Читать книгу Datenschutzrecht - Jürgen Kühling - Страница 38

4. Datenschutzgrundrecht (Art. 8 GrCh)

Оглавление

50

Art. 8 GrCh normiert explizit ein Datenschutzgrundrecht. Die Bestimmung ist damit grundsätzlich lex specialis gegenüber Art. 7 GrCh.[1] Zunächst stellte der EuGH in diesem Zusammenhang lediglich fest, dass Art. 8 Abs. 1 GrCh in engem, konkretisierendem Verhältnis zu Art. 7 GrCh stehe,[2] ohne damit jedoch insoweit eine grundlegende und dogmatisch überzeugende Abgrenzung vorzunehmen. In jüngerer Zeit wurde indes deutlich, dass das Gericht beide Grundrechte nebeneinander anwendet und weitgehend parallel begreift.[3]

51

Der sachliche Schutzbereich umfasst in Anlehnung an das sekundärrechtliche Datenschutzrecht personenbezogene Daten, also alle Informationen über eine bestimmte oder bestimmbare Person.[4] In den persönlichen Schutzbereich fallen natürliche Personen und juristische Personen, sofern das Grundrecht wesensmäßig auf diese anwendbar ist[5] bzw. ein Durchschlagen auf natürliche Personen möglich ist. Diese Auffassung wird vom EuGH geteilt. Allerdings erachtet er juristische Personen beispielsweise bereits dann als grundrechtsberechtigt im Hinblick auf Art. 8 Abs. 1 GrCh, soweit der zu veröffentlichende Name der juristischen Person eine oder mehrere natürliche Personen bestimmt.[6] Dem ist zu entgegnen, dass in dieser konkreten Konstellation die zu veröffentlichenden Daten der juristischen Person weniger personenbezogene Daten darstellen als vielmehr Geschäftsdaten, die ihrem Wesen nach nicht in den Schutzbereich des Art. 8 Abs. 1 GrCh fallen.[7] In dogmatisch noch unausgereifter Weise rechtfertigt das Gericht in der Folge die Veröffentlichung der Daten der juristischen Person im Gegensatz zur Veröffentlichung der personenbezogenen Daten natürlicher Personen mit dem Argument, ein Eingriff in Art. 8 Abs. 1 GrCh habe in Bezug auf juristische Personen einen geringeren Stellenwert, da juristische Personen ohnehin insoweit einer bereits erweiterten Verpflichtung zur Veröffentlichung ihrer Daten unterlägen. Darüber hinaus stelle die Verpflichtung der Behörden, bei jeder juristischen Person vor Veröffentlichung ihrer Daten zu prüfen, ob deren Name natürliche Personen bestimmt, eine unverhältnismäßige Verwaltungslast dar.[8] Diese Argumentation ist insoweit problematisch, als sie impliziert, dass Eingriffe in Grundrechte mit dem Argument gerechtfertigt werden können, ein grundrechtskonformes Handeln der Verwaltung bedeute zu viel Aufwand. Sie kann bei der Rechtfertigung von Grundrechtseingriffen keinen Bestand haben.

52

Einen Eingriff[9] in Art. 8 GrCh stellt die Verarbeitung personenbezogener Daten dar, so wie sie i.S.d. ergangenen Sekundärrechts zu verstehen ist. Verarbeitung ist somit der Oberbegriff für alle Datenverarbeitungsschritte, von der Erhebung über die Weitergabe bis hin zur Löschung der personenbezogenen Daten.[10]

53

Ein Eingriff bedarf jedoch der Rechtfertigung. Unionsgrundrechte werden dabei nicht schrankenlos gewährleistet. Insbesondere ist auch hier wiederum Art. 52 GrCh zu beachten. Art. 8 Abs. 2 S. 1 GrCh enthält eine Qualifikation der Einschränkungsgründe.[11] So dürfen Daten „nur nach Treu und Glauben für festgelegte Zwecke und mit Einwilligung der betroffenen Person oder auf einer sonstigen gesetzlich geregelten legitimen Grundlage verarbeitet werden“. Damit wird zunächst das bereits neben dem in Art. 52 Abs. 1 S. 1 GrCh enthaltene Erfordernis einer gesetzlichen Grundlage wiederholt. Dieses versteht der EuGH in seiner Entscheidung zur VDSRL sehr streng dahingehend, dass der Unionsgesetzgeber selbst bei derart massiven Grundrechtseingriffen auf unionaler Ebene zentrale Vorkehrungen zur Begrenzung der Eingriffe vornehmen muss und dies nicht der – unionsgrundrechtskonformen – legislativen Umsetzung durch die Mitgliedstaaten überlassen kann. Damit ist jedenfalls für besonders tiefgreifende datenschutzrechtliche Eingriffe ein EU-Parlamentsvorbehalt für das (datenschutz-)grundrechts-Wesentliche geschaffen. Dies hat nicht nur im horizontalen Verhältnis zwischen EuGH als Judikative und Rat der EU, Kommission und EP als Legislative Verlagerungskonsequenzen zugunsten der die wesentlichen Anforderungen statuierenden Judikative, sondern v.a. auch in vertikaler Perspektive eine supranationale Sogwirkung zur Konsequenz.[12] Mit Art. 8 Abs. 2 S. 1 GrCh wurden im Übrigen einige in der datenschutzrechtlichen Grundrechtsdogmatik und in der Datenschutzgesetzgebung entwickelte Vorgaben primärrechtlich verankert: nämlich zum einen der Zweckbindungsgrundsatz und zum anderen der „Zulässigkeits-Dreiklang“ aus Einwilligung, gesetzlicher Spezial- und Allgemeinregelung. Eine Einwilligung kann dabei einen Grundrechtseingriff allerdings nur legitimieren, wenn sie hinreichend informiert und freiwillig erfolgt. Das im Primär- und Sekundärrecht der EU verankerte Transparenzgebot stellt sodann einen rechtfertigenden legitimen Zweck dar, den der europäische Gesetzgeber durch Rechtsetzungsakte fördern muss.[13] Dabei hat der Gesetzgeber jedoch das legitime Ziel, Transparenz zu schaffen, mit den Grundrechtsgehalten der Art. 8 (und 7) GrCh in Einklang zu bringen.[14] Das Transparenzgebot genießt nicht per se Vorrang vor dem Schutz personenbezogener Daten. Das gilt auch dann, wenn gewichtige wirtschaftliche Interessen involviert sind.[15] Vielmehr sind Ausnahmen und Einschränkungen von Art. 8 Abs. 1 GrCh auf das „absolut Notwendige“ zu beschränken (siehe dazu auch unten zur VDSRL → Rn. 164 ff.).[16]

54

Die Abwägung im Einzelfall kann indes im Mehrebenensystem trotz des weitgehenden Gleichlaufs des Grundrechtsschutzes durchaus merklich auseinandergehen. Exemplarisch wird dies etwa anhand der Agrarentscheidung des EuGH deutlich, in der das Gericht im Spannungsfeld von Datenschutz und Transparenz eine deutliche Tendenz zugunsten des Datenschutzes erkennen ließ[17] und damit auffällig anders wertete als noch das BVerfG. Dieses hatte es als zulässig angesehen, dass Vergütungen von Vorstandsmitgliedern von gesetzlichen Krankenversicherungen mit Blick auf das hohe Transparenzinteresse veröffentlicht werden,[18] und hat damit die Transparenzgesichtspunkte unter weitgehender Zurückdrängung datenschutzrechtlicher Interessen signifikant stärker gewichtet. Eine ähnliche Tendenz ist im Safe-Harbor-Urteil des EuGH deutlich geworden, in dem der Gerichtshof das „Safe Harbor“-Abkommen mit den USA verworfen hat, ohne dass klar wurde, wie die davon betroffenen 4400 Unternehmen kurzfristig ihren transatlantischen Datenaustausch rechtssicher organisieren können.[19] Einen Übergangszeitraum hat der EuGH nicht näher erwogen und pragmatische Reaktionen sind anschließend den nationalen Datenschutzbehörden überantwortet worden. Der EuGH betonte stattdessen, dass Ausnahmen vom Schutz personenbezogener Daten auf das absolut Notwendige beschränkt werden müssten.[20] Die Möglichkeiten, Unternehmens- oder Nutzerinteressen hinreichend zu gewichten, sind durch diesen Maßstab in starkem Maße begrenzt. Dabei die gegenläufigen Schutzpositionen ganz aus dem Blick zu verlieren, gefährdet nicht nur berechtigte Interessen der Unternehmen, sondern auch derjenigen Nutzer, die etwa einen größeren Wert auf einfach zugängliche, kostenlose, datenintensive Dienste legen als auf einen möglichst hohen Datenschutz. Jene Ausübung einer informationellen Selbstbestimmung oder Datensouveränität darf nicht einfach übergangen werden. Dabei ist die multipolare Grundrechtssituation eben tendenziell anders zu beleuchten als bei der isolierten Bewertung einer gesetzlichen Speicherpflicht oder behördlicher Zugriffsrechte. Dass in dem Urteil nicht einmal die insoweit einschlägigen Grundrechtsnormen, nämlich die Berufs- und unternehmerische Freiheit aus Art. 15, 16 GRCh, ggf. die allgemeine Handlungsfreiheit als allgemeiner Rechtsgrundsatz, genannt werden, ist nicht unproblematisch.[21] Auch im Google-Urteil[22] hat der EuGH die gegenläufigen Grundrechtspositionen der unternehmerischen Freiheit von Google und vor allem der Pressefreiheit des von der Streichung des Links betroffenen Presseunternehmens im Rahmen der Auslegung der DSRL nicht näher thematisiert. Das konnte jedoch noch als kluge Zurückhaltung gegenüber einer weiteren Ausdifferenzierung des Löschanspruchs auch im Verbund mit den mitgliedstaatlichen Gerichten verstanden werden.[23] Grundsätzlich birgt die scharfe Betonung des Datenschutzgrundrechts letztlich die Gefahr, dieses als „Supergrundrecht“ zu etablieren, das gegenläufige Schutzinteressen an der Datenverarbeitung allzu weit zurückdrängt.

55

Darüber hinaus normiert Art. 8 Abs. 2 S. 2 GrCh mit einem Auskunfts- und Berichtigungsanspruch prozedurale, Art. 8 Abs. 3 GrCh mit der Verpflichtung auf eine Überwachung der Einhaltung der Schutzgehalte durch eine unabhängige Instanz institutionelle Datenschutzgrundrechtsaspekte. Hier schließt sich der Kreis zu den Vorgaben des BVerfG im Volkszählungsurteil, die dementsprechend aufgefächert wurden (dazu → Rn. 67 ff.). Weder Art. 8 Abs. 2 GrCh noch Art. 8 Abs. 2 EMRK führen im Übrigen zu einer Ausdehnung der Schranken.[24]

56

Lösung zu Fallbeispiel 2 EU-Agrarbeihilfen – Datenschutz nach der GrCh (Rn. 47)

VO ungültig, wenn sie Grundrechte der GrCh verletzt
A. Art. 7 GrCh – Schutz des Privatlebens
I. Anwendungsbereich eröffnet?
Privatleben ist weit auszulegen, umfasst auch das Berufsleben (folgt aus Art. 52 Abs. 3 GrCh i.V.m. Rechtsprechung des EGMR zu Art. 8 EMRK)
Agrarbeihilfen = großer Teil der Einkünfte der Beihilfenempfänger
Angaben zur Höhe der Agrarsubventionen lassen Rückschlüsse auf Einkünfte der Beihilfenempfänger zu
Zugriff Dritter auf Veröffentlichung der Agrarbeihilfen führt zum Eindringen in Privatleben der Empfänger
Eröffnung des Gewährleistungsbereichs des Art. 7 GrCh (+)
II. ABER: Eindringen in Privatleben resultiert aus Übermittlung und Veröffentlichung der Daten der betroffenen Personen
Art. 8 Abs. 1 GrCh prüfen!
EuGH in diesem Fall: Art. 8 Abs. 1 GrCh stellt Konkretisierung des Art. 7 GrCh dar (zuletzt allerdings parallele Anwendung beider Grundrechte)
B. Art. 8 Abs. 1 GrCh – Schutz personenbezogener Daten
I. Ist jur. Person (hier: GmbH) im Hinblick auf Art. 8 Abs. 1 GrCh grundrechtsberechtigt?
Datenschutzgrundrecht entspringt den höchstpersönlichen Rechten
Datenschutzgrundrecht schützt jedoch juristische Personen, sofern es auf diese anwendbar ist
Informationen über Beihilfezahlungen an eine jur. Person sind im konkreten Fall Geschäftsdaten, NICHT personenbezogene Daten
Meyer-GmbH nicht grundrechtsberechtigt a.A. vertretbar → EuGH: juristische Personen grundrechtsberechtigt, soweit der Name der jur. Person eine oder mehrere natürliche Personen bestimmt
II. Anwendungsbereich eröffnet?
Zur Veröffentlichung vorgeschriebene Daten sind im Hinblick auf natürliche Personen personenbezogene Daten i.S.v. Art. 8 Abs. 1 GrCh
Schutzbereich des Art. 8 Abs. 1 GrCh (+)
III. Einschränkung des Anwendungsbereichs?
Vorgeschriebene Veröffentlichung der personenbezogenen Daten auf einer Website = Verarbeitung personenbezogener Daten i.S.v. Art. 8 Abs. 2 GrCh
ABER: Einschränkung des Anwendungsbereichs ausgeschlossen, da Einwilligung gemäß Art. 8 Abs. 2 GrCh bei Antragsstellung eingeholt?
VO begründet Informationspflicht, Antragsformulare enthalten Information über die Pflicht zur Veröffentlichung der personenbezogenen Daten
Bloße Information Einholung einer Einwilligung
Überdies: keine Freiwilligkeit, da alternativlos
Einwilligung der betroffenen Personen in die Veröffentlichung ihrer personenbezogenen Daten (–)
Einschränkung des Anwendungsbereichs des Art. 8 Abs. 1 GrCh (+)
IV. Rechtfertigung der Einschränkung?
Art. 8 Abs. 1 GrCh nicht schrankenlos gewährleistet
Art. 8 Abs. 2 S. 1 GrCh i.V.m. Art. 52 Abs. 1 GrCh
Gesetzliche Grundlage = VO (+)
Verfolgung eines legitimen Zwecks = Transparenz und angemessene Verwendung öffentlicher Gelder (+)
Geeignetheit (+)
Erforderlichkeit = EuGH: Ausnahmen und Einschränkungen von Art. 8 Abs. 1 GrCh sind auf das absolut Notwendige zu beschränken
EuGH: milderes Mittel zur Zweckerreichung gegeben
Legitimes Ziel auch dann erreicht, wenn bei natürlichen Personen Veröffentlichung auf bestimmte Empfänger von Agrarbeihilfen beschränkt, beispielsweise differenziert nach Kriterien des Bezugszeitraums, der Bezugshäufigkeit und der Art und des Umfangs des Bezugs
Erforderlichkeit (–)
ABER: nicht ersichtlich, warum Veröffentlichung bei Unterscheidung nach genannten Kriterien weniger stark in Privatleben und Datenschutzgrundrecht der Empfänger bei gleicher Effektivität eingreift
a.A. vertretbar (+)
Verhältnismäßigkeit der VO (–), a.A. vertretbar: große Bedeutung von Transparenz!
Art. 8 Abs. 1 (und Art. 7) GrCh im Hinblick auf natürliche Personen verletzt (+; a.A. vertretbar)
VO ungültig hinsichtlich natürlicher Personen (+; a.A. vertretbar)
EuGH: bei jur. Personen besitzt Eingriff in Art. 8 Abs. 1 GrCh einen geringeren Stellenwert
Verhältnismäßigkeit der VO insoweit (+), Art. 8 Abs. 1 GrCh verletzt (–), ungültig (–)
a.A. vertretbar (jur. Personen bei Art. 8 Abs. 1 GrCh nicht grundrechtsberechtigt)
Datenschutzrecht

Подняться наверх