Informationsrechtler über Facebook: "Verlangen Sie Auskunft!"

Der Informationsrechtler Rainer Erd über die Durchsetzung deutschen Datenschutzrechts und mögliche Sanktionen gegen Facebook. Seine Idee: 500.000 Facebook-Nutzer sollen gleichzeitig Auskunft verlangen.

Welche persönlichen Daten sind gespeichert? Darüber muss informiert werden. Bild: dpa

taz: Facebook hat einfach seine Datenschutzerklärung für die USA ins Deutsche übersetzt, offenbar ohne auch nur einen einzigen Gedanken an die hiesige Datenschutzkultur zu verschwenden. Sind rechtlich gegen so viel Dreistigkeit Sanktionen möglich?

Rainer Erd: Das Datenschutzrecht in Deutschland ist relativ schwach ausgestaltet, was die Sanktionen anbelangt. Laut Gesetz können im Bußgeldverfahren Geldstrafen zwischen 50.000 und 300.000 Euro verhängt werden.

Das ist doch eine ganze Menge Geld ...

Das klingt viel, ist aber meines Wissens noch nie in der Praxis geschehen. Die Datenschutzbeauftragten könnten Sanktionen verhängen, tun das aber im Regelfall nicht.

Warum nicht?

In der Regel werden Abmahnungen verschickt, darauf reagieren die Firmen dann, oder sie reagieren eben nicht. Nur in den allergrößten Ausnahmefällen verhängen die Datenschutzbeauftragten Geldsanktionen.

Warum sind die Datenschutzbeauftragten so zurückhaltend?

Ich nehme an, das hängt damit zusammen, dass es im Datenschutzrecht bisher immer eine Art Konsens des "das macht man nicht" gab. Es ist ja auch neu, dass der Datenschutz solch eine Bedeutung hat, wie er sie jetzt durch die großen Skandale bei der Bahn, der Telekom und Lidl erhalten hat. Vorher war er ja immer ein Stiefkind, das im Verborgenen vor sich hinschlummerte. Ich könnte mir vorstellen, dass jetzt, da immer mehr Verstöße publik werden, die Datenschutzbeauftragten auch mehr Sanktionen verhängen werden.

PROFESSOR RAINER ERD, geboren 1944, Jurist. Bis Februar 2010 war Erd Professor für Informationsrecht an der Hochschule Darmstadt. Seit 1.3.2010 ist er Rechtsanwalt in der Frankfurter Anwaltskanzlei Schmalz, dort zuständig für Datenschutzrecht und Medienrecht.

Die Zeitschrift Ökotest hat Firmen auf ihre Datenschutzfreundlichkeit untersucht. Die meisten bekamen gute Noten, darunter auch StudiVZ – Facebook und Google bekamen hingegen attestiert, das deutsche Datenschutzrecht mit den Prinzipien Zweckbindung, Erforderlichkeit, Transparenz und Datensparsamkeit überhaupt nicht einzuhalten.

***

Zweckbindungsgrundsatz: Der Zweck, zu dem die Daten erhoben werden, muss ein rechtmäßiger sein, er darf nicht rechtswidrig sein.

Erforderlichkeitsgrundsatz: Nur die Daten dürfen erhoben werden, die notwendig sind.

Transparenz: Es muss für denjenigen, dessen persönliche Daten erhoben wurden, jederzeit nachvollziehbar und transparent sein, welche Daten erhoben worden sind und was mit ihnen geschen ist.

Und seit neuestem gilt noch das Prinzip der Datensparsamkeit für alle Fälle im Bundesdatenschutzgesetz. Grundsätzlich sollen so wenige Daten wie möglich erhoben werden. Je weniger ich preisgebe, desto weniger Daten können auch von anderen erhoben werden. Selbstdatenschutz, sagt man, ist der beste Datenschutz.

Braucht der Datenschutz nun auch neue Institutionen?

Nein, die im Gesetz vorgesehenen Institutionen reichen eigentlich aus. Es gibt Datenschutzbeauftragte auf Landes-, Bundes- und auch auf Europa-Ebene. Und in jedem Unternehmen. Facebook müsste auch einen haben, sie haben ja seit kurzem eine Niederlassung in Deutschland. Ob sie wirklich einen haben, weiß ich aber nicht. Stellen Sie mal einen Auskunftsantrag, dann sehen Sie, wer antwortet. Wenn überhaupt jemand.

Bestimmt haben die wen benannt. Aber nimmt der seine Aufgabe auch wirklich ernst?

Wohl kaum, sonst hätten die nicht so problematische Datenschutzbestimmungen. Sie nannten das Beispiel Datenschutzerklärung: Da wurde die amerikanische Erklärung einfach übersetzt, Wort für Wort. Das amerikanische Datenschutzrecht ist viel lascher als das deutsche.

Der Umgang mit Daten bei Facebook ist der genaue Gegensatz von dem, was das deutsche Datenschutzrecht vorsieht. Alles liegt in der Entscheidungsgewalt von Facebook, der Nutzer hingegen weiß nicht, welche persönlichen Daten von ihm überhaupt gespeichert sind, wohin sie übermittelt werden und für wie lange.

Andere Länder, andere Sitten – auch im Datenschutz?

In Europa ist das recht einheitlich, alle Länder der EU müssen ein ähnliches Datenschutzniveau haben, das sieht die EU-Datenschutzrichtlinie vor. Aber außerhalb von Europa sieht es ganz anders aus. Beispiel USA, oder auch China: dort kennt man Datenschutz schlichtweg nicht. Argentinien hingegen hat ein verhältnismäßig starkes Datenschutzrecht. Prinzipiell ist es außerhalb von Europa eher problematisch.

Bei den Verhandlungen um das Swift-Abkommen zeigt sich, dass die Amerikaner beim Datenschutz nicht viel mit sich reden lassen ... Wie groß sind denn die Chancen, dass sich die kontinentaleuropäischen Datenschutz-Prinzipien international verankern lassen?

Ich würde da etwas anderes empfehlen. Nach §34 des Bundesdatenschutzgesetzes ist es möglich, Auskunft zu verlangen. Es gibt ja 7,5 Millionen deutsche Facebook-Nutzer. Man stelle sich vor, es gäbe so etwas wie eine konzertierte Aktion von, sagen wir mal 500.000 Personen. Von denen würde jeder Auskunft verlangen darüber, was mit ihren Daten angestellt wird.

Dann macht Facebook erstmal gar nichts ...

... und wenn sie nichts machen, dann können die Leute Gerichte in Anspruch nehmen und klagen und die Datenschutzbeauftragten werden aktiv. Vergleichbares kennen wir aus anderen Bereichen des Verbraucherschutzes. Und denken Sie mal weiter zurück an den Volkszählungsboykott in den Achtzigern. Da haben die Leute die Interviewer nicht in die Wohnung gelassen und Formulare nicht ausgefüllt.

Ein Plädoyer für einen Datenschutz, der vor allem am Nutzer selbst ansetzt?

Das allererste Plädoyer. Ich weiß natürlich auch, dass viele nicht aktiv werden. Aber es wäre ein Anfang. Ganz basisdemokratisch seine eigenen Daten selbst in die Hand zu nehmen.

Einmal zahlen
.

Fehler auf taz.de entdeckt?

Wir freuen uns über eine Mail an fehlerhinweis@taz.de!

Inhaltliches Feedback?

Gerne als Leser*innenkommentar unter dem Text auf taz.de oder über das Kontaktformular.

Wir würden Ihnen hier gerne einen externen Inhalt zeigen. Sie entscheiden, ob sie dieses Element auch sehen wollen.

Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.

Bitte registrieren Sie sich und halten Sie sich an unsere Netiquette.

Haben Sie Probleme beim Kommentieren oder Registrieren?

Dann mailen Sie uns bitte an kommune@taz.de.