Meine Meinung zum Positionspapier des ULD zur Safe Harbor Entscheidung des EuGH

Datenschutz
Zuletzt aktualisiert: 08.11.2015

Heute hat das ULD ein Positionspapier (PDF) zum Urteil des Europäischen Gerichtshofs (EuGH) in Sachen Safe Harbor veröffentlicht. Eine entsprechende Pressemitteilung ist auf der Internetseite des ULD ebenfalls zu finden.

Das ULD hat damit als erste Aufsichtsbehörde in umfangreicher Form zu Entscheidung des EuGH Stellung genommen. Die Stellungnahme ist sehr umfangreich, stellt zunächst kurz den Inhalt des Urteils da, weist dann Handlungsmöglichkeiten der EU-Kommission auf und erörtert dann mögliche Rechtsgrundlagen für die Übermittlung von Daten in die USA.

Im Ergebnis kommt das ULD zu einem vernichtenden Urteil. Nach Auffassung des ULD gibt es nämlich derzeit keine ersichtliche Rechtsgrundlage und damit keine Möglichkeit für eine transatlantische Datenübermittlung in rechtskonformer Weise.

Das ist, soweit es um die Anwendung von EU-Standardvertragsklauseln geht, zwar noch nicht weiter verwunderlich. Bemerkenswert ist jedoch, dass das ULD auch der Möglichkeit einer Einwilligung in die Übermittlung von personenbezogenen Daten in die USA eine Absage erteilt. Begründet wird dies vom ULD wie folgt:

Selbst bei ausreichender Information über die Risiken und auch in Fällen, in denen noch von einer Freiwilligkeit ausgegangen werden könnte, würde die Einwilligung grundsätzlichen Bedenken begegnen. Die anlasslose Massenüberwachung durch Geheimdienste greift nach Ansicht des EuGH in den Wesensgehalt des Grundrechts auf Achtung des Privatlebens ein. Derartige Eingriffe sind nach bundesverfassungsgerichtlicher Rechtsprechung jedoch der Disposition des Einzelnen, auch im Wege einer Einwilligung, entzogen. Dies kann sich auch auf die Einwilligung in die Datenübermittlung in einen Staat erstrecken, in dem der Wesensgehalt der Grundrechte der EU nicht gewahrt wird. Die Aufnahme einer solchen Einwilligung etwa in Allgemeine Geschäftsbedingungen wäre mit größter Wahrscheinlichkeit sittenwidrig im Sinne des § 138 BGB.

Auch wenn ich die Begründung grundsätzlich einmal nachvollziehen kann, habe ich jedoch erhebliche Zweifel daran, dass diese Argumentation gerade im Hinblick auf die Rechtsprechung des Bundesverfassungsgerichts (BVerfG) korrekt ist. Es mag sich zwar um eine vertretbare Auffassung handeln; mich ärgert jedoch leider (wieder) einmal, dass einige Aufsichtsbehörden sich hier so gerieren, als hätten sie die Deutungshoheit über die Auslegung datenschutzrechtlicher Normen. Ich hätte es daher schon schön gefunden, wenn das ULD hier ggf. auch im Sinne der betroffenen Wirtschaftsunternehmen im Land Schleswig-Holstein eine besonnenere Formulierung gewählt hätte. Aber vielleicht bin ich da auch einfach zu empfindlich…

Wie sieht es denn nun aber eigentlich aus mit der Rechtsprechung des Bundesverfassungsgerichts im Hinblick auf die Möglichkeit, dass Betroffene in die Verarbeitung Ihrer Daten einwilligen und inwieweit hier der Staat regulierend einzugreifen hat?

[Update vom 08.11.2015]: In rechtlicher Hinsicht ist hier zunächst eine Frage zu beantworten, die sich aus der Theorie von Grundrechtsfunktionen ableitet. Klassischerweise haben eine Abwehrfunktion, sind also Abwehrrecht des Bürgers gegen den Staat. Aber auch als Recht des Bürgers als Anspruchs- und Teilhaberecht am Staat. Neben diesen subjektiven Funktionen haben die Grundrechte nach h.M. aber auch eine objektiv-rechtliche Funktion. Diese objektiv-rechtliche Funktion ist im Zuge des Wandels vom liberalen zum sozialen Rechtsstaat entstanden und impliziert, dass die Grundrechte vor allem auch den Staat verpflichten, die Grundrechte als objektive Wertentscheidungen anzunehmen. Und weiter geht mit dieser objektiv-rechtlichen Funktion z.B. auch einher, dass der Einzelne ggf. nicht auf seine Grundrechte verzichten kann – zumindest nicht auf den sog. Wesensgehalt.
Das ULD zielt in seinem Positionspapier ganz deutlich auf diese objektiv-rechtliche Funktion der Grundrechte ab und negiert damit m.E., dass das BVerfG mitnichten die individualrechtliche Funktion der Grundrechte aufgegeben hat. Im Gegenteil führt das BVerfG in BVerfGE 50, 290 (337) aus:

Nach ihrer Geschichte und ihrem heutigen Inhalt sind sie in erster Linie individuelle Rechte, Menschen- und Bürgerrechte, die den Schutz konkreter, besonders gefährdeter Bereiche menschlicher Freiheit zum Gegenstand haben. Die Funktion der Grundrechte als objektiver Prinzipien besteht in der prinzipiellen Verstärkung ihrer Geltungskraft (BVerfGE 7, 198 (205) – Lüth), hat jedoch ihre Wurzel in dieser primären Bedeutung (vgl. etwa für das Eigentum BVerfGE 24, 367 (389) – Hamburgisches Deichordnungsgesetz). Sie läßt sich deshalb nicht von dem eigentlichen Kern lösen und zu einem Gefüge objektiver Normen verselbständigen, in dem der ursprüngliche und bleibende Sinn der Grundrechte zurücktritt.

Gleichwohl hat das BVerfG in der jüngeren Rechtsprechung aber auch die objektiv-rechtliche Funktion der Grundrechte herangezogen, um z.B. die Möglichkeit zur Nutzung von Einwilligungen im Privatrecht einzuschränken. [Ende Update 08.11.2015]

Einschlägig ist hier zunächst der Beschluss des BVerfG vom 23.10.2006 (Az.: 1 BvR 2027/02). In diesem Beschluss ging es um die Frage, inwieweit aufgrund des Verhandlungsungleichgewichts zwischen Versicherungsnehmerin und einem Versicherer für Lebensversicherungen überhaupt eine wirksame Schweigepflichtsentbindungserklärung der Versicherungsnehmerin gegenüber dem Versicherer abgegeben werden könne. Das BVerfG hat hier m.E. erstmals Stellung zu der Frage der Einwilligungsmöglichkeit im Zivilrecht bezogen und der Privatautonomie im Hinblick auf die Abgabe von auch datenschutzrechtlichen Einwilligungen Schranken gesetzt.

Wesentliche Ausführungen des BVerfG lauten (Hervorhebungen von mir):

Das allgemeine Persönlichkeitsrecht umfasst die Befugnis des Einzelnen, über die Preisgabe und Verwendung seiner persönlichen Daten selbst zu bestimmen (vgl. BVerfGE 65, 43). Dieses Recht entfaltet als Norm des objektiven Rechts seinen Rechtsgehalt auch im Privatrecht. …
Auch die Freiheit, persönliche Informationen zu offenbaren, ist grundrechtlich geschützt.

Begründet wird dies vom BVerfG damit, dass es dem Einzelnen regelmäßig möglich und zumutbar sei, geeignete Vorsorgemaßnahmen zu treffen, um seine Geheimhaltungsinteressen zu wahren.

Allerdings gelte dies, so das BVerfG, nicht unbeschränkt:

Ist jedoch ersichtlich, dass in einem Vertragsverhältnis ein Partner ein solches Gewicht hat, dass er den Vertragsinhalt faktisch einseitig bestimmen kann, ist es Aufgabe des Rechts, auf die Wahrung der Grundrechtspositionen beider Vertragspartner hinzuwirken, um zu verhindern, dass sich für einen Vertragsteil die Selbstbestimmung in eine Fremdbestimmung verkehrt (vgl. BVerfGE 89, 214, 232; 103, 89, 101; 114, 1, 34 f.; 114, 73, 90).

Im Hinblick auf die Ausführungen des ULD, wonach eine Einwilligung aufgrund der flächendeckenden Überwachung in den USA nicht möglich sei, scheint also auf den ersten Blick durchaus die Rechtsprechung des BVerfG heranziehbar zu sein. Allerdings meiner bescheidenen Meinung nach nur auf den ersten Blick.

Denn bei der Entscheidung ist wesentlich zu berücksichtigen, dass es sich bei einem Verhältnis zwischen einem Versicherer und einem Versicherungsnehmer im Bereich einer Lebensversicherung oder vielleicht auch einer Krankenversicherung um einen speziellen Fall handelt, bei dem ein Vertragsungleichgewicht sehr schnell vorliegen kann. Daraus lässt sich jedoch eben nicht der Schluss ziehen, dass eine Einwilligung per se bezüglich einer Übermittlung von personenbezogenen Daten in die USA oder einem sonstigen Staat mit einem nicht angemessenen Datenschutzniveau unzulässig sei.

Sicher kann es sein, dass im Einzelfall das informationelle Selbstbestimmungsrecht des Betroffenen faktisch ausgehebelt ist. Das kann auch gerade bei Massenverträgen der Fall sein. Probleme hätte ich auch durchaus damit, wenn es um die Einwilligung von Beschäftigten in die Übermittlung von beschäftigten Daten in die USA geht. Insoweit kann ich die Bedenken bezüglich der Wirksamkeit einer Einwilligung durchaus nachvollziehen.

Nicht nachvollziehen kann ich jedoch, dass das ULD meint, dass EU-Bürger nicht wirksam darin einwilligen können, z.B. eine Kommunikationsplattform im Internet eines US-Anbieters, bei dem die Daten in den USA verarbeitet werden, zu nutzen. Begründet wird dies vom ULD ja auch damit, dass in den USA eine anlasslose flächendeckende Überwachung im Einsatz sei.

Wie die Erkenntnisse unter anderem aus den Enthüllungen von Edward Snowden und den Erkenntnissen aus dem NSA-Untersuchungsausschuss zeigen, sieht die Überwachungssituation in der Europäischen Union jedoch nicht entscheidend anders aus. Das würde dann im Ergebnis nach der Argumentation des ULD den Schluss nahe liegen, dass man z.B. auch bei Datenverarbeitung in der EU keine wirksame Einwilligung mehr abgeben könne? Oder habe ich etwas falsch verstanden?

Ich muss ehrlich gestehen, dass ich etwas erschrocken bin von dem Grundrechtsverständnis einer Aufsichtsbehörde, wenn es darum geht, dass ich mein Recht auf informationelle Selbstbestimmung bewusst wahrnehmen möchte, um z.B. auf einem US-Informationsdienst meine Meinung kund zu tun und insoweit auch mein Grundrecht auf Meinungsfreiheit ausübe. Ich finde es ein wenig anmaßend, dass eine Aufsichtsbehörde hier meint, mich bevormunden zu müssen.

Das BVerfG hat in seiner Rechtsprechung aus dem Recht auf informationelle Selbstbestimmung eine Schutzpflicht des Staates hergeleitet, dafür Sorge zu tragen, dass ein informativer Selbstschutz für den Einzelnen tatsächlich möglich ist. Dies bedeutet jedoch nicht, dass mein Recht auf informationelle Selbstbestimmung in allen Fällen pauschal ausgehebelt werden kann.

Ich bin ein großer Fan des Volkszählungsurteils des BVerfG vom 15.12.1983. Dieses Urteil war die Geburtsstunde des deutschen Datenschutzrechts und hatte prägende Auswirkung auch auf das europäische Datenschutzrecht, so wie wir es heute kennen. Und ich möchte gerne den Satz zitieren, der mir im Urteil persönlich sehr wichtig ist. Das BVerfG führt zum Recht auf informationelle Selbstbestimmung aus:

Das Grundrecht gewährleistet insoweit die Befugnis des Einzelnen, grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen.

Natürlich ist dieses Recht auf informationelle Selbstbestimmung – so das BVerfG – nicht schrankenlos gewährleistet. Und es würde eben keine alleinige Herrschaft des Einzelnen über seine Daten geben. Mein Recht auf informationelle Selbstbestimmung kann jedoch nur durch eine Rechtsvorschrift eingeschränkt werden. Und ich sehe auch bei der gegenwärtigen Situation einer anlasslosen Überwachung, die meines Erachtens kein reines Problem der USA ist, beim besten Willen nicht, warum eine Aufsichtsbehörde wie das ULD mein Recht auf informationelle Selbstbestimmung einschränken möchte.

[Update 08.11.2015] Das ULD hat in seinem Positionspapier im Zusammenhang mit der nicht möglichen Nutzung einer Einwilligung als Rechtsgrundlage für die transatlantische Datenübermittlung die Begründung des EuGH angeführt, dass mit der flächendeckenden Überwachung der Wesensgehalt des Grundrechts auf Achtung des Privatlebens (Art. 7 GRCh) verletzt sei. Nur: Sieht die Rechtsprechung des BVerfG in diesem Fall denn wirklich vor, dass keine Einwilligung möglich sei?
Die Antwort auf diese Frage dürfte eine Frage der Zulässigkeit eines Grundrechtsverzichts sein. Ich habe aber schon Zweifel daran, dass eine Einwilligung in die Verarbeitung seiner Daten in die USA de facto eine Vollüberwachung seiner Daten zufolge hat. So kann natürlich durchaus auch durch eine Verschlüsselung von Daten oder andere Sicherheitstechnologien die Überwachung verhindert, zumindest aber erschwert werden. Viel entscheidender ist aber, dass die Einwilligung gerade nicht einen Grundrechtsverzicht darstellt, sondern ganz im Gegenteil einen aktiven Gebrauch seines Grundrechts.1 Und das ist auch richtig so. [Ende Update 08.11.2015]

Ich möchte auch künftig gerne selbst darüber entscheiden, ob ich US-Dienste nutze, um meine Grundrechte auszuüben. Und das nicht nur als Privatmensch im Rahmen des Haushaltsprivilegs, sondern auch als Anwalt und Unternehmer. Und da muss es sehr wohl möglich sein, mit Einwilligungen zu arbeiten. Ich kann auch aus den Entscheidungsgründen des EuGH zur Unwirksamkeit des Safe Harbor Abkommens nicht ersehen, dass das so vom EuGH angezweifelt worden wäre. Ich wäre den anderen Aufsichtsbehörden dankbar, wenn in den zu erwartenden Stellungnahmen ausgewogene Argumente vorgebracht würden.

Zu den sonstigen Inhalten und Auswirkungen des Positionspapier des ULD empfehle ich gerne den Artikel der geschätzten Anwaltskollegin Nina Diercks: Safe Harbor, die erste Stellungnahme des Unabhängigen Landeszentrums für Datenschutz S-H (ULD) und die damit verbundenen Konsequenzen für Unternehmen

  1. So schon Geiger, NvWZ 1989, 35 (37); vgl. auch Weichert, in: Kilian/Heussen,
    Computerrechts-Handbuch, 26. Ergänzungslieferung 2008, Teil 13 IV 2 Rdnr. 43; Bieresborn, in: Forgó/Helfrich/Schneider, Betrieblicher Datenschutz, Teil IX. Kapitel 1, Rdnr. 69; a.A. Hoffmann/Schulz/Borchers, MMR 2014, 89 (90) 
Stephan Hansen-Oest

Ich bin Rechtsanwalt & Fachanwalt für IT-Recht. Auch wenn ich mich seit 1995 mit Datenschutzrecht beschäftige, bin ich sicher kein Datenschutz-Guru. Mein Ziel ist es, Menschen dabei zu helfen, den Datenschutz in Unternehmen einfach besser zu machen. Und ich freue mich über jeden, der meinen Newsletter abonniert. Wenn du unbedingt noch mehr zu mir wissen möchtest, kannst du dir mein Profil ansehen. Und wenn du Lust hast, am Datenschutz-Coaching teilzunehmen findest du hier mehr Informationen.