Das Facebookseiten Urteil
Links:
Datenschutz Agentur
Österreichischer Datenschutzrat
EDRi – European Digital Rights
Andreas Krisch auf Twitter
Unabhängiges Datenschutzzentrum Schleswig Holstein zu Facebook
EUGH Urteil zu FB-Seiten: Die Seitenbetreiber sind für den Datenschutz auf der FB-Seite für den Datenschutz auf derselben mitverantwortlich. Das kann momentan (Zeitpunkt der Aufnahme: Ende Juni 2018) faktisch niemand leisten.
-> Pressemitteilung des EUGH
Trankskript
Andreas: Bevor man zum EUGH kommt, muss man schon im eigenen Land den kompletten Instanzenzug ausgeschöpft haben, das ist eine langwierige Angelegenheit. Dann muss ein Gericht entscheiden, dass eine Auslegungsfrage von europäischer Bedeutung vorliegt, die dann dem Europäischen Gerichtshof vorgelegt wird. Der EUGH gibt dann Auskunft darüber, wie eine bestimmte Rechtsfrage auszulegen ist.
Im konkreten Fall hat die Datenschutzbehörde von Schleswig-Holstein einem Facebook Fanpage Betreiber in Schleswig Holstein aufgetragen, die Seite zu schließen, weil sie nicht datenschutzkonform ist und auch kein datenschutzkonformer Zustand hergestellt werden konnte. Dagegen hatte der Fanpage Betreiber Rechtsmittel eingelegt, ist damit vor das Verwaltungsgericht, Bundesverwaltungsgericht und schließlich bis zum Europäischen Gerichtshof gekommen. Dieses hat jetzt darüber entschieden, ob der einzelne Fanpage Betreiber überhaupt ein Verantwortlicher im Sinne des Datenschutzes ist für die Seite und für die Datenverarbeitung, die dort stattfindet oder ob Facebook allein verantwortlich ist und dafür sorgen muss, dass die Datenverarbeitung datenschutzkonform ist.
Klaudia: Zum Zeitpunkt der Aufnahme – Ende Juni 2018 – haben wir NULL Einfluss darauf, was Facebook auf einer Fanpage veranstaltet. Ich hatte selbst (bis vor Kurzem! 😉 ) eine Autorenseite auf Facebook, da gab es nichts zum Einstellen. Man konnte nicht sagen: „Ich will hier kein Tracking drauf haben“, man konnte nichts tun, außer eine Datenschutzerklärung hinzuschreiben und da kann man genau eintragen: „Ja, Facebook mcht hier Tracking auf dieser Seite“ und dann die lange Liste an Details, was das jetzt alles heißt. Wurde das bei diesem Urteil alles mit bedacht?
Andreas: Das wurde mit bedacht. Und zwar sagt der Europäische Gerichtshof in seiner Urteilsbegründung, dass der Fanpage Betreiber sehr wohl Einstellungen treffen kann, welche Zielgruppe er ansprechen möchte, welche Konsumgewohnheiten oder öhnliche Dinge die Nutzer der Seite haben sollen, wo die beworben werden soll, wo sie in den Newsfeeds angezeigt werden soll und mit diesen Einstellungen beeinflusst der Seitenbetreiber auch das Tracking das auf der Seite stattfindet und die Auswertungen, die über die Besucher der Seite durchgeführt werden. Und weil er auf diese Art und Weise darauf Einfluss nehmen kann, deshalb hat er eine Mitverantwortung für diese Datenverarbeitung.
Klaudia: Ah ich verstehe. Das ist primär eine Einstellung, die man treffen kann, wenn man Werbung schaltet, wenn man aktiv bezahlte Werbung auf Facebook ausspielt. Die ist aber nur selten auf der Seite selber, beziehungsweise nur einmal und ausgespielt werden kann ja alles Mögliche. Das heißt, das betriff eigentlich alles, was jemand mehr oder weniger gewerblich auf Facebook tut.
Andreas: Es geht schon auch um die Statistiken. Ich zietiere aus dem Urteil. Und zwar sagt der EUGH: „Mit Hilfe von durch Facebook zur Verfügung gestellten Filtern kann der Betreiber die Kriterien festlegen, nach denen diese Statistiken erstellt werden sollen und sogar die Kategorien von Personen bezeichnen deren personenbezogene Daten von Facebook ausgewertet werden. Folglich trägt der Betreiber einer auf Facebook unterhaltenen Fanpage zur Verarbeitung der personenbezogenen Daten der Besucher der Seite bei.“
Klaudia: Ok, point taken. Alles klar. Ok, das heißt, genau darauf begründet sich jetzt dieses ganze Urteil?
Andreas: Genau, darauf begründet sich das Urteil und damit sieht es der EUGH jetzt als gegeben an, dass nicht nur Facebook darüber entscheidet, auf welche Art und Weise diese Daten verarbeitet werden, sondern auch den Fanpage Betreiber als Mitverantwortlichen. Für andere Teile ist natürlich Facebook verantwortlich und muss selber dafür sorgen, dass die Datenverarbeitung rechtskonform ist.
Klaudia: Wann wird das ca. passieren?
Adreas: Das ist eine sehr gute Frage. Im Wesentlichen muss das umgehend passieren. Die Aussage ist relativ klar, es ist jetzt allen Beteiligten klar, wie die Rollenverteilung ist. Entsprechend ist jetzt einerseits Facebook am Zug, eine Möglichkeit, Fanpages datenschutzkonform zu betreiben, zur Verfügung zu stellen. Gleichzeitig sind auch die Betreiber von Fanpages am Zug und müssen von Facebook aktiv verlangen, dass die das zur Verfügung stellen, weil sie selbst auch ihren Verpflichtungen als Verantwortliche nachkommen müssen. Die Seitenbetreiber sitzen im Moment einigermaßen zwischen den Sesseln und können sich jetz aussuchen, ob sie bei Facebook durchsetzen können, dass sie ein datenschutzkonformes Angebot kriegen oder ob sie ihre Seiten schließen. Weil wenn es nicht datenschutzkonform machbar ist, dann darf man es auch nicht tun.
Klaudia: Ja, ist klar. Ich hab jetzt nur gefährliches Halbwissen aus Überschriften, weil ich noch nicht dazu gekommen bin, die Artikel durchzulesen, aber was ich kurz am Rande mitbekommen habe ist, dass ja auch die USA mittlerweile damit liebäugeln, sich ein Datenschutz-Gegengewicht zur DSGVO auszudenken. Viel weiter war ich in meiner Info noch nicht, ich hatte nur gelesen, die USA haben da jetzt auch selber irgendetwas vor. Mal gucken, ob das der Sache noch zuträglich wird. Aber mal schauen, was da dann tatsächlich kommt. Hast Du da schon etwas gehört?
Andreas: Da hab ich noch nichts Konkretes drüber gehört, aber es wird insofern, denke ich, spannend werden, weil die USA ein völlig anderes Verständnis von Datenschutz haben, als wir in Europa. In Europa ist ja unser Zugang der, dass Datenschutz ein Grundrecht ist, das ist verankert. Das Recht auf Datenschutz leitet sich einerseits aus der europäischen Menschenrechtskonvention ab, aus dem Schutz des Privat- & Familienlebens und ist auch in der Charta der Grundrechte der Europäischen Union als eigenes Grundrecht, als Grundrecht auf Datenschutz verankert. Für diesen Grundrechtsschutz hat der Staat zu sorgen. Es steht drinnen, es muss eine unabhängige Aufsichtsbehörde geben, die die Einhaltung von diesem Datenschutz kontrolliert und überwacht. Das heißt, da haben wir eine sehr starke staatliche Verantwortung. Und als Grundrecht ist es etwas, worauf ich als Einzelperson auch gar nicht verzichten kann. Ich kann nicht sagen: „Ich brauch keinen Datenschutz und will den nicht haben, ich verzichte darauf.“ Das geht rechtswirksam nicht. Während es in den USA im Wesentlichen eine ausgemachte Sache zwischen den Unternehmen und den Kunden der Unternehmen oder den Betroffenen ist. Da ist der wesentliche Punkt, dass in allgemeinen Geschäftsbedingungen, Nutzungsbedingungen und Ähnlichem geregelt ist, welchen Datenschutz man bei diesen Unternehmen kriegt, wie der gestaltet ist und wie der ausschaut und nur wenn die Unternehmen gegen diese Bestimmungen, die sie selber geschrieben haben, verstoßen und das nicht einhalten, dann sind sie sanktionierbar dafür, weil sie ihre Marktregeln verletzt haben. In manchen Bereichen gibt es gesetzliche Regelungen, also zum Beispiel welche Auswertungen man bei Videoverleih machen darf und wie geheim solche Informationen sind. Das ist aber in den meisten Fällen auf konkrete Fälle zurückzuführen, wo jemand mit seinem Videokonsum vielleicht einmal erpresst worden ist und wo das deswegen unter besonderem Schutz steht und da deswegen besondere Vorkehrungen getroffen worden sind. Aber im Wesentlichen ist es in den USA eine Ausmachungssache. Wenn die USA jetzt hergehen und ein Datenschutzgesetz verabschieden, dann ist die Frage, welcher Logik bedienen sie sich dabei? Sagen sie dann auch, wir erkennen jetzt an, dass das ein Grundrecht ist und dass das allgemein geschützt werden muss? Oder sagen sie nur, diese und jene Dinge müssen auf jeden Fall geregelt werden und liegt dann bei den Unternehmen und auf welche Weise das dann ausgestaltet wird? Davon wird das abhängen und das wird natürlich recht spannend werden. Davon wird abhängen, ob sie auch ein angemessenes Schutzniveau – wie das so schön heißt – erreichen, weil es für den Datenexport in Drittstaaten ein wesentliches Kriterium ist, ob der Staat in den Daten übermittelt werden, ein dem europäischen Niveau vergleichbares Schutzniveau hat. Und da gibt es einen Beschluss der Europäischen Kommission, der sagt, dort ist das genauso gut geschützt wie bei uns und dahin darf man Daten exportieren. Das wäre ein Vorteil, den die USA mit so einem Gesetz kriegen könnten, aber dafür müssen auch die Kriterien noch erfüllt und das Schutzniveau auch entsprechend gut sein.
Klaudia: Vor dem Hintergrund ist es auch nochmal spannend, kurz zurück zu denken, dass Apple – als Beispiel – gesag hat: „Wir nehmen die DSGVO her und rollen das für alle Kunden weltweit aus. Und da das Gegengewicht zu sehen, wie läuft das denn sonst grundsätzlich „da drüben“? Die andere Sache, die Du auch grad angerissen hast, PrivacyShield als geeignete Garantie, dass der Datenschutz in den USA von US-Unternehmen adäquat ist zu dem hier in Europa, da gab es ja neulich schonmal einen schweren Schlag dagegen. Das PrivacyShield ist – ich würde mal sagen – auf dem absteigenden Ast. Es ist ja noch nicht ganz abgesägt. Wird es noch eine Abwende geben, bevor es tatsächlich komplett abgesägt wird, oder sind sie nicht schnell genug, das tatsächlich umzusetzen?
Andreas: Ich bin mir ehrlich gesagt nicht sicher, ob die USA Interesse daran haben, diese Regelung zu verändern oder sich generell irgendwie zu bewegen, was den Datenschutz in Richtung Europa betrifft. Beim PrivacyShield ist es im Wesentlichen so, dass es an den gleichen Problemen krankt wie schon das SafeHarbour Abkommen, nämlich an der umfassenden Geheimdienste-Überwachung seitens der Vereinigten Staaten und die Antworten, die im PrivacyShield auf die Frage gegeben worden sind, sind einigermaßen unbefriedigend. Es wird, denke ich, aus den gleichen Gründen wieder vor einem Gericht nicht halten, wie eben auch SafeHarbour nicht gehalten hat. Es sind beim EUGH auch schon mehrere Verfahren anhängig; ich glaube drei Stück insgesamt im Moment, wo die PrivacyShield Regeln auf dem Prüfstand gestellt werden. Da ist abzuwarten, was der EUGH dazu sagt und dann werden wir weiter sehen.
Problematisch ist natürlich auch der Cloud Act, der in den USA kürzlich auch beschlossen worden ist, der regelt, dass US Anbieter, die nicht in den USA sondern sonstwo Daten verarbeiten, die Daten ihrer Kunden in die USA zu bringen haben und US Gerichten und Behörden diese Daten zur Verfügung zu stellen haben, wenn die Behörden oder Gerichte das verlangen. Das heißt im Wesentlichen dass, wenn wir bei Facebook bleiben, Facebook die Daten seiner europäischen Kunden in Irland verarbeitet, dann müsste Facebook die Daten in die USA bringen, wenn die Behörden da zugreifen wollen. Da sitzen die US Firmen jetzt zwischen den Sesseln, weil einerseits sagt der Cloud Act in den USA, sie müssen das tun, gleichzeitig sagt aber die EU-Datenschutzgrundverordnung, dass sie das nicht tun dürfen. Da gibt es jetzt eine extra Bestimmung drin, die eben genau das untersagt, weil man schon gewusst hat, was die Geheimdienste tun und man da entsprechend Vorsorge getroffen hat. Das ist für Unternehmen, die irgendwelche Cloud-Dienste in Anspruch nehmen wollen, eine ausgesprochen schwierige Situation. Sie sind jetzt mit US-Anbietern konfrontiert, die potentiell so etwas tun, während europäische Unternehmen aber so etwas verhindern müssen und dafür sorgen müssen, dass das nicht stattfindet. Das heißt, es fallen US-Anbieter derzeit als einsetzbare Dienstleister aus, weil hier der Rechtsvorrang nicht geklärt ist.
Klaudia: Das heißt, es betrifft auch Microsoft, Microsoft Cloud, Apple iCloud, Dropbox, usw ohnehin … Was haben wir sonst noch alles? Ganz viele gruselige Dinge, die dann alle spontan ausfallen.
Andreas: Ja, inklusive ganzen Betriebssystemen. Wenn man überlegt, wie die funktionieren. Inklusive diversen Office-Anwendungen, die in der Cloud stattfinden, und und und.
Klaudia: Office 365 und so.
Andreas: Genau solche Geschichten. Und selbst wenn die Anbieter zusichern, sie haben ihre Datenverarbeitung hier in Europa und die Daten werden Europa nicht verlassen, ist das etwas, was sie nicht einhalten und nicht garantieren können, weil sie auf der anderen Seite diesen Regelungen unterliegen.
Klaudia: Ok, das wird also auch nochmal spannend.
Andreas: Mhm, genau.
Klaudia: Super. Grad nochmal zurück zu Facebookseiten. Was sollen Leute, die jetzt egrade noch Facebookseiten haben, momentan tun?
Andreas: Da gibt es eine Handreichung der Deutschen Konferenz der Datenschutzbehörden. Die haben gleich am nächsten Tag, am 6, Juni eine Entscheidung getroffen, wo sie einersetzs feststellen, dass sie das Urteil des EUGH begrüßen und ihre Rechtsansicht bestätigt ist und wo sie ein paar Schritte aufgezählt haben, was jetzt zu tun ist. Einerseits ist es so, dass Besucher von Fanpages über die Datenverarbeitung informiert werden müssen. Das ist jetzt generell mit der Datenschutzgrundverordnung so, dass es eben die Informationspflicht gibt, wo man die Beroffenen einmal – bevor man mit der Datenverarbeitung beginnt – darüber informieren muss, was mit ihren Daten passiert, wozu sie verarbeitet werden, wie lang sie gespeichert werden, an wen sie weitergegeben werden, und und und. Das muss man in dem Fall auch machen, weil es ganz klar eine Datenverarbeitung ist, daran gibt es wenig Zweifel. Und die Seitenbetreiber müssen auch sicherstellen, dass Facebook ihnen die Daten zur Verfügung stellt, die man braucht, um diese Information geben zu können. Da ist schon die erste Aufforderung, dass die Betreiber mit Facebook in Kontakt treten sollen, dort anklopfen sollen und sagen: „Liebe Leute, da wäre was zu tun.“ Und wenn Facebook die Besucherinnen und Besucher der Fanpage trackt, dann, sagen die Datenschutzbehörden in Deutschland, braucht man eine Einwilligung dafür. Das heißt, man muss zu erst um Zustimmung fragen. Und wenn die Benutzer dann damit einverstanden sind, dann darf dieses Tracking erst stattfinden, weil es sonst keine Rechtsgrundlage für diese Datenverarbeitung gibt, da man diese erst durch die Einwilligung organisieren muss. Was aber auch bedeutet, dass diese Einwilligungen den Anforderungen der Datenschutzgrundverordnung entsprechen muss. Das heißt, ich muss zuerst informiert haben und dann eine klare, bestätigende Handlung der betroffenen Person haben; das heißt, man muss aktiv auf dieses „Ja“ draufdrücken und sagen, „Ja, ich bin damit einverstanden“. Und dann muss der Betreiber auch noch dokumentieren, dass er diese Einwilligung auch tatsächlich erhalten hat und muss das später nachweisen können. Für ihn muss also protokolliert werden, dass eben Du oder ich heute gesagt haben „Ja, ich bin damit einverstanden, dass ich auf dieser Seite getrackt, gemonitored und ausgewertet werde“.
Klaudia: Das heißt, irgendwann in Kürze werden wir auf Facebook Seiten, wenn man auf eine Fanpage geht, ein Overlay bekommen mit „Bitte jetzt zustimmen, sonst kannst Du leider diese Seite nicht sehen“.
Andreas: Genau.
Klaudia: Das macht das Angebot total attraktiv.
Andreas: Das macht das Angebot total attraktiv, aber die Frage ist auch, ob dadurch nicht gegen das Kopplungsverbot verstoßen wird, denn solche Einwilligungen müssen ja freiwillig sein und es darf für den Betroffenen keine wichtige Leistung davon abhängen. Wenn ich zu einer Information nur komme, wenn ich vorher zustimme, dass ich allumfassend analysiert werde, dann wird das vielleicht gegen diese Regel verstoßen. Es wird davon abhängen, welche Informationen auf dieser Seite abrufbar sind. Wenn es irgendwelche Marketinginformationen sind, wird das weniger tragisch sein. Wenn es die einzige Information ist, wie man sein Gasgebrechen repariert kriegt, dann wird das eher nicht zulässig sein.
Klaudia: Ich denke jetzt gleich wieder an kleine Anbieter wie Autor*innen, Künstler*innen, die oft Gewinnspiele machen über Facebook – als Aktion für das neue Buch oder was auch immer. Da sieht es dann auch schlecht aus, oder?
Andreas: Da sieht’s auch schlecht aus. Beziehungsweise muss man sich überlegen, was die Rechtsgrundlage für diese Verarbeitung ist und wie man die gut begründen kann.
Klaudia: Das heißt, es wird Zeit, dass man den eigenen Blog entstaubt und dann nicht zwingend eine Facebook Seite dafür nutzt? Wenn man dann schon eine Auswertung hat, dass die dann wenigstens hoffentlich bei einem selber liegt.
Andreas: Genau. Auf der anderen Seite ist jetzt auch Facebook in der Pflicht, sich da jetzt zu bewegen und für rechtskonforme Datenverarbeitung zu sorgen. Die können nicht im luftleeren Raum operieren und müssen sich auch an europäische Gesetze halten. Da sagen die Datenschutzbehörden in Deutschland beispielsweise, dass es für den Bereich, wo es eine gemeinsame Verantwortung gibt von Facebook einerseits und dem Betreiber andererseits, dass die beiden auch eine Vereinbarung miteinander abschließen müssen, wer jetzt genau für welche Teile der Datenverarbeitung verantwortlich ist, wer auf welche Art und Weise seinen Pflichten nachkommt und die Vereinbarung muss in ihren wesentlichen Punkten den Betroffenen zur Kenntnis gebracht werden, weil die ja wissen müssen, wo sie ihre Betroffenenrechte, wie das Recht auf Auskunft, Berichtigung, Löscung und so weiter, geltend machen können und an wen sie sich für welche Teile der Datenverarbeitung wenden müssen.
Klaudia: Das ist übrigens der Teil, der mir fehlt bei den ganzen Branchen, die sich rausreden mit „Wir haben eh einen Branchen-Code-of-Conduct“ und „Geht uns nichts an, von uns kriegst Du keinen AVV“. Ja, aber – Betroffenenrechte! Ich hätte jetzt zumindest gern die Info, welchen Teil deckt ihr ab, welcher liegt bei mir und wo sollen sich die Leute hinwenden? Das würde ich gern in meine Datenschutzerklärung reinschreiben. Und da kriegst Du halt nichts. Das wird da dann wahrscheinlich genauso ominös für eine Weile noch sein.
Andreas: Das wird noch eine Weile ominös sein, aber ich denke, dass da die Datenschutzbehörden drauf schauen werden, dass es da rasch Fortschritte gibt. Und das ist auch der spannende Punkt mit der Zuständigkeit der Datenschutzbehörden, das ist ein ganz wesentlicher Teil des EUGH-Urteils, wobei das Urteil sich ja noch auf die alte Rechtslage bezieht. Das Verfahren ist ja vor einigen Jahren unter der Datenschutzrichtlinie, die es gegeben hat, begonnen worden und ist demnach auch weiter noch zu beurteilen. Da gibt es Einiges an Ausführungen, dass die nationalen Datenschutzbehörden sehr wohl die Seitenbetreiber belangen können, sich aber auch an Facebook in Irland wenden können oder eben die lokale Niederlassung von Facebook, allerdings haben sich da jetzt die Regeln verändert durch die Datenschutzgrundverordnung – die Zuständigkeiten und Kooperationsmechanismen der Aufsichtsbehörden sind jetzt anders geregelt. Deshalb stellt da die Datenschutzkonferenz auch fest, wie das jetzt zu verstehen ist. Und da ist es jetzt so, dass die lokalen Aufsichtsbehörden für die lokalen Seitenbetreiber zuständig sind, die in Deutschland, Österreich, … ihre Niederlassung haben. Die Datenschutzaufsicht für Facebook im Wesentlichen in Irland liegt, weil dort die Niederlassung ist, die inhaltlich für die Facebook-Datenverarbeitung zuständig ist. Das heißt, einerseits: Wenn die Behörden jetzt europaweit kooperieren um Facebook in Irland zu adressieren und sich drum zu kümmern, dass da Bewegung in die Sache kommt, andererseits werden die aber sicherlich auch in den nationalen Staaten den Seitenbetreibern auf die Füße steigen und sagen: Liebe Leute, jetzt wäre es Zeit, sich zu bewegen und was zu tun; da gibt es eine Liste an Punkten, die zu erfüllen sind, bitte jetzt durchführen.
Klaudia: Ok, das heißt für die Seitenbetreiber, wenn sie Druck ausüben wollen, jetzt einmal bei Facebook melden und noch einmal bei der lokalen Datenschutzbehörde.
Andreas: Zuerst mal umsetzen die Punkte, die zu tun sind. Also die Informationspflichten und so weiter und wenn sich die Datenschutzbehörde dann nicht meldet, isses gut. Wenn sie sich meldet, wird sie einen konkreten Auftrag erteilen, dass man innerhalb einer Frist die Sache sanieren soll. Dann ist ohnehin Feuer am Dach und man muss sich bewegen.
Klaudia: Es ist sogar relativ einfach für das, was man aktuell überhaupt machen kann. Man hatte ja jetzt schon bei den Seiteneinstellungen die Möglichkeit, ein Impressum anzugeben. Jetzt gibt es noch einen weiteren Punkt „Datenschutzerklärung“. Da ist dann ein großes freies Feld da kann man sich dann viel auslassen, nur vorher rausfinden, was man durch irgendwelche Einstellungen selbst noch beeinflusst.
Andreas: Für die Praxis würde ich erwarten, dass Facebook einen konkreten Text schon vorbereitet, einen Text für alle, wo man noch seine Kontaktdaten ergänzen kann und die Sache ist fertig. Es wäre nicht sehr serviceorientiert, wenn jetzt jeder seinen Text selber schreiben und den gleichen Inhalt in neue Worte fassen müsste. Von daher würde ich erwarten, dass Facebook da einen entsprechenden Text zur Verfügung stellt, wo die Informationen alle vollständig und richtig enthalten sind, den man einfach weiterverwenden kann. Das wird hoffentlich die praktikable Lösung sein.
Klaudia: Hoffentlich. Ich weiß, es gibt jetzt schon eine Vorlage von einer deutschen Anwälting, der Sabrina Keese-Hauffs von lawlikes, die haben eine Vorlage für diese Facebook Datenschutzerklärung schonmal ins Netz gestellt. Wie gesagt, ich hab meine Seite trotzdem runtergenommen, weil ich das für mich einfach momentan nicht sehe, wie ich das verantworten könnte. Jemals – so wie Facebook aktuell aufgestellt ist. Es hört allerdings mit Facebook ja auch nicht auf, oder?
Andreas: Nein.
Klaudia: Genau. Du hattest das neulich bei einem Vortrag gesagt gehabt: Das Urteil jetzt wird richtungsweisend sein für andere Plattformen auch.Das heißt, man hat ja momentan die Möglichkeit, verschiedene Plattformen zu nutzen für solchen Sachen wie Facebook Fanseiten, aber auch Chatbots auf diversesten Plattformen. Das fällt ja alles in einen ähnlichen Bereich. Das heißt, es gibt eine Haupt-Plattform, die nicht im eigenen Territorium liegt – da hat man wenig bis keinen Einfluss drauf, was die tatsächlich machen. Und dann stellt man selber über diese Plattform noch eine weitere Anwendung zur Verfügung, die man nach bestem Wissen udn Gewissen beeinflussen kann. Was denkst Du, wird da demnächst dann passieren?
Andreas: Ich denke, es ist grundsätzlich die Schwierigkeit bei diesen Dingen, dass man sehr schnell in Datenverarbeitungen reinkommt, die man als Verantwortlicher nicht mehr unter Kontrolle hat. Gerade bei diesen Chatbots werden Daten plötzlich übertragen in die USA, nach Indien oder sonstwo hin, wo Rechenkapazität günstig ist oder die entsprechenden Callcenter günstig betrieben werden können weil die Gehälter niedrig sind. Aber genau diese Dinge sind nach Datenschutzrecht nicht zulässig; wenn bei den USA jetzt keine PrivacyShield Zertifizierung des Unternehmens vorliegt, oder kein Angemessenheitsbeschluss der Europäischen Kommission vorliegt oder Standardvertragsklauseln abgeschlossen werden oder Ähnliches. Das heißt, da muss man sich als Verantworlicher sehr gut anschauen, welche Datenübermittlingen man sich damit einhandelt, wenn jeder Seitenaufruf auch gleich eine Datenübermittlung in einen Drittstaat ist. Wie ist dieser Datentransfer legitimiert? Kann ich den überhaupt legitimieren? Wenn man sich slchen Dinge regelmäßig anschaut, wie wir das hier auch tun, dann hat man plötzlich 30 oder 40 Subdienstleister, die da noch mit dranhängen, zu denen allen entsprechende Vertragsverhältnisse existieren müssen. Das macht den Betrieb einer solchen Website/Applikation extrem komplex von der rechtlichen Warte aus. Sehr oft ist aber der Zusatznutzen sehr überschaubar. Da werden mitunter irgendwelche Fonts eingebunden, die einmal quer über die Welt gehen, nur damit das auf der Seite hübsch ausschaut, wo man sich auch aus technischer Sicht überlegen muss: muss ich jetzt wirklich bei jedem Seitenaufruf quer über die Welt transportieren oder wäre es nicht sinnvoller, das lokal einzubinden und die Sache wäre erledigt?
Klaudia: Das wäre sogar meistens schneller.
Andreas: Ja, das wäre meistens schneller, ganz genau.
Klaudia: Bei dem Internet hier in Österreich auf jeden Fall. Und in Deutschland kann ich das ziemlich sicher auch sagen. Wenn ich meine Eltern besuche, ist das dicht an offline. Das Problem ist ja eher – bleiben wir bei den Fonts, also Google Fonts – die kriegst Du aus den meisten Themes, gehen wir zum Beispiel von WordPress Installationen aus – Du kriegst die Dinger ja nicht ausgebaut. Es gibt zwar ominöse Plugins, die das angeblich deaktivieren sollen, die funktionieren aber auch nicht immer. Oder nur dieses eine funktioniert vielleicht; bei mir hat das funktioniert, probier mal das – da ist momentan auch ganz viel unterwegs. Das ist ein Punkt, den ich bei mir auf der Seite auch immernoch als ToDo habe, irgendwie dieses Zeug da ausgebaut kriegen oder hoffen, dass beim nächsten Update des Themes diese Verbindung dann optional ist. Dass ich dann sagen kann, ich pack mir diese Schrift einfach flink auf den Server, das ist ja auch kein Hexenwerk an sich.
Andreas: Genau. Da hast Du sicher Recht, im Moment ist es jedenfalls so, dass man da händisch selbst in den Code eingreifen und den Pfad auf eine lokale Datei legen muss. Das bedeutet, bei jedem Update von diesem Theme muss man wieder neu eingreifen und diese Änderung vornehmen. Das ist natürlich unangenehm und verursacht zusätzlichen Aufwand.
Klaudia: Viele sind noch nichtmal in der Lage, das wirklich auch zu tun. Meine Zielgruppe sind ja sonst auch Autorinnen und Autoren, selbständige Kreative, die haben damit meistens überhaupt nichts am Hut. Also so richtig nicht.
Andreas: Ich glaub, das ist aber ein ganz wesentlicher Punkt der Datenschutzgrundverordnung: diese Forderung nach eingebautem Datenschutz; dass die Technik von Haus aus schon so funktionieren muss, dass sie datenschutzkonform ist. Dann müssen sich die Anbieter von solchen Themes eben überlegen, wie macht man sowas eben richtig? Und sich eben auch an die Datenschutzbestimmungen halten, denn das ist die klare Forderung nach der Grundverordnung: die Technik hat so gebaut zu werden, dass man sie datenschutzkonform einsetzen kann. Wenn das nicht möglich ist, dann ist die Technik falsch und muss eben korrigiert werden. Aber auch die Anforderung muss man eben in die Richtung kommunizieren, dass sie auch dort ankommt und die auch entsprechend gegenlenken können. Ansonsten ist das ja eine triviale Sache und keine technische Hexerei, das richtig zu machen.
Klaudia: Nein, grundsätzlich nicht. Vor allem auch im konkreten Fall nicht. Es ist ja nicht schwierig, es muss nur mal irgendwie gemacht werden und die Möglichkeit dazu geschaffen werden. Zurück zu den Chatbots. Da sind die Chancen, das momentan datenschutzkonform umzusetzen, eher gering. Außer man hostet das Ding selber, es agiert wirklich nur auf der eigenen Seite, hat keine Anbindung zu irgendeinem Learning Algorithmus, …
Andreas: Ich würde nicht sagen, dass es nicht möglich ist. Man braucht nur eine entsprechende Auftragsverarbeitungsvereinbarung mit dem Chatbot Anbieter und muss dafür sorgen, dass die Datenübermittlung dorthin rechtskonform ist; das heißt, idealerweise sitzt der Anbieter in der Europäischen Union und seine Server sind auch da, dann hat man da eher wenig Schwierigkeiten. Was man sich jedenfalls anschauen muss ist die Frage der eigenen Mitarbeiter, die den Chatbot auf der eigenen Unternehmensseite bedienen, weil solche Software natürlich auch Auswertungsmöglichkeiten und Überwachungsmöglichkeiten und so weiter bietet und man da schauen muss, dass die Arbeitnehmerrechte entsprechend gewahrt sind. Da muss man gegebenenfalls wie in einem Callcenter auch entsprechende Betriebsvereinbarungen machen, welche Auswertungen tatsächlich vorgenommen werden, zu welchen Zwecken und wie das alles geregelt ist. Im Wesentlichen eine lösbare Sache. Das ist nicht so kompliziert. Von der technischen Seite muss man sicherstellen, dass all diese Querverbindungen, die es dann vielleicht noch zu irgendwelchen Subdienstleistern, etc. gibt, dass die ordentlich abgesichert sind und dass es eben zu keinen unzulässigen Datenübermittlungen kommt.
Klaudia: Da wird es ja jetzt eigentlich auch spannend. Da dann entsprechende Funktionalitäten gegebenenfalls auch wieder auszubauen. Problematisch ist dann, meiner Ansicht nach – und da hoffe ich auf eine Korrektur Deinerseits: Wenn Du einen Chatbot auf acebook Messenger hast, auf WhatsApp, Telegram, … also entweder in den USA oder Russland, und man kriegt von beiden keinerlei Antwort; GDPR ist nicht unser Problem. Ich habe ja auch noch einen Chatbot auf Telegram und habe keinerlei Antwort bekommen von Telegram. Gut, die hatten auch gerade mit ihrem eigenen Geheimdienst in Russland zu schaffen, aber trotzdem hätte ich irgendeine Art von Information erwartet. Selbst wenn sie geschrieben hätten „gemeinsame Verantworlichkeit“, wäre das etwas geween, womit ich prinzipiell arbeiten kann. Aber so absolut ins Leere zu laufen, habe ich irritierend gefunden. Hm. Meinst Du, da müssten sie eigentlich auch mal nachbessern?
Andreas: Es ist nicht grad von der Hand zu weisen, dieser Gedankengang. Ja. Aber es wird bei diesen internationalen Anbietern natürlich die Frage sein, wie wichtig ihnen der europäische Markt ist und wie weit er bei ihnen im Fokus steht. Und auch, wo die Aufmerksamkeit der Datenschutzbehörden aktuell gerade ist, bei welchen Unternehmen. Ich denke, es wird auf jeden Fall ein gewisser Druck erforderlich sein, dass da tatsächlich was passiert.
Klaudia: Na gut. Aber es bestehen Chancen, sagst Du?
Andreas: Och ja, man soll die Hoffnung nicht aufgeben. Ich bin schon davon überzeugt – wie Du das vorhin am Beispiel von Apple schon gesagt hast – dass der Trend dahin gehen wird, dass weltweit die europäischen Datenschutzstandards etabliert werden, weil es sich für die Anbieter nicht auszahlt, für Europa eine Extrawurst zu machen oder eine eigene Suppe zu kochen, sondern sie ein starkes Interesse an einheitlichen Prozessen udn Vorgangsweisen haben. Dann passen sie sich nach oben hin an. Damit hätte die europäische Gesetzgebung eine positive Auswirkung auf die ganze Welt. Das ist ja nicht das Schlechteste.
Klaudia: Ja, jetzt muss Apple nur noch die eigenen AGB nachziehen! Damit, wenn man ein Apple Gerät beruflich nutzt, man nicht gegen die Apple AGB verstößt.
Andreas: Tut man das?
Klaudia: Ja. Und zwar steht extra drin bei der ganzen iCloud Nutzung, dass das rein für den privaten Gebrauch ist. Das heißt, Du kriegst als Anwender, der das beruflich nutzt, keinen AVV mit Apple, weil sie sich auf ihre eigenen AGB berufen: „Nee, tut uns leid, ist alles nur für Privatanwender.“ Sie haben 25 Jahre gut Werbung gemacht, das wäre DAS Environment für alle, die kreativ arbeiten wollen, Leute arbeiten jetzt damit …
Andreas: … aber halt privat!
Klaudia: Genau! Das Marketing hat gut gezogen, das Problem ist, sie dürfen das leider nur in ihrer Freizeit tun. Das Problem ist, alle iPhones, etc. synchronisieren im Hintergrund, ohne dass Du da Einfluss drauf nehmen kannst, Deine Call History in die iCloud. Du kannst es nicht einmal abstellen. Du weißt es als Anwender meistens nicht einmal. Das heißt, Du verstößt momentan grundsätzlich gegen die DSGVO/GDPR oder gegen die Apple AGB. Oder gegen beides. Das ist auch eher so meh. Deswegen wäre es jetzt noch schön, wenn das gute Beispiel, dass sie den Datenschutz jetzt schon ordentlichen machen wollen, wenn sie jetzt noch einsehen, dass ihre Geräte auch noch beruflich genutzt werden, das wäre jetzt schon schön.
Andreas: Die Welt ist natürlich angenehm einfach, wenn man das ausschließen kann. Damit hat man es nur mit Endnutzern zu tun. Tolle Sache.
Klaudia: Nun ja! Das sehen jetzt wahrscheinlich sämtliche kreativ Arbeitenden anders und es gibt ja auch genug andere Leute, die mit Apple Geräten arbeiten. Ich meine, es erklärt natürlich auch, warum sie in letzter Zeit nur Spielzeug rausbringen und kein Arbeitsgerät mehr, aber das ist dennoch langfristig keine Lösung. Mal gucken, wann sie da auch noch drauf kommen. Nun ja. Zurück zum eigentlichen Thema. Wir hatten jetzt schon Facebook Seiten und zumindest angekratzt die Facebook Messenger Applikationen aka Chatbots, auch andere Plattformen. Noch etwas, was durch das Urteil bezüglich Facebook-Seitenbetreiber wahrscheinlich diesem Rattenschwanz noch angliedern wird?
Andreas: Das Urteil ist, glaub ich, insofern noch weiter anwendbar, weil es grundsätzlich die Frage betrifft, wer ist wann verantwortlich und wie kann eine verteilte Verantwortung auch ausschauen? Wo der EUGH konkret sagt, dass der Seitenbetreiber eben nicht für alles verantwortlich ist, was Facebook da tut, sondern nur für den Teil, den er beeinflussen kann. Das ist schon ein ganz wesentlicher Punkt auch für andere Datenverarbeitungen und Situationen, wo auch mehrere zusammenwirken, um etwas zu tun und wo man sich anschauen muss, wie groß ist der Anteil von wem dabei und wie kann man das sauber aufsetzen? Also von daher wird es sich schon noch auswirken, wobei man da noch die Haftungsregeln der Grundverordnung mit berücksichtigen muss, die in dem Urteil noch nicht berücksichtigt sind, weil es ja noch auf der alten Richtlinie beruht. Da hat die Datenschutzgrundverordnung eine Solidarhaftung vorgesehen und da sollte man sich auch als Seitenbetreiber überlegen, was das denn jetzt heißt, wenn Facebook Datenschutzverstöße begeht und man mitverantwortlich ist für die Datenverarbeitung dort. Ob man da nicht ein Haftungsrisiko für die Dinge hat, die Facebook falsch macht.
Klaudia: Ok, wieder den alten Blog entstauben. Ich sag’s ja immer wieder! Ok, das heißt, da wird demnächst vermutlich noch was Interessantes kommen. Wenn da dann die ersten Gröberen Sachen durch sind, wird noch einmal eine Welle durchgehen.
Andreas: Wie es jetzt in Deutschland weitergehen wird, nachdem ja ein deutsches Gericht den EUGH nach seiner Rechtsauslegung gefragt hat, geht der ganze Fall jetzt wieder zurück zu dem deutschen Gericht und das muss jetzt den eigentlichen Fall entscheiden und muss feststellen, ob die Datenschutzbehöde von Schleswig-Holstein Recht hatte mit dem Bescheid, den sie ausgestellt hatte oder nicht. Da wird man dann ein Ergebnis sehen und das wird wahrscheinlich der nächste Schritt sein. Parallel würde ich erwarten, dass die deutschen Datenschutzbehörden jetzt selbst eine Frist gesetzt haben, in der sie die Situation beobachten und sich anschauen, was machen die Seitenbetreiber, die sie schon identifiziert haben? Reagieren sie drauf? Wie reagieren sie drauf? Ist erkennbar, dass ein rechtskonformer Zustand einkehrt oder nicht? Und dort, wo das nicht der Fall ist, würde ich erwarten, dass die Datenschutzbehörden anklopfen kommen und mit einem mehr oder weniger freundlichen Hinweis auf die Umsetzung des Urteils und die Herstellung der Rechtmäßigkeit pochen werden.
Klaudia: Wobei das ja nicht nur die deutschen Seitenbetreiber betrifft, sondern, das ist ja ein Urteil vom EUGH, das ist ja für alle EU Mitgliedsstaaten, also alle europäischen Seitenbetreiber sollten da ein Auge drauf haben.
Andreas: Ganz genau so ist es. Richtig.
Klaudia: Na dann. Hast Du noch etwas, das die Zuhörer*innen ganz dringend wissen sollten?
Andreas: Ich glaub, wir haben schon sehr viel an Informationen hineingepackt. Da soll man es ja auch nicht übertreiben, damit es noch angenehm bleibt, den Podacst anzuhören.
Klaudia: Jetzt abschalten wäre der sichere Ausweg! Wo finden Dich denn die Leute im Netz?
Andreas: Unter www.datenschutzagentur.com beziehungsweise findet man auch EDRi unter edri.org, das ist der europäische Dachverband von dem ich gesprochen habe. Und auf Twitter unter @andreaskrisch bin ich auch verfolgbar.
Klaudia: Super. Dann ganz herzlichen Dank!
Andreas: Gerne.
Klaudia: Ciao!
Andreas: Ciao!
Unterstützt den Datenschutz Podcast