Datenschutz in sozialen Netzwerken. Grundlagen und aktuelle Entwicklungen

Inhaltsverzeichnis

Abbildungsverzeichnis

1 Einleitun
1.1 Problemstellung
1.2 Zielsetzung
1.3 Vorgehensweise

2 Grundlagen
2.1 Datenschutzrechtliche Grundlagen
2.1.1 Deutschland
2.1.2 Europäische Union
2.1.3 International
2.2 Soziale Netzwerke

3 Datenschutz in sozialen Netzwerken
3.1 Anforderung Datenschutz
3.1.1 Deutschland
3.1.2 Europäische Union
3.1.3 International
3.2 Datensammlung
3.2.1 Persönliche Daten
3.2.2 Nutzer-Verhalten
3.3 Facebook

4 Bewertun
4.1 Fehlender Schutz
4.2 Aktuelle Entwicklungen

5 Faz

Literaturverzeichn

Abbildungsverzeichnis

Abbildung 1: Siegerpodest

Abbildung 2: Umfrage Deutschland

Abbildung 3: Kontroverse

1 Einleitung

Ein neues Kapitel des Schutzes persönlicher Daten wurde am 25. Mai 2018 mit der Datenschutz-Grundverordnung der Europäischen Union eröffnet. Die Umsetzung zum Datenschutz begann dadurch nicht nur in Europa, sondern auch weltweit. Die weltweite Geschäftstätigkeit der US-Anbieter von digitalen Diensten setzt auf digitale Geschäftsmodelle, die sich nach der Einhaltung der Datenschutz-Grundverordnung ausrichten. Datenschutzbehörden, Mitgliedsstaat und die Europäische Union sind dabei gefordert, aktiv an der Entwicklung und Prüfung der neuen Herausforderungen mitzuwirken. Helfende Akteure zum Datenschutz können ebenfalls private Organi­sationen, technische Überwachungsvereine und Organisationen des Konsumenten­schutzes sein.¹ Das Internet der modernen Gesellschaft verschafft Informationen auf Knopfdruck. Das Internet ist kostenlos nutzbar, schnell, effizient und global verfüg­bar. Ein besonderes Augenmerk gilt der vereinfachten Kommunikation, die Nutzer auf verschiedenen Kontinenten miteinander verbinden. Durch die Vernetzung der Nutzer können weit verzweigte Beziehungsflechten entstehen. Optimale Plattformen dafür sind soziale Netzwerke. Die Beliebtheit durch hohe Mitgliederzahlen bestreben Plattformbetreiber zur Weiterentwicklung des inhaltlichen Angebots und sowie zur Ausweitung der Kommunikationsstrukturen. Social Networks erleben eine massive Veränderung der Aufforderung zur Einhaltung von Persönlichkeits- und Markenrech­ten. Der gesellschaftliche Diskurs zur Datenschutz-Grundverordnung in sozialen Netzwerken erhöht sich mit den steigenden Missbrauchsfällen und den resultieren­den und überarbeitenden Bußgeldern, Strafen und Sanktionen. Datenspeicherung, Kommunikationstechnik und Nutzerverhalten in sozialen Netzwerken werden ohne verstärkte Vorgaben von Sicherheitsmaßnahmen durch das Bundesamt für Sicher­heit in der Informationstechnik (BSI) und der EU-DSVGO, zu einer zwangsläufigen Datenschutz-Sackgasse.² Ein harmonisierter und freier Datenverkehr soll in Anbe- tracht des Schutzes personenbezogener Daten europaweit und international ge­währleistet werden.³ Informationelle, individuelle und kollektive Selbstbestimmung sind Grundbausteine für ein zukunftsfähiges Konzept des Datenschutzes.⁴

1.1 Problemstellung

Die europäische Datenschutz-Grundverordnung ist motiviert, den technologischen Wandel auf Augenhöhe zu begegnen. Es ist eine Diskrepanz zwischen den Daten­schutzaktivisten und den Netzwerkbetreibern zu erkennen. Um die bisher entstan­dene Situation besser beurteilen zu können, bedarf es der Gegenüberstellung vom aktuellen Datenschutz und der Ausübung und Einhaltung des Datenschutzes in so­zialen Netzwerken.

1.2 Zielsetzung

Der wissenschaftliche Mehrwert wird anhand der besseren Zuordnung von sozialen Netzwerken und den darin umgesetzten Datenschutz, entstehen. Für eine aussage­kräftige Arbeit muss der Datenschutz international betrachtet werden. Um Schnitt­stellen vom Datenschutz zu sozialen Netzwerken erarbeiten zu können, wird ein namhaftes soziales Netzwerk zur Ausarbeitung herangezogen werden müssen.

1.3 Vorgehensweise

Die Arbeit wird basierend auf der empirischen Untersuchung mithilfe der Literatur­recherche durchgeführt. Zunächst werden die Datenschutz-Grundlagen national, auf EU-Ebene und international betrachtet. Das zweite Kapitel beinhaltet ebenfalls die kurze Grundlagen-Einführung zu sozialen Netzwerken. Im nachfolgenden 3. Kapitel wird der Datenschutz in Bezug zur künftigen internationalen Anforderung und zur Anwendung in sozialen Netzwerken, überführt. Als Paradebeispiel wird das größte soziale Netzwerk, Facebook, näher betrachtet. Die Bewertung eines fehlenden Schutzes sowie ein kurzer Einschnitt auf die aktuellen Entwicklungen können im vier­ten Kapitel festgemacht werden. Die Zusammenfassung wird im 5. Kapitel als Fazit gestaltet.

2 Grundlagen

Folgende Grundlagen werden zum berichtigten Verständnis dieser Arbeit dienen. Zur Übersicht wird der Datenschutz territorial getrennt. Was ein soziales Netzwerk ist und warum der Datenschutz in sozialen Netzwerken zum Einsatz kommt, wird mit dem Übergang zum 3. Kapitel deutlich.

2.1 Datenschutzrechtliche Grundlagen

Die Datenschutz-Grundverordnung ist ein Kompromiss zwischen drei unterschiedli­chen Konzepten. Die Kommission, das Parlament und der Rat sind die drei im Ge­setzgebungsverfahren der Union relevanten Institutionen. Die Datenschutz-Grund­verordnung wurde insofern zum Kompromiss, da ursprünglich ein Machtkampf um die zukünftige Ausgestaltung des Datenschutzes zwischen diesen drei Institutionen herrschte. Der Streit wurde letztendlich zwischen den Mitgliedsstaaten und der Union ausgetragen. Die Datenschutz-Grundverordnung soll eine unterschiedliche Umset­zung, Auslegung und Anwendung des Datenschutzes verhindern. Am 25. Januar 2012 gab die Europäische Kommission ihren Entwurf der DSGVO (Datenschutz­Grundverordnung) bekannt. Erst nach zwei Jahren der Diskussion, zwischen Union und den Mitgliedsstaaten, konnte am 12. März 2014 den Mitgliedsstaaten Spiel­räume in Form von nationalen Regelungen eingeräumt werden. Einzelheiten der Er­laubnistatbestände der „klassischen“ Datenverarbeitung können somit durch öffent­liche Stellen auch selbst geregelt werden. Hinsichtlich des Sozialdatenschutzes gibt es ebenfalls Entscheidungsspielräume. Vereinfachte Verordnungsregeln des Daten­schutzes können bereichsspezifisch in den Mitgliedsstaaten beibehalten oder mit neuen Datenschutzregeln ergänzt werden.⁵ Die Europäische Union verfolgt drei Ziel- setzungen. Das Datenschutzrecht soll unionsweit vereinheitlicht und einen kohären­ten sowie durchsetzbaren Rechtsrahmen schaffen. Durch gleiche wirtschaftliche Be­dingungen in den einzelnen Staaten kann dadurch der Binnenmarkt gestärkt werden. Das gleiche gilt auch für Grundrechte und Grundfreiheiten von natürlichen Personen bei der Verarbeitung personenbezogener Daten. Grundrechte müssen aufgrund der schnelllebigen und modernisierten technischen Entwicklung verbessert werden. Jede einzelne Person sollte Kontrolle über ihre eigenen Daten erlangen können. In rechtlicher und praktischer Hinsicht sollten somit private Nutzer, Wirtschaft und Staat über mehr Sicherheit verfügen. Mit insgesamt 99 Artikeln wird der Datenschutz in der Datenschutz-Grundverordnung geregelt. Die Hälfte davon beschäftigt sich mit dem materiellen Datenschutzrecht. Die andere Hälfte befasst sich mit organisatori­schen Fragen der Datenschutzaufsicht. Eine neue und wichtige Datenschutzrege­lung ist die räumliche Ausweitung des Anwendungsbereichs durch das Marktortprin­zip. Dadurch ist die Verordnung auf Datenverarbeiter anwendbar, die sich in der Union aufhalten. Ausschlaggebend hierfür ist, dass Der Verarbeiter der Daten der betreffenden Person, Waren oder Dienstleistungen anbietet oder das Verhalten der Person durch Daten analysiert. Bisher unbekannt war das Szenario von Personen bereitgestellte Daten auf einen Dritten, demnach weiteren Datenverarbeiter zu über­tragen. Die enge Zusammenarbeit von Aufsichtsbehörden und der Union ergaben neue Regelungen in der Organisation sowie Erweiterungen zu Strafen und Sanktio­nen. Bis zu 20.000.000 EUR oder bis zu vier Prozent des gesamten weltweit erziel­ten Jahresumsatzes im Falle von Unternehmen. Eine gute Grundlage zur Vorbeu­gung unbeabsichtigter Verstöße sowie zur erleichterten Kommunikation mit Kunden und Stakeholdern kann eine Zertifizierung der eigenen Datenverarbeitungsvorgänge von Vorteil sein.⁶ Durch den zunehmenden technologischen Wandel wird der IT- Grundschutz zum unerlässlichen praktikablen und angemessenen Schutz von Infor­mationen angesehen. Das Sicherheitsniveau in Unternehmen wird dadurch erhöht und liefert einen haltbaren Standard für die IT-Sicherheit. Dieser wird vom Bundes­amt für Sicherheit in der Informationstechnik (BSI) weiterentwickelt und regelmäßig mit internationalen Normen wie dem ISO/IEC 27001 kollationiert. Ein nennenswerter BSI-Standard zum IT-Grundschutz für Unternehmen kann mit dem Einsatz von ei­nem Managementsystem für Informationssicherheit (ISMS) umgesetzt werden. Der BSI bietet unter anderem Empfehlungen zu organisatorischen Maßnahmen, Zertifi­zierungsmöglichkeiten als auch konkrete Vorgehensweisen bei konkreten Sicher­heitsanforderungen. Der Gefahrenkatalog kann online auf der Homepage vom BSI in verschiedenen Gefährdungskategorien eingesehen werden.⁷

2.1.1 Deutschland

Die Datenschutz-Grundverordnung verbessert die Kommunikation über Daten­schutzrecht und insbesondere die Kompetenz zur Datenschutzberatung der Auf­sichtsbehörden. Damit Aufsichtsbehörden den Gesetzgeber, verantwortliche und be­troffene Personen in Datenschutzfragen beraten können, bedarf es der permanenten Beobachtung aktueller Entwicklungen zur Datenverarbeitung. Die DSGVO fordert Aufsichtsbehörden auf, das nationale Parlament, die Regierung sowie weitere Ein­richtungen über Maßnahmen zum Schutz der Rechte und Freiheiten natürlicher Per­sonen in Bezug auf deren Datenverarbeitung, zu beraten. Weiterhin sollen Aufsichts­behörden die Verantwortlichen und Auftragsverarbeiter über ihre datenschutzrecht­lichen Pflichten sensibilisieren. Die Beratung der Datenschutzbeauftragten gehört ebenfalls zur Aufgabe von Aufsichtsbehörden. Auf die Vorteile einer Zertifizierung kann nicht oft genug hingewiesen werden. Die Aufsichtsbehörde übernimmt darüber hinaus noch Öffentlichkeitsarbeit. Hierzu wird die Öffentlichkeit über Risiken, Vor­schriften, Garantien und Rechte bei der Verarbeitung von personenbezogenen Da­ten aufgeklärt. Besonderen Schutz soll vor allem den gefährdeten Gruppen wie Kin­dern angeordnet werden.⁸ Es gibt im Grundgesetz zwar kein Grundrecht auf Daten­schutz, doch herrscht aufgrund ständiger Rechtsprechung nun seit 1983 das Grund­recht auf informationelle Selbstbestimmung. Dies stellt die Grundlage und das Schutzgut des deutschen Datenschutzrechts dar. Die informationelle Selbstbestim­mung schütz die selbstbestimmte Entwicklung des einzelnen der entscheiden kann, welche Daten er über sich und in welcher Rolle oder Kommunikation, preisgibt. Un­abhängig ob eine staatliche Behörde oder ein privates Unternehmen personenbezo­gene Daten gegen den Willen der betroffenen Person verarbeitet, durch das Grund­recht bleibt es in beiden Fällen schutzwürdig. Eine unmittelbare Abwehrfunktion wird gegenüber dem Staat begründet. Private Unternehmen greifen eingeschränkt in das Grundrecht ein, sofern die Datenverarbeitung ebenfalls aufgrund eines anderen Grundrechts, wie dem der Berufsausübung, durchgeführt wird. Diese Schutzpflicht zur Datensicherheit kann durch materielle Verhaltensvorschriften, technische-, orga­nisatorische- und verfahrensmäßige Vorkehrungen, verwirklicht werden. Diese Be­schreibungen sind Anforderungen der Datensicherheit und der Datenschutzaufsicht. Das Resultat dieser Anforderungen ist gleichzeitig auch das Erfordernis, eine effek­tive Kontrolle der Datenverarbeitung vorzunehmen. Diese Aufgaben werden von Auf­sichtsbehörden durchgeführt. Unabhängige Kontrollen in Form von heimlichen Da­tenerhebungen werden durch das Bundesverfassungsgericht allenfalls Kontrollkom­missionen und unabhängige Datenschutzbeauftragten eingeräumt. Ferner gelten zur Anti-Terrordatei und Gewährleistung der Gesetzmäßigkeit der Verwaltung insge­samt, besondere Ausgestaltungen der Datenverarbeitung.⁹ Die DSGVO ist verbind­lich und gilt ohne mitgliedstaatlichen Umsetzungsakt. Den nationalen Gesetzgebern verbleibt damit keine Regelungsmöglichkeit in diesen Anwendungsbereich. Dennoch haben die EU-Mitgliedsstaaten durch Öffnungsklauseln einen Raum zur Schaffung ergänzender nationaler Regelungen geschaffen, damit Besonderheiten wie Daten­schutz in Strafsachen, umgesetzt werden können. Datenschutzanpassungen wur­den national zusätzlich mit dem Beschluss des neuen BDSG (Bundesdatenschutz­gesetz) vom 27. April 2017 vorangetrieben, welches jedoch weiterhin unter Kritik steht, im Einklang mit den Regelungen zum Europarecht und der DSGVO zu sein.¹⁰ Folgende Grundsätze zur Datenverarbeitung in Unternehmen werden durch die DSGVO vorgegeben:

- Rechtmäßigkeit der Verarbeitung
- Datentransparenz für das Auskunftsrecht von Betroffenen
- Zweckbindung der Datenverarbeitung
- Datenminimierung
- Richtigkeit der Datenverarbeitung
- Speicherbegrenzung durch Löschfristen
- Integrität und Vertraulichkeit
- Datenschutz in neue Technologien einplanen (Privacy by default)¹¹

Datenschutzbeauftragte (DSB) sind in Unternehmen die zentralen Ansprechpartner und sorgen für eine angemessene Umsetzung und Kontrolle dieser Datenschutz­Grundsätze. IT und Datenschutz werden durch den ISB (Informationssicherheitsbe­auftragten) und den DSB in Kombination gebracht. Erfahrungen auf diesen Gebieten sind für einen ausreichenden Schutz im Unternehmen unerlässlich.¹²

2.1.2 Europäische Union

Unionsweit entstehen durch die DSGVO neue Aufgaben in der Kooperation inner­halb der EU-Staaten. Das ist für die Aufsichtsbehörden ein neues Unterfangen. Mit der Suche nach gemeinsamen Standpunkten entstehen Verhandlungen mit anderen Aufsichtsbehörden. Diese wiederum werden durch die fremden Sprachen, fremden Rechtsordnungen und individueller Datenschutzpraxis erschwert. Die Mitwirkung im Europäischen Datenschutzausschuss ist eine wichtige Aufgabe jeder Aufsichtsbe­hörde. Die DSGVO fordert ausdrücklich die Mitgliedstaaten auf, ausreichende Res­sourcen für die Kooperation in der Union und auf internationaler Ebene, zur Verfü­gung zu stellen.¹³ Die Gewährleistung von Grundrechten und Freiheiten gegenüber der Verarbeitung personenbezogener Daten nehmen eine besondere Stellung in den Aufsichtsbehörden ein. Aufsichtsbehörden sind unabhängige Behörden, die diese erlassenen Regelungen überwachen und auf deren Umsetzung überprüfen sollen. Unabhängige Kontrollen sind wichtig, den Schutz der Privatheit zu ermöglichen. Po­litische Einflussnahmen dürfen nicht gestattet werden.¹⁴ Der Europäische Gesetzge­ber fördert die digitale Wirtschaft im europäischen Binnenmarkt.¹⁵ Durch Big Data und fortschreitender Technologien der Datenverarbeitung, muss europaweit die Pro­filbildung oder das Webtracking der Bürger besser geschützt werden. Das gleiche gilt bei Datenverarbeitung zu Werbe- und Marktforschungszwecken.¹⁶ In der DSGVO herrschen Dokumentationspflichten. Für Unternehmen und Organisationen sind diese u. a. das Verzeichnis der Verarbeitungstätigkeiten und Auftragsverarbeitun­gen, die Datenschutzfolgeabschätzung und die Dokumentation der TOMs (techni­sche und organisatorische Maßnahmen). Sie dienen auch zur rechtlichen Absiche­rung. Folgende Punkte müssen zur Informationssicherheit unterstützend definiert und eingehalten werden:

- Archivierungs-, Aufbewahrungs- und Löschkonzept
- Pseudonymisierung und Anonymisierung personengezogener Daten
- Trennungskontrolle (getrennte Verarbeitung von Daten)
- Verschlüsselung von Daten
- Kontrolle der Weitergabe an Drittstaaten
- Virenschutz und Backup der Systeme
- Notfallmanagement

Die EU-Datenschutz-Grundverordnung ist mit der Informationssicherheit verbunden. Nachhaltigkeit der organisatorischen als auch der technischen Aspekte sowie der Faktor Mensch, werden ganzheitlich adressiert und optimiert.¹⁷

2.1.3 International

Die Europäische Kommission vertritt die Interessen der Europäischen Union. Den Aufsichtsbehörden wird die internationale Aufgabe erteilt mit Drittländern, Organisa­tionen und maßgeblichen Interessenträgern, zusammenzuarbeiten. Der Austausch und die Dokumentation von Rechtsvorschriften sowie die Förderung der Praktiken zum Schutz personenbezogener Daten, wird den Aufsichtsbehörden durch die DSGVO vorgegeben. Die Internationale Zusammenarbeit ist die zentrale Zielsetzung der Aufsichtsbehörde. Besonders bei dem Übergang von personenbezogenen Da­ten an Länder außerhalb der Union, besteht ein erhöhtes Risiko in Bezug auf die Verletzung der Datenschutzrechte. Insbesondere bei Beschwerden und Miss­brauchsfällen existiert die Problematik, dass Aufsichtsbehörden die dazu benötigten Untersuchungen außerhalb der Grenzen der EU, nicht nachgehen dürfen oder nur eingeschränkt prüfen können. Internationale Zusammenarbeit ist Grundvorausset­zung, die Grundrechte der Betroffenen im internationalen Datenverkehr schutzfähig zu halten.¹⁸ Der EU-U.S. Privacy Shield Rechtsakt, ermöglicht U.S.-Unternehmen sich durch (Selbst-)Zertifizierungen auf angemessene Datenschutzeinhaltung aus­zuweisen. Die Europäische Kommission hat somit den Datentransfer mit U.S.-Unter- nehmen vereinfacht. Konzerne oder Gruppen von Unternehmen können außerdem durch die Binding Corporate Rules eine weltweite Datenschutz-Policy einführen. Im Hinblick auf Datentransfers zu Gruppenmitgliedern in Empfangsländern außerhalb der EU, die keinen ausreichenden Datenschutzniveau aufweisen, kann dadurch eine Grundlage des Datenschutzes eingehalten und vorgewiesen werden. Genehmi­gungsverfahren zu diesem Prozedere sind zwingend erforderlich.¹⁹

[...]

¹ Vgl. Roßnagel, A. et al., Die Fortentwicklung des Datenschutzes, 2018, S. 311ff.

² Vgl. Hanschke, I., Informationssicherheit und Datenschutz systematisch und nachhaltig gestalten, 2020, S. 1ff.

³ Vgl. Voigt, P. et al., EU-Datenschutz-Grundverordnung (DSGVO), 2018, S. 1f.

⁴ Vgl. Roßnagel, A. et al., Die Fortentwicklung des Datenschutzes, 2018, S. 3ff.

⁵ Vgl. Roßnagel, A., Datenschutzaufsicht nach der EU-Datenschutz-Grundverordnung, 2017, S. 21ff.

⁶ Vgl. Roßnagel, A., Datenschutzaufsicht nach der EU-Datenschutz-Grundverordnung, 2017, S. 24ff.

⁷ Vgl. Hanschke, I., Informationssicherheit und Datenschutz systematisch und nachhaltig gestalten, 2020, S. 18ff.

⁸ Vgl. Roßnagel, A., Datenschutzaufsicht nach der EU-Datenschutz-Grundverordnung, 2017, S. 185ff.

⁹ Vgl. Roßnagel, A., Datenschutzaufsicht nach der EU-Datenschutz-Grundverordnung, 2017, S. 10ff.

¹⁰ Vgl. Voigt, P. et al., EU-Datenschutz-Grundverordnung (DSGVO), 2018, S. 3f.

¹¹ Vgl. Hanschke, I., Informationssicherheit und Datenschutz systematisch und nachhaltig gestalten, 2020, S. 24f.

¹² Vgl. Hanschke, I., Informationssicherheit und Datenschutz systematisch und nachhaltig gestalten, 2020, S. 48ff.

¹³ Vgl. Roßnagel, A., Datenschutzaufsicht nach der EU-Datenschutz-Grundverordnung, 2017, S. 182ff.

¹⁴ Vgl. Roßnagel, A., Datenschutzaufsicht nach der EU-Datenschutz-Grundverordnung, 2017, S. 7ff.

¹⁵ Vgl. Voigt, P. et al., EU-Datenschutz-Grundverordnung (DSGVO), 2018, S. 2f.

¹⁶ Vgl. Hanschke, I., Informationssicherheit und Datenschutz systematisch und nachhaltig gestalten, 2020, S. 23f.

¹⁷ Vgl. Hanschke, I., Informationssicherheit und Datenschutz systematisch und nachhaltig gestalten, 2020, S. 25ff.

¹⁸ Vgl. Roßnagel, A., Datenschutzaufsicht nach der EU-Datenschutz-Grundverordnung, 2017, S. 155ff.

¹⁹ Vgl. Voigt, P. et al., EU-Datenschutz-Grundverordnung (DSGVO), 2018, S. 8f.