MEINE DATEN GEHÖREN MIR – DATENSCHUTZ IN SOZIALEN NETZWERKEN
I. Einführung
Die Bedeutung des Datenschutzes wächst in gleichem Maße, wie wir bereit sind, online immer mehr private und privateste Informationen von uns preiszugeben. Die meisten Internetnutzer sind mittlerweile sensibilisiert und erklären sich nicht mehr leichtfertig damit einverstanden, dass ihre personenbezogenen Daten unbegrenzt und uneingeschränkt verarbeitet werden. Immer mehr gesetzliche Schutzvorschriften begrenzen die Möglichkeiten der Unternehmen, Daten zu sammeln. Dies bekam Ende 2015 auch Facebook zu spüren.
II. Fall
Facebook und andere soziale Netzwerke machen einiges möglich: Zum Beispiel können Sie dort sämtliche Aktivitäten Ihrer Freunde und Bekannten über Jahre mitverfolgen, etwa den Wandel Ihres besten Kumpels vom verhaltensauffälligen Junggesellen auf Mallorca hin zum fürsorglichen Familienvater im Bayerischen Wald. Wenn Sie die sozialen Netzwerke fleißig füttern, erfährt Ihr persönliches Umfeld alles, was Sie bewusst oder auch nur unbewusst von sich offenbaren. Datenpreisgabe erfolgt eigentlich immer, wenn wir online sind.
Aber haben Sie sich nie gefragt, wozu es führen kann, wenn nahezu jeder Moment per Foto festgehalten und verbreitet wird, scheint er auch noch so privat zu sein? Das Ergebnis ist eine in der Menschheitsgeschichte nie gekannte Foto- und Informationsinflation, von der zwei Empfängerkreise profitieren: zum einen direkt Ihre Freunde und Bekannten, zum anderen aber auch indirekt die als Medium verwendeten sozialen Netzwerke wie Facebook, Twitter, Instagram und so weiter, die geradezu danach gieren, Informationen jeder Art in Form von Postings, Likes oder Fotos zu erhalten, um sie dann für eigene oder fremde Zwecke zu nutzen.
Hinter diesen Plattformen stehen internationale, milliardenschwere Unternehmen. Dort arbeiten Marketingexperten, die pausenlos darüber nachdenken, wie sie all die unablässig fließenden Datenströme, die sie von Ihnen und uns allen erhalten, bestmöglich kommerzialisieren können. Da die Teilnahme an den Netzwerken für die User bekanntlich kostenlos ist, müssen die Betreibergesellschaften mangels Nutzungsgebühren andere Erlösquellen nutzen. Wer erfolgreich ein soziales Netzwerk etablieren und betreiben will, muss auch und vor allem die Fähigkeit haben, zahlende Industriekunden zu finden, denen er die Nutzungsbefugnisse an Ihren personalisierten Daten verkaufen kann. Letztlich ist es also das Geschick, aus Ihren und unseren Userdaten möglichst viel Profit zu machen, das den (Börsen-)Wert eines sozialen Netzwerks und damit letztlich auch die Gehälter der deshalb stets findigen Unternehmensmanager steigert.
Sie sind im Netz längst als überzeugter Radfahrer und Auto-Verweigerer bekannt? Dann wundern Sie sich nicht, dass Ihnen niemand mehr Werbung für Geländewagen zusendet. Stattdessen überschwemmt man Sie mit erstaunlich personalisierten Kaufempfehlungen, die tatsächlich sehr häufig Ihren Vorlieben und Ihren Neigungen entsprechen, wie zum Beispiel Werbung von Fahrradherstellern oder der Deutschen Bahn. Teilweise aber treibt »das System« aus Ihrer Sicht auch merkwürdige Blüten, wenn Sie zum Beispiel als zwar nicht mehr ganz junger, aber zumindest laut Ihrer Selbstwahrnehmung durchaus noch aktiver und vitaler Mensch in den besten Jahren feststellen, dass Sie bereits als Zieladressat für Hörgeräte- und Rollatorenwerbung identifiziert wurden. Und wer weiß, vielleicht wird ja die heute noch lässig abgetane Werbebotschaft schon morgen zu einer subtilen Kaufempfehlung, der Sie bereitwillig nachgeben.
Falls Sie sich aber wundern, wie denn der Fahrradfabrikant Ihre Leidenschaft so eindeutig mitbekommen hat, dann sollten Sie sich vielleicht einmal Ihre Postings bei Facebook, Twitter, Instagram und Co. anschauen. Nicht nur, dass Sie vielleicht ganze Fotogalerien von Ihrer Weltreise mit dem Fahrrad auf Facebook gepostet haben – Sie veröffentlichen auch regelmäßig ein Bild von Ihrem Sonntags-Fahrradausflug bei Instagram, während vielleicht die Empfänger der Geländewagenwerbung eher bei der samstäglichen Autowäsche oder im Showroom des nächstgelegenen SUV-Händlers posieren. Doch wie der möglicherweise sogar in den USA ansässige Fahrradhersteller von Ihren Fotos erfahren konnte, erklärt das noch nicht.
Woran denken Sie, wenn Sie den Begriff »Safe Harbor« hören? Leider folgt an dieser Stelle keine romantische Seefahrer- und Piratengeschichte. Vielmehr kommt die europäische Politik ins Spiel. Im Jahr 2000 traf die Europäische Kommission das so genannte »Safe Harbor-Abkommen«, welches zuließ, dass trotz Geltung europäischen Datenschutzrechts personenbezogene Daten von einem EU-Mitgliedstaat in die USA übertragen werden.
Darauf konnten sich amerikanische Unternehmen stützen. Demnach war eine Übermittlung vom europäischen Facebook-Sitz in Irland ins kalifornische Silicon Valley zulässig, da die USA angeblich ein »Safe Harbor«, also ein sicherer Hafen auch für europäische Daten seien, weil sie einen ähnlich sicheren Schutz personenbezogener Daten gewährleisteten wie europäisches Datenschutzrecht.
Oder zumindest gewährleisten sollten. Denn ein einzelner Facebook-Nutzer aus Irland sah das anders und wehrte sich gerichtlich gegen die Übermittlung seiner personenbezogenen Daten in die USA – und bekam Recht: Im Herbst 2015 kassierte der Europäische Gerichtshof die alte »Safe-Harbor-Entscheidung«.
III. Rechtliche Grundlagen
Doch was genau bedeutet »Schutz personenbezogener Daten«? Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person, eines so genannten »Betroffenen«. Dies kann beispielsweise Ihr Name und Ihr Wohnort sein, oder ein Foto, das Sie auf Ihrem Fahrrad in der Sahara zeigt. Oder auch ein exaktes Protokoll, wann Sie morgens aufgestanden sind, dafür sendet die Wecker-App diese Daten jeden Morgen von Ihrem Smartphone an den Hersteller.
Die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten ist nur zulässig, soweit das Bundesdatenschutzgesetz oder eine andere Rechtsvorschrift dies erlaubt oder anordnet oder der Betroffene eingewilligt hat. Eine Rechtsvorschrift erlaubt es im Zweifel nicht, dass Ihre Urlaubsfotos an Facebook übermittelt werden. Das ist deshalb nur möglich, wenn zuvor eine ausdrückliche Einwilligung Ihrerseits stattgefunden hat. So »ausdrücklich« allerdings ist die Einwilligung gar nicht, erfolgt sie doch an der Stelle innerhalb des Anmeldeprozesses in einem sozialen Netzwerk, an der Sie in Sekundenschnelle durch die Teilnahmebedingungen scrollen und unten genervt »Ja, ich akzeptiere …« anklicken. Manchmal lohnt es sich also in der Tat, vorher das Kleingedruckte zu lesen. Aber wegen Datenschutzbedenken auf Facebook verzichten? Das tun nicht viele, und mit den Verbleibenden lässt sich immer noch genug Geld verdienen.
Immerhin verpflichtet das Bundesdatenschutzgesetz die Nutzer von personenbezogenen Daten zur Datenvermeidung und -sparsamkeit. Demnach dürfen nur so viele Daten gesammelt werden, wie für die Erfüllung der konkreten Aufgabe erforderlich sind. Aber was ist die konkrete Aufgabe von Facebook, in die Sie eingewilligt haben? Offenbar auch, Sie mit Werbung zu versorgen.
Daran erkennen Sie schon, wie schwer der Grundsatz der Datenvermeidung einzuhalten ist – vor allem, wenn Sie freimütig Ihre sämtlichen geschossenen Fotos in sozialen Netzwerken gepostet haben. Stimmen Sie jedoch ausdrücklich zu, dass Facebook Ihnen nur Werbung für Lifestyle-Produkte zukommen lassen darf, ist es nicht in Ordnung, wenn Sie Werbung von Heizdeckenherstellern bekommen, ausgenommen es geht um besonders schicke Designerprodukte.
Datenschutz darf also von den Daten-nutzenden Unternehmen nicht auf die leichte Schulter genommen werden. Deshalb können Sie als Betroffener nicht nur Auskunft über Ihre personenbezogenen Daten verlangen, sondern diese auch berichtigen, löschen oder sperren lassen. Es ist somit Ihr gutes Recht, Auskunft über alle gespeicherten Daten zu verlangen, die Sie betreffen.
Doch zurück zu »Safe Harbor«. Das gleichnamige Abkommen wurde diesem Schutzumfang des Bundesdatenschutzgesetzes nicht gerecht und entsprach auch nicht unbedingt europäischem Datenschutzrecht. Dank Edward Snowdens Enthüllungen wissen wir, dass beispielsweise amerikanischen Sicherheitsbehörden unter Umständen Zugriff auf personenbezogene Daten gewährt werden musste. Vielleicht hängen deswegen die spektakulären Fotos von Ihrer Fahrrad-Weltreise, die Sie damals bei Facebook geteilt haben, heute in der NSA-Kantine.
Ob dieser Gedanke die Richter des Europäischen Gerichtshofs in Ihrer Entscheidung beeinflusste, wissen wir nicht. Jedenfalls ist »Safe-Harbor« Vergangenheit und wurde durch das »EU-US Privacy Shield« ersetzt, welches stärker auf Datensicherheit ausgelegt ist.
Ende gut, alles gut? Wohl nicht. Denn die US-Regierung hat einen neuen Beschluss nachgelegt: Für Personen, die keine US-amerikanischen Staatsangehörigen oder keine ständigen rechtmäßigen Einwohner der USA sind, findet das »EU-US Privacy Shield« keine Anwendung. Frei in dem Sinne: Was für US-Amerikaner gilt, darf nicht für Europäer gelten. America first eben. Einen ähnlich sicheren Schutz für EU-Bürger wie das europäische Datenschutzrecht kann das »EU-US Privacy Shield« damit schwerlich noch entfalten.
Die Fortsetzung folgt schon...