Datenschutzrecht. Jürgen Kühling
sowie zahlreiche App-basierte Aktivitäten mit dem Smartphone weitgehend registriert werden, so dass jegliches Verhalten digitale Spuren hinterlässt. Damit ist die vollständige Erfassung der Handlungen in diesem immer wichtiger werdenden virtuellen Sozialraum möglich. Das gilt vor allem für die sog. Social-Web-Angebote wie die von Instagram oder Facebook.[4] Derartige Online-Plattformen eröffnen für Tausende von Nutzern die Möglichkeit des sozialen Austauschs mit all ihren privatheitsrelevanten Implikationen. Soziale Beziehungen und Strukturen werden zunehmend über das World Wide Web aufgebaut und abgewickelt – damit aber zugleich digital nachgezeichnet und datentechnisch erfassbar.
7
Es entsteht so zunehmend ein virtuelles Abbild des Verhaltens und der sozialen Interaktionen von Menschen, das mittels Big-Data-Techniken automatisiert ausgewertet werden kann. Big Data und insbesondere Big-Data-Anwendungen bezeichnen dabei als Sammel- oder Oberbegriffe grundsätzlich solche Anwendungen, Applikationen oder Analyseprogramme, die eine außerordentlich große und ggf. heterogene Datenmenge innerhalb kurzer Zeit (oder in Echtzeit) auswerten.[5] Als Kernmerkmale werden häufig die „drei Vs“ genannt: volume (Menge), velocity (Geschwindigkeit/Echtzeit) und variety (unterschiedliche Daten).[6] Hinzu kommen teilweise noch validity (Richtigkeit bzw. Wahrheitsgehalt der Daten) oder alternativ veracity (Genauigkeit) und value (wirtschaftlicher Wert), so dass man auch von „fünf Vs“ sprechen kann.[7] Eine außergewöhnlich hohe Trennschärfe bietet der Begriff damit nicht und kann schon gar nicht als rechtliche Definition verstanden werden. Jedoch treten im Rahmen von Big-Data-Anwendungen in der Regel eine Reihe von Besonderheiten auf, die sodann (datenschutz-)rechtliche Fragestellungen aufwerfen. Hierzu zählt vor allem, dass – anders als bei vielen herkömmlichen Analysetechniken – nicht gezielt nach der Antwort auf eine bestimmte Fragestellung gesucht wird, sondern die Anwendung ergebnisoffen nach Mustern und Zusammenhängen sucht, woraus sich gänzlich neue Erkenntnisse ergeben können.[8] Durch das Aufzeigen von Korrelationen kann die Big-Data-Anwendung so oftmals dazu beitragen, die richtigen Fragen überhaupt erst zu stellen. Dementsprechend groß sind die Hoffnungen, die in verschiedensten Lebensbereichen – beispielsweise im Gesundheitssektor – in Big-Data-Techniken gesetzt werden. Demgegenüber stehen jedoch die Risiken, die mit der systematischen Auswertung solch großer Datenmengen einhergehen.[9] Die Persönlichkeitsrechtsverletzungen bei einer Big-Data-Anwendung werden in der Regel Folgen für eine große Zahl von Betroffenen entfalten. Werden darüber hinaus auch noch sensible Daten (wie Gesundheitsdaten) verarbeitet, können Datenschutzrechtsverstöße besonders schwer wiegen. Letztlich ist zu befürchten, dass ein unkontrolliertes Sammeln großer Mengen von personenbezogenen Daten in Verbindung mit einer detaillierten und intelligenten Auswertung dieser den Menschen zum vielbeschworenen „gläsernen Bürger“ macht.
8
Durch die immer weitergehende Durchdringung sämtlicher Lebensbereiche mit datenverarbeitenden Prozessen, die eine weitreichende Abbildung der „Offline-Welt“ in datentechnisch erfassbaren Formen ermöglicht, ist die oben skizzierte Entwicklung nicht mehr davon abhängig, ob man sich bewusst „im Internet“ bewegt. Es geschieht vielmehr beiläufig, so dass es auch immer schwieriger wird, sich entsprechenden Datenverarbeitungen zu entziehen. Andererseits eröffnet sich eine ganz neue Dimension innovativer und attraktiver Dienste. Die Anwendungen reichen vom Einsatz in der Arbeitswelt über den Reisebereich bis hin zu neuen Unterhaltungsformen. Insbesondere ist das Smartphone inzwischen zu einer mobilen Informations-, Navigations- und Kommunikationszentrale geworden.
9
Zugleich werden jene Informationen potenziell dem Zugriff hoheitlicher Organe eröffnet. Die immer wieder aufflammende Diskussion um den Zugriff auf die Toll-Collect-Daten[10] für die Strafverfolgung ist nur ein durchaus noch beschränktes Beispiel. Die Datenbestände sozialer Netzwerke wecken viel größere Begehrlichkeiten. Hinzu kommt, dass zunehmend Datenbestände durch Private explizit für hoheitliche Zwecke geschaffen werden. Das gilt beispielsweise für den Aufbau der Kontenevidenzzentrale. Dort sind sämtliche Bestandsdaten der deutschen Banken gesammelt, also Informationen darüber, wer bei welcher Bank welche Arten von Konten führt. Noch problematischer war der massive Ausbau der Speicherpflichten für Telekommunikationsunternehmen durch die – inzwischen wohl gescheiterten[11] – mehrfachen gesetzgeberischen Anläufe zur Einführung einer Vorratsdatenspeicherung. Zuletzt hat in Zeiten der Corona-Krise die Diskussion um den Einsatz einer sogenannten „Corona-Tracing-App“ die nachvollziehbaren öffentlichen Interessen am Zugriff auf die im Smartphone gesammelte Kontaktdaten plastisch vor Augen geführt.[12]
10
Zugleich wachsen die Gefahren des missbräuchlichen Zugriffs auf jene Datenmengen – sei es von hoheitlicher oder von privater Seite, die nicht zuletzt durch die Enthüllungen von Edward Snowden einer breiten Öffentlichkeit in ihrem vollen Ausmaß vor Augen geführt wurden. So wundert es nicht, dass Insuffizienzen beim Datenschutz immer öfter in die Schlagzeilen gelangen.
11
Mit diesen Entwicklungen erlangte auch das Datenschutzrecht als modernes Rechtsgebiet eine zunehmende Bedeutung und nimmt in der öffentlichen Debatte breiten Platz ein. Möchte man auf die Vorzüge des technischen Fortschritts nämlich nicht schlechthin verzichten, so lassen sich Einschränkungen für den Schutz der Daten von betroffenen Personen grundsätzlich nicht vermeiden.
12
Aufgabe des Datenschutzrechts ist es, für jeden Einzelfall eine befriedigende Antwort zu liefern, ob konkret das Interesse der betroffenen Person am Schutz ihrer personenbezogenen Daten überwiegt oder Einschränkungen im Interesse des Gemeinwohls oder eines Dritten hinzunehmen sind. Je mehr Daten verarbeitet werden, desto häufiger stellt sich ein (ggf. multipolarer) Grundrechtskonflikt. Diesen im Wege der praktischen Konkordanz aufzulösen, kann nur auf der Basis eines konsistenten Datenschutzrechts unter Zusammenwirken von Gesetzgeber, Wissenschaft und Rechtsprechung gelingen.
13
Deutschland und die Europäische Union beschreiten dabei einen grundrechtsbasierten, datenschutzorientierten Weg, der zugleich die berechtigten Datenverarbeitungsinteressen berücksichtigen muss, soll er sich gegen andere Modelle im Wettbewerb durchsetzen. Diese können zugespitzt als „Surveillance Capitalism“[13] US-amerikanischer Ausprägung[14] und „Surveillance Communism“ chinesischer Ausprägung bezeichnet werden. Während im ersten Fall die großen US-amerikanischen Internetgiganten wie Facebook, Google & Co die Datenverarbeitungsprozesse prägen und auf eine maximale Datenausbeute zur Finanzierung der extrem leistungsfähigen und innovativen Dienste ausgerichtet sind, treten im zweiten Fall neben einer ebenfalls profitorientierten (staats-)kapitalistischen Maximalverdatung zusätzliche etatistische Überwachungsinteressen, die mit europäischen Rechtsstaatsvorstellungen allzu oft nicht kompatibel sind. Dennoch beeindrucken die innovativen Dienste, die in diesen anders austarierten Rechtssystemen entstehen. Umso wichtiger ist ein funktionsfähiges europäisches Datenschutzmodell, das auch eine „Datensouveränität“[15] im „Big-Data“-Zeitalter gewährleistet. Denn eine Vielzahl der Datenverarbeitungen ist sogar ganz im Interesse der betroffenen Person, da die Nutzung der innovativen Dienste erleichtert wird. Dies ist aber auch für die Möglichkeiten und Grenzen eines Geschäftsmodells „Leistung gegen Daten“ relevant (siehe dazu → Rn. 514). Eine Hypertrophie des Datenschutzes ist dabei unbedingt zu vermeiden (dazu → Rn. 53 f.).
14
Dieses Buch soll den Einstieg in die Materie ermöglichen und ist sowohl für Studierende als auch für Praktiker geeignet. Das Buch hat dabei folgenden