Art. 85 DSGVO, die Meinungsfreiheit und das datenschutzrechtliche Verbotsprinzip
Ein Gastbeitrag von Dr. Malte Engeler im Rahmen der Artikelreihe „Disconnecting Frameworks” in Kooperation mit der PinG.
Nicht alle Kontroversen des Datenschutzrechts gehen auf das Konto der DSGVO. Einige erhalten durch die aktuellen Debatten um ihre Umsetzung in den Bundesländern aber neue Aufmerksamkeit. Dazu gehört derzeit ganz besonders Art. 85 DSGVO, der vorsieht, dass die Mitgliedsstaaten durch Rechtsvorschriften das Recht auf den Schutz personenbezogener Daten mit den Kommunikations-Grundrechten in Einklang bringen sollen.
Diese Öffnungsklausel ist verbindlich. Die Mitgliedsstaaten haben also keine Wahl, ob sie von der Öffnungsklausel, die insoweit treffender als Ausgestaltungsauftrag zu bezeichnen ist, Gebrauch machen. Da das Presserecht in die Gesetzgebungskompetenz der Länder fällt, besteht insoweit primär Handlungsbedarf bei den Landesgesetzgebern und in ihren vielfältigen Umsetzungsgesetzen anlässlich des Geltungsbeginns der DSGVO am 25. Mai 2018. Die dabei entstehenden Herausforderungen sind bereits im Beitrag von Jan Mönikes diskutiert worden, der das Ende der modernen Presse- und Öffentlichkeitsarbeit (wie wir sie kennen) fürchtet, sofern die Landesgesetzgeber nicht tätig werden.
Während sich jener Beitrag schwerpunktmäßig mit der professionellen Pressearbeit und dem Medienrecht befasst, soll in diesem Artikel das Augenmerk auf den Konflikt zwischen Meinungsäußerungen und dem datenschutzrechtlichen „Verbot mit Erlaubnisvorbehalt“ gelegt werden. Es soll dabei gezeigt werden, dass eine voreilige Abschaffung des Verbots mit Erlaubnisvorbehalt nicht nur zu Widersprüchen mit dem Ziel der DSGVO führt, die großen Social Media Plattformen zu bändigen, sondern auch Regelungslücken im Bereich der Auftragsverarbeitung erzeugen könnte. In der Diskussion um die Umsetzung des Art. 85 DSGVO sollte vermieden werden, „das Kinde mit dem Bade auszuschütten“.
Private Meinungsäußerung und die DSGVO
Die Kollision zwischen Meinungsäußerungsfreiheit (Art. 5 Abs. 1 S. 1 GG, Art. 11 Abs. 1 EU-GRCh) und dem Datenschutzgrundrecht (Art. 8 EU-GRCh) ist evident. In Zeiten von Twitter, Facebook, Blogs und Messenger-Gruppen findet kaum noch eine Meinungsäußerung ohne Verarbeitung personenbezogener Daten statt. Seien es die IP-Adresse der Besucherin des eigenen Twitter-Accounts, der Name einer Kommentatorin in einem Online-Forum oder Meta-Daten bei einer hitzigen Debatte in einer Chat-Gruppe. All diese privaten Meinungsäußerungen unterfallen zunächst einmal der DSGVO, die zur Ausformung des Art. 8 EU-GRCh ab Mai 2018 Geltung erlangt.
Mit der DSGVO kommt sodann auch ihr umstrittenes Herzstück zur Anwendung, das „Verbot mit Erlaubnisvorbehalt“ (das als „Verbot mit Regelungsvorbehalt“ besser benannt ist, denn behördliche Genehmigungsvorbehalte für Datenverarbeitungen sind die Ausnahme). Dieses besagt: Grundsätzlich ist die Verarbeitung von personenbezogenen Daten untersagt, solange es keine gesetzliche Grundlage für ihre Verarbeitung gibt. Meinungsäußerungen hingegen sind grundsätzlich frei und nur ausnahmsweise, etwa durch Vorgaben des Strafrechts (§§ 103, 140 oder 185 StGB), eingeschränkt. Den daraus entstehenden Konflikt hat lesenswert bereits Thomas Stadler aufgearbeitet, der in seinem Betrag zu dem naheliegenden Schluss kommt, dass die DSGVO insoweit ein Regelungskonzept verfolgt, das nicht mit grundrechtlichen Wertungen vereinbar scheint.
Lösung des Konflikts mit Hausmitteln der DSGVO?
Dieser Konflikt ist mit den Hausmitteln der DSGVO nicht unmittelbar zu lösen. Zwar sieht die DSGVO in Art. 2 Abs. 2 lit. c DSGVO eine Ausnahme vor für die Verarbeitung personenbezogener Daten durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten (die sog. „Household-Exemption“). Diese Ausnahme dürfte in den allermeisten Fällen aber nicht greifen, da die Privilegierung mit Blick auf die Lindqvist-Entscheidung des EuGH ausscheidet, wenn eine Veröffentlichung von Daten im Internet vorliegt und die Daten einer unbegrenzten Zahl von Personen zugänglich gemacht werden. Denkbar wäre mit Blick auf die Entscheidung des Amtsgerichts Bad Hersfeld (hier eine Aufarbeitung durch den Autor) einzig, dass die persönliche Kommunikation in geschlossenen Messenger-Chats noch der Household-Exemption unterfällt. Mit Blick darauf, dass die Lindqvist-Entscheidung Ereignisse vor 20 Jahren zum Gegenstand hatte und vor dem Hintergrund, dass der EuGH sich zu einer möglichen neuen Auslegung des Art. 2 Abs. 2 lit. c DSGVO noch nicht äußern konnte, ist es nicht auszuschließen, dass auch die private Messenger-Nutzung der Anwendung des DSGVO unterworfen sein könnte. Die mit der Nutzung solcher Dienste einhergehende Einbeziehung Dritter sprengt in den Augen Einiger jedenfalls die Grenzen dessen, was der persönlichen Tätigkeit zuzuordnen ist und zwar unabhängig davon, wie groß der Empfängerkreis im Einzelfall ist.
Ein zweiter Ausweg böte sich darin, die private Meinungsäußerung auf Twitter & Co. zwar der DSGVO unterfallen zu lassen, den privaten Nutzern aber die Verantwortlichkeit im Sinne der Art. 4 Nr. 7, 8 DSGVO abzusprechen. Bisher haben die Rechtsprechung und Stimmen aus der Literatur diese Verantwortlichkeit am Beispiel des Betriebs von Facebook-Seiten tatsächlich auch abgelehnt, da beim Betrieb derartiger Social Media-Auftritte vermeintlich keine Kontrolle über die Mittel der Datenverarbeitung bestehe. Dies weitergedacht, wäre es also naheliegend, auch private Accounts in Social Media-Netzen, auf Blogging-Plattformen oder eben auch bei Messeging-Diensten mangels Kontrolle über die technischen Hintergründe aus der Verantwortlichkeit auszunehmen. Dass sich diese Position unter Geltung der DSGVO nicht wird halten können, ist hier dargestellt, und zuletzt durch Generalanwalt Bot im EuGH-Verfahren „Wirtschaftsakademie“ bestätigt worden. Wie sich der EuGH in dieser Frage endgültig positionieren wird, ist freilich noch offen, derzeit deutet allerdings Vieles darauf hin, dass auch private Nutzer auf Twitter & Co. verantwortlich für die dort in ihrem Interesse durchgeführte Datenverarbeitung sind.
Es bleibt daher festzuhalten: Auch die für Zwecke der privaten Meinungsäußerung auf Internetplattformen stattfindende Datenverarbeitung unterliegt dem Regelungsvorbehalt und ist damit rechtswidrig, sofern die Meinungsäußernden nicht eine Rechtsgrundlage (etwa Art. 6 Abs. 1 lit. a) oder lit. f) DSGVO) für sich anführen können.
Mitgliedsstaatliche Rechtsprechung als Ausweg?
Vereinzelt wird nun darauf hingewiesen, dass der Konflikt zwischen Datenschutz und Meinungsäußerung auch bisher durch die deutschen Gerichte im Wege der Abwägung gelöst wurde. Dem deutschen Verständnis nach ist das Datenschutzrecht vorrangig eine Facette des Allgemeinen Persönlichkeitsrechts, das als offenes Grundrecht ohnehin nur im Wege der Einzelfallbetrachtung konturiert werden kann. Das führte bisher dazu, dass die Gerichte bei der Abwägung mit der Meinungsfreiheit stets einen ausreichenden Spielraum für dem Einzelfall gerechte Lösungen hatten. Das Bundesverfassungsgericht entschied so etwa in einem Beschluss vom 29.06.2016, dass wahre Tatsachenbehauptungen über Vorgänge aus der Sozialsphäre grundsätzlich hinzunehmen sind. Das Besondere am dortigen Sachverhalt war allerdings, dass Tatsachenbehauptungen auf Internet-Portalen geäußert wurden (ein Kunde bemängelte einen zahlungssäumigen Handwerker). Die Meinungsäußerung setzte folglich notwendigerweise die Verarbeitung personenbezogener Daten durch den Meinungsäußernden voraus.
Trotzdem erwähnte das Bundesverfassungsgericht weder das Recht auf informationelle Selbstbestimmung noch das datenschutzrechtliche Verbot mit Erlaubnisvorbehalt. Wie das Bundesverfassungsgericht um beides herumgekommen ist, bleibt ein Geheimnis. Konsequenter Weise hätte doch auch das Bundesverfassungsgericht fragen müssen, auf welcher gesetzlichen Grundlage der Kunde die personenbezogenen Daten des Handwerkers verarbeiten durfte und im Falle des Fehlens einer solchen verfassungsrechtliche Bedenken an der Vereinbarkeit des BDSG mit Art. 5 GG anmelden müssen. Das ist jedoch nicht geschehen.
Stattdessen verfährt die deutsche Rechtsprechung bisher in aller Regel in gleicher Weise und wägt stets zwischen dem Recht auf Meinungsäußerung auf der einen und dem Allgemeinen Persönlichkeitsrecht auf der anderen Seite ab. Ob dies unter Geltung der DSGVO genauso bleiben wird, gilt es abzuwarten. Tatsächlich hat sich bezüglich der Anwendung des Datenschutzrechts auf die Verarbeitung personenbezogener Daten zu Zwecken der Meinungsäußerung nämlich nichts geändert. Schon unter Geltung des (bald alten) BDSG gab es kein Privileg für die Meinungsäußerung, sondern gemäß § 41 BDSG ausschließlich eines für journalistisch-redaktionelle oder literarische Zwecke. So bleibt der Widerspruch zwischen grundsätzlichem Verbot und grundsätzlicher Erlaubnis auch mit der DSGVO zwar ungeklärt, die Diskussion um den Art. 85 DSGVO treibt im Grunde aber nur eine bekannte Sau durchs Dorf. Geändert hat sich einzig, dass die Gerichte anstelle des Bundesverfassungsgerichts nun den EuGH anrufen müssten, worauf auch Stadler hinweist.
Zyniker könnten letztlich auf die Untätigkeit der Datenschutzaufsichtsbehörden hoffen, die private Meinungsäußerungen mit größter Wahrscheinlichkeit ohnehin nicht verfolgen werden und in der Konsequenz so verhindern würden, dass der Konflikt zwischen Meinungsfreiheit und DSGVO überhaupt vor die Gerichte kommt. Legislative Fehler aber durch exekutive Untätigkeit heilen zu wollen, ist kaum eine rechtsstaatliche Antwort. Vor allem wird das die zu befürchtende DSGVO-Abmahnwelle nicht verhindern.
Abschaffung des Verbots mit Regelungsvorbehalt ist keine Antwort
Als Antwort wird stattdessen vorgeschlagen, das Verbot mit Regelungsvorbehalt für den Bereich der Meinungsäußerung kategorisch abzuschaffen. Da Art. 85 Abs. 2 DSGVO ausdrücklich Abweichungen von den Regelungen u.a. des 2. Kapitels der DSGVO erlaubt und das Verbot mit Regelungsvorbehalt in Art. 6 DSGVO, also im 2. Kapitel, aufgeführt ist, scheint ein entsprechendes Vorgehen jedenfalls nicht von vorherein ausgeschlossen.
In diesem Zusammenhang darf man nun miterleben, dass dieser „Riss in der Festung des Verbotsprinzips“ all jene Kritiker wieder auf den Plan ruft, die dieses Prinzip ohnehin schon immer als Hypertrophie des Datenschutzrechts empfunden haben. So wird im Rahmen der Diskussion um Art. 85 DSGVO derzeit nicht selten die Gelegenheit genutzt, altbekannte rechtspolitische Kritik an einer starken Datenschutzregulierung erneut zur Sprache zu bringen. Die Abschaffung des Verbots mit Regelungsvorbehalt ist aber keine Antwort auf den Konflikt, den Art. 85 DSGVO adressiert. Zum einen gibt es das Verbot mit Regelungsvorbehalt mit gutem Grund, zum anderen würde ein solches Vorgehen auch unerwünschte Folgen für die Regulierung der Betreiber der im Hintergrund beteiligten Infrastrukturen haben.
Das Verbot mit Regelungsvorbehalt trägt der Bedeutung der Datenverarbeitung für alle Bereiche einer digitalisierten Gesellschaft Rechnung. Alltägliches Verhalten ist dank ubiquitärer Datenverarbeitung verwertbar, analysierbar und lenkbar geworden. Vermeintlich unsensible Informationen können, in Daten manifestiert und verwertet, erhebliche Auswirkungen auf alle Bereiche des gesellschaftlichen Zusammenlebens haben. Im obigen Beispiel des säumigen Handwerkers mögen etwa die Eingriffe in dessen Persönlichkeitsrechte vernachlässigbar gewesen sein, die für jedermann auswertbaren Informationen über seine in der Vergangenheit zweifelhafte Bonität bleibt aber von Relevanz für seine ebenfalls grundrechtlich geschützte Betätigung (Art. 12 GG). Unterlässt es der Staat, diesem Grundrecht auch in der Beziehung zwischen Privaten Wirksamkeit zu verschaffen, wird er seinem Schutzauftrag nicht gerecht. Auch die dank der technischen Entwicklung des modernen Netzes potentiell grenzenlose Reichweite jeder digital verbreiteten Meinung kann den Betroffenen in bisher unerreichtem Maße Eingriffen in eine Vielzahl von grundrechtlich geschützten Freiheiten aussetzen. Nicht zuletzt die auf Basis alltäglicher Kommunikation erstellten Interessenprofile von 50 Millionen Facebook-Nutzenden und die darauf aufbauende Beeinflussung demokratischer Prozesse durch Anbieter wie Cambridge Analytics zeigt, dass die Verarbeitung personenbezogener Daten mit guten Gründen einem grundsätzlichen Regulierungsvorbehalt unterworfen ist.
Ganz konkret zeigt sich die Bedeutung des Verbots mit Regelungsvorbehalt, wenn man gedanklich durchspielt, welche Folge dessen Abschaffung im Bereich der Meinungsäußerung auf die Regulierung von Netzplattformen hätte. Zwar wäre die Meinungsäußernde zunächst von ihrer Pflicht befreit, eine Rechtsgrundlage für die mit ihrer Meinungsäußerung zusammenhängenden Datenverarbeitungen anzuführen. Die logische Konsequenz wäre aber auch, dass die im Rahmen dieser Datenverarbeitung im Interesse der Meinungsäußernden tätigen Dienstleister ebenfalls von den Anforderungen der DSGVO ausgenommen wären. Mangels Rechtfertigungspflichtigkeit der Datenverarbeitung der Nutzerin wären auch Facebook und Twitter als Auftragsverarbeiter privilegiert, da die erlaubnisfreie Datenverarbeitung (der Systematik der DSGVO folgend) aufgrund der privilegierenden Wirkung der Auftragsverarbeitung ebenfalls keiner Rechtfertigung bedürfte. Es ließe sich zwar vertreten, die Verarbeitung der Meinungsäußernden und jene der dabei eingeschalteten Dritten zu trennen und nur letztere weiterhin dem Regelungsvorbehalt zu unterwerfen. Dies würde aber nicht nur das bisherige Geflecht um die Verantwortlichkeit überfordern, sondern würde die Privilegierung der (Meinungsäußerung der) Nutzenden praktisch in vergleichbarer Weise verhindern. Es wäre schließlich wenig gewonnen, die Nutzenden vordergründig aus dem Regelungsvorbehalt auszunehmen, um sie etwa von der Pflicht zur Suche nach einer Rechtsgrundlage zu befreien, um diese Pflicht unverändert dem die Meinungsäußerung ermöglichenden Dienst aufzuerlegen. Das Ergebnis wäre unverändert das (mittelbare) Verbot der Datenverarbeitung.
Lösungsvorschlag
Die Lösung kann daher nur die Schaffung angemessener Rechtsgrundlagen unter Beibehaltung des Verbots mit Regelungsvorbehalt sein. Dabei wäre es denkbar, schlicht Art. 6 Abs. 1 lit. f DSGVO zu bemühen, der ausdrücklich die Datenverarbeitung zur Wahrung der berechtigten Interessen der Verantwortlichen (hier: der Meinungsäußernden) umfasst und nur dort seine Grenzen findet, wo Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person überwiegen. Die Ausübung der Meinungsfreiheit dürfte sich unproblematisch unter die Interessen der verantwortlichen Nutzer subsumieren lassen. Im Ergebnis bliebe es dann bei der bekannten Abwägung und das Verbot mit Regelungsvorbehalt würde auf eine der Systematik des Datenschutzrechts geschuldete handwerkliche Sauberkeit ohne effektive Auswirkung auf die grundsätzlich vorbehaltlos garantierte Meinungsfreiheit reduziert.
Da die Mitgliedsstaaten mit Art. 85 DSGVO auch keine Öffnungsklausel dafür erhalten haben, Eingriffe in die Meinungsfreiheit zu verstärken, sondern diese lediglich auszugleichen, wäre auch der berechtigten Sorge begegnet, dass demokratiefernere Mitgliedstaaten die DSGVO als Instrument der Unterdrückung unliebsamer Meinungsäußerungen missbrauchen könnten. Angesichts der vielfach kritisierten Unbestimmtheit des Art. 6 Abs. 1 lit. f DSGVO wäre es aber trotzdem wünschenswert, wenn die Mitgliedsstaaten den eröffneten Spielraum des Art. 85 DSGVO nutzen würden, um ausdrückliche Rechtsgrundlagen für die Verarbeitung personenbezogener Daten zu Zwecken der Meinungsäußerung zu schaffen (kritisch zu einer ausschliesslichen Heranziehung von Art. 6 Abs. 1 lit. f auch Veil). Flankiert werden müsste dies durch Ersatzvorschriften für die nach Geltungsbeginn der DSGVO ebenfalls nicht weiter anwendbaren Regelung der §§ 22 ff. KUG (siehe dazu den Beitrag von Benjamin Horvath).
Die eigentliche Hürde ist ohnehin nicht die Frage der Rechtsgrundlage, sondern es sind die mit jeder Verarbeitung einhergehenden Informations-, Auskunfts- und Dokumentationspflichten. Wenn etwa eine Nutzerin bei Twitter zu jedem Tweet mit Personenbezug Informationsschreiben an die Betroffenen nach Art. 13 f. DSGVO fertigen müsste, dürfte dies in vielen Fällen dämpfende Wirkung auf die Bereitschaft zur Meinungsäußerung haben. Dies ist der Raum, in dem eine Umsetzung des Art. 85 DSGVO vorrangig gefragt ist. Am Beispiel von Twitter wäre es daher sinnvoll, die praktische Erfüllung der Informations- und Dokumentationspflichten sowie die Pflicht zur Vornahme technischer und organisatorischer Maßnahmen auf im Twitter-Dienst implementierte Standardverfahren auszulagern und im Sinne der Meinungsfreiheit auszugestalten. Im Rahmen einer klaren Absage an eine Identifikationspflicht durch die Dienstleister wäre so faktisch dem Recht auf pseudonyme Nutzung zur Wiedergeburt verholfen und eine Betonung der Integrität der Datenverarbeitung könnte ein wirksames Gegengewicht zu Zensurbemühungen der Plattformbetreiber darstellen. Gleichzeitig wäre es sinnvoll, der von Art. 28 Abs. 3 DSGVO verlangten Verbindlichkeit der Beziehung zwischen Nutzerin und Dienst durch die Schaffung gesetzlicher Auftragsverarbeitungs-Grundlagen gerecht zu werden. Ebenso wäre sichergestellt, dass die heute schon undurchsichtige Weiterverarbeitung in sozialen Netzwerken weiterhin technischen und organisatorischen Anforderungen genügt und verhindert, dass die Plattformbetreiber die zu Zwecken der Meinungsäußerung bestimmten Daten zweckwidrig weiterverarbeiten.
Das Resultat derart kombinierter Bemühungen wäre ein Regelungsregime, das die Meinungsäußernden weitgehend von den Pflichten der DSGVO entlastet und stattdessen die Betreiber der für die Meinungsäußerung so wichtigen Intermediäre in die Pflicht nimmt. Damit wäre das Gewicht der datenschutzrechtlichen Anforderungen dahin verlagert, wo es hingehört, ohne dass grundlegende Prinzipien des Datenschutzrechts ausgehebelt werden müssten.
Lediglich eines mag dann für Einige als Wermutstropfen verbleiben: Die Datenverarbeitung zu Zwecken der Meinungsäußerung würde weiterhin – jedenfalls begrifflich – dem Regelungsvorbehalt unterfallen. In einer modernen Kommunikationslandschaft sollte dies aber nicht allein als möglicher Konflikt mit den Kommunikations-Grundrechten verstanden werden, sondern gerade auch als Teil einer die Kommunikationsfreiheit in einer digitalisierten Gesellschaft konstituierende Regulierung. Wer trotz allem weiterhin davon sprechen wollte, die DSGVO habe ein Kommunikationsverbot zur Folge, hätte dann – aber auch eben nur – die Begrifflichkeit auf seiner Seite.
Dr. Malte Engeler ist Richter beim Verwaltungsgericht Schleswig und war zuvor stellvertretender Leiter des aufsichtsbehördlichen Bereichs im Unabhängigen Landeszentrum für Datenschutz in Schleswig-Holstein. Der Beitrag spiegelt ausschließlich die persönlichen Ansichten des Autors wieder.
