23.05.2019

Datenschutz, das zügellose Recht - Teil IV: Der Präventionsstaat

Portrait von Winfried Veil
Winfried Veil

In Teil IV der Blogserie wird dargelegt, wie die DSGVO den Präventionsstaat, den sie eigentlich verhindern soll, erschafft.

I. Was ist ein Präventionsstaat?

Der Präventionsstaat ist ein Topos aus der Debatte um das richtige Verhältnis von Freiheit und Sicherheit in Zeiten terroristischer Bedrohungen. Viele Kritiker der Sicherheitsgesetzgebung beklagen eine Entwicklung vom Rechtsstaat zum Präventionsstaat.

Vgl. Huster/Rudolph (Hrsg.), Vom Rechtsstaat zum Präventionsstaat; Prantl, Der große Rüssel; Däubler-Gmelin, Vom Rechtsstaat zum Präventionsstaat); Hofmann/Zängerling, Innere Sicherheit und Präventionsstaat; grundlegend Denninger, Der Präventions-Staat.

Mit Präventionsstaat ist ein Staat gemeint, der sich der frühzeitigen Erkennung und Verringerung möglicher Bedrohungen für den Staat und seine Bürger verschrieben hat und der Informationsverarbeitung sowie hoheitliche Kontrollinstrumente gezielt und flächendeckend einsetzt, um unerwünschtes Verhalten der Bürger von vorneherein zu verhindern. Datenschützer warnen vor dem Präventionsstaat und sehen es als Ziel ihrer Arbeit an, den Bürger vor diesem zu schützen (vgl. etwa Caspar, Datenschützer warnt vor Präventionsstaat).

Paradoxerweise erschafft das Datenschutzrecht den Präventionsstaat, den es eigentlich verhindern will (vgl. Stentzel,  Der datenschutzrechtliche Präventionsstaat).

II. Der datenschutzrechtliche Präventionsstaat 1. Jeder Bürger ein potentielles Risiko

Der freiheitliche Rechtsstaat zeichnet sich dadurch aus, dass er es dem Bürger durch Gewährleistung von Rechtssicherheit ermöglicht, durch normkonformes Verhalten den Staat auf Distanz zu halten.

Dem Präventionsstaat wird hingegen unterstellt, dass er jeden Bürger als potenzielles Risiko ansehe. Dies dürfe aber nicht sein, da so jeder zum Objekt staatlicher Überwachung und Kontrolle werden könne. Rasterfahndung, Vorratsdatenspeicherung und ähnliche staatliche Maßnahmen werden mit dieser Begründung abgelehnt.

Im datenschutzrechtlichen Präventionsstaat wird jeder Datenverarbeiter als potenzielles Risiko angesehen. Manche Advokaten des Datenschutzrechts meinen sogar, dass im Datenschutz ein generalisiertes Angreifermodell gelte: "Jede Organisation, gerade und auch die rechtlich zur Verarbeitung befugte, ist ein Angreifer!" (vgl. RostKünstliche Intelligenz trifft Datenschutz). Damit aber macht das Datenschutzrecht, was bei der Sicherheitsgesetzgebung strikt abgelehnt wird: jeder Bürger wird unter Generalverdacht gestellt - allein schon, weil er mit seinem Smartphone Daten verarbeiten kann.

2. Vorverlagerung der Gefahrenabwehr

Der freiheitliche Rechtsstaat zeichnet sich dadurch aus, dass er sich mit dem normkonformen Verhalten der Bürger zufrieden gibt und nicht auf ihre bloßen Absichten, ihre Gesinnung zugreift. Als Konsequenz daraus erfordern staatliche Eingriffsmaßnahmen der Gefahrenabwehr immer mindestens eine konkrete Gefahr für ein Rechtsgut, also die hinreichende Wahrscheinlichkeit eines Schadenseintritts.

Dem Präventionsstaat wird hingegen unterstellt, bereits die rechtsfeindliche Gesinnung feststellen und bekämpfen zu wollen, noch bevor sich diese in Handlungen realisiert. In diese Kategorie wird man aktuell wohl die Sonderbehandlung von "Gefährdern" einordnen müssen. Auch bei dem Begriff der "drohenden Gefahr", der neuerdings in das Polizeirecht eingeführt wird, verlagert sich  die Gefahrenabwehr in das Vorfeld der konkreten Gefahr (vgl. Enders, Verfassungsgrenzen der "drohenden Gefahr").

Im datenschutzrechtlichen Präventionsstaat wird bereits die  Schaffung eines noch so entfernten Risikos einer Rechtsbeeinträchtigung durch Datenverarbeitung mit umfangreichen "Compliance"-Pflichten belegt. Die DSGVO errichtet eine regelrechte "Vorfeldschutz-Kaskade" (von Lewinski): jeder Datenverarbeiter muss zahlreiche formelle und materielle Pflichten erfüllen, noch bevor er  überhaupt mit der Datenverarbeitung beginnen darf. Auf die Verursachung einer Rechtsgutsverletzung oder eines Schadens kommt es gar nicht mehr an. Dass von der Konferenz der Datenschutzbeauftragen (DSK) bereits die Tatsache der Verarbeitung personenbezogener Daten zu einem Schaden umgedeutet wird (hierzu Veil, Datenschutzverstoß = Schaden?), stellt eine interessante Parallele zur Rechtfertigung des Versuchs der Verhaltenssteuerung im Präventionsstaat dar.

3. Umfassende Informationsgewinnung

Prävention und Risikovorsorge sind zunächst auf den Erwerb von Wissen angelegt. Im Präventionsstaat müssen die Sicherheitsbehörden versuchen, möglichst frühzeitig in Erfahrung zu bringen, wann und wo terroristische Anschläge geplant werden oder wo auch nur ein diese begünstigendes gesellschaftliches Milieu besteht. Dies führe zu dem Verlangen, die Bürger möglichst umfassend kontrollieren zu können.

Im datenschutzrechtlichen Präventionsstaat haben die Datenschutzaufsichtsbehörden zwar nicht die Befugnis, mit polizeilichen oder geheimdienstlichen Methoden die für ihre Überwachungstätigkeit erforderlichen Informationen zu sammeln. Die DSGVO verpflichtet aber den Datenverarbeiter dazu, dies selbst zu tun. Umfassende Dokumentationspflichten zwingen ihn letztlich dazu, jeden Verarbeitungsschritt und jede technische und organisatorische Maßnahme festzuhalten. Umfassende Rechenschaftspflichten zwingen ihn, seine Maßnahmen jederzeit gegenüber den Datenschutzaufsichtsbehörden nachweisen zu können. Zweck dieser "accountability" ist es, die staatliche Kontrolle zu erleichtern - ein klassischer Ansatz des Präventionsstaats.

4. Fehlende Konkretisierung des Schutzguts

Im freiheitlichen Rechtsstaat sind staatliche Eingriffe in die Freiheit der Bürger nur zulässig, wenn sie verhältnismäßig sind. Eine gerichtliche Verhältnismäßigkeitskontrolle setzt voraus, dass das jeweils verfolgte Schutzgut möglichst präzise benannt wird, damit es in ein Verhältnis zu dem jeweiligen Freiheitseingriff gesetzt werden kann.

Gerade dies ist aber im Präventionsstaat nicht möglich. Wenn es nicht um die Abwehr einer konkreten Gefahr, sondern eines unbestimmten Risikos geht, fehlt es an einem Maßstab für die Verhältnismäßigkeitsprüfung. Die Gewährleistung von Sicherheit wird dann zu einem Blankettbegriff, der ohne weitere Präzisierung rechtsstaatlich nicht zu disziplinieren ist.

Im datenschutzrechtlichen Präventionsstaat schützt die DSGVO alle "Rechte und Freiheiten natürlicher Personen" (Art. 1 Abs. 2). Mit dieser Breite potentieller Schutzgüter ist für jeden Rechtsanwender unklar, was der Maßstab für die Rechtmäßigkeitsprüfung ist. Dies ist die bemerkenswerteste Parallele zwischen dem sicherheitsrechtlichen und dem datenschutzrechtlichen Präventionsstaat. Hier liegt vielleicht aber auch das größte rechtsstaatliche Problem.

5. Ergebnis

Rechtsstaatliches Recht „verlangt Herrschaft im Recht, Herrschaft des Rechts über die Macht und im Bunde mit ihr, fordert Sicherheit der Rechtserkenntnis und der Rechtsdurchsetzung“ (Denninger, Der gebändigte Leviathan, S. 214). Der Präventionsstaat ist unter grundrechtlichen und rechtsstaatlichen Gesichtspunkten unbedingt zu vermeiden.

Ziel des Datenschutzrechts war und ist eigentlich die Verhinderung des Präventionsstaats. Paradoxerweise etablieren die DSGVO durch ihre Regelungsmechanismen aber überall dort, wo Daten verarbeitet werden, Mechanismen des Präventionsstaats:

Jeder Bürger und jedes Unternehmen wird als ein potentielles Risiko angesehen. Die Gefahrenabwehr wird so stark vorverlagert, dass es auf das Vorliegen eines konkreten Risikos gar nicht mehr ankommt. Die umfassenden Dokumentations- und Rechenschaftspflichten der DSGVO dienen der totalen Kontrollierbarkeit des Verhaltens der Bürger. Und weil ein konkretes Schutzgut nicht benannt wird, fehlen jegliche Maßstäbe für die Verhältnismäßigkeitsprüfungen. Dazu kommt ein materielles Datenschutzrecht, das die flächendeckende Lenkung und Kontrolle des digitalen Verhaltens seiner Bürger zum Ziel hat.

Die Prämisse des Präventionsstaates ist die Optimierung der Gefahrenabwehr durch Absenkung der Eingriffschwelle. Genau dies erreicht die DSGVO, indem sie jede Verarbeitung personenbezogener Daten als potentiell gefährlich und damit regelungsbedürftig ansieht.

Alle Teile der Blogserie "Datenschutz, das zügellose Recht":
Zurück