3.6 Das Recht des Datenschutzes
Das Recht, das versucht, die vom hier dargestellten und rekonzeptionalisierten Datenschutz adressierten individuellen und gesellschaftlichen Probleme zu lösen, lässt sich nicht nur in dem Rechtsbereich verorten, der explizit als Datenschutzrecht bezeichnet wird. Dieser Bereich umfasst die einschlägigen Grundrechte, vor allem das Recht auf informationelle Selbstbestimmung als Ausprägung des allgemeinen Persönlichkeitsrechts, das BDSG zur Regelung des Umgangs mit personenbezogenen Informationen durch private Stellen sowie öffentliche Stellen des Bundes, die Landesdatenschutzgesetze für öffentliche Stellen der Länder und die bereichsspezifischen Datenschutzregelungen in einzelnen Fachgesetzen, aber auch die neue EU-DSGVO. Rechtliche Regelungen zum Datenschutz im hier verstandenen Sinne finden sich aber eben auch in vielen anderen Gesetzen, die informationell begründete oder verstärkte Machtpositionen adressieren.
Dazu gehören etwa die Informationsfreiheitsgesetze des Bundes und der Länder sowie die Transparenzregelungen verschiedener Fachgesetze, parlamentarische Auskunfts- und Untersuchungsrechte, die Monopolverhinderungs- oder -beschränkungsregelungen im Medien- und Telekommunikationsbereich aber auch das Verbot aggressiver geschäftlicher Handlungen nach § 4a UWG, etwa durch eine „die Fähigkeit des Verbrauchers oder sonstigen Marktteilnehmers zu einer informierten Entscheidung wesentlich einschränk[enden]“ Technikgestaltung unter Ausnutzung einer „Machtposition gegenüber dem Verbraucher oder sonstigen Marktteilnehmer“. Eine umfassende Darstellung dieses gesamten Rechts des Datenschutzes würde den Rahmen der vorliegenden Arbeit sprengen und muss daher an anderer Stelle geschehen. Das gilt selbst für eine umfassende Darstellung des Verhältnisses zwischen Datenschutz und Datenschutzrecht.
Nachfolgend soll daher in aller gebotenen Kürze das für die Technikgestaltung relevante Verhältnis zwischen dem hier beschriebenen Datenschutz und dem geltenden Datenschutzrecht, das historisch wesentlich von der hier betrachteten Datenschutztheorie und ihren Vertreterinnen geprägt wurde und – wenn auch inzwischen weniger – bis heute beeinflusst ist, bestimmt werden, vor allem im Hinblick auf den Geltungsbereich, den verwendeten Informationsbegriff und den Umgang des Rechts mit dem Prozessmodell der Informationsverarbeitung.
Das Datenschutzrecht setzt diese Modelle nicht einfach nur um. Zwar ist es historisch stark von ihnen geprägt, zugleich ist es aber das Produkt politischer Aushandlungen in Parlamenten, beeinflusst von den verschiedenen Stakeholdern in Gesetzgebungsverfahren sowie ausgelegt und reinterpretiert in juristischen Fachdiskussionen und von Gerichten. Das Datenschutzrecht bestimmt seinen eigenen Geltungsbereich, seine eigenen Schutzgüter und seine eigenen Mechanismen, die jeweils nicht denen entsprechen müssen, die die Datenschutztheorie produziert hat. Die Datenschutztheorie und ihre Modelle können zur Auslegung des Rechts verwendet werden, sie können aber gleichwohl die Ketten des Rechts nicht sprengen, denn der Befolgungsanspruch des Datenschutzrechts endet an den Grenzen seines Geltungsbereiches. Wo das bestehende Datenschutzrecht keinen hinreichenden Schutz für die Betroffenen vor den von der Datenschutztheorie identifizierten Bedrohungen gewährleisten kann oder will – und auch andere Gesetze nicht einschlägig sind –, liegt der Bereich der freien Entscheidung der Gestalterinnen der Technik, die Anforderungen des Datenschutzes trotzdem umzusetzen. Und von dieser Freiheit sollten sie Gebrauch machen.
3.6.1 Geltungsbereich
Die Geltungsbereiche von Datenschutz und Datenschutzrecht überschneiden sich, sind jedoch weder deckungsgleich, noch ist eines eine Teilmenge des je anderen. Der Schutzbereich des Datenschutzrechts ist signifikant kleiner als der des Datenschutzes, zugleich ist der Kreis der Normadressatinnen des Datenschutzrechts signifikant größer.
Der wesentliche Grund für den gegenüber dem Datenschutz – und selbst dem Individual-datenschutz im Verständnis des 1971er Gutachtens – signifikant verkleinerten Schutzbereich des Datenschutzrechts liegt in der Nutzung des Konzepts der „personenbezogenen Daten“ als Abgrenzungskriterium, die zugleich aber konsistent ist mit grundsätzlich allen im vorherigen Kapitel betrachteten information-privacy-Theorien. Nach § 3 Abs. 1 BDSG sind personenbezogene Daten „Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person“, die zugleich als „Betroffener“ definiert wird, während Art. 4 Nr. 1 EU-DSGVO sie definiert als „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person [. . . ] beziehen“ und dabei eine Person „als identifizierbar [ansieht], die [. . . ] identifiziert werden kann“. Der Begriff „identifizieren“ wird in der juristischen Auseinandersetzung an keiner Stelle problematisiert, verweist aber deutlich auf die impliziten Vorannahmen über den Charakter der Informationsverarbeitung: Alle diese Beschreibungen gehen davon aus, dass es zu einem bestimmten Zeitpunkt t nur die Informationen gibt, zu der dann die Person „gefunden“ werden soll, auf die sich diese Informationen beziehen. Das Problem der Adressierbarkeit, das für Kommunikationen typisch ist, bleibt in der ganzen Debatte ausgeblendet. Während damit das Element der Bestimmbarkeit und Identifizierbarkeit zu einer signifikanten Beschränkung der Menge der Betroffenen führt, wird das Beziehungselement durchgängig weit verstanden. Die Gruppe der Betroffenen ist aber nicht nur hinsichtlich der Identifizierbarkeit beschränkt, sondern vor allem dahingehend, dass als Betroffene im deutschen und europäischen Datenschutzrecht nur natürliche Personen gefasst werden. Damit dient das Datenschutzrecht weder dem Schutz von Gruppen, der allerdings inzwischen wieder gefordert wird, noch dem Schutz von anderen sozialen Akteurinnen wie Organisationen, ob als Personengesellschaften oder juristische Personen.
Während also der Kreis der Betroffenen im Datenschutzrecht kleiner ist als im Datenschutz, ist der Kreis der Normadressatinnen signifikant größer und beschränkt sich dabei nicht nur auf solche, mit denen die Betroffenen in sozialen Beziehungen stehen, die von strukturellen Datenmachtimbalancen geprägt sind. Normadressatinnen des BDSG sind alle – hinsichtlich ihres informationellen Handelns der Regelungskompetenz des Bundes unterfallende – sozialen Akteurinnen, „es sei denn, die Erhebung, Verarbeitung oder Nutzung der Daten erfolgt ausschließlich für persönliche oder familiäre Tätigkeiten.“ Ebenso weit ist der Kreis der Normadressatinnen der EU-DSGVO, wonach die Grundverordnung nur für „natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten“ keine Anwendung findet. Diese Einschränkungen sind jedoch, spätestens nach der Lindquist-Entscheidung des EuGH, sehr restriktiv auszulegen: Das Gericht übersetzt „persönliche oder familiäre Tätigkeiten“ als „Tätigkeiten [. . . ], die zum Privat- oder Familienleben von Einzelpersonen gehören“ und erklärt, es handele sich „offensichtlich“ nicht um solche Tätigkeiten „bei der Verarbeitung personenbezogener Daten, die in deren Veröffentlichung im Internet besteht, so dass diese Daten einer unbegrenzten Zahl von Personen zugänglich gemacht werden.“ Das ist nicht nur deshalb extrem dysfunktional, weil es soziale Beziehungen, in denen das informationelle Verhalten der Beteiligten tatsächlich noch hinreichend sozial ausgehandelt werden kann, einem bürokratischen Regelungsregime unterwirft, das in seiner Architektur und dem Umfang und dem Formalismus seiner Anforderungen darauf zugeschnitten war, bürokratische Verwaltungen in Staat und Gesellschaft an die Ketten des Rechtsstaatsprinzips zu legen. Das ist zugleich strategisch riskant – und vielleicht deswegen gerade von manchen Beteiligten erwünscht –, weil es große Akteurinnen geradezu einlädt, kleine Akteurinnen als mit der vollen Wucht des Gesetzes Getroffene vorzuschicken, um darüber eine Absenkung der Schutzstandards zu propagieren.
Nicht nur hinsichtlich des Betroffenenkreises und der Fixierung auf personenbezogene Daten, sondern auch im Hinblick auf das Schutzgut ist der Schutzbereich des Datenschutzrechts kleiner als der des Datenschutzes. Zwar mag es ein „Allgemeinplatz“ sein, dass es letztlich „um den Schutz von Menschen“ gehe, „nicht um den Schutz von Daten“, gleichwohl wird in der EU-DSGVO in Art. 1 Abs. 2 – wie vorher auch schon in der EG-DSRL – neben den „Grundrechte[n] und Grundfreiheiten“ sowie fast wortgleich auch in Art. 8 Abs. 1 der EU-Grundrechtecharta das „Recht auf Schutz personenbezogener Daten“ als Schutzgut markiert. Während die durchaus weite Formulierung „Grundrechte und Grundfreiheiten“ als „Rechte und Freiheiten der Betroffenen“ aus der EG-DSRL in § 4d Abs. 5 Satz 1 BDSG übernommen wurde, definiert § 1 Abs. 1 BDSG den Zweck des Gesetzes als Schutz des „Einzelnen“ vor Beeinträchtigung „in seinem Persönlichkeitsrecht“. Auf dieses Persönlichkeitsrecht rekurriert auch das BVerfG im Volkszählungsurteil und stellt fest, dass die „[f]reie Entfaltung der Persönlichkeit [. . . ] unter den modernen Bedingungen der Datenverarbeitung den Schutz des Einzelnen gegen unbegrenzte Erhebung, Speicherung, Verwendung und Weitergabe seiner persönlichen Daten voraus[setzt]“ und dieser Schutz „daher von dem Grundrecht des Art. 2 Abs. 1 in Verbindung mit Art. 1 Abs. 1 GG umfaßt“ sei. Das „Recht auf informationelle Selbstbestimmung“, dem das BVerfG dann als Ausprägung dieses Persönlichkeitsrechts verfassungsrechtliche Weihen verleiht, ist schon eine – doppelte – Verkürzung dieses Schutzes, denn es bezeichnet nur noch „die Befugnis des Einzelnen, grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen.“ Erstens handelt es sich um einen individualistischen Problemlösungsansatz für ein gesellschaftliches Problem, dessen praktische Um- und Durchsetzung die realen Fähigkeiten des Individuums weit übersteigt, und zweitens schützt das Grundrecht gerade nicht gegen eine „unbegrenzte“ Verdatung, solange nur „der Einzelne“ einwilligt. Gleichwohl wird gerade dieses individuelle Verfügungsrecht inzwischen verbreitet als das eigentlich zentrale Schutzgut des Datenschutzrechts betrachtet, auch wenn die genaue verfassungsrechtliche Anknüpfung wenigstens nicht unumstritten ist und die Form der Umsetzung im Recht die einer informationellen „Fremdbeschränkung“ ist – einer Beschränkung der Informationsverarbeitung der Normadressatin. Die gesamte gesellschaftliche Ebene der Auswirkungen moderner Informationsverarbeitung durch Organisationen bleibt damit – bis auf singuläre Ausnahmen – außerhalb des Zugriffs des Datenschutzrechts.
3.6.2 Informationsbegriff
Der historisch der Datenschutztheorie zugrunde gelegte Informationsbegriff, der an den der Semiotik angelehnt ist und vier Dimensionen – Syntax, Semantik, Pragmatik, Sigmatik – aufweist, kann, nach der rechtswissenschaftlichen Debatte zu urteilen, nicht als konsentierter Informationsbegriff im Bereich des Datenschutzrechts gelten. Dieser modelltheoretische Informationsbegriff, der Informationen als Modelle von Objekten, also „Abbildungen von etwas für jemand für einen Zweck“ fasst und damit alle vier Dimensionen spezifisch für das Recht anknüpfbar macht, wird sehr selten überhaupt dargestellt – und wenn, dann zusammenhanglos oder verkürzt wiedergegeben –, spätestens seit Anfang der 1990er Jahre jedoch nicht mehr zur strukturierten Analyse des Datenschutzproblems genutzt. Die vier Dimensionen sind dennoch immer noch die Ansatzpunkte für die rechtliche Regelung: Informationen unterfallen dem Datenschutzrecht nur, wenn sie sich auf Personen beziehen oder beziehen lassen – sigmatische Dimension –, und erst, wenn sie zeichenmäßig verkörpert werden, an ihre pragmatische Dimension knüpft das datenschutzrechtliche Zweckbindungsprinzip an und mit der semantischen Dimension wird gerade der Kontext adressierbar – einerseits als Erhebungs-, andererseits als Verwendungskontext –, der sowohl die Bedeutung der Information wie auch die Risiken für die Betroffenen (mit-)bestimmt und an den gerade die „bereichsspezifischen“ Datenschutzregelungen anknüpfen.
3.6.3 Phasenorientierung
Während die Phasen historisch als Analyseinstrument für die Riskanz der Informationsverarbeitung und zugleich als Anknüpfungspunkt für rechtliche Regelungen vorgesehen waren, haben sie diesen doppelten Charakter schon im Laufe des Gesetzgebungsverfahrens verloren: Das BDSG 1977 beschränkte sich auf einen Schutz von Betroffenen gegen „Mißbrauch“ der sie betreffenden Informationen nur in den im Gesetz genannten Phasen – und das hieß eben: innerhalb einer Teilmenge der von Steinmüller et al. in einem ersten Versuch identifizierten Phasen. Erst mit dem Volkszählungsurteil wurde der Gesetzgeber gezwungen, für einen umfassenden Schutz zu sorgen. In der Folge wurden auch die Erhebung und die Nutzung als Phasen ins BDSG integriert. Allerdings kam es an keiner Stelle zu einer grundlegenden Überarbeitung der Phasenaufteilung.
Zwar ist das deutsche Datenschutzrecht immer noch „verarbeitungsorientiert“, insoweit dass alle deutschen datenschutzrechtlichen Regelungen die Zulässigkeitsanforderungen jeweils an die einzelnen Phasen stellen, aber diese Phasen sind nicht mehr die zentralen Anknüpfungspunkte für Regelungen zum Umgang mit besonderen Risiken. Stattdessen knüpft das Recht zunehmend an eine Vielzahl konzeptionell unverbundener Einzelaspekte an, die damit zugleich als Topoi besonderer Risiken markiert werden. Dazu gehören etwa die aus dem europäischen ins deutsche Datenschutzrecht übernommenen „besonderen Arten personenbezogener Daten“, „automatisierte Einzelentscheidungen“, die Videoüberwachung, der Einsatz „mobiler personenbezogene Speicher- und Verarbeitungsmedien“ oder die „Übermittlungen personenbezogener Daten an Drittländer oder an internationale Organisationen“.
3.6.4 Verfahrens- und Technikgestaltung und -prüfung
Das Bundesdatenschutzgesetz war von Anfang an darauf ausgerichtet, sowohl auf die Verfahren wie auch auf die informationstechnischen Systeme gestaltend einzuwirken. Diese Zielvorstellungen wurden allerdings schon in der Startphase – unter anderem durch den Bundesdatenschutzbeauftragten – erfolgreich unterminiert. Erst mit der Novellierung des BDSG 2001 wurde mit dem Grundsatz der Datenvermeidung und Datensparsamkeit in § 3a das Ziel einer datenschutzfreundlichen Verfahrensgestaltung wieder im Gesetz verankert, wobei der Charakter der Norm durchaus umstritten und ihre Durchsetzungsfähigkeit quasi inexistent ist. Im Rahmen der Kontrolle der Rechtmäßigkeit der laufenden Datenverarbeitung ist der Datenschutzbeauftragten aber nach § 4g Abs. 1 Satz 4 Nr. 1 BDSG auch die Kontrolle der „ordnungsgemäße[n] Anwendung der Datenverarbeitungsprogramme“ übertragen, eine Aufgabe, die wohl mehrheitlich als „Kontrolle der Programmgestaltung“ ausgelegt wird, und damit die Einbindung der Datenschutzbeauftragten in die Systemgestaltung erfordert. Auf deren Kritik oder Änderungsforderungen muss die Datenverarbeiterin dabei allerdings ebenso wenig reagieren oder gar eingehen wie im Falle der die Vorgaben des Art. 20 EG-DSRL umsetzenden Vorabkontrolle nach § 4d Abs. 5 und 6 BDSG. Diese Vorabkontrolle ist nach § 4d Abs. 5 immer dann durchzuführen, wenn „automatisierte Verarbeitungen besondere Risiken für die Rechte und Freiheiten der Betroffenen aufweisen“. Mit der EU-DSGVO wurde die Vorabkontrolle durch die Datenschutz-Folgenabschätzung nach Art. 35 ersetzt, allerdings nur mit sehr allgemeinen Vorgaben hinsichtlich der Anforderungen an die Durchführung und den Umfang. Das Datenschutzaudit nach § 9a BDSG, zu dem der Bundesgesetzgeber nie ein Ausführungsgesetz erlassen hat, geht nicht wesentlich über das hinaus, was eine Vorabkontrolle, eine Programmkontrolle und Rechtmäßigkeitskontrolle auch schon bieten, wird allerdings durch unabhängige externe Gutachterinnen durchgeführt und – für Schutzkonzepte, Verfahren oder Produkte – mit einem „Qualitätsnachweis[] (z. B. Siegel, Zertifikat oder Auditzeichen)“ belohnt. In der EU-DSGVO wird dieses Verfahren als „Zertifizierung“ bezeichnet und in Art. 42 geregelt. Auch die Technikgestaltung – „Datenschutz durch Technik (data protection by design) und durch datenschutzfreundliche Voreinstellungen (data protection by default)“ – selbst ist nach langer Diskussion inzwischen auch auf europäischer Ebene – in Art. 25 EU-DSGVO – geregelt worden, wobei die Regelung die Erwartungen, die von vielen Seiten in sie gesteckt wurden und werden, wohl nicht erfüllen wird.
3.6.5 Schlussfolgerungen
Aus der Darstellung des für die Technikgestaltung relevanten Verhältnisses zwischen dem Datenschutz und dem geltenden Datenschutzrecht lassen sich nun einige Schlussfolgerungen ziehen.
Zwar überschneiden sich die Geltungsbereiche von Datenschutz und Datenschutzrecht, sie sind jedoch weder deckungsgleich, noch ist eines eine Teilmenge des je anderen. Der Schutzbereich des Datenschutzrechts ist signifikant kleiner als der des Datenschutzes, zugleich ist der Kreis der Normadressatinnen des Datenschutzrechts signifikant größer. Gleichwohl lässt sich feststellen, dass für Organisationen als Informationsverarbeiterinnen der Schutzbereich des Datenschutzes eine Obermenge des Schutzbereiches des Datenschutzrechts ist. Damit ist grundsätzlich eine datenschutzfreundliche Informationsverarbeitung durch Organisationen auch eine datenschutzrechtskonforme, eine datenschutzrechtskonforme jedoch nicht notwendig datenschutzfreundlich. Die Betroffenen im Sinne des Datenschutzrechts würden demnach in jedem Fall davon profitieren, wenn die Datenschutztheorie als Instrument für die Analyse der Risiken und Bedrohungen, die von Organisationen ausgehen, zum Einsatz käme.
Sowohl hinsichtlich des Informationsbegriffs wie hinsichtlich der Phasenorientierung zeigt das bestehende Datenschutzrecht Defizite, die sich sowohl auf seine Weiterentwicklung wie auch auf seine Anwendung in der Praxis beschränkend auswirken. Die praktische Anwendung des bestehenden Rechts würde damit sowohl im Hinblick auf eine fundierte Bedrohungsanalyse als auch im Hinblick auf die Verfahrensgestaltung von der Verwendung des modelltheoretischen Informationsbegriffs der Datenschutztheorie wie auch vom phasenorientierten Analyseansatz deutlich profitieren, etwa indem die Abwehr der identifizierten, phasenspezifischen Bedrohungen in den datenschutzrechtlichen Abwägungsprozess als Teil der berechtigten Interessen der Betroffenen aufgenommen würde.
Soweit es hinsichtlich der Prüfungen – Folgenabschätzungen und Audits – und der Gestaltungen – Verfahren und informationstechnische Systeme – an konkreten gesetzlichen Anforderungen zu Umfang und Durchführung – und bei den Prüfungen auch zum Umgang mit dem Ergebnis – mangelt, ist der oben vorgelegte Operationalisierungs- und Regelungsansatz voll anschlussfähig, ohne jedoch die Lücken bei den Transparenzpflichten füllen zu können. Nur damit ließen sich aber sowohl die Qualität von Prüfungen und Technikgestaltungsprozessen wie auch die Bindungswirkung der dabei getroffenen Entscheidungen, etwa zur Zwecksetzung, steigern.
Jörg Pohle; Humboldt-Universität zu Berlin; 2019
Open-Access-Erklärung: https://edoc-info.hu-berlin.de/de/nutzung/oa_hu
https://edoc.hu-berlin.de/handle/18452/19886
Zur leichteren Lesbarkeit wurden die Quellenverweise entfernt. Bei Interesse finden Sie sie im obigen Link.