Die DSGVO erhebt den Anspruch, alle Rechte und Freiheiten natürlicher Personen zu schützen. Ein solch umfassender Regulierungsanspruch stimmt misstrauisch. In dieser Blogserie wird untersucht, inwieweit der Anspruch dieses Rechtsregimes nicht in sein Gegenteil umschlägt.
In Teil I wurde gezeigt, dass die DSGVO den Bürger durch chilling effects bei der Inanspruchnahme seiner Grundrechte beeinträchtigt. Nachfolgend wird näher untersucht, ob und inwieweit die DSGVO den eigenen Anspruch erfüllen kann, der Selbstbestimmung des Einzelnen zu dienen.
I. Schutz der Selbstbestimmung als zentrales Anliegen des Datenschutzrechts
Ein zentrales Anliegen des Datenschutzrechts ist der Schutz der informationellen Selbstbestimmung. In der Diktion des BVerfG ist dies
„die Befugnis des Einzelnen, grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen.“
Ziel ist also ein Höchstmaß an Selbstbestimmung.
Versteht man Selbstbestimmung im Sinne der Rechtsprechung als personale Autonomie und als Recht des Einzelnen, bei seinen Wertungen über das für seine eigene Person Gute oder Schlechte, Gesunde oder Ungesunde, Vernünftige oder Unvernünftige prinzipiell keinen Beschränkungen unterworfen zu werden und keinem Zwang zu einer objektiven Rationalität zu unterliegen, stellt sich die Frage, ob das Datenschutzrecht sein Versprechen, dem Einzelnen ein Höchstmaß an Selbstbestimmung zu gewährleisten, einlösen kann.
II. Paternalismus statt Selbstbestimmung
Das Ergebnis der Prüfung fällt ernüchternd aus. Zahlreiche Regelungen der DSGVO dienen zwar „an sich“ der Selbstbestimmung. Sie ersetzen aber – wohlwollend ausgedrückt – die echte Selbstbestimmung des Einzelnen durch etwas, was man als „wohlverstandene“ (also im Sinne des Normgebers „wohlverstandene“) Selbstbestimmung ansehen kann. Böswillig ausgedrückt wird man von „Datenpaternalismus“ sprechen müssen.
Unter Paternalismus soll hier jede staatliche Maßnahme verstanden werden, die das Ziel hat, die Situation der Bürger zu verbessern und die entgegen bzw. ungeachtet eigenverantwortlich getroffener Entscheidungen der Begünstigten zum Handeln bzw. Nichthandeln vorgenommen wird. Dieser Beitrag beruht zu größeren Teilen auf einem Aufsatz von Christoph Krönke (Datenpaternalismus, in: Der Staat 55 (2016), 319).
1. Form der Einwilligung
Die Einwilligung dürfte man als genuinen Ausdruck der Selbstbestimmung ansehen können. An die Wirksamkeit der Einwilligung stellt die DSGVO aber hohe Anforderungen:
- Sie muss für den bestimmten Fall erteilt werden.
- Sie setzt die Informiertheit des Einwilligenden voraus.
- Sie muss durch unmissverständlich abgegebene Willensbekundung erklärt werden.
- In bestimmten Fällen muss die Einwilligung sogar ausdrücklich erteilt werden (z.B. bei sensiblen Daten oder der automatisierten Einzelentscheidung).
- Der Verantwortliche muss die Einwilligung nachweisen können.
Mittelbarer Zwang: All diese Anforderungen führen zu einem mittelbaren Zwang zur Rechtsförmlichkeit. Denn selbst wenn explizit keine Form vorgeschrieben ist, führt die Pflicht zur Dokumentation in der Praxis dazu, dass der Verantwortliche die Einwilligung im Zweifel schriftlich und mit Unterschrift(en) einholen wird. So werden etwa die Einwilligungen der Erziehungsberechtigten für die Klassenfotos ihres Kindes regelmäßig auf entsprechenden Formblättern eingeholt.
Ohne gesteigerte Schutzbedürftigkeit: Zwar kennt die Rechtsordnung durchaus Formvorgaben für Rechtsgeschäfte (etwa die Pflicht zur notariellen Beurkundung bei Grundstückskaufverträgen). Diese werden aber mit einer gegenüber dem Normalfall gesteigerten Schutzbedürftigkeit des Rechtsverkehrs oder der Beteiligten gerechtfertigt. Im Fall der Einwilligung ist der Rechtsförmlichkeitszwang jedoch der Normalfall (Art. 7 Abs. 1 DSGVO). Bei sensiblen Daten werden die Förmlichkeitsanforderungen sogar noch weiter nach oben geschraubt (Art. 9 Abs. 2 lit. a) DSGVO).
Effekt auf Willen des Betroffenen:  Der faktische Förmlichkeitszwang bei der Einwilligung geht weit über das von §§ 133, 157 BGB für die Auslegung gewöhnlicher rechtsgeschäftlicher Willenserklärungen oder geschäftsähnlicher Handlungen geforderte Maß hinaus. Die hohen Anforderungen der DSGVO können sehr leicht zu einem Auseinanderfallen des tatsächlich betätigten und des rechtlich anerkannten Willens des Betroffenen führen.
„Voluntative Dissonanz“:  So weist zum Beispiel die „Bestimmtheit“ oder „Informiertheit“ der Einwilligung bei sozialen Medien wie Facebook, WhatsApp oder Twitter aus Sicht der Aufsichtsbehörden oft juristische Mängel auf – mit der Folge, dass die Einwilligung unwirksam und die Datenverarbeitung rechtswidrig ist. Wie man aber an der anhaltend hohen Nutzungsrate dieser datenschutzrechtlich umstrittenen Dienste erkennen kann, sehen die meisten Betroffenen darin kein Problem. Ihre Entscheidung fällt gleichwohl zugunsten der Dienste aus. Dies sind aus Sicht der Aufsichtsbehörden Fehlentscheidungen. Aber genau deshalb sprechen wir hier ja auch von Paternalismus.
2. Freiwilligkeit der Einwilligung
Auch die von der DSGVO geforderte Freiwilligkeit der Einwilligung kann in Konflikt mit dem eindeutig geäußerten Willen des Betroffenen geraten.
Zwar ist umstritten, ob die DSGVO
- ein hartes Koppelungsverbot enthält
(dann dürfte die Erfüllung eines Vertrags nicht von der Einwilligung abhängig gemacht werden, wenn diese nicht für die Erfüllung des Vertrages erforderlich ist) oder ob - in Art. 7 Abs. 4 DSGVO „nur“ eine Rechnungstragungspflicht zu sehen ist
(dann muss dem Umstand, dass die Einwilligung für die Vertragserfüllung nicht erforderlich ist, nur in größtmöglichem Umfang Rechnung getragen werden).
In jedem Fall wird die Unwirksamkeit der Einwilligung nach objektiv-typisierten Kriterien bestimmt. Auf die Frage, ob der Betroffene die Einwilligung tatsächlich aus freien Stücken erteilt hat, kommt es nicht an.
Mit anderen Worten:
Selbst wenn ich es noch so sehr wollte und ich mich noch so frei dabei fühlte, eine Selbstbestimmung entgegen der gesetzlichen Annahme der Unfreiwilligkeit wäre dann nicht möglich.
Auch dies trägt paternalistische Züge.
3. Zweckbindung
Ein Paradebeispiel paternalistischer Regelung ist der Grundsatz der Zweckbindung. Personenbezogene Daten dürfen nur für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden (Art. 5 Abs. 1 lit. b DSGVO).
Abdingbarkeit?  Völlig unklar ist, ob und inwieweit dieser Grundsatz auf Wunsch des Betroffenen abdingbar ist. Denkbar wäre zum Beispiel, dass ein Betroffener der Wissenschaft im Wege der Datenspende personenbezogene Daten zur Verfügung stellt und er dabei ausdrücklich darauf verzichtet, dass die Daten nur für bestimmte Zwecke genutzt werden.
Ethische Standards wissenschaftlicher Forschung: Gegen die Abdingbarkeit des Zweckbindungsgrundsatzes spricht jedoch die Erwähnung des sog. broad consent in Erwägungsgrund 33. Danach dürfen Betroffene immerhin ihre Einwilligung für bestimmte Bereiche wissenschaftlicher Forschung geben, wenn dies unter Einhaltung der anerkannten ethischen Standards der wissenschaftlichen Forschung geschieht. Im Umkehrschluss bedeutet dies aber, dass selbst bei wissenschaftlicher Forschung an eine gänzliche Aufgabe der Zweckbindung selbst mit informierter Zustimmung des Betroffenen nicht zu denken ist.
4. Datenschutzfreundliche Voreinstellungen
Art. 25 Abs. 2 DSGVO gebietet Datenschutz durch datenschutzfreundliche Voreinstellungen (data protection by default).
Verhinderungsinteresse by default:  Diese Regelung stellt zwar keinen „harten“ Paternalismus dar, denn eine datenschutzfreundliche Voreinstellung kann jederzeit wieder rückgängig gemacht werden. Durch eine gesetzliche Pflicht zum Datenschutz by default wird dem Bürger aber eine weitere eigenverantwortlich zu treffende Entscheidung vorläufig abgenommen. Statt es dem freien Spiel der Kräfte zu überlassen, welche Voreinstellung bei der Datenverarbeitung gewählt wird, nimmt der Staat eine typisierte Interessenabwägung zugunsten des (vermeintlichen) Verhinderungsinteresses des Betroffenen vor. Was „datenschutzfreundlicher“ bei der Wahl zwischen verschiedenen Einstellungsmöglichkeiten ist, entscheidet im Zweifel die „unabhängige Datenschutzaufsichtsbehörde“ – also der Staat.
Ohne tatsächlichen Willen:  Ungeachtet eines möglicherweise entgegenstehenden Willens des Betroffenen muss dieser die staatlich erzwungenen datenschutzfreundlichen Voreinstellungen immer erst aktiv überwinden, um in den Genuss der Datenverarbeitung zu kommen.
„Nudging“ der Trägheit der Masse:  Der Normgeber stellt mit dieser Regelung den verhaltenspsychologisch nachweisbaren „Trägheitseffekt“ in Rechnung. Ergebnis dieser Regelung dürfte daher auch sein, dass im Großen und Ganzen die datenschutzfreundlichen Voreinstellungen nicht mehr geändert werden. Dies ist zwar kein Eingriffspaternalismus, aber „Nudging“ – die jüngere Schwester des Paternalismus:
Der Normgeber nimmt ungeachtet der konkreten Verarbeitungsumstände, ungeachtet des konkreten Risikos für den Betroffenen und ungeachtet der auf der Seite des Datenverarbeiters betroffenen Grundrechte eine für alle Fälle vorgegebene Interessenabwägung vor.
Dazu Härting/Schneider, „Das Ende des Datenschutzes – es lebe die Privatsphäre“, CR 2015, 819 ff. (824)
5. Erforderlichkeit im Rahmen von Vertragskonstellationen
„[…] it is required that the processing is objectively necessary for a purpose that is integral to the delivery of that contractual service to the data subject.“
DSGVO vs. Vertragsfreiheit: Â Das EDPB geht offenbar davon aus, dass
- die DSGVO die Grenzen des Vertragsrechts bei der Auslegung von Willenserklärungen sprengt,
- dass die tatsächlichen Vertragsklauseln außer Acht gelassen werden können und
- dass datenschutzrechtliche Grundsätze (wie das Fairnessprinzip des Art. 5 Abs. 1 lit. b DSGVO) zur Identifizierung eines genuin datenschutzrechtlichen Vertragsinhalts herangezogen werden können.
Primat datenschutzrechtlicher Vertragsinterpretation:  So werden Privatautonomie und Vertragsfreiheit durch eine datenschutzrechtliche Vertragsinterpretation ersetzt. Die Datenschutzaufsichtsbehörde beansprucht aber nicht etwa nur die Kontrolle des „Kleingedruckten“ in AGB, sondern selbst die von individuell ausgehandelten Verträgen.
Objektive Auslegung des Parteiwillens? Das ist gänzlich neu und, dass dieses Vorgehen paternalistischen Charakter hat, liegt auf der Hand. In diesem Fall ist es allerdings nicht der DSGVO, sondern den Datenschutzaufsichtsbehörden zuzurechnen. Die Leichtfertigkeit, mit der die Aufsichtsbehörden bereit sind, ihre vermeintlich objektive Auslegung an die Stelle des explizit geäußerten Willens der Vertragsparteien zu setzen, bestätigt den Hang des Datenschutzrechts zum Paternalismus.
Folge:  Das hoheitsstaatliche „Über-Unter-Ordnungsprinzip“, das das Behördenhandeln prägt, scheint nun auch auf das Vertragsrecht und die unmittelbaren zivilrechtlichen Beziehungen zwischen den Bürgern durchzuschlagen.
III. Ergebnis
Die DSGVO enthält zahlreiche paternalistische Elemente, die den Bürger vor der Preisgabe auf ihn bezogener Daten bewahren wollen. Es handelt sich jedoch um einen aufgedrängten Schutz, dem der Bürger in vielen Fällen nicht entkommen kann.
„Unmündige Kinder“:  Die „väterliche Regierung (imperium paternale)“, die Immanuel Kant 1793 beklagte, weil sie die Bürger wie „unmündige Kinder“ erscheinen lasse, „die nicht unterscheiden können, was ihnen wahrhaftig nützlich oder schädlich ist“, und die sich als „der größte denkbare Despotismus“ erweise (zitiert nach Krönke), begegnet uns heute in Gestalt des datenschutzrechtlichen Präventionsstaats wieder.
Anklänge „guter Policey“:  Im 16./17. Jahrhundert umschrieb der Begriff der „guten Policey“ einen Zustand guter Ordnung des Gemeinwesens sowie der allgemeinen Wohlfahrt und umfasste mit dem weiten Bereich des rechtlich geordneten Zusammenlebens quasi die gesamte Rechtsordnung, ohne einen Unterschied zwischen öffentlichem und privatem Recht zu machen. Diesem Zustand scheinen wir uns im Geltungsbereich der DSGVO wieder anzunähern.
Wider das paternalistische Konzept:  Im Ergebnis riskiert die DSGVO so jedoch eine Entmündigung bzw. Bevormundung des Bürgers, die der angestrebten Selbstbestimmung diametral zuwiderläuft. Die Erkenntnis, dass „gut gemeint“ oftmals das Gegenteil von „gut gemacht“ ist, war letztlich einer der historischen Gründe, warum das paternalistische Konzept der „guten Policey“ schließlich zugunsten differenzierterer rechtlicher Ansätze aufgegeben wurde. Im Zeitalter des digitalen „Neulands“ scheint es aber noch einiger Debatten zu benötigen, bevor sich diese Erkenntnis hoffentlich auch bezüglich des Datenschutzes und seines Rechts durchsetzen wird.