calendar
« Mai123456789101112131415161718192021222324252627282930 Jul »

Urteil zu Facebook-Seiten: Weckruf für die digitale Gesellschaft

Dieser Text ist im Cache von metaowl.de - das Original ist hier zu finden.
Vor der Abhängigkeit von den großen Plattformen verschließen viele nur zu gern die Augen. Gemeinfrei-ähnlich freigegeben durch unsplash.com Sam Manns

Erst die Datenschutz-Grundverordnung (DSGVO) und jetzt auch noch der Gerichtshof der Europäischen Union (EuGH): Hat sich das Datenschutzrecht etwa komplett gegen Blogs und Webseiten verschworen? Nachdem Ende Mai bereits die DSGVO anwendbar wurde, hat Anfang Juni nun der EuGH entschieden, dass Betreiberinnen von Facebook-Seiten mitverantwortlich sind für das, was auf ihren Seiten mit den Daten ihrer Besucherinnen geschieht.

Diese zeitliche Abfolge ist durchaus bemerkenswert, schließlich hörte man nach dem Start der DSGVO vielerorts den Rat, aufgrund der (eher überschaubaren) rechtlichen Veränderungen das eigene Blog besser abzuschalten und stattdessen auf die Plattformen von Google, Facebook & Co umzuziehen, bis sich der Sturm gelegt hat. Mit dem Urteil des EuGH scheint aber auch dieser Zufluchtsort nunmehr dahin. „Niemand entkommt der DSGVO“, so könnte man dieser Tage fast meinen.

Zwar hat sich die Furcht kleiner Bloggerinnen und Webseitenbetreiberinnen, wegen kleinster DSGVO-Verstöße mit exorbitanten Bußgeldern oder hartem Durchgreifen der Aufsichtsbehörden rechnen zu müssen, als Resultat einer übertriebenen Drohkulisse entpuppt. Trotzdem dürfte das EuGH-Urteil der Stimmung gegenüber der DSGVO nicht gerade gedient haben, denn auf den ersten Blick hat es ja durchaus zu einem Mehr an Verantwortung und Pflichten bei Facebook-Seitenbetreiberinnen geführt. Facebooks Werbemaschinerie hingegen scheint währenddessen unbeeindruckt weiter zu rollen. Ist das Urteil also ein Pyrrhussieg für den Datenschutz? Ein Beispiel dafür, dass das Datenschutzrecht zu schwach ist, die Großen zu bändigen und stattdessen die Kleinen in die Pflicht nimmt?

Nein, es ist stattdessen ein notwendiger Weckruf. Es ist eine Gelegenheit, die Abhängigkeit von zentralen Plattformen zu beenden und eine Chance, digitale soziale Medien als Ort der freien Meinungsäußerung zu stärken. Damit das gelingt, müssen allerdings die richtigen Schlüsse aus dem Urteil gezogen werden. Wer jetzt lediglich Facebook ermahnt, möglichst schnell wieder einen formell rechtskonformen Betrieb zu ermöglichen oder einzig auf mehr Transparenz seitens Facebook pocht, verspielt hingegen die Chance, die der EuGH geschaffen hat.

Kommunikative Freiheit mit Nebeneffekten

Zu den größten Errungenschaften des Internets gehört neben dem Zugang zu Informationen aller Art ohne Zweifel auch die Ermächtigung der Nutzerinnen, selbst Inhalte zu veröffentlichen. Plattformen nach dem Baukastenprinzip schaffen in wenigen Minuten für jede Internetnutzerin eine digitale Bühne und haben zu einer unglaublich wertvollen Vielfalt der Meinungen und Ideen im Netz geführt.

Grundpfeiler dieser Vielfalt ist die niedrige Zugangsschwelle, die Self-Publishing-Plattformen bieten. Niemand ist mehr gezwungen, den Umgang mit HTML, PHP oder JavaScript zu lernen, um ansehnliche Blogs und Webseiten zu erschaffen. Dank WordPress, Squarespace, Facebook oder Google Blogger ist der eigene Webauftritt genauso schnell und einfach eingerichtet wie eine E-Mail-Adresse bei einem Webmailer; Reichweitenanalyse, Kommentarfunktion und Optimierung für Mobilgeräte inclusive. Für die Wartung der Server, die Bereitstellung der Infrastruktur und die Verarbeitung der Daten der Seitenbesucherinnen sind andere zuständig. Bloggerinnen, Seitenbetreiberinnen oder Marketingabteilungen können sich – ganz von dieser Organisationslast befreit – auf ihre Inhalte konzentrieren.

Mit der Freiheit von der Last der Verantwortung ging allerdings auch ein Kontrollverlust einher. Was auf den Blogs dieser Welt im Hintergrund geschieht, entscheiden längst nicht mehr die Bloggerinnen und Admins, sondern die Plattformen und die hinter ihnen stehenden Geschäftsmodelle. Verlangen Seitenbesucherinnen Auskunft darüber, welche Spuren sie beim Besuch des Blogs hinterlassen oder beschweren sie sich über die Reichweitenanalyse auf der unternehmenseigenen Facebook-Seite, bleibt in der Regel nur der schulterzuckende Verweis auf die Betreiber der Infrastruktur. Denn was dort genau mit den Daten geschieht, weiß niemand. Die Vielfalt des Jederfrau-Web hat also zugleich zu einem Kontrollverlust über das Medium Internet selbst geführt, das doch eigentlich zu mehr Freiheit und Unabhängigkeit führen sollte. Dieser faktischen Entmachtung haben die Gerichte lange Rechnung getragen: Mangels Kontrolle über die technischen Abläufe im Hintergrund wurde bisher auch jede datenschutzrechtliche Verantwortlichkeit abgelehnt.

Diesem faktischen Kontrollverlust hat der EuGH nun jedenfalls juristisch ein Ende gesetzt, indem er klarstellte, dass Betreiberinnen einer Facebook-Seite mitverantwortlich sind für die auf ihrer Seite stattfindende Datenverarbeitung. Er schnitt damit die Flucht in die selbstverursachte Verantwortungslosigkeit ab, zwingt aber gleichzeitig aber auch dazu, der eigenen Abhängigkeit ins Gesicht zu blicken.

Kopfzerbrechen über neue Fragezeichen

So eindeutig der EuGH allerdings in dieser Kernaussage ist, so sehr sorgen seine juristische Begründung und die weitergehenden Folgen des Urteils für Kopfzerbrechen. Es soll an dieser Stelle zwar keine ähnlich vertiefte juristische Analyse stattfinden, wie sie andernorts bereits zu finden ist. Trotzdem ist eine kurze Darstellung der Fragezeichen, die der EuGH trotz der im Grunde klaren Kernaussage hinterlassen hat, notwendig, um zu verstehen, welche digitalpolitischen Schlüsse aus dem Urteil zu ziehen sind.

Da wäre zunächst die Frage nach der Bedeutung der Insights-Funktion: Der EuGH stützt sich in seiner Begründung nämlich vorrangig darauf, dass Facebook als Plattformbetreiber den Seitenbetreiberinnen mit der Insights-Funktion einen Reichweitenanalysedienst mitliefert. Dieser Insights-Dienst erhebt – wie für Reichweitendienste üblich – Daten über das Verhalten von Nutzerinnen der Seite und stellt sie aggregiert zur Verfügung. Dazu erfasst Facebook das Surfverhalten der Nutzerinnen und zwar nicht nur auf der eigenen Facebook-Seite, sondern auch sonst im Netz. Das ermöglicht es, den Betreiberinnen der Seite sehr genaue statistische Informationen über Interessen, Vorlieben, Altersgruppe, Geschlecht, Bildungsstand, Beruf oder Beziehungsstatus ihrer Besucherinnen zu zeigen.

Die Frage, die sich dabei sofort stellt, ist natürlich, was passieren würde, wenn Facebook die Insights-Funktion wieder streicht oder jedenfalls abschaltbar macht? Würde das dazu führen, dass keine gemeinsame Verantwortlichkeit im Sinne des EuGH mehr vorliegt? Spielt es überhaupt eine Rolle, dass Facebook das Wissen über das Verhalten der Besucherinnen mit den Seiten-Betreiberinnen teilt? Und worin besteht der Unterschied zu einem Hostingservice, der Webspace für einen selbst gehosteten WordPress-Blog vermietet, das Wissen über den Traffic aber nicht teilt? Klassisch wird eine Webseitenbetreiberin jedenfalls für die Datenverarbeitung ihres Hosters (soweit es die eigene Webseite angeht) als verantwortlich angesehen und ist die gegenseitige symbiotische Abhängigkeit und Verantwortlichkeit bei Facebook-Seiten nicht die Gleiche – Reichweitenmessung hin oder her?

Verantwortlich heißt nicht gleich rechtswidrig

Als nächstes wäre da die Frage, ob der Betrieb einer Facebook-Seite denn jetzt rechtswidrig ist und man sie besser gleich abschaltet. Dazu ist ganz ausdrücklich klarzustellen, dass der EuGH einzig über die Verantwortlichkeit entschieden hat, nicht über die Frage, ob der Betrieb einer Facebook-Seite rechtswidrig ist. Ausgang des Verfahren war zwar eine Anordnung der Schleswig-Holsteinischen Datenschutzbehörde, die genau das annahm [PDF] und daher gegenüber mehreren Unternehmen und öffentlichen Stellen die Deaktivierung anordnete. Diese Anordnung, die ursprünglich aus dem Jahr 2011 stammt, basierte aber auf dem mittlerweile nicht mehr geltenden Datenschutzrecht aus der Zeit vor der DSGVO. Während das ehemalige deutsche Telemediengesetz recht klare Anforderungen an die Verarbeitung von Besucherinnendaten zu Marketing- und Werbezwecken stellte, ist die DSGVO da ein ganzes Stück vager.

Zwar haben die Aufsichtsbehörden mittlerweile auch auf Grundlage der DSGVO sehr strenge Ansichten zur Zulässigkeit von „Tracking“ (ohne den Begriff allerdings genauer zu definieren) formuliert und fordern etwa stets eine Einwilligung [PDF]. Ob die von den Behörden vertretenen Auffassungen aber rechtlich haltbar sind, wird aktuell heftig diskutiert. Wie die Insights-Funktion juristisch zu bewerten ist, bleibt also vorerst ungeklärt und dem weiteren Verfahrensgang überlassen. Die Entscheidung darüber liegt nun wieder beim Bundesverwaltungsgericht, das die Fragen zur Verantwortlichkeit ursprünglich dem EuGH vorgelegt hat und auf das nun weiterlaufende Verfahren anwenden muss.

Dennoch kann man bereits heute festhalten, dass unabhängig vom Ausgang des Verfahrens die vom EuGH festgestellte gemeinsame Verantwortlichkeit eine Reihe von Informations- und Dokumentationspflichten nach sich zieht. Und die kann derzeit rein faktisch niemand beim Betrieb der eigenen Facebook-Seite erfüllen, da dafür die formelle Mitwirkung von Facebook erforderlich wäre. Der Konzern hat mittlerweile zwar angekündigt, die entsprechenden Formalitäten nachliefern zu wollen, bis dahin lassen sich die Vorgaben der DSGVO beim Betrieb aber nicht einhalten. Und ob das, was Facebook dann liefert, überhaupt rechtlich ausreichen wird, muss ohnehin erst einmal geprüft werden.

Es verwundert daher nicht, dass die deutschen Datenschutzbehörden in ihren Schlussfolgerungen im Hinblick auf den akuten Handlungsbedarf noch etwas vage bleiben. Und auch der Landesbeauftragte für den Datenschutz und die Informationsfreiheit in Baden-Württemberg scheint bisher nicht an die Abschaltung seines Twitter-Accounts zu denken. Dass die Aufsichtsbehörden bereits vor Abschluss des laufenden Gerichtsverfahrens allein wegen mangelhafter Einhaltung der formellen Anforderungen der neuen gemeinsamen Verantwortlichkeit gegen Seitenbetreiberinnen vorgehen, ist derzeit also kein naheliegendes Szenario.

Gilt das Urteil auch für Twitter und Youtube?

Der EuGH hat zudem auch einzig über Facebook-Seiten entschieden, nicht über Twitter, Instagram oder Youtube. Auch unterscheidet er in seinem Urteil zwischen dem Betrieb einer Facebook-Seite und bloßer Nutzung von Facebook. Trotzdem stellt sich die Frage, ob auch die Betreiberin eines Auftritts bei Twitter bzw. Instagram oder eines Youtube-Kanals in gleicher Weise mitverantwortlich für die Datenverarbeitung des Plattformanbieters ist. Die für den EuGH ausschlaggebende Reichweitenmessung gibt es bei den meisten Diensten schließlich in ganz ähnlicher Weise.

Auch findet sich in der DSGVO unter dem Stichwort „Verantwortlichkeit“ keine Unterscheidung zwischen Betrieb und Nutzung eines Social Media-Auftritts. Einzig in ihrem Erwägungsgrund 18 deutet die DSGVO an, dass sie bei der Nutzung sozialer Netze keine Anwendung finden könnte. Sie stellt das allerdings ausdrücklich unter die Bedingung, das dabei ausschließlich persönliche oder familiäre Tätigkeiten ausgeübt werden. Und diesbezüglich hatte der EuGH bereits Anfang der 2000er selbst entschieden, dass die Datenverarbeitung in der Öffentlichkeit des Internets keine familiär-private Tätigkeit mehr ist. Eine Unterscheidung zwischen Seitenbetrieb und persönlicher Nutzung hat er damit jedenfalls juristisch sehr schwer gemacht.

Die Folge dieser Ausdehnung der Aussagen des Urteils auf sonstige Plattformen wäre, dass jede Twitter-Nutzerin mit Twitter oder jede Youtuberin mit Google einen Vertrag über die gemeinsame Verantwortlichkeit schließen müsste. Dann würden unter anderem auch die Informationspflichten der DSGVO Anwendung finden. Das ist höchst brisant und eine oft übersehene Folge der Ausweitung der Verantwortlichkeit für Auftritte auf soziale Medien, denn letztlich würde daraus folgen, dass online Dank der DSGVO eine Klarnamenpflicht bestünde. Ein solches Ergebnis würde eine gewisse Ironie des Schicksals mit sich bringen, war es doch eben jene Schleswig-Holsteinische Datenschutzaufsicht, die jetzt das Urteil des EuGH zur Verantwortlichkeit ausgelöst hat, die bereits 2012 gerichtlich (erfolglos) versuchte, gegenüber Facebook die Abschaffung der Klarnamenpflicht durchzusetzen (Verbraucherschutzverbände hatten damit später mehr Erfolg).

Zu guter Letzt hat der EuGH in seiner jetzigen Entscheidung auch nicht auf Grundlage der DSGVO entschieden, sondern auf Basis des ehemals geltenden europäischen Datenschutzrechts. Allerdings sind die Vorgaben zur Verantwortlichkeit im neuen und alten Datenschutzrecht buchstäblich identisch und es spricht alles dafür, dass das Bundesverwaltungsgericht im weiteren Verfahren die Entscheidung des EuGH übernehmen wird. Das gilt allerdings nur für die vom EuGH entschiedene Frage zur Verantwortlichkeit. In den Vorinstanzen war die Aufsichtsbehörde unabhängig davon auch an einer Verfahrensfrage gescheitert. Das Berufungsgericht forderte im Jahr 2014 nämlich, dass vor der Aufforderung zur Deaktivierung mildere Mittel hätten ergriffen werden müssen und erklärte das Vorgehen der Behörde dementsprechend auch aufgrund eines Verfahrensfehlers für rechtswidrig. Wie das Bundesverwaltungsgericht sich zu dieser, weder im Revisionsverfahren noch im Rahmen des EuGH-Verfahrens erörterten Frage äußern wird und welches Recht es dabei anwenden wird, bleibt ebenfalls abzuwarten. Allerdings wäre es sehr überraschend, wenn das Bundesverwaltungsgericht erst zu komplexen Rechtsfragen eine Entscheidung des EuGH einholt, nur um die Anordnung der Datenschutzbehörde dann doch aus formellen Gründen aufzuheben.

Das Netz reparieren, nicht Facebook!

Trotz oder gerade wegen der vielen weiterhin offenen Fragen drängt die Entscheidung des EuGH aber zu zwei entscheidenden Schlussfolgerungen.

Erstens wird es höchste Zeit, die Kontrolle über die Datenverarbeitung im Internet nicht mehr auf zentralisierte Plattformen abzuschieben. So komfortabel eine solche Verantwortungsentlastung auf den ersten Blick scheint, so sehr führt das EuGH-Urteil doch vor Augen, wie abhängig digitale Meinungsäußerung, Informationszugang oder Öffentlichkeitsarbeit von wenigen Anbieterinnen geworden sind. Statt nun lediglich darauf zu pochen, dass Facebook die Nachbesserungen endlich in die Wege leitet, die nötig sind, um jedenfalls formell der gemeinsamen Verantwortlichkeit gerecht zu werden, wäre es deshalb die weitsichtigere Reaktion, dezentrale, offene Plattformen zu stärken und sich aus der Abhängigkeit von Facebook & Co zu verabschieden. Vor diesem Hintergrund bestätigen Bemühungen, Facebook juristisch dazu zu zwingen, die Facebook-Seiten an die gemeinsame Verantwortlichkeit anzupassen, letztlich nur aufs Eindrücklichste diese Abhängigkeit. Viel konsequenter wäre es, die Entscheidung zum Anlass dafür zu nehmen, sich auch politisch für demokratietaugliche, offene und interoperable Plattformen einzusetzen, bei denen die Kontrolle von Anfang an bei den Nutzerinnen liegt. Bisher haben Politik und Gesetzgebung ignoriert, dass es ein gesellschaftliches Bedürfnis nach digitaler Kommunikation gibt und es versäumt, freiheitsverträgliche, offene Infrastrukturen zu fördern. Statt auf diese Art die Bedingungen für digitale Teilhabe zu schaffen, wird derzeit aber vor allem weiter an die Tore von Facebook geklopft und darum gebettelt, wieder in die Matrix gelassen zu werden.

Zweitens zeigt das Urteil des EuGH auch, dass Datenschutz und Meinungsfreiheit im Internet noch nicht zusammengefunden haben. Die Ausweitung der Verantwortlichkeit für Social Media- und Online-Dienste zwingt dem Online-Diskurs eine Reihe von Informations-, Transparenz- und Bürokratiepflichten auf, die sich kaum förderlich auf die Bereitschaft auswirken, sich auf Twitter oder anderswo frei zu äußern. Tatsächlich sieht die DSGVO für genau dieses Problem in Art. 85 DSGVO vor, dass die Mitgliedsstaaten Meinungsfreiheit und Datenschutz in Einklang bringen sollen. Insbesondere die Anpassung der Transparenz- und Informationspflichten wäre dabei ein Schwerpunkt. Bisher sind entsprechende Gesetzesvorhaben aber noch nicht zu erkennen. Dabei legt spätestens das Urteil des EuGH mit den darin enthaltenen Feststellungen zur Verantwortlichkeit entsprechenden Handlungsbedarf deutlicher denn je nahe.

In einer Zeit, in der Plattformen wie Facebook längst nicht mehr nur isolierte Angebote in einem freien Netz, sondern in Teilen der Welt selbst der Zugang zum Netz geworden sind, ist das Urteil daher vor allem eine Chance und Aufruf dazu, sich gegen diese Plattformmacht zu wenden, sich aus digitaler Abhängigkeit zu befreien und Kommunikationsfreiheit und Teilhabe in einer digitalen Gesellschaft zu sichern.


Dr. Malte Engeler ist Richter und derzeit am Schleswig-Holsteinischen Verwaltungsgericht tätig. Bis Anfang 2017 war er stellvertretender Leiter des aufsichtsbehördlichen Bereiches im Unabhängigen Landeszentrum für Datenschutz in Schleswig-Holstein und als solcher auch mit dem Verfahren befasst, das zu der Entscheidung des EuGH geführt hat.


Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.

von Datenschutz – netzpolitik.org, gepostet am Samstag, 23. Juni 2018 um 8:30
Aufgrund der Textinhalte könnten folgende Beiträge thematisch zu diesem Beitrag passen:
Stoppt die Vorratsdatenspeicherung! Jetzt klicken & handeln!Willst du auch bei der Aktion teilnehmen? Hier findest du alle relevanten Infos und Materialien: