Datenschutzgesetze dürfen künftig keine klaren Verbote oder Erlaubnisse mehr enthalten – jedenfalls wenn es nach dem Generalanwalt beim EuGH geht. Denn jede nationale Datenschutznorm muss nach den Schlussanträgen des Generalanwalts in der Sache Breyer gegen Bundesrepublik Deutschland zumindest eine Öffnungsklausel haben, nach der im Einzelfall von den Gerichten entschieden werden kann, ob eine Verarbeitung personenbezogener Daten zulässig ist oder nicht. Dies gilt auch, wenn der nationale Gesetzgeber schon eine generelle Interessenabwägung vorgenommen hat. Sollte der EuGH dieser Ansicht tatsächlich folgen, würde sich nahezu das gesamte deutsche Datenschutzrecht atomisieren und Unternehmen wie Bürger wären auf ein Niveau nahezu vollkommener Rechtsunsicherheit zurückgeworfen.
Der Fall
Der Richter und schleswig-holsteinische Piratenpartei-Abgeordnete Patrick Breyer hatte die Bundesrepublik Deutschland verklagt, weil diese auf verschiedenen ihrer WWW-Seiten die IP-Adressen der Besucher speichert. Der BGH (BGH, Beschl. v. Beschl. v. 28.10.2014, Az. VI ZR 135/13 = CR 2015, 109 m. Anm. Schleipfer/Eckhardt = ITRB 2015, 55 (Rössel) = ZD 2015, 80 m. Anm. Bergt; hierzu auch Bergt, CRonline Blog v. 28.10.2014) hatte dem EuGH (Rs. C-582/14) zwei Fragen vorgelegt:
- Einmal die Frage, ob Daten (konkret: IP-Adressen) personenbezogen sind, wenn zwar nicht die speichernde Stelle, aber ein Dritter (konkret der Access-Provider) den Personenbezug herstellen kann – also die Grundfrage des Datenschutzrechts, wann ein Datum Personenbezug hat (hierzu mit ausführlicher Darstellung des Streitstandes Bergt, ZD 2015, 365).
- Einmal die Frage, ob es europarechtskonform ist, dass § 15 Abs. 1 TMG die Verwendung personenbezogener Daten über die Nutzung von Telemedien wie WWW-Seiten ausschließlich zu dem Zweck erlaubt, die Inanspruchnahme von Telemedien zu ermöglichen und abzurechnen.
Der Generalanwalt zum Personenbezug
In den vor dem EuGH eingereichten Schriftsätzen hatten bis auf die Bundesrepublik alle Beteiligten die Ansicht vertreten, dass dynamische IP-Adressen personenbezogene Daten sind, wenn dem Access-Provider eine Zuordnung zu einer Person möglich ist (siehe Bergt, CRonline Blog v. 13.9.2015). Dieser Ansicht folgt auch der Generalanwalt (Rn. 57, 74), wenn er sich auch ausdrücklich davor verwahrt, die Frage des Personenbezugs von Daten allgemein zu beantworten (Rn. 46 ff., 61 f.).
Erstaunlich sind dabei die allgemeineren Aussagen des Generalanwalts, wonach Erwägungsgrund 26 der Datenschutz-Richtlinie (DSRL) sich nur auf Mittel beziehen soll, die „von bestimmten Dritten eingesetzt werden könnten“, um den Betroffenen zu identifizieren (Rn. 67) – der Wortlaut des Gesetzes sagt etwas anderes und nimmt nur allgemein auf Dritte Bezug. Ebenfalls postuliert der Generalanwalt – ohne für diese Auffassung einen Beleg zu liefern, und sei es nur in Form eines Literaturzitats –, dass die „vernünftigen Zugangsmöglichkeiten“, um jemanden zu identifizieren, „definitionsgemäß rechtmäßig sein“ müssten. Diese Ansicht wird zwar durchaus oft vertreten, wenn auch in meinen Augen zu Unrecht (im Detail Bergt, ZD 2015, 365, 370) – aber dass das „definitionsgemäß“ so sein soll, überrascht doch.
Der Generalanwalt zu den Grenzen des nationalen Rechts
Die Datenschutz-Richtlinie ist nach der Rechtsprechung des EuGH vollharmonisierend. Die Mitgliedsstaaten dürfen daher nur die Voraussetzungen näher bestimmen, unter denen die Verarbeitung personenbezogener Daten rechtmäßig ist, aber nicht die Verarbeitung bestimmter Kategorien personenbezogener Daten pauschal ausschließen. Dies tut nach Ansicht des Generalanwalts jedoch die deutsche Regelung des § 15 TMG, der die in Art. 7 lit. f DSRL vorgesehene Abwägung nicht für den Einzelfall übernimmt (Rn. 95 ff.). Stattdessen hat hier der Gesetzgeber selbst die Abwägung getroffen. Dies sei nicht zulässig (Rn. 101).
Die Kritik
Das Ergebnis entspricht zwar auf den ersten Blick der Rechtsprechung des EuGH – ist aber nicht zwingend (Bergt, ZD 2015, 80, 84 f.). Denn Art. 5 DSRL gestattet den Mitgliedsstaaten, die Voraussetzungen näher zu bestimmen, unter denen die Verarbeitung personenbezogener Daten rechtmäßig ist. Wenn die Mitgliedsstaaten in Wirklichkeit nur Argumente vorgeben dürften, die bei der Abwägung nach Art. 7 lit. f DSRL zu berücksichtigen sind, wären sie auf eine schlichte Funktion als Stichwortgeber beschränkt, ohne tatsächlich etwas näher bestimmen zu dürfen. Dies widerspräche dem Wortlaut des Art. 5 DSRL, der seinem Wortlaut nach gerade nicht ausschließt, dass die Mitgliedstaaten auch abschließende Rechtmäßigkeitsvoraussetzungen für die Datenverarbeitung aufstellen, wenn die jeweilige Norm einen angemessenen Ausgleich zwischen den Interessen der Beteiligten konturiert, auch wenn theoretisch Fälle nicht auszuschließen sind, in denen ein anderes Abwägungsergebnis vertretbar wäre (Bergt, ZD 2015, 80, 85).
Die Folgen, sollte der EuGH dem Generalanwalt folgen
Bürger wie Wirtschaft können nur hoffen, dass der EuGH nicht dem Generalanwalt folgt. Denn wenn in jedem Einzelfall das nationale Gesetz eine Einzelfallabwägung ermöglichen muss, auch wenn der Gesetzgeber sich umfangreich Gedanken zu dieser Abwägung gemacht hat und das Ergebnis sehr differenziert in Gesetzesform gegossen hat, wäre ein großer Teil des nationalen Datenschutzrechts schlicht europarechtswidrig. Dies gilt nicht nur für pauschale Regelungen wie § 100 Abs. 1, 2 TKG oder § 28b BDSG, sondern auch für auf den ersten Blick Art. 7 lit. f DSRL berücksichtigende Normen wie § 28a BDSG. Denn § 28a BDSG stellt zusätzlich zur Interessenabwägung bestimmte Voraussetzungen auf, ohne deren Vorliegen kein Raum für eine Abwägung ist.
Damit wären wir auf eine allgemeine Abwägungsklausel zurückgeworfen, die eine extreme Rechtsunsicherheit mit sich bringen würde – bezeichnenderweise genau das einer der großen Kritikpunkte an der in wenigen Tagen in Kraft tretenden Datenschutz-Grundverordnung (DSGVO), die u.a. in Art. 6 Abs. 1 lit. f wiederum in weiten Bereichen wortgleich mit Art. 7 lit. f DSRL eine Abwägung vorsieht.
Es wäre dann auch keine Besserung zu erwarten: Zwar sieht die DSGVO Möglichkeiten vor, ihre schwammigen Regelungen zu präzisieren, etwa Verhaltensregeln nach Art. 40 DSGVO. Mit anderen Worten: durch eine nähere Bestimmung, unter welchen Voraussetzungen die Verarbeitung personenbezogener Daten zulässig ist. Verhaltensregeln können genehmigt und von der EU-Kommission für allgemeingültig erklärt werden (Art. 40 Abs. 9 DSGVO) – was aber nach der Ansicht des Generalanwalts nur dann zulässig wäre, wenn die Verhaltensregeln auf eine klare Regelung verzichten würden und stets eine Einzelfallabwägung vorsähen.
Die Katastrophe hätte dann nicht einmal in zwei Jahren (plus X für die Erarbeitung, Genehmigung und Allgemeinverbindlicherklärung der Verhaltensregeln) ihr Ende.