Der EuGH hat die Übermittlung europäischer Nutzerdaten auf Server in die USA verboten. Was bedeutet das Urteil für die Medien, die heute auf Facebook und Youtube unterwegs sind?
Nach europäischem Datenschutzrecht dürfen personenbezogene Daten nur dann aus der EU in Drittländer übermittelt werden, wenn diese ein angemessenes Schutzniveau gewährleisten. Um dennoch einen Datentransfer in die USA zu ermöglichen, hat die Europäische Kommission in ihrer Safe Harbor-Entscheidung aus dem Jahr 2000 anerkannt, dass in den USA tätige Organisationen diese Voraussetzung erfüllen, wenn sie sich einem Selbstzertifizierungsverfahren des US-Handelsministeriums unterziehen.
Nun hat der Europäische Gerichtshof (EuGH) mit Urteil vom 6.10.2015 die Übermittlung von Daten durch die irische Facebook-Tochter in die USA auf Basis der Safe Harbor-Entscheidung u.a. aufgrund der Überwachungspraktiken der US-amerikanischen Geheimdienste für unzulässig erklärt. Offen ist, ob eine Datenübermittlung auf anderer Grundlage – z.B. Standardvertragsklauseln, Binding Corporate Rules oder mit Einwilligung des Betroffenen – zulässig ist.
Handeln Rundfunkveranstalter und Onlinemedien ab sofort illegal, wenn sie eigene Kanäle im Social media betreiben?
Betreiber von Facebook-Seiten sind zumindest nach einem Urteil des OVG Schleswig mangels Einflussmöglichkeiten auf von Facebook vorgenommene Datenverarbeitungen für hierbei begangene Rechtsverstöße nicht verantwortlich. Die Entscheidung des BVerwG hierzu steht noch aus. Fest steht dagegen, dass Anbieter für eigene Datenschutzverstöße verantwortlich sind. Unklar sind z.B. die Folgen der EuGH-Entscheidung für die Verwendung von Social-Plugins.
Wie lässt es sich inhaltlich und technisch unterbinden Daten Dritter ungeschützt weiterzugeben?
Organisatorisch könnten Sie die Aktivitäten in den Plattformen, die im Verdacht stehen, oder zu denen bekannt ist, dass sie ihre Daten nicht in Europa halten, einstellen. Sie könnten stattdessen lokale Dienste nutzen. Aus technischer Sicht wäre es grundsätzlich möglich, mit Ihrer Klientel in den sozialen Medien verschlüsselt zu kommunizieren, so dass die Daten lediglich geschützt in andere Jurisdiktionen übermittelt werden, oder sie könnten die Kommunikation auf eigene Apps auslagern. In beiden Fällen müsste die Audienz zusätzliche Apps (entweder im Browser oder innerhalb der Social-Media Plattformen) installieren, was die Reichweite potentiell beschränkt. Darüber hinaus haben Sie keinen Einfluß auf die Verarbeitung der Daten in den heutigen Social-Media Plattformen. Die längerfristige Lösung sollte der Wechsel auf oder die Entwicklung von Diensten sein, die entweder weniger Daten sammeln, oder diese datenschützend verarbeiten, oder sie zumindest lokal halten. Dies wird als Konkurrenz dazu führen, dass derzeit populärere Angebote in diesen Aspekten nachbessern.
Was würden Sie den öffentlich-rechtlichen und privaten Programmveranstaltern jetzt konkret empfehlen im Umgang mit Facebook und Co.?
Aufgrund der derzeitigen Rechtsunsicherheit sollten Programmveranstalter überprüfen, inwieweit es in ihrem Verantwortungsbereich zu Datenübermittlungen in die USA kommt, und die Empfehlungen der nationalen Datenschutzaufsichtsbehörden beachten.
Interview in Zusammenarbeit mit JProf. Dr. Anne Lauber-Rönsberg LL.M. (Edinburgh) Juniorprofessorin für Bürgerliches Recht, Immaterialgüterrecht, insbes. Urheberrecht, Medien- und Datenschutzrecht