von THOMAS KIENLE
Was passiert mit unseren Daten nach dem Tod? Jenseits erbrechtlicher Probleme um den sog. digitalen Nachlass stellt sich die Frage, wie das Datenschutzrecht mit den Daten Verstorbener umgeht. Was sagt die Datenschutz-Grundverordnung? Und bestehen für den deutschen Gesetzgeber daneben überhaupt noch Regelungsspielräume? Vorab: Er könnte, wenn er denn wollte.
Am 21. Juni verhandelte der III. Zivilsenat des BGH über den Zugang von Erben auf das Konto eines verstorbenen Nutzers eines sozialen Netzwerks, konkret: facebook. Abseits spannender Fragen zur Reichweite des Fernmeldegeheimnisses (Art. 10 GG; § 88 TKG), spielt der postmortale Datenschutz (im Verhältnis Erblasserin – facebook) zumindest eine Nebenrolle. So hatte das Kammergericht Berlin – entgegen dem Landgericht Berlin – einen Auskunftsanspruch der Eltern analog § 34 BDSG a. F. mit der Begründung abgelehnt, der Schutz- und Wirkungsbereich des BDSG a. F. beschränke sich auf lebende Personen. Das Recht auf informationelle Selbstbestimmung, welches Grundlage für die datenschutzrechtlichen Ansprüche des BDSG sei, ende mit dem Tod des Betroffenen und sei damit unvererblich. Für das Landgericht Berlin war dieses Ergebnis schlicht „unbillig“ (S. 16). Damit ist aber die (Gretchen-)Frage gestellt: Wie hält es die neue Datenschutz-Grundverordnung (DSGVO) mit den Daten Verstorbener?
Blick zurück: Rechtslage unter dem BDSG a. F.
Zunächst lohnt ein Blick zurück. Das BDSG a. F. schützte die Daten Verstorbener nicht. Personenbezogene Daten waren nach der Legaldefinition des § 3 Abs. 1 BDSG a. F. Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person. Natürliche Person in diesem Sinne meine aber, so die herrschende Meinung, eine noch lebende Person. Sie rekurrierte insbesondere auf den Zweck des BDSG a. F., der darin bestand, den Einzelnen davor zu schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird (§ 1 Abs. 1 BDSG a. F.). Der Schutz des (allgemeinen) Persönlichkeitsrechts erlösche aber nun einmal mit dem Tod – gleiches müsse dann für das daraus abgeleitete Recht auf informationelle Selbstbestimmung („Volkszählung“) gelten.
Von „Mephisto“ bis „Wilhelm Kaisen“
Diese Ansicht geht auf die berühmte „Mephisto“-Entscheidung des Bundesverfassungsgerichts zurück. Hiernach wirke das Persönlichkeitsrecht (Art. 2 Abs. 1 in Verbindung mit Art. 1 Abs. 1 GG) nach dem Tod schon deshalb nicht fort, weil Träger dieses Grundrechts nur die lebende Person sei; mit ihrem Tod erlösche der Schutz aus diesem Grundrecht. Grenzen ziehe letztlich (nur) das Gebot der Unverletzlichkeit der Menschenwürde aus Art. 1 Abs. 1 GG. Das Bundesverfassungsgericht hat seine Rechtsprechung in späteren Entscheidungen (vgl. etwa „Wilhelm Kaisen“ oder jüngst „Heinz Lembke“, Rn. 103) konkretisiert: Bei Verstorbenen sei zum einen der allgemeine Achtungsanspruch, der dem Menschen kraft seines Personseins zukommt, geschützt, zum anderen der sittliche, personale und soziale Geltungswert, den die Person durch ihre eigene Lebensleistung erworben hat. Da aber die Schutzwirkungen der Menschenwürde einerseits und des allgemeinen Persönlichkeitsrechts andererseits – wie auch das Bundesverfassungsgericht immer wieder betont – nicht identisch sind, genossen die Daten Verstorbener weit weniger Schutz als die lebender Personen.
Datenschutz-Grundverordnung: „Alles neu macht der Mai“?
Die DSGVO hat die „datenschutzrechtlichen Karten“ seit dem 25. Mai 2018 zwar neu gemischt – das „Blatt“ bleibt indes im Grundsatz unverändert. Denn auch sie schützt, wie ihr Art. 1 Abs. 2 zeigt, die Grundrechte und Grundfreiheiten natürlicher Personen. Folgerichtig versteht sie unter „personenbezogenen Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person („betroffene Person“) beziehen, Art. 4 Nr. 1 DSGVO. Datenschutzrechtlich „betroffen“ soll damit weiterhin nur sein, wer lebt. Das stellt auch Erwägungsgrund 27 Satz 1 DSGVO klar: „Diese Verordnung gilt nicht für die personenbezogenen Daten Verstorbener“. So weit, so deutlich.
Was folgt daraus? Erstens, die DSGVO ist anwendbar, wenn im Zeitpunkt der Verarbeitung (das heißt der Erhebung oder Speicherung bis hin zur Löschung, vgl. Art. 4 Nr. 2 DSGVO) die betroffene Person lebt. Nimmt man die DSGVO zweitens beim Wort, endet ihr Schutzbereich mit dem Tod der vormals betroffenen Person. Wichtige Betroffenenrechte wie das Auskunftsrecht (Art. 15 DSGVO) oder das Recht, die Einwilligung jederzeit zu widerrufen (Art. 7 Abs. 3 Satz 1 DSGVO), gingen verloren. Auch der Grundsatz der Zweckbindung (Art. 5 Abs. 1 Buchstabe b DSGVO) sowie die Pflicht, personenbezogene Daten unverzüglich zu löschen, wenn sie für Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig sind (das sog. Recht auf Vergessenwerden, Art. 17 Abs. 1 Buchstabe a DSGVO), wären nicht mehr anwendbar. Der oder die Verantwortliche dürfte die einmal rechtmäßig erhobenen Daten nahezu unbegrenzt (äußerste und wohl auch einzige Grenze: postmortaler Würdeschutz gemäß Art. 1 GRCh) nach dem Tod weiterverarbeiten. Das öffnete dem Missbrauch „Tür und Tor“.
Entstehungsgeschichte: Keine planwidrige Regelungslücke
Einer anderen Lesart steht der insoweit eindeutige Wille des Unionsgesetzgebers (s. nur Erwägungsgrund 27 DSGVO) entgegen. Für eine analoge Anwendung zumindest einzelner Schutzvorschriften fehlt es im Übrigen an einer planwidrigen(!) Regelungslücke. Das folgt aus der Entstehungsgeschichte. Einzelne Mitgliedstaaten, darunter insbesondere die Slowakei und Malta, waren mit dem generellen Ausschluss personenbezogener Daten Verstorbener nicht einverstanden (Dok. 5406/2/14 Rev 2 v. 10.02.2014, S. 117 f.). Sie plädierten vielmehr dafür, dass – entsprechend ihrem nationalen Recht – einzelne Betroffenenrechte auch engen Angehörigen zustehen sollten.
Estland ging noch einen Schritt weiter, indem es zwei Alternativen vorschlug: Entweder sollte die DSGVO auch für Verstorbene gelten oder die Mitgliedstaaten sollten zumindest die Möglichkeit haben, den Schutz – durch eigene Vorschriften – auch auf sie zu erstrecken (Dok. 14786/14 v. 28.10.2014, S. 4 ff.). Denn es gäbe „sehr viele Situationen“, in denen auch die Daten Verstorbener Schutz verdienten – zumindest für eine gewisse Zeit (vorgeschlagen wurden 25 Jahre). Estland fragte in diesem Zusammenhang mit Recht: „How would the family members be able to ask to erase the data concerning the deceased data subject or to exercise other data subject´s rights stipulated in the Regulation?“ (S. 5). Die Antwort lautet lapidar: Nach der DSGVO (und dem deutschen Datenschutzrecht) ist das de lege lata nicht möglich. Die Erben beziehungsweise die nahen Angehörigen können die in der DSGVO garantierten Betroffenenrechte weder anstelle der verstorbenen Person noch aus eigenem Recht geltend machen.
Was heißt das für den digitalen Nachlass und den BGH? Erstens steht den Erben kein Auskunftsanspruch (analog) Art. 15 DSGVO zu und zweitens schützt die DSGVO nicht die Daten der Erblasserin. Wenn der III. Zivilsenat des BGH nunmehr erwägt, zu prüfen, ob einem Anspruch der Erben aus § 1922 BGB die DSGVO (konkret: Art. 6 Abs. 1 Buchstabe b oder f) entgegensteht, dann kann dies drittens nur in Bezug auf solche Daten des facebook-Kontos gelten, die sich auf lebende Personen (hier: die Telekommunikationspartner der Erblasserin) beziehen.
Ein „Fünkchen Hoffnung“ – Erwägungsgrund 27 Satz 2 DSGVO
Immerhin: Erwägungsgrund 27 Satz 2 DSGVO stellt es den Mitgliedstaaten anheim, Vorschriften für die Verarbeitung der personenbezogenen Daten Verstorbener vorzusehen. Einzelne Mitgliedstaaten sind danach nicht gezwungen, ihr bestehendes Schutzniveau für die Daten Verstorbener abzusenken. Auch Deutschland kann sein bereichsspezifisches Datenschutzrecht (etwa bei Sozialdaten Verstorbener: § 35 Abs. 5 SGB I) beibehalten. Das Land Berlin machte indes eher einen Schritt zurück: Die Vorschrift, die die Daten Verstorbener schützte (§ 4 Abs. 1 Satz 2 BlnDSG a. F.), fiel – unnötigerweise – dem Berliner Datenschutz-Anpassungs- und -Umsetzungsgesetz EU zum Opfer. Ähnliches gilt für den Bundesgesetzgeber: Er hat den Schutz (personenbezogener) Daten Verstorbener im neuen Bundesdatenschutzgesetz nicht (allgemein) geregelt. Gerade diesen Schutz legt die DSGVO aber in die Hände der Mitgliedstaaten; sie sind aufgerufen, wenigstens darüber nachzudenken, ob und inwieweit auch die Daten Verstorbener Schutz verdienen. Es bleibt die Hoffnung, dass der Bundesgesetzgeber den Umgang mit personenbezogener Daten Verstorbener bereichsspezifisch regelt. Entsprechende Ansätze sind bereits erkennbar. Beispielhaft hierfür steht die Änderung der Abgabenordnung aus dem letzten Jahr (s. den neuen § 2a Abs. 5 Nr. 1 AO; vgl. dazu die Beschlussempfehlung BT-Drs. 18/12611, S. 76). Wie weit die Regelungsbereitschaft des Bundesgesetzgebers tatsächlich reicht, wird sich in Kürze zeigen, nämlich dann, wenn der Gesetzentwurf zur Anpassung des bereichsspezifischen Datenschutzrechts das Licht der Welt erblickt.
Zitiervorschlag: Kienle, Datenschutz post mortem, JuWissBlog Nr. 67/2018 v. 28.06.2018, https://www.juwiss.de/67-2018/
Dieses Werk ist lizenziert unter einer Creative Commons Namensnennung – Nicht kommerziell – Keine Bearbeitungen 4.0 International Lizenz.
1 Kommentar. Hinterlasse eine Antwort
[…] THOMAS KIENLE is investigating who actually owns our social media data after our death on the occasion a current trial before the German Federal Court of Justice (German). […]