Seit dem Skandal um Facebook und Cambrigde Analytica wird das Thema Datenschutz in Social Media Netzwerken intensiv diskutiert. Was waren die Folgen für die Digitalbranche?
Nicht nur durch die Skandale bei Facebook und Cambridge Analytica gab es einen Schreckmoment für entsprechende Betreiber von Plattformen, die massenhaft personenbezogene Daten verarbeiten. Diese beiden Betreiber reihen sich in eine Vielzahl von bereits erfolgten Datenhacks ein. So wurde beispielsweise bereits im August 2013 der Anbieter Yahoo gehackt. Bei diesem Hack wurden die Zugangsdaten von etwa 3 Mrd. Konten gestohlen. Bei Clearview AI kam es im Jahr 2020 zu einem Hack, aufgrund dessen etwa 3 Mrd. Fotos erbeutet werden konnten. Dies Liste der betroffenen Unternehmen, von denen bereits Daten gestohlen/abgegriffen, kann beliebig fortgesetzt werden.
Die Gefahr von Hacks ist derzeit höher denn je. Unter diesem Aspekt und dem Umstand, dass seit dem Jahr 2018 die DSGVO europaweit gilt, ist den Plattformbetreibern grundsätzlich daran gelegen, sämtliche notwendigen und relevanten Sicherungsmaßnahmen zu treffen, um Hacks zu entgegnen. Erforderlich dafür ist es, stets up to date zu bleiben und die Sicherungssystem auf dem aktuellen Stand zu halten. Auch die Hacker entwickeln sich weiter. Eine Software, bzw. ein System, das heute als noch sehr sicher und für Hacker kaum zu durchdringen gilt, kann morgen schon veraltet und nicht mehr sicher sein.
Setzen personenbezogene Daten verarbeitende Unternehmen nicht die notwendigen Sicherungssysteme ein, drohen nach der DSGVO Bußgelder, die durch die Datenschutzbehörden verhängt werden. Hinzu treten – ebenfalls nach der DSGVO – Ansprüche der von dem Hack betroffenen Personen auf Schadensersatz und Schmerzensgeld. Neben dem Imageschaden, den ein Unternehmen erleidet, dass von einem Datenhack betroffen ist, sieht sich dieses immensen Bußgeldern, die nach dem weltweiten Umsatz bemessen werden und Schadensersatzansprüchen eines jeden einzelnen Betroffenen ausgesetzt.
Um auf den Facebook-Skandal zurückzukommen: Das Landgericht Zwickau verurteilte Facebook mit einem sehr aktuellen Urteil vom 14.9.2022 (Az. 7 O 334/22) aufgrund dieses Skandals allein an einen Kläger (betroffener Nutzer) Schadensersatz in Höhe von 1.000, – € zu zahlen. Unter Anbetracht des Umstandes, dass von dem Skandal rund 6 Millionen Facebook-Nutzer allein in Deutschland betroffen sind, wird der Schaden schnell deutlich, der Facebook dadurch erwachsen kann. Sehr oberflächlich pauschalisiert könnte insofern ein Betrag von 600 Mrd. € Schadensersatz im Raum stehen.
Haben Sie die Diskussion des Facebook-Skandals ebenfalls in Ihrer täglichen Arbeit zu spüren bekommen?
Die Auswirkungen der bisherigen Datenskandale, unter anderem eben auch dem Facebook-Datenskandal, sind in unserer Kanzlei deutlich zu spüren. Zum einen gehts es um betroffene Nutzer, die sich nach den Möglichkeiten und ihren Rechten erkundigen. Hier besteht immenser Beratungsbedarf hinsichtlich der Möglichkeiten, die unternommen werden können und müssen, um die Daten, die Gegenstand des Missbrauchs sind, schützen zu können. Aber auch immer mehr Betroffene fragen nach den Möglichkeiten des Schadensersatzes bzw. des Schmerzensgeldes, sofern ihre Daten missbraucht wurden. Wie sich aufgrund der oben angeführten Entscheidung des Landgerichts Zwickau zeigt, Zu Recht.
Zum anderen geht es hinsichtlich des gestiegenen Beratungsbedarf im Datenschutz allerdings auch um Unternehmen, die personenbezogene Daten verarbeiten und entsprechende Plattformen betreiben. In diesem Zusammenhang besteht ein hoher Beratungsbedarf hinsichtlich der rechtlichen Gegebenheiten. Es steht insbesondere immer wieder zur Frage, welche tatsächlichen Anforderungen geschaffen werden müssen, rechtlichen Ansprüchen, sei aus behördlicher oder zivilrechtlicher Sicht, entgegnen zu können.
Sind alle Digitalunternehmen im Umgang mit Daten so sorglos wie Facebook oder ist das eher ein Silicon Valley Problem?
Betroffene Unternehmen sind aufgrund der stetig vorkommenden Datenhacks und den daraus resultierenden Rechtsfolgen sensibilisiert. Das Interesse an dem Betrieb von abgesicherten Plattformen, die einen Hack so wahrscheinlich wie nur möglich abwenden können, wächst täglich. Dies ist allerdings nicht nur Folge des entstehenden Imageschadens im Falle eines Hacks. Die konsequente Gesetzgebung und Rechtsverfolgung trägt dazu maßgeblich bei.
Betrachtet man wiederum konkret den Fall von Facebook, ist schnell ersichtlich, dass keinem Unternehmen daran gelegen sein kann, einen Imageverlust zu erleiden und sich immensen Zahlungsansprüchen ausgesetzt zu sehen. Die Folgen sind einfach aber für das betroffene Unternehmen auch sehr brisant:
# Nutzer einer solchen Plattform fühlen sich nicht mehr sicher und nutzen diesen Dienst ggf. nicht mehr.
#Betroffene Nutzer machen Schadensersatzansprüche nach der DSGVO geltend, vgl. oben zitiertes Urteil des LG Zwickau.
#Datenschutzbehörden verhängen massive Bußgelder, die sich nach dem weltweiten Umsatz bemessen. Das Bußgeld kann bis zu 20 Millionen Euro oder für Unternehmen von bis zu vier Prozent des weltweiten Jahresumsatzes betragen!
Seit letztem Jahr gilt die neue Datenschutzgrundverordnung. Was waren die Auswirkungen?
Die Datenschutzverordnung (DS-GVO, DSGVO, oder auch EU-DSGVO) gilt bereits seit dem 25.5.2018, also schon über vier Jahre. Seit dem Inkrafttreten hat sich zumindest in der Rechtsprechung ein wenig getan. Aufgrund der Vielfältigkeit der in der DSGVO enthaltenen Regelungen wird sich eine abschließende Rechtsprechung zu einigen inhaltlichen Themen erst in einigen Jahren herausbilden. Aktuell sind beispielsweise Verfahren vor dem EuGH anhängig, die inhaltliche Fragen zum Schadensersatzanspruch nach Art. 82 DSGVO betreffen, der in sehr vielen datenschutzrechtlichen Verfahren Gegenstand ist. Gleiches gilt für den ebenfalls sehr verfahrensrelevanten Auskunftsanspruch nach Art. 15 DSGVO. Nicht zuletzt beschäftigen sich sehr viele Gerichte mit den durch Datenschutzbehörden verhängten Bußgeldern, deren Höhe beanstandet wird.
Das Inkrafttreten der DSGVO ging einher mit einem immensen Aufwand für Unternehmen, die personenbezogene Daten verarbeiten. Dies gilt sowohl für den Online- als auch für den Offlinebereich. Das Bewusstsein für die Einhaltung der datenschutzrechtlichen Belange hat sich in den vergangenen vier Jahren gestärkt. Vorerst wurden die Regelungen als vollkommen überflüssig angesehen. Aktuell hat sich diese Haltung etwas neutralisiert. Man hat sich an den Aufwand, der mit der Einhaltung der DSGVO einhergeht, gewöhnt und betrachtet dies als weitgehend normal.
In der Beratungspraxis hat sich ergeben, dass sich der Datenschutz zu einem noch größeren Spezialgebiet herausgebildet hat und in der Regel nur noch von spezialisierten Kanzlei bearbeitet wird.
Die neuen Regeln haben im Vorfeld für viel Aufregung gesorgt. Wie beurteilen Sie die DSGVO retroperspektiv?
Die Regelungen der DSGVO haben grundsätzlich einen guten Ansatz. Im Hinblick auf den aktuellen Stand der weltweiten Digitalisierung und darauf, was uns in den nächsten Jahren erwarten, ist es erforderlich, klare und strikte Vorschriften zu schaffen, die den Umgang mit den personenbezogenen Daten regeln. Jede Person muss entscheiden können, ob und für welche Zwecke personenbezogene Daten zur Verfügung gestellt werden.
Neben guten Ansätzen bestehen hinsichtlich einiger Vorschrift allerdings auch viele Nachteile, die ggf. aufgrund der fehlenden technischen Entwicklung noch nicht beseitigt werden können. Beispielsweise sei hier der bekannte Cookie-Banner (Cookie-Consent-Tool) benannt, dass die überwiegende Anzahl der Webnutzer schlicht und ergreifend nervt.
Fazit: Wir brauchen starke Regelungen zum Datenschutz. In den nächsten Jahren wird sich auf der Grundlage der DSGVO auch eine klare Rechtsprechung zu den überwiegenden Themen herausgebildet haben, sodass eine klare Handhabung der datenschutzrechtlichen Themen besteht.
Was sollten Nutzer, denen Datenschutz wichtig ist, bei der Auswahl und Nutzung von Social-Media-Netzwerken berücksichtigen?
Trotz der Regelungen der DSGVO räumen Nutzer, die die gängigen Social-Media-Anbieter nutzen, den Betreibern im Rahmen der Nutzungsbedingungen weitgehende Rechte in Verbindung mit den bekanntgegebenen personenbezogenen Daten ein. Im Rahmen der Nutzung dieser Dienste sollten die Nutzer daher sehr sparsam mit ihren personenbezogenen Daten umgehen und nicht mehr Daten als tatsächlich notwendig bekanntgeben.
