Verbraucherschützer erfolgreich gegen Facebook – aber in Sorge um kommende EU-Grundverordnung
Erst kürzlich war eine Klage des Verbraucherzentrale Bundesverbands (VZBV) gegen Facebook erfolgreich. Die Verbraucherschützer zogen vor Gericht, weil sie die Ausgestaltung des Facebook-App-Zentrums für wettbewerbsrechts- und datenschutzrechtswidrig hielten. Kern der Beschwerde war, dass während der Anmelde- und Teilnahmeprozeduren im App-Zentrum zu wenig oder zu versteckt darüber aufgeklärt würde, wie Facebook und seine Partnerfirmen jeweils Nutzerdaten erheben und wie sie mit den Daten umgehen. Mit der erwähnten Entscheidung des Landgerichts Berlin wurde einmal mehr deutlich, dass die deutschen Gerichte das Bundesdatenschutzgesetz gegenüber Facebook offenbar konsequent durchsetzen wollen.
Facebook hielt sich an irische Datenschutzbestimmungen
Dies ist allerdings nicht selbstverständlich, denn der Firmensitz von Facebook – für alle Nutzer außerhalb der USA und Kanada – befindet sich in Irland. Also wäre anzunehmen, dass für Facebook entweder die irischen oder die in der gesamten EU geltenden Datenschutzbestimmungen maßgeblich sind. Innerhalb der EU gibt es zwar eine Datenschutzrichtlinie (Richtlinie 95/46/EG; PDF), doch das darin vorgegebene, für alle Mitgliedsstaaten bindende Schutzniveau ist vergleichsweise niedrig. Es ist den Ländern überlassen, genau nur dieses Niveau der Mindestharmonisierung einzuhalten oder darüber hinaus zu gehen – und genau hierin begründen sich die Unterschiede zwischen den Datenschutzbestimmungen in Irland und Deutschland.
Dazu kommt ein weiteres Prinzip für den Wirtschaftsraum der EU: Wenn ein Anbieter mit mindestens einer Niederlassung in der EU vertreten ist, greift das Datenschutzrecht des jeweiligen Mitgliedsstaates, das am Unternehmenssitz gilt. Aus diesem Grund konnte Facebook die geringeren Anforderungen, die in Irland an den Datenschutz gestellt werden, für sich nutzbar machen. Denn hier greift das europarechtliche Prinzip der Mindestharmonisierung: Sobald der einzelne Mitgliedsstaat den Mindeststandard, der in der Richtlinie vorgesehen ist, durch seine nationale Regelung umgesetzt hat, kann die Gültigkeit dieser Bestimmungen auch in grenzüberschreitenden Sachverhalten beansprucht werden.
Im Unterschied dazu kennt die EU aber auch das Prinzip der Rechtsvereinheitlichung. Diesem Prinzip nach kann die EU eine für alle Mitgliedsstaaten geltende Verordnung erlassen, welche nach deutschem Verständnis einem Gesetz entspricht. Doch eine solche Verordnung zum Datenschutz gibt es in der EU bis jetzt noch nicht.
Findet keine Datenverarbeitung am Standort statt, greift das irische Datenschutzrecht nicht
Facebook musste sich also lange Zeit nur an die irischen Datenschutzbestimmungen halten. Doch damit stieß das Unternehmen jüngst und im Wortsinne an Grenzen. Denn deutsche Gerichte beschäftigen sich seit diesem Jahr zunehmend mit der Frage, ob am europäischen Firmensitz die Verarbeitung der gesammelten Daten stattfindet. Auch das Landgericht Berlin argumentierte so: Wenn keine Datenverarbeitung vor Ort stattfinde, dann greife das irische Datenschutzrecht eben gerade nicht. Vielmehr müsse sich Facebook, wenn dessen Datenverarbeitung allein in den USA stattfinde, an das deutsche Datenschutzrecht halten. Diese Wendung liegt im völkerrechtlichen Territorialprinzip begründet.
Das mag zunächst widersprüchlich klingen. Doch um sich auf ein bestimmtes Datenschutzrecht berufen zu können, ist ein solcher Anknüpfungspunkt – hier: die Verarbeitung der Nutzerdaten am Standort (und nicht in den USA) – explizit erforderlich. Ist dies nicht gegeben, soll das Territorialprinzip Rechtsklarheit auf nationaler Ebene gewährleistet – sowohl für die Datenschutzstandards, die Unternehmen beachten müssen, als auch für den Schutz der Nutzerinteressen.
Die EU-Datenschutz-Grundverordnung kommt
Parallel zu den Entwicklungen in Deutschland entstand in den vergangenen Jahren der Entwurf einer EU-weiten Datenschutz-Grundverordnung – sozusagen ein Gesetz, um das Recht in der EU zu vereinheitlichen. Im Zuge des Gesetzgebungsprozesses hatte es zunächst den Anschein, dass auch die jüngsten Entscheidungen zugunsten des Datenschutzes in der Grundverordnung ihre Entsprechung finden würden.
So stimmte beispielsweise das EU-Parlament nach der ersten Lesung des Entwurfes im November 2013 für die datenschutzfreundliche Positionierung des Ausschusses für bürgerliche Freiheiten, Justiz und Inneres (PDF). Zudem gab es im März 2014 eine legislative Entschließung des Europäischen Parlaments.
Dieser Entschließung nach müsste eine entsprechende Verordnung unter anderem gewährleisten, dass uneindeutig aufgebaute Dialoge, die zu einer unbedachten Einwilligung in die Weitergabe personenbezogener Daten führen, als Verstoß gegen den Datenschutz gelten – dementsprechende Anforderungen stellte auch das Landgericht Berlin im anfangs erwähnten Urteil zum Facebook App-Zentrum.
Rat der EU will persönliche Daten klassifizieren
Dennoch besteht derzeit die Gefahr, dass die geplante europäische Verordnung die jüngsten datenschutzfreundlichen Entwicklungen in der Rechtsprechung wieder ausbremst. So beschloss der Rat der Europäischen Union Anfang Oktober 2014 eine teilweise allgemeine Ausrichtung zur Datenschutz-Grundverordnung (PDF) (S.12). Im Kapitel zu technischen und organisatorischen Schutzmaßnahmen sieht er einschneidende Änderungen in den Entwürfen von EU-Kommission und -Parlament vor.
So sollen persönliche Daten künftig klassifiziert werden. Davon abgeleitet sollen die datenverarbeitenden Stellen erhöhte Datenschutzanforderungen nur erfüllen müssen, wenn die von ihnen genutzten personenbezogenen Daten in hohem Maße risikobehaftet sind. Dieser Ansatz erwägt also eine Unterscheidung zwischen mehr oder weniger schützenswerten persönlichen Daten.
Verbraucher sehen Unterteilung in mehr oder eben weniger schützenswerte Daten skeptisch
Doch wie ist eine solche Abwägung zwischen mehr und weniger schützenswerten Daten einzustufen? Zumindest scheint sie nicht sehr bürgernah zu sein. Nach einer aktuellen Umfrage von TNS Emnid, die im Auftrag des Verbraucherzentrale Bundesverbands (vzbv) durchgeführt wurde, wollen die Verbraucher keine grundsätzliche Unterscheidung zwischen besonders schützenswerten und vermeintlich belanglosen persönlichen Daten.
Spätestens Anfang 2015 sollen nun die Verhandlungen zwischen dem Europäischem Parlament, dem Rat der Europäischen Union sowie der Kommission zu einem tragfähigen Gesetzeswerk führen. Angesichts der Entwicklungen in der deutschen Rechtsprechung und des europäischen Gesetzgebungsverfahrens wird mit Spannung zu verfolgen sein, in welche Richtung sich das europäische Datenschutzrecht entwickelt.
Was sagen Sie dazu?