Da ging was schief.

Fehler 404.

31.05.2022
Behördenkommunikation
PDF Download

Wie Datenschützer tweeten, tröten, warnen

Die Datenschutzbehörden nutzen viele Plattformen für Warnungen – manchmal schränkt das zu Unrecht Grundrechte von Unternehmen und Nutzerschaft ein. 

Als der Spitzenverband der gesetzlichen Krankenkassen GKV die Umsetzung einer allgemeinen Impfpflicht wegen akuten Papiermangels in Frage stellte, war ihm bundesweite Aufmerksamkeit sicher: Während Impfgegner frohlockten, lernte die Mehrheit in Deutschland, wie sehr es an Digitalisierung in der Verwaltung fehlt. Deutschland und seine liebgewonnene Bürokratie, auch bekannt als Schriftformerfordernis.

Deutsche Amtsträger wissen, wie man das Internet für seine Zwecke nutzt: So verwenden sogar jene Behörden, deren angestammte Aufgabe es ist, die Öffentlichkeit für die Risiken im Zusammenhang mit (elektronischer) Datenverarbeitung zu sensibilisieren (Art. 57 Abs. 1 Buchst. b DSGVO), ebensolche soziale Medien wie Twitter  – oder nunmehr primär den dezentralen Microblogging-Dienst Mastodon. Auf dieser Twitter-Alternative wird nicht „gezwitschert“, sondern „getrötet“. Die Infrastruktur dieser Plattformen ermöglicht es jedermann, in Echtzeit potenziell jeden Nutzer an der eigenen Gemütslage oder dienstlichen Vorkommnissen teilhaben zu lassen.

Mehr Reichweite als Vorstellungskraft

Die Reichweite von Äußerungen durch Behörden über solche Plattformen übersteigt dabei nicht nur die Grenzen von Bundesländern, sondern zuweilen auch die der eigenen Vorstellungskraft des twitternden oder eben „trötenden“ Beamten. Darin liegt ein erhebliches verfassungsrechtliches Risiko: Eine Abwägung unterschiedlicher Grundrechtspositionen, zu der Art. 1 Abs. 3 GG jeden Träger hoheitlicher Gewalt verpflichtet, findet kaum statt – sie wäre im Wettbewerb um Aufmerksamkeit auch eher hinderlich. Aufgrund der begrenzten Zeichenanzahl bei der Nutzung dieser Dienste und der hiermit verbundenen fehlenden Möglichkeit der Differenzierung können kritische Aussagen über ein Produkt oder einen Service hierüber leicht warnende Wirkung entfalten.

Um der akuten Lebensgefahr von Verbrauchern durch Glassplitter in Lebensmitteln oder defekte Bremsen zu begegnen, hat der Gesetzgeber die Hersteller verpflichtet, selbst öffentlich aktiv zu werden und Warnungen auszusprechen oder Produkte zurückzurufen (§ 6 Abs. 2 ProdSG). Sollte eine Behörde dagegen selbst warnend tätig werden wollen, sind Kurznachrichtendienste problematische Medien: Die dort übliche schnelle Taktung müsste auf den Ruhepuls rechtsstaatlicher Achtsamkeit heruntergefahren werden.

Das gebieten für den Bereich staatlicher Warnungen schon die durch das Bundesverfassungsgericht entwickelten Anforderungen aus der „Glykol“-Rechtsprechung. Danach muss sich die Verbreitung staatlicher Informationen an den Zuständigkeitsvorgaben und der Aufgabenbeschreibung der öffentlichen Stelle ausrichten. Zudem muss die staatliche Information eine verhältnismäßige Reaktion auf die Gefahr darstellen. Liegt eine örtlich begrenzte Gefahr vor, ist die Warnung auf diese Gefahrenquelle zu beschränken.

Grundrechte der Unternehmen

Selbiges gilt bei einer eingeschränkten örtlichen Zuständigkeit der handelnden Institution. Behörden mit großem Sendungsbewusstsein, aber kleinem (örtlichen) Zuständigkeitsbereich, müssen sicherstellen, dass ihre Warnung ihren Zuständigkeitsbereich nicht überschreiten. Gerade bei grenzüberschreitend eingesetzten Produkten und Diensten sind die normierten Zuständigkeitsvorgaben zu beachten. Liegt die federführende Aufsichtsbehörde in einem anderen Land, so richtet sich auch das jeweilige Informationshandeln nach dieser Zuständigkeit.

Darüber hinaus ist vor Kundgabe einer Warnung durch die zuständige Behörde insbesondere auch die Berufs- und Eigentumsfreiheit der Unternehmen zu berücksichtigen, vor deren Produkten und Services gewarnt wird. Auch mittelbare Warnungen vor bestimmten Services, die entsprechende Technologien bekanntermaßen einsetzen oder öffentliche Warnungen gegenüber staatlichen Stellen, die wiederum private Dienste und Produkte verwenden, sind im Lichte der Berufs- und Eigentumsfreiheit Privater zu betrachten. Gerade wenn hierbei die eigentliche Unzuständigkeit für die originäre Warnung vor einem Produkt umgangen werden soll.

So ist es rechtlich problematisch, wenn etwa in einer Pandemie Datenschutzaufsichtsbehörden die Schulen vor dem Einsatz bestimmter, vermeintlich datenschutzwidriger Videokonferenzsysteme warnen, obwohl die federführende Zuständigkeit der Aufsicht für dieses Produkt in einem anderen Land liegt. Das Untätigbleiben einer Aufsichtsbehörde kann nicht die Rechtfertigung sein, dass andere Aufsichtsbehörden frei in jeder Form der Amtsführung werden. Vielmehr bestünde die Möglichkeit, Schulen im eigenen Wirkungskreis einen zumutbaren (!) Weg außerhalb der Öffentlichkeit aufzuzeigen, um das Grundrecht der Schüler auf Bildung zu verwirklichen.

Das Recht auf Bildung beachten

Ein solches Grundrecht hat das Bundesverfassungsgericht in seiner Entscheidung zur Bundesnotbremse bekräftigt. Es vermag auch das Grundrecht auf informationelle Selbstbestimmung einzuschränken. Anderenfalls würde man das Risiko, dass US-amerikanische Geheimdienste Kenntnis von schulischer Datenverarbeitung erlangen, höher einstufen als das Interesse von Kindern, schulische Bildung zu erfahren.

Man kann aber offenbar nicht nur vor inkriminierter Software warnen, sondern auch vor der Anwendung eines demokratisch zustande gekommenen Gesetzes. Eine solche staatliche Warnung hat zum Beispiel der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) in Bezug auf das Zurverfügungstellen der elektronischen Patientenakte (ePA) durch die Krankenkassen ausgesprochen. Diese sei aufgrund ihres in der ersten Aufbauphase bloß grobgranularen Berechtigungskonzepts europarechtswidrig. Wollen die Krankenkassen dem Papiermangel zum Trotz doch einmal digitalisieren, soll dies auch wieder nicht Recht sein. Dem Vorwurf einer Datenschutzwidrigkeit der ePA widerspricht freilich nicht nur die herrschende Meinung in der Literatur. Auch das Bundesverfassungsgericht hat eine diesbezüglich erhobene Verfassungsbeschwerde als bereits unzulässig verworfen (Beschl. v. 4. Januar 2021 – 1 BvR 619/20/1 BvQ 108/20) – nicht zuletzt, weil die Nutzung der ePA nun einmal freiwillig erfolgt. Was genau aber bezweckt man mit einer solchen Warnung, sei es über Mastodon oder die Bundespressekonferenz?

Art. 58 Abs. 2 Buchst. a DSGVO taugt jedenfalls nicht als Rechtsgrundlage. Dieser gestattet Datenschutzaufsichtsbehörden, einen Verantwortlichen oder Auftragsverarbeiter zu warnen, dass beabsichtigte Verarbeitungsvorgänge voraussichtlich gegen die DSGVO verstoßen. Die Befugnis zur breiten Warnung der Öffentlichkeit kann aus dieser Ermächtigung jedoch nicht gelesen werden.

„privat hier“ befreit nicht von Grundrechtsbindung

Auch die Äußerung solcher umfassenden Warnungen an sich, die Wirkung über den eigenen Zuständigkeitsbereich einer Behörde hinaus besitzen, ist daher als rechtlich problematisch zu werten. Man darf nicht übersehen: Staatliche Warnungen haben eine grundrechtlich relevante faktische Breitenwirkung, weswegen das Bundesverfassungsgericht eben strenge Anforderungen aufgestellt hat. Diese müssen auch von Datenschutzaufsichtsbehörden beachtet werden, deren Äußerungen eine marktbeeinflussende (Beispiel Videokonferenzsysteme) und zuweilen bürgerverunsichernde Wirkung (Beispiel ePA) haben. Auch auf Twitter oder Mastodon.

Die Kennzeichnung eines Accounts auf einem Kurznachrichtendienst von Aufsichtsbehörden als „privat“ befreit übrigens keineswegs von der Gesetzes- und Grundrechtsbindung, wenn sich ein Großteil der verbreiteten Inhalte ohnehin mit dienstlichen Angelegenheiten befasst: falsa demonstratio non nocet.

Photo von Siarhei Horbach auf Unsplash 

Suggested Citation

Paschke, Anne: Datenschützer tweeten, libra-rechtsbriefing, 31.5.2022, https://www.libra-rechtsbriefing.de/L/tweeten-troeten-warnen/

PDF Download