Inwieweit sind Betreiber von sozialen Netzwerken verpflichtet, die von ihren Benutzern eingegebenen personenbezogenen Daten zu schützen und ein willkürliches „Abgreifen“ zu verhindern? Mag. Philipp Leitner, LL.B. vom LIT Digital Transformation and Law Lab geht in seinem Beitrag auf die aktuellen rechtlichen Fragen hinsichtlich der Facebook Datenaffäre ein.
Datenschutz, quo vadis, oder: Privatsphäre in Zeiten der Selbstdarstellung
Im Jahr 2014 wurde von Dr. Aleksandr Kogan, einem Senior Research Associate im Department of Psychology an der Cambridge University, ein Tool entwickelt, welches interessierten Teilnehmern über Facebook angeboten wurde. Im Vordergrund sollte die App mit dem Namen „thisisyourdigitallife“ lediglich einen simplen Persönlichkeitstest durchführen; jedoch wurde eine zusätzliche – für den Benutzer unsichtbare – Schnittstelle eingebaut, welche Zugriff sowohl auf das Facebook-Profil des Testkandidaten ermöglichte, aber darüber hinaus auch auf dessen verbundene Kontakte (die „Freundesliste“).
An diesem Test beteiligten sich insgesamt 270.000 Teilnehmer; unter Einbeziehung der verknüpften Kontakte war jedoch ein Zugriff auf insgesamt 50 Millionen Benutzerprofile möglich. Das Datenmaterial wurde in Folge über das von Kogan gegründete Unternehmen Global Science Research in Kooperation mit SCL Elections Ltd heruntergeladen und an das Unternehmen Cambridge Analytica weitergegeben, welches es (ua) für die Entwicklung einer Analysesoftware im Rahmen des US-amerikanischen Wahlkampfes verarbeitet haben soll.
Dieses Ereignis wirft die Frage auf, inwieweit Betreiber von sozialen Netzwerken verpflichtet sind, die von ihren Benutzern eingegebenen personenbezogenen Daten zu schützen und ein willkürliches „Abgreifen“ zu verhindern.
Grundsätzlich hat jedermann, insbesondere auch im Hinblick auf die Achtung seines Privat- und Familienlebens, Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten, soweit ein schutzwürdiges Interesse daran besteht.
Diese im (nationalen) Datenschutzrecht niedergeschriebene Verfassungsbestimmung beschreibt das Grundrecht jeder Person auf Datenschutz. Die mit 25. Mai 2018 in Geltung tretende Datenschutzgrundverordnung (DSGVO) sieht diesbezüglich vor, dass jede ganz oder teilweise automatisierte, aber auch (unter gewissen Voraussetzungen) nichtautomatisierte Datenverarbeitung nur auf Basis eines Rechtfertigungsgrundes vorgenommen werden darf.
Das Unternehmen ist dabei auch an weitreichende Dokumentations- und Informationspflichten gebunden und hat (insbesondere) bereits zum Zeitpunkt der Erhebung der Daten anzugeben, an welche Empfänger bzw. Kategorien von Empfängern die eingegebenen Daten übermittelt werden (sollen).
Der Schutz dieser Daten ist zudem durch umfangreiche technisch-organisatorische Maßnahmen sicherzustellen; eine solche könnte etwa – dem Prinzip der Datenminimierung folgend – darin liegen, dass Sicherheitsmaßnahmen geschaffen werden, damit eine in der Infrastruktur der Plattform ausgeführte App keinen Zugriff auf Daten Dritter erlangt, die diese App nicht verwenden.
Die mit 25. Mai 2018 in Kraft tretende DSGVO sieht für Verstöße insbesondere gegen den Grundsatz der Transparenz und die Rechtmäßigkeit der Verarbeitung Strafen im Ausmaß von bis zu EUR 20.000.000,00 oder vier Prozent des gesamten jährlichen weltweiten Umsatzes des Vorjahres vor, je nachdem welcher Betrag höher ist.
Es bleibt daher spannend, wie weltweit agierende Unternehmen, deren Geschäftsmodell die Sammlung und Verwertung ihrer Nutzerdaten voraussetzt, auf die nunmehr in Kraft tretenden europäischen Datenschutzregeln reagieren werden.