Schutzlos in Karlsruhe

Bevor der Bundesgesundheitsminister mit der Corona-Bewältigung in das Rampenlicht der Öffentlichkeit treten konnte, versuchte er in einer Reihe von Gesetzgebungsvorhaben und Maßnahmen, die deutsche gesetzliche Krankenversicherung (GKV) zu verändern. Eine seiner Maßnahmen war das Digitale-Versorgung-Gesetz, das der Bundestag im Dezember 2019 verabschiedete (DVG, BGBl. I, S. 2562) und die medizinische Versorgung durch Digitalisierung und Innovation verbessern sollte. Es sieht u.a. vor, Gesundheits-Apps auf Rezept zu verschreiben und Videosprechstunden und Telemedizin zum Alltag werden zu lassen. Vor allem aber sollen umfangreiche medizinische Daten der Versicherten in einem Forschungsdatenzentrum zusammengeführt und effektiv ausgewertet werden, um bessere Erkenntnisse in der Gesundheitsforschung zu erlangen.

Dagegen hatte ein Versicherter Beschwerde erhoben, und das Bundesverfassungsgericht hat im Verfahren des einstweiligen Rechtsschutzes entschieden, dass Teile dieses Gesetzes – nämlich §§ 68a Abs. 5 und 303a-303f SGB V – in der Tat erhebliche verfassungsrechtliche Bedenken aufwerfen. Dennoch hat das Gericht den Vollzug dieser Regelungen nicht ausgesetzt (Rn. 6 ff.) und noch nicht einmal die hilfsweise beantragte Reduktion des Datenumgangs angeordnet. Das ist im Ergebnis, vor allem aber in seiner Begründung unter mindestens zwei Aspekten kritisch zu betrachten.

Was wiegt schwerer?

Zutreffend weist das BVerfG darauf hin, dass im einstweiligen Anordnungsverfahren gegen Gesetze in besonderer Weise die Gewaltenteilung Beachtung verlangt (Rn. 10): Das BVerfG darf nicht vorschnell die gesetzgeberische Entscheidung schon im einstweiligen Rechtsschutz kassieren. Allerdings kann ein Eingriff in den Gestaltungsraum des Gesetzgebers, der bei Erlass einer einstweiligen Anordnung zu unterstellen ist, grundsätzlich nicht schwerer wiegen als die Verletzung der Bindung der Legislative an die verfassungsmäßige Ordnung, die bei Nichterlass der einstweiligen Anordnung zu unterstellen ist. Daher ist der Prüfungsmaßstab auch nicht eine Abwägung im Hinblick auf die Erfolgsaussichten in der Hauptsache, wie dies beispielsweise im verwaltungsgerichtlichen Verfahren der Fall ist, sondern vielmehr eine reine Folgenabwägung: Wiegt schwerer, dass ein später als verfassungswidrig erklärtes Gesetz einstweilen weiter gilt und bis zur Entscheidung in der Hauptsache Grundrechtseingriffe zulässt, die später revidiert werden müssen? Oder wiegt schwerer, dass die vom Gesetz angestrebten Ziele für einige Zeit nicht umsetzbar sind, zum Nachteil derjenigen, die vom Gesetz profitieren würden (Rn. 9)?

Ein solcher Prüfungsmaßstab bedingt zwangsläufig einen Blick auf die Folgen der Entscheidung. Sind sie irreversibel, schwerwiegend und unerträglich? Je besser die „Reparaturmöglichkeiten“ sind, desto geringer wiegen ein Verfassungsverstoß oder das Ausmaß einer tatsächlichen Beeinträchtigung. Dies hat insbesondere bei Informationseingriffen erhebliche Relevanz, denn eine einmal verbreitete Information kann regelmäßig nicht mehr zwangsweise vergessen werden; ein Recht auf Löschung kann daher den Rechtsverstoß bei Informationsrechten nie ganz heilen, wovon das BVerfG aber wohl entgegen allgemeiner Ansicht ausgeht (Rn. 14). Diese Irreversibilität gilt erst recht, wenn Daten in großem Umfang einer Vielzahl an Verarbeitern zugänglich gemacht werden, wie es in § 303e SGB V gerade vorgesehen ist. Nach ständiger Rechtsprechung des Gerichts beurteilt sich das Gewicht der Nachteile in Fällen, in denen ein von einem Gesetz unmittelbar Betroffener gegen dieses Gesetz Verfassungsbeschwerde einlegt, zudem nicht etwa nur nach dem Ausmaß seiner eigenen Betroffenheit, sondern nach dem Gesamtmaß aller Auswirkungen, die das Gesetz für alle Personen hat, die von ihm betroffen sind. Da hier alle gesetzlich Krankenversicherten betroffen sind – und das sind nicht weniger als 73 Mio. Bundesbürger*innen –, kommt eine beträchtliche Anzahl an irreversiblen Grundrechtseingriffen zustande.

Umgekehrt geht es um die Ziele und Zwecke des gesetzgeberischen Vorhabens: Bestehen womöglich Handlungszwänge rechtlicher Art, etwa wegen drohender oder sogar eingeleiteter europäischer Vertragsverletzungsverfahren vor dem EuGH im Falle von Nicht-Umsetzung oder wegen eines vorangegangenen Regelungsauftrags des BVerfGs, oder auch aus tatsächlichen Gründen, z.B. im Rahmen erster Corona-bedingter Maßnahmen (vgl. etwa BVerfG, Beschl. v. 8.4.2020, 1 BvR 755/20), dann kann das Gemeinwohl hinsichtlich der weiteren Fortgeltung des möglicherweise verfassungswidrigen Gesetzes gleichwohl überwiegen. Es muss aber erhebliche Hürden in der Begründung nehmen. Denkbar wäre etwa, dass der Gesetzgeber zum Zweck der Neugestaltung der Rechtslage bereits investiert hat, z.B. in den Aufbau von Organisationen. Bei der Volkszählung von 1983 wurde eine solche Dringlichkeit, die den Interessen aller Einwohner*innen gegenübergestanden hatte, trotz der bereits getätigten Vorinvestitionen des Bundes von damals schon 100 Mio. DM verneint (BVerfGE 64, 67 (71 f.)). Bei der Einführung der Pflegeversicherung genügten die Dispositionen der künftigen Berechtigten gleichfalls nicht (BVerfGE 91, 320 (327 f.).

Zeitverzug als Killerargument

Das BVerfG beschreitet aber in seinem Beschluss nun einen ganz neuen Weg. Es stellt nämlich nunmehr allein darauf ab, dass „das Ziel des Gesetzgebers […] zeitlich aufgeschoben würde“ (Rn. 15). Von einer Dringlichkeit ist nicht (mehr) die Rede. Diese nachteilige Folge liegt aber in der Natur der Sache, ist also sozusagen gewollte Folge eines jeden einstweiligen Rechtsschutzes. Daher wird noch nachgeschoben, dass die Zielverwirklichung „damit erheblich erschwert“ wird (Rn. 15) – also gerade durch den Zeitverzug. Hier dürfte man aber angesichts der bisherigen Rechtsprechung eine ausführliche Begründung erwarten, warum das hier über die generelle Zeitverzögerung, die mit der Außerkraftsetzung eines Gesetzes verbunden ist, hinaus der Fall sein soll.

Stattdessen wird knapp in einem Satz festgestellt, dass die Daten, die durch das Gesetz zur Verfügung stehen sollen, dann eben nicht zentral abrufbar seien (Rn. 15). Es sei zugunsten des BVerfGs darauf hingewiesen, dass die Daten bisher schon bei den Krankenkassen vorliegen und z.T. auch verwertbar waren, nunmehr aber eben eine zentrale Zusammenführung für die Auswertung für vielfältige neue Zwecke und von unzähligen weiteren Akteuren (§ 303e SGB V) ermöglicht werden soll – der gläserne Bürger lässt grüßen. Nun mag man das für ein katastrophales Versäumnis des Gesetzgebers halten, dass bisher solche Datenumgänge nicht möglich waren. Und man darf dem BVerfG zugutehalten, dass es die Flexibilität und Reaktionsfähigkeit des Gesundheitswesens, das dieses in der Corona-Epidemie an den Tag gelegt hat, noch nicht kennen konnte, als die Entscheidung Anfang/Mitte März erging, und daher unter Corona-Eindrücken besondere Handlungsbedürfnisse sah. Man darf aber in jedem Fall erwarten, dass eben solche außergewöhnlichen Nachteile und Dringlichkeiten erläutert und dargestellt werden. Dazu kommt es indes nicht. Dem Gericht genügt offenbar, dass das Ziel des Gesetzes vorübergehend nicht erreicht werden kann und damit Allgemeinwohlbelange bis zur endgültigen Entscheidung nicht verfolgt werden. Damit wird die bisherige Rechtsprechungslinie aufgegeben, die immerhin einen gehörigen Argumentationsaufwand auf Seiten des Gesetzgebers verlangte.

Dieses Vorgehen erstaunt noch einmal zusätzlich, weil das Gericht im Gegenzug die potentiellen Nachteile des Antragstellers immerhin zwei Absätze lang schildert (Rn. 13 f.) und auch schon zuvor ausführlich dargetan hat, wie umstritten das Gesetz im Gesetzgebungsprozess war und welche schwierigen datenschutzrechtlichen Fragen dadurch aufgeworfen werden (Rn. 8). Während der Lektüre dieser Absätze fragt man sich als Leser*in durchaus, welche gewichtigen Überlegungen das BVerfG überhaupt noch anstellen kann, um den Kopf aus dieser selbstgelegten Argumentationsschlinge wieder zu ziehen. Offenbar aber genügt das alles nicht, um die Abwägung zugunsten des Beschwerdeführers und damit zugunsten der Risiken für weite Teile der Bevölkerung ausfallen zu lassen.

Einstweiliger Rechtsschutz gegen Gesetze hat kaum noch Aussicht auf Erfolg

Verfassungsgerichtsprozessual dürfte damit ein neues Zeitalter eingeläutet worden sein: Beschwerdeführer werden künftig nicht mehr nur ihre eigenen erheblichen Grundrechtseingriffe für den Fall der Verfassungswidrigkeit darlegen müssen, sondern auch noch die Hürde überwinden müssen, dass Gesetze, die vorübergehend außer Kraft gesetzt worden sind, eben ihr Ziel nicht sofort erreichen. Wie das gelingen soll, darf man zumindest für problematisch halten. Umgekehrt können sich die Vertreter der Gegenseite künftig zurücklehnen, denn besondere Nachteile für das Gemeinwohl, eine besondere Dringlichkeit oder sonstige gesteigerte Nachteile werden sie nicht mehr nachweisen müssen.

Angesichts der Art und Weise, wie fragwürdig nicht nur in Corona-Zeiten Gesetze zum Teil zustande kommen und angesichts des Umstands, dass uns nach Abklingen der Pandemie ohnehin eine jahrelange Aufarbeitung der interessanten rechtlichen Rahmenbedingungen legislativer Tätigkeit bevorsteht, macht diese Entscheidung große Sorge. Denn sie reduziert den einstweiligen Rechtsschutz gegen Gesetze vor dem BVerfG immer weiter. Dabei wird dieser, wie aktuell zu beobachten ist, gerade bei schnellen, womöglich unter äußerem Druck und bei großer Unsicherheit zustande gekommenen legislativen Entscheidungen umso wichtiger. Von einem effektiven Rechtsschutz bleibt noch weniger übrig als sowieso schon: Die ohnehin geringen Erfolgsaussichten von einstweiligen Anordnungen vor dem BVerfG gegen Gesetze dürften sich noch einmal ganz erheblich verringern.

Auf einmal gar kein Grundrechtseingriff?

Die Entscheidung ist noch über die verfassungsprozessuale Dimension hinaus äußerst erstaunlich – nämlich aus datenschutzrechtlichen Gründen sowie mit Blick auf die Voraussetzungen von Freiheitlichkeit und Demokratie durch Grundrechtsschutz in der Digitalisierung. Denn sie lässt ein eigenartiges Verständnis des BVerfG von Eingriffsqualität und -gewichtung erkennen, dass die berechtigte Frage aufkommen lässt, ob eine Grundrechtskontrolle europäischer Grundrechte vor dem BVerfG tatsächlich im Einklang mit den Vorstellungen des EuGH verläuft und ob hier nicht womöglich auch der nationale Grundrechtsstandard im Datenschutzrecht auf den Kopf gestellt wird.

Bekanntermaßen und zu Recht ist der einstweilige Rechtsschutz vor dem BVerfG nicht der Platz, an dem dieses sich über die Erfolgsaussichten in der Hauptsache auslässt. Gleichwohl lässt die Entscheidung bei der Beurteilung der Folgen erkennen, dass das BVerfG mit seiner Vorstellung von der Bedeutung informationeller Grundrechtseingriffe und deren Gewichtung Neuland betritt.

Die Maßstäbe für die Eingriffsintensität von Grundrechtseingriffen in das Datenschutzgrundrecht sind seit langem in den Einzelheiten umstritten. Allerdings gibt es durchaus einige Elemente, die seit langem anerkannt sind und in die Rechtsprechung des BVerfG wie auch des EuGH (immerhin bewegt sich die Entscheidung im Anwendungsbereich der DSGVO) seit vielen Jahren immer wieder Eingang gefunden haben.

Dazu gehört z.B. die Quantität der Daten, und zwar sowohl hinsichtlich der Menge der Daten über eine einzelne Person (BVerfGE 120, 274) als auch hinsichtlich der Streubreite über die Bevölkerung hinweg (EuGH NJW 2017, 717 sowie BVerfGE 125, 260). Gerade in den vielen Verfahren um die Vorratsdatenspeicherung war immer wieder Thema, dass damit nahezu die gesamte Bevölkerung erfasst wird. Kaum etwas anderes gilt für die hier angegriffenen Regelungen: Ca. 90% aller Bundesbürger*innen sind in der gesetzlichen Krankenversicherung und damit von den Regelungen erfasst. Die erhobenen Daten sind zudem überwiegend besondere Daten iSd DSGVO (das BVerfG benutzt noch den Vor-DSGVO-Begriff der „sensiblen“ Daten), was die Eingriffsintensität deutlich erhöht. Das scheint das BVerfG auch grundsätzlich anzuerkennen, dass „auch einzelne Daten mit scheinbar gering ausgeprägter Persönlichkeitsrelevanz in der Zusammenschau mit anderen Daten einen intensiven Persönlichkeitsbezug entfalten können“ (Rn. 13).

Nun aber setzt das BVerfG offenbar schon früher an, um Grundrechtsschutz zu verknappen und damit die Gewichtigkeit auf Seiten des Beschwerdeführers zu verringern. Es bestreitet nicht, dass es sich um intensive Grundrechtseingriffe handelt – wenn es denn Eingriffe sind. Und das soll – in Abkehr vom bisherigen Verständnis von BVerfG und EuGH (!) – nunmehr nicht der Fall sein.

Datenschutzrecht als Gefahrenabwehrrecht statt Risikorecht?

Bisher galt, dass jeder Datenumgang, also z.B. die Erhebung, Speicherung, Nutzung, Zusammenführung etc., ein rechtfertigungsbedürftiger Eingriff ist (BVerfGE 150, 244); die DSGVO hat das auch noch einmal klargestellt. Auf einen konkreten Nachteil, eine konkrete Entscheidung auf Basis der vorhandenen Daten, kommt es ebenso wenig an wie darauf, dass die Daten schon beim Verarbeitungsschritt einer konkreten Person tatsächlich zugeordnet werden. Nunmehr aber soll offenbar ein Eingriff gar nicht vorliegen, sondern es bedarf des zusätzlichen Umstands, dass durch „die datenverarbeitenden Stellen ein Personenbezug zu bestimmten Versicherten hergestellt wurde“ (Rn. 14), also die Identifikation vorgenommen wurde. Und dies soll auch erst dann ein Eingriff sein, wenn das „entgegen der gesetzlich angeordneten Pseudonymisierung oder Anonymisierung“ (Rn. 14) erfolgt.

Damit werden gleich zwei Kriterien einbezogen, nämlich einmal, dass ein Personenbezug nicht nur herstellbar sein, sondern tatsächlich hergestellt werden muss, und zudem, dass es sich um ein missbräuchliches Vorgehen handeln muss, also der Datenumgang unter Verstoß gegen die vom Gesetz vorgesehenen „verschiedene(n) Vorkehrungen und prozedurale(n) Sicherungen“ (Rn. 14) erfolgt. Damit die Mißbräuchlichkeit aber nicht doch zum Anerkennen eines Eingriffs führt, wird noch nachgeschoben, dass ein Missbrauch indes kein unmittelbar bevorstehender Zwischenschritt sei, den man nach den Kategorien des Polizeirechts („mit hinreichender Sicherheit […] unmittelbar bevorstehend“) (Rn. 14) annehmen könne. Im Endeffekt wird damit der Eingriff nur noch dann angenommen, wenn a) ein Nachteil entsteht, b) der Personenbezug tatsächlich hergestellt wird (und nicht nur hergestellt werden könnte) und dies c) missbräuchlich geschieht.

In der Konsequenz wird damit das Datenschutzrecht zu einem normgeprägten Grundrecht: Der Gesetzgeber setzt fest, wann Missbräuchlichkeit vorliegt. Es wird ferner zu einem repressiven Grundrechtsschutz, der erst bei tatsächlichen und gravierenden Nachteilen greift – eine Grundumkehr vom risikogeneigten präventiven Ansatz, der so auch in der DSGVO seinen ausdrücklichen Niederschlag findet.

Statt Risikorecht wird kategorial hier ein Gefahrenabwehrrecht etabliert. Und damit wird das Datenschutzrecht in seinen Grundfesten erschüttert. Eine solche Entwicklung verkennt die Bedeutung des Datenschutzrechts als eines Rückgrats für Autonomie, Demokratie und Freiheitlichkeit – wegen der präventiven Schutzwirkung, die nicht erst den tatsächlichen Nachteil, sondern schon die Auswirkungen auf weitere Grundrechtsbetätigungen durch die Vorwirkungen des Datenumgangs in den Blick nimmt. Das Volkszählungsurteil hat dies in großer Weitsicht formuliert: „Wer nicht […] überschauen kann, […] ob abweichende Verhaltensweisen […] verwendet […] werden, wird […] möglicherweise auf eine Ausübung seiner […] Grundrechte verzichten. Dies würde nicht nur die individuellen Entfaltungschancen des Einzelnen beeinträchtigen, sondern auch das Gemeinwohl, weil Selbstbestimmung eine elementare Funktionsbedingung eines auf Handlungsfähigkeit und Mitwirkungsfähigkeit seiner Bürger begründeten freiheitlichen demokratischen Gemeinwesens ist.“ Diese Erkenntnis ist so aktuell und wichtig wie nie.

In doppelter Hinsicht problematisch

Datenschutzrecht hat es immer schwer gehabt, sich gegenüber den in Aussicht gestellten Vorteilen eines konkreten Datenumgangs zu behaupten. Das liegt in der Natur seiner Sache als Risikorecht: Weil Informationen vielfältig und von verschiedenen Akteuren neben- und nacheinander nutzbar sind, können die umfänglichen Nutzungsmöglichkeiten nicht vorhergesehen und vorherbestimmt werden. Die konkreten Risiken bleiben oftmals also diffus und können nur generalisiert beschrieben werden. Dass es sie gibt, ist aber offenkundig und unbestritten. Die Chancen dagegen werden konkret umschrieben und bestimmt. Gerade deshalb ist es aber so wichtig, den Eingriff nicht auf reale Nachteile zu verengen und ihn nicht auf eine vorhersehbare „Mißbräuchlichkeit“ zu reduzieren. Zu einer Abwägung kommt man also nach der Formulierung des BVerfGs in dieser Entscheidung gar nicht mehr, ob die Ziele und Zwecke im Verhältnis zu den Problemlagen der Grundrechtsberechtigten stehen. Die ermutigenden vorgeschalteten Äußerungen zu möglicherweise weniger eingriffsintensiven Alternativen (Rn. 8) würden somit ins Leere laufen.

Der Beschluss ist somit in doppelter Hinsicht problematisch: Der Vorrang des Gesetzgebers gegenüber dem Grundrechtsbetroffenen wird noch weiter ausgebaut, und das Datenschutzrecht wird in einer Weise beschnitten, die von ihm nicht mehr viel übrig lässt. Die prozessualen Folgen mag das BVerfG noch im Rahmen seiner Kompetenzen bestimmen; die materiell-rechtliche Dimension muss sich aber grundsätzlich und insbesondere nach der Entscheidung zum Recht auf Vergessen II an den EuGH-Grundrechten messen lassen, und hier hat das BVerfG seine Entscheidungsspielräume überschritten. Es bleibt zu hoffen, dass in beiden Aspekten nachgesteuert wird. Anlass dazu bietet die Umsetzung der Auffassung, die das BVerfG selbst gelegentlich geäußert hat (BVerfGE 83, 162 (174)), aber angesichts der langen Verfahrensdauer nicht konsequent in die Tat umsetzt: Die Ablehnung einer einstweiligen Anordnung trotz zu unterstellenden irreparablen und erheblichen Grundrechtsverletzungen solle zu einer beschleunigten Behandlung im Hauptsacheverfahren führen. In dessen Entscheidung wird dann hoffentlich zügig das Fehlverständnis bereinigt und einem europarechtskonformen, demokratie- und autonomiegerechten Verständnis des Datenschutzrechts sowie einer sauberen Interessenabwägung Vorschub geleistet werden.