Datenschutz, das zügellose Recht - Teil V: Die schrankenlose Behörde
In Teil V der Blogserie wird dargelegt, was für eine seltsam privilegierte Sonderrolle den Datenschutzaufsichtsbehörden innerhalb der Staatsorganisation zugestanden wird.
Datenschutzaufsichtsbehörden sind für die Überwachung der Anwendung der DSGVO zuständig. Es sind staatliche Behörden, die mit Zwangsgewalt ausgestattet sind und die dem Bürger im Über-Unter-Ordnungsverhältnis gegenübertreten. Als Folge der Weite des Begriffs der "Personenbezogenheit" von Daten sind sie letztlich zuständig für die Überwachung der gesamten Informationsgesellschaft. Die ihnen übertragene rechtliche Machtfülle ist beachtlich. Umso erstaunlicher ist es, dass dies von kaum jemandem analysiert und erst recht nicht kritisiert wird (Ausnahme z.B. Stentzel, Der datenschutzrechtliche Präventionsstaat).
Die Datenschutzaufsichtsbehörden haben die Befugnis, den Verantwortlichen und den Auftragsverarbeiter zu warnen, zu verwarnen und Geldbußen zu verhängen (Art. 58 Abs. 2 lit. a, b und i DSGVO). Die maximal mögliche Bußgeldhöhe beträgt 20 Mio. € oder im Fall eines Unternehmens bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes. Dieser absurd hohe Bußgeldrahmen ist im Vergleich zum sonstigen Ordnungswidrigkeitenrecht beispiellos:
- Allgemeines Ordnungswidrigkeitenrecht: 1.000 € (§ 17 I OWiG).
- Leichtfertige Steuerverkürzung: 50.000 € (§ 378 II AO).
- Steuergefährdung: 25.000 € (§ 379 VI und VII AO).
- Verletzung von Vorschriften über erlaubnisbedürftige stehende Gewerbe: 50.000 € (§ 144 IV GewO).
- Verletzung von Vorschriften über das Reisegewerbe: 50.000 € (§ 145 IV GewO).
- Verstoß gegen Wohlverhaltenspflichten bei der Vermittlung von Versicherungsanlageprodukten: 500.000 € (§ 147c II GewO).
- Bauordnungswidrigkeit: 500.000 € (Art. 79 BayBO).
- Verstoß gegen das Jugendschutzgesetz: 50.000 € (§ 28 V JuSchG).
- Verstoß gegen die 0,5 Promille-Grenze im Straßenverkehr: 1.500 € (§ 24a StVG i.V.m. BKat-Nr. 241).
- Verstoß gegen das Gesetz gegen Wettbewerbsbeschränkungen: 1 Mio. €, bei Unternehmen auch höher (§ 81 IV GWB).
- Verstoß gegen das Atomgesetz: 50.000 € (§ 46 AtomG).
Angesichts der Tatsache, dass es bei den genannten Ordnungswidrigkeiten durchaus auch um den Schutz gewichtiger Rechtsgüter (wie z.B. Leib und Leben) geht, ist das Missverhältnis zur DSGVO bemerkenswert. Selbst die höchstmögliche Einzelgeldstrafe im Strafrecht fällt mit 10,8 Mio. € (vgl. § 40 I und II StGB: höchstens 360 volle Tagessätzes und höchstens 30.000 € pro Tagessatz) deutlich geringer aus als das höchstmögliche Bußgeld der DSGVO.
Ein behördlicher Zugriff auf personenbezogene Daten unterliegt im Rechtsstaat normalerweise strengen Voraussetzungen:
- Erforderlich ist eine möglichst spezifische gesetzliche Ermächtigungsgrundlage.
- Diese muss die Art der zu erhebenden Daten festlegen.
- Sie muss den konkreten Anlass der Erhebung bestimmen. Im Polizeirecht ist dies z.B. eine konkrete, dringende, unmittelbare oder gegenwärtige Gefahr. Maßnahmen im Vorfeld einer Gefahr oder gar eine anlasslose Datenverarbeitung ist grundsätzlich verboten.
- Der konkrete Zweck der Verarbeitung muss festgelegt werden. Im Polizeirecht ist dies z.B. der Schutz hinreichend gewichtiger Rechtsgüter.
- Die Dauer der Speicherung muss festgelegt werden.
- Die staatlichen Stellen, die für die Datenverarbeitung zuständig sind, müssen konkret bezeichnet werden.
- Unter Umständen bedarf es für den Datenzugriff sogar einer richterlichen Anordnung.
All diese Begrenzungen, die ansonsten für rechtsstaatlich geboten gehalten werden, gelten für den Datenzugriff der Datenschutzaufsichtsbehörden nicht. Art. 58 I a und e DSGVO gibt den Datenschutzaufsichtsbehörden ohne weitere Konkretisierung die Befugnis, vom Verantwortlichen "alle Informationen" und "alle personenbezogenen Daten" bereitgestellt zu bekommen, die für die Erfüllung ihrer Aufgaben erforderlich sind.
Eine solch weitreichende Generalklausel dürfte für keine andere staatliche Behörde gelten. Selbst der im deutschen Recht für unabdingbar gehaltene Grundsatz, dass nicht von der Aufgabe auf die Befugnis geschlossen werden darf, wird für die Datenschutzaufsichtsbehörden aufgehoben. Sie dürfen alles, was für die Erfüllung ihrer Aufgaben erforderlich ist.
Behördliche Betretungsrechte unterliegen normalerweise strengen rechtsstaatlichen Voraussetzungen:
- Es bedarf eines sachlichen Grundes für eine Betretungsbefugnis (z.B. die Errichtung einer baulichen Anlage im Bauordnungsrecht oder die Überprüfung der Zuverlässigkeit eines Gewerbetreibenden im Gewerberecht).
- Es bedarf eines konkreten Zwecks für die Betretung (z.B. die Ergreifung einer Verdachtsperson oder die Vermutung der Auffindbarkeit von Beweismitteln (§ 102 StPO), das Vorliegen von Tatsachen (§ 103 I 1 StPO) oder die Verhütung dringender Gefahren (§ 101 I Nr. 5 WHG)).
- Die Betretungsbefugnis ist normalerweise auf Geschäftszeiten beschränkt (z.B. § 29 GewO) oder zumindest sind Nachtzeiten grundsätzlich ausgeschlossen (z.B. § 104 StPO).
- Die Betretungsbefugnis ist in der Regel auf Geschäftsräume beschränkt (z.B. § 10 EnVKG; § 183 II SGB III).
- Für Einschränkungen des Grundrechts der Unverletzlichkeit der Wohnung gilt das Zitiergebot. Das heißt, im Gesetz muss die Einschränkung des Art. 13 GG ausdrücklich festgestellt werden (z.B. § 29 II GewO, § 101 I 2 WHG, § 17 V 3 ArbZG).
- Durchsuchungen müssen in der Regel durch den Richter, bei Gefahr im Verzug auch durch die Staatsanwaltschaft und ihre Ermittlungspersonen angeordnet werden (Richtervorbehalt, § 105 I StPO).
- Die Durchsuchung muss in der Regel im Beisein eines Richters, Staatsanwalts oder sonstigen Zeugen erfolgen (z.B. § 105 II StPO)
Keine einzige dieser Beschränkungen gilt für die Datenschutzaufsichtsbehörden. Diese haben schlicht die Befugnis, "Zugang zu den Geschäftsräumen, einschließlich aller Datenverarbeitungsanlagen und -geräte, des Verantwortlichen und des Auftragsverarbeiters zu erhalten" (Art. 58 I f DSGVO). Nach der datenschutzrecchtlichen Kommentarliteratur dürfen aufgrund dieser Norm auch Wohnungen betreten werden. Unangekündigten Prüfungen seien möglich. Anhaltspunkte für einen Verstoß gegen die DSGVO müssten nicht gegeben sein. Und Beschränkungen auf die üblichen Geschäftszeiten gebe es auch nicht. Einschränkungen ergeben sich aufgrund von § 29 III BDSG lediglich für Gruppen von Berufsgeheimnisträgern. Doch selbst das wird von vielen Behördenvertretern kritisiert.
Die Datenschutzaufsichtsbehörden haben die Befugnis, jederzeit Verarbeitungsbeschränkungen oder Verarbeitungsverbote auszusprechen (Art. 58 II f DSGVO). Da so gut wie jedes Unternehmen auf die Verarbeitung personenbezogener Daten angewiesen ist, können die Datenschutzaufsichtsbehörden somit jeden Betrieb vorübergehend oder endgültig schließen. Nähere Voraussetzungen, unter welchen Voraussetzungen die Aufsichtsbehörden solche Verbote aussprechen können, enthält die DSGVO nicht.
"Alle Staatsgewalt geht vom Volke aus" (Art. 20 II 1 GG): Es ist ein Gebot demokratischer Legitimation, dass sich das Handeln von Verwaltungsbehörden mittelbar auf den Volkswillen zurückführen lassen muss. Das bedeutet, dass eine ununterbrochene Legitimationskette vom Volk über das Parlament zur Regierung und von dieser bis zum letzten Amtswalter führen muss. Die Mittel zur Herstellung demokratischer Legitimation sind die Rechtsaufsicht und die Fachaufsicht. Jeder Amtswalter ist deshalb der Weisungsgewalt eines gewählten Repräsentanten des Volkes unterworfen. Der Repräsentant selbst kann abgewählt, der Behördenleiter entlassen werden (demokratische Verantwortlichkeit).
Für die Datenschutzaufsichtsbehörden gilt dieses Gebot demokratischer Legitimation ihres Handelns nicht. Sie sind - wie vom EuGH gefordert - "völlig unabhängig" (kritisch dazu Bull, Die "völlig unabhängige" Aufsichtsbehörde); Wolff, Die überforderte Aufsichtsbehörde). Das heißt, sie sind aus der übrigen Verwaltungsorganisation ausgegliedert. Das ist bei Behörden selten. Es trifft z.B. für die Bundesbank, die Europäische Zentralbank oder die Rechnungshöfe zu. Diese haben aber eng umgrenzte Aufgabenbereiche wie die Sicherstellung von Preisstabilität oder Finanzkontrolle. Auf eine Behörde, die alle Rechte und Freiheiten natürlicher Personen schützen soll, trifft dieser Rechtfertigungsgrund für die Unabhängigkeit einer Behörde nicht mehr zu.
Die institutionelle Legitimation ist zwar durch die gesetzliche Errichtung der Aufsichtsbehörden noch gegeben. Und die personelle Legitimation wird durch Parlamentswahl des Leiters der Aufsichtsbehörde halbwegs sichergestellt. Eine Entlassung ist aber nicht möglich. Vor allem aber findet eine sachlich-inhaltliche Legitimation nicht statt, weil die konkrete Ausübung der Staatsgewalt ihrem Inhalt nach keiner Aufsicht der gewählten Regierung unterliegt. Dies ließe sich vielleicht noch durch eine strenge Bindung an ein inhaltlich bestimmtes Gesetz ohne eigene Gestaltungsspielräume wettmachen. Die DSGVO glänzt aber nicht gerade durch Bestimmtheit ihrer Regelungen und strikt gebundene Rechtsanwendung.
So unterliegen die Datenschutzaufsichtsbehörden als "gute" Behörden nicht den für andere Behörden selbstverständlichen rechtsstaatlichen Machtbegrenzungen. Und sie sind nicht demokratisch verantwortlich. Dies ist gefährlich, wie dieser Fall aus Rumänien zeigt. Es ist kein triftiger Grund ersichtlich, warum die Datenschutzaufsicht anders behandelt werden sollte als etwa die Atomaufsicht, die Lebensmittelkontrolle, der Seuchenschutz, der Immissionsschutz, die Eisenbahnaufsicht, die Jugendhilfe, die Heimaufsicht oder ähnliche Überwachungsinstanzen. Auch diese sind laufender demokratisch legitimierter Kontrolle unterworfen und nicht nur der (nachgelagerten) Überprüfung durch Gerichte in konkreten Streitfällen.
Die Eingriffsbefugnisse der Datenschutzaufsichtsbehörden sind beispiellos. Die Höhe der Bußgelder, die von ihnen verhängt werden können, ist im Vergleich zum übrigen Ordnungswidrigkeitenrecht völlig unverhältnismäßig und übertrifft sogar die höchstmöglichen Geldstrafen des Strafrechts. Die Aufsichtsbehörden haben Zugriff auf "alle" Informationen und personenbezogenen Daten, die sie für ihre Aufgabenerfüllung brauchen. Sie haben Zugang zu allen Räumlichkeiten und Datenverarbeitungsanlagen des Datenverarbeiters. Und sie können Betriebe faktisch schließen, indem sie ihre Datenverarbeitung verbieten.
All diese behördlichen Eingriffsbefugnisse werden gesetzlich nicht - wie bei anderen Ordnungsbehörden üblich - eingeschränkt, konkretisiert und spezifiziert.
Als wäre dies nicht schon rechtsstaatlich bedenklich genug, sind die Datenschutzaufsichtsbehörden darüber hinaus auch noch "vollkommen unabhängig". Sie unterliegen somit weder der Fachaufsicht noch der Rechtsaufsicht. In der Umsetzung des Datenschutzrechts sind sie daher weitestgehende frei. Mangels demokratischer Verantwortlichkeit ist die demokratische Legitimation des Handelns der Datenschutzaufsichtsbehörden höchst zweifelhaft.