Blogserie: Datenschutz, das zügellose Recht
Wie die DSGVO unsere Freiheit und Selbstbestimmung bedroht - Blogserie zur Zügellosigkeit des Datenschutzrechts in 5 Teilen:
- Teil I: Die umgekehrten chilling effects
- Teil II: Der Datenpaternalismus
- Teil III: Die totale Drittwirkung
- Teil IV: Der datenschutzrechtliche Präventionsstaat
- Teil V: Die schrankenlose Behörde
Das Datenschutzrecht ist ein überlastetes Recht. Es versucht, alle "Rechte und Freiheiten natürlicher Personen" zu schützen (Art. 1 Abs. 2 DSGVO). Welche und wie viele Rechte dies sind, ist völlig unklar. Neben den klassischen Schutzgütern Privatsphäre, allgemeine Persönlichkeitsrechte und informationelle Selbstbestimmung kommen auch Diskriminierungsfreiheit und physische Schäden sowie darüber hinaus sogar sämtliche erhebliche wirtschaftliche und gesellschaftliche Nachteile (!) in Betracht (EG 75 DSGVO).
Wenn wirklich alle "Rechte und Freiheiten" geschützt sein sollen, kann dies den Rechtsanwender nur überfordern. Nach Zählung des Autors enthält die DSGVO 68 Pflichten, die der Datenverarbeiter beachten muss. Im Grunde muss er sich bei jeder einzelnen Pflicht Gedanken darüber machen, welchen Rechten die jeweilige Pflicht dient und ob er diese durch seine Datenverarbeitung beeinträchtigen könnte. Damit stehen 68 mal die "Rechte und Freiheiten" in Rede.
Wenn ein Rechtsregime einen derart totalen Regulierungsanspruch erhebt, dann wird es für die Freiheiten, die es zu schützen vorgibt, selbst gefährlich. In dieser fünfteiligen Blogserie wird analysiert, wie die gut gemeinte Idee des Datenschutzes durch ihre Übersteigerung in der DSGVO zu freiheitsschädlichen Wirkungen und zur Außerkraftsetzung rechtsstaatlicher Bindungen führt.
Chilling effects sind eine juristische Argumentationsfigur, die bestimmte Wirkungen staatlichen Handelns beschreibt, die darin bestehen, dass Bürger von ihren Grundrechten faktisch keinen Gebrauch mehr machen, obwohl sie dazu berechtigt wären (eingehend Assion, Chilling effects und Überwachung).
Das BVerfG begründet die Notwendigkeit des Datenschutzes auch mit der Existenz von chilling effects. Ein wesentliches Ziel des Datenschutzrechts ist es dementsprechend, solche chilling effects zu verhindern. Jeder Datenschützer hat diesen Satz aus dem Volkszählungsurteil verinnerlicht:
"Wer unsicher ist, ob abweichende Verhaltensweisen jederzeit notiert und als Information dauerhaft gespeichert, verwendet oder weitergegeben werden, wird versuchen, nicht durch solche Verhaltensweisen aufzufallen." [BVerfG, Urt. v. 15.12.1983 – 1 BvR 209/83, BVerfGE 65, 1-71 Rz 148]
⇒ Die DSGVO bewirkt nun aber selbst massive chilling effects: Blogs werden geschlossen, Fotos nicht veröffentlicht, Klingelschilder abmontiert und vieles mehr.
Die DSGVO bewirkt, dass Bürger und Unternehmen von ihren Grundrechten (Meinungs-, Presse- und Informationsfreiheit, Kunstfreiheit, Wissenschaftsfreiheit, unternehmerische Freiheit) weniger Gebrauch machen, auch wenn sie möglicherweise dazu berechtigt wären.
Ein zentrales Anliegen des Datenschutzrechts ist der Schutz der informationellen Selbstbestimmung. In der Diktion des BVerfG ist dies die Befugnis des Einzelnen, grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen.
⇒ Die DSGVO greift aber durch zahlreiche paternalistische Regelungen selbst massiv in die Selbstbestimmung des Einzelnen ein.
Sie erreicht dies durch verschiedene Formen des Eingriffspaternalismus (Ge- und Verbote) und des libertären Paternalismus (Nudging). Im Ergebnis bewirkt sie eine Entmündigung bzw. Bevormundung des Bürgers, das der angestrebten Selbstbestimmung zuwiderläuft.
Traditionell sind Grundrechte Abwehrrechte des Bürger gegen den Staat. Ob und inwieweit Grundrechte zwischen Privaten gelten, also mittelbare Drittwirkung entfalten, ist höchst umstritten. Die Rechtsprechung in Deutschland ist hier eher zurückhaltend. In Ausnahmefällen kann wirtschaftliche oder soziale Macht eines Privaten zu Grundrechtsgefährdungslagen führen, die ein Bedürfnis nach Anerkennung der mittelbaren Drittwirkung begründen.
Für das Grundrecht auf Datenschutz (Art. 8 GRCh) wird die mittelbare Drittwirkung zwischen Privaten allerdings gerne behauptet - meist in politisch-affirmativer Absicht ("Aber Datenschutz ist doch ein Grundrecht.").
⇒ Ungeachtet der rechtstheoretischen Diskussion bewirkt die DSGVO von vielen unerkannt bereits eine totale Drittwirkung. Letztlich treffen den Bürger als Verantwortlichen dieselben oder jedenfalls strukturähnliche Pflichten wie den Staat oder den Gesetzgeber:
Der Gesetzesvorbehalt, das Verhältnismäßigkeitsprinzip, die Grundsätze der Normenklarheit und Normenbestimmtheit - sie alle finden in der DSGVO ihre Entsprechung in Rechtspflichten, die der Bürger wie der Staat zu erfüllen hat. In mindestens 82 (!) Tatbeständen der DSGVO muss der Verantwortliche Interessenabwägungen, Verhältnismäßigkeitsprüfungen und Risikoabschätzungen vornehmen, die sonst nur der Gesetzgeber zu bewältigen hat.
Ziel des Datenschutzrechts war und ist die Verhinderung des Präventionsstaats. Darunter ist ein Staat zu verstehen, der Informationsverarbeitung sowie hoheitliche Kontrollinstrumente gezielt und flächendeckend einsetzt, um unerwünschtes Verhalten der Bürger von vorneherein zu verhindern. Der Präventionsstaat ist aus grundrechtlichen und rechtsstaatlichen Gründen unbedingt zu vermeiden.
⇒ Paradoxerweise errichtet die DSGVO durch ihre Regelungsmechanismen gerade diesen Präventionsstaat. Jeder Bürger und jedes Unternehmen wird als ein potentielles Risiko angesehen. Die Gefahrenabwehr wird so stark vorverlagert, dass es auf das Vorliegen eines konkreten Risikos gar nicht mehr ankommt:
Die umfassenden Dokumentations- und Rechenschaftspflichten der DSGVO dienen der totalen Kontrollierbarkeit des Verhaltens der Bürger. Und weil ein konkretes Schutzgut nicht benannt wird, fehlen jegliche Maßstäbe für die Verhältnismäßigkeitsprüfungen. Hinzu kommt ein materielles Recht, das die flächendeckende Lenkung und Kontrolle des digitalen Verhaltens seiner Bürger zum Ziel hat (vgl. D'Avis/Giesen, CR 2019, 24 (25 Rz. 6)).
Datenschutzaufsichtsbehörden sind für die Überwachung der Anwendung der DSGVO zuständig. Es sind staatliche Behörden, die mit Zwangsgewalt ausgestattet sind und die dem Bürger im Über-Unter-Ordnungsverhältnis gegenübertreten. Als Folge der Weite des Begriffs der "Personenbezogenheit" von Daten sind sie letztlich zuständig für die Überwachung der gesamten Informationsgesellschaft.
⇒ Die Eingriffsbefugnisse der Datenschutzaufsichtsbehörden sind beispiellos. Die mögliche Höhe der Bußgelder ist im Vergleich zum übrigen Ordnungswidrigkeitenrecht völlig unverhältnismäßig. Die Aufsichtsbehörden haben Zugriff auf "alle" Informationen und personenbezogenen Daten, die sie für ihre Aufgabenerfüllung brauchen. Sie haben Zugang zu allen Räumlichkeiten und Datenverarbeitungsanlagen des Datenverarbeiters. Sie können Betriebe faktisch schließen.
All diese Eingriffsbefugnisse unterliegen keinerlei Einschränkungen und Konkretisierungen, wie sie sonst bei Eingriffsbehörden als rechtsstaatlich geboten angesehen werden. Als wäre dies nicht schon bedenklich genug, unterliegen die Datenschutzaufsichtsbehörden weder der Fachaufsicht noch der Rechtsaufsicht. Mangels demokratischer Verantwortlichkeit ist die demokratische Legitimation des Handelns der Datenschutzaufsichtsbehörden höchst zweifelhaft.
Die scheinbar so technische Diskussion ums Datenschutzrecht ist eine um politische Präferenzen, um Gesellschaftsmodelle, um Vorstellungen von der Freiheit des Einzelnen. Die genannten Gesichtspunkte zeigen, dass die DSGVO die Freiheit, die sie uns auf der einen Seite geben will, auf der anderen Seite wieder nimmt:
- Bestenfalls handelt es sich somit um ein Nullsummenspiel zugunsten bestimmter Freiheiten und zu Lasten anderer Freiheiten.
- Schlimmstenfalls ist sie weiterer Baustein einer freiheitsfeindlichen Entwicklung, die durch Überregulierung, staatlichen Paternalismus und die Utopie der Kontrolle menschlichen Verhaltens gekennzeichnet ist.