Fortwährend wird über Verstöße gegen europäische und deutsche Bestimmungen zum Datenschutz der meist weltweit agierenden sozialen Netzwerke berichtet. Mit den steigenden Nutzerzahlen und dem großen Bekanntheitsgrad bei sozialen Netzwerken rückt der Datenschutz daher immer mehr in den Mittelpunkt und es müssen „Verantwortliche“ gefunden werden.
(Bildquelle Social Media Bubbles: Rawpixel via Shutterstock)
Allgemeines zum Datenschutzrecht
Welche unabsehbaren Risiken für den Datenschutz bestehen, bestätigen zahlreiche Enthüllungen, wonach Daten massenhaft und unter völliger Missachtung europäischer Rechtsprinzipien abgefangen, ausgewertet und unter anderem an US-Behörden weitergegeben werden. Eine Übermittlung dieser Daten ist jedoch nach dem deutschen Recht nur mit Einwilligung möglich, welche selbst an strenge Vorgaben geknüpft ist. Unerlässlich ist insbesondere, dass der Nutzer vor der Erteilung seiner Einwilligung klar und verständlich darüber aufgeklärt wird, welche Daten, durch wen und zu welchem Zweck erhoben, verarbeitet und genutzt werden. Insbesondere Facebook gibt nur in sehr begrenztem Umfang Auskunft. Welche konkreten Informationen für welche Zwecke gesammelt und genutzt werden, erfährt der Nutzer nicht.
Im Falle der Nutzung eines sozialen Netzwerkes gibt der Nutzer außerdem meist pauschal seine Erlaubnis zur Nutzung seines Namens und Profilbilds, seiner Inhalte und Informationen. Eine solche allgemeine Einwilligung ist jedoch nach dem deutschen Recht nicht ausreichend. Die Erhebung und Nutzung von personenbezogenen Daten muss stets im Einzelfall durch eine konkrete vorherige Einwilligung erfolgen. Dabei muss für den Nutzer klar sein, welche Informationen erhoben und wofür sie verwendet werden.
Auch beim Löschen von Daten nehmen es soziale Netzwerke wie Facebook nicht sehr genau, obwohl Nutzer per Gesetz jederzeit das Recht auf Berichtigung, Löschung bzw. Sperrung ihrer gespeicherten Informationen haben.
Welches Recht ist anwendbar?
Die Facebook Inc. beispielsweise hat Sitze in den USA und Irland, nicht jedoch in Deutschland. Es ist daher höchst zweifelhaft, ob das Unternehmen den gerade erläuterten deutschen Rechtsgrundsätzen und damit der Zuständigkeit der deutschen Aufsichtsbehörden unterliegt.
Der Bundesverband der Verbraucherzentrale (vzbv) hat vor dem Kammergericht Berlin in einem Rechtsstreit gegen Facebook dennoch obsiegt. Das Kammergericht Berlin stellte in dem Verfahren fest, dass Facebook mit seinem "Freundefinder" und seinen Geschäftsbedingungen gegen Verbraucherrechte verstößt und für Facebook nicht irisches, sondern deutsches Datenschutzrecht gilt (Urteil vom 24.01.2014, 5 U 427/12 - rechtskräftig). Nach Auffassung der Richter sei es entscheidend für die Geltung der nationalen Datenschutzvorschriften, bei wem de facto die Verantwortung für die Verarbeitung der Daten liege. Nach Auffassung des Gerichts kann daher nur deutsches Datenschutzrecht Anwendung finden. Ob sich diese Ansicht auch bei anderen Gerichten durchsetzen wird, bleibt abzuwarten.
Musterverfahren: Nutzer für (fremde) Datenschutzverstöße verantwortlich oder nicht?
Im Sommer 2011 war das Unabhängige Landeszentrum für Datenschutz (ULD) des Landes Schleswig-Holstein angetreten, dem Unternehmensriesen Facebook wegen fortgesetzter Verstöße gegen deutsche und europäische Datenschutzbestimmungen auf die Füße zu treten. Das aktuell immer noch geführte Musterverfahren zielt darauf ab, eine verbindliche Klärung zu der grundlegenden datenschutzrechtlichen Frage herbeizuführen, inwieweit Unternehmen und öffentliche Stellen, die nach deutschem Datenschutzrecht unzulässige Internet-Serviceleistungen von US-Unternehmen – insbesondere Facebook - nutzen, für diese Rechtsverstöße mitverantwortlich sind.
Dem Rechtsstreit vorausgegangen waren drei Verfügungen des Unabhängigen Landeszentrums für Datenschutz (ULD) an drei schleswig-holsteinische Unternehmen mit der Anordnung, die Dienste von Facebook nicht mehr zu nutzen. Unter Androhung eines Bußgeldes von bis zu 50.000 Euro sollten die Unternehmen ihre Fanseiten auf Facebook deaktivieren und diese öffentlich nicht mehr zugänglich zu machen. Die betroffenen Unternehmen legten schließlich Klage ein. Die erste Instanz – das Verwaltungsgericht Schleswig – entschied, dass Unternehmen, die eine Facebook-Fanpage betreiben, rechtlich nicht für die Datenerhebungen und Datenschutzverletzungen durch Facebook verantwortlich sind (Urteil vom 9. Oktober 2013, Az.: 8 A 37/12, 8 A 14/ 12 und 8 A 218/11).
Das Urteil des Schleswig-Holsteinischen Oberverwaltungsgerichts (OVG) vom 4. September 2014 in der nächsten Instanz war ebenfalls nicht das, was die Datenschützer des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein (ULD) erwartet hatten. Das Gericht hatte entschieden, dass schleswig-holsteinische Betreiber von Facebook-Fanpages für Datenschutzverstöße, die bei der Benutzung der Seite stattfinden, nicht verantwortlich sein sollen.
Damit wird der Streit über die Verantwortlichkeit der Accountinhaber für Datenschutzverstöße durch Facebook nun vom Bundesverwaltungsgericht entschieden werden. Das Verfahren ist nicht nur von bundesweiter, sondern wegen der nationalen Umsetzung von Europarecht, von europaweiter Relevanz.
Verschiedene Rechtsauffassungen
Das ULD vertritt die Ansicht, dass deutsche Stellen die Datenschutzverstöße von Facebook nicht dadurch fördern dürfen, dass sie Menschen dazu veranlassen, dieses Internetportal zu nutzen. Den Nutzenden muss, entsprechend den gesetzlichen Vorgaben, die Möglichkeit eingeräumt werden, sich unerkannt über die Inhalte auf der Fanpage zu informieren. Die Verarbeitung von Nutzerdaten zu Werbezwecken darf nur dann erfolgen, wenn die Besucher von Fanpages hierfür eine ausreichend informierte, bewusste, freiwillige und frei widerrufbare Einwilligung erteilt haben.
Die mit der Frage befassten Gerichte vertreten hingegen die Auffassung entgegen einer Mithaftung. Der Betreiber einer Fanpage sei für die Verletzung von Datenschutzrechten nicht verantwortlich. Der Seitenbetreiber könne lediglich seine Inhalte einstellen, habe aber auf den Datenverkehr zwischen dem Nutzer und Facebook keinerlei Einfluss und Kontrolle. Obwohl die Betreiber von Facebook-Fanpages die Datenverarbeitung durch Facebook auslösen, kann es ihnen demnach völlig egal sein, ob die Datenverarbeitung durch Facebook in rechtmäßiger oder rechtswidriger Weise geschieht. Eine Verantwortlichkeit ergebe sich vielmehr aus dem Bundesdatenschutzgesetz und der Europäischen Datenschutzrichtlinie, wonach nur der verantwortlich sein könne, der tatsächlichen oder rechtlichen Einfluss auf die Datenverarbeitung habe.
Fazit
Die Klärung der Mitverantwortlichkeit der Nutzer eines Sozialen Netzwerkes ist von großer Bedeutung für die Verabschiedung einer wirksamen Europäischen Datenschutz-Grundverordnung, wozu es immer noch keinen endgültigen Entwurf gibt. Ohne einen europaweit einheitlichen Rechtsrahmen können sich weder Verbraucher noch Unternehmer darauf verlassen, dass sich US-amerikanische Unternehmen wie Facebook an das europäische Recht halten.
Online-Händler, die sich an einem sozialen Netzwerk beteiligen wollen, sollten sich auch Gedanken über die eigene (datenschutzrechtliche) Verantwortlichkeit machen. Das Bundesverwaltungsgericht soll nun als erstes oberinstanzliches Gericht klären, inwieweit deutsche Betreiber von Facebbok-Fanpages für die datenschutzwidrige Datenverarbeitung durch Facebook mit verantwortlich sind.
Die Themenreihe im Überblick:
Newsletter
Abonnieren
Abonnieren
Bleibe stets informiert mit unserem Newsletter.
Meistgelesene Artikel
Aktuelle Urteile | 12.01.2024
Marktplätze | 07.11.2023
Marktplätze | 06.02.2024
Schreiben Sie einen Kommentar