Datenjuristin Kotschy: Facebook-User sind nicht nur Opfer
Nutzer von Online-Diensten wie Facebook sollten juristisch als verantwortliche Stelle der Datenverarbeitung eingestuft werden, meint Waltraut Kotschy. Das würde die Verantwortung der User verdeutlichen und gleichzeitig ihre Position stärken.
Waltraut Kotschy, Expertin für Datenschutzrecht, bei ihrem Vortrag am Mittwoch.
(Bild: Daniel AJ Sokolov)
Personen, deren Daten von Anderen verarbeitet werden, gelten juristisch als Betroffene. In datenschutzrechtlichen Diskussionen werden sie häufig als Opfer verstanden. In Zeiten sozialer Netzwerke und des Internet of Things (IoT) ist diese Sichtweise nicht immer hilfreich, meinte Waltraut Kotschy am Mittwoch in Wien. Der Verein IT-LAW.at hatte zu einem Symposium zu Rechtsfragen im Internet of Things geladen. Kotschy war früher Datenschutzbeauftragte des Europarats und unter anderem Leiterin der österreichischen Datenschutzkommission.
(Bild: Daniel AJ Sokolov)
"Facebook-User sind nicht nur Opfer", sagte Kotschy in ihrem Vortrag auf dem Symposium, "Sie sind Auftraggeber, Facebook ist der Dienstleister. (…) Damit ist sonnenklar, dass man die Daten nur für den Zweck verwenden darf", für den der User sie hochgeladen hat. Die Juristin benutzte "Facebook" stellvertretend für viele weitere Online-Dienste, denen Nutzer ihre Daten zuführen.
Täter und Opfer
Das EU-Datenschutzrecht kennt drei Kernfiguren: Erstens den Auftraggeber (auch: verantwortliche Stelle, Englisch: Controller). Er legt den Zweck der Datenverarbeitung fest und wird oft als "Täter" verstanden. Zweitens den Dienstleister (Auftragnehmer, Processor), dessen sich der Auftraggeber bedient. Der Dienstleister ist Gehilfe des Auftraggebers und hat datenschutzrechtlich kaum eigene Rechte. Und drittens den Betroffenen (Data Subject), der als weitgehend passives "Opfer" aufgefasst wird und dessen Rechte zu schützen sind.
Der Auftraggeber verarbeitet definitionsgemäß personenbezogene Daten Dritter, aber nicht Daten über sich selbst. Also kann der Betroffene nicht gleichzeitig Auftraggeber sein. Die bisherige Lesart des Datenschutzrechts ordnet Dienste wie Facebook als Auftraggeber der Datenverarbeitung ein, nicht als Dienstleister.
Eine strikte Trennung zwischen Betroffenen und Auftraggebern macht aus Kotschys Sicht immer weniger Sinn. Inzwischen könnten auch Privatpersonen zu mächtigen Datenverarbeitern werden, nicht bloß ihrer eigenen Daten, sondern auch der Daten anderer. Als Bespiele dienten ihr soziale Netze wie Facebook, Quanitified Self etwa im Fitnessbereich, und Home Automation.
Keine Revolution, aber Stärkung
"Die Idee wäre, dass man den Nutzer als jenen sieht, in dessen Interesse die Verarbeitung seiner eigenen Daten erfolgt, und er damit als Auftraggeber zu behandeln ist", führte Kotschy aus. Das bewirke zwar keine revolutionäre Änderung der datenschutzrechtlichen Lage, solle aber dazu führen, "dass die Anbieter gar nicht erst auf die Idee kommen, dass sie ein eigenes Recht hätten, die Daten zu verarbeiten." Vielmehr bestimme dann der User den Zweck der Datenverarbeitung..
Die grundlegenden Auftraggeber-Pflichten sollten auch für Privatpersonen gelten, wenn sie Daten Dritter verarbeiteten, wie das in sozialen Netzen laufend vorkommt. Umgekehrt würde die Einordnung Privater als Auftraggeber ihre Rechtsstellung gegenüber dem jeweiligen Anbieter stärken. Das sei insbesondere im Internet of Things wichtig, wo Daten oft ohne bewusstes Zutun der Person entstünden und bisweilen für unerwartete Zwecke weiterverarbeitet würden.
Erst wenn der Anbieter die personbezogenen Daten in anderer Weise als im Interesse des Users nutze, etwa für Werbezwecke, werde der Anbieter zum Auftraggeber im juristischen Sinn, meint Kotschy. Dann müsse er für die Datenverarbeitung die entsprechenden Zustimmungen des Betroffenen einholen.
Grundrechtskonforme Auslegung
(Bild: ipse)
Der Wiener IT-Rechts-Anwalt Lukas Feiler zeigte sich im Gespräch mit heise online angetan von Kotschys Ansatz. Denn damit könnten datenschutzrechtliche Probleme gelöst werden. Als Beispiel nannte er eine Textverarbeitung in der Cloud. "Wenn der Nutzer seine eigenen Texte in die Cloud stellt, und der Cloud-Betreiber damit gar nichts tut, außer zu speichern, unterliegt der Betreiber derzeit keiner datenschutzrechtlichen Pflicht zur Implementierung von Sicherheitsmaßnahmen", warnte Feiler.
Und das kommt so: Wenn der User eigene Daten einstellt, ist er nach bisheriger Lesart kein Auftraggeber. Ohne Auftraggeber kann der Cloudbetreiber kein Dienstleister im datenschutzrechtlichen Sinn sein. Auftraggeber sei der Cloudbetreiber aber auch nicht, weil er ja die Daten nicht verarbeite, sondern nur speichere. Damit falle der Betreiber nicht unter das Datenschutzrecht.
Feilers Meinung nach erfordert die grundrechtskonforme Interpretation des Datenschutzrechts, dass eine Person auch dann Auftraggeber sein kann, wenn sie eigene Daten verarbeitet: "Wenn der User als Auftraggeber gesehen wird, ist das Problem gelöst." Denn dann gelte der Cloudbetreiber als Dienstleister im datenschutzrechtlichen Sinn. Damit wäre er gesetzlich verpflichtet, die Daten seiner Kunden zu schützen. (ds)
