Konstruktionsfehler im Datenschutz
*Der untaugliche Versuch, die ständig weiter wachsenden Datenströme durch ein absolutes Verbot mit Erlaubnisvorbehalt in den Griff zu bekommen, entfaltet nicht die gewünschten Wirkungen: Der Staat holt sich die nötigen Ausnahmegenehmigungen überall da, wo er sie aus Sicherheitsgründen braucht (oder meint zu brauchen) und die Wirtschaft erschafft sich den »gläsernen Menschen« durch formale Zustimmungen. So entsteht der nicht unberechtigte Eindruck, der Datenschutz sei insgesamt wertlos. Wenn die Rechtsprechung in geeigneten Fällen die absoluten Verbote relativiert und zum Ausgleich konkrete Verletzungen durch angemessen hohe Schadensersatzansprüche – vor allem auch gegenüber öffentlichen Stellen – ahndet, wird der Datenschutz wirksamer werden, als er es bisher ist.
- 1. Informationsfluten
- 2. Verbot mit Erlaubnisvorbehalt
- 3. Das virtuelle Dorf
- 4. Die Unvermeidbarkeit der Information
- 5. Unbeherrschbarkeit der Datenströme
- 6. Die Bedrohung der politischen Diskussion
- 7. Unwirksamkeit abstrakter Verbote
- 8. Datenschutz und Seuchenschutz
- 9. Erlaubnis mit Verbotsvorbehalt
- 10. Zwei Seiten einer Medaille
1. Informationsfluten
»Ich denke flüchtig darüber nach, wie subtil sich Computer auf unsere Vorstellung von Leben auswirken. Selten bekommen wir die Bildschirme zu Gesicht, die unsere Steuern, unsere Bankkonten, Gehaltsabrechnungen und Arzneirezepte verwalten. Sie sind geheimnisvoll hinter Mauern verborgen und arbeiten, wie wir aus Erfahrungen wissen, sehr oft fehlerhaft. Vom Sparkonto verschwinden 1000 $; aus Städten, in denen man nie gewesen ist, kommen rätselhafte Strafzettel; manchmal wird uns zu viel und manchmal zu wenig berechnet; und selbst wenn wir gegen diese Irrtümer protestieren, tun wir es mit einer gewissen Hilflosigkeit. Der Computer ist unbesiegbar, unsichtbar und launisch; gelegentlich spinnt er. Er versetzt unserem kostbarsten Sinn, dem Realitätssinn, einen Schlag.1«
Wenn wir heute auf diese Notiz aus dem Jahr 1968 zurückblicken, ist uns sofort klar, dass der Schriftsteller John Cheever noch keine Erfahrung mit einem persönlichen Computer gehabt haben konnte2 – und doch mit einer erstaunlichen Weitsichtigkeit die Probleme erkannte, die wir heute mit diesen Maschinen vor uns sehen – denn es sind nicht nur Maschinen. Das Zusammenspiel von Hardware, Software, Servern, Netzen usw. (die Informationstechnologie) ist gemeinsam mehr als die Summe ihrer Teile; und die sozialen Netzwerke, denen wir uns nie völlig entziehen können (und wollen) sind nicht nur das technische Rückgrat unseres sozialen Lebens, sie bestimmen auch unsere Gedankenwelt, unsere Gefühle, unser Miteinander: »Wenn man sie lässt sind 99 von 100 Menschen bereit, die absurdesten Dinge zu tun« sagt die Performancekünstlerin Sophie Calle3 – einige davon sehen wir in den Netzen, aber die wirklich absurden Dinge verschwinden im Dark Net oder vielleicht in noch tieferen Schichten. Die Industrie (demnächst: Industrie 4.0) ist von den Computern genauso abhängig wie jeder einzelne von seinem Smartphone. Die Schnelligkeit und Dichte der Informationen, die wir uns immer herbeigesehnt haben, zerren uns nun an den Haaren hinter sich her, wir suchen die Freiheit, die die Realität uns so oft verweigert, in den Netzen und fürchten um unsereSicherheit – in der Welt der Daten und Informationen sind wir Täter und Opfer zugleich.
Für die nachfolgenden Überlegungen ist es wichtig, zwischen dem Datenschutz und der Datensicherheit zu unterscheiden. Der Begriff Datensicherheit umfasst alle technischen Voraussetzungen die getroffen werden, um Angriffe gegen Daten zu verhindern, der Datenschutz hingegen ist das rechtliche Gerüst, das den Umgang mit den Datenströmen regelt (ähnlich ist es im Straßenverkehr: Die StVZO sorgt für die Zulassung sicherer Fahrzeuge, die StVO für den Schutz ihrer Bewegungen). Die Verbindung beider Themenkreise wird in Art. 5 Abs. 1 f) DSGVO sowie in Art. 32 DSGVO erkannt: Die Qualität des Datenschutzes hängt (auch) von der Qualität der technischen Sicherungen ab. Hier ist nur vom Datenschutz die Rede.
2. Verbot mit Erlaubnisvorbehalt
Es ist schon Anfang der siebziger Jahre erkannt worden, dass der Staat in der Lage wäre, alle informationellen Fußspuren und Fingerabdrücke bei sich zu sammeln und auszuwerten, die er irgendwo finden könnte. Wo immer es um Sicherheit geht, vor allem im Bereich der Verbrechensbekämpfung, des Staatsschutzes, der Medizin sind solche Möglichkeiten identifiziert worden. Plötzlich stand das Bild des »gläsernen Menschen« vor aller Augen, der aus der Tiefe des Staates betrachtet und dadurch in seiner Freiheit eingeschränkt wird. Von den ersten deutschen Datenschutzgesetzen (Hessen 1977) bis hin zur Europäischen Datenschutz – Grundverordnung (DS-GVO, wirksam seit 2018) gilt die zentrale Grundregel: Das Erheben, Verarbeiten und Nutzen personenbezogener Daten ist verboten. Darüber hinaus:
- Jede Art von Datenverarbeitung muss einen bestimmten gesetzlich festgelegten Zweck haben, erforderlich sein und nach dem Prinzip des geringsten Eingriffs erfolgen.
- Die Daten müssen unmittelbar und für den Betroffenen transparent erhoben werden.
- Ausnahmen müssen ausdrücklich gesetzlich fixiert sein oder auf einer Einwilligung der Betroffenen beruhen.
Diese Regeln sind 1984 im Volkszählungsurteil4 durch ein »Recht auf informationelle Selbstbestimmung« verfassungsrechtlich verankert worden, das auf dem allgemeinen Persönlichkeitsrecht (Art. 2 Abs. 1 GG) und der Menschenwürde (Art. 1 Abs. 1 GG) beruht. Schon damals wurde mit hinreichender Klarheit gesagt: Solange Daten nur anonymisiert erhoben werden, sind die Eingriffe in das Persönlichkeitsrecht geringer, als wenn sie auf einen konkreten Menschen hindeuten.
Das Datenschutzrecht begreift die Verfügung über persönlichen Daten ähnlich wie Besitz, Eigentum und andere Rechtsgüter als Rechte jedes einzelnen5. Schon darin liegt ein Problem. Informationen sind mit Sicherheit keine Immobilien, sie teilen aber sehr oft das Schicksal beweglicher Sachen. Sind sie mit einem Datenträger fest verbunden, behandelt man sie nach Kaufrecht6, entstehen sie neu, nach Werkvertragsrecht7, sind sie nur Werkzeuge, folgen sie dem Recht der Dienstverträge oder Mietverträge8. Daten können in rechtlicher Hinsicht die unterschiedlichsten Aggregatzustände annehmen9. Davon weiß das Datenschutzrecht nichts. Mit dem gesetzlich festgeschriebenen Verbot (mit Erlaubnisvorbehalt) errichtet es eine hohe Mauer zwischen jedem Einzelnen und seiner Umwelt, die nur durch die Tür der Einwilligung oder der Gesetze überwunden werden darf. Tatsächlich aber kann niemand einem anderen verbieten, sich über ihn aus allen ihm zugänglichen Informationen ein Bild zu machen. Diese Daten gehören ihm nicht.
Das Prinzip des Verbots mit Erlaubnisvorbehalt hat Wirkungen auf unser Verhältnis zu Daten und Informationen, die weit über den Datenschutz hinausgehen. Wer versucht, Informationen von Behörden oder Unternehmen zu erhalten, wird oft mit dem Argument zurückgewiesen, der Datenschutz verbiete den Transfer. Man versteckt sich hinter Mauern, die dafür nicht geschaffen sind. Die Informationsfreiheitsgesetze des Bundes10 und der meisten Bundesländer haben an dieser Wirkung ebenso wenig ändern können, wie zahllose Einzelgesetze, die besondere Informationsrechte enthalten (Verbraucherinformationsgesetz, Telefonüberwachung, Videoüberwachung bis hin zum Futtermittelgesetzbuch und unzähligen weiteren Nebengesetzen etc.). Viele Informationsbegehren müssen erkämpft werden11. Sobald aber der Staat Ausnahmeregelungen braucht, um seine Sicherungsaufgaben zu erfüllen, haben Gesetzgeber und Rechtsprechung relativ wenig Bedenken, Röntgenbilder des gläsernen Menschen herzustellen.
3. Das virtuelle Dorf
Informationen, die wir selbst schaffen oder die andere über uns gewinnen, sind stets das Ergebnis sozialer Kommunikation. Alter, Geschlecht, Familienzugehörigkeit, verwandtschaftliche Netze, Vorstrafen, Bildungsgrad – all das ist nur im sozialen Umfeld relevant, das Datenschutzrecht betrachtet uns aber als Eremiten, die wir nicht sind. Vor dem Hintergrund dieser Erfahrungen ist das afrikanische Sprichwort entstanden: »Man braucht ein ganzes Dorf, um einen Menschen zu erziehen«12. Es sind die unzähligen Informationen, die auch das kleinste Dorf einem Menschen bietet, um ihm die sozialen Regeln verständlich zu machen, die für ihn relevant sind. In der Anonymität der Großstädte bilden sich diese sozialen Biotope zwar nicht mehr von selbst, weil es dazu keine zwingenden Rahmenbedingungen gibt, über die eine Dorfgemeinschaft immer verfügt. Hier ist nur der Wunsch des Einzelnen entscheidend, in welchem Ausmaß er sich sozial sichtbar machen will oder nicht. So entstehen die virtuellen Dörfer der sozialen Netzwerke: Jeder öffnet eine Tür in seiner Mauer und versucht, die Öffnungsbedingungen so zu gestalten, dass sie für ihn nicht gefährlich werden. Der Datenschutz, so wie wir ihn jetzt verstehen, kann darauf nur mit einer einzigen Idee antworten: Türen schließen! Diese Idee hat sich europaweit durchgesetzt und aus dieser Perspektive erscheint jede andere Lösung als unzureichend. Erst kürzlich hat der EuGH das Datenschutzniveau der USA für insgesamt unzureichend erklärt13, obwohl es dort in zahllosen Einzelgesetzen und Selbstverpflichtungen der Industrie geregelt ist, Normen, die – jedenfalls im Bereich des Verbraucherschutzes – in Einzelfällen durchaus mit unserem Niveau vergleichbar sind14.
Diese Idee wird von uns, die wir geschützt werden sollen, weitgehend ignoriert. Die Allgemeinheit sucht Entertainment, Eltern möchten ihre Kinder im virtuellen Dorf von vielen anderen erzogen wissen, aber auch jeder Wissenschaftler, der versuchte, ohne das Netz zu arbeiten, würde bald entdecken, dass das nicht geht. Wenn wir ein bestimmtes Produkt wollen, wenn wir nach einer bestimmten Information suchen, lassen wir alle Cookies zu, beseitigen die Adblocker und freuen uns, wenn dafür manchmal noch fünf Euro geboten werden. Manches empfinden wir als lästig, so etwa die Verschlüsselung der E-Mail-Korrespondenz. Sie ist derzeit aber – vor allem auf der Ebene laienhafter Empfänger – praktisch so kompliziert einzurichten, dass die sie sich nicht durchsetzt15. Aber wir glauben nicht, dass jemand, der unsere Daten z.B. zu Werbezwecken nutzt, ein darüberhinausgehendes Interesse daran hat, uns zu schaden. Wir verkaufen unser Erstgeburtsrecht, das der Datenschutz für heilig hält, für ein Linsengericht. Warum tun wir das?
4. Die Unvermeidbarkeit der Information
Die erste Antwort ist: Es gibt zahllose andere Gefährdungen unserer informationellen Selbstbestimmung, die uns – jedenfalls im Unterbewusstsein – umgeben, so etwa die Möglichkeit einer Telefonüberwachung16, der Videoüberwachung17 der online Überwachung unserer Computer18, der Rasterfahndung19. Die meisten von uns vermuten, dass daraus für sie keine konkrete Gefährdung ausgeht. Wenn wir am Flughafen unsere Koffer öffnen müssen (obwohl wir dazu keinen Anlass gegeben haben) spüren wir den Angriff gegen unsere Privatsphäre unmittelbar und nehmen ihn trotzdem hin, weil wir fliegen wollen (oder müssen). Hier wie auch bei den theoretisch möglichen Angriffen gegen unsere Daten akzeptieren wir die Tatsache, dass andere Leute etwas über uns wissen könnten jedenfalls so lange, als wir keinem konkreten Angriff ausgesetzt sind20. Im realen Dorf war das genauso. Natürlich wurde getratscht, natürlich wurden Witze gemacht, aber solange nicht beleidigt und verleumdet wurde, solange nur gelogen, aber nicht betrogen wurde, haben sich alle damit abgefunden. Wenn wir soziale Kommunikation wollen, nehmen wir die damit verbundenen Reibungsverluste jedenfalls so lange hin, als nicht wirkliche Rechtspositionen verletzt werden (»Datenschutz ist kein Tatenschutz«21). Problematischer ist es allerdings im Bereich der Unternehmen, die vielfach angegriffen werden, sich dagegen aber auch gerüstet haben.22
Diese Grundidee übertragen wir auf das virtuelle Dorf. Natürlich ist mir klar, dass die Liste meiner Einkäufe bei Amazon oder anderen Plattformen ziemlich genauen Aufschluss über mich gibt und dass es für Andere nicht so schwer wäre, das Passwort zu umgehen und sich auf diese Weise das Profil zu verschaffen. Nur: was hat so ein Hacker davon, wenn er außer diesem Wissen sonst keine weiteren Absichten hat? Die Deutschen haben – wie Umfragen zeigen23 – ein hohes Vertrauen in die Fähigkeit der Institutionen, für Datenschutz zu sorgen (wobei in diesem Begriff auch die Datensicherheit eine Rolle spielt): Ärzte und Kliniken 87 %, Banken 83 %, Staat und Behörden 71 %, Online-Shops 52 %.
5. Unbeherrschbarkeit der Datenströme
Das bestehende Datenschutzrecht will Straftaten bereits im Entstehen dadurch verhindern, dass es die Daten flächendeckend unter Quarantäne stellt. Dazu sind im Lauf der Jahrzehnte Datenschutzbehörden in Bund und Ländern eingerichtet und zahllose Stellen für Datenschutzbeauftragte eingerichtet worden. Im öffentlichen Bereich gehören dazu die Datenschützer in allen obersten Bundesbehörden, den Auslandsvertretungen, den Sozialbehörden, den Finanzbehörden ferner die Datenschützer in den Post und Telekommunikationsdiensten. Jedes einzelne Bundesland sowie die Kommunen überwachen die dort entstehenden Daten in vergleichbarer Weise. Im Bereich der Privatwirtschaft gibt es etwa 200.000 Datenschutzbeauftragte. Bei dem Datenschutzbeauftragten des Bundes müssen alle Verstöße im öffentlichen wie im nicht-öffentlichen Bereich gemeldet werden. Diese Meldungen umfassten im Jahr 2019 14.689 Fälle24. Dabei geht es um Cyberangriffe, Fehlversand, Verschlüsselungstrojaner, Malware, Verlust u. Diebstahl und Softwarefehler, aber sehr selten um das Ausspähen individueller Personen und ihres Verhaltens. Die technischen Einrichtungen und Schutzsysteme öffentlicher Stellen wie der Privatwirtschaft befinden sich auf sehr hohem Niveau: Im Bereich des Bundes wurden im Jahr 2019 nur sechs Verwarnungen, acht Beanstandungen und zwei Geldbußen wegen Mängeln der Sicherheitssysteme ausgesprochen. Die Kosten der Infrastruktur, die der derzeitige Datenschutz auf Seiten der öffentlichen Hand aufbauen muss, um seine Aufgaben zu erfüllen, sind enorm und könnten auch von exzessiven Bußgeldern nicht annähernd gedeckt werden. Und selbst wenn das so wäre: Vermitteln uns diese ganzen Schutzmechanismen etwas anderes als Scheinsicherheit? Selbst wenn wir immer mehr sanktionierte Verstöße dokumentieren können, wird die Dunkelziffer immer sehr hoch bleiben, denn die Datenvolumina werden in jedem Jahr trotz aller Gefahren und Risiken exponentiell steigen.
6. Die Bedrohung der politischen Diskussion
Seit kurzem zeigt sich noch ein ganz anderer politischer bedrohlicher Effekt der Intensivierung unserer Datenströme, den das Datenschutzrecht in gar keiner Weise beherrschen kann: Es sind die unzähligen oft von politischem Hass gedrängten – und häufig strafbaren – Informationen, die sich auf allen denkbaren Kanälen durch unsere Computer bewegen und Einfluss auf die Politik nehmen.
Dieses Phänomen beobachtet man seit jeher, wenn man die Schleusen der Meinungsfreiheit öffnet: »Die Deutschen der neueren Zeit haben nichts anders für Denk- und Preßfreiheit gehalten, als daß sie sich einander öffentlich mißachten dürfen.25« Dass ein Politiker wie Donald Trump sich mithilfe der sozialen Netzwerke als Volkstribun auftretend26 das höchste politische Amt geradezu am Parlament vorbei besetzen kann, ist eine der überraschenden Erkenntnisse der letzten Jahre. Solche Entwicklungen sind unmittelbare Gefahren für die Demokratie, aber die Idee, den Meinungsaustausch aus dem Netz zu verbannen, wird jedem als undurchführbar erscheinen27.
Immerhin können die Betreiber von Plattformen in einem gewissen – aber doch sehr geringen – Umfang rechtlich fragwürdige Informationen aus dem Netz nehmen, aber genau damit laufen sie in das Risiko, selbst zu Unterdrückern der Meinungsfreiheit zu werden. Ihre Entscheidungen sind immer von diesem double-bind geprägt. Diese Erkenntnis ist noch offensichtlicher, wenn man sich die unzähligen Informationen vorstellt, die im »Darknet«, also in einem Forum ausgetauscht werden, das durch Verschlüsselung Anonymität garantiert28. Diese Kommunikationsform kann in Ländern, in denen die Meinungsfreiheit unterdrückt wird, sogar gerechtfertigt sein, werden aber überwiegend für strafrechtlich relevante Aktivitäten genutzt. Diese Grauzonen stören uns offenbar weit weniger als die oft gehörten Klagen über die Unfähigkeit des Datenschutzes, denn wir sind aus anderen Bereichen (z.B. im Verkehrsstrafrecht) völlig daran gewöhnt, dass nur ein Bruchteil der Verstöße erfasst werden kann. Es ist ja mit Händen zu greifen, dass die Menschenwürde auch dann gefährdet sein kann, wenn jeder noch so kleine Verstoß, jede noch so unbedeutende Ordnungswidrigkeit von staatlichen Stellen wirksam erfasst und geahndet würde. Wir leben mit diesen Dunkelziffern, die auch zu einer Flexibilität unseres sozialen Lebens beitragen. All diese Erfahrungen führen auch dazu, dass wir die normalen kleinen Verstöße gegen den Datenschutz nicht für so wichtig halten wie der Gesetzgeber, der die Konstruktion verteidigen muss, die er für richtig hält.
7. Unwirksamkeit abstrakter Verbote
Das Datenschutzrecht vermittelt uns nicht das Gefühl der Freiheit, sondern schickt uns in eine Art Hochsicherheitstrakt, in dem wir weder senden noch empfangen können – und das erscheint uns absurd.
Der Versuch, die alltäglichen Datenfluten zu bewältigen, wird genauso wenig gelingen, wie die Idee, man könne den Gebrauch des Feuers verbieten, damit es nicht brennt oder alle Flüsse trockenlegen, damit sie das Land nicht überschwemmen können. Eine solche Idee ist in der Vergangenheit niemandem gekommen. Seit ca. 10.000 v. Chr. leben Menschen verdichtet zusammen. Dabei stießen sie schnell auf Probleme, die nur durch gemeinsame Aktivitäten gelöst werden können. Dazu gehört etwa die Feuerwehr, die Gewinnung und Verteilung von Wasser (Landwirtschaft) und anderen Rohstoffen, der Schutz gegen Überschwemmungen, aber auch die Impfpflicht. Im Mittelalter war jeder Stadtbürger zur Teilnahme an der Feuerwehr verpflichtet und konnte das Bürgerrecht erst erwerben, wenn er neben den üblichen Zahlungen auch einen ledernen Feuereimer und eine Feuerpatsche vorweisen konnte, um jederzeit einsatzfähig zu sein29. Heute können wir mit eigenen Mitteln nur wenig zu unserem Datenschutz beitragen (Passwörter etc.). Wir brauchen den Staat und er kann offenbar in Europa mit seinen Mitteln den »gläsernen Menschen« nicht verhindern. Das aus zwei Gründen:
- Soweit der Staat Informationen über die Menschen braucht, holt er sie sich durch die Ausnahmeregelungen, die sich z.B. im Staatsschutz, in der Vorratsdatenspeicherung und ähnlichen Werkzeugen finden:
»Der einzelne weiß nicht, was welche staatliche Behörde über ihn weiß, weiß aber, dass die Behörden vieles, auch höchstpersönliches über ihn wissen können«30. Der Richtervorbehalt hat sich als praktisch unwirksam erwiesen31. Eine Untersuchung des Max-Planck-Instituts für Strafrecht Freiburg aus dem Jahr 2003 zeigt, dass nur ca. 0,4 % der Anträge abgelehnt werden32. - Im privatrechtlichen Verkehr werden zwar eine Vielzahl bürokratischer Hürden aufgebaut, sie werden aber von den Bürgern selbst als überflüssig ignoriert, Zustimmungen nur selten verweigert.
In Asien ist die Situation anders. Im alten Japan wurden jeweils fünf Häuser zu einer Feuerwehreinheit zusammengefasst und dieses Fünf-Häuser-System wurde später für unzählige andere Schutz – und Überwachungszwecke eingesetzt33. In all diesen Fällen hat man sich im Spannungsverhältnis zwischen dem ICH und der Gesellschaft dafür entschieden, die Interessen der Gesellschaft höher anzusiedeln als jene des Einzelnen. Die daraus entstehende Mentalität von Schutz, Überwachung und Sicherheit prägt Japan und viele asiatische Länder bis heute tief hinein in die politischen Strukturen34 und diese Unterschiede zur Auffassung im Westen haben sich erst jüngst in der Covid 19 Krise besonders deutlich gezeigt.
8. Datenschutz und Seuchenschutz
Die Art und Weise, wie wir auf diese Bedrohungen reagieren, beruht auf den politischen und kulturellen Mustern, denen wir typischerweise auch im Datenschutz folgen. Wir sehen es augenfällig an den Reaktionen der Bevölkerung in asiatischen Ländern auf die Impfpflicht im Zusammenhang mit der Covid 19 Krise: Die strikte Überwachung und Einschränkung des Verhaltens jedes Einzelnen wird dort als soziale Verpflichtung anderen gegenüber wahrgenommen, bei uns hingegen als Angriff gegen die Autonomie der Bürger. Diese Differenz erklärt sich aus unserer Definition der Menschenwürde, die im Zweifel die Rechte des Einzelnen immer über die Interessen der Gesellschaft stellt. Daraus entstehen zum Teil groteske Situationen. Bei einem großen international aufgestellten deutschen Industrieunternehmen wurden die nötigen Besprechungen der im Homeoffice tätigen Mitarbeiter über eine Konferenzsoftware gesteuert. Gleichzeitig wurde angeordnet, dass nur der Ton, aber keine Bilder freigegeben werden dürften. Der Grund: Der Einblick in die Privaträume der Mitarbeiter könne gegen den Datenschutz verstoßen35.
Das wäre in Asien undenkbar. Dort haben die staatlichen Behörden auf die Seuche mit einem unmittelbaren Eingriff in zahllose Grundrechte reagiert – wir im Westen haben solche Freiheitsbeschränkungen abgelehnt, am deutlichsten in den USA. Die Folge zeigt sich in den Infektionsstatistiken36. Der Westen hat auf die Herausforderung wie gewohnt mit individuellen wissenschaftlichen Höchstleistungen reagiert. Noch nie sind in vergleichbar kurzem Zeitraum wirksame Impfstoffe an den Markt gekommen (würde man die Malaria entsprechend energisch bekämpfen, wäre sie heute nicht mehr existent37). Man kann in aller Klarheit sagen: Wir respektieren die individuellen Freiheitsrechte auch unter gefährlichen Umständen, wir schätzen diese Güter höher als die Risiken von Krankheit und Tod. Würden wir diesen Satz aber immer noch aufrechterhalten, wenn unsere Wirtschaft zusammenbräche und wir nicht mehr die Mittel hätten, das zu verhindern?
9. Erlaubnis mit Verbotsvorbehalt
Welchen Weg gäbe es, um das Recht auf informationelle Selbstbestimmung zu sichern, ohne den offenbar untauglichen Versuch, die Gewinnung, Weitergabe und Verarbeitung von Daten an der Quelle zu verhindern?
Die Antwort ist auf der theoretischen Ebene einfach: Wir könnten das Verbot mit Erlaubnisvorbehalt gegen eine Erlaubnis mit Verbotsvorbehalt austauschen. Wir könnten umdenken. Vor über 30 Jahren gab es nur wenige Daten, deren Volumina beherrschbar erschienen. Heute und mehr noch in der Zukunft der Digitalisierung begegnen wir Datenströmen, die wir nicht mehr in der damals geplanten Weise kanalisieren können. Wir müssen anerkennen, dass die Entstehung und Bewegung der Daten sich verhält wie das Wetter. In guten Zeiten macht es uns Freude, aber gegen Hagel und Sturm müssen wir uns schützen. Wie könnte ein Datenschutz unter diesen Bedingungen aussehen?
Über diese Frage gibt es nur eine sehr begrenzte wissenschaftliche Diskussion, zu der vor allem die Kritik von Jochen Schneider und Niko Härting beigetragen haben.38 Die herrschende Meinung, die sich in der derzeitigen Gesetzeslage ausdrückt, wird nur selten infrage gestellt. Sie stützt sich auf die – so wird behauptet – »eindeutige grundrechtliche Vorgabe aus Art. 8 Abs. 2 S. 1 GRCh«39, die lautet:
»Diese Daten dürfen nur nach Treu und Glauben für festgelegte Zwecke und mit Einwilligung der betroffenen Person oder auf einer sonstigen gesetzlich geregelten legitimen Grundlage verarbeitet werden.«
Dieser Text ist nicht eindeutig. Er lässt völlig offen, wie die »gesetzlich geregelte legitimen Grundlage« im konkreten Fall aussehen kann. Die Möglichkeit einer Erlaubnis mit Verbotsvorbehalt ist also grundsätzlich gegeben. Der Unterschied zum jetzigen Konzept bestünde keinesfalls in einer Senkung des Niveaus der Datensicherheit wie sie durch die DS-GVO und Datenschutzbestimmungen in zahlreichen anderen Gesetzen niedergelegt sind. Die Bedenken dagegen rühren vor allem daher, dass man bereits die Erfassung anonymisierter Daten für eine hohe Gefährdung hält. Wie das Bundesverfassungsgericht aber in der Volkszählungs- Entscheidung bereits gesagt hat, ist allein die Erhebung solcher Daten noch keine Gefährdung für den Einzelnen. Auch bei einem Wechsel der Paradigmata könnte die Datensicherheit noch verbessert werden, so vor allem durch ein hohes Verschlüsselungsniveau, wie es heute technisch erreichbar ist. Noch wichtiger wäre vermutlich, von der neuen Schadensersatzvorschrift (Art. 82 DS-GVO) auch und vor allem gegenüber öffentlichen Stellen Gebrauch zu machen, wenn das Schutzniveau nicht eingehalten wird.
10. Zwei Seiten einer Medaille
Die Erlaubnis mit Verbotsvorbehalt ist nichts anderes als die Kehrseite der Medaille, deren andere Seite das Verbot mit Erlaubnisvorbehalt zeigt. In beiden Fällen geht es um eine Definition des Spannungsverhältnisses zwischen dem ICH und der Gesellschaft, den Freiheitsansprüche des Einzelnen und den Sicherungsansprüchen der Gemeinschaft. Dabei steht jeder von uns immer gleichzeitig auf beiden Seiten des Problems, denn wir wollen möglichst viel Freiheit und möglichst viel Sicherheit – was zu einem unvermeidbaren Konflikt nicht nur beider Ziele untereinander, sondern mit allen anderen führen muss, die gleiche Ansprüche geltend machen.
Es ist nicht nur eine Frage der Gesetzgebungstechnik, welche der beiden Varianten von Verbot und Erlaubnis man bevorzugt, denn die Rechtsprechung und die wissenschaftliche Diskussion werden immer von dem gesetzlich definierten Verhältnis von Regel und Ausnahme auszugehen haben. Wie oben gezeigt würde auch eine Erlaubnis mit Verbotsvorbehalt genügend Schutz für das Individuum bieten und gleichzeitig die Chance enthalten, solche außerordentlichen Gefährdungen stufenweise in den Griff zu bekommen.
Angesichts der hohen Dominanz der herrschenden Meinung ist es allerdings nicht sehr wahrscheinlich, dass ein solcher Paradigmenwechsel stattfinden könnte. Dies umso weniger als die Idee des grundsätzlichen Verbotes sich nicht nur in Deutschland, sondern durch die DS-GVO auch in Europa allgemein durchgesetzt hat. Gleichwohl: Auch innerhalb dieses gesetzlichen Rahmens können wir stets das Bewusstsein aufrechterhalten, dass es auch eine andere Perspektive gibt, die das Verhältnis zwischen Freiheit und Sicherheit ebenso wirksam lösen könnte.
Die Arbeit daran ist Aufgabe der Rechtsprechung. Bereits in den früheren Datenschutzgesetzen (bis 25.05.2018, dem Tag, an dem die DS-GVO in Kraft trat) gab es Ansprüche auf Einsicht, Auskunft, Löschung und Schadensersatz. Zum Schadensersatz findet man nur wenige Urteile, viele von ihnen sind restriktiv und nur sehr wenige richteten sich gegen öffentliche Stellen40. Der wesentliche Grund: Bei Verletzung von Datenschutznormen scheint es wenige materielle Schäden zu geben und den immateriellen Schadensersatz hat die frühere Rechtsprechung verneint. Vereinzelt finden sich Urteile des Europäischen Gerichtshofs für Menschenrechte, in denen Datenschutzverletzungen gleichzeitig als Menschenrechtsverletzungen interpretiert werden41.
Im Bereich des Schadensersatzes führt Art. 82 DS-GVO zu einer vollkommen neuen Lage, vor allem, weil immaterieller Schadensersatz zugebilligt wird.42 Auch die Bußgelder sind erheblich gestiegen. Das liegt an der im Erwägungsgrund 146 S. 6 DSGVO ausdrücklich geäußerten Absicht des europäischen Gesetzgebers, eine abschreckende Wirkung zu entfalten, eine Absicht, die jedenfalls die deutsche Rechtsprechung nicht unbegrenzt akzeptiert43. Öffentliche Stellen sind bisher nicht zum Schadensersatz verurteilt worden.
- *. Erstveröffentlichung in: Verbindungslinien im Recht, Festschrift für Christoph Paulus, C.H. Beck 2022, S. 331-343.
- 1. John Cheever: Notiz von 1968 in: Tagebücher, Rowohlt 1994, Seite 357.
- 2. Apple I kam 1976 auf den Markt, die Microsoft Produkte ab 1982.
- 3. Süddeutsche Zeitung Magazin Nr. 46, vom 13.11.2020, S. 48.
- 4. BVerfG NJW 1984,419; Anmerkung Kühling: NJW 2017, 3069.
- 5. Thilo Weichert, Wem gehören die privaten Daten? In: Taeger/Wiebe Festschrift für Wolfgang Kilian zum 65. Geburtstag, Nomos 2004, Seite 281 ff.
- 6. BGHZ 102, 135 [140 f., 145] = NJW 1988, 406.
- 7. BGH, Urteil vom 4. 3. 2010 - III ZR 79/09 (LG Düsseldorf), NJW 2010, 1449.
- 8. BGH Urteil vom 15. 11.2006 - XII ZR 120/04 (LG Mühlhausen), NJW 2007, 2394
- 9. Benno Heussen: Urheber- und lizenzrechtliche Aspekte bei der Gewährleistung für Computersoftware, GRUR 1987, S. 779 – 791.
- 10. Erlassen am 5. September 2005 (BGBl. I S. 2722).
- 11. BVerwG Urt. v. 30.1.2020 - 10 C 18/19 (VGH Kassel), NVwZ 2020, 1368, Presserechtlicher Anspruch auf Zugang zu Unterlagen der BaFin abgelehnt.
- 12. Wie die Informationen im Dorf kreisen, wie tief sie in die Intimsphäre der Beteiligten eingreifen (sexuelles Verhalten!) und wie sie verwertet werden, zeigen anschauliche Berichte von Ethnologen – Indien: Viramma Josiane/Jean-Luc Racine, Eine Unberührbare erzählt, Frederking & Thaler 2001; Südafrika: Marjorie Shostak, Nisa erzählt das Leben einer Nomadenfrau, Rowohlt 1982; Iran: Erika Friedl, die Frauen von Deh Koh, Knaur 1993; China: Jan Myrdal, Bericht aus einem chinesischen Dorf, dtv 1969.
- 13. EuGH (Große Kammer), Urteil vom 16.7.2020 – C-311/18, (Schrems II) NJW 2020,2613. Besprechung durch Golland, NJW 2020, 2593. Die darin enthaltene Kritik an den nur auf privater Basis organisierten US – Datenschutzvorschriften nur teilweise berechtigt. Einzelne exportorientierte US – Firmen verstehen genau, worum es geht: https://www.cisco.com/c/dam/en_us/about/doing_business/trust-center/docs....
- 14. https://leginfo.legislature.ca.gov/faces/codes_displaySection.xhtml?lawC.... (California Consumer Privacy Act of 2018).
- 15. Anwälte brauchen hierzu die Zustimmung Ihrer Mandantin, erhalten sie aber praktisch immer. Der Bundesdatenschutzbeauftragte moniert in seinem Jahresbericht 2019, dass auch die Finanzämter unverschlüsselte Daten versenden, weil ihnen der Postverkehr zu lästig ist (S. 63: »Unverschlüsselte E-Mails entsprechen im Hinblick auf den Schutz der Vertraulichkeit in der analogen Welt einem Versand per Postkarte«.
- 16. § 100c StPO, dazu BVerfG NJW 2004, 999.
- 17. Art. 88 DS-GVO.
- 18. NWVerfSchG , dazu BVerfG NJW 2008, 822.
- 19. § 31 NWPolG 1990, dazu BVerfG, NJW 2006, 1939 (neuesten Stand überprüfen!).
- 20. 88 % der Deutschen sind bisher keinem privaten Hackerangriff auf Bankkonten oder in sozialen Netzwerken ausgesetzt gewesen (Stand Oktober 2019): https://de.statista.com/statistik/daten/studie/295526/umfrage/umfrage-zu... 46 % halten es für unwahrscheinlich, dass dies in Zukunft geschieht: https://de.statista.com/statistik/daten/studie/1091596/umfrage/wahrschei....
- 21. BAG vom 23. August 2018,2 AZR 133/18, NZA 2018,1329 (Videoüberwachung).
- 22. https://de.statista.com/statistik/studie/id/69247/dokument/datendiebstah...
- 23. Umfrage zum Vertrauen in den Datenschutz nach Institutionen in Deutschland 2020 Veröffentlicht von A. Poleshova, 16.07.2020, https://de.statista.com/statistik/daten/studie/1133119/umfrage/vertrauen...
- 24. 28. Tätigkeitsbericht 2019, S. 79, Https://www.bfdi.bund.de/DE/Infothek/Taetigkeitsberichte/taetigkeitsberi...
- 25. Johann Wolfgang von Goethe, Maximen und Reflexionen (zeno.org Nr. 621).
- 26. https://www.politico.com/magazine/story/2016/12/trumpism-intellectual-hi...
- 27. Levitsky/ Ziblatt: Wie Demokratien sterben: Und was wir dagegen tun können, dva 2. Aufl. 2018, S. 106 ff.
- 28. Einen Vorgeschmack bieten Plattformen wie »www.4.chan.org«.
- 29. Ein Beispiel aus Norddeutschland: http://oerrel.feuerwehr-munster.de/--1830---1901.html
- 30. BVerfG v. 2. 3. 2010 - 1 BvR 256/08 u.a., NJW 2010,833 (843) – Vorratsdatenspeicherung)
- 31. Bernd Asbrock, Zum Mythos des Richtervorbehalts« als wirksames Kontrollinstrument im Zusammenhang mit besonderen polizeilichen Eingriffsbefugnissen, Kritische Vierteljahresschrift für Gesetzgebung und Rechtswissenschaft (KritV), Vol. 80, No. 3 (1997), S. 255-262; Christoph Gusy, Überwachung der Telekommunikation unter Richtervorbehalt- Effektiver Grundrechtsschutz oder Alibi? ZRP 2003, 275.
- 32. http://www.gesmat.bundesgerichtshof.de/gesetzesmaterialien/16_wp/telekue...
- 33. Tanaka in: Heusen/Pischel, Handbuch Vertragsverhandlung und Vertragsmanagement, Otto Schmidt, 5. Aufl. 2021 Teil 9.4, Rz. 23 ff.
- 34. Margret Neuss Kaneko: Familie und Gesellschaft in Japan, C.H. Beck 1990, Seite 30 ff.
- 35. Persönliche Mitteilung vom 03.12.2020 durch einen Mitarbeiter, der nicht genannt werden will, weil er möglicherweise Betriebsgeheimnisse offenbart hat! In den Niederlanden würden diese Sorgen nicht verstanden. Wer dort abends durch die Städte geht, kann in alle Fenster hineinsehen, weil niemand Vorhänge verwendet. Wer es täte, würde sich dem Verdacht aussetzen, er habe etwas zu verbergen.
- 36. Infizierte pro 100.000 Einwohner – Stand 02.12.2020: China: 0,64; Thailand: 0,57; Taiwan: 0,26. hingegen USA: 371,73; Schweden: 218,40; Deutschland: 115,17.
- 37. https://www.ncbi.nlm.nih.gov/pmc/articles/PMC7223738/
- 38. Übersicht: Taeger in: Taeger/Gabel (HR SG) Kommentar zu DS-GVO und BDSG, R & W 3. Aufl. 2019 Rz 3 ff.
- 39. Taeger ebda RZ 6 Anm. 15 zu Art. 6 DS-GVO). Kritisch: Härting/Schneider ZRP 2011,233; Härting, Anwaltsblatt 2012,716; Härting/Schneider CR 2015,819 (822); Peiffer K & R 2011, 543; Nettesheim, Martin / Diggelmann, Oliver: Grundrechtsschutz der Privatheit in: Der Schutzauftrag des Rechts Berichte und Diskussionen auf der Tagung der Vereinigung der Deutschen Staatsrechtslehrer in Berlin vom 29. September bis 2. Oktober 2010, de Gruyter 2011.
- 40. BAG 19. Februar 2015,8 AZR 1007/13, NJW 2015,2749 (1000 € wegen unzulässiger Überwachung eines krankgeschriebenen Arbeitnehmers). BGH 29.11.2016, VI ZR 530/15, NJW 2017,800 (Ablehnung eines immateriellen Schadensersatzanspruchs wegen unzulässiger Weitergabe von Patientendaten) Amtsgericht Frankfurt (BeckRS 2020, 22861): »Ein Gefühl des Unbehagens ist für einen immateriellen Schaden nicht ausreichend. Es bedarf hierfür zumindest einer öffentlichen Bloßstellung (Paal, MMR 2020, 17; Kohn, ZD 2019, 498, 500; GRUR-Prax 2020, 489); OLG Zweibrücken 21.02.2013 6U 21/12 beck Rspr 2013,03840 (Schadensersatz von 236,43 € (Anwaltskosten) wegen rechtswidriger innerbehördlicher Weitergabe von Daten).
- 41. EGMR 28. November 2017,70.838/13, NLMR 2017,550 Antovic/Mirkovic/Montenegro (Videoüberwachung im Hörsaal): 1000 €; EGMR 18. Oktober 2016,61838, NJW RR 2018,294 Vukota-Bojic/Schweiz (Überwachung eines Unfallopfers): 8000 €).
- 42. In der relativ kurzen Zeit seit Inkrafttreten der DS-GVO zeigt die Recherche (Stand: 04.12.2020) 14 Entscheidungen vorwiegend aus dem Arbeitsrecht, aber nicht eine gegen öffentliche Stellen.
- 43. Der Mobilfunkanbieter 1&1 wurde vom Bundesdatenschutzbeauftragten mit 9,55 Million € Bußgeld belegt, weil er einer geschiedenen Ehefrau die Mobilfunknummer Ihres Mannes genannt hatte, nachdem sie lediglich Namen und Geburtsdatum angab. Er sah darin einen Konstruktionsfehler des Sicherheitskonzept. Das Landgericht Bonn (Az. 29 OWi 1/20) hat diesen Betrag auf 900.000 € gekürzt.