1 Ausgangspunkt: Bulls „Netzpolitik“ (2013)

Der Beitrag von Bull ist ein pointiertes Werk. Es ist keine rechts-wissenschaftliche Monographie, kein Lehrbuch. Es ist auch kein Vorschlag, wie konkret das Datenschutzrecht der Zukunft aus-sehen soll. Bull versucht vielmehr, dem EU-und dem deutschem Gesetzgeber aus seinem Fach- und Erfahrungswissen eine Ta-gesordnung der notwendigen Änderungen im Datenschutz und verwandten Bereichen aufzustellen. Das Werk richtet sich nicht in erster Linie an den Fachjuristen, sondern hat mit seinem wenig fachsprachlichen Schreibstil einen weiten Adressatenkreis. Da-bei kristallisiert er Datenschutzthemen heraus, die den Betrof-fenen besonders belasten; u. a. Erstellung von Profilen über Ver-braucher, Umfang der Datenverarbeitung durch soziale Netzwer-ke wie Facebook, Kontrollen von Arbeitnehmern, Kreditauskunf-teiverfahren, Data Mining, Direktwerbung, Gesundheitsdaten-verarbeitung.4 Jedem Datenschützer dürfte jedenfalls bewusst sein, dass Bull damit wesentliche aktuelle Probleme des Daten-schutzes aufzählt.

Das Werk von Bull fordert dabei zugleich, sich auf die wesent-lichen, ja existenziellen Risiken der Verwendung von personen-bezogenen Daten zu konzentrieren.5 Daher solle das Prinzip des Datenschutzrechts künftig heißen: „Was nicht verboten ist, ist er-laubt“.6

* Dr. Philipp Kramer Rechtsanwalt, Beratungsbüro Gliss & Kramer KG, Hamburg

1 Weichert, Thilo, Wider das Verbot mit Erlaubnisvorbehalt im Datenschutz?, DuD 2013, S. 246ff.

2 Weichert, Thilo, Wider das Verbot mit Erlaubnisvorbehalt im Datenschutz?, DuD 2013, S. 246ff.

3 Weichert, Thilo, Wider das Verbot mit Erlaubnisvorbehalt im Datenschutz?, DuD 2013, S. 246ff.

4 Bull, a.a.O., S. 145.5 Bull, a.a.O., S. 145.6 Bull, a.a.O., S. 136.

2 Die „großen Würfe“ im Datenschutzrecht

Jahrelang wurde vielfach die Notwendigkeit einer grundlegenden Modernisierung des Datenschutzes eingefordert.7 Für den „gro-ßen Wurf“ fehlt allerdings die wissenschaftliche Basis. Das Gut-achten von Roßnagel, Pfitzmann und Garstka8 ist inzwischen in die Jahre gekommen. 2009 wurden daher auch keine grundle-genden Änderungen des Bundesdatenschutzgesetzes vorgenom-men, sondern kritische Datenverarbeitungen, nämlich die Daten-verarbeitung durch Auskunfteien9, für Werbezwecke10 und beim Scoring11 geregelt. Von dem zunächst angedachten „mittleren Wurf“, das Einwilligungsprinzip im Rahmen der Werbedaten-verarbeitung für alle Fälle einzuführen, wurde bewusst Abstand genommen.

Einen neuen „großen Wurf“ versucht unter anderem das Bun-desinnenministerium mit der teilweise verpönten Idee der „ro-ten Linie“. Offiziell wurde sie vom Bundesinnenminister 2010 aus der Taufe gehoben.12 Mit dem „Rote-Linie“-Ansatz wird die Idee

7 Siehe nur 70. Konferenz der Datenschutzbeauftragten des Bundes und der Länder, Oktober 2005, Abs. 1 Satz 1 („Es bedarf einer grundlegenden Modernisie-rung des Datenschutzrechtes.“; http://www.bfdi.bund.de/SharedDocs/Publika-tionen/Entschliessungssammlung/DSBundLaender/70DSK-AppellDerDatenschutzbeauftragtenDesBundesUndDerLaender-EineModerneInformationsgesellschaftBrauchtMehrDatenschutz.pdf?__blob=publicationFile; 15.04.13). Instruktiv auch Übersicht des BfDI unter http://www.bfdi.bund.de/DE/Schwerpunkte/Mo-dernisierungDS/ArtikelNational/Chronologie.html;jsessionid=DD56D3707EC26190B81625BC2F77B646.1_cid344?nn=1091786; 15.04.13.

8 Modernisierung des Datenschutzrechts, Gutachten im Auftrag des Bundes-ministeriums des Innern, September 2001, http://www.bfdi.bund.de/Shared-Docs/VortraegeUndArbeitspapiere/2001GutachtenModernisierungDSRecht.pdf?__blob=publicationFile; 15.04.13.

9 § 28a BDSG.10 § 28 Abs.3 bis 3b BDSG.11 § 28b BDSG.12 Gesetzentwurf des Bundesinnenministeriums zum Schutz vor besonders

schweren Eingriffen in das Persönlichkeitsrecht, 1. Dezember 2010; http://www.bmi.bund.de/SharedDocs/Downloads/DE/Themen/OED_Verwaltung/Informa-tionsgesellschaft/rote_linie.html?nn=109628; 15.04.13.

Philipp Kramer*

Verbot mit Erlaubnisvorbehalt zeitgemäß?

Anmerkung zu Weicherts „Wider das Verbot mit Erlaubnisvorbehalt im Datenschutz?“1

Der Schleswig-Holsteinische Landesdatenschutzbeauftragte Dr. Weichert kritisiert heftig das Netzpolitik-Buch2 des ersten Bundesbeauftragten für Datenschutz Professor Bull, weil dieser das Verbotsprinzip3 des deutschen Datenschutzrechts in Frage stellt. Nach Überzeugung des Autors ist die Kritik an Bulls Denkanstoß nicht angemessen. Sie lässt eine Rechtfertigung für die von Weichert vertretene Notwendigkeit des Verbotsprinzips missen.

380 DuD • Datenschutz und Datensicherheit 6 | 2013

FORUM

ins Datenschutzrecht eingebracht, zumindest auch Vorschriften zu schaffen, die konkrete Verarbeitungen von personenbezoge-nen Daten in jedem Fall verbieten. Es soll damit per Regelung for-muliert werden, wann einzelne Verarbeitungen personenbezo-gener Daten gewissermaßen unerträglich werden.13 Grenzen, die bisher durch Gerichte, Aufsichtsbehörden, Rechtswissenschaft-ler und Datenschutzbeauftragte gezogen werden, würden dann mehr durch den Gesetzgeber gesetzt.

Gern werden heute dieser „Rote-Linie“-Ansatz und das Ver-botsprinzip gegenüber gestellt. Dabei steht das Verbotsprinzip ty-pischerweise vereinfachend für die Idee, dass jede Datenverarbei-tung Risiken für Betroffene birgt und unerwünscht wie riskant sein kann. Der „Rote Linie“-Ansatz wird gern auf als Stichwort für eine Position genutzt, die den Datenschutz reduziert sehen will auf die Beschränkung des Verbots mit Erlaubnisvorbehalt. So wird teilweise vorgeschlagen, das Prinzip des Verbots mit Er-laubnisvorbehalt nur bei sensitiven Daten wie Gesundheitsdaten anzuwenden.14

3 Zum Verbotsprinzip einer (EU-)DS-GVO

Der Entwurf einer Datenschutz-Grundverordnung vom 25.01.2012 (DS-GVO-E)15 geht diesen Fragen der Modernisie-rung materieller Datenschutzvorschriften weitgehend aus dem Weg. Statt einer grundlegenden Neukonzeption steht mit dem Entwurf der DS-GVO-E eine reformierte EU-Datenschutzrichtli-nie von 199516 in Gestalt eines EU-Gesetzes („Verordnung“17) zur Bewertung an. Allein die wichtige Frage, welche Pflichten ein so-ziales Netzwerk wie Facebook beim Umgang mit den Daten sei-ner Nutzer einzuhalten hat, wird nur angerissen.18 Hohe Buß-geldsummen19 klingen bedrohlich. Sie sind jedoch nicht mit neu-en Schutzkonzepten und Regeln versehen, die den Nutzern einen konkreten Schutz bieten würden. Dazu könnten auch neue kla-re und anwendbare Verbote gewisser risikoreicher Verarbeitun-gen gehören.

Die DS-GVO-E ist vielmehr sehr allgemein gehalten, um eben die Vielzahl von Mitgliedsstaaten mit ihren eigenen Vorstel-lungen zum Datenschutzrecht unter einen Hut zu bekommen. Kommt die DS-GVO-E, so wird insbesondere die bisher be-stehende deutsche Pflicht zur Bestellung eines Datenschutzbeauf-tragten, eine entscheidende Schutzzentrale im deutschen Daten-schutzrecht, im Wesentlichen wegfallen. Auch die bereits geschaf-fenen Präzisierungen des deutschen Datenschutzrechts, wie unter

13 Der kritisierte Autor Bull hatte diesen „Rote-Linie“-Ansatz bereits 2011 aus-drücklich anerkannt: Bull, Persönlichkeitsschutz im Internet: Reformeifer mit neu-en Ansätzen, NVwZ 2011, 257ff.

14 Schneider/Härting, Warum wir ein neues BDSG brauchen?, ZD 2011, 63ff., 15 http://ec.europa.eu/justice/data-protection/document/review2012/

com_2012_11_de.pdf, 15.04.13.16 Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24.

Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personen-bezogener Daten und zum freien Datenverkehr, http://eur-lex.europa.eu/LexUri-Serv/LexUriServ.do?uri=CELEX:31995L0046:DE:NOT (15.04.13).

17 Art. 288 Satz 3 Vertrag über die Arbeitsweise der Europäischen Union („gilt unmittelbar in jedem Mitgliedstaat“), http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:C:2010:083:0047:0200:de:PDF.

18 Der einzige Neuerung bezogen auf soziale Netzwerke, der Grundsatz der Datenübertragbarkeit (Portabilität) nach Art. 18 DS-GVO-E, ist mit seinem Ziel, Anbieter wechseln zu können, weniger eine Datenschutzvorschrift denn verbraucherschützend.

19 Bis 2 % des Weltumsatzes des pflichtwidrig handelnden Unternehmens, Art. 79-DS-GVO-E.

anderem für Auskunfteien, für Werbedatenverarbeitung, für das Scoring und für die Videoüberwachung würden wegfallen.

Gleichzeitig will die DS-GVO-E alle Lebenssachverhalte mit Verarbeitung personenbezogener Daten erfassen. Da es an kon-kreten Regelungen mangelt, würde die Zulässigkeit der meisten Sachverhalte von dem Ergebnis der Güterabwägung abhängen. Sie findet sich – ähnlich wie im BDSG20 formuliert – in Art. 6 Abs. 1 Buchstabe f DS-GVO-E. Danach ist grob formuliert die Verarbeitung zulässig, bis das Geheimhaltungsinteresse der Be-troffenen schwerer wiegt als das Verwendungsinteresse des Ver-arbeiters.21 Das Verbot mit Erlaubnisvorbehalt soll unter Ein-schluss des Abwägungsprinzips auch in der DS-GVO-E imple-mentiert werden.

Die gegenwärtigen drängenden Probleme des Datenschutzes löst die Vorschrift damit nicht. Die Abwägung wird weiterhin vorzunehmen sein. Die bisher gewonnenen Rechtskenntnisse im deutschen Recht würden auf die DS-GVO-E nicht einfach über-tragbar sein. Der konzipierte Datenschutzausschuss soll nach Vorstellungen der EU-Kommission diese Präzisierungen für Fallgruppen (fort-)entwickeln.22 So schafft das Prinzip des Ver-bots mit Erlaubnisvorbehalt nur den Eindruck von Rechtssicher-heit. Es ist darauf angewiesen, dass die Abwägung für die vie-len Fallgruppen erneut durchgeführt wird. Dazu kommt, dass der Kompass in der Tat fehlt. Abgewogen werden muss in jedem Fall auch künftig.

Festzuhalten bleibt, dass die gegenwärtige Konstruktion des Verbots mit Erlaubnisvorbehalt unter Privaten wie zwischen Unternehmen und Verbrauchern verfassungsrechtlich nicht zwingend ist.23 Will der Staat in die informationelle Selbstbestim-mung eingreifen, hat er hierfür ein Gesetz zu schaffen, das die wesentlichen Fragen regelt. Dieser Gesetzesvorbehalt gilt jedoch nicht im Bürger-Bürger-Verhältnis. Hier sind heute die Grund-rechtspositionen des informationellen Selbstbestimmungsrechts und der Meinungsfreiheit,24 der Berufsfreiheit sowie das Eigen-tumsrecht vielfach miteinander abzuwägen. So hat zwar jeder aus der informationellen Selbstbestimmung heraus das Recht, grund-sätzlich „selbst über die Preisgabe und Verwendung seiner per-sönlichen Daten zu bestimmen“. Doch der „Einzelne hat nicht ein Recht im Sinne einer absoluten, uneinschränkbaren Herr-schaft über ‚seine‘ Daten.“25 Das Prinzip des Verbots mit Erlaub-nisvorbehalt mag seine Zweckmäßigkeit haben. Sie liegt jedoch nicht darin, die Entscheidung über die Zulässigkeit oder Unzu-lässigkeit einer Datenverarbeitung einfach zu machen. Das Ver-botsprinzip nimmt dem Rechtsanwender nicht die Arbeit ab, die grundrechtliche Abwägung bei einem konkreten Datenumgang26 durchzuführen, um die Zulässigkeit zu bewerten.

20 § 28 Abs. 1 Satz 1 Nr. 2 BDSG.21 Allerdings ist der Schutz der DS-GVO-E vom Wortlaut her schwächer. Nach

BDSG genügte bereits, wenn die bloße Annahme besteht, dass das Geheimhal-tungsinteresse des/der Betroffenen schwerer wiege als das Verwendungsinteres-se des Verarbeiters.

22 Art. 66 DS-GVO-E.23 So jedoch Weichert, a.a.O., S. 246 sowie differenzierenden, den Abwä-

gungsgesichtspunkt von Grundrechtspositionen herausstellend Weichert, Wem gehören die privaten Daten?, in: Taeger/Wiebe (Hrsg.), Informatik – Wirtschaft – Recht, 2004, S. 281ff.

24 Die DS-GVO-E sieht in Art. 80 Abs. 1 Satz 1 ausdrücklich allein die Mei-nungsfreiheit zu journalistischen, künstlerischen und literarischen Zwecken vor.

25 Bundesverfassungsgericht,15.12.83, 1 BvR 209, 269, 362, 420, 440, 484/83, http://www.servat.unibe.ch/dfr/bv065001.html, 15.04.13.

26 Der Oberbegriff jeder „Datenverarbeitung“ ist nach § 1 Abs. 1 BDSG noch der Datenumgang. Nach Art. 4 Nr. 3 DS-GVO-E soll künftig „Verarbeitung“ alle Vorgänge des Datenumgangs, von der Erhebung bis zur Löschung, erfassen. Der

DuD • Datenschutz und Datensicherheit 6 | 2013 381

FORUM

4 Zu Weicherts Kritik

Weichert formuliert, dass Bulls Werk zur Netzfreiheit „bei wohlwollender Betrachtung[,] Ausdruck einer nicht abgeschlossenen Selbstfindungsphase und der eigenen Zerrissen-heit zwischen der Hoffnung auf einfache Lösungen und der Kapitulation vor der recht-lichen Komplexität der neuen technisch und kommerziell getriebenen Internetphäno-mene“ sei.27 Zudem habe sich Bull vom Thema der Internetdatenschutzregeln mit sei-nem Beitrag „verabschiedet“. 28 Bull argumentiere „offensichtlich mit dem Ziel, […] Inter-netfirmen neue kommerzielle sowie Sicherheitsbehörden informationell-exklusive Frei-räume zu verschaffen“. 29

Diese Form der Kritik wird der Ernsthaftigkeit der Auseinandersetzung nicht gerecht. Man mag Bulls rechtspolitische Ansichten nicht teilen und aufs Korn nehmen. Auch ist es natürlich zulässig, in Frage zu stellen, was Bull an Behauptungen nennt. Denn auf sei-nen Behauptungen stützt Bull seine Schlussfolgerungen. Geht man beispielsweise wie Bull davon aus, dass „große Mengen personenbezogener Daten gelöscht werden, weil dies gesetzlich vorgeschrieben ist“30 oder weil soziale Netzwerke aus Kostengründen spar-sam mit Speicherplatz umgehen würden oder verneint man Persönlichkeitsprofile, weil sie doch nur auf möglicherweise falschen Schlussfolgerungen analytischer Systeme be-ruhen, kommt man in Sachen Datenschutz zu anderen Ergebnissen. Es wären also die Annahmen Bulls auf ihre tatsächliche Richtigkeit zu untersuchen.

Ein Beitrag hätte auch provozierend entgegnen können, dass dessen „Vertrauens“-An-satz31 kaum zu rechtlichen Schlussfolgerungen taugt. Denn rechtliche Regeln werden ge-rade dort geschaffen, wo das Vertrauen in den Staat oder Gegenüber gestört ist. Unse-re Gesellschaft verzichtet nicht auf die Führerscheinpflicht, auch wenn sich viele Men-schen im Straßenverkehr ordnungsgemäß verhalten oder die Führerscheinpflicht jeden-falls keine hinreichende Präventionswirkung entfaltet.

Doch darum geht es in dem Beitrag nicht. Er beschränkt sich auf einen einseitigen Schlagabtausch, der wenig hilfreich ist für die an konstruktiven Diskussionsbeiträgen interessierten Leserinnen und Leser einer Datenschutzzeitschrift. Der Versuch, einen wichtigen Denker im Datenschutz auszuschließen, ist so wenig nachvollziehbar wie die Bezichtigung der Rede in wirtschaftlicher Abhängigkeit32. Stattdessen wären Argumen-te und Vorschläge erwünscht gewesen, die das Thema des Datenschutzrechts angesichts seines Gangs zu einer europäischen Kodifizierung weiterbringen. Weichert hätte die von ihm vertretene Notwendigkeit des Verbotsprinzips als Kernelement der zu führenden Datenschutzdebatte detaillierter begründen sollen. Bull mag das komplexe Geflecht von Datenschutzregeln bewusst nicht auffächern, sondern einen allgemeinverständlichen Kompass für das Datenschutzrecht konstruieren. Dies rechtfertigt den teilweise verlet-zend wirkenden Angriff Weicherts nicht.

Unabhängig davon belegen die Beiträge von Bull wie Weichert, dass die Zeit des „großen Wurfs“ im Datenschutzrecht noch lange nicht gekommen ist und vielleicht nie kommt. Rechtspolitische Fleißarbeit mit anschließenden Diskussionen auf der Sachebe-ne ist gefordert. Es bleibt zu wünschen, dass die Wege dahin durch Toleranz der Betei-ligten mehr geöffnet als geschlossen werden.lästige „Vierklang“ aus „ Erheben, Speichern, Verändern oder Übermitteln “, siehe nur § 28 Abs. 1 Satz 1 BDSG, wird dann entfallen.

27 Weichert, a.a.O., S. 249.28 Weichert, a.a.O., a.a.O.29 Weichert, a.a.O., S. 246.30 Bull, a.a.O., S. 45.31 „Vertrauens“-Ansatz meint nach Bull die Überlegung, dass öffentliche Stellen nur mit einem Mindest-

maß an Vertrauen funktionieren könnten und darauf auch der Datenschutz setzen müsse; Bull, Netzpolitik, S. 148. Es gäbe daher viele Datenverarbeitungen, die zulässig sein müssten, die keinem Verbot unterliegen müssten; Bull, a.a.O., S. 141.

32 Für einen Wechsel von der Politik in die Wirtschaft fehlt jeder Anhaltspunkt.

Volker HischeWege zum projektorien-tierten UnternehmenWie eine effektive Projektkultur die Zukunft Ihres Unternehmens sichert

2012. XII, 268 S. mit 78 Abb. Geb. € (D) 39,95ISBN 978-3-8349-3244-0Um als Unternehmen die Zu-kunft erfolgreich zu gestalten, brauchen Unternehmen Inno-vationen. Innovation entste-hen aus erfolgreicher Projekt-arbeit. Erfolgreiche Projekt-arbeit braucht gemeinsame Spielregeln. Effektive Spielre-geln ergeben sich aus dem Ansatz der projektorientierten Organisation. Dieses Buch beschreibt anhand von Praxis-beispielen, was eine projekt-orientierte Organisation aus-zeichnet und wie sie sich ein-führen lässt. Ein sehr nützliches Buch, das konkret die Schwie-rigkeiten und Stolpersteine, aber auch die Vorteile und An-wendungserfolge bei der Einführung einer projektorien-tierten Kultur und Organisation beschreibt.

Änd

erun

gen

vorb

ehal

ten.

Erh

ältli

ch im

Buc

hhan

del

od

er b

eim

Ver

lag.

springer-gabler.de

Mehr Innovationen

und Erfolg durch

eine effektive

Projektkultur im

Unternehmen

Einfach bestellen: SpringerDE-service@springer.com Telefon +49 (0)6221 / 3 45 – 4301

382 DuD • Datenschutz und Datensicherheit 6 | 2013

FORUM