Von lahmenden Jägern und gierigen Sammlern - Facebook & Co. stellen das Datenschutzrecht vor neue Herausforderungen
Grundrechte-Report 2012, Seite 29
Das Internet wird mittlerweile von Social Media dominiert. Soziale Netzwerke, Blogging-Dienste, Foren und themenspezifische Bewertungs- und Multimediaplattformen werden von Nutzern mit persönlichen Inhalten versehen. Einerseits bedeutet diese Möglichkeit, sich nahezu ohne Hürden und unbegrenzt zu entäußern, eine Teilhabe am gesellschaftlichen Austausch und im besten Fall eine Demokratisierung und Dehierarchisierung des öffentlichen und durch Artikel 5 Absatz 1 GG geschützten Meinungsbildungsprozesses. Andererseits bildet der einzelne durch das digitale Interagieren teilweise bewusst, größtenteils jedoch unbewusst ein detailreiches virtuelles Persönlichkeitsprofil aus, das vor dem Zugriff Dritter kaum effektiv zu schützen ist.
Soziale Netzwerke als Datenmonster
Das gilt insbesondere für die Nutzung sozialer Netzwerke. Was die Nutzer dort nicht von sich aus offenbaren, trägt der Anbieter weithin unbemerkt und auf rechtlich fragwürdige Weise zusammen. Dies bedeutet eine Aushöhlung des in Artikel 2 Absatz 1 in Verbindung mit Artikel 1 Absatz 1 GG gewährleisteten Rechts auf informationelle Selbstbestimmung. Es garantiert, selbstständig darüber zu entscheiden, ob überhaupt und in welchem Umfang, personenbezogene Daten an Dritte gelangen. Vor allem das soziale Netzwerk Facebook erweist sich angesichts seiner Marktmacht als Datenkrake, die nahezu vollständige Sozialprofile von ihren Nutzern erstellt. Facebook hat in Deutschland derzeit rund 20 Millionen, weltweit ca. 800 Millionen Mitglieder. An deren Daten besteht vielfältiges Interesse. Unternehmen nutzen die Daten bereits für interessenspezifisches Marketing, Arbeitgeber können eh nicht genug über ihre Bewerber wissen und staatliche Stellen müssten sich nicht selbst um die Erlangung sensibler Informationen kümmern.
Die Sammelwut von Facebook beginnt bei den Inhalten, die der einzelne willentlich in sein Profil aufnimmt (laut Nutzungsbedingungen unter dem richtigen Namen), über die Freundes-Liste und die öffentlichen und „privaten“ Chats bis hin zu den Nutzungsdaten, die das Nutzerverhalten außerhalb des eigentlichen Netzwerks abbilden. Facebook forciert diese Entwicklung: Seit langem weitet es sog. Privacy-Einstellungen sukzessive aus. Das bedeutet, dass Voreinstellungen von Facebook so gesetzt sind, dass eine Vielzahl von Profil-Inhalten und Aktivitäten durch „Freunde“, zu weiten Teilen auch durch fremde Facebook- oder allgemein Internetnutzer eingesehen werden können. Auch standardmäßig aktiviert ist z. B. die Facebook-Gesichtserkennung: Wenn ein Nutzer Fotos hochlädt, schlägt Facebook Namen zu abgebildeten Personen vor. Hierdurch werden eventuelle Verletzungen des Rechts am eigenen Bild durch Facebook zumindest vertieft. Grundlage für die Funktion ist eine Datenbank, in der Facebook biometrische Merkmale sammelt. Facebook müsste für die Speicherung und Nutzung dieser Merkmale vorab die ausdrückliche Einwilligung der Nutzer einholen, was es nicht tut. Nach gescheiterten Gesprächen droht die Hamburgische Datenschutzbehörde nun mit Bußgeldern und Ordnungsverfügungen. Facebook meint hingegen pauschal, das europäische Datenschutzrecht sei gewahrt.
Der gläserne Mensch 2.0
Die brodelnde Unzufriedenheit mit dem Datenschutz in sozialen Netzwerken entlud sich jüngst in einer Kontroverse um die Zulässigkeit von Social Plugins, insbesondere dem Facebook „Gefällt mir“-Button. Diesen können Website-Anbieter als externen Dienst in ihr Angebot einbetten. Betritt ein nicht bei Facebook registrierter Nutzer die Seite, wird seine IP-Adresse an Facebook übermittelt. War das Nicht-Mitglied vorher bereits auf der Facebookseite, hat es einen Cookie eingepflanzt bekommen, mittels dessen er 90 Tage verfolgt werden kann; bei einer späteren Facebookregistrierung könnten die gesammelten Daten dem Profil zugeordnet werden. Bei angemeldeten Facebook-Nutzern wird zumindest der Besuch der Website unter zeitlicher Angabe und Nennung des Usernames an Facebook übermittelt und kann mit dort bereits vorhandenen Daten (Adresse, Beruf, Freunde, politische Einstellung usw.) zusammengeführt werden; Facebook speichert diese Daten zwei Jahre und erstellt über die weit verbreiteten Plugins schließlich ein umfassendes Bewegungsprofil des identifizierbaren Nutzers im Internet. Durch die Betätigung des Buttons wird das Nutzer-Profil schließlich um die Würdigung erweitert.
Das Unabhängige Landeszentrum für Datenschutz (ULD) Schleswig-Holstein wies im August 2011 daraufhin, dass die Einbindung der Plugins gegen deutsches und europäisches Datenschutzrecht verstoße und forderte alle Websitebetreiber in Schleswig Holstein unter Bußgeldandrohung dazu auf, Plugins bis Ende September abzuschalten. Zur Begründung führte es an, dass durch deren Einbettung einwilligungslos, ohne gesetzlichen Erlaubnistatbestand sowie unter Vernachlässigung von Informationspflichten Verkehrs- und Inhaltsdaten an Facebook USA weitergegeben würden und eine qualifizierte Rückmeldung an den Betreiber hinsichtlich der Nutzung seines Angebots erfolge (Reichweitenanalyse); der Website-Betreiber sei datenschutzrechtlich verantwortlich, da er durch den Entschluss, das Plugin zu nutzen, die Datenerhebung initiiere und diese zu eigenen Zwecken nutze, nämlich zur Bewerbung des eigenen Angebots. Weitere Landesbeauftragte für Datenschutz schlossen sich dieser Rechtsauffassung an. Allerdings hat bisher kaum eine der gemahnten Seite den „Gefällt mir“-Button entfernt. Schärfere behördliche Maßnahmen sollen daher folgen.
Ob den Websitebetreibern die datenschutzrechtliche Verantwortlichkeit zuzuweisen ist, wird kontrovers diskutiert. Als ein Weckruf an den Gesetzgeber, ein handhabbares Datenschutzrecht für den digitalen und grenzüberschreitenden Datenverkehr zu entwickeln, ist das Tätigwerden des ULD jedoch zu begrüßen. So sind die existierenden Regelwerke zur Erfassung aller datenschutzrelevanten Prozesse in Social Media nicht geeignet und ihre Durchsetzung kaum möglich. Facebook hat sich jüngst wenigstens insofern bewegt, als Datenspeicherung- und -verwendung künftig transparenter ablaufen sollen. Die Anforderungen an Zweckbindung und Einwilligung werden hierdurch jedoch nicht gewahrt. Insofern bleibt Facebook hinsichtlich der problematischen Datenverarbeitungsprozesse stur und verstärkt stattdessen seine Lobbyarbeit. Auf europäischer Ebene soll ab Januar 2012 über die Novellierung des Datenschutzrechts beraten werden. Derzeit geplant sind unter anderem Regelungen für eine Anwendbarkeit des Datenschutzrechts des Nutzer- nicht des Anbieterstandorts, umfassende und praktische Löschungsoptionen sowie restriktivere Privacy-Voreinstellungen. Die Bundesregierung möchte die Ergebnisse abwarten.