Exkurs Internetriesen und Datenschutz: Dürfen die das und wenn ja, warum wir nicht?

Von Dr. Karsten Kinast, Partner, Rechtsanwalt und Externer Datenschutzbeauftragter bei Kinast & Partner

Immer wieder stellen sich Fragen in der Praxis, wann genau welche Datenschutz-Regel greift und wann etwa Einschränkungen beim Social-Media Auftritt des eigenen Unternehmens hinzunehmen sind. Oft genug etwa wird die eigene Datennutzung vom beauftragten Datenschutzanwalt oder vom Datenschutzbeauftragten als zu umfassend eingestuft. Das führt immer wieder zu der Überraschung, warum denn etwas, was so leicht zu realisieren ist, denn unzulässig sein kann. Und vor allem: Warum kann denn der Mitbewerber oder das große amerikanische Unternehmen unbeschadet die für ein deutsches Unternehmen kritisierten Aktivitäten so ohne Weiteres durchführen? 

Die Antwort ist: Sie tun es einfach, weil sie es können. Es ist nicht erlaubt, es ist nur nicht sanktioniert. Es sind häufig nicht–europäische Unternehmen und gerade die Internetriesen, die deutsches Recht nicht unbedingt zur Anwendung bringen. Insbesondere geht es also um amerikanische Unternehmen, die sich durch geschickte Standortpolitik – entweder keine Niederlassung in Europa oder nur Niederlassungen in Ländern mit weniger strengen und personell nicht gut ausgestatteten Datenschutz-Aufsichtsbehörden – de facto Privilegien erschleichen. Gerade Irland ist bei US-Konzernen als Standort beliebt: Die irische Datenschutzaufsicht ist dann mit ihren 30 Mitarbeitern für die Sicherstellung der 500 Millionen-EU-Bürger zuständig. Die Aufsichtsbehörde befindet sich in Portarlington, einem 6.000-Einwohner-Städtchen in der Inselmitte. Irlands entspannter Umgang mit dem Thema Datenschutz zeigt sich schon bei der Anreise im Zug, wenn über den Sitzen die Namen der Fahrgäste angezeigt werden, die sie reserviert haben. Der frühere Chef der irischen Datenschutzbehörde ließ sich gern von verschiedenen Medien wie folgt zitieren: "Unsere formalen Befugnisse setzen wir fast nie ein. Meistens arbeiten wir mit sanfter Macht. Wenn es zu einer Prüfung kommt, dann betrachten wir sie als freundliche Maßnahme, die der Organisation dabei helfen soll, nicht nur die Gesetze einzuhalten, sondern für wirklich vorbildlichen Datenschutz zu sorgen. Das entspricht unserer irischen Kultur. Wir sind ja berühmt dafür, dass wir ziemlich gut reden können. Und diese besondere Waffe setzen wir auch für den Datenschutz ein." 

Zu aus hiesiger Sicht fragwürdigen Datenschutzbestimmungen, die wohl von einer größeren europäischen Datenschutzbehörde kaum ungeahndet blieben, meint der Irische Datenschutz-Comissioner: "Die Besonderheit im Fall von Facebook oder Google liegt ja darin, dass Sie den Dienst mit Ihren Daten bezahlen. Die meisten Nutzer scheinen das als einen fairen Handel zu sehen. Und solange Klarheit darüber besteht, was mit den Daten passiert, haben wir auch keine Einwände dagegen." Nun gut, in der irischen Behörde ist wohl nach wie vor kein Jurist tätig und so wird die nicht unentscheidende Tatsache übersehen, dass die Marktmacht der genannten Unternehmen einfach zu groß ist, um hier noch von einem freiwilligen (also wirksamen) Deal sprechen zu können. Peter Schaar etwa verweist zu Recht auf die "90 Prozent Marktanteil in gewissen Altersgruppen", die faktisch wohl zwingender sein dürften als die Skepsis beim Lesen der ca. 20 Seiten Datenschutzbestimmungen.

Kommt man als Unternehmung also nicht über den großen Teich und sucht sich seinen Standort in Europa aus, sondern ist schlicht in Frankreich, Italien oder Deutschland beheimatet, hat man es mit eigentlich demselben Datenschutzrecht zu tun, – wir leben ja datenschutzrechtlich in einem weitest gehend harmonisierten Rechtsrahmen – so stellt sich das alles mitunter sehr viel strenger dar. Zudem sind die Voraussetzungen für eine Abmahnung vom Wettbewerber oft genug strenger. Auch die Verbraucher sind aufmerksamer und wenden sich gern auch einmal an eine (funktionstüchtige) Aufsichtsbehörde.

Daran ändert dann auch die noch in der Entstehung befindliche europäische Datenschutz-Grundverordnung möglicher Weise nicht viel, wenngleich der aktuelle Stand der Gesetzgebung vorsieht, dass europäisches neues Datenschutzrecht in Zukunft auch von ausländischen Unternehmen, die in Europa agieren, eingehalten werden muss (ganz unabhängig von deren Standortpolitik, also auch, wenn sie nur von USA aus auf den europäischen Markt abzielen oder ihren Sitz etwa in Irland haben). Ob sich das aber am Ende auch in der Praxis so deutlich bemerkbar macht oder nicht, werden wir so schnell nicht wissen. Die Datenschutzgrundverordnung wird, wenn überhaupt, erst im Herbst 2015 verabschiedet – gefolgt von einer zweijährigen Umsetzungsfrist, die vor einem In-Kraft-Treten frühestens in 2017 liegt.

Mindestens so lange wird es wohl weiter wie in der Vergangenheit Nachrichten geben, die uns aufhorchen lassen: Ob Google ohne Einverständnis der Nutzer auf Apple-Geräten mit dem Safari-Browser Cookies platziert, die das Nutzerverhalten überwachen und entsprechende Informationen an das Unternehmen senden können oder facebook über Cookies auf Websiten mit Social Plugins Profile von Menschen anlegt – egal ob sie Facebook-Nutzer sind oder nicht oder Whatsapp (inzwischen Teil von Facebook) stets mit blauen Häkchen anzeigt, wenn die Adressaten eine Nachricht aufgerufen haben oder gleich die ganze Whatsapp-Identität wegen mangelhafter Sicherheitsbedingungen des Dienstes unproblematisch "gestohlen" werden kann – der Phantasie sind keine Grenzen gesetzt.

Bei der Einschätzung der Rechtmäßigkeit des eigenen Handelns sollte man sich also nach wie vor nicht vom Auftritt der Anderen leiten lassen. Nach wie vor gilt der Merksatz "Es gibt keine Gleichheit im Unrecht". Will sagen: Das fremde Fehlverhalten kann mir nicht aus der Klemme helfen.