Kurzbeitrag : Persönlichkeitsschutz durch Datenschutz : aus der RDV 4/2014, Seite 196 bis 200
Die GroKo weiß nicht so recht, ob sie handeln soll oder nicht. Im Koalitionsvertrag heißt es recht deutungsoffen: „Beschäftigtendatenschutz gesetzlich regeln: Die Verhandlungen zur Europäischen Datenschutzgrundverordnung verfolgen wir mit dem Ziel, unser nationales Datenschutzniveau – auch bei der grenzüberschreitenden Datenverarbeitung – zu erhalten und über das Europäische Niveau hinausgehende Standards zu ermöglichen. Sollte mit einem Abschluss der Verhandlungen über die Europäische Datenschutzgrundverordnung nicht in angemessener Zeit gerechnet werden können, wollen wir hiernach eine nationale Regelung zum Beschäftigtendatenschutz schaffen“. Bei aller Unsicherheit künftiger Entwicklung ist es gut und richtig, dass das Thema gesetzgeberisch wieder auf der Tagungsordnung ist. Datenschutz ist Persönlichkeitsschutz, und als solcher ist er ernst zu nehmen.
I. Datenschutz als Forderung unserer Verfassung
Es hat einige Zeit gedauert, bis der Datenschutz verfassungsrechtliche Verankerung gefunden hat. Das ursprünglich durch die zivilrechtliche Rechtsprechung entwickelte allgemeine Persönlichkeitsrecht ist mittlerweile auch im Verfassungsrecht lex regia zur Abwehr von diversen Formen der Beeinträchtigung der Privatsphäre, die sich keinem anderen spezifischen Freiheitsrecht zuordnen lassen. Es ergänzt – in den Worten des Bundesverfassungsgerichts – „als unbenanntes Freiheitsrecht die speziellen (‚benannten‘) Freiheitsrechte“ und schützt allgemein die „engere persönliche Lebenssphäre und die Erhaltung ihrer Grundbedingungen […], die sich durch die traditionellen konkreten Freiheitsgarantien nicht abschließend erfassen lassen“[1]. Die für das Datenschutzrecht wichtigste Ausprägung des allgemeinen Persönlichkeitsrechts ist das Recht auf informationelle Selbstbestimmung. Dieses Recht, durch das grundlegende Volkszählungsurteil des Bundesverfassungsgerichts entdeckt, entspricht – wiederum in den Worten des Gerichts – am ehesten einem „Grundrecht auf Datenschutz“, denn es schützt ganz allgemein „die Befugnis des Einzelnen, grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen“[2]. Die freie Entfaltung der Persönlichkeit setzt daher den Schutz des Einzelnen gegen unbegrenzte Erhebung, Speicherung, Verwendung und Weitergabe seiner persönlichen Daten voraus. Jeder Bürger müsse grundsätzlich darüber verfügen können, „wer was wann und bei welcher Gelegenheit“ über ihn weiß.
II. Status quo und aktuelle Herausforderungen
Dieser verfassungsrechtliche Rahmen braucht, um wirksam zu werden, gesetzliche Konkretisierung. Wichtigstes Instrument ist seit 1977 das Bundesdatenschutzgesetz. Dessen Ziel bestimmt sein § 1:
„Zweck dieses Gesetzes ist es, den Einzelnen davor zu schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird.“
Daran hat sich bis heute nichts geändert. Doch sind die Anwendungsfälle andere und ungleich mehr geworden als ehedem. Die Welt hat sich verändert. Big Data, Facebook, Google und andere Datengefahren 2.0 waren damals unbekannt. Datenskandale bei Lidl und Co beunruhigten noch nicht den Verbraucher, Vorratsdatenspeicherung stellte noch keine Verunsicherung breiter Bevölkerungskreise dar, Prism und Tempora zeigten noch nicht, wie sehr die Gefährdung heute international verstanden – und bewältigt – werden muss. Zu Recht ist die öffentliche Aufmerksamkeit größer geworden, die Sensibilisierung durch die Medien intensiver. Denn die Konfliktfelder des Datenschutzes sind weiter denn je; der letzte (24.) Zweijahresbericht des Bundesdatenschutzbeauftragten umfasste 264 Seiten (gegenüber 71 Seiten im Jahr 1979)[3].
Um diese neuen Herausforderungen zu meistern, um wirksamer Schutz gegen informationelle Fremdbestimmung zu sein, muss der rechtliche Rahmen immer wieder an die sich wandelnde Wirklichkeit angepasst werden. Ein Aggiornamento ist kontinuierlich erforderlich, damit sich das Recht nicht den Zeiten entfremdet, in seiner Starrheit geeignetes Instrument nur für Probleme ist, die zwischenzeitlich längst gelöst, aber unwirksames Schild gegen Gefahren, die neu entstanden sind. Diese Aufgabe liegt nicht nur in der Hand der Gesetzgebung, die allein den allgemeinen Rahmen vorgeben kann, sondern auch der Gerichte und Aufsichtsbehörden, welche die allgemeinen Vorgaben zu praktischen Leitlinien für den Einzelfall verdichten. Sie liegt nicht nur in der Hand der nationalen Instanzen, sondern auch und gerade der europäischen.
In diesem Prozess müssen sich die Akteure an Leitlinien orientieren, die Ziele vorgeben und Wege dahin beschreiben. Sie sind namentlich aus der verfassungsrechtlichen Notwendigkeit des Datenschutzes heraus zu entwickeln. Hierdurch wird er gerechtfertigt, hieran ist er zu messen.
Da ist zunächst die Notwendigkeit regulativer Transparenz. Datenschutz braucht klare Regeln. Die Ge- und Verbote des Datenschutzrechts müssen klar gefasst sein, damit sich Bürger und Unternehmen danach richten können. Was nicht verstanden wird oder dunkel spricht wie der Mund der Pythia, kann keine verhaltenssteuernde Wirkung entfalten. Hierzu steht es im strukturellen Widerspruch, dass die Grundnormen des Datenschutzrechts ausfüllungsbedürfige Generalklauseln sind, die ohne Ansehung leer sind. Das Gesetz spricht von „Verhältnismäßigkeit“, „angemessenen Zwecken“ und „erforderlichen Mitteln“. Wann aber eine Datenverarbeitung erforderlich ist, wann den Interessen der verantwortlichen Stelle angemessen Rechnung getragen wird und wann umgekehrt die Interessen des Betroffenen im hinreichenden Verhältnis berücksichtigt werden – all dies kann im einzelnen Anwendungsfall oftmals nur schwer gesagt werden. Letztlich sind es inkommensurable Größen, die sich gegenüberstehen: Das Persönlichkeitsinteresse des Betroffenen auf der einen, die wirtschaftlichen Interessen der datenverarbeitenden Stelle auf der anderen Seite. Hier ist es gut, wenn der Gesetzgeber selber typisierend den Interessenausgleich in Fallgruppen vorzeichnet, gesondert nach problematischen und weniger problematischen Fällen.
In diesen Versuchen sind zuletzt Fortschritte ausgeblieben. Doch der Entwurf einer europäischen Datenschutz-Grundverordnung, durch die Kommission bereits 2012 auf den Weg gebracht, scheint nun doch noch voranzugehen[4]. Der ursprüngliche Entwurf wurde – nicht ohne intensive Bearbeitung der Lobbyisten, aber auch aufgrund der unterschiedlichen Grundkonzeption datenschutzrechtlicher Vorstellungen in den verschiedenen Mitgliedsstaaten – mit Änderungsanträgen überhäuft, so dass zum Schluss deren Zahl unüberschaubar war: Mehrere hundert waren es ohne Zweifel, ob es mehr als die zwischenzeitlich festgestellten 3000 Anträge sind, vermag letztlich wohl niemand zu sagen. Dass nun der gordische Knoten gelöst worden zu sein scheint und das Dickicht gelichtet, ist ermutigend. Nicht nur die Bürger und Verbraucher, sondern auch die datenverarbeitenden Unternehmen und verantwortlichen Stellen sind auf ein deutungssicheres Datenschutzrecht angewiesen. Grauzonen zu verkleinern dient der Effizienz und Effektivität nicht nur des Persönlichkeitsschutzes, sondern auch wirtschaftlichen Handelns. So ist denn auch der Ansatz einer Verordnung, die anders als das europäische Richtlinienrecht nicht umgesetzt werden muss, sondern direkt im Verhältnis unter den Bürgern wirkt, zu begrüßen. Landesspezifische Besonderheiten etwa zum Schutz der Presse oder im Arbeitsund Sozialrecht können durch Öffnungsklauseln aufgefangen werden. Durch das einheitliche europäische Recht würde das Handeln der Aufsichtsbehörden vereinheitlicht – auch dies gibt Rechtssicherheit.
Gestrandet waren demgegenüber nationale Gesetzesinitiativen. Der Entwurf eines novellierten Beschäftigtendatenschutzes wurde in der letzten Legislaturperiode so oft überarbeitet, bis er zum Schluss von niemandem befürwortet wurde. Das war ärgerlich, denn diese letzten Regelungen waren zukunftsweisend und ein angemessener Ausgleich zwischen Arbeitgeberund Arbeitnehmerinteressen[5]. Es sprach für die Ausgewogenheit der Regelung, dass sowohl Arbeitgeberverbände als auch Gewerkschaften in ihrer Ablehnung einmütig waren, freilich aus ganz unterschiedlicher Perspektive. Die einen sahen hierin eine unerträgliche Verschlechterung des Beschäftigtendatenschutzes, die anderen einen unangemessen weiten Ausbau. Die Regelungen jedoch waren kein weniger oder kein mehr im Datenschutz, sondern nur klarer und damit besser. Die geheime Videoüberwachung von Arbeitnehmern wurde gänzlich verboten, der Datenaustausch im Konzern auf eine rechtssichere Grundlage gestellt. Die Trennlinie zwischen Telekommunikationsgesetz und Bundesdatenschutzgesetz, das die Kontrolle von E-Mails und Internet bei Verdacht auf Straftaten regelt, wäre für die Praxis verlässlich gezogen worden. Aus dem zur Zeit einen Paragraphen des Beschäftigtendatenschutzes wurden 14. Mag hier auch einiges redundant gewesen sein, so führten die verschiedenen Einzelnormen doch sehr viel klarer als bislang vor Augen, was der Gesetzgeber als zulässig oder unzulässig wertet. Fehler des damaligen Entwurfs können nun vermieden werden: Handwerklich kann er sauberer gemacht werden, den Betriebspartnern kann mehr Souveränität in der Ausgestaltung zugebilligt werden.
In einem neuen Anlauf wird der Gesetzgeber an einen zweiten Punkt denken müssen: Effektives Datenschutzrecht braucht effektive Sanktionen. Ein Recht, das nur höflich an den guten Willen der Normunterworfenen appelliert, bleibt ein stumpfes Schwert. Nun sind Sanktionen über die Ordnungswidrigkeit bis zur Strafbarkeit bereits im Gesetz vorhanden, doch fehlt oftmals die praktische Durchsetzbarkeit. Der Schadensersatzanspruch scheitert daran, dass unsicher ist, inwieweit und unter welchen Voraussetzungen Schäden, die keine Vermögensschäden darstellen, durch Geld ersetzbar sind. Dies aber sind die typischen Schäden bei Datenpannen. Auf Entblößung lässt sich kein Preisschild kleben, und der Richter, der es doch tun muss, schreitet im Nebel bloßer Intuition. Die Sanktionen der Ordnungswidrigkeit und der Strafbarkeit aber, die unabhängig von der Klage des Betroffenen greifen können, bedürfen der Durchsetzung durch staatliche Organe. Hier fehlen oft die personellen Ressourcen. So bleibt das Datenschutzrecht ein Recht, das solche Unternehmen bindet, die wegen ihrer Größe unter öffentlicher Beobachtung stehen, und das reichlich Raum bietet für kleinere Unternehmen, unter der hehren Schwelle hindurch zu schlüpfen.
Aber richtig ist auch: In dieser Weiterentwicklung des Datenschutzrechts sind seine bewährten Grundstrukturen beizubehalten. Datenverarbeitung ist unzulässig, wo sie durch das Gesetz nicht ausdrücklich zugelassen ist. Bestandteil dieses Grundsystems eines Verbotes mit Erlaubnisvorbehalt ist auch die Möglichkeit, eine Datenverarbeitung durch die Einwilligung des Betroffenen zu rechtfertigen. Das ist ganz und gar richtig, besinnt man sich der Grundlage des Datenschutzrechts: Es kann gerade Ausdruck des Persönlichkeitsrechts sein, wenn der Betroffene seine Daten freigibt – sei es aus mangelndem Interesse, sei es aus der Überzeugung, dass die Datenverarbeitung nützt oder zumindest doch nicht schadet. Diese Souveränität muss er behalten können. Dies liegt nicht allein daran, dass solche Einwilligungen etablierter Bestandteil der datenschutzrechtlichen Praxis sind. Vielmehr darf der Datenschutz nicht gegen den geschützt werden, der durch den Datenschutz geschützt wird. Diesen Ansatz verfolgen jetzt aber der Koalitionsvertrag – und ebenso der Kommissions-Entwurf für eine Datenschutz-Grundverordnung, die dem Arbeitnehmer diese Mündigkeit über seine Daten absprechen[6]. Das kann nicht richtig sein. Schon heute lässt das Datenschutzrecht als Einwilligung nicht jedes eilig dahergeredete Meinetwegen genügen, sondern verlangt die schriftliche, nach Information gegebene und jederzeit widerrufbare Erklärung des Arbeitnehmers, die freiwillig in ihrer Erteilung und in ihrem Widerruf sein muss. Diese Freiwilligkeit ist zukünftig stärker zu schützen. Es sind prozedurale Sicherungsinstrumente hilfreich, dem Arbeitnehmer und jedem sonstigen Betroffenen den Umfang seiner Datenpreisgabe zu offenbaren. Hilfreich kann es sein, dass der Betroffene schriftlich belehrt werden muss über den Umfang und den spezifischen Zweck des erbetenen Einverständnisses; hilfreich wäre es, wenn dieses erst nach einer bestimmten Frist der Überlegung wirksam würde; hilfreich wäre es, wenn eine Einverständniserklärung zwingend einer separaten Unterschrift gegenüber anderen vertraglichen Erklärungen bedürfte. Dies ist bisher weder durch das Gesetz, noch durch Rechtsprechung, noch durch Aufsichtsbehörden hinreichend deutlich festgeschrieben. Dem Gesetzgeber würde eine systemstimmige Weiterentwicklung gut zu Gesichte stehen. Eine Einwilligung wäre dann tatsächlich Grundrechtsausübung durch Grundrechtsverzicht, die nach allgemeiner Dogmatik stets zulässig ist, sobald sie tatsächlich freiwillig und selbstbestimmt erfolgt und nicht in den Kernbereich privater Lebensgestaltung eingreift. Auch letzteres wäre als Schranke der Einwilligung zu beachten, doch dürfte es in den wenigsten Fällen des Datenschutzes praktisch werden. Ansonsten aber gilt: Der Datenschutz ist nicht zu schützen gegen den, der durch den Datenschutz geschützt werden soll.[7]
Weil nun Datenschutz die Selbstbestimmung ernst nehmen muss, weil er aus ihrem Schutz heraus zu begründen ist, sind weitergehend ganz generell bestehende Regelungen daraufhin zu hinterfragen, ob sie den Betroffenen mündig genug machen, zum einen über seine Daten zu verfügen, zum anderen Datenverstöße wirksam geltend machen zu können. Hierzu sind Informationspflichten geeignete Instrumente. Auch diese sind bereits im Gesetz vorhanden, doch können sie erweitert, klarer gefasst und effektiviert werden. Oftmals vollzieht sich der Datenmissbrauch im Verborgenen (Prism), und die bereits aktuell gegebene Offenbarungspflicht der Datenpanne wird oftmals nicht befolgt. Vorschläge zur Weiterentwicklung liegen auf dem Tisch. Die Politik braucht sie nur aufzugreifen.
Zuletzt das wohl wichtigste Petitum: Datenschutz braucht gesellschaftliche Verankerung und Akzeptanz. Voraussetzung dieser Akzeptanz ist auf der einen Seite das Bewusstsein, dass jede gesetzgeberische Regelung im Datenschutz eine zwar freiheitssichernde im Hinblick auf den Betroffenen, jedoch zugleich freiheitsbeschränkende Maßnahme im Hinblick auf den Datenverarbeitenden ist. Sie bedarf daher einer Rechtfertigung – rechtlich wie politisch. Erforderlich ist daher ein Datenschutz mit Augenmaß, dem stets bewusst ist, dass jedes Mehr an Regelung mit einem hinreichenden Schutzziel aufgewogen werden muss. Dies mag auch mutige Entscheidungen gegen den Strom erfordern. Dies gilt im Großen wie im Kleinen. Vorratsdatenspeicherung dient der Verhinderung und Verfolgung schwerer Straftaten. Dafür soll sie genutzt werden, und nur dafür muss sie genutzt werden können. Dass dabei europarechtliche Regelungen durch eine handlungsunfähige Regierungskoalition nicht nachvollzogen werden, ist beschämend. Wer hier national den einmal gefundenen europäischen Konsens aufkündigen will, der kann dies nur durch Überzeugung der europäischen Partner, nicht aber durch europarechtswidrige Untätigkeit tun. Nachdem der Europäische Gerichtshof nun Schweden am 30. Mai vergangenen Jahres wegen Untätigkeit zu einer Strafe von 3 Millionen € verurteilt hat[8], sollte dies genug Anlass für den deutschen Gesetzgeber sein, zu handeln.
Neben diesen Konflikten im Staat/Bürger-Verhältnis muss der Datenschutz auch im privaten Bereich Augenmaß bewahren: Für die Wirtschaft ist Datenschutz mit Bürokratiekosten verbunden, nicht umsonst ist der Lobbyistenansturm bei der Reform des EU-Datenschutzes so intensiv. Eine „lex google“ kann nicht in gleichem Maße für den Handwerksbetrieb von nebenan gelten. Auch ist das Bedürfnis einer vereinfachten Regelung des Datenaustauschs im Konzern ernst zu nehmen. Die Politik hat – auch außerhalb des Beschäftigtendatenschutzes – die Aufgabe, praxisnahe und gleichzeitig den Betroffenen effektiv schützende Regelungen zu finden, wie der Datentransfer innerhalb einer Unternehmensgruppe rechtmäßig gestaltet werden kann. Momentan lavieren – auch große – Unternehmen oftmals getarnt in der Vagheit einer Grauzone, die rechtliche Unsicherheiten ausnutzt und hofft, dass dort kein Richter, wo kein Kläger ist.
III. Ein Schritt weiter: Datenbewusstsein als Voraussetzung des Datenschutzes
Auf der anderen Seite – nicht weniger wichtig – ist, Datenschutz in das Bewusstsein der Betroffenen zu bringen. Eine Generation, die in digitaler Entblößung auf Facebook und Co. aufwächst, wird oftmals das intuitive Gefühl dafür verloren haben, dass allzu viel Offenherzigkeit mit Freiheitseinschränkungen und Verlust an Privatsphäre einhergeht. Viele Schulen gehen beispielhaft voran und vermitteln Nutzerkompetenz im Internet in datenschutzrechtlicher Hinsicht. Solche Initiativen sind zu fördern und zu verbindlichen Bestandteilen der Curricula zu machen. In gleicher Verantwortung stehen die Unternehmen, die eine Kultur der Datenvermeidung und Datensparsamkeit in ihrem Betrieb fördern können. Einige haben dabei aus vergangenen Pannen und Skandalen gelernt. Wenn Datenschutzbeiräte errichtet werden, die Konzerndatenbeauftragte bei der Überwachung von Standards in den Unternehmen unterstützen, dann dient das langfristig nicht nur den betroffenen Arbeitnehmern, sondern auch dem Unternehmen und seiner Reputation. Denn Datenschutz durchsetzen kann auch der Kunde und Konsument; ihm steht es frei, bei Unternehmen mit allzu laschem Datenschutz nicht mehr zu kaufen. Datenschutz muss nicht nur als Begrenzung von Compliance verstanden werden, sondern auch als ihr Gegenstand. Unternehmen müssen nicht nur darauf achten, dass Gesetz und selbstgesetzte Regeln eingehalten werden, sondern auch darauf, dass bei Überwachung der Gesetzeseinhaltung der Datenschutz eingehalten werden muss. Ergänzend können sie durch den Gesetzgeber zur Datensparsamkeit und Datenvermeidung gezwungen werden, indem sinnvolle Instrumente wie Pseudonymisierung und Anonymisierung gestärkt werden.
All dies gibt die Richtung vor, wie die Person künftig effektiver geschützt und Freiheit gesichert werden kann. Das Bedürfnis nach Persönlichkeitsschutz ist gesellschaftlich wach wie ehedem. Es ernst zu nehmen, dient nicht nur dem Einzelnen, sondern der Gesellschaft als Ganzes. Das Ziel ist klar, jeder Schritt auf dem Weg dorthin ist verdienstvoll.
* Impulsreferat gehalten auf dem von der Gesellschaft für Europäische Sozialpolitik und der Gesellschaft für Datenschutz und Datensicherheit veranstalteten Diskussionsforum „Datenschutz – Was tun? Aktuelle Herausforderungen aus Europa – Vorhaben des Koalitionsvertrags“ am 04.06.2014 in Berlin. Die Vortragsform wurde beibehalten.
** Der Autor ist Institutsdirektor und Hochschulprofessor am Institut für Arbeitsrecht und Recht der Sozialen Sicherheit der Universität Bonn.
[1] Bundesverfassungsgericht v. 3.6.1980 – 1 BvR 185/77, BVerfGE 54, 148 (153).
[2] Bundesverfassungsgericht v. 15.12.1983 – 1 BvR 209/83, 1 BvR 269/83, 1 BvR 362/83, 1 BvR 420/83, 1 BvR 440/83, 1 BvR 484/83 –, BVerfGE 65, 1-71.
[3] Für das Jahr 1979 siehe http://www.bfdi.bund.de/SharedDocs/Publikationen/Taetigkeitsberichte/TB_BfDI/02TB_79.pdf?__blob=publication File, für die Jahre 2011 und 2012 siehe http://www.bfdi.bund.de/SharedDocs/Publikationen/Taetigkeitsberichte/TB_BfDI/24TB_2011_2012.pdf?__blob=publicationFile.
[4] Vgl. Mitteilung des Datenschutzbeauftragten v. 22.10.2013, abrufbar unter http://www.datenschutzbeauftragter-info.de/libe-ausschuss-bestaetigt-gesetzentwurf-zur-eu-datenschutz-grundverordnung/; ausführlich hierzu Wybitul/Fladung, EU-Datenschutz-Grundverordnung – Überblick und arbeitsrechtliche Betrachtung des Entwurfs, Betriebs-Berater 2012, 509.
[5] Hierzu Thüsing, Neue Zeitschrift für Arbeitsrecht 2009, 865.
[6] KOM (2012) 11 endgültig.
[7] Ausführlich Thüsing, Neue Zeitschrift für Arbeitsrecht 2009, 865.
[8] Europäischer Gerichtshof v. 30.5.2013 – Rs.-C 270/11.