Newsletter Anmeldung

Bleiben Sie mit dem Newsletter immer up to date.

Anfrage
arrow-to-top

Datenhoheit und Datenschutz aus Nutzer-, Verbraucher- und Patientenperspektive

03/2023

1 Einleitung

Die Frage der Hoheit über Datenbestände entwickelt sich in vielen Technologiezweigen zum Schlüsselthema. Besonders deutlich wird dies am Beispiel des automatisierten und autonomen Fahrens. Bereits teilautomatisierte Fahrzeuge generieren Daten in Größenordnungen von 10–25 Gigabyte pro Stunde. Die anfallenden Daten bergen ein enormes Wertschöpfungspotenzial und wecken Begehrlichkeiten bei Fahrzeugherstellern, Zulieferern oder Mobilitätsdienstleistern. In der Folge stellt sich die Frage, wer „Herrin oder Herr“ dieser Daten ist und wer über ihre Nutzung und Weitergabe entscheiden darf. Nach Aussage des Vorstandsvorsitzenden eines großen deutschen Automobilherstellers gehörten Daten in Europa zunächst den Kundinnen und Kunden – diese sollten entscheiden, was mit ihnen passiere. Auch wenn diese Einschätzung einer rechtlichen Überprüfung nicht unbedingt standhält, wirft sie dennoch ein Schlaglicht auf die Frage, ob und in welchem Umfang natürliche Personen Einfluss auf das Schicksal „ihren Daten“ nehmen können. Der folgende Beitrag nähert sich daher dem Thema Datenhoheit aus der Perspektive von Nutzenden, Verbraucherinnen und Verbrauchern sowie Patientinnen und Patienten. In diesem Zusammenhang werden die rechtlichen Rahmenbedingungen – insbesondere im Bereich des Datenschutzrechts – dargestellt. Darüber hinaus werden aber auch sektorspezifische Regelungen beleuchtet, die natürlichen Personen Einfluss- und Kontrollmöglichkeiten auf die Verarbeitung der sie betreffenden Daten gewähren.

2 Zuordnung von Daten

Der Begriff der Datenhoheit ist ein in der rechtspolitischen Diskussion häufig verwendetes Schlagwort. Bislang wird die Terminologie vor allem im Zusammenhang mit einer zivilrechtlichen Zuordnung von Daten zu einem Datensubjekt verwendet. Die Forderung nach einem Dateneigentum wurde intensiv diskutiert. Eine Anerkennung durch den Gesetzgeber erfolgte jedoch bislang nicht. De lege lata gibt es kein Eigentum oder ein anderes vergleichbares absolutes Recht an Daten. Die Zuordnung von Daten erfolgt daher in der Praxis häufig rein faktisch. Derjenige, der die physische Verfügungsgewalt hat, kann die Weitergabe und Nutzung durch Technikgestaltung steuern. Einschränkungen bestehen jedoch dort, wo die Nutzung von Daten in Rechte Dritter eingreift oder der Umgang mit bestimmten Datenarten oder Informationsinhalten gesetzlichen Regelungen unterworfen ist. Der vorliegende Beitrag verwendet den Begriff der Datenhoheit vor allem unter dem Aspekt von gesetzlich normierten Einfluss- und Kontrollmöglichkeiten durch bestimmte Akteursgruppen.

3 Datenschutzrecht

Eine zentrale Säule des souveränen und selbstbestimmten Umgangs mit persönlichen Daten stellt das Datenschutzrecht dar. Das Recht auf Datenschutz wird auf primärrechtlicher Ebene durch Art. 8 Grundrechtecharta (GrCh) gewährleistet. Auf nationaler Ebene sind personenbezogene Daten zudem durch das verfassungsgerichtlich geprägte Recht auf informationelle Selbstbestimmung abgesichert. Den Anspruch eines selbstbestimmten Umgangs mit (personenbezogenen) Daten verfolgt auch die EU-Datenschutzgrundverordnung (DSGVO). Mit der seit dem Jahr 2018 geltenden Verordnung hat der Stellenwert des Datenschutzrechts erheblich an Bedeutung gewonnen. Die Vorgaben der DSGVO sind bei jeder Verarbeitung von personenbezogenen Daten zu beachten. Umfasst sind damit alle Informationen, die sich auf eine identifizierte oder identifizierbare Person beziehen (Art. 4 Nr. 1 DSGVO). Als identifizierbar gilt eine Person bereits dann, wenn anhand der Information eine indirekte Zuordnung möglich ist. Das kann beispielsweise der Fall sein, wenn Daten einer Person mit Zusatzinformationen eines Dritten verknüpft werden und erst hierdurch eine Identifikation ermöglicht wird. Gelangen die Vorschriften der DSGVO zur Anwendung, hat dies weitreichende Konsequenzen für die Datennutzung. Wer über die Zwecke und Mittel der Datenverarbeitung entscheidet, unterliegt als Verantwortlicher einem dichten Regelungsgefüge. Der Verantwortliche muss die datenschutzrechtlichen Vorgaben nicht nur gewährleisten, sondern deren Einhaltung auch nachweisen können (sogenanntes Rechenschaftsprinzip). Zudem gewährt die DSGVO der von der Datenverarbeitung betroffenen Person weitreichende Instrumente, um die Rechtmäßigkeit der Datenverarbeitung zu kontrollieren, wie etwa das Recht auf Auskunft oder Löschung. Die Kontrollmöglichkeiten der betroffenen Person können jedoch nur dann wirksam ausgeübt werden, wenn sie Kenntnis von der Datenverarbeitung hat. Dies setzt ein hohes Maß an Transparenz voraus. Mit der Einführung der DSGVO wurde der Grundsatz der Transparenz der Datenverarbeitung zu einem wesentlichen Strukturprinzip erhoben.

3.1 Transparenz der Datenverarbeitung

Der Grundsatz der Transparenz der Datenverarbeitung ist in Art. 5 DSGVO normiert und gibt vor, dass personenbezogene Daten in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden müssen. Voraussetzung hierfür ist, dass alle Informationen und Mitteilungen zur Verarbeitung von personenbezogenen Daten leicht zugänglich, verständlich und in klarer und einfacher Sprache abgefasst sind (ErwGr 39 S. 3 DSGVO). Umfasst sind damit alle Informationen und Informationsmaßnahmen, die notwendig sind, um die Rechtmäßigkeit der Datenverarbeitung zu überprüfen. Aus dem Grundsatz der Transparenz folgen eine Reihe von konkret umzusetzenden Pflichten, die darauf abzielen die betroffene Person über die beabsichtigte Datenverarbeitung zu informieren und sie über die ihr zustehenden Rechte aufzuklären. Sinn und Zweck der Informationsbereitstellung ist es, dass die betroffene Person selbst entscheiden kann, ob sie mit der Datenerhebung einverstanden ist bzw. ob sie bereit ist, Angaben zu machen. Zu informieren ist unter anderem über die Identität des Verantwortlichen, über die Zwecke und Risiken der Datenverarbeitung, aber auch über mögliche Datenempfänger oder die Speicherdauer (vgl. im Einzelnen Art. 13 f. DSGVO). In welcher Form diese Informationen beizubringen sind, wird nicht festgelegt. Es empfiehlt sich jedoch, die Informationen dort bereitzustellen, wo die betroffene Person von den mitgeteilten Informationen am besten Kenntnis erlangen kann. Das kann beispielsweise bei der Anmeldung, Registrierung oder der ersten Nutzung eines Dienstes durch Verweis auf die Datenschutzerklärung geschehen. Werden die Daten unmittelbar bei der betroffenen Person erfasst, müssen die Pflichtinformationen bereits zum Zeitpunkt der Datenerhebung bereitgestellt werden. Ein nachträgliches Informieren ist unzulässig. Die nicht unerhebliche Bußgeldandrohung bei Verstößen gegen die Informationspflichten (20 Millionen Euro oder 4 Prozent des gesamten weltweit erzielten Jahresumsatzes) hat dazu geführt, dass viele Datenschutzerklärungen lang und sprachlich überkomplex abgefasst werden. Die Analyse der Datenschutzerklärung eines verbreiteten Messenger-Dienstes ergab beispielweise eine höhere sprachliche Komplexität als Thomas Manns Werks „Der Tod in Venedig“. Die vom Verordnungsgeber intendierte Transparenz der Datenverarbeitung wird in vielen Fällen damit nicht erreicht oder führt sogar dazu, dass die Autonomie der betroffenen Person durch überlange Datenschutztexte geschwächt und in der Folge die Wahrnehmung der Betroffenenrechte vereitelt wird.

3.2 Betroffenenrechte

Die in den Art. 15 ff. DSGVO geregelten Betroffenenrechte sind ein wichtiges datenschutzrechtliches Instrument, mit dem der betroffenen Person eine effektive Kontrolle über die sie betreffenden Daten ermöglicht werden soll. Hierzu gehören unter anderem das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung sowie das Recht auf Datenübertragbarkeit. Die betroffene Person kann durch die Wahrnehmung dieser Rechte in dem gesetzlich vorgesehenen Rahmen Einfluss auf die Verarbeitung der sie betreffenden Daten nehmen.

Auskunftsrecht

Das Recht auf Auskunft ist bereits primärrechtlich in Art. 8 Abs. 2 GrCh enthalten und stellt ein zentrales Instrument des Selbstdatenschutzes dar. Durch das Auskunftsrecht soll eine wirksame Kontrolle der datenverarbeitenden Stelle ermöglicht werden. Es gewährleistet zudem die Überprüfung der Rechtmäßigkeit der Datenverarbeitung und ist zugleich Hilfsmittel, um weitergehenden Rechte wie zum Beispiel das Recht auf Löschung, Berichtigung oder Einschränkung der Verarbeitung auszuüben. Das Auskunftsrecht ist in Art. 15 DSGVO folgendermaßen ausgestaltet: die betroffene Person kann auf einer ersten Stufe eine Bestätigung darüber verlangen, ob ihre personenbezogenen Daten verarbeitet wurden. Auf einer zweiten Stufe kann Auskunft über die personenbezogenen Daten sowie weitere Informationen verlangt werden. Für die Ausübung des Auskunftsrechts muss die betroffene Person einen entsprechenden (formlosen) Antrag stellen. Der Verantwortliche muss dem Antrag unverzüglich, spätestens jedoch innerhalb eines Monats, nachkommen (Art. 12 Abs. 3 DSGVO). Zudem ist er verpflichtet die betroffene Person auf das Bestehen des Auskunftsrechts hinzuweisen (vgl. Art. 13 Abs. 2 lit. b, 14 Abs. 2 lit. c DSGVO).

Berichtigungsrecht

Das Recht auf Berichtigung ist ebenfalls auf Ebene der Grundrechtecharta (Art. 8 Abs. 2 GrCh) verankert und findet in dem Grundsatz der Richtigkeit der Datenverarbeitung in Art. 5 Abs. 1 lit. d (i. V. m. Art. 16 DSGVO) sein sekundärrechtliches Pendant. Es verfügt über zwei Bestandteile: Zum einen kann die betroffene Person die Korrektur unrichtiger Daten verlangen. Zum anderen kann die Vervollständigung oder Ergänzung unvollständiger Daten erwirkt werden. Das Recht auf Berichtigung ist gerade für Verbraucherinnen und Verbraucher von hoher Relevanz, denn die Verarbeitung von unrichtigen Daten kann mitunter nachteilige Konsequenzen nach sich ziehen, etwa wenn die Bewilligung eines Darlehens aufgrund fehlerhafter Einträge in einer Auskunftei abgelehnt wird. Erweisen sich die von der betroffenen Person beanstandeten Daten als unrichtig, ist der Verantwortliche zur unverzüglichen Berichtigung verpflichtet.

Löschungsrecht und Recht auf Vergessenwerden

Der Verantwortliche einer Datenverarbeitung muss personenbezogene Daten selbstständig löschen, wenn es keinen Anlass mehr für deren Speicherung gibt oder wenn sich die Daten als unrichtig erweisen. Das gebietet der Grundsatz der Richtigkeit der Datenverarbeitung wie er in Art. 5 Abs. 1 lit. d DSGVO festgeschrieben ist. Dennoch können Situationen auftreten, in denen die betroffene Person aktiv auf eine Löschung ihrer personenbezogenen Daten hinwirken will. Einen entsprechenden Durchsetzungsmechanismus bietet das in Art. 17 DSGVO normierte Löschungsrecht. Es sieht für eine Reihe von Konstellationen eine Löschpflicht vor, beispielsweise wenn die betroffene Person ihre Einwilligung widerruft oder die Datenverarbeitung sich als unrechtmäßig erweist. Wurden personenbezogene Daten an Dritte weitergegeben, so müssen diese über das Löschbegehren informiert werden. Die in Art. 17 Abs. 2 DSGVO festgelegte Pflicht beinhaltet jedoch nicht, dass der Verantwortliche die Löschung von personenbezogenen Daten bei Dritten tatsächlich herbeiführen muss. Er muss lediglich das Löschbegehren weiterleiten. Geschuldet sind somit lediglich „best efforts“. Damit umfasst der in Art. 17 DSGVO verwendete Begriff des „Rechts auf Vergessenwerden“ lediglich das Bemühen des Verantwortlichen, eine Löschung zu befördern. Eine Verpflichtung, die vom Löschbegehren adressierten Daten endgültig „aus der Welt zu schaffen“ kann nicht verlangt werden. Art. 17 DSGVO kann somit nicht verhindern, dass über das Internet verbreitete Daten weiterhin abrufbar sind. Damit unterscheidet sich der in der DSGVO verwendete Begriff des „Rechts auf Vergessenwerden“ mit dem Entscheidungsgehalt des EuGH-Urteils Google Spain welches ein „Recht auf Delisting“ gegenüber Suchmaschinenbetreibern beinhaltet.

Einschränkung der Verarbeitung

Das Recht auf Einschränkung der Verarbeitung ist ein weiteres wichtiges Eingriffs- und Steuerungsinstrument der betroffenen Person. Nach Art. 18 DSGVO kann die Einschränkung der Verarbeitung verlangt werden, wenn einer der dort genannten Einschränkungsgründe gegeben ist. Hierzu gehört etwa der Fall, wenn die Richtigkeit der Daten bestritten wird (lit. a) oder ein Widerspruch gegen die Verarbeitung erhoben wird (lit. d). Das Recht auf Einschränkung der Verarbeitung ermöglicht die vorrübergehende Aussetzung der Verarbeitung in Fällen, in denen eine Löschung oder sofortige Berichtigung nicht sachgerecht erscheint. Die Vorschrift stellt damit eine Vorstufe für die Durchsetzung eines späteren Löschungs- oder Berichtigungsanspruchs dar und vermittelt einen effektiven Rechtsschutz bis zur abschließenden Klärung der Rechtslage.

Datenportabilitätsrecht

Mit dem Recht auf Datenübertragbarkeit hat der europäische Gesetzgeber ein völlig neues Instrument zur Stärkung der informationellen Steuerungsmöglichkeiten der betroffenen Person geschaffen. Nutzerinnen und Nutzer sowie Verbraucherinnen und Verbraucher können auf Grundlage dieses Rechts ihre personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format herausverlangen. Daneben kann auch die Übermittlung von personenbezogenen Daten zu einem anderen Verantwortlichen (beispielsweise einem anderen Dienstleister) verlangt werden. Bei dem Recht auf Datenportabilität handelt es sich genaugenommen nicht um eine Bestimmung des Datenschutzrechts im engeren Sinne. Die Regelung ist vielmehr als eine Verbraucherschutz- bzw. Marktregulierungsvorschrift anzusehen. Durch sie soll sichergestellt werden, dass Daten leichter zwischen verschiedenen Anbietern ausgetauscht werden können. Hierdurch soll die Autonomie der Nutzenden gestärkt und Lock-in-Effekte verringert werden. Gleichzeitig sollen die Transaktionskosten („switching costs“) reduziert werden. Der Gedanke der „Mitnahme“ von Daten zu einem anderen Anbieter hat sich auch in anderen gesetzgeberischen Aktivitäten niedergeschlagen. So sieht beispielsweise Art. 16 Abs. 4 der Digital-Inhalte-Richtlinie (EU 2019/770) vor, dass der Verbraucher bei Beendigung des Vertragsverhältnisses einen Anspruch auf Bereitstellung derjenigen Daten hat, welche durch den Verbraucher bereitgestellt oder erstellt wurden.

4 Rechtmäßigkeit der Datenverarbeitung

Durch die Ausübung der Betroffenenrechte soll die betroffene Person in die Lage versetzt werden, die Rechtmäßigkeit der Datenverarbeitung zu überprüfen. Der Eingriff in das Grundrecht auf Datenschutz (Art. 8 Abs. 1 GrCh) ist nur dann rechtmäßig, wenn er auf einer gesetzlichen Grundlage erfolgt (Art. 52 Abs. 1 GRCh). Die Verarbeitung von personenbezogenen Daten steht damit unter einem Erlaubnisvorbehalt. Das bedeutet, dass die Verarbeitung nur dann zulässig ist, wenn eine entsprechende Rechtsgrundlage diese gestattet. Verarbeitungstätigkeiten ohne eine legitimierende Rechtsgrundlage sind rechtswidrig und sanktionsbewehrt. Art. 6 Abs. 1 DSGVO enthält einen Katalog von insgesamt sechs Erlaubnistatbeständen. Vor jeder Verarbeitung von personenbezogenen Daten ist zu prüfen, ob (mindestens) einer der dort aufgeführten Erlaubnistatbestände erfüllt ist.

4.1 Einwilligung

Die Verarbeitung von personenbezogenen Daten ist nach Art. 6 Abs. 1 lit. a DSGVO zulässig, wenn die betroffene Person ihre Einwilligung erteilt hat. Dem Erlaubnistatbestand der Einwilligung kommt im Regelungsgefüge der DSGVO eine zentrale Rolle zu. Sie ist ein wichtiges Instrument des Datenschutzrechts und Ausdruck informationeller Selbstbestimmung. Die Einwilligung soll der betroffenen Person ermöglichen, selbst über das „Ob“ und „Wie“ der Datenverarbeitung zu entscheiden. Die Voraussetzung für eine wirksame Einwilligung sind hoch. Dies wird bereits in der Definition in Art. 4 Nr. 11 DSGVO deutlich. Eine Einwilligung ist demnach „jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung“. Betrachtet man die Einwilligung als Instrument zur Ausübung der informationellen Selbstbestimmung, nimmt das Merkmal der Freiwilligkeit eine besondere Rolle ein. Freiwilligkeit beinhaltet, dass die Betroffenen „ohne Zwang“ einwilligen. Die betroffene Person muss also eine echte Wahl haben, ob sie der Datenverarbeitung zustimmt oder nicht. Ein Mangel an Freiwilligkeit kann in Abhängigkeitslagen angenommen werden, etwa wenn ein Arbeitgeber die Einwilligung in die Verarbeitung von personenbezogene Daten eines Beschäftigten verlangt und sich dieser gegebenenfalls zur Erteilung der Einwilligung verpflichtet fühlt. Daneben können auch Einwilligungen zu beanstanden sein, bei denen „der Betroffene durch übermäßige Anreize finanzieller oder sonstiger Natur“ zur Preisgabe seiner Daten verleitet wird (vgl. BGH, Urteil vom 16.07.2008 – VIII ZR 348/06, BGHZ S. 253). Aus Sicht der betroffenen Person sind zudem Konstellationen relevant, in denen eine Dienstleistung von der Erteilung der Einwilligung abhängig gemacht wird und die Leistung gewissermaßen mit Daten „bezahlt“ wird (zum Beispiel beim kostenlosen Nutzen eines E-Mail-Kontos gegen Zustimmung zur Datennutzung). In derartigen Konstellationen ist Art. 7 Abs. 4 DSGVO zu beachten. Nach dieser Vorschrift muss bei der Beurteilung der Freiwilligkeit berücksichtigt werden, ob unter anderem die Erfüllung eines Vertrags von der Einwilligung zur Verarbeitung von personenbezogenen Daten abhängig ist, die für die Erfüllung des Vertrags nicht erforderlich ist. Die Norm nimmt damit Einwilligungserklärungen zu Datenverarbeitungsvorgängen in den Blick, die für die Erfüllung eines Vertrags nicht notwendig sind. Dabei ist ein ähnlicher Bezugspunkt wie bei Art. 6 Abs. 1 lit. b DSGVO erkennbar, wonach all jene Datenverarbeitungsvorgänge für rechtmäßig erklärt werden, die zur Erfüllung eines Vertrags erforderlich sind. Art. 7 Abs. 4 DSGVO untersagt damit lediglich überschießende, für den vertraglichen Zweck nicht erforderliche Einwilligungserklärungen. Im Lichte von Art. 7 Abs. 4 DSGVO sind daher vor allem kostenlose (werbefinanzierte) Inhalte angreifbar. Anbieter von solchen Diensten sollten aus diesem Grund dahingehend argumentieren, dass die Erteilung der Einwilligung und die damit verbundene Möglichkeit der Datennutzung wirtschaftlich gesehen für die Erbringung der Dienstleistung zwingend notwendig ist. Zudem sollte darauf hingewiesen werden, dass die vertraglich geschuldete Leistung nur dann erbracht werden kann, wenn Nutzende ihre Einwilligung erteilen. Wird die Abhängigkeit zwischen Einwilligung und Gegenleistung klar herausgestellt, kann von einer zulässigen Kopplung ausgegangen werden.

4.2 Verarbeitung zur Wahrung berechtigter Interessen

Die Einwilligung ist nicht das einzige Mittel, um eine Datenverarbeitung zu legitimieren. Art. 6 Abs. 1 DSGVO nennt fünf weitere Erlaubnistatbestände. Beispielsweise ist die Verarbeitung von personenbezogenen Daten zulässig, wenn sie der Durchführung eines Vertragsverhältnisses (lit. b 1. Alt.) oder zur Erfüllung einer Rechtspflicht (lit. c) dient. Zudem ist aus Sicht der Nutzenden die Verarbeitung auf Grundlage der sogenannten Interessensabwägung (lit. f) von Bedeutung. Sie gestattet die Datenverarbeitung, wenn sie zur Wahrung eines berechtigten Interesses des Verantwortlichen oder eines Dritten erforderlich ist und die Interessen, Grundrechte oder Grundfreiheiten der betroffenen Person nicht überwiegen. Der Begriff des berechtigten Interesses ist weit zu verstehen und umfasst jedes wirtschaftliche und ideelle Interesse.

Die Abwägung der widerstreitenden Interessen obliegt dem Verantwortlichen. Bei der Abwägung sind die „vernünftigen Erwartungen des Betroffenen“ zu berücksichtigen (ErwGr 47). Daraus folgt, dass überraschende, für den Betroffenen nicht vorhersehbare, Verarbeitungssituationen regelmäßig dazu führen, dass die Interessensabwägung zugunsten des Betroffenen ausfällt. Der Verantwortliche kann dem vorbeugen, indem er seinerseits Maßnahmen zur Transparenz und Nachvollziehbarkeit ergreift und damit Einfluss auf die Erwartungshaltung des Betroffenen nimmt. Datenverarbeitungen auf Grundlage der Interessensabwägung gehen damit häufig mit einer gesteigerten Transparenzverpflichtung einher.

Die Anwendung von Art. 6 Abs. 1 lit. f DSGVO ist häufig mit einer gewissen Rechtsunsicherheit verbunden. Bei dem Begriff des berechtigten Interesses handelt es sich um ein auslegungsbedürftiges Tatbestandsmerkmal. Die Interpretation von Verarbeitungssituationen und die durchzuführenden Interessensabwägungen entziehen sich häufig einer schematischen Prüfung. Naturgemäß können die Auffassungen des Verantwortlichen auf der einen Seite und der Aufsichtsbehörde auf der anderen Seite über das Vorliegen der tatbestandlichen Voraussetzungen voneinander abweichen.

Beruft sich der Verantwortliche auf Art. 6 Abs. 1 lit. f DSGVO kann die betroffene Person jederzeit Widerspruch gegen die Verarbeitung einlegen (Art. 21 Abs. 1 DSGVO). Der Verantwortliche darf die personenbezogenen Daten fortan nicht mehr verarbeiten, es sei denn, er kann besonders gewichtige Gründe für eine Weiterverarbeitung nachweisen. Die betroffene Person kann mit dem Instrument des Widerspruchs Einfluss auf das weitere Schicksal der Datenverarbeitung nehmen. Gleichzeitig wird das Widerspruchsrecht in der Praxis selten ausgeübt. Der Grund hierfür liegt häufig in der fehlenden Kenntnis der betroffenen Person. Diese muss zwar im Rahmen der Informationspflichten auf ihr Widerspruchsrecht hingewiesen werden. Jedoch bedarf es einer aktiven Ausübung des Rechts, was umfasst, dass die betroffene Person Gründe, „die sich aus der besonderen Situation des Betroffenen ergeben“ vorträgt, die eine Verarbeitung ausschließen.

5 Regelungen zu Datenhoheit und Datenschutz in verschiedenen Anwendungsbereichen

Abseits des Datenschutzrechts gibt es eine Reihe von gesetzlichen Regelungen, die bestimmten Akteursgruppen datenhoheitsrechtliche Befugnisse zugestehen und damit die Autonomie und Kontrollmöglichkeiten von Nutzerinnen und Nutzer, Verbraucherinnen und Verbraucher sowie Patientinnen und Patienten stärken.

5.1 Rechte an digitalen Inhalten

Mit der Digitale-Inhalte-Richtlinie hat der europäische Gesetzgeber neue Rahmenbedingungen für die Bereitstellung digitaler Inhalte oder Dienstleistungen geschaffen. Durch die Vereinheitlichung bestimmter Kernbereiche des Vertragsrechts soll insbesondere das Vertrauen der Verbraucherinnen und Verbraucher beim Erwerb digitaler Produkte gestärkt werden. Die Richtlinie will damit einen Beitrag dazu leisten, ein hohes Verbraucherschutzniveau zu erreichen. Neben der Festlegung von Leistungs- und Gewährleistungspflichten enthält die Richtlinie auch Vorgaben, wie mit digitalen Inhalten nach Vertragsbeendigung zu verfahren ist. Hierdurch ergeben sich hinsichtlich einer Weiternutzung von digitalen Inhalten und Daten neue Kontroll- und Verfügungsmechanismen für Verbraucherinnen und Verbraucher. Die Richtlinie wurde bereits in nationales Recht umgesetzt. Hierzu wurden die Vorschriften des allgemeinen Schuldrechts des BGB um den Titel 2a (Verträge über digitale Produkte) erweitert. Die Änderungen traten am 1. Januar 2022 in Kraft. Die Vorschriften sind auf Verbraucherverträge anzuwenden, welche die Bereitstellung digitaler Inhalte oder digitaler Dienstleistungen (digitale Produkte) zum Gegenstand haben. Digitale Inhalte werden dabei definiert als Daten, die in digitaler Form erstellt und bereitstellt werden (§ 327 Abs. 2 BGB).

§ 327p BGB enthält Vorgaben, wie mit digitalen Inhalten nach Vertragsbeendigung umzugehen ist. Dabei wird unter anderem festgelegt, dass der Unternehmer Inhalte, die der Verbraucher bei der Nutzung des digitalen Produkts bereitgestellt oder erstellt hat, nach Vertragsbeendigung nicht weiter nutzen darf (Abs. 2). Solche Inhalte können beispielsweise digitale Bilder, Video- und Audiodateien sein (vgl. ErwGr 69 Richtlinie (EU) 2019/770). Die Vorschrift gilt explizit nicht für personenbezogene Daten. Die Verpflichtung zur Löschung von personenbezogenen Daten sowie die datenschutzrechtlichen Betroffenenrechte ergeben sich ausschließlich aus den Vorschriften der DSGVO. Unter bestimmten Umständen darf der Unternehmer Inhalte des Verbrauchers auch nach Vertragsbeendigung weiternutzen, etwa wenn die Inhalte in keiner anderen Art und Weise sinnvoll genutzt werden können als in dem vom Unternehmer bereitgestellten Umfeld (§ 327p Abs. 2 S. 2 Nr. 1 BGB). Als Beispiel hierfür kann ein vom Unternehmer vorgegebenes und vom Verbraucher lediglich ausgewähltes Profilbild für den Charakter eines Computerspiels dienen. Daneben darf der Unternehmer auch Inhalte weiternutzen, die vom Verbraucher gemeinsam mit anderen erzeugt wurden, sofern andere Verbraucher die Inhalte weiterhin nutzen können (§ 327p Abs. 2 S. 2 Nr. 4 BGB).

Neben dem Weiternutzungsverbot enthält § 327p Abs. 3 BGB auch einen Anspruch des Verbrauchers auf Wiedererlangung von bereitgestellten Inhalten. Die Regelung orientiert sich dabei an der Formulierung von Art. 20 der DSGVO, welcher das Recht auf Datenportabilität in Bezug auf personenbezogene Daten normiert. Die Inhalte sind dem Verbraucher unentgeltlich, ohne Behinderung durch den Unternehmer, innerhalb einer angemessenen Frist und in einem gängigen und maschinenlesbaren Format zu übermitteln. Vereitelt der Unternehmer die Durchsetzung des Anspruchs auf Wiedererlangung, etwa indem er Inhalte vorzeitig löscht, kann dies einen Schadensersatzanspruch des Verbrauchers begründen.

Mit den Regelungen zum Weiterverwendungsverbot und dem Anspruch auf Wiedererlangung von bereitgestellten Inhalten gewinnen Verbraucherinnen und Verbraucher damit im Ergebnis einen über das Datenschutzrecht hinausgehenden Mehrwert. Sie erhalten künftig mehr Selbstbestimmungsmöglichkeiten im Hinblick auf nicht-personenbezogene Daten.

5.2 Datenhoheit über Verbrauchsdaten bei Smart Meter

Der Einsatz von intelligenten Stromzählern (Smart Meter) führt zu einer nicht unerheblichen Anhäufung von Daten. Diese lassen mitunter Rückschlüsse über Umfang, Art und Zeitraum des Energieverbrauchs sowie die Art der genutzten stromverbrauchenden Geräte zu. Auch lassen sich unter Umständen Informationen über die Alltagsgewohnheiten der Nutzenden ableiten. Kommt es zur Verarbeitung von personenbezogenen Daten, müssen die Vorgaben des Datenschutzrechts beachtet werden. Die einschlägigen Vorschriften hierzu finden sich jedoch nicht in der DSGVO, sondern im Gesetz über den Messstellenbetrieb und die Datenkommunikation in intelligenten Energienetzen (MsbG). Dort wird geregelt, welcher Akteur welche Daten zu welchem Zweck erhalten darf. Daneben enthält das MsbG auch konkrete Anforderungen, wann Daten gelöscht werden müssen. Daneben sichert § 53 MsbG dem Anschlussinhaber ein umfangreiches Auskunftsrecht gegenüber dem Messstellenbetreiber zu. Dieser muss auf Verlangen des Anschlussinhabers Einsicht in die im elektronischen Speicher- und Verarbeitungsmedium gespeicherten auslesbaren Daten gewähren, soweit diese Daten nicht personenbezogen sind. Das Einsichtsrecht gilt unabhängig davon, ob die Daten im Messsystem selbst oder in einer externen Servereinheit beim Messstellenbetreiber oder seinem Dienstleister gespeichert und verarbeitet werden. Dabei geht die Vorschrift in ihrer Reichweite über das allgemeine Auskunftsrecht nach Art. 15 DSGVO und das Datenportabilitätsrecht nach Art. 20 DSGVO hinaus. Es bezieht sich auf alle im elektronischen Speicher- und Verarbeitungsmedium hinterlegten (nicht-personenbezogenen) Daten. Die Vorschrift sichert dem Anschlussinhaber damit ein umfassendes Auskunftsrecht zu, welches im Falle eines Lieferantenwechsels genutzt werden kann. Darüber hinaus können die herausverlangten Daten aber bei Auseinandersetzungen vor der Verbraucherschlichtungsstelle verwendet werden.

5.3 Einsichts- und Kontrollmöglichkeiten von Patientinnen und Patienten bei der Verarbeitung von Gesundheitsdaten

Bei der Verarbeitung von besonders sensiblen Gesundheitsdaten besteht grundsätzlich ein hohes Bedürfnis nach Transparenz und Kontrollmöglichkeiten. Die Ärzteschaft ist berufsrechtlich und zivilrechtlich verpflichtet, auf Verlangen der Patientinnen und Patienten Einsicht in sie betreffende Krankenunterlagen zu gewähren. Dies betrifft sowohl Patientenakten in Papierform als auch elektronisch geführte Patientenakten. Unabhängig davon besteht das datenschutzrechtliche Auskunftsrecht sowie das Recht auf Überlassung einer Datenkopie.

Mit dem Gesetz zum Schutz elektronischer Patientendaten in der Telematikinfrastruktur (PDSG) erhalten Patientinnen und Patienten weitere Instrumente, um auf die Verarbeitung ihrer Daten Einfluss zu nehmen. Eine zentrale Rolle nimmt dabei die elektronische Patientenakte (ePA) ein. Mit der ePA sollen Informationen, insbesondere zu Befunden, Diagnosen, durchgeführten und geplanten Therapiemaßnahmen sowie zu Behandlungsberichten, für eine einrichtungs-, fach- und sektorenübergreifende Nutzung für Zwecke der Gesundheitsversorgung barrierefrei elektronisch bereitgestellt werden (vgl. § 341 Abs. 1 S. 2 SGB V). Die ePA wird auf Verlangen der Versicherten durch die gesetzlichen Krankenkassen (GKV) eingerichtet. Die Nutzung der ePA ist freiwillig. Versicherte der GKV können von Leistungserbringern (also niedergelassenen Ärztinnen und Ärzten, Krankenhäusern, Apotheken usw.) die Übertragung von Behandlungsdaten in die ePA verlangen. Gleiches gilt seit dem 1. Januar 2022 auch für die Übertragung von Abrechnungsdaten, welche durch die gesetzliche Krankenkasse gespeichert werden.

Der Personenkreis, der Zugriff auf die Informationen der ePA hat, ist auf bestimmte zugriffsberechtigte Leistungserbringer beschränkt und nur nach vorheriger Einwilligung des Versicherten möglich. Zur Erteilung der Einwilligung bedarf es einer eindeutigen bestätigenden Handlung durch technische Zugriffsfreigabe (§ 339 Abs. 1 S. 2 SGB V). Es ist nachprüfbar elektronisch zu protokollieren, wer auf welche Daten zugegriffen hat. Die Protokollierungspflicht gewährleistet, dass Versicherte ihre Rechte im Rahmen der Patientensouveränität auch wahrnehmen und kontrollieren können.

5.4 Schutz von Kommunikationsdaten

Neben den Regelungen zum Schutz von personenbezogenen Daten steht auch der Schutz von Kommunikationsdaten zunehmend im Fokus von gesetzgeberischen Aktivitäten. Der Grund hierfür liegt darin, dass anhand von Kommunikationsdaten, einschließlich der Kommunikationsmetadaten, eine sehr detaillierte Nachverfolgung von Nutzerinnen und Nutzern möglich ist. Der Rechtsrahmen zum Schutz der Vertraulichkeit der elektronischen Kommunikation wurde zuletzt grundlegend durch die E-Privacy-Richtlinie vorgegeben. Mit der E-Privacy-Verordnung wollte die Europäische Kommission die Nutzung von elektronischen Kommunikationsdiensten eigentlich bereits im Jahr 2018 vollständig neu regeln. Ein harmonisierter Verordnungsentwurf lässt jedoch weiter auf sich warten. Der Datenschutz im Telekommunikations- und Telemedienbereich wurde in Umsetzung der E-Privacy-Richtlinie zuletzt im Telekommunikationsgesetz und Telemediengesetz geregelt. Mit Inkrafttreten des Gesetzes zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien (TTDSG) gilt seit dem 1. Dezember 2021 ein vereinheitlichter Rechtsrahmen. Darin enthalten, ist mit § 25 TTDSG nunmehr auch eine Regelung, die die Voraussetzungen für das Speichern und Auslesen von Informationen auf Endeinrichtungen, insbesondere Cookies, regeln soll. Nach dieser Vorschrift ist die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, nur zulässig, wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat. Von der Einwilligung kann lediglich in Ausnahmefällen abgesehen werden, etwa bei technisch zwingend notwendigen Cookies oder Cookies, die ausschließlich der Übertragung von Nachrichten über ein öffentliches Telekommunikationsnetz dienen. Gerade bei sogenannten funktionalen Cookies kommt es jedoch mitunter zu Abgrenzungsproblemen, weswegen häufig auch dann eine Einwilligung eingeholt wird, obwohl dies genaugenommen nicht notwendig ist. Dieser Umstand wird zunehmend zu einer Belastung für Nutzende, die die erscheinenden Cookie-Banner in der Regel einfach wegklicken. Die eigentliche Intention, den Gestaltungsspielraum von Nutzenden zu erweitern und deren Souveränität zu stärken, wird damit ins Gegenteil umgekehrt. Zu einer Auflösung dieser Situation könnten Dienste zur Einwilligungsverwaltung beitragen. Ziel dieser sogenannten PIMS (Personal Information Management Services) ist die Befähigung des Einzelnen zur Kontrolle über seine personenbezogenen Daten sowie die Entlastung des Einzelnen von Entscheidungen, die ihn überfordern. § 26 TTDSG enthält in diesem Zusammenhang Vorgaben, unter welchen Voraussetzungen PIMS anerkannt werden können. Gefordert ist, dass

  • nutzerfreundliche und wettbewerbskonforme Verfahren und technische Anwendungen zur Einholung und Verwaltung der Einwilligung eingesetzt werden,
  • kein wirtschaftliches Eigeninteresse an der Erteilung der Einwilligung und an den verwalteten Daten besteht und die Unabhängigkeit von Unternehmen gewährleistet ist, die ein solches Interesse haben können,
  • die personenbezogenen Daten und die Informationen über die Einwilligungsentscheidungen für keine anderen Zwecke als die Einwilligungsverwaltung verarbeiten werden,
  • ein Sicherheitskonzept vorliegt, das eine Bewertung der Qualität und Zuverlässigkeit des Dienstes und der technischen Anwendungen ermöglicht und aus dem sich ergibt, dass der Dienst sowohl technisch als auch organisatorisch die rechtlichen Anforderungen der DSGVO erfüllt.

Liegen die genannten Voraussetzungen vor, können PIMS von einer unabhängigen Stelle anerkannt werden. Die Anerkennung von PIMS könnte für Nutzende perspektivisch eine Erleichterung bedeuten, da die Verwaltung von Einwilligungen an eine vertrauenswürdige Entität delegiert werden kann. Durch die neuen Regelungen im TTDSG werden einerseits die europarechtlichen Vorgaben hinsichtlich des Einwilligungserfordernis bei Cookies umgesetzt. Dies kann zur Überwindung der derzeit bestehenden Rechtsunsicherheiten beitragen. Zum anderen wird mit den Regelungen zur Einwilligungsverwaltung der im Abstimmungsprozess befindlichen ePrivacy-Verordnung vorgegriffen.

5.5 Datenschutz in der journalistischen und medialen Berichterstattung

Alltäglich werden personenbezogenen Daten von Presse- und Medienunternehmen verarbeitet. Gleichzeitig finden die datenschutzrechtlichen Regelungen im Bereich der medialen Berichterstattung nur teilweise Anwendung. Grund hierfür ist die Regelung des Art. 85 Abs. 2 DSGVO, der vorsieht, dass die Mitgliedsstaaten für die Verarbeitung zu journalistischen Zwecken Abweichungen oder Ausnahmen von den datenschutzrechtlichen Vorgaben machen können. Diese datenschutzrechtliche Medienprivilegierung ist auf nationaler Ebene im Rundfunkstaatsvertrag (RStV) normiert. Insbesondere die Betroffenenrechte werden dort abweichend von den Vorschriften der DSGVO geregelt. Das betrifft etwa das Recht auf Auskunft (§ 9c Abs. 3 S. 1 RStV) oder das Recht auf Berichtigung bzw. Hinzufügung einer Darstellung (§ 9c Abs. 3 S. 4 RStV). Von besonderer Bedeutung für die Persönlichkeitsrechte von Nutzerinnen und Nutzer ist aber die Frage, inwieweit die Berichterstattung über bereits Jahre zurückliegende Ereignisse über eine Person in Online-Archiven auffindbar sein darf. Die entsprechenden Regelungen finden sich in §§ 9c, 57 RStV. Danach sind Online-Archive umfassend privilegiert. Insbesondere das Recht auf Löschung findet dabei keine Berücksichtigung. Das bedeutet, dass Nutzerinnen und Nutzer gegen negative Berichterstattung in Online-Archiven zumindest nicht auf Grundlage des Datenschutzrechts vorgehen können. Möglich ist aber das Vorgehen gegen Suchmaschinenbetreiber, die Verlinkungen auf Artikel in Online-Archiven bereitstellen. Hier greift nach der Rechtsprechung des EuGH das datenschutzrechtliche Medienprivileg nicht. Insofern kann der Betroffene zwar nicht gegen den Archiv-Betreiber selbst vorgehen, wohl aber gegen den zwischengeschalteten Intermediär.

6 Zusammenfassung

Auch wenn es an einem einheitlich kodifizierten Datenrecht fehlt, steht Nutzenden, Verbraucherinnen und Verbrauchern sowie Patientinnen und Patienten eine Reihe von Instrumenten zur Verfügung, um Einfluss auf das Schicksal ihrer Daten zu nehmen. Besonders die Regelungen des Datenschutzrechts bieten der betroffenen Person Steuerungsmöglichkeiten. Hierdurch wird zwar kein Dateneigentum begründet, allerdings erhöht der Datenschutz insgesamt die Autonomie und die Handlungsmöglichkeiten der Betroffenen. Eine Ausübung der datenschutzrechtlichen Betroffenenrechte ist allerdings nur dann möglich, wenn die notwendige Verarbeitungstransparenz gegeben ist und alle datenbezogenen Prozesse erkennbar und nachvollziehbar sind. Abseits des Datenschutzrechts gibt es eine Reihe von gesetzlichen Regelungen, die bestimmten Akteursgruppen Hoheits- und Kontrollrechte an nicht-personenbezogenen Daten gewähren. Insgesamt ist die gesetzgeberische Tendenz erkennbar, die Autonomie und Selbstbestimmung von natürlichen Personen zu stärken. Diese Entwicklung kann durchaus als Gegenmodell zu dem international zu beobachtenden Trend gesehen werden, der dadurch geprägt ist, dass einige marktmächtige Akteure allein über die Art und den Umfang der Datennutzung entscheiden können.

Straub, S. (2022). Datenhoheit und Datenschutz aus Nutzer-, Verbraucher- und Patientenperspektive. In: Rohde, M., Bürger, M., Peneva, K., Mock, J. (eds) Datenwirtschaft und Datentechnologie. Springer Vieweg, Berlin, Heidelberg. https://doi.org/10.1007/978-3-662-65232-9_13

https://doi.org/10.1007/978-3-662-65232-9_10

http://creativecommons.org/licenses/by/4.0/deed.de

Zur einfacheren Lesbarkeit wurden die Quell- und Literaturverweise entfernt.


© Swiss Infosec AG 2024