Die Datenschutz-Grundverordnung: des Kaisers neue Kleider
Der gefährliche Irrweg des alten wie des neuen Datenschutzrechts
Ein wenig erinnert der Hype um die Datenschutz-Grundverordnung (DS-GVO) an die Aufregung über des Kaisers neue Kleider in Hans Christian AndersensMärchen. zur Fussnote 1 Politiker, Datenschutzaufsichtsbehörden, betriebliche und behördliche Datenschutzbeauftragte, Rechtsanwälte, Unternehmensberater, IT-Spezialisten, Wissenschaftler, Privacy-Aktivisten und nicht zuletzt die Europäische Kommission – alle singen das Hohelied des neuen Datenschutzrechts. Zwar gibt es einige einsame Rufer, die in ihm ein „Frankenstein-Monster“, zur Fussnote 2 die „größte Katastrophe des 21. Jahrhunderts“, zur Fussnote 3 die „digitale Konterrevolution“ zur Fussnote 4 oder die „Perfektion einer Sackgasse“ zur Fussnote 5 sehen. Allein – das kleine Kind, das erkennt, dass der Kaiser nackt ist, lässt noch auf sich warten
....
II. Strukturdefizite des Datenschutzrechts
1. Utopie der informationellen Selbstbestimmung
2. Untauglichkeit der Einwilligung
3. Generalverbot mit Erlaubnisvorbehalt
4. Missachtung der Kommunikationsfreiheiten
5. Fehlendes Schutzgut
a) Bisherige Schutzgüter vor Inkrafttreten der DS-GVO
b) Schutzgüter in der DS-GVO
c) Konsequenzen der Ungewissheit über das Schutzgut
6. „One-size-fits-all“ und „all-or-nothing”
III. Lösungsansätze
1. Klärung der grundrechtlichen Voraussetzungen
2. Begrenzung der Schutzzwecke
3. Aufgabe des Verbots mit Erlaubnisvorbehalt
4. Interessenabwägung
IV. Fazit
1. Mit der DS-GVO erlebt die Idee des präskriptiven und präventiven Datenschutzes ihre Vervollkommnung. Leider weisen schon die Grundlagen dieser Idee Strukturdefizite au–Das Recht auf informationelle Selbstbestimmung erweckt eine nicht erfüllbare Illusion von Kontrolle. Die Einwilligung ist ein Rechtsinstitut, das die in sie gesetzten Hoffnungen auf Absicherung der informationellen Selbstbestimmung nicht erfüllen kann.–Das generelle Verbot mit Erlaubnisvorbehalt führt im privaten Bereich zu einem Rechtfertigungszwang grundrechtlich geschützten Verhaltens. Kollateralschäden sind alle anderen Grundrechte. Das Datenschutzrecht folgt einer Abschottungslogik, die einseitig zulasten von Meinungs-, Presse-, Informations-, Kunst- und Wissenschaftsfreiheit sowie unternehmerischer Freiheit geht. Die Gefahr, dass das Datenschutzrecht bei falscher Auslegung zu einem „Supergrundrecht“ wird, ist nicht von der Hand zu weisen.–Es fehlt an einer klaren Bestimmung des Schutzguts. Dies führt zu großer Rechtsunsicherheit insbesondere bei der Anwendung der risikoabhängigen Pflichten, weil die Rechtsanwender nicht wissen können, für welches Schutzgut sie das Risiko zu ermitteln haben.2. Die DS-GVO löst diese Strukturdefizite nicht – im Gegenteil. Sie wendet grundsätzlich alle Regeln auf alle Datenverarbeiter gleichermaßen an. Dies vernachlässigt den Verarbeitungskontext, ist nicht verhältnismäßig und nicht risikoadäquat. Die Strukturdefizite werden noch durch aus dem US-Rechtskreis stammende „Extras“ verstärkt: durch hohe Strafen, die starke Rolle von „data breach notifications“ und das „accountability“-Prinzip. zur Fussnote 124 Hinzu kommen das Transparenzdilemma zur Fussnote 125 und die unvollkommene Einfügung von Elementen der regulierten Selbstregulierung. Alles in allem ist die DS-GVO ein Sammelsurium aller jemals im Bereich Datenschutz/Privacy erdachten Regelungsideen. Man hat sie nach dem Prinzip „viel hilft viel“ einfach in einem Rechtsakt zusammengeführt.3. Die Strukturdefizite sind jedoch nur die Spitze des Eisbergs. Sie führen zu einer Totalverrechtlichung des digitalen Lebens, zu unüberschaubaren Bürokratielasten, zur Ablenkung von politisch zu entscheidenden Fragen, zur Unmöglichkeit, alle Regelungen des Datenschutzrechts einzuhalten, zu einem Vollzugsdefizit, zur Erosion des Rechtsbewusstseins. Und sie verhindern die Beschäftigung mit zukunfts-tauglichen Lösungen für Probleme, die Big Data, das Internet der Dinge, Blockchain, Algorithmen, Künstliche Intelligenz aufwerfen. zur Fussnote 126Leider sind ausgerechnet die angesprochenen Strukturdefizite nicht nur die heiligen Kühe des Datenschutzrechts. Sie sind auch die Elefanten im Raum, deren Anwesenheit anzusprechen sich nur wenige trauen. Hinzu kommt eine klassenkämpferische Überhöhung der Erwartungen an den Datenschutz (Bekämpfung von „Datenmacht in asymmetrischen Informationsverhältnissen“ zur Fussnote 127 oder Herstellung einer „informationellen Gewaltenteilung“ zur Verhinderung der Kontrollierbarkeit des Einzelnen zur Fussnote 128). Da die Regulierung des Zugangs und der Nutzung von Information gleichbedeutend mit der Regulierung sozialer Beziehungen ist und da es beim Datenschutzrecht um „Alles oder Nichts“ geht, ist die Aufgeregtheit der öffentlichen Debatte sogar halbwegs erklärlich. Man sollte aber auch und gerade deswegen nicht versuchen, das vielfältige und bunte, sich ständig drehende soziale Leben, das nahezu ausschließlich aus Kommunikation und Information besteht, in umfassenden staatlichen Regelwerken abzubilden. Bereichsspezifisch kann dies unaufgeregter gelingen: Auch beim Steuergeheimnis, beim Fernmeldegeheimnis, bei Verschwiegenheitspflichten bestimmter Amts- und Berufsträger, bei öffentlichen Registern, bei Zeugnispflicht und Beweisverwertungsverboten im Strafprozess und beim Statistikgeheimnis geht es um den angemessenen Ausgleich kollidierender Interessen beim Umgang mit Information. zur Fussnote 129......Hier wird mit dem risikobasieren Ansatz für einen Mittelweg zwischen dem „rights-based approach“ und dem „harm-based approach“ plädiert. Die Inputorientierung des „rights-based approach“ hat eine Warnfunktion, die nicht gänzlich aufgegeben werden sollte, verhindert aber eine vernünftige Risikoabstufung der Pflichten und eine politische Auseinandersetzung über die Frage, welche Folgen der Datenverarbeitung als wünschenswert anerkannt und welche als inadäquat reguliert und/oder pönalisiert werden sollten. Der risikobasierte Ansatz ist in der DS-GVO verankert. zur Fussnote 135 Das bedeutet, dass die Strukturdefizite des Datenschutzrechts sogar durch entsprechende Interpretation und Handhabbarmachung dieses Ansatzes abgemildert werden könnten. Bislang hat sich jedoch – soweit ersichtlich – kaum jemand um seine Fortentwicklung verdient gemacht. Insbesondere von den Datenschutzaufsichtsbehörden ist diesbezüglich nur beredtes Schweigen zu vernehmen. Das nährt den Verdacht, dass sie kein Interesse an einer Fortentwicklung des Datenschutzrechts in diese Richtung haben.Wird dieses Datenschutzrecht aber nicht fortentwickelt, könnte die Geschichte darüber hinweggehen. Denn alternativlos ist es nicht.