Was 2018 wichtig wird „Facebook verhält sich rechtswidrig“

Im Interview spricht die promovierte Volljuristin Imke Sommer über die neue Datenschutzgrundverordnung.
03.01.2018, 00:00
Lesedauer: 4 Min
Zur Merkliste
„Facebook verhält sich rechtswidrig“
Von Timo Thalmann

Was ändert sich durch die neue europäische Verordnung?

Bei den inhaltlichen Regelungen zum Datenschutz ändert sich nichts Entscheidendes. Wir können uns also weiterhin auf unser Datenschutz-Gefühl verlassen, weil die EU die europäischen Grundrechte garantiert, zu denen auch der Datenschutz gehört. Insgesamt werden die Rechte des einzelnen Bürgers ausgebaut. Dazu zählt zum Beispiel das Recht auf Transparenz darüber, was Verarbeiter mit unseren Daten anstellen. Zusätzlich werden bestimmte Prinzipien gestärkt, wie etwa das Gebot der Datensparsamkeit oder auch die Idee von „Privacy by Default". Die wichtigsten Veränderungen ergeben sich aus einer Reihe von neuen Grundsätzen für uns als Aufsichtsbehörde: Wir können jetzt wesentlich besser gegen Verstöße vorgehen und mehr und höhere Bußgelder verhängen.

Vielleicht sollten wir das im Einzelnen durchgehen, angefangen beim Begriff der Datensparsamkeit. Wie ist das gemeint?

Das galt auch bisher schon, wird aber nun höher gewichtet, weil mit der neuen Datenschutzgrundverordnung erstmals Bußgelder bei Verstößen vorgesehen sind. Datensparsamkeit, die jetzt schön plastisch Datenminimierung heißt, bedeutet im Kern, dass nur die personenbezogenen Daten erhoben werden dürfen, die notwendig sind, um den mit der Datenerhebung jeweils verbundenen Zweck auch zu erfüllen.

Also beispielsweise bei einer Bestellung in einem Onlineshop. Die Adressdaten dürfen erhoben werden, damit die Ware auch an mich verschickt werden kann.

Ganz genau. Gleiches gilt unter Umständen für ihre Bankdaten, denn schließlich will der Verkäufer die Ware bezahlt haben.

Gerne wollen die Shops auch meine Telefonnummer haben...

Die ist aber weder für die Bestellung, noch den Versand oder die Zahlung notwendig. Ein klarer Verstoß gegen das Gebot der Erforderlichkeit und damit auch das der Datenminimierung.

Wie soll man sich als Verbraucher in so einem Fall verhalten?

Die Telefonnummer nicht angeben.

Es ist als Pflichtfeld gekennzeichnet, das ausgefüllt werden muss, sonst lässt sich die Bestellung nicht abschicken.

Dann kann man den Anbieter direkt auf diesen Verstoß gegen den Datenschutz hinweisen oder natürlich uns als Datenschutzbehörde informieren und wir übernehmen das. Und wie gesagt: Es winken Bußgelder für solche Verstöße. Übrigens dürfen die übermittelten Daten dieser Bestellung auch nicht ohne Zustimmung gespeichert werden. Sie müssen nach Abwicklung des Geschäfts zwingend gelöscht werden, wenn keine Einwilligung zur Speicherung vorliegt.

Jetzt ist der Onlineshop in unserem Beispiel ein ausländischer Anbieter außerhalb der EU. Kann man da das Gesetz überhaupt durchsetzen?

Das ist eine der entscheidenden Neuerungen: Ab Mai 2018 gilt ausnahmslos das sogenannte Marktortprinzip, das heißt, wer in Europa Daten der Menschen verarbeiten will, muss sich an europäisches Recht halten, auch wenn der Firmensitz ganz woanders liegt. Das gibt uns als Aufsichtsbehörde weitreichende neue Möglichkeiten.

Lesen Sie auch

Was ist mit „Privacy by Default“ gemeint?

Dabei geht es um datenschutzfreundliche Grundeinstellungen der Technik. Weil die Verarbeiter nachweisen müssen, dass ich als Verbraucher jeder Datenerhebung und Übermittlung zuvor aktiv zugestimmt habe, liegt es auch in ihrem Interesse, dass ich jede Datenverarbeitung selbst „dazuschalten“ kann. Hinzu kommt nämlich, dass in klarer und einfacher Sprache erklärt werden muss, wofür die Daten gebraucht werden. Jeder muss die Konsequenzen der Einwilligung abschätzen können und jeder muss sie jederzeit wieder zurückziehen können. Systeme oder Online-Angebote, bei denen die Datenerhebung und Übermittlung grundsätzlich stattfindet, es sei denn ich widerspreche in den Tiefen der Einstellungen irgendwo aktiv, verstoßen deutlich gegen diese Transparenzanforderungen. Wer das Prinzip von „Privacy by Default“ beachtet, umgeht dieses Problem.

Ist das eine Anspielung auf Facebook?

„Privacy by Default“ könnte Facebook tatsächlich helfen, den Datenschutz zu beachten. Gegenwärtig verhält sich dieser Anbieter bei der Datenerhebung rechtswidrig. Weite Teile der Allgemeinen Geschäftsbedingungen von Facebook entsprechen heute weder dem deutschen Recht noch der neuen Datenschutzgrundverordnung. Durch Cookies (Software, die Webseiten auf dem Rechner des Nutzers hinterlassen; Anm. d. Red.) werden Daten von Internetnutzern gesammelt, die nicht einmal einen Facebook-Account besitzen, also bestimmt nicht eingewilligt haben. Für jeden Ladeninhaber oder Verein, der eine Fanseite bei Facebook betreibt, kann das zu einem Problem werden. Wir erwarten eine Entscheidung des Europäischen Gerichtshofs, nach der auch Fanseitenbetreiber dafür haften, wenn Facebook gegen Gesetze verstößt. Und auch die Datenschutzgrundverordnung enthält den Gedanken der gemeinsamen Verantwortung von Verarbeitern. Wer Daten sammelt und verarbeitet, muss dies gesetzeskonform tun. Diejenigen, die sich einer Plattform wie Facebook bedienen, um ihre eigenen Inhalte zu präsentieren, haften also für deren Fehler. Ob das die Polizei ist oder ein Restaurant oder ein Kleingartenverein.

Was heißt in diesem Fall „Haftung“?

Tatsächlich drohen ab Mai Bußgelder für Private, denn auch das ist neu: Als Aufsichtsbehörde sind meine rechtlichen Möglichkeiten künftig sehr eingeschränkt, bei Verstößen keine Bußgelder zu verhängen. Ich will das gar nicht sonderlich betonen, denn im Grunde habe ich als Landesbeauftragte für den Datenschutz kein Interesse daran, reihenweise Bußgeldbescheide an örtliche Anbieter zu schicken, die sich bei Facebook darstellen. In unser aller Interesse liegt es daher, dass es Facebook bis zum 25. Mai 2018 gelingt, die Plattform so umzugestalten, dass sie die Anforderungen der Datenschutzgrundverordnung erfüllt.

Was raten sie denn Vereinen und Unternehmen?

Die neue Datenschutzgrundverordnung verlangt von allen, die Daten verarbeiten, eine ordentliche Dokumentation. Das kann auch als Qualitätssicherung begriffen werden: Wer braucht welche Daten wofür? Welche Daten müssen personenbezogen sein, welche können anonymisiert werden? Verschwenden wir Speicherplatz? Was Facebook betrifft, wird man sich den Verbleib auf der Plattform gut überlegen müssen.

Das Interview führte Timo Thalmann

Jetzt sichern: Wir schenken Ihnen 1 Monat WK+!
Mehr zum Thema
Lesermeinungen

Das könnte Sie auch interessieren

Das Beste mit WK+