Stefan Holzner

Mainz Media Forum am 7.12.2012


Mainz Media Forum – Social Networks: „Datenkraken“ oder Impulsgeber für eine notwendige Reform des Datenschutzes?

 

ZD-Aktuell 2013, 03142         Am 7.12.2012 veranstaltete das Mainzer Medieninstitut eine Podiumsdiskussion in der Reihe Mainz Media Forum, bei der es um die datenschutzrechtlichen Aspekte der Geschäftsmodelle sog. Social Networks ging.

Als Diskutanten waren der Leiter der Gruppe Datenschutz in der Privatwirtschaft beim Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz, MR Dr. Stefan Brink, Mainz, sowie RA Prof. Niko Härting, Berlin, für das Podium gewonnen worden; die Moderation übernahm Prof. Dr. Matthias Cornils, stellvertretender Direktor des Mainzer Medieninstituts.

Cornils führte einleitend aus, dass soziale Netzwerke die Daten ihrer Nutzer sammeln, auswerten und mit weiteren Daten verknüpfen würden. Dies sei mit dem geltenden Datenschutzrecht unvereinbar. Dennoch werde die Verletzung geltenden Rechts akzeptiert oder zumindest geduldet; das Geschäftsmodell „Datenschutzverstoß“ sei mithin weit verbreitet. Das in der Datensammlung durch Private zu erkennende Gefahrenpotenzial sei ggf. größer als die Datensammlungen durch den Staat. Jedoch könne sich auch der Staat u.U. private Datensammlungen nutzbar machen. Es werde gleichfalls die Auffassung vertreten, das geltende Datenschutzrecht müsse nicht nur den gewandelten technischen Gegebenheiten, sondern eben auch den gewandelten Nutzungs- und Verwertungsverhalten angepasst werden, sodass Kommunikationsplattformen, wie den sozialen Netzwerken, hinreichender Freiraum gewährt werde.

Es sei im Wesentlichen zwischen zwei Datenschutzmodellen zu differenzieren. Der sog. „risikoorientierte Datenschutz“ stelle dem Grunde nach weder auf die (potenzielle) Gefährdung von Daten noch auf das Vorliegen einer Einwilligung der Betroffenen ab. Eine Ausnahme bilden sensible Daten. Der sog. „elaborierte Datenschutz“ beruhe dagegen auf dem Modell der Selbstbestimmung. Die Erhebung von Daten setze hier das Vorliegen eines Erlaubnistatbestands oder einer Einwilligung voraus. Der Datenschutz werde dadurch i.S.e. präventiven Datenschutzes bzw. Vorfeldschutzes in den Gefährdungsbereich vorverlagert.

Bis heute habe der Gesetzgeber die Vorgaben des BVerfG zum Datenschutz aus dem Volkszählungsurteil (BVerfGE 65, 1) nicht umgesetzt. Die damals getroffene Feststellung, dass es unter Berücksichtigung der Möglichkeiten der elektronischen Datenverarbeitung kein belangloses Datum mehr gebe, werde z.B. mit den Vorschriften zur lückenlosen Erfassung des Aufenthaltsorts von Leistungssportlern i.R.v. Anti-Doping-Maßnahmen missachtet. Es bestehe ein Schutzdefizit, wie etwa im Bereich des Schutzes von Daten Minderjähriger oder im Zusammenhang mit Anonymisierung und Pseudonymisierung personenbezogener Daten. Allerdings habe die EU-Kommission die Bedeutung des Datenschutzrechts erkannt, wie sich bereits aus der Datenschutzrichtlinie von 1995 (DS-RL) und dem aktuellen Entwurf der Datenschutz-Grundverordnung (DS-GVO) zeige.

 

Brink argumentierte, Datenschutz sei Privatsphärenschutz. Es gebe ein Recht darauf, Alleingelassen zu werden. Datenschutz stelle daher eine Rückzugsmöglichkeit dar. Er berichtete weiter, dass zuletzt auf Drängen der Datenschützer Facebook die Gesichtserkennung abgeschaltet habe. Jedoch würden die Datenschützer sich nicht generell gegen die Datenverarbeitung wenden; vielmehr sei Datenverarbeitung solange erlaubt, wie eine Verletzung der Privatsphäre ausgeschlossen werden könne. Dafür sei ein Mindestmaß an Transparenz in Bezug auf die Technik und das Geschäftsmodell von sozialen Netzwerken erforderlich. Auf Nachfrage von Cornils, wohin denn hier eine mögliche gesetzliche Neuentwicklung des Datenschutzrechts gehen sollte, führte Brink weiter aus, dass durch die Fortentwicklung des Datenschutzrechts zwar keine Geschäftsmodelle per se kaputt gemacht werden sollten, da der Datenschutz lediglich mitwirken aber nicht etwa technische und wirtschaftliche Entwicklungen aufhalten wolle. Es sei allerdings notwendig, dass Transparenz gegenüber den Nutzern geschaffen werde. Bislang gebe es nach den AGB von Facebook eine „Enteignung“ der Nutzer. Erforderlich seien nicht nur Erklärungen grundsätzlicher Art sondern detaillierte Informationen darüber, was mit den gesammelten Daten geschehe. Zudem forderte Brink insbesondere, dass eine Einwilligung der Erziehungsberechtigten vor der Nutzung sozialer Netzwerke durch Minderjährige erfolgen müsse. Auch empfahl er – insbesondere bei Minderjährigen – eine Pseudonymisierung der personenbezogenen Daten.

 

Härting entgegnete, es müsse einen freiheitsorientierten Datenschutz geben und ein solcher könne nicht durch eine neue „Monsterbürokratie“ der EU i.S.e. „Hinderungsdatenschutzes“ verwirklicht werden. Man müsse berücksichtigen, dass Datenschutz unter den heutigen technischen Bedingungen auch als Kommunikationsregulierung gesehen werde könne. Das Volkszählungsurteil des BVerfG (a.a.O.) werde missverstanden, da es sich ausdrücklich auf Datensammlungen durch den Staat beziehe. Ein weitreichender personenbezogener Datenschutz führe in die Uferlosigkeit, da dann z.B. auch Telefonnummern auf Mobiltelefonen erfasst würden, die indes Voraussetzung für eine soziale Kommunikation darstellten. In diesem Zusammenhang müsste auch über die für die Zukunft geplanten IP-Adressen mit Personenbezug diskutiert werden. Das geltende Datenschutzrecht gebe auf solche Fragen keine hinreichenden Antworten.

Neue Geschäftsmodelle, bei denen eine „Bezahlung durch Daten“ erfolge, müssten möglich sein. Der häufig geforderten Transparenz stehe nicht immer ein Defizit des Datenschutzes gegenüber. Vielmehr liege ein diffuses Gefühl von Bedrohung vor, wie es auch das BVerfG in seinem Urteil zur Vorratsdatenspeicherung (MMR 2008, 303 m. Anm. Bär; dort: „diffus bedrohliche Gefühl des Beobachtetseins“) angesprochen habe. Zwar könne es ein Recht auf Vergessen, nicht jedoch ein Recht auf „Vergessenwerden“ geben, da dies zwangläufig die schützenswerten Rechte Dritter betreffe. Den Vorwurf Brinks der mangelnden Transparenz von Technik und Geschäftsmodellen sozialer Netzwerke entgegnend führte Härting aus, die Nutzer wüssten genau, dass ihre Daten verwertet werden und nutzten die Netzwerke dennoch weiter. Der von Brink geforderte Einwilligungsvorbehalt sei letztlich nicht praktikabel.

Aus dem Auditorium äußerte Prof. Dr. Franz Rothlauf, Johannes Gutenberg-Universität Mainz, es gebe insbesondere für Unternehmen keine belanglosen Daten mehr. Unternehmen könnten aus den Daten ihrer Nutzer eine Vielzahl von Informationen herauslesen und würden dies auch aktiv nutzen und weiterentwickeln. Er verwies beispielhaft auf die in der Google-History gespeicherten Suchanfragen, mit deren Auswertung sich viel über den Anwender herausfinden lasse.

 

Weiter fragte Prof. Dr. Elke Gurlit, Johannes Gutenberg-Universität Mainz, welche Aufgabe dem Datenschutzrecht im Verhältnis zwischen Privaten zukommen müsse. Es lägen die Voraussetzungen einer staatlichen Schutzpflicht vor, daher müsse geklärt werden, ob hier die gleichen Anforderungen an den Datenschutz wie im Verhältnis Staat-Bürger gestellt werden sollten. Möglicherweise gebe es aber auch andere Rechtsdurchsetzungsmechanismen, wie etwa das Wettbewerbsrecht, die in die Überlegungen aufgenommen werden sollten. Härting befürwortete die Durchsetzung von Datenschutzrecht durch das Wettbewerbsrecht über §§ 3, 4 Nr. 11 UWG dem Grunde nach, gab aber zu bedenken, dass es hier derzeit noch eine sehr uneinheitliche Rechtsprechung gebe. Zudem könne das Datenschutzrecht auf diesem Wege auch nicht durch die Datenschutzbehörden durchgesetzt werden.

 

Regierungsrat Dr. Stefan Holzner, LL.M., Mainz.