Damian George, Prinzipien und Rechtmässigkeitsbedingungen im privaten Datenschutzrecht

Ueli Buri

Die als Band 8 der Schriften aus dem Center for Information Technology, Society, and Law (ITSL) erschienene Zürcher Dissertation kommt mit einem Inhalt von über 400 Seiten schon rein äusserlich als Schwergewicht daher. Lässt man sich weder davon noch vom Untertitel des Werks – der epische historische Erörterungen befürchten lässt – von der Lektüre abhalten, gelangt man bald in einen gedanklichen Fluss, dem man sich schwerlich entziehen kann.

In einer Einführung in die Thematik (Kap. I) werden einerseits begriffliche Grundlagen zu Daten, Information und Erkenntnis gelegt und andererseits die Digitalisierung sowohl aus technischer als auch aus sozio-ökonomischer Sicht eingeordnet, wobei namentlich die Entwicklung von «datenfinanzierten» Diensten zu einer Informationsasymmetrie führt, in der die Individuen Überblick und Kontrolle über ihre persönlichen Daten verlieren; die Digitalisierung werde deshalb als Bedrohung für die Autonomie der Menschen angesehen.

Eine kurze Disposition über Ziel und Gang der Untersuchung (Kap. II) stellt die datenschutzrechtlichen Prinzipien (d.h. Rechtmässigkeit, Treu und Glauben, Zweckbindung, Verhältnismässigkeit, Transparenz, Datenrichtigkeit und Datensicherheit) sowie die Rechtmässigkeitsbedingungen (Einwilligung, berechtigtes Interesse oder Gesetz) ins Zentrum der Arbeit, wobei diese vorerst nur kurz umrissen und erst später gründlich aufgearbeitet werden. Prinzipien und Rechtmässigkeitsbedingungen sollen funktional ausgelegt werden, um das Zusammenspiel bei der Regulierung des Umgangs mit Personendaten besser zu verstehen.

Der Bedarf nach einer Regulierung, die unerwünschte Effekte von Datenbearbeitungen im Informationszeitalter beseitigen soll, steht am Anfang der Ausführungen über die Zwecke und Ziele des Datenschutzrechts (Kap. III). Wird auch das private Datenschutzrecht auf Grundrechte abgestützt, welche durch vom Gesetzgeber statuierte positive Schutzpflichten horizontale Wirkung entfalten, verwischen die Grenzen zwischen öffentlichem und privatem Recht. In der Schweiz wird das private Datenschutzrecht als Ergänzung und Konkretisierung des Persönlichkeitsrechts verstanden, welches als absolutes Rechtsgut gilt, dessen Inhalt positivrechtlich aber nicht definiert ist, so dass sich auch der Verletzungstatbestand nicht abschliessend festlegen lässt. Das vom Bundesgericht nach deutschem Vorbild anerkannte Grundrecht auf informationelle Selbstbestimmung erachtet George als den zentralen Bezugspunkt der datenschutzrechtlichen Diskussion; er bedauert daher, dass in der Schweiz ihr freiheitsunterstützender Gehalt – d.h. der Schutz vor Gefahren für die Ausübung von Verhaltensfreiheiten – kaum diskutiert wird. George sieht Grundrechts- und Persönlichkeitsschutz als offene Konzepte, welche nur von der Verletzung her beurteilt werden können. Es liegt deshalb am Gesetzgeber, den Schutzbereich klar abzustecken.

Mit einer Darstellung der historischen Regulierungsansätze innerhalb der EU und in der Schweiz (Kap. IV) sowie ihrer Vermengung in der Gegenwart (Kap. V) erläutert George die Herkunft der Unzulänglichkeiten, die das heutige Datenschutzrecht aus seiner Sicht aufweist: Namentlich das Vereinigte Königreich und Frankreich verfolgten einen prinzipienbasierten Ansatz, wonach beim computerunterstützten Umgang mit Personendaten gewisse Grundsätze einzuhalten waren. Deutschland statuierte ein Verbot mit Erlaubnisvorbehalt, wobei Einwilligung oder gesetzliche Erlaubnis zur Rechtmässigkeit führte; in diese Richtung wird auch der Persönlichkeitsschutz im ZBG verstanden, wonach Eingriffe in die Persönlichkeit grundsätzlich widerrechtlich sind und durch Rechtfertigungsgründe legitimiert werden müssen (objektive Widerrechtlichkeitstheorie). Zunächst in der Richtlinie 95/46/EG und dann in der DSGVO wurden die Prinzipien und Rechtmässigkeitsbedingungen zu einem «Cocktail europäischer Regulierungsansätze» vereint, dessen einheitliche Interpretation mangels einer Konkretisierung durch delegierte Rechtsakte fraglich scheint. Laut George gilt – entgegen der herrschenden Lehre – auch in der Schweiz ein Verbot mit Erlaubnisvorbehalt, weil die Persönlichkeitsverletzung mit so ausufernden Tatbeständen konkretisiert wird, dass fast immer Rechtfertigungsgründe geprüft werden müssen.

Mit Blick auf den Umgang mit Personendaten als Anknüpfungspunkt der Regulierung (Kap. VI) hält George das Konzept der relativen Bestimmbarkeit – wonach diese davon abhängig gemacht wird, ob nach der allgemeinen Lebenserfahrung der Aufwand für eine Zuordnung geleistet wird – für unzulänglich, weil die Kontexte, in denen sich ein Personenbezug herstellen lässt, nicht zwingend mit Risiken für die Privatsphäre korrelieren (z.B. bei Big Data Analytics). Einer Ausweitung des Personenbezugs über den Zweck oder das Ergebnis der Datenbearbeitung, so dass bereits eine Sin|gularisierung ausreicht, lehnt George klar ab. Auch der heutigen Kategorisierung der Daten anhand ihrer Sensitivität steht er kritisch gegenüber, weil teils aleatorische Wertungen dahinterstehen, die Bedeutung einer Information immer kontextabhängig ist und eine Unterscheidung im Widerspruch zur Annahme steht, im Informationszeitalter gäbe es keine belanglosen Daten mehr, mit der die universelle Geltung des Datenschutzrechts legitimiert wird. Risikorelevanter sei namentlich die Struktur von Daten. George plädiert für einen ontologischen Informationsbegriff, welcher danach differenziert, inwieweit Information unabhängig von ihrer Wahrnehmung existiert; in diese Richtung gehe die Regulierung von Profiling als Bearbeitungsvorgang anstelle des Persönlichkeitsprofils. Dass das Datenschutzrecht jeden Umgang mit Personendaten problematisiert, weil diese zu Persönlichkeits- bzw. Grundrechtsverletzungen genutzt werden können, führt laut George zu einer Entgrenzung von Tatbestandsmerkmalen.

Im ausführlichen Kapitel über die Rechtmässigkeitsbedingungen (Kap. VII) stellt George zur Einwilligung, zum Gesetz und zur Interessenabwägung jeweils zuerst differenziert die Rechtslage in der EU und in der Schweiz dar und nimmt dann kritisch Stellung dazu. Dabei sind folgende Erkenntnisse hervorzuheben: Der Einwilligung steht George aus mehreren Gründen kritisch gegenüber. Sie setzt voraus, dass die betroffene Person nicht nur über Zweck, Umfang und Art der Daten, sondern auch über die mit der Bekanntgabe geschaffenen Risiken aufgeklärt wird und diese richtig einschätzt, was kaum möglich sei; schon auf das Lesen der Datenschutzerklärung werde regelmässig verzichtet, weil die Kosten dafür höher eingeschätzt werden als die Nachteile aus der Aufgabe von persönlichen Daten (sog. rationale Apathie). Auch ist das Einholen einer Einwilligung gar nicht möglich, soweit Daten ohne Direktkommunikation beschafft werden (z.B. von autonomen Fahrzeugen oder wenn Suchmaschinen Webseiten mit identifizierbaren Personen auflisten). Zur gesetzlich gerechtfertigten Persönlichkeitsverletzung nach Art. 28 ZGB besteht keine Kasuistik, die für das Datenschutzrecht fruchtbar gemacht werden kann; die von der wohl herrschenden Lehre als ausreichend erachtete implizite Bearbeitungsbefugnis – ein Gesetz erlaubt eine persönlichkeitsverletzende Tätigkeit, welche die Bearbeitung von Personendaten voraussetzt – widerspricht dem Gebot der Normenklarheit. Auch ausdrückliche gesetzliche Erlaubnisnormen dürften sich in Generalklauseln erschöpfen (vgl. Art. 328b OR), weshalb eine normative Steuerung nur über spezifische Verbote (wie z.B. Art. 60a Abs. 3 EpG) verwirklicht werden kann. Sieht der Gesetzgeber eine Interessenabwägung vor, verzichtet er selbst auf eine solche und delegiert jene an die Rechtsanwender. Laut George ist zu unterscheiden zwischen der Abwägung ex ante im Sinne einer Prognose für eine Vielzahl möglicher Einzelfälle und jener ex post, wo nach dem Widerspruch einer betroffenen Person deren konkreter Einzelfall beurteilt wird; dabei führt ein Widerspruch nicht zwingend zum Verbot der Datenbearbeitung, sondern zu einer erneuten Interessenabwägung unter Berücksichtigung des Widerspruchs. Das grundsätzliche Problem der Interessenabwägung sieht George darin, dass dafür keine allgemein anerkannte Methode besteht; eine Rangordnung der Werte würde zwar Objektivität bringen, damit würde das Ergebnis der Abwägung aber vorprogrammiert und die Einzelfallabwägung ihres Sinnes entleert. George plädiert deshalb dafür, das jeder Interessenabwägung innewohnende Verhältnismässigkeitsprinzip auf eine Erforderlichkeits- und Eignungsprüfung zu beschränken und damit Datenbearbeitungen auf einer tatsächlichen Ebene zu kanalisieren, ohne dass ein Wertungsentscheid getroffen werden muss.

Auch die Prinzipien der Bearbeitung von Personendaten (Kap. VIII) werden zuerst im Einzelnen dargelegt, bevor George sie kritisch würdigt. Er erachtet den Zweckbindungsgrundsatz als steuernde Grösse im Datenschutzrecht, weil alle Prinzipien nur mit Blick auf einen spezifizierten Zweck nachgeprüft werden können. Jedoch ist auch die Zweckbindung nur ein abstraktes Prinzip, das keine konkreten Vorgaben an die Spezifikation des Zwecks macht und nur Datennutzungen zu inkompatiblen Zwecken verbietet. Die direkte Anwendbarkeit der Prinzipien führt dazu, dass sie zu Generalklauseln werden, bei deren Umsetzung der Verantwortliche über Ermessen verfügt; kann der Verantwortliche darlegen, dass er die gebotene Sorgfalt beim Einhalten der Prinzipien aufgewendet hat, wirkt dies für George haftungsbefreiend.

Mit Blick auf das Verhältnis von Prinzipien und Rechtmässigkeitsbedingungen (Kap. IX) stellt George für die Schweiz zunächst fest, dass Wortlaut und Systematik des Gesetzes unterschiedlich beantworten, inwieweit eine Verletzung der Prinzipien gerechtfertigt werden kann. Die Rechtsunsicherheit führt er darauf zurück, dass das Datenschutzrecht als Erfolgsunrecht nach der objektiven Widerrechtlichkeitstheorie verstanden wird. Laut George hat das Erfolgsunrecht aber keine Präventivfunktion, weil der Erfolg erst nach seinem Eintritt als widerrechtlich oder erlaubt bezeichnet werden kann. Art. 28 Abs. 2 ZGB (und damit auch Art. 31 Abs. 2 nDSG) könnte auch als Kodifizierung der subjektiven Widerrechtlichkeitstheorie verstanden werden, wonach jede Schädigung ohne (subjektiven) Rechtfertigungsgrund widerrechtlich sei. Allerdings scheint George weder der objektiven noch der subjektiven Widerrechtlichkeitstheorie zugeneigt, sondern einer jüngeren «dritten» Theorie, wonach die Widerrechtlichkeit nur durch einen Verstoss gegen Verhaltenspflichten begründet wird, welche entweder Sorgfalts- oder Schutzpflichten sind. Danach indiziert nicht die Verletzung der Persönlichkeit als Rechtsgut die Widerrechtlichkeit, sondern der Verstoss gegen die aus dem Rechtsgut abgeleiteten Gebote und Verbote. Dazu wären Fallgruppen zum Umgang mit Informationen zu entwickeln, die als Persönlichkeitsverletzungen gelten.

Im inhaltlich abschliessenden Kapitel zu den Funktionen des privaten Datenschutzrechts (Kap. X) hinterfragt George zuerst die Funktion von Technikfolgerecht. Eine Schutzpflicht vor jeglicher Informationsmacht hält er für undifferenziert, weil erst ein Missbrauch – den es zudem zu charakterisieren gilt – unerwünschte Folgen haben kann. Soll das |Datenschutzrecht vor Risiken der neuen Technik schützen, kann es laut George gerade nicht technologieneutral sein, sondern muss die neuen Risiken benennen. Mit Blick auf die Schweiz unterscheidet George zwischen dem normativen Persönlichkeitsschutz vor sich selber (Art. 27 ZGB) und dem Schutz gegen faktische Verletzungen durch Dritte (Art. 28 ZGB). Der normative Persönlichkeitsschutz steht als Einrede in der Disposition der betroffenen Person, weshalb George die neue Befugnis des EDÖB, die Freiwilligkeit einer Einwilligung von Amtes wegen zu überprüfen, als staatlichen Paternalismus sieht. Er spricht sich dafür aus, den faktischen Persönlichkeitsschutz über eine funktionale Interessenabwägung zu gewährleisten, welche als Konkretisierung des Gefahrensatzes im Zusammenspiel mit den Prinzipien darauf ausgerichtet sein soll, eine Persönlichkeitsverletzung vieler Personen möglichst zu verhindern. Dazu sind präventive Verhaltenspflichten zu schaffen und gesetzliche Verbote der Nutzung gewisser Informationen bzw. kontextuelle, absolute Widerspruchsrechte zu formulieren. Im Sinne eines risikobasierten Ansatzes müsste eine Regelung stärker an der Eintretenswahrscheinlichkeit von ungewollten Informationsnutzungen anknüpfen.

Die Arbeit von George ist in mehrfacher Hinsicht ungewöhnlich gut gelungen. Dies beginnt bereits bei der Sprache, welche stets glasklar ist, keine Zweideutigkeiten zurücklässt und die Aufmerksamkeit der Leserschaft nie verliert. Die ausgezeichnete Strukturierung des Textes in gut «verdauliche» Abschnitte und aussagekräftige Titel stellen sicher, dass die Orientierung trotz des grossen Umfangs des Werks nie verloren geht. Der inhaltliche Aufbau und die sich daraus ergebende Abfolge der Überlegungen überzeugen vorbehaltlos. George hat sowohl die europäische als auch die schweizerische Lehre und Rechtsprechung mit einer Gründlichkeit recherchiert und dokumentiert – die in ca. 1’800 Fussnoten referenzierten Fundstellen füllen ein Literatur- und Materialienverzeichnis von über 50 Seiten –, welche seine Arbeit auch als Nachschlagewerk geeignet erscheinen lässt. Dabei bezieht er regelmässig klar Stellung und scheut auch keine kritischen Positionen jenseits der herrschenden Lehre. Zu festgestellten Problemen des heutigen Rechtsverständnisses bietet er nachvollziehbare Lösungsansätze an, auch wenn sich diese (noch) nicht innert absehbarer Zeit durchsetzen dürften. Das Werk darf deshalb mit Fug auch inhaltlich als Schwergewicht bezeichnet werden.