Datenschutz, das zügellose Recht - Teil III: Die totale Drittwirkung
Unsere Verfassung verpflichtet den Staat dazu, zahlreiche sehr restriktive Anforderungen zu erfüllen, wenn er personenbezogene Daten seiner Bürger verarbeiten will. Diese Restriktionen bestehen zum Schutz der Grundrechte des Bürgers. In diesem Blogbeitrag wird gezeigt, dass der datenverarbeitende Bürger aufgrund der DSGVO vergleichbare Anforderungen erfüllen muss wie der datenverarbeitende Staat. Die DSGVO verkehrt den Schutz des Bürgers gegen den Staat in einen Anspruch des Staates gegen seine Bürger um.
Traditionell sind Grundrechte Abwehrrechte des Bürger gegen den Staat. Unmittelbar gelten sie daher nur im Staat-Bürger-Verhältnis. Während der Bürger durch die Grundrechte „prinzipiell frei“ ist, ist der Staat durch die Grundrechte „prinzipiell gebunden" (BVerfG, Urt. v. 22.11.2011, Rn. 48).
Grundrechtsbindung staatlicher Organe: Im Anwendungsbereich des EU-Rechts legt Art. 51 Abs. 1 Satz 1 GR-Charta eindeutig fest, dass die Grundrechte-Charta (und damit auch die in der GR-Charta niedergelegten Grundrechte) nur für die Organe der EU und für die Mitgliedstaaten gelten.
Grundrechte zwischen Privaten? Ob und inwieweit Grundrechte auch zwischen Privaten gelten sollen, also zumindest mittelbare Drittwirkung entfalten, ist höchst umstritten. Die Rechtsprechung in Deutschland ist hier sehr zurückhaltend. In Ausnahmefällen kann besondere wirtschaftliche oder soziale Macht eines Privaten zu Grundrechtsgefährdungslagen führen, die ein Bedürfnis nach Anerkennung der mittelbaren Drittwirkung begründen. Grundrechte haben dann zum Beispiel als objektive Wertordnung Ausstrahlungswirkung in das Zivilrecht und beeinflussen so die Auslegung von unbestimmten Rechtsbegriffen und Generalklauseln.
Für das Grundrecht auf Datenschutz (Art. 8 GRCh) wird die mittelbare Drittwirkung zwischen Privaten oft jedoch als selbstverständlich unterstellt.
Kaum eine Diskussion über Datenschutz, in der nicht als erstes Argument "Aber Datenschutz ist doch ein Grundrecht" ins Feld geführt würde. Auffällig: In Diskussionen etwa über den Umfang ärztlicher Aufklärungspflichten hört man eher selten das Argument "Aber das Recht auf körperliche Unversehrtheit ist doch ein Grundrecht".
Unabhängig von dieser rechtstheoretischen Diskussion lässt sich feststellen, dass die DSGVO bereits rechtstatsächlich eine "totale Drittwirkung" erreicht: Für fast alle Anforderungen, die normalerweise nur der Staat aus Verfassungsgründen zu erfüllen hat, gibt es nun eine datenschutzrechtliche Entsprechung, die für den datenverarbeitenden Bürger gilt. Der Gesetzesvorbehalt, das Verhältnismäßigkeitsprinzip, die Grundrechtsabwägung, der Grundsatz der Normenklarheit, der Grundsatz der Normenbestimmtheit - dies alles sind staatsgerichtete Pflichten. Sie sind nunmehr in strukturähnlicher Weise aber auch vom Bürger zu erfüllen. An mindestens 82 Stellen (!) enthält die DSGVO auch für jeden datenverarbeitenden Bürger (und nicht etwa nur für mächtige Unternehmen) die Pflicht, komplizierte Abwägungsentscheidungen zu treffen. So gibt es in der DSGVO:
- 3 Fairnessprüfungen
- 8 Interessenabwägungen
- 2 Kompatibilitätsprüfungen
- 11 Geeignetheitsprüfungen
- 30 Erforderlichkeitsprüfungen
- 12 Angemessenheitsprüfungen
- 3 Verhältnismäßigkeitsprüfungen
- 13 Risikoprüfungen
Bürger = Staat? Solche Prüfungen muss sonst nur der Staat bei behördlichem oder gesetzgeberischem Handeln vornehmen. Die DSGVO verlangt sie vom Bürger, ohne dass auch nur ansatzweise geklärt wäre, welche Maßstäbe dabei gelten sollen.
Verarbeitung: Der Staat darf in die Grundrechte seiner Bürger nur eingreifen, wenn der Gesetzgeber hierfür eine gesetzliche Rechtsgrundlage geschaffen hat (Gesetzesvorbehalt). Dies dient dazu, dass der Bürger „prinzipiell frei“ von Eingriffen in seine Rechte bleiben soll. Der Gesetzesvorbehalt gilt auch für jede Verarbeitung personenbezogener Daten.
Dem entspricht für den privaten Datenverarbeiter das Verbotsprinzip. Auch private Datenverarbeiter müssen sich - wie der Gesetzgeber - zunächst einen gesetzlichen Erlaubnistatbestand suchen, auf den sie ihre Datenverarbeitung stützen können. Private sind insofern sogar noch etwas schlechter gestellt als der Staat: Der Gesetzgeber kann sich die Rechtsgrundlage für seine Datenverarbeitungen nötigenfalls durch Rechtsvorschriften selbst schaffen. Private müssen sich aus den ihnen zugestandenen sechs Erlaubnistatbeständen des Art. 6 DSGVO bedienen. Wollen sie Daten besonderer Kategorien verarbeiten, bietet ihnen Art. 9 DSGVO sogar noch weniger Optionen.
Zweck: Will der Gesetzgeber staatliche Datenverarbeitungen erlauben, muss er die Verarbeitungszwecke gesetzlich festlegen. Wollen staatliche Behörden zu Lasten eines Bürgers handeln, haben sie durch Aktenführung ihre Abwägungen und Entscheidungen zu dokumentieren.
Dem entspricht nun die Pflicht des privaten Datenverarbeiters, die Verarbeitungszwecke im Verarbeitungsverzeichnis zu dokumentieren. Auch private Datenverarbeiter müssen somit - wie der Gesetzgeber - die Verarbeitungszwecke nachprüfbar festlegen. Während die Nachprüfung beim Gesetzgeber durch die Verfassungsgerichte erfolgt, übernehmen dies bei privaten Datenverarbeitern die Datenschutzaufsichtsbehörden.
Reichweite: Für den staatlichen Datenverarbeiter bestimmt die gesetzlich festgelegte Zweckbindung die Reichweite der Datenverarbeitung. Die Zweckbindung ist hier Ausdruck des Verhältnismäßigkeitsprinzips.
Für private Datenverarbeiter führt die Zweckbindung zu einer (allerdings gesetzlich erzwungenen) Selbstbindung, die ebenfalls die Reichweite der Datenverarbeitung bestimmt. Die Selbstbindung ist hier Ausdruck von Treu und Glauben.
Dass der Bürger bei der Verarbeitung personenbezogener Daten „prinzipiell frei“ sei, lässt sich nach alledem nicht gerade behaupten.
Legitimes Ziel: Staatliche Eingriffsbefugnisse müssen einem legitimen Ziel dienen. Das ist bei der Verarbeitung personenbezogener Daten der Verarbeitungszweck, der mit der gesetzlichen Aufgabe z.B. einer Behörde korrespondiert.
Nach Art. 5 Abs. 1 lit. b DSGVO müssen personenbezogene Daten für legitime Zwecke erhoben werden. Auch private Datenverarbeiter müssen sich demnach - so wie der Gesetzgeber - einen legitimen Zweck für ihre Datenverarbeitung suchen.
Geeignetheit/Erforderlichkeit: Staatliche Eingriffsbefugnisse müssen zur Erreichung ihres Ziels geeignet und erforderlich sein.
Nach EG 39 S. 9 DSGVO dürfen personenbezogene Daten nur verarbeitet werden, "wenn der Zweck der Verarbeitung nicht in zumutbarer Weise durch andere Mittel erreicht werden kann". Auch private Datenverarbeiter müssen somit - wie der Gesetzgeber - die ersten beiden Teile der Verhältnismäßigkeitsprüfung vornehmen.
Angemessenheit: Staatliche Eingriffsbefugnisse müssen verhältnismäßig im engeren Sinne (= angemessen) sein.
Nach Art. 5 Abs. 1 lit. c DSGVO müssen personenbezogene Daten "dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein". Private Datenverarbeiter müssen mithin auch den letzten Teil der Verhältnismäßigkeitsprüfung, die Prüfung der Angemessenheit (einschließlich des Übermaßverbotes), vornehmen.
Eigentlich müsste der Bürger also die feinziselierten Anforderungen des BVerfG für Verhältnismäßigkeitsprüfungen "drauf" haben, bevor er etwa ein Smartphone im beruflichen Kontext nutzt.
Aufgabe des Gesetzgebers: Nach der Rechtsprechung des BVerfG ist es bei gesetzlicher Verankerung staatlicher Eingriffsbefugnisse Aufgabe des Gesetzgebers, einen Ausgleich zu schaffen zwischen der Schwere der Eingriffe in die jeweils betroffenen Grundrechte auf der einen Seite und der Pflicht des Staates zum Schutz der Grundrechte auf der anderen Seite.
Aufgabe des Bürgers: Nichts anderes verlangt die DSGVO an mehreren Stellen nun aber auch vom einzelnen Bürger, z.B.:
- Interessenabwägung: Der Verantwortliche muss zum Beispiel eine Interessenabwägung durchführen (Art. 6 Abs. 1 lit. f DSGVO), um herauszufinden, ob nicht Interessen, Grundrechte oder Grundfreiheiten des Betroffenen überwiegen und ob die Verarbeitung zur Wahrung seiner oder der berechtigten Interessen eines Dritten erforderlich ist. ⇒ Der Bürger muss damit im Grunde eine Grundrechtsprüfung in eigener Sache vornehmen.
- TOMs: Der Bürger muss die Risiken für die Rechte und Freiheiten natürlicher Personen einschätzen und danach geeignete technische und organisatorische Maßnahmen (TOM) ergreifen, um die Risiken für den Betroffenen zu minimieren (Art. 24 Abs. 1 DSGVO). Auch dies ist nichts anderes, als was sonst nur der Gesetzgeber machen muss - einen Grundrechtsausgleich herstellen. ⇒ Während der Gesetzgeber grundrechtsschützende Garantien ins Gesetz einbauen muss, muss der Bürger grundrechtsschonende TOM in seine Datenverarbeitung integrieren.
Alle staatlichen Eingriffsbefugnisse sind nach der Rechtsprechung des BVerfG am Grundsatz der Normenklarheit zu messen. Das bedeutet, dass jeder Verarbeitungsschritt bzw. jede Zweckänderung gesetzlich festgelegt werden muss.
Dem Grundsatz der Normenklarheit, dem der Gesetzgeber verpflichtet ist, entspricht der Grundsatz der Transparenz, dem der datenverarbeitende Bürger unterworfen ist:
- Alle Daten müssen in einer für den Betroffenen nochvollziehbaren Weise verarbeitet werden (Art. 5 I a DSGVO).
- Der Betroffene muss in präziser, transparenter, verständlicher, leicht zugänglicher Form in klarer und einfacher Sprache informiert werden (Art. 7 II und 12 I DSGVO).
- Es gilt für den Bürger sogar eine Art Zitiergebot, denn er muss dem Betroffenen die Rechtsgrundlage seiner Verarbeitung (Art. 13 I c und 14 I c DSGVO) und seine berechtigten Interessen (Art. 13 I d und 14 II b DSGVO) nennen.
- Wie der Gesetzgeber muss auch der Bürger über seine Verarbeitungszwecke (Art. 13 I c und 14 I c DSGVO) und über jede zweckändernde Weiterverarbeitung informieren (Art. 13 IV und 14 IV DSGVO).
Vorbedingung für effektive Kontrolle: Die Normenklarheit dient nach der Rechtsprechung des BVerfG der Vorhersehbarkeit von Eingriffen und der Ermöglichung einer effektiven Kontrolle durch die Gerichte.
Auch in Bezug auf private Datenverarbeiter soll die Transparenz über die Verarbeitungszwecke der Vorhersehbarkeit dienen (Art. 29-Datenschutzgruppe, WP 203, S. 13). Und natürliche Personen müssen informiert werden, wie sie ihre Rechte geltend machen können (EG 39 Satz 5 DSGVO).
Alle staatlichen Eingriffsbefugnisse sind nach der Rechtsprechung des BVerfG am Grundsatz der Normenbestimmtheit zu messen. Das bedeutet, dass die Verwendungszwecke gesetzlich hinreichend präzise (Anlass, Zweck, Umfang) umgrenzt sein müssen.
Dasselbe gilt für den Bürger nach der DSGVO. Personenbezogene Daten müssen für festgelegte, eindeutige Zwecke erhoben werden (Art. 5 I b DSGVO). Die bestimmten Zwecke, zu denen Daten verarbeitet werden, müssen eindeutig sein und zum Zeitpunkt der Erhebung feststehen (EG 39 Satz 6 DSGVO).
Anforderungsmaßstab: Je tiefer Überwachungsmaßnahmen in das Privatleben hineinreichen und berechtigte Vertraulichkeitserwartungen überwinden, desto strenger sind nach der Rechtsprechung die Anforderungen an staatliche Eingriffsbefugnisse.
Dasselbe gilt für den Bürger nach der DSGVO, denn dieser muss unter Berücksichtigung der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen ergreifen (Art. 24 I DSGVO).
An 8 Stellen der DSGVO müssen Abwägungen zwischen dem berechtigten Interesse des Verantwortlichen oder eines Dritten einerseits und den Interessen des Betroffenen andererseits vorgenommen werden. Zentral ist dabei natürlich die Interessenabwägungsklausel des Art. 6 I f DSGVO. Aber Interessenabwägungen sind auch an anderen Stellen vorzunehmen.
Die Terminologie der DSGVO ist dabei nicht einheitlich:
- Manchmal spricht die DSGVO von berechtigten Interessen (Art. 18 I d DSGVO),
- manchmal von berechtigten Gründen (Art. 17 I c DSGVO),
- manchmal von schutzwürdigen Gründen (Art. 21 I 2 DSGVO),
- manchmal von Rechten und Freiheiten (Art. 20 IV DSGVO),
- manchmal von Grundrechten und Grundfreiheiten (Art. 6 I f DSGVO).
Die unterschiedliche Terminologie darf nicht darüber hinwegtäuschen, dass es in allen Fällen um Rechtsgüterabwägungen geht. Hinter jedem berechtigten Interesse bzw. jedem schutzwürdigen Grund steht ein Grundrecht. "Interessen" sind nicht "weniger wert" als "Rechte und Freiheiten", denn sonst würde die Abwägung eines "bloßen" Interesses gegen ein "echtes" Grundrecht immer zugunsten des Grundrechts ausgehen. Für den Datenverarbeiter oder Dritte können zum Beispiel streiten
- das Recht auf freie Meinungsäußerung (Art. 11 I GRCh)
- die Informationsfreiheit (Art. 11 I GRCh)
- die Freiheit der Medien (Art 11 II GRCh)
- die Freiheit der Kunst (Art. 13 GRCh)
- die Freiheit der Wissenschaft (Art. 13 GRCh)
- die unternehmerische Freiheit (Art. 16 GRCh)
- ...
Für den Betroffenen können streiten
- das Recht auf Achtung des Privatlebens (Art. 7 GRCh)
- das Recht auf Schutz personenbezogener Daten (Art. 8 GRCh)
- das Diskriminierungsverbot (Art. 21 GRCh)
- ...
Der private Datenverarbeiter muss damit an zahlreichen Stellen Grundrechtsabwägungen vornehmen, wie sie sonst nur staatliche Instanzen vornehmen müssen.
An 2 Stellen der DSGVO wird festgelegt, dass die zweckändernde Weiterverarbeitung nur zulässig ist, wenn sie mit dem Ersterhebungszweck kompatibel ist. Hierfür sind eine Reihe von Kriterien zu berücksichtigten (vgl. Art. 6 IV DSGVO). In die Kompatibilitätsprüfung sind jedenfalls dem Wortlaut nach noch andere Kriterien einzustellen als in die Interessenabwägung.
An 11 Stellen der DSGVO muss der Verantwortliche entscheiden, welche Maßnahmen, Garantien oder Vorkehrungen er als geeignet ansieht.
An 30 Stellen der DSGVO muss der Verantwortliche Erforderlichkeitsprüfungen vornehmen. Hier geht es vor allem um die Frage, ob er die Datenverarbeitung als für den Verarbeitungszweck, für den Vertrag (hierzu Engeler, Das überschätzte Koppelungsverbot, in: ZD 2018, 55), für die Erfüllung rechtlicher Verpflichtungen, für die Wahrung berechtigter Interessen, für eine faire Verarbeitung erforderlich ansieht.
An 12 Stellen der DSGVO muss der Verantwortliche Angemessenheitsprüfungen vornehmen. Der Begriff der "Angemessenheit" einer Maßnahme ist im deutschen Verfassungsrecht reserviert für die dritte Stufe der Verhältnismäßigkeitsprüfung ("Verhältnismäßigkeit im engeren Sinne"). Es ist völlig unklar, ob insofern eine Parallele zur DSGVO gezogen werden kann. Dagegen spricht der folgende funfact: in der englischen Fassung werden für den Begriff "angemessen" die Begriffe
- "adequate" (1x),
- "reasonable" (5x) ,
- "appropriate" (2x),
- "suitable" (2x) ,
- "proportionate" und
- "(un)due" (1x)
verwendet. Dies spricht dafür, dass man auf die Auslegung von Wortlaut und Systematik der DSGVO nicht allzu viel geben sollte.
An 3 Stellen der DSGVO muss der Verantwortliche jedoch eindeutige Verhältnismäßigkeitsprüfungen vornehmen. Der Grundsatz der Datenminimierung (Art. 5 I c DSGVO) ist dabei vor die Klammer gezogen und gilt demnach für die gesamte DSGVO. Er enthält die klassische dreistufige Prüfung, die uns aus dem Verfassungsrecht bekannt ist:
- Personenbezogene Daten müssen für den Verarbeitungszweck "erheblich" (= "relevant") sein. Das entspricht der ersten Stufe der verfassungsrechtlichen Verhältnismäßigkeitsprüfung: der Prüfung der Geeignetheit eines Grundrechtseingriffs für die Erreichung eines gesetzgeberischen Ziels.
- Personenbezogene Daten müssen "auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein" (= "limited to what is necessary"). Das entspricht der zweiten Stufe der verfassungsrechtlichen Verhältnismäßigkeitsprüfung: der Prüfung der Erforderlichkeit eines Grundrechtseingriffs für die Erreichung des gesetzgeberischen Ziels.
- Personenbezogene Daten müssen dem Verarbeitungszweck "angemessen" (= "adequate") sein. Das entspricht der dritten Stufe der verfassungsrechtlichen Verhältnismäßigkeitsprüfung: der Prüfung der Angemessenheit (Verhältnismäßigkeit im engeren Sinne) eines Grundrechtseingriffs.
Die Abschätzung von Risiken überlässt der Staat gerade in technisch komplexen Fällen Experten. Das Büro für Technikfolgen-Abschätzung beim Deutschen Bundestag (TAB) beispielsweise soll Chancen und Risiken ermitteln, bevor das Parlament entscheidet, welche Pflichten es festlegt (aktueller Arbeitsplan: http://www.tab-beim-bundestag.de/de/aktuelles/20190514.html).
An 13 Stellen sieht die DSGVO nun auch Risikoprüfungen vor. Hier geht es darum, dass der Verantwortliche unter Berücksichtigung der Risiken für die Rechte und Freiheiten natürlicher Personen entscheiden muss, ob ihn bestimmte Pflichten treffen und welche technischen und organisatorischen Maßnahmen er als geeignet ansieht. Wenn er sich dazu des Rates von Experten bedienen muss, kann der Bürger die damit verbundenen nicht unerheblichen Kosten – anders als Parlament und Staat – allerdings nicht auf die Allgemeinheit umlegen.
Das Datenschutzrecht enthält für staatliche Stellen und für Private strukturähnliche Pflichten. Dies zieht sich durch die gesamte DSGVO. Die Parallelen sind zum Teil eindeutig, zum Teil versteckt. Sie sind aber in jedem Fall höchst bemerkenswert. Soweit ersichtlich, hat in der Literatur bislang noch niemand eine solche Gegenüberstellung vorgenommen. Auch im Rahmen des Gesetzgebungsverfahrens wurde wohl nie wirklich thematisiert, dass mit der DSGVO staats- und verwaltungsrechtliche Prinzipien in eigentlich alle „bürgerlichen“ Rechtsgebiete Eingang finden, sobald Informationen verarbeitet werden, die auf eine natürliche Person zurückgeführt werden können:
Private müssen dann wie der staatliche Gesetzgeber und wie staatliche Behörden unter anderem
- Rechtsgrundlagen für das eigene Handeln suchen,
- einen Grundrechtsausgleich vornehmen,
- Interessenabwägungen durchführen,
- Transparenzanforderungen erfüllen,
- Rechtsgrundlagen zitieren,
- Rechtsbehelfsbelehrungen vornehmen,
- Schriftlichkeitsanforderungen erfüllen,
- Begründungspflichten erfüllen,
- Bestimmtheitsgebote erfüllen,
- Verhältnismäßigkeitsprüfungen durchführen.
Die Erkenntnis, dass für den Bürger unter Geltung der DSGVO im Grunde dieselben Anforderungen wie für den Staat gelten, wirft zahlreiche Fragen auf:
- Wo bleibt die Privatautonomie, wenn der Bürger durch derart viele Verpflichtungen zum Sachwalter des Gemeinwohls gemacht wird?
- Ist der Rubikon zur unmittelbaren Drittwirkung der Grundrechte nicht längst überschritten, wenn die Indienstnahme des Privaten nicht auf Fälle der Marktbeherrschung, der Diskriminierung bei Massengeschäften oder der Bereitstellung öffentlicher Kommunikationsräume beschränkt bleibt, sondern jeder Bürger und jedes Unternehmen bei jeder Verarbeitung personenbezogener Daten strukturähnliche Pflichten zu erfüllen hat wie sonst nur der Staat?
- Verstößt die DSGVO in ihrer Gesamtheit nicht gegen die Vorgabe des Bundesverfassungsgerichts (vgl. BVerfG, Urt. v. 22.11.2011, Rn. 48), wonach der Bürger
- durch die Grundrechte als freie Person, die in der Entfaltung ihrer Individualität selbstverantwortlich ist, Anerkennung findet,
- sein Handeln nach subjektiven Präferenzen in privater Freiheit gestalten darf, ohne hierfür grundsätzlich rechenschaftspflichtig zu sein,
- durch die Rechtsordnung nur in begrenzter Weise und insbesondere nach Maßgabe der Verhältnismäßigkeit in Dienst genommen werden darf?
- Hat eine Rechtspflicht des Bürgers, ständig in eigener Verantwortung Grundrechtsabwägungen vornehmen zu müssen, nicht etwas Totalitäres?
Selbst wenn man akzeptieren will, dass künftig jeder datenverarbeitende Bürger unter der DSGVO Pflichten wie der Staat zu erfüllen hat, kann man dann die Augen davor verschließen, dass der Bürger regelmäßig keine juristische Grundausbildung hat, die es ihm ermöglichen würde,
- das Schema einer Verhältnismäßigkeitsprüfung sauber abzuarbeiten,
- den juristischen Bedeutungsgehalt der Begriffe "Geeignetheit", "Erforderlichkeit", "Angemessenheit", "Rechte und Freiheiten", "Grundrechte und Grundfreiheiten" , usw. exakt zu erfassen,
- überhaupt zu begreifen, dass er sich bei jeglicher Verarbeitung personenbezogener Daten überhaupt in einer Abwägungssituation befindet?
Müsste man angesichts dessen nicht wenigstens Fragen nach den Maßstäben für die Erfüllung der staatsanalogen Pflichten stellen?
- Wie wird der Umstand berücksichtigt, dass der Bürger in der Regel nicht über die juristische Ausbildung zur Durchführung von Grundrechtsabwägungen verfügt?
- Oder werden an die vom Bürger vorzunehmenden Prüfungen dieselben Maßstäbe angelegt, die auch für Staatsorgane gelten?
- Kommen dem Bürger eventuell Rechtsinstitute des Zivil- und Strafrechts wie die Parallelwertung in der Laiensphäre zugute, durch die das natürliche Verständnis eines Menschen von normativen Rechtsbegriffen in die Rechtsprüfung übersetzt wird?
- Werden Rechtsinstitute des Verwaltungs- und Verfassungsrechts wie zum Beispiel das Ermessen (mitsamt der Ermessensfehlerlehre), die gesetzgeberische Einschätzungsprärogative und der behördliche Beurteilungsspielraum auf die Erfüllung der staatsanalogen Pflichten durch den Bürger übertragen?
- Welche sonstigen Begrenzungen der zahlreichen Prüfpflichten der DSGVO kann man zugunsten des Bürgers annehmen?
Eine Diskussion über diese Fragen findet aber, soweit ersichtlich, nicht statt. Solange aber bleibt die Antwort allein den „unabhängigen Aufsichtsbehörden“ und den dortigen Verwaltungsmitarbeitern überlassen. Im Geltungsbereich der DSGVO werden ihre persönlichen Einstellungen und juristischen Kenntnisse selbst in solchen Bereichen die Grenzen bürgerlicher Freiheiten neu definieren können, in denen in der Vergangenheit aus gutem Grund Prinzipien des Staats- und Verwaltungsrecht eigentlich keine Anwendung fanden.
- Einleitung
- Teil I: Die umgekehrten "chilling effects"
- Teil II: Der Datenpaternalismus
- Teil III: Die totale Drittwirkung
- Teil IV: Der datenschutzrechtliche Präventionsstaat
- Teil V: Die schrankenlose Behörde