Aufsatz : Postmortaler Datenschutz und die Datenschutz- Grundverordnung : aus der RDV 3/2018, Seite 127 bis 133
Unterliegen personenbezogene Daten eines Verstorbenen dem Datenschutzrecht? Für das bisher geltende deutsche Datenschutzrecht mehrten sich Stimmen, die sich für die Anerkennung eines postmortalen Datenschutzes aussprachen. Der Beitrag beleuchtet den postmortalen Datenschutz seit dem Inkrafttreten der Datenschutz-Grundverordnung am 25. Mai 2018 und zeigt dabei erhebliche zukünftige Regelungslücken auf.
I. Einleitung
Nicht zuletzt die rege Diskussion[1] über den sog. „digitalen Nachlass“ und die erste hierzu ergangene Rechtsprechung[2] haben den Blick auf die Frage gerichtet, wie personenbezogene Daten nach dem Tode des Betroffenen zu behandeln sind. Es geht insbesondere um die Fragen, ob es eines postmortalen Datenschutzes bedarf und ob das Datenschutzrecht auch auf personenbezogene Daten eines Verstorbenen anzuwenden ist. Wenngleich die Beantwortung dieser Fragen nach dem bis zum 24. Mai 2018 geltenden nationalen Datenschutzrecht umstritten blieb, mehrten sich doch die Stimmen, die nachdrücklich für die Anerkennung eines postmortalen Datenschutzes plädierten.[3] Diese zu begrüßende Entwicklung fand mit dem Inkrafttreten der Datenschutz-Grundverordnung[4] (nachfolgend: DS-GVO) am 25. Mai 2018 ein vorläufiges Ende. Der Beitrag beleuchtet, ob und inwieweit der Europäische Gesetzgeber in der DS-GVO und der deutsche Gesetzgeber bei deren Umsetzung durch das „Datenschutz-Anpassungs- und -Umsetzungsgesetz EU“[5], insbesondere bei der Nutzung der sog. Öffnungsklauseln[6], einen postmortalen Datenschutz geregelt haben. Es zeigt sich, dass seit dem 25. Mai 2018 erhebliche Regelungslücken für die Behandlung von personenbezogenen Daten Verstorbener bestehen.
II. Postmortaler Datenschutz vor der DS-GVO
Vor dem Inkrafttreten der DS-GVO sah das Gesetz ausdrücklich einen postmortalen Datenschutz nur in speziellen Bereichen vor. Hierzu gehörten vor allem der Schutz von personenbezogenen Daten Verstorbener in den Bereichen Sozialdatenschutz (§ 35 Abs. 5 SGB I i. V. m. §§ 67 ff. SGB X[7]), des Rechts am eigenen Bild (§ 22 S. 3 KunstUrhG[8]), des Schutzes von Geheimnissen Verstorbener durch Geheimnisträger (§ 203 Abs. 5 StGB[9]) und eng damit verbunden das Einsichtsrecht in Patientenakten durch Erben oder Angehörige (§ 630g Abs. 3 BGB[10]) sowie im Bereich des Datenschutzes auf Landesebene durch die Berliner Verwaltung (§ 4 Abs. 1 S. 2 BlnDSG). Des Weiteren bestanden Sondervorschriften zum Schutz von personenbezogenen Daten Verstorbener in den Bereichen der Leichenschau und des Bestattungswesens[11] sowie des Statistik- und Archivwesens.[12] Über diesen spezialgesetzlichen postmortalen Datenschutz hinaus sah das deutsche Datenschutzrecht ausdrücklich keine allgemeine Regelung zum Schutz von personenbezogenen Daten Verstorbener vor.
Ob das bis zum 24. Mai 2018 geltende Bundesdatenschutzgesetz (nachfolgend: BDSG a.F.) als allgemeine Datenschutzregelung auf Daten Verstorbener anzuwenden war, wurde unterschiedlich bewertet: So definierte § 3 Abs. 1 BDSG a.F. personenbezogene Daten als Daten einer bestimmten oder bestimmbaren natürlichen Person. Hieraus wurde verbreitet geschlossen, dass natürliche Personen nur lebende Personen seien und Daten Verstorbener vom BDSG a.F. nicht geschützt würden.[13] Begründet wurde dies insbesondere mit Verweis darauf, dass Grundlage des Datenschutzes das sog. Recht auf informationelle Selbstbestimmung als besondere Ausprägung des in Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG verankerten allgemeinen Persönlichkeitsrechts[14] sei. Da das allgemeine Persönlichkeitsrecht eine handlungsfähige Person voraussetze und nach ständiger Rechtsprechung des Bundesverfassungsgerichts[15] mit dem Tode erlösche, bliebe kein Raum für eine Anwendung des BDSG a.F. auf personenbezogene Daten Verstorbener.[16] Das BDSG a.F. sei nur dann anzuwenden, wenn Daten eines Verstorbenen zugleich Angaben über eine lebende Person seien (z.B. bei vererblichen Krankheiten).[17]
Der Wortlaut des § 3 Abs. 1 BDSG a.F. ließ freilich auch eine andere Auslegung zu. Der Tatbestand der natürlichen Person konnte etwa auch dahingehend verstanden werden, dass sich die Daten lediglich im Zeitpunkt ihrer Entstehung auf eine lebende Person beziehen mussten.[18] Zu Recht wurde in der Literatur vor allem mit dem Gesetzeszweck des Schutzes vor Beeinträchtigungen des Persönlichkeitsrechts (vgl. § 1 Abs. 1 BDSG a.F.) für einen postmortalen Datenschutz argumentiert.[19] Dabei wurde insbesondere auf die staatliche Verpflichtung zum Schutz der Würde des Menschen gem. Art. 1 Abs. 1 GG verwiesen.[20] Nach der Rechtsprechung des Bundesverfassungsgerichts bestehe ein über den Tod des einzelnen Menschen hinaus geltender postmortaler Persönlichkeitsschutz als allgemeiner Achtungsanspruch, der dem Menschen kraft seines Personseins zusteht, sowie ferner als Schutz des sittlichen, personellen und sozialen Geltungswerts, den die Person durch ihre eigene Lebensleistung erworben hat.[21] Hieraus ergebe sich auch ein postmortaler Datenschutz, der den Staat zu einem Schutz des Datengeheimnisses und den Schutz vor Ausforschung der Persönlichkeit des Einzelnen nach dem Tode verpflichte.[22] Darüber hinaus sei ein postmortaler Datenschutz trotz des Erlöschens der Allgemeinen Handlungsfreiheit durch den Tod zum Schutz des Rechts auf informationelle Selbstbestimmung erforderlich. Der Einzelne könne nur selbstbestimmt handeln, wenn er zu Lebzeiten darauf vertrauen kann, dass seine Daten nach seinem Tode geschützt bleiben.[23]
Zwar hatte sich damit ein postmortaler Datenschutz nach der bisherigen Rechtslage in Deutschland keines Wegs durchgesetzt. Dennoch kann festgestellt werden, dass die Praxis insbesondere mit Blick auf die vermehrten Stimmen, die sich für die Anerkennung eines postmortalen Datenschutzes aussprachen, das BDSG a.F. regelmäßig vorsorglich auf Daten Verstorbener weitgehend angewandt hat.[24] So erhoben, verarbeiteten und nutzten verantwortliche Stellen aus Sorge vor Sanktionen (vgl. §§ 43 f. BDSG a.F.) Daten Verstorbener insbesondere nur nach dem Grundsatz des § 4 Abs. 1 BDSG a.F., soweit eine gesetzliche Grundlage (u.a. §§ 28 ff. BDSG a.F.) dies erlaubte oder anordnete oder der betroffene Verstorbene zu Lebzeiten eingewilligt hatte. Dies zeigte sich auch in der Zurückhaltung vieler verantwortlicher Stellen bei der Behandlung des sog. „digitalen Nachlasses“. Auch die Betroffenenrechte gem. §§ 33 ff. BDSG a.F. (individueller Datenschutz) und die Regelungen zur Kontrolle der Einhaltung des postmortalen Datenschutzes durch Datenschutzbeauftragte gem. § 4f BDSG a.F. und Aufsichtsbehörden gem. §§ 38 f. BDSG a.F. (institutioneller Datenschutz) wurden in der Regel vorsorglich entsprechend angewandt. Zumindest de facto bestand damit bislang ein postmortaler Datenschutz.
III. Postmortaler Datenschutz unter der DS-GVO
1. Anwendung der DS-GVO
Die DS-GVO bezweckt gem. Art. 1 Abs. 1 DS-GVO den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten. Entsprechend definiert Art. 4 Nr. 1 DS-GVO per sonenbezogene Daten als alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Wie schon § 3 Abs. 1 BDSG a.F. regelt damit der Verordnungstext selbst nicht ausdrücklich, ob auch personenbezogene Daten Verstorbener erfasst sind. Aus dem Tatbestand der natürlichen Person kann gleichwohl geschlossen werden, dass nur lebende, handlungsfähige Personen dem Schutz der Verordnung unterliegen.[25] Diese Auslegung bestätigt Erwägungsgrund 27 zur DS-GVO, wonach die Verordnung nicht für die personenbezogenen Daten Verstorbener gilt. Es erscheint zwar fragwürdig, dass eine derart zentrale Bereichsausnahme der DS-GVO „nur“ in den Erwägungsgründen statt im Verordnungstext selbst geregelt wurde.[26] Dennoch führt kein Weg an dem Ergebnis vorbei, dass Art. 4 Nr. 1 DS-GVO unter personenbezogenen Daten keine Daten Verstorbener versteht.[27] Etwas anderes gilt nur ausnahmsweise, wenn Daten eines Verstorbenen zugleich Angaben über eine lebende Person enthalten.[28] Die Verordnung sieht jedoch keinen postmortalen Datenschutz im eigentlichen Sinne vor.
2. Nationale Regelungen
Die Anwendung der DS-GVO auf Daten Verstorbener ist somit ausgeschlossen. Nach Erwägungsgrund 27 Satz 2 DS-GVO können die Mitgliedstaaten aber nationale Vorschriften für die Verarbeitung der personenbezogenen Daten Verstorbener vorsehen. Die Reichweite dieser Möglichkeit bleibt klärungsbedürftig.
Grundsätzlich verfolgt die DS-GVO das Ziel einer Vollharmonisierung des Datenschutzrechts[29] und verbietet in Art. 1 Abs. 3 DS-GVO den Mitgliedstaaten, den freien Verkehr personenbezogener Daten in der Union aus Gründen des Schutzes natürlicher Personen bei der Verarbeitung personenbezogener Daten einzuschränken oder zu verbieten. Selbst in den Fällen der sog. Öffnungsklauseln, in denen die Mitgliedstaaten ermächtigt oder gar verpflichtet werden, die Regelugen der DS-GVO auf nationaler Ebene zu ergänzen[30], darf durch die nationale Regelung der freie Verkehr personenbezogener Daten in der Union nach Art. 1 Abs. 3 DS-GVO nicht eingeschränkt werden.[31]
Für den postmortalen Datenschutz ist zunächst festzustellen, dass es sich bei Erwägungsgrund 27 Satz 2 DS-GVO um keine echte Öffnungsklausel[32], sondern nur um eine Klarstellung handelt. Da die Definition für personenbezogene Daten gemäß Art. 4 Nr. 1 DS-GVO nicht personenbezogene Daten Verstorbener erfasst, ist der Anwendungsbereich der Verordnung und damit der auf Unionsebene vollharmonisierte Bereich nicht berührt (vgl. Art. 1 Abs. 1 DS-GVO).[33] Folglich sind die Mitgliedstaaten ohnehin frei, nationale Vorschriften zur Verarbeitung personenbezogener Daten von Verstorbenen vorzusehen. Es bedarf keiner echten Ermächtigung i. S. einer Öffnungsklausel. Erwägungsgrund 27 Satz 2 DS-GVO hat daher nur klarstellende Bedeutung. Gleichwohl haben die Mitgliedstaaten bei einem nationalen postmortalen Datenschutz den Grundsatz des freien Datenverkehrs in der Union nach Art. 1 Abs. 3 DS-GVO zu beachten. Dies bedeutet zum Beispiel, dass eine nationale Regelung zur Verarbeitung von Daten eines Verstorbenen, die zugleich personenbezogene Daten über eine Erbkrankheit eines lebenden Nachkommen – also einer betroffenen Person i. S. des Art. 4 Nr. 1 DS-GVO – darstellen, nicht strengere Anforderungen an die Herausgabe dieser Daten an den Nachkommen vorsehen darf als die DS-GVO (vgl. etwa Art. 6 Abs. 1 DS-GVO).
Neue Regelungen zum Schutz von personenbezogenen Daten Verstorbener hat der deutsche Gesetzgeber im Rahmen der Anpassungen des nationalen Datenschutzrechts an die DS-GVO – unter ausdrücklichem Verweis auf Erwägungsgrund 27 DS-GVO[34] – lediglich für das Steuergeheimnis in § 2a Abs. 5 Nr. 1 AO[35] erlassen. Daneben gelten weiterhin die bereits genannten Regelungen zum postmortalen Datenschutz in speziellen Bereichen, insbesondere in §§ 35 Abs. 5 SGB I[36], 203 Abs. 5 StGB, 4 Abs. 1 S. 2 BlnDSG, 22 S. 3 KunstUrhG, 630g Abs. 3 BGB.[37] Außerhalb dieser speziellen Anwendungsbereiche hat der deutsche Gesetzgeber von allgemeinen Regelungen zum postmortalen Datenschutz abgesehen. Insbesondere hat er nicht die entsprechende Anwendung der Regelungen der DS-GVO auf personenbezogene Daten Verstorbener gesetzlich angeordnet.
Damit stellt sich die Frage, ob angesichts der dargelegten Argumente für einen postmortalen Datenschutz insbesondere Räume für eine entsprechende Anwendung der DS-GVO kraft Rechtsfortbildung auf nationaler Ebene bestehen. Das würde eine planwidrige Regelungslücke i. S. einer unbeabsichtigten Unvollständigkeit des Gesetzes voraussetzen.[38] Eine solche Regelungslücke ist jedoch zu verneinen. Das bei der erforderlichen Umsetzung der DS-GVO im nationalen Recht federführende Bundesministerium des Innern hat zur Aufdeckung des Regelungsbedarfs im Jahr 2016 beim Deutschen Forschungsinstitut für öffentliche Verwaltung in Speyer ein Rechtsgutachten in Auftrag gegeben.[39] Dieses Gutachten unterbreitete unter Verweis auf die deutsche Diskussion um den postmortalen Datenschutz[40] einen Vorschlag für eine ausdrückliche nationale Regelung zum allgemeinen Schutz von personenbezogenen Daten Verstorbener.[41] Abgesehen von den neu geregelten bzw. beibehaltenen speziellen Bereichen (z.B. §§ 2a Abs. 5 Nr. 1 AO, 35 Abs. 5 SGB I, 203 Abs. 5 StGB, 22 S. 3 KunstUrhG, 630g Abs. 3 BGB) wurden die Vorschläge des Gutachtens weder in den Gesetzesentwürfen auf Ministeriums- oder Regierungsebene noch in den parlamentarischen Beratungen aufgegriffen. Es ist daher von einem beredeten Schweigen[42] des Gesetzgebers dafür auszugehen, dass ein allgemeiner Schutz von personenbezogenen Daten Verstorbener nicht gewollt ist. Mangels planwidriger Regelungslücke ist somit für eine Rechtsfortbildung kein Raum.
Im Ergebnis sieht damit das nationale Datenschutzrecht des Bundes in Deutschland keine allgemeinen Regelungen zum postmortalen Datenschutz vor.
IV. Folgerungen
1. Was bleibt vom postmortalen Datenschutz?
Was bleibt unter der DS-GVO vom postmortalen Datenschutz? Die Antwort auf diese Frage fällt ernüchternd aus: Das einfachgesetzliche Datenschutzrecht sieht im Grundsatz keine Regelungen zum postmortalen Datenschutz vor. Abgesehen von den speziellen Bereichen, in denen das deutsche Datenschutzrecht entsprechende ausdrückliche Regelungen enthält, existieren insbesondere keine expliziten Vorgaben, in welchen Grenzen Daten Verstorbener verarbeitet werden können (z.B. Zweckbindung, Löschfristen). Zwar mag man weiterhin einen individuellen postmortalen Persönlichkeitsschutz des Verstorbenen aus §§ 1004, 823 BGB i. V. m. Art. 2 Abs. 1, Art. 1 Abs. 1 GG herleiten und insoweit von einem gewissen fortgeltenden Schutz ausgehen.[43] Dieser individuelle Datenschutz ist jedoch mangels ausdrücklich geregelter Vorgaben zur Datenverarbeitung und zu Betroffenenrechten im Einzelfall zu bestimmen und vergleichsweise schwach ausgestaltet. Ferner fehlen Regelungen zum institutionellen Datenschutz. Insbesondere haben die Datenaufsichtsbehörden kein Mandat, die Beachtung des postmortalen Datenschutzes zu überwachen und Verstöße (z.B. durch Bußgelder) zu sanktionieren.[44]
2. Regelungsbedarf auf europäischer Ebene?
Die Zurückhaltung des Europäischen Gesetzgebers beim postmortalen Datenschutz dürfte sich insbesondere damit erklären, dass das Europäische Datenschutzrecht und seine dogmatischen Grundlagen in seinem derzeitigen Entwicklungsstand noch vergleichsweise wenig ausgeprägt sind. So geht Art. 1 Abs. 2 DS-GVO zwar von einem Grundrecht auf Datenschutz aus und nimmt Bezug auf die primärrechtlichen Grundfreiheiten in Art. 8 Abs. 1 Charta der Grundrechte der Europäischen Union und Art. 16 Abs. 1 AEUV.[45]
Wenig geklärt ist jedoch bislang das Schutzgut dieser Grundfreiheiten. Zwar sprechen gute Gründe dafür, auch auf europäischer Ebene einen Schutz des Rechts auf informationelle Selbstbestimmung anzunehmen.[46] Als gesichert kann dies jedoch keineswegs gelten.[47] Ferner ist ungeklärt, ob die Europäischen Grundrechte überhaupt einen postmortalen Persönlichkeitsschutz kennen.[48] Entsprechend haben sich Ansätze für einen postmortalen Datenschutz – jedenfalls nach deutscher Lesart – auf europäischer Ebene noch nicht entwickelt. Aufgrund des momentanen Entwicklungsstands des Gemeinschaftsrechts ist die Entscheidung des Europäischen Gesetzgebers erklärlich und richtig, den postmortalen Datenschutz allein den Mitgliedstaaten zu überlassen.
3. Regelungsbedarf auf nationaler Ebene!
Die weitgehende Ablehnung eines postmortalen Datenschutzes durch den deutschen Gesetzgeber ist indessen nicht nachvollziehbar. Er sollte die ihm offenstehende Möglichkeit zur Regelung eines postmortalen Datenschutzes nutzen.[49]
Eine entsprechende Regelung ist allerdings nicht nur rechtspolitisch, sondern vor allem nach deutschem Verfassungsrecht geboten. Zwar endet die allgemeine Handlungsfreiheit (Art. 2 Abs. 1 GG) mit dem Tod.[50] Grundlage des Rechts auf informationelle Selbstbestimmung ist jedoch auch die aller staatlichen Gewalt auferlegte Verpflichtung zum Schutz der Würde des Menschen gem. Art. 1 Abs. 1 GG, die nicht mit dem Tod endet.[51] Hieraus ergibt sich nach der Rechtsprechung des Bundesverfassungsgericht auch ein – in seiner Schutzwirkung nicht mit dem Schutz lebender Personen identischer – postmortaler Persönlichkeitsschutz zum einen als allgemeiner Achtungsanspruch, der dem Menschen kraft seines Personseins zusteht, und zum anderen als Schutz des sittlichen, personellen und sozialen Geltungswert, den die Person durch ihre eigene Lebensleistung erworben hat.[52] Mit dem Tod des Grundrechtsträgers endet zwar das Persönlichkeitsrecht, aber nicht die Pflicht des Staates zum postmortalen Persönlichkeitsschutz. [53] Ohne Regeln zum Schutz von Daten Verstorbener würden diese Daten und damit dessen Persönlichkeit weitgehend schutzlos und könnten beliebig genutzt und verbreitet werden.[54] Mit der Menschenwürde gem. Art. 1 Abs. 1 GG wäre es nicht aber zu vereinbaren, wenn der Staat es zulassen würde, dass die Persönlichkeit eines Menschen frei erfasst, zugänglich gemacht und er damit wie eine Sache behandelt werden könnte.[55] Bereits aus Art. 1 Abs. 1 GG ergibt sich daher die Pflicht zu einem Persönlichkeitsschutz im Sinnes eines postmortalen Datenschutzes.[56] Dessen Reichweite bestimmt sich allerdings auch aus dem Recht auf informationelle Selbstbestimmung, auch wenn die allgemeine Handlungsfreiheit mit dem Tod endet. Das Recht auf informationelle Selbstbestimmung schützt die Entscheidungsfreiheit des Einzelnen, in dem es dessen Befugnis gewährleistet, grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen.[57] Wer sich ständig beobachtet fühlen muss, verhält sich angepasst. Nur wer mit hinreichender Sicherheit überschauen kann, welche ihn betreffenden Informationen in bestimmten Bereichen seiner sozialen Umwelt bekannt sind, kann aus eigener Selbstbestimmung planen oder entscheiden.[58] Bei diesem Funktionsverständnis der informationellen Selbstbestimmung kann sie jedoch nicht im engen Sinne mit der allgemeinen Handlungsfreiheit durch den Tod enden. Mit dem Tode ist nur die selbstbestimmte Entwicklung der Persönlichkeit abgeschlossen.[59] Der Umgang mit Daten Verstorbener hat Rückwirkungen auf die Selbstbestimmung zu Lebzeiten.[60] Zu Recht wird in der Literatur darauf hingewiesen, dass der Einzelne nur selbstbestimmt handeln kann, wenn er zu Lebzeiten darauf vertrauen kann, dass seine Daten nach seinem Tode geschützt bleiben.[61] Wer weiß, dass Daten zu seiner Person nach seinem Tode beliebig genutzt und verbreitet werden können, er quasi postum ausgeforscht werden kann, handelt nicht frei. Ein effektiver Schutz der informationellen Selbstbestimmung muss bereits Gefährdungen des allgemeinen Persönlichkeitsrechts verhindern.[62] Postmortaler Datenschutz ist mit anderen Worten integraler verfassungsrechtlich gebotener Bestandteil des Persönlichkeitsrechts und des Schutzes der informationellen Selbstbestimmung lebender Personen.[63] Dies schließt die staatliche Verpflichtung zum Erlass entsprechender Schutzvorschriften und zur Kontrolle mit ein.[64]
Man mag der hier vertretenen Ansicht entgegenhalten, dass das Bundesverfassungsgericht postmortalen Persönlichkeitsschutz bislang eher im Sinne eines engen Würdeschutzes verstanden hat. Hieraus kann jedoch nicht gegen einen postmortalen Datenschutz argumentiert werden. Das Bundesverfassungsgericht hatte bislang noch nicht über die Reichweite des postmortalen Datenschutzes, insbesondere in Bezug auf die beschriebenen Rückwirkungen auf die betroffene Person zu Lebzeiten, zu entscheiden.[65] Auch hat das Bundesverfassungsgericht die staatliche Pflicht betont, Gefahren entgegenzuwirken, die sich für das allgemeine Persönlichkeitsrecht durch neue technische Möglichkeiten der Datenverarbeitung ergeben.[66] Die heute bestehenden – vor einigen Jahren noch undenkbar erscheinenden – Möglichkeiten der Datenverarbeitung durch sog. „Big Data“- Anwendungen[67] und die sich hieraus ergebenden Gefahren[68] durch „Data Mining“ oder „Profiling“ zeigen jedoch, dass beim postmortalen Datenschutz nicht an einem engen postmortalen Persönlichkeitsschutz festgehalten werden kann.[69] Wie weit die mit „Big Data“ einhergehenden Veränderungen in den Alltag hineinreichen, sei hier an nur zwei Beispielen verdeutlicht:
– Während es in früheren Zeiten das Geheimnis einer Person blieb, an welchen Orten sie sich aufhält und wie sie dorthin gekommen ist, werden heute zunehmend z.B. durch Fahrzeuge[70] oder durch Mobile-Apps[71] lückenlose Bewegungsprofile erfasst und gespeichert.
– Alltagsgegenstände zeichnen zunehmend ständig personenbezogene Daten auf. So erfassen z.B. Uhren oder Armbänder (sog. „Wearables“) z. T. hochsensible (Gesundheits-)Daten wie Herzfrequenz, Schlafzeit und die verbrauchten Kalorien des Trägers.[72]
Durch den technischen Wandel kommt es zunehmend zu einer lückenlosen personenbezogenen Erfassung alltäglicher Vorgänge. Können diese Daten nach dem Tode des Betroffenen frei genutzt und verbreitet werden, führt dies zu Gefahren für die informationelle Selbstbestimmung. Daher ist es verfassungsrechtlich geboten, allgemeine Regelungen zum Schutz personenbezogener Daten über den Tod des Betroffenen hinaus zu erlassen.
Mit Blick auf mögliche Überschneidungen von Daten lebender und verstorbener Personen und die Anforderungen des Art. 1 Abs. 3 DS-GVO[73] spricht viel für die Anordnung der entsprechenden Anwendung der DS-GVO und des BDSG n.F., insbesondere der Anwendung der Grundsätze zur Datenverarbeitung entsprechend den Art. 5 ff. DS-GVO, auf Daten Verstorbener.[74] Bei einer grundsätzlichen Gleichbehandlung von Daten lebender und verstorbener Personen würde auch die Praxis nicht durch unterschiedliche Anforderung zusätzlich belastet. Zugleich lassen die offenen Abwägungstatbestände der Art. 5 ff. DS-GVO aber auch Raum zur Berücksichtigung von Besonderheiten beim postmortalen Datenschutz.[75] Des Weiteren sind insbesondere Regelungen zu Betroffenenrechten entsprechend den Art. 12 ff. DSGVO (individueller Datenschutz)[76], geltend zu machen durch einen Bevollmächtigten[77] oder durch die Angehörigen des Verstorbenen[78], sowie Regelungen zur Kontrolle der Einhaltung des postmortalen Datenschutzes (institutioneller Datenschutz)[79] durch Datenschutzbeauftragte entsprechend den Art. 37 ff. DS-GVO und durch Aufsichtsbehörden entsprechend den Art. 51 ff. DS-GVO vorzusehen. Schließlich sind Sanktionsmöglichkeiten bei Verstößen (entsprechend Art. 77 ff. DS-GVO) zu erlassen. Dem kann auch nicht das formale Argument entgegengehalten werden, die Regelungen der DS-GVO bzw. des BDSG n.F. passten nicht auf die Behandlung von Daten Verstorbener. So ordnet § 2a Abs. 5 Nr. 1 AO vielmehr die entsprechende Anwendung der DSGVO auf Daten Verstorbener, ausdrücklich an. Gleiches gilt nach den § 35 Abs. 5 SGB I i. V. m. §§ 67 ff. SGB X n.F. für den Sozialdatenschutz. Der Gesetzgeber geht hier offenkundig davon aus, dass die Regelungen für personenbezogene Daten lebender Personen auch für personenbezogene Daten Verstorbener geeignet sind und kein Bedarf für eine unterschiedliche Behandlung besteht.
Ein postmortaler Datenschutz im hier vertretenen Sinne sieht sich auch nicht dem Verdacht des Paternalismus gegenüber dem Betroffenen ausgesetzt. Das Recht auf informationelle Selbstbestimmung bezweckt gerade nicht nur den Individualschutz des Betroffen, sondern ist elementare Funktionsbedingung eines auf Handlungsfähigkeit und Mitwirkungsfähigkeit seiner Bürger begründeten freiheitlichen demokratischen Gemeinwesens.[80] Es besteht daher auch im öffentlichen Interesse.[81] Zudem mag man zwar im Hinblick auf den erkennbar restriktiven Ansatz der DS-GVO[82] mit guten Gründen fragen, ob Datenschutzregelungen im Detail immer sachgerecht sind.[83] Indessen ist die Frage, wie ein angemessenes Schutzniveau aussehen soll, von der Frage zu trennen, ob es überhaupt einen Schutz von Daten Verstorbener geben sollte.
V. Fazit
Der gesellschaftliche und technische Wandel, insbesondere durch „Big Data“ sowie die beschriebenen Rückwirkungen eines postmortalen Datenschutzes auf die Handlungsfreiheit lebender Personen gebietet es verfassungsrechtlich, allgemeine Regelungen zum Schutz personenbezogener Daten über den Tod des Betroffenen hinaus zu erlassen. Selbst wenn man ein solches Gebot aus Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG ablehnt, bleibt ein postmortaler Datenschutz rechtspolitisch geboten. Das Grundgesetz verbietet einen Ausbau des postmortalen Persönlichkeitsschutzes jedenfalls nicht.[84] Der Deutsche Gesetzgeber sollte die Möglichkeit zur Regelung eines postmortalen Datenschutzes nach der DS-GVO nutzen.
Dr. iur. Tobias Arens Dr. iur. Tobias Arens, Diplom-Wirtschaftsjurist, hat im Jahr 2013 an der Universität Siegen promoviert und arbeitet zur Zeit als Jurist in einem Unternehmen der Freizeitbranche in Berlin.
* Der Autor arbeitet als Unternehmensjurist in Berlin. Der Beitrag gibt ausschließlich seine persönliche Auffassung wieder. Der Autor dankt Herrn Dr. Daniel Cracau (Berlin) für seine hilfreichen Hinweise bei der Erstellung des Ma-nuskripts.
[1] Vgl. etwa Hoeren, NJW 2005, 2113 ff.; Martini, JZ 2012, 1145 ff.; Brinkert/Stolze/Heidrich, ZD 2013, 153 ff.; Brisch/Müller-ter Jung, CR 2013, 446 ff.; Herzog, NJW 2013, 3745 ff.; Haase, in: Traeger, DSRI-Tagungsband 2013, S. 379 ff.; Deusch, ZEV 2014, 2 ff.; Solmecke/Köbrich/Schmitt, MMR 2015, 291 ff.; Steiner/Holzer, ZEV 2015, 262 ff.; Klas/Möhrke-Sobolewski, NJW 2015, 3473 ff.; Alexander, K&R 2016, 301 ff.; Raude, ZEV 2017, 433 ff.; Kutscher, Der digitale Nachlass, 2015, passim; Seidler, Digitaler Nachlass – Das postmortale Schicksal elektronischer Kommunikation, 2016, passim.
[2] KG v. 31.05.2017, Az. 21 U 9/16, ZD 2017, 386 ff.; ferner die Vorinstanz LG Berlin v. 17.12.2015, Az. 20 O 172/15, ZD 2016, 182 ff.
[3] Martini, JZ 2012, 1145, 1148 ff.; Heinemann/Heinemann, DuD 2013, 242 ff.; Culmsee, in: Traeger, DSRI-Tagungsband 2013, S. 413 ff.; Spilker, DÖV 2015, 54 ff.
[4] Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung); ABl. Nr. L 119 S. 1, ber. Nr. L 314 S. 72.
[5] Gesetz zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Datenschutz-Anpassungs- und -Umsetzungsgesetz EU – DSAnpUG-EU), BGBl. Teil I 2017 Nr. 44, S. 2097; hierzu auch Kühling, NJW 2017, 1985 ff.
[6] Vgl. hierzu Kühling/Martini, EuZW 2016, 448, 449 f
[7] Vgl. Culmsee, in: Traeger, DSRI-Tagungsband 2013, S. 413, 424; Spilker, DÖV 2015, 54, 57.
[8] Vgl. Martini, JZ 2012, 1145, 1149; eingehend zum Verhältnis zum Datenschutz vgl. Schnabel, ZUM 2008, 657 ff.
[9] Vgl. Culmsee, in: Traeger, DSRI-Tagungsband 2013, S. 413, 418 ff; Spilker, DÖV 2015, 54, 57.
[10] Zur Einordnung der Vorschrift vgl. BT-Drs. 17/10488, S. 26.
[11] ulmsee, in: Traeger, DSRI-Tagungsband 2013, S. 413, 422 ff.
[12] Culmsee, in: Traeger, DSRI-Tagungsband 2013, S. 413, 424 f.
[13] LG Berlin v. 17.12.2015, Az. 20 O 172/15, ZD 2016, 182, 186; Eßer, in: Eßer/Kramer/von Lewinski, BDSG, 4. Aufl. (2014), § 3 Rn. 21; Gola/Klug/Körffer, in: Gola/Schomerus, BDSG, 12. Aufl. (2015), § 3 Rn. 12; Dammann, in: Simitis, BDSG, 8. Aufl. (2014), § 3 Rn. 17; wohl auch KG v. 31.5.2017, Az. 21 U 9/16, ZD 2017, 386, 390; zu § 5 IFG vgl. auch BVerwG v. 29.6.2017, Az. 7 C 24.15, BeckRS 2017, 124898 Tz 49.
[14] Grdl. BVerfG v. 15.12.1983, Az. 1 BvR 209/83 u.a., BVerfGE 65, 1, 41 ff. – “Volkszählung”; vgl. ferner BVerfG v. 17.2.2009, Az. 2 BvR 1372, 1745/07, NJW 2009, 1405, 1406; Gola/Klug/Körffer, in: Gola/Schomerus, BDSG, 12. Aufl. (2015), § 1 Rn. 9 ff.; Simitis, in: Simitis, BDSG, 8. Aufl. (2014), § 1 Rn. 25 ff.
[15] Grdl. BVerfG v. 24.02.1971, Az. 1 BvR 435/68, BVerfGE 30, 173, 194 – “Mephisto”; vgl. ferner BVerfG, 22.08.2006, Az. 1 BvR 1168/04, NJW 2006, 3409 – “Marlene Dietrich”; BVerfG v. 19.12.2007, Az. 1 BvR 1533/07, ZUM 2008, 323, 324.
[16] Vgl. etwa Gola/Klug/Körffer, in: Gola/Schomerus, BDSG, 12. Aufl. (2015), § 3 Rn. 12; Dammann, in: Simitis, BDSG, 8. Aufl. (2014), § 3 Rn. 17.
[17] Dammann, in: Simitis, BDSG, 8. Aufl. (2014), § 3 Rn. 17; vgl. auch Eßer, in: Eßer/Kramer/von Lewinski, BDSG, 4. Aufl. (2014), § 3 Rn. 21.
[18] Martini, JZ 2012, 1145, 1148 f.; Culmsee, in: Traeger, DSRI-Tagungsband 2013, S. 413, 416 f.
[19] Martini, JZ 2012, 1145, 1148; Heinemann/Heinemann, DuD 2013, 242 ff.; Culmsee, in: Traeger, DSRI-Tagungsband 2013, S. 413, 416 f.
[20] Culmsee, in: Traeger, DSRI-Tagungsband 2013, S. 413, 414; Heinemann/Heinemann, DuD 2013, 242.
[21] BVerfG v. 24.02.1971, Az. 1 BvR 435/68, BVerfGE 30, 173, 194 – “Mephisto”; BVerfG v. 05.04.2001, Az. 1 BvR 932/04, NJW 2001, 2957, 2959 – “Wilhelm Kaisen”; BVerfG v. 22.08.2006, Az. 1 BvR 1637/05 (Tz. 22 nach juris); BVerfG v. 19.12.2007, Az. 1 BvR 1533/07, ZUM 2008, 323, 324.
[22] Martini, JZ 2012, 1145, 1150; Culmsee, in: Traeger, DSRI-Tagungsband 2013, S. 413, 414; Spilker, DÖV 2015, 54, 58; im Ergebnis auch BVerfG v. 22.08.2006, Az. 1 BvR 1637/05 (Tz. 18 ff. nach juris).
[23] Martini, JZ 2012, 1145, 1150 f.; Culmsee, in: Traeger, DSRI-Tagungsband 2013, S. 413, 414 f.; ähnlich Spilker, DÖV 2015, 54, 55 ff.
[24] So etwa LG Saarbrücken v. 14.2.2014, Az. 13 S 4/14, NJW 2014, 1395 ff. Ähnlich – Anwendung des BDSG aus Billigkeitsgründen – auch LG Berlin v. 17.12.2015, Az. 20 O 172/15, ZD 2016, 182, 186.
[25] Gola, in: Gola, DS-GVO, 2017, Art. 4 Rn. 25
[26] Zur Bedeutung der Erwägungsgründe vgl. Köndgen, in: Riesenhuber, Europäische Methodenlehre, 3. Aufl. (2015), § 6 Rn. 49 ff.
[27] Allg. M.; vgl. Klabunde, in: Ehlmannl/Selmayr, DS-GVO, 2017, Art. 4 Rn. 10; Klar/Kühling, in: Kühling/Buchner, DS-GVO, 2. Aufl. (2018), Art. 4 Rn. 5; Ernst, in: Paal/Pauly, DS-GVO, 2. Aufl. (2018), Art. 4 Rn. 4.
[28] Kühling/Martini et al., Die Datenschutzgrundverordnung und das nationale Recht, 2016, S. 21; Klabunde, in: Ehlmannl/Selmayr, DS-GVO 2017, Art. 4 Rn. 10; Klar/Kühling, in: Kühling/Buchner, DS-GVO, 2. Aufl. (2018), Art. 4 Rn. 5.
[29] Zur Vollharmonisierung vgl. Erwägungsgründe 9 und 10; ferner Selmayr/Ehlmannl, in: Ehlmannl/Selmayr, DS-GVO, 2017, Einführung Rn. 75 ff.
[30] Eingehend zu den Öffnungsklauseln Selmayr/Ehmann, in: Ehmann/ Selmayr, DS-GVO, 2017, Einführung Rn. 82 ff.; Laue, ZD 2016, 463 ff.
[31] Zum Beispiel des Art. 9 Abs. 4 DS-GVO vgl. Erwägungsgrund 53; ferner Zerdrick, in: Ehmann/Selmayr, DS-GVO, 2017, Art. 1 Rn. 11.
[32] Insofern missverständlich Klar/Kühling, in: Kühling/Buchner, DSGVO, 2. Aufl. (2018), Art. 4 Rn. 6.
[33] So auch Kühling/Martini et al., Die Datenschutzgrundverordnung und das nationale Recht, 2016, S. 21
[34] Vgl. BT-Drs. 18/12611, S. 76.
[35] Eingeführt durch Gesetz zur Änderung des Bundesversorgungsgesetzes und anderer Vorschriften, BGBl. Teil I 2017 Nr. 49, S. 2541
[36] Zur Anpassung der §§ 67 ff. SGB X vgl. Gesetz zur Änderung des Bundesversorgungsgesetzes und anderer Vorschriften, BGBl. Teil I 2017 Nr. 49, S. 2541.
[37] Siehe oben unter II.
[38] Zur Erfordernis einer planwidrigen Regelungslücke vgl. statt aller Larenz, Methodenlehre der Rechtswissenschaften, 6. Aufl. 1991, S. 370 ff
[39] Vgl. Kühling/Martini et al., Die Datenschutzgrundverordnung und das nationale Recht, 2016.
[40] Siehe oben, unter II.
[41] Kühling/Martini et al., Die Datenschutzgrundverordnung und das nationale Recht, 2016, S. 21 ff., S. 457 ff
[42] Vgl. hierzu Larenz, Methodenlehre der Rechtswissenschaften, 6. Aufl. 1991, S. 370.
[43] So Gola, in: Gola, DS-GVO, 2017, Art. 4 Rn. 26.
[44] Ausnahmen sehen wiederum etwa der Sozialdatenschutz (§ 35 Abs. 5 SGB I i. V. m. §§ 67 ff. SGB X) und das postmortale Steuergeheimnis (vgl. die Verweise in § 2a Abs. 5 Nr. 1 AO) vor.
[45] Vgl. auch Erwägungsgrund 1 DS-GVO.
[46] Klement, JZ 2017, 161, 169; wohl auch Kingreen, in: Callies/Ruffert, EUV/AEUV, 5. Auf. (2016), Art. 8 EU-GRCharta Rn. 9; Streinz/Michl, EuZW 2011, 384, 385
[47] Vgl. etwa Stentzel, PinG 2015, 185, 188, 189 f., der das dogmatische Konstrukt des Rechts auf informationelle Selbstbestimmung ablehnt und ein “Recht auf Privatleben” als Schutzgut ausmacht.
[48] Vgl. Callies, in: Callies/Ruffert, EUV/AEUV, 5. Aufl. (2016), Art. 1 EUGRCharta Rn. 18
[49] So auch Gola, in: Gola, DS-GVO, 2017, Art. 4 Rn. 28.
[50] Grdl. BVerfG v. 24.2.1971, Az. 1 BvR 435/68, BVerfGE 30, 173, 194 – “Mephisto”; vgl. ferner BVerfG, 22.8.2006, Az. 1 BvR 1168/04, NJW 2006, 3409 – “Marlene Dietrich”; BVerfG v. 19.12.2007, Az. 1 BvR 1533/07, ZUM 2008, 323, 324
[51] BVerfG v. 24.02.1971, Az. 1 BvR 435/68, BVerfGE 30, 173, 194 – “Mephisto”.
[52] BVerfG v. 24.02.1971, Az. 1 BvR 435/68, BVerfGE 30, 173, 194 – “Mephisto”; BVerfG v. 22.08.2006, Az. 1 BvR 1637/05 (Tz. 22 nach juris); BVerfG v. 19.12.2007, Az. 1 BvR 1533/07, ZUM 2008, 323, 324.
[53] Zutreffend Martini, JZ 2012, 1145, 1150.
[54] Kühling/Martini et al., Die Datenschutzgrundverordnung und das nationale Recht, 2016, S. 458; Martini, JZ 2012, 1145, 1149; Solmecke/ Köbrich/Schmitt, MMR 2015, 291, 293.
[55] BVerfG v. 16.07.1969, Az. 1 BvL 19/63, BVerfGE 27, 1, 6 – “Mikrozensus”; zum Schutz der Privatsphäre aus Art. 1 GG vgl. allgemein BVerfG v. 16.01.1957, Az. 1 BvR 253/56, BVerfGE 6, 32, 41 – “Elfes”; Herdegen, in: Maunz/Dürig, GG, Lfg. 55 Stand Mai 2009, Art. 1 Rz. 90 f.
[56] Im Ergebnis auch BVerfG v. 22.08.2006, Az. 1 BvR 1637/05 (Tz. 18 ff. nach juris); vgl. ferner erneut Martini, JZ 2012, 1145, 1150; Culmsee, in: Traeger, DSRI-Tagungsband 2013, S. 413, 414; Spilker, DÖV 2015, 54, 58.
[57] Grdl. BVerfG v. 15.12.1983, Az. 1 BvR 209/83 u.a., BVerfGE 65, 1, 43 – “Volkszählung”.
[58] BVerfG v. 15.12.1983, Az. 1 BvR 209/83 u.a., BVerfGE 65, 1, 43 – “Volkszählung”; BVerfG v. 12.4.2005, Az. 2 BvR 1027/02, BVerfGE 113, 29, 46 – “Anwaltsdaten”.
[59] Spilker, DÖV 2015, 54, 55.
[60] Kühling/Martini et al., Die Datenschutzgrundverordnung und das nationale Recht, 2016, S. 23; Spilker, DÖV 2015, 54, 55 ff.
[61] Martini, JZ 2012, 1145, 1150 f.; Culmsee, in: Traeger, DSRI-Tagungsband 2013, S. 413, 414 f.; Spilker, DÖV 2015, 54, 58.
[62] BVerfG v. 13.06.2007, Az. 1 BvR 1550/03, 2357/04, 603/05, BVerfGE 118, 168, 184 f. – “Kontostammdaten”; ferner Martini, JZ 2012, 1145, 1151; Culmsee, in: Traeger, DSRI-Tagungsband 2013, S. 413, 414.
[63] Zutreffend Kühling/Martini et al., Die Datenschutzgrundverordnung und das nationale Recht, 2016, S. 23.
[64] Vgl. BVerfG v. 15.12.1983, Az. 1 BvR 209/83 u.a., BVerfGE 65, 1, 44, 59 ff. – “Volkszählung”.
[65] So auch Spilker, DÖV 2015, 54, 56. In der Entscheidung des BVerfG v. 22.08.2006, Az. 1 BvR 1637/05 (Tz. 18 ff. nach juris), ging das Bundesverfassungsgericht wohl implizit von einem postmortalen Datenschutz aus, konnte einen Eingriff in diesen aber ohne nähere Ausführungen zu dessen Reichweite ablehnen.
[66] Vgl. BVerfG v. 15.12.1983, Az. 1 BvR 209/83 u.a., BVerfGE 65, 1, 44 – “Volkszählung”.
[67] Zum Phänomen “Big Data” vgl. etwa Rubinstein, International Data Privacy Law, 2013, 74, 76 f.; Roßnagel, ZD 2013, 562 ff.; Peschel/ Rockstroh, MMR 2014, 571 ff.
[68] Vgl. etwa Weichert, ZD 2013, 251 ff.; Wandtke, MMR 2017, 6 f.
[69] Vgl. auch Kühling/Martini et al., Die Datenschutzgrundverordnung und das nationale Recht, 2016, S. 460; Martini, JZ 2012, 1145, 1151; Heinemann/Heinemann, DuD 2013, 242, 243.
[70] Vgl. LG Köln v. 23.05.2016, Az. 113 KLs 34/15, ZD 2017, 192; zur Datenspeicherung bei Carsharing-Anbietern vgl. Bocklaff/Kadler, ZD 2017, 166 ff.
[71] Vgl. hierzu etwa Brandenburg/Kociok, in: Traeger, DSRI-Tagungsband 2015, S. 331, 334 f. Zur Datenspeicherung durch das Augmented Reality-Spiel Pokémon Go vgl. etwa Johannes, ZD-Aktuell 2016, 05321.
[72] Vgl. hierzu etwa Völkel, in: Traeger, DSRI-Tagungsband 2015, S. 35 ff.; Dregelies, VuR 2017, 256 f
[73] Vgl. oben unter III. 2.
[74] Im Ergebnis auch Kühling/Martini et al., Die Datenschutzgrundverordnung und das nationale Recht, 2016, S. 21 ff., S. 457 ff.; zum BDSG vgl. bereits Heinemann/Heinemann, DuD 2013, 242, 245; Culmsee, in: Traeger, DSRI-Tagungsband 2013, S. 413, 425.
[75] Vgl. Culmsee, in: Traeger, DSRI-Tagungsband 2013, S. 413, 425
[76] Vgl. bereits Heinemann/Heinemann, DuD 2013, 242, 243 f.
[77] Vgl. hierzu etwa Gloser, DNotZ 2015, 4, 9 ff.
[78] So auch der Vorschlag bei Kühling/Martini et al., Die Datenschutzgrundverordnung und das nationale Recht, 2016, S. 460.
[79] Vgl. bereits Heinemann/Heinemann, DuD 2013, 242, 244; Culmsee, in: Traeger, DSRI-Tagungsband 2013, S. 413, 426.
[80] BVerfG v. 15.12.1983, Az. 1 BvR 209/83 u.a., BVerfGE 65, 1, 43 – “Volkszählung”; BVerfG v. 12.4.2005, Az. 2 BvR 1027/02, BVerfGE 113, 29, 46 – “Anwaltsdaten”; Simitis, NJW 1984, 398, 399 f.; kritisch Bull, Informationelle Selbstbestimmung – Vision oder Illusion?, 2. Aufl. 2011, S. 60 ff.
[81] Klement, JZ 2017, 161, 169 f.
[82] Vgl. nur Erwägungsgrund 6.
[83] Kritisch schon während des Gesetzgebungsverfahrens etwa Schneider/ Härting, ZD 2012, 199 ff.; Roßnagel/Kroschwald, ZD 2014, 495 ff.
[84] Vgl. BVerfG, 22.8.2006, Az. 1 BvR 1168/04, NJW 2006, 3409, 3410 – “Marlene Dietrich”.