Das Karriereportal für Wissenschaft & Forschung von In Kooperation mit DIE ZEIT Forschung und Lehre

Mit oder ohne Zustimmung? Soziale Netzwerke und der Datenschutz

Von Nikolaus Forgó und Tina Krügel

Längst ist es quer durch die Gesellschaft üblich oder - auf neudeutsch - "angesagt", Mitglied in einem sozialen Netzwerk zu sein. Da die Nutzer ihre persönlichen Daten "freiwillig" online stellen, zeigen sich Datenschutzprobleme erst auf den zweiten Blick. Wer schützt die Nutzer vor sich selbst?

Mit oder ohne Zustimmung? Soziale Netzwerke und der Datenschutz© Ralf Gosch - iStockphoto.comNutzer sozialer Netzwerke teilen ihr Sozialleben mit der Öffentlichkeit
Sie haben unsere Art zu kommunizieren verändert: Facebook, Wer-kennt-wen, StudiVZ, Twitter und Co. sind heute über Computer und Smartphone immer erreichbar, Postings in Navigationsdiensten integriert, Fotoapparate bieten automatisierte Uploads von Bildern samt Geotag des Aufnahmeorts. Es wird gepostet, gechattet, getwittert, getagged, es werden Chefs beschimpft und Kollegen verpfiffen, Restaurants kritisiert und Verkäufer bewertet, es wird gemobbed, gestalked und gelobt, es werden Beziehungen begründet und beendet, vor allem aber werden Massen personenbezogener Daten, seien es Bilder, Videos, Meinungen, Empfindungen oder Aufenthaltsorte der Öffentlichkeit oder einem - vermeintlich - begrenzten Freundeskreis preisgegeben. (Fast) alles davon mit Zustimmung der Betroffenen.

Gibt es überhaupt ein Datenschutzproblem?

Als Nutzer von sozialen Netzwerken willigt man in die Verarbeitung der eigenen personenbezogenen Daten ein. Mehr noch, die Verarbeitung wird überwiegend erst durch den Nutzer selbst - indem er Urlaubsfotos hochlädt, Links postet, seine Meinung im Netzwerk äußert, etc. - initiiert. Da ja fast alles "freiwillig" geschieht, zeigen sich Datenschutzprobleme erst auf den zweiten Blick: Schlagzeilen machten vor allem unzureichende Datensicherheitsmaßnahmen, aber auch fehlende Datenschutzstandards. Unzureichende Datenlöschung, unverständliche und umfangreiche Nutzungsbestimmungen bei der Anmeldung, datenschutzunfreundliche Voreinstellungen von Nutzerkonten, nebulöse Auswertungstechniken und kundenspezifische Werbung wurden den Netzwerkanbietern in den letzten Monaten vermehrt zur Last gelegt - freilich ohne, dass sich irgendetwas am Grundproblem geändert hätte. Neben die Vielzahl von datenschutzrechtlichen Problemen, die die Dienste durch ihre Nutzungsbedingungen und technischen Abläufe aufwerfen, tritt nämlich eine zweite, weniger greifbare Gefahr hinzu: die zunehmende Bereitschaft der Betroffenen, ihr Sozialleben mit der Öffentlichkeit zu teilen. Beide Aspekte sind es wert, kurz beleuchtet zu werden.

Datenschutzrechtliche Vorgaben

Selbstverständlich müssen auch soziale Netzwerke die datenschutzrechtlichen Vorgaben, in Deutschland insbesondere die des Bundesdatenschutzgesetzes (BDSG) und des Telemediengesetzes (TMG), beachten: Personenbezogene Daten dürfen nur verarbeitet werden, wenn die betroffene Person in die Verarbeitung eingewilligt hat oder eine Rechtsvorschrift die Verarbeitung erlaubt. Aber selbst wenn eine Erlaubnis der Datenverarbeitung vorliegt, der Nutzer etwa in die Datenverarbeitung eingewilligt hat, muss die Verarbeitung überdies die datenschutzrechtlichen Grundprinzipien der Zweckbindung, Datensparsamkeit und Transparenz beachten. Werden diese nicht gewahrt, etwa weil die Verarbeitung der personenbezogenen Daten nicht erforderlich war, ist sie trotz des Vorliegens einer Erlaubnis rechtswidrig. So weit so gut, doch zeigt sich oft, dass weder Rechtsfindung noch Rechtsdurchsetzung einfach sind.

Zur Rechtsfindung

Ein Beispiel: Der Ausdruck der englischsprachigen, auch noch regelmäßig geänderten Privacy Policy von Facebook hat in Standardschriftgröße 12 Seiten und enthält Sätze wie: "We may collect information about you from other Facebook users, such as when a friend tags you in a photo, video, or place, provides friend details, or indicates a relationship with you." "Even after you remove information from your profile or delete your account, copies of that information may remain viewable elsewhere to the extent it has been shared with others, it was otherwise distributed pursuant to your privacy settings, or it was copied or stored by other users." oder "If you use an external source to publish information to Facebook (such as a mobile application or a Connect site), you should check the privacy setting for that post, as it is set by that external source." Liest man diese Sätze (was kaum jemand tut), wird es sehr schwierig, die Tragweite der Einwilligung, die man abgeben soll, einzuschätzen. Eine Einwilligung in Nutzungsbedingungen, die so umfangreich oder kompliziert sind, dass der Betroffene ihre Bedeutung nicht zu erfassen vermag, ist unwirksam. Wann allerdings eine umfassende Information des Betroffenen in eine aufgrund ihrer Komplexität unwirksame Information umschlägt, ist unklar. Das Gesetz bleibt hier abstrakt, so dass ein rechtliches Vorgehen gegen solche Nutzungsbedingungen schwierig ist. Eine einheitliche Beurteilung scheitert also bereits auf der Tatbestandsebene. Löscht ein Nutzer sein Nutzerkonto (was manchmal gar nicht einfach ist) und die damit einhergehenden Zugangsdaten, widerruft er konkludent seine Einwilligung in die Datenverarbeitung.

Die Daten sind von dem jeweiligen Netzwerk (soweit sie nicht noch für Abrechnungszwecke o.ä. benötigt werden) umgehend zu löschen (§35 BDSG), jede weitere Speicherung ist nunmehr mangels Erlaubnis unzulässig. Zur Rechtsdurchsetzung Ist man bereit, das Risiko eines Prozesses auf sich zu nehmen, um einen datenschutzrechtlichen Anspruch (etwa auf Löschung) geltend zu machen, gestaltet sich dessen Durchsetzung bei Unternehmen, die ihren Sitz in Deutschland haben, wie beispielsweise der Xing AG, vergleichsweise einfach. Schwieriger wird es bereits bei Anbietern aus dem europäischen Ausland, problematisch bis aussichtlos ist sie im außereuropäischen Ausland, aber gerade hier haben viele der relevanten sozialen Netzwerke ihren Sitz und sind damit außerhalb des Geltungsbereichs der europäischen Datenschutzharmonisierung. Die Probleme bei der datenschutzrechtlichen Durchsetzung liegen damit auf der Hand.

Wer schützt die Nutzer vor sich selbst?

Neben diese rechtlichen Probleme tritt ein nicht zu unterschätzendes Sensibilitätsproblem hinzu. Der Datenschutz hat zwar in den letzten Jahren in der Öffentlichkeit an Aufmerksamkeit gewonnen, trotzdem beschränkt sich das Verlangen nach einem wirksamen Schutz der eigenen Daten, nicht zuletzt durch die jüngsten Datenskandale bei der Telekom, VW, AWD und Co., häufig auf die Datenschutzkonformität solcher Unternehmen. Was Arbeitgeber, Stromkonzerne, Telefon- und Finanzunternehmen und eben auch soziale Netzwerke mit den personenbezogenen Daten ihrer Kunden und Nutzer machen und ob sie sich an die gesetzlichen Bestimmungen halten, interessiert die breite Öffentlichkeit. Der eigene Umgang mit den Daten, gerade in sozialen Netzwerken, erfolgt hingegen nach wie vor erstaunlich unbedarft. Der Informationsgehalt und die Sensibilität der Daten, die freigiebig in sozialen Netzwerken preisgegeben werden, schlägt den Informationsgehalt der Daten, die z.B. Arbeitgeber vorhalten, häufig aber sowohl hinsichtlich ihrer Quantität als auch ihrer Qualität.

Selbstverständlich soll dies nicht mögliche Datenschutzverstöße der Wirtschaft relativieren, wohl aber im Hinblick auf den leichtfertigen Umgang mit den eigenen Daten im Internet mangelndes Datenschutzbewusstsein aufzeigen. Woran liegt es aber, dass die Betroffenen so offensichtlich mit zweierlei Maß messen und die möglichen Folgen ihres eigenen Internetverhaltens so wenig abschätzen? Zum einen wohl an fehlender Aufklärung und Weitsicht. Zum anderen aber wohl auch an der Flut von Information, die der Nutzer mit jeder Einwilligung in eine Datenverarbeitung aufzunehmen hat. Letztlich kommt das System der "informierten" Einwilligung, die den Betroffenen umfassend über Art und Weise, die Empfänger und den Zweck der Verarbeitung aufklären will, zunehmend an seine Grenzen. Denn angesichts der Vielzahl von Services, die ein Nutzer im Zeitalter des Web 2.0 in Anspruch nehmen kann, wird die Informationsmasse so groß, dass sie weniger informiert als verwirrt. Über Gemeinsamkeiten und Unterschiede in Privacy Policies von sozialen Netzwerken kann man Bücher schreiben, aber mit vernünftigem Zeitaufwand kaum je informierte Entscheidungen treffen. Es herrschen erheblichste Informationsasymmetrien.

Überflüssige Novellierungswut

Wie kann man den aufgezeigten Problemen also begegnen? In Deutschland haben die erwähnten Datenschutzskandale in den letzten zwei Jahren zu einer regelrechten Novellierungswut des Gesetzgebers geführt. Allein 2009 hat das Bundesdatenschutzgesetz drei Novellierungen erfahren. Was herauskommt, sind anlassbezogene Spezialregelungen, die das Gesetz zunehmend unübersichtlicher machen. Dass sie helfen, vermeintliche oder echte Probleme zu lösen, lässt sich bezweifeln. Dem Problem des Datenschutzbewusstseins begegnet keine der Novellen. Dies ist auch nicht überraschend, denn wollte man das Institut der datenschutzrechtlichen Einwilligung in Frage stellen, kann dies ohnehin nicht auf nationalstaatlicher Ebene geschehen. Eine Novelle in diesem Bereich würde europarechtlich vorgegebene Datenschutzgrundsätze betreffen, die einzig durch Novellierung des europäischen Datenschutzrechts angepasst werden können, um hiernach nationalstaatlich umgesetzt zu werden.

Die Initiative für eine solche Änderung muss folglich auf europäischer Ebene angestoßen werden. Für Verschärfungen der Datenschutzbestimmungen für Unternehmen gilt dies nicht immer. Hier hat zwar jeder Nationalstaat in Grenzen die Möglichkeit, nach eigenem Ermessen zu regeln. Sinnvoll ist dieses Vorgehen in einer globalen Welt allerdings häufig nicht. Denn es führt letztlich oft nur dazu, dass Unternehmen und eben auch soziale Netzwerke ihren Sitz in das europäische, wenn nicht gleich außereuropäische Ausland verlagern und ihre Dienste trotzdem weiterhin im Inland anbieten. Soll Datenschutz in der Zukunft wirksam durchsetzbar bleiben, muss deswegen zumindest auf europäischer Ebene reguliert werden. Davor freilich muss eine zumindest europaweit zu führende rechtspolitische Diskussion stattfinden, was überhaupt wovor und wie lange zu schützen ist - mit oder ohne Zustimmung der Betroffenen.


Über die Autoren
Nikolaus Forgó ist Professor für IT-Recht und Rechtsinformatik an der Leibniz Universität Hannover. Seine Forschungsschwerpunkte liegen insbesondere im Datenschutz- und im Datensicherheitsrecht sowie in immaterialgüter- und verbraucherschutzrechtlichen Fragen der IT.
Rechtsanwältin Dr. jur. Tina Krügel, LL.M. ist Wissenschaftliche Mitarbeiterin und Lehrbeauftragte an der Leibniz Universität Hannover. Ihre Forschungsschwerpunkte sind nationales und europäisches Datenschutzrecht, Softwarevertragsrecht, E-Commercerecht mit besonderem Schwerpunkt im Bereich Zahlungssysteme im Internet.


Aus Forschung und Lehre :: März 2011

Ausgewählte Artikel
Ausgewählte Stellenangebote