Datenauslesen als Kavaliers-Delikt?
von RA Oliver Timmermann, Kanzlei Michaelis, Hamburg
Sie kennen das Problem, es kann jederzeit zuschlagen: Sie übersenden einem Geschäftspartner eine Mail oder – im Anhang der selben – ein Text-Dokument und der „Partner“ packt diese Gelegenheit beim Schopfe[1], um die elektronische Nachricht „auszulesen“, d.h. die über den offiziellen Sinnhorizont hinausreichende Informationsabschöpfung.
Das juristische Problem, ob dies hingenommen werden muss oder eine „Ungeheuerlichkeit“ darstellt, begegnet sofort der Gegenfrage, was man der Gegenseite überhaupt mit seiner Sendung zur Verfügung gestellt hat. Das ist denn auch das Grundproblem all des Daten-Umganges: Wir operieren online mit der Technik des 21 Jahrhunderts, tun dies aber mit einem Kommunikationsverständnis aus dem 19 Jahrhundert.[2] Mit dem Verlassen des Gutenberg-Universums hat sich aber nicht nur das Medium, sondern auch der epistemologische Überbau, d.h. die Anforderungen an das Verwendungs-Bewusstsein verändert.[3] So kommt es beispielsweise auch bei dem aktuell zu beobachtenden Umbau des Rechtsanwalts-Berufes weniger darauf an, welcher neue technische Gimmick nun wieder durch´s online-Dorf gejagt wird. Die Hauptfrage, die sich für diesen Beruf langsam stellt, lautet eher, was der schneller werdende Big-Data Wandel in ihrem (verbliebenen) Methodenverständnis, der Epistemologie, auslöst.[4]
Angesprochen ist bei der Datenverwendung zudem immer das sog. „Privacy Paradox“.[5] Demnach lässt sich beobachten, dass Nutzer zum einen sehr freigiebig ihre Daten preisgeben und Erhebungen zulassen, obwohl sie zugleich doch auch eine hohe Präferenz nach dem Erhalt ihrer Autonomie haben.
Bei Zugrundelegung dieses materiellen Verständnisses löst sich das scheinbar Paradoxe an diesem Befund auf: Den Betroffenen gelingt es derzeit von Vornherein nicht, überhaupt präferenzgerecht zu handeln. Sie wissen oftmals schlicht nicht, was sie tun, wenn sie ihre Mail abschicken.
So zählt nicht allein die formelle Möglichkeit des Handelns für die Annahme autonomen Handelns, sondern es müssen auch die realen Rahmenbedingungen berücksichtigt werden, unter denen eine Entscheidung getroffen wird. M.a.W.: Sollte der verborgene Text dem Gegenüber mitgeliefert werden? Die Datenerhebung findet aber überwiegend passiv, d.h. ohne direktes Zutun des Betroffenen statt und wird dadurch nahezu unsichtbar. Dies macht es schwer, nachzuvollziehen, welche und wie viele Daten einem Verarbeiter vorliegen.
1.) Kein strafrechtlich relevanter Vorgang
Das Auslesen der Daten, die einem Vertragspartner zusammen mit den willentlich ausgewählten Informationen gesandt werden, stellt kein Straftatbestand dar. § 202a StGB („Ausspähen von Daten“) lautet:
„(1) Wer unbefugt sich oder einem anderen Zugang zu Daten, die nicht für ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind, unter Überwindung der Zugangssicherung verschafft, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft.
(2) Daten im Sinne des Absatzes 1 sind nur solche, die elektronisch, magnetisch oder sonst nicht unmittelbar wahrnehmbar gespeichert sind oder übermittelt werden.“
Die Daten müssten „gegen unberechtigten Zugang besonders gesichert“ sein und es muss eine „Überwindung der Zugangssicherung“ stattgefunden haben, damit eine Datenausspähung vorläge. Für den üblichen Geschäftsvorfall muss aber nach wie vor davon ausgegangen werden, dass die Mehrzahl der User keine kryptographischen Sicherheitsvorkehrungen treffen werden.
2.) Datenschutzrechtliche Dimension
a.) Grundlegende Unterscheidung
Dass die DS-GVO in Art. 4 Nr. 1 die Begriffe „Daten“ und „Informationen“ synonym benutzt, muss als bedauerlich bezeichnet werden. Die Unterscheidung gehört eigentlich längst zum absoluten Standard und die Differenzierung ist zudem notwendig, um die Gefahren der Datenabschöpfung für den Betroffenen überhaupt konkret erfassen zu können.
„Daten“ sind formalisiert darstellbare Zeichen und an sich weder von Wert noch von irgendeinem Belang. Sie sind bloße Bytes, Pixel, Zahlen- oder Buchstabenfolgen. Damit sie ihre Bedeutung, ihren wirtschaftlichen Wert, ihre Persönlichkeitsrechtsrelevanz entfalten, müssen sie verarbeitet werden. Ein Text ist bedeutungslos, wenn er nicht entziffert wird bzw. entziffert werden kann. Hier zeigt sich die erste Besonderheit des Datenschutzrechts. „Daten“ allein haftet gerade keine Personenbezogenheit als inhärente Eigenschaft an. Ob sie personenbeziehbar sind, muss durch den Blick des potenziellen Verarbeiters festgestellt werden. Schutz-Gegenstand des Datenschutzrechtes ist also tatsächlich erst die personenbezogene „Information“.[6] Was ein Datenverarbeiter aus ihm vorliegenden Daten aber an Informationen gewinnt, wie er sie interpretiert und sie kontextualisiert, entzieht sich allerdings der Regulierbarkeit.[7] Anders ist dies wiederum mit den Daten. Sie werden daher notgedrungen zum Regelungs-Gegenstand des Datenschutzrechts. Dieses bestimmt, unter welchen Rahmenbedingungen der Datenverarbeiter sie zu seiner Verarbeitungsgrundlage machen darf. Es ist die unkluge synonyme Verwendung der Begriffe „Daten“ und „Informationen“, die diese zentrale Stellung der Datenverarbeitung nahezu unsichtbar macht.
b.) Verzerrungsgefahr aufgrund der Präventionslogik
Im Auseinanderfallen von Regelungs- und Schutzgegenstand zeigt sich eine weitere Besonderheit des Datenschutzrechts, nämlich die ihm innewohnende Präventions-Logik. Soll eine spezifische Informationsgewinnung unterbunden werden, so muss der Datenverarbeiter präventiv daran gehindert werden, bestimmte Daten verarbeiten zu können. Dies stellt das Datenschutzrecht vor eine große Herausforderung. Es muss ex ante eine Prognose aufstellen, ob und welche persönlichen Informationen von dem Datenverarbeiter aus den Daten gewonnen werden können. Ein Datum ist personenbeziehbar, wenn eine solche Informationsgewinnung mit hinreichender Wahrscheinlichkeit anzunehmen ist. Jeder Prävention wohnt dabei eine Unschärfe inne, auch tatsächlich zu schützen, was sie schützen soll.[8]
Neben den Verarbeitungsmethoden spielt für die Informationsgewinnung sonach auch die Kontextualisierung eine Rolle. Je mehr Informationen der Verarbeiter bereits über eine Person hat, desto leichter fällt es, neue Informationen erkenntnisbringend einzuordnen. Dies lässt sich mit einem Puzzle vergleichen: sind nur wenige Puzzleteile bekannt, so fällt es schwer, sich das restliche Motiv zu erschließen und neue Puzzleteile zuzuordnen.
Durch diese Präventionslogik wird auch der Kontrollverlust aus Sicht des Betroffenen greifbar. Nicht nur erfolgt die Datenerhebung oftmals derart unsichtbar, dass er kaum überblicken kann, welche und wie viel Daten über ihn erhoben werden. Selbst wenn er das wüsste, fiele es ihm schwer, abzuschätzen, welche vielleicht tiefgreifenden Erkenntnisse daraus über ihn gewonnen werden können. Dadurch wirkt nicht nur der tatsächliche Autonomieverlust persönlichkeitsrechtlich beeinträchtigend auf den Betroffenen, sondern bereits die Ungewissheit über Möglichkeit und Umfang des Verlustes. Die Ungewissheit gilt auch für den Datenverarbeiter. Er weiß nicht, welche Informationen er aus Daten gewinnt, bevor er sie nicht verarbeitet hat.
3.) Datenschutzrechtliche Bewältigung – Datenschuldrecht
Legt man dem Selbstbestimmungsrecht ein formelles Autonomieverständnis21 zugrunde, so gilt der Grundsatz „stat pro ratione voluntas“. Jede Fehlentscheidung, Informationsasymmetrie, kognitive Verzerrung und präferenzwidrige Verhaltensweise des Einzelnen liegt in seiner Verantwortung und berührt die Gültigkeit einer Datenpreisgabe nicht. Wäre ihm an einer Kompensation für seine Datenpreisgabe und des damit verbundenen Verlustes an Autonomie gelegen, so müsse er diese einfordern. Entsprächen die Privatheitskosten, die mit der Nutzung eines Internetdienstes einhergingen, nicht seiner Präferenz nach Privatheit, so könne er die Einwilligung verweigern und auf den Dienst verzichten.
Das widerspricht jedoch dem o.g. „Privacy Paradox“, wonach die Preisgabe zumeist unbewusst geschieht und die online-Nutzung gerade trotz eines diffusen Sicherheits-Interesses genutzt wird. Bereits der Grundsatz der Privatautonomie, d.h. das Selbstbestimmungsrecht im informationellen Bereich, setzt voraus, dass der Betroffene freiwillig entscheiden kann, ob und unter welchen Voraussetzungen er einer Datenpreisgabe als Gegenleistung zustimmt.
Mit Art. 4 Nr. 11 DS-GVO wird nochmals für die Einwilligungskonstellation der Datenpreisgabe verdeutlicht, dass der Grundsatz der Privatautonomie auch hier gilt. Beispielhaft für ein Freiwilligkeitsdefizit wird etwa in Erwägungsgrund 43 S. 1 DS-GVO eine Machtasymmetrie genannt.
Solche Asymmetrien können zu Zwangssituationen führen, wenn dem Betroffenen faktisch keine Möglichkeit bleibt, die Forderung der Datenpreisgabe auszuschlagen, etwa weil er auf die dafür angebotene Gegenleistung angewiesen ist. Gerade bei „Take it or leave it“-Situationen, wenn also eine Angebotsausschlagung automatisch den Dienstverzicht (etwa bei sozialen Netzwerken) oder Technologieverzicht (etwa bei Smartphones) zur Folge hätte, ist die Freiwilligkeit zweifelhaft. Ein Verständnis der Freiwilligkeit, welchem dem Betroffenen die freie Wahl ließe, ob er überhaupt für eine Dienstleistung eine Gegenleistung zu erbringen habe, kann damit jedoch schlechthin nicht verbunden sein.
Wird die Verpflichtung zur Erteilung einer datenschutzrechtlichen Einwilligung als tauglicher Leistungsgegenstand betrachtet, so kann von einem Vertrag über Datenverwertungsrechte, mithin einem datenschutzrechtlichen „Lizenzmodell“, gesprochen werden.[9] Wird die Einwilligung zum Leistungsgegenstand, so bleibt die parallele Einstufung der Daten als Leistungsgegenstand zwar problemlos möglich. Doch wird vertraglich die Erteilung einer Einwilligung vereinbart, so dass der Verantwortliche bestimmte Daten zu bestimmten (kommerziellen) Zwecken erheben und verarbeiten darf, werden die dazu entsprechenden Daten rechtlich gesehen akzessorisch mitumfasst. Dies käme insbesondere der Praxis nahe, dass die meisten Daten passiv erhoben werden, d.h. ohne das Zutun des Betroffenen und diese zudem bei Vertragsschluss auch an sich noch unbestimmt sind.
a.) Einwilligung
Trotz zahlreicher Unkenrufe bleibt die datenschutzrechtliche Einwilligung nach Art. 6 Abs. 1 lit. a) DS-GVO der „Königsweg“ zur Rechtfertigung der Datenerhebung und der Selbstbestimmung im informationellen Bereich. Neben der Vertragserforderlichkeit nach Art. 6 Abs. 1 lit. b) DS-GVO stellt sie den einzigen Zulässigkeitstatbestand dar, der die willentliche Mitwirkung des Betroffenen erfordert.
Maßgeblich für die Einstufung als Einwilligungskonstellation ist die Verwendung der Daten für die intendierten (wirtschaftlichen) Zwecke der Parteien, d.h. deren Geschäftsgrundlage.
b.) Vertragserforderlichkeit
In der Schlussfolgerung liegt nahe, dass es zur Beurteilung der Auslese-Legitimität auch zu einem Rückgriff auf die Vertragserforderlichkeit nach Art. 6 Abs. 1 lit. b) DS-GVO kommen muss. Dieser Zulässigkeitstatbestand ist sogar attraktiver als eine Einwilligung, da diese für die Datenerhebung keinen eigenständigen Rechtsakt (die Einwilligungserteilung) benötigt, sondern performativ bereits im Vertragsschluss selbst liegt. Im Gegensatz zur datenschutzrechtlichen Einwilligung ist dies auch konkludent möglich.
Es empfiehlt sich hier, einen objektivierenden Maßstab anzusetzen: vertragserforderlich können nur Daten sein, die in der Prognose keine zusätzliche Bezahlung erforderten und demgemäß auch nicht hypothetisch durch eine Geldzahlung ersetzt werden könnten.
4.) Ergebnis
Das Verwenden elektronischen Datenverkehrs bietet dem Gegenüber eine Fülle an Möglichkeiten, die gesandte willentliche Information durch „Auslesen“ der dechiffrierten Zusatz-Daten aufzuwerten.
Ein Schutz hiergegen bietet das Strafrecht nicht. Die Lösung muss im Datenschutzrecht gesucht werden. Bei der Bestimmung, was dem Gegenüber aufgrund einer hypothetischen Einwilligung bzw. aufgrund der Vertragserfordernis zukommt, ist ein objektivierender Standpunkt einzunehmen. I.S. des Lizenzmodells wäre zu fragen, welche Zusatzdaten ggfs. nur gegen Bezahlung weitergegeben wären. In diesem Fall kann dann nicht von (unwillentlicher) Preisgabe ausgegangen werden.
OT, HH, 28.03.2021
[1] Im antiken Griechenland wurde nicht ohne Grund zwischen dem dahinfließenden Chronos und Kairos, dem Gott des günstigen Augenblicks, der nur einen Zopf hat, unterschieden. Eine leistungsbewusste Ständegesellschaft wusste um die Bedeutung des „timinings“ schon sehr genau, vgl. http://www.kairos.at/kairos.php#:~:text=Und%3A%20Kairos%20(%CE%BA%CE%B1%CE%B9%CF%81%CF%8C%CF%82)%20ist,vorn%20an%20der%20Stirn%20dargestellt.
[2] Vgl. Schmieder, „Die Gleichzeitigkeit des Ungleichzeitigen – Zur Kritik und Aktualität einer Denkfigur“, Zeitschrift für kritische Sozialtheorie und Philosophie 2017, S. 325 ff.
[3] Seit McLuhans Schlagwort vom „Untergang der Gutenberg-Galaxis” (vgl. McLuhan 1962) ist es in der Medientheorie en vogue geworden, der Erfindung des Buchdrucks einen besonderen Stellenwert in der Mediengeschichte zuzuschreiben.
[4] Vgl. Hähnchen/Bommel, „Digitalisierung und Rechtsanwendung“, JZ 2018, S. 334 ff.
[5] Vgl. Sandfuchs, „Privatheit wider Willen“, 2015, 216 f
[6] Vgl. Roßnagel, „Datenschutz in einem informatisierten Alltag“, 2007, S. 85 ff.
[7] Vgl. Grimm, „Der Datenschutz vor einer Neuorientierung“, JZ 2013, 585 ff.
[8] Sog. „Future Bias“, zu den einzelnen „cognitive bias“ vgl. Valdez/Ziefle/Sedlmair, „A Framework for Studying Biases in Visualization Research“, unter: http://eprints.cs.univie.ac.at/5258/1/calero-valdez2017framework.pdf
[9] Vgl. Bijok, „Kommerzialisierungsfester Datenschutz“, 2020, S. 185 ff.