– Zum ideologisch getrübten Blick der Datenschutzaufsichtsbehörden auf den risikobasierten Ansatz der DSGVO –
Kurz vor dem Wirksamwerden der DSGVO macht die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz – DSK) mit zweifelhaften Verlautbarungen auf sich aufmerksam:
In der Positionsbestimmung zur Anwendbarkeit des TMG für nicht-öffentliche Stellen ab dem 25. Mai 2018 meint die DSK, den Einsatz von Trackingmechanismen von der Einwilligung abhängig machen zu müssen. Hierzu bereits ausführlich Stephan Hansen-Oest, der die Aufsichtsbehörden als Wegbereiter für „Abmahner“ von Internetseiten ansieht.
Doch auch das Kurzpapier Nr. 18 zum Risiko für die Rechte und Freiheiten natürlicher Personen hat es in sich. Es offenbart ein erschreckendes Maß an juristischer Begriffsverwirrung. Da nicht davon auszugehen ist, dass dies auf Ignoranz der Autoren zurückzuführen ist, stellt sich die Frage, was die Datenschutzaufsichtsbehörden mit ihrer Stellungnahme bezwecken.
I. Der risikobasierte Ansatz in der DS-GVO
Der risikobasierte Ansatz ist eine der wenigen echten Neuerungen der DSGVO gegenüber dem bisherigen Datenschutzrecht (ausführlich hierzu Veil, Risikobasierter Ansatz statt rigides Verbotsprinzip, ZD 2015, 347). Umso erstaunlicher ist, dass der risikobasierte Ansatz in der Überfülle der bislang zur DSGVO erschienenen (deutschsprachigen) Fachliteratur kaum eine Rolle gespielt hat. Auch die Datenschutzaufsichtsbehörden hatten sich in ihren Stellungnahmen und „Guidelines“ bislang nicht zum risikobasierten Ansatz geäußert.
Dabei durchzieht der Gesichtspunkt der Risikoadäquanz die gesamte DSGVO:
- Der Begriff des Risikos findet 66 Mal Erwähnung.
- Mindestens die Pflichten des Verantwortlichen aus Kapitel IV (also Art. 24 bis 43 DSGVO) sind risikoabhängig.
- Manche Pflichten entfallen, wenn kein Risiko vorliegt: Art. 27, Art. 30 (mit allerdings vielen Rückausnahmen) und Art. 33 DSGVO.
- Manche Pflichten bestehen nur bei hohem Risiko: Art. 34, Art. 35 und Art. 36DSGVO.
- Bei anderen Pflichten findet eine typisierte Risikobetrachtung statt, wie bei der Pflicht zur Bestellung eines Datenschutzbeauftragten (Art. 37 Abs. 1 DSGVO).
Durch Art. 24 Abs. 1 DSGVO wird der risikobasierte Ansatz allerdings auch „vor die Klammer“ der gesamten DSGVO gezogen:
- TOM: Danach muss der Verantwortliche geeignete technische und organisatorische Maßnahmen (TOM) ergreifen, um seine aus der DSGVO erwachsenden Verpflichtungen zu erfüllen.
- Nachweis: Und er muss die Ergreifung dieser Maßnahmen nachweisen können.
Beide Pflichten sind risikoabhängig. Der „risikobasierte Ansatz“ skaliert somit die zu ergreifenden Maßnahmen und die zugehörigen Nachweispflichten – und zwar nach oben und nach unten:
Besonders risikoreiche Datenverarbeitungen erfordern schärfere Maßnahmen,
weniger riskante Datenverarbeitungen lassen weniger strenge Maßnahmen oder den Verzicht auf einzelne Maßnahmen zu.
II. Das Kurzpapier der DSK
Das Papier der DSK erhebt nunmehr den Anspruch, die in der DSGVO vielfach verwendeten Begriffe „Rechte und Freiheiten natürlicher Personen“ und „Risiko“ zu klären.
Zudem geht es auf die Rechtsfolgen des Risikos, die Risikobeurteilung, die Eindämmung des Risikos und das Restrisiko ein.
1. Rechte und Freiheiten natürlicher Personen
Die DSK zitiert die DSGVO, wonach diese den „Rechten und Freiheiten natürlicher Personen“ dient (Art. 1 Abs. 2 DSGVO). Damit ist die zentrale Frage nach dem Schutzgut des Datenschutzrechts aufgeworfen (eingehend Stentzel, Das Grundrecht auf … ? Auf der Suche nach dem Schutzgut des Datenschutzes in der Europäischen Union, in: PinG 5/2015) . Leider wird diese unbeantwortete Grundsatzfrage in nur wenigen Sätzen abgehandelt. Weitreichende Fragen bleiben unerwähnt:
- Paradigmenwechsel: Bislang bestand das „einzige“ Ziel des deutschen Datenschutzrechts darin, den Einzelnen vor Beeinträchtigungen in seinem Persönlichkeitsrecht zu schützen (§ 1 Abs. 1 BDSG a.F.). Die DSGVO schützt aber die „Rechte und Freiheiten natürlicher Personen“. Auf diesen Paradigmenwechsel geht die DSK nicht ein.
- Solange-Rechtsprechung BVerfG: Zwar bestätigt die DSK, dass mit den „Rechten und Freiheiten“ die Grundrechte der EU-Grundrechtecharta (GRCh) und der Europäischen Menschenrechtskonvention (EMRK) gemeint sind. Sie geht aber nicht darauf ein, welche Rolle das deutsche Grundrecht auf informationelle Selbstbestimmung im vollharmonisierten EU-Kontext überhaupt noch spielen kann, da dieses weder in der GRCh noch in der EMRK Erwähnung findet.
Siehe BVerfG, Beschl. v. 22.10.1986 – 2 BvR 197/83, BVerfGE 73, 339-388 Rz. 117 (Solange-II)
- Grundrechtsgehalt: Auch auf die höchst auslegungsrelevante Frage, in welchem Verhältnis das Grundrecht auf Datenschutz (Art. 8 GRCh) zu anderen Grundrechten, insbesondere zum Grundrecht auf Privatleben (Art. 7 GRCh) steht, geht die DSK nicht ein. Dabei macht es einen enormen Unterschied, ob Art. 8 GRCh ein eigenständiges Grundrecht mit eigenständigem Gewährleistungsgehalt ist oder ob die Norm einen Ausgestaltungsauftrag an den Gesetzgeber enthält und im Ãœbrigen „nur“ in Kombination mit einem anderen Grundrecht zum Abwehrrecht erstarkt („Kombinationsgrundrecht“).
2. Risiko
Ein großer Knall folgt sodann bei der Klärung des Begriffs des Risikos. Die DSK meint, der Begriff werde in der DSGVO nicht definiert. Schon dies ist zweifelhaft.
a) Naheliegende Definition
Meines Erachtens kann man aus Art. 24 Abs. 1 DSGVO sehr wohl folgende Definition ableiten:
Risiko ist das Produkt aus Eintrittswahrscheinlichkeit und Schwere einer Beeinträchtigung der Rechte und Freiheiten des Betroffenen.
b) Ansatz der DSK
Die DSK schlägt anstelle der vermeintlich fehlenden Definition eine eigene Definition vor:
„Ein Risiko im Sinne der DS-GVO ist das Bestehen der Möglichkeit des Eintritts eines Ereignisses, das selbst einen Schaden (einschließlich ungerechtfertigter Beeinträchtigung von Rechten und Freiheiten natürlicher Personen) darstellt oder zu einem weiteren Schaden für eine oder mehrere natürliche Personen führen kann.
Es hat zwei Dimensionen:
– Erstens die Schwere des Schadens und
– zweitens die Wahrscheinlichkeit, dass das Ereignis und die Folgeschäden eintreten.“
[Hervorhebungen hinzugefügt]
Wie die DSK auf die Idee kommt, den Begriff der Beeinträchtigung von Rechten und Freiheiten des Betroffenen durch den des Schadens zu ersetzen, ist schleierhaft. Die Ausführungen gipfeln  in der Gleichsetzung von Datenschutzverstoß und Schaden:
„Unrechtmäßige Verarbeitungstätigkeiten oder Verarbeitungstätigkeiten, die nicht den Grundsätzen des Art. 5 DS-GVO entsprechen, sind in sich Beeinträchtigungen des Grundrechts auf Datenschutz und stellen daher bereits ein Schadensereignis dar.“
[Hervorhebungen hinzugefügt]
In der Folge verwendet die DSK durchgängig immer dort den Begriff des Schadens, wo eigentlich eine Rechtsgutsverletzung gemeint sein müsste.
c) Kritik
Der Ansatz de DSK ist in zweifacher Hinsicht fragwürdig:
- Erstens ist nicht jede unrechtmäßige Verarbeitungstätigkeit ein Grundrechtsverstoß.
Private können in der Regel nicht gegen Grundrechte verstoßen. Die Grundrechte der Grundrechtecharta binden nur die Union, ihre Stellen und die Mitgliedstaaten (Art. 51 Abs. 1 Satz 1 GRCh). Im Gleichordnungsverhältnis zwischen Bürger und Bürger oder zwischen Bürger und Unternehmen gelten die Grundrechte nicht.
Zwar kann wirtschaftliche oder soziale Macht eines Privaten zu Grundrechtsgefährdungen führen, die ein besonderes Bedürfnis nach Schutz der personalen Freiheit der anderen Privatpersonen entstehen lassen. Dies wiederum kann zu einer mittelbaren Grundrechtsbindung von Privatpersonen führen. Von einer solchen informationellen Asymmetrie kann aber nicht bei jeder beliebigen Datenverarbeitung ausgegangen werden.
- Zweitens ist eine unrechtmäßige Verarbeitungstätigkeit nicht bereits ein Schadensereignis.
Bei wohlwollender Auslegung der Ausführungen der DSK könnte man auf die Idee kommen, der „Eingriff in das Datenschutzrecht“ werde eben mit dem Schadensereignis gleichgesetzt. Genau dies verstößt aber gegen die Voraussetzungen des zivilrechtlichen Schadensersatzanspruchs. Jedem Jurastudenten müssen diese geläufig sein. Hier zur Erinnerung noch einmal dieVoraussetzungen eines Schadensersatzanspruchs:
- Rechtsgutsverletzung
- Verletzungshandlung
- Haftungsbegründende Kausalität zwischen Verletzungshandlung und Rechtsgutsverletzung
- Rechtswidrigkeit
- Verschulden
- Schaden
- Haftungsausfüllende Kausalität zwischen Rechtsgutsverletzung und Schaden
Keine Neuregelung durch DSGVO: Auch die DSGVO ändert an diesen Voraussetzungen nichts. Der Begriff des Schadens taucht in der DSGVO nur in den Art. 47, 62, 80, 82 und 83 DSGVO auf und hat mit den in Kapitel IV geregelten Risikobestimmungen nichts zu tun. Der Schadensersatzanspruch ist in Art. 82 DSGVO geregelt. An den Grundvoraussetzungen des zivilrechtlichen Schadensersatzanspruches ändert diese Norm nichts – außer dass nunmehr auch immaterielle Schäden als ersatzfähig angesehen werden (Art. 82 Abs. 1 DSGVO) und die Beweislastverteilung zu Lasten des Verantwortlichen verschärft wird (Art. 82 Abs. 3 DSGVO).
Keine Identität: Wie die Übersicht über die Voraussetzungen des Schadensersatzanspruchs zeigt, kann vom Vorliegen einer unrechtmäßigen Verarbeitungstätigkeit (Ziffer 2.) noch lange nicht auf das Vorliegen eines Schadens (Ziffer 6.) geschlossen werden.
Verletztes Rechtsgut: Selbst die Frage, welches Rechtsgut bei einer unrechtmäßigen Datenverarbeitung verletzt wurde, lässt sich nicht eindeutig beantworten. Hardcore-Datenschützer würden antworten, dass das Recht auf Datenschutz verletzt sei. Doch ist dies keineswegs selbstverständlich. Der EuGH zitiert regelmäßig Art. 8 GRCh (Recht auf Datenschutz) und Art. 7 GRCh (Recht auf Privatleben) nur zusammen. Und wenn die Auffassung, dass es sich beim Recht auf Datenschutz um ein Kombinationsgrundrecht handelt, richtig ist, dann kann die Rechtsgutsverletzung nicht allein in einer Verletzung des Rechts auf Datenschutz bestehen. Vielmehr muss immer noch die Verletzung eines weiteren Rechtsguts (beispielsweise des Rechts auf Privatleben) hinzutreten.
3. Risiko und Rechtsfolgen
Auch im Abschnitt „Risiko und Rechtsfolgen“ weicht die DSK vom Wortlaut der DSGVO ab, wenn sie ausführt:
„Da es vollständig risikolose Verarbeitungen nicht geben kann, wird die Formulierung „nicht zu einem Risiko“ von ihrem Sinn und Zweck ausgehend als „nur zu einem geringen Risiko“ führend verstanden.“
Die DSGVO geht davon aus, dass es Verarbeitungen gibt, die nicht zu einem Risiko für die Rechte und Freiheiten des Betroffenen führen (vgl. Art. 27 Abs. 2 lit. a und Art. 30 Abs. 5 DSGVO). Die DSK deutet einfach den Wortlaut der DSGVO um.
Art. 33 Abs. 1 DSGVO geht sogar davon aus, dass es Datenschutzverletzungen gibt, die nicht zu einem Risiko für die Rechte und Freiheiten des Betroffenen führen. Das spricht nicht nur gegen die Annahme, dass jede rechtswidrige Datenverarbeitung zu einem Schaden führt, sondern sogar gegen die Annahme, dass jede rechtswidrige Datenverarbeitung überhaupt zu einer Rechtsgutsverletzung führt.
4. Abschätzung der Eintrittswahrscheinlichkeit und Schwere
Bei der Abschätzung der Eintrittswahrscheinlichkeit und Schwere des Risikos hält sich die DSK ebenfalls nicht an den Wortlaut der DSGVO, wenn sie die Kategorien „geringfügig“, „überschaubar“, „substanziell“ und „groß“ vorschlägt. Man fragt sich, warum die DSGVO überhaupt eigene Risikoabstufungen vornimmt, wenn diese dann bei der Subsumtion keine Rolle spielen sollen.
Die DSGVO kennt die folgenden Risikokategorien:
- Hohes Risiko, Art. 34 Abs. 1, Art. 35 Abs. 1, Art. 36 Abs. 1 DSGVO.
- Kein hohes Risiko, EG 91 S. 4.
- Einfaches (nicht näher qualifiziertes) Risiko, Art. 24 Abs. 1, Art. 25 Abs. 1, Art. 32 Abs. 1 und 2, Art. 49 Abs. 1 lit. a) DSGVO.
- Gesteigertes Risiko, das die Schwelle des einfachen Risikos überschreitet, die des hohen Risikos aber unterschreitet, Art. 37 Abs. 1 lit. a, lit. b und lit. c; EG 38 S. 1, EG 51 S. 1 DSGVO.
- Geringeres als einfaches, aber größeres als kein Risiko, Art. 27 Abs. 2 lit. a, Art. 30 Abs. 5, 49 Abs. 1 Unterabs. 2 S. 1; EG 111 S. 1, EG 113 S. 1 DSGVO.
- Voraussichtlich kein Risiko, Art. 27 Abs. 2 lit. a, 30 Abs. 5, 33 Abs. 1 DSGVO.
III. Fazit
Insgesamt leidet das DSK-Kurzpapier an einer erstaunlichen Subsumtionsschwäche. Die Vorgaben der DSGVO werden nicht oder höchst unpräzise analysiert. Zentrale Aussagen der DSGVO werden umgedeutet. Die Aussage der DSK, dass jede unrechtmäßige Datenverarbeitung einen Schaden darstelle, ist hanebüchen. Da man nicht davon ausgehen kann, dass die Autoren des Papiers juristische Laien sind, muss man die Vermutung haben, dass hier unter dem Deckmantel einer „ersten Orientierung“ Rechtspolitik im Sinne eines Ausbaus des Datenschutzrechts zu einem „Supergrundrecht“ gemacht wird. Anders als vom Normgeber intendiert, führt der risikobasierte Ansatz in der Auslegung der DSK nicht etwa zu einer Entlastung des Verantwortlichen, sondern zu einer Verschärfung seiner Pflichten. Wenn jeder Datenschutzverstoß mit einem Schaden gleichzusetzen wäre, würde durch die DSGVO eine Gefährdungshaftung jedes Datenverarbeiters eingeführt.
Viele der wirklich spannenden Fragen zum risikobasierten Ansatz bleiben auch nach Lektüre des Kurzpapiers der DSK nicht nur unbeantwortet, sie werden noch nicht einmal gestellt:
- Anwendungsbereich: Inwieweit gilt der risikobasierte Ansatz auch für die Grundsätze der Datenverarbeitung, für die Rechtsgrundlagen der Datenverarbeitung, für die Betroffenenrechte und für alle anderen Pflichten des Verantwortlichen außerhalb des Kapitels IV (dafür spricht der Wortlaut von Art. 24 Abs. 1; ablehnend die Art.29-Datenschutzgruppe)?
- TOM: Skaliert der risikobasierte Ansatz nicht nur die technischen und organisatorischen Maßnahmen, sondern kann er auch dazu führen, dass gar keine technischen und organisatorischen Maßnahmen ergriffen werden müssen?
Beispiel: Muss der Bäcker um die Ecke, der nur eine Kundendatei für Brötchenlieferungen führt, wirklich Verarbeitungsprozesse für einen möglichen Auskunftsanspruch eines Kunden aufsetzen?
- Gesonderte Risikoprüfungen: Muss der Verantwortliche nicht für jede von ihm zu erfüllende Pflicht eine gesonderte Risikoprüfung vornehmen, da nicht jede Norm der DSGVO dieselben Rechtsgüter schützt? So schützt z.B. Art. 15 DSGVO wohl in erster Linie das Recht auf informationelle Selbstbestimmung, während Art. 16 DSGVO wohl vor allem die Datenqualität und vielleicht auch die Diskriminierungsfreiheit schützt. Wenn aber durch unterschiedliche Normen verschiedene Rechtsgüter geschützt werden, müssten nicht auch für jede Norm getrennte Risikoprüfungen vorgenommen werden? Wenn dies aber so ist, wäre dies für einen Verantwortlichen überhaupt noch leistbar?
- Zusätzliche Risikoprüfungen: Inwieweit spielen Risikoerwägungen auch bei Tatbeständen eine Rolle, in denen der Begriff „Risiko“ nicht ausdrücklich verwendet wird?
- So ist zum Beispiel die Zulässigkeit der Weiterverarbeitung unter anderem von den möglichen Folgen der beabsichtigten Weiterverarbeitung für die Betroffenen abhängig, Art. 6 Abs. 4 lit. d) DSGVO. Hier liegt es nahe, dass die möglichen Folgen weitgehend dem Risiko für die Rechte und Freiheiten des Betroffenen entsprechen. Bei einem geringen Risiko dürfte eine Weiterverarbeitung somit eher zulässig sein als bei einem hohen Risiko.
- Bei Art. 13 Abs. 2 und Art. 14 Abs. 2 DSGVO muss der Verantwortliche dem Betroffenen Zusatzinformationen zur Verfügung zu stellen, wenn diese erforderlich sind, um eine faire und transparente Verarbeitung zu gewährleisten. Auch bei der Auslegung der Tatbestandsmerkmale „fair“ und „transparent“ kann das Risiko berücksichtigt werden. Eine Zusatzinformation dürfte damit bei geringem Risiko eher entfallen als bei hohem Risiko.
Im Ergebnis weiß der datenschutzrechtlich Verantwortliche jedenfalls nach Lektüre des DSK-Kurzpapiers weiterhin nicht, welche Risiken für welches Rechtsgut er mit welcher Genauigkeit bei den zahlreichen Risikoprüfungen und Datenschutz-Folgenabschätzungen, die ihm die DSGVO auferlegt, prüfen muss.