22.03.2019

Schutzgut des Datenschutzrechts - Eine Replik auf Veil, Schutzgutmisere - Teil I

Portrait von Kirsten Bock
Kirsten Bock

„Denn sie wissen nicht, was sie tun“ - unter diese Überschrift könnte man die Beitragsserie von Winfried Veil fassen, die sich hier im CRonline Blog mit der Frage befasst, warum bei einem Gesetz, das scheinbar in alle Bereiche des Lebens hineinwirkt, nicht klar ist, was es eigentlich schützen soll. Die Rede ist von der Datenschutz-Grundverordnung (DSGVO) und der „Schutzgutmisere des Datenschutzrechts“. In Teil 1 beklagt Veil eine „Totalverrechtlichung fast des gesamten menschlichen Lebens“ bei gleichzeitiger, vermeintlicher Uneinigkeit derer, die aus Berufsgründen oder im Namen der Wissenschaft für die Auslegung und Anwendung der DSGVO verantwortlich zeichnen. Die Vielzahl und Unterschiedlichkeit der Ansätze zeige, dass es mit dem Schutzgut des Datenschutzrechts nicht weit her sein könne und es daher eines ganz anderen Ansatzes bedürfe, um die Herausforderungen der Datenverarbeitung jetzt und in der Zukunft meistern zu können.

Ist die Kritik berechtigt?

In diesem Beitrag soll das Schweigen der Datenschützer*innen zur Frage nach dem Schutzgut gebrochen, sich mit den Vorhaltungen kritisch auseinandergesetzt und eine Verteidigung des geltenden Rechtsrahmens gewagt werden. Dies ist bislang nicht geschehen, denn gerade bekennende Datenschützer tuen sich oftmals selbst schwer, den Gegenstand ihrer Bemühungen scharf zu umreißen. Eine sachliche Auseinandersetzung mit der Kritik ist aber erforderlich, wenn diese entkräftet und die politischen Bestrebungen, das bestehende Datenschutzrecht aufzugeben und gegen ein Datenrecht (z.B. BMVI, Studie „‘Eigentumsordnung‘ an Mobilitätsdaten?“), einzutauschen, entgegengewirkt werden soll.

Die Suche nach einem Schutzgut

Datenschützern wird nun vorgeworfen, sie schützten ein nichtvorhandenes Gut auf der Grundlage eines „überheblich-selbstverliebten Wissens“ und schlimmer noch, sie behinderten die Ausübung der Freiheit, personenbezogene Daten zu nutzen, um gesellschaftlichen Fortschritt zu erzielen. Die Rede ist von „der Verirrung des totalstaatlichen Verbotsansatzes in der DSGVO“ (D’Avis/Giesen, CR 2019, 24-33). Dabei scheint man vorauszusetzen, dass personenbezogene Daten ohne weiteres marktwirtschaftlich zur Verfügung stünden und Firmen und andere Organisationen sich ungehindert daran bedienen können sollten.

Hier wird deutlich, dass die Uneinigkeit bei der Bestimmung des Schutzgutes sich in der Frage der eingeschränkten oder uneingeschränkten Nutzung personenbezogener Daten zuspitzt. Die Frage also, warum die DSGVO in Art. 1 Abs. 1 festlegt, dass "Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten" vorgegeben werden sollen.

Schutzbereich DSGVO

Damit stellt sich zu Recht die Frage des "Warums" und damit auch die Frage nach dem Schutzgut. In der DSGVO heißt es dazu in Art. 1 Abs. 2:

"(2) Diese Verordnung schützt die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten."

Diese Beschreibung erscheint, zugegebenermaßen, sehr weit. In den Erwägungsgründen (EWG) der DSGVO wird dazu festgehalten, dass es um die Umsetzung eines Grundrechts gehen soll:

"Der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten ist ein Grundrecht. Gemäß Artikel 8 Absatz 1 der Charta der Grundrechte der Europäischen Union (im Folgenden „Charta“) sowie Artikel 16 Absatz 1 des Vertrags über die Arbeitsweise der Europäischen Union (AEUV) hat jede Person das Recht auf Schutz der sie betreffenden personenbezogenen Daten." (EWG 1)

Schutzbereich GRCh

Aber auch Art. 8 der Charta der Grundrechte der Europäischen Union (GRCh), gibt keinen eindeutigen Aufschluss über seinen Schutzbereich. Art. 8 GRCh lautet:

"Schutz personenbezogener Daten

(1) Jede Person hat das Recht auf Schutz der sie betreffenden personenbezogenen Daten.

(2) Diese Daten dürfen nur nach Treu und Glauben für festgelegte Zwecke und mit Einwilligung der betroffenen Person oder auf einer sonstigen gesetzlich geregelten legitimen Grundlage verarbeitet werden. Jede Person hat das Recht, Auskunft über die sie betreffenden erhobenen Daten zu erhalten und die Berichtigung der Daten zu erwirken.

(3) Die Einhaltung dieser Vorschriften wird von einer unabhängigen Stelle überwacht."

Schutzbereich & Schutzgut

Die Forderung nach einer Bestimmung des Schutzgutes ist auch insoweit durchaus berechtigt. Dabei ist unter Schutzgut ein dem Recht vorgelagertes Gut zu verstehen (Ipsen, JZ 1997, 473, 477 f.). Da sich im Vergleich von Schutzgut und dem grundrechtlichem Schutzbereich im Ergebnis  kaum Unterschiede ergeben (Alexy, Der Staat 2013, 87, 89), soll an dieser Stelle auf eine weitere Unterscheidung der beiden Begriffe verzichtet werden.

Praktische Bedeutung hat der Streit um das Schutzgut und den Schutzbereich des Datenschutzgrundrechts deshalb, weil mit ihm viele Auslegungsfragen verbunden sind. Die DSGVO enthält, wie jedes umfangreiche Rechtsgebiet, eine Reihe von unbestimmten Rechtsbegriffen und macht Abwägungen erforderlich, bei denen die Bestimmung des Schutzbereichs sich auf das Ergebnis auswirken kann.

Der Vorwurf der Pluralität der Schutzgüter

Den Verfechtern des geltenden Datenschutzrechts werden persönliche und sachliche Vorwürfe entgegengehalten.

Persönliche Vorwürfe & hehre Wissenschaft

Nun mag man zu persönlichen Vorhaltungen stehen wie man will, Begrifflichkeiten wie „selbsternannte Datenschutzexperten“ oder „überheblich-selbstverliebtes Wissen“ tragen sicher nicht zu einer sachlichen Diskussion bei. Berechtigt ist allenfalls ein Hinterfragen der Kompetenzen von Autoren oder Sachverständigen. Dazu sollten dann aber sachdienliche Kriterien mitgeliefert werden; denn daran fehlt es im Bereich Datenschutz mangels festgelegter Ausbildungswege.

Zur Kenntnis genommen werden sollte, dass weder das juristische oder ein anderes Studium, praktische Tätigkeiten im Bereich der Informationstechnologie noch die aufsichtsbehördliche Tätigkeit für sich genommen zu einem grundlegenden Verständnis der Theorie des Datenschutzes und des Datenschutzrechts (vgl. zur Unterscheidung von Datenschutz und Datenschutzrecht Rehak) befähigen (s. dazu FG München, Urteil v. 25.7.2017 – 5 K 1403/16 Rn. 17), während Kenntnisse in diesen Bereichen nicht nur nicht schädlich, sondern vielmehr erforderlich dafür sind, auch das theoretische Fundament zu durchdringen.

Sachlicher Vorwurf der Pluralität

In sachlicher Hinsicht wird den Befürwortern vorgehalten, sie seien sich uneinig und würden eine unbestimmte „Pluralität von Schutzgütern“ versammeln, was er wiederum als ein Indiz für die Unbestimmtheit oder Unbestimmbarkeit des eigentlichen Schutzgutes des Datenschutzes hält. Dabei erfolge die Diskussion und wissenschaftliche Begründung auch nur innerhalb einer Disziplin (Veil nennt dies „Pfadabhängigkeit“) und es fände kein disziplinübergreifender Diskurs zwischen Sozialwissenschaften, Juristen und Informatikern statt.

Literaturspektrum:  Schon allein ein Blick in die zwar noch spärliche aber vorhandene Literatur zeigt, dass dieser Vorwurf nicht haltbar ist. So finden sich Gemeinschaftsveröffentlichungen wie auch interdisziplinäre Veröffentlichungen mittlerweile auch zu Grundfragen des Datenschutzes und des Datenschutzrechts, hier seien stellvertretend für viele Autor*innen der Soziologe Martin Rost, der Politikwissenschaftler und Informatiker Jörg Pohle, sowie der Informatiker und Philosoph Rainer Rehak genannt. Insofern kann durchaus die Frage gestellt werden, ob die Kritik an der DSGVO und den vermeintlich unbestimmten Schutzgütern noch Teil eines wissenschaftlichen Diskurses oder bloße politische Polemik sind.

Unterschiedliche Schutzgüter oder Abstraktionsgrade?

In seiner Analyse unterscheidet Veil zwischen „gefühlten Schutzgütern“ die er aus Beiträgen der „vermeintlichen Datenschützer“ zusammenträgt, in der Rechtsprechung und Kodifizierungen „verankerten Schutzgütern“ sowie den in der DSGVO „ausdrücklich verankerten Schutzgütern“.

Graduelle Differenzierung

Bei einer genaueren Betrachtung handelt es sich bei den „gefühlten“ und „verankerten Schutzgütern“ um Schutzgüter verschiedener Ordnung, die z.T. Ableitungen aus übergeordneten bzw. allgemeiner gefassten Schutzgütern darstellen. Insofern kann auch von Abstraktionsgraden gesprochen werden, die sich keinesfalls gegenseitig ausschließen oder in Widerspruch miteinander stehen:

  • Zu den Schutzgütern erster Ordnung können „Rechte und Freiheiten“ gezählt werden.
  • Als Schutzgüter zweiter Ordnung gehören zu diesen "Rechten und Freiheiten" das allgemeine Persönlichkeitsrecht, die Achtung des Privatlebens, das Recht auf Kommunikation und das Recht auf Datenschutz.
  • Auf dritter Ebene finden sich dann weitere Konkretisierungen, wie das Recht auf informationelle Selbstbestimmung, die Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme sowie das Fernmeldegeheimnis.

Konkordanz statt Hierarchie

Die Ordnung der Schutzgüter bzw. schutzgutgleichen Rechte lässt sich weiter konkretisieren. Die Schutzgüter auf der Ebene von Grundrechten stehen dabei nicht in einem hierarchischen Verhältnis. Sie sind nebeneinander anwendbar und haben Überschneidungsbereiche. Nur so ist ein umfassender Schutz der Grundrechte und Grundfreiheiten möglich.

Die gesetzgeberische Ausgestaltung des Datenschutzgrundrechts erfolgt einfachgesetzlich durch die DSGVO und regelt damit auch die Datenverarbeitung durch Private. Es gehört zum Schutzauftrag der EU (Artikel 16 Absatz 1 des Vertrags über die Arbeitsweise der Europäischen Union (AEUV)), den Bürgerinnen und Bürgern die Grundrechte zu gewähren und sie vor Beeinträchtigungen nicht nur des Staates, sondern auch von Seiten privater Dritter zu schützen (Jarass, Charta der Grundrechte der EU, 3. Aufl. 2016, Art. 8 Rn. 10; Schlussanträge der Generalanwältin Kokott zur Rs. C-275/06 vom 18. 07. 2007, Slg. 2008, I-271, Rn. 57 (EuGH, Urt. v. 29.1.2008 - C-275/06, NJW 2008, 381 – Promusicae). Die DSGVO soll laut ihrem Erwägungsgrund (EWG) 2  zu diesem Schutz beitragen.

Schutzgut oder Schutzziel?

Bei den von Veil als „ausdrücklich verankerte Schutzgüter“ genannten Beispielen „Daten“, „Sicherheit“ und „Kontrolle“ fragt es sich, ob es sich überhaupt um Schutzgüter im engeren Sinne handelt. Sicherheit und Kontrolle sind zwar ebenfalls zu gewährleisten, finden aber eher über die Schutzziele im Sinne des Art. 5 Abs. 2 DSGVO Berücksichtigung. Sie haben gegenüber den o.g. Schutzgütern eine dienende Funktion. Unter dem Begriff IT-Sicherheit (Art. 32 DSGVO) soll die Kontrollfähigkeit des Verarbeiters und damit die Beherrschbarkeit in Bezug auf die betroffenen Daten, IT-Systeme und Prozesse der Datenverarbeitung hergestellt werden.

Nicht "Daten" sondern "Personenbezug von Informationen"

Auch ist entgegenzuhalten, das Daten selbst kein Schutzgut darstellen können. Vielmehr sind allein personenbezogene Daten, oder genauer personenbezogene Informationen, nur insoweit zu schützen, als dass ihre Verkettung (Verarbeitung) durch die DSGVO unter Bedingungen gestellt wird („This Regulation lays down the rules ... with regard to the processing of personal data ...“, Art. 1 Abs. 1 DSGVO). Schutzgut ist dabei konkret der Personenbezug von Informationen. Informationen ohne Personenbezug oder -beziehbarkeit unterfallen nicht dem Anwendungsbereich der DSGVO. Der Personenbezug von Informationen wird anlässlich der Verarbeitung durch Verkettung bzw. Perpetuierung von Verkettung (Speicherung) hergestellt. Da die Verarbeitung damit den eigentlichen Eingriff in die Rechte und Freiheiten der Person darstellt, kann das Datum an sich nicht Schutzgut sein.

Wortlaut von Art. 1 Abs. 1 DSGVO

Mit den „ausdrücklich verankerten Schutzgütern“ bezieht sich Veil dann zu Recht auf den Wortlaut der DSGVO. Wie jedes gute Gesetz enthält auch die DSGVO in Artikel 1 den Gegenstandsbereich der Verordnung und damit eine Beschreibung der Schutzgüter. Das „zentrale Schutzgut der DSGVO“, so räumt auch Veil ein, sind dann auch die „Rechte und Freiheiten natürlicher Personen“. Den Hinweis, den Veil sich spart ist, dass damit die Beschreibung in Art. 1 DSGVO nicht zu Ende ist, sondern ergänzt wird durch den Zusatz „insbesondere deren Recht auf den Schutz personenbezogener Daten“. Dabei bezieht sich Abs. 1 eindeutig auf die „Regeln“ und damit auf die Bedingungen, unter denen personenbezogene Daten verarbeitet werden dürfen, damit einerseits der Schutz der natürlichen Personen und andererseits die Bedingungen, unter denen ein freier Verkehr dieser Daten innerhalb der Union stattfinden darf, gewährleistet ist.

Ergebnis:  eindeutiges Schutzgut

Damit ist die Frage des Schutzgutes eigentlich klar beantwortet und der Vorwurf der Pluralität entkräftet:

Geschützt wird die natürliche Person in allen Rechten und Freiheiten, die durch oder anlässlich der Verarbeitung personenbezogener Daten betroffen sind.

Unterstrichen wird dies durch EWG 75 DSGVOder kein Lebensrisiko unerwähnt lässt“ (Härting, wenn auch mit anderer Schlussfolgerung). Trotzdem besteht ein anzuerkennendes Bedürfnis, diese Rechte und Freiheiten in den unterschiedlichen Anwendungskontexten näher zu bestimmen. Die Angst der Datenschutzgegner vor der DSGVO rührt hier aus der „Weite des Schutzbereichs“, die dazu führe, dass „Datenschutz zum Selbstzweck“ werde und nur mehr Daten und nicht mehr die Rechte und Freiheiten geschützt würden. Diese Angst ist nicht unberechtigt und es tut Datenschützern in der Tat gut, über diese Frage zu reflektieren.

Aber auch Veil selbst weicht dieser Frage aus. Seine vergleichenden Ausführungen zu anderen Rechtsgebieten wechseln beliebig die Ebenen und bleiben Pauschalkritik. Die Betrachtungen fokussieren allein auf die Verfolgung von Rechtsgutverletzungen und stellen fest, dass in anderen Rechtsgebieten (Zivilrecht, Polizeirecht und Strafrecht) Rechtsgutverletzungen nicht unterschiedslos verfolgt werden. Dies ist auch im Datenschutzrecht der DSGVO nicht anders. Auch sie enthält einschränkende Haftungsregelungen, wenn die Aufsichtsbehörde bspw. Zertifizierungen bei der Bemessung eines Bußgeldes berücksichtigen kann. Und ähnlich wie im Strafrecht und BGB wird die Befassung mit der Auslegung unbestimmter Rechtsbegriffe der DSGVO im Laufe der Jahre viele Regale füllen.

Fazit zu Teil I:  Die innere Systematik der DSGVO

Die Kritik an einem unzureichendem Forschungsstand zum Schutzgut der DSGVO und zum Schutzbereich des Datenschutzgrundrechts ist durchaus berechtigt. Ihrer Kritik an der DSGVO haben sie außer einem auch nur impliziet geforderten "laissez-faire", keine alternativen, tragfähigen Entwürfe oder konstruktiven Vorschläge vorlegen können. Allzu oft besteht zudem ein unzureichendes systematisches Verständnis des Gegenstandsbereichs und ein geradezu willkürliches Wechseln der Ebenen in der Argumentation. Der DSGVO liegt sehr wohl eine innere Systematik zugrunde, die auf einem grundrechtsbasierten Verständnis aufbaut und die Bedingungen festlegt, unter denen Eingriffe in das Datenschutzgrundrecht gerechtfertigt sind.

  • Die Frage des "Warum?"

Zu beantworten bleibt die Frage, warum die natürliche Person in allen Rechten und Freiheiten, die durch oder anlässlich der Verarbeitung personenbezogener Daten betroffen sind, geschützt werden soll, ohne in einen Zirkelschluss zu verfallen. Diese Frage wird mit einer Verweisung auf das Datenschutzgrundrecht nur unbefriedigend beantwortet, verneint die Existenz eines Schutzgutes aber auch nicht.

  • Systematisierung der Schutzgüter

Genauer zu untersuchen wäre, welche Schutzgüter überhaupt identifiziert und begründet werden können und in welchem Verhältnis diese Schutzgüter zueinanderstehen. Die Pluralität der Schutzgüter steht einer Systematisierung nicht entgegen. Ob dann die Allokalisierung eines dedizierten Schutzgutes Vorteile bieten kann, bleibt abzuwarten und spannend.

Zurück