Ist die Beschwerde begründet?
(Lösung siehe Rn. 41)
Anmerkungen
Satzung des Europarates v. 5.5.1949, SEV-Nr. 1.
Abrufbar unter: https://www.coe.int/de/web/portal/47-members-states (Abruf: 12.1.2021).
Angelehnt an EGMR, Urt. v. 2.12.2008, No. 2872/02, ECHR 2008-V, 125 – K.U./Finnland.
1. Recht auf Achtung des Privatlebens und der Korrespondenz (Art. 8 EMRK)
28
Die Europäische Menschenrechtskonvention (EMRK) stellt einen Meilenstein in der Entwicklung und Durchsetzung der Menschenrechte dar. Bei der EMRK handelt es sich um einen völkerrechtlichen Vertrag, der die Vertragsstaaten bindet. Einen wesentlichen Schub als internationales Menschenrechtsinstrument in Europa hat die EMRK durch die Einrichtung des ständigen Europäischen Gerichtshofs für Menschenrechte (EGMR) erhalten. Der neue EGMR trat 1998 an die Stelle des bisherigen, komplizierten Kontrollmechanismus, an dem die Europäische Menschenrechtskommission, der Ministerrat und der alte EGMR beteiligt waren. In Deutschland hat die EMRK zwar formell den Rang eines einfachen Gesetzes, jedoch betont das BVerfG, dass andere gesetzliche Bestimmungen der Bundesrepublik im Lichte der EMRK auszulegen sind.[1] Damit steht die EMRK de facto über dem einfachen Gesetz, ohne einen verfassungsrechtlichen Rang zu beanspruchen.
29
Die Konvention enthält als Grundrechtsdokument aus dem Jahr 1950 kein eigenes Datenschutzgrundrecht. Grundlage für den Datenschutz ist stattdessen das in Art. 8 Abs. 1 EMRK garantierte Recht auf Achtung des Privatlebens und der Korrespondenz. Schon früh hat die Europäische Menschenrechtskommission im Zusammenhang mit nationalen Volkszählungen aus Art. 8 Abs. 1 EMRK ein Recht auf den Schutz personenbezogener Daten entwickelt und es dem Schutzbereich der Privatsphäre zugeordnet.[2] Der Begriff der Korrespondenz wurde von den Konventionsorganen ebenfalls weit ausgelegt. Geschützt ist die Vertraulichkeit der Individualkommunikation, wenn zu Kommunikationszwecken Dritte (z.B. Telekommunikationsanbieter) in den Vorgang einbezogen werden. Der Schutzbereich umfasst demzufolge auch E-Mails, Telefongespräche und die Internet-Telefonie.[3] Ferner sind der Inhalt der Individualkommunikation sowie die Kommunikationsumstände (z.B. Verkehrsdaten) Teil des Schutzes der Privatsphäre.[4] Demnach wird in der Sache ein Datenschutzgrundrecht anerkannt, ohne dass dieses wie in Deutschland mit dem Recht auf informationelle Selbstbestimmung als eigenständige Emanation aus dem allgemeinen Recht auf Achtung des Privatlebens und der Korrespondenz eine gesonderte Bezeichnung erlangt hat. Gleichwohl entspricht in der Tendenz der Schutz der Achtung des Privatlebens dem allgemeinen Datenschutzgrundrecht (Recht auf informationelle Selbstbestimmung), während der Schutz der Korrespondenz dem Telekommunikationsgeheimnis (Fernmeldegeheimnis) entspricht.
30
Jede Erhebung, Speicherung, Weitergabe oder sonstige Verarbeitung personenbezogener Daten stellt dabei einen Eingriff in dieses Recht dar und muss gerechtfertigt werden.[5] Gemäß Art. 8 Abs. 2 EMRK muss der Eingriff gesetzlich geregelt sein. Die Rechtmäßigkeit des Eingriffs setzt des Weiteren voraus, dass ein legitimes, in Abs. 2 näher bestimmtes Ziel verfolgt wird. Schließlich darf der Eingriff nicht gegen den Grundsatz der Verhältnismäßigkeit verstoßen. Er muss mithin geeignet, erforderlich und angemessen sein. Das Recht der betroffenen Personen auf Schutz ihrer personenbezogenen Daten muss mit den öffentlichen Interessen, die für einen Eingriff sprechen, abgewogen werden.[6] Wenngleich der EGMR einem für die Konventionspraxis typischen kasuistischen Ansatz folgt und dogmatisch nicht immer überzeugt,[7] hat er bei der Prüfung der Rechtfertigung eines Eingriffs in den Menschenrechtsgehalt des Art. 8 Abs. 1 EMRK eine an den Teilbereichen des Schutzgehalts orientierte Systematik entwickelt. Zwar lässt die Rechtsprechung beispielsweise bei der Telefonüberwachung und der Speicherung von Verbindungsdaten offen, ob diese Eingriffe dem Recht auf Schutz personenbezogener Daten, mithin dem Teilbereich des Schutzes der Privatsphäre, oder dem Schutz der Vertraulichkeit der vermittelten Kommunikation, also dem Schutz der Korrespondenz, zuzuordnen sind.[8] Für beide Schutzbereiche hat der EGMR jedoch strukturgleiche, erhöhte Anforderungen an die Rechtfertigung eines Eingriffs aufgestellt. Während der EGMR den staatlichen Stellen einen weiten Beurteilungsspielraum bzw. eine weite Einschätzungsprärogative hinsichtlich der Legitimität des verfolgten Ziels und Zwecks belässt,[9] stellt er an die grundsätzlich erforderliche gesetzliche Rechtsgrundlage hohe Anforderungen.[10] Das zum Eingriff ermächtigende Gesetz muss besonders deutlich und genau sein. Dem Bestimmtheitsgebot misst der EGMR insbesondere bei heimlichen Eingriffen eine für die Beurteilung der Angemessenheit des Eingriffs entscheidende Bedeutung zu. Gleichfalls ausschlaggebend sind Vorkehrungen gegen Datenmissbrauch und die Möglichkeit der betroffenen Person, Auskunft zu den über sie gesammelten Daten zu verlangen.[11] Das Gesetz hat zu bestimmen, wer welche Daten zu welchem Zweck verarbeiten darf, wie lange solche Daten aufbewahrt werden dürfen und wie diese Vorgaben kontrolliert werden.[12] Schließlich spielen auch der Aussagegehalt und die Verwendungsmöglichkeiten der Daten eine Rolle bei der durchzuführenden Abwägung.[13] Gesundheitsdaten dürfen beispielsweise nur unter engen Voraussetzungen verarbeitet und genutzt werden.[14]
31
Die Rechtsprechung des EGMR hat die Eigenständigkeit und Bedeutung des Rechts auf den Schutz der personenbezogenen Daten erkannt und weist große Parallelen zur Rechtsprechung des BVerfG auf, sowohl von der angewandten Prüfungsstruktur als auch vom gewährten Schutzniveau her.[15] So stellt der EGMR auch fest, dass das Recht auf den Schutz personenbezogener Daten nicht schrankenlos gewährleistet werden kann, sondern insbesondere mit den Konventionsrechten anderer in Einklang gebracht werden muss. Dementsprechend ist der EGMR mittlerweile dazu übergegangen, ausdrücklich Schutzpflichten des Staates in Fällen anzuerkennen, in denen sich ausschließlich Private gegenüberstehen. Der Staat missachtet seine Schutzpflicht etwa dann, wenn er eine Rechtslage aufrechterhält, die die Identifizierung einer Privatperson aus datenschutzrechtlichen Gründen verhindert, obwohl die zur Identifizierung und zur Aufklärung der Straftat benötigten Daten beim Internetzugangsanbieter vorliegen. Im konkreten Fall konnte ein in seinem Privatleben empfindlich gestörter Minderjähriger nicht gegen den Täter vorgehen, weil die nationalstaatliche Rechtslage eine Verwendung vorliegender personenbezogener Daten zur Identifizierung des Täters nicht erlaubte. Dies stellt nach Ansicht des EGMR eine Verletzung der Schutzpflicht des Konventionsstaates dar.[16]
Anmerkungen
BVerfG, Beschl. v. 26.3.1987, 2 BvR 589/79 u.a. = BVerfGE 74, 358 (370) – Unschuldsvermutung; Urt. v. 4.5.2011, 2 BvR 2365/09 u.a. = BVerfGE 128, 326 = NJW 2011, 1931, Leitsatz 2 – EGMR Sicherungsverwahrung.
EKMR,