[Translation coming soon]
Das Datenschutzrecht wird vom Verbotsprinzip beherrscht. Dieses besagt, dass eine Verarbeitung personenbezogener Daten grundsätzlich verboten ist. Erlaubt ist sie nur, wenn der Verantwortliche sich auf einen gesetzlich geregelten Erlaubnistatbestand stützen kann.
Das Verbotsprinzip geht davon, dass es kein belangloses Datum gibt, sondern dass im Gegenteil die Verarbeitung personenbezogener Daten generell so gefährlich ist, dass sie nur unter Erfüllung zahlreicher Präventivpflichten zugelassen werden kann. Das Datenschutzrecht ist somit Risikovorsorgerecht bzw. Risikoverwaltungsrecht. Die Datenverarbeitung ist auch dann grundsätzlich verboten, wenn seine Datenverarbeitung kein Risiko oder nur ein geringes Risiko birgt.
Nach einer unter Datenschützern weit verbreiteten Ansicht stellt hingegen bereits jede Datenverarbeitung einen Grundrechtseingriff dar, der deshalb einer gesetzlichen Grundlage bedürfe. Die Folge ist, dass das Datenschutzrecht „mit nahezu voller Wucht des Pflichtenprogramms“ auch alltägliche Datenverarbeitungen trifft. Hierin liegt ein offenkundiger Widerspruch zur allgemeinen Handlungsfreiheit des Menschen.
Primärrechtlich wird das Verbotsprinzip aus Art. 8 II 1 GRCh abgeleitet:
„Diese [personenbezogenen] Daten dürfen nur […] mit Einwilligung der betroffenen Person oder auf einer sonstigen gesetzlich geregelten legitimen Grundlage verarbeitet werden.“
Sekundärrechtlich lässt sich das Verbotsprinzip ohne weiteres aus verschiedenen ausdrücklichen oder impliziten Verboten der DS-GVO ableiten:
Generelles präventives Verbot: „Die Verarbeitung ist nur rechtmäßig, wenn […].“ (Art. 6 I 1 DS-GVO)
Spezielles präventives Verbot für Daten von Kindern: „[…] so ist die Verarbeitung der personenbezogenen Daten des Kindes rechtmäßig, wenn […].“ (Art. 8 I 1 DS-GVO)
Spezielles präventives Verbot für sensible Daten: „Die Verarbeitung personenbezogener Daten […] ist untersagt.“ Art. 9 II: „Absatz 1 gilt nicht in folgenden Fällen: […].“ (Art. 9 I DS-GVO)
Spezielles präventives Verbot für sensible Daten: „Die Verarbeitung personenbezogener Daten über strafrechtliche Verurteilungen darf nur […] vorgenommen werden […].“ (Art. 10 S. 1 DS-GVO)
Verbot automatisierter Einzelentscheidungen: "Die betroffene Person hat das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung [...] beruhenden Entscheidung unterworfen zu werden [...]." (Art. 22 I DS-GVO
Spezielles präventives Verbot für Auslandsübermittlungen: „Jedwede Übermittlung personenbezogener Daten […] an ein Drittland oder internationale Organisation […] ist nur zulässig, wenn[…].“ (Art. 44 Satz 1 DS-GVO)
Eines der Hauptprobleme des Verbotsprinzips ist, dass diese Regelungstechnik zahlreiche Ausnahmetatbestände erfordert. Über die Reichweite der Ausnahmetatbestände herrscht regelmäßig Streit und Rechtsunsicherheit. Existiert kein Ausnahmetatbestand, weil der Normgeber untätig geblieben ist oder weil er bei neuen technischen Entwicklungen noch nicht tätig werden konnte, ist die Zulässigkeit von Datenverarbeitungen, die grundrechtlich erlaubt sein sollten oder gemeinwohldienlich sind, in Frage gestellt.
Die Regelungstechnik des Verbotsprinzips ist verarbeitungsfeindlich. Ihre Grundidee ist Verhaltenssteuerung: die Verarbeitung personenbezogener Daten wird zunächst grundsätzlich als gesellschaftlich unerwünschtes Verhalten angesehen. Die Folge ist, dass auch grundrechtlich geschützte und gesellschaftlich erwünschte Datenverarbeitungen unter ständigem Rechtfertigungszwang stehen.
Der Generalverdacht gegen jeden Datenverarbeiter entfaltet auch symbolische Wirkung, die „chilling effects“ auslöst. Bürgerinnen und Bürger machen von ihren Grundrechten keinen Gebrauch mehr, obwohl sie dazu berechtigt wären (Beispiel: Fotografie). Dass die Preisgabe eigener und die Verarbeitung fremder personenbezogener Daten ebenfalls grundrechtlich geschützt sind, gerät aus dem Blick.
Das Verbotsprinzip führt im Privatrechtsverkehr zur Privatisierung des Sozialen, zur Verrechtlichung des Alltäglichen und zur unmittelbaren Drittwirkung der Grundrechte.