06.02.2019

Die Schutzgutmisere des Datenschutzrechts (Teil I)

Portrait von Winfried Veil
Winfried Veil

Was ist eigentlich das Schutzgut des Datenschutzrechts? Die Antwort auf diese Frage liegt im Dunklen. Das Schutzgut ist unklar und in höchstem Maße umstritten.

Dies ist ein völlig untragbarer Zustand. Da die DSGVO mit ihrem umfassenden Anwendungsbereich eine Totalverrechtlichung fast des gesamten menschlichen Lebens bewirkt, hat die Rechtsgemeinschaft einen Anspruch auf die Beantwortung der Frage, was eigentlich der Zweck der ganzen Übung ist (umfassend zur Verirrung des totalstaatlichen Verbotsansatzes in der DSGVO siehe D'Avis/Giesen, CR 2019, 24-33).

In concreto lässt sich auch keine der vielen Auslegungsfragen der DSGVO vernünftig beantworten, solange das Schutzgut unklar bleibt. Ohne Schutzgutbestimmung fehlt der Maßstab für die zahlreichen Interessenabwägungen, Kompatibilitätsprüfungen, Erforderlichkeitsprüfungen, Verhältnismäßigkeitsprüfungen, Risikoprüfungen und Risikofolgenabschätzungen, die der datenschutzrechtlich Verantwortliche vorzunehmen hat. Ohne Schutzgutbestimmung ist unklar, ob der Datenschutz auch verbraucherschutzrechtliche oder wettbewerbsrechtliche Ziele verfolgt.

Die Schutzgutdebatte

Bei den Verhandlungen zur Datenschutz-Grundverordnung (DSGVO) wurde - soweit ersichtlich - nie eine Diskussion über das Schutzgut des Datenschutzrechts geführt. Unter Nichtfachleuten wird die Frage nach dem Schutzgut ebenfalls kaum gestellt. In der Fachöffentlichkeit begegnet man hingegen vielen Überzeugungstätern, bei denen sich nicht selten rechtliche Subsumtion, ideologische Grundüberzeugung und Wunschvorstellung zu einem überheblich-selbstverliebten "Wissen" um das wahre Schutzgut des Datenschutzrechts verdichten.

  • Pfadabhängigkeit:

Fast immer wird die Schutzgutfrage pfadabhängig beantwortet. Selten findet zur Schutzgutfrage ein disziplinübergreifender Diskurs zwischen Sozialwissenschaftlern, Juristen und Informatikern statt. Selten werden die jeweils eigenen Diskursregeln offengelegt. Schon die Problembeschreibungen präjudizieren meist die jeweils angebotene Lösung. Rechtskulturell bedingte Unterschiede werden als solche kaum erkannt. Schließlich wird in Ermangelung oder in Unkenntnis eines anerkannten Schutzguts oft gesetzespositivistisch argumentiert.

  • Vielfalt:

Beispielhaft für die Verschiedenartigkeit der Vorstellungen seien hier in ungeordneter Folge nur Brink ("informationelle Selbstbestimmung"), Rost ("Organisationen zähmen"), Assion ("Grundrecht auf Datenschutz"), Engeler ("informationelle Unversehrtheit"), Härting ("Persönlichkeitsrecht"), Hagendorff ("Schutz vor illegitimem Missbrauch personenbezogener Daten"), von Lewinski ("Begrenzung von Informationsmacht"), Eichenhofer ("Grundrecht auf e-privacy"), Nissenbaum ("kontextuelle Integrität"), Simitis ("informationelle Gewaltenteilung") genannt.

Zum Ganzen siehe den erhellenden Vortrag von:

Rehak, Was schützt eigentlich der Datenschutz? (gehalten beim 35. Chaos Communication Congress am 28. Dezember 2018).

„Gefühlte“ Schutzgüter

Eine Zusammenschau sämtlicher dem Datenschutzrecht zugeschriebener Schutzgüter ergibt folgendes Bild (ohne Anspruch auf Vollständigkeit):

  • Schutz des allgemeinen Persönlichkeitsrechts, insbesondere der freien Entfaltung der Persönlichkeit
  • Gewährleistung der informationellen Selbstbestimmung
  • Verhinderung von durch Beobachtung/Überwachung bewirkter konformistischer Verhaltensanpassungen („chilling effects“)
  • Schutz des Privatlebens bzw. der Privatsphäre
  • Ausschluss von Rufschädigungen
  • Vermeidung von Diskriminierung und Stigmatisierung
  • Verhinderung von Straftaten (Identitätsdiebstahl und -betrug, Cyberangriffe)
  • Verhinderung der Enttäuschung von Vertraulichkeitserwartungen
  • Verbraucherschutz und Herstellung von Verbrauchervertrauen
  • Schutz vor Werbung
  • Herstellung kontextueller Integrität
  • Vermeidung von Manipulation und Fremdbestimmung
  • Schutz vor Organisationswillkür
  • Ausgleich informationeller Asymmetrien
  • Sicherstellung hoher Datenqualität
  • Gewährleistung des freien Datenverkehrs
  • Bekämpfung der Macht von US-Unternehmen
  • Beseitigung von Handelshemmnissen
  • "human rights, fundamental freedoms, functioning of democracies and social and ethical values"
  • Digitale Unversehrtheit

Bislang rechtlich verankerte Schutzgüter

Will man sich nicht nur auf die Postulate interessegeleiteter Teilnehmer am Datenschutzdiskurs verlassen, sondern sucht rechtlich festeren Grund, ergibt sich allerdings ebenfalls ein höchst uneinheitliches Bild. Jenseits der DSGVO sind die folgenden Schutzgüter ausdrücklich in internationalen, europäischen und nationalen Rechtsakten verankert bzw. der Rechtsprechung zu entnehmen:

  • Datenschutz EU-Grundrechtecharta, AEUV, einige deutsche Landesverfassungen, DS-GVO, Entwurf der ePrivacy-Verordnung.
  • Allgemeines Persönlichkeitsrecht Grundgesetz in der Auslegung des Bundesverfassungsgerichts, BDSG alter Fassung, einige deutsche Landesdatenschutzgesetze alter Fassung.
  • Informationelle Selbstbestimmung Rechtsprechung des Bundesverfassungsgerichts, einige deutsche Landesverfassungen, einige Landesdatenschutzgesetze alter Fassung.
  • Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme Rechtsprechung des Bundesverfassungsgerichts.
  • Achtung des Privatlebens EU-Grundrechtecharta, Europäische Menschenrechtskonvention, Entwurf der ePrivacy-Verordnung.
  • Privatsphäre Datenschutz-Richtlinie 95/46, ePrivacy-Richtlinie, Europaratskonvention 108, OECD.
  • „Die“ (Grund-)Rechte und (Grund-)Freiheiten Datenschutz-Richtlinie 95/46, Datenschutz-Grundverordnung, Entwurf der ePrivacy-Verordnung.
  • Fernmeldegeheimnis Grundgesetz.
  • Achtung der Kommunikation EU-Grundrechtecharta, Entwurf der ePrivacy-Verordnung.

In der DSGVO ausdrücklich verankerte  Schutzgüter

Angesichts dieser Pluralität möglicher Schutzgüter stellt sich die Frage umso drängender: Was steht eigentlich in der DSGVO selbst? Zwar ist die DSGVO mit ihren vielen unbestimmten Rechtsbegriffen, Inkohärenzen und Wertungswidersprüchen eine Spielwiese für ins Kraut schießende Norminterpretationen. Umso wichtiger wird aber eine streng am Wortlaut orientierte, möglichst objektive, nachprüfbare Gesetzesauslegung.

Ich meine, nach einer solchen sorgfältigen Analyse zu dem Ergebnis gekommen zu sein, dass sich dem Wortlaut der DSGVO jedenfalls auch folgende Schutzgüter entnehmen lassen:

  • Daten
  • Freier Verkehr/Fluss personenbezogener Daten
  • Binnenmarkt
  • (Daten-)Sicherheit
  • Kontrolle über die Daten
  • Öffentliche Interessen und Gemeinwohl

Über allem steht das zentrale Schutzgut der DSGVO. Es wird in Art. 1 Abs. 2 DSGVO ausdrücklich benannt und taucht im Übrigen nicht weniger als 76 Mal im verfügenden Teil und in den Erwägungsgründen der DSGVO auf. Es handelt sich dabei um die "Rechte und Freiheiten natürlicher Personen", die an verschiedenen Stellen auch als "Grundrechte und Grundfreiheiten natürlicher Personen" bezeichnet werden.

Bei unbefangener Wortlautinterpretation der DSGVO und bei Außerachtlassung sämtlicher Behauptungen selbsternannter Datenschutzexperten muss man tatsächlich zu dem Ergebnis kommen, dass alle "Rechte und Freiheiten natürlicher Personen" Schutzgut oder besser Schutzgüter der DSGVO sind. Bestätigt wird dies durch Erwägungsgrund 75 DSGVO, der letztlich "kein Lebensrisiko dieser Welt unerwähnt lässt" (Härting).

Datenschutz droht zum Selbstzweck zu werden

Als Folge der Ungewissheit über das Schutzgut und der Weite des Schutzbereichs droht der Datenschutz - trotz gegenteiliger Beteuerungen - zum Selbstzweck zu werden. "Geschützt" werden dann am Ende eben doch nur die Daten und nicht die Rechte und Freiheiten des Betroffenen, weil ...

  • eigentumsanaloge Formulierungen („Meine Daten gehören mir!“) so eingängig sind;
  • eine datenfokussierte Interpretation der DSGVO scheinbare Rechtssicherheit gibt (Stichwort: Privacy-Compliance-Management-Systeme);
  • sich mit der Inputorientierung so schön vom Output, über dessen Wünschbarkeit und Zulässigkeit man ja einen politischen Streit führen müsste, ablenken lässt;
  • jeder Gesetzgeber den schwierigen politischen Entscheidungen über die Zulässigkeit konkreter Datenverwendungen ausweicht;
  • Verbotsprinzip, Datanminimierung, „right to be forgotten“, „data protection by design“ und „data protection by default“ einen generellen Vorrang des Schutzes personenbezogener Daten nahelegen;
  • die Verankerung eines „Grundrechts auf Datenschutz“ in Art. 8 GRCh dies nahelegt und in der öffentlichen Debatte ständig die Grundrechtskeule geschwungen wird, auch wenn es um noch so harmlose Verwendungen personenbezogener Daten geht.

Datenschutz droht zum Vollkaskorecht zu werden

Nimmt man aber die Formulierungen der DSGVO ernst und sieht alle Rechte und Freiheiten natürlicher Personen als geschützt an, droht das Datenschutzrecht zur Vollkaskoversicherung gegen sämtliche Lebensrisiken zu werden. Dies kann nur zur Überforderung des Verantwortlichen einerseits und zur Enttäuschung von Erwartungen beim Betroffenen andererseits führen.

Vergleich mit weiten Anwendungsbereichen anderer Rechtsgebiete

In anderen Rechtsgebieten, die ebenfalls relativ weit gefasste Schutzgüter kennen, wurden zahlreiche beschränkende Kriterien entwickelt, die einen ausufernden Anwendungsbereich verhindern:

  • Im Zivilrecht (§§ 823 ff. BGB) führt nicht jede Rechtsgutsverletzung, für die eine Handlung oder Unterlassung einer natürlichen Personen irgendwie ursächlich war, zur Haftung. Zurechnungskriterien wie die Äquivalenztheorie, die Adäquanztheorie, die Theorie vom Schutzzweck der Norm, usw. beschränken die Haftung des Verursachers einer Rechtsgutsverletzung.
  • Im Polizeirecht wird nicht gegen jeden, der für eine Gefährdung der öffentlichen Sicherheit und Ordnung irgendwie verantwortlich ist, vorgegangen. Einschränkende Zurechnungskriterien wie Zustandsstörer, Verhaltensstörer, Theorie der unmittelbaren Verursachung, Zweckveranlasser, usw. beschränken das Auswahlermessen der Polizei bzw. der Ordnungsbehörde.
  • Im Strafrecht wird nicht jeder, der irgendwie tatbestandsmäßig ein Rechtsgut verletzt, bestraft. Die Lehren von Rechtswidrigkeit und Schuld füllen ganze Bibliotheken.

Korrigierende Zurechnungs- & Haftungskriterien?

Im Datenschutzrecht fehlen solche einschränkenden Zurechnungs- und Haftungskriterien fast völlig. Wo endet die datenschutzrechtliche Haftung desjenigen, der seinen nicht passwortgeschützten Laptop herumliegen lässt, woraufhin bei einer dadurch offenliegenden Adresse eingebrochen wird? Hat hier noch ein datenverarbeitungstypisches Risiko zur Rechtsgutsverletzung geführt?

Angesichts der Unbeschränktheit der durch die DSGVO geschützten Rechtsgüter wird man einschränkende Kriterien auch im Datenschutzrecht entwickeln müssen. Noch nicht einmal Ansätze hierfür sind derzeit erkennbar.

 

In "Die Schutzgutmisere des Datenschutzrechts - Teil II" geht es um das Recht auf informationelle Selbstbestimmung und seine ungewisse Zukunft.

 

 

 

 

 

Zurück