Leseprobe
Inhaltsverzeichnis
Abbildungsverzeichnis
1 Einleitun
1.1 Problemstellung
1.2 Zielsetzung
1.3 Vorgehensweise
2 Grundlagen
2.1 Datenschutzrechtliche Grundlagen
2.1.1 Deutschland
2.1.2 Europäische Union
2.1.3 International
2.2 Soziale Netzwerke
3 Datenschutz in sozialen Netzwerken
3.1 Anforderung Datenschutz
3.1.1 Deutschland
3.1.2 Europäische Union
3.1.3 International
3.2 Datensammlung
3.2.1 Persönliche Daten
3.2.2 Nutzer-Verhalten
3.3 Facebook
4 Bewertun
4.1 Fehlender Schutz
4.2 Aktuelle Entwicklungen
5 Faz
Literaturverzeichn
Abbildungsverzeichnis
Abbildung 1: Siegerpodest
Abbildung 2: Umfrage Deutschland
Abbildung 3: Kontroverse
1 Einleitung
Ein neues Kapitel des Schutzes persönlicher Daten wurde am 25. Mai 2018 mit der Datenschutz-Grundverordnung der Europäischen Union eröffnet. Die Umsetzung zum Datenschutz begann dadurch nicht nur in Europa, sondern auch weltweit. Die weltweite Geschäftstätigkeit der US-Anbieter von digitalen Diensten setzt auf digitale Geschäftsmodelle, die sich nach der Einhaltung der Datenschutz-Grundverordnung ausrichten. Datenschutzbehörden, Mitgliedsstaat und die Europäische Union sind dabei gefordert, aktiv an der Entwicklung und Prüfung der neuen Herausforderungen mitzuwirken. Helfende Akteure zum Datenschutz können ebenfalls private Organisationen, technische Überwachungsvereine und Organisationen des Konsumentenschutzes sein.1 Das Internet der modernen Gesellschaft verschafft Informationen auf Knopfdruck. Das Internet ist kostenlos nutzbar, schnell, effizient und global verfügbar. Ein besonderes Augenmerk gilt der vereinfachten Kommunikation, die Nutzer auf verschiedenen Kontinenten miteinander verbinden. Durch die Vernetzung der Nutzer können weit verzweigte Beziehungsflechten entstehen. Optimale Plattformen dafür sind soziale Netzwerke. Die Beliebtheit durch hohe Mitgliederzahlen bestreben Plattformbetreiber zur Weiterentwicklung des inhaltlichen Angebots und sowie zur Ausweitung der Kommunikationsstrukturen. Social Networks erleben eine massive Veränderung der Aufforderung zur Einhaltung von Persönlichkeits- und Markenrechten. Der gesellschaftliche Diskurs zur Datenschutz-Grundverordnung in sozialen Netzwerken erhöht sich mit den steigenden Missbrauchsfällen und den resultierenden und überarbeitenden Bußgeldern, Strafen und Sanktionen. Datenspeicherung, Kommunikationstechnik und Nutzerverhalten in sozialen Netzwerken werden ohne verstärkte Vorgaben von Sicherheitsmaßnahmen durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) und der EU-DSVGO, zu einer zwangsläufigen Datenschutz-Sackgasse.2 Ein harmonisierter und freier Datenverkehr soll in Anbe- tracht des Schutzes personenbezogener Daten europaweit und international gewährleistet werden.3 Informationelle, individuelle und kollektive Selbstbestimmung sind Grundbausteine für ein zukunftsfähiges Konzept des Datenschutzes.4
1.1 Problemstellung
Die europäische Datenschutz-Grundverordnung ist motiviert, den technologischen Wandel auf Augenhöhe zu begegnen. Es ist eine Diskrepanz zwischen den Datenschutzaktivisten und den Netzwerkbetreibern zu erkennen. Um die bisher entstandene Situation besser beurteilen zu können, bedarf es der Gegenüberstellung vom aktuellen Datenschutz und der Ausübung und Einhaltung des Datenschutzes in sozialen Netzwerken.
1.2 Zielsetzung
Der wissenschaftliche Mehrwert wird anhand der besseren Zuordnung von sozialen Netzwerken und den darin umgesetzten Datenschutz, entstehen. Für eine aussagekräftige Arbeit muss der Datenschutz international betrachtet werden. Um Schnittstellen vom Datenschutz zu sozialen Netzwerken erarbeiten zu können, wird ein namhaftes soziales Netzwerk zur Ausarbeitung herangezogen werden müssen.
1.3 Vorgehensweise
Die Arbeit wird basierend auf der empirischen Untersuchung mithilfe der Literaturrecherche durchgeführt. Zunächst werden die Datenschutz-Grundlagen national, auf EU-Ebene und international betrachtet. Das zweite Kapitel beinhaltet ebenfalls die kurze Grundlagen-Einführung zu sozialen Netzwerken. Im nachfolgenden 3. Kapitel wird der Datenschutz in Bezug zur künftigen internationalen Anforderung und zur Anwendung in sozialen Netzwerken, überführt. Als Paradebeispiel wird das größte soziale Netzwerk, Facebook, näher betrachtet. Die Bewertung eines fehlenden Schutzes sowie ein kurzer Einschnitt auf die aktuellen Entwicklungen können im vierten Kapitel festgemacht werden. Die Zusammenfassung wird im 5. Kapitel als Fazit gestaltet.
2 Grundlagen
Folgende Grundlagen werden zum berichtigten Verständnis dieser Arbeit dienen. Zur Übersicht wird der Datenschutz territorial getrennt. Was ein soziales Netzwerk ist und warum der Datenschutz in sozialen Netzwerken zum Einsatz kommt, wird mit dem Übergang zum 3. Kapitel deutlich.
2.1 Datenschutzrechtliche Grundlagen
Die Datenschutz-Grundverordnung ist ein Kompromiss zwischen drei unterschiedlichen Konzepten. Die Kommission, das Parlament und der Rat sind die drei im Gesetzgebungsverfahren der Union relevanten Institutionen. Die Datenschutz-Grundverordnung wurde insofern zum Kompromiss, da ursprünglich ein Machtkampf um die zukünftige Ausgestaltung des Datenschutzes zwischen diesen drei Institutionen herrschte. Der Streit wurde letztendlich zwischen den Mitgliedsstaaten und der Union ausgetragen. Die Datenschutz-Grundverordnung soll eine unterschiedliche Umsetzung, Auslegung und Anwendung des Datenschutzes verhindern. Am 25. Januar 2012 gab die Europäische Kommission ihren Entwurf der DSGVO (DatenschutzGrundverordnung) bekannt. Erst nach zwei Jahren der Diskussion, zwischen Union und den Mitgliedsstaaten, konnte am 12. März 2014 den Mitgliedsstaaten Spielräume in Form von nationalen Regelungen eingeräumt werden. Einzelheiten der Erlaubnistatbestände der „klassischen“ Datenverarbeitung können somit durch öffentliche Stellen auch selbst geregelt werden. Hinsichtlich des Sozialdatenschutzes gibt es ebenfalls Entscheidungsspielräume. Vereinfachte Verordnungsregeln des Datenschutzes können bereichsspezifisch in den Mitgliedsstaaten beibehalten oder mit neuen Datenschutzregeln ergänzt werden.5 Die Europäische Union verfolgt drei Ziel- setzungen. Das Datenschutzrecht soll unionsweit vereinheitlicht und einen kohärenten sowie durchsetzbaren Rechtsrahmen schaffen. Durch gleiche wirtschaftliche Bedingungen in den einzelnen Staaten kann dadurch der Binnenmarkt gestärkt werden. Das gleiche gilt auch für Grundrechte und Grundfreiheiten von natürlichen Personen bei der Verarbeitung personenbezogener Daten. Grundrechte müssen aufgrund der schnelllebigen und modernisierten technischen Entwicklung verbessert werden. Jede einzelne Person sollte Kontrolle über ihre eigenen Daten erlangen können. In rechtlicher und praktischer Hinsicht sollten somit private Nutzer, Wirtschaft und Staat über mehr Sicherheit verfügen. Mit insgesamt 99 Artikeln wird der Datenschutz in der Datenschutz-Grundverordnung geregelt. Die Hälfte davon beschäftigt sich mit dem materiellen Datenschutzrecht. Die andere Hälfte befasst sich mit organisatorischen Fragen der Datenschutzaufsicht. Eine neue und wichtige Datenschutzregelung ist die räumliche Ausweitung des Anwendungsbereichs durch das Marktortprinzip. Dadurch ist die Verordnung auf Datenverarbeiter anwendbar, die sich in der Union aufhalten. Ausschlaggebend hierfür ist, dass Der Verarbeiter der Daten der betreffenden Person, Waren oder Dienstleistungen anbietet oder das Verhalten der Person durch Daten analysiert. Bisher unbekannt war das Szenario von Personen bereitgestellte Daten auf einen Dritten, demnach weiteren Datenverarbeiter zu übertragen. Die enge Zusammenarbeit von Aufsichtsbehörden und der Union ergaben neue Regelungen in der Organisation sowie Erweiterungen zu Strafen und Sanktionen. Bis zu 20.000.000 EUR oder bis zu vier Prozent des gesamten weltweit erzielten Jahresumsatzes im Falle von Unternehmen. Eine gute Grundlage zur Vorbeugung unbeabsichtigter Verstöße sowie zur erleichterten Kommunikation mit Kunden und Stakeholdern kann eine Zertifizierung der eigenen Datenverarbeitungsvorgänge von Vorteil sein.6 Durch den zunehmenden technologischen Wandel wird der IT- Grundschutz zum unerlässlichen praktikablen und angemessenen Schutz von Informationen angesehen. Das Sicherheitsniveau in Unternehmen wird dadurch erhöht und liefert einen haltbaren Standard für die IT-Sicherheit. Dieser wird vom Bundesamt für Sicherheit in der Informationstechnik (BSI) weiterentwickelt und regelmäßig mit internationalen Normen wie dem ISO/IEC 27001 kollationiert. Ein nennenswerter BSI-Standard zum IT-Grundschutz für Unternehmen kann mit dem Einsatz von einem Managementsystem für Informationssicherheit (ISMS) umgesetzt werden. Der BSI bietet unter anderem Empfehlungen zu organisatorischen Maßnahmen, Zertifizierungsmöglichkeiten als auch konkrete Vorgehensweisen bei konkreten Sicherheitsanforderungen. Der Gefahrenkatalog kann online auf der Homepage vom BSI in verschiedenen Gefährdungskategorien eingesehen werden.7
2.1.1 Deutschland
Die Datenschutz-Grundverordnung verbessert die Kommunikation über Datenschutzrecht und insbesondere die Kompetenz zur Datenschutzberatung der Aufsichtsbehörden. Damit Aufsichtsbehörden den Gesetzgeber, verantwortliche und betroffene Personen in Datenschutzfragen beraten können, bedarf es der permanenten Beobachtung aktueller Entwicklungen zur Datenverarbeitung. Die DSGVO fordert Aufsichtsbehörden auf, das nationale Parlament, die Regierung sowie weitere Einrichtungen über Maßnahmen zum Schutz der Rechte und Freiheiten natürlicher Personen in Bezug auf deren Datenverarbeitung, zu beraten. Weiterhin sollen Aufsichtsbehörden die Verantwortlichen und Auftragsverarbeiter über ihre datenschutzrechtlichen Pflichten sensibilisieren. Die Beratung der Datenschutzbeauftragten gehört ebenfalls zur Aufgabe von Aufsichtsbehörden. Auf die Vorteile einer Zertifizierung kann nicht oft genug hingewiesen werden. Die Aufsichtsbehörde übernimmt darüber hinaus noch Öffentlichkeitsarbeit. Hierzu wird die Öffentlichkeit über Risiken, Vorschriften, Garantien und Rechte bei der Verarbeitung von personenbezogenen Daten aufgeklärt. Besonderen Schutz soll vor allem den gefährdeten Gruppen wie Kindern angeordnet werden.8 Es gibt im Grundgesetz zwar kein Grundrecht auf Datenschutz, doch herrscht aufgrund ständiger Rechtsprechung nun seit 1983 das Grundrecht auf informationelle Selbstbestimmung. Dies stellt die Grundlage und das Schutzgut des deutschen Datenschutzrechts dar. Die informationelle Selbstbestimmung schütz die selbstbestimmte Entwicklung des einzelnen der entscheiden kann, welche Daten er über sich und in welcher Rolle oder Kommunikation, preisgibt. Unabhängig ob eine staatliche Behörde oder ein privates Unternehmen personenbezogene Daten gegen den Willen der betroffenen Person verarbeitet, durch das Grundrecht bleibt es in beiden Fällen schutzwürdig. Eine unmittelbare Abwehrfunktion wird gegenüber dem Staat begründet. Private Unternehmen greifen eingeschränkt in das Grundrecht ein, sofern die Datenverarbeitung ebenfalls aufgrund eines anderen Grundrechts, wie dem der Berufsausübung, durchgeführt wird. Diese Schutzpflicht zur Datensicherheit kann durch materielle Verhaltensvorschriften, technische-, organisatorische- und verfahrensmäßige Vorkehrungen, verwirklicht werden. Diese Beschreibungen sind Anforderungen der Datensicherheit und der Datenschutzaufsicht. Das Resultat dieser Anforderungen ist gleichzeitig auch das Erfordernis, eine effektive Kontrolle der Datenverarbeitung vorzunehmen. Diese Aufgaben werden von Aufsichtsbehörden durchgeführt. Unabhängige Kontrollen in Form von heimlichen Datenerhebungen werden durch das Bundesverfassungsgericht allenfalls Kontrollkommissionen und unabhängige Datenschutzbeauftragten eingeräumt. Ferner gelten zur Anti-Terrordatei und Gewährleistung der Gesetzmäßigkeit der Verwaltung insgesamt, besondere Ausgestaltungen der Datenverarbeitung.9 Die DSGVO ist verbindlich und gilt ohne mitgliedstaatlichen Umsetzungsakt. Den nationalen Gesetzgebern verbleibt damit keine Regelungsmöglichkeit in diesen Anwendungsbereich. Dennoch haben die EU-Mitgliedsstaaten durch Öffnungsklauseln einen Raum zur Schaffung ergänzender nationaler Regelungen geschaffen, damit Besonderheiten wie Datenschutz in Strafsachen, umgesetzt werden können. Datenschutzanpassungen wurden national zusätzlich mit dem Beschluss des neuen BDSG (Bundesdatenschutzgesetz) vom 27. April 2017 vorangetrieben, welches jedoch weiterhin unter Kritik steht, im Einklang mit den Regelungen zum Europarecht und der DSGVO zu sein.10 Folgende Grundsätze zur Datenverarbeitung in Unternehmen werden durch die DSGVO vorgegeben:
- Rechtmäßigkeit der Verarbeitung
- Datentransparenz für das Auskunftsrecht von Betroffenen
- Zweckbindung der Datenverarbeitung
- Datenminimierung
- Richtigkeit der Datenverarbeitung
- Speicherbegrenzung durch Löschfristen
- Integrität und Vertraulichkeit
- Datenschutz in neue Technologien einplanen (Privacy by default)11
Datenschutzbeauftragte (DSB) sind in Unternehmen die zentralen Ansprechpartner und sorgen für eine angemessene Umsetzung und Kontrolle dieser DatenschutzGrundsätze. IT und Datenschutz werden durch den ISB (Informationssicherheitsbeauftragten) und den DSB in Kombination gebracht. Erfahrungen auf diesen Gebieten sind für einen ausreichenden Schutz im Unternehmen unerlässlich.12
2.1.2 Europäische Union
Unionsweit entstehen durch die DSGVO neue Aufgaben in der Kooperation innerhalb der EU-Staaten. Das ist für die Aufsichtsbehörden ein neues Unterfangen. Mit der Suche nach gemeinsamen Standpunkten entstehen Verhandlungen mit anderen Aufsichtsbehörden. Diese wiederum werden durch die fremden Sprachen, fremden Rechtsordnungen und individueller Datenschutzpraxis erschwert. Die Mitwirkung im Europäischen Datenschutzausschuss ist eine wichtige Aufgabe jeder Aufsichtsbehörde. Die DSGVO fordert ausdrücklich die Mitgliedstaaten auf, ausreichende Ressourcen für die Kooperation in der Union und auf internationaler Ebene, zur Verfügung zu stellen.13 Die Gewährleistung von Grundrechten und Freiheiten gegenüber der Verarbeitung personenbezogener Daten nehmen eine besondere Stellung in den Aufsichtsbehörden ein. Aufsichtsbehörden sind unabhängige Behörden, die diese erlassenen Regelungen überwachen und auf deren Umsetzung überprüfen sollen. Unabhängige Kontrollen sind wichtig, den Schutz der Privatheit zu ermöglichen. Politische Einflussnahmen dürfen nicht gestattet werden.14 Der Europäische Gesetzgeber fördert die digitale Wirtschaft im europäischen Binnenmarkt.15 Durch Big Data und fortschreitender Technologien der Datenverarbeitung, muss europaweit die Profilbildung oder das Webtracking der Bürger besser geschützt werden. Das gleiche gilt bei Datenverarbeitung zu Werbe- und Marktforschungszwecken.16 In der DSGVO herrschen Dokumentationspflichten. Für Unternehmen und Organisationen sind diese u. a. das Verzeichnis der Verarbeitungstätigkeiten und Auftragsverarbeitungen, die Datenschutzfolgeabschätzung und die Dokumentation der TOMs (technische und organisatorische Maßnahmen). Sie dienen auch zur rechtlichen Absicherung. Folgende Punkte müssen zur Informationssicherheit unterstützend definiert und eingehalten werden:
- Archivierungs-, Aufbewahrungs- und Löschkonzept
- Pseudonymisierung und Anonymisierung personengezogener Daten
- Trennungskontrolle (getrennte Verarbeitung von Daten)
- Verschlüsselung von Daten
- Kontrolle der Weitergabe an Drittstaaten
- Virenschutz und Backup der Systeme
- Notfallmanagement
Die EU-Datenschutz-Grundverordnung ist mit der Informationssicherheit verbunden. Nachhaltigkeit der organisatorischen als auch der technischen Aspekte sowie der Faktor Mensch, werden ganzheitlich adressiert und optimiert.17
2.1.3 International
Die Europäische Kommission vertritt die Interessen der Europäischen Union. Den Aufsichtsbehörden wird die internationale Aufgabe erteilt mit Drittländern, Organisationen und maßgeblichen Interessenträgern, zusammenzuarbeiten. Der Austausch und die Dokumentation von Rechtsvorschriften sowie die Förderung der Praktiken zum Schutz personenbezogener Daten, wird den Aufsichtsbehörden durch die DSGVO vorgegeben. Die Internationale Zusammenarbeit ist die zentrale Zielsetzung der Aufsichtsbehörde. Besonders bei dem Übergang von personenbezogenen Daten an Länder außerhalb der Union, besteht ein erhöhtes Risiko in Bezug auf die Verletzung der Datenschutzrechte. Insbesondere bei Beschwerden und Missbrauchsfällen existiert die Problematik, dass Aufsichtsbehörden die dazu benötigten Untersuchungen außerhalb der Grenzen der EU, nicht nachgehen dürfen oder nur eingeschränkt prüfen können. Internationale Zusammenarbeit ist Grundvoraussetzung, die Grundrechte der Betroffenen im internationalen Datenverkehr schutzfähig zu halten.18 Der EU-U.S. Privacy Shield Rechtsakt, ermöglicht U.S.-Unternehmen sich durch (Selbst-)Zertifizierungen auf angemessene Datenschutzeinhaltung auszuweisen. Die Europäische Kommission hat somit den Datentransfer mit U.S.-Unter- nehmen vereinfacht. Konzerne oder Gruppen von Unternehmen können außerdem durch die Binding Corporate Rules eine weltweite Datenschutz-Policy einführen. Im Hinblick auf Datentransfers zu Gruppenmitgliedern in Empfangsländern außerhalb der EU, die keinen ausreichenden Datenschutzniveau aufweisen, kann dadurch eine Grundlage des Datenschutzes eingehalten und vorgewiesen werden. Genehmigungsverfahren zu diesem Prozedere sind zwingend erforderlich.19
[...]
1 Vgl. Roßnagel, A. et al., Die Fortentwicklung des Datenschutzes, 2018, S. 311ff.
2 Vgl. Hanschke, I., Informationssicherheit und Datenschutz systematisch und nachhaltig gestalten, 2020, S. 1ff.
3 Vgl. Voigt, P. et al., EU-Datenschutz-Grundverordnung (DSGVO), 2018, S. 1f.
4 Vgl. Roßnagel, A. et al., Die Fortentwicklung des Datenschutzes, 2018, S. 3ff.
5 Vgl. Roßnagel, A., Datenschutzaufsicht nach der EU-Datenschutz-Grundverordnung, 2017, S. 21ff.
6 Vgl. Roßnagel, A., Datenschutzaufsicht nach der EU-Datenschutz-Grundverordnung, 2017, S. 24ff.
7 Vgl. Hanschke, I., Informationssicherheit und Datenschutz systematisch und nachhaltig gestalten, 2020, S. 18ff.
8 Vgl. Roßnagel, A., Datenschutzaufsicht nach der EU-Datenschutz-Grundverordnung, 2017, S. 185ff.
9 Vgl. Roßnagel, A., Datenschutzaufsicht nach der EU-Datenschutz-Grundverordnung, 2017, S. 10ff.
10 Vgl. Voigt, P. et al., EU-Datenschutz-Grundverordnung (DSGVO), 2018, S. 3f.
11 Vgl. Hanschke, I., Informationssicherheit und Datenschutz systematisch und nachhaltig gestalten, 2020, S. 24f.
12 Vgl. Hanschke, I., Informationssicherheit und Datenschutz systematisch und nachhaltig gestalten, 2020, S. 48ff.
13 Vgl. Roßnagel, A., Datenschutzaufsicht nach der EU-Datenschutz-Grundverordnung, 2017, S. 182ff.
14 Vgl. Roßnagel, A., Datenschutzaufsicht nach der EU-Datenschutz-Grundverordnung, 2017, S. 7ff.
15 Vgl. Voigt, P. et al., EU-Datenschutz-Grundverordnung (DSGVO), 2018, S. 2f.
16 Vgl. Hanschke, I., Informationssicherheit und Datenschutz systematisch und nachhaltig gestalten, 2020, S. 23f.
17 Vgl. Hanschke, I., Informationssicherheit und Datenschutz systematisch und nachhaltig gestalten, 2020, S. 25ff.
18 Vgl. Roßnagel, A., Datenschutzaufsicht nach der EU-Datenschutz-Grundverordnung, 2017, S. 155ff.
19 Vgl. Voigt, P. et al., EU-Datenschutz-Grundverordnung (DSGVO), 2018, S. 8f.