zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten (Art. 2 Abs. 1 lit. c DSGVO) dem sachlichen Anwendungsbereich der DSGVO entzogen ist („household exemption“ – Haushaltsausnahme) bringt dieses zum Ausdruck.13 Gleichwohl hat der (europäische) Gesetzgeber aufgrund grundrechtlicher Schutzpflichten auch einen Ausgestaltungsauftrag, um Freiheitsrechte zu sichern. Wie in vielen anderen Rechtsbereichen, von denen nur das Verbraucherschutz- und AGB-Recht zu nennen sind, so gibt es auch beim Datenschutz im nicht-öffentlichen Bereich den Verfassungsauftrag, das Selbstbestimmungsrecht durch Regulierung zu wahren. Die technischen Möglichkeiten der Profilbildung, der personalisierten Big-Data-Auswertungen, der individuellen Beeinflussung von Wahl- und Marktverhalten auf der Grundlage von Auswertungen personenbezogener Daten, die in unvorstellbarem Ausmaß bei der Nutzung des elektronischen Fernabsatzes preisgegeben und die in Sozialen Medien verbreitet werden, erfordern gesetzliche Schutzmaßnahmen. Die Datensammlungen, -analysen und -nutzungen durch die sog. „Internetgiganten“ aus kommerziellem und politischem Interesse rücken immer mehr in das öffentliche Bewusstsein, dass die mittelbare Schutzwirkung der Grundrechte für die Freiheitswahrnehmung ebenso weit gehen kann wie die unmittelbare.
6
Das Fraport-Urteil des Bundesverfassungsgerichts erhellt, dass „je nach Gewährleistungsinhalt und Fallgestaltung die mittelbare Grundrechtsbindung Privater einer Grundrechtsbindung des Staates vielmehr nahe oder auch gleich kommen (kann). Für den Schutz der Kommunikation kommt das insbesondere dann in Betracht, wenn private Unternehmen die Bereitstellung schon der Rahmenbedingungen öffentlicher Kommunikation selbst übernehmen“.14 Daraus folgt auch die Pflicht des (europäischen) Gesetzgebers, den selbstbestimmten Umgang der betroffenen Person mit den sich auf seine Person beziehenden und beziehbaren Daten so zu regeln, dass das Grundrecht auf Datenschutz auch in Privatrechtsbeziehungen wirksam bleibt.15 Die allgemeinen Grundsätze des Datenschutzes, wie sie in Art. 5 DSGVO festgelegt wurden und zu denen an erster Stelle die Pflicht zur Herstellung von Transparenz und Zweckbindung gehören, sind Ausdruck dieses Verfassungsverständnisses, das auch den (privaten) Verantwortlichen ausreichend Raum gewährt, ihre Grundrechte in einem fairen Ausgleich mit den Grundrechten der betroffenen Personen zur Geltung zu bringen. Es ist deswegen verfassungsrechtlich geboten, dass die DSGVO, die zunächst in den allgemeinen Regelungen zwischen öffentlichen und nicht-öffentlichen Stellen nicht (mehr) differenziert, ein allgemeines Verbot mit Erlaubnisvorbehalt statuiert. Mit Art. 6 Abs. 1 UAbs. 1 DSGVO und insbesondere mit der Erlaubnis nach Buchstabe f wird den Einzelfällen besonders in Privatrechtsverhältnissen durch Abwägung auch der Interessen der Verantwortlichen angemessen Rechnung getragen.
7
Wegen des auch weiter geltenden alternativlosen „Verbots mit Erlaubnisvorbehalt“16 ist unabdingbare Voraussetzung für die Rechtmäßigkeit der in Art. 4 Nr. 2 DSGVO legaldefinierten Datenverarbeitung das Vorhandensein einer Erlaubnis durch eine Einwilligung oder durch eine der in Abs. 6 Abs. 1 UAbs. 1 lit. b bis f DSGVO vorgesehenen Erlaubnistatbestände. Für besondere Kategorien personenbezogener Daten enthält Art. 9 Abs. 1 DSGVO ein spezielles ausdrückliches Verbot („ist untersagt“) mit den das Verbot zurücknehmenden Erlaubnistatbeständen in Abs. 2, der die Erlaubnistatbestände bei besonderen Kategorien personenbezogener Daten abschließend und ohne Rückgriffsmöglichkeit auf die allgemeinen Erlaubnistatbestände in Art. 6 Abs. 1 UAbs. 1 DSGVO regelt.17 Das aus dem Grundrecht auf Informationelle Selbstbestimmung (Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG) folgende „Verbot der Verarbeitung personenbezogener Daten mit Eingriffsvorbehalt“ und das aus dem § 4 Abs. 1 BDSG a.F. bekannte einfachgesetzliche „Verbot mit Erlaubnisvorbehalt“ haben auch unter der DSGVO – trotz vereinzelter Kritik an diesem Grundsatz18 – weiterhin Bestand.19 Art. 8 Abs. 2 Satz 1 GRCh bestimmt, dass die Daten von natürlichen Personen nur mit Einwilligung der betroffenen Person oder aufgrund einer sonstigen gesetzlich geregelten legitimen20 Grundlage verarbeitet werden dürfen. Daher ist das Verbotsprinzip verfassungsrechtlich determiniert.21 Auch wenn dieses Grundrecht primär ein Abwehrrecht gegen staatliche Eingriffe ist (Art. 51 GRCh), so folgt daraus auch die Pflicht des Gesetzgebers, den Datenschutz auch auf der Ebene der Privatrechtsbeziehungen zur Wirksamkeit zu verhelfen. Diesem Auftrag kommt die Verordnung mit Art. 6 DSGVO nach. Im Weiteren werden dann die vom Verantwortlichen entlang dem Pflichtenkatalog der DSGVO zu ergreifenden Maßnahmen davon abhängen, wie groß das Risiko für die Verletzung von Persönlichkeitsrechten der betroffenen Person eingeschätzt wird (risikobasierter Ansatz).22 Ausgenommen von dem Verbot mit Erlaubnisvorbehalt ist nach Art. 2 Abs. 2 lit. c DSGVO allerdings die Verarbeitung personenbezogener Daten durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten (Haushaltsausnahme; siehe oben Rn. 5 und Art. 2 Rn. 16ff.).
8
Auf der Ebene des Sekundärrechts ist der (europäische) Gesetzgeber gehalten, die grundrechtlich geschützten Interessen von Verantwortlichen und betroffenen Personen durch einfachgesetzliche Vorschriften zum Ausgleich zu bringen.23 Dies erfolgte auf Grundlage der Datenschutzrichtlinie auch bislang schon durch nationales Recht mit dem Verbot mit Erlaubnisvorbehalt nach § 4 Abs. 1 BDSG a.F.
9
Einfachgesetzlich beginnt Art. 6 Abs. 1 DSGVO mit der Bedingung: „Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der [in Art. 1 UAbs. 1 lit. a bis f DSGVO] genannten Bedingungen erfüllt ist.“ Ist das nicht der Fall, ist die Verarbeitung personenbezogener Daten verboten, es sei denn, es ergeben sich Erlaubnistatbestände aus den Fachgesetzen, die aufgrund von Öffnungsklauseln neben oder anstelle der DSGVO zur Anwendung kommen, oder aus Erlaubnissen, die sich aus Vorschriften außerhalb des Anwendungsbereichs der DSGVO ergeben. Damit ist Art. 6 Abs. 1 DSGVO diejenige Vorschrift, aus der sich in der Regel eine Erlaubnis für die Verarbeitung personenbezogener Daten im sachlichen und räumlichen Anwendungsbereich der DSGVO (Art. 2 und 3 DSGVO) ergibt.
10
Die EU war zur Gewährleistung des in Art. 16 Abs. 1 AEUV (Jede Person hat das Recht auf Schutz der sie betreffenden personenbezogenen Daten) und des mit dem wortgleichen Art. 8 GRCh verbürgten Grundrechts auf Datenschutz angetreten, mit der DSGVO auf „rasche technologische Entwicklungen und die Globalisierung“ (ErwG 6) zu reagieren, die den Datenschutz vor neue Herausforderungen gestellt haben. Im Fokus waren die weltweit agierenden Anbieter sozialer Medien und solche Unternehmen, die die Nutzer des Internets tracken und Profile anlegen. Gleichwohl macht die DSGVO jedenfalls bei den Erlaubnistatbeständen keinen Unterschied, ob ein globaler Konzern, ein lokaler Sportverein oder ein Handwerksbetrieb personenbezogene Daten verarbeitet. Ausnahmen bestehen etwa nur, wenn weniger als 250 Beschäftigte im Unternehmen tätig sind, sodass die Verpflichtung entfallen kann, ein Verzeichnis der Verarbeitungstätigkeiten zu führen (Art. 30 Abs. 5 DSGVO). Eine Differenzierung des Risikopotenzials findet auf dieser Ebene nicht statt. Zutreffend ist der Befund von Roßnagel: „In keiner Regelung werden die spezifischen Grundrechtsrisiken z.B. von smarten Informationstechniken im Alltag, von Big Data, Cloud Computing oder datengetriebenen Geschäftsmodellen, Künstlicher Intelligenz und selbstlernenden Systemen angesprochen oder gar gelöst. Die gleichen Zulässigkeitsregeln, Zweckbegrenzungen oder Rechte der betroffenen Person gelten für die wenig riskante Kundenliste beim „Bäcker um die Ecke“ ebenso wie für diese um Potenzen risikoreicheren Datenverarbeitungsformen. Insbesondere durch abstrakte Zulässigkeitsregelungen wie in Art. 6 Abs. 1 werden die spezifischen Grundrechtsrisiken verfehlt.“24
11
Hinzu kommt, dass für nicht-öffentliche Verantwortliche neben der Erlaubnis aus einer Einwilligung oder wegen der Notwendigkeit, Daten zur Durchführung vorvertraglicher Maßnahmen oder zur Erfüllung vertraglicher Pflichten (Art. 6 Abs. 1 UAbs. 1 lit. b DSGVO) vornehmlich die sehr weitreichende Erlaubnis aus Art. 6 Abs. 1 UAbs. 1 lit. f DSGVO zur Verfügung steht, bei der der Verantwortliche eine Interessenabwägung vornimmt, mit der ein Mehr an Rechtssicherheit gegenüber der Situation unter dem BDSG a.F. nicht zu erwarten ist.25 Es wird auf die Rechtsprechung und den Europäischen Datenschutzausschuss ankommen, hier Leitplanken einzuziehen. Immerhin erkennt die DSGVO das Problem, wenn sie zwar das Profiling selbst nicht regelt, es in ErwG 72 aber heißt,