Original-URL des Artikels: https://www.golem.de/news/dsgvo-ist-datenwucher-okay-1910-144471.html    Veröffentlicht: 17.10.2019 14:07    Kurz-URL: https://glm.io/144471

DSGVO

Ist Datenwucher okay?

Auch nach über einem Jahr DSGVO sammeln Facebook und Google munter weiter Daten, ebenso Nachrichtenportale und viele Blogseiten. Die Datenschutz-Aufsichtsbehörden sehen sich im Moment nicht imstande, dem einen Riegel vorzuschieben.

"Privacy by Design" und "Privacy by Default", die großen Versprechen der europäischen Datenschutz-Grundverordnung (DSGVO), sind noch immer keine Realität. Denn das hieße, dass Dienste von Beginn an nur die Daten erheben, die unbedingt notwendig sind. Und jeder weiteren Datenerhebung müssten Nutzer zustimmen.

Doch nicht überall kann das umgesetzt werden: Die automatische Gesichtserkennung etwa lässt sich in der Europäischen Union nicht über eine Einwilligung regeln. Das haben Gerichte festgestellt. Auch die Auswertung des Nutzerverhaltens nach politischen oder sexuellen Präferenzen ist äußerst fragwürdig. Dazu laufen derzeit mehrere Beschwerdeverfahren von Bürgerrechtsorganisationen bei den Aufsichtsbehörden.

Facebook regelt alles vertraglich

Konkreter Fall: Facebook verlangt keine Einwilligung mehr, sondern hat mit Verweis auf Art. 6 Abs. 1 S. 1 Buchst. b) DSGVO nach eigener Aussage auf das Modell des Nutzungsvertrags umgestellt: Der Vertrag soll das Erstellen von Nutzerprofilen samt verhaltensbasierter Werbung abdecken. Der Verbraucherzentrale Bundesverband (VZBV) führt derzeit gleich mehrere Verfahren gegen den Social-Media-Dienst.

"Hier stellt sich die Frage: Darf Facebook das einfach so machen? Hier gibt es sicher rechtliche Grenzen, damit Schutzmechanismen der DSGVO nicht ins Leere laufen", sagt Heiko Dünkel vom VZBV. Der Verband gehe derzeit in seinen Verfahren von einem engen Vertragszweck aus. Was über den Kernbereich des Vertrags hinausgehe, brauche eine eigene Rechtsgrundlage.

Auch im Bereich des Onlinemarketings sieht der VZBV rechtliche Probleme. Er beschäftigt sich mit Onlinediensten, die das Setzen von Drittanbieter-Cookies und ähnlichen Technologien zur Nachverfolgung des Nutzerverhaltens auf der Grundlage einer Interessenabwägung betreiben. Darin sieht er ein falsches Verständnis der einschlägigen Vorschrift in Artikel 6 Abs. 1 S. 1 Buchst. f) DSGVO, die nicht als Rechtsgrundlage dafür herangezogen werden könne. In dieser Auffassung wurde er durch die Entscheidung des Europäischen Gerichtshofs in seinem Verfahren gegen den Werbedienstleister Planet49 bestätigt.

Unter Daten- und Verbraucherschützern gibt es eine Auseinandersetzung darüber, wie gründlich die Aufsichtsbehörden prüfen sollen, um diese Zustände zu beenden: Lehnen sie sich zurück und prüfen nur, ob die Einwilligung rechtskonform ist? Oder schauen sie sich auch an, in was die Nutzer überhaupt einwilligen sollen? Prüfen sie also die Nutzungsbedingungen der Unternehmen nach rechtswidrigen Inhalten?



Was soll geprüft werden?

Im engeren Sinne geht es um die Auslegung von Art. 6 Abs. 1 S. 1 Buchst. b) DSGVO, der die Daten in Verträgen anspricht. Im weiteren Sinne geht es um die Frage, inwieweit Unternehmen personenbezogenen Daten einen wirtschaftlichen Wert verleihen können und deren Auswertung vertraglich festlegen können. Kurzum: Dürfen Unternehmen Datenwucher betreiben?

Prüfen die Aufsichtsbehörden erst einmal nur strikt nach DSGVO die Einwilligungen, müssen die Verbraucherverbände nachziehen und die Klauseln in den Nutzungsbedingungen darauf prüfen, ob sie mit dem Verbraucherschutzrecht in Einklang stehen. Bis dann die jeweiligen Fragen vor Gericht geklärt sind, kann es schon einmal ein Jahrzehnt bis zum letzten Richterspruch dauern. Anders wäre es möglicherweise, wenn die Aufsichtsbehörden von Anfang an in Übereinstimmung mit dem Vertragsrecht und dem Verbraucherschutzrecht prüfen würden.

Der Europäische Datenschutzausschuss, in dem alle europäischen Datenschutz-Aufsichtsbehörden zu einer gemeinsamen Meinung kommen sollen, hat dazu Guidelines veröffentlicht, in denen er nur eine abstrakte Prüfung fordert. Um die genauen Vertragsinhalte sollen sich die Verbraucherschützer kümmern.

Kritik: Inflation der Einwilligung

Was das bedeutet, erklärt Datenschutzexperte Malte Engeler so: "Praktisch relevant wird das dort, wo Klauseln in Verträgen bestimmte Datenverarbeitungen wirksam vereinbaren, etwa bei einem Bäcker, der nur Kartenzahlungen nimmt. Dort wären dann die ganzen Lastschriftdaten 'erforderlich' für diese konkrete Situation." Der Europäische Datenschutzausschuss prüft aber den Fall nur abstrakt nach dem Motto: Braucht man zwingend eine Kartenzahlung beim Bäcker? Die Antwort würde dann Nein lauten, weil es ja auch Bargeld gäbe. Im konkreten Fall müsste der Bäcker also eine Einwilligung der Kunden einholen, die mit Karte zahlen wollen.

Für Engeler ist klar: "Das führt am Ende dazu, dass die Kunden und Kundinnen überall in alles einwilligen und oft auch in mehr, als was wirklich nötig wäre." Prüfte die Datenschutzaufsicht hingegen anhand der konkreten Klauseln, ließen sich unmittelbar unzulässige Regelungen herausfiltern. So könnte man konkret untersagen, dass die Kundendaten an einen Schuldnerpranger weitergegeben werden, falls die Lastschrift scheitert. Engeler: "Einen solchen Filter kennt die Einwilligung aber nicht - da geht es nur um Informiertheit." Transparenz allein aber helfe dem Kunden in solchen Fällen nicht weiter.



Sollen die Datenschützer auch das Kleingedruckte prüfen?

Je komplexer die Nutzungsbedingungen sind, desto schwieriger wird es für die Aufsichtsbehörden, herauszufiltern, was tatsächlich notwendig ist. Letztlich entscheide die Datenschutzaufsicht darüber, welchen Kerndienst ein Anbieter anbieten dürfe, kritisiert Engeler. Bei komplexen und multifunktionalen Diensten könnten aber Behörden unterschiedlicher Ansicht darüber sein, was denn wirklich der Kern oder eigentliche Zweck des Dienstes sei, und zu unterschiedlichen Beurteilungen kommen.

Letztlich griffen die Aufsichtsbehörden damit in die Vertrags- und Geschäftsfreiheit der Unternehmen ein, ohne sich mit den eigentlichen Bestimmungen des Vertrages, also dem Kleingedruckten, zu beschäftigen.

In diese Richtung argumentiert auch der BVDW, der Verband der digitalen Werbeindustrie: Er sieht bereits in der Prüfung, welchen Kerndienst ein Unternehmen eigentlich anbietet, eine Grenzüberschreitung. Die Auffassung des Datenschutzausschusses zu Datenminimierung und Zweckbindung stehe "im krassen Gegensatz zu den Realitäten und Notwendigkeiten einer Datenwirtschaft", protestiert der Verband in seiner Stellungnahme. Der Ausschuss verlasse damit den zulässigen Kompetenzrahmen.

Anders als Engeler will der BFDW jedoch die Datenschützer komplett aus der Vertragsprüfung heraushalten: Was vertraglich geregelt werden könne, sei über das europäische Verbraucherschutz- und Vertragsrecht, aber nicht über die DSGVO festzulegen.

Würde sich der Europäische Datenschutzausschuss mit den Verbraucherschützern zusammensetzen und bestimmte Klauseln für unwirksam erklären, könnte er unmittelbar einen flächendeckenden Mindeststandard durchsetzen. So wäre ein Mindestschutz bei Facebook, Google & Co. erreichbar, ohne dass Nutzer mit letztlich wirkungslosen Einwilligungsanfragen bombardiert würden. Die Verbraucherzentralen unterstützen im Moment aber den eng fokussierten Kurs der Datenschützer, zu prüfen, ob die Datenerhebung für die Vertragserfüllung überhaupt notwendig ist.

Dünkel sagt: "Wir neigen der Position des Datenschutzausschusses zu." Damit werden die Nutzer noch eine Weile mit der Anfrageflut nach ihrer "freiwilligen" Einwilligung leben müssen.

 (csh)


Verwandte Artikel:
Verschlüsselung: Regierungen wollen Backdoors in Facebook für Untersuchungen   
(04.10.2019, https://glm.io/144255 )
Datenschutzverstöße: Lieferdienst muss 195.000 Euro DSGVO-Bußgeld bezahlen   
(19.09.2019, https://glm.io/143973 )
Chatsoftware: Slack verkauft Cloud in Frankfurt als lokales Hosting   
(12.09.2019, https://glm.io/143822 )
Azure: Microsoft versucht es mit der deutschen Cloud erneut   
(29.08.2019, https://glm.io/143521 )
Landesdatenschutzbeauftragter: Viele Hinweise auf Videoüberwachung   
(27.08.2019, https://glm.io/143467 )

© 1997–2020 Golem.de, https://www.golem.de/