Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein

Der mir vorgegebene Titel meines Beitrages nimmt die Zukunft vorweg. Ich soll die Datenschutzkontrolle von Social Media im Lichte des neuen EU-Rechts betrachten, also eines Rechtes, das es bisher nur als Entwurf gibt. Diese Aufgabe kann ich nur halbwegs befriedigend erfüllen, wenn eine schonungslose Bestandsaufnahme des alten Rechts erfolgt. Hinsichtlich des neuen Rechts ist noch vieles Spekulation, sowohl was die Rechtssetzung, als auch was den Vollzug betrifft. Sehen Sie mir bitte außerdem nach, dass ich mich nicht auf das Recht beschränke und beschränken kann. Rechtsvollzug hat viel mit Ökonomie, Politik, mit Kultur, Erziehung und Psychologie zu tun. Dies gilt generell, besonders aber beim Datenschutz, erst recht beim Datenschutz bei Social Media. Hier haben wir es weitgehend mit Soft Law nicht im Sinne von disponiblem, aber von disponiertem Recht zu tun.

Dass dies so ist, lässt sich einfach am Beispiel Facebook darlegen. Dies lässt sich aber auch an Vorgängerkonflikten erläutern, an denen meine Dienststelle, das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein, also das ULD, beteiligt war:

Die Social Media-Debatte ging in Deutschland so richtig 2008 los mit Google Street View - dem globalen Blick des US-Internet-Konzerns vor die eigene Haustür und in den eigenen Garten. Dass das Recht auf informationelle Selbstbestimmung von den deutschen Aufsichtsbehörden gegenüber Google einigermaßen befriedigend durchgesetzt werden konnte, lag weniger an der Überzeugungskraft aufsichtsbehördlicher Argumente, sondern am allgemeinen Widerstand gegen die Pläne in der Bevölkerung, der durch die persönliche Betroffenheit von Tausenden vor allem von Mittelschicht-Hausbesitzern ausgelöst und zuletzt sogar von der Politik aufgegriffen wurde. Wir Aufsichtsbehörden, allen voran mein Hamburger Kollege, mussten und konnten diesen Widerstand dann in eine rechtliche Form pressen. Ausschlaggebend für die Nachgiebigkeit Googles war hier, dass es sich bei Street View eher um eine Spielerei und einen Eyecatcher handelte, der das zentrale Geschäftsmodell des Konzerns nicht in Frage stellte.

Dies war schon völlig anders bei Google Analytics, dessen Rechtswidrigkeit das ULD im Sommer 2008 feststellte und den Webseitenbetreibern in Schleswig-Holstein als datenschutzrechtlich unbestritten verantwortliche Stellen kommunizierte. Die Gründe der Rechtswidrigkeit waren diejenigen, die seitdem - auch bei Facebook - immer wieder vorliegen:

• Mangelnde Transparenz der personenbezogenen Datenverarbeitung für die Nutzenden,
• ungenügende Wahlmöglichkeiten, etwa beim Setzen von Cookies oder zum Ausschluss des Erstellens von Nutzungsprofilen,
• unwirksame allgemeine Geschäftsbedingungen sowie Privacy Policies und formell völlig unzulängliche Vertragsgestaltungen, etwa bei der Auftragsdatenverarbeitung,
• daraus folgend unwirksame Betroffeneneinwilligungen,
• fehlende Rechtsgrundlagen für die Datenübermittlung ins insofern „datenschutzfreie“ Ausland, hier die USA,
• die fehlende Kontrollierbarkeit der Datenverarbeitung - durch die den Auftrag erteilende Webseitenbetreiber ebenso wie durch zuständige Aufsichtsbehörden.

Google benötigt die erlangten Daten, um diese für die interessengenaue Platzierung von Werbeangeboten des Unternehmens zu nutzen, was wiederum eine, ja sogar die wichtigste Grundlage des Geschäftsmodells darstellt.

Google zeigte sich auch bei Analytics kompromissbereit, ohne aber, so zumindest unsere Sicht, den rechtlichen Anforderungen voll zu genügen. Für dieses Nachgeben sehe ich folgende Gründe: Die Konkurrenz auf dem Markt der teilweise auch kostenfrei angebotenen Analysetools ist groß. Negativschlagzeilen hätten die Kundschaft vertrieben, insbesondere nachdem wir im ULD mit Piwik einen Anbieter identifizieren konnten, dessen Angebot vollständig mit deutschem Datenschutzrecht in Einklang zu bringen ist. Mit ausschlaggebend war wahrscheinlich auch die Erwägung Googles, dass Papier geduldig ist, dass insbesondere weder von den Webseitenbetreibern noch von den deutschen Aufsichtsbehörden kontrolliert werden kann, ob die personenbezogenen Daten in den USA rechtskonform verarbeitet werden. Das teilweise Einlenken war wohl auch der Motivation geschuldet, die Karte des Schwarzen Peters beim Datenschutz an den Konkurrenten Facebook weiterzugeben, der mit seinem sozialen Netzwerk noch offensichtlicher als Google Datenschutzrechte ignorierte und weiterhin ignoriert.

Damit sind wir beim sozialen Netzwerk Facebook, dessen Fanpages und Social Plugins, also insbesondere deren "Gefällt mir"-Buttons, wir im August 2011 ausführlich begründet als illegal brandmarkten. Wir mobilisierten seitdem das gesamte dem ULD verfügbare rechtliche Instrumentarium, um den rechtswidrigen Zustand zu beheben, bis heute anscheinend ohne Erfolg. Beim Börsengang in wenigen Tagen wird das datenschutzwidrige Geschäftsmodell Zuckerbergs vergoldet werden; unseren bisherigen Bemühungen bleibt vorläufig der durchgreifende Erfolg versagt.

Gegenüber öffentlichen Stellen, die Fanpages nutzten, sprachen wir Beanstandungen aus, also Feststellungen der Rechtswidrigkeit. Dies beeindruckte nur eine öffentliche Stelle, die ihre Fanpage abstellte. Insbesondere der Ministerpräsident von Schleswig-Holstein, sämtliche betroffenen Ministerien und die Industrie- und Handelskammer des Landes üben bis heute Gesetzesungehorsam, mit zwei verblüffenden rechtlichen Argumenten: Das erste Argument ist, dass man nicht verantwortlich sei für das, was man tut - ein anscheinend in der Politik äußerst beliebtes Argumentationsmuster. Hilfsweise wird vorgetragen, alle anderen würden doch ebenso die Facebook-Angebote nutzen; die Untersagung wäre eine wettbewerbsverzerrende Ungleichbehandlung, zudem seien die Fanpages doch so billig und nützlich.

Zwar kenne ich als Jurist die normative Kraft des Faktischen, doch nur aus Lebenserfahrung, nicht aber als verbindliches Recht, also quasi kurzfristig produziertes nicht Gewohnheits-, sondern Gewöhnungsrecht. Die Bindung insbesondere der Verwaltung an Recht und Gesetz wird damit ersetzt durch Opportunitätserwägungen - und das im grundrechtsrelevanten Bereich. Derartige Praktiken sind üblich in Bananenrepubliken; in demokratischen freiheitlichen Rechtsstaaten sollte dies nicht so sein. Da ich hoffte, dass das Parlament das Ignorieren parlamentarisch erlassener Gesetze nicht tolerieren würde, riefen wir den Landtag von Schleswig-Holstein an verbunden mit der Bitte, seine Kontrollfunktion gegenüber der Exekutive wahrzunehmen. Dieses Ansinnen des ULD wurde vom Innen- und Rechtsausschuss mit zwei Erwägungen zurückgewiesen: Die Rechtswidrigkeit sei ja unter Juristen nicht unbestritten. Außerdem wolle man ein für Dezember 2011 versprochenes Gutachten der Innenministerkonferenz abwarten, das auch Ende April 2012 noch nicht vorliegt.

Das unqualifizierte juristische Bestreiten ist ein beliebtes Mittel zur Beibehaltung eines rechtswidrigen Status quo bei Social Media. Ich bin immer wieder verblüfft, welche qualifizierten juristischen Kolleginnen und Kollegen sich hierfür hergeben. Dass das Parlament aber die eigene Bewertungsmacht zugunsten einer noch nicht einmal geäußerten möglichen Meinung einer Innenministerkonferenz aufgibt, also derjenigen, die bewertet werden sollen, ist schon ein seltsamer Vorgang und eher Ausdruck eigener Hilflosigkeit angesichts insbesondere der rechtlichen und technischen Komplexität, der Kapitulation vor der Faktizität des Rechtsverstoßes - oder einfach der Komplizenschaft.

Die Instrumente der Datenschutzaufsichtsbehörden im nicht-öffentlichen Bereich sind zwingender. Da gibt es zunächst die Bußgeldverfahren. Davon nahm das ULD bisher bei Facebook Abstand, weil damit der Rechtsweg zu den ordentlichen Amtsgerichten eröffnet würde, die keine qualifizierte Rechtssicherheit herstellen könnten. Bußgeldverfahren gegen einzelne Facebook-Nutzende hätten zudem die Grundsatzfrage in Detailkonflikte verdrängt.

Deshalb nutzte das ULD das erst 2009 neu ins Bundesdatenschutzgesetz eingeführte Instrument der Untersagungsverfügung nach § 38 Abs. 5 BDSG und erließ Verwaltungsakte gegen repräsentative Einrichtungen bzw. Unternehmen. Inzwischen liegen drei Anfechtungsklagen gegen das ULD vor, leider lassen zwei Klagebegründungen seit über drei Monaten auf sich warten.

Um keinen einseitigen Eindruck entstehen zu lassen. Unser Interesse ist es nicht, uns als scharfe Datenschützer zu profilieren. Das ULD versteht sich als konstruktive Datenschutzbehörde, die nur im Not- und Ausnahmefall die eigenen Sanktionsmöglichen nutzt. Bevorzugt werden von uns präventive Aktivitäten, die wir in Sachen Datenschutz bei sozialen Netzwerken seit geraumer Zeit vorantreiben.

Seit Jahren sind wir im Bereich der internationalen Grundlagenforschung für mehr Datenschutz im Netz aktiv, etwa zur Entwicklung von datenschutzfördernden Credentials, von Identitätsmanagement oder vertrauenswürdigem Cloud Computing. Das ULD geht in die Schulen des Landes, um bei unseren Kindern persönlichkeitsrechtliche und technische Kompetenz weiterzuentwickeln. In Vorträgen und Diskussionen versuchen wir, die Sensibilität der relevanten Player sowie der allgemeinen Öffentlichkeit zu erhöhen. Über Pressearbeit, durch Fachartikel und durch eigene Nutzung des Internet versuchen wir unsere Ideen, Bewertungen und Lösungsansätze zu verbreiten und populär zu machen. Im Düsseldorfer Kreis, in Arbeitskreisen, in der Konferenz der Datenschutzbeauftragten des Bundes und der Länder sowie in der Artikel 29-Arbeitsgruppe der europäischen Datenschutzbehörden und den zugehörigen Untergruppen koordinieren wir die Aufsichtstätigkeit und verabreden Standards. Wir versuchen, auf die Standardisierung bei ISO/IEC im Interesse des Datenschutzes Einfluss zu nehmen. Und was mir sehr am Herzen liegt: Mit unserem Angebot von Gütesiegel- und Auditverfahren, insbesondere auch dem European Privacy Seal, wollen wir datenschutzfreundliche Lösungen auf dem Markt belohnen und entwickeln so - auch und gerade im Online-Bereich - nebenbei Anforderungskriterien und Standards.

Schließlich: Wir versuchen, Einfluss auf den Gesetzgeber zu nehmen, das ULD beispielsweise mit einem ausformulierten Entwurf zum Internetdatenschutz im Herbst 2010. Dieser Entwurf adressierte einige zentrale Problempunkte der Datenschutzkontrolle, die ich hier als Thesen präsentieren möchte:

1. Die Anwendbarkeit der Datenschutzkontrolle muss sich am adressierten Markt ausrichten.
2. Die technischen Standards müssen sich an den Prinzipien "Privacy by Design" und "Privacy by Default" orientieren.
3. Die Transparenz für die Nutzenden muss sich verbessern und an deren Bedürfnisse und Möglichkeiten angepasst werden.
4. Es bedarf materiell-rechtlicher wie prozeduraler Normen zum Ausgleich des Datenschutzes mit den verfassungsrechtlich ebenso geschützten Grundrechten, insbesondere der Meinungs- und der Informationsfreiheit.
5. Die Kooperation und Koordination der Datenschutzaufsicht muss rechtlich und technisch verbessert werden.
6. Die Sanktionsmöglichkeiten sind auszuweiten.

Zwar enthält der schwarz-gelbe Koalitionsvertrag aus dem Jahr 2009 zum Thema Digitalisierung erfreuliche positive Ansätze. Doch wurde davon hinsichtlich des Datenschutzes seitdem nichts umgesetzt. Schienen im Jahr 2010 noch die Reformbemühungen der EU-Kommission eher wenig zielgerichtet, so schaffte sie es mit ihrem Vorschlag für eine Datenschutz-Grundverordnung im Januar 2012, die Fachwelt sowie die Öffentlichkeit positiv zu überraschen. Sämtliche der sechs von mir oben formulierten Thesen werden normativ aufgegriffen. Meine Ursprungsbefürchtung bzgl. der europäischen Neuregelung haben sich ins Gegenteil verkehrt: Statt einer ungenügenden Berücksichtigung der Online-Kommunikation erfolgte eine derart starke Betonung, dass viele der neuen Regelungen nicht mehr richtig auf klassische Formen der Datenverarbeitung passen.

Aber das soll hier und heute nicht unser Problem sein. Ich kann auch in der mir verfügbaren Zeit nur einige Highlights des Silberstreifens am europäischen Horizont aufzählen:

• Orientierung am Marktprinzip und damit vollständige Einbeziehung der bisher bei Social Media dominierenden US-Unternehmen,
• Zurückführung der Erlaubnistatbestände auf - konkret ausfüllungsbedürftige - Grundregeln,
• Sonderschutzregelungen für Kinder und Jugendliche, also für eine Gruppe, die im Netz besonders aktiv und gefährdet ist,
• weiterentwickelte und technikangepasste Transparenzregelungen,
• das Recht auf Vergessenwerden,
• das Recht auf Portabilität, auch "Datenübertragbarkeit" genannt,
• rechtliche Grenzen für den Einsatz von Analysetools zum Tracken, Scoren und Profilen,
• Privacy by Design und Privacy by Default,
• Breach Notification, also die Benachrichtigung bei Datenlecks.

Nicht näher eingehen kann ich auf die im Ansatz richtigen, aber hinter unseren deutschen Standards zurückbleibenden Regelungen zum technischen und organisatorischen Datenschutz, also etwa zum Datenschutzbeauftragten, zur Datenschutzfolgeabschätzung oder zu einer noch nicht aufgenommenen Orientierung an Schutzzielen.

Bevor ich zu den Kontrollregelungen komme, lassen Sie mich zwei weitere allgemeine Bemerkungen zur Grundverordnung machen:

• Es besteht politischer Konsens bei allen außer der EU-Kommission, dass die Befugnisse ebendieser Kommission - im Bereich der Kontrolle sowie der Normsetzung durch delegierte Rechtsakte - definitiv zu weit gehen.
• Die Alternative dazu ist aber nicht der Rückfall auf die detaillistische Regelungsstrategie, in die viele deutsche Datenschützerinnen und Datenschützer verliebt zu sein scheinen. Die Alternative  sind nachgeordnete Regelungen in Form von Standards und Auslegungshinweisen des neuen Europäischen Datenschutzausschusses einschließlich regulierter Selbstregulierung, wie sie sogleich von Alexander Roßnagel detaillierter dargestellt wird.

Für die Datenschutzkontrolle wird die Grundverordnung massive Verbesserungen bringen. Dies gilt selbst für die oft geschmähte und kritisierte One-Stop-Shop-Regelung, die durch die Kohärenzregeln und durch den Umstand geteilter Verantwortlichkeit, wie sie für Social Media geradezu klassisch ist, nicht zu einer Entmündigung der Aufsicht vor Ort führen wird. Die Kohärenzregelungen kommen äußerst bürokratisch daher. Werden sie aber, wie von uns Datenschutzbehörden gefordert, vom Wasserkopf der Überaufsicht durch die EU-Kommission befreit, so habe ich keine durchgreifenden Bedenken, sondern wegen ihrer hohen Verbindlichkeit eher positive Erwartungen.

Niemand sollte sich Illusionen dazu machen: Die neuen Kontrollregelungen verursachen Aufwand, auch in Bezug auf Finanzen, Technik und Personal. Dies ist nun einmal der Preis für mehr Einheitlichkeit und Rechtssicherheit. Diese werden auch erreicht durch die erweiterten Beschwerde- und Klagemöglichkeiten von Betroffenen und Verbänden sowie durch die kurzfristigen Reaktionsnotwendigkeiten von Aufsichtsbehörden. Gerade im Bereich der Social Media können so Vollzugsdefizite abgebaut werden, wie sie derzeit etwa in Irland bei Facebook offensichtlich sind, wo eine personell dürftig ausgestattete Aufsichtsbehörde, die unter massivem politischen Druck steht sowie unter dem dauernden Druck des drohenden Arbeitsplatzverlustes bei Abwanderung der IT-Unternehmen, zugleich nur begrenzte Kontroll- und Sanktionsmöglichkeiten zur Verfügung hat. Daraus resultiert, dass einem Unternehmen wie Facebook, trotz qualifizierter Beschwerden wie denen des österreichischen Studenten Max Schrems, bisher keine wirksamen Grenzen gesetzt werden.

Sie können sich vorstellen, dass die Sanktionsmöglichkeiten wie eine Geldbuße in Höhe von bis zu 500.000 Euro oder 1% des weltweiten Jahresumsatzes völlig neue ökonomische Perspektiven für unsere Aufsichtstätigkeit eröffnen.

Bei der europäischen Grundverordnung wird es sich um in Europa geltendes Recht handeln, das ebenso wie - und vielleicht noch mehr als - die bisherige Richtlinie Auswirkungen auf die Rechtssysteme außerhalb Europas haben wird. Stark wird vor allem die Vorbildwirkung auf die USA sein. Dort wird derzeit eine spannende Diskussion über Tracking von Verbraucherdaten bei Social Media geführt. Die Obama-Administration sah sich schon veranlasst, eine "Consumer Privacy Bill of Rights" zu veröffentlichen, um die Hoheit über die Datenschutzdiskussion nicht völlig an Europa abgeben zu müssen. Aus den USA kommen die großen Social Media- und Internet-Diensteanbieter Google, Apple, Facebook, Microsoft, Amazon, die weiterhin auf dem europäischen Markt präsent sein wollen. Deren kontrollfreie Zeit geht perspektivisch nicht nur mit der Grundverordnung zu Ende, sondern auch schon durch die heutigen in allen EU-Mitgliedstaaten zunehmenden Kontrollen der Aufsichtsbehörden wie auch durch zunehmende öffentliche und administrative, also von der FTC durchgeführte Kontrollen in den USA. In dieser Situation haben die europäischen Datenschutzbehörden einen strategischen Auftrag: Durch Erhöhung des Kontrolldrucks können nicht nur die US-Unternehmen zu einer Reduzierung des Vollzugsdefizites gebracht werden, sondern zugleich lassen sich die Marktmacht der europäischen Unternehmen stärken und der politische Druck auf den US-Gesetzgeber zur Verabschiedung valider Datenschutzregeln erhöhen. Die Erhöhung des Kontrolldrucks darf dabei nicht singulär nur Facebook und Google treffen, sondern muss flankiert werden durch Thematisierung des regulatorischen Umfeldes, zu dem insbesondere auch die Safe Harbor-Prinzipien und die sicherheitsbehördlich begründeten Datenübermittlungen in die USA gehören, also PNR, SWIFT, Patriot Act, FISA - um nur einige Buzz-Kürzel zu nennen. Diese Dynamik funktioniert nicht ohne öffentlichen politischen Diskurs über den US-Datenschutz und nicht ohne Kommunikation mit den Datenschützern in den USA.

Lassen Sie mich schließlich zu einer Eingangsbemerkung zurückkehren, die mindestens so wichtig ist wie eine qualifizierte Regulierung in der Datenschutz-Grundverordnung. Datenschutz bei Social Media bleibt - mehr als in jedem anderen Bereich - ein kulturelles und ein kommunikatives Thema. Deshalb sind auch die vielen proaktiven Aufgaben von Aufsichtsbehörden so wichtig. Deshalb ist eine Bewältigung eines Hauptproblems der internationalen Zusammenarbeit so wichtig: die sprachliche Qualifizierung aller Aufsichtsbehörden zusätzlich zur eigenen Muttersprache - in Englisch - da ohne eine gemeinsame Sprache die direkte Kommunikation nicht möglich ist und sein wird. "Amtssprache ist Deutsch" gehört gerade bei Social Media einer nicht mehr zurückzuholenden Vergangenheit an.

Die Kommunikation ist zugleich eine weitere Erfolgsvoraussetzung bei der Datenschutzkontrolle: der Respekt vor regionalen Datenschutzkulturen. Dies bedeutet nicht, dass weltweit etablierte Terms of Use oder Privacy Policies - etwa von Facebook - oder gar "technical code" an die Stelle demokratisch legitimierten Grundrechtsschutzes treten sollen. Wohl heißt es, dass eine Harmonisierung nicht von einem Tag zum nächsten realisiert werden kann und dass wir etwa dem anglo-amerikanischen Common Law den Respekt zollen müssen, den wir umgekehrt für unsere detaillistische Herangehensweise an das Datenschutzrecht erwarten.