Das VG Schleswig hat in der Causa „Facebook“ entschieden – Und nun? Ein datenschutzrechtliches Dilemma.

Wer den Blog liest, der weiß, dass insbesondere meine Wenigkeit sich des Öfteren mit Facebook und der ungefragten Verwendung von personenbezogenen Daten auseinandersetzt, so zum Beispiel hier und hier. Weiter weiß der geneigte Leser, dass wir (in dem Fall konkret: Stephan Dirks)  das jüngste Verfahren des ULD in Sachen „Facebook“ mit zwei Blogposts, hier und hier, begleitet haben. Der Artikel zur Entscheidung des VG Schleswig vom 09. Oktober 2013 trägt den Titel „VG Schleswig: Fanpagebetreiber nicht für rechtswidrige Datenverarbeitung durch Facebook verantwortlich.

Dieser Titel wurde gestern hinterfragt. Das Gericht habe über die Rechtswidrigkeit der Datenverarbeitung bei Facebook doch gar nicht entschieden? Ich kann nur sagen, vielen Dank für diese Nachfrage. Inspiriert sie mich doch dazu, wieder einmal grundsätzlich zum Thema Datenschutz & soziale Netzwerke (heute insbesondere: Facebook) Stellung zu beziehen und noch einmal aufzuzeigen, wo es hakt und warum die Headline des letzten Artikels ist, wie sie ist.

Die „Rechtswidrigkeit“ der Datenverarbeitung von Facebook im Nutzer-Facebook-Verhältnis.

Warum ich die derzeitige Datenverarbeitung von Facebook aus Nutzerperspektive für rechtswidrig halte, kann in aller Ausführlichkeit in dem Artikel „Und Facebook bewegt sich doch! – Ein erster Blick auf die neuen Datenschutzverwendungsrichtlinien“ nachgelesen werden. Gerügt werden die mangelnde Transparenz und die Verstöße gegen § 13 TMG. Auch nach einem intensiven Lesen der „Datenverwendungsrichtlinie“ weiß de Facto kein User, was mit seinen Daten passiert. Und dass beispielsweise Löschungen bei Facebook noch lange keine Löschungen sind, das zeigte der Fall „Max Schrems“ eindrucksvoll. Eine Einflussnahme auf einmal hochgeladene (oder sonst durch Facebook gesammelte) Daten hat der Nutzer im Ergebnis nicht.

Die „Rechtswidrigkeit“ der Datenverarbeitung von Facebook in Bezug auf das  Tool „Facebook Insights“.

In dem Artikel „WICHTIG: Schleswig-Holsteinisches Datenschutzzentrum droht mit Bußgeldbescheiden für Verwender von Facebook Social-PlugIns und Fanpages!“ befasse ich mich ausführlich mit mit den jetzt vor dem VG Schlewig streitgegenständlich gewesenen „Facebook Insights„.

Zum besseren Verständnis fasse ich das Problem mit Facebook Insights und damit den Gegenstand des Verfahrens hier noch einmal zusammen: Die Datenschützer werfen den Fanpagebetreibern vor, dass deren Besucher durch Facebook Insights statistisch erfasst werden. Mitglieder werden namentlich – also konkret personenbezogenen – erfasst. Dies bedürfte einer ausdrücklichen Einwilligung. Eine solche ausdrückliche Erteilung einer Einwilligung ist jedoch im gesamten Facebook-Prozess nicht vorgesehen. Nichtmitglieder werden jedenfalls pseudonymisiert erfasst. § 15 Abs. 3 TMG sieht hier jedoch eine Widerspruchsmöglichkeit für den User vor. Diese Möglichkeit gibt es nicht, sie wird von Facebook nicht angeboten.

Für diese Datenschutzverstöße seien nach Auffassung des ULD die Fanpagebetreiber auch mitverantwortlich. So ergingen gegen verschiedene Unternehmen Ordnungsverfügungen, wonach die Seitenbetreiber die Fanpages abzuschalten hatten. Diese Ordnungsverfügungen sind Gegenstand des vorgestern entschiedenen Verfahrens in Schleswig gewesen.

In dem oben genanten Artikel hatte ich mich lang und breit mit der Rechtsauffassung von Dr. Weichert (ULD) auseinander gesetzt und bin zu dem Schluss gekommen, dass diese durchaus begründet und rechtlich nachzuvollziehen (wenn nicht gar theoretisch richtig) ist, aber dass ich diese Rechtsauffassung in der Sache für vollkommen falsch halte.

Es erscheint schlicht nicht sachgemäß Wirtschaftstreibende dafür zu bestrafen, dass sie einen Dienst nutzen, auf dessen Nutzung sie einerseits aufgrund der nahezu monopolartigen Stellung als Social Network angewiesen sind und auf dessen Datenverarbeitungsvorgänge sie  andererseits überhaupt keinen Einfluss haben. Denn Facebook-Insights können durch Fanpagebetreiber nicht abgestellt werden. Also selbst wenn ein Fanpagebetreiber den Dienst nicht wollte, so muss er ihn „in Kauf nehmen“, wenn er eine Facebook-Seite betreiben will. Und aufgrund der jedenfalls oligopolartigen Stellung, die Facebook als Social Network inne hat, ist natürlich eine „Einflussnahme“ in der Form den Dienst doch einfach nicht zu nutzen, natürlich keine.

Nach allem, was wir wissen (das Urteil liegt noch nicht mit Gründen vor, es ist bislang nur mündlich ergangen), hat das VG Schleswig in exakt eben diese Richtung argumentiert und die – datenschutzrechtliche -Verantwortlichkeit der Seitenbetreiber aufgrund der mangelnden Einflussnahme verneint. Das Gericht beruft sich laut seiner Presseerklärung dabei auf das BDSG und die Europäische Datenschutzrichtlinie, wonach datenschutzrechtlich nicht verantwortlich sei, wer weder tatsächlichen noch rechtlichen Einfluss auf die Datenverarbeitung habe. Folglich fehle es an dieser Verantwortung.

Das Urteil ist zu begrüßen und sachgemäß. Fanpagebetreiber können nicht für die Datenverarbeitung bei Facebook Insights, auf die sie keinen Einfluss haben, verantwortlich sein.

Zwischenfazit

Das aus meiner Sicht richtige Urteil ändert leider nichts an der hier aufgezeigten datenschutzrechtlichen Misere, die wir mit Facebook (und Google, und Amazon und Zalando und und und) haben. Sie endet vielmehr in einem Dilemma.

Das Dilemma mit der „Rechtswidrigkeit“ der Datenverarbeitung von Facebook

Wir stellen hier also fest: Nach hiesiger Auffassung verstößt Facebook gegen deutsches Datenschutzrecht. Deutsches Datenschutzrecht ist nicht immer toll und nicht immer hilfreich. Es ist vor allem veraltet. Regelungsgegenstände waren der Schutz vor dem Staat oder vor dem Arbeitgeber, aber nicht der Schutz vor Konzernen. Die Grundidee der Transparenz und Aufklärung hat jedoch bestand. Sie ist wichtig. Ebenso wie die Grundidee, dass weiter ein jeder Herr über seine Daten verbleiben kann. Also, dass ein jeder das Recht zur informationellen Selbstbestimmungen über eine informationelle Selbstverantwortung (welche Daten gebe ich aus einer aufgeklärten Entscheidung heraus selbstbestimmt und bewusst weiter) ausüben kann.

Problem Nummer 1

Es gibt die Entscheidung des OVG Schleswig zur Klarnamenpflicht. Demnach treffe Facebook überhaupt kein deutsches Datenschutzrecht. Denn im Bereich der Nutzerdatenverarbeitung sei von einer Tätigkeit im irischen (Rechts-)Raum auszugehen, da Facebook dort seine Niederlassung habe. Das Facebook in Deutschland mit der Facebook GmbH in Bezug auf Marketing aktiv sei, sei für Fragen der Datenverarbeitung irrelevant (vgl. Pressemitteilung des OVG).

Problem Nummer 2

Wie schon mehrfach angesprochen, handelt es sich bei Facebook um ein Oligopol. Neben Facebook als weltumfassendes soziales Netzwerk besteht noch Google. Datenschutztechnisch besehen, ist das jedoch kaum eine Alternative. Im Sinne des „besseren Nutzererlebnisses“ werden auch dort erhobenen Daten (und wer weiß genau, welche das sind) verwertet. Der einzelne Nutzer kann nichts dagegen tun. Eine echte Alternative zu diesen Netzwerken gibt es nicht. Es kann sich höchstens der Social Media Kommunikation über diese Netzwerke verweigert werden.

Der BGH hat anerkannt, dass das Internet von zentraler Bedeutung für die Lebensführung ist. In der Pressemitteilung wird explizit auf den die Ermöglichung zum weltweiten Austausch über soziale Netzwerke hingewiesen. Hier wird deutlich, dass soziale Netzwerke mehr und mehr zu einem Grundpfeiler der menschlichen Kommunikation gehören.

Fragestellungen

Wenn die soziale, digitale Kommunikation zu einem Grundpfeiler des zwischenmenschlichen Austausches erwächst, wollen wir dann, dass ein oder zwei amerikanische Großkonzerne unsere digitale Kommunikation in Händen halten? Dass diese Großkonzerne alles kontrollieren können, ohne jemals selbst wirklich Angst vor einer Kontrolle oder gar Beschränkung erfahren zu müssen (nun ja, die NSA lassen wir in diesem Zusammenhang mal raus, sonst sitz‘ ich hier ja morgen noch und schreib…)? Derzeit werden erzwungene Vergleiche aus der Portokasse gezahlt und mit der FTC wird sich schon „geeinigt“. In Deutschland – wie besehen – stehen die Datenschutzbehörden gänzlich hilflos dar.

Hinsichtlich zivilrechtlicher oder gar strafrechtlicher Fragestellungen sieht es nicht besser aus. Ein deutscher Richter wollte einen Facebook-Account beschlagnahmen und musste sich mit einem Rechtshilfeersuchen nach Irland wenden. Ob es erfolgreich gewesen wäre, weiß man nicht, der Fall klärte sich vorher auf. Hinsichtlich zivilrechtlicher Entscheidungen stellt Facebook selbst klar: „Das Bundesgesetz der USA untersagt Facebook jegliche Offenlegung von Nutzerinhalten (z.B. Nachrichten, Chronikbeiträge, Fotos etc.) in Folge einer zivilrechtlichen Zwangsmaßnahme. Insbesondere untersagt der „Stored Communications Act“, 18 U.S.C. § 2071 ff, Facebook die Offenlegung der Inhalte von Nutzerkonten gegenüber nichtstaatlichen Organisationen, selbst bei Vorladung oder Gerichtsbeschluss.“ Heißt im Klartext: Und wenn Sie mit einem Urteil des BGH wegen Persönlichkeitsrechtsverletzungen kommen, wir rücken gar nichts raus!

Was bleibt? Es bleibt ein US-Konzern, who’s too big to fail. Ein Konzern, der mit seinen (deutschen) Nutzern so ziemlich alles anstellen kann. Und die machen weiter mit. Sei es, weil sie sagen „Mir doch alles egal“, oder weil Sie sagen „Ja, ja, ich weiß, dass ich mit meinen Daten zahle“ und dabei dem Missverständnis unterliegen, dass sie eben gar nichts wissen, nicht was, wann, wie und wo mit welchen Daten passiert oder weil es eben schlicht kaum andere Möglichkeiten gibt, digitale Kommunikation stattfinden zu lassen.

Edward Snowden und der NSA-Skandal haben – zumindest einigen – wieder vor Augen geführt, dass Datenschutz kein Thema von gestern ist – ganz im Gegenteil. Das gilt aber nicht nur im Verhältnis von Bürger und Staat, sondern auch im Verhältnis von Nutzern und Unternehmen. Das wird leider immer noch oft vergessen.

Wir leben hier derzeit mit oder in dem Dilemma, dass unser digitale Kommunikation nicht nur von der NSA & Co kontrolliert wird, sondern dass diese digitale Kommunikation auch in den Händen von einigen sehr wenigen amerikanischen Großkonzernen liegt, die (fast) jeglicher Kontrolle entzogen sind. Wir kommunizieren natürlich weiter und leben zwangsweise mit all den kleinen und größeren Verletzungen unserer Rechte auf Datenschutz und informationelle Selbstbestimmung.

Ganz plastisch ausgedrückt, ist es so, als würde unserer Trinkwasserversorgung in den Händen von zwei Großkonzernen liegen, die die Wasserkontrolleure mit einem müden Lächeln wegschicken und sagen „Ihr seid nicht zuständig. Ihr müsst das nicht kontrollieren. Aber wir sind die Guten, wir passen schon auf. Keine Angst.“ Und im Anschluss daran würden wir mit Blei versetztes Wasser eben trinken. Weil nichts anderes da ist, weil wir nicht anders könnten, würden wir die Grundrechtsverletzung als Leib und Leben eben hinnehmen.

Das kann nicht richtig sein. Deswegen muss das Thema Datenschutz und die Diskussion, was Datenschutzgesetze heute sinnvoller Weise leisten können müssen, vorangetrieben werden. In den Köpfen, in der Gesellschaft. In der Politik, in den (internationalen) Gesetzen. Das ist schwer. Insbesondere weil die Amerikaner ein völlig anderes Verständnis von Datenschutz haben. Aber es ändert nun einmal nichts daran:

Datenschutz ist ein Grundrecht.

Für die Durchsetzung dieses Rechts sollten wir weiter streiten, egal ob die Durchsetzung gegenüber Geheimdiensten oder Unternehmen notwendig ist. Und dabei geht es nicht um ein Facebook-„Bashing“ oder einen Datenschutz, der vor lauter Einwilligungszwang kein Interneterlebnis mehr ermöglicht (s. den sehr schönen Artikel von Thomas Schwenke zur Cookie-Richtlinie), sondern um Überlegungen wie Nutzer und Unternehmen wieder auf Augenhöhe zu bringen sind, so dass Nutzer tatsächlich die Möglichkeit haben, eine informationelle Selbstverantwortung auszuüben und damit auch ihr Recht auf informationelle Selbstbestimmung leben zu können.

In diesem Sinne,

verbleibt mir nur ein schönes gedankenreiches Wochenende zu wünschen und als Leseempfehlung den Artikel „Das Recht auf Vergessen„, der den Kampf des EU-Abgeordneten Jan Phillip Albrecht mit dem EU-Datenschutz beschreibt, auszugeben.