01.04.2022

Der Datenschutz ist unpolitisch geworden, die DSGVO ein "Scheinriese" - BGH v. 22.2.2022, VI ZR 14/21

Portrait von Niko Härting
Niko Härting

Vortrag bei dem Schweizer Datenschutztag am 1.4.2022

Heute möchte ich über die Zukunft des Datenschutzes sprechen. Meine Thesen: Die Gegenwart des Datenschutzes ist unpolitisch. Der Datenschutz ist ein Scheinriese. Wenn der Datenschutz eine Zukunft haben möchte, muss er wieder politisch werden.

These 1: Die Gegenwart des Datenschutzes ist unpolitisch.

Es gibt eine ganz frische Entscheidung des deutschen Bundesgerichtshofs (Urteil vom 22.2.2022 – VI ZR 14/21). Es geht um zwei Mieter und einen Vermieter. Ein Alltagsfall, ein Fall aus dem Leben. Und ein Fall aus einem besonders idyllischen Teil der Republik, aus dem schönen Allgäu, ganz nahe an der Schweizer Grenze.

Der Mieter erhält eines Tages ein Schreiben des Vermieters:

„Auf Grund von Beschwerden über starke Geruchsbelästigung und Ungeziefer im Treppenhaus möchten wir eine Begehung Ihrer Wohnung durchführen. Unser Mitarbeiter, Herr K., wird am Donnerstag, den 15. August 2019 um 10 Uhr die Wohnungsbesichtigung durchführen.“

Die Besichtigung findet statt. Was Herr K. in der Wohnung des Mieters tatsächlich sieht, ist der BGH-Entscheidung nicht zu entnehmen. Es soll dann noch eine zweite Besichtigung geben. Der Mieter wehrt sich und zieht den Datenschutzjoker: Art. 15 DSGVO. Der Mieter verlangt Auskunft darüber, wer denn der Mieter war, der sich beschwert hat. Denn nach Art. 15 Abs. 1 lit. g DSGVO gehören zum Auskunftsanspruch

„wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden, alle verfügbaren Informationen über die Herkunft der Daten“.

Kaum zu glauben, dass der Fall über drei Instanzen bis zum höchsten deutschen Zivilgericht ging. Und beim BGH ist nicht einmal Endstation, denn der Fall wurde an das Oberlandesgericht Stuttgart zurückverwiesen. Das Stuttgarter Gericht wird aufklären müssen, ob es die „starke Geruchsbelästigung“ und das „Ungeziefer“ tatsächlich gab. Denn der BGH meint, dies habe der Vermieter zu beweisen, wenn er die Auskunft über den Denunzianten verweigern möchte. Gelinge der Beweis nicht, sei der Vermieter verpflichtet, Ross und Reiter zu nennen und dem angeschwärzten Mieter den Namen seines Nachbarn zu nennen.

Die Karlsruher Entscheidung ist viele Seiten lang. Der BGH hat gründlich und solide gearbeitet und die zahlreichen dicken deutschen Kommentare zur DSGVO studiert. Ganz wie es sich für ein deutsches Gericht gehört. Die Argumente des BGH sind durchaus plausibel. Das Schreiben, mit dem der Nachbar den klagenden Mieter angeschwärzt hat, enthält personenbezogene Daten des Mieters. Die angeblichen Gerüche und das angebliche Ungeziefer sind zwar Informationen, die sich unmittelbar nur auf die Wohnung beziehen, mittelbar aber auch auf den Kläger. Und nach der DSGVO ist der Personenbezug - wie wir alle mehr oder minder leidvoll wissen - weit zu verstehen.

Art. 15 Abs. 4 DSGVO, den notwendigen Schutz der Rechte und Freiheiten Dritter, erkennt Karlsruhe als Einwand des Vermieters an. Auf den Schutz des „Hausfriedens“ – ein durchaus naheliegender Einwand - könne sich der Vermieter zwar nicht berufen, wohl aber auf die Datenschutzrechte des Denunzianten. Denn die Preisgabe seines Namens ist ja auch wieder ein Fall für den Datenschutz, für das „Verbot mit Erlaubnisvorbehalt“, für Art. 6 DSGVO. Ob der Denunziant mit einer solchen Preisgabe einverstanden sei, habe das OLG Stuttgart nicht festgestellt. Dies müsse das Berufungsgericht jetzt nachholen (Art. 6 Abs. 1 Satz 1 lit. a DSGVO). Ansonsten komme für die Preisgabe des Namens Art. 6 Abs. 1 Satz 1 lit. f DSGVO in Betracht - eine Preisgabe des Namens aufgrund überwiegender „berechtigter Interessen“.

Der BGH meint, bei der Interessenabwägung komme es auf die Gerüche und das Ungeziefer an. Bestätige sich der schlimmer Verdacht, überwögen die Interessen des Hinweisgebers, und der Vermieter dürfe schweigen. Ließen sich dagegen die Missstände nicht beweisen, müsse der Name des Hinweisgebers offenbart werden.

Dass die Entscheidung unerwünschte Nebenwirkungen haben kann, hat der BGH nur zum Teil erkannt. Er verweist darauf, dass es für Behörden DSGVO-konforme Vorschriften gibt zum Geheimnisschutz bei Hinweisgebern. Für Whistleblower ist die Karlsruher Entscheidung dennoch eine schlechte Nachricht: Muss der Arbeitnehmer, der Unregelmäßigkeiten im Bereich einer Kollegin meldet, demnächst befürchten, dass die Kollegin auf Auskunft klagt und vom Arbeitgeber den Namen des Whistleblowers verlangt? Und muss der Arbeitgeber den Namen bereits dann preisgeben, wenn sich die gemeldeten Vorwürfe nicht lückenlos beweisen lassen? Was bedeutet die Karlsruher Entscheidung für Hinweisgeber in Vereinen, in politischen Parteien? Kann ich demnächst Twitter auf Auskunft verklagen, wenn ein anonymer Denunziant eines meiner Postings meldet?

Sinn und Zweck kommen in der Karlsruher Entscheidung nur ganz am Rande vor. Aber welchen Sinn hat es eigentlich, wenn das Datenschutzrecht mit dem „Hausfrieden“ kollidiert? Lässt sich aus dem Grundrecht auf Datenschutz, aus Art. 8 GRCh wirklich ableiten, dass ich als Mieter einen Anspruch darauf habe, zu wissen, welche Nachbarin sich über mich beschwert hat? Haben die Mütter und Väter der DSGVO einen solchen Anspruch gewollt?

Was sagt der BGH? Nur einen Satz:

„Eine andere - restriktive - Sichtweise ist weder durch den Wortlaut veranlasst noch wäre sie mit Sinn und Zweck des Auskunftsrechts vereinbar.“

Dies ist eine klassische Rechtsbehauptung, da jede Begründung fehlt. Aber die Behauptung dürfte kaum zu widerlegen sein. Denn die DSGVO ist mit dem Anspruch angetreten, so gut wie alles schützen zu wollen. Der wahrscheinlich längste Satz der DSGVO ist Erwägungsgrund 75, die verrückteste Vorschrift der gesamten DSGVO:

„Die Risiken für die Rechte und Freiheiten natürlicher Personen – mit unterschiedlicher Eintrittswahrscheinlichkeit und Schwere – können aus einer Verarbeitung personenbezogener Daten hervorgehen, die zu einem physischen, materiellen oder immateriellen Schaden führen könnte, insbesondere wenn die Verarbeitung zu einer Diskriminierung, einem Identitätsdiebstahl oder -betrug, einem finanziellen Verlust, einer Rufschädigung, einem Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden personenbezogenen Daten, der unbefugten Aufhebung der Pseudonymisierung oder anderen erheblichen wirtschaftlichen oder gesellschaftlichen Nachteilen führen kann, wenn die betroffenen Personen um ihre Rechte und Freiheiten gebracht oder daran gehindert werden, die sie betreffenden personenbezogenen Daten zu kontrollieren, wenn personenbezogene Daten, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Zugehörigkeit zu einer Gewerkschaft hervorgehen, und genetische Daten, Gesundheitsdaten oder das Sexualleben oder strafrechtliche Verurteilungen und Straftaten oder damit zusammenhängende Sicherungsmaßregeln betreffende Daten verarbeitet werden, wenn persönliche Aspekte bewertet werden, insbesondere wenn Aspekte, die die Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben oder Interessen, die Zuverlässigkeit oder das Verhalten, den Aufenthaltsort oder Ortswechsel betreffen, analysiert oder prognostiziert werden, um persönliche Profile zu erstellen oder zu nutzen, wenn personenbezogene Daten schutzbedürftiger natürlicher Personen, insbesondere Daten von Kindern, verarbeitet werden oder wenn die Verarbeitung eine große Menge personenbezogener Daten und eine große Anzahl von betroffenen Personen betrifft.“

Wer all dies schützen möchte, möchte natürlich auch den Mieter vor Denunziationen seines Nachbarn schützen. Und zugleich den Denunzianten vor einer Preisgabe seines Namens. Beides hat dann ein Gewicht, das sich nicht mehr unterscheiden lässt von den herkömmlichen Themen des Datenschutzes - von dem Schutz der Bürgerin vor dem informationshungrigen Staat, vor dem Datensammeleifer mancher Unternehmen, vor Überwachung und Orwell, vor Gläsernheit und Datenmissbrauch. Wer alles gleichzeitig schützen möchte, verliert die Orientierung. Anything goes. Der Datenschutz wird beliebig und unpolitisch. Was die Karlsruher Entscheidung mit der Menschenrechtsrhetorik vieler Datenschützer noch zu tun hat, kann kein Mensch mehr erklären.

Unpolitisch bleibt der Datenschutz, wenn die DSGVO es zulässt, kreativ für alle möglichen Zwecke instrumentalisiert zuw erden. Kein Streit eines Versicherten mit seiner Versicherung, in dem Art. 15 DSGVO nicht zum Ärger der Versicherung eingesetzt werden kann. Bei jedem Kündigungsschutzprozess muss der Arbeitnehmeranwalt schon aus eigenem Interesse an Art. 15 DSGVO und das scharfe Schwert der Auskunftsrechte denken, damit der Fall kein Haftungsfall wird. Natürlich geht es dabei nicht darum, vom Arbeitgeber Informationen zu erhalten. Es geht vielmehr um wichtige Punkte im Abfindungspoker. Und jetzt öffnet der BGH in sauberer Auslegung der DSGVO Tür und Tor zum Auskunftsanspruch als Klageantrag in jedem Mietprozess. Den Gerichten kann man dabei kaum einen Vorwurf machen, die endlose Weite der Schutzzwecke der DSGVO legt eine unendlich weite Auslegung und Instrumentalisierung des Datenschutzes nahe.

Die Karlsruher Entscheidung ist ein gutes Beispiel dafür, wie unpolitisch der Datenschutz heutzutage nicht. Dies liegt nicht in erster Linie an den Rechtsanwendern, den Datenschützern und Aufsichtsbehörden, den Anwältinnen und Gerichten, die die DSGVO buchstabengetreu anwenden. Unpolitisch ist der Datenschutz vielmehr geworden, weil es der DSGVO an Orientierung fehlt. Politik setzt die Formulierung klarer Ziele und Zwecke voraus. Einen Kompass, der sich in der DSGVO nicht findet.

 

These 2: Der Datenschutz ist ein Scheinriese.

Wir Europäer betrachten den Datenschutz als ein Menschenrecht. Dies unterscheidet uns von den Amerikanern, die den Datenschutz eher als ein Thema des Verbraucherschutzes sehen. Allerdings hat die ständige Betonung, es handele sich beim Datenschutz um ein Menschenrecht, nicht allzu viel mit der DSGVO-Praxis zu tun. Rhetorik und Realität sind verschiedene Welten.

In seinem jüngst erschienenen und sehr lesenswerten Buch „Industry Unbound“ stellt der amerikanische Soziologe und Jurist Ari Ezra Waldman uns Privacy Professionals und Datenschutzjuristen kein gutes Menschenrechtszeugnis aus. Er meint, wir schrieben uns zwar „Privacy“ auf die Fahnen, seien in Wirklichkeit aber Helfeshelfer bei der zunehmenden Aushöhlung des Datenschutzes.

Waldman legt den Finger in eine Wunde, die den meisten von uns durchaus bewusst ist: Denn unsere Aufgabe als Datenschützerinnen und Privacy-Anwälte ist es meist, die Sammlung und Nutzung von Personendaten auf solide datenschutzrechtliche Beine zu stellen. Wenn wir als Anwälte und Datenschützer erfolgreich Karriere machen möchten, darf man uns nicht als Bremser sehen, sondern als Ermöglicher. Wir helfen bei der Erlangung „rechtssicherer“ Einwilligungen und bei Datenschutzerklärungen, die zwar DSGVO-konform sind, aber allenfalls von Juristinnen gelesen werden und nur für Juristinnen bestimmt sind. Wir erstellen Checklisten für Datenschutzfolge-Abschätzungen und Verfahrensverzeichnisse, wir setzen Verträge nach Art. 26 und 28 DSGVO auf und erstellen Richtlinien und Prozessanweisungen. All dies nicht mit dem Ziel, die Sammlung und Nutzung von Personendaten zu stoppen oder zu bremsen. Es geht vielmehr darum, die Sammlung und Nutzung von Personendaten zu ermöglichen und Risiken für die Unternehmen zu minimieren durch Vermeidung von DSGVO-Verstößen.

Waldman zeigt in seinem Buch auf, dass sich die DSGVO vorzüglich zur Legitimation einer exzessiven Datensammlung eignet. Denn die DSGVO setzt auf Einwilligungen und Prozesse. Erlangt man die notwendigen Einwilligungen und beachtet man die komplizierten Prozessregeln, ist so gut wie alles möglich. Rote Linien kennt die DSGVO kaum:

„In that vein, privacy law should also start becoming more comfortable with two words…: ‚ban it‘.“

(Waldman, Industry Unbound, S. 239)

Wie wenig rote Linien der Datenschutz kennt, zeigt sich besonders deutlich bei einem Dauerbrenner-Thema - den Tracking Tools und der personalisierten Werbung. Tracking Tools und personalisierte Werbung sind vielen Aufsichtsbehörden und Politikerinnen schon seit mehr als einem Jahrzehnt ein Dorn im Auge. Dennoch konnte man sich bis heute nicht entschließen, personalisierte Werbung entweder vollständig zu verbieten oder doch Methoden zu benennen, die datenschutzwidrig sind. Mit einer trickreich gestalteten Einwilligung, die alle Regeln beachtet, geht sehr vieles. Und wir wirken als Datenschützerinnen und Datenschützer in unserer täglichen Praxis und meist für ein gutes Honorar daran mit, möglichst viel Tracking und möglichst viel personalisierte Werbung „rechtssicher“ zu gestalten.

Die DSGVO bleibt in der täglichen Praxis ein „Scheinriese“ mit einer höchst überschaubaren Wirkungsmacht. Blickt man auf bald vier Jahre Erfahrung mit der DSGVO zurück, so fällt einem kein einziger Fall ein, in dem Datenschützer staatlichen Behörden deutliche Grenzen bei der Überwachung der Bürger setzten. Der datenhungrige Staat spielte bereits in den DSGVO-Verhandlungen keine ernsthafte Rolle. Warum sollten die Europäische Kommission und der Europäische Rat daran auch Interesse zeigen? Umso mehr schrieb man sich den Kampf gegen die amerikanischen „Datenkraken“, gegen „Big Tech“ auf die Fahnen und versprach sogar, dass die DSGVO europäische Konkurrenten im Wettbewerb mit den US-Internetriesen stärken werde.

Ob man in Brüssel tatsächlich an die Legende vom „Wettbewerbsvorteil“ geglaubt hat? Wahrscheinlich ja, alle Skeptiker haben jedoch recht behalten. Im Jahr 4 der DSGVO ist der Vorsprung der Amerikaner größer als je zuvor, man hat mit großem Aufwand in „DSGVO Compliance“ investiert, Bußgelder zahlt man aus der Portokasse.

Dass US-Riesen nur wegen des vormals laxen Datenschutzrechts wachsen konnten, war stets eine naive und wirklichkeitsferne Vorstellung, die sich als Mythos erwiesen hat. Fraglos ist die Macht von „Big Tech“ eine große gesellschaftliche Herausforderung, denen sich letztlich jedoch nur mit den Instrumentarien des Kartellrechts begegnen lässt. In den USA diskutiert man über Zerschlagung, es gibt bereits einige Verfahren. In Europa hat man erkannt, dass die DSGVO bei „Big Tech“ nicht hält, was man sich von ihr versprach. Mit dem Digital Markets Act beginnt man, verstärkt auf wettbewerbsrechtliche Instrumentarien zu setzen.

Die DSGVO ist ein „Scheinriese“ geblieben, der weder gegenüber dem datenhungrigen Staat noch gegenüber großen US-Konzernen Zähne zeigt. Dies liegt nicht daran, dass die irische Datenschutzbehörde zu zögerlich bei der Verhängung saftiger Bußgelder ist. Bußgelder werden in Irland durchaus verhängt, setzen aber voraus, dass die irischen Datenschützer den Konzernen in rechtsstaatlich geordneten Verfahren DSGVO-Verstöße nachweisen. Und die Mühlen des Rechtsstaats mahlen nicht nur in Irland langsam. Der frühere schleswig-holsteinische Datenschutzbeauftragte Thilo Weichert beklagt in der aktuellen Ausgabe der DuD, dass es 10 Jahre gedauert hat, bis das Verfahren, das er 2011 gegen Facebook-Fanpages einleitete, im November 2021 durch die finale Entscheidung des Oberverwaltungsgerichts Schleswig ein Ende fand.

Verarbeitungsverzeichnisse, Folgeabschätzungen, Datenschutzerklärungen, Dokumentationspflichten: Die DSGVO setzt auf Prozesse und Verfahren, auf Compliance. Und die großen Konzerne haben die Mittel und die Erfahrung, die notwendig sind, um mit den Anforderungen der DSGVO zurechtzukommen. Unternehmen wie Google, Facebook und Microsoft wissen, wie Compliance funktioniert und wie man eine „Papierform“ herstellt, die den Unternehmen „Beinfreiheit“ beim Umgang mit Personendaten sichert und es den Datenschutzbehörden zugleich erschwert, Datenschutzverstöße nachzuweisen. Die DSGVO wird daher auch in Zukunft ein stumpfes Schwert gegen große „Datenkraken“ bleiben. Mit nur wenigen „roten Linien“, der Einwilligung als „carte blanche“ und „Rechenschaftspflichten“, die sich durch Excel-Tabellen und Aktennotizen erfüllen lassen, lässt sich der umfangreichen Sammlung und Nutzung von Personendaten nur wenig entgegensetzen.

Ein „Scheinriese“ ist die DSGVO letztlich auch wegen ihrer endlosen Weite geblieben und ihrer Orientierungslosigkeit. Der lange Erwägungsgrund 75 führt dazu, dass Kameras auf Nachbargrundstücken, Werbemails und Papierakten, die nicht fachmännisch geschreddert wurden, den Alltag der Datenschutzbehörden prägen. Erfolgsdruck verführt die Behörden zu falschen Prioritäten. Ein kleines Bußgeld wegen einer unvollständig beschrifteten Kamera ist viel schneller verhängt als ein Bußgeld gegen ein großes Unternehmen wegen eines Verstoßes gegen die „Schrems II“-Maßgaben des EuGH. „Low hanging fruit“ gehen in die Erfolgsbilanzen der jährlichen Tätigkeitsberichte ein, anderes bleibt erst einmal liegen.

 

These 3: Wenn der Datenschutz eine Zukunft haben möchte, muss er wieder politisch werden.

Der Datenschutz ist unpolitisch geworden. Auf Datenschutztagungen kommen gesellschaftspolitische Themen kaum noch vor. Staatliche Überwachung ist zu einem Randthema geworden, das nur noch selten die Gemüter der Datenschützerinnen und Datenschützer bewegt. Besonders deutlich wurde dies in der Corona-Krise.

In der Corona-Krise erlebten wir Einschränkungen der Bürgerrechte, die sich die meisten von uns nie vorstellen konnten.  Auch der Datenschutz geriet seit März 2020 stark unter Druck, und Datenschützerinnen und Datenschützer setzten dem meist nur wenig entgegen. Wer hat eigentlich gefragt, ob die Kontaktdaten, die wir alle bei Besuchen von Hotels und Restaurants, von Kneipen und Fitnessstudios, von Bordellen und Fetischclubs hinterlasse haben, tatsächlich von den Gesundheitsämtern abgerufen und benötigt wurden? Datenschützer schwiegen meist oder applaudierten sogar, als im Zeichen des Infektionsschutzes immer mehr Gesundheitsdaten erhoben, gesammelt, verarbeitet wurden.

Im Ringen zwischen Freiheit und Sicherheit – ob bei Terrorgesetzen, bei der Volkszählung oder bei den Aktivitäten der Geheimdienste – stand der Datenschutz stets im Lager der Freiheit. Corona hat gezeigt, dass dies nicht mehr selbstverständlich ist. Seit der NS-Zeit sind 75 Jahre, seit dem Mauerfall 30 Jahre vergangen. Die historische Erinnerung wird schwächer, und das Misstrauen gegenüber einem allwissenden und allmächtigen Staat wird geringer. Datenschutz wird nicht mehr als Schutzschild des Bürgers gegen den übergriffigen Staat gesehen, sondern – wie in den USA - als Instrument des Verbraucherschutzes und als Compliance-Thema.

Wenn Datenschützerinnen sich lieber mit Cookies, personalisierter Werbung und Facebook-Fanpages befassen als mit Staat und Gesellschaft, leisten sie dem Datenschutz einen schlechten Dienst. Wenn wir in Deutschland wegschauen, wenn jetzt ein „Impfregister“ eingerichtet werden soll, können wir nicht mehr glaubhaft erklären, weshalb es beim Transfer jedes Personendatums in eine amerikanische Cloud um Menschenrechte gehen soll.

Wir müssen reden. Wir brauchen eine Debatte über den Sinn und den Zweck des Datenschutzes. Wir müssen uns darüber verständigen, ob Datenschutz mehr sein soll als Verbraucherschutz und Compliance. Vielleicht kommen wir dabei zu dem Ergebnis, dass der Datenschutz sich gewandelt hat und jetzt nur noch eines von vielen Compliance-Themen ist, einer von vielen Bereichen des Verbraucherschutzes. Wenn wir dies so sehen, sollten wir uns aber auch von jedweder Menschenrechts-Rhetorik verabschieden. Die Grundrechte-Charta, die informationelle Selbstbestimmung, das Volkszählungsurteil sind dann für unsere Arbeit bedeutungslos.

Oder wir verständigen uns wieder darauf, dass es beim Datenschutz um Bürgerrechte geht. Um den Schutz von Minderheiten gegen Diskriminierung. Um den Schutz der offenen Debatte im öffentlichen Raum – online wie offline. Um den Schutz der Abweichler und Randgruppen, der sozial Benachteiligten und Marginalisierten. Nur wenn eine solche Verständigung gelingt, wird sich der Datenschutz nicht weiter im Kleinklein verlieren. Nur wenn der Datenschutz wieder politisch wird, wird er auch über den Tag hinaus Bedeutung behalten.

Zurück