Datenschutz für Jedermann: Bundeskartellamt geht gegen Facebook vor

Datenschutz für Jedermann

In einer durchaus beachtenswerten Entscheidung hat das Bundeskartellamt am 07. Februar 2019 dem sozialen Netzwerk Facebook untersagt, Nutzerdaten aus verschiedenen Quellen zusammenzuführen.

Was bedeutet das genau?

Das Unternehmensmodell von Facebook basiert darauf, Daten seiner Nutzer zu sammeln und zu kategorisieren, um diese Informationen an Anbieter von Werbung verkaufen zu können. Je mehr Informationen Facebook erhält, desto besser können sie feste Zielgruppen zusammenstellen, die sie an ihre Werbepartner verkaufen können. Dabei können spielt auch Big Data (s.a.: Der größte Irrtum) eine große Rolle, denn je mehr Informationen vorliegen, desto besser lassen sich Zielgruppen definieren.

Damit genügend Daten für die Auswertungen vorliegen, reichen die riesigen Datenmengen, die über die Webseite und die App hineinkommen, natürlich nicht mehr aus. Um noch mehr Informationen sammeln zu können, nutzt Facebook auch alle denkbaren externen Mittel: die Login via Facebook-Funktion (s.a.: Facebook – Der Skandal bist Du!) verschiedener Webseiten, Webseiten, auf der Funktionen wie Userkommentare oder der Like-Button implementiert sind – aber natürlich auch die eigenen zusätzlichen Datenkraken im eigenen Haus wie WhatsApp oder Instagram. Und an dieser Stelle setzt das Bundeskartellamt an und untersagt die Zusammenführung der entsprechenden Daten ohne Einwilligung des Nutzers.

Exkurs: Verantwortlichkeit im Sinne des Datenschutzes

Viele werden sich jetzt sicher fragen: Wieso sollte das Bundeskartellamt in der Lage sein, so etwas verlangen zu können? Nun, das Kartellamt stützt sich an dieser Stelle auf das europäische Datenschutzrecht und damit auf die DS-GVO. In dieser wird definiert, wer für die Datenverarbeitung verantwortlich ist:

„Im Sinne dieser Verordnung bezeichnet der Ausdruck:
7. „Verantwortlicher“ die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so können der Verantwortliche beziehungsweise die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden;“

(Art. 4 Nr. 7 DS-GVO)

Das bedeutet soviel wie: Jedes Unternehmen (oder jede Person) ist zunächst individuell verantwortlich dafür, warum und wofür personenbezogene Daten verarbeitet werden. Und Unternehmen ist in diesem Zusammenhang sehr streng zu verstehen; unterschiedliche Business Units, Legaleinheiten etc. einer Unternehmensgruppe sind dabei immer als eigenständige Verantwortliche zu betrachten! Facebook darf also selbst nur über die Datenverarbeitung innerhalb von Facebook und seinem Messenger bestimmen, für Instagram und WhatsApp sind die jeweiligen Facebook-Töchter verantwortlich.
Und für die anderen Webseiten?
Nun, das ist bislang noch eine relativ umstrittene Angelegenheit. Grundsätzlich ist der Webseitenbetreiber auf jeden Fall Verantwortlicher für die Datenverarbeitung auf seiner Webseite, aber es gibt bislang noch keine wirklich verbindlichen Festlegung, was die Einbindung von Login-Möglichkeiten oder Like-Buttons betrifft. Eine gemeinsame Verantwortung hinsichtlich der auf diese Weise erhobenen Daten ist durchaus denkbar, entsprechende Regelungen meines Wissens nach bislang aber für diese Fälle noch nicht bindend.

Die Zulässigkeit von Datentransfers

Damit Daten übermittelt oder auf sonstige Weise verarbeitet werden können, benötigt ein Verantwortlicher eine entsprechende Rechtsgrundlage. Ein ( sehr wichtiger, aber nicht abschließender) Katalog von Ermächtigungsgründen ergibt sich aus Art. 6 DS-GVO. Dort werden folgende Rechtsgrundlagen für eine Datenverarbeitung genannt:
– aufgrund einer Einwilligung (lit. a);
– aufgrund eines Vertrags oder zur Begründung eines Vertragsverhältnisses (lit. b);
– zur Erfüllung einer rechtlichen Verpflichtung (lit. c);
– zum Schutz lebenswichtiger Interessen (lit. d);
– zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt (lit. e);
– zur Wahrung eines berechtigten Interesses des Verantwortlichen oder eines Dritten (lit. f).
Da der Schutz lebenswichtiger Interessen und die Wahrnehmung einer Aufgabe im öffentlichen Interesse Sonderkonstellationen betrifft, welche für ca. 90% aller Fälle keine Rolle spielen, bleiben auch in diesem Fall nur die Varianten a, b, c, und f als denkbare Ermächtigungsgründe. Die Rechtspflicht (lit. c) können wir auch relativ schnell ausklammern, da es (zum Glück!) kein Gesetz gibt, dass Facebook zum internen Datenaustausch verpflichtet. Ebenso fällt der Vertrag (lit. b) weg, da es bei der Anmeldung für einen der Dienste keine entsprechende Klausel in den Nutzungsbedingungen gibt. Somit bleiben nur noch das berechtigte Interesse und die Einwilligung als denkbare Rechtsgrundlagen übrig. Das berechtigte Interesse (lit. f) wiederum verlangt, wie auch aus dem Gesetzestext hervorgeht, eine Abwägung zwischen den Interessen des Verantwortlichen und den Rechten und Freiheit des Betroffenen. Die Rechte und Freiheiten des Betroffenen sind in diesem Fall das Grundrecht auf Datenschutz bzw. das Recht auf informationelle Selbstbestimmung, wie es in Deutschland genannt wird. Und in Relation zum Interesse des Verantwortlichen (Facebook), mit den zusammengeführten Daten (welche ja nicht nur Namen und Kontaktdaten, sondern auch Bilder, ggf. Videos, Sprachdateien, Lokalisierungsinformationen, Meinungen oder das eigene Kaufverhalten beinhalten) Profile für den Verkauf von Werbung zu erstellen, ist ohne Zweifel davon auszugehen, dass in dem Fall die Rechte des Einzelnen schwerer wiegen als Unternehmensinteressen. Somit bleibt nur eine Einwilligung (lit. a). Und diese wird bislang nicht eingefordert.

Ist die Kartellbehörde jetzt unter die Datenschützer gegangen?

Verwunderlich mag es sein, dass dieser Einwand ausgerechnet von Seiten der Kartellbehörde kommt. Reicht es nicht, wenn eine der 18 Datenschutz-Aufsichtsbehörden des Bundes oder der Länder aktiv geworden wäre? Sind Kartellwächter jetzt auch Datenschützer?
Die Antwort ist ganz eindeutig: Jein! Das Bundeskartellamt ist nach wie vor primär eine Behörde, welcher die Kontrolle des Wettbewerbs auf dem Markt obliegt. Darunter fällt aber auch die Aufsicht darüber, ob ein Unternehmen eine marktbeherrschende Stellung ausnutzt. Das ist in diesem Fall gegeben. Facebook ist in Deutschland nach wie vor eines der am weitesten verbreiteten sozialen Netzwerke (nach Aussage des Bundeskartellamts wird Facebook in Deutschland täglich von 23 Mio. Bürgern genutzt) und gemäß der Aussage der Behörde damit eine Quasi-Monopolstellung in Deutschland. Daher sei in der Zusammenlegung der Daten aus Facebook und der Komplementärdienste Instagram und WhatsApp ein Missbrauch einer marktbeherrschenden Stellung zu sehen.

Was bedeutet das für mich als User?

Zunächst wenig – lediglich die ebenfalls von Facebook angekündigte Zusammenlegung der Messengerdienste von Facebook, Instagram und WhatsApp dürfte sich dadurch zunächst verzögern, da zunächst geklärt werden muss, ob und wie es mit dem Missbrauchsverfahren weitergeht, und welche Auswirkungen dies auf die weiteren Pläne von Facebook hat. Die Gruppe hat zumindest angekündigt, deswegen den Rechtsweg beschreiten zu wollen.

Wie kann ich mich als User schützen?

Einen wirklichen Schutz vor der Datenkrake Facebook gibt es leider nicht. Selbst wenn man auf Accounts bei Facebook, WhatsApp und Instagram verzichten sollte, ist immer noch nicht gewährleistet, ob man nicht über andere Webseiten dennoch mit dem Unternehmen aus Menlo Park in Kalifornien kommuniziert – Facebook-Kommentarfunktionen unter Artikeln und Like-Buttons sind sicherlich die offensichtlichsten Hinweise darauf, dass Facebook Daten sammelt, aber ohne entsprechende Tools und/oder Know-How ist es bspw. kaum möglich, den Einsatz von Facebook Analytics auf einer Webseite zu entdecken. Die klassischen Tools wie Adblock, Ghostery oder NoScript können sicherlich den Datenfluss (auch an sonstige Dritte) etwas einschränken, aber eine komplette Blockade ist damit sicherlich nicht möglich – versiertere IT-ler können sicherlich mit Pi-Hole bessere Erfolge erzielen – ich würde mich jedenfalls freuen, wenn mir jemand von den Ergebnissen des Einsatzes von Pi-Hole gerade in solchen Do Not Track-Situationen berichten könnte.

Quellen:
https://www.bundeskartellamt.de/SharedDocs/Meldung/DE/Meldungen%20News%20Karussell/2019/07_02_2019_Facebook.html
https://www.bundeskartellamt.de/SharedDocs/Meldung/DE/Pressemitteilungen/2019/07_02_2019_Facebook.html;jsessionid=F9A6D515E48F00B57379D4F7289CAD75.1_cid387?nn=3591568
https://www.bundeskartellamt.de/SharedDocs/Publikation/DE/Diskussions_Hintergrundpapier/Hintergrundpapier_Facebook.pdf?__blob=publicationFile&v=5
https://www.bundeskartellamt.de/DE/UeberUns/Bundeskartellamt/bundeskartellamt_node.html

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert