Der EuGH hat die Übermittlung europäischer Nutzerdaten auf Server in die USA verboten. Was bedeutet das Urteil für die Medien, die heute auf Facebook und Youtube unterwegs sind?
Das Urteil sollte als Signal verstanden werden, die eigenen Datenverarbeitungsprozesse und die Social-Media-Strategie kritisch zu überprüfen. Dort wo Datenübermittlungen in die USA bislang allein auf Safe Harbor gestützt werden, sind diese nicht mehr zulässig. Dies betrifft insbesondere die verantwortlichen Stellen, die ihre Nutzerdaten insbesondere im Wege der Auftragsdatenverarbeitung in die USA übersenden. Jeder muss sich darüber im Klaren sein, dass die Auswirkungen sich nicht nur auf Safe Harbor beziehen. Die der Übermittlung zugrunde liegenden alternativen Rechtsgrundlagen wie Standardvertragsklauseln stehen im Lichte des Urteils ebenfalls auf dem Prüfstand. Hierzu erfolgt zwischen den Datenschutzbeauftragten derzeit noch eine Abstimmung.
Handeln Rundfunkveranstalter und Onlinemedien ab sofort illegal, wenn sie eigene Kanäle im Social media betreiben?
Wir gehen grundsätzlich von einer eigenen Verantwortlichkeit z.B. der Betreiber von Facebook-Fanpages aus. Diese Frage ist derzeit Gegenstand eines Rechtsstreits, der im Dezember vom Bundesverwaltungsgericht entschieden wird.
Sollte das Gericht die Verantwortlichkeit der Betreiber bestätigen, werden auf diese erhöhte rechtliche Anforderungen zukommen, auch unabhängig von der Frage der Übermittlung der Daten in die USA. Soweit für solche Kanäle das sog. Presseprivileg gilt oder eine eigene Datenschutzaufsicht existiert (wie z.B. bei den Landesrundfunkanstalten), fällt dies jedoch nicht unter die Kontrolle der Aufsichtsbehörden. Für die öffentlich-rechtlichen Rundfunkanstalten sind die dortigen Datenschutzbeauftragten anzusprechen.
Wie lässt es sich inhaltlich und technisch unterbinden, Daten Dritter ungeschützt weiterzugeben?
Beim Einsatz von Social Plugins (Like Button etc.) ist mindestens die sog. Zwei-Klick-Lösung einzusetzen. Diese verhindert die ungewollte Weitergabe von Nutzungsdaten bereits beim reinen Aufruf der Seite, in die das Plugin eingebaut ist.
Die eigenen Internetangebote sind so einzurichten, dass die abgerufenen Inhalte nur verschlüsselt übertragen werden (TLS Transportverschlüsselung). Dies verhindert die unberechtigte Kenntnisnahme der enthaltenen personenbezogenen Daten und der Details des Medienkonsums.
Was würden Sie den öffentlich-rechtlichen und privaten Programmveranstaltern jetzt konkret empfehlen im Umgang mit Facebook und Co.?
Mehr denn je empfehlen wir einen restriktiven Umgang bei der Einbindung von Dienstleistern wie Google und Facebook, die die Daten der Nutzer in den USA verarbeiten. Nutzer sollten auf keinen Fall auf solche Plattformen getrieben werden, wenn sie mit den Programmveranstaltern in Kontakt treten oder deren Angebote wahrnehmen wollen. Es muss parallel datenschutzfreundliche Alternativen geben, die leicht zu finden und zu benutzen sind. Gerade der öffentlich-rechtliche Rundfunk hat hier eine Vorbildfunktion.