DSGVO - BDSG - TTDSG. Группа авторов
Sanktionen (Art. 77ff. DSGVO) sowie zu besonderen Verarbeitungssituationen (Art. 85ff. DSGVO). Der im Ergebnis leerlaufende Verweis auf Regelungen zum (freien) Verkehr personenbezogener Daten innerhalb der Union findet sich lediglich in Art. 1 Abs. 1 und 3 DSGVO. Indem die DSGVO das europäische Datenschutzrecht vereinheitlicht und Unterschiede in der Harmonisierung des Datenschutzrechts ausgleicht, schafft sie allerdings selbst die Voraussetzungen für einen freien Datenverkehr.18 Der Konzeption des europäischen Datenschutzrechts liegt nämlich das Verständnis zugrunde, dass unterschiedliche Schutzniveaus in den Mitgliedstaaten zu Hemmnissen für den freien Verkehr personenbezogener Daten führen.19 Diese werden durch die DSGVO abgebaut.
3. Zielkonflikt
10
Die DSGVO verfolgt, entsprechend der Tradition des europäischen Datenschutzrechts, das dualistische Ziel, einerseits natürliche Personen bei der Verarbeitung personenbezogener Daten zu schützen und andererseits den freien Verkehr personenbezogener Daten zu stärken. In der Regelung kristallisiert sich damit das Spannungsverhältnis zwischen dem Persönlichkeitsrechts- und Datenschutz einerseits und dem Binnenmarktprinzip andererseits20 als systemimmanenter Zielkonflikt. Freier Verkehr personenbezogener Daten erfordert nämlich den Abbau von Verkehrsbeschränkungen. Der Schutz personenbezogener Daten hingegen ein restriktives Vorgehen beim Verkehr mit personenbezogenen Daten und damit Beschränkungen des freien Verkehrs. Auch die DSGVO schränkt den freien Verkehr personenbezogener Daten teils erheblich ein.21 Der Betroffene soll nämlich stets wissen, wer welche Information über ihn gespeichert hat, zu welchen Zwecken diese Information verwendet wird und wer diese Information erhält. Über diese Aspekte soll er zudem möglichst umfassend selbst bestimmen können. Ohne seine Einwilligung ist der Umgang mit und der Verkehr von seinen personenbezogenen Daten nur im Rahmen restriktiv gefasster Erlaubnistatbestände zulässig. Der Verkehr personenbezogener Daten kann unter Beachtung dieser datenschutzrechtlichen Prinzipien nicht absolut frei sein.
11
Klärungsbedürftig ist daher, was der europäische Gesetzgeber unter Freiheit des Verkehrs personenbezogener Daten versteht. Einen absoluten oder einen relativen Schutz unter Vorbehalt. Fraglich ist zudem, in welchem Verhältnis dieses Ziel zum Schutz natürlicher Personen steht. Der Wortlaut der Norm ist in diesem Punkt nicht eindeutig. Der Zielkonflikt lässt sich aber durch eine historisch-teleologische Auslegung auflösen. Der europäische Gesetzgeber versteht das Ziel Freiheit des Verkehrs personenbezogener Daten danach nicht absolut. Es geht nicht per se darum, Hemmnisse für den Datenverkehr insgesamt abzubauen und einen völlig freien Informationsfluss zu ermöglichen. Zwar soll mit den Regelungen des europäischen Datenschutzrechts ein einheitlicher Informationsbinnenmarkt geschaffen werden,22 dafür soll aber einem relativen Verständnis der Freiheit des Datenverkehrs folgend, der Verkehr personenbezogener Daten innerhalb der Union in den Grenzen des europäischen Datenschutzrechts gewährleistet werden. Über die Beschränkungen des europäischen Datenschutzrechts hinaus sollen zusätzliche Behinderungen vermieden werden.
12
Die Vorgängervorschrift des Art. 1 Abs. 2 DSRl formuliert entsprechend dem Regelungsinstrument der Richtlinie klarer, dass bei der Umsetzung der Richtlinie der Datenschutz durch die Mitgliedstaaten nur so gestaltet werden darf, dass dadurch der freie Verkehr personenbezogener Daten zwischen den Mitgliedstaaten selbst nicht eingeschränkt wird. Der freie Datenverkehr sollte also in den Grenzen, der in der DSRl angelegten Schranken, ohne zusätzliche Hemmnisse möglich sein. Zweck der Regelungen der DSGVO ist ausweislich der ErwG 3, 9 und 10 DSGVO die verstärkte Harmonisierung des Datenschutzrechts und die Vermeidung divergierender Anforderungen an den Datenschutz in den Mitgliedstaaten. Dies wird als Hemmnis für die Verwirklichung des Binnenmarktes gesehen und soll durch die DSGVO beseitigt werden.
III. Schutz der Grundrechte (Abs. 2)
13
Ausweislich Art. 1 Abs. 2 DSGVO schützt die DSGVO Grundrechte und Grundfreiheiten natürlicher Personen, insbesondere das Recht auf Schutz personenbezogener Daten. Damit wird ein Ziel der dualistischen Gegenstands- und Zielbestimmung benannt23 und die grundrechtliche Gewährleistung des Datenschutzes konkretisiert, die sich insbesondere aus Art. 8 Abs. 1 GRCh ergibt.24 Der Schutzzweck der DSGVO geht aber über den Schutz des Rechts auf Datenschutz hinaus; erfasst werden Grundrechte und Grundfreiheiten insgesamt.25
1. Kein Schutz juristischer Personen
14
Die DSGVO schützt nur natürliche Personen.26 Nicht vom Schutzbereich der DSGVO erfasst sind juristische Personen.27 Dies entspricht der deutschen Rechtstradition und der Regelung in § 1 Abs. 1 BDSG a.F. sowie der Regelung in der Vorgängervorschrift des Art. 1 Abs. 1 DSRl. Ein erweitertes Verständnis in der mitgliedstaatlichen Ausgestaltung des Datenschutzrechts ist dadurch aber nicht ausgeschlossen, soweit damit der Schutz natürlicher Personen durch die DSGVO nicht in Frage gestellt wird.28 So hat Österreich bei der Umsetzung der DSRl in seinem Datenschutzgesetz den Schutzbereich auch auf juristische Personen erstreckt (§ 4 Nr. 3 öDSG a.F.). Dieser österreichische Sonderweg wird mit dem neuen österreichischen Datenschutzgesetz zur Ausfüllung der Öffnungsklauseln der DSGVO aber nicht fortgesetzt.
2. Kein Schutz Verstorbener oder Ungeborener und postmortales Persönlichkeitsrecht
15
Aus ErwG 27 folgt, dass sich der Schutz personenbezogener Daten Verstorbener nicht aus der DSGVO ergeben soll. Ebenfalls nicht geschützt sind Ungeborene, weil sie noch keine Person im rechtlichen Sinn und kein eigenständiger Träger von Rechten an ihnen zugeordneten Daten sind.29 Von der Ausnahme der Anwendbarkeit auf Verstorbene ist nach der Ratio ebenfalls die Geltendmachung von Ansprüchen Lebender etwa der Erben erfasst, die sich auf die Daten eines Verstorbenen beziehen.30 ErwG 27 Satz 2 stellt den Mitgliedstaaten jedoch frei, dahingehende Regelungsnormen zu erlassen.31 Erwägungsgründe sind zwar selbst keine rechtsverbindlichen Regelungen, enthalten aber Vorgaben für die Auslegung der Verordnung.32 Der Begriff „natürliche Person“ erfasst folglich nur lebende Personen. Während für das BDSG a.F. die Anwendbarkeit auf Daten Verstorbener noch diskutiert wurde,33 hat sich diese Frage jedenfalls für die DSGVO erledigt. Davon unabhängig stellt sich die Frage, ob es einen postmortalen Persönlichkeitsrechtsschutz gibt und wie dieser begründet werden kann. § 4 Abs. 1 LDSG Berlin34 enthält eine Regelung, nach der Daten von Verstorbenen entsprechend personenbezogenen Daten anzusehen sind, es sei denn, die berechtigten Interessen der Verstorbenen können nicht mehr beeinträchtigt werden. Darüber hinaus sind für das deutsche Recht keine ausdrücklichen Regelungen zum Schutz von Daten über Verstorbene ersichtlich. Rechtspolitisch wird kritisiert, dies führe zu Rechtsunsicherheit.35
16
In der deutschen Verfassungsrechtsprechung wird das Recht auf informationelle Selbstbestimmung aus dem Grundrecht auf freie Entfaltung der Persönlichkeit in Art. 2 Abs. 1 GG und aus der Menschenwürde in Art. 1 Abs. 1 GG abgeleitet. Mit dem Tod erlischt die Fähigkeit zur freien Persönlichkeitsentfaltung und die Fähigkeit zur Wahrnehmung des Achtungsanspruchs aus der Menschenwürde.36 Es wird aber vertreten, das Recht wirke über den Tod hinaus (postmortales Persönlichkeitsrecht). Zur Begründung wird argumentiert, der Schutzzweck der informationellen Selbstbestimmung würde unterlaufen, wenn der Einzelne einen Kontrollverlust über seine Daten nach seinem Tod fürchten müsse. Dann wäre er einem vergleichbaren Überwachungsdruck ausgesetzt, wie bei der Verletzung der informationellen Selbstbestimmung zu Lebzeiten, die ihn zu Verhaltensveränderungen zwinge, vor denen das Recht auf informationelle Selbstbestimmung gerade schützen solle.37 In Rechtsprechung38 und Literatur39 ist im Grundsatz anerkannt, dass es postmortalen Persönlichkeitsschutz gibt. Dieser wird aus der Menschenwürde abgeleitet, ist jedoch nicht im Sinne eines umfassenden Schutzes der Daten Verstorbener zu verstehen. Statt eines