Verbot mit Erlaubnisvorbehalt (Datenschutz)

Das Verbot mit Erlaubnisvorbehalt (oder auch Verbotsprinzip mit Erlaubnisvorbehalt) ist eine Rechtsregel des deutschen und europäischen Datenschutzrechts. Sie betrifft die Frage der Rechtmäßigkeit von Datenerhebungen, Datenverarbeitungen und Datennutzungen.

Inhalt der Rechtsregel

Das Verbot mit Erlaubnisvorbehalt beinhaltet zwei Regelungen.

Frage der Rechtmäßigkeit

Zunächst regelt es die Frage, wann eine Datenerhebung, Datennutzung und Datenverarbeitung (Speichern, Verändern, Übermitteln, Sperren und Löschen personenbezogener Daten) rechtmäßig ist^[1]. Hierbei geht die Rechtsregel davon aus, dass grundsätzlich alle datenrelevanten Maßnahmen rechtswidrig sind, es sei denn, ein gesetzlich normierter Erlaubnisgrund rechtfertigt sie^[2]. Es kann von einer indizierten Rechtswidrigkeit gesprochen werden.

Dieser Grundsatz gilt nicht nur im Verhältnis staatlicher Stellen zu nicht staatlichen Stellen, sondern auch im Verhältnis zwischen zwei staatlichen Stellen^[3]. In diesem Zusammenhang spricht man von einer informationellen Gewaltenteilung oder auch dem Abschottungsgebot^[4].

Beweislastumkehr

Zudem kann hieraus eine Beweislastumkehr gefolgert werden. Denn mit dem Verbot mit Erlaubnisvorbehalt wird nach h.M. ein Regel-Ausnahme-Prinzip definiert, wonach grundsätzlich jedwedes Erheben, Verarbeiten und/oder Nutzen von personenbezogenen Daten verboten ist (Regel), es sei denn ein Gesetz oder die Einwilligung des Betroffenen rechtfertigen (Ausnahme) dies^[5]. Berücksichtigt man nun den zivilpozessualen Grundsatz, wonach sich die Beweislast stets dort umkehrt, wo eine Ausnahme vom gesetzlichen Regelfall geltend gemacht wird^[6], ist leicht ersichtlich, dass wenn die verantwortliche Stelle in einem Zivilprozess geltend machen will, dass eine Ausnahme (nämlich die Zulässigkeit der Erhebung, Verarbeitung und/oder Nutzung) eingreift, sie auch die Voraussetzungen für das Vorliegen dieser Ausnahme darlegen und beweisen muss. Hieraus folgt die Beweislastumkehr.

Eine hieraus folgende Beweislastumkehr haben Rechtsprechung und juristisches Schrifttum beispielsweise bei der Frage angenommen, wer das überwiegende Offenbarungsinteresse i.S.v. § 28 Absatz 1 Nr. 1 BDSG darlegen und beweisen muss^[7].

Eigenständige Bedeutung

Der Begriff Verbot mit Erlaubnisvorbehalt wird auch im übrigen Verwaltungsrecht verwendet, u. a. im Zusammenhang mit der sog. Kontrollerlaubnis. Dennoch kommt diesem Prinzip im Datenschutz eine eigenständige Bedeutung zu.

Zunächst regelt die Kontrollerlaubnis, dass ein bestimmter Sachverhalt (z. B. Bauvorhaben) grundsätzlich verboten ist, es sei denn, die Verwaltung erlaubt es (z. B. Baugenehmigung). Ziel ist hierbei, dass die Verwaltung die Kontrolle über bestimmte Sachverhalte behält. Beim Verbot mit Erlaubnisvorbehalt im Datenschutzrecht ergibt sich die Rechtmäßigkeit eines an sich „verbotenen“ Sachverhaltes (z. B. Datenverarbeitung) aber nicht aus einem Behördenhandeln, sondern bereits kraft Gesetzes, nämlich durch Eingreifen eines Erlaubnisgrundes. Hier ist also nicht bezweckt, dass die Verwaltung die Kontrolle über bestimmte Sachverhalte (z. B. Datenverarbeitung) behält, sondern dass ein Verhalten, egal ob es von der Verwaltung oder von einem Bürger kommt, nur dann gerechtfertigt ist, wenn der Gesetzgeber es erlaubt. Der wesentliche Unterschied zwischen der Kontrollerlaubnis im Verwaltungsrecht und dem Verbot mit Erlaubnisvorbehalt im Datenschutzrecht besteht also darin, dass es bei der Kontrollerlaubnis um die Kontrolle durch die Verwaltung und beim Verbot mit Erlaubnisvorbehalt um die Kontrolle durch den Gesetzgeber geht.

Eine eigenständige Bedeutung des Verbots mit Erlaubnisvorbehalt im Datenschutzrecht ergibt sich zudem daraus, dass das Bundesdatenschutzgesetz und die Richtlinie 95/46/EG (Datenschutzrichtlinie) nicht nur Fragen des öffentlich-rechtlichen Verwaltungsrechtes, also die Beziehung Bürger - Staat, betreffen, sondern gemäß § 27 BDSG auch das Privatrecht, also die Beziehung von Bürgern untereinander, tangieren^[8]. In privatrechtlicher Hinsicht bedeutet das datenschutzrechtliche Verbotsprinzip mit Erlaubnisvorbehalt aber eine partielle Abkehr vom dort geltenden Grundsatz der Privatautonomie. Während also im gesamten Privatrecht der Grundsatz gilt, dass jeder Bürger tun darf, was nicht verboten ist, gilt im privatrechtlichen Datenschutzrecht die Besonderheit, dass jeder Bürger nur tun darf, was erlaubt ist.

Europarechtlicher Hintergrund

Das Verbot mit Erlaubnisvorbehalt geht ursprünglich auf das deutsche Datenschutzrecht zurück. Seit 1995 ist es durch Artikel 7 der Richtlinie 95/46/EG (Datenschutzrichtlinie) für den gesamten Rechtsraum der Europäischen Union kodifiziert worden^[9]. Artikel 7 lautet:

Die Mitgliedstaaten sehen vor, daß die Verarbeitung personenbezogener Daten lediglich erfolgen darf, wenn eine der folgenden Voraussetzungen erfüllt ist:

a) Die betroffene Person hat ohne jeden Zweifel ihre Einwilligung gegeben;

b) die Verarbeitung ist erforderlich für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder für die Durchführung vorvertraglicher Maßnahmen, die auf Antrag der betroffenen Person erfolgen;

c) die Verarbeitung ist für die Erfüllung einer rechtlichen Verpflichtung erforderlich, der der für die Verarbeitung Verantwortliche unterliegt;

d) die Verarbeitung ist erforderlich für die Wahrung lebenswichtiger Interessen der betroffenen Person;

e) die Verarbeitung ist erforderlich für die Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt und dem für die Verarbeitung Verantwortlichen oder dem Dritten, dem die Daten übermittelt werden, übertragen wurde;

f) die Verarbeitung ist erforderlich zur Verwirklichung des berechtigten Interesses, das von dem für die Verarbeitung Verantwortlichen oder von dem bzw. den Dritten wahrgenommen wird, denen die Daten übermittelt werden, sofern nicht das Interesse oder die Grundrechte und Grundfreiheiten der betroffenen Person, die gemäß Artikel 1 Absatz 1 geschützt sind, überwiesen.

Die indizierte Rechtswidrigkeit ergibt sich insbesondere aus der Formulierung des Artikel 7; und hier aus dem Wort „lediglich“.

Rechtslage in Deutschland

Das Verbot mit Erlaubnisvorbehalt ist in § 4 Absatz 1 BDSG niedergelegt^[10], der lautet:

Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten sind nur zulässig, soweit dieses Gesetz oder eine andere Rechtsvorschrift dies erlaubt oder anordnet oder der Betroffene eingewilligt hat.

Die indizierte Rechtswidrigkeit ergibt sich aus der Formulierung des § 4 Absatz 1 BDSG, und hier aus dem Wort „nur“.

Rechtslage in Österreich

Auch in Österreich gilt das datenschutzrechtliche Verbot mit Erlaubnisvorbehalt. Es folgt aus der Formulierung der §§ 7 I, 8, 9 DSG^[11].

Literatur

• Stephan Gärtner: Harte Negativmerkmale auf dem Prüfstand des Datenschutzrechts. Ein Rechtsvergleich zwischen deutschem, englischem und österreichischem Recht. Verlag Dr. Kovac, Hamburg 2011, ISBN 978-3-8300-5418-4.Link zum Buch

Einzelnachweise

1. ↑ Einführung in das Datenschutzrecht (Datenschutz und Informationsfreiheit in europäischer Sicht) von Marie-Theres Tinnefeld, Eugen Ehmann, Rainer W. Gerling, 4. völlig neu bearbeitete und erweiterte Auflage, 2005, R. Oldenbourg Verlag, München/Wien, S. 315.
2. ↑ BDSG Bundesdatenschutzgesetz, Kommentar von Peter Gola und Rudolf Schomerus unter Mitarbeit von Christoph Klug, 9. überarbeitete und ergänzte Auflage, Verlag C.H. Beck, München 2007, § 4, Rn. 3
3. ↑ BVerfGE 65, 1, sog. Volkszählungsurteil
4. ↑ BVerfG NJW 1988, 959-961 (red. Leitsatz und Gründe)
5. ↑ vgl. Spindler/Nink in Spindler/Schuster, Recht der elektronischen Medien, 1. Auflage.2008, § 4 BDSG, Rn. 4)
6. ↑ BGHZ 87, 393, 399 f. = NJW 1983, 2499; BGH DB 1990, 1081, 1082; vgl. auch Foerste in Musielak, ZPO, 7. Auflage. 2009, § 286, Rn. 36)
7. ↑ Rechtsprechungsnachweise: BGH NJW 1984, NJW Jahr 1984 S. 436; OLG Frankfurt/M. NJW-RR 2008, NJW-RR Jahr 2008 S. 1228; Schrifttumsnachweise: Schimansky/Bunte/Lwowski, Bankrechts-Handbuch, 3. Auflage.2007, § 41, Rn. 15
8. ↑ Zur Frage der Anwendbarkeit des BDSG auf nicht-öffentliche Stellen: vgl. BDSG Bundesdatenschutzgesetz, Kommentar von Peter Gola und Rudolf Schomerus unter Mitarbeit von Christoph Klug, 9. überarbeitete und ergänzte Auflage, Verlag C.H. Beck München 2007, § 27, Rn. 1 ff.
9. ↑ EG-Datenschutzrichtlinie: Kurzkommentar / von Eugen Ehmann, Marcus Helfrich. - Köln: O. Schmidt, 1999, Artikel 7, Rn. 6
10. ↑ BDSG Bundesdatenschutzgesetz, Kommentar von Peter Gola und Rudolf Schomerus unter Mitarbeit von Christoph Klug, 9. überarbeitete und ergänzte Auflage, Verlag C.H. Beck München 2007, § 4, Rn. 3
11. ↑ Stephan Gärtner: Harte Negativmerkmale auf dem Prüfstand des Datenschutzrechts. Ein Rechtsvergleich zwischen deutschem, englischem und österreichischem Recht, Verlag Dr. Kovac, Hamburg, 2011, S. 330

Bitte den Hinweis zu Rechtsthemen beachten!