Verbot mit Erlaubnisvorbehalt (Datenschutz)
Das Verbot mit Erlaubnisvorbehalt (oder auch Verbotsprinzip mit Erlaubnisvorbehalt) ist eine Rechtsregel des deutschen und europäischen Datenschutzrechts. Sie betrifft die Frage der Rechtmäßigkeit von Datenerhebungen, Datenverarbeitungen und Datennutzungen.
Inhalt der Rechtsregel
Das Verbot mit Erlaubnisvorbehalt (Verbotsprinzip mit Erlaubnisvorbehalt) beinhaltet zwei Regelungen.
Frage der Rechtmäßigkeit
Zunächst regelt es die Frage, wann eine Datenerhebung, Datennutzung und Datenverarbeitung (Speichern, Verändern, Übermitteln, Sperren und Löschen personenbezogener Daten) rechtmäßig ist[1]. Hierbei geht die Rechtsregel davon aus, dass grundsätzlich alle datenrelevanten Maßnahmen rechtswidrig sind, es sei denn, ein gesetzlich normierter Erlaubnisgrund rechtfertigt sie[2]. Es kann von einer indizierten Rechtswidrigkeit gesprochen werden.
Dieser Grundsatz gilt nicht nur im Verhältnis staatlicher Stellen zu nicht staatlichen Stellen, sondern auch im Verhältnis zwischen zwei staatlichen Stellen[3]. In diesem Zusammenhang spricht man von einer informationellen Gewaltenteilung oder auch dem Abschottungsgebot[4].
Beweislastumkehr
Zudem kann hieraus eine Beweislastumkehr gefolgert werden. Denn mit dem Verbot mit Erlaubnisvorbehalt wird nach h. M. ein Regel-Ausnahme-Prinzip definiert, wonach grundsätzlich jedwedes Erheben, Verarbeiten und/oder Nutzen von personenbezogenen Daten verboten ist (Regel), es sei denn ein Gesetz oder die Einwilligung des Betroffenen rechtfertigen (Ausnahme) dies[5]. Berücksichtigt man nun den zivilprozessualen Grundsatz, wonach sich die Beweislast stets dort umkehrt, wo eine Ausnahme vom gesetzlichen Regelfall geltend gemacht wird[6], ist leicht ersichtlich, dass wenn die verantwortliche Stelle in einem Zivilprozess geltend machen will, dass eine Ausnahme (nämlich die Zulässigkeit der Erhebung, Verarbeitung und/oder Nutzung) eingreift, sie auch die Voraussetzungen für das Vorliegen dieser Ausnahme darlegen und beweisen muss. Hieraus folgt die Beweislastumkehr.
Eine hieraus folgende Beweislastumkehr haben Rechtsprechung und juristisches Schrifttum beispielsweise bei der Frage angenommen, wer das überwiegende Offenbarungsinteresse i. S. v. § 28 Absatz 1 Nr. 1 BDSG darlegen und beweisen muss[7].
Eigenständige Bedeutung
Der Begriff Verbot mit Erlaubnisvorbehalt wird auch im übrigen Verwaltungsrecht verwendet, u. a. im Zusammenhang mit der sog. Kontrollerlaubnis. Dennoch kommt diesem Prinzip im Datenschutz eine eigenständige Bedeutung zu.
Zunächst regelt die Kontrollerlaubnis, dass ein bestimmter Sachverhalt (z. B. Bauvorhaben) grundsätzlich verboten ist, es sei denn, die Verwaltung erlaubt es (z. B. Baugenehmigung). Ziel ist hierbei, dass die Verwaltung die Kontrolle über bestimmte Sachverhalte behält. Beim Verbot mit Erlaubnisvorbehalt im Datenschutzrecht ergibt sich die Rechtmäßigkeit eines an sich „verbotenen“ Sachverhaltes (z. B. Datenverarbeitung von personenbezogenen Daten) aber nicht aus einem Behördenhandeln, sondern bereits kraft Gesetzes, nämlich durch Eingreifen eines Erlaubnisgrundes. Hier ist also nicht bezweckt, dass die Verwaltung die Kontrolle über bestimmte Sachverhalte (z. B. Datenverarbeitung) behält, sondern dass ein Verhalten, egal ob es von der Verwaltung oder von einem Bürger kommt, nur dann gerechtfertigt ist, wenn der Gesetzgeber es erlaubt. Der wesentliche Unterschied zwischen der Kontrollerlaubnis im Verwaltungsrecht und dem Verbot mit Erlaubnisvorbehalt im Datenschutzrecht besteht also darin, dass es bei der Kontrollerlaubnis um die Kontrolle durch die Verwaltung und beim Verbot mit Erlaubnisvorbehalt um die Kontrolle durch den Gesetzgeber geht.
Eine eigenständige Bedeutung des Verbots mit Erlaubnisvorbehalt im Datenschutzrecht ergibt sich zudem daraus, dass das die DSGVO nicht nur Fragen des öffentlich-rechtlichen Verwaltungsrechtes, also die Beziehung Bürger – Staat, betreffen, sondern gemäß Art. 2 DSGVO auch das Privatrecht, also die Beziehung von Bürgern untereinander, betrifft[8]. In privatrechtlicher Hinsicht bedeutet das datenschutzrechtliche Verbotsprinzip mit Erlaubnisvorbehalt aber eine partielle Abkehr vom dort geltenden Grundsatz der Privatautonomie. Während also im gesamten Privatrecht der Grundsatz gilt, dass jeder Bürger tun darf, was nicht verboten ist, gilt im privatrechtlichen Datenschutzrecht die Besonderheit, dass jeder Bürger nur tun darf, was erlaubt ist.
Europarechtlicher Hintergrund
1995–2018
Das Verbot mit Erlaubnisvorbehalt geht ursprünglich auf das deutsche Datenschutzrecht zurück. Seit 1995 war es durch Artikel 7 der Richtlinie 95/46/EG (Datenschutzrichtlinie) für den gesamten Rechtsraum der Europäischen Union kodifiziert worden[9]. Artikel 7 lautete:
Die Mitgliedstaaten sehen vor, daß die Verarbeitung personenbezogener Daten lediglich erfolgen darf, wenn eine der folgenden Voraussetzungen erfüllt ist:
a) Die betroffene Person hat ohne jeden Zweifel ihre Einwilligung gegeben;
b) die Verarbeitung ist erforderlich für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder für die Durchführung vorvertraglicher Maßnahmen, die auf Antrag der betroffenen Person erfolgen;
c) die Verarbeitung ist für die Erfüllung einer rechtlichen Verpflichtung erforderlich, der der für die Verarbeitung Verantwortliche unterliegt;
d) die Verarbeitung ist erforderlich für die Wahrung lebenswichtiger Interessen der betroffenen Person;
e) die Verarbeitung ist erforderlich für die Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt und dem für die Verarbeitung Verantwortlichen oder dem Dritten, dem die Daten übermittelt werden, übertragen wurde;
f) die Verarbeitung ist erforderlich zur Verwirklichung des berechtigten Interesses, das von dem für die Verarbeitung Verantwortlichen oder von dem bzw. den Dritten wahrgenommen wird, denen die Daten übermittelt werden, sofern nicht das Interesse oder die Grundrechte und Grundfreiheiten der betroffenen Person, die gemäß Artikel 1 Absatz 1 geschützt sind, überwiesen.
Die indizierte Rechtswidrigkeit ergab sich insbesondere aus der Formulierung des Artikel 7; und hier aus dem Wort „lediglich“.
Umsetzung in Deutschland
Das Verbot mit Erlaubnisvorbehalt war in § 4 Absatz 1 BDSG niedergelegt[10], der lautete:
- Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten sind nur zulässig, soweit dieses Gesetz oder eine andere Rechtsvorschrift dies erlaubt oder anordnet oder der Betroffene eingewilligt hat.
Die indizierte Rechtswidrigkeit ergab sich aus der Formulierung des § 4 Absatz 1 BDSG, und hier aus dem Wort „nur“.
Umsetzung in Österreich
In Österreich folgte das Verbot mit Erlaubnisvorbehalt aus der Formulierung der § 7 Abs. 1, §§ 8, 9 DSG[11].
Seit 2018
Seit dem 25. Mai 2018 gilt die Datenschutz-Grundverordnung (Verordnung (EU) 2016/679) als in jedem Mitgliedsland der EU direkt anwendbares Recht. Die alte Datenschutzrichtlinie ist außer Kraft getreten, das BDSG enthält jetzt nur noch ergänzende Regelungen. Das Verbot ist Erlaubnisvorbehalt ist nun in Artikel 6 DSGVO festgelegt:
(1) Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:
a) Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;
b) die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;
c) die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt;
d) die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen;
e) die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;
f) die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.
Unterabsatz 1 Buchstabe f gilt nicht für die von Behörden in Erfüllung ihrer Aufgaben vorgenommene Verarbeitung.
[...]
Rechtslage in der Schweiz
Nach schweizerischem Datenschutzrecht gilt im Gegensatz zum Europäischen Recht kein Verbot mit Erlaubnisvorbehalt, sondern im Gegenteil eine Erlaubnis mit Verbotsvorbehalt. Nach Art. 12 des schweizerischen Datenschutzgesetzes ist eine Datenbearbeitung grundsätzlich zulässig, sofern die datenschutzrechtlichen Bearbeitungsgrundsätze (Art. 4, Art. 5 und Art. 7) eingehalten werden. Nur wenn diese Grundsätze verletzt werden (z. B. bei einer Datenbeschaffung, die oder deren Zweck für die betroffene Person nicht erkennbar ist), ist die Datenbearbeitung rechtfertigungsbedürftig, wobei als Rechtfertigungsgründe die Einwilligung der betroffenen Personen, eine gesetzliche Erlaubnis oder ein überwiegendes öffentliches oder privates Interesse in Betracht kommen (Art. 13).
Literatur
- Stephan Gärtner: Harte Negativmerkmale auf dem Prüfstand des Datenschutzrechts. Ein Rechtsvergleich zwischen deutschem, englischem und österreichischem Recht. Verlag Dr. Kovac, Hamburg 2011, ISBN 978-3-8300-5418-4.
Einzelnachweise
- Einführung in das Datenschutzrecht (Datenschutz und Informationsfreiheit in europäischer Sicht) von Marie-Theres Tinnefeld, Eugen Ehmann, Rainer W. Gerling, 4. völlig neu bearbeitete und erweiterte Auflage, 2005, R. Oldenbourg Verlag, München/Wien, S. 315.
- BDSG Bundesdatenschutzgesetz, Kommentar von Peter Gola und Rudolf Schomerus unter Mitarbeit von Christoph Klug, 9. überarbeitete und ergänzte Auflage, Verlag C.H. Beck, München 2007, § 4, Rn. 3
- BVerfGE 65, 1, sog. Volkszählungsurteil 1983
- BVerfG NJW 1988, 959-961 (red. Leitsatz und Gründe)
- vgl. Spindler/Nink in Spindler/Schuster, Recht der elektronischen Medien, 1. Auflage.2008, § 4 BDSG, Rn. 4)
- BGHZ 87, 393, 399 f. = NJW 1983, 2499; BGH DB 1990, 1081, 1082; vgl. auch Foerste in Musielak, ZPO, 7. Auflage. 2009, § 286, Rn. 36)
- Rechtsprechungsnachweise: BGH NJW 1984, NJW Jahr 1984 S. 436; OLG Frankfurt/M. NJW-RR 2008, NJW-RR Jahr 2008 S. 1228; Schrifttumsnachweise: Schimansky/Bunte/Lwowski, Bankrechts-Handbuch, 3. Auflage.2007, § 41, Rn. 15
- Zur Frage der Anwendbarkeit des BDSG auf nicht-öffentliche Stellen: vgl. BDSG Bundesdatenschutzgesetz, Kommentar von Peter Gola und Rudolf Schomerus unter Mitarbeit von Christoph Klug, 9. überarbeitete und ergänzte Auflage, Verlag C.H. Beck München 2007, § 27, Rn. 1 ff.
- EG-Datenschutzrichtlinie: Kurzkommentar / von Eugen Ehmann, Marcus Helfrich. - Köln: O. Schmidt, 1999, Artikel 7, Rn. 6
- BDSG Bundesdatenschutzgesetz, Kommentar von Peter Gola und Rudolf Schomerus unter Mitarbeit von Christoph Klug, 9. überarbeitete und ergänzte Auflage, Verlag C.H. Beck München 2007, § 4, Rn. 3
- Stephan Gärtner: Harte Negativmerkmale auf dem Prüfstand des Datenschutzrechts. Ein Rechtsvergleich zwischen deutschem, englischem und österreichischem Recht, Verlag Dr. Kovac, Hamburg, 2011, S. 330