Farewell Safe Harbor!

Das Urteil ist spektakulär, die Schlagzeilen sind schmissig, die Aufregung groß. Aber die Welt dreht sich noch und Europa ist auch nicht mit einem Schlag vom Internet abgekoppelt. Es gibt auch keinen Grund.

Schaut man sich die ausführliche Entscheidung des EuGH vom heutigen 6. Oktober 2015 (C-362/14) an, beerdigt der EuGH zwar das – dank NSA bereits seit einigen Monaten klinisch-tote – Safe-Harbor-Abkommen, aber die Entscheidung des EuGH ist in seinen Einzelheiten viel mehr (und viel wichtiger) als nur ein Aufreger. Es ist in erster Linie eine Stärkung des Datenschutzes und der Aufsichtsbehörden. Hier einzelne Punkte, die über das Safe Harbor Abkommen hinaus eine Rolle spielen werden:

  • Der EuGH bekräftigt die Rolle der Aufsichtsbehörden als unabhängige Aufsicht zur Wahrung des Datenschutzrechts. Insofern sind alle Mitgliedsstaaten verpflichtet sicherzustellen, dass unabhängige Aufsichtsbehörden eingerichtet werden und die Einhaltung der Datenschutz-Richtlinie 95/46 überprüfen können (Abs. 40).
  • Aber auch die Aufsichtsbehörden können trotz Unabhängigkeit nicht frei nach eigenem Gutdünken handeln. Sie sind vielmehr an einen fairen Ausgleich („fair balance“) zwischen der Einhaltung des Grundrechts auf Privatsphäre auf der einen Seite und den Interessen auf freien Datenfluss gebunden (Abs. 42).  Ein Absatz der deutschen Aufsichtsbehörden kaum gefallen dürfte.
  • Nationale Behörden oder Gerichte sind grundsätzlich an die Entscheidungen der EU-Kommission über die Anerkennung des Datenschutzniveaus eines Drittlandes jedenfalls insoweit gebunden, dass sie den Datentransfer nicht unterbinden dürfen, solange die Anerkennung des Datenschutzniveaus nicht widerrufen oder für nichtig erklärt wurde (Abs. 52). Auch dies dürfte den Aufsichtsbehörden kaum gefallen.
  • Entscheidungen der EU-Kommission, dass ein Drittstaat ein anerkanntes Datenschutzniveau besitzt, können ausschließlich vom EuGH kassiert werden. Nationale Behörden oder Gerichte sind hierzu nicht befugt, auch wenn sie berechtigt sind die Einhaltung zu überprüfen (Abs. 61. ff).
  • Kommt eine Aufsichtsbehörde zu dem Schluss, dass die Besorgnisse eines Bürgers berechtigt sind und das Datenschutzniveau des Drittstaats entspricht entgegen der Entscheidung der EU-Kommission nicht den Anforderungen der Datenschutz-Richtlinie, so muss die Aufsichtsbehörde in der Lage sein, rechtliche Schritte zu ergreifen, diese Entscheidung anzugreifen (Abs. 65). Damit wird das Verfahren für künftige Streitigkeiten festgelegt: Die Aufsichtsbehörde prüft und muss im Zweifel auf dem Rechtsweg eine Annullierung der Entscheidung der EU-Kommission durch den EuGH erreichen.

Neben diesen Punkten zur Stärkung des Datenschutzrechts, stellt der EuGH auch die Anforderungen an ein angemessenes Datenschutzniveau fest. Mit wenig Überraschung erfüllt das Safe-Harbor Abkommen diese Anforderungen nicht. Im Einzelnen:

  • Das angemessene Datenschutzniveau des Drittstaates muss nicht dem Datenschutzniveau der EU entsprechen. Es muss jedoch sichergestellt sein, dass die fundamentalen Grundsätze des Datenschutzrechts eingehalten werden.(Abs. 74).
  • Wenn die nationalen Gesetze selbst kein angemessenes Datenschutzniveau gewährleisten, kann dies grundsätzlich über ein System der Selbstzertifizierung sichergestellt werden (Abs. 80 ff). Es muss jedoch auch hierbei sichergestellt werden, dass der Drittstaat die Einhaltung des angemessenen Datenschutzniveaus überwacht und einhält.
  • Insbesondere darf der Drittstaat nicht durch eigene Gesetze das Schutzniveau im Nachgang wieder aushebeln, indem etwa Sicherheitsbehörden ohne Probleme auf die geschützten Daten zugreifen können. Ein Drittstaat, der Daten aus der EU hiervon nicht ausschließt und gemäß des angemessenen Datenschutzniveaus schützt, trägt nicht die erforderliche Sorge um das Datenschutzniveau „sicherzustellen“.

Gemessen an diesen Grundsätzen blieb dem EuGH nichts anderes übrig, als die Entscheidung der EU-Kommission zur Anerkennung des Safe-Harbor Abkommens für unwirksam zu erklären.

Insoweit ist die Entscheidung des EuGH wenig überraschend und erfreulich klar. Was bedeutet dies nun für die Unternehmen, die personenbezogene Daten an Dritte in den USA übermitteln?

Sie brauchen eine andere Rechtsgrundlage. Hierfür haben die Unternehmen zahlreiche Möglichkeiten. Wie bei anderen Drittstaaten ohne anerkanntes Datenschutzniveau, kann dieses mittels individueller Vereinbarungen, der Einwilligung des Betroffen, der Verwendung der Standardvertragsklauseln der EU oder verbindlicher Unternehmensrichtlinien in Form von Binding Corporate Rules erfolgen. Waren Unternehmen bereits in der Vergangenheit gut beraten den Datenaustausch auf der Grundlage einer dieser Rechtsgrundlagen durchzuführen, so sind sie ab dem heutigen Tag darauf angewiesen.

Es bleibt also bei einem „Farewell Safe Harbor“ ohne Aufbruch in eine stürmische See.

 

Ist Facebooks Graph Search wirklich ein datenschutzrechtliches Problem?

Die Ankündigung des sozialen Netzwerks Facebook, eine umfassende Inhaltssuche einzuführen, ließ schon erahnen, dass sie bei Datenschützern sofort zu Schnappreflexen führen würde.

Die Reaktion folgte dementsprechend prompt. Der in Sachen Facebook federführende Landesbeauftragte für den Datenschutz aus Schleswig-Holstein, Thilo Weichert, äußerte nach der Ankündigung umgehend seine Bedenken. Sein erstes Fazit, er fände die angekündigte Suche nicht toll, sei als persönliche Meinung respektiert, aber ist es auch tatsächlich datenschutzrechtlich begründet?

So zitiert die FAZ den Datenschützer mit den Worten:

„Die Suchfunktion, die wir vom Internet kennen, wird jetzt in den Freundeskreis hineingezogen, mit der Folge, dass hochsensible Informationen auch Dritten zur Kenntnis gelangen. […] Hier wird definitiv ein weiterer Eingriff ins Datenschutzrecht vorgenommen, der meines Erachtens nicht akzeptabel ist.“


Gemeint sind damit künftig mögliche Suchen, die auf persönlichen Daten beruhen, etwa die Suche „Bars in Stuttgart, die meinen Freunden und deren Bekannten aus Stuttgart gefallen“. Dem Zitat von Weichert folgend wird man als Nutzer künftig Informationen Dritter erhalten, die einem bislang nicht zugänglich waren. Das wäre natürlich ein dicker Hund, wenn künftig Hinz und Kunz wüssten, welche Bars mir gefallen und was ich damit in Verbindung bringe.

Aber ist das wirklich so? Der Facebook Public Policy Manager Nicky Jackson Colaco wurde genau dazu interviewt und seine Antwort:

„No one can see anything that they wouldn’t have otherwise been able to see. […] We don’t want people to be surprised. It’s really bad for them … and it’s bad for us.“


Facebook ist sich also bereits durchaus bewusst, dass die neue Suche bei Bedenkenträgern nicht auf Gegenliebe stoßen wird. Festzuhalten bleibt, dass sich die neue Graph Search an den Privatsphäre Einstellungen der einzelnen Nutzer hält und somit Suchergebnisse durch diese beeinflusst werden. Wenn ich engen Freunden mitteile, welche Bars mir in Stuttgart gefallen, dann erhalten nur diese meine Empfehlung in ihrer Suche angezeigt. Entfernte Bekannte oder gar Dritte, die mit mir auf Facebook nicht befreundet sind, sondern lediglich „Freunde von Freunden“ sind, erhalten diese Empfehlung hingegen nicht. Anders als das Zitat von Thilo Weichert es vermuten lässt, ermöglicht Graph Search keinen unkontrollierten Zugriff auf (weitere) personenbezogene Daten durch Dritte. Insoweit findet keine weitergehende Weitergabe personenbezogener Daten statt als bisher. Es wird höchsten leichter die Informationen zu finden.

Dies bedeutet nicht, dass die neue Suche nicht überraschende oder gar unangenehme Folgen für Nutzer haben kann. So zeigen erste Versuche, das gerade Facebook Nutzer, die unbedarft und unüberlegt ihre Likes im Netz verteilen, durch die Suche in misslichem Kontext dargestellt werden können, wie etwa Gizmodo aufgezeigt hat. Die neue Graph Search verdeutlicht damit eindrucksvoll, was auch bisher schon als Maxime auf Facebook zu beachten war: Think before you post or like!

Facebook bietet dank der vielen Proteste zum Datenschutz mittlerweile umfangreiche Möglichkeiten an, um Informationen nur ganz gezielt einzelnen Personen zugänglich zu machen oder diese wieder zu entfernen. Es sollte daher jeder vor der Einführung der Graph Search sein eigenes Profil genau unter die Lupe nehmen und ggf. missliche Posts, Bilder oder Likes entfernen.

Der oben zitierte Vorwurf ist jedoch nach den bisherigen Aussagen Facebooks nicht begründet. Facebook Nutzer werden allerdings künftig stärker denn je darauf achten müssen, welche Inhalte sie mit wem auf Facebook teilen, denn die Graph Search wird ein altes Sprichwort in seiner ganzen Härte verdeutlichen: Das Internet vergisst nicht.

Warum iFrames keine Auftragsdatenverarbeitung sind…

Im Streit um die datenschutzrechtliche Zulässigkeit des Facebook Like-Buttons macht der Unterausschuss „Neue Medien“ des Bundestags heute ein Expertengespräch zu diesem Thema ab. Im Vorfeld wurden den eingeladenen Experten, zu denen auch der schleswig-holsteinische Datenschutzbeauftragte Thilo Weichert gehört, vorbereitende Fragen gestellt. Thilo Weichert hat diese Fragen auch bereits beantwortet und seine Antworten veröffentlicht (pdf).

Unter den Fragen findet man den Einwand, dass die kritisierte Einbindung des Like-Buttons, nicht nur diesen betrifft sondern eine Reihe von Diensten (etwa Youtube).  Die Antwort von Herrn Weichert: Die in diesen Fällen verwendete iFrames Technologie stelle ein Fall der Auftragsdatenverarbeitung gemäß § 11 BDSG dar.

Diese Auffassung ist meines Erachtens nicht nur gewagt, sondern auch nicht mit dem rechtlichen Gedanken der Auftragsdatenverarbeitung vereinbar. Warum?

Zunächst muss man sich klar machen, was ein iFrame überhaupt ist? Letztlich handelt es sich um eine Weiterentwicklung der seit den Anfangstagen des Internets bekannten (und rechtlich viel diskutierten) Frame-Technolgie. Der Einzige Unterschied besteht darin, dass der fremde Seiteninhalt nicht als Teil einer Tabelle geladen wird, sondern als Objekt. Vergleichbar mit einem Bild. Darüberhinaus besteht die Möglichkeit ganz präzise bestimmte Inhalte (statt ganze Webseiten) einzubinden. Insoweit ist der iFrame kein „Novum“ sondern kann auch im Hinblick auf die juristische Bewertung, als Fortentwicklung von Frames (mit allen Vor- und Nachteilen) gesehen werden.

Was bedeutet das für die datenschutzrechtliche Beurteilung? Frames standen aus juristischer Sicht insbesondere wegen der Zueigenmachung fremder Inhalte in der Diskussion. Datenschutzrecht spielte dabei keine oder nur eine äußerst untergeordnete Rolle. Eine Auftragsdatenverarbeitung findet jedoch bei einem klassischen Frame nicht statt, allein weil im Zweifel der Betreiber der per Frame eingebundenen Webseite davon keine Kenntnis hat und damit auch keine Daten im „Auftrag“ verarbeitet. Das mag bei Social Plugins etwas anders sein, da diese Webseitenbetreibern gerade zum Zwecke der Einbindung angeboten werden.

Eine Auftragsverarbeitung findet dennoch nicht statt, da die Grundvoraussetzung der Auftragsdatenverarbeitung nicht gegeben ist. Damit eine Auftragsdatenverarbeitung vorliegt, muss der Auftragsdatenverarbeiter die personenbezogenen im Auftrag und auf Weisung des Auftraggebers verarbeiten. Der Auftragnehmer hat nur eine Hilfs- und Unterstützungsfunktion und ist bei der Verarbeitung von den Vorgaben des Auftraggebers abhängig  (So etwa Wedde in Däubler/Klebe/Wedde/Weichert,(!) Kommentar zum BDSG, § 11, Rn. 5). Anders gesagt, die Auftragsdatenverarbeitung scheidet zwangsläufig aus, sobald die verarbeitende Stelle ein eigenes Interesse an der Verarbeitung und diese (Weiter-) Verarbeitung auch eigenständig durchführt.

Gerade dies ist jedoch bei den Social Plugins der Fall. Weder Facebook noch YouTube verarbeiten personenbezogene Daten streng im Auftrag des Webseitenbetreibers und schon gar nicht als Hilfs- oder Unterstützungsfunktion. Im Gegenteil. Sie verarbeiten diese im eigenen Interesse und ohne jeglichen Einfluss des Webseitenbetreibers. Dieser mag zwar „Zweckveranlasser“ sein, da dieser Begriff dem Datenschutzrecht in seiner aktuellen Gestaltung fremd ist, macht dies den Webseitenbetreiber nicht automatisch zum Auftraggeber einer Auftragsdatenverarbeitung.

Eine Auftragsdatenverarbeitung wird daher beim Einsatz von iFrames regelmäßig ausscheiden. Nur in Einzelfällen wird möglicherweise eine Auftragsdatenverabeitung vorliegen.

 

Update: Henning Tillmann zeigt anschaulich, dass es sich hier nur um alten Wein in neuen Schläuchen handelt.

Eine unerwartete Antwort von Herrn Weichert

Nico Lumma hat vor einigen Wochen 7 Fragen zum Datenschutz gestellt. Zu den ausgewählten Befragten gehörte auch Thilo Weichert. Dieser hat nun ebenfalls 7 Antworten gegeben. Eine Antwort fand ich dabei durchaus unerwartet:

Frage: Was ist so schlimm am Like-Button?

Thilo Weichert: Der Button tut nicht körperlich weh. Das Anclicken des Buttons löst aber Datenverarbeitungen aus, die für die Nutzenden weder transparent noch selbstbestimmt sind. Es geht um das Setzen eines Cookies, um die Profilierung mit Hilfe des Cookies bei Facebook/USA und die kommerzielle oder sonstige Nutzung dieser Profile, worüber Facebook nicht ansatzweise Informationen herausgibt. Das verstößt gegen das deutsche Telemediengesetz und gegen die europäische E-Privacy-Directive. In diesen Verstößen liegen unzweifelhaft Verletzungen des Grundrechts auf informationelle Selbstbestimmung der Betroffenen.

Es geht also um das „Klicken“ des Like-Buttons, was ein Cookie setzt.  Das klang bislang noch ganz anders und würde sämtliche (für einen Datenschutzhardliner unzureichenden) 2-Klick-Lösungen überflüssig machen. Da ich die mir aufdrängende Frage schon gestellt habe, frage ich lieber: Woher kommt der Sinneswandel?

Ist der 2-Klick-Button wirklich datenschutzkonform?

Am Donnerstag stellte der heise-Verlag für seine Internetangebote den „2-Klick-Button“ vor. Mit dem 2-Klick-Button soll, so heise, eine „datenschutzfreundliche“ Einbindung von Social-Media-PlugIns möglich sein. Das Prinzip ist einfach und alles andere als neu. Auf dieser Seite wird derzeit ebenfalls eine 2-Klick Lösung getestet, die der Kollege Jens Ferner bereits vor Monaten vorgestellt hat, lange bevor das ULD sich zur datenschutzrechtlichen Problematik des Facebook Like-Buttons geäußert hat. Die grafisch ansprechende Lösung des heise-Verlags wurde im Netz, dank der selbstüberzeugten Beschreibung, als die heilbringende Lösung gefeiert. Doch die Reaktion von Facebook kam prompt. Die Umsetzung widerspreche den Plattform-Richtlinien. Der heise-Verlag (und viele Nutzer) reagierten ungläubig, wenn nicht gar eingeschnappt. Schließlich habe der 2-Klick-Button zur Lösung eines datenschutzrechtlichen Problems beigetragen. Aber ist das wirklich so? „Ist der 2-Klick-Button wirklich datenschutzkonform?“ weiterlesen