Datenschutz-Antrittsvorlesung von Prof. Dr. Michael Schmidl: Informationelle Selbstbestimmung in Theorie und Praxis
02.04.2012
Anfang 2011 hat die Universität Augsburg Herrn Dr. Michael Schmidl zum Honorarprofessor für Zivilrecht, Informationstechnologierecht, Telekommunikationsrecht und Medienrecht ernannt. Wir freuen uns, im Folgenden die Antrittsvorlesung zum Thema “Informationelle Selbstbestimmung in Theorie und Praxis” von Professor Dr. Michael Schmidl, LL.M. Eur., Maître en Droit, Fachanwalt für IT-Recht und Partner bei Baker & McKenzie zu veröffentlichen, welche anlässlich der Akademischen Jahresfeier der Juristischen Fakultät der Universität Augsburg am 2. Februar 2012 gehalten wurde. Das Manuskript lautet wie folgt:
Das von mir gewählte Thema „Informationelle Selbstbestimmung in Theorie und Praxis“ ist keineswegs ein Garant für einen vollen Hörsaal. Die korrespondierende Rechtsdisziplin, das Datenschutzrecht, wird häufig als langweilig und überflüssig abgetan. Von auf die Klassiker wie Strafrecht und Familienrecht spezialisierten Kollegen ist die Frage zu vernehmen „Was macht ihr eigentlich im IT-Recht und insbesondere im Datenschutzrecht“? Auch die gerne praktizierte Berufung auf „datenschutzrechtliche Gründe“, um anderweitige Ziele zu erreichen oder Auskünfte nicht erteilen zu müssen, ist einem klaren Verständnis des Datenschutzrechts eher abträglich.
In folgenden Schritten werde ich versuchen, Ihnen das Thema näher zu bringen und – wer weiß – vielleicht sogar Ihre Begeisterung dafür zu erwecken:
I. Bedeutung der informationellen Selbstbestimmung
- Informationelle Selbstbestimmung als Grundrecht
- Das Konzept der „Personenbezogenen Daten“
- Der „I have nothing to hide“-Irrtum
II. Gesetzliches Schutzkonzept
- Zentrale gesetzliche Regelungen
- Rolle des Datenschutzbeauftragten
- Rolle der Aufsichtsbehörden und Gerichte
III. Gesetzesanwendung und Zweifelsfälle
- Whistleblowing
- Cloud-Computing
- Meinungsfreiheit vs. informationelle Selbstbestimmung
IV. Die Zukunft des Datenschutzrechts
- EU-Verordnung zum Datenschutz
- Die Entscheidung des EuGH vom 24.11.2011
- Datenschutz als Schutz vor sich selbst: die Selbstentblößung als Rechtsproblem
I. Bedeutung der informationellen Selbstbestimmung
1. Informationelle Selbstbestimmung als Grundrecht
a. Das Thema „Informationelle Selbstbestimmung“ ist ein häufiger Gegenstand der Presseberichterstattung. Gerade im Zusammenhang mit dem Lauschangriff, der Rasterfahndung, der Online-Durchsuchung durch den sogenannten Bundestrojaner oder der Videoüberwachung am Arbeitsplatz wird – je nach Medium zu Recht oder zu Unrecht – auf datenschutzrechtliche Probleme hingewiesen.
Bevor die genannten Phänomene im Einzelnen untersucht werden, möchte ich ein gemeinsames Verständnis von informationeller Selbstbestimmung schaffen.
Nähert man sich diesem Unterfangen auf begrifflicher Ebene so stößt man rasch auf das sogenannte Volkszählungsurteil des Bundesverfassungsgerichts vom 15. Dezember 1983.
b. Das Bundesverfassungsgericht geht vom Prüfungsmaßstab des allgemeinen Persönlichkeitsrechts aus, das in erster Linie durch Art. 2 Abs. 1 in Verbindung mit Art. 1 Abs. 1 GG geschützt ist. Nach den bis heute maßgeblichen Ausführungen des Bundesverfassungsgerichts umfasst das allgemeine Persönlichkeitsrecht auch die aus dem Gedanken der Selbstbestimmung folgende Befugnis des Einzelnen, grundsätzlich selbst zu entscheiden, wann und innerhalb welcher Grenzen persönliche Lebenssachverhalte offenbart werden.
c. In der besagten Entscheidung führte das Bundesverfassungsgericht zu dieser Befugnis bereits 1983 Folgendes – ich zitiere:
„Diese Befugnis bedarf unter den heutigen und künftigen Bedingungen der automatischen Datenverarbeitung in besonderem Maße des Schutzes. Sie ist vor allem deshalb gefährdet, weil bei Entscheidungsprozessen nicht mehr wie früher auf manuell zusammengetragene Karteien und Akten zurückgegriffen werden muß, vielmehr heute mit Hilfe der automatischen Datenverarbeitung Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren Person […] technisch gesehen unbegrenzt speicherbar und jederzeit ohne Rücksicht auf Entfernungen in Sekundenschnelle abrufbar sind. Sie können darüber hinaus – vor allem beim Aufbau integrierter Informationssysteme – mit anderen Datensammlungen zu einem teilweise oder weitgehend vollständigen Persönlichkeitsbild zusammengefügt werden, ohne daß der Betroffene dessen Richtigkeit und Verwendung zureichend kontrollieren kann. Damit haben sich in einer bisher unbekannten Weise die Möglichkeiten einer Einsichtnahme und Einflußnahme erweitert, welche auf das Verhalten des Einzelnen schon durch den psychischen Druck öffentlicher Anteilnahme einzuwirken vermögen.“
d. Das Bundesverfassungsgericht sah in der Möglichkeit der Bildung von Persönlichkeitsprofilen nicht nur eine Gefahr für das Persönlichkeitsrecht an sich, sondern zugleich eine Gefahr für andere Grundrechte. So wird derjenige möglicherweise auf die Ausübung seiner Grundrechte der Versammlungs- und Koalitionsfreiheit verzichten, der damit rechnet, dass etwa die Teilnahme an einer Versammlung oder einer Bürgerinitiative behördlich registriert wird und dass ihm dadurch Risiken entstehen können.
e. Die Schlussfolgerung des Bundesverfassungsgerichts hieraus lautet:
Freie Entfaltung der Persönlichkeit setzt unter den modernen Bedingungen der Datenverarbeitung den Schutz des Einzelnen gegen unbegrenzte Erhebung, Speicherung, Verwendung und Weitergabe seiner persönlichen Daten voraus.
Dieser Schutz ist daher von dem Grundrecht des Art. 2 Abs. 1 in Verbindung mit Art. 1 Abs. 1 GG umfasst. Das Grundrecht gewährleistet insoweit die Befugnis des Einzelnen, grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen.
f. Wir können also festhalten, dass unter informationeller Selbstbestimmung grundsätzlich ein Zustand zu verstehen ist, in dem ein Betroffener die über ihn verfügbaren Informationen kontrolliert und kennt. Jedenfalls zu vermeiden ist das Entstehen eines „gläsernen Bürgers“. Ergänzt wurde dieser Schutz im Jahr 2008 noch durch das sogenannte IT-Grundrecht, das die Gewährleistung der Integrität und Vertraulichkeit informationstechnischer Systeme und damit ebenso den Schutz der informationellen Selbstbestimmung zum Gegenstand hat.
ABER
g. Eine ganz zentrale Aussage des Bundesverfassungsgerichts liegt auch in der Feststellung, dass eine Person keine uneingeschränkte Herrschaft über ihre Daten hat. Gewissen Einflüssen ist jedes Individuum aufgrund der sozialen Interaktion ausgesetzt, denn so das Bundesverfassungsgericht, ich zitiere
„Information, auch soweit sie personenbezogen ist, stellt ein Abbild sozialer Realität dar, das nicht ausschließlich dem Betroffenen allein zugeordnet werden kann. Das Grundgesetz hat, wie in der Rechtsprechung des Bundesverfassungsgerichts mehrfach hervorgehoben ist, die Spannung Individuum – Gemeinschaft im Sinne der Gemeinschaftsbezogenheit und Gemeinschaftsgebundenheit der Person entschieden […]. Grundsätzlich muß daher der Einzelne Einschränkungen seines Rechts auf informationelle Selbstbestimmung im überwiegenden Allgemeininteresse hinnehmen.“
Die aus dieser Feststellung resultierende Einschränkung für die tatsächliche Selbstbestimmtheit über bei Dritten verfügbare Informationen ist heute von großer Bedeutung. Es gilt: Ein Individuum hat an Informationen über sich selbst keine absolute Verfügungsgewalt. Bestimmte Erhebungen, Verarbeitungen und Nutzungen von personenbezogenen Daten sind hinzunehmen und zwar grundsätzlich sowohl ohne als auch gegen den Willen der Betroffenen.
2. Das Konzept der personenbezogenen Daten
a. Der Bezugspunkt des Rechts auf „Informationelle Selbstbestimmung” sind die personenbezogenen Daten. Der Gesetzgeber definiert diese als „Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person“. Personenbezogene Daten liegen mithin nicht nur dann vor, wenn sich Einzelangaben auf eine namentlich benannte Person beziehen, sondern auch wenn sich die Identität nur aus den Umständen erschließen lässt, wie dies etwa bei Sozialversicherungsnummern, Mitarbeiternummern, bei der Kombination Kontonummer/Bankleitzahl oder bei E-Mail-Adressen der Fall ist. Ich selbst war in meiner Zeit als Mitarbeiter an der Universität München als „u3731gu@lrz-muenchen.de“ bekannt.
b. Der umschriebene Begriff der personenbezogenen Daten geht sehr weit und führt dazu, dass sich die Frage nach der informationellen Selbstbestimmung der Betroffenen in vielen alltäglichen Lebenssituationen stellt. Beim Einkauf im Supermarkt, bei der Benutzung von Geolokalisationsdiensten, beim mobilen Telefonieren. Jeder beliebige „neutrale“ Datenbestand wird personenbezogen, allein in dem die darin enthaltenen Daten einer natürlichen Person zugeordnet werden.
c. Besonders hervorzuheben ist, dass es keine unwichtigen oder nicht geschützten personenbezogenen Daten gibt. Der Gesetzgeber hat sich grundsätzlich gegen Abstufungen in der Schutzbedürftigkeit personenbezogener Daten entschieden.
Als Ausnahme davon genießen die sogenannten „sensiblen“ Daten einen besonders starken Schutz. Sensible Daten sind Angaben über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder das Sexualleben.
3. Der „I have nothing to hide“-Irrtum
a. Bereits eingangs habe ich es erwähnt – das allgemeine Unverständnis über die Disziplin des Datenschutzrechts. Nicht selten wird derjenige, der Datenschutzbedenken gegen eine staatliche oder private Überwachungsmaßnahme mit der Frage konfrontiert, ob er etwas zu verbergen habe.
Dieser Frage liegt ein Irrtum zugrunde.
Der Irrtum, das Recht auf informationelle Selbstbestimmung und das Datenschutzrecht seien zwar gesetzlich verankerte, gleichwohl aber bürokratische Überflüssigkeiten und hätten etwas mit dem Verbergen von Schlechtem zu tun.
b. Der genannte Irrtum lässt sich nach einem Beitrag von Daniel J. Solove aus dem Chronicle Review vom 15. Mai 2011 mit dem Titel „Why Privacy Matters Even if You Have ‘Nothing to Hide’“ als der „I have nothing to hide-Irrtum zusammenfassen. Der sehr lesenswerte Beitrag führt zahlreiche Gründe an, warum der Schutz der informationellen Selbstbestimmung erforderlich ist. Zugleich wird herausgearbeitet, dass es beim Datenschutz gar nicht darum geht, etwas zu verbergen.
Die bloße Beobachtung behindert auch die Ausübung von Grundrechten, obwohl es hierbei nicht darum geht, etwas zu verstecken. Wer nicht zustimmt, möge jetzt die Gelegenheit ergreifen und mindestens eine der folgenden Fragen hier und jetzt coram publico beantworten:
(1) Wie viel Geld haben Sie auf dem Konto?
(2) Wie lautet Ihre Kreditkartennummer?
(3) Haben Sie schon einmal ein Playboy-Magazin gekauft?
(4) An wen haben Sie gerade eine Textnachricht gesendet und was stand darin?
II. Gesetzliches Schutzkonzept
1. Zentrale gesetzliche Regelungen
Eine umfassende Darstellung der theoretischen Grundlagen des Rechts auf informationelle Selbstbestimmung kann in der Kürze der zur Verfügung stehenden Zeit nicht erfolgen.
Möglicherweise würde ich damit auch den „Saal leer lesen“, wie es so schön heißt.
Deswegen möchte ich mich darauf beschränken, Ihnen die wichtigsten Regelungen des Datenschutzrechts zu nennen, mit denen der Gesetzgeber dem Konzept informationeller Selbstbestimmung Geltung verschaffen will.
(1) Datensparsamkeit: In § 3a BDSG ist das Gebot der Datenvermeidung und Datensparsamkeit zu nennen. Die Kernaussage besteht darin, dass sowenig personenbezogene Daten wie möglich zu erfassen sind und dass von den Verfahren der Anonymisierung oder Pseudonymisierung Gebrauch gemacht werden soll. Unter Anonymisierung wird dabei die so gut wie irreversible Entfernung des Personenbezugs von Informationen verstanden. Bei der Pseudonymisierung kann der Personenbezug mit einem gewissen Aufwand wieder hergestellt werden.
(2) Verbotsgrundsatz: Die Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten ist verboten, es sei denn sie ist erlaubt. Dieser sogenannte Grundsatz vom Verbot mit Erlaubnisvorbehalt bringt zum Ausdruck, dass der Umgang mit personenbezogenen Daten stets einer Erlaubnis bedarf. Diese kann sich aus anderen Gesetzen oder aus dem Bundesdatenschutzgesetz ergeben, beispielsweise weil eine bestimmte Verarbeitung für die Erfüllung eines Vertrags erforderlich ist. Ebenso gibt es im Bundesdatenschutzgesetz Bestimmungen, die die Erlaubnis von einer Interessensabwägung abhängig machen. Und schließlich ist da noch die Einwilligung. Im Arbeitsverhältnis wird die Einwilligung als Erlaubnistatbestand allerdings kritisch gesehen, weil die herrschende Meinung davon ausgeht, dass die Beschäftigten in der Regel nicht frei entscheiden können, ob sie einwilligen oder nicht. Der Gesetzgeber plant im aktuellen Gesetzgebungsverfahren zum Beschäftigtendatenschutz daher auch deutliche Einschränkungen für die Zulässigkeit der Arbeitnehmereinwilligung.
(3) Direkterhebungsgrundsatz: Kommen wir zum Direkterhebungsgrundsatz, geregelt in § 4 Abs. 2 BDSG. Aus der Sicht des Datenschutzrechts sollten Informationen über eine bestimmte Person grundsätzlich bei dieser selbst erhoben werden. Die weit verbreitete Praxis des so genannten „Background Screening“ oder der „Anruf beim alten Arbeitgeber“ weichen von diesem Grundsatz ab. Ohne Übertreibung lässt sich festhalten, dass der Direkterhebungsgrundsatz zu den in der Praxis wenig beachteten Grundsätzen zählt.
(4) Zweckbindungsgrundsatz: Von großer Bedeutung ist auch der Zweckbindungsgrundsatz. Er besagt, dass personenbezogene Daten für einen spezifischen Zweck erhoben werden müssen und dann auch nur für diesen verwendet werden dürfen. Für das von mir nach einem bekannten Fußballtrainer benannte „Schaumer-mal-dann-sehma-schon-Prinzip“ ist im Datenschutzrecht kein Raum. Das heiß diskutierte ELENA-Verfahren, das eine zentrale Sammlung der verschiedensten Daten deutscher Beschäftigter (z.B. Teilnahme an rechtmäßigen oder illegalen Streiks, Fehlzeiten am Arbeitsplatz etc.) zum Gegenstand hatte, ist unter anderem wegen der unklaren Zwecke der Datensammlung in die Kritik geraten und in der geplanten Form nicht weiterverfolgt worden.
(5) Technischer Schutz: Die verantwortliche Stelle ist verpflichtet, die personenbezogenen Daten in ihrem Verantwortungsbereich auch technisch zu schützen. Hier sind Passwörter, Berechtigungskonzepte, der Einsatz von Verschlüsselungstechniken und ähnliches zu nennen. Der Sinn der entsprechenden Regelungen ist es, Datenverluste und die damit einhergehenden Gefährdungen der Betroffenen zu vermeiden. Besonders deutlich wird dies am Beispiel der Verpflichtung, den Verlust von bestimmten Datenarten (z.B. Bank- oder Kreditkartendaten) der Aufsichtsbehörde und den Betroffenen mitzuteilen.
(6) Transparenz: Transparenz gegenüber den Betroffenen ist ein weiteres wichtiges gesetzliches Ziel und mit dem Gegenstand der informationellen Selbstbestimmung eng verbunden. Die Betroffenen haben jeweils unter bestimmten gesetzlich geregelten Voraussetzungen Ansprüche auf Auskunft, Berichtigung, Löschung oder Sperrung von personenbezogenen Daten.
(7) Übermittlungen in Drittländer: Zu guter Letzt möchte ich die für die Privatwirtschaft folgenreichsten datenschutzrechtlichen Regelungen ansprechen. Es handelt sich um die Regelungen in §§ 4b, 4c BDSG zur Beschränkung der Übermittlung von personenbezogenen Daten in Länder außerhalb EU/EWR, in denen kein angemessenes Datenschutzniveau herrscht. Die Gruppe dieser sogenannten Drittstaaten ist nicht klein. Nach Maßgabe der Vorgaben aus der Datenschutzrichtlinie handelt es sich bei Drittstaaten grundsätzlich um sämtliche Staaten außerhalb Europas mit Ausnahme der Staaten auf der sogenannten Weißen Liste. Als Drittstaaten in diesem Sinne sind die USA ebenso zu nennen, wie Indien oder China. Für die Staaten auf der Weißen Liste hingegen hat die Europäische Kommission ein angemessenes Datenschutzniveau im Sinne der Datenschutzrichtlinie anerkannt. Im Einzelnen trifft dies auf Argentinien, Kanada, Guernsey, die Isle of Man, die Schweiz und neuerdings auf Israel zu. Für all die anderen Staaten muss das aus europäischer Sicht unangemessene Datenschutzniveau jeweils im Einzelfall auf der Ebene der als Datenimporteure beteiligten Unternehmen ausgeglichen werden. Dies kann durch vertragliche Verpflichtungen oder im Fall der USA durch eine Selbstzertifizierung (als Safe Harbor Zertifizierung bekannt) erfolgen.
2. Rolle des Datenschutzbeauftragten
Gemäß § 4f BSDG haben öffentliche und nicht-öffentliche Stellen, die personenbezogene Daten automatisiert verarbeiten, haben einen Beauftragten für den Datenschutz schriftlich zu bestellen. Für nicht öffentliche Stellen gilt dies nur, wenn sie mehr als 9 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen oder ihre Verarbeitungsmaßnahmen besondere Risiken aufweisen.
Der Datenschutzbeauftragten hat die Aufgabe, auf die Einhaltung des BDSG und anderer Vorschriften über den Datenschutz hinzuwirken und bildet damit die zentrale Anlaufstelle für datenschutzrechtliche Fragen.
Das Konzept des Datenschutzbeauftragten ist erfolgreich. Andere Mitgliedstaaten prüfen inzwischen, ob sie es nicht gleichfalls einführen wollen. Die Europäische Kommission hat unlängst den Entwurf einer Datenschutzverordnung vorgelegt, der die Bestellung eines Datenschutzbeauftragten ab einer bestimmten Unternehmensgröße vorsieht.
3. Rolle der Aufsichtsbehörden und Gerichte
Unabhängige Aufsichtsbehörden in den einzelnen 16 Bundesländern kontrollieren die Ausführung des BDSG sowie anderer Vorschriften über den Datenschutz. Die Aufsichtsbehörden haben zugleich die Aufgabe, die Beauftragten für den Datenschutz und die verantwortlichen Stellen mit Rücksicht auf deren typische Bedürfnisse zu beraten und zu unterstützen.
Beratung und Unterstützung leisten die Aufsichtsbehörden auch mit einer großen Anzahl von Auslegungshinweisen und Handlungsvorschlägen für gewisse datenschutzrechtliche Fragestellungen. Die Veröffentlichungen sind teilweise unter den 16 Aufsichtsbehörden abgestimmt.
Es gibt allerdings auch Fragen zur Anwendung des BDSG, bei denen die einzelnen Bundesländer unterschiedliche Auffassungen vertreten. So besteht beispielsweise weitestgehend Einigkeit unter den Aufsichtsbehörden, dass die Freiwilligkeit der Einwilligung eines Arbeitnehmers häufig zweifelhaft und die Einwilligung daher als Grundlage einer Erhebung, Verarbeitung und Nutzung von Daten im Arbeitsverhältnis nicht zu empfehlen ist.
Betrachtet man andererseits die Frage, ob ein Unternehmen die Adressdaten seiner Mitarbeiter gegen die sogenannten Anti-Terrorlisten der Europäischen Union abgleichen darf, ist das Meinungsbild unter den Aufsichtsbehörden nicht mehr einheitlich.
Nur vereinzelt finden sich Gerichtsentscheidungen. Dieser Umstand lässt sich damit erklären, dass die von aufsichtsbehördlichen Maßnahmen betroffenen Unternehmen in den seltensten Fällen motiviert sind, sich der Publizität eines gerichtlichen Verfahrens auszusetzen. In aller Regel gilt, dass Unternehmen mit datenschutzrechtlichen Problemen die öffentliche Aufmerksamkeit scheuen. Das Ergebnis des Zusammenspiels der beschriebenen Regeln und Auslegungshinweise der Aufsichtsbehörden ist für die Betroffenen oft nur schwer vorhersehbar. Das mag einer der Gründe für die so große „Beliebtheit“ des Datenschutzrechts als Rechtsgebiet sein. In der Tat erschließt sich das datenschutzrechtlich richtige Handeln nicht ohne weiteres aus der bloßen Lektüre des Gesetzestexts. Der frühere Leiter des Bayerischen Landesamt für Datenschutzaufsicht meinte dazu einmal auf einer Veranstaltung: „Wenn man jemanden vom Jurastudium abbringen will, sollte man ihn einen Tag lang gemeinsam mit einem BDSG-Gesetzestext einsperren.“
III. Gesetzesanwendung und Zweifelsfälle
1. Whistleblowing
Die Frage der Zulässigkeit von Meldesystemen, häufig Whistleblowing genannt, ist seit Jahren Gegenstand datenschutzrechtlicher Diskussionen. Im Kern geht es darum, den Beschäftigten die Möglichkeit zu geben, Verstöße gegen einen im Unternehmen geltenden Verhaltenskodex an eine zentrale Stelle zu melden – möglicherweise sogar anonym.
Für die datenschutzrechtliche Qualifikation kommt es zunächst darauf an, welche Verhaltensweisen ein Verhaltenskodex vorschreibt und damit potentiell zum Gegenstand einer Meldung durch einen anderen Beschäftigten macht. Vielfach wird der Sarbanes Oxley Act als allein maßgebliche Quelle für die Inhalte solcher Verhaltenskodizes angesehen.
Der Sarbanes-Oxley Act of 2002 (PDF) (SOX, SarbOx auch SOA) ist ein US-Gesetz zur Verbesserung der Unternehmensberichterstattung infolge der Bilanzskandale von Unternehmen wie Enron oder Worldcom. Bei näherer Betrachtung fordert dieser zwar einen „Code of Conduct“, beschränkt sich inhaltlich aber auf Meldungen über finanziell und buchhalterisch relevante Verhaltenspflichten. Der „Corporate Governance Codex“ des New York Stock Exchange („NYSE“) schreibt im Ergebnis deutlich weitergehende Inhalte des Verhaltenskodex für am NYSE notierte Unternehmen vor. Neben einer Liste mit Mindestinhalten findet sich hier die Aussage, dass jedes Unternehmen seine eigenen Richtlinien festlegen kann. Auf diese Weise wird Raum für eine „Corporate Ethical Identity“ geschaffen. In der Presse war vor einigen Jahren von „Liebesverboten“ und ähnlichen Inhalten von Verhaltenskodizes zu lesen. Die betroffenen Verhaltenskodizes enthielten das Verbot der Anbahnung und Durchführung von über das Normalmaß der Kollegialität hinausgehender zwischenmenschlicher Beziehungen am Arbeitsplatz.
Ein mit dem entsprechenden Verhaltenskodex befasstes Arbeitsgericht sah in diesem Vorgang einen Verstoß gegen die Menschenwürde. Die deutschen Aufsichtsbehörden halten das Whistleblowing nur hinsichtlich einer beschränkten Anzahl an Meldegegenständen für zulässig.
Etwas vereinfacht, dürfte nach dem Grad des Risikos für das Unternehmen wie folgt zu differenzieren sein:
- Bei Straftaten, die entweder gegen das Unternehmen oder aus dem Unternehmen heraus gegen Dritte begangen werden, sowie bei Menschenrechtsverletzungen überwiegt das Unternehmensinteresse an der Erlangung des Reports, um das Unternehmen und dessen Ressourcen zu schützen. Für solche Meldegegenstände ist das Whistleblowing zulässig.
- Wird dagegen lediglich gegen unternehmensinterne Verhaltensmaßregeln verstoßen, überwiegt das Arbeitnehmerinteresse. Allein aus der Verletzung derartiger Vorschriften resultieren keine signifikanten Risiken für das Unternehmen. Für solche Meldegegenstände ist das Whistleblowing unzulässig.
Die Ausführungen des Düsseldorfer Kreises zur datenschutzgerechten Ausgestaltung eines Meldeverfahrens mittels Hotline betreffen die Zweckbindung, den betroffenen Personenkreis, die Vermeidung anonymer Meldungen, Unterrichtungs- und Auskunftspflichten, die Weitergabe an Dritte, Sperrung und Berichtigung (§ 35 BDSG), Löschung (§ 35 BDSG), die Beteiligung der betrieblichen Datenschutzbeauftragten, die Beauftragung externer Stellen (§ 11 BDSG) sowie die erforderlichen technischen und organisatorischen Maßnahmen (§ 9 BDSG).
2. Cloud Computing
a. Die Idee des Cloud Computing besteht darin, mit kleinen und in der Regel billigen Endgeräten (z.B. Desktop PCs mit geringfügiger Ausstattung) auf zentral gespeicherte Daten und Programme zuzugreifen. Als Vorteile des Cloud Computing werden unter anderem die zentrale Verwaltung von Daten und Programmen genannt. Die Datensicherung soll dadurch erleichtert werden. Auch die Aktualisierung der eingesetzten Software muss nur noch an einer Stelle, nämlich beim Anwender, statt dezentral auf vielen Endgeräten erfolgen.
b. Aus der Sicht des Datenschutzrechts ist der Anbieter von Cloud Computing Services in aller Regel ein Auftragsdatenverarbeiter. Das Unternehmen, das seine Daten in der „Cloud“ speichert, ist die verantwortliche Stelle. Einer der Hauptunterschiede zur „herkömmlichen“ Auftragsdatenverarbeitung dürfte darin liegen, dass auch der Auftragsdatenverarbeiter die von ihm benötigten Ressourcen nicht mehr in einem zentralen Rechenzentrum vorhält, sondern flexibel von externen Ressourcenanbietern bezieht, die nicht selbst Partei des primären Auftragsdatenverarbeitungsvertrages sind.
c. Aus der Einordnung als Auftragsdatenverarbeitung und dem Phänomen der Ressourcenbeschaffung von Dritten folgt, dass sich die verantwortliche Stelle sowohl mit den Voraussetzungen der internationalen Datenübermittlung als auch mit der Einbeziehung von Subunternehmern befassen muss.
d. Nach gegenwärtiger Rechtslage bleiben stets einige Fragen offen und es wird sich nicht immer eine vollständig rechtmäßige Lösung finden lassen. Das trifft insbesondere auf die Fälle zu, in denen sensible Daten in der Cloud gespeichert werden. Auch die Einschaltung von Subunternehmern in Drittstaaten wird durch die datenschutzrechtlichen Anforderungen zur komplexen Angelegenheit. Erst seit Februar 2010 ermöglicht ein neuer Standardvertrag für die Auftragsdatenverarbeitung die rechtmäßige Einschaltung von nicht-europäischen Subunternehmern.
Das Ärgernis an diesem neuen Standardvertrag ist allerdings, dass er nur eingreift, wenn der Cloud-Anbieter im EU-Ausland sitzt. Für die Einschaltung von Subunternehmern durch europäische Cloud-Anbieter ist noch immer ein gewisser Mut erforderlich. Eine klare Lösung ist hierfür noch nicht in Sicht.
3. Meinungsfreiheit vs. Informationelle Selbstbestimmung
a. Ein möglicher Konflikt zwischen Meinungsfreiheit und informationeller Selbstbestimmung lässt sich am Beispiel der Lehrerbewertungsplattform „Spick mich“ zeigen.
b. Eine Lehrkraft sah sich durch die im Internet zugängliche negative Bewertung ihres Unterrichts und ihrer Person in ihrem Recht auf informationelle Selbstbestimmung verletzt. Die Lehrerin verfolgte ihre Unterlassungsansprüche gegen die Betreiber der Bewertungsplattform bis vor den BGH. Ohne Erfolg. Der BGH argumentierte unter anderem mit der Bedeutung der Meinungsfreiheit gemäß Art. 5 Abs. 1 GG, die auch anonyme Meinungsäußerungen schütze. Die vom BGH vorgenommene Interessenabwägung führte schließlich dazu, dass das Bewertungsportal unverändert weiter betrieben werden durfte.
c. Die Entscheidung kam für viele Beobachter überraschend. Datenschutzrechtlich lag dies daran, dass der in Betracht kommende und auch vom BGH herangezogene Erlaubnistatbestand gar keine Interessensabwägung vorsieht. Im Wortlaut von § 29 Abs. 1 Nr. 1 BDSG heißt es – ich zitiere:
„Das geschäftsmäßige Erheben, Speichern, Verändern oder Nutzen personenbezogener Daten zum Zwecke der Übermittlung […] ist zulässig, wenn kein Grund zu der Annahme besteht, dass der Betroffene ein schutzwürdiges Interesse an dem Ausschluss der Erhebung, Speicherung oder Veränderung hat.“
Eine strikte Anwendung des Gesetzeswortlauts hätte mithin dazu führen müssen, die Bewertungsplattform für unzulässig zu halten. Aufgrund der Kollision mit der Meinungsfreiheit sah sich der BGH nicht im Stande, in diese Richtung zu entscheiden. Die Meinungsfreiheit umfasse auch anonyme Stellungnahmen.
IV. Die Zukunft des Datenschutzrechts
1. EU-Verordnung zum Datenschutz
Auf Grundlage der Datenschutzrichtlinie wurden in allen Mitgliedstaaten Datenschutzgesetze erlassen beziehungsweise, soweit diese schon existierten, wurden sie an die Richtlinie angepasst. Es wäre nun allerdings falsch, ein Loblied auf die Effekte der Rechtsharmonisierung in Europa auf Grundlage einer Richtlinie anzustimmen. Tatsächlich ist das Projekt der Rechtsharmonisierung im Wege der Richtlinie gescheitert, zumindest aus Sicht der Europäischen Kommission. In ihrer Rede vom 28. November 2011 hat Viviane Reding, Vize-Präsidentin der Europäischen Kommission und Justizkommissarin der Europäischen Union – nicht ganz zu Unrecht – auf die starke Fragmentierung des Datenschutzrechts in der Europäischen Union hingewiesen und angekündigt, im Verordnungswege Abhilfe zu schaffen.
Neben den durch die unterschiedliche Umsetzung der Richtlinie bedingten Rechtsunterschieden in den einzelnen Mitgliedstaaten wies Frau Reding auf den finanziellen Aufwand hin, der für die Unternehmen mit der Befolgung der Vorgaben der 27 Mitgliedstaaten verbunden ist. Insbesondere die in einigen Mitgliedstaaten bestehenden pauschalen Registrierungs- und Anmeldungsanforderungen sind der Kommission ein Dorn im Auge.
Ende letzten Jahres wurde der erste Entwurf einer Datenschutzverordnung der Europäischen Kommission bekannt. Mit dem seit Ende Januar offiziell verfügbaren Entwurf der Verordnung will die Kommission das Datenschutzrecht in Europa vereinheitlichen.
2. Die Entscheidung des EuGH vom 24.11.2011
In die gleiche Richtung wie die Europäische Kommission ging bereits am 24. November 2011 eine Entscheidung des Europäischen Gerichtshofs in einem Vorlageverfahren, das vom spanischen Tribunal Supremo eingeleitet worden war. In dieser Entscheidung stellte der EuGH fest, dass Art. 7 Buchstabe f der Richtlinie 95/46/EG unmittelbare Wirkung hat und es den Mitgliedstaaten nicht freisteht, über den Umsetzungsauftrag in Art. 7 f der Richtlinie hinauszugehen oder diesen zu unterschreiten. Der EuGH beantwortete in dieser Entscheidung eine seit Jahren umstrittene Frage: Sind die Mitgliedstaaten berechtigt, über die in der Richtlinie aufgestellten Anforderungen für die Rechtmäßigkeit der Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten hinauszugehen.
Die Antwort des EuGH ist „Nein“.
3. Datenschutz als Schutz vor sich selbst: die Selbstentblößung als Rechtsproblem
a. Eine andere Herausforderung für die informationelle Selbstbestimmung wird durch die schier ubiquitären Sozialen Netzwerke geschaffen. Die Einschränkung der informationellen Selbstbestimmung wird durch die Betroffenen selbst herbeigeführt. Nach Maßgabe aktueller Angaben über Mitgliederzahlen wird beispielsweise Facebook von ca. 800 Millionen Menschen weltweit genutzt. Im Rahmen eines Standardprofils, das in einem sozialen Netzwerk angelegt wird, stellen die Nutzer bereitwillig umfangreiche Angaben über ihr berufliches und privates Umfeld ins Internet.
Bei Twitter aktive Nutzer berichten freiwillig über Details aus ihrem Tagesablauf.
Wer andere gerne am eigenen Nachtleben teilhaben lassen will, lädt Fotos von einem gelungenen Abend auf die Plattform www.nachtagenten.de. Es liegt auf der Hand, dass derlei Aufnahmen unter Umständen beruflich nicht wünschenswert sind. Der Spruch „What happens in Vegas, stays in Vegas“ hat längst keine Gültigkeit mehr.
Und wer sein berufliches Profil einer breiten Öffentlichkeit zugänglich machen will, veröffentlicht seinen beruflichen Werdegang auf www.xing.com.
Um nicht nur Beispiele aus dem Internet zu wählen, sei auf die Datenpreisgabe anlässlich der Teilnahme an Gewinnspielen verwiesen. Versuche haben gezeigt, dass ein Verbraucher nahezu jede Frage über sich, seine Adresse und seine Kontodaten offenbart, wenn dies vom Veranstalter eines Gewinnspiels als „Gegenleistung“ für die Teilnahme gefordert wird.
Von dieser eher unkontrollierten Preisgabe eigener personenbezogener Daten sind die Fälle zu unterscheiden, sich auf Grundlage der Einwilligung der Betroffenen personenbezogene Daten verschafft, um bestimmte Dienstleistungen anbieten zu können. Als Beispiel lässt sich hier die Finanzwirtschaft nennen. Vereinzelt ist bei den Einwilligungserklärungen der Finanzwirtschaft sinngemäß von einer normativen Parallelwelt die Rede. Der Grund für diese Bezeichnung liegt darin, dass durch die oft umfangreichen Einwilligungen ein bestimmter Umfang an erlaubten Datenverarbeitungsmaßnahmen geschaffen wird, der sich nicht mehr aus dem Gesetz ergibt. Von dem Ziel, das Zulässige aus dem BDSG ablesen zu können, ist die Rechtwirklichkeit in diesem Zusammenhang in der Tat weit entfernt.
b. Der deutsche Gesetzgeber plant auf das Phänomen der sozialen Netzwerke und der sogenannten Selbstentblößung im Internet mit gesetzlichen Regelungen zu reagieren, die den Arbeitgeber hinsichtlich der Internet-Recherche über Bewerber beschränken. So soll künftig die Internet-Recherche über Bewerber in sozialen Netzwerken für die berufliche Kommunikation nur noch zulässig sein, wenn der Betroffene informiert und einverstanden ist. Die Recherche in sozialen Netzwerken für die private Kommunikation ist nicht zulässig. Das sogenannte „Googeln“ nach interessanten Details über einen Bewerber soll künftig gleichfalls nur noch zulässig sein, wenn der Betroffene zuvor darauf hingewiesen wurde.
c. Es liegt auf der Hand, dass die geplanten gesetzlichen Regelungen dem Phänomen der eigenverantwortlichen Selbstgefährdung der Nutzer nicht werden Einhalt gebieten können. Der Verstoß gegen ein Verbot der Suchmaschinennutzung um nicht vom Kandidaten selbst erwähnte Details über diesen zu erfahren, dürfte sich schwer nachweisen lassen. Es kann indes als empirisch gesichert angesehen werden, dass mit der Entdeckungswahrscheinlichkeit zugleich die Bereitschaft sinkt, ein Verbot zu befolgen.
Zusammenfassend lässt sich festhalten, dass die rechtlichen und tatsächlichen Fragen der informationellen Selbstbestimmung uns mit Sicherheit noch viele Jahre beschäftigen werden. Gerade die neuen technischen Möglichkeiten, die globale Vernetzung von Computern über das Internet, die Verbreitung von Geolokalisationsdiensten und die zuvor genannten sozialen Netzwerke lassen die Schaffung einheitlicher rechtlicher Rahmenbedingungen zwingend erforderlich werden.
Ich bedanke mich sehr für Ihre Aufmerksamkeit.
Kontakt:
Prof. Dr. Michael Schmidl, LL.M. Eur.
Rechtsanwalt/Maître en Droit
Fachanwalt für IT-RechtBaker & McKenzie
Partnerschaft von Rechtsanwälten, Wirtschaftsprüfern, Steuerberatern und Solicitors
Theatinerstraße 23
80333 MünchenTel.: +49 89 55238 211
Fax: +49 89 55238 199E-Mail: Michael.Schmidl@bakermckenzie.com
www.bakermckenzie.com
Information bei neuen Entwicklungen im Datenschutz
Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über aktuelle Entwicklungen im Datenschutzrecht.
