Verstößt Instagram gegen die DSGVO?

Die Datenschutz-Grundversorgung (DSGVO) sorgt auch zwei Wochen nach ihrer Einführung für Verwirrung. Ein Schreiben der Hochschulleitung der Universität Aschaffenburg, das dem Handelsblatt vorliegt, zeigt, wie groß die Unsicherheit ist. „Ein Hochschulauftritt bei Instagram kann nach derzeitigem Erkenntnisstand der Stabsstelle IT-Recht der bayerischen Hochschulen und Universitäten nicht DSGVO-konform gestaltet werden“, heißt es dort.

Universitätspräsident Wilfried Diwischek forderte daher in vorauseilender Vorsicht die Löschung der entsprechenden Instagram-Auftritte bis zum 28. Mai 2018. Das Instagram-Profil der Hochschule Aschaffenburg gibt es seitdem nicht mehr.

Die bayerische Stabsstelle für IT-Recht argumentiert damit, dass nur diejenigen US-Onlinedienste DSGVO-konform sind, die in der sogenannten EU-US-Privacy-Shield-Liste aufgeführt sind. Der Berater der Stabsstelle, Johannes Nehlsen, sagt auf Anfrage des Handelsblatts: „Das EU-US-Privacy-Shield umfasst Instagram nicht, sonst wäre das Datenschutz-Niveau auf der Plattform höher.“

Folgt man der Auffassung der Stabsstelle, müssten alle Privatpersonen und Unternehmen in der EU ihre Instagram-Profile löschen, um nicht gegen die DSGVO zu verstoßen.

Die DSGVO, die seit dem 25. Mai EU-weit gilt, sollte besseren Schutz der Privatsphäre, mehr Kontrolle über die eigenen Daten und mehr Macht für Strafverfolgungsbehörden bei Rechtsverstößen gewährleisten. Kurzum: Die DSGVO sollte im Bereich des Datenschutzes für mehr Rechtssicherheit sorgen – doch bislang ist das Gegenteil der Fall.

Nicht nur in der akademischen Welt ist die Verunsicherung groß. Auch viele Unternehmen in Deutschland rätseln darüber, ob sie Instagram, Facebook, Snapchat oder WhatsApp weiter nutzen können oder nicht. Einige gehen daher wie Hochschulleiter Diwischek auf Nummer sicher.

Die „Frankfurter Allgemeine Zeitung“ berichtete darüber, dass Continental seinen Mitarbeitern die Nutzung von WhatsApp oder Snapchat auf ihren Diensthandys untersagt hat. Volkswagen hingegen nutzt weiter seine sozialen Netzwerke. Bei BASF werde die „Datenschutz-Vereinbarkeit“ bei der Nutzung von Whatsapp und „ähnlichen Tools“ überprüft. Offenbar stochern alle im Nebel.

Siemens wiederum teilt die Auffassung der bayerischen Stabsstelle für IT-Recht. Auf Anfrage des Handelsblatts teilte der Dax-Konzern mit, dass Instagram nicht auf der Liste der erlaubten Apps für Diensthandys aufgeführt sei, Mitarbeiter dürften es deshalb nicht nutzen.

Instagram scheint somit ein größeres Problem darzustellen als zum Beispiel der beliebte Nachrichtendienst WhatsApp, den im vergangenen Jahr durchschnittlich 75 Prozent der Deutschen nutzten.

Unternehmen gehen ein Risiko ein

In der Regel gehen diejenigen US-Konzerne mit personenbezogenen Daten DSGVO-konform um, die in der EU-US-Privacy-Shield aufgeführt sind. Unternehmen müssen das jährlich nachweisen.

Sabine Heukrodt-Bauer, Rechtsanwältin für IT-Recht, bestätigt allerdings: „Instagram wird nicht in der Liste der nach dem Privacy Shield zertifizierten US-Unternehmen aufgeführt.“ Alternativ könne das erforderliche Datenschutzniveau noch über die Vereinbarung sogenannter EU-Standardvertragsklauseln gewährleistet werden. „Solche Vereinbarungen gibt es aber bislang zwischen Instagram und seinen Mitgliedern nicht“, sagt Heukrodt-Bauer.

„Damit laufen alle Organisationen und Unternehmen Gefahr, mit Bußgeldern bestraft zu werden“, so Heukrodt-Bauer weiter. „Es ist jedem Unternehmen selbst überlassen, dieses Risiko einzugehen.“

Instagram widerspricht dieser Auffassung. Der Fotodienst sei konform mit der DSGVO, teilt eine Sprecherin schriftlich mit und argumentiert mit dem Mutterkonzern. So sei Instagram ein Service von Facebook und damit eingebunden in Facebooks Zertifizierung für Privacy Shield für die Übertragung von Kundendaten und Partnern innerhalb der EU.

„So wie Facebook – und andere Online-Dienstleister – nutzt Instagram einen Vertrag in Form der Standardvertragsklauseln, um Daten zu Facebook Inc. in den USA zu übertragen.“ Nur diejenigen Nutzer sind von Instagram ausgeschlossen, „die die angepassten DSGVO-konformen Nutzungsbedingungen bis zum 25. Mai nicht akzeptiert haben“, heißt es in der Erklärung von Instagram weiter.

Rechtsanwalt Alexander Niethammer ist sich dennoch sicher, dass Facebook und Instagram nach der DSGVO ihre Datenschutz- und Nutzungsbedingungen weiter an EU-Regelungen anpassen müssen. „Vermutlich ändert sich das Geschäftsmodell dieser Unternehmen so, dass sie nicht mehr kostenlos angeboten werden. Dafür sind aber Gerichtsentscheidungen notwendig, die auf einzelne Beschwerden folgen werden.“ Er geht davon aus, dass die Gerichte zulasten der US-Unternehmen entscheiden könnten, wonach zumindest Teile der aktuellen Nutzungsbedingung unwirksam werden würden.

Richtungsweisend könnte sich hierbei ein kürzlich gefälltes Urteil erweisen, auf das IT-Rechtsanwältin Heukrodt-Bauer verweist. „Zu Facebook hat der Europäische Gerichtsgerichtshof am 5. Juni 2018 ganz aktuell zulasten eines Fanpage-Betreibers entschieden.“ Sie schränkte allerdings ein, dass die Entscheidung auf Basis der alten EU-Datenschutzrichtlinie getroffen wurde. „Die Bewertung, inwieweit das Urteil auch auf die neue DSGVO angewendet werden kann, findet gerade statt.“

Rechtsanwalt Niethammer geht davon aus, dass viele Dax-Konzerne das erst einmal abwarten wollen. „Ähnliche Reaktionen wie die der Hochschule Aschaffenburg sind bei den Dax-Unternehmen nicht zu erwarten. Im Zweifel sind sie imstande, sich zu wehren“, sagt er. Allerdings geht er davon aus, dass es noch mindestens fünf Jahre dauern könnte, bis es mehr Klarheit in Form von Gerichtsentscheidungen geben wird.

Henkel bestätigt Niethammers Annahme. Der Chemiekonzern setze sich intensiv mit dem Thema Fanpages auseinander. „Vor dem Hintergrund der jüngsten EuGH-Rechtsprechung zum Thema Datenverarbeitung beschäftigen wir uns aktuell genau damit, welche Auswirkungen sich daraus möglicherweise für die von Henkel betriebenen Social-Media-Fanpages ergeben.“