1.
Vorbemerkung ^
Nicht alle Widerstände, denen sich eine Rechtssetzung gegenübersieht, sind freilich von der absoluten, naturgesetzlichen Art der vom König gegebenen Beispiele. Und in diesem Zwischenbereich stellt sich dann gerade für einen demokratischen Rechtssetzer die Frage: ist es besser, den je eigenen Regelungsanspruch von vorneherein weise zurückzunehmen oder die faktischen Widerstände – mit erheblichem Machteinsatz – zu brechen? Besonders pikant wird diese Frage, wenn, wie im Falle des Internet, der erhebliche – aber nicht gänzlich unüberwindliche –Widerstand gegen demokratische Rechtssetzung geradewegs im Namen der Vernunft («Mind»), im Namen der Regierten, im Namen der Freiheit, der Zivilisation, ja der Menschheit ausgerufen wurde2 und, im Falle des Datenschutzes, direkt ein die Privatsphäre bzw. Autonomie eines jeden Einzelnen schützendes Grundrecht beeinträchtigt.
2.1.
Das Grundrecht ^
2.2.
Der Ausnahmetatbestand des § 1 Abs. 1 Satz 2 DSG 2000: Abstellen auf rechtliche oder faktische «allgemeine Verfügbarkeit»? ^
Denn der Akzent der Bestimmung liegt ja gerade nicht darauf, den Geheimhaltungsanspruch dann auszuschließen, wenn die betreffenden Daten «allgemein verfügbar» sein sollten, sondern, wenn diese «einem Geheimhaltungsanspruch nicht zugänglich sind». Die «allgemeine Verfügbarkeit» dient, in der Systematik dieses Satzes, lediglich als – eine6 die ausreichende Sachlichkeit des Ausschlusses des Geheimhaltungsanspruches authentisch erläuternde, aber für den Tatbestand selbst nicht konstitutive – Begründung7 der Undurchführbarkeit des rechtlichen Anspruches. Dies wird auch dadurch ersichtlich, dass dieser Satz auch bei vollständiger Streichung des Passus «infolge ihrer allgemeinen Verfügbarkeit»8 seinen Sinn behielte. Soferne jedoch nur das Tatbestandsmerkmal der rechtlich zulässigen Veröffentlichung mangeln sollte, dann sänne man dem Verfassungsgesetzgeber zu, einen Satz folgenden Inhalts normiert zu haben:
«Ein Geheimhaltungsanspruch besteht auch dann, wenn die betreffenden Daten … einem Geheimhaltungsanspruch nicht zugänglich sind.»
Eine solche – krass kontrafaktische – Anordnung widerspräche freilich dem – nach Art. 9 Abs. 1 B-VG auch einen Bestandteil des Bundesrechts bildenden – allgemeinen Rechtsgrundsatz «impossibilium nulla est obligatio»9, der auch – freilich zunächst einmal lediglich für den Bereich des bürgerlichen Rechts – in § 878 ABGB10 ausdrücklich positiviert ist. Nun hat zwar der VfGH erst unlängst in VfSlg 19.412 (möglicherweise entsprechender Kritik11 Rechnung tragend) einen früheren Ansatz12, mangelnde Vollziehbarkeit einer Norm widerstreite einem verfassungsrechtlichen, aus dem Gleichheitssatz13 abgeleiteten «Effizienzgebot»14, dementiert; war der VfGH aber hier nicht doch im Ergebnis auf der richtigen Fährte gewesen? Gehört der zitierte Rechtsgrundsatz (zwar vielleicht) nicht (zum verfassungsgesetzlich gewährleisteten Recht auf Gleichheit vor dem Gesetz i.S.d. Art. 2 StGG bzw. Art. 7 B-VG, aber sehr wohl) zum tradierten Verständnis unseres Begriffes von «Recht» i.S.d. Art. 1 B-VG?15 In diese Richtung scheint mir jedenfalls auch die – seit 1925 für den Bereich des Verwaltungsverfahrensrechts kodifizierte – aufsichtsbehördlichen Ermächtigung des § 68 Abs. 4 Z 3 AVG16 zu weisen, wonach ein Bescheid, aus dem jemandem bereits «ein Recht erwachsen ist»17, von Amts wegen «als nichtig erklärt werden» kann, wenn er «tatsächlich undurchführbar ist».18 Jedenfalls im Zweifel – also bei Bestehen mehrerer Normhypothesen – sollte man daher m.E. auch bei der Auslegung rezenten Verfassungsrechts keine wählen, die mit diesem tradierten Rechtsverständnis im Widerspruch stünde; was wir hier – im ersten Tatbestand des § 1 Abs. 1 Satz 2 DSG 2000 – also vor uns haben, ist m.E. ein Beispiel weiser Selbstbeschränkung des österreichischen Verfassungsgesetzgebers. Diese Auslegung wird m.E. noch zusätzlich erhärtet durch den Umstand, dass § 1 Abs. 1 zweiter Satz DSG 2000 noch einen weiteren Begründungstatbestand enthält; der Geheimhaltungsanspruch ist nämlich auch ausgeschlossen, wenn die «Daten … «wegen ihrer mangelnden Rückführbarkeit einem Geheimhaltungsanspruch nicht zugänglich sind»; jedenfalls dieses Element ist unzweifelhaft ein faktisches.19
3.1.
Der Ansatz des Art. 8 GRC und der RL 95/46/EG ^
Auf der Ebene des EU-Primärrechts hat das Grundrecht auf Datenschutz eine explizite Positivierung durch den Vertrag von Lissabon – näherhin sowohl in Art. 16 Abs. 1 AEUV wie in Art. 8 GRC – erfahren, sekundärrechtlich bindet die RL 95/46/EG bereits seit 1998.20 Dieses Unionsrecht sieht nun – anders als das österreichische – in der Tat «keine Ausnahme für veröffentlichte Daten» vor.21 Der Grund liegt freilich nicht in einer Hybris des Unionsrechtssetzers22, sondern in einem fundamental anderen Ansatz: Weder das Grundrecht23 noch die RL kennen nämlich überhaupt einen «Anspruch auf Geheimhaltung», sondern folgen dem vom dBVerfG entwicklelten Prinzip der «informationellen Selbstbestimmung».24 In seinem Urteil vom 16. Dezember 2008, C-73/07 (Markinapörssi)25 hielt der EuGH denn auch ausdrücklich fest:
«Schließlich würde eine allgemeine Ausnahme von der Anwendung der Richtlinie zugunsten veröffentlichter Informationen die Richtlinie weitgehend leerlaufen lassen. Es würde nämlich ausreichen, dass die Mitgliedstaaten Daten veröffentlichen ließen, um diese dem von der Richtlinie vorgesehenen Schutz zu entziehen.»26
Beim unionsrechtlichen Datenschutz muß es demnach gar nicht um den Schutz vor erstmaliger Veröffentlichung (also den eigentlichen Schutz der «Privatsphäre» 27) gehen, weil die betreffende Information eben bereits schon (zumindest) einmal veröffentlicht worden – und trotzdem nach wie vor sub titulo «Selbstbestimmung» schutzwürdig – sein kann. Der unionsrechtliche Fokus des Datenschutzes liegt demnach insoweit auf einer Reglementierung jeder neuerlichen «Verarbeitung»28. «personenbezogener Daten»29 in Verbindung mit den «sekundären» Rechten auf Auskunft30, Berichtigung, Löschung oder Sperrung31 gegenüber jedem Verarbeiter. Das Unionsrecht reflektiert damit sichtlich – ebenso wie bereits die Datenschutz-Konvention des Europarates32 – stärker die seinerzeitigen spezifischen Ängste (gerade auch) gegenüber (den seinerzeitigen) «Fortschritte[n] der Informationstechnik»33, d.h. den zunächst von «Großcomputern» bzw. «Datenbanken», sodann aber auch von «unzähligen» kleineren «EDV-Anlagen»34 ausgehenden Gefahren der Informationsverknüpfung35 – im Gegensatz zum abstrakteren, weil «verfahrens- und technologieunabhängigen Konzept des österreichischen «Grundrechts auf Geheimhaltung».36
3.2.
Der zunehmende Rechtfertigungsdruck angesichts des Internet ^
Nun sind die spezifischen Gefahren, die auch in der bloßen Verknüpfung bereits isoliert veröffentlichter Daten liegen können, nicht zu leugnen; allerdings stellt sich angesichts der nachfolgenden technologischen Herausforderung durch das «allgegenwärtige Internet» in Verbindung mit einer mittlerweile uferlosen Menge dezentraler Speicher37 und deren kontinuierlicher Verbindung via globales E-Mail – Jahnel weist zutreffend auf die besondere «Langlebigkeit» von Daten, die einmal «ins Internet gestellt» wurden, gerade auch aufgrund ihrer ubiquitären Speicherbarkeit hin38 – schon die Frage, ob der mit den genannten Rechtsbehelfen heute überhaupt noch erreichbare «Schutz» mittlerweile nicht bereits vollständig illusorisch39 geworden sei. Sollte sich nun tatsächlich diese nunmehrige mangelnde «Eignung» der genannten Rechtsbehelfe, den angestrebten Schutz auch in einer gewandelten Umwelt noch zu gewährleisten, erweisen, dann gerieten diese Mittel in rechtlicher Hinsicht unter Rechtfertigungsdruck, und zwar gerade auch – mit Blick auf die durch diese Mittel notwendigerweise bei den gegenbeteiligten Adressaten verursachten Belastungen – unter dem Gesichtspunkt der Verhältnismäßigkeit,
- entweder – soweit es sich bei den Adressaten dieser Mittel um (gegenbeteiligte) Grundrechtsträger handeln sollte – als bei Eingriffen in etwa die Grundrechte auf Meinungs- und Informationsfreiheit40, Erwerbsfreiheit oder schlicht auf Respektierung der Privatautonomie, aber sogar auch auf Datenschutz!41 anzustellende Verhältnismäßigkeitsprüfung42,
- oder aber – insoweit dem Gegenbeteiligten die Eigenschaft eines Grundrechtsträgers nicht zuerkannt werden sollte (wie etwa dem hoheitlich agierenden Staat43) – mittels Anwendung des einen allgemeinen Rechtsgrundsatz des Unionsrechts i.S.d. Art. 6 Abs. 3 EUV darstellenden Verhältnismäßigkeitsprinzips.44
In diesem Zusammenhang sei nun insbesondere45 auf das Urteil des EuGH vom 24. November 2011, C-70/10 (Scarlet Extended) hingewiesen, wo – zwar nicht im Kontext des Datenschutzes, aber in dem sachlich nahe verwandten des Schutzes geistigen Eigentums (Art. 17 Abs. 2 GRC) – erkannt wurde, dass die vom Träger des gewerblichen Schutzrechts zur Verhütung von Urheberrechtsverletzungen im Internet begehrte Installierung eines «Filtersystems» durch den Internet Service Provider «zu einer qualifizierten Beeinträchtigung der unternehmerischen Freiheit des Providers führen» würde, «da sie ihn verpflichten würde, ein kompliziertes, kostspieliges, auf Dauer angelegtes und allein auf seine Kosten betriebenes Informatiksystem einzurichten», was diesem nicht zuzumuten wäre. Nun ist aber schwer zu sehen, wie auch nur das traditionelle datenschutzrechtliche Auskunftsrecht – Voraussetzung der Effektuierung aller übrigen unionsrechtlichen Aspekte des Datenschutzes46 – gegenüber irgendeinem gegenbeteiligten Verpflichteten, der die betreffenden Daten über das Internet erlangt hat47, ohne die vorgeschaltete Hilfe eben eines solchen «Filtersystems» funktionieren sollte. Wenn jedoch die datenschutzrechtlichen Instrumentarien hinsichtlich des Internet versagen48:
Dass das Internet zentrale Elemente der Konzeption der DS-RL50 obsolet werden ließ, hat der EuGH im übrigen bereits vor gut zehn Jahren im Urteil Linquist 51deutlich gemacht, als er zwar einerseits anerkannte, dass die Veröffentlichung einer Information im Internet bewirke, dass diese auch in «Drittländern» i.S.d. Art. 25 der RL empfangen werden könne, es gleichwohl aber ablehnte, eine solche Veröffentlichung («Hochladen») dem Regime dieses Artikels zu unterwerfen52 – und damit implizit eingestand, dass mittels des Internet die – zur Wahrung eines einheitlichen Datenschutz-Niveaus eigentlich unabdingbare – Kontrolle des Datenverkehrs in Drittländer (vor allem in solche ohne ausreichendes Schutzniveau) vollständig unterlaufen werden könne.53
3.3.
Dogmatische Reduktion des Art. 8 GRC unter Rückgriff auf Art. 52 Abs. 5 GRC? ^
In einer solchen Situation hat nun der – freilich etwas anders motivierte – Ansatz von Berka54 viel für sich, gerade den, gemessen am älteren Ansatz, «innovativen»55 – aber, unter den gegenwärtigen Bedingungen des Internet, nicht mehr gewährleistbaren – Teil des Grundrechts auf Datenschutz auf das bereits vom Grundrecht auf Privatsphäre als solches (Art. 8 EMRK56, Art. 7 GRC) Gewährleistete zurückzunehmen.57 Dogmatisch böte hier die Grundrechte-Charta sogar durchaus gewisse (hier lediglich skizzierbare) Handhaben: Die GRC unterscheidet bekanntlich in ihrem Art. 52 Abs. 5 zwischen direkt anwendbaren «Rechten» und ausführungsbedürftigen «Grundsätzen»: Während nun eine Subsumption der den EMRK-Grundrechten entsprechenden GRC-Rechte – wie eben auch des Art. 7 GRC – unter bloße «Grundsätze» wohl deswegen ausscheidet, weil die EMRK eine derartige Unterscheidung nicht kennt und deren «Menschenrechte und Grundfreiheiten» vom EGMR stets als direkt anwendbar (im Sinne der in Art. 52 Abs. 5 GRC getroffenen Unterscheidung) erachtet wurden, besteht bei Art. 8 GRC dieses Hindernis nicht.58
4.
Herausforderung für die (demokratische) Rechtssetzung ^
Aber: ist es wirklich der Weisheit letzter Schluss, als Rechtsordnung vor den geschilderten Widerständen zu kapitulieren, sich – allenfalls «geordnet» – zurückzuziehen? Dass das Internet eine Herausforderung für die Durchsetzbarkeit staatlicher Regelungsansprüche werden könnte, ist nicht nur nicht neu, sondern stand als – «liberale», ja anarchistische – Idee bereits am Beginn dieses Mediums.59 Diese Herausforderung richtet sich freilich nicht einfach, wie die Herausforderer offenbar glaubten, gegen irgendwelche tyrannischen «Governments of the Industrial World»60, sondern insoweit, als die staatliche Rechtssetzung auf demokratischer Grundlage erfolgt, ganz konkret gegen die Demokratie61 – und damit auch gegen das «Volk» – des jeweiligen Staates. Dies zu betonen ist auch deshalb nicht ganz unwichtig, da ja die seinerzeitige, an alle (zumindest an alle Industrie-)
Staaten gerichtete Ansage:
nur cum grano salis richtig ist; zwar gibt es bisher kein internationales «public construction project», insbesondere keine globale, auf einem multilateralen Staatsvertrag63 beruhende Internet-Regulierungs-Behörde, sehr wohl aber die «Internet Corporation for Assigned Names and Numbers» (ICANN), eine private «non-profit-organization» nach kalifornischem Recht, auf die klarerweise der Sitzstaat – und damit dessen «demos» – einen privilegierten Zugriff hat.64
Nun zeigt insbesondere65 die VR China (mit einem Volumen von ca. 360 Mill. Internet-Usern66 in etwa der EU vergleichbar), dass eine staatliche Kontrolle über jene Inhalte des Internet, die sich gerade auf ihrem eigenen Territorium befinden, in technischer Hinsicht durchaus bewerkstelligbar ist, und zwar durch eben jene «Filtersysteme»67, die in Scarlet Extended angesprochen, deren Installierung jedoch als für einen privaten Service Provider zu aufwendig beurteilt wurde. Die gerade in einem demokratischen Rechtsstaat unabdingbare Frage wäre diesfalls freilich: Wie schaut es mit der Gesamtbilanz aus? Erforderte der Einsatz eines solchen Filtersystems nicht seinerseits Grundrechtseingriffe68, die den ursprünglichen Nutzen überstiegen, oder animierte er nicht zumindest nachträglich zu solchen?69
Alexander Balthasar
Leiter des Instituts für Staatsorganisation und Verwaltungsreform im Bundeskanzleramt
Ballhausplatz 1, 1014 Wien, AT
Priv.-Doz. für Verfassungsrecht und Allgemeine Staatslehre an der Karl-Franzens-Universität Graz
- 1 Antoine de St.-Exupéry, Le Petit Prince (1943).
- 2 Vgl. John Perry Barlow, A Declaration of the Independence of Cyberspace (zugänglich unter https://projects.eff.org/~barlow/Declaration-Final.html, zuletzt abgerufen am 2. Februar 2014).
- 3 Die Schrankensystematik entspricht grosso modo jener des Art. 8 Abs. 2 EMRK bzw. des Art. 52 Abs. 1 GRC.
- 4 BGBl 1978/565.
- 5 So, u.Hw. auf den – freilich lediglicheinfachgesetzlichen – § 8 Abs. 2 DSG 2000 etwa Walter Dohr/Hans-Jürgen Pollirer/Ernst Weiss/Rainer Knyrim, Kommentar Datenschutzrecht2 (2002, 14. Ergänzungslieferung Juli 2013), § 1, Anm. 8; ebenso Andreas Lehner/Konrad Lachmayer, Datenschutz im Verfassungsrecht, in: Lukas Bauer/Sebastian Reimer (Hrsg.), Handbuch Datenschutzrecht (2009), 95 ff., 99; Dietmar Jahnel, Handbuch Datenschutzrecht (2010), Rz. 2/18 f. Vgl. auch Berka, Gutachten, 62, und, 89 (zwar hier die hL klar ablehnend [«nicht begründet»], aber gleichwohl selbst ausführend: «allgemein verfügbar sind Informationen, über welche diese Allgemeinheit verfügen darf» [HiO]). So wie hier allerdings Waltraut Kotschy, Das Grundrecht auf Geheimhaltung personenbezogener Daten. Rückblick und Ausblick, Teil 1, in: Dietmar Jahnel (Hrsg.), Datenschutz und E-Government. Jahrbuch 2012 (2012), 27 ff., 45 f.
- 6 Zur zweiten Begründung siehe letzten Absatz dieses Abschnittes.
- 7 Bekanntlich hat bereits Platon «zwingende» von lediglich «überredenden» Normbestandteilen unterschieden (Gesetze 718a–724b).
- 8 Sowie des zweiten Passus (siehe letzten Absatz dieses Abschnittes).
- 9 Ursprünglich D 50, 17, 185.
- 10 Der erste Satz dieses Paragraphen lautet bündig: «Was geradezu unmöglich ist, kann nicht Gegenstand eines gültigen Vertrages werden.»
- 11 Magdalena Pöschl, Gleichheit vor dem Gesetz (2008), 248 ff., 276 ff., 894.
- 12 Prüfungsbeschluss zu VfSlg 11.190.
- 13 Genauer aus dem (seinerseits – aufgrund welcher genauen Herleitung auch immer – aus dem Gleichheitssatz gewonnenen) allgemeinen Sachlichkeitsgebot, vgl. noch VfSlg 17.023.
- 14 Als haushaltsrechtliches Prinzip ist das Effizienzgebot dagegen unbestritten, vgl. Rudolf Feik, Öffentliche Verwaltungskommunikation (2007), 309; Pöschl, Gleichheit, 278 f., do Fn. 353; auch der Prüfungsbeschluss zu VfSlg 11.190 und VfSlg 17.023 lassen aber noch die haushaltsrechtliche Wurzel des verallgemeinerten Effizienzgebotes erkennen, bewegen sich also insoweit noch in einer anderen Kategorie als der hier gemeinten.
- 15 Vgl. lapidar etwa Felix Ermacora, Allgemeine Staatslehre (1970), II/948: «Das Recht ist von Effektivität getragen»; zur «Bedeutung der Effektivität» für das dem staatlichen Recht vorausliegende allgemeine Völkerrecht siehe auch August Reinisch/Hanspeter Neuhold, Grundlagen und Rahmenbedingungen des heutigen Völkerrechts, in: August Reinisch (Hrsg.), Österreichisches Handbuch des Völkerrechts I5 (2013), Rz. 62 ff. Wenn aber schon Normen, die ihrer Art nach verwirklichbar wären, im Falle dauernden Mangels ihrer tatsächlicher Beachtung der Rechtscharakter abgesprochen wird, dann wohl umso eher (und ab initio) solchen, die, ihres spezifischen Inhaltes (i.V.m. den tatsächlichen Verhältnissen, auf die sie treffen) wegen, gar nicht verwirklichbar/beachtbar) sind.
- 16 Zur Auslegung siehe näher etwa Johannes Hengstschläger/David Leeb, Kommentar zum Allgemeinen Verwaltungsverfahrensgesetz IV (2009), § 68, Rz. 117 ff.
- 17 Andernfalls wäre eine Aufhebung nach § 68 Abs. 2 AVG jederzeit zulässig.
- 18 Vgl. auch, wenngleich in der Überschrift eingeschränkt auf Fälle nachträglicher Unmöglichkeit, Art. 61 WVK. Fälle anfänglicher Unmöglichkeit sind im Völkerrecht aber wohl nach wie vor unmittelbar über Art. 38 Abs. 1 lit. c des IGH-Statuts erfasst.
- 19 So Dohr/Pollirer/Weiss/Knyrim, Kommentar, § 1, Anm. 9 («nicht machbar»); siehe auch Kotschy, Grundrecht 1, 53.
- 20 Nach ihrem Art. 32 Abs. 1 endete die Umsetzungsfrist drei Jahre nach ihrer Annahme (also am 24. Oktober 1998). Die gewählte Kompetenzgrundlage (nunmehrArt. 114 AEUV) erlaubt nach Ansicht des EuGH, den Anwendungsbereich der RL auch auf nicht unmittelbar binnenmarktkonnexe Sachverhalte zu erstrecken (Urteil vom 20. Mai 2003, C-465/00 [ORF], Rz. 41 ff.; vgl. auch Urteil vom 6. November 2003, C-101/01 [Linquist], Rz. 40 ff.). Damit laufen insoweit die in Art. 6 Abs. 1 EUV bzw. in Art. 51 Abs. 2 GRC enthaltenen Restriktionen leer. AA denn auch Dietrich Westphal, Grundlagen und Bausteine des europäischen Datenschutzrechts, in: Bauer/Reimer, Handbuch, 53 ff., 69; vgl. auch Art. 16 Abs. 2 AEUV, der gleichfalls eine Kompetenzgrundlage nur hinsichtlich des Anwendungsbereiches des Unionsrechts enthält.
- 21 Darauf hat, insoweit zu Recht, bereits Jahnel (Handbuch, Rz. 2/22) hingewiesen.
- 22 Eine solche wäre ihm umso weniger zu unterstellen, als ja unser tradiertes (oben dargestelltes) Verständnis von «Recht» wohl gerade auch jenes ist, das dem unionsrechtlichen Begriff der «rule of law» zugrundeliegt (vgl. Art. 2 EUV i.V.m. dem zweiten Erwägungsgrund der Präambel zum EUV).
- 23 Vgl. den Wortlaut des Art. 8 Abs. 2 GRC; aus der Formulierung des Art. 16 Abs. 1 AEUV (= Art. 8 Abs. 1 GRC) – «Jede Person hat das Recht auf Schutz der sie betreffenden personenbezogenen Daten» – lässt sich dagegen zum genauen Schutzumfang überhaupt nichts gewinnen.
- 24 Vgl. Berka, Gutachten, 28 f., 63, 85 ff.
- 25 Auf dieses bezieht sichJahnel (Handbuch, Rz. 2/19) tragend.
- 26 Der EuGH unterstellt (bereits) hier den Mitgliedsstaaten einen rechtsstaatlich bedenklichen Umgang mit dem Grundrecht auf Datenschutz; noch krasser allerdings in seinem Urteil vom 9. März 2010, C-518/07 (Kommission/D), Rz. 35.
- 27 Konsequenterweise verzichtet Art. 8 GRC auch, anders als § 1 Abs. 1 DSG, auf jeden expliziten textlichen Bezug zur «Achtung des Privatlebens». Vgl. jedoch das Urteil des EuGH vom 9. November 2010, C -92/09 u.a. (Schecke), Rz. 47, wo es unmittelbar nach der Wiedergabe des Wortlautes des Art. 8 Abs. 1 GRC apodiktisch (wenngleich ohne jeden Beleg) heißt: «Dieses Grundrecht steht in engem Zusammenhang mit dem in Art. 7 der Charta verankerten Recht auf Achtung des Privatlebens.»
- 28 Nach Art. 8 Abs. 2 GRC dürfen Daten nur entweder «auf einer … gesetzlich geregelten … Grundlage» oder «mit Einwilligung der betroffenen Person» verarbeitet werden (vgl. etwa Norbert Bernsdorff, Glosse zu Art. 8, Rz. 21, in: Jürgen Meyer, Charta der Grundrechte der Europäischen Union3 [2011]); dies bietet auch dem lediglich sekundärrechtlich in Art. 14 der RL vorgesehenen Widerspruchsrecht eine plausible primärrechtliche Grundlage.
- 29 Art. 8 Abs. 2 GRC; Art. 8 der RL.
- 30 Die Dialektik dieses – im Kontext des Grundrechts auf Datenschutz (des einen Grundrechtsträgers) eingerichteten – Rechts auf Information zeigt sich (in der österreichischen wie in der unionsrechtlichen Ausprägung) dann, wenn eine (mit Blick auf die nachfolgende Ausübung der Rechte auf «Berichtigung, Löschung oder Sperrung») sinnvolle «Auskunft über die» den Auskunftswerber «betreffenden erhobenen Daten» nicht ohne gleichzeitige Offenlegung von Daten, die sich auf andere Grundrechtsträger beziehen, möglich sein sollte (vgl. § 1 Abs. 3 Z 1 DSG 2000: Recht auf Auskunft auch darüber, «an wen» die betreffenden Daten übermittelt wurden, im Einklang mit dem 41. Erwägungsgrund der RL); dass dieser Wortlaut mit Blick auf die in Art. 12 lit. a erstem Anstrich der RL enthaltene Alternative, nur «Kategorien von Empfängern» zu nennen, gegenwärtig bei uns einschränkend interpretiert wird (vgl. Jahnel, Handbuch, Rz. 7/32), zeigt nur die Sensibilität des Problems.
- 31 Art. 12 der RL; in Art. 8 Abs. 2 GRC finden sich nur die Rechte auf «Auskunft» und «Berichtigung».
- 32 BGBl 1988/317; ZP BGBl III 2008/91. Zu rezenten Aktivitäten des Europarates siehe die vonMatthias Kettemann, Ensuring Human Rights Online: An Appraisal of Selected Council of Europe Initiatives in the Information Sector in 2010, in: Wolfgang Benedek et al, European Yearbook on Human Rights 2011 (2011), 461 ff., gegebene Übersicht.
- 33 Cit. 4. Erwägungsgrund der Präambel zur RL 95/46/EG. Was damit gemeint war, zeigt der Anwendungsbereich der RL lediglich auf «zumindest teilweise automatisierte Verarbeitung personenbezogener Daten sowie» auf «nicht automatisierte Verarbeitung personenbezogener Daten, die in einer Datei gespeichert sind oder gespeichert werden soll» (Art. 3 Abs. 1); siehe zu diesem Paradigma näher Berka, Gutachten, 27 ff., 31 ff.
- 34 Cit. Jahnel, Handbuch, Rz. I/9.
- 35 Siehe Berka, Gutachten, 28.
- 36 Cit. Alfred Duschanek, Die Entwicklung des Datenschutzes in Österreich, in: Bauer/Reimer, Handbuch, 43 ff., 45. Das österreichische Grundrecht erweist sich daher dem historisch älteren «right to privacy»-Ansatz, wie er insbesondere auch im US-Recht erhalten geblieben ist, jedenfalls stärker verwandt als das EU-Grundrecht (vgl. zu diesem Ansatz etwa Berka, Gutachten, 24 ff., 31, bemerkenswerterweise, ohne die hier gesehene Verwandtschaft herauszustellen; vgl. aber immerhin Berka, 18. ÖJT 2012, I/2, 10 ff., 13).
- 37 Von klassischen «EDV-Anlagen» bis hin zu Stand-PCs, Notebooks und Mobiltelefonen.
- 38 Handbuch, Rz. 1/4. Vgl. auchMichael Sonntag, Der Nachweis von Inhalten im Internet, IRIS 2012, 131 ff., der – aus anderer Perspektive – erwähnt, dass auch auf dem Server längst gelöschte Inhalte nach wie vor auf einer Vielzahl an Proxies gespeichert sein können, vom Internet-Archiv «Wayback-Machine» einmal ganz zu schweigen …
- 39 Bekanntlich urteilt der EGMR in ständiger Rechtsprechung, «that the Convention is intended to guarantee not rights that are theoretical or illusionary but rights that are practical and effective» (cit. Urteil vom 13. Mai 1980, Nr. 6694/74, Rz. 33, vgl. etwa Harris, O’Boyle & Warbrick, Law of the European Convention on Human Rights2 [2009], 15). Diesen Interpretationsgrundsatz muß man wohl, via Art. 6 Abs. 3 EUV, auch als für das Unionsrecht verbindlich ansehen.
- 40 Vgl. Linquist, Rz. 86.
- 41 Vgl. Scarlet Extended, Rz. 51 («…die Anordnung, das streitige Filtersystem einzurichten, eine systematische Prüfung aller Inhalte sowie die Sammlung und Identifizierung der IP-Adressen der Nutzer bedeuten würde, die die Sendung unzulässiger Inhalte in diesem Netz veranlasst haben, wobei es sich bei diesen Adressen um geschützte personenbezogene Daten handelt, da sie die genaue Identifizierung der Nutzer ermöglichen.»).
- 42 Vgl. paradigmatisch Art. 52 Abs. 1 GRC; nichts wesentlich anderes ergibt aber die Prüfung nach Art. 52 Abs. 3 i.V.m. den entsprechenden in der EMRK enthaltenen Rechten, vgl.Martin Borowsky, Glosse zu Art. 52 GRC, Rz. 22a, 29, in: Meyer, Charta. Danach sind Eingriffe (zum Schutze gegenbeteiligter Interessen) einmal dann problematisch, wenn ihnen von vorneherein jede Eignung, das angestrebte Ziel zu erreichen, fehlt, zum andern aber auch dann, wenn zur Erreichung dieses Zieles unverhältnismäßig hohe Belastungen erforderlich würden.
- 43 Vgl. Martin Borowsky, Glosse zu Art. 51 GRC, Rz. 35; siehe auch Feik, Verwaltungskommunikation, 319 ff.; Theo Öhlinger/Harald Eberhard, Verfassungsrecht9 (2012), Rz. 705.
- 44 Siehe nur Rudolf Geiger/Daniel-Erasmus Khan/Markus Kotzur, EUV/AEUV. Kommentar5 (2010), Art. 6 EUV, Rz. 41; davon ist der spezielle Verhältnismäßigkeitsgrundsatz i.S.d. Art. 5 Abs. 4 EUV (vgl. dazu etwa iid, Art. 5, Rz. 17 ff.) zu unterscheiden.
- 45 Vgl. auch die Schlussanträge vom 26. November 2013 zu Rs. C-314/12 (UPC Telekabel), Rz. 24–28, 79–90, aber auch Rz. 91 ff.
- 46 Rechte auf «Berichtigung, Löschung oder Sperrung» (siehe oben im Text bei Fn. 32) sowie auf «Widerspruch» (siehe oben Fn. 29). Diese Rechte laufen natürlich auch bei einer restriktiven Interpretation des Auskunftsrechts (siehe oben Fn. 31) leer.
- 47 Der «Ermittler» der Daten bedient sich dabei notwendigerweise einer Suchmaschine (vgl. näher Georg Lechner, Datenschutz und Internet, in: Bauer/Reimer, Handbuch, 209 ff., 220; Wolfgang Stessl, Internetsuchmaschinen und Datenschutz, in: Dietmar Jahnel, Datenschutzrecht und E-Government. Jahrbuch 2009 (2009), 91 ff.). Theoretisch könnten die Effekte der «Verknüpfung» (siehe oben Fn. 36) daher auch durch Restringierung dieser Suchmaschinen limitiert werden – freilich gälte für diese die vom EuGH in Scarlet Extended in Bezug auf Provider angestellte Überlegung wohl in zumindest demselben Maße. Siehe auch gleich übernächste Fn.
- 48 Wie Stessl, Internetsuchmaschinen, eindrucksvoll zeigt, könnten die von den Betreibern dieser Maschinen angebotenen Dienste durchaus in datenschutzrechtlichen Kategorien beschrieben werden – freilich um den Preis ihrer Unerfüllbarkeit (siehe insbes. 112 f. und 115: «Tätigkeiten … grundsätzlich unzulässig …»). Vgl. auch Kettemann, EYHR 2011, 476 f.
- 49 Auf den ersten Blick mag man einwenden, dass der private Betroffene nicht dem aus dem Gleichheitssatz abgeleiteten Willkürverbot unterliege; allerdings sei hier doch relativierend auf § 1295 Abs. 2 ABGB hingewiesen.
- 50 Nach dem 8. Erwägungsgrund der RL soll ja immerhin die Gewährleistung eines «gleichwertigen Schutzniveaus» für den Datenverkehr innerhalb der Mitgliedsstaaten «unerlässlich» sein. Und Erwägungsgrund 57 führt, damit konsistent, aus: «Bietet … ein Drittland kein angemessenes Schutzniveau, so ist die Übermittlung personenbezogener Daten in dieses Land zu untersagen.»
- 51 Siehe oben Fn. 21.
- 52 Rz. 56–71.
- 53 Auch Felix Hörlberger (ÖJZ 2004, 745) kommt letztlich zu keinem anderen Ergebnis, wenn er das Internet generell als «Register, das … zur Information der Öffentlichkeit bestimmt ist» i.S.d. Art. 26 Abs. 1 lit. f der RL betrachtet.
- 54 Walter Berka, Das Grundrecht auf Datenschutz im Spannungsfeld zwischen Freiheit und Sicherheit. Gutachten für den 18. ÖJT 2012, I/1, 17.
- 55 Cit. Bernsdorff, Art. 8 GRC, Rz. 12.
- 56 Soweit zu sehen, behält auch die neuere Jud. des EGMR zu Art. 8 EMRK in datenschutzrechtlichen Angelegenheiten den (durch den Wortlaut ja auch indizierten) Konnex zur Privatsphäre noch bei (siehe näherBerka, Gutachten, 70 ff.).
- 57 Gutachten, 18, 148 (These 4).
- 58 Welche Bestimmung der GRC unter welche der beiden Kategorien falle, ist derzeit noch weitgehend ungeklärt (vgl. VfSlg 19.632; siehe auch Borowsky, Art. 52 GRC, Rz. 45d). Daher könnte man durchaus erwägen, auch ein Grundrecht, dessen Verwirklichbarkeit qualifiziert problematisch (geworden) ist, als ausführungsbedürftigen «Grundsatz» anzusehen, zumal, da die offiziellen Erläuterungen (2007/C 303/02) auch die Möglichkeit erwähnen, dass einer Bestimmung sowohl (im Hinblick auf bestimmte Aspekte) der Charakter eines «Rechts», wie (im Hinblick auf andere Aspekte) jener eines «Grundsatzes» zukommen könnte.Sekundärrechtlich wirkt sich diese vom Primärrecht eröffnete Unterscheidungsmöglichkeit derzeit freilich nicht aus, jedenfalls so lange nicht, als man die RL 95/46/EG zumindest prinzipiell auch auf im Internet veröffentlichte Daten bezieht (vgl. etwa 10. Erwägungsgrund der RL 2002/58/EG).
- 59 Siehe, Joanna Kulesza, International Internet Law (2012), xiff, uHw auf John Perry Barlows «A Declaration of the Independence of Cyberspace» (siehe oben Fn. 3).
- 60 Mit dieser Adresse beginnt die in der vorigen Fn. angeführte Erklärung, im zweiten Absatz heißt es sodann: «I declare the global space we are building to be naturally independent of the tyrannies you» (sc die «Governments of the Industrial World», an die sich diese «Declaration» richtet) « seek to impose on us».
- 61 Die unterschiedliche Stoßrichtung wurde auch offen eingestanden, vgl. Kulesza, International Internet Law, 147: «D.R. Johnson and D.G.Post were the first to openly claim that the principles of territorial jurisdiction are not fit for cyberspace … The authors do not consider democratic norms to be the best alternative to formulating Internet society policies from scratch. According to Johnson and Post, cyber-communities are organized around individual sets of rules …»
- 62 Barlows, Declaration, 3. Absatz.
- 63 «Internet Framework Convention», siehe Kulesza, Internet Law, 152 ff.; vgl. auch Kettemann, EYHR 2011, 470 ff.
- 64 Siehe näher Kulesza, Internet Law, 128 ff., 132 ff. (zu den Auswirkungen eines am 1. Oktober 2009 zwischen ICANN und dem US Handelsministerium geschlossenen Übereinkunft, die den bis dahin bestanden habenden US-Einfluss auf ICANN reduzierte – was aber natürlich nicht heißt, dass nicht die US-Gesetzgebung jederzeit neuerlich den status quo ante herstellen könnte). Vgl. auch Rolf Weber, Constitutional Clothes for ICANN?, IRIS 2012, 449 ff.
- 65 Zu Singapur siehe Kulesza, International Internet Law, 116 ff.
- 66 Kulesza, Internet Law, 109.
- 67 Vgl. Kulesza, Internet Law, 109 ff.
- 68 Vgl. oben Fn. 31 und 42.
- 69 Vgl. mutatis mutandis, Franz Merli, Referat zum 18. ÖJT 2012, I/2, 55 ff., 72 f. (natürliche Neigung zur Nutzung vorhandener Daten für weitere Zwecke als jene, für die die Daten ursprünglich erhoben wurden).