Der Tag ist da. 2.312 Tage nach Vorlage des ersten Entwurfs durch die Europäische Kommission wird die Datenschutz-Grundverordnung (DS-GVO) nun wirksam.

Man könnte meinen, damit habe ein Mammutwerk seinen erfolgreichen Abschluss gefunden. Das Gegenteil ist der Fall.

Der Widerstand der einfachen Leute Datenverarbeiter wächst. Allerdings lässt nicht nur der Unmut der letzten Wochen (prominent: „Geilere Vorschriften“ von Sascha Lobo, „Datenschutz-Karikatur“ von Enno Park und „Vor wem?“ von Marina Weisband) vermuten, dass die DS-GVO zum Rohrkrepierer werden könnte. Zahllose wichtige Detailfragen und praktisch alle Grundsatzfragen sind ungelöst.

Man hört nun oft, eigentlich ändere sich doch gar nicht so viel (was falsch ist), wer sich bisher an das geltende Recht gehalten habe, habe nichts zu befürchten, und eigentlich habe man ja auch nichts gegen den Datenschutz, dieser sei ja wichtig, aber …

Doch die meisten Klagen über den bürokratischen Aufwand und das vermeintlich gut gedachte, aber schlecht gemachte Gesetz dringen nicht zum Kern des Problems vor.

Ich habe mich nun seit fast sechs Jahren intensiv mit der DS-GVO beschäftigt – zunächst aus dem Blickwinkel des Gesetzgebers, dann aus dem des Gesetzeskommentators und zuletzt vor allem aus privatem und wissenschaftlichem Interesse und kann nur verzweifelt konstatieren:

Leider ist schon das Grundkonzept verfehlt!

Das Grundkonzept reicht in die 70er Jahre des vorigen Jahrhunderts zurück. Durch die DS-GVO wird es nun vervollkommnet. Strukturdefizite und fehlende Zukunftstauglichkeit treten dadurch umso deutlicher zu Tage. Es ist die „Perfektion einer Sackgasse“ (Härting/Schneider, „Das Ende des Datenschutzes – es lebe die Privatsphäre“, CR 2015, 819 (820)), wie ich in 21 Thesen darlegen will:

1. Daten sind keine Gegenstände
2. Es geht um Informationen, nicht um Daten
3. Datenschutz soll Menschen schützen, nicht Daten
4. Noch nicht einmal der Schutzzweck ist klar
5. Die Privatsphäre ist ein wandelbares Ding
6. Prävention verhindert Missbrauch nicht
7. Daten gehören niemandem
8. Personenbezogene Daten sind kein radioaktives Material
9. Das einzelne Datum ist oft irrelevant
10. Personenbezug ist kein taugliches Differenzierungskriterium mehr
11. Keine Antwort auf die Verantwortungsdiffusion der vernetzten Welt
12. Datenverkehr ist nicht wie Straßenverkehr
13. Unaufgelöste Widersprüche zur digitalen Welt
14. Missachtung der Kommunikationsfreiheiten
15. Utopie der informationellen Selbstbestimmung
16. Paternalistisches Menschenbild
17. Aufklärung ist der Ausgang des Menschen aus seiner selbst verschuldeten Unmündigkeit
18. Der „Bäcker um die Ecke“ ist nicht Google
19. Der „Bäcker um die Ecke“ ist nicht der BND
20. Gemeinwohlnutzen kommt nicht vor
21. Hypertrophie des Datenschutzrechts

1. Daten sind keine Gegenstände

Daten!

Schon der Begriff führt in die Irre.

Daten sind der Anknüpfungspunkt für sämtliche Regelungen der DS-GVO. Bei vielen weckt der Begriff die Assoziation, Daten seien irgendwie wie körperliche Gegenstände. Und tatsächlich behandelt die DS-GVO an vielen Stellen Daten genauso – wie Gegenstände. Als könne man Daten einhegen, wegschließen und zerstören wie Gegenstände.

Daten haben aber andere Eigenschaften als körperliche Gegenstände (Zech, „Daten als Wirtschaftsgut“, CR 2015, 137 ff.). Sie verbrauchen sich nicht. Ihre Ãœbernutzung ist ausgeschlossen. Sie können beliebig vervielfältigt und von zahlreichen Personen gleichzeitig verwendet werden (nicht-rivale Nutzung). Und viele Daten (auch personenbezogene) sind faktisch allgemein zugänglich.

Anders als ein Rohstoff sind Daten kein an sich knappes Gut. Sie sind daher auch nicht das neue „Öl“ oder „Gold“.

2. Es geht um Informationen, nicht um Daten

Nach der DS-GVO sind personenbezogene Daten „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen“ (Art. 4 Nr. 1).

Daten sind also Informationen.

Man ersetze den Begriff des Datums durch den der Information und schon erscheinen einem viele Regelungen der DS-GVO fragwürdig. So schreibt die DS-GVO zum Beispiel den Grundsatz der Datenminimierung vor. Informationsminimierung als Leitprinzip? Wirklich?

Daten sind Informationen, Ideen, Wissen und Meinungen (Pombriant, „Data, Information and Knowledge“, CRi 2013, 97 ff.). Sie sind Grundlage unserer Wissensgesellschaft. Der freie Fluss von Informationen ist Teil einer auf Freiheit und Wettbewerb beruhenden Wirtschafts- und Gesellschaftsordnung. Das Wesen dieser Ordnung ist der Austausch von Ideen und Meinungen. Barrieren für den Datenaustausch widersprechen dem grundsätzlich.

3. Datenschutz soll Menschen schützen, nicht Daten

Auch der Begriff Datenschutz führt in die Irre!

Datenschutz schützt nicht die Daten, sondern den Menschen(Härting/Schneider, „Das Ende des Datenschutzes – es lebe die Privatsphäre“, CR 2015, 819 ff.).

Diesen Satz hört man zwar auch von gestandenen „Datenschützern“. Aufgrund der DS-GVO droht der Datenschutz jedoch zum Selbstzweck zu werden:

• Zu naheliegend erscheint eine solche Interpretation angesichts der Verankerung eines „Grundrechts auf Datenschutz“ in Art. 8 GRCh.
• Zu verlockend ist es für den Normgeber, politischen Entscheidungen über die Zulässigkeit konkreter Datenverwendungen auszuweichen und stattdessen lieber einen „cordon sanitaire“ um die Daten herum zu errichten.
• Zu schwierig und gefährlich ist es für den Verantwortlichen, die Prüfungsmaßstäbe für konkrete Datenverwendungen selbst zu entwickeln, so dass nur eine datenfokussierte Interpretation die Erfüllung der zahlreichen Pflichten der DS-GVO handhabbar zu machen scheint (Stichwort: Privacy-Compliance-Management-Systeme).

Die Input-Orientierung der DS-GVO lenkt von den eigentlichen Schutzzwecken ab. Hat ein Unternehmen, das monatelang an technisch-organisatorischen Maßnahmen zur Erfüllung von Informations-, Unterrichtungs-, Dokumentations-, Rechenschafts- und Nachweispflichten abarbeitet, noch im Blick, welchem Zweck die ganze Übung eigentlich dient?

4. Noch nicht einmal der Schutzzweck ist klar

Doch wen oder was schützt die DS-GVO denn dann?

Der Schutzzweck des Datenschutzrechts ist eines der großen Mysterien des Datenschutzrechts.

Von deutschen Datenschützern wird das Schutzgut meist in der informationellen Selbstbestimmung gesehen. Nach anderer Auffassung dient das Datenschutzrecht dem Schutz der Privatsphäre. Wieder andere stellen den instrumentellen Charakter des Datenschutzes im Vorfeld des Schutzes anderer Freiheitsrechte („Risikovorsorge“) in den Vordergrund. Wieder andere sehen den Schutz der Privatsphäre als ein untergeordnetes, wenn nicht gar überholtes Schutzziel an und sehen den Zweck des Datenschutzrechts vor allem in der Abwehr von Überwachung. Wieder anderen geht es vor allem um die Bekämpfung von Machtasymmetrien zwischen Organisationen (Staat, Unternehmen, Dienstleister) und Individuen (Bürger, Kunde, Patient, Klient).

Und was sagen die bisherigen Rechtsgrundlagen? Sie sind ebenso heterogen. Demnach schützt das Datenschutzrecht …

• das Recht auf Datenschutz (EU-Grundrechtecharta, AEUV, einige Landesverfassungen),
• das allgemeine Persönlichkeitsrecht (BDSG a.F., einige Landesdatenschutzgesetze),
• das Recht auf informationelle Selbstbestimmung (BVerfG, einige Landesverfassungen und -datenschutzgesetze),
• das Recht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme (BVerfG),
• das Recht auf Achtung des Privatlebens (EU-Grundrechtecharta, EMRK),
• das Recht auf Privatsphäre (DS-RL 95/46, Europaratskonvention 108, OECD),
• alle Grundrechte und Grundfreiheiten (DS-RL 95/46),
• die e-privacy.

Man könnte erwarten, dass diese Unklarheit durch die DS-GVO beseitigt würde. Doch ist dies nicht der Fall. Die DS-GVO schützt schlicht „die Grundrechte und Grundfreiheiten natürlicher Personen“ (Art. 1 Abs. 2). Das ist ein denkbar weiter Schutzbereich. Damit wird die DS-GVO zur eierlegenden Wollmilchsau.

Die Ungewissheit über das Schutzgut kann auch nicht dahinstehen. Denn dem Verantwortlichen fehlen Maßstäbe, wie die Grundrechts- und Interessenkonflikte aufzulösen sind, die bei den zahlreichen Interessenabwägungen (z.B. Art. 6 Abs. 1 lit. f), Kompatibilitätsprüfungen (z.B. Art. 6 Abs. 4), Erforderlichkeitsprüfungen (z.B. Art. 17 Abs. 3 lit. a) und Risikoabschätzungen (z.B. Art. 24 Abs. 1) entstehen.

Es macht einen enormen Unterschied, ob es bei einer Datenverarbeitung um die Kontrolle über die „eigenen“ Daten, die Privatsphäre, die Diskriminierungsfreiheit, die Freiheit von Fremdbestimmung, die Datenqualität, die Verhinderung von Reputationsverlusten oder um die Bekämpfung von Machtstrukturen geht.

Die Weite des Schutzbereichs kann beim Datenverarbeiter nur zur Überforderung und beim Betroffenen nur zu Enttäuschungen führen.

Die Ungewissheit über das Schutzgut des Datenschutzrechts steht in umgekehrt proportionalem Verhältnis zur Präskriptivität der datenschutzrechtlichen Pflichten. Erklärlich ist dies damit, dass die Unsicherheit über das eigentlich Gewollte durch eine Scheinsicherheit in Bezug auf die präventiv zu ergreifenden technischen und organisatorischen Maßnahmen ausgeglichen werden soll.

5. Die Privatsphäre ist ein wandelbares Ding

Hauptzweck des Datenschutzes dürfte immer noch der Schutz der Privatsphäre sein (Härting/Schneider, „Das Ende des Datenschutzes – es lebe die Privatsphäre“, CR 2015, 819 (820)). Die Privatsphäre sichert Kreativität, Individualität, Meinungsvielfalt und ist Baustein unserer Demokratie.

Die Privatsphäre ist allerdings nicht naturrechtlich vorgegeben.

Was unter Privatsphäre zu verstehen ist, ist umstritten. Die Vorstellung von Privatsphäre, wie wir sie kennen, hat sich ohnehin erst in den vergangenen 150 Jahren entwickelt (sehr anschaulich The Birth and Death of Privacy: 3,000 Years of History told through 46 Images). Sie ist eine schwer zu fassende Idee aus Verhaltensweisen, Erwartungen, gesellschaftlichen Konventionen und individuellen Neigungen. Was wir unter „privat“ verstehen, ist ständigen gesellschaftlichen Wandlungen unterworfen. Privatheit verhält sich relativ zu den Bedürfnissen der jeweiligen Menschen, aber auch relativ zu Ort und Zeit. Zwar gibt es ein wohl instinktives Bedürfnis der Menschen nach Privatsphäre. Dieses konkurriert aber oft mit dem Bedürfnis nach Bequemlichkeit und Wohlstand. Es gibt daher nicht die Privatsphäre.

Grundrechtlich ist dem Recht auf Privatsphäre die negative Freiheit, allein gelassen zu werden, und die positive Freiheit zur Selbstbestimmung zuzuordnen. Nach der Sphärentheorie der Rechtsprechung gibt es einen gestuften Schutzbedarf. Am strengsten geschützt ist die Intimsphäre, weniger streng die Privatsphäre, noch weniger die Sozialsphäre und die berufliche Sozialphäre, schließlich die Öffentlichkeitssphäre. Personen des öffentlichen Lebens genießen weniger Schutz.

Durch die Digitalisierung verschieben sich die Grenzen zwischen Öffentlichem und Privatem. Was früher den Raum des Öffentlichen nie erreicht hat, wird heute freiwillig preisgegeben. Daneben gibt es neue Formen der Verschränkung von Öffentlichem und Privatem, z.B. über verschieden weit definierte Adressatenkreise einer Kommunikation. Insgesamt scheint die technologische Entwicklung den Raum, innerhalb dessen wir unbeobachtet sind, zu verringern.

Diese gesellschaftlichen Verschiebungen berücksichtigt die DS-GVO nicht. Nicht jedes personenbezogene Datum ist auch eine private Information. Wir brauchen einen normativen Rahmen, der ein Schutzniveau je nach dem Grad der Betroffenheit im Verhältnis zum sozialen Kontext ermöglicht.

6. Prävention verhindert Missbrauch nicht

Das gesamte Datenschutzrecht ist von der Furcht vor dem möglichen Missbrauch der Daten durchzogen. Deshalb glaubt man, mit einer Vielzahl präventiver Schutzpflichten auch den Missbrauch eindämmen zu können. Von Lewinski bezeichnet dies treffend als „Vorfeldschutz-Kaskade“.

Schon der Generalverdacht, unter den man jeden Datenverarbeiter stellt, ist wenig verarbeitungsfreundlich.

Prävention dieser Art verhindert darüber hinaus den Missbrauch durch böswillige Akteure nicht. Die theoretische Missbrauchsmöglichkeit darf nicht zur Begründung eines extensiven Präventionsrechts werden. Sonst müsste man auch von jedem Messerbesitzer eine Zuverlässigkeitsprüfung verlangen.

Die Furcht, dass grundsätzlich jeder, der über Daten verfügt, diese in illegitimer Weise verwenden wird, ist auch unbegründet. Es braucht einen ökonomischen Anreiz für die extensive Datennutzung. Und dieser besteht – jenseits des strafrechtlich relevanten Bereichs – auch nur, wenn es anerkennungswürdige Geschäftsmodelle gibt. Die Entwicklung solcher Geschäftsmodelle ist teuer. Und kein Unternehmen kann dauerhaft Geschäftsmodelle betreiben, für die keinerlei gesellschaftliche Akzeptanz besteht.

Der in der DS-GVO verankerte risikobasierte Ansatz könnte dahingehend weiterentwickelt werden, dass das Datenschutzrecht nur noch dort Anwendung findet, wo eine über das allgemeine Lebensrisiko hinausgehende konkrete Gefährdungslage ersichtlich ist. Konkrete Risiken sind zum Beispiel dort am größten, wo jemand über Daten verfügt, mit denen er Macht über andere ausüben kann. Dies ist sektorspezifisch zu untersuchen und bei staatlichen Sicherheitsbehörden, privaten Banken oder Kreditauskunfteien eher anzunehmen als beim Blogger, Hobbyfotografen oder Sportverein.

7. Daten gehören niemandem

„Meine“ Daten!

Auch die weit verbreitete Fehlannahme, Daten könnten einem „gehören“, führt in die Irre. Daten sind nicht eigentumsfähig (Dorner, „Big Data und ‚Dateneigentum'“, CR 2014,617 ff.). Sowohl das BVerfG als auch der EuGH haben sich gegen eine absolute Datenherrschaft des Betroffenen ausgesprochen.

Es kann zwar sein, dass eine bestimmte Information nur aus einer einzigen Quelle zu beziehen ist oder dass Daten gelöscht, geändert oder unzugänglich gemacht werden, um ihre Nutzung anderen vorzuenthalten oder ganz unmöglich zu machen (rivale Nutzung).Dem kann auch ein berechtigtes Geheimhaltungsinteresse eines Einzelnen zugrunde liegen.

Die DS-GVO unterstellt demgegenüber bei Vorhandensein eines Personenbezugs immer auch ein grundsätzlich schutzwürdiges Interesse des Betroffenen, diese Daten für sich zu behalten. Neue Rechtsinstitute wie „Privacy by design“ und „Privacy by default“ legen sogar einen generellen Vorrang des Abschottungsinteresses gegenüber dem Verarbeitungsinteresse gesetzlich fest.

8. Personenbezogene Daten sind kein radioaktives Material

Leitend für das Datenschutzrecht ist das Verbotsprinzip. Dieses besagt, dass die Verarbeitung personenbezogener Daten grundsätzlich verboten ist, es sei denn ein Erlaubnistatbestand liegt vor.

Begründet wird dieser Ansatz mit dem Verdikt des BVerfG, dass es unter den Bedingungen der automatischen Datenverarbeitung kein „belangloses“ Datum mehr gebe. Daraus wird abgeleitet, dass alle personenbezogenen Daten gleichermaßen schutzwürdig seien.

In der Folge dieser Auffassung haben viele Datenschützer eine Grundeinstellung entwickelt, die es ihnen verbietet, die Verarbeitung eines personenbezogenen Datums überhaupt jemals als risikolos oder gar als wünschenswert anzusehen.

Das entwertet auch den risikobasierten Ansatz – eine der wenigen echten Neuerungen der DS-GVO. Die Grundidee des risikobasierten Ansatzes war, den Verantwortlichen von datenschutzrechtlichen Pflichten freizustellen, wenn die Datenverarbeitung für den Betroffenen weniger riskant ist. Wenn aber jedes Datum gleichermaßen schutzwürdig ist, kann es keine risikolosen Datenverarbeitungen geben.

Auch die symbolische Bedeutung des Verbotsprinzips ist nicht zu unterschätzen. Von ihm geht das (aus Sicht der Apologeten des Datenschutzrechts gewünschte) Signal aus, dass die Verarbeitung personenbezogener Daten eigentlich als gesellschaftlich unerwünschtes Verhalten anzusehen ist.

9. Das einzelne Datum ist oft irrelevant

Die DS-GVO stellt auf das einzelne Datum ab. Kennzeichen von Big Data und algorithmischen Analyseverfahren ist aber, dass es gar nicht mehr um die Verarbeitung einzelner Daten geht, sondern dass gigantische Mengen von Daten akkumuliert, korreliert, kontextualisiert und rekontextualisiert werden. Die Input-Fixiertheit der DS-GVO verhindert eine politische Auseinandersetzung über die Frage, welche konkreten Datenverwendungen zulässig sein sollen und welche verboten werden sollen.

10. Personenbezug ist kein taugliches Differenzierungskriterium mehr

Eine einzige Frage entscheidet über die Anwendung des vollen Rechtsregimes der DS-GVO:

Ist ein Datum personenbeziehbar oder nicht?

Nach dem Paradigma des Datenschutzrechts löst die Einstufung eines Datums als „personenbezogen“ also besonderen Schutzbedarf aus. Dabei wird der Begriff der Personenbeziehbarkeit von der Rechtsprechung derart weit ausgelegt, dass es kaum noch nicht-personenbeziehbare Daten gibt. Verschärft wird die Abgrenzungsproblematik noch durch die These, aufgrund der vielfältigen Kombinationsmöglichkeiten gäbe es ohnehin kaum noch anonyme Daten – mit der Folge, dass fast alle Daten als zumindest personenbeziehbare Daten anzusehen sind.

Werden Daten hingegen als „nicht-personenbezogen“ eingestuft, unterliegen sie lediglich der faktischen „Datenherrschaft“ und vertragsrechtlichen Bindungen (Zech, „Daten als Wirtschaftsgut“ – Ãœberlegungen zu einem „Recht des Datenerzeugers“, CR 2015, 137 ff.).

Diese extrem holzschnittartige Weichenstellung wird den höchst unterschiedlichen Schutzinteressen bei der Datenverarbeitung nicht gerecht.

Dies zeigt sich zum Beispiel daran, dass Daten, die allgemein zugänglich sind (etwa im Internet oder in öffentlichen Registern), denselben strengen Regeln unterworfen werden wie alle anderen personenbeziehbaren Daten. Meinungs- und Informationsfreiheit leiden darunter erheblich.

Zum anderen löst das Datenschutzrecht durch die Außerachtlassung nicht-personenbezogener Daten auch nicht die Diskriminierungsprobleme, die die Verarbeitung nicht-personenbezogener Daten aufgrund kollektiver Wirkungen hervorrufen kann.

11. Keine Antwort auf die Verantwortungsdiffusion der vernetzten Welt

Die DS-GVO geht immer noch vom ursprünglichen Normalfall einer Datenverarbeitung durch einen Verantwortlichen in einer zentralen, lokalen Datenverarbeitungsanlage aus.

Kennzeichen der Datenverarbeitung in der digitalen Welt ist aber die Vernetzung („ubiquitous computing“) und das Zusammenwirken vieler Akteure in komplexen Netzwerken. Die Datenverarbeitung ist selbstverständlich grenzüberschreitend und der Speicherort kann oft nicht mehr lokalisiert werden.

Zukunftsweisende regulatorische Ansätze müssten die Schwierigkeiten der Zuordnung von Verantwortlichkeiten im Internet der Dinge, beim Cloud Computing, in der Blockchain, auf Plattformen und in sozialen Netzwerken bewältigen.

Die DS-GVO bietet hierfür die Rechtsinstitute der Auftragsverarbeitung und der „Joint Controllership“ an, die aber völlig unzureichend sind. Nicht einmal für Internetveröffentlichungen auf sozialen Netzwerken bieten sie eine Lösung: wer ein personenbezogenes Datum im Internet veröffentlicht, begeht eine Drittstaatenübermittlung in 166 Länder dieser Welt. Die Anforderungen der Art. 44 ff. DS-GVO kann dabei niemand einhalten.

12. Datenverkehr ist nicht wie Straßenverkehr

Immer wieder liest man, im Straßenverkehr gebe es doch auch jede Menge Geschwindigkeitsbegrenzungen und Ge- und Verbotsschilder. Darüber hinaus müsse man sogar einen Führerschein machen, um am Straßenverkehr teilnehmen zu dürfen. Warum solle der Datenverkehr weniger streng reguliert sein als der Straßenverkehr?

Nun, der Datenverkehr wird durch die DS-GVO strenger reguliert als der Straßenverkehr. Fußgänger und Radfahrer dürfen am Straßenverkehr teilnehmen, ohne irgendwelche Präventivpflichten erfüllen zu müssen.

Wäre die DS-GVO eine Straßenverkehrsordnung müsste jeder Verkehrsteilnehmer jederzeit gegenüber der Verkehrsbehörde in der Lage sein darzulegen, dass er zu jedem Zeitpunkt alle Verkehrsregeln beachtet hat. Der Aufschrei über eine solche Totalüberwachung durch die Straßenverkehrsbehörden wäre zu Recht groß. Unbedenklichkeitsbescheinigungen müsste der Verkehrsteilnehmer darüber hinaus nicht nur gegenüber Behörden, sondern gegenüber allen Verkehrsteilnehmern erbringen, die ihm begegnen.

13. Unaufgelöste Widersprüche zur digitalen Welt

Erscheinungsformen digitalen Lebens stehen in einem derart offensichtlichen Widerspruch zu den Grundsätzen des Datenschutzrechts, dass man es eigentlich nur als Realitätsverweigerung bezeichnen kann, dass diese Widersprüche einfach so hingenommen werden.

• „Big Data“, „Algorithmen“ und „Künstliche Intelligenz“ sind umso besser, je größer die ihnen für die Analyse zur Verfügung stehende Datenmenge ist. Dort gilt: je mehr Daten, desto besser.
• Der datenschutzrechtliche Grundsatz der Datenminimierung geht vom genauen Gegenteil aus. Dort gilt: je weniger personenbezogene Daten, desto besser.

Kennzeichen digitaler Datenverarbeitung ist, dass sich die verarbeiteten Daten aus heterogenen Quellen (strukturierte Quellen wie Register; unstrukturierte Quellen wie Texte, Audio- und Videodaten; Datenströme aus Sensormessungen, usw.) speisen. Diese Daten sind oft von unterschiedlicher Qualität und Richtigkeit. Auf hundertprozentige Richtigkeit des Ausgangsmaterials kommt es oft nicht an, denn das Ergebnis der Datenanalysen ist vielfach keine naturwissenschaftliche Kausalität, sondern gibt nur statistische Korrelationen an. Das Datenschutzrecht geht hingegen vom Grundsatz der Datenrichtigkeit aus.

Kennzeichen digitaler Datenverarbeitung ist, dass Daten oft zu Zwecken verarbeitet werden, die bei der ursprünglichen Datenerhebung noch nicht vorhergesehen wurden. Oft werden durch algorithmische Verfahren Korrelationen entdeckt, die auch für den Datenverarbeiter nicht vorhersehbar waren. Dieses Wesensmerkmal der Datenverarbeitung steht offensichtlich im Widerspruch zum datenschutzrechtlichen Grundsatz der Zweckbindung.

14. Missachtung der Kommunikationsfreiheiten

Jede Information setzt einen Schöpfer/Sender und einen Rezipienten/Empfänger voraus. Wird Information nicht wahrgenommen, ist es keine Information. Ein „Datum“ kann nie nur einem Einzelnen zugerechnet werden. Es ist Teil einer Verbindung, einer sozialen Konnexität. Jede Information ist vielmehr Kommunikation. Ist Information aber etwas Soziales, Gemeinschaftliches, kommen wir mit der Idee der Selbstbestimmung auf der Ebene der Informationsbeteiligten nicht weiter.

Die individuelle Kommunikation im Internet beruht auf automatisierter Verarbeitung von Daten. Sie ist durch die Kommunikationsfreiheiten (Meinungsfreiheit, Pressefreiheit, Informationsfreiheit) in besonderer Weise geschützt. Jede abstrakt-generelle Datenregulierung ist daher auch eine Kommunikationsregulierung im Internet (Masing) und damit eine Regelung sozialer Beziehungen.

Die DS-GVO missachtet die Kommunikationsfreiheiten in vielfältiger Weise. So muss sich eine Rechtsgrundlage in der DS-GVO suchen, wer unter Verwendung personenbezogener Daten zu kommunikativen Zwecken von der Meinungs-, Presse-, Informations-, Kunst- oder Wissenschaftsfreiheit Gebrauch machen will.

Selbst wenn man die Meinungsfreiheit (oder ein anderes Grundrecht) zur Begründung eines überwiegenden berechtigten Interesses im Sinne von Art. 6 Abs. 1 lit. f DS-GVO heranzöge, ist es doch verfassungsrechtlich bedenklich, dass die Inanspruchnahme der Kommunikationsfreiheiten überhaupt unter Erlaubnisvorbehalt zunächst verboten ist und dass man vor jeder Meinungsäußerung eine (möglichst dokumentierte) Interessenabwägung vorzunehmen hat.

Doch bedarf es nach DS-GVO nicht nur einer Rechtsgrundlage. Jeder datenschutzrechtliche Verantwortliche muss auch sämtliche Informations-, Unterrichtungs-, Sicherstellungs-, Nachweis-, Dokumentationspflichten und sonstigen Begleitpflichten der DS-GVO erfüllen. Die Nutzung des Internets zu privaten Zwecken ist hiervon (jedenfalls bei Zugrundelegung der „Lindqvist“-Entscheidung des EuGH) nicht ausgenommen. Nähme man den Pflichtenkanon der DS-GVO auch in diesem Bereich ernst, hätte dies für die Kommunikationsfreiheiten einen erdrosselnden Effekt.

15. Utopie der informationellen Selbstbestimmung

In welcher Welt leben eigentlich Menschen, die behaupten, dass Individuen die Kontrolle über ihre persönlichen Daten ausüben könnten? Dies war zu keinem Zeitpunkt der Menschheitsgeschichte möglich. In digitalen Kontexten ist es erst recht naiv anzunehmen, der Einzelne habe eine realistische Möglichkeit, die Verarbeitung auf ihn bezogener Informationen zu kontrollieren.

Gleichwohl gilt immer noch der Glaubenssatz des BVerfG:

„Wer das Wissen möglicher Kommunikationspartner nicht einigermaßen einzuschätzen vermag, kann in seiner Freiheit wesentlich gehemmt werden.“

Jeder frage sich, wie umfassend das Wissen über das Wissen der eigenen Kommunikationspartner in der Regel ist und ob er dadurch in seiner Freiheit gehemmt wird.

16. Paternalistisches Menschenbild

Das Menschenbild, das der These von der Gehemmtheit (infolge von Einschüchterungseffekten, den sogenannten „chilling effects“) zugrunde liegt, ist das eines risikoscheuen Menschen, nicht das eines mutigen Freiheitskämpfers.

Zwingend ist es nicht, ein solches Menschenbild zum Leitbild der gesamten Informationsgesetzgebung zu machen. Es gibt auch das Leitbild des mündigen, aufgeklärten Bürgers, der seine Freiheiten selbstbewusst wahrnimmt.

Der DS-GVO liegen hingegen paternalistische Regelungskonzepte (inklusive des sog. „Nudging“) zugrunde, die den Bürger bei der Wahrnehmung seiner Rechte bevormunden.

Nicht berücksichtigt wurde dabei, dass sich die individuelle und gesellschaftliche Einschätzung über Konsequenzen der Öffentlichkeit in nur wenigen Jahren bereits massiv geändert hat:

• Internetnutzer entscheiden bewusst auf der Basis unsicherer Annahmen und nach Wahrscheinlichkeitsmaßstäben über ihr Publikum („Freunde“, „Freunde von Freunden“, „Öffentlich“).
• Neben die Vorstellung von Sphären mit gestuftem Schutzbedarf tritt die Vorstellung von kontextueller Integrität.
• Selbstbestimmtes Handeln ist auch ohne umfassende Kenntnis, wer was über mich weiß, eher die Regel als die Ausnahme. Wir wissen auch nicht, wie ein Kernkraftwerk, ein Kraftfahrzeug oder ein Kühlschrank funktioniert und wir müssen dies auch nicht wissen. Nichtwissen/Unwissenheit sind die gleichberechtigten Gegenbegriffe der informationellen Selbstbestimmung.

17. Aufklärung ist der Ausgang des Menschen aus seiner selbst verschuldeten Unmündigkeit

Damit der Bürger auch in der digitalen Welt selbstverantwortlich handeln kann, sind digitale Bildung und Aufklärung („Medienkompetenz“) erforderlich.

Und Transparenz. Aber Transparenz ist kein Selbstzweck. Zu viel Transparenz kann schaden, wenn sie zum „information overflow“ führt. Transparenz an der falschen Stelle kann schaden, wenn in sie unerfüllbare Hoffnungen gesetzt werden.

Selbstverständlich darf der Betroffene in Bezug auf seine Privatsphäre nicht schutzlos gestellt werden.

Doch genauso wie der Einzelne befähigt werden muss, fundierte und begründete Entscheidungen selbst zu treffen, muss die Realität anerkannt werden, dass der Einzelne in bestimmten Lebensbereichen und -situationen aufgrund von Ressourcenknappheit, fehlender Zeit und fehlender Spezialisierung uninformierte Entscheidungen trifft.

18. Der „Bäcker um die Ecke“ ist nicht Google

Die DS-GVO enthält für den Datenverarbeiter 68 Pflichten. Nicht jeder Verarbeiter muss alle Pflichten erfüllen. Doch die meisten dieser Pflichten gelten unabhängig vom Verarbeitungskontext, vom Verarbeitungszweck, von der Unternehmensgröße und von der Zahl der verarbeiteten Daten.

Nach einer weit verbreiteten Auffassung ist die annähernde Erfüllung all dieser Pflichten nur durch die Installation eines Privacy-Compliance-Management-Systems möglich. Dieses sei angesichts der Anforderungen der DS-GVO aber auch erforderlich.

Unternehmen bestimmter Branchen (wie etwa Banken) sind die Erfüllung von aufwändigen Compliance-Anforderungen gewöhnt. IT-Unternehmen (wie etwa Google, Facebook, Microsoft, Amazon oder SAP) sind selbstverständlich technisch in der Lage, ihre Verarbeitungsprozesse den neuen Anforderungen anzupassen. Manche von ihnen scheinen die Gelegenheit zu nutzen, um noch effizienter zu werden. Nur große Unternehmen können Heerscharen von Beratern und Rechtsanwälten bezahlen, um dem komplexen Regelwerk der DS-GVO halbwegs gerecht zu werden.

Nur etablierte Unternehmen bekommen darüber hinaus auch weiterhin die Einwilligung, deren Voraussetzungen durch die DS-GVO weiter verschärft wurden.

Der Vorsprung der Großen zu den Kleinen wird dadurch noch größer werden. Die DS-GVO wird zu weiteren Konzentrationsbewegungen hin zu etablierten Plattformen führen.

Insgesamt sind kleine Internet-User mit eigenen Webauftritten und KMU als die wahrscheinlichen Kollateralschäden der DS-GVO anzusehen.

19. Der „Bäcker um die Ecke“ ist nicht der BND

Das Datenschutzrecht war ursprünglich als Abwehrrecht gegen staatliche Eingriffe konzipiert. Gleichwohl gilt die DS-GVO grundsätzlich unabhängig davon, ob es sich beim Datenverarbeiter um eine Behörde oder um eine nicht-öffentliche Stelle handelt. Es wird dabei verkannt, dass Grundrechte zwischen Privaten keine unmittelbare Wirkung entfalten (vgl. Art. 51 Abs. 1 GRCh).

Zwar kann wirtschaftliche oder soziale Macht eines Privaten zu Grundrechtsgefährdungen führen, die ein besonderes Bedürfnis nach Schutz der personalen Freiheit entstehen lassen. Dies kann die mittelbare Grundrechtsbindung der handelnden Privatperson derart verstärken, dass sie der unmittelbaren Grundrechtsbindung des Staates nahe kommt. Eine solche Gefährdungslage wird vor allem angesichts der Informationsmacht bestimmter Internetunternehmen, aber auch von Versicherungen, Kreditauskunfteien, usw. angenommen.

Die DS-GVO differenziert aber gerade nicht danach, ob eine solche informationelle Asymmetrie zwischen den Privatrechtssubjekten vorliegt. Sie verlangt grundsätzlich von allen Datenverarbeitern die Erfüllung derselben Präventivpflichten.

Es ist eine hemmungslose Überforderung von Privatpersonen und auch von vielen Unternehmen, diesen dieselben Rechtfertigungsanforderungen aufzuerlegen, die ursprünglich für die staatliche Datenverarbeitung konzipiert wurden.

20. Gemeinwohlnutzen kommt nicht vor

Die Analyse von Daten bringt neue Erkenntnisse und neues Wissen hervor, die der Gesellschaft in unterschiedlichen Lebensbereichen und zu verschiedenen Zwecken Nutzen bringen. Datenverarbeitung ist darüber hinaus auch Grundlage legitimer Geschäftsmodelle.

Der Nutzen der Datenverarbeitung kommt in der DS-GVO als eigenständiges Kriterium (etwa im Rahmen von Interessenabwägungen oder Risikoprüfungen) nicht vor.

Zwar sind Datenverarbeitungen im öffentlichen Interesse zulässig. Dies bezieht sich aber in der Regel nur auf Datenverarbeitungen durch öffentliche Stellen. Voraussetzung ist darüber hinaus, dass das öffentliche Interesse zuvor gesetzlich definiert wurde.

Bei der Datenverarbeitung durch Private kann ein etwaiger Gemeinwohlnutzen zwar beim „berechtigten Interesse“ des Verantwortlichen und bei den Zwecken der Verarbeitung irgendwie untergebracht werden. Eine ausdrückliche Begünstigung gemeinwohldienlicher Datenverarbeitungen kennt die DS-GVO aber nicht. Genausowenig gibt es bislang in der Rechtsprechung eine entsprechende Kasuistik.

Das Risiko wird zum alleinigen Gradmesser für digitales Engagement und nicht die Innovation.

21. Hypertrophie des Datenschutzrechts

Als „Hypertrophie“ bezeichnet man in der Medizin die Vergrößerung eines Gewebes oder Organs durch Zellvergrößerung bzw. Zunahme des Zellvolumens. Der erste Bundesbeauftragte für den Datenschutz, Hans-Peter Bull, hat diesen Begriff in treffender Weise auf die Entwicklung des Datenschutzrechts übertragen. Mit der DS-GVO hypertrophiert das Datenschutzrecht weiter durch:

• mehr Informationspflichten,
• kleinteiligere Informationspflichten,
• neue Betroffenenrechte,
• Erweiterungen bestehender Betroffenenrechte,
• weniger Ausnahmen von den Betroffenenrechten,
• eine neue Rechenschaftspflicht,
• mehr Nachweispflichten,
• kleinteiligere Dokumentationspflichten,
• zahlreiche Interessenabwägungen,
• aufwändigere Risikofolgenabschätzungen,

Die Vielzahl und Kleinteiligkeit dieser Pflichten führt zu einer Überregulierung weiter Bereiche des Wirtschafts- und Privatlebens. Zu viele und zu komplizierte präskriptive Einzelpflichten und die abzuarbeitenden Checklisten verleiten Verantwortliche bestenfalls dazu, blindlings einem Regelwerk folgen, im zweitbesten Fall, sich eine Feigenblatt-Argumentation zurechtzulegen, und schlimmstenfalls, schlicht ignorant zu bleiben.

Es ist ein Irrglaube, durch mehr Regeln könne rechtstreues Verhalten sichergestellt werden. Zu viele Pflichten bergen die Gefahr, dass diese Pflichten in der Praxis nicht beachtet werden („Weniger-ist-mehr“-Paradoxon).

Eine strukturelle Nichtbeachtung des Rechts führt dazu, dass die Autorität und Legitimität des Rechts insgesamt untergraben wird. Am Ende könnte die DS-GVO zu einem Zombie werden: sie scheint zu leben, weil menschliche Compliance-Roboter die Papierarbeit erledigen, die formale Regeleinhaltung aber den eigentlich beabsichtigten Schutzeffekt verfehlt.

—

Zur vertiefenden Lektüre empfohlen: Veil, „Die Datenschutz-Grundverordnung: des Kaisers neue Kleider – Der gefährliche Irrweg des alten wie des neuen Datenschutzrechts“, NVwZ 2018, 686 ff.