Im ersten Teil meiner Replik auf die Beitragsserie von Winfried Veil hier im CRonline Blog hat sich gezeigt, dass eine „Pluralität der Schutzgüter“ den Schutzgedanken nicht etwa verwässert, sondern diese in einem deduktiven Verhältnis zueinander stehen und sich in einer obersten Schutzgutkategorie, den Rechten und Freiheiten, versammeln. Aber droht das Datenschutzrecht damit zu einem „unerfüllbaren Vollkaskorecht“ zu werden? Meine Antwort auf Teil II von Veil betrachtet seinen Versuch einer Dekonstruktion des Schutzguts in der europäischen Datenschutz-Grundverordnung (DSGVO) genauer.
Während Datenschützer*innen dem Objekt ihrer Bemühungen oft – ohne es viel zu hinterfragen – huldigen, stellt Veil dem europäischen Datenschutzrecht die Gretchenfrage:
Nun sag‘, wie hältst du’s mit dem Schutzgut?
Veils Spurensuche nach Anhaltspunkten für eine Präzisierung möglicher Schutzgüter beginnt mit Hilfe der Wortlautauslegung am Beispiel des Rechts auf informationelle Selbstbestimmung (RISB). Diese Auswahl verwundert insbesondere schon darum, weil sich die DSGVO selbst auf Art. 8 der Charta der Grundrechte der Europäischen Union (GRCh) bezieht. Obwohl Veil an dieser Stelle mit einigem Recht die übermäßige Fokussierung der deutschen Datenschützer auf das RISB beklagt, wählt er diesen Ansatz.
Die Wortlautauslegung
Die Befassung mit dem Wortlaut gehört zum Auslegungskanon des Rechts. Die Wortlautauslegung bildet zwar die erste, aber im Hinblick auf nichtvorhandene oder unbestimmte Rechtsbegriffe oft auch eine unergiebige Auslegungsmethode, da sie der Natur der Sache folgend, keine weitere Klarheit in diese Rechtsbegriffe bringen kann. Das Ergebnis einer Wortlautauslegung zur informationellen Selbstbestimmung ist schnell gefunden: der Begriff kommt nicht vor.
Insofern befasst sich Veil im Folgenden auch gar nicht mit einer Wortlautauslegung, sondern untersucht, ob sich in einigen, von ihm aus der DSGVO gewählten Begriffen, Hinweise auf den Gedanken der informationellen Selbstbestimmung finden lassen. Dazu wäre es sinnvoll gewesen, sich zunächst begrifflich mit dem RISB auseinanderzusetzen, um dessen Bedeutungsgehalt zu erfassen und sich sodann auf die Suche nach Spuren des RISB in der DSGVO zu begeben. Dazu wären allerdings die übrigen Auslegungsmethoden besser geeignet. Stattdessen erfährt die geneigte Leser*in mehr zur Haltung des Autors zum RISB und dessen vermeintlicher Rezeption in Europa.
Aufstieg und Fall des Rechts auf informationelle Selbstbestimmung
Ausgehend von der Sorge einiger DSGVO-Kritiker, dass die DSGVO statt auf das Recht auf informationelle Selbstbestimmung auf das als schwächer empfundene europäische Grundrecht aus Art. 8 GRCh abstellt (z.B. Masing, SZ v. 9.1.2011, S. 10), befasst sich Veil mit Anhaltspunkten für eine Verankerung des Rechts auf informationelle Selbstbestimmung in der DSGVO.
Schon im Vorwege attestiert Veil dem Recht auf informationelle Selbstbestimmung einen schweren Stand in Europa. Es sei einst vom BVerfG im Volkszählungsurteil aus dem Allgemeinen Persönlichkeitsrecht und der Menschenwürde geboren, und habe nun – zumindest begrifflich – keine Verewigung in der DSGVO gefunden.
- Ursprung: Gutachten von Steinmüller et. al.
Seinen begrifflichen Ursprung hat das RISB nun wohl tatsächlich in Deutschland. Es geht allerdings auf das von Steinmüller et. al. für das Bundesministerium des Innern verfasste Gutachten aus dem Jahre 1971 zurück. Auch wenn das Gutachten nicht unkritisch gelesen werden sollte, so handelt es sich doch um einen der grundlegendsten Texte zum Datenschutzrecht, dem sich eine ernsthafte Auseinandersetzung mit dem RISB nicht entziehen sollte. Insoweit wäre dann auch eine Befassung wünschenswert gewesen. Im Gutachten wird deutlich, dass das RISB mitnichten aus einer Kombination der beiden o.g. Grundrechte konzipiert wurde, sondern von Steinmüller et al. als Ausdruck des „Selbstbestimmungsrechts des Bürgers über sein informationelles Personenmodel“ (S. 88) verstanden wird. Dort heißt es weiter begründend:
„Der einzelne hat also ein Selbstbestimmungsrecht, welche Individualinformationen er unter welchen Umständen an wen abgibt.“
und
„Das regelungsbedürftige Problem besteht nun darin, dass in dieses Selbstbestimmungsrecht aus Artikel 2 Abs. 1 [GG] die moderne Informationsverarbeitung mittels Informationssystem massiv eingreifen kann und dadurch das „Informationsgleichgewicht“ empfindlich zuungunsten des Staatsbürgers – und ebenso der Gruppierungen – stärkt. Denn durch die Transparenz des Personenmodells (= der Individualinformationen im Informationssystem) wird der Verhaltensspielraum des einzelnen eingeschränkt.“
- Ansatz und Schutzgutgedanken des BVerfG
Ausgehend von diesem Hintergrund und dem daraus entwickelten Verständnis des BVerfG im Volkszählungsurteil, wird deutlich, dass die informationelle Selbstbestimmung im Rahmen einer freiheitlichen Gesellschaftsordnung zu betrachten ist und mithin als Schutzgut nicht alleine steht. Das BVerfG formuliert:
„Mit dem Recht auf informationelle Selbstbestimmung wären eine Gesellschaftsordnung und eine diese ermöglichende Rechtsordnung nicht vereinbar, in der Bürger nicht mehr wissen können, wer was wann und bei welcher Gelegenheit über sie weiß. Wer unsicher ist, ob abweichende Verhaltensweisen jederzeit notiert und als Information dauerhaft gespeichert, verwendet oder weitergegeben werden, wird versuchen, nicht durch solche Verhaltensweisen aufzufallen. […] Dies würde nicht nur die individuellen Entfaltungschancen des Einzelnen beeinträchtigen, sondern auch das Gemeinwohl, weil Selbstbestimmung eine elementare Funktionsbedingung eines auf Handlungsfähigkeit und Mitwirkungsfähigkeit seiner Bürger begründeten freiheitlichen demokratischen Gemeinwesens ist.“
[Hervorhebungen hinzugefügt]
Erst im Nachsatz konkretisiert das BVerfG den Schutz für den Einzelnen:
„Hieraus folgt: Freie Entfaltung der Persönlichkeit setzt unter den modernen Bedingungen der Datenverarbeitung den Schutz des Einzelnen gegen unbegrenzte Erhebung, Speicherung, Verwendung und Weitergabe seiner persönlichen Daten voraus.“
Ausgehend von dieser Feststellung wäre jetzt zu untersuchen gewesen, welche Schutzgedanken sich aus den Ausführungen ableiten lassen und inwieweit diese durch DSGVO aufgegriffen wurden.
- Ephemere Ratio des Gesetzgebers zum RISB
Interessant wäre in diesem Zusammenhang auch eine Untersuchung, warum der bundesdeutsche Gesetzgeber nicht bereits früher Konsequenzen aus dem Steinmüller-Gutachten sowie den Ausführungen des BVerfG gezogen hat, sondern das BDSG explizit auf das RISB und damit auch auf das Allgemeine Persönlichkeitsrecht gestützt hat. Dass dies im Hinblick auf den Regelungsbereich, der durch das alte Bundesdatenschutzgesetz (BDSG aF) sowie die DSGVO abgedeckt wird, nicht konsequent ist, wird bei Veil leider nicht ausdrücklich behandelt.
Festzustellen, und genauer zu untersuchen wäre nämlich, dass sich einige der Regelungen und von der DSGVO erfassten Sachverhalte nicht auf das RISB stützen können. Dieses Problem ist nicht neu, es bestand auch schon unter dem BDSG aF und wurde z.B. von Simitis (NJW 1984, S. 398 (400)) aufgegriffen, jedoch auch nicht gelöst. An dieser Stelle wäre eine Kritik Veils an dem „Beharren der Deutschen Datenschützer auf dem Recht auf informationelle Selbstbestimmung“, wenn auch mit anderer Begründung, durchaus angebracht.
Rezeption in Europa
Das hier vorweggenommenes Fazit, dass es um die Selbstbestimmung als Schutzgut auch nicht „schade“ sei, bestimmt die weiteren Ausführungen Veils. So wird lapidar angemerkt, dass die informationelle Selbstbestimmung in Europa weitgehend nicht rezipiert oder aufgegriffen worden sei.
Sowohl innerhalb als auch außerhalb Europas wird aber durchaus auf die informationelle Selbstbestimmung zurückgegriffen, der Grundgedanke oftmals aber sprachlich den jeweiligen Verfassungstraditionen angepasst (Vgl. z.B. Rouvroy/Poullet, 2009, 45; Schwarz, Berkeley Law 1989, 675; Ungarisches Gesetzes CXII, 2011, Über das Recht auf informationelle Selbstbestimmung und die Informationsfreiheit (az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény). Keine Anerkennung findet in der Argumentation Veils, dass gerade die etwas kompliziert anmutende, aber in ihrer begrifflichen Klarheit kaum zu überbietende Fähigkeit der deutschen Sprache Sachverhalte begrifflich zusammenzufassen, eine ihrer vorzüglichsten Eigenschaften darstellt, die sie seit Humboldt als Sprache der Wissenschaft auszeichnet.
Kunst der Gesetzgebung und Auslegung
Wieviel informationelle Selbstbestimmung steckt nun aber tatsächlich in der DSGVO? Veil verengt diese Frage zunächst auf den Begriff der „Kontrolle“ und stellt fest, dass sich Ausführungen zur „Kontrolle“ lediglich in den Erwägungsgründen (EWG) der DSGVO finden (EWG 7 S. 2, 75, 85 S. 1). Damit verlässt Veil endgültig den Bereich einer Wortlautauslegung des Gesetzestexts.
- Entscheidungskompetenz für Betroffene
Warum und in welcher Funktion – etwa als Synonym – „Kontrolle“ nunmehr als Schutzgut fungieren soll, bleibt in seiner Darstellung unklar. Dass Ausübung von „Kontrolle“ zumindest Aspekte von Selbstbestimmung enthält, ist nicht abzustreiten. An dieser Stelle wäre nun weitergehende Kritik angebracht gewesen. Soweit z.B. EWG 7 S. 2 formuliert:
„Natürliche Personen sollten die Kontrolle über ihre eigenen Daten besitzen.“
ist dieser Anspruch erstens unter den Bedingungen moderner Datenverarbeitung weitgehend unmöglich und zweitens das Konzept „eigener Daten“ den Regelungen der DSGVO fremd. Konsequenter Weise findet sich der Begriff der Kontrolle auch in keinem Artikel wieder. Vielmehr formuliert die DSGVO Anforderungen an die Verantwortlichen und Verarbeiter, die Verarbeitung personenbezogener Daten zu kontrollieren. Für die Betroffenen bleibt nurmehr die Entscheidung über das „Ob“ der Verarbeitung, nicht hingegen über das „Wie“.
- Eigentlich maßgeblich DSGVO-Regelungen
Aus der Erwähnung in den EWG schließt Veil auf eine Schutzguteinführung „durch die Hintertür“. Nachzuholen wäre dazu eine Untersuchung aller Regelungen in der DSGVO, die Kontrollaspekte umsetzen, wie z.B. die Betroffenenrechte, aber auch das Regelwerk als Gesamtheit. Für diesen Zweck sind die übrigen Auslegungsmethoden aber deutlich besser geeignet. Denn es ist Gesetzestexten durchaus eigen, dass sie ihren Schutzbedarf nicht wortgenau wiedergeben, sondern durch Regelungen umschreiben, die wiederum der Auslegung zugänglich sind, die sich auch durch den Fortschritt der Technik und gesellschaftlicher Verständnisse wandeln kann. Dies ist insofern nicht unbefriedigend, weil Gesetzestexte allgemeingültig angelegt sind und gerade nicht Einzelfälle und nur sehr selten konkrete Sachverhalte regeln sollen, sondern vielmehr Gemengelagen adressieren, die durch Anwendung des Tatbestandes der Regelungsnormen aufgelöst werden. Dazu wären Tatbestände zu betrachten, in denen der Verlust informationeller Selbstbestimmung durch die Verarbeitung personenbezogener Daten geregelt wird.
Unantastbarer Wesensgehalt der Grundrechte und datenschutzrechtliche Ermächtigungstatbestände
Insofern betrachtet Veil dann auch mit einer gewissen Logik die Tatbestände der DSGVO, die eine Verarbeitung personenbezogener Daten ermöglichen, und sucht dort nach Hinweisen für die Verankerung der Selbstbestimmung. Hierbei wird dann offensichtlich, dass lediglich (und nicht überraschend) die Einwilligung ein hohes Maß an Selbstbestimmung bietet.
Veil bleibt widersprüchlich, wenn er einerseits der Einwilligung ein hohes Maß an Selbstbestimmung attestiert und dies andererseits an der Möglichkeit zur Aufgabe derselben durch Widerruf festmacht. Dass dabei der Ausübung der Selbstbestimmung ebenfalls ein Rahmen gesetzt wird und Betroffene zudem nicht völlig frei sind, sich jeglichen Schutzes zu entledigen, ist dem unantastbaren Wesensgehalt (Bock/Engeler, DVBL 2016, 593 ff.) der Grundrechte geschuldet und kein Ausdruck von „Datenpaternalismus“ oder gar ein Hinweis darauf, dass das Recht auf informationelle Selbstbestimmung in der DSGVO keine oder keine zentrale Berücksichtigung gefunden hat. An dieser Stelle bleibt bei Veil unklar, ob die Einwilligung- etwa als ultimativer Ausdruck informationeller Selbstbestimmung – Anforderungen an ein zentrales Schutzgut erfüllen könnte. Insoweit führt eine Wortlautauslegung auch nicht weiter.
Gleichberechtigtes Nebeneinander
Auch die Rechtsgrundlage aus Artikel 6 Abs.1 S. 1 lit. b) DSGVO, die die Verarbeitung personenbezogener Daten auf der Grundlage eines Vertrages ermöglicht, enthält – wenig überraschend – Aspekte der Selbstbestimmung. Aufgrund der Gegenseitigkeit im Vertragsverhältnis sind der Selbstbestimmung schon durch den Parteiwillen Grenzen gesetzt. Datenschutz-Schutzgut ist aber mitnichten der Vertrag oder die Freiheit der Vertragsgestaltung. Diese werden weiterhin durch das BGB und zB das Verbrauchschutzrecht bestimmt. Es handelt sich auch nicht um ein Ãœber-/Unterordnungsverhältnis der Rechtsgebiete, vielmehr sind sie nebeneinander anwendbar (so bspw. Bundeskartellamt, Meldung vom: 07.02.2019).
Die DSGVO regelt die Art und Weise und den Umfang, in dem personenbezogene Daten in Vertragsverhältnissen verarbeitet werden dürfen. Die Freiheit, vom Vertrag zurückzutreten, ist dabei kein datenschutzrechtlicher Aspekt, sondern unterliegt dem Vertragsrecht. Maßgeblich ist die Erforderlichkeit der Verarbeitung für die Erfüllung der vertraglichen Pflichten. Dabei sind die datenschutzrechtlichen Prinzipien auf den vertraglichen Aushandlungsprozess anzuwenden. Festzuhalten ist, dass über den Aspekt der Fairness (Art. 5 Abs. 1 DSGVO) die Selbstbestimmung der Vertragsparteien in ein ausbalanciertes Verhältnis gesetzt wird.
Eigentlicher Regelungsgehalt
Die übrigen Rechtsgrundlagen des Art. 6 DSGVO können kein Ausdruck informationeller Selbstbestimmung sein, sondern regeln Eingriffsbefugnisse des Staates bzw. in Art. 6 Abs. 1 S. 1 lit. f) DSGVO mögliche berechtigte Interessen eines datenschutzrechtlich Verantwortlichen an der Verarbeitung personenbezogener Daten. Mit dieser Vorschrift wird den besonderen Bedingungen der Informationsgesellschaft und der Wirtschaft Rechnung getragen, indem Rechtspositionen und Interessen mit den Interessen oder Grundrechten des Betroffenen abzuwägen sind. Die dafür erforderliche Abwägung sowie die Ausgestaltung der Berücksichtigung von (Grund-) Rechten Dritter in Zusammenhang mit dem freien Datenverkehr kommt dabei ebenso zum Tragen. Diese Rechtsgrundlagen zeigen, dass unterschiedliche Schutzgüter in der DSGVO zum Tragen kommen.
Im Ergebnis kann insoweit festgehalten werden, dass in der DSGVO – wohlgemerkt nur an den relevanten Stellen – sehr wohl Hinweise auf das Recht auf informationelle Selbstbestimmung vorhanden sind. Jedoch kann aus dem Umstand des Vorhanden- oder Nichtvorhandenseins der wörtlichen Erwähnung des Rechts auf informationelle Selbstbestimmung kein Schluss auf das oder die Schutzgüter der DSGVO gefolgert werden.
Die Schutzgüter der DSGVO umfassen die Rechte und Freiheiten natürlicher Personen und insbesondere deren Grundrecht auf Datenschutz. Dieses Recht ist nicht auf die personenbezogenen Daten konkreter betroffener Personen beschränkt, sondern bezieht sich ausgehend von den Grundsätzen in Art. 5 DSGVO auf den Bestand von Bedingungen, unter denen personenbezogene Daten grundsätzlich verarbeitet werden dürfen, um die Rechte und Freiheiten aller natürlichen Personen zu schützen. Dies ist Ausdruck und Umsetzung des Grundrechts aus Art. 8 EU GRCh.
Fazit
Die Kritik Veils am reflexartigen Klammern deutscher Datenschützer am liebgewonnenen RISB ist sicherlich berechtigt. Diese Fokussierung jedoch auf die DSGVO übertragen zu wollen, bleibt ungerechtfertigt und erstaunt. Sie erstaunt, als das der europäische Gesetzgeber, den Fehler des Bundesgesetzgebers nicht wiederholt hat. Die DSGVO wird gerade nicht allein auf das Recht auf informationelle Selbstbestimmung gestützt. Damit steht es 1:0 für die DSGVO.