbezogener Daten betrifft. Die Vorschriften werden durch Urteile EuGH ausgelegt und präzisiert.
Bis zum Erlass der DSRL im Jahr 1995 war es nicht gelungen, verbindliche europäische Vorgaben für die Datenschutzgesetzgebung zu verabschieden.27 Mit damals nur fünfzehn Mitgliedstaaten verabschiedete der Rat der EU die DSRL am 24. Juli 1995.28 Bis zur Anwendbarkeit der DSGVO im Jahr 2018 war die DSRL das maßgebende Harmonisierungsinstrument für den Datenschutz im europäischen Binnenmarkt.29 Der Überarbeitungsprozess, der letztlich in die DSGVO mündete, wurde allerdings schon im Jahr 2009 angestoßen.30
I. Die Entwicklung des Datenschutzrechts in der EU
Die offizielle Debatte um die Regelungen für den Schutz von Personen aufgrund von computergesteuerter Datenverarbeitung begann in der EU zu Beginn der 1970er Jahre durch Anfragen aus dem Europäischen Parlament (EU-Parlament) an die Europäische Kommission (EU-Kommission).31 Das EU-Parlament forderte in seinen Entschließungen von der EU-Kommission eine „Richtlinie über die Freiheit des Einzelnen und die Datenverarbeitung“32, die das „höchste Schutzniveau für die Gemeinschaftsbürger“33 vorsieht. Dies stand im Widerspruch zu den Interessen der EU-Kommission, den gemeinsamen Markt mit möglichst wenig Beschränkungen zu verwirklichen.34 Immer mehr Mitgliedstaaten führten derweil in nationalen Alleingängen zwischen 1970 und 1988 Datenschutzgesetze ein, die inhaltlich im klaren Widerspruch zur Haltung der EU-Kommission standen.35 Fast zwei Jahrzehnte nach den Forderungen des EU-Parlaments, im Jahr 1990, sollte die EU-Kommission der Europäischen Gemeinschaft den ersten Entwurf für die DSRL vorlegen.36
1. Entwicklung und Ziele der Datenschutzrichtlinie
Die DSRL sollte dazu dienen, das Recht der Mitgliedstaaten zu harmonisieren und dadurch einen freien Fluss
