Von wegen Sommerferien: So viele weitreichende Datenschutz-Gerichtsurteile wie lange nicht

Wie prophezeite Amazon-Gründer Jeff Bezos neulich? Auch Amazon wird einmal pleite gehen. Bezos meint, dass es in der Natur von Unternehmen liege, dass sie selten 100 Jahre plus existierten, sondern eher „30 plus“. Die Lebensphasen eines Unternehmens unterteilt er in „Day One“ im Sinne von „Nutze den Tag“ und „Day Two“ im Sinne von Stagnation, gefolgt von Irrelevanz und schließlich einem „quälend schmerzvollem Niedergang“.

Während bei Amazon objektiv noch keine Anzeichen des Niedergangs zu erkennen sind – vielleicht werden diese aber auch nur durch die pandemiebedingten Rekordumsätze verschleiert – könnte man sich bei Facebook hingegen schon eher fragen, in welcher Phase das soziale Netzwerk gerade steckt, also ob der „quälend schmerzvolle Niedergang“ hier nicht schon eingesetzt hat. Denn sowohl der BGH als auch der EuGH haben den Datenriesen wieder einmal in die Schranken gewiesen.

Ende Juni urteilte der Bundesgerichtshof, dass Facebook Nutzerdaten, die bei WhatsApp, Instagram oder über dritte Quellen gesammelt werden, nicht ohne ausdrückliche Zustimmung der Nutzer im Facebook-Profil verarbeiten darf. „Facebook muss den Nutzern die Möglichkeit geben, weniger von sich preiszugeben“, so der BGH. Aktuell gibt es keine Alternative: Entweder man ist mit der „personalisierten“ Oberfläche auf der Plattform einverstanden, die eben mithilfe der erweiterten Datensammlung hergestellt wird, oder man löscht seinen Account. Ersatzweise müsste Facebook aber auch eine wenig bis gar nicht personalisierte Nutzung ermöglichen, die nur die Daten nutzt, die auf Facebook selbst gesammelt werden. Das folge aus der besonderen Verantwortung eines marktbeherrschenden Unternehmens, so der BGH.

Damit werden Datenschutz und Kartellrecht auf interessante Weise miteinander verknüpft. Angestrengt wurde der Prozess auch vom Bundeskartellamt, das Facebook Anfang 2019 aufgefordert hatte, jeweils zusätzliche freiwillige Einwilligungen der Nutzer für die netzwerkübergreifende Datennutzung einzuholen. Bisher ist die Zusammenführung allein aufgrund der Nutzungsbedingungen möglich, denen Facebook-Nutzer zustimmen müssen. Das Kartellamt hatte moniert, dass Facebook sich gegenüber seinen Wettbewerbern mit den Dritt-Daten „einen deutlichen Vorteil bei der Optimierung des News Feed-Algorithmus und somit bei der Entwicklung und Verbesserung ihres Produkts“ verschaffe – kurzum also seine Marktmacht missbrauche. Deswegen war die Behörde aus kartellrechtlicher Perspektive dagegen vorgegangen. Das Urteil schafft wohl einen Präzedenzfall im Daten-Zeitalter, wie die großen Tech-Firmen zumindest in Europa mit Nutzerdaten umzugehen haben.

Mitte Juli folgte dann der nächste Teilerfolg im schon länger schwelenden David-gegen-Goliath-Konflikt Max Schrems vs. Facebook – oder weiter gefasst gegen sämtlichen Datenaustausch mit den USA. Der Europäische Gerichtshof (EuGH) kam nämlich zu dem Schluss, dass das Datenschutzniveau in den USA nicht gleichwertig gegenüber dem in der Europäischen Union ist. Daher erklärte das Gericht eine Entscheidung der EU-Kommission über die Übermittlung persönlicher Daten von Europäer*innen in die USA, bekannt als „Privacy Shield“, für unrechtmäßig. Denn das US-Recht schütze nur US-Bürger vor massenhafter Überwachung und Vorratsdatenspeicherung. Trotz NSA-Skandal und der Enthüllungen Edward Snowdens ist das Ausspionieren von Ausländern immer noch und sogar ohne richterlichen Beschluss möglich – ohne dass man sich dagegen juristisch wehren kann.

Unternehmen dürfen nun nicht mehr personenbezogene Daten im Hintergrund über den Atlantik transferieren, nur weil es für sie einfacher ist. Stattdessen müssen z.B. DSGVO-gerechte Rechenzentren in Europa gebaut werden – oder Standardvertragsklauseln abgeschlossen werden. Auch mit denen hat sich der EuGH beschäftigt, vor allem weil Facebook schon länger auf diese anstatt auf „Privacy Shield“ setzt. Das höchste Gericht urteilte nun, dass die Standardvertragsklauseln grundsätzlich weiterhin gelten dürfen – solange sie vertraglich festgeschriebene Datenschutz-Garantien einhalten. Ob sie das tun, müssen in der Praxis die zuständigen europäischen Datenschutzbehörden überprüfen.

Facebook hat seinen EU-Sitz in Irland, deshalb ist die irische Datenschutzbehörde federführend für die Kontrolle zuständig. Und das ist genau das Problem, denn die irische Wirtschaft basiert darauf, US-Konzerne mit wenig Steuern und minimaler Regulierung anzulocken. Das bringt dem Land Geld und motiviert irische Datenschützer gleichzeitig sicherlich nicht besonders, hart durchzugreifen. Dass das dennoch ihre Verantwortung ist, daran erinnerte nun der EuGH – und rügte die irische Datenschutzbehörde dafür, die Standardvertragsklauseln von Facebook nicht ausreichend zu prüfen. Die Behörde müsse aktiv werden, wenn durch den Transfer in die USA dort der Datenschutz der Nutzenden ernsthaft in Frage steht – sie trage hier eine Mitverantwortung.

Was bedeutet das Urteil? Max Schrems zeigte sich glücklich und zufrieden „Es ist klar, dass die USA ihre Überwachungsgesetze ernsthaft ändern müssen, wenn US-Unternehmen weiterhin eine Rolle auf dem EU-Markt spielen wollen.“ Ausländer und US-Bürger müssten in den Überwachungs(schutz)gesetzen gleichgestellt werden. Wie realistisch das ist, bleibt dahingestellt. Andererseits muss Europa aber auch aufpassen, nicht einfach von den USA wegen zu hoher Hürden vom globalen Markt als „Sonderling“ abgetan und ausgeschlossen zu werden – und sollte langsam ernsthaft Alternativ-Dienste zu den US-Firmen aufbauen. Erfreulicherweise ist für Ende des Jahres ein europäisches Plattformgesetz geplant, damit europäische Daten in Europa bleiben und einheitlich der DSGVO unterliegen. So oder so, müssen die EU und die USA ein neues Abkommen schließen. Und der irischen Datenschutzbehörde muss wohl mehr auf die Finger geschaut werden, da sie ja im Namen der gesamten EU entscheidet.

Der Europäische Datenschutzausschuss hat inzwischen auch die wichtigsten FAQ zum Urteil zusammengestellt und beantwortet. So stellt er z.B. klar, dass es keine „Gnadenfrist“ für Datenverarbeitungen auf der Grundlage von „Privacy Shield“ geben wird. Die Umstellung muss ohne Verzögerung begonnen werden. Der Bundesdatenschutzbeauftragte Kelber sagt außerdem: „Standardvertragsklauseln sind weiterhin eine mögliche Grundlage für den Datentransfer. Eine Übermittlung von Daten in die USA kann allerdings nur dann über Standardvertragsklauseln begründet werden, wenn zusätzliche Maßnahmen getroffen werden, die das gleiche Datenschutzniveau wie in der Europäischen Union gewährleisten.“

Und schon kommen wir zum nächsten Gerichtsurteil: Solange die EU-Urheberrechts-Richtlinie nicht EU-weit in nationales Recht umgesetzt wurde (die Frist läuft erst im Juni 2021 aus), müssen Betreiber von Online-Plattformen wie YouTube oder „Uploaded“ wohl nicht unmittelbar haften, wenn auf ihren Seiten Urheberrechte verletzt werden. Stattdessen sind nach der noch gültigen Gesetzeslage die hochladenden Nutzer zu belangen. Allerdings können die Urheber von den Plattformen verlangen, die illegal hochgeladenen Inhalte zu löschen. Dieser Auffassung ist der zuständige Gutachter, dem der EuGH in seinem Urteil gewöhnlich folgt. Außerdem müssen die Plattformen in so einem Fall nur die Postanschrift des Uploaders (aber nicht E-Mail-Adresse, Telefonnummer, IP-Adresse etc.) herausgeben. Das hat der EuGH in einem weiteren Fall entschieden.

Achtung bei der Nutzung von VPNs: Mehrere Anbieter, die alle mit einem Hongkonger IT-Unternehmen kooperieren, haben unbeabsichtigt die Daten von rund 20 Millionen VPN-Nutzern ins Internet gestellt. Das umfasst Browserverläufe, Klarnamen, Adressen, Zahlungsdaten und sogar Passwörter. Brisant: Einige Anbieter hatten explizit damit geworben, die nun publik gewordenen Daten (z.B. Browserverläufe) gar nicht erst zu erfassen. Inzwischen sind die betroffenen Datenbanken gesichert. Jedoch ist nicht bekannt, wer alles Zugriff auf die sensiblen Daten hatte.

Ein Leck ganz anderer Art gibt es indes beim Bundeskriminalamt. Das liest trotz „Ende-zu-Ende-Verschlüsselung“ offenbar schon seit Jahren bei WhatsApp mit. Und zwar ganz ohne den berüchtigten „Staatstrojaner“. Die Ermittler nutzen einfach die Browser-Funktion „WhatsApp Web“: Wenn sie kurzzeitig auf das Handy der Zielperson zugreifen können, synchronisieren sie Smartphone und Computer. Und schon können die Ermittler unbemerkt in Echtzeit mitlesen und auf die Kontakte einer Zielperson zugreifen. Publik wurde diese simple, aber effiziente Methode jetzt im Rahmen der Ermittlungen zum Umfeld des Attentäters vom Weihnachtsmarkt am Berliner Breitscheidplatz 2016. Nach Auffassung des BKA handelt es sich bei dieser Methode um eine Überwachung gemäß Paragraf 100a Strafprozessordnung – also der regulären Telekommunikationsüberwachung mit richterlicher Anordnung. Obwohl dabei auch umfassend Chatverläufe mitgelesen werden können, sei dies keine Überwachung im eigentlichen Sinne und daher legal, argumentiert das BKA.

Gleichzeitig befand das Bundesverfassungsgericht das Gesetz, das deutschen Sicherheitsbehörden Auskunft über den Inhaber eines Telefonanschlusses oder einer IP-Adresse erlaubt, für verfassungswidrig, da die manuelle Bestandsdatenauskunft das Recht auf informationelle Selbstbestimmung und das Telekommunikationsgeheimnis unverhältnismäßig missachten. Auch der stellvertretende Bundesdatenschutzbeauftragte kritisierte, dass nicht jede Ordnungswidrigkeit umgehend zu einer Abfrage bei den Telekommunikationsanbietern führen dürfe.

Einen ähnlichen laxen Umgang in Sachen Datenschutz beweist die Polizei derzeit offenbar bundesweit mit den Gästelisten in Restaurants zur Nachverfolgung von Covid-19-Infektionsketten: Der rheinland-pfälzische Datenschutzbeauftragte Dieter Kugelmann moniert, dass die Polizei offenbar vielerorts die Listen als willkommene Quelle nutzt, um Zeugen von Ordnungswidrigkeiten, kleinen Sachbeschädigungen oder Falschparken ausfindig zu machen. Nur bei Ermittlungen zu schweren Straftaten wie Mord oder Totschlag sieht Kugelmann eine Verhältnismäßigkeit gegeben – und auch dann nur mit richterlichem Beschluss. Nur so sichern sich Wirte gegen eventuelle Klagen von Kunden wegen unbefugter Datenweitergabe ab. Denn wenn man seine Daten zur Kontaktnachverfolgung von Corona-Infektionen hinterlässt, dann aber plötzlich einen Anruf von der Polizei bekommt, stärkt das wohl nicht gerade die Bereitschaft, korrekte Angaben aufzuschreiben.