Covid-19 – Bewährungsprobe für den Datenschutz
Veröffentlicht am 4th Jun 2020
EDITORIAL Zur Kommunikation & Recht Ausgabe Juni 2020
Ob ein System gut ist, zeigt sich erst so richtig, wenn es unter Druck gerät. Die DSGVO und das durch sie errichtete, strenge Datenschutzregiment geraten durch die Corona-Pandemie gerade gehörig unter Druck. Für ein Moratorium der bürokratischen Normen macht sich u. a. der Deutsche Industrie- und Handelskammertag DIHK stark, weil die Befolgung des strikten Regelwerks Einsatz und Kosten verlange, die für die gebeutelten Unternehmen in Krisenzeiten nicht zu stemmen seien. In Ungarn sind dem Vernehmen nach per Dekret sogar bereits bestimmte DSGVO-Vorgaben für die Dauer des Ausnahmezustand ausgesetzt, wie z. B. die Rechte der betroffenen Personen auf Zugang zu und Löschung ihrer persönlicher Daten. Die Corona-Pandemie erweist sich damit als erste echte Bewährungsprobe für das im Mai 2018 zur Geltung erstarkte Regelwerk.
Die Fallhöhe ist jedenfalls groß: Spätestens seit sich Verfahren gemehrt haben, in denen hiesige Datenschutzaufsichtsbehörden Verstöße gegen die DSGVO mit Millionenbußgelder sanktioniert haben, ist der Datenschutz in vielen Unternehmen – wohl oder übel – zum Maß aller Dinge geworden. Erweist sich das Corona-Virus jetzt als die willkommene Heckenschere, um das Regelwerk zurechtzustutzen? Das wäre sicherlich ein Irrweg.
Eines führen die Krise und die mit ihr einhergehenden Einschränkungen des täglichen Lebens uns aber deutlich vor Augen: Es gibt auch noch andere Werte und Freiheiten, die mit dem Datenschutz mindestens in einen ausgewogenen Ausgleich gebracht werden müssen. Das ist an sich nichts Neues und dem Datenschutzrecht sogar systemimmanent: Abwägungsentscheidungen sind hier an der Tagesordnung. So sind wir im Rahmen der Rechtfertigung bestimmter Datenverarbeitungen laufend bestrebt, berechtigte Interessen der Verantwortlichen mit schutzwürdigen Gegeninteressen, Rechten und Freiheiten der betroffenen Personen in einen Ausgleich zu bringen. Nur stehen hier in der Regel wirtschaftliche Interessen der Unternehmen, z. B. an einer besseren Vermarktung ihrer Produkte, dem aus dem Grundrecht auf Datenschutz abgeleiteten Interesse, von einer solchen Verarbeitung verschont zu bleiben, gegenüber. Auch wenn solche Abwägungen immer Einzelfallentscheidungen sind, haben wir hier unsere Schablonen und Standardargumente, die uns eine gewisse Routine verschaffen.
Jetzt rücken andere Schutzgüter in den Fokus, bei denen eine solche (vermeintliche) Dichotomie zu den Wirtschaftsinteressen nicht besteht. Die überkommenen Abwägungsroutinen müssen deshalb neu justiert werden. Das Grundrecht auf Datenschutz steht nun zum Beispiel regelmäßig im Widerstreit mit dem Schutz der Gesundheit, nicht nur des Einzelnen, sondern der gesamten Bevölkerung. Ein anschauliches Beispiel hierfür ist die Frage, ob der Arbeitgeber ein Fiebermessen am Werkstor einführen darf. Die eingeübten Abwägungsrituale sagen uns, dass Gesundheitsdaten über Mitarbeiter in den Händen des Arbeitsgebers im Grunde nicht zu rechtfertigen seien, weil wir hier zumeist mit wirtschaftlichen Interessen der Arbeitgeber abwägen; aber gilt dies auch in Zeiten von Covid-19? Nachdem sich einige Datenschutzaufsichtsbehörden hierzu zunächst negativ, mindestens aber ausweichend geäußert hatten, scheint hier ein Sinneswandel eingesetzt zu haben; angesichts der Regelungen in §§ 22 Abs. 1 Nr. 1 lit. c, 26 Abs. 3 DSGVO ein richtiger und begrüßenswerter Schritt, denn wann, wenn nicht jetzt, soll denn eine „schwerwiegende grenzüberschreitende Gesundheitsgefahr“ sonst vorliegen? Und ist es etwa nicht ein probates Mittel, mit dem der Arbeitgeber seiner Nebenpflicht aus dem Beschäftigungsverhältnis nachkommen kann, Leben und Gesundheit seiner Arbeitnehmer zu schützen?
Noch prägnanter und ungeübter ist die Kollision des Datenschutzrechts mit den persönlichen Freiheitsrechtenwie der Bewegungsfreiheit, der Versammlungsfreiheit und der Religionsfreiheit, aber auch dem Recht auf Sicherheit aus Art. 6 EU-GRCh, die der Diskussion über die Einführung der Corona-Tracing-App inhärent ist: Eine zügige Einführung der App könnte es ermöglichen, die Ausgeh- und Kontaktbeschränkungen schneller und nachhaltiger zu lockern und zugleich ein höheres Maß an Sicherheit vor Infektionen herzustellen, weil über die App eine verlässliche Nachverfolgung von Infektionsketten ermöglicht wird. Bekanntermaßen sind die sich bei der Entwicklung der App ergebenden Verzögerungenwohl zu einem Gutteil datenschutzrechtlichen Erwägungen geschuldet, die ein Umschwenken von einem – leichter und schneller zu realisierenden – Modell mit zentraler zu einem mit dezentraler Datenhaltung zur Folge hatte. Auf den Punkt gebracht ist das Primat des Datenschutzes hier also mindestens mitursächlich für die Fortdauer der Einschränkungen grundrechtlich verbürgter Freiheitsund Sicherheitsrechte. Ist dies angemessen oder verlangt die DSGVO dies sogar? Letzteres sicherlich nicht. Persönlich hätte ich an dieser Stelle auch ein anderes Abwägungsergebnis für richtig gehalten. Denn das Zentralmodell wäre ja nicht per se datenschutzwidrig gewesen; der Vorteil der dezentralen Datenspeicherung besteht (lediglich) darin, dass die Zweckbindung der Daten besser abgesichert ist. Ein hoher Preis für die sich – trotz jüngster Lockerungen – ergebende Fortdauer teilweise gravierender Freiheitsbeschränkungen.
Brauchen wir deshalb aber eine Entschärfung der Datenschutzvorschriften oder gar einen generellen Dispens der DSGVO? Ich meine nein. Der Rechtsrahmen der DSGVO bietet ausreichende Flexibilität; sie muss nur genutzt werden. Ganz pragmatisch sehen wir dies derzeit z.B. an Entscheidungen wie derjenigen des Hamburgischen Datenschutzbeauftragten, in laufenden Bußgeldverfahren bis auf weiteres keine Bußgeldbescheide zu erlassen, um die Unternehmen und Gewerbetreibende in der gegenwärtigen Corona-Krise zu entlasten. Auch die britische ICO hat eine Anpassung ihrer Aufsichtspraxis verlautbart.
Strukturell bietet die DSGVO – wie gezeigt – im Rahmen von Abwägungs-, Zumessungs- und Wertungsentscheidungen genügend Flexibilität, die Vorschriften situationsadäquat auszulegen und anzuwenden. In der Vergangenheit entsprach dies nicht immer der vor allem behördlichen Praxis; hier sind oftmals sehr einseitige Positionen bezogen worden. Es wäre sehr wünschenswert, wenn die durch die Corona-Pandemie neu in den Blick geratenen Abwägungsszenarien einen dauerhaften Beitrag dazu leisten könnten, die Wertigkeit der Schutzgüter neu zu kalibrieren – und zwar im Einklang mit den geltenden DSGVO-Vorschriften. Wenn das gelingt, hätte das Datenschutzrecht die Herausforderung Covid-19 mit Bravour gemeistert.