3: Vorträge, Vorlesungen, Aufsätze
Zur Kontrolle von Datenerhebung und -nutzung durch global agierende soziale Netzwerke und sonstige Internet-Unternehmen
Dr. Thilo Weichert, Leiter des ULD Beitrag zur Jahrestagung des Instituts für Rundfunkrecht (IfR) Datenschutz im digitalen Zeitalter – global, europäisch, national am 16.05.2014 in Köln
Kontrollstelle
Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) ist die für das nördlichste deutsche Bundesland zuständige Datenschutzaufsichtsbehörde. Als solche behandelt sie Bürgerbeschwerden, führt Datenschutzkontrollen durch und verhängt im Falle von Datenschutzverstößen Sanktionen wie z. B. Beanstandungen oder Bußgelder und erlässt Verfügungen. Als Datenschutzaufsichtsbehörde nach § 38 BDSG arbeitet das ULD mit den anderen deutschen Kontrollinstanzen im sog. „Düsseldorfer Kreis“ zusammen und ist auf europäischer Ebene am Diskussions- und Entscheidungsprozess der Artikel-29-Arbeitsgruppe beteiligt.
Neben diesen eher repressiv und koordinierend ausgerichteten Tätigkeiten nimmt das ULD auf gesetzlicher Basis weitere vorrangig präventiv wirkende Aufgaben wahr: die Beratung von Bürgerinnen und Bürgern, von Wirtschaftsunternehmen, Behörden und der Politik, die Ausbildung in der Datenschutzakademie Schleswig-Holstein, die Durchführung von Forschungsprojekten, das Erstellen von Gutachten im Bereich des Datenschutzes, die Zertifizierung von Produkten, Dienstleistungen und Verfahren nach Feststellung der Datenschutzkonformität im Rahmen von Auditverfahren und Verfahren zur Verleihung von Gütesiegeln.
Die Tätigkeit als Kontrollstelle beschränkt sich nicht auf die hoheitliche Aufsichtstätigkeit. Das ULD kooperiert mit Wirtschaftsunternehmen und -verbänden, z. B. bei der Erarbeitung von Verhaltensregeln nach § 38a BDSG, und unterstützt Verbraucherverbände wie den Verbraucherzentrale Bundesverband (vzbv) oder die Verbraucherzentrale (VZ) Schleswig-Holstein bei datenschutzrechtlichen Verbraucherfragen.
Die Geschichte des Datenschutzes in Europa
Datenschutz ist mit der Informatisierung von Wirtschaft und Verwaltung in den 60er- und 70er-Jahren des letztem Jahrhunderts relevant geworden. Ausgehend von Deutschland entstanden in den 70er-Jahren die ersten Datenschutzgesetze, mit denen die Menschen vor den negativen Folgen der Informatisierung bewahrt werden sollten. Da diese Schutzregeln sich für den internationalen Datenaustausch als hinderlich erweisen könnten, wenn bei Wirtschaftspartnern kein hinreichender Datenschutz gewahrt wird, entwickelte die OECD schon 1980 Datenschutz-Leitlinien, über deren Einhaltung ein Datenschutzniveau bewirkt werden sollte, das den freien Datenfluss möglich macht und dadurch Handelshemmnisse vermeidet. Den gleichen Zwecken – Schutz der Menschen und Ermöglichung des grenzüberschreitenden Datenflusses – dient die Datenschutzkonvention des Europarates von 1981, die 1985 in Kraft trat.
Eine neue rechtliche Qualität gewann der Datenschutz durch das Volkszählungsurteil des deutschen Bundesverfassungsgerichts im Jahr 1983, in dem aus dem allgemeinen Persönlichkeitsrecht des Grundgesetzes ein Grundrecht auf informationelle Selbstbestimmung hergeleitet wurde, in das nur auf Basis der Einwilligung des Betroffenen oder eines Gesetzes eingegriffen werden darf. Parallel zu dieser Entwicklung in Deutschland etablierte sich der Datenschutz in Europa, wo zur Herstellung des auch für die Informationstechnik relevanten Binnenmarktes im Jahr 1995 die verbindliche europäische Datenschutz-Richtlinie erlassen wurde, die in der Europäischen Union (EU) ein einheitliches Schutzniveau zum Ziel hatte. Die europaweite explizite Anerkennung als Grundrecht erfolgte mit der Aufnahme als Art. 8 in die Europäische Grundrechte-Charta, die im Jahr 2009 in Kraft trat.
Die Fortentwicklung des Grundrechtsschutzes wurde im Jahr 2008 durch ein weiteres Urteil des BVerfG vorangetrieben, in dem aus dem allgemeinen Persönlichkeitsrecht ein Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität eigener informationstechnischer Systeme abgeleitet wurde. Damit schuf das Gericht neben dem besonderen sozialen Schutzbereich der Familie (Art. 5 GG) und dem räumlichen Schutzbereich der Wohnung (Art. 13 GG) eine vergleichbare digitale Schutzsphäre.
Grundrechtsverzicht in den USA
Der Datenschutz in den USA nahm eine völlig andere Entwicklung, wenngleich die Voraussetzungen für die Zusicherung eines digitalen Grundrechtsschutzes dort besser waren als in Europa. Schon 1890 haben die US-Juristen Samuel D. Warren und Louis D. Brandeis aus dem Common Law angesichts neuer technischer Risiken für den Persönlichkeitsschutz ein „Recht auf Privatheit“ begründet, das den Anspruch einschließt, „in Ruhe gelassen zu werden“. Die wesentlichen Grundlagen des modernen Datenschutzes entwickelte Alan F. Westin schon 1967 in seinem Standardwerk „Privacy and Freedom“ unter Rückgriff auf die Zusatzartikel zur US-Verfassung, die aussagekräftigere Vorgaben für den Datenschutz enthalten als das deutsche Grundgesetz.
Dem folgten aber weder die US-Regierung, der Gesetzgeber noch das oberste US-Gericht, der Supreme Court. Vielmehr beschränkte sich der Supreme Court darauf, „reasonable expectations of Privacy“ zu schützen. Als angemessen wird dieser Schutz nur für Inländer anerkannt, nicht für Nicht-US-Staatsbürger im Ausland. Es bedarf für Eingriffe nicht zwingend gesetzlicher Regelungen. Private Unternehmen werden durch den Privatheitsschutz nicht verpflichtet. Mit der „Third-Party-Doctrine“ besteht grundsätzlich auch kein Schutz, wenn Daten öffentlich zugänglich sind oder diese an private Dritte gelangen. In den USA entstand aus der Debatte über Privatheit kein konsistentes Schutzsystem wie in Europa, sondern ein Flickenteppich von nationalen und bundesstaatlichen Einzelregelungen. Insofern gab es bis heute keine wesentliche Weiterentwicklung. Die Gründe hierfür waren die Widerstände der Sicherheitsbehörden, die in ihren Ermittlungstätigkeiten nicht eingeschränkt werden wollten, wie auch der Wirtschaft, die in einer staatlichen Regulierung eine Einschränkung ihrer ökonomischen Entfaltungsmöglichkeiten sah und sieht. Mit der Globalisierung der Informationstechnik haben sich diese Widerstände verstärkt: Die Anerkennung eines wirksamen Datenschutzes würde die globale Sicherheitshegemonie der US-Regierung ebenso begrenzen wie die wirtschaftliche Hegemonie der US-Unternehmen im Bereich der Informationstechnik und des Internet.
Digitaler Grundrechtsschutz in Europa
Anders als in den USA entwickelte sich der digitale Grundrechtsschutz in Europa kontinuierlich weiter und differenzierte sich aus. Rechtsgrundlagen waren zunächst die nationalen Verfassungen wie das Grundgesetz und die Europäische Menschenrechtskonvention (Art. 8 EMRK). In der Europäischen Grundrechte-Charta fanden neben Art. 8 weitereinformationsrechtliche Garantien eine für eine vernetzte Welt zeitgemäßere normative Grundlage. Der digitale Grundrechtsschutz schließt die Meinungs- und Kommunikationsfreiheit im Internet mit ein wie auch die Freiheit der Informationsbeschaffung. Der Anspruch auf Zugang zu Verwaltungsinformationen wurde in Informationsfreiheitsgesetzen festgehalten. Jüngst leitete der Europäische Gerichtshof für Menschenrechte aus Art. 10 EMRK derartige Informationsansprüche grundrechtlich ab. Private Unternehmen werden zunehmend durch Informationspflichten zu mehr Transparenz gezwungen.
Die demokratische Dimension des Internet findet auch in der Zusicherung einer digitalen Vereinigungs- und Versammlungsfreiheit ihren Ausdruck. Das Recht, sich zu beschweren, das Petitionsrecht, wird zunehmend über das Netz wahrgenommen. Den bisher vor allem analog verstandenen Freiheiten, etwa auf Schutz der Religionszugehörigkeit, der Familie, des Berufes, der Wohnung, der Freizügigkeit oder der wirtschaftlichen Betätigung, wächst eine digitale Bedeutung zu. Am offensichtlichsten wurde dies durch die Anerkennung des Grundrechts auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme. Auch der Gleichheitsgrundsatz wirkt auf die Informationsverarbeitung durch Diskriminierungsverbote bei der Nutzung von Daten z. B. über Geschlecht, Abstammung, Herkunft oder Glauben.
Zentraler Anker für die normative Umsetzung des digitalen Grundrechtsschutzes ist das Verbot mit Erlaubnisvorbehalt bei informationellen Eingriffen. Die zu erlassenden Schutzgesetze beschränken sich aber nicht auf materiell-rechtliche Gewährleistungen, sondern regulieren auch das Verfahren, die Technik sowie die beteiligten Institutionen und deren Organisation. Neben dem immer weiter voranschreitenden Ausbau des Anspruchs auf gerichtliche Kontrolle haben prozedural die unabhängigen digitalen Aufsichtsbehörden (Datenschutz- und Informationsbeauftragten) eine zentrale Funktion. Ihnen kommt die Aufgabe zu, das durch die Komplexität der Technik und der damit erfassten Sachverhalte bestehende Ungleichgewicht zwischen Staat und Wirtschaftsunternehmen einerseits und den Bürgerinnen und Bürgern andererseits zu kompensieren.
In die digitalen Verfahren wirken wiederum materielle Sicherungen hinein, etwa die Unschuldsvermutung und das Recht, sich nicht selbst belasten zu müssen (Nemo Tenetur), was angesichts der digitalen Spuren, die wir hinterlassen, immer schwieriger zu wahren ist. Grundrechtseingriffe haben grundsätzlich offen zu erfolgen; heimliche Maßnahmen sind nur unter bestimmten sichernden Voraussetzungen erlaubt. Die Verfahren müssen generell fair gestaltet sein und einen effektiven Grundrechtsschutz gewährleisten.
Kontrollkonzept im Internet
Der Ausdifferenzierung des Grundrechtsschutzes folgend beschränkt sich das Kontrollkonzept des Internet-Datenschutzes nicht auf die Tätigkeit von Aufsichtsbehörden. Deren Wirken ist vielmehr nur ein – zweifellos wichtiger – Baustein eines umfassenderen rechtsstaatlichen Kontrollkonzepts. Dieses besteht zum einen in der Eröffnung des zivilrechtlichen Klageweges bei Verstößen gegen das individuelle Rechte begründende Bundesdatenschutzgesetz (BDSG) wie auch bei sonstigen Verletzungen des allgemeinen Persönlichkeitsrechtes nach den §§ 823, 1004 BGB.
Eine Form der Ausdifferenzierung sind spezialisierte Abwehransprüche nach dem Arbeitsrecht und – was im Hinblick auf soziale Netzwerke relevanter ist – nach Verbraucher- und Wettbewerbsrecht. Der langjährige Widerstand der Rechtsprechung, das Datenschutzrecht als verbraucher- und marktschützend anzuerkennen ist in jüngster Zeit fast vollständig gewichen und wird nur noch von wenigen Oberlandesgerichten im Süden Deutschlands aufrecht gehalten. Insofern rennt die
Initiative des derzeitigen Bundesjustizministers, förmlich Verbraucherverbänden die Klagebefugnis bei Datenschutzverstößen zuzusprechen, fast schon offene Türen ein.
Keine wesentliche Rolle spielt in der Praxis bisher der strafrechtliche Schutz des Rechts auf informationelle Selbstbestimmung bzw. der Schutz durch das Ordnungswidrigkeitenrecht. Dies gilt insbesondere im Hinblick auf Internet-Unternehmen. Offensichtlich fühlen sich die Staatsanwaltschaften den damit verbundenen komplexen rechtlichen und technischen Herausforderungen und der massiven Gegenwehr der finanziell hochpotenten betroffenen Unternehmen nicht gewachsen. Entsprechendes gilt oft auch für die Amtsgerichte, die für die Durchführung von Ordnungswidrigkeitsverfahren zuständig sind. Dessen ungeachtet gibt es zunehmend auch solche Sanktionsverfahren.
Persönlichkeitsverletzungen beim BGH
Es ist verblüffend, dass die wesentlichen Impulse für die Rechtsentwicklung des Internet-Datenschutzes nicht von den Aufsichtsbehörden ausgingen, sondern von der Zivilrechtsprechung. Dies erklärt sich damit, dass der Gesetzgeber sich über Jahre hinweg weigerte bzw. nicht imstande sah, das Datenschutzrecht an die tatsächlichen technischen, sozialen und ökonomischen Gegebenheiten des Web anzupassen. So fehlt es nicht nur an für große Internetfirmen wirksamen Sanktionsandrohungen, sondern es bestehen viele weitere rechtliche Hindernisse für eine wirksame Aufsichtstätigkeit. Schließlich ist das Datenschutzrecht bisher nur ungenügend gerüstet für die Kollision des Grundrechts auf Datenschutz mit den Meinungs- und Kommunikationsgrundrechten des Art. 5 GG. So musste der Bundesgerichtshof (BGH) in einem zivilrechtlichen Fall klarzustellen, dass es sich bei Internet-Angeboten um moderne Formen automatisierter Abrufverfahren handelt, bei denen – wegen Art. 5 GG aber nur eingeschränkt – § 29 BDSG anzuwenden ist. Datenschutzbehörden hatten sich bisher im Feld der Meinungsäußerung im Netz völlig zurückgehalten.
Eine in die gleiche Richtung gehende Entscheidung wurde hinsichtlich der Zugänglichkeit von Pressearchiven über das Internet vom BGH im Jahr 2012 getroffen. Danach kann man den Anspruch auf die Möglichkeit zur Resozialisierung und auf Datenlöschung nicht so weit treiben, dass die Internet-Zugänglichkeit eines zeitgeschichtlichen Geschehens, hier eines Kapitalverbrechens, unterbunden werden könnte.
In Sachen Suchmaschinen stellte der BGH in seinem Autocomplete-Urteil im Jahr 2013 klar, dass Persönlichkeitsschutz auch gegen automatisch generierte Inhalte möglich ist und der Internetanbieter – hier Google – hierfür verantwortlich ist.
Und zur internationalen Zuständigkeit stellte der BGH fest, dass es kein Hindernis für die Geltendmachung zivilrechtlicher Ansprüche ist, dass ein Kläger russischer Herkunft ist und ein Inhalt kyrillisch kommuniziert wird oder ein Posting aus den USA heraus erfolgt. Voraussetzung ist aber und ausschließlich, dass die Inhalte einen Inlandsbezug aufweisen.
Verbraucher- und Wettbewerbsrecht
Neben dem allgemeinen zivilrechtlich durchsetzbaren Rechtsschutz in Sachen informationelle Selbstbestimmung bestehen im Arbeits- und im Marktrecht spezifische rechtliche Kontrollmöglichkeiten. Die arbeitsrechtlichen Besonderheiten können im vorliegenden Kontext nicht vertieft werden. Die marktrechtlichen Schutzmechanismen sind dagegen von großem und zunehmendem Interesse für die Durchsetzung des Datenschutzes im Internet generell und in sozialen Netzwerken speziell. Schon vor 20 Jahren wurde die Verbesserung der Rechtsschutzmöglichkeiten durch Einführung eines Verbandsklagerechtes für Verbraucherschutzorganisationen gefordert. Während es bei einer Kontrolle von Allgemeinen Geschäftsbedingungen (AGB) auch bei Internet-Diensten keine Einschränkungen hinsichtlich der verbandlichen Klagemöglichkeit gab, verweigerte die herrschende Rechtsprechung bis vor kurzem die Anerkennung von Datenschutzgesetzen als verbraucherschützende Normen. Diese Ansicht wird inzwischen nur noch von wenigen Oberlandesgerichten vertreten.
In einer aktuellen, die Richtung weisenden Entscheidung zum Freundefinder bei Facebook vom 24.01.2014 bestätigt das Kammergericht Berlin nicht nur, dass Datenschutzrecht als Verbraucherrecht im Rahmen von Verbandsklagen überprüft werden kann, es stellt auch fest, dass Facebook verantwortlich ist für durch „Freunde“ indirekt initiierte Werbeaktivitäten. Da die wesentliche Datenverarbeitung bei Facebook durch die Konzernmutter in den USA festgelegt wird und wegen der vertraglichen Festlegungen mit den Mitgliedern ist das deutsche Datenschutzrecht anwendbar. Schließlich nahm das Gericht eine umfassende AGB-Kontrolle vor und kam zu dem wenig überraschenden Ergebnis der Rechtswidrigkeit vieler Passagen. Auch wenn die Rechtsprechung inzwischen Verbandsklagemöglichkeiten weitgehend anerkennt, bleibt die aktuelle Initiative des Bundesjustizministeriums relevant, die Verbandsklagebefugnis gesetzlich zu regeln.
Wenig erschlossen und massiv entwicklungsfähig ist die Möglichkeit von durch Konkurrenten initiierten wettbewerbsrechtlichen Datenschutzklagen. Dass dies ein wirksames Mittel zur Wettbewerbsbereinigung sein kann, zeigte jüngst das Landgericht Frankfurt, als es auf Klage eines Konkurrenten hin ein Unternehmen wegen des Einsatzes eines datenschutzwidrigen Webanalysetools verurteilte. Die Ironie des Falles will es, dass das eingesetzte Werkzeug ein eher datenschutzfreundliches Produkt war, das aber unzureichend implementiert war. Dem gegenüber nutzen viele Webseiten z. B. Google Analytics, dessen Einsatz aus Datenschutzsicht weniger akzeptabel ist. Hier besteht ein großes Handlungsfeld für Wettbewerber, das bisher noch nicht ansatzweise erschlossen ist.
Datenschutzkontrolle
Die aufsichtliche Kontrolle des Datenschutzes ist in Art. 28 der europäischen Datenschutzrichtlinie (EU-DSRl) geregelt. Den Aufsichtsbehörden werden darin „völlige Unabhängigkeit“, weitgehende „Untersuchungsbefugnisse“ sowie „wirksame Einwirkungsbefugnisse“ zugestanden, zu denen auch ein „Klagerecht“ oder eine „Anzeigebefugnis“ gehört. Betroffene können sich an die Aufsichtsbehörde wenden und haben einen Anspruch auf Prüfung ihrer Beschwerde. Die Zuständigkeit orientiert sich vorrangig am Territorialitätsprinzip, unabhängig vom anwendbaren einzelstaatlichen Recht. Diese Vorgaben werden in Deutschland in § 38 BDSG umgesetzt, der den Aufsichtsbehörden anlasslose Kontrollbefugnisse und einen Auskunftsanspruch gegenüber den verantwortlichen Stellen einräumt. Seit 2009 besteht neben der Möglichkeit von Bußgeldverfahren und strafrechtlichen Anzeigen eine Untersagungsbefugnis nicht nur bei Verstößen im Bereich technisch-organisatorischer Sicherheit, sondern auch bei materiell-rechtlichen Verstößen.
Die praktischen Probleme bei der Durchsetzung des Datenschutzes im Internet durch Aufsichtsbehörden sind vielfältig. Sie beginnen mit sprachlichen Problemen. US-Unternehmen sind ungeübt in deutschsprachiger Kommunikation und insofern absolut unwillig; Mitarbeiter von Aufsichtsbehörden haben nicht immer juristisch- und technik-spezifische Englischkenntnisse, um den Unternehmensexperten Paroli bieten zu können. Oft muss die Kommunikation schon alleine deswegen englisch geführt werden, weil, wie z. B. bei Safe Harbor, sämtliche relevanten Unterlagen ausschließlich in englischer Sprache vorliegen. Hinzu kommt die Unkenntnis über in ausländischen Unternehmen übliche Verfahren, Zuständigkeiten und Gepflogenheiten.
Die Unsicherheiten im internationalen Verkehr mit Internet-Datenverarbeiter setzen sich im rechtlichen Bereich fort – in Bezug auf die Anwendbarkeit des jeweiligen Rechtes und die aufsichtsbehördlichen Zuständigkeiten. Doch oft kommt es gar nicht zu einer solchen Auseinandersetzung bzw. einem Disput über die materiell-rechtliche Zulässigkeit eines Angebotes. Nicht selten sind überhaupt keine verantwortlichen Personen oder Stellen greifbar. So blieben z. B. bei dem US-Dienst Rotten Neighbor, mit dem man Nachbarn anprangern konnte und der sich auch in Deutschland und Schleswig-Holstein kurzfristig einer größeren Beliebtheit erfreute, sämtliche Anschreiben an das Unternehmen in den USA ohne Antwort. Auch eine Einschaltung der US-amerikanischen Verbraucherschutzagentur Federal Trade Commission (FTC) blieb ohne Antwort. Umso überraschter war das ULD, als der Dienst auf seiner Seite mitteilte, deutsche Datenschützer würden ihm Probleme machen, und kurz danach sein Angebot für Deutschland tatsächlich eingestellte. Eine Rückmeldung durch die FTC ist nie erfolgt.
Facebook profiliert sich immer wieder und auch gegenüber dem ULD durch eine medienwirksam zur Schau gestellte Gesprächsbereitschaft. Dies bleibt aber folgenlos. Zugesagte Dokumente wurden auch nach mehr als 2 Jahren trotz Anmahnung nicht zur Verfügung stellt. Sogar vom europäischen Facebook Policy Director persönlich erklärte schriftliche Zusagen wurden nicht eingehalten, nachdem die Gefahr schlechter Presse gebannt schien. Dies ist jedoch kein Alleinstellungsmerkmal von Facebook. Als das ULD öffentlich feststellte, dass das neue in einer Cloud arbeitende Microsoft-Produkt Office 365 gegen Datenschutzrecht verstößt, wurde dringend sofort ein hochkarätiger Gesprächstermin eingefordert und mit deutscher wie US-Besetzung durchgeführt. Dort forderte das ULD aussagekräftige technische Dokumentationen an, was auch umgehend zugesagt wurde. Inzwischen hat sich die Artikel-29-Arbeitsgruppe zu einer von vielen Datenschutzfragen (europäische Cloud) von Office 365 positiv geäußert. Von da an wird hierauf extensiv verwiesen. Die zugesagten Unterlagen, bei denen es um die Überprüfung völlig anderer Fragen (technische Umsetzung der Auftragsdatenverarbeitung) geht, blieben auch noch nach vielen Monaten aus. Dem ULD bleibt deshalb nichts anderes übrig, als weiterhin dringend vor der Nutzung von Office 365 abzuraten, da wichtige Datenschutzfunktionen nicht bekannt sind.
Ein weiteres Problem bei der Datenschutzkontrolle von Social Media besteht darin, dass die Änderungszyklen sowohl der technischen Gestaltung, der Angebotsfunktionalität, der Nutzungsbedingungen (Terms of Use) oder der Datenschutzregeln (Privacy Policies) oft sehr kurz sind mit der Folge, dass sich die prüfungsrelevante Tatsachenbasis ändert.
Weitere praktische Probleme bestehen in der ungenügenden personellen und sonstigen Ausstattung der Aufsichtsbehörden. Diese macht es praktisch unmöglich, auch nur ansatzweise systematische Prüfungen durchzuführen. Was bleibt, ist das Abarbeiten von Einzelbeschwerden und das Aufgreifen von in den Medien oder in der Datenschutz-Community geführten Diskussionen. Die dadurch erfolgende Auswahl der Kontrollthemen bleibt so in einem gewissen Maße zufällig. Die von Prüfungen betroffenen Unternehmen – einschließlich Facebook – beschweren sich dann über eine fehlerhafte Ausübung des Auswahlermessens.
Die rechtliche Auseinandersetzung mit größeren IT-Unternehmen insbesondere bei US-amerikanischen Müttern leidet weiterhin unter einem Ressourcen-Ungleichgewichtigkeit. Die IT-Unternehmen beauftragen große, oft hochqualifizierte und wahrscheinlich teure Anwaltskanzleien mit der Vertretung. Diese schöpfen alle vorstellbaren rechtlichen Möglichkeiten aus. Dadurch werden Verfahren in die Länge gezogen und auf viele Neben-„Kriegsschauplätze“ gedrängt. Beliebt ist dabei das Zuschütten mit anwaltlichen Schreiben, deren Bearbeitung einen hohen Personal- und Zeitaufwand verursacht. Das Fehlen an finanziellen Ressourcen kann durch die Aufsichtsbehörden nur begrenzt mit besonderem Idealismus und Engagement kompensiert werden.
Letztlich scheitert eine effektive aufsichtsbehördliche Durchsetzung des Datenschutzes gegenüber großen IT-Unternehmen oft am beschränkten möglichen Drohpotenzial. Die finanziellen Sanktionsmöglichkeiten sind sehr beschränkt. Das maximale Bußgeld in Deutschland beträgt 300.000 Euro. Sanktionen werden von großen IT-Unternehmen aus der Portokasse beglichen. Selbst ein rechtskräftig gewordenes Bußgeld muss nicht dazu führen, dass eine unzulässige Praxis beendet wird. Bei Untersagungsverfügungen werden zumeist sämtliche Rechtsmittel ausgeschöpft, was dazu führt, dass bis zum Abschluss des Verfahrens rechtswidrige Vorgehensweisen fortgeführt werden. Werden datenschutzwidrige Praktiken eingestellt, so liegt der Grund hierfür weniger bei den aufsichtlichen Ermittlungen und Sanktionen, sondern insbesondere in der medialen Aufmerksamkeit, die ein Verfahren findet und der damit möglicherweise verbundenen schlechten Presse und dem befürchteten Image-Verlust. So ist, wenngleich die Google-Kamerawagen Schleswig-Holstein flächendeckend erfasst haben, dieses Bundesland bis heute frei von einem Online-Street-View-Angebot. Tatsächlich wird die Öffentlichkeitsarbeit von Aufsichtsbehörden von größeren IT-Unternehmen mehr ernst genommen wie die gesamte ausgetauschte verwaltungsrechtliche Kommunikation. Dahinter steckt ein einfaches ökonomisches Kalkül, wobei den Unternehmen zumeist ein großer finanzieller Spielraum zur Verfügung steht.
Fallbeispiel Facebook
Ein Beispiel für die Schwierigkeit aufsichtsbehördlicher Tätigkeit ist die Auseinandersetzung zwischen dem ULD und Facebook. Das ULD griff exemplarisch bei diesem Unternehmensverbund nur wenige grundsätzliche Datenschutzfragen auf und versuchte diese einer rechtlichen Klärung zuzuführen. Zeitgleich mit den Prüfungen in Schleswig-Holstein startete Facebook eine Charme-Initiative gegenüber der irischen Aufsichtsbehörde. Facebook hat seine europäische Zentrale in Irland. Bei zwei von irischen Datenschutzbeauftragten durchgeführten freiwilligen Audits 2011 und 2012 kam dieser – zur Verblüffung der gesamten europäischen Datenschutz-Community – zum Ergebnis, dass sich Facebook im Wesentlichen an den irisch definierten Datenschutzvorgaben halte. Verbleibende Rechtsverstöße wurden als marginal abgetan. Viele US-amerikanische Internet-Unternehmen haben ihre europazentrale im englischsprachigen Irland, das davon über Arbeitsplätze und Steuereinnahmen profitiert.
Eine vom ULD thematisierte Fragestellung war die Klarnamenpflicht von Facebook, die unbestreitbar vom deutschen Telemediengesetz verboten ist. Eine sich darauf beschränkende Verfügung des ULD gegen Facebook Ireland Ltd. wie auch gegen Facebook Inc./USA führte zu einem erstaunlich oberflächlich begründeten Beschluss des Verwaltungsgerichtes (VG) Schleswig, der erklärte, dass ausschließlich irisches Recht anwendbar sei. Auf die Beschwerde des ULD hin bestätigte das Oberverwaltungsgericht (OVG) Schleswig-Holstein diese Ansicht, wenn auch mit einem erhöhten Begründungsaufwand. Diese Rechtsprechung steht nicht nur im Widerspruch zu der schon zitierten Entscheidung des Kammergerichtes Berlin. Sie wurde aktuell durch das Urteil des EuGH widerlegt, das mit kaum überbietbarer Klarheit feststellte, dass Internet-Unternehmen auf dem deutschen Markt deutsches Datenschutzrecht beachten müssen.
Ein weiterer vom ULD eingeschlagener Verfahrensstrang bestand darin, dass deutsche Behörden und Wirtschaftsunternehmen wegen ihrer Nutzung von Facebook, hier deren Fanpages, in eine datenschutzrechtliche Mithaftung genommen wurden. Nachdem sowohl von Seiten der Politik wie auch der Wirtschaft des Landes auf das ULD hiergegen eine Medienkampagne losgetreten wurde, man schädige mit den erlassenen Untersagungsverfügungen den Wirtschaftsstandort Schleswig-Holstein, entschloss sich das ULD seine rechtliche Klärung zunächst auf drei, letztlich auf ein Unternehmen zu beschränken, das sich zugleich in einer öffentlichen Trägerschaft, nämlich der Industrie- und Handelskammer (IHK), befindet. Zwischen der IHK und dem ULD besteht Einigkeit, dass dieses Verfahren als eine Art Musterverfahren geführt werden soll, mit der eine streitige Grundsatzfrage zur Klärung gebracht werden soll. Wieder entschied das VG Schleswig in schnörkelloser Einfachheit und ohne grundrechtliche Erwägungen, dass die Untersagungsverfügungen des ULD rechtswidrig seien. Die hierauf eingelegte Berufung wird am 04.09.2014 vor dem OVG verhandelt werden.
Die Auseinandersetzungen zwischen dem ULD und Facebook dauern nun etwa 3 Jahre an. In dieser Zeit konnte das soziale Netzwerk sich weltweit wie auch in Deutschland weiter ausbreiten und hat inzwischen in Deutschland einen Stand von 26 Mio. Mitgliedern, weltweit einen Stand von 1,3 Mrd. Mitgliedern erreicht. Bei einem Börsengang im Mai 2012 konnte das Unternehmen mit einem Geschäftsmodell, das nach Überzeugung des ULD zumindest auf einem Verstoß gegen deutsches und europäisches Datenschutzrecht basiert, einen Unternehmenswert von 100 Mrd. US-Dollar erzielen.
Fallbeispiel Google
Ein weiteres US-Internetunternehmen, das es mit dem Datenschutz nicht so eng sieht, ist Google. Das ULD führte mit dem Unternehmen einige Auseinandersetzungen. Diese betrafen deren Suchmaschine, dann deren Panoramadienst Street View sowie den Webanalysedienst Analytics. Da Google eine Niederlassung in Hamburg hat und der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) sich dem Unternehmen intensiv widmet, bestand und besteht für das ULD keine Möglichkeit und Veranlassung, weiterhin direkt tätig zu werden und umso mehr Veranlassung, den HmbBfDI bei seinen Bemühungen zu unterstützen.
Im März 2012 teilte Google weltweit seinen Nutzern wie der Öffentlichkeit mit, man werde künftig sämtliche Inhalts- und Nutzungsdaten von unterschiedlichen Diensten zusammenführen, also beispielsweise die Daten von Search, Maps, Calender, Youtube, GMail, Google+, Picasa, Drive, Docs und viele andere mehr. Diese Zusammenführung der Daten verstößt gegen ein zentrales Datenschutzprinzip – die Zweckbindung – und ist deshalb nach deutschem wie europäischem Recht unzweifelhaft unzulässig. Dies wird auch so von den Datenschutzaufsichtsbehörden in Europa so gesehen. Über die Artikel-29-Arbeitsgruppe sowie in direkter Kommunikation arbeiten die Aufsichtsbehörden bei ihrem Vorgehen zusammen. Im Dezember 2013 erließ die spanische Aufsichtsbehörde AEPD ein Bußgeld in Höhe von 900.000 Euro. Januar 2014 folgte die französische Aufsichtsbehörde CNIL mit einer Geldbuße in Höhe von 150.000 Euro. Der HmbBfDI leitete ein möglicherweise effektiveres Untersagungsverfahren ein, das noch nicht beendet wurde. Weitere Verfahren sind in den Niederlanden, in Italien sowie in Großbritannien anhängig.
Durch die Vielzahl der Dienste und das teilweise bestehende Quasi-Monopol hat Google zumindest über den Webverkehr in westlichen und vielen asiatischen Staaten eine fast vollständige Kontrolle. Diese basiert zumindest in Bezug auf Europa auch auf grundlegenden Datenschutzverstößen. Der aktuelle Börsenwert von Google wird weltweit derzeit mit 225 Mrd. Euro angegeben.
Die Google-Entscheidung des Europäischen Gerichtshofes
Angesichts der weitgehenden Machtlosigkeit der Datenschutzaufsichtsbehörden erweist sich das Urteil des Europäischen Gerichtshofes (EuGH) vom 13.05.2014 zum Datenschutz bei der Google-Suchmaschine als Lichtblick. Es schafft einige der oben beschriebenen Hindernisse bei der Durchsetzung des Datenschutzes fort und bringt einige erfreuliche materiell-rechtliche Klarstellungen. Hintergrund des Urteils ist die Suchanzeige von 16 Jahre zurückliegenden Internetartikeln zu dem Namen eines Betroffenen, die über einen finanziell unerfreulichen, inzwischen längst bereinigen Sachverhalt berichten, der von der Suchmaschine aber weiterhin prominent aufgeführt wurde. Aus Gründen des Schutzes der Pressefreiheit beanstandete die spanische Aufsichtsbehörde die Internet-Archivierung der alten Artikel nicht, wohl aber deren Indexierung bei Google. Das hierzu angerufene spanische Gericht legte die dabei auftauchenden Datenschutzfragen dem EuGH vor, der diese grundrechtsfreundlich beantwortete. Er bestätigte, dass Google für die angezeigten Suchinhalte datenschutzrechtlich verantwortlich ist. Dann stellte er fest, dass für die Annahme einer Niederlassung eines Konzernunternehmens keine konkrete Datenverarbeitung nötig ist und wirtschaftliche, etwa Werbe-Tätigkeit ausreicht. Dies wiederum hat zur Folge, dass bei Bestehen einer Niederlassung in einem EU-Mitgliedstaat jeweils das dort geltende nationale Recht anwendbar ist. Er bestätigte, dass ein Betroffener gegenüber Google einen Lösch- bzw. Unterlassungsanspruch geltend machen kann. Dabei muss eine Abwägung erfolgen zwischen dem wirtschaftlichen Interesse und dem öffentlichen informatorischen Interesse an der Anzeige der Meldung einerseits und dem Datenschutzinteresse des Betroffenen andererseits. Interessant ist, dass Google sich bei seiner Tätigkeit nicht auf die Presse- oder die Meinungsfreiheit berufen kann. Der EuGH kam zu dem Ergebnis, dass die Abwägung im konkreten Fall zugunsten des Betroffenen ausfallen muss. Google wurde die Suchanzeige untersagt, wenngleich das Gericht nicht beanstandete, dass die Ursprungsmeldungen weiterhin im Netz verblieben, aber eben nicht so leicht auffindbar sind. Schließlich bekräftigte der EuGH, es sei darauf hinzuweisen, dass „jede Person zum Schutz ihrer Rechte und Freiheiten bei der Verarbeitung personenbezogener Daten an jede Kontrollstelle mit einer Eingabe wenden kann und jede Kontrollstelle über Untersuchungsbefugnisse und wirksame Einwirkungsbefugnisse verfügt, aufgrund deren sie u. a. die Sperrung, Löschung und Vernichtung von Daten oder das vorläufige oder endgültige Verbot einer Verarbeitung personenbezogener Daten anordnen kann“.
Das Urteil weist Internet-Unternehmen damit eindeutige Verantwortlichkeiten zu, deren Einhaltung die nationalen Aufsichtsbehörden unter Anwendung nationalen Rechtes durchsetzen können. Das Urteil des EuGH ist nach der Aufhebung der Richtlinie zur Vorratsdatenspeicherung von Telekommunikations-Verkehrsdaten die zweite Entscheidung innerhalb kurzer Zeit, bei der sich das Gericht als Motor einer Weiterentwicklung des Datenschutzes profiliert und damit in die Fußstapfen des deutschen Bundesverfassungsgerichtes tritt, das durch die zunehmende Europäisierung des Grundrechtsschutzes perspektivisch an Einfluss verlieren könnte. Es ist anzunehmen, dass die Klarheit der EuGH-Entscheidung auch auf der Erkenntnis über die Grundrechtsverweigerung zurückzuführen ist, die US-Unternehmen und US-Politik im Kontext der NSA-Affäre demonstrieren.
Europäische Datenschutz-Grundverordnung
Das Urteil des EuGH erhöht damit den Handlungsdruck – nicht nur bei den Internet-Unternehmen, sondern auch für die Politik. Diese hat sich seit einigen Jahren vorgenommen, ein einheitliches europäisches Datenschutzrecht zu schaffen und sich hierfür eine Datenschutz-Grundverordnung (EU-DSGVO) zu geben. Hierüber berichtet auf der Tagung Ralf Bendrath. Einen ersten Vorschlag für die EU-DSGVO hat die EU-Kommission Dezember 2012 vorgestellt. Das EU-Parlament hat inzwischen fast einvernehmlich Änderungsvorschläge gemacht, die nun zur Kommentierung im Rat bei den Regierungen der EU-Mitgliedstaaten liegen.
Die Vorschläge haben in Bezug auf die Datenschutzkontrollen eine große Bedeutung. Anders als derzeit gemäß dem EuGH-Urteil, sollen sich grenzüberschreitend tätige Unternehmen nur mit einer Aufsichtsbehörde auseinandersetzen müssen (One-Stop-Shop). Aufsichtsbehörden sollen angemessen mit Personal und Ressourcen ausgestattet werden. Betroffene sollen sich an Ihre Aufsichtsbehörde vor Ort wenden können. Europaweit soll dann weitgehend ein einheitliches Recht gelten. Dies gilt insbesondere für grenzüberschreitende Datenverarbeitungen, wie sie bei Internetangeboten und sozialen Medien stattfinden.
Klärungsbedürftig und noch nicht befriedigend geregelt ist das angestrebte Kohärenzverfahren, mit dem die Rechtsanwendung zwischen den europäischen Aufsichtsbehörden abgestimmt werden soll. Hier muss ein Abstimmungsprozess zwischen Stellen etabliert werden, deren Unabhängigkeit nicht beeinträchtigt werden darf. Ein effektives Verfahren zu schaffen, das ressourcenschonend Rechtssicherheit schafft, ist eine noch nicht vollständig gelöste Aufgabe. Es soll effektiven Rechtsschutz für Betroffene sowohl gegenüber den IT-Unternehmen wie auch gegenüber den Aufsichtsbehörden geben. Dem dient auch der Vorschlag der Einführung einer Verbandsklagebefugnis.
Ärgerlich ist, dass im Rat der EU insbesondere zwei Mitgliedstaaten eine Einigung bisher verhindert haben: Großbritannien und Deutschland. Von Großbritannien ist bekannt, dass dort regierungsoffiziell ein Datenschutzstandard, wie er qualitativ in den USA besteht, bevorzugt würde. Das Regierungsverhalten bei der NSA-Affäre, die zugleich auch eine Affäre um den britischen Geheimdienst Government Communications Headquarters (GCHQ) ist, ist hierfür ein beredtes Zeichen. Dass auch Deutschland die Verhandlungen immer wieder bremst, ist noch ärgerlicher, zumal dies mit dem Vorwand erfolgt, den hohen deutschen Datenschutzstandard zu verteidigen. Welche Ziele damit verfolgt werden, ist bisher nicht eindeutig erkennbar.
Schlussfolgerungen
Um kurzfristig eine Verbesserung des Datenschutzes im Internet und bei sozialen Medien zu erreichen, muss auf der Grundlage der neuen EuGH-Rechtsprechung insbesondere gegenüber US-Anbietern eine effektive Rechtsdurchsetzung erfolgen. Hierfür sollten alle verfügbaren Instrumente genutzt werden: zivilrechtliche Klagen, Instrumente des Verbraucher- und Wettbewerbsrechtes wie auch die Möglichkeiten der Datenschutzaufsichtsbehörden.
Um die Ernsthaftigkeit des grundrechtlichen Engagements unter Beweis zu stellen, sollte Europa den USA unmissverständlich und endgültig klarmachen, dass das dort angestrebte Freihandelsabkommen mit freiem Datenfluss und reduziertem Datenschutz unmöglich ist. Eine nicht nur symbolische Wirkung gegenüber den USA hätte es, wenn Deutschland Edward Snowden einladen würde, um sich bei ihm aus erster Hand über die tatsächlich von GCGH und NSA ausgehenden Risiken für den Datenschutz bei der Nutzung des Internet und von sozialen Netzwerken zu informieren.
Eine schnelle Verabschiedung einer qualifizierten EU-DSGVO schafft europaweit bei der Internet-Datenverarbeitung Rechtssicherheit, wird ein Vorbild für viele sich derzeit entwickelnde Staaten abgeben und zugleich das Instrument sein, um die US-Internetunternehmen in ihre Schranken zu weisen und damit den anhaltenden Wettbewerbsvorteil gegenüber en zur Rechtskonformität verpflichteten europäischen Unternehmen aufzuheben. Dies kann und darf uns nicht entbinden, mit den USA – auch im Hinblick auf Grundrechtsbedrohungen aus China und Russland – einen transatlantischen Dialog über den Datenschutz im globalen Netz zu führen. Dabei sollte Europa keine überzogenen Erwartungen an die Einsicht der USA hegen. Überzeugend wirken können vor allem ökonomischer und politischer Druck. Letztlich bedarf es aber einer internationalen digitalen Menschenrechts-Charta, um die weltweit bestehenden Risiken für die digitalen Grundrechte einzuhegen. Dafür sind Initiativen auf UN-Ebene nötig. Verbindliche Regulierungen sollten aber über den erheblich homogeneren Europarat angestrebt werden, dessen Regelwerk dann sukzessive ausgeweitet werden kann.