Seit dem Skandal um Facebook und Cambrigde Analytica wird das Thema Datenschutz in Social Media Netzwerken intensiv diskutiert. Was waren die Folgen für die Digitalbranche?
Datenschutz wird nicht erst seit dem Bekanntwerden der Facebook-Daten durch Cambridge Analytica im Jahre 2018 diskutiert. Das BDSG (Bundesdatenschutzgesetz) stammt von 1977 und das Volkszählungsurteil von 1983. Mein Eindruck ist eher, dass über Datenschutz von Jahr zu Jahr mehr geredet wird, das Bewusstsein für datenschutzkonformes Verhalten in der breiten Masse jedoch eher abgenommen hat. Für globale Datenhändler wie Facebook dürfte das Inkrafttreten der DSGVO in der Europäischen Union im Jahre 2018 einschneidender gewesen sein, als die Diskussion um einen Medien-gehypten Wahlkampfskandal in den USA. Das war letztlich nur ein Unterkapitel in der größeren Story „Trump Sells“.
Haben Sie die Diskussion des Facebook-Skandals ebenfalls in Ihrer täglichen Arbeit zu spüren bekommen?
Ja, immer wenn Behörden und Unternehmen einen Grund für Nichtstun benötigen, wird der „Datenschutz“ vorgeschoben. Früher waren es die „Haftungsgründe“.
Aber im Ernst: Seit 2017 drehte sich in Sachen Datenschutz alles um die 2018 in Kraft tretende DSGVO (Datenschutzgrundverordnung). Folglich war die Diskussion über den Datenschutz bereits in vollem Gange und der Inhalt der DSGVO beschlossen, bevor der US-Wahlkampf die deutsche und europäische Öffentlichkeit erreichte. Nicht ein einziger Mandant hat mich jemals auf den Facebook-Skandal angesprochen, aber viele auf die korrekte Umsetzung der DSGVO.
Sind alle Digitalunternehmen im Umgang mit Daten so sorglos wie Facebook oder ist das eher ein Silicon Valley Problem?
Ich glaube nicht, dass diese Unternehmen „sorglos“ im Umgang mit Daten in dem Sinne sind, dass sie sich darüber keine Gedanken machen. Sie machen sich im Gegenteil sehr viele Gedanken zum Thema. Unternehmen wie Facebook oder Google, die vom Datenverkauf leben, reizen ganz bewusst das rechtliche Machbare aus. Sie machen um das Geschäftsmodell nicht einmal ein Geheimnis. Jeder selbständige in Deutschland hat wahrscheinlich schon einmal Google AdWord-Anzeigen geschaltet und weiß, dass dort die Zielgruppe sehr kleinteilig eingekreist werden kann. Das geht natürlich nur durch die Analyse der Nutzer. Ich vermute, auch Ihr Online-Magazin finanziert sich zum Teil über Google AdSense-Anzeigen. Auch diese Anzeigen werden content- und nutzerbezogen ausgeliefert.
Dieselben Unternehmen bieten gegen Bezahlung auch datenschutzkonforme Lösungen auf höchstem Niveau an, die von großen Unternehmen in Deutschland genutzt werden. So nutzt Globalfundriese, der Betreiber der gleichnamigen Chipfabrik in Dresden, für die Unternehmensorganisation Google Workspace. Das ist Google Drive in der Business-Variante. Die Deutsche Bahn nutzt die Amazon Web Services (AWS).
Letztlich entscheidet der Kunde, ob er mit Geld oder mit seinen Daten bezahlt.
Seit letztem Jahr gilt die neue Datenschutzgrundverordnung. Was waren die Auswirkungen?
Ich muss korrigieren: Die DSGVO gilt bereits seit Mai 2018. Vor- und nach Inkrafttreten hat es einen großen Hype um die DSGVO gegeben. Denn aus Furcht vor hohen Bußgeldern oder Abmahnungen bestand ein großer Beratungsbedarf. Für andere EU-Mitgliedsstaaten war das ein bedeutender Meilenstein in Sachen Datenschutz. Für Deutschland hat sich dagegen gegenüber dem alten BDSG wenig verändert. Das Schutzniveau hat sich sogar eher verringert. So greift die Pflicht zur Benennung eines betrieblichen Datenschutzbeauftragten heute erst ab 20 Mitarbeitern. Das BDSG in der Fassung von 2003 verpflichtete hierzu bereits ab 4 Mitarbeitern, was allerdings bereits vor Inkrafttreten der DSGVO aufgeweicht wurde. Auch die Auskunftspflichten sind nach DSGVO eingeschränkter als nach dem alten BDSG.
Tatsächlich geändert haben sich die Höhe der Bußgelder, die von Datenschutzbehörden verhängt werden können. Diese sind drastisch gestiegen.
International tätige Unternehmen mit Sitz außerhalb der EU können heute einfacher und, fast noch wichtiger, drastischer bei Verstößen bestraft werden.
Die neuen Regeln haben im Vorfeld für viel Aufregung gesorgt. Wie beurteilen Sie die DSGVO retroperspektiv?
Es wird alles nicht so heiß gegessen, wie es gekocht wird. Das Bewusstsein für datenschutzkonforme Abläufe ist ohne Zweifel gestiegen. Aber die meisten Pflichten bestanden bereits vorher. Nur was das Vielen gar nicht bekannt.
Da die Datenschutzbehörden noch immer mit sehr geringen Ressourcen ausgestattet sind, ist das Risiko, bei Datenschutzverstößen belangt zu werden, noch immer sehr gering. Durch das gesteigerte Bewusstsein für Pflichten im Umgang mit dem Datenschutz haben wohl fast alle Behörden und Unternehmen mittlerweile interne Richtlinien, wie mit personenbezogenen Daten umgegangen wird. Die Pflicht zu Erstellung eines datenschutzrechtlichen Verfahrensverzeichnisses galt jedoch bereits nach dem BDSG seit 2003 und ist keine neue Pflicht der DSGVO.
Es gibt auch nutzlose und zugleich nervige Entwicklungen wegen der DSGVO: Das sind die Cookie-Hinweise auf jeder Webseite, die sich ohnehin niemand durchliest und das Datenschutzniveau wohl kaum erhöhen dürften.
Was sollten Nutzer, denen Datenschutz wichtig ist, bei der Auswahl und Nutzung von Social-Media-Netzwerken berücksichtigen?
Keine privaten Dinge und Fotos an die Öffentlichkeit posten. Solche Dinge sollten nur mit Freunden und Bekannten geteilt werden. Wenn ich mit der Preisgabe privater Dinge, hierzu gehören auch politische Meinungen, in die Öffentlichkeit gehe, muss ich damit rechnen, dass sich andere damit auseinandersetzen und eine andere Meinung zum Thema haben. Wer das nicht aushalten kann, sollte anderen seine Meinung nicht ungefragt aufdrängen.
Bei der Nutzung von WhatsApp, Telegramm oder Signal ist eine datenschutzkonforme Nutzung nur möglich, wenn das Adressbuch des Smartphones nicht freigegeben wird. Selbst WhatsApp kann inzwischen ohne Freigabe des Adressbuchs genutzt werden. Dazu müssen die zukünftigen Chatpartner ihre Barcodes unter „Kontakt wählen“ gegenseitig abfotografieren. Es ergibt keinen Sinn, WhatsApp gegen Signal zu tauschen, um dann doch wieder das Adressbuch freizugeben.
Auch sollte der Grundsatz „follow the money“ bei der Auswahl von Diensten beachtet werden. „WhatsApp“ finanziert sich durch die Nutzung der Metadaten für Werbezwecke. „Signal“ finanziert sich aus Spenden, wobei die Spender weitestgehend unbekannt sind. Bei „Threema“ muss der Nutzer aktuell 3,99 Euro bezahlen. Bei „Telegram“ ist die Finanzierung weitestgehend unbekannt. Das ursprünglich aus Russland kommende Unternehmen sitzt heute nach eigenen Angaben in Dubai, hält aber kein rechtskonformes Impressum vor.
