Kommentar: Facebook - Sind die Datenschützer verrückt geworden?

Seit Schleswig-Holsteins Datenschützer die Entfernung von "Gefällt mir"-Buttons von Webseiten und die Schließung von Facebook Fanpages fordern, herrscht Unmut bei den Betroffenen. Die Staatskanzlei lehnt die Schließung ihrer Fanpage rundheraus ab, der deutsche Innenminister sträubt sich ebenfalls und will eine "Selbstverpflichtung" erreichen. Was ist da los? Sind die Datenschützer verrückt geworden?

Ihren Ausgang nahm die Angelegenheit im heurigen August, als Schleswig-Holsteins Datenschützer Thilo Weichert alle Webseitenbetreiber des Landes aufforderte, umgehend die Weitergabe von Daten über ihre Nutzenden an Facebook in den USA einzustellen, sämtliche Social-Plugins wie z.B. den "Gefällt mir"-Button zu entfernen und ihre Fanpages auf Facebook zu schließen.

Eine Welle der Empörung war die Folge. Die Staatskanzlei Schleswig-Holsteins lehnt die Schließung ihrer Fanpage nach wie vor rundheraus ab und teilt statt dessen den Besuchern ihrer Fanpage in einem Warnhinweis mit, dass man nicht wisse, welche Daten Facebook verarbeite, die Aktionen der Nutzer aber -­ "vermutlich" - lückenlos aufgezeichnet würden.

Der deutsche Innenminister Hans-Peter Friedrich (CSU) wiederum traf sich mit einem Facbook-Vertreter und erklärte den Konflikt kurzerhand für "enschärft". Hintergrund dieser Aussage war die Zusage des Facebook-Lobbyisten Richard Allen, dass Facebook an einer Selbstverpflichtungs-Initiative des Ministers mitarbeiten werde. Empörte Reaktionen der Datenschützer waren die Folge.

Ganz ähnlich fallen die Reaktionen der Nutzer aus. Datenschutzwahn und das Ende des Social Web werden attestiert, während zugleich die Zivilcourage der Protagonisten von "Europe vs. Facebook" euphorisch gelobt wird, die eine datenschutzrechtliche Überprüfung der europäischen Niederlassung des Unternehmens erwirkt haben.

Lässt man die Aufregung und Empörung einmal beiseite zeigt sich jedoch ein relativ klares Bild der Angelegenheit. Auf Basis einer schlüssig dokumentierten und öffentlich für jedermann bereitgestellten technischen Analyse (PDF) kam das Unabhängige Landeszentrum für Datenschutz in Schleswig-Holstein zu dem Ergebnis, dass die durch "Gefällt mir"-Buttons und Fanpages ausgelöste Übermittlung von Verkehrs- und Inhaltsdaten an die USA und die auf Basis dieser Daten durchgeführten Analysen der Nutzung von Websites (Reichweitenanalyse) gegen das Telemediengesetz (TMG) sowie gegen das Deutsche Bundesdatenschutzgesetz (BDSG) und das Landesdatenschutzgesetz Schleswig-Holstein (LDSG SH) verstoßen.

Darüber hinaus hat eine technische Analyse des Hamburgischen Datenschutzbeauftragten ergeben, dass Facebook Nutzer durchs Netz verfolgt werden, auch wenn sie keinen Account besitzen, und "dass die Angaben von Facebook über den Zweck dieser Cookies im Wesentlichen nicht zutreffen" (HmbBfDI).
Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder stellte dazu in ihrer Entschließung vom 28./29. September 2011 (PDF) unmissverständlich klar, "dass die direkte Einbindung von Social-Plugins beispielsweise von Facebook, Google+, Twitter und anderen Plattformbetreibern in die Webseiten deutscher Anbieter ohne hinreichende Information der Internet-Nutzenden und ohne Einräumung eines Wahlrechtes nicht mit deutschen und europäischen Datenschutzstandards in Einklang steht."

Die Datenschutzbehörden stellten - prägnant zusammengefasst - also gemeinschaftlich offiziell fest, was ohnehin bereits jeder wusste: Facebook und andere Anbieter sozialer Netzwerke halten sich nicht an europäische Datenschutzbestimmungen.

Jeder hat es schon lange gewusst. Wieso dann also die Aufregung?
Ganz einfach: Die Datenschutzbehörden haben begonnen etwas zu tun, was man in dieser Klarheit und Öffentlichkeit nur äußerst selten von ihnen erlebt. Sie versuchen bestehendes Datenschutzrecht durchzusetzen.

Damit sind wir nun endlich beim Kern der Angelegenheit angekommen.
Die Datenschützer haben uns ertappt. Es ist hinlänglich bekannt, dass Datenschutz und Facebook gegensätzliche Begriffe sind. Dennoch wird Facebook von Millionen Europäern täglich genutzt. Weil es in gewissem Maße praktisch ist, und alle anderen auch dort sind (der Nutzen sozialer Netze wächst mit der Anzahl der Nutzer). Auch wir bei unwatched waren davor nicht gefeit, der Facebook-Button auf unserer Seite dokumentiert dies - und unsere Reaktion auf die aktuelle Diskussion.

Die Datenschützer nehmen uns unser Spielzeug weg. Ziel der Beanstandungen der Datenschützer ist nämlich nicht Facebook direkt - das aufgrund seiner Standortentscheidungen in Deutschland nur schwer rechtlich greifbar ist - sondern die Betreiber der Webseiten, die Social Plugins in ihre Webseiten einbinden und Fanpages auf Facebook betreiben. Ist das ungerecht? Nein, ist es nicht. Denn genau diese Webseiten-Betreiber (also wir alle) sind es, die diese unzulässigen Datenübertragungen an Facebook erst auslösen und ermöglichen.

Darüber hinaus treffen die Datenschützer mit ihren Beanstandungen - indirekt - aber natürlich auch Facebook. Für das Unternehmen ist es selbstverständlich ein Problem, wenn es über kurz oder lang ganz Deutschland oder gar die Europäische Union als Markt verliert.

Hätte man das nicht auch anders regeln können?
Natürlich. Facebook hätte zum Beispiel auf die von den Datenschutz-Aufsichtsbehörden bereits 2008 und 2010 formulierten Anforderungen an die datenschutzkonforme Gestaltung sozialer Netzwerke eingehen und entsprechende Änderungen vornehmen können. Darüber hinaus hätte das Unternehmen die berechtigten Forderungen seiner Nutzer nach mehr Datenschutz beherzigen und sich konform zu europäischem Datenschutzrecht verhalten können. Stattdessen hat man es aber vorgezogen, die Mär vom Ende der Privatsphäre zu propagieren.

In diesem Punkt ist Facebook aber lediglich ein Beispiel von vielen. Beispiele für Datenschutzverstöße gibt es leider zuhauf und ernsthafte Versuche diese abzustellen sind selten.

Doch genau hier gilt es anzusetzen. Der Datenschutz in der Europäischen Union ruht auf soliden rechtlichen Grundpfeilern. Die Durchsetzung dieses Datenschutzrechts ist jedoch so gut wie in jedem Mitgliedsstaat beklagenswert und auch die Europäische Kommission kommt ihrer Verpflichtung zur Durchsetzung der Datenschutzrichtlinie nur äußerst ungenügend nach. Anders sind die Datenschutz-Mängel in den Mitgliedsstaaten nicht zu erklären.

Die grundsätzliche Frage, die sich aktuell am Beispiel Facebook manifestiert, ist jedoch nicht, ob wir Social Media ODER Datenschutz wollen. Sondern vielmehr, wie wir Social Media UND Datenschutz bekommen können. Die Grundlagen dafür sind - übrigens oftmals durch die Datenschützer und nicht die Wirtschaft - längst gelegt. Eingebauter Datenschutz (Privacy by Design) und datenschutzfreundliche Grundeinstellungen können beispielsweise einen wichtigen Beitrag dazu leisten.

Es ist an der Zeit für die europäische IT-Branche, Datenschutz als Innovationsfaktor und Alleinstellungsmerkmal anstatt als lästige - und zu vernachlässigende Pflicht - zu begreifen. Wie Studien mittlerweile regelmäßig belegen, gibt es in der Bevölkerung ein großes Bedürfnis nach Datenschutz - allerdings natürlich unter Beibehaltung des Komforts und des Nutzens der jeweiligen Systeme. Wie man das in der Praxis macht, lässt sich lernen.

Im aktuellen Beispiel Datenschützer vs. Facebook ist es jetzt an uns - der Öffentlichkeit - Farbe zu bekennen. Wollen wir uns mit halbherzigen Selbstverpflichtungs-Erklärungen mächtiger Konzerne, die rechtlich nicht durchgesetzt werden können, zufrieden geben, oder wollen wir, dass der rechtsverbindliche Charakter unsere Grundrechte gewahrt bleibt und die dafür zuständigen Institutionen ihre Aufgaben seriös wahrnehmen?

Im ersteren Fall kann uns die Weigerung der schleswig-holsteinschen Staatskanzlei nur Recht und Minister Friedrichs Selbstregulierungs-Initiative nur billig sein und wir sollten uns lauthals den Skandal-Rufern anschließen.

Im zweiten Fall jedoch müssen wir uns klar dafür aussprechen, dass die zuständigen Datenschutzbehörden in Ruhe und mit der gebotenen Sorgfalt ihrer Arbeit nachgehen können. Von öffentlichen wie privaten Stellen darf man zurecht erwarten, dass sie Datenschutz-Missstände umgehend beseitigen anstatt medienwirksam zu versuchen, das Thema als "entschärft" zu den Akten zu legen oder per Warnhinweis die eigene Unkenntnis der Sachlage zu dokumentieren.

Sogar der Präsident des deutschen Bundesverfassungsgerichts sah sich zu der Aussage veranlasst, dass die Nutzung von Facebook "eine risikogeneigte Tätigkeit" sei und dass das Bundesverfassungsgericht - ohne dem zuständigen Ersten Senat vorzugreifen - "in den nächsten Jahren gefordert sein wird, die Bedeutung und Reichweite der Grundrechte in einer Welt der digitalen Vernetzung neu zu bestimmen".

Es geschah aus gutem Grund, dass den Datenschützern die Unabhängigkeit von jeglichen behördlichen Einflüssen garantiert wurde. Es ist ihnen per Gesetz aufgetragen, unser Grundrecht auf Datenschutz und auf Schutz unserer Privatsphäre durchzusetzen. Das ist es, was sie jetzt tun. Und so soll das auch sein. Viel öfter bitte.

Verrückt geworden, sind diese Leute keineswegs.

Kurz-URL zu diesem Artikel: http://unurl.org/f17