Niko Härting und Stefan Brink werfen zunächst (ab Minute 01:06) einen Blick auf den Fall Perkins Coie, der die Anwaltschaft weltweit schockiert. Der US-Präsident entzog mittels einer Executive Order der Wirtschaftskanzlei Perkins Coie LLP alle Mandate. Die Bundesbehörden wurden angewiesen, alle Dienstleister zur Offenlegung von Geschäftsbeziehungen mit Perkins Cole aufzufordern. Zudem lässt Trump untersuchen, ob amerikanische Großkanzleien gegen Antidiskriminierungsrecht verstoßen, indem sie weiße heterosexuelle Männer diskriminieren.

Ab Minute 13:25 geht es um ein viel beachtetes BGH-Urteil zum immateriellen Schaden nach Art. 82 DSGVO bei Spam-Mails (BGH v. 28.1.2025 - VI ZR 109/23). Der BGH verneint das Erfordernis einer ,,Erheblichkeitsschwelle“ für einen immateriellen Schaden, verlangt allerdings eine konkrete Darlegung des Schadens.

Im Anschluss (ab Minute 21:59) diskutieren Härting und Brink eine Entscheidung des AG München über das (nach Auffassung des Gerichts fehlende) Recht einer Gerichtsvollzieherin zur Befragung der Nachbarn eines Schuldners nach dessen Aufenthaltsort. Siegeszug der DSGVO oder ärgerliches Missverständnis?

Abschließend (ab Minute 32:14) wird eine Entscheidung des Bundesfinanzhofs zum Auskunftsanspruch gemäß Art. 15 DSGVO thematisiert (BFH v. 14.1.2025 – IX R 25/22). Dieser besteht auch gegen Finanzämter, einen unverhältnismäßigen Aufwand kann die Behörde dem Anspruch nach Auffassung des BFH in aller Regel nicht entgegenhalten.

Im neuen Podcast mit Stefan Brink und Niko Härting dreht sich alles um Allianzen im Datenschutz: Zunächst (ab Minute 00:40) geht es in Querbeet um die Frage, ob der unberechenbare US-Präsident Trump das EU-US Data Privacy Framework zu Fall bringen könnte – aus dem Jahr 2023, als die Allianz zwischen EU und USA noch stand. Stefan erklärte in einem Beitrag für das „Handelsblatt“, warum es sich jetzt rächen könnte, dass der Angemessenheitsbeschluss der EU-Kommission nur mit einer Executive Order des Präsidenten Biden und nicht wie von Datenschützern verlangt durch ein Parlamentsgesetz umgesetzt und abgesichert wurde: Jeder Präsident der USA hat es nun selbst in der Hand, das Abkommen wieder scheitern zu lassen.

Sodann geht es (ab Minute 13:21) beim Referentenentwurf zum Data Act-Durchführungsgesetz und die bröckelnde Allianz der Datenschutz-Aufsichtsbehörden der Länder und des Bundes: Der EU-DA, der eine faire Verteilung des Datenwertes vernetzter Produkte anstrebt, bekommt in Deutschland mit der Bundesnetzagentur eine zentrale Aufsichtsbehörde für die Durchsetzung und Überwachung der Verordnung (EU) 2023/2854. Ergänzend wird eine Sonderzuständigkeit für die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit geschaffen – interessanterweise an den Aufsichtsbehörden der Länder vorbei. Aufgrund seiner Gesetzgebungskompetenz aus Artikel 74 Absatz 1 Nummer 11 Grundgesetz (Recht der Wirtschaft) begründet der Bund diese Sonderzuständigkeit der BfDI mit Artikel 87 Absatz 3 Satz 1 Grundgesetz. Die BfDI verfüge über das für eine zügige Identifizierung und Bewertung von Datenschutzfragen sowie die Aufbereitung von Sachverhalten notwendige Fachwissen und könne somit erheblich zu einer raschen Beurteilung der datenschutzrechtlichen Fragestellungen beitragen. Brechen da alte Allianzen zwischen der deutschen Datenschutzaufsichtsbehörden von Bund und Ländern? Haben wir es hier mit der Blaupause für Zentralisierung der Aufsicht über private Unternehmen beim Bund (BfDI) zu tun?

Schließlich (ab Minute 29:02) gibt es offenbar eine denkwürdige Allianz zwischen Axel Voss (MdEP der EVP-Fraktion) und Max Schrems von der Datenschutz-Organisation NOYB. Voss präsentiert seinen Plan zur Revision der DS-GVO, er will in einem 3-Schichten-Modell eine Differenzierung der Pflichten der DS-GVO abhängig von der nach Unternehmensgröße (vgl. DSA zu very large online platforms VLOP) vornehmen. Schrems stimmt insoweit zu, das „one size fits all“ der DS-GVO sei schon immer verrückt gewesen. Allerdings korreliert ein an der Unternehmensgröße ausgerichteter asymmetrischer Ansatz keineswegs mit dem risikobasierten Ansatz der DS-GVO: Risiken ergeben sich aus Datenmenge, Datenarten (Art. 9-Daten) und TOMs als risikomindernden Maßnahmen – nicht zwingend aus der Unternehmensgröße.
Ehemalige, bröckelnde und denkwürdige Allianzen im Datenschutz also…

Im Mittelpunkt dieser Podcastfolge steht (ab Minute 16:17) eine Entscheidung des Europäischen Gerichtshofs (EuGH), die sich an der Schnittstelle zwischen dem Datenschutzrecht und dem Gesellschaftsrecht bewegt und die von den Datenschützern bislang viel zu wenig beachtet wurde (EuGH vom 12.9.2024 – Az. C-17/22 und C-18/22). Zwei deutsche Fälle zu Publikumsgesellschaften (Treuhandfonds) und zu der umstrittenen Frage, ob ein Anleger Auskunft über die weiteren Mitgesellschafter und Treugeber verlangen kann. Nach der ständigen Rechtsprechung des Bundesgerichtshofs (BGH) kann ein solcher Anspruch vertraglich nicht ausgeschlossen werden; „das Recht, seine Vertragspartner zu kennen, ist in jedem Vertragsverhältnis selbstverständlich“ (BGH vom 19.11.2019, Az. II ZR 263/18, Rn. 13).

Die Entscheidung des EuGH hinterlässt Stefan Brink und Niko Härting weitgehend ratlos. Der EuGH misstraut erneut jeder Datenverarbeitung, die sich nicht auf Einwilligungen stützt. Die Rechtfertigungsgründe des Art. 6 Abs. 1 Satz 1 lit. b bis f DSGVO sind für den EuGH ersichtlich Normen der zweiten Wahl: „In diesem Zusammenhang sind die in Art. 6 Abs. 1 Unterabs. 1 Buchst. b bis f DSGVO vorgesehenen Rechtfertigungsgründe eng auszulegen, da sie dazu führen können, dass eine Verarbeitung personenbezogener Daten trotz fehlender Einwilligung der betroffenen Person rechtmäßig ist“ (a.a.O., Rn. 37). Eine höchst eigenwillige Interpretation des Art. 6 DSGVO.

Was für den BGH „selbstverständlich“ und unabdingbar ist, sieht der EuGH ganz anders: „Vorbehaltlich einer Überprüfung durch das vorlegende Gericht ist daher eine Verarbeitung personenbezogener Daten, die in der Weitergabe von Informationen in Bezug auf Gesellschafter besteht, die über eine Treuhandgesellschaft mittelbar an einer Publikumsfondsgesellschaft beteiligt sind, nicht als im Sinne von Art. 6 Abs. 1 Unterabs. 1 Buchst. b DSGVO ‚für die Erfüllung eines Vertrags … erforderlich‘ anzusehen, wenn der Vertrag, der dem Erwerb einer solchen Beteiligung zugrunde liegt, die Weitergabe dieser Daten an Mitanteilseigner ausdrücklich ausschließt“ (a.a.O., Rn. 47).

Mit einer erstaunlichen Volte eröffnet der EuGH den deutschen Gerichte dann jedoch über Art. 6 Abs. 1 Satz 1 lit. c DSGVO eine Hintertür, die es dem BGH mit großer Wahrscheinlichkeit ermöglicht, an seiner bisherigen Rechtsprechung festzuhalten. Letztendlich wird wohl alles beim Alten bleiben…

Ein Glanzstück des Kompliziert-Verästelten sind auch die Guidelines des Europäischen Datenschutzausschusses zur Pseudonymisierung (ab Minute 7:24). Und auch das jüngste Urteil des EuGH zur Bemessung von Bußgeldern bei Konzernunternehmen (EuGH vom 13.2.2025, Az. 383/23) kommt nicht ohne Kapriolen aus (ab Minute 36:36). Umso klarer und entschiedener reagiert Apple auf alles Bestrebungen, staatlichen Behörden Hintertürchen in die iCloud zu öffnen (ab Minute 1:00).

Im neuen Podcast sprechen Stefan Brink und Niko Härting zunächst (ab Minute 01:01) in Querbeet über die chinesische KI DeepSeek, welche in der Kritik steht: Die Verarbeitung von Nutzerdaten (Eingabe von Prompts/Nutzungsdaten/Profile) widerspreche dem EU-Datenschutz, Zugriff auf diese Nutzerdaten hätten auch staatliche Stellen in China. Zudem ließe sich die App für kriminelle Zwecke nutzen. Die italienische Aufsichtsbehörde hat die App bereits verboten.

Sodann geht es (ab Minute 09:51) um einen befürchteten „bürokratischen Staatsstreich“ in den USA, das „Department of Government Efficiency“ der Trump-Administration richtet unter Elon Musk (Tesla/X/SpaceX) bereits massiven Schaden an. Mit der Begründung, gegen Verschwendung, Korruption und „Bürokratie“ vorgehen zu wollen, sichert sich Musk den Zugriff auf sensible Personaldaten. US-AID, die Behörde für internationale Entwicklungshilfe, wird de facto aufgelöst, von 10.000 Mitarbeitenden sollen noch 300 bleiben. Erste Gerichte greifen ein und versuchen, eine Aushöhlung des Rechtsstaats zu verhindern.

Auch kurz angesprochen (ab Minute 15:30) wird eine Vorlageentscheidung des BGH an den EuGH vor: Zu klären ist der Umfang der Geschäftsführerhaftung für Kartellbußgelder – hier am Beispiel von Kartellabsprachen in der Stahlindustrie, gegen die das Bundeskartellamt Bußgelder in Höhe von 4,1 Millionen Euro gegen die GmbH und in Höhe von 126.000 Euro gegen den Geschäftsführer persönlich verhängte.

Schließlich (ab Minute 19:26) stehen Grundfragen des Datenschutzes vor dem Europäischen Gerichtshofs zur Debatte (Rechtssache C-413/23): Der Generalanwalt legte am 6.2.2025 seinen Schlussantrag vor, verhandelt wird über das Urteil des EuG 1. Instanz vom 26.4.2023. In der Sache wirft der Europäische Datenschutzbeauftragte EDSB dem SRB (Single Resolution Board, einheitlicher Abwicklungsausschuss), der als Bankenaufsicht bei der Abwicklung von Kreditinstituten tätig wird, die Verletzung datenschutzrechtlicher Informationspflichten vor (vgl. Art. 13 DS-GVO, hier jedoch: Verordnung 2018/1725 zur Datenverarbeitung durch EU-Organe). In einem denkbar einfach gelagerten Fall – ein Dienstleister erhält pseudonymisierte Daten – entwickelt das EuG die Theorie, dass der Personenbezug nicht absolut, sondern je nach Empfänger der Daten relativ festzustellen sei – und beruft sich dabei auf den EuGH (Breyer-Entscheidung vom 19.10.2016 zum Personenbezug von IP-Adressen).
In seinem Schlussantrag geht der GA ebenfalls davon aus, dass pseudonyme Daten für den Datenverarbeiter anonym sein können – was wohl mit dem Wortlaut von ErwGr 26 DS-GVO kollidiert.
Zur Krönung dieser Verwirrung geht der GA auch noch davon aus, dass Informationspflichten des Verantwortlichen nicht deswegen entfallen, weil die Daten für den Empfänger anonym sind (anders als Art. 4 Nr. 9 DS-GVO). Handlungen des Verantwortlichen, die keine Beeinträchtigung des Betroffenen auslösen können, sollen also keinen Einfluss auf seine Pflichten haben? Na prima …

Grundfragen des Datenschutzes sind offensichtlich unklar und ungeklärt – man möchte mit Dante angesichts dieses Blicks in den Höllenschlund ausrufen: „Lasciate ogni speranza“ – Lasst alle Hoffnung fahren …

Was sagen eigentlich die Parteien in ihren Programmen zum Datenschutz, zu Bürgerrechten, zur Informationsfreiheit. Stefan Brink und Niko Härting haben sich eingelesen.

In diesem Podcast sprechen Stefan Brink und Niko Härting zunächst (ab Minute 00:59) über das Gutachten des Netzwerks Datenschutzexpertise zur Frage: Unter welchen Voraussetzungen besteht ein Anspruch auf eine analoge Alternative zum digitalen Service? Bei immer mehr Dienstleistungen von Staat und Wirtschaft werden solche Alternativen nicht mehr angeboten. So z. B. wenn der Kauf günstiger Bahnfahrkarten, die Abholung von Postpaketen oder der Eintritt zu Kultur- oder Sportveranstaltungen ohne Smartphone nicht mehr möglich ist. Auch die öffentliche Verwaltung setzt immer öfter auf „digital only“.
Dadurch werden Menschen regelmäßig ausgeschlossen und diskriminiert, weil sie sich die benötigten Digitalgeräte und Anschlüsse nicht leisten können, weil sie nicht über die nötige Medienkompetenz verfügen oder weil sie wegen einer Beeinträchtigung einen Dienst faktisch nicht nutzen können. Viele Menschen versuchen auch, digitale Angebote – insbesondere im Internet – zu vermeiden, weil sie befürchten, dass ihre dadurch erlangten Daten missbraucht werden.
Ein Anspruch auf alternativen analogen Zugang lässt sich möglicherweise aus der Verfassung herleiten, gerade gegen öffentliche Stellen. Das Gutachten mündet in die
Forderung, ein Verbot digitaler Diskriminierung verfassungsrechtlich zu fixieren.

Sodann wird (ab Minute 10:16) das Urteil des Bundesverfassungsgerichts zur Erhebung einer Gebühr für den polizeilichen Mehraufwand bei „Hochrisikospielen“ der Fußball-Bundesliga besprochen (Urteil vom 14.1.2025 1 BvR 548/22). Die Verfassungsbeschwerde der DFL Deutsche Fußball Liga GmbH blieb erfolglos, das BVerfG prüft mustergültig den gesetzlichen Eingriff in die Berufsausübungsfreiheit des Art. 12 GG und beurteilt diesen als formell und materiell verfassungskonform. Zweifel bestehen allenfalls an der Trennschärfe der angelegten gesetzlichen Kriterien für eine Kostenbeteiligung (polizeilicher Mehraufwand bei gewinnorientierten, erfahrungsgemäß gewaltgeneigten Großveranstaltungen mit mehr als 5.000 Personen).

Schließlich wird (ab Minute 21:34) ein Urteil des Europäischen Gerichtshofs vom 9.1.2025 (Rechtssache C-416/23) analysiert: Es geht um die Pflicht der Aufsichtsbehörde zur Bescheidung exzessiver Anträge nach Art. 57 Abs. 4 DS-GVO. Ganze 77 Mal beschwerte sich ein Österreicher bei der örtlichen Datenschutzbehörde über mögliche Verstöße gegen die Datenschutz-Grundverordnung, etwa die Verletzung von Art. 15 DS-GVO - in weniger als zwei Jahren. Die österreichische Behörde weigerte sich, die Beschwerden noch zu bearbeiten. Der Bürger habe exzessiv Beschwerden eingereicht und es damit übertrieben.
Der EuGH macht den Aufsichtsbehörden das Leben nicht leichter: Anfragen seien nicht allein aufgrund ihrer Zahl während eines bestimmten Zeitraums als „exzessiv“ im Sinne dieser Bestimmung einzustufen, die Aufsichtsbehörde müsse zusätzlich das Vorliegen einer Missbrauchsabsicht der anfragenden Person nachweisen. Das Wahlrecht der Aufsichtsbehörde (Nicht-Behandlung der exzessiven Anfrage oder Erhebung einer Gebühr) müsse zudem verhältnismäßig ausgeübt werden.

Aufsichtsbehörde zu sein macht auch nicht immer Spaß …

Niko Härting und Stefan Brink werten zunächst die Grundgesetzänderung zum Schutz des Bundesverfassungsgerichts aus. Die Struktur und Zusammensetzung sowie die Bindungswirkung der Entscheidungen des Bundesverfassungsgerichts sind nun im Grundgesetz festgeschrieben. Somit wurden einige Regelungen aus dem einfachen Gesetz (Bundesverfassungsgerichtsgesetz), welche jederzeit mit einfacher Mehrheit geändert werden können, durch die Hürde der 2/3-Mehrheit zur Veränderung des Grundgesetz geschützt. Transparenzregelungen in Bezug auf die Wahl der Richter des Bundesverfassungsgerichts, welche das Vertrauen in unsere Verfassungshüter stärken würden, wurden bedauerlicherweise nicht beschlossen.

Ab Minute 13:47 werden zwei Entscheidungen zum Datenschutz, insbesondere zum Thema der Datenminimierung besprochen.

In Polen konnten Erziehungsberechtigte der Verarbeitung eines Fingerabdrucks zwecks Identitätsfeststellung bei der Essensausgabe einwilligen. Andernfalls musste die Identität der Schülerin analog über eine Liste in einer separaten Schlange festgestellt werden. Die polnische Datenschutzbehörde bezweifelte die Wirksamkeit der Einwilligung mangels Freiwilligkeit. Das Verwaltungsgericht in Polen widersprach der Behörde. Trägt die Entscheidung den besonderen Anforderungen für biometrische Daten des Art. 9 DSGVO hinreichend Rechnung?

Ab Minute 27:52 geht es um die EuGH-Entscheidung vom 9.1.2025 (Az. C-394/23) in der das Gericht entschied, dass die Erhebung der Geschlechtsangabe für die französische Bahngesellschaft SNCF nicht erforderlich sei. Härting und Brink beschäftigen sich genauer mit der Auslegung des Art. 6 Abs. 1 lit. a bis f DSGVO (Rechtsgrundlagen für die Datenverarbeitung), insbesondere wird die Anwendung des EuGH der Datenverarbeitung zwecks der Vertragsdurchführung (Art. 6 Abs. 1 lit. b DSGVO) kritisiert. Last but not least setzt der EuGH im Rahmen des Art. 6 Abs. 1 lit. f DSGVO einen strengen Maßstab fest: Aus dem Erforderlichkeitsgrundsatz wird das Erfordernis einer ,,unbedingten Notwendigkeit“.

Im neuen Podcast sprechen Stefan Brink und Niko Härting zunächst (ab Minute 01:06) über Mark Zuckerbergs Kehrtwende: Er ändert (in den USA) die Moderation von Posts auf Facebook und Instagram zugunsten von Free Speech, die Bekämpfung von Fake News und Hate Speech hat das Nachsehen. Hatte sich der Facebook-Mutterkonzern Meta nach dem ersten US-Wahlsieg von Donald Trump im Jahr 2016 noch bemüht, Fehlinformationen und Hetze auf seinen Plattformen einzuschränken, will Zuckerberg Facebook und Instagram jetzt nach dem Vorbild von X umgestalten. Auf Faktenchecks soll auf seinen Plattformen verzichtet werden, deutlich „einfachere Regeln“ und „weniger Restriktionen“ soll es geben - und weniger „institutionelle Zensur“.
Auswirkungen auf die EU sind wohl vorerst nicht zu erwarten, da der Digital Services Act DSA (seit 2/24 für VLOP) verbindliche Vorgaben gegen Fake News und Hate Speech macht und Faktenchecker (Art. 22 DSA „vertrauenswürdige Hinweisgeber“) installiert.

Sodann erläutert Niko (ab Minute 25:08) die Stellungnahme des Deutschen Anwaltvereins zu einer delegierten Verordnung zum DSA – bei welcher der Datenschutz offensichtlich unter die Räder gerät (https://www.google.com/url?sa=t&source=web&rct=j&opi=89978449&url=https://anwaltverein.de/de/newsroom/sn-85-24-eu-konsultation-verordnung-digital-services-act-dsa%3Ffile%3Dfiles/anwaltverein.de/downloads/newsroom/stellungnahmen/dav-sn-85-24-dsa-konsultation.pdf&ved=2ahUKEwjT98DL9uqKAxVayAIHHX7PHhUQFnoECBwQAQ&usg=AOvVaw2XV13A0V0BivJY2Ptyr0ZC).

Schließlich wird (ab Minute 32:07) ein Hyperlink zu Facebook der EU-Kommission zum Verhängnis: Mit Urteil des Europäischen Gerichts 1.Instanz in der Rechtssache T-354/22 | Bindl / Kommission vom 8.1.2025 wird sie zu Schadenersatz in Höhe von 400 € verurteilt.
Das kam so: Ein in Deutschland lebender Bürger wirft der Kommission vor, sein Recht auf Schutz seiner personenbezogenen Daten verletzt zu haben, als er 2021 und 2022 die von der Kommission betriebene Website der „Konferenz zur Zukunft Europas“ besucht habe. Er hatte sich über diese Website zu einer Veranstaltung angemeldet und hierzu den Authentifizierungsdienst „EU Login“ der Kommission verwendet, bei dem er sich für die Anmeldeoption „Mit Facebook anmelden“ entschieden hatte. Der Betroffene meint, bei seinen Besuchen der Website der Konferenz zur Zukunft Europas seien ihn betreffende personenbezogene Daten an Empfänger in den Vereinigten Staaten übermittelt worden, insbesondere seine IP- Adresse sowie Browser- und Geräteinformationen. Die Vereinigten Staaten hätten aber (zu diesem Zeitpunkt) kein angemessenes Schutzniveau aufgewiesen. Die ihn betreffenden personenbezogenen Daten seien deshalb der Gefahr eines Zugriffs durch die Sicherheits- und Nachrichtendienste der Vereinigten Staaten ausgesetzt gewesen.
Dem stimmt das EuG (teilweise) zu, der Betroffene habe einen immateriellen Schaden erlitten: Er befinde sich nämlich in einer Lage, in der er nicht sicher sei, wie die ihn betreffenden personenbezogenen Daten, insbesondere seine IP-Adresse, verarbeitet werden (Kontrollverlust) – weswegen das Gericht die Kommission verurteilt, an den Betroffenen 400 Euro zu zahlen.

Meta-Morphosen wohin man schaut …

Im neuen Podcast sprechen Stefan Brink und Niko Härting mit der Berliner
Landesbeauftragten für Datenschutz und Informationsfreiheit Meike Kamp.
Zunächst geht es (ab Minute 02:30) um die Situation des Datenschutzes in Berlin und
Deutschland, auch die Lage der Konferenz der Datenschutzbeauftragten der Länder
und des Bundes wird kritisch hinterfragt. Meike Kamp betont dabei die erzielten
Fortschritte und verweist auf die erhebliche Beschwerdelast der Aufsicht.
Dann geht der Blick auf die europäische Ebene (ab Minute 28:50), der Europäische
Datenschutzausschuss EDSA ist ebenso wie der Europäische Gerichtshof EuGH ein
zentraler Player im „neuen Datenschutz“ der DS-GVO. Aus Sicht von Meike Kamp
haben die Institutionen ihre Rolle inzwischen gefunden – es bleint also spannend.
Abschließend (ab Minute 44:21) stellt Meike Kamp die Schwerpunkte ihres
Vorsitzjahres 2025 bei der DSK vor – lauter Neuigkeiten also von der Berliner Aufsicht!

„Die schönsten Träume von Freiheit werden im Kerker geträumt“ heißt es bereits bei Friedrich Schiller. Der vormalige Präsident des Bundesverfassungsgerichts Prof. Dr. Hans-Jürgen Papier betont die freiheitssichernde Funktion des Staates: „Zweck des Staates ist die Gewährleistung der Freiheit.“
Aus seiner Zeit am Bundesverfassungsgericht berichtet Papier vom ständigen Kampf um die richtige Balance zwischen Freiheit und Sicherheit: „Damals hieß es immer, ohne Sicherheit sei die Freiheit nichts und deshalb könnten Maßnahmen für die Sicherheit die Freiheit gar nicht einschränken. Dieser Aussage ist das BVerfG damals nie gefolgt.“
In der Corona-Zeit gerieten Freiheit und Sicherheit bisweilen aus dem Gleichgewicht: „Ich habe von Anfang der Pandemie an, seit 2020 immer gesagt: Prüft bitte eingehend die Verhältnismäßigkeit. Es wurde aber immer gesagt, es ginge um den Gesundheitsschutz und etwas Höherrangiges gäbe es ja nicht.“
Auch bei der Meinungsfreiheit sieht Papier kritische Entwicklungen, die weniger vom Staat als von privaten Akteuren ausgehen: „Es gar nicht erst zulassen, dass Freiheitsrechte real nicht mehr ausgeübt werden, weil es starken gesellschaftlichen Gruppierungen nicht passt.“
Wenig hält Papier von markigen Politikersprüchen zur „Härte“ des Rechtsstaats: „Die Aussage von Politikern nach einem schrecklichen Verbrechen, man würde mit aller Härte des Rechtsstaats vorgehen, ist schon fast peinlich, da sie den Anschein erwecken könnte, der Rechtsstaat hätte in anderen Kriminalitätsbereichen schon abgedankt.“