Das geltende Datenschutzrecht basiert auf dem Verbotsprinzip. Jede Form der Verarbeitung personenbezogener Daten bedarf einer Legitimation durch eine Einwilligung der Betroffenen oder durch eine gesetzliche Erlaubnisnorm. Diese Regelung folgt den Prinzipien staatlicher Eingriffsverwaltung: Wenn der Staat Daten seiner Bürger verarbeitet, greift er in Grundrechte ein (informationelle Selbstbestimmung). Kein Grundrechtseingriff ohne Gesetz.

Daten als Rohstoff

Was bei der staatlichen Datenverarbeitung recht ist, ist bei der privaten Datenverarbeitung noch lange nicht billig. Daten sind im 21. Jahrhundert der Rohstoff der Kommunikation und der wirtschaftlichen Entfaltungsfreiheit. Das starre Verbot der Datenverarbeitung (mit Erlaubnisvorbehalt) kommt daher einem Kommikations- und Entfaltungsverbot gleich. Da das Verbotsprinzip Grundrechtskonflikte nicht angemessen lösen kann, ist im heutigen Datenschutzrecht eine Schieflage zu beobachten, die den Personenbezug zu Lasten des Sozialbezugs überbetont. „Meine Daten gehören mir“ – Dieser Satz, den unlängst die Bundesjustizministerin erneut verwendete (als Ãœberschrift eines NJW-Edidtorials) ist und bleibt falsch. Daten sind kein Eigentum, sondern (auch) ein „Abbild sozialer Realität“. Dies hat das BVerfG bereits im Volkszählungsurteil betont [BVerfG, Urt. v. 15.12.1983 – 1 BvR 209/83 (u.a.), BVerfGE 65, 1 ff., Gliederungspunkt C.II.1.b) = Rz. 150] – nicht ahnend, dass nicht nur leibhaftige Ministerinnen dies fast 30 Jahre später immer noch übersehen.

Die Brüsseler Vorschläge zum EU-Datenschutz enttäuschen unter anderem dadurch, dass sie das starre Verbotsprinzip zementieren möchten. Man hätte sich doch neuartige, flexible und innovativ-differenzierende Regulierungsansätze gewünscht.

Herausforderung für das geltende Recht

Solange es die zuletzt auch von der Bundesregierung (Antwort der Bundesregierung zur „Reform des EU-Datenschutzrechts“ v. 10.8.2012, Bundestag-Ds. 17/10452) geforderten Differenzierungen nicht gibt, gilt es, im geltenden Recht die (wenigen) Ausnahmebereiche weit auszulegen, um in Fällen „alltäglicher“ Datenverarbeitung begründen zu können, weshalb das Datenschutzrecht unanwendbar ist. Dies heißt vor allem, dass das geltende Recht dazu herausfordert, den Personenbezug bei IP-Adressen zu leugnen oder die Ausnahmen für die „persönliche“ oder „familiäre“ Datenverarbeitung weit auszulegen. Dies obwohl sich kaum bestreiten lässt, dass beispielsweise eine Profilbildung bzw. ein „Tracking“ Persönlichkeitsrechte beeinträchtigen können, und es auch keinen Grund gibt, weshalb es bei einem „privaten“ Verarbeiter persönlicher Daten nicht erforderlich sein soll, der Datenverarbeitung zum Schutz von Persönlichkeitsrechten Grenzen zu setzen.

Anforderungen an künftiges Datenschutzrecht

Ein modernes Datenschutzrecht würde das Verbotsprinzip abschaffen und zugleich anerkennen, dass unter den Gegebenheiten der heutigen Informations- und Kommunikationstechnologie eine Datenverarbeitung ohne Personenbezug kaum vorstellbar ist und Persönlichkeitsrechte gegenüber dem kommerziellen Anbieter ebenso zu schützen sind wie gegenüber dem privaten Blogger.

So sehr man einen europäischen „One Stop Shop“ begrüßen mag, der „One Stop Shop“ darf nicht länger dem Grundsatz „One Size Fits All“ folgen. Differenzierte Lösungen haben der Kollege Prof. Dr. Jochen Schneider und ich vorgeschlagen (Alternativentwurf, EU-Datenschutz-GVO, Fassung August 2012). Nur wenn man das geltende Recht – anders als von Brüssel bislang beabsichtigt – von Grund auf erneuert, werden sich ermüdende und sinnleere Auslegungsfragen um Begriffe wie die des „Personenbezugs“ und der „Privatheit“ einer Datenverarbeitung erübrigen.