Datenschutz, das zügellose Recht - Teil I: Die umgekehrten chilling effects
Wenn ein Rechtsregime einen derart totalen Regulierungsanspruch erhebt wie die DSGVO, dann wird es für die Freiheiten, die es zu schützen vorgibt, gefährlich. In Teil I dieser Blogserie werden zunächst die Abschreckungswirkung (= chilling effects) der DSGVO und ihre Ursachen näher untersucht. Ausgerechnet die Freiheiten, zu deren Gewährleistung das Datenschutzrecht einst "erfunden" wurde, werden nun durch die DSGVO bedroht.
Das Datenschutzrecht wird vom "Verbotsprinzip" beherrscht. Jede Verarbeitung personenbezogener Daten ist verboten, es sei denn, der Datenverarbeiter kann sich auf einen Erlaubnistatbestand berufen.
Dieses Regelungskonzept ist prinzipiell verarbeitungsfeindlich:
- Es bedeutet zunächst, dass eine Information, die sich auch nur theoretisch auf eine lebende Person zurückführen lässt und daher als personenbezogenes Datum gilt, „by default“ nicht verarbeitet werden darf.
- Zwar gibt es wenige Ausnahmen und für viele Konstellationen Erlaubnistatbestände. Selbstverständlich macht es aber einen Unterschied, ob ein Verhalten grundsätzlich erlaubt oder grundsätzlich verboten ist.
Dieser generelle Widerspruch zur allgemeinen Handlungsfreiheit ist vom Datenschutzrecht auch intendiert:
Das Verbotsprinzip (beschönigend oft als "Rechtmäßigkeitsprinzip" oder "Erlaubnisprinzip" bezeichnet) soll Hinweis- und Warnfunktion haben. Jeder Datenverarbeiter soll sich, schon bevor er mit der Datenverarbeitung beginnt, Gedanken darüber machen, ob er überhaupt zur Datenverarbeitung berechtigt ist. Hier offenbart sich der Präventivcharakter des Datenschutzrechts. Nicht erst ein konkreter Datenmissbrauch, sondern schon die Möglichkeit des Datenmissbrauchs soll verhindert werden.
Das Verbotsprinzip führt darüber hinaus zu einem Begründungszwang. Wer personenbezogene Daten verarbeitet, muss sich rechtfertigen – und zwar sowohl vor den Betroffenen als auch vor den staatlichen Aufsichtsbehörden.
a) Formell-Rechtlich
So muss der Datenverarbeiter (1.) seine Datenverarbeitung nachvollziehbar machen, (2.) Informationen darüber in präziser, transparenter, verständlicher und leicht zugänglicher Form in klarer und einfacher Sprache zur Verfügung stellen, (3.) seine berechtigten Interessen erklären und (4.) sogar die Rechtsgrundlage seiner Datenverarbeitung benennen (Zitiergebot). Außerdem muss er (5.) ein Verzeichnis von Verarbeitungstätigkeiten vorhalten, in dem er zahlreiche Angaben zur Datenverarbeitung (u.a. zu den Zwecken) macht, und (6.) die Ergreifung technischer und organisatorischer Maßnahmen nachweisen können.
b) Materiell-Rechtlich
Neben diesen formell-rechtlichen Pflichten muss der Datenverarbeiter zahlreiche materiell-rechtliche Pflichten erfüllen. Er muss (1.) Interessenabwägungen, (2.) Kompatibilitätsprüfungen, (3.) Geeignetheitsprüfungen, (4.) Erforderlichkeitsprüfungen, (5.) Angemessenheitsprüfungen, (6.) Verhältnismäßigkeitsprüfungen, (7.) Risikoprüfungen und (8.) Risikofolgenabschätzungen vornehmen, die allesamt Auswirkungen auf die Rechtmäßigkeit der Datenverarbeitung und/oder auf die zu ergreifenden technischen und organisatorischen Maßnahmen haben.
Das allseits bekannte Bußgeldrisiko muss hier nicht näher erläutert werden. Nur kurz zur Erinnerung: mit bis zu 20 Millionen Euro oder bei Unternehmen bis zu 4% des Weltjahresumsatzes enthält die DSGVO die - soweit ersichtlich - höchste Bußgelddrohung im gesamten Ordnungswidrigkeitenrecht.
Auch unter Berücksichtigung der wohl weiterhin geringen Wahrscheinlichkeit, von den Datenschutzaufsichtsbehörden mit Bußgeld belegt zu werden, soll gerade diese exorbitant hohe Bußgelddrohung natürlich Abschreckungswirkung haben.
Eine Begrenzung auf die wirtschaftliche Leistungsfähigkeit des mit einem Bußgeld Bedrohten ist dabei nicht zwingend vorgesehen: Die mögliche Gefährdung der wirtschaftlichen Existenz ist durchaus intendiert und soll den Aufsichtsbehörden „scharfe Zähne“ geben.
Der Autor zählt 68 Pflichten des datenschutzrechtlich Verantwortlichen. Es liegt auf der Hand, dass die Hypertrophie dieser Pflichten für einen Datenverarbeiter nicht gerade ein günstiges Umfeld zur Förderung von Datenverarbeitungen darstellt. Zu der Bußgelddrohung treten mit Abschreckungswirkung auch noch die Ausweitung der Betroffenenrechte und eigene Klagemöglichkeiten der Verbraucherverbände hinzu. Der Versuch einer gewissenhaften Erfüllung der ihn betreffenden Pflichten ist daher jedem Datenverarbeiter anzuraten. Das Rechtsregime der DSGVO hat Abschreckungswirkung und es soll auch Abschreckungswirkung haben.
Neben die vom Normgeber intendierte Abschreckungswirkung tritt nun aber noch eine Abschreckungswirkung, die man als Kollateralschaden der DSGVO bezeichnen kann. Gemeint sind die sogenannten chilling effects der DSGVO. Chilling effects sind eine juristische Argumentationsfigur, die bestimmte Wirkungen staatlichen Handelns beschreibt, die darin bestehen, dass Bürger von ihren Grundrechten faktisch keinen Gebrauch mehr machen, obwohl sie dazu berechtigt wären.
Die chilling effects sind eine tragende Säule bei der Begründung des Rechts auf informationelle Selbstbestimmung durch das Bundesverfassungsgericht (BVerfG) ist. Jeder Datenschützer hat den folgenden Satz aus dem Volkszählungsurteil verinnerlicht:
"Wer unsicher ist, ob abweichende Verhaltensweisen jederzeit notiert und als Information dauerhaft gespeichert, verwendet oder weitergegeben werden, wird versuchen, nicht durch solche Verhaltensweisen aufzufallen." [BVerfG, Urt. v. 15.12.1983 – 1 BvR 209/83, BVerfGE 65, 1-71 Rz 148]
Ein wesentliches Ziel des Datenschutzrechts ist es, solche chilling effects zu verhindern. Der Bürger soll alle seine Grundrechte möglichst frei, unbesorgt und unbeobachtet ausüben können, solange er nicht die Grenzen eines eindeutigen Verbotes überschreitet oder Rechte anderer Bürger verletzt.
Da heute jedoch jeder Bürger täglich selbst Informationen verarbeitet und fast jede Information unter der weiten Definition der DSGVO als personenbeziehbar zu behandeln ist, bewirkt diese nun selbst massive "chilling effects". Einige Beispiele des letzten Jahres:
- Blogsterben: Blogs, Foren, Kommentarbereiche auf Webseiten werden geschlossen. Enno Park zählte bei einer Twitterumfrage binnen 24 Stunden 320 solcher Seiten, die wegen der DSGVO geschlossen wurden oder werden sollten.
- Wunschzettel: Die Stadt Roth sagte eine Aktion ab, bei der Kinder ihre Wunschzettel an einen Weihnachtsbaum hätten hängen sollen, damit die Kinderwünsche von örtlichen Behörden und Unternehmen erfüllt worden wären.
- Kinderfotos: Eine Kita in Dormagen schwärzte auf den Erinnerungsfotos in der Portfoliodokumentation der Kinder alle Gesichter der jeweils anderen Kinder.
- Vorgartenwettbewerb: Der Verschönerungsverein Bargteheide prämiert einmal im Jahr die zehn schönsten Gartenanlagen der Stadt, konnte dies aber nicht mehr wie üblich durchführen, weil es die Speicherung der Aufnahmen von Gärten mit den jeweiligen Adressdaten auf Computern voraussetzt.
- Klingelschilder: Die kommunale Hausverwaltung "Wiener Wohnen" wollte 220.000 Klingelschilder abschrauben und anonymisieren.
- Visitenkarten: Der Austausch von Visitenkarten ist keineswegs datenschutzrechtlich unbedenklich, wie Axel Wagner in seinem auch sonst sehr lesenswerten Whitepaper (DSGVO - alle froh?, S. 12-17) eindrucksvoll auf sechs Seiten nachweist.
- Vertretungsplan: Eine Schule veröffentlicht ihren Vertretungsplan nicht mehr im Internet.
- Seniorennachmittag: Beim DRK Munderkingen war der Seniorennachmittag in Gefahr, weil keine Adresslisten mehr bei den Gemeinden angefordert werden konnten und keine persönlichen Einladungen mehr verschickt wurden.
- Öffentlichkeitsarbeit: Der BayLfD empfiehlt Kommunen, die Verbreitung von Fotos auf örtlich begrenzbare Medien zu beschränken, etwa auf die örtliche Tageszeitung oder das eigene, nur analog verteilte Mitteilungsblatt.
- Zuschauerschwund: Die städtischen Theater- und Kulturreihen der Stadt Hamm verzeichneten einen Zuschauerschwund, weil das gedruckte Programmheft 3.200 von 3.955 Kunden nicht mehr zugeschickt wurde.
- E-Mail-Verkehr: Lehrer kommunizieren mit den Eltern ihrer Schüler nicht mehr per E-Mail.
- Gottesdienste: Die Diözese Freiburg sagte alle Livestreams von Gottesdiensten ab.
Bei diesen prominent gewordenen und vielen weiteren Fällen verläuft die Debatte fast immer in denselben Bahnen:
In oft etwas reißerischer Weise wird über die Absurdität dieser oder jener Folge der DSGVO berichtet. Sofort treten Datenschützer auf den Plan, die von Panikmache sprechen oder meinen, es habe sich doch an der Rechtslage gar nichts geändert, das sei schon früher so gewesen (zu diesem in den meisten Fallkonstellationen falschen Argument: Veil, DSGVO: “Es ändert sich doch gar nicht so viel!”). Die angeblich völlig unzutreffende Kritik sei nichts anderes als das Ergebnis „falscher Beratung“ oder in Wahrheit „PR gegen die DSGVO“, die von einer interessierten Lobby betrieben würde. Letztlich sei das vermeintliche Anwendungsproblem nur ein „Mythos“, denn Datenschutz sei wichtig und die DSGVO dafür der rechtliche „Goldstandard“.
Bei näherer rechtlicher Prüfung stellt sich aber meist heraus, dass diese Fälle durchaus datenschutzrechtliche Relevanz haben, dass es zumindest gut vertretbare Rechtsmeinungen in dem kritisierten Sinne gibt, dass diese Rechtsmeinungen auch von Aufsichtsbehörden vertreten werden und damit eben nicht nur „Mythos“, sondern reale Bedrohung für Verantwortliche sein können.
Dies ist auch nicht überraschend, denn die DSGVO gilt mit ihrem one size fit all-Ansatz nun mal für fast alle Datenverarbeiter und für fast alle Verarbeitungen personenbezogener Daten und aufgrund ihres all or nothing-Ansatzes gelten auch fast alle Pflichten der DSGVO für fast alle Datenverarbeitungen - und eben auch für Kindergärten, Vereine, Kommunen, den Bäcker um die Ecke und den Hausmeister.
Dass die genannten Beispiele nicht nur Einzelfälle sind, lehrt die Lebenserfahrung. Wohl jeder kann aus seinem Bekanntenkreis von einem Fall berichten, bei dem die DSGVO zu merkwürdigen Erschwernissen des täglichen Lebens geführt hat. Wer Kinder hat, wird bestätigen, dass sich nunmehr in jeder Gruppe von 30 Eltern immer mindestens ein selbst ernannter "Datenschützer" findet, der mit juristischem Halbwissen ausgestattet den anderen Eltern bei alltäglichen Sachverhalten das Leben schwer macht. Dem Autor wurde ein Fall berichtet, bei dem Eltern ein "Profiling" ihrer Kinder befürchteten, weil diese einen Transponder zur Auswahl zwischen zwei Mittagsgerichten benutzen sollten.
Chilling effects zeichnen sich durch eine Reihe von Kriterien aus, die Simon Assion in dem nach wie vor aktuellen Beitrag "Chilling effects und Überwachung" herausgearbeitet hat. Die Wirkungen der DSGVO entsprechen leider exakt dem so verstandenen Begriff der chilling effects:
- Zweck: Bei chilling effects steht nicht die Wirkung auf den Einzelnen im Vordergrund, sondern die Wirkung auf die Allgemeinheit. Der Begriff beschreibt somit Masseneffekte.
- Kein unmittelbarer Zwang: Chilling effects werden nicht durch unmittelbaren Zwang hervorgerufen, sondern durch Auswirkungen auf das Gefühlsleben des Betroffenen. Diese wiederum führen zu Selbstschädigungseffekten und Selbstzensur.
- Manipulation individueller Freiheit: Chilling effects sind nicht die Folge eines finalen staatlichen Eingriffs, sondern ein irgendwie störender, einschüchternder Einfluss auf die Ausübung eines Freiheitsgrundrechts.
- Intensitätsfaktoren: Die Intensität von chilling effects ist auch abhängig von Rechtsunsicherheit (die bei der DSGVO bekanntlich ein besonderes Ausmaß hat), von zivilrechtlichen Haftungsrisiken, vom Zugang zu qualifizierter Rechtsberatung, von vorhandenem oder fehlendem Wissen und von personellen und finanziellen Ressourcen.
- Reduzierte Grundrechte: Chilling effects sind eine juristische Argumentationsfigur, die auf viele Grundrechte angewendet wird, insbesondere aber im Zusammenhang mit Meinungsfreiheit und Überwachung (zu chilling effects der EU-Urheberrechts-RL Spindler, CR 2019, 277 (289 Rz 77).
Im Ergebnis bewirkt die DSGVO, dass Bürger und Unternehmen von ihren Grundrechten weniger Gebrauch machen, auch wenn sie weiterhin dazu berechtigt wären. Dies liegt zum einen an der vom Normgeber intendierten Abschreckungswirkung, zum anderen aber auch und insbesondere an den (vermutlich unbeabsichtigten) chilling effects der DSGVO.
Jedes Grundrecht, dessen Inanspruchnahme auch die Verarbeitung personenbezogener Daten voraussetzt ist von diesen chilling effects beeinträchtigt. Dies sind insbesondere:
- Meinungsfreiheit
- Pressefreiheit
- Informationsfreiheit
- Kunstfreiheit
- Wissenschaftsfreiheit
- Berufsfreiheit
- Unternehmerische Freiheit
- Auch das Recht auf Privatleben steht in Rede. Nicht nur das Recht auf Privatleben des Betroffenen kann beeinträchtigt sein (durch die Verarbeitung der auf den Betroffenen bezogenen Daten). Auch das Recht auf Privatleben des Verantwortlichen kann beeinträchtigt sein, da dieser als soziales Wesen darauf angewiesen ist, Informationen zu verarbeiten, die sich auf andere Personen beziehen. "Es gibt ein Recht auf Klatsch und Tratsch." (Lorena Jaume-Palasi).
Eine Beeinträchtigung der genannten Grundrechte durch chilling effects der DSGVO kann aber natürlich nur erkennen, wer die Verarbeitung personenbezogener Daten Dritter überhaupt als grundrechtlich geschützt ansieht. Der derzeitige Bundesbeauftragte für Datenschutz hat dies - allerdings vor seiner Ernennung - auch schon mal hier und hier in Zweifel gezogen.
Die DSGVO selbst sieht es jedenfalls in Erwägungsgrund 4 anders:
"Das Recht auf Schutz der personenbezogenen Daten ist kein uneingeschränktes Recht; es muss im Hinblick auf seine gesellschaftliche Funktion gesehen und unter Wahrung des Verhältnismäßigkeitsprinzips gegen andere Grundrechte abgewogen werden."