Erneut ein großer Datenskandal, der alle aufhorchen lässt: Seit jeher sehen Datenschützer Dienste wie Facebook kritisch, doch nunmehr ist ein Szenario eingetreten, vor dem viele immer gewarnt haben. Millionenfach sind Datensätze zu Facebook-Nutzern ausgewertet worden, ohne, dass diese Nutzer nur ansatzweise wussten, was mit ihren Daten geschieht. Der Datenschutz blieb auf der Strecke.
Was war geschehen?
Mittels einer Dritt-App „thisisyourdigitallife“ wurden – wohl zunächst zulässigerweise, denn die teilnehmenden Facebook-Nutzer stimmten hierbei der Verwendung ihrer Daten zu wissenschaftlichen Zwecken zu – von den Nutzern personenbezogene Daten wie Wohnort, Likes etc. gesammelt.
Doch hier hörte die App nicht auf und ging einen Schritt weiter: Darüber hinaus wurden nämlich auch Daten von Facebook-Freunden der App-Nutzer gesammelt, wozu diese Facebook-Freunde wohl weder eingewilligt haben dürften, noch darüber informiert wurden.
Der Eklat: Die gesammelten Daten wurden dann an Cambridge Analytica verkauft. Das heißt aus datenschutzrechtlicher Sicht: Hier wurden alle Daten zusätzlich für einen anderen Zweck verarbeitet, was folglich nicht von der Einwilligung der ursprünglichen App-Nutzer gedeckt und in Bezug auf diese damit unzulässig war, und im Hinblick auf die Daten von deren Facebook-Freunden wohl erst recht. Soweit aus den Quellen zu diesem Thema ersichtlich, erfolgte die Verarbeitung bzw. Übermittlung insbesondere wohl nicht anonymisiert.
Das (deutsche) Datenschutzrecht schützt den Einzelnen vor der unbefugten Verarbeitung seiner personenbezogenen Daten. Eine Verarbeitung ist immer nur dann zulässig, wenn entweder der Betroffene konkret eingewilligt hat (wobei die Einwilligung transparent und deutlich sein muss und nur für den konkret definierten Zweck gilt) oder wenn ein gesetzlicher Tatbestand die Verarbeitung erlaubt.
Der Verkauf an Cambridge Analytica stellt nach deutschem Recht jedenfalls einen Verstoß dar gegen §§ 4 Abs. 1, 4a BDSG im Hinblick auf die Daten der App-Nutzer. Und für die übrigen Daten der Facebook-Freunde ist davon auszugehen, dass diese Daten nicht allesamt öffentlich gestellt waren, sondern nur innerhalb des Freundes-Netzwerks angezeigt wurden. Es handelte sich damit insoweit gerade nicht um Daten aus öffentlich zugänglichen Quellen, sondern um unter Umständen durchaus vertrauliche Daten. Insoweit wäre wohl kein Erlaubnistatbestand (z.B. § 30a BDSG) einschlägig und damit die weitere Verarbeitung ebenfalls unrechtmäßig.
Social Media Analysen sind also immer rechtswidrig?
Dabei können durchaus Social Media Analysen durchaus konform mit dem Datenschutzrecht durchgeführt werden. Erforderlich ist aber, dass nicht blindlings Daten gesammelt werden, sondern zunächst überhaupt einmal ein Konzept geschaffen wird, um etwaige Gefahren für Betroffene zu prüfen und diese zu minimieren. Hält man sich an die (wenn auch durchaus strengen) Vorgaben des Datenschutzrechts, insbesondere an das Gebot frühzeitiger Anonymisierung, wenn die Daten zu wissenschaftlichen oder Marktforschungszwecken verwendet werden sollen, dann können Analysen zulässig und damit legal durchgeführt werden.
Datenschutz – Unternehmen müssen aktiv werden!
Ist die Datenverarbeitung zulässig, endet der Datenschutz dennoch an dieser Stelle nicht. Insbesondere die ab 25. Mai 2018 geltende EU-Datenschutzgrundverordnung (DSGVO) verlangt, dass bei allen Verarbeitungen personenbezogener Daten sich die Unternehmen stets ihrer Verantwortung gegenüber den Betroffenen bewusst sind, die eingesetzten Verfahren sauber dokumentieren und Betroffenenrechte so gut wie möglich wahren.
Hierzu zählt insbesondere, dass bei Verfahren zur Datenverarbeitung, die (z.B. auf Grund der Brisanz der Daten oder gar schlicht auf Grund der Menge von Daten) besondere Gefahren für die Betroffenen bedeuten können, eine Vorabkontrolle (sog. Datenschutz-Folgenabschätzung) durchgeführt und dokumentiert wird.
Ebenso sind angemessene technisch-organisatorische Maßnahmen (TOM) für den Datenschutz zu treffen. Dies umfasst zahlreiche Maßnahmen, angefangen von solchen der Zutritts- und Zugangskontrolle (z.B.: Wer kann an Datenverarbeitungsanlagen des Unternehmens gelangen) bis hin zu Maßnahmen der Zugriffs- und Eingabekontrolle (z.B.: Wer darf die DV-Anlagen benutzen und wird protokolliert, wer etwas ändert, löscht usw.) oder etwa der Löschungskontrolle (z.B.: Werden personenbezogene Daten, nachdem der Zweck ihrer Verarbeitung weggefallen ist, auch sauber gelöscht).
Der Datenschutzbeauftragte unterstützt!
Um diese – teilweise durchaus komplexen – Anforderungen zu wahren, hat der Gesetzgeber den Datenschutzbeauftragten vorgesehen. Dieser stellt eine interne Beratungs- und Kontrollinstanz dar, die auf die Einhaltung des Datenschutzes hinwirkt. Der Gesetzgeber setzt insoweit auf das Prinzip der Selbstregulierung. Unternehmen müssen einen Datenschutzbeauftragten bestellen, sowohl wenn das Unternehmen etwa zehn oder mehr Mitarbeiter mit der automatisierten Datenverarbeitung betraut (hierzu zählt etwa das Arbeiten mit Mailprogrammen, Textverarbeitung, Tablets..), als auch unabhängig von der Mitarbeiterzahl, wenn z.B. regelmäßig sensible Daten verarbeitet werden oder die eingesetzten Datenverarbeitungen besondere Gefahren für die Betroffenen bedeuten können. Der Datenschutzbeauftragte kann intern oder extern bestellt werden und untersteht unmittelbar der Geschäftsleistung und berät diese bei allen Maßnahmen zum Datenschutz und unterstützt bei deren Umsetzung.
Fazit
Der Gesetzgeber hat die Bedeutung und Tragweite des Datenschutzes erkannt und dies auch damit bekräftigt, dass mit Inkrafttreten der DSGVO nicht nur erhöhte Anforderungen an durchzuführende Maßnahmen, Nachweispflichten und Dokumentationen gelten, sondern die Datenschutzaufsichtsbehörden zudem erweiterte Befugnisse erhalten und zu verhängende Bußgelder nunmehr bis in den Millionenbereich reichen können. Datenschutz sollte daher, spätestens jetzt, Chefsache sein und von den Unternehmen sehr ernst genommen und umgesetzt werden.