Aktuell in CR

Datenschutz in der EU - rechtsstaatliches Monster und wissenschaftliche Hybris (D'Avis/Giesen, CR 1/2019, 24)

Seit Mai 2018 stöhnt Deutschland über die unverständlichen Datenschutzformulare, mit denen Einwilligungen aller Art von Kunden, Geschäftspartnern, Mandanten und Patienten eingeholt werden. Datenschutz, eine deutsche Erfindung, ist nun direkt geltendes EU-Recht, und deshalb nach Inhalt und Wirkung verdächtig. Wir alle wollen unsere Privatsphäre erhalten und zugleich unsere Informationsschätze sichern. Die EU nimmt aber für sich nicht weniger als die Regelung unseres gesamten sozialen Austauschs in Anspruch, sie regelt die gesamte Informationswelt. Das kann prinzipiell nicht gut gehen. Kaum ein Thema stößt auf so viel Unmut und Verständnislosigkeit wie „der Datenschutz“. Zugleich ist das Thema angstbesetzt und intellektuell überfrachtet. Der Beitrag erläutert die prinzipielle rechtliche Verirrung des totalstaatlichen Verbotsansatzes in der EU-Datenschutz-Grundverordnung (DSGVO) und plädiert für Bescheidenheit, Rationalität und Vertrauen in die Selbstregelungskraft der Gesellschaft.

Eine rechtspolitische Philippika:  Datenschutz muss sich der grundgesetzlichen Ordnung und den Ansprüchen an eine wissenschaftliche Methodik unterwerfen

Inhaltsverzeichnis:

I. Die Informationswelt

II. Totalstaatliche Regelung

III. Verbot mit Erlaubnisvorbehalt

1. Grundrechtliche Grenzen

2. Der Zweck und die Mittel

3. Mehr als nur ein Demokratiedefizit

IV. Informationelle Selbstbestimmung?

V. Verirrungen

1. Einwilligung

2. Erforderlichkeit

3. Daten-Minimierung

4. Sanktionsgefahr

5. Auskunftsansprüche

6. Recht auf "Vergessen-Werden"

7.Auftragsverarbeitung

8. Sensitive Daten

VI. Ein Blick über den Tellerrand

VII. Schlüsselbegriff "Komplexität"

1. Von der Moral zur Analyse

2. Die Person als Träger von Rechten und Pflichten

3, Merkmale der Komplexität

4. DSGVO und Komplexität

5. Über-Komplexität

6. Formel der "informationellen Selbstbestimmung"

VIII. Datenschutz und Informationsgesellschaft

1. Datenschutz als gesellschaftspolitisches Anliegen

2. Wissenschaftliche Grundlagen

3. Schlüsselqualifikationen: innovative, rationale und soziale Kompetenz

4. Grenzen der Regelbarkeit

5. Informationsgesellschaft vs. Informationstechnologiegesellschaft

---

I. Die Informationswelt

[1] Informationen ¹  sind der Rohstoff des digitalen Zeitalters. Das klingt cool, ist aber ein alter Hut. Denn schon immer ging es in der körperlichen, sozialen, geistigen und beruflich-wirtschaftlichen Entwicklung jedes Einzelnen um seinen Zugang und seinen Schatz an Informationen über sein soziales Umfeld. Allerweltswissen und Vorzugswissen, offen und heimlich erworbene Kenntnisse und Rückschlüsse über die Mitmenschen bleiben Grundlage jedes persönlichen Erfolgs. Je detaillierter die Informationen über die Verhältnisse, Erfahrungen, Absichten und Chancen der sozialen Umgebung sind, umso größer werden die eigenen Entwicklungschancen. Soziales Wohlergehen, Entfaltung der Persönlichkeit, jede Karriere wächst auf Informationserwerb und seiner klugen Nutzung. Es geht immer um den Unterschied zwischen Odysseus und Kaspar Hauser. Information ist Elixier und Fluidum allen lebendigen Miteinanders. ²

[2] Heute ist die dörfliche Sozialkontrolle von der Teilnahme an sozialen Netzwerken und von Wissensbörsen sowie von der Ausforschung digitaler Spuren abgelöst worden. Die „Großen“, wie Google, Apple, Facebook oder Amazon haben angeblich alle unsere digitalen Kometenschweife, die jede Nutzung im Netz hinterlässt, im Griff; daraus machen die Datenschützer ein Szenario der Beobachtung und des „informationellen Würgegriffs“. Sie schleudern mit Hinweis auf „1984“ ³  ihre moralischen Blitze ungezielt auf angebliche Geschäftemacher, Zauberlehrlinge und Despoten, deren Wissensschatz zur Bedrohung, zur Lenkung oder zur desaströsen Vernichtung ganzer Kulturen missbraucht werden könne, aber eben auch auf uns alle, die wir neugierig und informationsabhängig sind und das Netz weiter kostenlos nutzen wollen. In Wahrheit trifft die DSGVO die breite Bevölkerung, die tendenziell eher Opfer als Täter sein kann; sie ist Opfer der digitalen Spurenlese und wird zudem Opfer einer martialischen und bürokratischen, staatlichen Kontrollbedrohung: Das ist das Dilemma des Datenschutzes.

[3] Nun sind die digitalen Steuerungssysteme der weltweiten Wissenschaft, Wirtschaft, Versorgung und politischen Lenkung – es sind oft auch Einzelsysteme, etwa in Krankenhäusern oder Unternehmen – sicherlich sehr verletzlich und technisch oft grob fahrlässig ungesichert. Der staatliche und industrielle Aufwand, der solche Störungen ausschließen will, muss gewaltig steigen. Das geschieht in der Privatwirtschaft im eigenen Interesse und bedarf keiner staatlichen Befehle. Die Abwehr dieser Gefährdungen (Cyber-War) hat nichts mit der Wissensmacht zu tun, die den „Großen“ und uns Kleinen von den Datenschützern so übel genommen wird. Reduziert man die Clouds der Großen – sie sind beliebig verknüpfbar und auswertbar – so ergeben sie auch bei genauerem Hinsehen nicht mehr als einen persönlichen Konsumspiegel, ein Bewegungsprofil, ein durchaus interessantes Beziehungsgeflecht und daraus eine Projektionsfläche für weiteren Konsum, persönliche Verlockungen und weitere Beziehungen. Alles in Allem war das bislang harmlos und keinesfalls wirkliche Bedrohung. Das liegt an der Freiwilligkeit der Nutzung einerseits und an der Kundenorientierung der „Großen“ andererseits. Die Sensibilisierung der User ist mittlerweile doch so groß, dass informationeller Missbrauch bemerkt und nicht verziehen wird und das Aus am Markt bedeuten kann. Insoweit ist eine Selbstkontrolle wirksam und weitgehend sozial austariert.

[4] Und vergessen wir nicht: Das Netz ist ja auch ein Segen, eine Hilfe, eine neue Welt von Chancen und sogar von Bildung. Zugleich können sich daraus, würde der Kommerz die Dinge nicht auch steuern und, jedenfalls bisher, ungefährlich machen, Bedrohlichkeiten entwickeln; die Erfahrung zeigt, dass sich jeder selbst aus dieser Gefährdung heraushalten könnte, wenn er das wirklich wollte. Dieselbe Erfahrung zeigt aber auch, dass nahezu alle zustimmen, wenn ihre Daten die Gegenleistung für kleine Vorteile sein dürfen. Daten sind Geldersatz; sie ermöglichen die Teilnahme Vermögensloser am großen Informations- und Konsumvergnügen. Gegen diese Nonchalance haben die Datenschützer nichts ausgerichtet.

II. Totalstaatliche Regelung

[5] Anders ist es mit (hoffentlich nur fremden) staatlichen oder verbrecherischen politischen oder religiös-verbrämten Institutionen: Eröffnen sie sich Zugang zur großen Wolke an personenbezogenen Informationen oder den Zugriff zu den Weichteilen der Datenverarbeitungsanlagen, so geraten Konsum (insbesondere Informationskonsum), Beziehungen und Bewegungsprofile in politisch unausweichliche Kontexte, die zweifellos persönliche Einzelkontrolle über Jedermann eröffnen und deshalb zu Recht Angst machen, Persönlichkeit verwelken und nahezu grenzenlose Machtausübung real werden lassen. Distanzlosigkeit der Datenverarbeitung kann unerträglich sein. Insoweit ist staatlicher Schutz vor Staaten und Verbrechern unabdingbar.

[6] Dass allerdings die Datenschutz-Grundverordnung der EU das verhindern könne, ist ein Kinderglaube. Bei deren Instrumentarien handelt sich vielmehr um ein knallhartes soziologisches Lenkungswerkzeug. Die politische Masse Mensch wird in einer informationellen Enthaltsamkeit geübt und zur Askese an Informationen über ihresgleichen erzogen. Denn das Gesetzessystem sagt nichts anderes, als dass jede Kenntnisnahme und Nutzung von Informationen über andere Menschen einer Legitimation bedürfe: Man muss gute, also sozialstaatlich akzeptierte, gesetzliche Gründe im Sinn der DSGVO haben, um Informationen über andere Menschen zu sammeln, sprich, um sich für andere nachhaltig zu interessieren. Und man muss diese Gründe parat haben, wenn die Datenschutzbehörde das auch unverhofft und frei wie ein Raubvogel kontrolliert. Rechtssystematisch betrachtet handelt es sich um ein grundlegendes Verbot der Datenverarbeitung mit komplexen Begleitregelungen und ebenso komplexen Erlaubnisvorbehalten. Deren Einhaltung wird – so ist das System – von Staats wegen anlassfrei und bis in die letzten Winkel hinein kontrolliert; die Datenschutzkontrollbehörden dürfen ihre Erkenntnisse europaweit austauschen. Einzelheiten dürfen vom Datenschutzausschuss, dem jede demokratische Legitimation fehlt, klein-klein und einheitlich geregelt werden Anders als Staatsanwälte bedarf die Datenschutzkontrollbehörde keiner richterlichen Führung; sogar der Schutz der Berufsgeheimnisse vor staatlicher datenschutz-motivierter Kontrolle ist nach Auffassung des Bundesrates im deutschen Ausführungsgesetz zur DS GVO (BDSG neu) unzureichend geregelt. Verkehrte Welt: Das, was eigentlich verhindert werden soll – staatliche Allwissenheit durch anlassfreie Nachschau – wird den Datenschutzbeauftragten des Bundes und der Länder zur Aufgabe gemacht.

[7] Man muss froh sein, dass die Datenschutzbehörden im Vollzugsdefizit herumkrebsen; würden sie durch den Haushaltsgesetzgeber (beliebig) aufgestockt, wäre der EU-Überwachungsstaat perfekt.

III. Verbot mit Erlaubnisvorbehalt

[8] Mag sein, dass die DSGVO viele Erlaubnisse für den Umgang mit Informationen formuliert ⁴ : Aber dass der Gesetzgeber entscheiden soll und entscheiden will, ob und mit welcher Absicht ich mich im Fluidum der mir erreichbaren Informationen tummeln darf, das hat eher diktatorische Züge. Denn die Freiheit ist der Naturzustand der Menschen; zur Entfaltung jeder Persönlichkeit gehört ganz elementar der freie, voraussetzungslose Zugang zu Informationen über ihresgleichen. Die Informationsfreiheit ist ein Kern-Grundrecht für alle, auch etwa für Wissenschaftler, Künstler, Medienschaffende; dies insbesondere zu Vorzugsinformationen, zu heimlichen Informationen, zu kitzligen und interessanten Informationen; denn sie sind das Salz in der Suppe. Nur Neugier, Investigation, gelegentlich sogar Beobachtungsintransigenz führen zur Aufklärung, zu Einsicht und Format, zur intellektuellen Haltung und zur Erkenntnis des Verborgenen.

1. Grundrechtliche Grenzen

[9] Man sollte dem Einzelnen diesen Zugang nur beschneiden, wenn und soweit er – um es mit dem Grundgesetz zu sagen – „die Rechte anderer verletzt“ oder „gegen die verfassungsmäßige Ordnung oder das Sittengesetz verstößt“, Art. 2 GG. Beides, die Freiheit des Einen im Umgang mit Daten des Anderen und die Pflicht des Staates, dafür zu sorgen, dass dabei die Freiheit dieses Anderen, nämlich seine Unbefangenheit, sein Persönlichkeitsrecht, seine Privatsphäre, nicht unter die Räder kommen, resultiert gleichermaßen aus den Ur-Grundrechten, den Art. 2 und 1 des Grundgesetzes. Freiheit und Grenzen der Datenverarbeitung, Entfaltung und Innehalten, müssen in einen gesetzlichen, ausgeglichenen Zustand gebracht werden. Das ist im Einzelfall eine Kunst. Keiner darf das ungehemmte Wissensobjekt des Anderen werden, aber jeder muss sich sozialer Anschauung und dem Informationswettbewerb stellen. „Person“ kann ich nur im grundsätzlich freien sozialen Austausch werden, sein und bleiben. Und zugleich muss jede Person ihren privaten Rückzugsraum haben. Der gerechte Ausgleich dieser beiden konträren und jeden betreffenden Anliegen ist der EU nicht gelungen; sie arbeitet mit dem Rechtfertigungsdruck durch gefahrenabwehrende Totalüberwachung; sie behandelt Informationen wie spaltbares Material.

[10] Die grundrechtliche Freiheit im Umgang mit Informationen wird nicht von oben erlaubt oder geschenkt, sondern ist ein Menschenrecht, ursprünglich, kraftvoll und bedingungslos. Wir werden nicht vom Staat zur Person gemacht, sondern jeder Einzelne, die Gesellschaft, macht den Staat zu einer nur juristischen, also zerbrechlichen und zerbrechbaren Person. Die Würde des Menschen ist etwas Heiliges, der Staat nicht mal ein Homunkulus. ⁵

2. Der Zweck und die Mittel

[11] Es gibt, wie das BVerfG ⁶  feststellt, keine belanglosen Daten; erst ihr konkreter Verarbeitungszweck, ihr Verwendungskontext gibt ihnen ihre Bedeutung und kann dann Gefährdungen der personalen Würde bewirken. Deshalb ist es nahezu unmöglich, im Rechtsstaat ein Regelwerk für den Umgang mit Daten aufzustellen, erst recht kein solches, das Erlaubnisse erteilt. Denn solche Erlaubnisse müssten alles individuelle Streben, alle seine Methoden und Verwendungszusammenhänge erkennen, bewerten und regulieren. Das ist unmöglich. Nur Verbote – solche von Erhebungsmethoden und solche von Verarbeitungszwecken – können den Missbrauch zugleich wirksam und freiheitlich bekämpfen. Folglich ist der Datenschutz als Totalverbot eine staatliche Wucherung, ein Böses aus der Werkstatt des Leviathan. Darüber nachzudenken ist unser Anliegen. (...)

Hier direkt weiterlesen im  juris PartnerModul IT-Recht