Datenschutz in sozialen Netzwerken und das Safe Harbor-Urteil des EuGH
A. Grundlagen des Datenschutzrechts I. Rechtsquellen des Datenschutzrechts 1. Deutschland Grundrecht auf Datenschutz? à Recht auf informationelle Selbstbestimmung Bundesdatenschutzgesetz (BDSG) 2. Europa DatenschutzRL 95/46/EG à in Deutschland insb. durch BDSG umgesetzt Datenschutz-GrundVO à soll DS-RL eines Tages ablösen Grundrechtecharta Artikel 7 Achtung des Privat- und Familienlebens Artikel 8 Schutz personenbezogener Daten
3. Auf Facebook anwendbares Recht Streitig, ob materielles nationales Datenschutzrecht anwendbar II. Datenschutz: Verbot mit Erlaubnisvorbehalt 4 Abs. 1 BDSG: Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten sind nur zulässig, soweit dieses Gesetz oder eine andere Rechtsvorschrift dies erlaubt oder anordnet oder der Betroffene eingewilligt hat. 1. Erlaubnisnormen im öffentlichen Bereich - 13, 14 BDSG - à öff. Stellen müssen auf bereichsspezifische Norm verweisen können, aus der sich ihre Aufgabe und die Erlaubnis ergibt, zur Aufgabenerfüllung Daten zu erheben - Z.B. 26 Abs. 1 BPolG à unter engen Voraussetzungen Bild- und Tonaufzeichnungen von Veranstaltungsteilnehmern
2. Erlaubnisnormen im nicht-öffentlichen Bereich Bereichsspezifische Erlaubnistatbestände Z.B. 11 ff. TMG à Erhebung von Bestands- und Nutzungsdaten i.r.d. Angebots von Telemedien (z.b. Cloud Computing) Allgemeine Regeln: 28 30 BDSG 3. Einwilligung 4a BDSG Theoretisch: Freie, informierte und bewusste Entscheidung; Schriftform Kein Opt-out Keine pauschalen Einwilligungsklauseln Keine allgemeinen Formulierungen und Zweckbestimmungen Es muss klar erkennbar sein, welche Daten in welchem Umfang zu welchem Zweck verarbeitet und ggf. Dritten übermittelt werden Unterliegt der AGB-Kontrolle 4a Abs. 1 S. 4 BDSG: Soll die Einwilligung zusammen mit anderen Erklärungen schriftlich erteilt werden, ist sie besonders hervorzuheben. à Am sichersten: Separate Datenschutzerklärung
Praktisch: Einwilligung verkommt zum Kommerzialisierungsinstrument der eigenen Daten, z.b.: Facebook: Tausch diverser Daten gegen kostenloses Social Network Payback: Tausch von Konsumdaten gegen Prämien/Preisnachlässe Smarphone-Apps: Tausch der Daten des Telefonbuchs, SMS, Whatsapp-Nachrichten, Fotos, Videos, Standortdaten etc. gegen kostenlose Taschenlampe/Wörterbuch/Equalizer Facebook à Verstoß gegen das Kopplungsverbot? - 28 Abs. 3b BDSG: Die verantwortliche Stelle darf den Abschluss eines Vertrags nicht von einer Einwilligung des Betroffenen nach Absatz 3 Satz 1 abhängig machen, wenn dem Betroffenen ein anderer Zugang zu gleichwertigen vertraglichen Leistungen ohne die Einwilligung nicht oder nicht in zumutbarer Weise möglich ist. Eine unter solchen Umständen erteilte Einwilligung ist unwirksam. - Gibt es zumutbare Alternativangebote? à Telefon, SMS, Email, Twitter?
B. Datenerhebung und -nutzung bei Facebook Facebook-AGB Facebook-DatenRL Mögliche Dritte an die Daten weitergegeben werden: - Social-Media-Scoring à SCHUFA Erfindung, mit der Banken die Kreditwürdigkeit von Facebook-Mitgliedern anhand ihres Freundeskreises bewerten können sollen - Tracking-Informationen à EUROPOL C. Das Safe Harbor-Abkommen Art. 25 Abs. 1 DS-RL: lässt Übermittlung personenbezogener Daten in Drittländer zur Verarbeitung zu Voraussetzung: Drittland muss angemessenes Schutzniveau bieten
Art. 25 Abs. 6 DS-RL ermächtigt Kommission, nach dem Verfahren des Artikels 31 Absatz 2 DS-RL festzustellen, daß ein Drittland (...) hinsichtlich des Schutzes der Privatsphäre sowie der Freiheiten und Grundrechte von Personen ein angemessenes Schutzniveau im Sinne des Absatzes 2 gewährleistet Safe Harbor Entscheidung 2000/520/EG Entscheidung der EU-Kommission zur Einrichtung von EU/US Safe Harbor (SH) Safe Harbor-Liste, zurzeit 5521 Unternehmen eingetragen Facebook seit 5.10.2007
WIRTSCHAFTSWISSENSCHAFTEN
Seit den Snowden-Enthüllungen 2013 EU-interne Bedenken COM(2013) 846 final Mitteilung zur Wiederherstellung des Vertrauens beim Datenaustausch zwischen der EU und den USA COM(2013) 847 final Mitteilung über die Funktionsweise der Safe-Harbor-Regelung aus Sicht der EU-Bürger und der in der EU niedergelassenen Unternehmen So sind alle Unternehmen, die am Programm PRISM beteiligt sind und den US-Behörden den Zugriff auf in den USA gespeicherte und verarbeitete Daten gestatten, der Safe- Harbor-Regelung beigetreten. Safe Harbor ist auf diese Weise zu einem Informationskanal geworden, über den die US- Nachrichtendienste auf personenbezogene Daten zugreifen können, die ursprünglich in der EU verarbeitet worden sind.
D. Das EuGH-Urteil C-362/14 Maximillian Schrems / Data Protection Commissioner I. Sachverhalt österr. Staatsbürger, nutzt seit 2008 Facebook personenbezogene Daten von EU-Bürgern werden ganz oder teilweise an US-Server der Facebook Inc. übermittelt und dort verarbeitet. am 25.6.2013 legte Schrems beim Data Protection Commissioner Beschwerde ein: das Recht und die Praxis der USA gewährleisteten keinen ausreichenden Schutz verwies er auf von Edward Snowden enthüllte Tätigkeiten der Nachrichtendienste der USA, insb. der NSA Commissioner wies Beschwerde als unbegründet zurück Schrems erhob gegen Entscheidung Klage beim High Court High Court: Safe Harbor Entscheidung genügt nicht den Anforderungen der Art. 7 und 8 GrCh legte EuGH folgende Frage zur Vorabentscheidung vor: Können die Datenschutzbeauftragten der Mitgliedstaaten unabhängig von der Safe Harbor-Entscheidung beurteilen, ob das Schutzniveau in Drittstaaten angemessen ist?
II. Knackpunkte der EuGH-Entscheidung Art. 28 DS-RL sieht Einrichtung nationaler Kontrollstellen vor, um die Anwendung des nationalen Umsetzungsrechts zur DS-RL zu überwachen à EuGH: nat. Kontrollstellen müssen im Licht insb. von Art. 8 der Charta jede Eingabe einer Person zum Schutz ihrer Rechte und Freiheiten bei der Verarbeitung sie betreffender personenbezogener Daten in völliger Unabhängigkeit prüfen können (Rn. 57, 99) Art. 3 Safe Harbor Entscheidung: nur unter engen Voraussetzungen können die nat. Stellen in beschränktem Ausmaß gegen die Datenübermittlung vorgehen àeugh: dies entzieht den nationalen Kontrollstellen Befugnisse, die ihnen nach Art. 28 DS-RL eigentlich zustehen, wenn eine Person Gesichtspunkte vorbringt, die gegen ein angemessenes Schutzniveau ird Safe Harbor Entscheidung sprechen à Rdnr. 106: Aus den vorstehenden Erwägungen ist der Schluss zu ziehen, dass die Entscheidung 2000/520 ungültig ist. à die darauf beruhenden Datentransfers in die USA sind ohne Rechtsgrundlage
III. Kritik/Konsequenzen des Urteils des EuGH: Datenschutzbehörden in Europa müssen sich einstellen auf Vielzahl von Individualbeschwerden Anträgen auf Billigung der Datentransfers neue Gerichtsverfahren alternative Rechtsgrundlagen für den Datenfluss in die USA Vertragsklauseln à EU-Standardvertragsklauseln Art. 26 Abs. 2 DSRL Verbindliche Unternehmensregelungen à unternehmensweite, bindende codes of conduct à Zweifelhaft solange Massenüberwachung durch Geheimdienste naheliegt PRO: Stärkung der Grundrechte / des Datenschutzes "unsicheren Hafen" zu Recht geschlossen und dessen Regelungen für ungültig erklärt Safe-Harbor hat in den letzten Jahren für enorme Wettbewerbsverzerrung zu Ungunsten der digitalen Wirtschaft in Europa geführt à "Jetzt herrschen gleiche Rahmenbedingungen für alle und das ist gut für den Wettbewerb
CONTRA Gefahr, dass die US-Giganten Apple, Google, Facebook und Co. doch jede Zustimmung der Nutzer bekommen und deutsche Start-ups sowie der Mittelstand bei einer voreiligen Regulierungswut durch die EU das Nachsehen haben Tausende von Unternehmen brauchen jetzt schnellstmöglich Rechtssicherheit E. Diskussion: Die Zukunft des Personendatenschutzes Wie sähe Ihr Traum-Social Network aus? Sollte es vollständig anonyme Social Networks mit dem Nutzungskomfort von Facebook geben? Sollte es ein Eigentumsrecht (= Vermögensrecht) an personenbezogenen Daten geben?