Welches Schutzgut liegt dem Datenschutzrecht zugrunde? In „Die Schutzgutmisere des Datenschutzrechts – Teil I“ wurde gezeigt, dass dies völlig unklar ist. Der Datenschutz droht deshalb, zum Selbstzweck zu werden. Und das Datenschutzrecht droht, zu einem unerfüllbaren Vollkaskorecht zu werden.
In diesem und den nachfolgenden Beiträgen zur Schutzgutmisere des Datenschutzrechts soll der Wortlaut der Datenschutz-Grundverordnung (DSGVO) näher unter die Lupe genommen werden – in der Hoffnung, dort Anhaltspunkte für eine Präzisierung des Schutzguts zu finden.
Die Wortlautauslegung ist eine von fünf Methoden, mit denen Juristen Gesetze auslegen (neben der historischen, der teleologischen, der systematischen und der verfassungskonformen Auslegung). Der Wortlautauslegung kommt besondere Bedeutung zu, weil es – sofern man dies überhaupt für zulässig hält – einen besonderen Begründungsaufwand erfordert, einem Rechtstext einen Bedeutungsgehalt zu geben, der sich aus dem Wortlaut nicht ableiten lässt.
1. Was wird aus dem Recht auf informationelle Selbstbestimmung?
Aus deutscher Sicht von besonderer Brisanz ist, ob und inwieweit das Recht auf informationelle Selbstbestimmung unter der DSGVO überhaupt noch fortbestehen kann. Das Recht ist eine Kreation des Bundesverfassungsgerichts aus dem Jahre 1983. Das Gericht leitete es im „Volkszählungsurteil“ aus der Menschenwürde und dem allgemeinen Persönlichkeitsrecht ab. Das Recht auf informationelle Selbstbestimmung machte in Deutschland Karriere, indem es Eingang in viele Landesverfassungen und Landesdatenschutzgesetze fand und von der Rechtsprechung und auch den meisten Datenschützern wie selbstverständlich als Grundlage des Datenschutzrechts angesehen wurde und wird.
International wurde diese deutsche Erfindung eines neuen Grundrechts jedoch kaum rezipiert. In verbindliche Rechtstexte fand es – soweit ersichtlich – keine Aufnahme. Ob EU-Grundrechtecharta oder Europäische Menschenrechtskonvention, ob Europaratskonvention 108 oder OECD-Richtlinien – ein Recht auf informationelle Selbstbestimmung sucht man dort vergebens. Auch in der Rechtsprechung des Europäischen Gerichtshofs finden sich – soweit ersichtlich – keine Bezugnahmen auf ein solches Recht. Es ist daher äußerst fraglich, ob und – wenn ja – in welchen Fällen das „deutsche“ Grundrecht auf informationelle Selbstbestimmung neben den für die Auslegung der DSGVO maßgeblichen Grundrechten der EU-Grundrechtecharta Bestand haben kann.
Und die DSGVO? Die Infragestellung des Rechts auf informationelle Selbstbestimmung durch die Rechtsentwicklung in der EU wird in Deutschland von den Advokaten dieses Rechts (und das sind fast alle Datenschützer) kaum wahrgenommen. Im Ausland hingegen wird das Beharren der deutschen Datenschützer auf dem Recht auf informationelle Selbstbestimmung kaum registriert. In dieser seltsamen Lage lohnt es sich genauer hinzusehen, wieviel „informationelle Selbstbestimmung“ eigentlich in der DSGVO genau steckt.
Zum Gegensatz zwischen EU-Datenschutz und „informationeller Selbstbestimmung“ anschaulich:
D’Avis/Giesen, CR 2019, 24 (27) Rz. 18 ff.
2. Schutzgut „Kontrolle“?
Die Begriffe „Selbstbestimmung“ oder „informationelle Selbstbestimmung“ tauchen in der DSGVO nicht auf. Formulierungen wie im „Volkszählungsurteil“ (jeder soll wissen, wer was wann über ihn weiß; jeder soll über die Preisgabe von Daten selbst bestimmen können) enthält die DSGVO nicht.
Indirekte Auslegung: In immerhin drei Erwägungsgründen finden sich allerdings zarte Hinweise darauf, dass sich der Gedanke der „Selbstbestimmung“ auch in die DSGVO eingeschlichen hat. Wenn mit dem Bundesverfassungsgericht unter „Selbstbestimmung“ die Befugnis des Einzelnen zu verstehen ist, grundsätzlich selbst über die Preisgabe und Verwendung der persönlichen Daten zu bestimmen, dann scheint der in den Erwägungsgründen verwendete Begriff der Kontrolle über die „eigenen“ Daten in diese Richtung zu weisen:
- In EG 7 Satz 2 heißt es:
„Natürliche Personen sollten die Kontrolle über ihre eigenen Daten besitzen.“
- EG 75 formuliert:
„Die Risiken für die Rechte und Freiheiten natürlicher Personen […] können aus einer Verarbeitung personenbezogener Daten hervorgehen, die zu einem […] Schaden führen könnte, insbesondere wenn […] die betroffenen Personen […] daran gehindert werden, die sie betreffenden personenbezogenen Daten zu kontrollieren […].“
- Und EG 85 Satz 1 lautet:
„Eine Verletzung des Schutzes personenbezogener Daten kann […] einen […] Schaden für natürliche Personen nach sich ziehen, wie etwa Verlust der Kontrolle über ihre personenbezogenen Daten […].“
Schutzgut durch die Hintertür? Ein bisschen Schutz der „informationellen Selbstbestimmung“ steckt demnach auch in der DSGVO. Wenn die „informationelle Selbstbestimmung“ aber das zentrale Schutzgut der DSGVO wäre, stellt sich die Frage, wieso die Idee der „Selbstbestimmung“ doch nur sehr versteckt in die im Übrigen sehr ausschweifenden Erwägungsgründe Eingang gefunden hat.
Nun muss ein Schutzgut nicht ausdrücklich benannt sein, um gleichwohl als solches Geltung zu beanspruchen. Daher ist zu analysieren, welches Maß an „Selbstbestimmung“ die materiell-rechtlichen Regelungen der DSGVO denn eigentlich gewährleisten.
3. Verschiedene Kontrollgrade nach Zulässigkeitstatbeständen
Bei einem Blick auf die Zulässigkeitstatbestände der DSGVO wird deutlich, dass diese der Selbstbestimmung in höchst unterschiedlichem Maß Raum geben. Die nachfolgenden Überlegungen stellen in ihrer Abstraktheit nur eine idealtypische Betrachtung dar:
● Einwilligung
Die Verarbeitung personenbezogener Daten ist zulässig, wenn der Betroffene in sie einwilligt (Art. 6 Abs. 1 lit. a, 6 Abs. 4, 9 Abs. 2 lit. a, 22 Abs. 2 lit. c, 49 Abs. 1 lit. a DSGVO).
Beispiel: ich will, dass mir Werbung zugeschickt wird und willige darin ein.
Relevanz: Die Einwilligung bietet ein hohes Maß an Selbstbestimmung. Mit ihr kann der Betroffene nicht nur die Datenverarbeitung autorisieren. Wegen der Widerruflichkeit der Einwilligung (Art. 7 Abs. 3 DSGVO) kann er ihre Zulässigkeit auch jederzeit ohne Angabe von Gründen beenden.
Schutzgut: Fraglich ist, ob und inwieweit Regelungen der DSGVO abdingbar sind, wenn der Betroffene dies ausdrücklich wünscht. Sieht man die Regelungen der DSGVO als zwingend und damit als nicht abdingbar an, wäre es mit der Selbstbestimmung im Datenschutz weniger weit her, als man vermuten könnte. Wenn ich als Betroffener will, dass „meine“ Daten ohne jegliche Restriktionen für alle erdenklichen Zwecke verarbeitet werden (z.B. im Rahmen einer Datenspende) und ich dafür auch auf alle meine Betroffenenrechte verzichten möchte, dann dürfte dies nach Meinung vieler Datenschützer wohl kaum möglich sein. Dass ein solcher Datenpaternalismus dem Datenschutzrecht nicht fremd ist, zeigt zum Beispiel Art. 9 Abs. 2 lit. a DSGVO, nach dem das Unionsrecht oder das mitgliedsstaatliche Recht vorsehen kann, dass das Verbot der Verarbeitung sensibler Daten auch durch die Einwilligung des Betroffenen nicht aufgehoben werden kann. Eingehend dazu Krönke, Datenpaternalismus – Staatliche Interventionen im Online-Datenverkehr zwischen Privaten, dargestellt am Beispiel der Datenschutz-Grundverordnung).
Ergebnis:>> Bei der Einwilligung ist das Maß an Selbstbestimmung sehr hoch.
● Vertrag
Die Verarbeitung personenbezogener Daten ist zulässig, wenn sie für die Erfüllung eines Vertrags oder zur Durchführung vorvertraglicher Maßnahmen erforderlich ist (Art. 6 Abs. 1 lit. b, 22 Abs. 2 lit. a DSGVO).
Beispiel: ich bestelle ein Produkt zur Lieferung nach Hause; die Verarbeitung meiner Adresse ist für die Erfüllung des Vertrages erforderlich.
Relevanz: In diesem Fall ist der Einfluss der Selbstbestimmung auf die Datenverarbeitung immer noch recht hoch. Zwar ist das Handeln des Betroffenen in der Regel nicht mit dolus directus 1. Grades auf die Datenverarbeitung gerichtet. Er wird um die Datenverarbeitung aber wissen oder sie zumindest billigend in Kauf nehmen, um das vertraglich erwünschte Ziel zu erreichen.
Schutzgut: Schutzgut des Erlaubnistatbestandes „Vertrag“ ist nicht die informationelle Selbstbestimmung, sondern die Vertragsfreiheit. Wer einen Vertrag schließt, ist nicht mehr gänzlich frei darin, die Datenverarbeitung jederzeit beenden zu können. Bei diesem Erlaubnistatbestand wird die informationelle Selbstbestimmung der Vertragsfreiheit untergeordnet. Ein der Datenverarbeitung entgegenstehender Wille des Betroffenen wird von der Rechtsordnung als rechtlich irrelevant angesehen, worin man auch eine Ausprägung von venire contra factum proprium sehen kann: wer einen bestimmten Vertrag will, kann sich rechtlich der Datenverarbeitung nicht entziehen, die für diesen Vertrag erforderlich ist.
Das Maß an Kontrolle über die „eigenen“ Daten ist letztlich abhängig von den rechtlichen Möglichkeiten der Vertragsbeendigung (Kündigung, Aufhebungsvertrag, Anfechtung, Rücktritt, Widerruf) oder von der Vertragserfüllung. Da die Vertragsbeendigung oft nicht allein vom Willen des Betroffenen abhängt, ist der Maß der Kontrolle des Einzelnen über „seine“ Daten deutlich geringer als bei der Einwilligung.
Ergebnis:>> Beim Vertrag ist das Maß an Selbstbestimmung recht hoch, wird aber der Vertragsfreiheit untergeordnet.
● Gesetzliche Verarbeitungspflicht
Die Verarbeitung personenbezogener Daten ist zulässig, wenn sie zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist (Art. 6 Abs. 1 lit. c DSGVO i.V.m. nationalem Recht).
Beispiel: das Kraftfahrt-Bundesamt ist gemäß § 28 StVG zur Speicherung personenbezogener Daten im Fahreignungsregister verpflichtet.
Keine Relevanz: Will der Betroffene in einem solchen Fall eine Verarbeitung „seiner“ Daten nicht, so ist dies rechtlich völlig irrelevant.
Schutzgut ist das öffentliche Interesse. Die Selbstbestimmung des Betroffenen spielt in Fällen gesetzlicher Verarbeitungsverpflichtung keine Rolle, denn auch ein etwaig entgegenstehender Wille des Betroffenen wird von der in der Regel im öffentlichen Interesse bestehenden Pflicht zur Datenverarbeitung überwunden.
Ergebnis:>> Bei der gesetzlichen Verarbeitungspflicht besteht keine Selbstbestimmung, da diese dem öffentlichen Interesse untergeordnet wird.
● Lebenswichtige Interessen
Die Verarbeitung personenbezogener Daten ist zulässig, wenn sie erforderlich ist, um lebenswichtige Interessen des Betroffenen oder einer anderen natürlichen Person zu schützen (Art. 6 Abs. 1 lit. d DSGVO).
Beispiel: ich kehre von einer Urlaubsreise nicht zurück und das Internationale Rote Kreuz sucht mich.
Keine Relevanz: Selbst wenn ich dies nicht will, darf nach mir gesucht werden.
Schutzgut dieses Erlaubnistatbestandes ist das Leben.
Ergebnis:>> Bei der Datenverarbeitung aufgrund lebenswichtigem Interesse spielt die Selbstbestimmung keine Rolle, da sie den lebenswichtigen Interessen des Betroffenen oder eines Dritten untergeordnet wird.
● Gesetzliche Aufgabenwahrnehmungspflicht/Verarbeitungserlaubnis
Die Verarbeitung personenbezogener Daten ist zulässig, wenn sie für die Wahrnehmung einer dem Verantwortlichen übertragenen Aufgabe erforderlich ist – entweder, weil die Aufgabe im öffentlichen Interesse liegt, oder, weil die Aufgabenwahrnehmung in Ausübung öffentlicher Gewalt erfolgt (Art. 6 Abs. 1 lit. e, 22 Abs. 2 lit. b DSGVO i.V.m. nationalem Recht).
Beispiel: der Betreiber eines Versorgungsnetzes (z.B. Stromnetz), dem die Errichtung und Unterhaltung des Netzes sowie die Aufrechterhaltung der Versorgungssicherheit übertragen wurde, kann zum Betrieb intelligenter Verbrauchsmessgeräte (Smart Meter) berechtigt sein.
Relevanz: Auch in diesem Fall ist Schutzgut des Erlaubnistatbestandes das öffentliche Interesse. Auch in diesem Fall ist der Grad an informationeller Selbstbestimmung gering, denn die gesetzlich festgelegte Aufgabenerfüllung, die im öffentlichen Interesse liegt, verdrängt einen etwa entgegenstehenden Willen des Betroffenen.
Schutzgut: Dies gilt hier allerdings mit der Einschränkung, dass der Betroffene gemäß Art. 21 Abs. 1 DSGVO Widerspruch gegen die Datenverarbeitung einlegen kann. Erfolg hat ein solcher Widerspruch aber nur, wenn Gründe vorliegen, die sich aus der besonderen Situation des Betroffenen ergeben. Die Widerspruchsmöglichkeit stellt nur eine Härtefallregelung dar, die in aller Regel nicht zur Anwendung kommen wird, weil aufgrund der Erforderlichkeit der Datenverarbeitung zur Aufgabenwahrnehmung das öffentliche Interesse objektiv überwiegt.
Ergebnis:>> Sofern eine Datenverarbeitung zur Wahrnehmung einer im öffentlichen Interesse liegenden Aufgabe erforderlich ist, ist das Maß an Selbstbestimmung sehr gering.
● Berechtigte Interessen
Eine Verarbeitung personenbezogener Daten ist zulässig, wenn sie zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten des Betroffenen überwiegen (Art. 6 Abs. 1 lit. f DSGVO).
Beispiel: auf einem Personenbewertungsportal werden einzelne Personen in einer bestimmten Rolle oder Funktion (z.B. Arzt, Lehrer, Restaurantbetreiber, usw.) bewertet.
Relevanz: Voraussetzung für eine Zulässigkeit der Datenverarbeitung ist in jedem Fall eine Interessenabwägung. Dabei kann die informationelle Selbstbestimmung eines von vielen Interessen sein, die zugunsten des Betroffenen in die Abwägung einzustellen sind. Allerdings hat der Verantwortliche gemäß dem Wortlaut einen Abwägungsvorsprung („sofern nicht“), den der Betroffene erst einmal überwinden muss. Welcher Rang dem Selbstbestimmungsgedanken bei Interessenabwägungen im Rahmen dieses Erlaubnistatbestandes von der Rechtsprechung künftig zugemessen wird, ist völlig unklar.
Schutzgüter des Art. 6 Abs. 1 lit. f DSGVO sind daher in erster Linie die Grundrechte, die der Verantwortliche für seine Datenverarbeitung in Anspruch nehmen kann (insbesondere Meinungsfreiheit, Informationsfreiheit, Wissenschaftsfreiheit, Kunstfreiheit, aber auch unternehmerische Freiheit), und die Grundrechte, die der Betroffene für sein Verhinderungsinteresse in Anspruch nehmen kann (insbesondere Recht auf Privatleben).
Ergebnis:>> Selbstbestimmung kann im Rahmen der Interessenabwägung durchaus eine Rolle spielen. Sie ist aber nur einer von vielen Abwägungsfaktoren, die durch Interessen, Grundrechte und Grundfreiheiten des Verantwortlichen oder eines Dritten überwunden werden können.
4. Ergebnis
Die „informationelle Selbstbestimmung“ ist in der DSGVO an keiner Stelle als Schutzgut ausdrücklich anerkannt.
An drei Stellen in den Erwägungsgründen findet der Gedanke einer Kontrolle über die „eigenen“ Daten Erwähnung. Ob durch eine Erwähnung dieses Kontrollgedankens in den Erwägungsgründen derselbe Schutzumfang erreicht werden kann, wie ihn das Recht auf informationelle Selbstbestimmung nach deutscher Datenschutztradition hat, ist höchst fraglich:
- Primärrechtlich
gibt es ein Recht auf informationelle Selbstbestimmung auf EU-Ebene nicht. Der Betroffene kann sich bei den zahlreichen Abwägungen und Verhältnismäßigkeitsprüfungen der DSGVO daher nicht auf ein grundrechtlich geschütztes „Recht auf informationelle Selbstbestimmung“ berufen, sondern seinen Verhinderungswillen „nur“ auf sein Selbstbestimmungs„interesse“ bzw. sein Kontroll„interesse“ stützen.
Auch in der Rechtsprechung des EuGH findet ein „Recht auf informationelle Selbstbestimmung“ bislang keine Erwähnung. - Sekundärrechtlich
ist bei den verschiedenen Erlaubnistatbeständen der DSGVO das Maß, mit dem der Gesichtspunkt der Selbstbestimmung zu berücksichtigen ist, höchst unterschiedlich ausgeprägt.
Da alle Erlaubnistatbestände gleichberechtigt nebeneinander stehen, gibt es auch keinen wie auch immer gearteten Vorrang der Einwilligung (und damit auch keinen Vorrang der informationellen Selbstbestimmung). Daran ändert auch die jüngst geäußerte Auffassung der Datenschutzkonferenz nichts, wonach die Datenverarbeitung nicht auf eine andere Rechtsgrundlage gestützt werden kann, wenn die Einwilligung unwirksam ist. Diese Rechtsauffassung ist
> erstens unrichtig (statt aller Veil, Einwilligung oder berechtigtes Interesse? – Datenverarbeitung zwischen Skylla und Charybdis, in: NJW 2018, 3337, 3342),
> zweitens widerspricht sie dem Wortlaut von Art. 6 Abs. 1 DSGVO („mindestens eine der nachstehenden Bedingungen“) und Art. 17 Abs. 1 lit. b DSGVO („und es fehlt an einer anderweitigen Rechtsgrundlage“) und
> drittens würde durch sie durch die Hintertür doch wieder ein grundrechtlich nicht zu begründender Primat der Einwilligung statuiert.
Fazit – Alles in allem ist festzustellen:
Das Schicksal des Rechts auf informationelle Selbstbestimmung ist sehr ungewiss. Ob es um dieses Stück „Grundrechtstheologie“ (Ladeur, Das Recht auf informationelle Selbstbestimmung: Eine juristische Fehlkonstruktion?) schade wäre, bezweifeln neben dem Autor (Veil, Die Datenschutz-Grundverordnung: des Kaisers neue Kleider – Der gefährliche Irrweg des alten wie des neuen Datenschutzrechts) auch andere (z.B. Lutterbeck, Das informationelle Selbstbestimmungsrecht auf dem Prüfstand; Koops, The Trouble with European Data Protection Law; zuletzt überzeugend Hartzog, The Case against Idealising Control).