17
Auf der Ebene des einfachen Rechts stellt sich insbesondere die Frage, wie mit dem sogenannten digitalen Nachlass Verstorbener umzugehen ist. Gemäß § 1922 BGB gehen die Rechte und Verbindlichkeiten mit dem Tod auf den Erben über.41 Davon erfasst sind auch verselbstständigte vermögensrechtlich relevante Teile des allgemeinen Persönlichkeitsrechts.42 Nicht auf den Erben gehen jedoch höchstpersönliche Rechte des Verstorbenen über. Diese gehen mit dessen Tod grundsätzlich unter.43 Soweit Erben in diesem Zuge Kenntnisse über den Erblasser erhalten, ist dies datenschutzrechtlich zulässig. Insofern müsse das Datenschutzrecht „hinter dem erbrechtlichen Befund zurückstehen“.44 Davon unabhängig können Auskunftsansprüche des Erben zu vermögensrelevanten Informationen bestehen.45 Ansprüche auf Auskunft über höchstpersönliche Informationen, etwa darauf gerichtete datenschutzrechtliche Auskunftsansprüche des Erben, bestehen aber nicht.46 Der Erbe tritt also nicht in datenschutzrechtliche Rechtspositionen des Erblassers ein. Aus dem postmortalen Persönlichkeitsrecht können sich aber für Angehörige Ansprüche auf Unterlassung der Verletzung postmortaler Persönlichkeitsrechtsverletzungen ergeben.47
3. Grundrechte und Grundfreiheiten
18
Die DSGVO soll Grundrechte und Grundfreiheiten schützen, insbesondere das Recht auf den Schutz personenbezogener Daten. Das Ziel des Schutzes der Grundfreiheiten wird in der DSGVO nicht präzisiert.48 Geschützt werden diese jedoch indirekt, indem sich der Einzelne auf unionsweit einheitliche Datenschutzstandards verlassen kann.49
a) Europäische Grundrechte und Grundfreiheiten
19
Europäische Grundrechte sind im Primärrecht verankert und gewähren subjektive Rechtspositionen.50 Sie ergeben sich aus der GRCh sowie vereinzelt aus den Verträgen über die Europäische Union selbst.51 In der Rechtsprechung des EuGH werden zudem die Verfassungsüberlieferungen der Mitgliedstaaten zur Begründung herangezogen, soweit sich diese in Struktur und Ziel der Union einfügen.52 Eine Sonderrolle spielen insoweit grundrechtliche Gewährleistungen in der EMRK, auf die im Primärrecht durch Art. 6 Abs. 3 EUV verwiesen wird und die der EuGH in seiner Rechtsprechung zur Begründung grundrechtlicher Gewährleistungen heranzieht,53 die aber formal nicht zum verbindlichen (Primär-)Recht der EU gehören. Die Eingliederung der EMRK in das europäische Primärrecht erfolgt nämlich erst durch Beitritt der EU zur EMRK.54 Dieser ist nicht zuletzt wegen Vorbehalten des EuGH bisher nicht vollzogen.55 Es wird aktuell geprüft, wie sich vom EuGH adressierte Probleme lösen lassen und ein Beitritt ermöglicht werden kann.56 Europäische Grundfreiheiten werden ausweislich Art. 1 Abs. 1 DSGVO auch durch die DSGVO geschützt. In Abgrenzung zu den Grundrechten dienen sie der Realisierung des in Art. 3 EUV dargestellten Ziels eines gemeinsamen Binnenmarktes,57 richten sich primär an die Mitgliedstaaten,58 enthalten darüber hinaus aber auch subjektive Rechte.59 Den Grundrechten und Grundfreiheiten kommt entscheidende Bedeutung bei der Auslegung des europäischen und des mitgliedstaatlichen Datenschutzrechts zu,60 insbesondere in Bezug auf die unbestimmten Rechtsbegriffe der Erlaubnistatbestände. Indem Art. 1 Abs. 2 DSGVO den Schutz der Grundrechte und Grundfreiheiten zum Ziel und Gegenstand der DSGVO macht, werden diese verbindlicher Auslegungsmaßstab, was faktisch einer gesetzlichen Anordnung unmittelbarer Drittwirkung dieser Gewährleistungen entspricht.61
b) Recht auf Datenschutz in der europäischen Grundrechtsdogmatik
20
Der Schutz personenbezogener Daten ist in Art. 16 Abs. 1 AEUV und in Art. 8 GRCh ausdrücklich als Menschenrecht geregelt. Die Grundrechtscharta und damit auch das Datenschutzgrundrecht werden durch Art. 6 Abs. 1 EUV in das Unionsrecht inkorporiert und entsprechend den EU-Verträgen zum Primärrecht der Union.62 Vor Inkrafttreten der GRCh war das Datenschutzgrundrecht bereits durch die Rechtsprechung des EuGH anerkannt.63 Darin entwickelte Grundsätze gelten auch nach der primärrechtlichen Verankerung des Datenschutzgrundrechts fort.64 Zur Begründung des Grundrechts auf Datenschutz zieht der EuGH ergänzend die Gewährleistung des Rechts auf Achtung des Privat- und Familienlebens heran, das in Art. 7 GRCh und Art. 8 EMRK kodifiziert ist.
21
Das Recht auf Datenschutz gewährleistet, dass personenbezogene Daten nur nach Treu und Glauben für festgelegte Zwecke und mit Einwilligung des Betroffenen oder auf Grundlage einer gesetzlichen Rechtfertigung verarbeitet werden dürfen. Der Schutzbereich ist umfassend und insbesondere nicht abhängig von der Sensitivität des personenbezogenen Datums oder der betroffenen Sphäre. Geschützt werden die Sozial-, Privat- und Intimsphäre.65 Ob neben natürlichen auch juristische Personen Grundrechtsträger sein können, ist nicht abschließend geklärt.66 Der EuGH erkennt einen Schutz juristischer Personen an, soweit der Name der juristischen Personen den Bezug zu natürlichen Personen herstellt.67
22
Das Datenschutzgrundrecht ist kein absolutes Recht des Betroffenen68 und kann durch Gesetz und andere Grundrechte eingeschränkt werden. Gesetzliche Einschränkungen ergeben sich aus der DSGVO sowie den mitgliedstaatlichen Datenschutzgesetzen und anderen Regelungen des Unionsrechts und der Mitgliedstaaten zum Datenschutz. Grundrechte, die das Datenschutzrecht einschränken können, sind insbesondere die Meinungs- und Informationsfreiheit (Art. 11 GRCh), die Forschungsfreiheit (Art. 13 GRCh) und die unternehmerische Freiheit (Art. 16 GRCh).69 Einschränkungen des Datenschutzgrundrechts müssen entsprechend Art. 52 Abs. 1 GRCh den Wesensgehalt achten und verhältnismäßig sein.
23
In Art. 8 GRCh sind wichtige Grundsätze des Datenschutzrechts angelegt, wie das Verbot der Datenverarbeitung mit Erlaubnisvorbehalt, die Verarbeitung nach Treu und Glauben, der Zweckbindungsgrundsatz, das Recht auf Auskunft und die Datenschutzaufsicht, die in der DSGVO entsprechend umgesetzt wurden.
c) Datenschutz in der deutschen und mitgliedstaatlichen Grundrechtsdogmatik
24
Vergleichbar Art. 8 GRCh haben einzelne Mitgliedstaaten eine grundrechtliche Gewährleistung des Rechts auf Datenschutz in ihre Verfassungen aufgenommen.70 Andere Mitgliedstaaten, wie Deutschland, haben keine explizite verfassungsrechtliche Gewährleistung des Datenschutzes. Die mitgliedstaatlichen Gewährleistungen des Rechts auf Datenschutz haben unabhängig von entsprechenden europäischen Gewährleistungen und auch nach Inkrafttreten der GRCh Relevanz. Zum einen als Abwehrrechte gegen öffentliche Stellen des Mitgliedstaats, aber auch für die Auslegung des mitgliedstaatlichen und europäischen Datenschutzrechts. Trotz eines grundsätzlichen Anwendungsvorrangs des Rechts der Union bleiben mitgliedstaatliche Grundrechte nämlich in Kraft.71 Dies ergibt sich zum einen aus dem Grundsatz der begrenzten Einzelermächtigung gemäß Art. 5 Abs. 1 EUV und zum andern aus dem in Art. 53 GRCh angelegten Meistbegünstigungsgrundsatz. Die europäischen Grundrechte sollen den mitgliedstaatlichen Grundrechtsschutz nämlich gerade nicht ersetzen, sondern nur ergänzen.72 Nur für den eher theoretischen Fall einer echten Kollision grundrechtlicher Vorgaben der Union und der Mitgliedstaaten würden der Anwendungsvorrang des Rechts der Union greifen.73
d) Recht auf informationelle Selbstbestimmung
25
Das Recht auf informationelle Selbstbestimmung ist ein dogmatischer deutscher Sonderweg,74 der die Entwicklung des deutschen und europäischen Datenschutzrechts aber wesentlich geprägt hat.75 Entscheidend für seine Entwicklung ist das Volkszählungsurteil.76 Darin hat das BVerfG das Grundrecht erstmals als Fallgruppe des allgemeinen Persönlichkeitsrechts