Grundlage des Datenschutzrechts ist die Datenschutzgrundverordnung (DSGVO) und die Privacy-Richtlinie. Die DSGVO dient vor allem der Angleichung des Datenschutzstandards in der Europäischen Union und ist in allen Mitgliedsstaaten unmittelbar geltendes Recht. Die DSGVO ermöglicht es dem einzelnen Mitgliedsstaat jedoch auch in begrenztem Umfang Vorschriften mit weitreichendem Schutz oder ergänzenden Regeln zu erlassen. Insgesamt gibt es 63 Öffnungsklauseln in der DSGVO. Insoweit stellt die EU-Verordnung die Mindestanforderungen an die nationale Gesetzgebung und dient der Rechtsangleichung.
Die DSGVO dient unter anderem dem Schutz der Grundrechte der Unionsbürger. Sie setzt die in Art. 7 GRCh und Art. 8 GRCh (der Charta der Grundrechte der Europäischen Union) verbindlichen Grundrechte auf Achtung des Privatlebens, Datenschutz und Schutz personenbezogener Daten um.
Der Datenschutz in Deutschland hat seine verfassungsrechtlichen Grundlagen in dem in Art. 1 Abs. 1 GG i.V.m. Art. 2 Abs. 1 GG verankerten Grundrecht aus informationelle Selbstbestimmung. Grundlage dafür sind der Wert und Würde des Menschen, der in freier Selbstbestimmung ein Glied der freiheitlich-demokratischen Grundordnung ist. Seinem Schutz dient das allgemeine Persönlichkeitsrecht. Durch die modernen Entwicklungen entstehen neue Gefährdungen für die Persönlichkeit des einzelnen Menschen. Die Selbstbestimmung eines jeden Einzelnen geibt ihm die Befugnis grundsätzlich selbst zu entscheiden, wann und innerhalb welcher Grenzen persönliche Lebenssachverhalte offenbart werden. (vgl. BVerfGE 56, 37 [41 ff.] - Selbstbezichtigung; 63, 131 [142 f.] - Gegendarstellung).
Selbstbestimmung ist jedoch gefährdet, wenn bei Entscheidungsprozessen mit Hilfe der Datenverarbeitung (künstliche Intelligenz) Einzelangaben über persönliche oder sachliche Verhältnisse des Einzelnen praktsich unbegrenzt gespeichert und in Sekundenschnelle von jedem beliebigen Speicherplatz der Welt abrufbar sind. Gerade auch die Möglichkeit der beliebeigen Verknüpfung mit anderen Datenquellen lassen auf einfache Art und Weise Persönlichkeitsprofile entstehen. Der Einzelne ist jedoch nicht in der Lage dessen Richtigkeit und Verwendung der Daten ausreichend kontrollieren. Damit erweitern sich die Möglichkeiten der Einsicht-- und Einflussnahme in unbekannten Ausmaß.
Der Einfluss auf den Einzelnen kann ohne Weiteres manipulativ sein.
Die individuelle Selbstbestimmung setzt voraus, dass dem Einzelnen Entscheidungsfreiheit über seine aktiven oder zu unterlassenden Handlungen gegeben ist. Gleichzeitig braucht er auch die Möglichkeit, sich entsprechend seiner entscheidung auch zu verhalten.
Das Recht auf informationelle Selbstbestimmung soll daher unter anderem vor der Ausforschung schützen. Wer nicht mit hinreichender Sicherheit überschauen kann, welche ihn betreffenden Informationen in bestimmten Bereichen seiner sozialen Umwelt bekannt sind, und wer das Wissen möglicher Kommunikationspartner nicht einigermaßen abschätzen vermag, kann in seiner Freiheit wesentlich gehemmt werden, aus eigener Selbstbestimmung zu planen oder zu entscheiden. (BVerfG NJW 1984, 419: Volkszählungsurteil 1 BvR 420/83)
Wer unsicher ist, ob abweichende Verhaltensweisen jederzeit notiert und als Information dauerhaft gespeichert, verwendet oder weitergegeben werden, wird versuchen, nicht durch solche Verhaltensweisen aufzufallen. Wer damit rechnet, daß etwa die Teilnahme an einer Versammlung oder einer Bürgerinitiative behördlich registriert wird und daß ihm dadurch Risiken entstehen können, wird möglicherweise auf eine Ausübung seiner entsprechenden Grundrechte (Art. 8 GG, Art. 9 GG) verzichten. Dies würde nicht nur die individuellen Entfaltungschancen des Einzelnen beeinträchtigen, sondern auch das Gemeinwohl, weil Selbstbestimmung eine elementare Funktionsbedingung eines auf Handlungs- und Mitwirkungsfähigkeit seiner Bürger begründeten freiheitlichen demokratischen Gemeinwesens ist. (BVerfG 1 BvR 420/83, Volkszählungsurteil)
In der Anwendung sind die Vorschriften des BDSG den Normen der DSGVO nachrangig. Enthält das BDSG keine Regelung, wird die DSGVO angewandt. Bei Normen des BDSG ist immer zu prüfen, ob diese DSGVO-konform sind.