„Naughty or Nice?“ – Wie die DSGVO dem Weihnachtsmann das Handwerk legt

Von JAN D. LÜTTRINGHAUS und ANDREAS ZÖLLNER

Jahr für Jahr nimmt der Weihnachtsmann auf der ganzen Welt Kinderwünsche entgegen und legt artigen Kindlein mancherlei Gaben unter den Weihnachtsbaum. Was zunächst nach reinem Altruismus klingt, ist in Wahrheit ein einträgliches und – wie noch zu zeigen sein wird – obendrein illegales Geschäft: Denn kaum jemand weiß mehr über die Persönlichkeitsprofile und Begehrlichkeiten der lieben Kleinen als der Weihnachtsmann. Die am 25.5.2018 in Kraft getretene Datenschutzgrundverordnung (DSGVO) macht dem Rauschebart nun aber einen Strich durch die Rechnung.

Das Geschäftsmodell des Weihnachtsmanns beruht bekanntlich auf zahlreichen Datenverarbeitungsvorgängen i.S.d. Art. 2 Abs. 1 DSGVO: Zunächst wird das Betragen jedes Kindes auf der mittlerweile digital geführten „Artig oder Unartig“-Liste erfasst. Dieser Datensatz wird sodann um Geschenkwünsche ergänzt, welche die Kinder dem Weihnachtsmann vermehrt als vollständig digitalisierten Wunschzettel übermitteln. Ein schlauer Algorithmus entscheidet darüber, ob (und gegebenenfalls womit) der Gabentisch bestückt wird. Die in „Santa‘s Cloud“ gespeicherten Daten sind für weltweit tätige Internetkonzerne, Onlinewarenhäuser, soziale Netzwerke und vor allem für die Werbeindustrie hochinteressant. Jahr für Jahr verdient der Weihnachtsmann stattliche Summen mit der Veräußerung dieser heiß begehrten Datensätze. Nur einen kleinen Bruchteil seiner Einnahmen wendet er sodann für den Erwerb von Geschenken auf. Den Kauf und die Auslieferung der meisten Präsente überlässt der Weihnachtsmann lieber den Eltern und anderen schlechtbezahlten Servicekräften. Diese können jedoch kaum alle barocken Geschenkforderungen der Kinder erfüllen. Lautes Gezeter und hochrote Köpfchen unterm Tannenbaum sind die Folge. Nicht zuletzt vor diesem Hintergrund schreit das überkommene System des Weihnachtsmanns nach Disruption: Als Instrumente des Umbruchs bieten sich hier die DSGVO und ein hippes Legal-Tech-Unternehmen an. Doch bevor sich nun alle schneeweiße Start-up-Gründer-Bärte ankleben und ganze Büroetagen in Berlin-Mitte anmieten, sei hier zunächst die Rechtslage skizziert.

I. Anwendungsbereich: Vor der DSGVO gibt es auch am Nordpol kein Entrinnen

Die DSGVO ist sachlich und räumlich-territorial auf die gewerbliche Verarbeitung persönlicher Daten durch den Weihnachtsmann anwendbar. Gleichviel, ob der Weihnachtsmann nun innerhalb der EU (z.B. im Finnisch-Lappländischen Rovaniemi) oder aber außerhalb der Union niedergelassen sein sollte: Er beobachtet zum einen ununterbrochen das Verhalten der Kinder in der EU nach Art. 3 Abs. 2 lit. b DSGVO. Zumindest den lieben unter den kleinen EU-Bürgern bietet er zum anderen auch gemäß Art. 3 Abs. 2 lit. a Waren in Form von Geschenken an.

II. Unrechtmäßigkeit der Datenverarbeitung unter der DSGVO

Damit bekommt der Weihnachtsmann nun das scharfe Schwert des präventiven Verbots mit Erlaubnisvorbehalt nach Art. 6 Abs. 1 DSGVO zu spüren. Die bange Frage lautet, ob Santa Claus sich hinter einem der Erlaubnistatbestände der DSGVO verstecken kann. Wirtschafts- und weihnachtsmannfreundliche Stimmen behaupten zwar, man könne hier mir nichts, dir nichts gemäß Art. 6 Abs. 1 lit. f DSGVO „berechtigte Interessen“ des Weihnachtsmanns als Rechtfertigungsgründe ins Feld führen. Das ist ersichtlich interessengeleitet und steht quer zum Wortlaut der Norm, wonach „insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt“ im Zweifel das Interesse am Datenschutz überwiegen soll. Diese Frage mag aber auf sich beruhen, weil die bisherige Weihnachtsmannforschung ein pikantes Detail völlig übergeht: Die „Artig oder Unartig“-Liste enthält besonders sensible Personendaten i.S.d. Art. 9 Abs. 1 DSGVO für die – zu Recht – besonders hohe Anforderungen gelten. Zunächst wird auf der Liste die Konfession des Kindes gespeichert, da der Weihnachtsmann das religiöse Bekenntnis nach wie vor als zentralen Maßstab für korrektes Betragen heranzieht. Darüber hinaus dokumentiert der Weihnachtsmann auch sämtliche Verhaltensmuster des Kindes und speichert somit Daten, die i.S.d. Art. 9 Abs. 1 DSGVO die psychische Gesundheit des Kindes betreffen. Die Verarbeitung solcher sensibler Konfessions- und Gesundheitsdaten kann nicht durch einen der allgemeinen Erlaubnistatbestände des Art. 6 Abs. 1 DSGVO gedeckt werden. Aber auch im Rahmen der speziellen Rechtfertigungsgründe des Art. 9 Abs. 2 DSGVO kann sich der Weihnachtsmann insbesondere nicht auf lit. d berufen, da er selbst keine „religiös ausgerichtete Organisation ohne Gewinnerzielungsabsicht“ ist: Mag sein historisches Vorbild auch der Bischof Nikolaus von Myrasein, so kann spätestens seit seiner kommerziellen Vereinnahmung durch Coca-Cola und der Umbenennung von „Christmas“ in „X-Mas“ allenfalls noch von einer „säkularisierten Sakralität“ des Weihnachtsmanns die Rede sein.

III. Keine wirksame Einwilligung ohne Zustimmung der Eltern

Damit ist die datenschutzrechtliche Einwilligung nach Art. 9 Abs. 2 lit. a DSGVO der letzte Rettungsring, der Santa Claus noch aus dem Sumpf der unrechtmäßigen Datenverarbeitung ziehen könnte. Doch auch der passt nicht um seinen kugelrunden Bauch: Erforderlich ist hier eine ausdrückliche, freiwillige und wirksame Einwilligung. Hieran mag man schon deshalb zweifeln, weil die Kinder ohnehin nur aufgrund ihrer Gier nach Geschenken einwilligen und eine weitreichende Einwilligung auch dem Kopplungsverbot des Art. 7 Abs. 4 DSGVO zuwiderlaufen dürfte – der Weihnachtsmann koppelt hier namentlich die Erfüllung des Schenkungsvertrags an die Einwilligung in die Datenverarbeitung, obschon dies in diesem Umfang jedenfalls zur Erfüllung des Schenkungsvertrags nicht erforderlich ist. Vor allem aber erstellt der Weihnachtsmann mit seiner „Artig oder Unartig“-Liste Persönlichkeitsprofile der Kinder und bietet seine Dienste als solche der Informationsgesellschaft über das Internet an. Um Kinder vor solchem Profiling zu schützen, ist eine wirksame Einwilligung des Kindes nach Art. 8 Abs. 1, Art. 9 Abs. 2 lit. a DSGVO erst ab dem vollendeten sechszehnten Lebensjahr möglich. Welche Altersgrenze für die Einwilligungsfähigkeit beim klassischen Wunschzettel in Papierform gilt, ist durch die DSGVO nicht abschließend geklärt. In Deutschland etwa wäre an eine analoge Anwendung des § 36 I SGB I zu denken (vgl. Tinnefeld/ConradZD 2018, 391, 393) wonach das vollendete fünfzehnte Lebensjahr maßgeblich wäre. Während also nur die – in aller Regel ohnehin weihnachtsfeindlich eingestellten – Pubertierenden jenseits der wenigstens fünfzehn Lenze selbst einwilligungsfähig sind, können die „lieben“ Kleinen nur mit vorheriger Zustimmung (Genehmigung ist hier ausgeschlossen) ihrer gesetzlichen Vertreter wirksam in die Verarbeitung ihrer Daten einwilligen. Dies wird der nach Art. 7 Abs. 1 DSGVO insofern darlegungs- und beweisbelastete Weihnachtsmann vor Gericht kaum jemals hinreichend substantiiert darlegen, geschweige denn beweisen können.

Ulrike Hofmann

IV. Art. 82 DSGVO oder: Make Santa pay…

Gegen die unrechtmäßige Datenverarbeitung durch den Weihnachtsmann können sich die betroffenen Kindern zunächst u.a. mit einem Löschungsanspruch („Recht auf Vergessenwerden“, Art. 17 I lit. d DSGVO) sowie mit einem Berichtigungsanspruch (Art. 16 DSGVO) zur Wehr setzen. Niemand muss sich also künftig von bärtigen Nordpolbewohnern als „artig“ oder „unartig“ abstempeln lassen – der DSGVO sei Dank.

Doch damit nicht genug: Allen Betroffenen räumt Art. 82 DSGVO einen unionsrechtlich-autonomen Anspruch auf Ersatz sämtlicher materieller und immaterieller Schäden ein. Gehaftet wird dabei für vermutetes Verschulden: Der Weihnachtsmann wird gem. Art. 82 Abs. 3 DSGVO von der Haftung nur befreit, wenn er nachweist, dass er „in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich“ ist. Das dürfte ihm in der Praxis kaum gelingen.

Dies führt zurück zur eingangs geforderten Disruption des weihnachtsmannschen Geschäftsmodells: Angesichts der Vielzahl von kleinen Anspruchstellern in der EU sollte hier nun ein Legal-Tech-Unternehmen ins Spiel kommen, das die Ansprüche für die Betroffenen geltend macht. Zu diesem Zweck könnte sich das Start-Up z.B. eine von Art. 80 DSGVO erfasste Organisationsstruktur geben und – zur Not auch aus einem anderen EU-Mitgliedstaat heraus – gezielt alle Ansprüche nach Abtretung oder im Wege einer Musterfeststellungsklage geltend machen. Erste amerikanische Prozessfinanzierer (Ebenezer Scrooge & Grinch LLP) haben bereits Interesse angemeldet. Nun bleibt nur noch abzuwarten, dass das erste Legal-Tech („make-santa-pay.com“) endlich seine Arbeit aufnimmt.

Der Markt ist attraktiv: Denn die Ersatzansprüche nach Art. 82 DSGVO müssen – wie schon die Rechtssachevon Colson und Karmann zeigt – über bloße „Portokosten“ hinausgehen und insbesondere in ihrer immateriellen Ausprägung „verhältnismäßig, wirksam und abschreckend“ bemessen werden. Die von Herrn Schrems gegenüber Facebook geltend gemachten 500 € pro Betroffenem erscheinen als Mindestsumme durchaus angemessen. Mit diesem Geldregen lassen sich dann endlich alle Wünsche der Kindlein erfüllen – gleichviel, ob sie nun „artig“ oder „unartig“ waren. Vor allem gibt es nach Art. 82 DSGVO nicht langweiliges Holzspielzeug oder anderen edukativen Tand, sondern Bares, das man direkt in ein dringend benötigtes iPad oder in ein schickes neues Smartphone investieren kann. Millionen Kindern in der EU könnte die DSGVO somit ein hoffnungsfrohes Lächeln auf ihre kleinen Gesichter zaubern. Wenn das mal nicht dem Geist des Weihnachtsfests entspricht…

 

Zitiervorschlag: Lüttringhaus/Zöllner, „Naughty or Nice?“ – Wie die DSGVO dem Weihnachtsmann das Handwerk legt, JuWissBlog Nr. 102/2018 v. 21.12.2018, https://www.juwiss.de/102-2018/

Creative Commons Lizenzvertrag
Dieses Werk ist lizenziert unter einer Creative Commons Namensnennung – Nicht kommerziell – Keine Bearbeitungen 4.0 International Lizenz.

Andreas Zöllner, Datenschutz, Digitalisierung, Jan D. Lüttringhaus, Weihnachten
Nächster Beitrag
Zwangshaft gegen (bayrische) Amtsträger?
Vorheriger Beitrag
Ist es eine Komödie? Ist es eine Tragödie? Zum Karlsruher Schauspiel „Die EU-Bankenunion“

Ähnliche Beiträge

Interview im Rahmen der 60. Assistententagung Öffentliches Recht in Trier von JUWISS-REDAKTION Der diesjährige Festvortrag auf der ATÖR wird von Prof. Dr. Dirk Heckmann, Inhaber des Lehrstuhls für Recht und Sicherheit der Digitalisierung an der TU München und Richter am Bayerischen Verfassungsgerichtshof, gehalten. Er stand dem JuWiss-Team vorab für ein…
Weiterlesen
VON JOSHUA MOIR UND JULIA WAGNER Obwohl noch nie bei einer Assistententagung dabei gewesen, aber von dem der „kleinen Staatsrechtslehrertagung“ vorauseilenden Ruf nicht minder beeindruckt, fand sich im Herbst 2018 aus dem Kreis der Wissenschaftlichen Mitarbeiterinnen und Mitarbeiter der öffentlich-rechtlichen Lehrstühle und Institute der Universität Trier spontan ein siebenköpfiges Team,…
Weiterlesen

2 Kommentare. Hinterlasse eine Antwort

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Bitte füllen Sie dieses Feld aus.
Bitte füllen Sie dieses Feld aus.
Bitte gib eine gültige E-Mail-Adresse ein.