Beantwortung der Mündl. Anfrage der Grünen zum Datenmissbrauch durch Internet-plattformen (Teil 2)
Sitzung des Niedersächsischen Landtages am 20. April 2018; Fragestunde Nr. 10
Das Niedersächsische Ministerium für Inneres und Sport antwortet namens der Landesregierung auf die Mündliche Anfrage der Abgeordneten Stefan Wenzel, Helge Limburg, Julia Willie Hamburg, Belit Onay, Eva Viehoff, Dragos Pancescu und Detlev Schulz-Hendel (Grüne) wie folgt:
Vorbemerkung der Abgeordneten
Einem Bericht der FAZ „Teuflisch genial“ vom 24. September 2017 zufolge bediente sich auch die AfD in den letzten Wahlkämpfen in Deutschland der Beratung durch eine Werbeagentur, die im Wahlkampf auch für den derzeit amtierenden US Präsidenten tätig war. Gemeinsam mit der Agentur entwickelte sie den Berichten zufolge Medien für den Internetwahlkampf und nutze dazu insbesondere „Negative Campaigning“-Botschaften. Der FAZ zufolge gab sich die AfD dabei „große Mühe, ihre Urheberschaft auf der Website zu verschleiern“. Welche Daten und welche Verfahren verwandt wurden, um die Adressaten zielgenau zu erreichen, ist nicht bekannt. Zudem prüft die Bundestagsverwaltung Angaben zur Herkunft und Vollständigkeit von Spenden in Rechenschaftsberichten.
Die Berichte verschiedener Medien, u. a. des Guardian, der New York Times und von Chan-nel4 („Exposed: Undercover secrets of Trump‘s data firm“), zu dem Medien- und Internetkonzern Facebook vom 20. März 2018 und 7. April 2018 werfen weitreichende Fragen über die Datensicherheit von Internetplattformen und die damit verbundenen Möglichkeiten der Manipulation von demokratischen Wahlen auf. Den Berichten zufolge hatte sich die Datenanalyse-Firma Cambridge Analytica Zugang zu Daten und Persönlichkeitsprofilen von 50 Millionen Facebook-Nutzern verschafft, um die letzte Präsidentenwahl in den USA mit gezielter Wahlwerbung einerseits und Diskreditierung politischer Gegner andererseits zu beeinflussen. Berichten des britischen Observer und des Guardian zufolge haben diese Methoden über Umwege auch beim Brexit-Referendum in Großbritannien eine Rolle gespielt. Letzte Presseberichte gehen von mehr als 80 Millionen Betroffenen aus, davon ein Teil aus Deutschland.
Artikel 38 des Grundgesetzes, Artikel 8 der Landesverfassung, Paragraph 1 des Bundeswahlgesetzes und die Wahlgesetze und Wahlordnungen der Länder und Kommunen regeln die Grundlagen von demokratischen Wahlen, die allgemein, unmittelbar, frei, gleich und geheim sein müssen. „Die Bürgerinnen und Bürger dürfen von niemanden in ihrer Wahl beeinflusst werden“, schreibt die Bundeszentrale für politische Bildung mit Bezug auf diese Grundsätze. „Die Stimmabgabe muss frei sein von Zwang und unzulässigem Druck. Mit den Grundsätzen des freien und gleichen Wahlrechts hängt auch entscheidend die Chancengleichheit der Parteien zusammen.“
Das Parteiengesetz schreibt deshalb auch vor, dass Spenden an politische Parteien grundsätzlich offengelegt werden müssen. Spenden aus dem Ausland sind grundsätzlich verboten.
Der gesamte Vorgang ist von erheblicher Bedeutung für die Durchführung demokratischer Wahlen nach rechtsstaatlichen Grundsätzen.
Vorbemerkung der Landesregierung
Mit der zunehmenden Ausweitung und Nutzung der Informations- und Kommunikationstechnik, insbesondere des Internets und dort der sozialen Netzwerke, werden immer mehr personenbezogene Daten öffentlich weltweit zugänglich gemacht. Die technologischen Entwicklungen und die Globalisierung haben dabei den Datenschutz und die Datensicherheit vor neue Herausforderungen gestellt. Die Technik macht es möglich, dass Interessierte in immer größerem Umfang auf die Daten zugreifen und diese für ihre Zwecke nutzen können.
Damit steigt auch die Gefahr, dass diese Daten ohne Wissen der Betroffenen genutzt und sogar missbraucht werden. Das verfassungsmäßig garantierte Recht jedes Einzelnen auf informationelle Selbstbestimmung wird in diesen Fällen missachtet. Um dem wirksam zu begegnen, sind ausreichende und durchsetzbare Regelungen zu den Rechten und Pflichten zum Schutz dieser Persönlichkeitsrechte erforderlich.
Darüber hinaus ist es jedoch auch erforderlich, dass jede einzelne Person sorgfältig prüft, wem sie zu welchem Zweck ihre personenbezogenen Daten überlässt und in welchem Umfang sie persönliche Daten über das Internet zugänglich macht. Erst ein aktiver Selbstdatenschutz, zusammen mit ausreichenden gesetzlichen Vorgaben, bietet die bestmögliche Sicherheit, um einem Datenmissbrauch vorzubeugen.
Die zuständige Aufsichtsbehörde für die Kontrolle der Einhaltung datenschutzrechtlicher Vorschriften in Niedersachsen ist die Landesbeauftragte für den Datenschutz. Die Landesbeauftragte für den Datenschutz (LfD) ist gemäß Art. 62 Abs. 3 der Niedersächsischen Verfassung i.V.m. § 21 Abs. 3 des niedersächsischen Datenschutzgesetzes gemäß dem Urteil des Europäischen Gerichtshofes vom 9. März 2010 unabhängig und unterliegt keiner staatlichen Aufsicht. Die Landesregierung darf parlamentarische Anfragen nach Art. 24 Abs. 1 NV, soweit sie den Tätigkeitsbereich der LfD betreffen, nicht im Rahmen von Fachaufsichtsbefugnissen gegenüber dem Landtag beantworten.
Der LfD wurde zur Beantwortung der mündlichen Anfrage die Gelegenheit zur Stellungnahme gegeben. Die Beiträge sind in Absprache mit der LfD in die Antwort integriert und als solche gekennzeichnet.
1. Was hat die Landesregierung veranlasst, um zu klären, ob Daten von Facebook durch Dritte für die Beeinflussung von Wahlen in Niedersachsen verwendet wurden?
Die Landesregierung verfolgt die Diskussion über offene Fragen zum Umgang mit Nutzerdaten bei Facebook intensiv. Die Überwachung der Einhaltung der datenschutzrechtlichen Vorschriften obliegt allerdings der Landesbeauftragten für den Datenschutz. Vor diesem Hintergrund wird auf deren Antwort verwiesen.
Antwort der Landesbeauftragten für den Datenschutz:
Von der Landesbeauftragten für den Datenschutz Niedersachsen wurde Kontakt zum Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit aufgenommen und nach dem Stand der Ermittlungen angefragt. Bis zum 12. April 2018 lagen keine Informationen vor.
2. Welche regulatorischen Maßnahmen hält die Landesregierung für notwendig, um eine Gefährdung der Grundsätze des Wahlrechts, des Parteiengesetzes, des Datenschutzrechts und des Kartellrechts auszuschließen?
Dem Schutz der Grundsätze des Wahlrechts dienen u. a. die Vorschriften der §§ 107 bis 108c des Strafgesetzbuches (StGB), die nach § 108d StGB für Wahlen und Abstimmungen auf kommunaler Ebene und auf Landes- und Bundesebene sowie für die Wahl der Abgeordneten des Europäischen Parlaments gelten.
Nach dem Parteiengesetz (PartG) haben die Parteien über die Herkunft und Verwendung ihrer Mittel sowie über ihr Vermögen in einem Rechenschaftsbericht gegenüber dem Präsidenten des Deutschen Bundestages öffentlich Rechenschaft zu geben (§ 23 PartG). Die Prüfung der Rechenschaftsberichte durch den Präsidenten des Deutschen Bundestages erstreckt sich auch darauf, ob die gesetzlichen Vorschriften beachtet worden sind (§ 29 PartG). Im Sechsten Abschnitt des Parteiengesetzes sind die Sanktionsmöglichkeiten des Präsidenten des Deutschen Bundestages sowie die Strafvorschriften bei unrichtigen Rechenschaftsberichten geregelt.
Nach derzeitigem Kenntnisstand werden in diesem Bereich keine zusätzlichen regulatorischen Maßnahmen für notwendig erachtet.
Soweit in sozialen Netzwerken wie Facebook personenbezogene Daten verarbeitet werden, sind die relevanten datenschutzrechtlichen Vorschriften zu beachten. Die bestehenden Vorschriften zur Verarbeitung personenbezogener Daten über das Internet, insbesondere die Datenverarbeitung in sozialen Netzwerken, sind hierzu aktuell nicht hinreichend klar und umfassend. Dies gilt besonders im Hinblick darauf, dass die verantwortlichen Stellen oft vom außereuropäischen Ausland aus agieren und die Daten weltweit verfügbar sind. Mit der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung – DSGVO) hat die Europäische Kommission einen wesentlichen Schritt zu effektiven Regelungen bei dieser Datenverarbeitung unternommen.
Bisher war es umstritten, welches nationale Recht für Facebook bei der Datenverarbeitung in Europa anzuwenden ist. Ab dem 25.05.2018 regelt die unmittelbar in den Mitgliedstaaten der Europäischen Union (EU) geltende DSGVO, dass diese nach dem sogenannten Marktortprinzip auch für Wirtschaftsunternehmen außerhalb der EU zu beachten ist, wenn diese Unternehmen Waren und Dienstleistungen in der EU anbieten oder die Datenverarbeitung der Beobachtung des Verhaltens von Personen in der EU dient (Art. 3 Abs. 2 DSGVO).
Die Datenverarbeitung ist nach den Vorgaben der DSGVO nur unter bestimmten Bedingungen zulässig (Art. 6 DSGVO). Dies ist insbesondere der Fall, wenn die betroffenen Personen ihre Einwilligung zur Datenverarbeitung erteilt haben oder ein Vertrag, eine rechtliche Verpflichtung oder eine im öffentlichen Interesse liegende Aufgabe zu erfüllen ist. Weiter enthält die DSGVO Vorgaben zur Technikgestaltung und zu datenschutzfreundlichen Voreinstellungen, die die mit der Datenverarbeitung verbundenen Risiken minimieren sollen (Art. 25 DSGVO) sowie Vorgaben zu geeigneten technischen und organisatorischen Sicherheitsmaßnahmen (Art. 32 DSGVO).
Die Kontrolle der Einhaltung der Vorschriften des Datenschutzes wird auch zukünftig der Landesbeauftragten für den Datenschutz obliegen. Durch die Vorschriften der DSGVO sind deren Befugnisse, insbesondere auch die Befugnis zur Verhängung von Geldbußen, erheblich gestärkt worden.
Die DSGVO soll zukünftig durch eine weitere Verordnung des Europäischen Parlaments und des Rates über die Achtung des Privatlebens und den Schutz personenbezogener Daten in der elektronischen Kommunikation und zur Aufhebung der Richtlinie 2002/58/EG (ePrivacy-VO) ergänzt werden, die als spezifisches Fachrecht Rechtssicherheit hinsichtlich der Vertraulichkeit neuartiger Formen der elektronischen Kommunikation schaffen soll. Die ePrivacy-VO wird ihre endgültige Fassung erst nach den Trilog-Verhandlungen erhalten und - entgegen der ursprünglichen Planung - voraussichtlich nicht mehr im Jahre 2018 in Kraft treten.
Ob, nachdem auch die ePrivacy-VO Geltung haben wird, noch Regelungsbedarf besteht, bleibt abzuwarten. Inwiefern dann Regelungen von nationalen Gesetzgebern erfolgen dürften, hängt von dem Vorhandensein und der Ausgestaltung von entsprechenden Öffnungsklauseln ab.
Hinsichtlich kartellrechtlicher Bestimmungen sind aus Sicht der Landesregierung keine regulatorischen Maßnahmen erforderlich.
3. Befürwortet die Landesregierung eine voll umfängliche oder teilweise Übertragung von Rechten und Pflichten, denen Presse und Rundfunk nach Landesrecht unterliegen, auf Internetplattformen wie Facebook (beispielsweise: Werbegrundsätze, Einschränkung und Kennzeichnung von Werbung, Schleichwerbung, Produktplatzierung und Sponsoring, Verbraucherschutz, Auskunftsrechte, Vertraulichkeit und Verwendung von Daten und Datenschutz)?
Die Möglichkeit der Einflussnahme durch eine Regierung steht in engem Zusammenhang mit der Gesetzgebungskompetenz der betroffenen Gebietskörperschaft. Facebook Inc. mit Sitz in Kalifornien und Facebook Ireland Limited mit Sitz in Dublin/Irland, Anbieter der deutschsprachigen Seiten des sozialen Netzwerks, unterliegen nicht dem deutschen Recht. Daher kann weder die Bundesregierung noch eine Landesregierung maßgeblich regulierend eingreifen.
Auf Ebene der EU wird derzeit die Richtlinie über audiovisuelle Mediendienste überarbeitet. Die deutsche Verhandlungsposition, die auch von Niedersachsen unterstützt wird, setzt sich dafür ein, dass Video-Sharing-Plattformen und soziale Netzwerke in den Anwendungsbereich der Richtlinie einbezogen werden. Dadurch soll ein Level-Playing-Field in Bezug auf andere bereits stärker europäisch regulierte audiovisuelle Mediendienste (wie z.B. Fernsehen) geschaffen werden.
Länderübergreifend wird derzeit an einem Rundfunkänderungsstaatsvertrag gearbeitet, der u.a. die Regulierung von Medienplattformen novelliert und Intermediäre, zu denen auch soziale Netzwerke zählen, erstmalig in den Geltungsbereich des Rundfunkstaatsvertrages einbezieht. Inwiefern sich die europäischen und nationalen Regulierungsbestrebungen dahingehend auswirken können, Akteure wie Facebook zu mehr Daten- und Verbraucherschutz anzuhalten, ist derzeit jedoch nicht absehbar.