I. Sachverhalt
Mitte März wurde bekannt, dass das Unternehmen „Cambridge Analytica“ mittels einer Facebook-App persönliche Daten von etwa 87 Millionen Facebook-Nutzerinnen und -Nutzern abgegriffen hat. Nach aktuellen Zahlen sind mehr als 300.000 Deutsche vom jüngsten Datenskandal bei Facebook betroffen. Bis zum Bekanntwerden des aktuellen Datenskandals wurden die Betroffenen nicht informiert und auch die Behörden erhielten keine Informationen.
Angesichts der Tatsache, dass über Jahre tausende externe Zugriffe auf die Daten der Nutzerinnen und Nutzer gewährt wurden, ist dies nur die Spitze des Eisbergs. Weitere Enthüllungen zeigen, dass Cambridge Analytica nicht das einzige Unternehmen ist, das auf Facebook unerlaubt Daten über Millionen Nutzerinnen und Nutzer der Plattform sammeln konnte.
Im aktuellen Facebook-Datenskandal kulminieren mehrere Dimensionen, in denen der gültige Rechtsrahmen – insbesondere im Datenschutz- sowie im Wettbewerbs- und Kartellrecht – mit den Entwicklungen des digitalen Zeitalters noch nicht Schritt gehalten hat. Er zeigt zudem, dass noch immer erhebliche Herausforderungen für eine wirksame Durchsetzung der Betroffenenrechte, eine funktionierende Datenschutzaufsicht und die Entwicklung der Medien- und Datenschutzkompetenz bestehen.
Schließlich geht der aktuelle Skandal aber auch über diese Handlungsdimensionen hinaus. Soweit sich die gegenüber Cambridge Analytica formulierten Vorwürfe als zutreffend erweisen, hatten die laxen Bestimmungen für die Weitergabe von Daten der Facebook-User sowie die zumindest teilweise illegalen, aber dennoch durch Facebook geduldeten Maßnahmen zur Bildung von Nutzerprofilen, Auswirkungen auf das Ergebnis der Präsidentschaftswahlen in den Vereinigten Staaten, des Brexit-Referendums und auf die Wahlkämpfe in weiteren EU- Mitgliedstaaten. Sie berühren damit nicht allein das Datenschutzrecht, sondern die Legitimität demokratischer Wahlen und Abstimmungen.
1. Datenschutz und IT-Sicherheit durchsetzen
Jede Person sollte selbst entscheiden können, wer welche Daten von ihr erhebt und ob diese weiterverarbeitet werden dürfen. Die Zustimmung hierzu muss explizit erfolgen. Neben dieser Erfordernis sind die kostenfreie Auskunft, Korrektur und Löschung wesentliche Ansprüche, die das Recht auf informationelle Selbstbestimmung in die Realität umsetzen. Die Nutzerinnen und Nutzer müssen diese Rechte auch gegenüber international agierenden Unternehmen durchsetzen können. Die Europäische Datenschutzgrundverordnung (DSGVO) ist hierfür ein Meilenstein, aber es bedarf – nicht zuletzt bei der Rechtsdurchsetzung – einer wirkungsvollen Umsetzung auf nationaler wie auf Landesebene. Ein wirksames Datenschutzrecht muss aber mehr als nur die direkt personenbezogenen Daten umfassen. Es muss auch solche Daten schützen, die oftmals erst durch die Kombination verschiedener Datensätze mit einem konkreten Menschen verbunden werden können. Gegen diese Profilbildung bietet das heutige Datenschutzrecht zu wenige Durchsetzungsmöglichkeiten.
Bis heute ignoriert etwa Facebook mit Hinweis auf seine internationale Tätigkeit und sein eigenes Gemeinschaftsrecht immer wieder bereits gültiges deutsches Datenschutzrecht, zum Beispiel in Bezug auf das Recht auf anonyme und pseudonyme Nutzung von Telemedienangeboten. Die letzten Bundesregierungen haben diese Unternehmenspolitik regelmäßig toleriert und auf folgenlose Selbstverpflichtungen gesetzt.
Neben konkreten Maßnahmen zur Förderung des Datenschutzes bedarf es klarer Rechte für Verbraucherinnen und Verbraucher im digitalen Zeitalter. Hierbei müssen einerseits die Verbraucherrechte ausgebaut werden. Zentral hierfür ist eine wirksame Plattformregulierung, im Interesse der Verbraucherinnen und Verbraucher individuelle Diskriminierung verhindert und Transparenz stärkt. Datenportabilität und Interoperabilität sind nicht nur entscheidende Verbraucherrechte, sondern stärken zugleich den Wettbewerb.
Ebenso müssen die technisch-regulatorischen Grundlagen deutlich vorangetrieben werden. So bedarf es klarer und verpflichtender Mindestanforderungen für die IT-Sicherheit, die idealerweise für ganz Europa einheitlich geregelt werden sollten. Ähnlich wie beim EU-weiten CE-Label können durch solche Mindestanforderungen Schwachstellen nachhaltig bekämpft und die Qualität von Produkten verbessert werden. Es gilt, für technische Geräte im „Internet der Dinge“, etwa vernetzte Haushaltsgeräte, ebenfalls entsprechende Normen zu entwickeln, wie es im Bereich der Verkehrssicherheit die Einführung von Gurt- und Airbag-Pflicht für das Auto war. Zertifizierungsverfahren sollten EU-weit harmonisiert werden.
Auch das Recht der Produkthaftung braucht einen digitalen Neustart, gerade im Zeitalter des Internets der Dinge. Kommerzielle Hersteller von Software müssen endlich haften, wenn sie bekannte Sicherheitslücken nicht schließen. Die Sicherheit der Verbraucherinnen und Verbraucher muss sowohl durch konkrete Anreize für mehr Qualitätssicherung gestärkt werden, ebenso bedarf es aber auch rechtlicher Verpflichtungen für die Softwarehersteller, Updates für Sicherheitslücken schnellstmöglich anbieten zu müssen.
Sowohl auf nationaler wie auf europäischer Ebene sollten die Grundsätze „Privacy by Design“ und „Privacy by Default“ wirkmächtig rechtlich verankert werden. Die Aufsichtsbehörden von Bund und Ländern sowie die technischen Zertifizierungsstellen müssen so ausgestattet werden, dass sie diese Grundsätze in der Praxis durchsetzen können.
2. Aktuellen Datenskandal aufklären, Medien- und Datenschutzkompetenz stärken
Bei 87 Millionen betroffenen Nutzerinnen und Nutzern ist zwangsläufig davon auszugehen, dass auch Bürgerinnen und Bürger in Nordrhein-Westfalen vom aktuellen Datenskandal betroffen sind. Seitens Facebook ist die Informationspolitik äußerst dürftig, ebenso von öffentlichen Stellen auf der Landes- und Bundesebene. Dabei benötigen die Bürgerinnen und Bürger unabhängige Informationen, ob sie betroffen sind und wie sie sich künftig schützen können.
Auch wenn sie im Fall des aktuellen Datenskandals bei Facebook die Nutzerinnen und Nutzer nicht vor einer unrechtmäßigen Datenweitergabe durch den Anbieter hätte schützen können, ist Medienkompetenz doch nach wie vor die Grundlage für ein bewusstes und bedachtes Handeln im Internet. Dies gilt hinsichtlich verbraucher- als auch datenschutzrechtlicher Fragen, ebenso wie für das Erkennen von Fake News und Hate Speech. In den vergangenen Jahren sind, z.B. bei der Verbraucherzentrale NRW, der Landesanstalt für Medien, der Landesbeauftragten für Datenschutz und Informationsfreiheit und verschiedenen freien Trägern zahlreiche Angebote zur Förderung der Medien- und Datenschutzkompetenz entstanden.
Diese Angebote gilt es auszubauen, denn nur durch wachsende Medienkompetenz können jede Internetnutzerin und jeder Internetnutzer die Vorteile und Möglichkeiten des Internets sorglos nutzen.
3. Hass und Hetze rechtsstaatlich entgegentreten
Die Debatte um die Verbreitung von Hass und Hetze im Internet und insbesondere in sozialen Netzwerken wurde in den vergangenen Jahren immer intensiver geführt. Ihr kommt im aktuellen Datenskandal eine besondere Rolle zu, da die über Cambridge Analytica gewonnenen Persönlichkeitsprofile offenbar zur gezielten Manipulation der politischen Debatte und des gesellschaftlichen Klimas genutzt wurden.
Offensichtlich rechtswidrige Inhalte wurden in der Vergangenheit oftmals nicht oder nicht konsequent verfolgt. Trotz der Verbesserungen der Ausstattung von Polizei und Justiz konnte das Problem bisher nicht hinreichend angegangen werden, oftmals auch wegen mangelnder Kooperation der Plattformanbieter. Gerade mit Blick auf diese fehlende Kooperationsbereitschaft ist den vergangenen Jahren auch der bereits gültige „Notice and take down“ Grundsatz nicht ausreichend durchgesetzt worden. Damit dies künftig gelingt, müssen die Anbieter endlich ausreichend und gut qualifiziertes Personal einstellen.
Nicht jeder schwer erträgliche Inhalt ist auch rechtswidrig. Vielmehr ist die Meinungsfreiheit als eines der wichtigsten Güter im Rechtsstaat zu schützen. In diesem Bereich hat die fehlende Handlungsbereitschaft der letzten Bundesregierungen jedoch erst zu einer Verschärfung der Situation und dann zu dem überstürzten, inhaltlich und rechtsstaatlich überaus fragwürdigen „Netzwerkdurchsetzungsgesetz“ geführt. Die rechtsstaatlich gebotene Abwägung zwischen Grundrechten wie Meinungsfreiheit und Persönlichkeitsrechten kann nicht zwischen Privaten geklärt werden, sondern nur durch unabhängige Gerichte.
Stattdessen bedarf es einer Stärkung der Medienkompetenz und der Unterstützung der Herausbildung einer demokratischen digitalen Zivilgesellschaft, die Hass und Fake eine klare, ethisch begründete Haltung entgegensetzt. An der Entwicklung einer Landesstrategie sollten deshalb alle relevanten gesellschaftlichen Kräfte, Medien, Vereine und Verbände, Gewerkschaften und Unternehmen, Wissenschaft, Kultur und Sport, Religions- und Weltanschauungsgemeinschaften beteiligt werden.
II. Der Landtag stellt fest:
1. Die Durchsetzung eines wirksamen Datenschutzes ist für unsere Demokratie konstitutiv. Sie ist elementarer Bestandteil des Schutzes der Menschenwürde.
2. Im Datenskandal um Facebook und Cambridge Analytica manifestiert sich die fehlende Handlungsbereitschaft der letzten wie der aktuellen Bundesregierung. Der Landtag erkennt einen massiven Handlungsbedarf für ein Datenschutzrecht, das den Bedingungen des digitalen Zeitalters angemessen ist, sowie ein Kartell- und Wettbewerbsrecht, das den Herausforderungen der Digitalisierung gerecht wird.
III. Der Landtag beschließt:
1. Der Landtag fordert die Landesregierung zur Vorlage einer ressortübergreifenden Gesamtstrategie „Verantwortung, Freiheit und Recht im Netz“ auf. Diese soll konkrete Maßnahmen zur Sicherung des Rechts der informationellen Selbstbestimmung, der digitalen Verbraucherrechte und zur Förderung der Medien- und Datenschutzkompetenz enthalten. Die Strategie ist bis Ende 2018 vorzulegen und soll Maßnahmen auf Landes-, Bundes- und Europaebene umfassen.
2. Der Landtag fordert die Landesregierung zu kurzfristigen Maßnahmen zur Stärkung des Grundrechtsschutzes auf. Diese umfassen insbesondere:
- mit Blick auf den aktuellen Datenskandal – ggf. in Zusammenarbeit mit der unabhängigen Landesbeauftragten für Datenschutz und Informationsfreiheit – Informationsangebote für betroffene Bürgerinnen und Bürger aus Nordrhein- Westfalen aufzulegen.
- die Landesbeauftragte für Datenschutz und Informationsfreiheit in ihrer Ausstattung zu stärken
- Angebote zur Förderung der Medienkompetenz zu stärken und insbesondere mit Blick auf das Erkennen von Fake News und Hate Speech auszubauen.
- sich auf Bundes- und Europaebene für eine schnelle Verabschiedung der E- Privacy-Verordnung einzusetzen
- Forschung insbesondere zu daten- und verbraucherschutzrechtlichen Fragen zu initiieren, die sich aus der verstärkten Nutzung digitaler Plattformen ergeben.
- in der Landesgesetzgebung das Recht, Telemedienangebote anonymisiert und pseudonymisiert nutzen zu können, zu schützen und sich auf Bundesebene für einen Rechtsrahmen einzusetzen, der dessen Durchsetzung ermöglicht.
3. Der Landtag fordert die Landesregierung auf, sich auf Bundesebene für eine schnelle Neuregelung des Wettbewerbs- und Kartellrechts vor dem Hintergrund der Herausforderungen des digitalen Zeitalters einzusetzen, bei der die Verbraucherinteressen und der Datenschutz im Vordergrund stehen. Dafür muss insbesondere als ultima ratio eine missbrauchsunabhängige Entflechtungsmöglichkeit von Unternehmen eingeführt werden. Hierbei müssen bei der Zusammenschlusskontrolle auch Indikatoren wie Nutzerzahlen und Datenbesitz bei der Bewertung von Marktbeherrschung einbezogen werden. Zugleich werden Vorgaben zur Plattformneutralität benötigt.
4. Der Landtag fordert die Landesregierung auf, bei der Umsetzung der EU- Datenschutzgrundverordnung die Spielräume, die EU und nationaler Gesetzgeber dem Landesgesetzgeber gelassen haben, im Sinne der Betroffenen und im Sinne des Datenschutzes zu nutzen. Dies gilt insbesondere für ein hohes Schutzniveau personenbezogener Daten auch im Falle einer Weitergabe zu Forschungszwecken.
5. Der Landtag fordert die Landesregierung auf, die Grundsätze des Daten- und Verbraucherschutzes bei allen die Digitalisierung betreffenden Entscheidungsprozessen von Anfang an konsequent einzubeziehen und nicht mehr pauschal hinter andere Zielsetzungen zurückzustellen.