EU-Datenschutz"Facebook tut Dinge, die nicht akzeptabel sind"

Kann Selbstregulierung Internet-Konzerne bremsen? Facebook-Kläger Max Schrems diskutiert mit Innenminister Friedrich über Datenschutz und die Machtlosigkeit der Nutzer. von  und

Innenminister Hans-Peter Friedrich und Max Schrems

Innenminister Hans-Peter Friedrich und Max Schrems  |  © Bundesinnenministerium/Bertrand

ZEIT ONLINE : Herr Friedrich, Herr Schrems, sollte Facebook stärker kontrolliert, reguliert werden? Oder sollte es das nicht? Und wenn es das sollte, wie wäre das möglich?

Hans-Peter Friedrich : Sollte? Unbedingt. Beim Wie wird es schon schwieriger. Aber fangen wir damit an, warum es stärker kontrolliert werden sollte. Ich denke, dass zu viele Leute zu viel von sich preisgeben und sich zu oft anderen Menschen mitteilen, die bestimmte Dinge besser nicht über sie erfahren sollten.

Anzeige

Max Schrems : Ich würde nicht bei den Menschen ansetzen. Die Menschen seien doch selbst Schuld, wenn sie da etwas reinschreiben, ist zwar die leichteste Antwort. So einfach ist es aber nicht. Ich habe meine Daten von Facebook bekommen, flockige 1.200 Seiten . Und da waren wahnsinnig viele Informationen dabei, die ich eigentlich gelöscht hatte, die Facebook aber weiter speicherte. Darunter waren auch viele Informationen, die andere über mich gepostet hatten und die ich selbst nie eingegeben hatte. Ich habe nie meine Uni angegeben, nie meine Schule, nie meinen Zivildienst – trotzdem ließen sich all diese Informationen aus den Daten rekonstruieren.

Max Schrems

Der Wiener Jurastudent Max Schrems will Facebook zwingen, die Datenschutzvorkehrungen im Netzwerk zu verschärfen. 2011 hatte der 25-Jährige Facebook zur Herausgabe der über ihn gespeicherten Daten aufgefordert, Grundlage dafür war Artikel 12 der Europäischen Datenschutzrichtlinie. Er bekam nach einigem Ringen eine CD-ROM mit diesen Daten zugeschickt. Ausgedruckt ergaben sie 1.200 DIN-A4-Seiten. Enthalten waren nach Ansicht von Schrems viele Daten, die er selbst längst bei Facebook gelöscht hatte. Mit seiner Initiative Europe versus Facebook hat Schrems deshalb 22 Beschwerden gegen Facebook bei der zuständigen irischen Datenschutzbehörde DPC eingereicht. Auf einen Teil seiner Beschwerden hat Facebook im Zuge der allgemeinen Prüfung durch die DPC reagiert. Die übrigen werden gesondert von der DPC bearbeitet, bis Ende 2012 soll der Vorgang abgeschlossen sein.

Ich glaube, die Menschen müssen nicht vor sich selbst geschützt werden. Sie lernen das von ganz allein, oder haben das schon gelernt. Mein Freundeskreis ist in den vergangenen Jahren viel vorsichtiger geworden. Das Problem ist vielmehr, dass wir Unternehmen haben, die unabhängig von den Nutzern absurde Mengen von Daten sammeln und damit machen, was sie wollen. Diese Unternehmen sind dabei weit weg von den Gesetzen und es passiert nichts! Wir haben seit über einem Jahr in Irland ein Verfahren gegen Facebook laufen, doch die irischen Behörden unternehmen nichts. Das Unternehmen kann machen, was es will – wir haben ein Durchsetzungsproblem, glaube ich.

Friedrich : Ich habe nicht gemeint, die Leute seien selber Schuld. Ich finde, dass Facebook kontrolliert werden sollte, weil es möglich ist, mit den Daten dort Profile von Menschen anzulegen. In dem Moment, wo eine Profilbildung möglich ist, ist der Schutz der Persönlichkeitsrechte betroffen. So etwas darf nicht unkontrolliert bleiben.

Hans-Peter Friedrich

Hans-Peter Friedrich (54) trat als Jugendlicher der CSU bei, 1998 kam er in den Bundestag. Erst wurde er über die Landesliste gewählt, dann regelmäßig direkt im Wahlkreis Hof. 2009 erhielt er 46,5 Prozent der Erststimmen. Der promovierte Jurist leitete im Bundestag von 2002 bis 2004 den Untersuchungsausschuss zum angeblichen Wahlbetrug der damaligen rot-grünen Koalition. 2005 wurde Friedrich Vizechef der Unionsfraktion, zuständig für Verkehr, Bau, Stadtentwicklung, Tourismus und Kommunalpolitik. Nach dem Rücktritt von Verteidigungsminister Karl-Theodor zu Guttenberg (CSU) im März 2011 übernahm der damalige Innenminister Thomas de Maizière (CDU) dessen Posten und übergab sein altes Amt an Friedrich.

Facebook tut Dinge, die nach unserem Verständnis nicht akzeptabel sind. Was kann ich als deutscher Innenminister dagegen tun? Facebook argumentiert, sie säßen in Irland und unterlägen entsprechend dem EU-Recht dem irischen Datenschutz. Das ist nicht von der Hand zu weisen. Was ich also tun kann, ist erstens für ein besseres EU-Recht zu sorgen. Zweitens kann ich versuchen, dass sie sich zusätzlich zu den für sie geltenden Gesetzen einer freiwilligen Kontrolle in Deutschland unterwerfen.

Schrems : Sagen sie so etwas bei Urheberrechtsverletzungen auch?

Friedrich : Hier geht es um etwas anderes: Wir können nur darauf drängen, sich bestimmten freiwilligen Regularien zu unterwerfen. Das haben wir mit Facebook im Herbst letzten Jahres auch getan. Im März sollten Ergebnisse vorliegen , bislang gibt es sie noch nicht. Ich werde hier weiter drängen.

ZEIT ONLINE : Glauben Sie, dass man einem internationalen datenverarbeitenden Konzern wie Facebook durch eine Selbstverpflichtung beikommen kann, die von einem deutschen Ministerium verhandelt wird?

Schrems : Wir haben hier die in meinen Augen absurde Situation, dass es große Unternehmen gibt, die sich nicht an Gesetze halten – und nichts passiert. Ja es wird sogar noch freundlich mit ihnen geredet. Jeder normale Bürger, der falsch parkt, bekommt einen Strafzettel, denn er hat schließlich ein Gesetz übertreten.

Friedrich : Facebook behauptet, sich an die europäischen Gesetze zu halten. Die irische Datenschutzaufsichtsbehörde kontrolliert dies.

Schrems : Sie würden keinem Autofahrer glauben, der auf die Frage, ob er etwas getrunken hat, mit Nein antwortet. Facebook glauben Sie diese Aussage. Ich kann Ihnen meine Daten zeigen. Dort sehen Sie, dass die gelöschten Daten enthalten sind, das ist illegal. Es geht auch um unsere Glaubwürdigkeit: Wir haben in Europa Gesetze, aber wir setzen sie nicht durch.

Friedrich : Facebook und Co. sind kommerzielle Organisationen, die mit dem, was sie tun, Geld verdienen wollen. Dort muss man ansetzen. Wenn sie hier in diesem Markt Geld verdienen wollen, müssen sie sich an unsere gemeinsamen Gesetze halten. Sie sagen, sie tun es nicht, weil die Gesetze nicht durchgesetzt werden. Unser Ansatz ist es nun, einen Datenschutz zu schaffen, der für ganz Europa gilt – für einen Markt mit 500 Millionen Menschen. Damit haben wir Facebook gegenüber eine größere Macht, diesen Datenschutz auch durchzusetzen.

Schrems : Aber es gibt doch auch jetzt schon Gesetze. Das Problem ist die zuständige Behörde. In Irland sind das 22 Beamte, davon ist kein einziger Jurist. Die sind gnadenlos überfordert. Seit einem Jahr läuft dort mein Verfahren. Ich kann beweisen, dass Facebook Dinge nicht löscht, dass der Konzern Auskunftsersuchen nicht ordentlich beantwortet, aber nichts passiert. Wir setzen nicht einmal die Regeln durch, die wir schon haben. Meine Hoffnung angesichts der geplanten EU-Datenschutzverordnung ist, dass darin hohe Strafen vorgesehen sind. Bis zu zwei Prozent des weltweiten Jahresumsatzes könnten dann bei Verstößen verhängt werden.

ZEIT ONLINE : Kurzer Einwurf – dieser Wert ist bereits gesenkt worden. In den ersten Entwürfen war noch von fünf Prozent des Umsatzes als Strafe die Rede. Unter anderem weil Sie, Herr Friedrich, das als zu hoch kritisiert haben.

Friedrich : Wir haben gesagt, dass es Fälle gibt, beispielsweise bei mittelständischen Unternehmen oder Unternehmen, die nicht von der Datenverarbeitung leben, wo solche Strafen überzogen wären. Aber das ist nicht der entscheidende Punkt. Entscheidend ist, dass wir ein einheitliches Datenschutzgesetz für ganz Europa wollen. Ist das erst einmal verabschiedet, müssen Konzerne wie Facebook und Google sich gut überlegen, ob sie es riskieren wollen, in diesem großen Markt nicht mehr vorzukommen.

ZEIT ONLINE : Herr Schrems, wie schwierig, wie aufwändig ist es nach Ihrer Erfahrung für einen ganz normalen Nutzer, sein Recht gegenüber einem Konzern wie Facebook oder Google durchzusetzen?

Schrems : Für mich bedeutete es bislang ein Jahr Arbeit. Da ist erst einmal die Sprachbarriere, nicht jeder kann Englisch. Für eine Privatperson ist es auch schwer, für ein solches Verfahren Geld zu finden. Falls ich die derzeit laufende Klage in Irland verliere, kostet es mich, weil ich persönlich hafte, 100.000 bis 300.000 Euro. Und ich habe zwar Änderungen erreicht, aber das ist nur ein kleiner Teil dessen, was ich angezeigt und mir erhofft hatte. Wir haben damit zwar eine große mediale Diskussion losgetreten, aber der Druck hat nicht viel gebracht, da Facebook ein Monopol hat beim Thema social media und es keine Alternative gibt.

ZEIT ONLINE : Wie viel leichter würde das mit einer einheitlichen europäischen Verordnung werden?

Schrems : Viel leichter. Der wichtigste Punkt ist, dass alle Rechte einklagbar sind und zwar in dem Land, in dem ich lebe.

Friedrich : Das ist das Ziel.

ZEIT ONLINE : Trotzdem setzen Sie, Herr Friedrich, vorrangig auf das Modell Selbstregulierung und Selbstverpflichtung und sagen, die geplante EU-Datenschutzverordnung orientiere sich zu wenig an diesem Gedanken. Warum?

Friedrich : Wir werden mit dieser Verordnung nicht alle Einzelheiten der Datenverarbeitung für die kommenden zwanzig Jahre regeln können. Es wird immer Spielräume für Auslegungen geben. Wir können nicht alles detailliert für jeden Einzelfall im Gesetz regeln, wenn es Innovation im Netz geben soll. Das Thema Datenschutz betrifft ja nicht nur die Facebooks und Googles dieser Welt, sondern auch die vielen innovativen kleinen und mittelständischen Unternehmen, deren neue Geschäftsmodelle nicht dadurch ausgebremst werden sollen, dass es unnötige Hürden gibt. Die erste Möglichkeit sollte immer sein, die Industrie aufzufordern, sich selbst Regeln zu geben, die das geltende Datenschutzrecht konkretisieren. Solche zusätzlichen Selbstverpflichtungen dienen der konkreten Durchsetzung des allgemeinen Gesetzes. Letztlich muss es darum gehen, möglichst viele Instrumente zu entwickeln, um das Vollzugsdefizit zu beseitigen. Als letzte Möglichkeit kommen weitere staatliche Eingriffe in Betracht. In einer freien Gesellschaft sollte der Staat erst dann weitere Details regeln, wenn sich keine freiwilligen Regeln entwickeln und Gefahr droht.

Schrems : Facebook-Lobbyisten wie Richard Allen behaupten stets genau das: die Regeln seien innovationshemmend. Sie sagen, die geplante Datenschutzverordnung würde sie so stark einengen, dass es Facebook nicht mehr möglich wäre, Geld zu verdienen. Lustigerweise stehen in dem Verordnungsentwurf die gleichen Dinge, die in den bisherigen Gesetzen stehen. Diese ganze Selbstregulierung funktioniert in der Praxis nicht. Bestes Beispiel ist der Ansatz für einen Kodex der sozialen Netzwerke, den Sie vor einem Jahr gewählt haben: Bis heute ist da nichts geregelt. Ich kenne keinen Fall von geglückter Selbstregulierung.

Friedrich : Dem würde ich so nicht zustimmen. Wir kennen sehr erfolgreiche Selbstregulierungen im Jugendschutz und in vielen anderen Bereichen. Bei Google Street View konnten wir mit dem Geodaten-Kodex rasch Erfolge erzielen. Die Unternehmen haben jetzt auch noch eine Plattform errichtet , mit der die Bürger ihre Rechte noch leichter geltend machen können. Mit einem Gesetz hätten wir nicht mehr erreichen können. Was die sozialen Netzwerke betrifft: Ja, ich hätte erwartet, dass die Netzwerkbetreiber zumindest sagen, dass sie die Gesichtserkennung deaktivieren , weil die nicht Bestandteil sozialer Netzwerke ist. Oder dass sie die unkontrollierten Masseneinladungen zu diesen Facebook-Partys durch technische Maßnahmen verhindern.

Patrick Beuth
Patrick Beuth

Patrick Beuth ist Redakteur im Ressort Digital bei ZEIT ONLINE. Seine Profilseite finden Sie hier.

Schrems : Und welche Konsequenzen ziehen Sie nun, nach einem Jahr "Selbstregulierung bei Facebook"?

Friedrich : Jetzt stellen wir fest, es funktioniert noch nicht. Es wird deshalb Zeit, dass die EU-Verordnung kommt. Da müssen wir dann gegebenenfalls noch etwas zu sozialen Netzwerken reinschreiben. Aber in einem halben Jahr gibt es vielleicht schon wieder etwas völlig Neues, wir müssten also permanent an der Verordnung nachbessern oder Details der Kommission überlassen.

Warum sollen nicht die Unternehmen, die das Ganze doch auch technisch und ökonomisch überblicken, erst einmal für eine Selbstregulierung sorgen? Von mir aus zusammen mit den Datenschutzbeauftragten. Warum müssen wir das gleich mit der gesetzlichen Keule machen?

ZEIT ONLINE : In so eine Runde müssten Sie aber auch die Betroffenen holen, die Bürger.

Kai Biermann
Kai Biermann

Kai Biermann ist Redakteur im Team Investigativ/Daten bei ZEIT ONLINE. Seine Profilseite finden Sie hier.

Friedrich : Ja, das ist das, was wir unter regulierter Selbstregulierung verstehen. Den gesetzlichen Rahmen hierfür müssen wir allerdings noch verbessern. Das betrifft das Verfahren und die Beteiligten.

Schrems : Bei dem Kodex der sozialen Netzwerke hat meines Wissens keine Bürgerrechtsorganisation mitgemacht.

ZEIT ONLINE : Wir würden zum Abschluss gerne noch allgemeiner über das Recht auf Vergessenwerden sprechen. Wie kann man sich dieses Recht vorstellen, wie lässt es sich durchsetzen? Es gab einen Wettbewerb im Bundesinnenministerium zu diesem Thema. Herr Friedrich, was ist dabei herausgekommen?

Friedrich : Ganz ehrlich: Wir haben keine technische Lösung gefunden. Realistisch ist allenfalls, einen Anspruch auf Löschung von Daten gegenüber einem Anbieter wie Facebook einzuführen.

Schrems : Schon jetzt gilt: Daten, die nicht mehr relevant sind, müssen gelöscht werden. Aber wer definiert, welche Daten in diese Kategorie gehören? Das ist das Grundproblem bei der Umsetzung. Meiner Meinung nach ist das Recht auf Vergessenwerden, das jetzt in der EU-Datenschutzverordnung steht, ein reiner PR-Gag. Es ist nur eine neue Überschrift für etwas, das es schon lange im Datenschutzrecht gibt – mit dem kleinen Zusatz, dass ein Anbieter wie Facebook künftig auch alle Drittanbieter über den Löschantrag informieren muss.

Zur Startseite
 
Leserkommentare
  1. 2. [...]

    Entfernt. Bitte kommentieren Sie zum konkreten Artikelinhalt. Danke, die Redaktion/ls

  2. das ist den Arbeitsaufwand für die Formulierungen nicht wert.
    Naja, für die Firmen schon, bringt es doch Zeit und damit Geld.

    6 Leserempfehlungen
  3. 1. Das ist "geplant", also im Moment nicht gültig, oder verstehe ich Sie falsch?

    2. Würde es mich sehr wundern, wenn es juristisch möglich wäre, dieses bei einer Firma einzuklagen, deren Sitz ausschließlich in den USA ist. Europäische Gerichte haben nämlich logischerweise genausowenig Befugnis, über ausländische Firmen zu urteilen wie im umgekehrten Fall amerikanische über Europäische. Ich bin kein Jurist und lasse mich gerne vom Gegenteil überzeugen, aber dass die amerikanische Justiz hierbei mitspielt, halte ich für utopisch...
    Die einzige Möglichkeit, das durchzusetzen, wäre eine Verordnung, die ausländische Angebote "unerreichbar" für Europäische Nutzer macht, falls die Datenschutzrichtlinien nicht eingehalten werden... Ein Schelm, wer dabei Böses denkt: werden die "Netzsperren", die eigentlich ja schon in der Versenkung verschwunden sind, nun in den Bauch des Trojanischen Pferdes "Datenschutz" gestopft?

    4 Leserempfehlungen
    Antwort auf "Irland"
    • cargath
    • 17. Oktober 2012 11:19 Uhr

    Wenn Facebook sich nicht an bestehende Gesetze haelt, dann muss dagegen vorgegangen werden. Dass die Nutzer aber machtlos sind ist Schwachsinn - wenn keiner mehr mitmacht hat Facebook verloren. Hat schon bei Schlecker funktioniert ;) Das Verhalten von Facebook ist aus Sicht der Masse offenbar noch nicht soo schlimm, sonst wuerden die Leute einfach austreten.

    4 Leserempfehlungen

Bitte melden Sie sich an, um zu kommentieren

Service