Facebook: Verkauf von Nutzerdaten legal?

Fachbeitrag

Ein neuer Tag, ein neuer Facebook Datenschutz-Skandal. Diesmal kam ans Licht, dass Facebook entgegen früheren Verlautbarungen geplant hatte, Nutzerdaten zu verkaufen. Welche datenschutzrechtlichen Problematiken bestehen und warum sogar strafrechtliche Ermittlungen möglich sind, beleuchtet dieser Artikel.

Nutzer als Ware

Das letzte Mal wurde der Verkauf von Nutzer- bzw. Kundendaten in der Öffentlichkeit breit diskutiert, als ans Licht kam, dass die Deutsche Post über eine Tochtergesellschaft Daten über seine Kunden an Parteien zu Wahlkampfzwecken verkauft hatte. Sowohl die involvierten Parteien als auch die Post beteuerten mehrfach, es habe sich bei den Kundendaten um anonymisierte Daten gehandelt. Ein Rückschluss auf eine konkrete Einzelperson sei nicht möglich gewesen.

Nun machen Schlagzeilen die Runde, wonach Britischen Ermittlungen zufolge Facebook Werbekunden einen Zugang zu Nutzerdaten und -aktivitäten angeboten hatte, was von Facebook in der Vergangenheit stets abgestritten wurde.

Ein Skandal folgt dem nächsten

Die an die Öffentlichkeit gelangten internen E-Mails sind Teil einer 250-seitigen Dokumentensammlung von Facebook-Interna, welche im Zuge einer britischen Untersuchung wegen des sog. Cambridge Analytica Datenschutz-Skandals ans Licht kamen. Gegenstand dieser Untersuchung ist die unrechtmäßige Zugangsgewährung zu Daten von 87 Millionen Facebook-Nutzern gegenüber einem britischen Unternehmen im Vorfeld der US-Wahlen 2016. Die in dieser Untersuchung gesichteten E-Mails wiederum stammen aus einem anderen Gerichtsprozess in Kalifornien, in dem Facebook von einem App-Entwickler verklagt wurde. Der Hintergrund dieser Klage wiederum kann bei Datenschützern ebenfalls nur für Kopfschütteln sorgen:

Das Geschäftsmodell von Six4Three basierte anscheinend auf der Weiterverarbeitung von Freundeslisten und -daten. Als Facebook den Zugang 2015 kappte, reichte die Firma Klage ein. Gegenstand der Klage war unter anderem, dass andere Firmen zeitweise Ausnahmen von dieser Regel erhielten, zum Beispiel Airbnb oder Netflix und so durch Facebook bevorteilt wurden.

Die interessante Frage hier ist natürlich: Wie ist der Verkauf von personenbezogenen Nutzer- und/oder Kundendaten eigentlich nach der DSGVO zu bewerten?

Operieren ohne Rechtsgrundlagen

Ermöglicht Facebook anderen Unternehmen Einsicht in seine personenbezogenen Nutzerdaten, handelt es sich hierbei um eine Datenverarbeitung in Form der Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung gem. Art. 4 Nr.2 DSGVO.

Da es sich bei den Nutzerdaten um personenbezogene Daten handelt, bedarf die Offenlegung einer Rechtsgrundlage. Anderenfalls wäre die Offenlegung rechtswidrig (sog. Verbot mit Erlaubnisvorbehalt gem. Art. 5 Abs. 1, 6 DSGVO). Vorrangige Rechtsgrundlagen für die Offenlegung sind hier nicht ersichtlich.

Berechtigtes Interesse?

Denkbar wäre allenfalls, die Übermittlung auf das berechtigte Interesse gem. Art. 6 Abs. 1 lit.f DSGVO zu stützen. Nach Erwägungsgrund 47 S.7 der DSGVO kann (!) Direktwerbung ein berechtigtes Interesse darstellen. Die Verarbeitung durch Offenlegung gegenüber Drittunternehmen erfolgt jedoch nicht originär zum Zwecke der Direktwerbung im Sinne des Erwägungsgrundes 47 S.7. DSGVO. Facebook will durch die Übermittlung keine Werbung schalten, sondern einen geldwerten Vorteil erlangen und was die involvierten Unternehmen mit den so erlangten Kundendaten wollen, weiß eigentlich niemand so genau.

Bei der Generalklausel aus Art. 6 Abs. 1 lit.f DSGVO ist zudem zu beachten, dass bei der Interessenabwägung insbesondere die „die vernünftigen Erwartungen der betroffenen Personen, die auf ihrer Beziehung zu dem Verantwortlichen beruhen, zu berücksichtigen sind.“ Kein Kunde einer Online-Plattform muss ernsthaft erwarten, dass die Onlineplattform seine Kundendaten, samt seiner sozialen Beziehungsverpflechtungen, an andere Unternehmen weiterverkauft. Der Anwendung von Art. 6 Abs. 1 lit.f DSGVO dürften damit die schutzwürdigen Belange der Betroffenen entgegenstehen.

Einwilligung erforderlich

Da es an einer Rechtsgrundlage fehlt, käme allenfalls noch eine Einwilligung der Betroffenen gem. Art. 6 Abs. 1 lit.a, 7 DSGVO in Betracht, die hier von Facebook im Vorfeld nicht eingeholt wurde. Eine schöne Zusammenfassung, wie eine Einwilligung ausgestaltet sein muss (freiwillig, informiert, bezogen auf einen bestimmten Zweck, bezogen auf eine bestimmte Verarbeitung, unmissverständlich und frei widerruflich), findet sich in der Orientierungshilfe des Bayerischen Landesbeauftragten für den Datenschutz.

Verletzung des Zweckbindungsgebots

Auch sind hier Verstöße gegen das Zweckbindungsgebot aus Art. 5 Abs. 1 lit.b DSGVO naheliegend.

Im Grundsatz gilt, dass Daten nur für diejenigen Zwecke verarbeitet werden dürfen, für die sie ursprünglich erhoben wurden. Eine Zweckänderung ist grundsätzlich unzulässig. Hiervon ist zwar in Art. 6 Abs. 4 DSGVO eine wichtige Ausnahme geregelt, wonach eine Weiterverarbeitung zu „mit dem ursprünglichen Zwecken“ vereinbaren (sprich kompatiblen) Zwecken zulässig ist. Jedoch ist völlig unbekannt, zu welchen Zwecken die Daten durch die Unternehmen verarbeitet werden. Im Fall von Cambridge Analytica zeigte sich etwa, dass sie für politische Werbung zweckentfremdet wurden. Auch im Post-Beispiel – einen personenbezug der verkauften Daten vorausgesetzt – wäre stark zu bezweifeln ob die verfolgten Zwecke durch Nutzung der Datensätze durch eine politische Partei mit der den Zwecken der Nutzung durch ein Transportunternehmen „vereinbar“ sind.

Verletzung von Informationspflichten

Auch haben die Skandale rund um Kundendatenverkäufe regelmäßig eine traurige Gemeinsamkeit:

Die Betroffenen erfahren über diese Datenübermittlungen meistens erst, wenn die Datenweitergabe durch Offenlegung von Ermittlungen oder Gerichtsdokumenten der Öffentlichkeit bekannt geworden sind und nicht, weil der Verantwortliche seinen Informationspflichten gegenüber dem Betroffenen gem. Art. 13 Abs. 3 und Art. 14 Abs. 4 DSGVO wegen Zweckänderung nachkam.

Drohende Rechtsfolgen

Der Verkauf von Kundendaten in der besprochenen Form dürfte wie dargestellt gegen mehrere DSGVO-Vorgaben verstoßen. Die fehlende Rechtsgrundlage so wie die Verletzung von Informationspflichten sind nach Art. 83 Abs. 5 lit. a DSGVO bußgeldbewährt mit einem erhöhten Bußgeldrahmen in Höhe von 20 Millionen Euro oder 4 % des weltweiten Konzernumsatzes.

Nach Art. 84 DSGVO unterliegt den Mitgliedsstaaten das Recht, strafrechtliche Sanktionen für Verstöße gegen die DSGVO festzusetzen. Hiervon hat der deutsche Gesetzgeber mit § 42 BDSG Gebrauch gemacht.

Gem. § 42 Abs. 1 BDSG gilt, dass

„mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft wird, wer wissentlich nicht allgemein zugängliche personenbezogene Daten einer großen Zahl von Personen, ohne hierzu berechtigt zu sein,

  1. einem Dritten übermittelt oder
  2. auf andere Art und Weise zugänglich macht

und hierbei gewerbsmäßig handelt.“

Hier zeigt sich, warum die Deutsche Post im eingangs erwähnten Fall sehr darauf bedacht war, die Kundendaten in anonymisierter Form an die Parteien zu übermitteln. Hätte es sich um personenbezogene Daten gehandelt, wäre der Anwendungsbereich des § 42 BDSG eröffnet gewesen. Wenn dann noch die einzige Rechtsgrundlage in Form einer Einwilligung wegen eines Fehlers wegbricht – oder erst überhaupt keine vorliegt – ist das Szenario strafrechtlicher Ermittlungen, wenn der Vorgang erst einmal publik wird und eine Strafanzeige vorliegt, nicht mehr fern. Hier zeigt sich dann auch, weshalb Facebook mit dem Kundendatenverkauf – zumindest nach deutschem Recht – wohl strafrechtliche Gefilde betreten hätte.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Social Media / Social Networks

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.