Datenschutz im Spannungsfeld zwischen Gemeinwohl und Privatheit
Ein Digitalisierungsrecht für das 21. Jahrhundert. Von Jürgen Kühling, Boris Paal und Rolf Schwartmann
Die Bedeutung des ersten Datenschutzgesetzes von 1970
Zu Recht hat der Richter am Europäischen Gerichtshof (EuGH) Thomas von Danwitz den gewichtigen Beitrag der Luxemburger Judikative bei der Schaffung eines wirksamen Datenschutzes unlängst anlässlich des 52. Geburtstages des ersten Datenschutzgesetzes in der F.A.Z.[1] betont. Es stammt aus Hessen und ist ein Grundstein für den Schutz der Privatheit.
Die Verdienste der EuGH-Rechtsprechung zum Datenschutz
Insbesondere die beherzten Urteile zum Datenschutzgrundrecht – etwa mit dem Verwerfen der Vorratsdatenspeicherungsrichtlinie – haben mit dazu beigetragen, dass sich der EuGH als wichtiges Grundrechtsgericht etabliert hat. Zugleich sorgen die Urteile zur Auslegung des einfachen Gesetzesrechts, konkret etwa zum „Recht auf Vergessenwerden“ für eine effektive Durchsetzung auch gegenüber den Big-Tech-Unternehmen. Der Gesetzgeber hat in einem Kraftakt im Jahr 2016 die Datenschutzgrundverordnung (DSGVO) etabliert und damit ein ebenso umfassendes wie grundlegendes Regelwerk. In den USA und andernorts wird durchaus mit Ehrfurcht vom „Brussels Effect“ gesprochen. Gemeint ist damit, dass die Brüsseler Vorgaben wenn nicht für globale Standards, aber doch für eine weit verbreitete Rezeption der datenschutzrechtlichen Kernelemente auch jenseits der Europäischen Union sorgen. Weitere wichtige Urteile zu diesem Regelwerk stehen an, die für einen kraftvollen Datenschutz relevant sind. Hervorzuheben ist das Vorlageverfahren des OLG Düsseldorf im Fall Meta Platforms gegen das Bundeskartellamt. Hier geht es u.a. um die Voraussetzungen und Grenzen der datenschutzrechtlichen Einwilligung gegenüber einem marktdominanten Unternehmen. Der EuGH wird über zentrale Fragen des Geschäftsmodells von Facebook & Co entscheiden. Die Schlussanträge von Generalanwalt Rantos vom 20. September 2022 lassen eine strenge Linie erwarten.
Anlass zur Sorge
Sorge bereitet gleichwohl, ob gegenläufige Schutzinteressen vom EuGH tatsächlich hinreichend berücksichtigt werden. So lässt es aufhorchen, dass in dem genannten von Danwitz-Beitrag nicht weiter darauf eingegangen wird, dass die DSGVO neben dem Datenschutz gleichberechtigt das Ziel verfolgt, den freien Datenverkehr zu fördern. Generalanwalt Campos Sánchez-Bordona hat dies zuletzt in seinen Schlussanträgen vom 6. Oktober 2022 in einem ebenfalls wichtige Grundsatzfragen berührenden Verfahren (UI gegen Österreichische Post AG) hervorgehoben. Dabei geht es um die Reichweite von Schadensersatzansprüchen „ohne Schaden“. Der Generalanwalt betont zu Recht die Bedeutung eines freien Datenverkehrs für das Wirtschaftswachstum und die Wettbewerbsfähigkeit der Europäischen Union. Noch weiter lässt sich sagen: Die Datenverarbeitung ist von entscheidender Bedeutung für die Zukunft von Wirtschaft, Gesellschaft und die Sicherung eines handlungsfähigen Staates. Die Corona-Krise hat die Bedeutung von Daten gezeigt, zugleich sind durch den Mangel an verfügbaren Daten anderweitig vermeidbare Grundrechtseinbußen eingetreten. Zuletzt musste die Gaskommission eingestehen, dass sie in der Energiekrise letztlich nur begrenzt sinnvolle Vorschläge zur Kompensation entwickeln kann, um gezielt Bedürftige zu stärken. Denn es fehlt schlichtweg an den dazu erforderlichen Daten. Ungerechtigkeit, Mitnahmeeffekte, verpulverte Steuergelder aufgrund fehlender Daten bzw. Datennutzbarkeit.
DS-GVO: Datenschutz für Privatheit und Gemeinwohl
Datenschutz ist kein uneingeschränktes Recht, sondern muss in praktische Konkordanz mit einer Vielzahl von Gemeinwohlinteressen gebracht werden. Diese Verpflichtung darf kein Lippenbekenntnis bleiben, soll sich der Datenschutz in den Dienst der Menschheit und des Gemeinwohls in einem weiteren Sinne einordnen: Datenschutz ist keineswegs ein Super(grund)recht. Wie sehr es dem europäischen Gesetzgeber unter Geltung der DSGVO zunehmend auch um wirtschaftliche Zwecke geht, machen die neuen Datenakte vom Data Governance Act bis hin zu den Entwürfen von Data Act und KI-Verordnung deutlich. In diesem Sinne eröffnet die Richtlinie der EU über digitale Inhalte, die im Bürgerlichen Gesetzbuch umgesetzt wurde, die Möglichkeit, personenbezogene Daten faktisch zur vertraglichen Gegenleistung zu machen. Die Digitale-Inhalte-Richtlinie ist damit Wirtschaftsrecht, freilich mit verbraucherschutzrechtlichen Elementen.
Konsequenz: Chaos oder digitaler Lockdown
Schwere Flurschäden richtet nach wie vor die sog. Schrems-Rechtsprechung des EuGH an. Das Problem liegt darin, dass der EuGH die in der DSGVO angelegte risikoabhängige Betrachtung der Datenverarbeitung beim transatlantischen Datenverkehr negiert. Ein Inhalt, der den Machtbereich US-amerikanischer Behörden erreicht, darf spitz formuliert nicht übermittelt werden, solange den US-Behörden der Zugriff in den Herrschaftsbereich nicht unmöglich gemacht wird. Diese Anforderung greift unabhängig davon, wie belanglos der Inhalt auch sein mag. Im Ergebnis wird, ohne dass Fälle eines konkreten Zugriffs bekannt geworden sind, der gesamte transantlantische Datenverkehr pauschal für unionsrechtswidrig erklärt. Daran ändern auch Vereinbarungen über einen angemessenen Datenschutz zwischen den USA und der EU nichts, denn diese werden durch den EuGH bislang zuverlässig gekippt. Eine solche Auslegung der DSGVO macht beispielsweise faktisch jeden Einsatz nicht-europäischer Bürosoftware oder Videokonferenzdienste unzulässig. Das ist für Unternehmen, Behörden und Gerichte nur schwer umsetzbar. Wahlweise führt dies in den digitalen Lockdown oder in das rechtliche Chaos. In der Praxis kann der Ansatz des EuGH also gar nicht sinnvoll greifen. Europas Wirtschaft ist aber zwingend angewiesen auf einen fairen und praktisch umsetzbaren Rechtsrahmen, der nicht zuletzt auch Big-Tech-Unternehmen wirksame Verhaltensregeln auferlegt.
Ermöglichung durch: Transparenz, Zweckbindung, Anonymisierung und Pseudonymisierung
Die datengetriebene Wirtschaft in Europa kann im Jahr 52 nach dem ersten Datenschutzgesetz in Hessen nicht mehr eindimensional per Bürgerschutz und Abwehr reguliert werden. Vielmehr muss Daten(schutz)recht als mehrdimensionales Wirtschaftsrecht verstanden werden, das mit der DSGVO auf die Ermöglichung von Geschäftsmodellen setzt. Die hierfür einzusetzenden Mittel sind Transparenz, Zweckbindung, Anonymisierung und Pseudonymisierung. Die Entscheidung für mehr Datenwirtschaft des europäischen Gesetzgebers in den neuen Datenwirtschaftsakten bindet auch den EuGH. Dass der Mensch nach den neuen Gegebenheiten Schutzsubjekt und Wirtschaftsobjekt zugleich sein kann, ist in weiten Teilen ein politisch und gesellschaftlich gewünschtes Faktum. Diese Entwicklung bedarf eines adäquaten Schutzrechts, nicht aber einer Verhinderungsrechtsprechung. Die allseits bemühte praktische Konkordanz muss die aufgezeigten gegenläufigen Schutzbedürfnisse stärker betonen.
Der Rahmen der Vorratsdatenspeicherung
Zudem sind auch in Bezug auf die Rechtsprechung zur Vorratsdatenspeicherung Fragezeichen angebracht. Die hier vom EuGH an den Tag gelegte Strenge mag zwar rechtspolitisch nachvollziehbar sein. Aber sollen derartige Grenzen wirklich dauerhaft in grundrechtlichen Stein gemeißelt sein oder nicht vielmehr stärker dem politischen Prozess überlassen bleiben? Zu hinterfragen ist, ob das Bild der Abschreckungseffekte auf Grundrechte, so auch und gerade auf die Meinungsfreiheit bei einer Vorratsdatenspeicherung stimmt, wenn deren Datenauswertung nach den strengen Maßstäben eines Rechtsstaats erfolgt. Schließlich hat der EuGH doch zunächst die Kompetenzkonformität der Richtlinie zur Vorratsdatenspeicherung bestätigt und damit ihr Weiterleben jahrelang gesichert. Dass es in dieser Zeit ihrer Geltung zu entsprechenden Abschreckungswirkungen gekommen sei, ist nicht ersichtlich. Selbst die in der Folgerechtsprechung eröffneten Handlungsmöglichkeiten, etwa bei der Speicherung von IP-Adressen oder einem Quick-Freeze, sind begrenzt. Mobilfunkdaten, die nicht selten Anhaltspunkte für die Ermittlung der Täter bei schweren Verbrechen liefern, können dann allenfalls genutzt werden, wenn sie zufällig noch beim Provider gespeichert sind und die Polizei sehr rasch handelt. Auch hier zeigt sich also, dass gegenläufige Schutzinteressen nur mit großer Vorsicht zurückgedrängt, hinreichende Spielräume des Gesetzgebers erhalten bleiben sollten. Der deutsche Gesetzgeber hat zwar einen Spielraum, dem aber sehr enge Grenzen gesetzt sind.
Ambivalenz und Konkordanz
Alle Stimmen im Chor der Datenschutzinterpreten – vom EuGH, über die nationalen Gerichte bis hin zu den Aufsichtsbehörden – sollten diese Ambivalenz im Blick behalten, wenn sie den Rechtsrahmen setzen für eine Datenverarbeitung des 21. Jahrhunderts, die den vielfältigen Bedürfnissen der Betroffenen, Unternehmen, Wirtschaft und Gesellschaft gerecht werden muss.
Prof. Dr. Jürgen Kühling, LL.M., ist Vorsitzender der Monopolkommission und lehrt Öffentliches Recht an der Universität Regensburg;
Prof. Dr. Boris Paal. M.Jur. (Oxford) lehrt Daten, Informations- und Medienrecht an der Universität Leipzig und ist Richter am LG Hamburg.
Prof. Dr. Rolf Schwartmann lehrt Medien- und Datenschutzrecht an der TH Köln und leite dort die Kölner Forschungsstelle für Medienrecht Er ist Vorsitzender der Gesellschaft für Datenschutz und Datensicherheit (GDD) e.V.
Der Text wurde in der F.A.Z. vom 20.10.2022, S. 6 unter dem Titel „Die Ambivalenz des Datenschutzes“ erstveröffentlicht.[2]
[1] https://www.faz.net/aktuell/politik/staat-und-recht/auf-augenhoehe-18364846.html
[2] https://www.faz.net/aktuell/politik/staat-und-recht/eugh-urteil-die-ambivalenz-des-datenschutzes-es-gibt-auch-noch-andere-schutzbeduerfnisse-18398805.html
März 2018