Persönlichkeitsrechte und Datenschutz (inklusive Big-Data-Analysen) im Arbeitsverhältnis
Persönlichkeitsrechte und Datenschutz (inklusive Big-Data-Analysen) im Arbeitsverhältnis
Zur Ausgangslage
Durch die DSGVO geschützte Rechtsgüter – Schutz der Privatsphäre?
Eingriffe in das Recht auf Datenschutz
Faktische Unterlegenheit
Sicherheitstechnische Verantwortung und digitaler Fatalismus
Gefährdung der Persönlichkeitsrechte durch Big-Data
Risiken und Fehlerquellen
Korrelation ≠ Kausalität
Qualität und Quantität der Daten
Wahrscheinlichkeiten
Zeitgebundenheit statistisch-empirisch ermittelter Aussagen
„Normative“ Wirkung der Vergangenheit
Verhaltensänderung durch Beobachtung
Berücksichtigung der Risiken bei Verwendung von Big-Data-Analysen
Zulässigkeit von Big-Data-Verarbeitungen
Rechtsdurchsetzung in Zusammenhang mit datenschutzrechtlichen Rechtsverletzungen
Fehlende Ressourcen
(Politisch motivierte?) Untätigkeit bei grenzüberschreitenden Sachverhalten
Drittstaatstransfers und Schrems II
Zur Ausgangslage
Status quo für Verantwortliche
Politische Konsequenzen
Conclusio
Dem Schutz der Persönlichkeitsrechte kommt im Arbeitsverhältnis besondere Bedeutung zu. Die spezifische Gefährdungslage des AN besteht im Wesentlichen darin, dass er als Weisungsunterworfener in eine fremdbestimmte Ordnung eingegliedert und damit einer Vielzahl von Einwirkungsmöglichkeiten seitens des AG, Kolleginnen und Kollegen oder Dritter ausgesetzt ist. Der AN ist mit seiner Person umfassend in das Arbeitsverhältnis eingebunden, weshalb der Persönlichkeitsschutz des AN ein Leitmotiv des Arbeitsrechts ist.*
Mit dem technischen Wandel und den damit verbundenen neuen Möglichkeiten entstehen völlig neue Gefahren für AN. Die Arbeit mit digitalen Geräten ermöglicht nicht nur eine immer stärkere Erfassung des Arbeitsverhaltens und damit vor allem eine umfassende Überwachung und Kontrolle der AN, auch andere Bereiche und Vorgänge wie soziale Interaktionen zwischen Individuen und Gruppen in der Belegschaft lassen sich zunehmend digital abbilden.* Je weiter die Digitalisierung voranschreitet, umso mehr AN-Daten fallen an. Die technischen Möglichkeiten sind schon jetzt atemberaubend.* Befeuert werden diese Veränderungen durch die Globalisierung, die zu einem verstärkten Wettbewerb, sowohl auf AG- wie auch auf AN-Seite, führt.*
Dem entgegen steht der Persönlichkeitsschutz der AN, der – neben einem dichten Geflecht an Einzelvorschriften – durch das allgemeine Persönlichkeitsrecht als Auffangtatbestand gewährleistet wird.* Auch das Recht auf Datenschutz ist als 179Ausprägung des Persönlichkeitsschutzes anzusehen.* Betrachtet man das Verhältnis des Rechts auf Datenschutz zu anderen Persönlichkeitsrechten, so lässt sich diesbezüglich ein Wandel prognostizieren: Aufgrund der technologischen Entwicklung und der digitalen Transformation wird dem Datenschutzrecht beim Schutz der Persönlichkeitsrechte zukünftig überragende Bedeutung zukommen. Die Zukunft wird es mit sich bringen, dass Datenschutz und Persönlichkeitsrechte zunehmend miteinander verschmelzen und künftig kaum noch voneinander getrennt werden können.* Dies betrifft jedenfalls alle digitalen Sachverhalte, bei denen „Daten“ verarbeitet werden.
Die zentrale Rolle des Datenschutzrechts beim Persönlichkeitsschutz hängt ganz wesentlich mit dem geschützten Rechtsgut datenschutzrechtlicher Bestimmungen zusammen. Spätestens mit Einführung der Datenschutz-Grundverordnung (DSGVO) steht der Schutz personenbezogener Daten im Zentrum. Das Recht auf Privatsphäre wird durchgängig durch das Recht auf Schutz der personenbezogenen Daten ersetzt.* Die Bestimmungen dienen dem Schutz des Trägers dieses Datum gegen Beeinträchtigungen seiner Persönlichkeit durch einen missbräuchlichen Umgang mit seinen Daten.* Diese Fokussierung ist in der Tat eine bemerkenswerte Abkehr von einer langen Rechtstradition, in deren Zentrum stets der Schutz der Privatsphäre stand.*
Das Recht auf Datenschutz stellt einen breiten Schutzbereich zur Verfügung, können doch schutzwürdige Positionen aus verschiedensten Grundrechtsgarantien erwachsen. Diese sind nicht auf das Recht auf Privatsphäre beschränkt, sondern generisch auf den Schutz aller Grundrechte gerichtet. Datenschutz ist deshalb ein Grundrecht, das seinen Wesensgehalt aus der gesamten Grundrechtsordnung und letztlich dem Schutz der Würde des Menschen bezieht.*
Das Recht auf Datenschutz ist kein absolut geschütztes Grundrecht. Eingriffe können auf verschiedenste Art und Weise gerechtfertigt werden. Art 6 und Art 9 DSGVO stellen eine breite Palette an Rechtmäßigkeitstatbeständen bereit. Entgegen der nach wie vor weit verbreiteten (aber falschen) Vorstellung kommt der datenschutzrechtlichen Einwilligung dabei lediglich eine untergeordnete Rolle zu. Neben dem Grundsatz der Rechtmäßigkeit gelten bei Eingriffen in das Recht auf Datenschutz noch weitere Verarbeitungsgrundsätze* insb – weil es sich um ein Grundrecht handelt – der Grundsatz der Verhältnismäßigkeit.*
Aus rechtswissenschaftlicher Sicht lässt sich deshalb der Befund feststellen, dass das Datenschutzrecht (hinsichtlich der Rechtmäßigkeit einer Verarbeitung) ein feinfühliges Instrumentarium bereitstellt, welches eine ausreichende Berücksichtigung
der Interessen der betroffenen AN ermöglicht und im Einzelfall ein angemessenes Schutzniveau sicherstellt. Es bietet ausreichend Platz für differenzierte Überlegungen. Dies nicht zuletzt deshalb, weil sich die Bestimmungen der DSGVO ihrerseits am Grundrecht auf Datenschutz (Art 8 GRC) messen lassen müssen und deshalb grundrechtskonform auszulegen sind.* Diskutiert werden kann und soll freilich über Entscheidungen im Einzelnen, insb über die ausreichende Berücksichtigung und richtige Gewichtung der in Betracht kommenden Kriterien. Mit dieser Flexibilität ist aber ein großer, dem Arbeitsrecht freilich nicht unbekannter Nachteil verbunden: die Rechtsunsicherheit.
Dieser Befund gilt für Datenverarbeitungen im Beschäftigungskontext gleichermaßen. Zwar lässt die DSGVO hier spezifischere Bestimmungen zu, aber weder der nationale Gesetzgeber noch Normen der kollektiven Rechtsgestaltung können – weder positiv noch negativ – vom Schutzniveau der DSGVO abweichen.*
Trotz der noch vergleichsweisen jungen Bestimmungen der DSGVO und der noch vielfach fehlenden Judikatur lassen sich aber schon jetzt einige Problemfelder absehen, die nachfolgend (2.-6.) näher beschrieben werden sollen. 180
Faktisch ist der AG in seinem Handeln vielfach durch das Datenschutzrecht eingeschränkt. Es ist nun allerdings ein gefährlicher Irrtum anzunehmen, dass diese normativen Begrenzungen ipso iure das tatsächliche Handeln bestimmen. Allzu oft richten sich die Handlungen in der Praxis ausschließlich nach den technischen Möglichkeiten und den intern festgelegten, nicht notwendigerweise legalen oder legitimen Interessen. Dies vor allem dann, wenn Möglichkeiten bestehen, die Nutzung gegebenenfalls erfolgreich leugnen oder die Führung des Gegenbeweises vereiteln zu können.*
Diese Strategie ist im Falle von Datenverarbeitungen besonders aussichtsreich, finden Verstöße doch meist auf nicht einsehbaren Systemen statt und sind idR (selbst für Expertinnen und Experten) schwer nachweisbar.*
Aber selbst bei Bestehen eines Verdachts rechtswidrigen (zB geheimen) Verarbeitungen ist die Überprüfung schwierig. Die betroffenen AN haben kein Recht, Einsicht in die Datenverarbeitungen zu nehmen. Es steht ihnen lediglich offen, ein datenschutzrechtliches Auskunftsbegehren zu stellen, bei dem aber wiederum nicht nachweisbar ist, ob die Auskunft des AG auch den tatsächlichen Begebenheiten entspricht. Letztlich bleibt ihnen nur die Möglichkeit, Beschwerde bei der Datenschutzbehörde mit der Begründung einzubringen, dass die Auskunft (mutmaßlich) unrichtig oder nicht vollständig sei.
Aber auch gegenüber der Aufsichtsbehörde kann der AG die Datenverarbeitungen leugnen. Für eine Nachschau der Aufsichtsbehörden* müssen in der Praxis wohl verdichtete Indizien vorliegen. Hinzu kommt die noch anzusprechende unzureichende Ressourcenausstattung der Aufsichtsbehörde.*
Besondere Wichtigkeit kommt deshalb den Befugnissen des BR zu. Seitens des AG bestehen nämlich nicht nur Informations- und Meldepflichten (§ 91 Abs 2 Satz 1 ArbVG), sondern ist dem BR auf Verlangen Einsicht und die Überprüfung der Verarbeitungen zu ermöglichen (§ 91 Abs 2 Satz 2 ArbVG).* Ob Betriebsräte und Gewerkschaften über entsprechende (insb technische) Kenntnisse verfügen, ist eine andere Frage.
Die zunehmende Digitalisierung geht mit neuen (digitalen) Gefahren einher. Den umfangreichen Datenanhäufungen von AN-Daten steht des Öfteren kein dem Risiko entsprechender sicherheitstechnischen Schutz gegenüber, obwohl das Datenschutzrecht angemessene technische und organisatorische Sicherheitsmaßnahmen verlangt (Art 32 DSGVO). Bei Bestimmung der Angemessenheit sind unterschiedliche Eintrittswahrscheinlichkeiten und Schwere der Risiken zu berücksichtigen (risikobasierter Ansatz).* Im digitalisierten Zeitalter genügt anstelle der Vermeidung des Eintritts von Verletzungen des Grundrechts auf Datenschutz das bloße Bemühen zur Minimierung des Risikos. Für das sogenannte „Restrisiko“ bleibt ein relativ großer Spielraum.*
In diesem Zusammenhang ist die relativ entspannte öffentliche Wahrnehmung von Datenlecks und Systemabstürzen erstaunlich. Man kann eine gewisse kollektive Hilflosigkeit feststellen, mit der Tendenz sicherheitsrelevante Systemfehler als schicksalhafte Verläufe bzw höhere Gewalt gleichgültig als digitale Kollateralschäden hinzunehmen (digitaler Fatalismus).* Dies dürfte in erster Linie mit einem (zu) geringen Verständnis der damit verbundenen Risiken und den oft nicht unmittelbar absehbaren Nachteilen begründet sein. Der IT-Sicherheit muss zukünftig – auch iSd Grundrechtsschutzes – größere Bedeutung beigemessen werden.
Im Beschäftigungskontext ist diesbezüglich das Instrument der Datenschutz-Folgenabschätzung hervorzuheben, im Rahmen dessen der BR idR verpflichtend eingebunden werden muss.* Die Einflussmöglichkeiten bleiben aber begrenzt, handelt es sich doch lediglich um ein Stellungnahmerecht, bei dem der Verantwortliche nicht an die (sicherheitstechnischen) Forderungen des BR gebunden ist und die Verarbeitung trotz geäußerter Bedenken durchführen kann.*
Eine Gefährdung der Persönlichkeitsrechte kann sich aus modernen Verarbeitungstechniken ergeben. Mit diesen ist es nunmehr möglich, immense Datenmengen zu erfassen, zu analysieren und Zusammenhangsbeziehungen aufzuzeigen (Big-Data-Analysen).* Die moderne Datenwissenschaft bietet im Beschäftigungsverhältnis zahlreiche Anwendungsmöglichkeiten,* ist doch gerade das Beschäftigungsverhältnis und die Personalwirtschaft 181 von Politik, Emotionen, Mythen und Bauchgefühl geprägt. Demgegenüber sind Zahlen, Scores und Daten von einer „Aura der Objektivität und Fairness“ umgeben; Attribute, die Personalentscheidungen optimalerweise kennzeichnen sollen.* Die Risiken und Fehlerquellen der durch Big-Data-Analysen gewonnenen Aussagen sind aber nicht zu unterschätzen.
Big-Data-Analysen zeigen Korrelationen, keine Kausalitäten. Das ist ein Unterscheid, denn Korrelationen sind statistische, mit Hilfe der Wahrscheinlichkeitsrechnung bestimmte Zusammenhänge zwischen zwei Erscheinungen. Für einige Anwendungszwecke sind diese Verfahren deshalb gänzlich ungeeignet, etwa Schuld zuzuweisen und jemanden zur Verantwortung zu ziehen. Dies setzt nämlich voraus, dass sich die betroffene Person für ein bestimmtes Handeln entschieden hat. Diese Entscheidung muss kausal für das nachfolgende Verhalten sein. Gerade weil Big-Data auf Korrelationen beruht, ist es zur Beurteilung von Kausalität und der Zuweisung von Schuld untauglich.*
Freilich können aber auch Korrelationen Einsichten und Verdachtsmomente liefern. Zudem sind Big-Data-Analysen einfacher und schneller als Analysen der Kausalitätsketten.* Stets besteht aber die Gefahr von Scheinkorrelationen.
Die Ergebnisse von Big-Data-Analysen hängen stark von der Qualität und Quantität der verarbeiteten Daten ab. Liegen nur wenige Daten vor, kommt dem Modell großes Gewicht zu. Die Methode muss das Manko an Daten ausgleichen. Gegensätzlich verhält es sich bei großen Datenmengen, weil die Korrelation primär aus den Daten geschöpft werden kann.*
Aber freilich können auch große Datenmengen unfair und unausgewogen, voller Diskriminierung, Exklusion und sachlicher Fehler sein.* Allzu oft leitet sich der Wahrheitsanspruch dieser Systeme aus der Annahme ab, dass Daten die Welt korrekt abbilden und dass man aus „echten“ Daten der realen Welt stets auf die inneren Strukturen schließen könne („maschineller Neoplatonismus“).* Das mag bei der Messung und Berechnung naturwissenschaftlicher Gesetze der Fall sein. Je mehr man es mit komplexen Persönlichkeitsbewertungen, sozialen Regeln und Interaktionen zu tun hat, umso weniger Gewicht darf der Zuverlässigkeit der ermittelten Ergebnisse beigemessen werden.*
Berechnet werden bei Big-Data-Analysen ausschließlich Wahrscheinlichkeiten. Wahrscheinlichkeiten sind aber keine Gewissheiten. Ihre Aussagen sind nur auf große Mengen anwendbar, sodass sie im Einzelfall nur das Bestehen eines Verdachts auf eine Tatsache zu beweisen vermögen, nicht aber die Tatsache selbst.*
Da sich das Verhalten von Menschen im Lauf der Zeit verändern kann, können ermittelte Ergebnisse zu einem späteren Zeitpunkt unzutreffend und damit nutzlos werden. Die Verhaltensänderung der Menschen ist oft auch nicht antizipier- oder prognostizierbar. Häufig sind deshalb durch Big-Data-Analysen statistisch-empirisch ermittelte Aussagen zeitgebunden.*
Zwangsläufig werden bei Big-Data-Analysen Datenbestände der Vergangenheit und Gegenwart ausgewertet. Dabei ist zu bedenken, dass dieses Datenmaterial sowohl die Struktur als auch den Raum der Möglichkeiten vorgibt. Die Vergangenheit und Gegenwart bestimmt damit gewissermaßen die Zukunft. In Bezug auf manche Herausforderungen, kann die Fortschreibung der Vergangenheit geradezu zynisch sein, etwa wenn Diskriminierungen fortgeschrieben oder gar verstärkt werden.* Aus diesem Grund sind Big-Data-Analysen auch nicht geeignet, kreativ neue Erkenntnisse zu erzeugen, sie ermöglichen „lediglich“ Vorhandenes, aber bislang nicht Entdecktes, aufzuspüren.
Haben betroffene Personen Kenntnis, dass ihre Tätigkeiten beobachtet oder zu Analysezwecken erfasst werden, führt schon diese Tatsache zu einer Veränderung ihres Verhaltens. In vielen Fällen ist diese Verhaltensänderung aber nicht intendiert. Möchte man diese ungewünschte Anpassung vermeiden, bleiben zwei Möglichkeiten der Datenerfassung: Entweder man verarbeitet bereits zu anderen Zwecken ermittelte Daten zu neuen Zwecken (Zweckänderung) oder die Daten müssen geheim ermittelt werden. Beides ist problematisch.
Die dargelegten Risiken zeigen, dass bei verantwortungsvoller Nutzung Big-Data ein nützliches182Werkzeug für rationale Entscheidungen sein kann. Die Schwierigkeit liegt darin, dass der Mensch die Welt durch die Brille von Ursache und Wirkung sieht, weshalb Big-Data konstant gefährdet ist, für kausale Zwecke missbraucht zu werden. Darüber hinaus ist für uns das Denken und Treffen von Entscheidungen auf Basis von Wahrscheinlichkeiten eine große Herausforderung.*
Bei falscher Verwendung kann Big-Data ein Instrument der Mächtigen werden. Problematisch ist die Verwendung von Big-Data-Analysen vor allem dann, wenn Macht unreflektiert an diese Systeme ausgelagert wird. Was Big-Data zu einer Waffe der Entmenschlichung macht, hat deshalb weniger mit Big-Data als mit uns selbst zu tun und damit, wie wir diese Vorhersagen verwenden.*
Von besonderer Wichtigkeit scheint deshalb Transparenz zu sein. Transparenz hinsichtlich der verwendeten Logiken und der möglichen Risiken und Fehlerquellen. In der Praxis besteht mE die latente Gefahr, dass Unternehmen externe Software zukaufen und die vom System ausgespuckten Ergebnisse unreflektiert anwenden, ohne die dahinter liegenden Logiken zu kennen. Ob die Berechnungsmethoden eines Algorithmus den Betroffenen aufgrund datenschutzrechtlicher Verpflichtungen beauskunftet werden müssen und wenn ja, in welchem Umfang (Stichwort Betriebsgeheimnis), ist derzeit noch ungeklärt.
Für Betroffene ist die fehlende Transparenz insb bei der Entkräftung von auf Wahrscheinlichkeiten und Korrelationen basierenden Ergebnissen problematisch. Während die Entkräftung von „hard facts“ zumindest praktisch vorstellbar erscheint, ist dies bei „soft facts“ idR nicht möglich.* Darüber hinaus zeigen sich Fehler des Systems oft erst im Betrieb, weshalb den Betroffenen in der Praxis zudem häufig der Nachweis der Verfehlung aufgebürdet wird.
Da Big-Data-Anwendungen in der Regel mitbestimmungspflichtig sind, ist mE die kollektive Rechtsetzung durch BV eine taugliche Möglichkeit, den Risiken und Fehlerquellen angemessen zu begegnen und rechtlich verbindliche Schutzvorkehrungen vorzusehen. Den Risiken einer missbräuchlichen Verwendung der auf Basis von Wahrscheinlichkeiten und Korrelationen ermittelten Ergebnisse kann insb mit verfahrensrechtlichen Vorschriften begegnet werden (Legitimation durch Verfahren).
Für AG hat diese Vorgehensweise den Vorteil der Rechtssicherheit, weil selbst wenn es sich nicht um eine europarechtlich „aufgeladene“ BV nach Art 88 Abs 1 DSGVO handelt,* das Vorliegen einer BV als gewichtiges Indiz für das Bestehen des Rechtmäßigkeitstatbestands des „berechtigten Interesses“ (Art 6 Abs 1 lit f DSGVO) zu sehen ist. Allerdings mag es Bereiche geben, wo in Anbetracht der Risiken das „Nein“ des BR erlaubt sein muss. Es genügt nicht Systeme zu evaluieren und Risiken zu minimieren, wenn die richtige Vorgehensweise wäre, es gar nicht erst einzuschalten. Ein „Nein“ richtet sich dabei nicht gegen die Technologie an sich, sondern dagegen, dass Technologie zusammen mit dem herrschenden System zur Ausbeutung und zum Nachteil der arbeitenden Personen eingesetzt wird.* Nicht alles was technisch möglich ist, ist auch rechtlich zulässig.
Inwieweit Big-Data-Anwendungen de lege lata überhaupt zulässig sind, ist unklar. Neben dem Grundsatz der Rechtmäßigkeit, bei dem die oben beschriebenen Risiken und Fehlerquellen ausreichend berücksichtigt werden müssen,* ist im Zusammenhang mit Big-Data-Analysen der Grundsatz der Zweckbindung (Art 5 Abs 1 lit b DSGVO) eine besondere Hürde des Datenschutzrechtes. Demnach dürfen personenbezogene Daten nur für (im Vorhinein) festgelegte, eindeutige und legitime Zwecke erhoben und nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden.
In Zusammenhang mit Big-Data-Analysen ist somit
das Anlegen von Datenpools, um später aus einem breiten Fundus schöpfen zu können, unzulässig (Verbot der Vorratsdatenspeicherung).*
Ebenso unzulässig sind Verarbeitungen, ohne vorab einen Zweck zu definieren („die Daten sprechen lassen“).*
Problematisch ist zudem die Weiterverarbeitung bestehender Daten für andere Zwecke (Sekundärnutzung von Daten).*
Was den letzten Punkt betrifft, wurde der Zweckbindungsgrundsatz im Rahmen der DSGVO aber insoweit liberalisiert, als auch Weiterverarbeitungen zu anderen Zwecken zulässig sind, soweit sie mit dem ursprünglichen Zweck der Verarbeitung noch vereinbar sind. Diesbezüglich sieht Art 6 Abs 4 DSGVO einen „Kompatibilitätstest“ vor. Nicht mehr aufrecht erhalten werden kann daher die zum Datenschutzgesetz (DSG) ergangene Rsp 183 des VfGH, wonach das DSG von einer strengen Zweckbindung ausgeht.* Wie strikt der EuGH die Kriterien des Kompatibilitätstests auslegen wird (insb im Hinblick auf Art 8 Abs 2 GRC*), bleibt abzuwarten. Sieht man sich die Kriterien des Art 6 Abs 4 DSGVO an, ist es mE nicht ausgeschlossen, dass (zumindest in gewissen Konstellationen) ein nicht unwesentlicher Spielraum für Weiterverarbeitungen – und damit auch für Big-Data-Anwendungen – verbleibt.
Ein rechtspolitisches Defizit lässt sich bei der Rechtsdurchsetzung der materiell-rechtlichen Datenschutzvorschriften feststellen. Davon betroffen sind in erster Linie die nationalen Aufsichtsbehörden.
Die Aufsichtsbehörden (auch in Österreich) kämpfen mit einer für eine effektive Rechtsdurchsetzung unzureichenden Ressourcenausstattung.* Dies liegt einerseits daran, dass durch die DSGVO das datenschutzrechtliche Bewusstsein der Bevölkerung gestiegen ist, weshalb Fälle und Anfragen mitunter deutlich zugenommen haben. Viel entscheidender sind in der Praxis aber das Macht- und das finanzielle Ungleichgewicht im Vergleich zu den zu überprüfenden IT-Unternehmen. Den meist schlecht ausgestatteten Aufsichtsbehörden stehen oft kapitalstarke Konzerne gegenüber, die mit Anwaltsarmeen den Rechtsweg bis zur höchsten Instanz ausreizen und damit wesentliche Teile der Ressourcen der Behörden binden.*
Die unzureichenden Ressourcen haben nicht nur überlange Verfahrensdauern und die Nichtbehandlung von Beschwerden zur Folge,* der Mangel führt sogar dazu, dass Datenschutzbehörden selbst bei offensichtlichem Fehlverhalten zögern, ihre Befugnisse gegen große Technologieunternehmen einzusetzen, da sie die Kosten für die rechtliche Verteidigung ihrer Entscheidungen nicht tragen können.* In erster Linie bleiben deshalb kleine Fische im Aufsichtsnetz hängen, während die wirklich großen Fische, die mit illegalen Methoden milliardenschwere Geschäftsmodelle verfolgen, unbehelligt bleiben. Je umfangreicher die Notwendigkeit der Recherche und je umfassender das Datenschutzproblem, umso geringer ist die Kontrolldichte der Behörden.*
Entsprechend dem aktuellen Regierungsprogramm soll die österreichische Datenschutzbehörde mit ausreichenden Ressourcen ausgestattet werden.* Ob es bei einer bloßen Ankündigung bleibt oder ob dieser auch Taten folgen, bleibt abzuwarten. Die Ausstattung der Aufsichtsbehörden mit den notwendigen finanziellen, technischen und finanziellen Ressourcen, um eine effektive Rechtsdurchsetzung sicherzustellen, liegt freilich nicht im Belieben der Mitgliedstaaten, sie ist in der DSGVO ausdrücklich vorgeschrieben.*
Neben einer unzureichenden Ressourcenausstattung besteht aktuell das Problem, dass die unionsrechtlichen Datenschutzbestimmungen in einigen Staaten offenbar politisch motiviert nicht (ausreichend) durchgesetzt werden. Dies ist nicht nur für die in diesem Land ansässigen, sondern bei grenzüberschreitenden Sachverhalten auch für Bürgerinnen und Bürger in anderen Mitgliedstaaten problematisch, da die DSGVO bei grenzüberschreitenden Datenverarbeitungen ein gemeinsames Verfahren („One-Stop-Shop“) unter Führung einer „federführenden Aufsichtsbehörde“ vorsieht.* Entgegen dem sonst prinzipiell geltenden Territorialitätsprinzip knüpft die Zuständigkeit der federführenden Aufsichtsbehörde an die Hauptniederlassung bzw einzige Niederlassung des Verantwortlichen bzw Auftragsverarbeiters an,* weshalb auch österreichische AN von der Untätigkeit ausländischer Aufsichtsbehörden betroffen sein können.*184
Wenig überraschend handelt es sich bei den betroffenen Ländern um solche, die schon in anderen Bereichen durch unsolidarisches Verhalten aufgefallen sind. An erster Stelle in diesem Zusammenhang ist Irland zu nennen, wo aufgrund von Steuervorteilen die meisten Internetkonzerne ihre europäischen Hauptniederlassungen haben.* Die irische Aufsichtsbehörde gilt als größter Flaschenhals bei der grenzüberschreitenden Durchsetzung der Bestimmungen der DSGVO.* Bei Beobachtung diverser Verfahren drängt sich der Verdacht auf, dass big-tech-Unternehmen aus politisch motivierten Gründen nicht weiter verfolgt werden sollen, um diese nicht zu vertreiben und ihnen in Irland vielmehr einen „Safe Harbour“ anzubieten.*
Mitte 2021 hat das Europäische Parlament eine Resolution* angenommen, in der die Europäische Kommission aufgefordert wird, ein Vertragsverletzungsverfahren gegen Irland aufgrund der mangelnden Durchsetzung der DSGVO einzuleiten. Die Einleitung wird auch von anderen NGOs, etwa dem Irish Council for Civil Liberties, gefordert.* Aufgrund der Untätigkeit der Kommission wurde mittlerweile auch ein Verfahren vor dem EU-Ombudsmann gegen die europäische Kommission eingeleitet.*
Das wohl größte bestehende und weiterhin ungelöste Problem (auch im Kontext von Beschäftigungsdaten) betrifft den Drittstaatstransfer von personenbezogenen Daten. Zwar finden die Diskussionen derzeit in erster Linie in Zusammenhang mit den USA statt, die Problematik lässt sich aber auch auf alle anderen (Dritt-)Staaten mit ähnlichen Überwachungsgesetzen übertragen.
Hintergrund der Problematik sind die US-amerikanischen Überwachungsgesetze, insb Section 702 FISA (Foreign Intelligence Surveillance Act), welche den US-Sicherheitsbehörden Zugang zu personenbezogenen Daten von „Nicht-US-Personen“ gewähren. Auf diesen Bestimmungen basierende Überwachungsanordnungen müssen nicht spezifisch auf ein einzelnes Ziel ausgerichtet sein, sondern ermöglichen ein anlassloses und pauschales Überwachungsprogramm. Es gibt keine individualisierte gerichtliche Genehmigung für Nicht-USPersonen*. *
Auf Basis dieser Ausgangslage hat der EuGH 2015 nicht nur Datenübertragungen auf Basis des Safe-Harbour- Abkommens untersagt,* wegen der (potenziellen) Massenüberwachung durch US-amerikanische Sicherheitsbehörden wurde in der E Schrems II* zudem das Nachfolgeabkommen „Privacy-Shield“ für unwirksam erklärt sowie die Legitimation der Datenübermittlung in die USA mittels Standardvertragsklauseln unter kaum erfüllbare Bedingungen gestellt.* Ein Serverstandort in Europa reicht zur Problemvermeidung im Übrigen nicht aus, sind doch die Anbieter von Kommunikations- und Cloud-Dienstleistungen zur Preisgabe von Kundendaten an amerikanische Behörden verpflichtet, unabhängig davon, wo die Daten gehostet werden.*
De lege lata sind also Datenübermittlungen in die USA ohne besondere Sicherheitsvorkehrungen unzulässig. Aufgrund des Konflikts zwischen den Datenschutzbestimmungen der EU und den Überwachungsgesetzen der USA stehen IT-Anbieter regelmäßig vor einem Dilemma: Die EU-Bestimmungen erfordern den Schutz personenbezogener Daten, während die US-Gesetze eine Überwachung anordnen. De facto können Technologieunternehmen aber nicht beide Bestimmungen erfüllen.
Die Problematik wird nun aber vor allem dadurch verschärft, dass US-amerikanische IT-Dienstleister einen überwältigenden Marktanteil bei digitalen Produkten und Dienstleistungen einnehmen.* Ein (von den Behörden durchzusetzendes) Nutzungsverbot würde in der Praxis eine Vielzahl von Verantwortlichen vor enorme praktische Probleme stellen, zumal es an europäischen Alternativen fehlt. Es ist deshalb nicht verwunderlich, dass Unternehmen und Behörden auch nach der E des 185 EuGH weiterhin US-amerikanische Dienste verwenden. Sie sind größtenteils ratlos, wie die Aufrechterhaltung des operativen Geschäfts ohne US-amerikanische Dienstleister funktionieren soll.72)
In der Rechtswissenschaft wird nunmehr fieberhaft nach Gründen gesucht, warum etwa die Verhängung von Nutzungsverboten durch die Aufsichtsbehörden unzulässig wären. Argumentiert wird hier etwa mit der ungleichwertigen Verantwortlichkeit, dem Fehlen praktikabler bzw risikoärmeren Alternativen, dem Fehlen von Übergangsfristen oder unzureichenden Sachverhaltsermittlungen durch die Aufsichtsbehörden etc.* Viele der Argumentationen gleichen dem berühmten Klammern an den letzten Strohhalm und halten einer rechtlichen Prüfung oft nicht stand.*
Die oft schwerwiegenden Auswirkungen sind freilich auch den Datenschutzbehörden bewusst, weshalb diese weitgehend eine abwartende Haltung einnehmen. Bis auf wenige Ausnahmen* gab es keine selbständigen Ermittlungen, geschweige denn Entscheidungen, trotz zahlreicher Musterbeschwerden.*
Der dieser Frage zu Grunde liegende Konflikt kann nur gelöst werden, wenn entweder die USA oder die Europäische Union ihre gesetzlichen Bestimmungen ändern:
Auf Seiten der USA müssten die US-amerikanischen Überwachungsgesetze dahingehend reformiert werden, dass ein grundlegender Schutz personenbezogener Daten eingeführt werden müsste, der zumindest dem entspricht, der US-Personen bereits jetzt gewährt wird. Auf Basis dieser Grundlage könnte die Europäische Kommission neue stabile Instrumente erlassen, die Datentransfers in die USA erlauben würde, sofern auch angemessene Rechtsschutzmöglichkeiten bestehen. Langfristige Lösung könnte etwa ein „No-Spy“-Abkommen sein.*
Auf europäischer Seite könnten andererseits die Grundrechte (Art 7 und 8 GRC) abgeändert werden. Einer entsprechenden Änderung müssten alle Mitgliedstaaten zustimmen.* Zwar könnte die Europäische Kommission auch versuchen, erneut einen dritten Angemessenheitsbeschluss nach „Safe Harbour“ und „Privacy Shield“ zu verabschieden, ohne die notwendigen Reformen der US-amerikanischen Überwachungsgesetze wären derartige Vorhaben aber zum Scheitern verurteilt. Politisch wäre ein dritter Versuch wohl nicht akzeptabel.*
Nachdem eine notwendige Streichung oder Änderung der relevanten Bestimmungen der GRC nicht absehbar ist, liegt die Lösung der Problematik in erster Linie in den Händen des US-Gesetzgebers, der die geltenden US-Überwachungsgesetze anpassen oder zurücknehmen müsste. Tatsächlich dürften diesbezügliche Verhandlungen bereits begonnen haben,* ob diese allerdings Aussicht auf Erfolg haben, ist nicht abschätzbar. Ohne Androhung ernsthafter Durchsetzung in der EU oder eines Massenexodus von europäischer Kundinnen und Kunden wird die US-Industrie ihr politisches Kapital wohl nicht für den Schutz von Daten ausländischer Personen einsetzen.*
Dem numerischen Liberalismus, dessen Zielsetzung es ist, alle Informationen über Sachverhalte ganzheitlich zu offenbaren, transparent zu machen und zu messen, steht des Öfteren das Datenschutzrecht als Regelungsgegenstand gegenüber, das dem humanistischen Weltbild der Menschenwürde dient.*
Zweifellos hat die DSGVO den Persönlichkeitsschutz bei der Verarbeitung personenbezogener Daten nachhaltig gestärkt. Sie bietet nicht nur einen breiten Schutzbereich, sie stellt hinsichtlich möglicher Eingriffe auch ein feinfühliges Instrumentarium bereit, das den Behörden und Gerichten passgenaue Einzelfallentscheidungen ermöglicht. Der Nachteil liegt in der Rechtsunsicherheit.
Probleme beim Persönlichkeitsschutz bestehen deshalb aktuell vor allem bei der Durchsetzung der materiell-rechtlichen Bestimmungen. Das betrifft in erster Linie die faktische Unterlegenheit betroffener Personen, oft fehlende Ressourcen der Aufsichtsbehörden, politisch motivierte Untätigkeit mancher Aufsichtsbehörden bei länderübergreifenden Verfahren und die nach wie vor stattfindende anlasslose Massenüberwachung durch US-amerikanische Geheimdienste. 186