Österreich hinkt bei Datenschutz hinterher

Datenschutzfallen lauern im Netz an jeder Ecke – für Unternehmen gleichermaßen wie für die Nutzer selbst. Besonders aktuell ist das Thema in Social Networks, die immer mehr Nutzer, aber auch immer mehr werbetreibende Firmen anlocken. Der Rechtsexperte Günther Leissler, Anwalt bei der Kanzlei Schönherr, spricht im futurezone-Interview über die Datenschutz-Problematik in den sozialen Netzen, Bewusstseinsbildung und Nachholbedarf in Österreich.

futurezone: In welchen gesetzlichen Rahmen fallen Social Networks überhaupt, welches Recht kommt hier zur Anwendung?
Günther Leissler: Eine berechtigte Frage, die Bücher füllen könnte. Viele Wege können zur Anwendung des österreichischen Datenschutzrechts führen. Wenn der Provider außerhalb der Europäischen Union sitzt, aber einzelne Tools wie zum Beispiel Cookies verwendet werden, gilt das Recht jenes Landes, in dem der User sitzt. Komplizierter wird es wieder, wenn es europäische Niederlassungen gibt, dann kommt das Recht jenes Landes zur Anwendung, in dem der Anbieter sitzt. Einheitliche Rahmenbedingungen gibt es nicht, grundsätzlich kommt aber mehrheitlich das österreichische Datenschutzrecht bei österreichischen Nutzern zur Anwendung.

Das heißt vereinfacht, jeder Fall muss derzeit einzeln beurteilt werden?
Ja. Es handelt sich bei Verstößen immer um eine Einzelfallbeurteilung. Das österreichische Datenschutzrecht ist hier ganz klar veraltet und nicht an die Bedürfnisse beispielsweise sozialer Netzwerke angepasst. Diskutiert wird über Neuerungen viel, allerdings ist der Gesetzgeber immer hinten nach. Gerade Social Networks werden eine Neuerung des Rechtsrahmens letztlich aber unabdingbar machen, weil hier der einzelne User zentral in den Mittelpunkt rückt.

Gibt es denn Ländern, die in diesem Punkt Vorbildwirkung haben, die Österreich beim Datenschutz voraus sind?
Die Rechtsrahmen sehen in vielen Ländern ähnlich aus, allerdings ist die Bewusstseinsbildung in anderen Ländern sehr viel weiter fortgeschritten – Großbritannien oder Deutschland etwa. Hier wurde begleitend zum rechtlichen Rahmen massive Aufklärungsarbeit geleistet, was die Teilnahme an sozialen Netzwerken angeht. In diesem Bereich ist Österreich deutlich hinten nach.

Datenschutz ist in Social Networks nicht nur für den einzelnen Nutzer, sondern auch für Unternehmen ein Thema. In welche Fallen tappen die Firmen am häufigsten?
Unternehmen nutzen diese Plattformen gerne für ihre Marketingmaßnahmen. Sie bedenken oftmals nicht, was für rechtliche Konsequenzen es haben kann, wenn man bei der Datenverarbeitung zu salopp mit den gesammelten Informationen umgeht. Das betrifft zum Beispiel Gewinnspiele in Social Networks: Oft werden Daten der teilnehmenden User danach zu Werbezwecken weiterverwendet oder weiterverkauft, ohne dass diese etwas davon wissen – das ist alles illegal. Firmen operieren hier meist nach dem Prinzip „Gelegenheit macht Diebe“, weil sie kostendeckend arbeiten wollen und sich zu solchen Schritten verleiten lassen. Vielen Unternehmen werden diese Vergehen oft erst im Nachhinein schmerzhaft bewusst.

Was wäre im Fall eines solchen Verstoßes die schlimmste Konsequenz, die einem Unternehmen drohen kann?
Die schlimmste Konsequenz – aus nicht rechtlicher Sicht – ist mit Sicherheit die schlechte PR. Haut man gerade in diesem sensiblen Punkt daneben, dann verspielt man auch die Glaubwürdigkeit in jeder anderen Hinsicht. Aus rechtlicher Sicht gibt es eine breite Palette an Verwaltungsstrafen über zivilrechtliche Schritte, die drohen können, bis hin zu – im schlimmsten Fall - strafrechtlichen Konsequenzen.

Hat man als User überhaupt die Möglichkeit, effektive Schritte gegen ein Unternehmen zu ergreifen?
Ja, das kann man, allerdings muss man wissen, wie. Man muss ein gutes Prozedere festlegen, beginnend mit einem Auskunftsbegehren. Auf Basis dessen kann man dann weitere rechtliche Maßnahmen ergreifen.

Welche Tipps würden Sie Unternehmen geben, in welchem Rahmen sollten sie sich bewegen, um auf der „sicheren“ Seite zu sein?
Grundsätzlich würde ich Firmen raten, schon im Vorhinein zu evaluieren, was genau man in einem Netzwerk machen und vor allem was man mit den lukrierten Daten machen will. Darauf sollte die Webpräsenz von Anfang ausgerichtet sein. Beispiel Gewinnspiel: Ein klarer Grenzüberschritt wäre etwa, dieses durchzuführen, aber Nutzer nicht darauf hinzuweisen, was danach tatsächlich mit gesammelten Daten geschieht.

Stellen soziale Netzwerke – im Vergleich zu anderen Internetplattformen – heute eine besondere „Gefahr“ dar, wenn es um Datenschutz geht?
Vom Medium her haben wir es natürlich mit demselben zu tun wie bei allen anderen Internetangeboten auch. Allerdings rücken die User bei Social Networks ganz speziell in den Mittelpunkt und anders als bei anderen Plattformen – etwa eBay, wo man nur seine eigenen persönlichen Daten angibt – werden in den Netzwerken auch Daten über Dritte verbreitet. Das heißt, der Nutzer übernimmt dann auch Verantwortung über die Verarbeitung von Daten anderer: Die User nehmen in den sozialen Netzwerken gewissermaßen die Rolle ein, die früher nur der Provider eingenommen hat. Der Provider selbst ist nur noch Dienstleister. Auch hier hinkt der Rechtsrahmen allerdings weit hinterher. Eigentlich müssten alle Privatpersonen genau Bescheid wissen, was erlaubt ist und was nicht und vor dem Gesetz behandelt werden wie Unternehmen. Hier stößt man dann allerdings schnell an Grenzen, weil der Rechtsrahmen in diesem Punkt eigentlich nicht auf Privatpersonen ausgerichtet ist.

Wie können die Nutzer mit dieser Situation am besten umgehen?
Man muss sich eines immer verinnerlichen: Datenschutz ist nichts anderes als eine riesengroße Interessensabwegung. Schon das Bauchgefühl sollte einem sagen, was erlaubt ist und was nicht.

Welche rechtlichen Anpassungen und Neuerungen würden Sie sich persönlich wünschen?
Wenn ich den Rechtsrahmen ändern müsste, würde ich den Betroffenen stärker im Mittelpunkt verankern – einerseits seine Rechte stärken, ihn aber auch stärker zur Verantwortung ziehen und einen Rahmen schaffen, in dem den Betroffenen eine Verantwortung trifft, die er im Zweifelsfall auch realistisch tragen kann. Zuerst würde ich jedoch für mehr Bewusstseinsbildung sorgen, das geht etwa in Form von Richtlinien, die die Datenschutzbehörde erlassen kann. Es muss nicht alles immer zwingend als Gesetz niedergeschrieben sein. Wichtig wäre, den Nutzern Anleitungen zu geben, wie man sich richtig in den Netzwerken bewegt. Die meisten Leute wissen gar nicht, wo sie hier eigentlich zustimmen, weil die Zustimmungserklärungen oft derart verschachtelt und kompliziert verfasst sind. Das sollte den Menschen zu denken geben, so etwas sollte nicht kapitulierend weggeklickt und hingenommen werden. Andere Länder sind uns in Sachen Aufklärung weit voraus, dass Gesetze immer hinterher hinken, wird sich auch in Zukunft vermutlich nicht ändern.

Welche Rolle wird Datenschutz in Zukunft spielen?
Datenschutz wird die Menschen künftig viel mehr beschäftigen, die gesamte Thematik rückt immer näher an die Nutzer heran. Schon jetzt zählt der Schutz der Privatsphäre und persönlicher Daten in Umfragen mit zu den größten Besorgnissen. Es mag zwar einerseits - vor allem in der jungen Internetgeneration - viele geben, die das Thema eher locker nehmen. Das ändert sich meist jedoch schnell, sobald sie selbst von Verstößen betroffen sind. Und eines darf man keinesfalls vergessen: Hinter den sozialen Netzwerken und den gesammelten Daten steckt mittlerweile eine riesige Geschäftemacherei. Die in Netzwerken verbreiteten Daten sind deshalb so lukrativ, weil sie in der Regel sehr wahrheitsgetreu sind: Menschen lügen ihre Freunde nur ungern an. Das macht die Informationen derart attraktiv.