Instagram: Was soziale Netzwerke mit unseren Daten machen dürfen

Ehe ein Vertrag zustande kommt, werden in der Regel Einwilligungen fällig. Wenn aber jemand Unternehmen wie Instagram oder Facebook, Google oder Apple die Einwilligung gibt, seine Daten für Werbung zu nutzen, sie an Dritte weiterzureichen und mit zahlreichen weiteren Informationen zu verknüpfen, dann dürfen die das auch. Das gilt für Textdaten wie für Bilder und es gilt international. Es ist eine Geschäftsbeziehung zwischen souveränen Akteuren zustande gekommen. Das Geschäftsgebaren der Firmen darf dabei nur nicht gegen Strafgesetze verstoßen. Man könnte dabei an die Wahrung des Briefgeheimnisses denken oder an Verleumdung. Aber wer seine Einwilligung zur Nutzung seiner Privatbilder für Werbezwecke eines Reisebüros gegeben hat, braucht sich nicht darüber zu wundern, wenn ihm später das Foto seiner spielenden Kinder am Strand in einer Anzeige wiederbegegnet.

Und trotzdem war Instagram mit seinen veränderten Regeln, die in der Nacht zu Mittwoch teilweise wieder zurückgenommen wurden, nach Expertenmeinung zumindest in Deutschland meilenweit davon entfernt, geltendem Recht zu entsprechen.

Nach deutschem Datenschutzrecht kommt es darauf an, dass die Einwilligung „wirksam“ ist. Und wirksam ist eine Einwilligung, die man einem Unternehmen gibt, nur dann, wenn für die Nutzer ganz klar erkennbar ist, welche Daten zu welchem Zweck an wen weitergegeben werden können. Sehr allgemeine Formulierungen, wie von Instagram und Facebook benutzt, sind in Deutschland nicht zulässig. Und die Unternehmen werden in Deutschland auch verklagt.

Zahlreiche Prozesse, angestrengt von der Verbraucherzentrale und Datenschutzexperten gegen Firmen wie etwa Facebook, Google, Apple und andere, sind schon gelaufen oder laufen noch. Kritisiert werden beispielsweise Vertragsbedingungen, die die Teilnahme an einem Gewinnspiel mit einer Datenweitergabe koppeln, vorangekreuzte Einwilligungsklauseln, unkonkrete Datennutzungsregeln oder auch zu lange oder zu klein gedruckte Allgemeine Geschäftsbedingungen. Nach Erfahrung der Verbraucherschützer sind Formulierungen wie die von Instagram kein Betriebsunfall. Vielmehr entsprechen sie der Firmenpolitik vieler Unternehmen.

Moderne Datenkraken handeln aber nicht nur mit Daten, besondere Bedenken hegen Experten ebenso wie viele Nutzer gegenüber der Anlage von Personenprofilen. Aber auch hier greift das deutsche Recht. Sowohl das Bundesdatenschutzgesetz als auch das Telemediengesetz untersagen es – außer in Ausnahmefällen –, dass Unternehmen komplexe Personenprofile erstellen. Nur pseudonymisierte Profile sind demnach zulässig.

Und was nützt mir das alles, wenn Facebook oder Google die Konditionen diktieren? Bisher kann sich Facebook beispielsweise noch darauf zurückziehen, dass es seinen europäischen Firmensitz in Irland hat und damit irischem Datenschutzrecht unterliegt. Deutsche Datenschützer argumentieren dagegen, Facebook verarbeite die Daten in Irland nur im Auftrag der US-Firma. Und wenn eine nichteuropäische Firma mit deutschen Bürgern und deren Daten umgehe, dann wiederum gelte das deutsche Recht. Hinter diesem Rechtsstreit verschanzt hält Facebook an seinen Bestimmungen fest.

Absehbar könnte sich die Situation indes grundlegend ändern: Derzeit wird der europäische Datenschutz überarbeitet. Die Verordnung soll künftig europaweit bindend und nach derzeitigem Verhandlungsstand eng an die strengen deutschen Regeln angelehnt sein. Insbesondere aber ist geplant, dass für Nutzer in Europa künftig europäisches Recht gilt, unabhängig davon, wo das mit den Daten im Netz operierende Unternehmen seinen Sitz hat.