Plattformübergreifende Verknüpfung von Nutzerdaten

Google, CouchSurfing und Microsoft - drei US-amerikanische Unternehmen, die in den vergangenen Monaten durch eine auch in den Medien vielfach beachtete Gemeinsamkeit auffielen: Alle drei Unternehmen änderten ihre Nutzungsbedingungen. Der wohl bekannteste Fall betrifft das Unternehmen Google, das im Januar in seinem Firmenblog ankündigte, personenbezogene Nutzerdaten aus seinen vielfältigen Diensten verknüpfen zu wollen. Im September fiel dann das internetbasierte Gastfreundschaftsnetzwerk CouchSurfing auf, in dem es sich eine umfassende und "unwiderrufliche" Erlaubnis zu einer quasi unbegrenzten Verwertung der Nutzerdaten einräumen ließ. Entweder akzeptieren die Mitglieder die neuen Nutzungsbestimmungen oder sie dürfen den Dienst nicht mehr in Anspruch nehmen. Im Oktober schließlich änderte auch Microsoft seine Nutzungsbedingungen und behält sich seitdem vor, Nutzerdaten aus seinen Internetdiensten Hotmail, Bing, Windows Live Messenger u. a. zu verwerten. Seitdem werden die Daten nicht mehr nur für den Betrieb des jeweiligen Dienstes gespeichert, sondern der "Vertrag über Microsoft-Dienste" räumt dem Unternehmen das Recht ein, alle ihm vorliegenden Nutzerdaten zusammenzuführen und zu analysieren.

Nun kann man sich die Frage stellen, ob staatliche Stellen hier überhaupt eingreifen sollten oder ob man nicht dem Grundsatz der Vertragsfreiheit oberste Priorität einräumen müsste. Schließlich wird ja niemand gezwungen, die Dienste von Google, CouchSurfing oder Microsoft in Anspruch zu nehmen. Dieser Gedanke greift aber zu kurz. Gerade die sogenannten global players bieten heutzutage Dienste an, die aus dem Privat- oder Geschäftsleben kaum noch wegzudenken sind. Viele Nutzer mögen sich zwar bewusst für die Nutzung einzelner Dienste entschieden haben, aber kaum jemand ist noch in der Lage, die Flut der insgesamt und zumeist unbewusst zur Verfügung gestellten Daten zu überblicken. Werden Nutzungsbedingungen dann auch noch im Nachhinein geändert, verschärft sich das Problem. Viele Nutzer sehen nach einer jahrelangen Nutzung dieser Dienste gar keine andere Wahl, als zähneknirschend zuzustimmen. Schließlich hätte der "Austritt" aus den marktbeherrschenden Web 2.0-Diensten den Verlust von "Freunden" und Kommunikationsmöglichkeiten zur Folge. Von einer freiwilligen Zustimmung oder gar datenschutzgerechten Einwilligung wird man also nicht sprechen können; es sei denn, es handelt sich um einen Neukunden, dem echte, datenschutzfreundliche Alternativen zur Verfügung gestellt werden.

Die meisten Änderungen der Nutzungsbedingungen wären nach dem deutschen und europäischen Datenschutzrecht unzulässig. Bei der Sammlung großer Mengen personenbezogener Nutzerdaten versäumen es die Unternehmen regelmäßig nachzuweisen, dass diese Datenanhäufung in einem vertretbaren Verhältnis zu den Zwecken, für die sie verarbeitet werden, steht. Einer schier grenzenlosen Datenverknüpfung steht zudem eine mangelhafte einfache und umfassende Möglichkeit zur Kontrolle der Verknüpfung und Nutzung der Nutzerdaten entgegen.

Soweit es sich um Unternehmen mit Sitz in den USA handelt, die sich dem Safe Harbor-Abkommen unterworfen haben, müssen die dort niedergelegten Prinzipien eingehalten werden. Allerdings entsprechen diese nicht dem Schutzniveau des europäischen Datenschutzrechts. Verstöße gegen das Safe Harbor-Abkommen können von der in den USA zuständigen Federal Trade Commission geahndet werden.

Die beschriebenen Fälle zeigen einmal mehr die Notwendigkeit, das europäische Datenschutzrecht so zu reformieren, dass der Datenschutz europäischer Nutzer auch dann gewährleistet ist, wenn Internetdienste aus einem Drittstaat angeboten werden. Wer Geschäfte in Europa macht und dabei personenbezogene Daten erhebt, muss die datenschutzrechtlichen Vorgaben zur Zweckbindung, Datenqualität, Datensparsamkeit, der Verhältnismäßigkeit und zum Widerspruchsrecht einhalten. Das geplante "Marktortprinzip" soll dies gewährleisten. Danach soll das europäische Datenschutzrecht generell auch dann gelten, wenn sich Unternehmen aus Drittstaaten mit ihren Diensten an Nutzer in der Europäischen Union wenden, selbst wenn die Unternehmen keine Niederlassung in Europa haben. Die Nutzungsbedingungen dieser Dienste - und natürlich auch deren Änderungen - wären dann direkt am Maßstab des europäischen Datenschutzrechts zu messen und unterlägen einer Prüfung durch die unabhängigen Datenschutzbehörden der Mitgliedstaaten. Dass die beschriebenen, nachträglich eingeführten Verschlechterungen der Nutzungsbedingungen diese Prüfung bestehen würden, ist aus guten Gründen zu bezweifeln.