Digitalisierung und Schutz der Privatsphäre |
L’ère numérique et la protection de la sphère privée
Schulthess Juristische Medien AG, Zürich 2018, XXIII + 149 Seiten, CHF 68
ISBN 978-3-7255-5614-4
Der Datenschutz ist eines der dynamischsten Rechtsgebiete unserer Zeit. Kaum eine Woche vergeht, in der nicht neue Gerichtsurteile, Verlautbarungen der Aufsichtsbehörden oder Beiträge aus Wissenschaft und Praxis entweder Erleuchtung bringen oder zusätzliche Verwirrung stiften. Dabei dreht sich alles um die Datenschutz-Grundverordnung (DSGVO), die für die EU-Mitgliedstaaten am 25. Mai 2018 in Kraft getreten ist und ebenfalls für die Länder des Europäischen Wirtschaftsraums (EWR) gilt. Gleichzeitig sorgt die laufende Totalrevision des schweizerischen Datenschutzgesetzes dafür, dass die Diskussion auch in der Schweiz nicht abflaut. Warum also einen Sammelband zur Hand nehmen, der die schriftliche Fassung ausgewählter Referate einer Tagung enthält, die ein ganzes Jahr vor dem Inkrafttreten der DSGVO zum Thema «Digitalisierung und Schutz der Privatsphäre – Zur Steuerungsfähigkeit der traditionellen Rechtsgrundsätze: Analysen und Perspektiven» stattfand? Der Untertitel der Tagung liefert ein Argument: In der Hypertrophie der Aktualität erzeugen die Rückbesinnung auf die tragenden Prinzipien unserer Rechtsordnung, die Auseinandersetzung mit den Schutzzielen einer Regulierung häufig wertvollere Erkenntnisse als die hektische Verarbeitung der neuesten Entwicklungen.
Die Auswahl der Referate enthält denn auch Stoff für eine Atempause. Indra Spiecker genannt Döhmann widmet sich im ersten Beitrag den aktuellen Herausforderungen des Datenschutzrechts in der EU. Getreu dem programmatischen Schwerpunkt stürzt sich die Autorin nicht sofort in die Verästelungen der DSGVO, sondern fragt zuerst und ausgiebig, was der Datenschutz leisten will und zu leisten vermag. Anschliessend thematisiert Bertil Cottier unter dem Titel «L’ère numérique et le principe de légalité – Frictions et possibilités d’adaptation», wie rechtsstaatliche Prinzipien, namentlich das Bestimmtheitsgebot, unter der rasanten und globalen digitalen Transformation leiden. Thomas Probst beleuchtet daraufhin im Beitrag «Digitalisierung und Vertragsrecht – Probleme des Schutzes der Privatsphäre aus vertragsrechtlicher Sicht» die sich weiter beschleunigende Erosion tragender Säulen privatautonomer rechtsgeschäftlicher Gestaltung. Dies ist eine gute Einstimmung auf den nächsten Beitrag von François Charlet: Er unterzieht die Praktiken sozialer Medien am Beispiel von Facebook akribisch einer kritischen datenschutzrechtlichen Würdigung, die in einen eindringlichen Appell zu mehr Transparenz und Kontrolle in Bezug auf die algorithmische Logik mündet. Nur der letzte Beitrag von Alexandre Flückiger und Stéphanie Emery-Dahmen fällt etwas aus der Reihe, indem er ohne Bezug zum Grundthema, doch der Tradition dieser Veranstaltungsreihe gehorchend, die im Jahr 2016 ergangene Rechtsprechung zum Öffentlichkeitsprinzip und Datenschutz Revue passieren lässt. Immerhin erschliesst dieses Schlusskapitel die sorgfältig zusammengetragene mehrheitlich deutschsprachige Rechtsprechung in konziser Form einem französischsprachigen Publikum.
Zieht man nach einer Lektüre des Bandes Bilanz, so bleibt eine von mehreren Autorinnen und Autoren vertretene Haltung besonders in der Erinnerung haften: Es ist die Skepsis gegenüber der Wirksamkeit technologieneutraler Regulierung. Was gemeinhin als vorbildliche Technik der Gesetzgebung und Instrument einer flexiblen Anwendung von Normen auf neu gelagerte Sachverhalte gepriesen wird, stösst hier durchwegs auf frostigen Boden. Spiecker genannt Döhmann bemängelt, dass eine auf Prinzipien beruhende technologieneutrale Ausgestaltung für bestimmte kritische Anwendungen wie Big Data, Ubiquitous Computing oder Cloud-Computing keine passgenauen Lösungen zu entwickeln vermöge und damit Rechtssicherheit verloren gehe. Diesem Standpunkt schliesst sich Cottier an, indem er pointiert festhält: «Si l’on peut définir précisément les véhicules qui doivent céder la priorité à un carrefour, on peut aussi définir précisément quels photos peuvent être prises par une drone.» Der Autor redet allerdings nicht einer zweiten Strassenverkehrsordnung für den Datenverkehr das Wort, sondern schlägt die Einrichtung einer unabhängigen Kommission für Digitalisierungsfragen vor, welche für die Rechtssetzung auf der subalternen Ebene zuständig sein sollte. Der autonomen Rechtssetzung mittels Verhaltenskodizes, wie in Art. 10 des Entwurfs zu einem totalrevidierten Datenschutzgesetz vorgesehen (vgl. BBl 2017, 7193 ff.; der Autor weist in sei- | nem Beitrag noch auf die Empfehlungen der guten Praxis gemäss Art. 8 f. des Vorentwurfs zu einem totalrevidierten Datenschutzgesetz hin), erteilt er demgegenüber eine Absage: Solche Normen seien nicht zwingend, und es könnte zu Doppelspurigkeiten zwischen verschiedenen Verhaltenskodizes kommen.
Verlagern wir den Blick von der Rechtssetzung zur Rechtsanwendung. In diesem Zusammenhang ist zunächst die zutreffende Analyse von Probst hervorzuheben, dass Datenschutz zwar formell im Persönlichkeitsrecht verankert sei, aber nicht im klassischen Sinne als absolutes Abwehrrecht gegen Eingriffe von aussen verstanden werden könne. Die Persönlichkeitsverletzung bewirkt nicht die Unzulässigkeit der Datenbearbeitung, sondern die Persönlichkeit gilt nach dem Datenschutzgesetz dann als verletzt, wenn die Datenbearbeitung unzulässig ist. Ähnliche Relativierungen der persönlichkeitsrechtlichen Verwurzelung des Datenschutzes finden sich auch im Beitrag von Spiecker genannt Döhmann, die von «Technikrecht» und «Wirtschaftsregulierungsrecht» spricht. Leider bleibt bisweilen zu wenig Raum, um diese Erkenntnis weiterzuspinnen und zu vertiefen. Sie ist nämlich mit ein Grund dafür, weshalb die Einwilligung der betroffenen Person nur eine von mehreren gleichwertigen Berechtigungsgrundlagen für die Bearbeitung von Personendaten ist. Die Einwilligung ist der typische Rechtfertigungsgrund für eine Persönlichkeitsverletzung, aber mitunter ein entbehrliches Instrument, wenn die Datenbearbeitung aus anderen Gründen rechtmässig ist. Dennoch rücken die Autorinnen und Autoren dieses ins Zentrum ihrer Analysen und stellen unisono (und zu Recht) die Tragfähigkeit der heute im digitalen Umfeld üblichen datenschutzrechtlichen Einwilligungen infrage. Sie sind in der Regel fiktiv, alternativlos und überschiessend. Diese Erkenntnis ist allerdings nicht neu. Interessant wäre zum Beispiel gewesen zu erfahren, ob und wie die AGB-rechtlichen Regeln der Gültigkeits- und Inhaltskontrolle auch auf Datenschutzerklärungen übertragen werden können. Diese werden in der Regel nicht Vertragsbestandteil, sondern sind eine einseitige Kundgabe der für die Datenbearbeitung verantwortlichen Person, die von der betroffenen Person zur Kenntnis genommen wird. Was gilt für den Datenschutz, wenn ein bestimmter Bearbeitungszweck ungewöhnlich oder unklar formuliert ist? Hier könnten «traditionelle Rechtsgrundsätze» einiges an Steuerungskraft unter Beweis stellen. Eine weitere Problemstellung, die in den Aufsätzen lediglich anklingt, ist die Frage, ob der Datenschutz ein taugliches Schutzinstrument ist, um digitale Monopole aufzubrechen und zu disziplinieren. Der besprochene Sammelband liefert auch diesbezüglich gute und mitunter überraschende Denkanstösse. Ob die Beiträge die Strahlkraft haben, um die kurzatmige Datenschutzdebatte nachhaltig zu beeinflussen, wird sich weisen.