„Ich weiß, was Du letzten Sommer gepostet hast“: Das „Social Web“ und das deutsche Datenschutzrecht

CuA 4/2014Der 4. Teil meiner Beitragsreihe[1] zu den rechtlichen Problemfeldern bei der Nutzung sozialer Netzwerke durch Unternehmen und ihre Mitarbeiter ist in der Ausgabe April 2014 der Fachzeitschrift ”Computer und Arbeit” (CuA) erschienen.

Er befasst sich mit den datenschutzrechtlichen Fragen, die sich im Zusammenhang mit der Funktionsweise und den Funktionalitäten sozialer Netzwerke für die Mitglieder und Verwender ergeben*:

Beim Thema „Datenschutz“ wird die öffentliche mediale Aufmerksamkeit aktuell beherrscht von dem Aspekt eines Angriffs auf Bürgerrechte oder die eigene staatliche Souveränität durch langjähriges und systematisches Abhören bzw. Überwachen von privater  Internetkommunikation oder Kanzler-Handys durch die NSA oder andere Geheimdienstorganisationen.

Abseits dieser in erster Linie durch politische oder auch wirtschaftliche Interessen eines Staates motivierten Datensammlung und -nutzung spielt das Thema seit geraumer Zeit auch dort eine Rolle, wo es um die Spielregeln geht, unter denen geschäftliche Anbieter von Informations- und Kommunikationsdiensten Erkenntnisse über das Verhalten ihrer (potentiellen) Kunden gewinnen und diese gegebenenfalls nutzen dürfen.

Zum einen betrifft dies die klassischen Telekommunikationsanbieter (Provider) – Stichwort hier u.a. Vorratsdatenspeicherung.

Zum anderen – und dies soll der Gegenstand der nachfolgenden Betrachtung sein – insbesondere die Anbieter von Mediendiensten und Kommunikationsplattformen bei denen die Nutzer / Mitglieder sich interaktiv austauschen, also die Betreiber sog. sozialer Netzwerke. Speziell im hier zu betrachtenden Fall der Angebote im Web 2.0 / Social Web stellen sich datenschutzrechtliche Fragen aber auch immer im Verhältnis der Nutzer bzw. Teilnehmer untereinander, sind also ein stets zu beachtendes Thema für jeden, der selbst regelmässig Inhalte im Rahmen eines von ihm verantworteten Accounts bzw. Onlineangebots veröffentlicht und dabei Funktionalitäten von Google, Facebook & Co. einsetzt.

In diesem Bereich ist zurzeit sehr vieles noch nicht abschließend geklärt und zum Teil hoch umstritten. Das fängt bereits bei der Frage an, ob im Einzelfall überhaupt deutsches Datenschutzrecht gilt[2], setzt sich fort bei der Frage, ob bestimmte Funktionen überhaupt Datenübermittlungen beinhalten, die tatbestandlich dem Datenschutzgesetz unterfallen[3], weiter bei der Frage, ob die Verwender bestimmter Social-Media-Tools (insbes. die sog. „Social Plugins“) datenschutzrechtlich tatsächlich in eigener Person haften[4] – und endet schließlich bei der Frage, ob – und ggf. wie – sich datenschutzrechtlich relevante Gesetzesverstöße bei der Nutzung gängiger Social-Media-Features  denn gegenwärtig überhaupt vermeiden lassen.

Zumindest die letzte Frage ist momentan mit einem klaren „Nein!“ zu beantworten. Denn es gibt zwar zwischenzeitlich zwischen den Datenschutzaufsichtsbehörden und Social-Media-Anbietern einige Kompromißlösungen und „Work-arounds“, die als zulässig akzeptiert werden[5]. Allerdings lösen diese das jeweilige Problem nicht wirklich, sondern mildern es nur auf ein aus Sicht der Datenschutzbehörden erträgliches Maß ab. Eine vollständig nach dem  Verständnis der Datenschutzaufsichtsbehörden gesetzeskonforme Nutzung etwa von Facebook ist nach deutschem Datenschutzrecht derzeit wohl nicht möglich.

Als Trost bleibt dem verwirrten Nutzer hier allenfalls der Umstand, dass etwaige konkrete Sanktionen in diesem Bereich durch Aufsichtsbehörden gegenüber Nutzern von Social Media sowohl was ihre Zahl angeht, als auch im Hinblick auf etwaige finanziellen Auswirkungen objektiv keinen Anlass zu übergroßer Furcht bieten.  Auch den Datenschutzbehörden ist eigentlich klar, dass das Hauptproblem nicht der Betriebsrat ist, der auf seiner Website Besucher dazu animiert, einen „Gefällt mir-Button“ anzuklicken.

Woran liegt es aber, dass es anscheinend nicht möglich ist, sich hier „richtig“ zu verhalten und dass sich die bekanntesten und erfolgreichsten Angebote ständig dem Vorwurf ausgesetzt sehen, sie seien rechtswidrig?

Grundsätzliches zum Spannungsfeld Social Media vs. Datenschutzrecht

Wenn man eine Antwort auf die vorstehenden Fragen finden will, muss man sich zunächst kurz damit befassen, welche strukturellen datenschutzrechtlichen Probleme die Nutzung sozialer Netzwerke bzw. Werkzeuge mit sich bringt.

Im Schwerpunkt geht es hier immer um die Frage, in welchem Umfang und unter welchen Voraussetzungen Anbieter von Nutzern beigesteuerte Inhalte (sog. „User-Generated-Content“) für eigene Zwecke sammeln, auswerten und veröffentlichen dürfen – in erster Linie zwar mit Blick auf die Firmen, die hinter den Anbieterplattformen stehen, stets aber auch im Hinblick auf diejenigen Nutzer, die ihrerseits das jeweilige soziale Medium als Kanal für eigene geschäftliche[6] Interessen nutzen.

Namentlich die „großen“ Protagonisten des Mitmach-Web, wie etwa Google und Facebook sind vor diesem Hintergrund in den letzten Jahren daher ständiger Lieferant von Schlagzeilen und inzwischen auch gerichtlicher Verfahren zu Themen wie Datenbrille, Gesichtserkennung, Adressbuchabgleich, Social-Media-Monitoring, Nutzer-Tracking u.a.

Insbesondere bei Fragen der Zulässigkeit von automatisierten Auswertewerkzeugen wie Facebooks „Insights[7]“ oder Googles „Analytics[8]“ entzweien sich die Meinungen. Vor allem die deutschen Datenschutzaufsichtsbehörden sind tatsächlich keine „Fans“ der US-amerikanischen sozialen Netzwerke[9].

Dass letztere datenschutzrechtlich so kritisch gesehen werden, hängt nun zunächst ganz wesentlich damit zusammen, dass die zahlenmäßig derzeit bedeutendsten und / oder beliebtesten sozialen Netzwerke und Werkzeuge von Firmen in den USA entwickelt und angeboten und es gravierende Unterschiede im (Selbst-)Verständnis des  Datenschutzes zwischen den USA und Deutschland gibt:

Die europäischen Regelungen (insbesondere auch die deutschen Datenschutzgesetze)  basieren durchweg auf dem Grundsatz eines sog. Verbots mit Erlaubnisvorbehalt. Übersetzt ins Unjuristische bedeutet das am Beispiel der Nutzerdaten, dass die Erhebung und Verwendung von personenbezogenen Daten grundsätzlich nicht zulässig ist, außer, ein Gesetz erlaubt dies ausdrücklich oder der Betroffene hat sein Einverständnis dazu erklärt (Opt-in-Prinzip)[10].

Im Gegensatz dazu sieht die Rechtslage in den USA grundsätzlich so aus, dass Daten von Nutzern erhoben und verarbeitet werden dürfen, solange diese dem nicht widersprechen (Opt-out-Prinzip). Dementsprechend weitergehend sind daher auch zum einen die Bestrebungen der US-amerikanischen Anbieter, die technischen Möglichkeiten möglichst voll auszuschöpfen und ein Maximum an Features „einzubauen“ und andererseits auch ihre Versuche, sich über eigene Geschäfts- & Nutzungsbedingungen, denen die Nutzer zustimmen müssen, um ihre Dienste nutzen zu können, sehr weitreichende Befugnisse zur Datennutzung quasi automatisiert einräumen zu lassen[11].

Es liegt auf der Hand, dass diese beiden unterschiedlichen Ansätze vor Ort in Deutschland  regelmäßig kollidieren, mit der Folge, dass der Einsatz von in den USA konzipierten sozialen Netzwerken und deren Funktionalitäten entsprechend oft gegen die hier geltenden Datenschutzrechte verstößt.

Das zweite Problem ergibt sich daraus, dass die deutschen Datenschutzgesetze schon einige Zeit „auf dem Buckel“ haben“[12] ohne dass ihre zentrale Systematik bislang  grundlegend an die geänderten technischen und sozialen Verhältnisse angepasst wurde.

Die erste Fassung des Bundesdatenschutzgesetzes (BDSG) entstand in einer Zeit, in der die elektronische Datenverarbeitung mittels Lochkarten noch gebräuchlich und im Wesentlichen auf einen „Dialog“ zwischen Maschinen beschränkt war (1977). Seither hat es zwar einige Novellen gegeben[13], das grundlegende aktuelle Problem lässt sich aber mit den geltenden Normen des BDSG nicht mehr sauber in den Griff bekommen:

Es geht längst nicht mehr nur darum, den Einzelnen vor der unkontrollierten „1 zu 1-Kommunikation“ zwischen Maschinen zu schützen, die sich u.U. unbemerkt unkontrolliert über seine persönlichen Verhältnisse austauschen.

Datenübermittlung ist – bezogen auf übliche Nutzungsvorgänge in sozialen Netzwerken – längst Werkzeug und wesentliches Medium moderner (digitaler) Kommunikation, des Austauschs von Informationen, Meinungen und Medien durch und für Menschen. Der Geburtstagsglückwunsch als Eintrag an der Facebook-Pinnwand eines Freundes, das Lästern über den öffentlichen Auftritt eines Lokalpolitikers im Rahmen einer örtlichen  Veranstaltung in einem Posting oder auch die öffentliche Mitteilung, dass man mit anderen Personen zusammen an einem bestimmten Ort gefeiert hat, auf Reisen oder shoppen war, sind natürlich (auch) Übermittlungen personenbezogener Daten i.S.d. BDSG. Möglicherweise auch bereits das Anklicken des „Gefällt mir“-Daumens zu irgendeinem Beitrag.

Aber all dies ist ganz sicher nicht das, was die datenschutzrechtlichen Schutznormen eigentlich meinen.

Damit jedoch kommen die verfassungsrechtlich für Jeden geschützten Kommunikationsgrundrechte ins Spiel. Diese müssen mit in die Bewertung einfließen, ob bestimmte Datenübermittlungen sozialadäquat und zulässig sind – oder u.U. sogar sichergestellt sein muss, dass bestimmte  Kommunikationsinhalte grundsätzlich erlaubt sein müssen, da sie sich als rechtmässige Ausübung von Grundrechten darstellen. Denn die muss sich niemand erst erlauben lassen – was aber im Gegensatz zu dem gegenwärtig im BDSG gesetzlich normierten „Verbot mit Erlaubnisvorbehalt“ steht, das damit spätestens jetzt auf dem rechtlichen Prüfstand steht[14].

Welches Datenschutzrecht gilt eigentlich?

Nachdem nun festgestellt wurde, dass sich das Verständnis von Datenschutz („privacy“) zwischen den USA und Deutschland wesentlich unterscheidet, stellt sich natürlich die naheliegende Frage, ob das die US-amerikanischen Anbieter sozialer Netzwerke überhaupt kümmern muß. Mit anderen Worten: Gilt denn für Google, Facebook & Co. überhaupt deutsches (Datenschutz-)Recht?

Entscheidend ist hierfür nicht der Serverstandort oder der Firmensitz des Anbieters, sondern der Ort der jeweils zu betrachtenden Datenverarbeitung.

Gem. § 1 Abs. 5 BDSG gilt, dass deutsches Datenschutzrecht regelmäßig dann anzuwenden ist, wenn eine Erhebung, Verarbeitung oder Nutzung personenbezogener Daten entweder durch die deutsche Niederlassung einer sog. „verantwortlichen Stelle“ i.S.d.  § 3 Nr. 7 BDSG erfolgt, die ihren Sitz im Ausland, jedoch innerhalb des Geltungsbereichs der EU hat oder aber dann, wenn dies eine durch eine  verantwortliche Stelle geschieht, die ihren Sitz im Ausland außer des Geltungsbereichs der EU hat.

Vereinfacht ausgedrückt: Auch für ausländische Anbieter gilt das deutsche Datenschutzrecht, wenn sie sich an deutsche Nutzer richten und deren Daten erheben, verarbeiten oder nutzen. Ausnahme: Die verantwortliche Stelle befindet sich in einem anderen Mitgliedsstaat der EU. In diesem Fall gilt gem. § 1 Abs. 5 Satz 1 BDSG das nationale (Datenschutz-)Recht dieses EU-Landes.

Nach überwiegender Ansicht stellt das Erheben von Daten, die deutsche Nutzer am heimischen PC oder ihrem Mobilgerät eingeben, durch Dienste, die sich an deutsche Nutzer richten, eine Datenerhebung in Deutschland i.S.d. § 1 Abs. 5 BDSG dar, da der ausländische Dienstanbieter dabei auf Mittel zurück greift, die sich in Deutschland befinden.

Der aktuell wesentliche Streit kreist dann jedoch um die Frage, wer denn eigentlich die „verantwortliche Stelle“ jeweils ist. Am Beispiel von Facebook: Die irische Niederlassung eines Anbieters aus den USA wäre dies entsprechend den Vorgaben der europäischen Datenschutzrichtlinie nur dann, wenn bei ihr auch die effektive und tatsächliche Ausübung einer datenverarbeitenden Tätigkeit mittels fester Einrichtungen erfolgt und die für die konkrete  Datenerhebung und –nutzung wesentlichen Entscheidungen ebenfalls dort getroffen werden. Falls diese Voraussetzungen erfüllt sind, wäre kein deutsches Datenschutzrecht anzuwenden, sondern irisches. Liegen diese Voraussetzungen jedoch nicht vor[15] bleibt verantwortliche Stelle der Anbieter in den USA – und damit das deutsche Datenschutzrecht anwendbar[16].

Grundprinzien des deutschen Datenschutzrechts

Zunächst ist mit Blick auf die sozialen Netzwerke klar zu stellen, dass es bei den dort veröffentlichten und geteilten Inhalten um zwei unterschiedliche Arten von Daten geht: Einerseits um Angaben, die als personenbezogene Daten i.S.d. BDSG datenschutzrechtlich zu beurteilen sind. Und zum anderen um sonstige Inhalte, die wegen ihrer digitalen Erscheinungsform zwar ebenfalls Daten sind (z.B. Kommentare, Fotos oder Videos), mangels Personenbezug aber rechtlich nur nach anderen Normen zu beurteilen sind, namentlich dem Wettbewerbsrecht und vor allem dem Urheberrecht[17].

Personenbezogene Daten definiert § 3 Abs. 1 BDSG als „Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener)”. Erfasst ist damit ein weiter Bereich, der alle Angaben zu dem Betroffenen betrifft, die ihn identifizieren und charakterisieren oder einen auf ihn beziehbaren äußeren Sachverhalt mitteilen (z. B. Name, Adresse, Beruf, Familienstand, Geburtsdatum, Staatsangehörigkeit, Konfession, körperliche Merkmale, Überzeugungen, Arbeitsplatz, öffentliches Amt, Grundbesitz).

Abgesehen von dem bereits erläuterten Prinzip des Erlaubnisvorbehalts gelten für personenbezogene Daten folgende wesentliche Grundsätze des BDSG:

  • Ganz allgemein gilt das Prinzip der Datensparsamkeit und Datenvermeidung (§ 3a BDSG). Es sollen nach den herkömmlichen Vorstellungen des Gesetzes nur so viele personenbezogene Daten erhoben und genutzt werden, wie für die konkrete Anwendung erforderlich sind. Was sich im Hinblick auf eine umfassende Überwachung oder Sammlung sensibler Daten über den Einzelnen als sinnvolle Beschränkung darstellt, ist im Zusammenhang mit der Nutzung sozialer Medien allerdings ein unrealistisches Ansinnen: Deren Zweck ist ja gerade möglichst viel Persönliches auszutauschen und zu offenbaren[18].
  • Das Prinzip der sog. informierten Einwilligung (§ 4a BDSG) schreibt vor, dass der Nutzer vor der Erhebung, Speicherung und Verwertung seiner Daten über den jeweiligen Dateneinsatz umfassend aufgeklärt wird. Stimmt er hinreichend aufgeklärt zu, ist die jeweilige Datenverwendung grundsätzlich zulässig. Bei sozialen Netzwerken wird meist versucht, dies über die Nutzungsbedingungen oder die Datenschutzerklärung zu erreichen – gerade hier liegt allerdings auch meist der Grund, warum dieser Weg i.d.R. fehlgeht. Dazu später im Beitrag mehr.
  • Ebenfalls zu beachten ist, dass dem Nutzer bezüglich seiner personenbezogenen Daten ein Widerrufsrecht zusteht. Er muss jederzeit der Nutzung seiner personenbezogenen Daten widersprechen und deren Löschung verlangen können – und über dieses Löschungsrecht auch informiert worden sein. Andernfalls ist seine (oft bereits durch bloßes Weiterklicken herbeigeführte) Zustimmung unwirksam. Auch der Punkt Information ist häufig bei den Sozialen Netzwerken problematisch, wie wir gleich noch sehen werden.

Zentrale datenschutzrechtliche Normen bei der Social-Media-Nutzung

Ergänzend zu den Anforderungen des BDSG gilt im „Social Web“ als praktisch bedeutsamste Regelung das  Telemediengesetz (TMG)[19]. In diesem bereichsspezifischen Spezialgesetz finden sich auch datenschutzrechtliche Normen (§§ 11 – 15a TMG), die vom Anbieter von Telemediendiensten – hierzu zählen u.a. die sozialen Netzwerke – einzuhalten sind.

Das TMG folgt den wesentlichen Grundprinzipien des BDSG: So stellt es ebenfalls auf das Charakteristikum „Personenbezug“ von Daten ab und enthält in § 12 TMG den Grundsatz des Verbots mit Erlaubnisvorbehalt.

Die danach erforderliche Einwilligung erfordert regelmässig eine aktive Handlung des Nutzers. Dieser muss gem. § 13 Abs. 2 Nr. 1 TMG bewußt und eindeutig zugestimmt haben. Diese Einwilligung kann (ausreichende Information unterstellt) wirksam z.B. so herbeigeführt werden, dass der Nutzer auf der Infoseite des Anbieters zur Datenerhebung und –verarbeitung die entsprechenden Option (Ja, einverstanden) in einer Checkbox auswählt und durch Anklicken eines Buttons bestätigt.

§ 13 TMG ist überhaupt die zentrale datenschutzrechtliche Vorschrift des TMG. Er bestimmt in Abs. 1 zunächst, dass der Anbieter eines Mediendienstes seine Nutzer bereits zu Beginn des Nutzungsvorgangs über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten in allgemein verständlicher Form informieren muss, sofern eine solche Unterrichtung nicht bereits vorher erfolgt ist.

Soll eine elektronisch eingeholte Einwilligung wirksam sein, muss der Anbieter sicherstellen, dass die Einwilligung protokolliert wird (§ 13 Abs. 2 Nr. 2 TMG), der Inhalt der Einwilligung für den Nutzer jederzeit abrufbar ist (§ 13 Abs. 2 Nr. 3) und dieser seine Einwilligung mit Wirkung für die Zukunft jederzeit widerrufen kann (§ 13 Abs. 2 Nr. 4).  Auf die Widerrufsmöglichkeit muss der Nutzer vor seiner elektronischen Einwilligung hingewiesen werden (§ 13 Abs. 3 TMG). Darüber hinaus hat der Anbieter die Weitervermittlung von Daten an Dritte anzuzeigen (Abs. 5) sowie auf Nachfrage Auskunft über die zur Person gespeicherten Daten zu erteilen (Abs. 7).

Schließlich verpflichtet § 13 Abs. 6 TMG die Anbieter dazu, das Handeln in Sozialen Netzwerken anonym oder unter Pseudonym zu ermöglichen, soweit dies technisch möglich und zumutbar ist. Gemeint ist damit die Möglichkeit, sich anonym bzw. unter einem Pseudonym im sozialen Netzwerk bewegen zu können[20]. Der Anbieter darf aber natürlich verlangen, dass man sich ihm gegenüber mit „echten“ Angaben identifiziert.

Es dürfte deutlich geworden sein, dass die Anforderungen an einen rechtskonformen Mediendienst dem Anbieter eines interaktiven Online-Angebotes einiges an Transparenz und technischer Organisation abverlangen – und man in der Praxis schon sehr schnell an Grenzen stößt:

Bereits die Vorgabe von § 13  Abs. 1 TMG ist schwierig einzuhalten: Wörtlich genommen („zu Beginn“) müßte dann eigentlich jedem Mediendienst (Website) eine Extraseite vorgeschaltet sein, die dem Nutzer erst einmal eine umfangreiche Datenschutzerklärung zur Bestätigung anzeigt, bevor das eigentliche Angebot angezeigt wird. Das allerdings wäre so offensichtlich unzumutbar, dass es selbst die Datenschutzaufsichtsbehörden als ausreichend ansehen, wenn diese Informationen in einer im Rahmen der Website leicht erreichbaren und ständig verfügbaren Datenschutzerklärung zum Abruf bereit gehalten werden. In der Regel geschieht dies auf einer eigenen Unterseite der Webpräsenz.

Wesentlich problematischer stellen sich in datenschutzrechtlicher Hinsicht bei den US-amerikanischen Social Networks jedoch zwei Aspekte dar:

Zum einen wird für viele nach deutschem Recht zustimmungsbedürftige Nutzungen erst gar keine Einwilligung eingeholt oder aber – insbesondere bei den Privatsphäre-Einstellungen von Facebook gut nachzuvollziehen[21] – es wird das „Opt-out“-Prinzip angewandt: Die Zustimmung des Nutzers wird in der Grundeinstellung bereits vorausgesetzt und wer nicht einverstanden ist, muß aktiv werden, um die entsprechende Erlaubnis zu deaktivieren. Das jedoch ist das Gegenteil von informierter Einwilligung nach deutschem Recht.

Auch der Umstand, dass man etwa bei Facebook eigentlich schon eine ausführliche eigene  Anleitung braucht, um die Vielzahl an verschiedenen Privatsphäreeinstellungen und Orte, an denen sie aufzurufen sind, auch nur halbwegs auffinden und nachvollziehen zu können, ist nicht gerade das, was § 13 Abs. 1 TMG mit transparenter Information zu Beginn der Nutzungsvorgangs meint.

Und zum anderen reichen selbst dort, wo man sich die entsprechende Genehmigung vom Nutzer einholt, die seitens des Anbieters zu Art, Umfang und Zweck der beabsichtigten  Datennutzung gemachten Angaben häufig nicht ansatzweise aus, um von einer „informierten“ Einwilligung sprechen zu können.

Dieser Umstand sorgt auch für die beiden in der Praxis aktuell am stärksten diskutierten Fälle: Die Nutzung von durch soziale Netzwerke bereitgestellten Auswertungswerkzeugen, wie insbesondere Googles „Analytics“ und Facebooks „Insights“ sowie von sog. Social Plug-ins. Letzteres bezeichnet Funktionalitäten, wie z.B. den Facebook „Gefällt mir“- oder den Google „+-Button“, die sich recht einfach auf Webseiten einbinden lassen und dann – zwecks Weiterempfehlung bzw. – verbreitung zusammen mit den eigenen Inhalten angezeigt werden.

In beiden Fällen entsteht das wesentliche Problem dadurch, dass hierbei zwar nach überwiegender Ansicht datenschutzrechtlich relevante Vorgänge stattfinden, die entsprechenden Funktionalitäten des Anbieters aber von Nutzern des Social Network verwendet werden, die ihrerseits weder eine eigene Datenerhebung bzw. –übermittlung vornehmen, noch genau wissen, welchen Umfang und welchen Zweck sie hat  – und schon gar keinen eigenen Einfluß auf die Umstände der gesamten Datenerhebung und -nutzung haben. Dementsprechend können sie auch andere nicht hinreichend informieren.

Vor diesem Hintergrund hatte die schleswig-holsteinische Landesdatenschutzbehörde (ULD) im August 2011 zunächst einzelne Verwender dazu aufgefordert, Dienste zu deaktivieren, die Nutzerdaten an Facebook in die USA übermitteln und schließlich in einigen Fällen auch  Beseitigungsanordnungen bzw. Unterlassungsverfügungen erlassen. Soweit es die sog. Fanpages bei Facebook betrifft, lief die Forderung des ULD damit faktisch darauf hinaus, eine Verwendung vollständig zu unterlassen. Hiergegen regte sich verständlicherweise Widerstand der betroffenen Unternehmen[22].

Während es für Google Analytics mittlerweile eine von den Datenschutzaufsichtsbehörden akzeptierte Lösung gibt[23], ist die datenschutzrechtliche Situation im Übrigen bislang nicht abschließend geklärt. Zwar existiert für die Empfehlungs-Plugins eine Behelfslösung, die zumindest von den Aufsichtsbehörden akzeptiert wird[24].

Was jedoch grundsätzlich für diejenigen gilt, die fremde Social Plugins im Rahmen eigener Angebote nutzen, ist bislang noch nicht abschließend gerichtlich geklärt.

Hier stellt sich insbesondere das Problem, wie sich überhaupt eine rechtliche Verantwortlichkeit der Verwender begründen läßt:

Verantwortliche Stelle ist gemäß § 3 Abs. 7 BDSG die Stelle, die „personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen lässt“, bzw. nach Art. 2 Buchst. d) S. 1 EU-DSRL die Stelle, „die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.“

Dies trifft unstreitig auf die Verwender der entsprechenden digitalen Werkzeuge nicht zu. Weder erfolgt bei ihnen eine Datenverarbeitung noch nimmt ein anderer die in ihrem Auftrag vor. Und da es im Datenschutzrecht keine „Störerhaftung“ gibt, dürfte es schlicht an einer Rechtsgrundlage für eine Inanspruchnahme der Verwender von US-amerikanischen Social-Plugins fehlen[25].

Bis eine abschließende obergerichtliche Klärung zu diesem Punkt erfolgt ist, bleibt als abschließende Botschaft hinsichtlich der datenschutzrechtlichen Situation für die Nutzer von Social Plugins und anderen datenschutzrechtlich relevanten Funktionalitäten sozialer Netzwerke lediglich ein eindeutiger Befund: Die Dinge sind schwierig…


* Nachfolgend wiedergegeben wird das ungekürzte und unredigierte Autoren-Original des Beitrags.

Fußnoten:

[1] Strunk, Social Media, die Interessenvertretung und das Recht – Einführung und Überblick, in: CuA 10/2012, 11 ff.; Strunk, Alles nur geklaut? Die „sozialen Netzwerke“ und das Urheberrecht, in: CuA 3/2013, 13 ff.; Strunk, (Keine) Vertraulichkeit unter „Freunden“? Das „Social Web“ und das Äußerungsrecht im Arbeitsverhältnis, in: CuA 7+8/2013, 20 ff.

[2] Das Schleswig-Holsteinische Oberverwaltungsgericht hat im letzten Jahr entschieden, dass auf die Datenverarbeitung bei Facebook selbst in Bezug auf deutsche Nutzer nicht deutsches, sondern ausschließlich irisches Datenschutzrecht anzuwenden sei (OVG Schleswig, Beschlüsse v. 22.04.2013, Az.: 4 MB 10/13 und 11/13).

[3] Konkret aufgehängt u.a. an der zwischen amtlichen Datenschützern und weiten Teilen der nicht amtlichen Datennutzern umstrittenen Antwort auf die Frage, ob IP-Adressen personenbezogene Daten i.S.d. § 3 BDSG sind.

[4] Dies tut grundsätzlich die sog. „verantwortliche Stelle“ gem. § 7 BDSG. Ob es sich bei Nutzern, die sich der Tools und Funktionalitäten sozialer Netzwerke bedienen, um solche nach dem Gesetz verantwortlichen Stellen handelt, ist in den Einzelheiten stark umstritten.

[5] So etwa die zwischen Datenschützern und Google ausgehandelte Lösung zur Mustervereinbarung einer Auftragsdatenverarbeitung (www.google.de/analytics/terms/de.pdf) oder auch die sog. „2-Klick-Lösung“, mit deren Hilfe man die Benutzung von Empfehlungsschaltflächen für soziale Netzwerke „legalisiert“ hat (Näheres: http://www.heise.de/ct/artikel/2-Klicks-fuer-mehr-Datenschutz-1333879.html).

[6] Das können gewerbliche aber durchaus auch rein ideelle Zwecke sein. Auf eine Gewinnerzielungsabsicht kommt es dafür nicht an. Auch die Fanpage einer Interessenvertretung kann daher ohne Weiteres eine „geschäftliche“ Nutzung sein.

[7] Näheres zu diesen Seitenstatistiken beim Anbieter: https://www.facebook.com/help/336893449723054.

[9] Exemplarisch die Infoseite, die das unabhängige Landeszentrum für den Datenschutz eigens für Facebook unterhält: https://www.datenschutzzentrum.de/facebook/.

[11] Die Befürchtung, andere könnten durch selbst eingestellte Beiträge, Statusmeldungen, öffentliche Unterhaltungen, Fotos oder Videos zu viel über die eigene Person erfahren, scheint dagegen bei sehr vielen Nutzern keine grundsätzliche Hemmschwelle darzustellen.

[12] Das hessische Datenschutzgesetz, das 1970 in Kraft trat, war weltweit das erste zu diesem Thema.

[13] Die letzte im Jahr 2009 ist allerdings inzwischen auch schon fast ein halbes Jahrzehnt alt. Deren letzte Übergangsfristen sind erst zum 01.09.2012 abgelaufen. Man mache sich durch Rückschau einmal klar, was fünf Jahre bezogen auf die zwischenzeitliche praktische Bedeutung sozialen Netzwerke ausmachen können.

[14] Da steht es allerdings nun schon geraume Zeit, ohne dass sich Entscheidendes getan hätte. Zu einer möglichen Lösung verhält sich ein im Sommer 2012 vorgestellter Alternativentwurf zu einer Europäischen Datenschutz-Grundverordnung, aufrufbar unter: http://www.schneider-haerting.de/2012/08/alternativentwurf-ds-gvo-fassung-august-2012-2/.

[15] Wofür wesentlich spricht, dass Facebook selbst in seinen Nutzungsbedingungen seinen Nutzern das Einverständnis dazu abverlangt, dass ihre persönlichen Daten in die USA weitergeleitet und dort verarbeitet werden. Zudem dürften wesentliche Entscheidungen über die Erhebung und Verarbeitung von Nutzerdaten kaum in der irischen Filiale sondern ausschließlich in der kalifornischen Zentrale getroffen werden.

[16] Das schleswig-holsteinische Oberverwaltungsgericht ist dagegen der Ansicht, dass von einer Tätigkeit der irischen Niederlassung im Bereich der Nutzerdatenverarbeitung auszugehen und diese allein bereits ausreichend für die ausschließliche Anwendung irischen Datenschutzrechts ist. Ob möglicherweise Facebook USA als sog. verantwortliche Stelle die maßgeblichen Entscheidungen über die Datenverarbeitung treffe, sei für die Frage des anwendbaren Rechts nicht erheblich. (OVG Schleswig, Beschlüsse v. 22.04.2013 – Az.: 4 MB 10/13 und 11/13).

[17] Vgl. hierzu: Strunk, Alles nur geklaut? Die „sozialen Netzwerke“ und das Urheberrecht, in: CuA 3/2013, 13 ff. Bei Fotos besteht allerdings noch die Besonderheit, dass das Recht auf informationelle Selbstbestimmung auch durch Abbildungen berührt wird, auf denen eine Person individuell erkennbar ist. Dementsprechend dürfen solche Abbildungen unabhängig von einem etwa bestehenden Urheberrecht an der Aufnahme nur mit (vorher eingeholter) wirksamer Erlaubnis des Abgebildeten veröffentlicht werden (§ 22 Abs. 1 KunstUrhG, sog. Recht am eigenen Bild).

[18] Was manche Menschen dann auch in einem Umfang tun, der dann schon wieder Überlegungen nach einem wirksamen Selbstschutz nahelegt, vgl. Fn. 11.

[19] Die datenschutzrechtlichen Normen des TMG gelten auch für Google, Facebook, Twitter & Co.:  Da das TMG keine eigenen speziellen Regelungen im Bereich des Internationalen Privatrechts trifft, ist die allgemeine  Kollisionsregel des  § 1 Abs. 5 BDSG in der beschriebenen Weise anzuwenden.

[20] Facebook verwehrt seinen Nutzern diese Möglichkeit und droht bei Zuwiderhandlungen die Löschung von Profilen an. Dagegen richteten sich die Verfügungen des schleswig-holsteinischen ULD, die Gegenstand der Gerichtsverfahren vor dem OLG Schleswig (siehe Fn. 2) waren.

[21] Aktuell (15.02.2014) aufrufbar unter: https://www.facebook.com/help/325807937506242/. Ebenfalls problematisch sind die ständigen, oft sehr unscheinbar angekündigten einseitigen Änderungen von Nutzungsbedingungen bzw. Datenschutzbestimmungen. Facebook fingiert hier einfach eine Zustimmung durch Weiternutzung nach der Änderung. Nach deutschem Recht ist eine einseitige Änderung von Vertragsbedingungen jedoch an einige Voraussetzungen geknüpft, die hier nie eingehalten werden. Eine wirksame Zustimmung zu den Änderungen liegt daher nicht vor.

[22] Siehe hierzu die Stellungnahme der IHK Schleswig-Holstein aus dem Oktober 2011: http://www.ihk-schleswig-holstein.de/recht/1556634/IHK_stellt_sich_gegen_Facebook_Ultimatum.html.

[23] Der Verwender schließt mit Google einen Vertrag zur Auftragsdatenverarbeitung gem. § 11 BDSG, der Nutzer hat die Möglichkeit, das Tracking durch ein Browser-Plugin automatisch zu unterbinden. Nähere Einzelheiten sind hier abrufbar: http://www.google.de/analytics/terms/de.html.

[24] Zumindest bis zu einer abschließenden rechtlichen Klärung akzeptieren die Aufsichtsbehörden die Verwendung von Social Plugins bei Verwendung der sog. „2-Klick-Methode“: Hierbei muß der Nutzer zusätzlich zu seinem beabsichtigten Klick auf die Empfehlungsschaltfläche zunächst erst einen vorgeschalteten Button betätigen, erst danach können Datenübermittlungen an den Anbieter des jeweiligen Social Networks stattfinden. Näheres abrufbar hier: http://www.heise.de/ct/artikel/2-Klicks-fuer-mehr-Datenschutz-1333879.html. Zur gesamten Thematik aus Sicht der Datenschützer siehe auch die „Orientierungshilfe Soziale Netzwerke“,  veröffentlicht im März 2013 durch die DSB des Bundes und der Länder, Download unter: http://www.datenschutz-bayern.de/technik/orient/oh_soziale-netze.pdf.

[25] Das Verwaltungsgericht Schleswig hat sich dieser Auffassung in drei Verfahren im letzten Jahr angeschlossen  und eine datenschutzrechtliche Verantwortlichkeit desjenigen verneint, der weder tatsächlichen noch rechtlichen Einfluss auf die Datenverarbeitung hat (Urteile v. 09.10.2013 . Az.: 8 A 218/11, 8 A 14/12, 8 A 37/12). Die Entscheidungen sind allerdings noch nicht rechtskräftig, da durch das ULD Berufung eingelegt wurde. Die obersten Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich (sog. „Düsseldorfer Kreis“) sehen dagegen eine Verantwortlichkeit der Verwender und formulieren in einem Beschluß vom 08.12.2011  (https://www.bfdi.bund.de/SharedDocs/Publikationen/Entschliessungssammlung/DuesseldorferKreis/08122011DSInSozialenNetzwerken.html), dass Anbieter deutscher Websites Social Plugin nicht ohne weiteres in das eigene Angebot einbinden dürften, wenn sie die hierüber mögliche Datenverarbeitung nicht überblicken.

:::