CHB_RSW_Logo_mit_Welle_trans
Zeitschrift für Datenschutz | Banner

Informationelle Selbstbestimmung und informationelle Eigenverantwortung - zwei Seiten einer Medaille

Dr. Stefan Hanloser ist Rechtsanwalt in München und Mitglied des Wissenschaftsbeirats der ZD.

ZD 2023, 65   Möchte man den Stellenwert des Datenschutzes in der EU bemessen, empfiehlt sich ein Blick in die jüngsten Datenrechtsakte, insbesondere in den Data Governance Act (DGA) und den Kommissionsentwurf für einen Data Act (DA-KommE, COM(2022) 68 fin. v. 23.2.2022). Hier werden großzügig Datenzugangsrechte gewährt und Datennutzungsstrukturen für den gemeinsamen europäischen Datenraum, den „Binnenmarkt für Daten“, geschaffen. Die DS-GVO bleibt jedoch unberührt. Zusätzliche gesetzliche Erlaubnistatbestände, die die erstrebten Datenzugänge und Datennutzungen datenschutzkonform ermöglichen würden, fehlen. Die Entscheidungsbefugnis des Datensouveräns bleibt damit unangetastet; allerdings hängt der Erfolg der Europäischen Datenstrategie nun von der Bereitschaft der betroffenen Personen ab, die erforderlichen Einwilligungen auch für komplexe Zugangs- und Nutzungsszenarien zu erteilen.

 

1. Betroffenenleitbild der DSK

Diese aktive Entscheiderrolle im datenökonomischen Umfeld kollidiert mit dem Betroffenenbild, das die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (Datenschutzkonferenz - DSK) in ihrer Orientierungshilfe für Anbietende von Telemedien (OH TM, Version 1.1 v. 5.12.2022) zeichnet. In Abgrenzung zum wettbewerbsrechtlichen Leitbild eines angemessen aufmerksamen und kritischen Verbrauchers (Erwägungsgrund 18 S. 2 UGP-RL) vertritt die OH TM - offenbar entsprechend den empirischen Beobachtungen aus der aufsichtsbehördlichen Praxis - das Bild eines passiven bis desinteressierten Betroffenen. Dieses Betroffenenleitbild projiziert die OH TM auf die Wirksamkeit datenschutzrechtlicher Einwilligungen, wenn die Einwilligungsverweigerung - anders als in den Kopplungsfällen des Art. 7 Abs. 4 DS-GVO - durchaus möglich, aber im Vergleich zur Einwilligungserteilung geringfügig aufwändiger ist: So empfinde der Durchschnittsbetroffene das Lesen und Nachvollziehen der einwilligungsrelevanten Informationen und Einstellungsmöglichkeiten und die Auswahl der zutreffenden, dh gewünschten Einwilligungsoption als einen Mehraufwand, der die freie Willensbildung gegen eine Einwilligung ausschließe und zur unfreiwilligen Einwilligungserteilung führe (OH TM, Rn. 56). Und hinsichtlich der freien Willensäußerung unterstellt die OH TM, dass Betroffene datenschutzrechtliche Einwilligungen durchaus wider besseres Wissen erklären, um sich „mit der Angelegenheit einfach nicht mehr beschäftigen zu müssen“ (OH TM, Rn. 47), wobei mit „Angelegenheit“ die Ausübung der informationellen Selbstbestimmung durch die Erteilung oder Verweigerung einer Einwilligung gemeint ist. Entsprechend lasse sich der Durchschnittsbetroffene dazu bewegen, seine Entscheidung nicht nach seinem eindeutigen Willen, sondern nur danach zu treffen bzw. zu erklären, welche Option die Einwilligungsabfrage eindeutig schneller beendet (OH TM, Rn. 48).

Der DS-GVO liegt hingegen kein empirisches Betroffenenbild zu Grunde, das aus beobachteten Verhaltensmustern rechtliche Konsequenzen ableitet. Die DS-GVO propagiert ein rationalistisch-normatives Leitbild und unterstellt die Fähigkeit und auch Bereitschaft der Betroffenen, eine selbstbestimmte Einwilligungsentscheidung eigenverantwortlich zu treffen, solange die Willensbildung nicht durch ein Informationsdefizit, zB durch Täuschung, beeinträchtigt oder die Erklärungsfreiheit durch Einschüchterung, Nötigung oder beträchtliche nachteilige Folgen eingeschränkt ist (EDSA, Leitlinien 05/2020 zur Einwilligung, Version 1.1 v. 4.5.2020, Rn. 46 f.). Dieses Idealbild stellt zwei Anforderungen an den Betroffenen, die in einer digitalen Welt immer schwerer zu erfüllen sind:

# die kapazitäre Möglichkeit, die Menge der Einwilligungsentscheidungen in der zur Verfügung stehenden Zeit überhaupt treffen zu können und

# die intellektuelle Fähigkeit, die ideellen oder ökonomischen Vorteile der einwilligungsbasierten Verarbeitung gegen die Risiken der Verarbeitung für die informationelle Selbstbestimmung sachgerecht abzuwägen, insbesondere bei komplexen Verarbeitungsstrukturen.

Die DSK diagnostiziert in ihrer OH TM nun zusätzlich ein Defizit bei der informationellen Eigenverantwortung, nämlich die Neigung vieler Betroffener, die bequemste statt der willensgemäßen Erklärungsoption zu wählen, wenn letztere mit einem auch nur geringfügigen Mehraufwand verbunden ist. Informationelle Selbstbestimmung ist allerdings ohne informationelle Eigenverantwortung der Betroffenen undenkbar. Es stellt sich die Frage, wo hier der schmale Grat zwischen Autonomiegewährleistung, also der Schaffung der Bedingungen für eine effektive informationelle Selbstbestimmung, und Paternalismus bzw. Parentalismus und damit Fremdbestimmung verläuft. Ist nicht die Einwilligungserteilung wider besseres Wissen und in Kenntnis der mit geringfügigem Mehraufwand verbundenen Möglichkeit der Einwilligungsverweigerung ein zu respektierender Akt der informationellen Selbstbestimmung? Wird das informationelle Selbstbestimmungsrecht der aktiven und interessierten Betroffenen verletzt, wenn auch ihre bewussten Einwilligungen am Maßstab der passiven bis desinteressierten Betroffenen für nichtig erklärt werden? Und wäre die informationelle Selbstbestimmung auch beeinträchtigt, wenn nicht die Einwilligungsverweigerung, sondern die Einwilligungserteilung beschwerlicher als die Ablehnung ausgestaltet ist? Und wenn Betroffene durchaus resilient gegen eine nicht generell unzulässige Verhaltenssteuerung (Nudging) sind (OH TM, Rn. 125), wer definiert rechtssicher die Grenzen zur verbotenen Täuschung und Nötigung?

 

2. Betroffenenleitbild der EU-Datengesetzgebung

Durch die einwilligungslastige EU-Datengesetzgebung bekommt das DS-GVO-konforme Betroffenenleitbild eine gesellschaftliche Dimension, die über den einzelnen Betroffenen hinausgeht. Der DA-KommE und der DGA haben die Betroffenen nämlich als eigenverantwortliche und verlässliche Entscheider über die Verarbeitung ihrer personenbezogenen Daten fest eingeplant.

a) Datenzugang nach dem Data Act

Der DA-KommE gewährt den Nutzern vernetzter Produkte des Internet of Things (IoT) gesetzliche Datenzugangsansprüche für alle Daten, die im Zusammenhang mit dem Betrieb eines IoT-Produkts erzeugt und gespeichert werden. Das sind zunächst sämtliche vom Nutzer eingegebenen oder bewusst aufgezeichneten Daten. Erfasst sind aber auch alle dokumentierten Interaktionen (Nutzungsdaten) und Informationen, die mit keiner Nutzungshandlung in Verbindung stehen, wie etwa die durch einen Sensor fortlaufend erfasste Außentemperatur.

Gläubiger des Datenzugangsanspruchs ist die natürliche oder juristische Person, die zivilrechtlich die Nutzungsvorteile aus dem IoT-Produkt ziehen kann und die Lasten und Risiken trägt. Ihr fallen auch die generierten Daten - vergleichbar mit einem Gebrauchsvorteil iSd § 100 BGB - zu (Erwägungsgrund 18 DA-KommE). Der Datenzugangsanspruch honoriert also nicht meritokratisch den Wertschöpfungsbeitrag des Nutzers durch den aktiven Gebrauch des vernetzten Produkts, sodass auch Informationen, die im Standby-Modus oder bei ausgeschalteten Geräten aufgezeichnet werden, ihm als Gebrauchsvorteil gebühren (Erwägungsgrund 17 S. 2 DA-KommE). Der Datenzugangsanspruch richtet sich nach Art. 2 Nr. 6 DA-KommE hinsichtlich personenbezogener Daten jedenfalls gegen alle Verantwortlichen iSd Art. 4 Nr. 7 DS-GVO, die wegen des Portabilitätsanspruchs nach Art. 20 DS-GVO bereits nach anwendbarem Unionsrecht zur Datenbereitstellung - wenn auch in geringerem Umfang - verpflichtet sind und sich damit als Dateninhaber qualifizieren. Der Nutzer kann von jedem Dateninhaber die Bereitstellung der Daten an sich (Art. 4 DA-KommE) oder an einen Datenempfänger seiner Wahl (Art. 5 DA-KommE) verlangen.

Einen unbeabsichtigten datenschutzrechtlichen Nebeneffekt hat der Lizenzvorbehalt des Art. 4 Abs. 6 S. 1 DA-KommE: Möchte der Dateninhaber nicht personenbezogene IoT-Daten weiterhin verwenden, benötigt er eine Gestattung der Nutzer. Der gerichtsfeste Nachweis dieser Gestattung für spezifische IoT-Daten wird dem Dateninhaber nur durch eine Vollregistrierung der Nutzer, zB durch personalisierte Nutzerkonten auf Begleitapps, gelingen - bei Mehrpersonengeräten erfolgt die Nutzeridentifizierung durch getrennte Nutzerkonten, um die Nutzungsdaten nutzerindividuell zuordnen zu können (Erwägungsgrund 20 S. 4 DA-KommE). Damit wird es zumindest bei IoT-Konsumprodukten nur noch personenbezogene IoT-Daten geben, mit entsprechender Praxisrelevanz der datenschutzrechtlichen Einwilligung.

Wenn ein Alleinnutzer eines IoT-Produkts den Datenzugang an sich oder einen Datenempfänger verlangt, ist keine Einwilligung für seine eigenen Daten erforderlich, ganz so als wenn er Datenauskunft nach Art. 15 DS-GVO oder Datenübertragung nach Art. 20 DS-GVO verlangt. Wenn sich der begehrte Datenzugang allerdings auf die personenbezogenen Daten identifizierter Mitnutzer oder identifizierbarer Dritter richtet, deren Daten zB durch eine integrierte Kamera aufgezeichnet wurden, muss der Dateninhaber oder der Nutzer die Mitnutzer bzw. Dritten mit einer Einwilligungsanfrage konfrontieren.

b) Datennutzung nach dem Data Governance Act

Der DGA schafft den regulatorischen Rahmen für Datenvermittlungsdienste und datenaltruistische Organisationen. Beide bilden mit ihrer technischen und organisatorischen Infrastruktur das Bindeglied zwischen Dateninhabern und Datennutzern, also einen Datenmarkt, auf dem Datenangebot und kommerzielle und ideelle Datennachfrage zusammentreffen. Art. 10 lit. b DGA erkennt Datenvermittlungsdienste zwischen betroffenen Personen, die ihre personenbezogenen Daten zugänglich machen wollen, und potenziellen Datennutzern ausdrücklich an. Und es lässt sich gut vertreten, dass auch Einwilligungsverwaltungsdienste, wie sie zB § 26 TTDSG für den kleinen Ausschnitt des Cookie-Consents anerkennt, von Art. 10 lit. b DGA erfasst sind. Als Leistungsannex ermöglichen diese Datenvermittlungsdienste die Ausübung der in der DS-GVO verankerten Betroffenenrechte, einschließlich der Erteilung und des Widerrufs datenschutzrechtlicher Einwilligungen (Erwägungsgrund 30 S. 3 DGA). Auch die anerkannten datenaltruistischen Organisationen stellen nach Art. 21 Abs. 3 DGA Werkzeuge zur Einholung der Einwilligung bereit, da sich Datenaltruismus idR auf die Einwilligung der betroffenen Personen stützen wird (Erwägungsgrund 50 S. 4 DGA). Entsprechend sieht Art. 25 DGA ein europäisches Einwilligungsformular für Datenaltruismus vor, das das Einholen von Einwilligungen in allen Mitgliedstaaten in einem einheitlichen Format ermöglichen soll.

Datenvermittlungsdienste, insbesondere Einwilligungsverwaltungsdienste, und datenaltruistische Organisationen betreffen nicht die spezifische Einwilligung in eine konkrete Verarbeitung, sondern abstrakt-generelle Einwilligungsentscheidungen der Betroffenen für generisch umschriebene Verarbeitungen und größere Gruppen von Einwilligungsempfängern. Um hier zu einer wirksamen Einwilligung zu gelangen, wird man unterstellen müssen, dass der einwilligende Betroffene sich mit dem komplexen Einwilligungsgehalt auseinandergesetzt hat und seine Einwilligung nicht leichtfertig oder gar gegen seinen Willen erklärt hat, nur um sich mit dieser Angelegenheit nicht mehr beschäftigen zu müssen. Eine Resilienz gegen lästige Anfragen und die Bereitschaft, diese auch konsequent abzulehnen, muss unterstellt werden können. Dies erfordert ein EU-einheitlich definiertes Betroffenenleitbild.

 

3. Ausblick

IRd öffentlichen Konsultation war die fehlende Notifizierung der technischen De-facto-Vorschriften aus der OH TM an die Kommission nach Art. 5 Abs. 1 RL (EU) 2015/1535 bereits gerügt worden. Die dezidierten Anforderungen an die Gestaltung von Einwilligungsbannern im neuen Kap. V der OH TM sind technische Spezifikationen betreffend Dienste der Informationsgesellschaft iSd Art. 1 Abs. 1 lit. f sublit. (iii) RL (EU) 2015/1535, die sich in ihrer nationalen Singularität durchaus als Hemmnis für den freien Verkehr von Diensten der Informationsgesellschaft im Binnenmarkt auswirken können. Dass die OH TM keine bundesweite Verwaltungsrichtlinie ist, sondern sich nur die zustimmenden Aufsichtsbehörden selbst binden (Auswertungsbericht zur OH TM v. 19.10.2022, S. 5 f., abweichend S. 45 f.), steht einer Notifizierung nicht entgegen, da nach Art. 1 Abs. 1 lit. f RL (EU) 2015/1535 eine Geltung der OH TM „in einem großen Teil“ der Bundesländer jedenfalls ausreicht. Das Notifizierungsverfahren würde zugleich die Herausbildung eines EU-einheitlichen Betroffenenleitbilds fördern, was mit Blick auf die EU-Datengesetzgebung dringend geboten ist.

Anzeigen:

ZD 4Wochen Testabonnement

beck-online DatenschutzR

Teilen:

Menü