Deutschlands härteste Tür: Die Doppeltür!

Spontanreplik auf “Corona ohne Doppeltür” von Niko Härting

Gastwirte müssen seit Wochen die Kontaktdaten ihrer Gäste sammeln und den Gesundheitsbehörden zwecks Kontaktnachverfolgung zur Verfügung stellen. Niko Härting meint in „Corona ohne Doppeltür“, diese Pflicht sei verfassungswidrig. Einer der Gründe dafür sei, dass die Regelungen den Anforderungen des vom BVerfG entwickelten Doppeltür-Prinzips nicht genügten. Diese Begründung verdient nähere Betrachtung – nicht nur, weil aus der Doppeltür-Theorie gesetzgeberischer Regelungsbedarf abgeleitet wird (siehe etwa BMG, Entwurf des Digitale-Versorgung-Gesetzes, S. 84), sondern vor allem, weil die konsequente Anwendung der Doppeltür-Theorie weitreichende Folgen für die gesamte staatliche Datenverarbeitung hätte.

1. Muss jedes Datum durch die Doppeltür?

Die Türen: Nach der Rechtsprechung des BVerfG dürfen Behörden auf private Datensammlungen nur zugreifen, wenn die Daten durch eine Doppeltür gegangen sind:

Erste Tür: Datenübermittlung der auskunfterteilenden Stelle (Privatperson)
Zweite Tür: Datenabruf der auskunftsuchenden Stelle (Behörde)

Die Türsteher: Bildlich gesprochen, müssen im Fall der „Coronalisten“ die Daten zunächst durch die erste Tür die Gastwirtschaft verlassen, um sodann durch die zweite Tür in das Gesundheitsamt einzutreten. An der Ausgangs- und an der Eingangstür stehen laut BVerfG jeweils vier Türsteher, die die eingängigen Namen „Ermächtigungsgrundlage„, „Normenklarheit„, „Normenbestimmtheit“ und „Verhältnismäßigkeit“ tragen.

Das hat Folgen: Hatte bislang das Berghain Deutschlands härteste Tür vorzuweisen, dürfte es mittlerweile leichter sein, ins Berghain zu gelangen, als durch die Doppeltür des BVerfG.

Anwendbarkeit der Doppeltür? Auch Niko Härting meint, diese Rechtsprechung sei streng und kompliziert, und deutet an, dass man sie kritisch sehen könne. Ungeachtet einer möglichen Kritik an der Rechtsprechung stellt sich zuvor jedoch die Frage, ob die Doppeltür-Rechtsprechung überhaupt auf den Fall der „Coronalisten“ und darüber hinaus auf jegliche Form staatlicher Datenverarbeitung oder die Verarbeitung von Gesundheitsdaten übertragbar ist.

2. Doppeltür bei „Coronalisten“?

Wortlaut & Fallgruppen: Zugegebenermaßen formuliert das BVerfG sehr allgemein, wenn es sein Doppeltür-Modell bei der „Regelung eines Datenaustauschs zur staatlichen Aufgabenwahrnehmung“ angewendet sehen will (BVerfG, Beschl. v. 27.5.2020 – 1 BvR 1873/13 und 1 BvR 2618/13, Rz. 93). Allerdings ist zu berücksichtigen, dass die diesbezüglichen Entscheidungen des BVerfG im Zusammenhang mit einer für Telekommunikationsdiensteanbieter umfassend angeordneten Datenspeicherung (nennen wir sie vereinfachend „Vorratsdatenspeicherung“, VDS) ergangen sind.

Risikograd für Grundrechte: Hierbei lässt sich ein ganz anderes (höheres) Risiko für die Rechte und Freiheiten des Einzelnen konstatieren als bei den „Coronalisten“ von Gastwirten:

Umfang der Speicherung:
Bei der VDS werden alle Kommunikationsdaten eines Nutzers bei einem Telekommunikationsdiensteanbieter gespeichert; bei den „Coronalisten“ sind es nur Name, Kontaktdaten sowie Zeit und Ort eines einzelnen Gaststättenbesuchs.
Ort der Speicherung:
Bei der VDS werden alle Kommunikationsdaten des Nutzers zentral bei seinem Anbieter gespeichert; bei den „Coronalisten“ findet eine dezentrale Speicherung bei Hunderttausenden verschiedenen Gastwirten statt.
Zweck der Speicherung:
Bei der VDS geht es um bei der Erbringung des Dienstes anfallende Daten, die „anlasslos“ für noch nicht vorhersehbare Zwecke gespeichert werden sollen; bei den „Coronalisten“ ist der konkrete Zweck (Kontaktnachverfolgung im Falle einer COVID-Infektion) von vornherein klar.

Konsequenz: Angesichts dieser sachlichen Unterschiede ist es bereits fraglich, ob das BVerfG seine aus einem völlig anderen Verarbeitungskontext stammenden Maßstäbe auch auf andere Lebenssachverhalte wie die „Coronalisten“ übertragen würde.

3. Doppeltür bei Gefahrenabwehr und Strafverfolgung?

Die Anwendung der Doppeltür-Anforderungen auf alle Formen des Datenaustauschs zwischen Privaten und Behörden oder auch nur bei Gesundheitsdaten hätte jedenfalls weitreichende Konsequenzen für die gesamte behördliche Datenverarbeitung:

Befugnisnorm des BDSG: So erlaubt zum Beispiel § 24 Abs. 1 Nr. 1 BDSG die Weitergabe von Daten durch Private an öffentliche Stellen, soweit dies zur Gefahrenabwehr oder zur Straftatenverfolgung erforderlich ist (und sofern nicht die Interessen des Betroffenen überwiegen). Niko Härting meint, diese Norm werde den strengen Maßstäben des BVerfG nicht gerecht. Doch wenn diese Norm schon in dem relativ klar bestimmten und vorhersehbaren Fall der Corona-Kontaktnachverfolgung zu unbestimmt sein soll, in welchen Fällen staatlicher Gefahrenabwehr oder Straftatenverfolgung kann sie dann überhaupt Anwendung finden?

Wesen einer Generalklausel: Eine generalklauselartige Befugnisnorm wie diese hätte wohl unter dem Doppeltür-Verdikt des BVerfG keinen Anwendungsbereich mehr, denn selbstverständlich

begrenzt eine Generalklausel nicht auf bestimmte Verwendungszwecke,
legt eine Generalklausel keine differenzierten tatbestandlichen Eingriffsschwellen fest,
trifft eine Generalklausel keine Folgeregelungen für die Gewährleistung der Zweckbindung,

denn sonst wäre es ja keine Generalklausel mit Auffangfunktion.

Befugnisnormen für Polizei & Sicherheitsbehörden: Doch auch die Generalklauseln, die Polizei und Sicherheitsbehörden zur Gefahrenabwehr und Straftatenverfolgung ermächtigen, könnten wohl nicht mehr angewendet werden, sofern sie mit einer Datenerhebung beim Betroffenen zusammenhängen. So kann die Polizei nach den Landespolizeigesetzen bislang personenbezogene Daten erheben, wenn dies zur Gefahrenabwehr, zum Schutz privater Rechte, zur Vollzugshilfe oder zur Erfüllung ihr durch andere Rechtsvorschriften übertragener Aufgaben erforderlich ist (vgl. etwa Art. 32 BayPAG). Natürlich gibt es auch darüber hinausgehende spezialgesetzliche Datenverarbeitungsbefugnisse. Aber die polizeiliche Arbeit ist zu vielfältig und zu unvorhersehbar, um sich komplett in das Schema des Doppeltür-Modells des BVerfG pressen zu lassen.

Befugnisnormen für Ermittlungsbehörden: Gleiches gilt für die Befugnisse der Ermittlungsbehörden nach der StPO. Auch eine Regelung wie § 94 StPO (Sicherstellung und Beschlagnahme von Gegenständen zu Beweiszwecken) wird – sofern es um Gegenstände geht, die personenbezogene Daten enthalten – nicht den Anforderungen des Doppeltür-Modells gerecht.

4. Doppeltür bei jeglichem Datenaustausch zwischen Privaten und Behörden?

Schließlich wären nicht nur Polizei und Sicherheitsbehörden von einer flächendeckenden Anwendung des Doppeltür-Modells betroffen:

Staatlich angeordnete Aufbewahrungspflichten sind überhaupt nichts Ungewöhnliches. Hunzinger (Löschkonzepte nach der DSGVO am Beispiel von ERP-Lösch-Systemen, in: CR 2018, 357, 359) kommt bei kursorischer Prüfung auf rund 50 verschiedene Aufbewahrungspflichten, zum Beispiel:

Die Technische Universität Ilmenau hat in einer anderen Übersicht 393 verschiedene Aufbewahrungspflichten identifiziert.

Ohne Doppeltür: In all diesen Bereichen wären die Datensammlungen gänzlich der Nutzung durch staatliche Behörden entzogen, wenn nicht für jeden Einzelfall eine spezifische Übermittlungsbefugnis und eine spezifische Abrufbefugnis gesetzlich angeordnet wäre.

Steuerrechtliche Pflichten: Dasselbe gilt etwa im Steuerrecht für die Auskunftspflicht (§ 93 AO) oder die Pflicht zur Vorlage von Urkunden (§ 97 AO). Auch diese Normen dürften kaum den Anforderungen des Doppeltür-Modells gerecht werden.

5. Kennt die EU die Doppeltür?

Schließlich hat die gesamte Problematik auch noch eine unionsrechtliche Dimension:

Harmonisierung im Datenschutz: Zwar sind der öffentliche Bereich im Allgemeinen und die Bereiche Polizei und Justiz im Besonderen durch die DSGVO (siehe insbesondere Art. 6 Abs. 3 DSGVO) und die Datenschutz-Richtlinie 2016/680 bei weitem nicht vollständig harmonisiert, sondern im Gegenteil nur richtlinienartig reguliert.

Staatliche Aufgabe & Befugnis: Es besteht jedoch ein bemerkenswerter Widerspruch zwischen dem in Deutschland vorherrschenden äußerst kleinteiligen Verständnis staatlicher Befugnisnormen und dem in weiten Teilen der EU und auch bei der Europäischen Kommission vorherrschenden Verständnis, dass es für die staatliche Datenverarbeitung nur einer Aufgabenzuweisungsnorm bedürfe. Erlaubt ist dann alles, was für die Aufgabenerledigung erforderlich ist (in diesem Sinne eindeutig Art. 6 Abs. 3 Satz 2 DSGVO und wohl auch EuGH, Urt. v. 1.10.2015 – C-201/14) – ein in Deutschland undenkbarer Schluss von der Aufgabe auf die Befugnis!

6. Fazit

Im Fall der „Coronalisten“ ist eine Anwendung des Doppeltür-Modells des BVerfG tatsächlich eine unnötige Förmelei.

Sinn und Zweck der Corona-VDS-Regelungen ist die Speicherung von Daten, die erforderlichenfalls der Kontaktnachverfolgung dienen sollen, die wiederum durch die Gesundheitsbehörde zu organisieren ist. Warum sollte in zwei verschiedenen Befugnisnormen quasi dasselbe (Speicherung/Übermittlung durch Gastwirt und Abruf/Empfang durch Gesundheitsbehörde) geregelt sein müssen?

Grenzen des Doppeltür-Modells: Doch die datenschutzrechtliche Problematik weist weit über die aktuelle Auseinandersetzung hinaus. Das Doppeltür-Modell ist die konsequente Fortführung der Idee, jeden einzelnen Verarbeitungsschritt während des gesamten sogenannten „Lebenszyklus“ personenbezogener Daten zu kontrollieren. Diese Idee ist naiv und vermessen zugleich, wie jeder, der ehrlich ist, auf Grundlage der Erfahrungen im eigenen Büroalltag zugeben müsste. Sie führt noch dazu zu einem ungeheuren bürokratischen Aufwand sowohl für die Privatperson als auch für die öffentliche Stelle, denn jeder gesetzlich vorgeschriebene Verarbeitungsschritt ist informationspflichtig und muss nachweisbar dokumentiert werden. Gegenüber der staatlichen Aufgabenerfüllung lässt sich die Idee hingegen sehr gut als Verhinderungsinstrument missbrauchen.

Ein grundrechtlicher Nutzen steht dem auch nicht gegenüber: Ist eine Datenübermittlung unter grundrechtlichen Gesichtspunkten nicht ausgeschlossen, warum müssen dann dieselben Zulässigkeitsvoraussetzungen in zwei analoge Befugnisnormen geschrieben werden?

Schöne-Tür-Design: Das letzte Wort über Anwendungsbereich und Reichweite des Doppeltür-Modells des BVerfG für den Datenaustausch zwischen Privaten und Behörden dürfte noch lange nicht gesprochen sein. Es wäre sinnvoller, sich auf die tatsächliche Verhinderung missbilligter Datenverwendungen als auf das Design schöner Türen zu konzentrieren.

CR-online.de Blog