Show Less
Open access

Risiken von Social Media und User Generated Content

Social Media Stalking und Mobbing sowie datenschutzrechtliche Fragestellungen

Series:

Sonja Geiring

Die Themen der internetbasierten Kriminalität im Kontext von Social Media sowie das Thema Datenschutz sind derzeit nicht nur rechtspolitisch höchst brisant, sondern haben darüber hinaus eine erhebliche praktische Relevanz. Die Autorin nimmt zum einen die dogmatischen Aspekte einer strafrechtlichen Einordnung des Social Media Stalkings und Mobbings in den Blick. Zum anderen widmet sie sich den datenschutzrechtlichen Anforderungen bei der Erstellung von Nutzerprofilen und unterzieht die aktuelle Rechtslage einer kritischen Betrachtung. Im Ergebnis fehlt es im Datenschutzrecht, im Gegensatz zum nationalen Strafrecht, bisher an praktikablen und durchsetzbaren Regelungen, um die kollidierenden Interessen der Internetnutzer mit denen der Social Media Anbieter in Einklang zu bringen.

Show Summary Details
Open access

Teil 3: Datenschutz und Social Media

← 200 | 201 →

Teil 3:  Datenschutz und Social Media

In der Welt des Web 2.0 dreht es sich alles um Kommunikation und Interaktion. Über eine Milliarde Internetnutzer sind nicht nur bei Facebook angemeldet, sondern geben auch täglich endlose Details ihrer Privatsphäre über die Plattform preis. Aus datenschutzrechtlicher Perspektive bedeutet dies, dass unentwegt Daten der Nutzer erhoben, gespeichert und übermittelt werden. Dies geschieht durch Anbieter wie Facebook oder Google oft unmerklich, denn die spielerisch-einfache und attraktive Gestaltung von Websites verhindern eine kritische Reflektion der Betroffenen nicht nur hinsichtlich der Gefahren von Cybermobbing und Cyberstalking, sondern auch über die negativen Folgen ihrer Datenpreisgabe. Aus dem Mitteilungsbedürfnis ihrer Mitglieder haben Unternehmen wie Facebook, Google oder Twitter im Gegenzug ein Multimilliardengeschäft gemacht. Die gespeicherten Nutzerdaten sind für die erfolgreichen Internetunternehmen ihr größtes Kapital.1087 Hinter der scheinbar kostenlosen Nutzung der Web 2.0-Plattformen steht das automatisierte, systematische und kontinuierliche Tracking von Daten, sog. Social Media Monitoring.1088 Algorithmische Analysen ermöglichen die Auswertung der vorhandenen Datenmassen; durch Klassifikation und Profilbildung lässt sich das Abbild der Persönlichkeit eines Menschen mit einer Vielzahl von Parametern mathematisch berechnen.1089 Von den erstellten Nutzungsprofilen erwarten sich die Anbieter zum einen Rückschlüsse auf ihre Nutzer, um das Telemedium bedarfsgerecht zu optimieren und zum anderen ein zielgenaues Ansprechen und Bewerben des Nutzers mit potentiell effektiverer Wirkung, sog. Online Behavioral Targeting (auch Online Behavioural Advertising oder Target Advertising genannt).1090 Je umfassender die Informationen über einen Social Media Nutzer sind, desto effektiver kann die personalisierte Online-Werbung gewinnbringend platziert werden, indem beispielsweise auf Nutzerinteressen basierende Produktvorschläge oder Nachrichtenbeiträge geschaltet werden.1091 Die Vorteile liegen auf der Hand: Der Nutzer erhält bedarfsgerechte Informationen über Produkte, für die er sich maßgeblich interessiert; für die Anbieter Sozialer ← 201 | 202 → Netzwerke wie Facebook steigert sich der Umsatz aus dem Verkauf von passgenauen Werbeplätzen an werbetreibende Unternehmen.1092 Anbieter von Online Behavioral Adertising Diensten sind daher stets bestrebt, die Dienste zu verbessern, um immer präzisere Vorhersagen über die Interessen und das Kaufverhalten der Nutzer treffen zu können. Prognosen zufolge soll sich das Werbevolumen für Online-Werbung alle zehn Jahre verdreifachen.1093

Die extensive Bildung von Nutzungsprofilen liefert den Internetunternehmen jedoch auch tiefe Einblicke in die Privatsphäre des Einzelnen. Der Anbieter Google erhält beispielsweise Informationen über seine Nutzer nicht nur über die Social Media Plattform Google+, sondern auch über die Eingaben über die Suchmaschine Google sowie die verschiedenen Informationsseiten des Unternehmens, wie etwa Standortdaten der Nutzer über den Dienst Google Maps.1094 Die Gefahr des virtuell überwachten und kontrollierten „gläsernen Menschen“ ist in den letzten Jahren immer konkreter geworden. Werden Inhalte auf Internetseiten auf das zuvor erfasste und analysierte Nutzerverhalten abgestimmt, findet zudem eine durch die Internetunternehmen kontrollierte Vorauswahl der übermittelten Inhalte statt, von der der Nutzer keine Kenntnis hat.1095 Es besteht die Gefahr eines monothematischen, selektiven Informationsangebots, da der zugrundliegende Mechanismus nicht transparent ausgestaltet ist.1096 Für die Betroffenen sind zunächst keine unmittelbaren negativen Konsequenzen spürbar.1097 Die Langzeitfolgen der Preisgabe von Informationen über die eigene Person sind zum jetzigen Zeitpunkt nicht greifbar oder absehbar. Die eingeschränkte Kontrolle der Systeme, denen wir unsere Daten anvertrauen, und die systematische Beobachtung rufen ein „diffuses bedrohliches Gefühl“ hervor.1098 Datenschutzbehörden und Verbraucherzentralen sehen diese Entwicklung mit Sorge. Sie kritisieren die Datenschutzpraktiken der Internetunternehmen und die wiederholten Verstöße gegen deutsches und europäisches Datenschutzrecht ← 202 | 203 → und befürchten eine Gefährdung der Persönlichkeitsinteressen der Nutzer.1099 Die Online-Unternehmen sehen in den strengen Datenschutzregelungen dagegen eine unverhältnismäßige Einschränkung der Internetwirtschaft. Erfinder des heutigen „Smart Life“, wie Facebook-Gründer Mark Zuckerberg, erklärten aufgrund der positiven Nachfrage nach den beliebten Internetdiensten das Zeitalter der Privatsphäre bereits endgültig für vorbei. Es wurde bisweilen sogar von einer „Post Privacy Gesellschaft“ gesprochen.1100

Als in jüngster Vergangenheit die beliebten Social Networks vermehrt durch Datenpannen in Erscheinung traten, kam das Thema Datenschutz auch im Bewusstsein der Nutzer an und rückt nun stetig mehr in den Mittelpunkt des allgemeinen Interesses. Internetnutzer fürchten zunehmend um die Bewahrung ihrer Privatsphäre und ihrer Entscheidungsfreiheit sowie die Sicherheit und Unbefangenheit ihrer Kommunikation durch die „Verdatung“ und Manipulation durch Internetunternehmen.1101 Gefürchtet wird eine Welt der Vorhersagen bei der der freie Wille auf der Strecke bleibt.1102 Gleichzeitig besteht das starke Interesse der Internetnutzer, sich frei im Netz zu bewegen, sich überall zu informieren, alle gespeicherten Inhalte ungehindert und möglichst unentgeltlich zur Kenntnis zu nehmen und eigene Botschaften ungehindert zu verbreiten. Die Frage nach dem Schutz und der Schutzbedürftigkeit des Einzelnen vor den Gefahren für das Persönlichkeitsrecht, bedingt durch die stetige Datenerhebung und Verarbeitung, ist daher mitunter nicht leicht zu beantworten; hängt der Kontrollverlust über die eigenen Daten, das Ausmaß und die Intensität der kommerziellen Verwertung doch in erster Linie davon ab wieviel der einzelne Social Media Nutzer freiwillig von sich preisgibt.

Das Datenschutzrecht versteht sich als Schutz des Einzelnen vor den Gefahren für das Persönlichkeitsrecht durch den Umgang mit seinen personenbezogenen ← 203 | 204 → Daten.1103 Dies wirft die Frage auf, ob nach derzeitiger Rechtslage das Recht auf informelle Selbstbestimmung, der Anspruch des Bürgers auf anonymen Aufenthalt im Internet sowie der umfassende Kommunikations- und Informationsaustausch auf Social Media Plattformen seine Realisierung in einem effektiven Datenschutz findet und gleichzeitig die kollidierenden wirtschaftlichen Interessen der Internetunternehmen damit in Einklang gebracht werden. Die nachfolgende Untersuchung beginnt zunächst mit der Darstellung der Rechtsvorschriften, aus denen sich die datenschutzrechtlichen Anforderungen für Social Media Plattformen ergeben und geht der Frage nach, ob diese bei den internationalen Internetangeboten überhaupt zur Anwendung kommen. Sodann wird erläutert, inwieweit Informationen im Internet und insbesondere User Generated Content als „personenbezogene Daten“ i.S.d. Datenschutzgesetze zu klassifizieren sind. Schwerpunkt der Untersuchung ist die Prüfung der Zulässigkeit der Erhebung, Verarbeitung und Nutzung personenbezogener Daten durch Social Media Anbieter am Beispiel von Social Plugins nach geltendem deutschen und europäischen Datenschutzrecht. Dabei soll nicht nur die Umsetzung der datenschutzrechtlichen Anforderungen durch Anbieter von Social Media Plattformen, sondern auch die aktuelle Rechtslage einer kritischen Betrachtung unterzogen werden. Mit Blick auf die europäische Datenschutzreform wird abschließend ein Ausblick auf die geplanten Regelungsziele im zukünftigen Datenschutzrecht gegeben.

A.  Rechtsvorschriften des deutschen Datenschutzrechts

I.  Bundesdatenschutzgesetz (BDSG)

Zum Schutz des Betroffenen vor den Gefahren elektronischer Datenverarbeitung wurden erste Überlegungen in den 60er Jahren angestellt. Mit der Geburtsstunde des Datenschutzrechts im Jahr 1970 verabschiedete das Bundesland Hessen das weltweit erste Datenschutzgesetz.1104 Auf Bundesebene trat das BDSG, als Fundament des deutschen Datenschutzrechts, am 1. Januar 1978 in Kraft.1105 Bis 1981 wurden auf Grundlage des BDSG in allen Bundesländern Landesdatenschutzgesetze erlassen, sowie Datenschutzbeauftragte eingesetzt und Aufsichtsbehörden installiert.1106 Grundlegende Veränderungen des Datenschutzrechts ergaben sich als Folge des „Volkszählungsurteils“ des Bundesverfassungsgerichts vom 15. Dezember 1983, mit ← 204 | 205 → dem erstmals das Recht auf informationelle Selbstbestimmung statuiert wurde.1107 Als Teil des Allgemeinen Persönlichkeitsrechts ergibt sich dieses aus Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG und gewährt jedem das Recht, selbst darüber zu bestimmen, ob und welche Informationen zu seiner Person preisgegeben werden.1108 Das Recht auf informationelle Selbstbestimmung bewegt sich dabei in einem Spannungsfeld zwischen den Interessen des Individuums an der Verfügungsgewalt über seine Daten und den Interessen seiner sozialen Umwelt diese zu nutzen.1109 Das Recht auf informationelle Selbstbestimmung wird daher nicht schrankenlos gewährt, sondern unterliegt dem einfachen Gesetzesvorbehalt des Art. 2 Abs. 1 GG. Das Bundesdatenschutzgesetz stellt zum einen eine Konkretisierung des Rechts auf informationelle Selbstbestimmung dar, mit dem Ziel, den Einzelnen davor zu schützen, dass durch den Umgang mit seinen personenbezogenen Daten sein Persönlichkeitsrecht verletzt wird, § 1 Abs. 1 BDSG.1110 Zum anderen nennt das Gesetz bestimmte Eingriffsmöglichkeiten, inwieweit bestimmte datenverarbeitende Stellen personenbezogener Daten erheben und verarbeiten dürfen.1111

Neben den nationalen Gesetzgebern wurde auch die EU auf dem Gebiet des Datenschutzes tätig um den grenzüberschreitenden Datenaustausch zu regulieren. Die europäische Datenschutzrichtlinie RL 95/46/EG1112 wurde im Jahr 2001 vom deutschen Gesetzgeber im Rahmen der BDSG-Novelle umgesetzt und normiert die Grundprinzipien des Datenschutzes in allen Mitgliedsstaaten.1113 Das Bundesdatenschutzgesetz von 2001 wurde zuletzt im Jahr 2009 weitreichend überarbeitet und novelliert.1114 ← 205 | 206 →

II.  Telemediengesetz (TMG) als Sonderbestimmung für den Online-Bereich

Die Zulässigkeit und Grenzen der Datenverarbeitung im Internet richten sich jedoch nur teilweise nach dem BDSG. Für den Bereich der elektronischen Medien und Kommunikationsmittel wurden bereichsspezifische Regelungen erlassen. Für die Betreiber von Social Media Angeboten im Internet enthält der vierte Abschnitt (§§ 11–15a) des TMG spezielle Vorschriften.1115 Telemedien sind in § 1 Abs. 1 Satz 1 TMG legaldefiniert1116 und umfassen in der Praxis alle Dienste, die die elektronische Bereitstellung von Inhalten zum Gegenstand haben, also insbesondere Websites und andere Internetangebote.1117 Soziale Netzwerke wie Facebook sind als Telemedien, auf die das TMG Anwendung findet, zu klassifizieren.1118

Die bereichsspezifischen Regelungen des TMG für die sog. Interaktionsebene von Telemedien und Nutzern gehen dem BDSG gem. § 1 Abs. 3 Satz 1 BDSG grundsätzlich vor. Zur Beantwortung datenschutzrechtlicher Fragestellungen im Bereich der Sozialen Netzwerke im Internet muss daher zunächst das TMG als Sonderregelung konsultiert werden. Soweit das TMG keine spezielleren Regelungen enthält, ist für grundlegende Fragen auf die allgemeinen Datenschutzvorschriften, insbesondere das BDSG und die europäischen Datenschutzvorschriften zurückzugreifen.

B.  Adressaten des BDSG und des TMG

I.  Verantwortliche Stelle nach dem BDSG

Adressat des BDSG und damit verantwortlich für die Einhaltung der entsprechenden Vorschriften ist eine datenschutzrechtlich verantwortliche öffentliche oder nichtöffentliche Stelle.1119 Gem. § 3 Abs. 7 BDSG ist dies die Einrichtung, die ← 206 | 207 → personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt, oder dies durch andere im Auftrag vornehmen lässt und insofern über Zweck, Ziel, betroffene Daten und beteiligte Personen bei der Datenverarbeitung entscheidet.1120 Betreiber Sozialer Netzwerke wie Facebook oder Google sind regelmäßig als verantwortliche nicht-öffentliche Stellen i.S.d. § 3 Abs. 7 BDSG anzusehen, da sie über Zwecke und Mittel der Datenverarbeitung bestimmen.1121 Die Unternehmen sind juristische Personen, die die wesentlichen organisatorischen und technischen Bestandteile eines Sozialen Netzwerks bereitstellen und den Dienst damit ermöglichen und darüber hinaus den Umfang und die Bedingungen der Nutzung festlegen.1122

Grundsätzlich sind auch die Nutzer Sozialer Netzwerke datenschutzrechtlich verantwortlich, wenn sie personenbezogene Daten anderer Personen in ihren Nutzungsprofilen oder auf der Plattform veröffentlichen.1123 Die Anwendung der Datenschutzvorschriften ist nur dann ausgeschlossen, wenn die Nutzer ausschließlich in Ausübung persönlicher oder familiärer Tätigkeiten tätig werden, vgl. § 1 Abs. 2 Nr. 3 BDSG. Die Annahme einer ausschließlich persönlichen oder familiären Datenverarbeitung ist bei der Verwendung fremder personenbezogener Daten jedoch meist nicht gegeben, insbesondere wenn die personenbezogenen Daten für jedermann sichtbar sind.1124 Dies ist insbesondere der Fall, wenn Social Media Profile ganz oder teilweise zu beruflichen oder geschäftlichen Zwecken nutzt werden, wie dies beispielsweise bei Netzwerken wie Xing oder LinkedIn der Fall ist.1125 Von einer rein familiären und persönlichen Nutzung wird dagegen ausgegangen, wenn die Zugriffsmöglichkeiten auf Informationen anderer Betroffener in dem Profil des jeweiligen Nutzers auf die von ihm selbst ausgewählten Kontakte beschränkt ist, ← 207 | 208 → d.h. die Informationen ausschließlich zur privaten Kommunikation und Interaktion verwendet werden.1126

II.  Anbieter von Telemedien nach dem TMG

Das TMG adressiert grundsätzlich alle Anbieter von Telemediendiensten. Diensteanbieter im Sinne des § 2 Satz 1 Nr. 1 TMG ist

„jede natürliche oder juristische Person, die eigene oder fremde Telemedien zur Nutzung bereit hält oder den Zugang zur Nutzung vermittelt“.1127

Betreiber von Social Networks wie Facebook offerieren bzw. erbringen geschäftsmäßig Telemedien nach § 11 i.V.m. § 2 S. 1 Nr. 2 TMG und sind damit regelmäßig verantwortliche Stelle i.S.d. BDSG als auch Anbieter von Telemedien i.S.d. TMG.1128 Aber auch Angebote, die auf bereits bestehenden Plattformen errichtet werden, wie beispielsweise eine Unternehmensseite auf Facebook, eine sog. Fanpage oder ein Twitter-Account sind als eigenständige Telemediendienste einzustufen.1129

C.  Der Begriff der personenbezogenen Daten

Über Social Media Plattformen im Internet wird eine Vielzahl von Daten ausgetauscht. Gegenstand des Datenschutzes des BDSG als auch des TMG ist jedoch nur der Schutz personenbezogener Daten. Nach der Legaldefinition des § 3 Abs. 1 BDSG sind dies

„Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener)“.

Einzelangaben sind, im Gegensatz zu Sammelangaben über Personengruppen, Informationen, die sich auf eine bestimmte natürliche Person beziehen, oder geeignet sind, einen Bezug zu ihr herzustellen.1130 Bestimmt im Sinne des § 3 Abs. 1 BDSG ist eine Person, wenn ihr der Datensatz ohne weiteres eindeutig zugeordnet werden kann. Bestimmbar meint, dass eine Zuordnung bzw. Identifizierung jedenfalls mit ← 208 | 209 → Zusatzwissen möglich ist.1131 Welche Informationen eine Person bestimmbar machen ist stets im konkreten Kontext zu beurteilen.1132 Der Begriff der personenbezogenen Daten wird dabei sehr weit ausgelegt1133, wobei die Einzelangaben über persönliche oder sachliche Verhältnisse grundsätzlich alle Informationen gleich welcher Art oder Qualität umfassen.1134 Unerheblich ist bei der Einordnung einer Information als personenbezogenes Datum, wie sensibel die Information ist, oder in welchem Maße sie den höchstpersönlichen Bereich einer Person betrifft.1135

In Sozialen Medien wie Facebook hinterlässt der Nutzer eine Vielzahl von personenbezogenen Daten für die das Datenschutzrecht gilt. Typische Kategorien personenbezogener Daten bei Social Media Plattformen sind Name und E-Mail-Adresse, Fotos1136, Profil und Statusdaten, Umstände über die Kommunikation innerhalb des Netzwerks, sowie Beiträge in Blogs, Tweets oder Nachrichten.1137

Umstritten ist die Einordung einer IP-Adresse1138 als personenbezogenes Datum. IP-Adressen stellen die technische Grundlage der Internetkommunikation dar anhand derer mit dem Internet verbundene Rechner identifiziert werden können.1139 Für statische IP-Adressen, die einem bestimmten Rechner fest zugeordnet sind, wird der Personenbezug regelmäßig bejaht, soweit der Inhaber des Rechners eine natürliche Person ist.1140 Uneinheitlich sind die Rechtsprechung und die Ansichten der juristischen Literatur dagegen bei dynamischen IP-Adressen, die durch den ← 209 | 210 → Access Provider den Internetnutzern bei jedem Einwählvorgang neu zugeordnet werden.1141

Datenschutzaufsichtsbehörden, wie die Artikel-29-Gruppe1142 und der Düsseldorfer Kreis1143, vertreten dabei eine klar restriktive Ansicht, wonach auch dynamische IP-Adressen die Qualität eines personenbezogenen Datums besitzen. Die Aufsichtsbehörden folgen dabei der „Theorie des absoluten Personenbezugs“, wonach ein Datum bereits dann personenbezogen ist, sobald auch nur eine Stelle über das zur Identifikation erforderliche Zusatzwissen verfügt.1144 Damit wäre aber kaum ein Datum im Internet nicht personenbezogen. Nach der vorzugswürdigen „relativen Theorie der Bestimmbarkeit“ kommt es dagegen ausschließlich auf die Kenntnisse und Möglichkeiten der verantwortlichen Stelle an.1145 Denn verantwortliche Stellen wie Facebook oder Google können ohne Zugriff auf das Zusatzwissen der Access-Provider den Inhaber der dynamischen IP-Adresse nicht ← 210 | 211 → ermitteln.1146 Allein die Erhebung und Verwendung einer dynamischen IP-Adresse kann den Anwendungsbereich der Datenschutzgesetze danach nicht eröffnen.1147 Zur Klärung dieser Frage hat der BGH Ende Oktober 2014 nun eine Vorlage an den EuGH eingereicht, ob eine IP-Adresse auch dann ein personenbezogenes Datum darstellt, wenn das Zusatzwissen zur Herstellung des Personenbezugs unerreichbar bei einem Dritten liegt.1148 Die Entscheidung bleibt insoweit abzuwarten. Als große Datenverarbeiter ist bei Google oder Facebook als verantwortliche Stellen allerdings oft schon aufgrund der Menge der Daten und der Verdichtung zu Persönlichkeitsprofilen eine Bestimmbarkeit der betroffenen Personen nicht auszuschließen.1149 Die Daten erlangen dann einen Informationswert, der die Persönlichkeitsrechte beeinträchtigen kann.

Aus dem notwendigen Bezug zu einer zumindest bestimmbaren natürlichen Person folgt, dass entsprechende Maßnahmen wie Verschlüsselung, Pseudonymisierung oder Anonymisierung der Anwendung des BDSG entgegenstehen können. Anonyme Daten sind Daten, die keinen Rückschluss auf eine bestimmte Person zulassen.1150 Anonymisieren meint gem. § 3 Abs. 6 BDSG, dass personenbezogene Daten derart verändert werden, dass sie nicht mehr oder nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können.1151 Von anonymisierten Daten sind pseudonymisierte Daten zu unterscheiden. § 3 Abs. 6a BDSG definiert pseudonymisierte Daten als solche, bei denen der Name und andere Identifikationsmerkmale durch ein Kennzeichen zu dem Zweck ersetzt werden, die Bestimmung des Betroffenen auszuschließen oder wesentlich zu erschweren. In Sozialen Netzwerken gelten beispielsweise Nicknames als pseudonymisierte Daten.1152 ← 211 | 212 →

D.  Anwendbarkeit des deutschen Datenschutzrechts

Bereits die Antwort auf die grundsätzliche Frage, ob deutsches Datenschutzrecht im Verhältnis zu den meist ausländischen Anbietern wie Google oder Facebook überhaupt Anwendung findet, stellt die rechtswissenschaftliche Literatur und Rechtsprechung vor einige Schwierigkeiten. Dienste US-amerikanischer Firmen, die ihren Sitz außerhalb des territorialen Anwendungsbereichs deutscher und europäischer Datenschutznormen haben, wirken dennoch unmittelbar auf die Rechte und Interessen der deutschen Nutzer ein.

Als zentrale Kollisionsnorm zur Regelung der Anwendbarkeit deutschen Datenschutzrechts ist § 1 Abs. 5 BDSG nicht nur für die Bestimmung der Anwendbarkeit des BDSG relevant, sondern auch bei der Bestimmung der Anwendung des TMG.1153 Telemediendienste-Anbieter unterliegen nach § 3 TMG grundsätzlich nur den rechtlichen Anforderungen ihres Niederlassungsstaates, auch wenn sie ihre Dienste in anderen EU-Mitgliedsstaaten und EWR-Staaten1154 anbieten, sog. Herkunftslandprinzip.1155 Eine Ausnahme dieses Prinzips findet sich in § 3 Abs. 3 Nr. 4 TMG für die Vorgaben des allgemeinen Datenschutzrechts1156. Damit richtet sich auch der Anwendungsbereich der Datenschutzvorschriften des TMG im internationalen Kontext nach der allgemeinen Kollisionsvorschrift des BDSG.1157 Rechtswahlklauseln in Nutzungsbedingungen können die Anwendbarkeit deutschen Datenschutzrechts im Übrigen nicht abbedingen, da es sich um zwingendes Recht handelt.1158

§ 1 Abs. 5 BDSG geht zunächst von der Anwendung des sog. Sitzprinzips aus. Entscheidend ist danach zunächst, in welchem Land die verantwortliche Stelle, mithin der Social Media Anbieter, ihren Sitz hat.1159 ← 212 | 213 →

I.  Sitz der verantwortlichen Stelle innerhalb der EU

Soweit der Diensteanbieter als verantwortliche Stelle seinen Sitz in dem Territorium eines anderen Mitgliedsstaats der europäischen Union hat, kommt nicht das deutsche, sondern das Datenschutzrecht des jeweiligen Sitzstaates zur Anwendung, vgl. § 1 Abs. 5 S. 1 BDSG. Diese Regelung beruht auf der Vereinheitlichung des Datenschutzniveaus der EU-Staaten durch die Europäische Datenschutzrichtlinie und dient dem Ziel, dass sich ein grenzüberschreitend agierendes Unternehmen nicht mit vielen unterschiedlichen Datenschutzrechten auseinandersetzen muss, sondern seine Tätigkeit dem gewohnten Datenschutzrecht unterliegt.1160

Eine Ausnahme hiervon besteht jedoch nach § 1 Abs. 5 S. 1 2. Halbsatz BDSG dann, wenn die verantwortliche Stelle mit Sitz in einem EU-Land eine Niederlassung in einem anderen EU-Land hat und von dieser Niederlassung aus Daten erhoben, verarbeitet oder genutzt werden.1161 Erforderlich für eine Niederlassung ist jedoch, dass unabhängig von der Rechtsform, eine maßgebliche Tätigkeit tatsächlich von dieser festen Einrichtung aus ausgeübt wird.1162 Soweit ein Unternehmen mehrere Zweigniederlassungen in verschiedenen EU-Ländern hat, muss jede Niederlassung das Recht am Ort der Niederlassung berücksichtigen.1163 Hat danach beispielsweise ein englisches Unternehmen eine Niederlassung in Deutschland, ist deutsches Datenschutzrecht maßgeblich.

II.  Sitz der verantwortlichen Stelle außerhalb der EU

Befindet sich der Sitz des Diensteanbieters jedoch in einem Drittstaat außerhalb der EU bzw. des EWR, kommt es für die Anwendbarkeit des deutschen Datenschutzrechts nach dem sog. Territorialitätsprinzip auf den Ort der Datenverarbeitung an, unabhängig davon, woher die Daten stammen.1164 Danach ist das deutsche ← 213 | 214 → Datenschutzrecht nur anwendbar, wenn personenbezogene Daten im Inland, erhoben, verarbeitet oder genutzt werden, vgl. § 1 Abs. 5 S. 2 BDSG. Daneben kann das Datenschutzrecht des Drittstaates anwendbar sein, soweit auch im Ausland Daten erhoben, verarbeitet oder genutzt werden.1165

Wann eine Datenverarbeitung innerhalb Deutschlands stattfindet, ist allerdings fraglich. Die Anwendbarkeit deutschen Datenschutzrechts wird nach überwiegender Auffassung nicht schon dadurch begründet, dass sich der Telemediendienst, wie ein Social Network, an deutsche Nutzer richtet oder die deutsche Sprache verwendet.1166 Die Anwendbarkeit wird vielmehr erst dann angenommen, wenn ein Unternehmen eine deutsche Niederlassung an der Datenverarbeitung beteiligt oder Computer, Server, Cookies, Social Plugins, Apps oder andere in Deutschland „belegene Mittel“ zur Datenverarbeitung einsetzt.1167

III.  Anwendbarkeit deutscher Datenschutzgesetze auf US-Unternehmen

Die Unsicherheit, die gegenüber international agierenden Unternehmen mit Hauptsitz in den USA herrscht, basiert nicht nur auf den unbestimmten gesetzlichen Vorgaben, sondern auch auf den komplexen Konzernstrukturen der verantwortlichen Stellen.1168 Die intransparente Verantwortungsverteilung zwischen den beteiligten Konzerngesellschaften bzw. Niederlassungen ist für den Nutzer dabei kaum ← 214 | 215 → nachvollziehbar.1169 Ob deutsches Datenschutzrecht beispielsweise für Daten gilt, die von Facebook verarbeitet werden, ist Gegenstand vielfacher Diskussionen. Hinter Facebook steht die Facebook Inc. mit Sitz in den USA, die mit der Facebook Ireland Ltd. eine Niederlassung in Irland und mit der Facebook Germany GmbH eine weitere Niederlassung in Deutschland hat. Das Unternehmen stellt in seinen „Datenverwendungsrichtlinien“ nicht klar, wer verantwortliche Stelle für die Datenverarbeitung ist.1170 Laut Impressum werden die Facebook-Websites, auch die de-Website, inklusiver aller Dienste, von der Facebook Ireland Ltd. betrieben.1171 Die deutsche Tochtergesellschaft Facebook Germany GmbH soll dagegen nur Anzeigenakquise und Marketing anbieten.1172 Da personenbezogene Daten europäischer Nutzer damit nur von der irischen Tochtergesellschaft verarbeitet würden, mithin einer Niederlassung im Sinne des 19. Erwägungsgrundes der Datenschutzrichtlinie 95/46/EG, müsste sich das Unternehmen am irischen Datenschutzrecht orientieren. Das OVG Schleswig sah das deutsche Datenschutzrecht aus diesem Grund für nicht anwendbar an.1173 Der EuGH legte in seiner Entscheidung in der Rechtssache „Google Spain und Google“ den Begriff der Niederlassung dagegen weit aus und erklärte das nationale spanische Recht in diesem Fall für anwendbar.1174

Hintergrund der komplexen Konzernstrukturen US-amerikanischer Unternehmen ist u.a., dass Deutschland im Vergleich zu den meisten anderen EU-Ländern einen sehr hohen Datenschutzstandard hat.1175 Die global agierenden Unternehmen können den konsequenzreichen Vorgaben deutscher Datenschutzgesetze dadurch entgehen, indem sie den Niederlassungsort in einem europäischen Mitgliedsstaat mit den geringsten datenschutzrechtlichen Anforderungen wählen und damit die Anwendbarkeit dieses nationalen Rechts für ganz Europa steuern, sog. forum shopping.1176 In Frage kommt dabei insbesondere das relativ liberale irische ← 215 | 216 → Datenschutzrecht.1177 Da eine interessengerechte und dem Schutzzweck der Datenschutzrichtlinie konsistente Auslegung der bestehenden Gesetzeslage derzeit nicht möglich erscheint, fordern deutsche Datenschützer Rechtssicherheit durch die Vereinheitlichung des europäischen Datenschutzrechts, die nun durch die geplante Datenschutzgrundverordnung erreicht werden soll.1178 Hierzu wird auf die Ausführungen unter Kapitel G verwiesen.

E.  Zulässigkeit der Datenerhebung, -Verarbeitung und -Nutzung am Beispiel von Social Plugins

Die Vielfältigkeit und die stets neuen Angebote des Social Web werfen immer wieder neue datenschutzrechtliche Fragestellungen auf. Diese drehen sich maßgeblich um die Zulässigkeit der Erhebung und Auswertung von Nutzerdaten und die Erstellung von Nutzungsprofilen durch die Anbieter der bekannten Online-Plattformen. Unbedenklich ist die Erstellung von Nutzungsprofilen grundsätzlich dann, wenn ausschließlich anonymisierte und damit keine personenbezogenen Daten verwendet werden. Steht bei der Erstellung konkreter Nutzungsprofile zu Werbezwecken dagegen der Personenbezug im Vordergrund, unterfallen die Daten dem Schutz des BDSG bzw. TMG.1179

Auf Social Media Plattformen eingestellte Informationen werden in mehrfacher Hinsicht von den Anbietern erhoben, verarbeitet und genutzt. Die systematische Erhebung der Daten und die Analyse des Surfverhaltens auf den Internetseiten erfolgt dabei durch den Einsatz verschiedenartiger Software.1180 Die vorliegende Untersuchung soll aufzeigen, dass nicht nur Informationen, die von den Nutzern bewusst auf einer Social Media Seite eingestellt werden durch den jeweiligen Social Media Anbieter erhoben und genutzt werden, sondern dass sich mittels sog. Social Plugins das Tracking und die Analyse über die Social Media Plattform hinaus auch auf andere Websites erstrecken können. ← 216 | 217 →

Unter einem Social Plugin versteht man eine Erweiterung der Funktionen von Social Media-Plattformen und -Präsenzen auf andere Websites.1181 Kommerzielle Mitglieder der Social Media Plattform Facebook können beispielsweise den Facebook-Like-Button als Social Plugin durch einfache Übernahme eines kurzen Computer-Codes auf ihrer eigenen Website integrieren und anzeigen.1182 Der Facebook-Like-Button erlaubt dann nicht nur die Bewertung und den Austausch von Inhalten auf der Facebook-Seite selbst, sondern fördert durch Einbindung auf der fremden Website die Nutzerkommunikation auch außerhalb der Plattform. Die Besucher der Webseiten können so auch Inhalte dieser fremden Webseiten ihren Freunden bzw. Kontakten auf Facebook empfehlen. Weitere Beispiele von Social Plugins sind die Kommentar-Funktion bzw. “Comment“-Funktion von Facebook, die „+1“-Funktion von Google oder der „Tweet“-Button von Twitter. Zunächst soll nun die Funktionsweise der Social Plugins dargestellt werden, bevor die datenschutzrechtliche Beurteilung nach dem BDSG und TMG erfolgt.

I.  Funktionsweise und technischer Hintergrund von Social Plugins

Obwohl das Social Plugin auf einer anderen Website inkorporiert ist, stellt er eine direkte Datenverbindung zum Betreiber wie beispielsweise der Social Media Plattform Facebook her: Ruft ein Facebook-Mitglied eine fremde Website mit einem integrierten Facebook-Plugin auf, werden bereits beim Seitenaufruf der fremden Website verschiedene Daten des Nutzers an Facebook übertragen.1183 Ist das Mitglied im Sozialen Netzwerk eingeloggt, sind dies (zumindest) die eindeutige Benutzerkennung (Facebook-Username), IP-Adresse, Informationen über das Betriebssystem und den Browser sowie Informationen über das Surfverhalten, wie die URL der aufgerufenen Website, das Datum und die Uhrzeit des Website-Besuchs.1184 Damit kommt es bereits ohne Anklicken des Buttons zu einer Erfassung von Nutzerdaten und der Verknüpfung mit bestehenden Facebook-Nutzerprofilen, die eine Erstellung von ganzen Bewegungsmustern im Internet ohne Kenntnis und Einfluss des Nutzers erlauben.1185 Betätigt ein eingeloggter Facebook-Nutzer den Like-Button bezüglich eines Inhalts auf der Website, wird dies auf dem Facebook-Profil des Nutzers als ← 217 | 218 → Beitrag, inklusive eines Hyperlinks zu der entsprechenden Website, angezeigt und zudem die Information über den „für gut befundenen“ Website-Inhalt an Facebook übermittelt.1186 Doch selbst wenn ein Website-Besucher nicht in dem Sozialen Netzwerk eingeloggt, bzw. überhaupt nicht oder nicht mehr bei Facebook registriert ist, werden bei jedem Aufruf von Websites mit integriertem Social Plugin (zumindest) die IP-Adresse, Informationen über das Betriebssystem und Browser des Internetnutzers, als auch die aufgerufene Website an Facebook übermittelt.1187

Zudem setzt Facebook beim Klicken des Like-Buttons durch authentifizierte Nutzer einen Cookie, der auf dem Rechner des Nutzers verbleibt und bei Wiederaufruf von Facebook oder anderen Websites mit integriertem Like-Button eine Profilbildung ermöglicht.1188 Cookies sind individualisierte Datensätze, die eine eindeutigen Identifikator, die Cookie-ID, enthalten und bei jedem Website-Besuch automatisch auf dem Rechner des Nutzers platziert werden.1189 Mittels des Cookies wird das Surfverhalten des Nutzers erfasst und zusammen mit der Cookie-ID an den Webseitenbetreiber übertragen, wo die Informationen in einem Nutzungsprofil gespeichert werden können. Cookies erleichtern grundsätzlich die Nutzung des jeweiligen Webangebots, indem etwa Passwörter, Suchanfragen oder sonstige Eingaben gespeichert werden und bei Wiederaufruf der Website durch den Nutzer verwendet werden können. Zudem können die vorhandenen Informationen jedoch auch analysiert werden, um eine Vorhersage über die Interessen und das künftige Surf- und Kaufverhalten des Nutzers zu treffen.1190 ← 218 | 219 →

II.  Erhebung, Verarbeitung und Nutzung personenbezogener Daten am Beispiel des Facebook-Like-Buttons

1.  Verantwortliche Stelle

Die Nutzung eines Social Plugin hat für den Website-Anbieter den Vorteil des Empfehlungsmarketings über die Facebook-Plattform, wenn beispielsweise ein bestimmter Website-Beitrag gelikt wird. Für den Social Media Anbieter Facebook selbst ist das Sammeln der Daten von Mitgliedern als auch anderen Internetnutzern für interne Analysezwecke und darüber hinaus für Zwecke Dritter im Rahmen des Behavioural Targeting von großem wirtschaftlichen Wert. Datenschutzrechtlich verantwortlich ist neben dem Betreiber der Social Media Plattform Facebook grundsätzlich auch der Betreiber der fremden Website, denn ihm obliegt die Entscheidung darüber, ob er einen Social Plugin auf seiner Website integriert.1191 Da sich in der Praxis datenschutzkonforme technische Lösungen für die zulässige Einbindung von Social Plugins auf Websites für deren Betreiber herauskristallisiert haben (hierzu wird auf die Ausführungen in Kapitel F verwiesen), soll im Folgenden die datenschutzrechtliche Verantwortlichkeit des Social Media Anbieters Facebook für die Erhebung und Verwendung von personenbezogenen Daten über Social Plugins dargestellt werden.1192

2.  Personenbezogene Daten

Um den Anwendungsbereich der Datenschutzgesetze zu eröffnen, ist die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten der verantwortlichen Stelle erforderlich. Im Hinblick auf den Facebook-Username bzw. die IP-Adresse eines registrierten Facebook-Mitglieds liegen personenbezogene Daten vor, da Mitglieder von der verantwortlichen Stelle über ihren Facebook-Account und die über sie bereits gesammelten Daten auf der Plattform identifiziert werden können.1193 Aber auch nicht bei Facebook registrierte Internetnutzer können grundsätzlich über ihre (statische) IP-Adresse bestimmt werden. Handelt es sich jedoch um eine dynamische IP-Adresse eines nicht bei Facebook registrierten Mitglieds kann die verantwortliche Stelle, aufgrund fehlender anderweitiger Informationen über den Betroffenen, eine Zuordnung zu einer konkreten Person nicht vornehmen. Allein ← 219 | 220 → die Übermittlung der dynamischen IP-Adresse kann mangels Bestimmbarkeit der betroffenen Person durch Facebook den Anwendungsbereich des BDSG und TMG nicht eröffnen.1194 Über Cookies erlangte Informationen sind unter den Anwendungsbereich des BDSG und TMG zu subsumieren, wenn dem Website-Betreiber Facebook neben der Cookie-ID und dem Surfverhalten auch weitere Informationen wie der Name und die (statische) IP-Adresse des Nutzers bekannt sind, die eine Identifizierung ermöglichen.1195

3.  Begriffsbestimmung der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten

Erheben ist nach § 3 Abs. 3 BDSG zunächst das Beschaffen von Daten über den Betroffenen und setzt voraus, dass die verarbeitende Stelle objektiv und subjektiv ihre Verfügungsgewalt über die Daten begründet hat.1196 Das Erheben erfordert dabei zielgerichtetes Beschaffen von Informationen.1197 Verarbeiten meint nach § 3 Abs. 4 Satz 1 BDSG das Speichern, Verändern, Übermitteln, Sperren und Löschen personenbezogener Daten.1198 Beispielsweise ist das Einstellen von Daten in das Internet eine Datenübermittlung i.S.d. § 3 Abs. 4 Satz 2 Nr. 3 BDSG.1199 Unter dem Begriff Nutzen ist nach dem Auffangtatbestand des § 3 Abs. 5 BDSG jede Verwendung zu verstehen, die keine Verarbeitung darstellt und meint jeden zweckbestimmten Gebrauch der Daten.1200 Bei der digitalen Informationsverarbeitung nach dem TMG wurden aus Gründen der Vereinfachung die Handlungen der Verarbeitung und Nutzung unter dem Begriff Verwendung zusammengefasst, siehe § 12 Abs. 1 TMG, wobei sich hieraus keine inhaltlichen Veränderungen ergeben.1201

Auf Social Media Plattformen ist beispielsweise die Datengewinnung durch Zurverfügungstellen eines Webformulars, welches von den Nutzern auf der Website ausgefüllt werden kann, wie etwa die Kommentar-Funktion, noch keine ← 220 | 221 → Datenerhebung, da es an einem zielgerichteten Beschaffen fehlt. Anders als im traditionellen Internetbereich werden diese Daten aber gleichzeitig veröffentlicht, um eine Abrufbarkeit für andere Nutzer zu ermöglichen sodass zwar kein Erheben, aber ein Verarbeiten der Daten durch Speicherung, Übermittlung und Nutzung vorliegt.1202

Allein das Setzen von Cookies wird nicht als Datenverarbeitung angesehen, da der Nutzer durch Browsereinstellungen das Setzen des Cookies erlauben muss und zudem den gesetzten Cookie jederzeit löschen kann.1203 Dies erscheint insoweit fraglich, als die Standardeinstellungen bei Browsern das Setzen von Cookies regelmäßig erlauben und zudem der entsprechende Dienst bei deaktivierten Cookies zumeist nicht genutzt werden kann. Die Speicherung und Auswertung über Cookies erlangter Nutzerdaten zu Werbezwecken stellt eine zielgerichtete datenschutzrelevante Handlung in Form der Verarbeitung und Nutzung dar.1204 Das Erstellen eines Nutzerprofils ist zudem eine Verarbeitung durch Verändern, da die Daten nicht nur gespeichert sondern auch zusammengeführt werden.1205

Werden Daten über Social Plugins durch den Anbieter einer Social Media Plattform „geholt“, liegt ein zielgerichtetes Beschaffen vor.1206 Facebook sammelt zielgerichtet die Daten der eigenen Mitglieder als auch Daten anderer Website-Besucher, um diese später für eigene Zwecke, bzw. Zwecke Dritter wie etwa personalisierte Werbung, zu speichern und zu verwenden. Im Gegensatz zu Cookies besteht auch nicht die Möglichkeit, einen Social Plugin auf fremden Websites durch Browsereinstellungen zu deaktivieren.

III.  Grundprinzipien des deutschen Datenschutzrechts

Werden personenbezogene Daten erhoben, verarbeitet oder genutzt, sind bestimmte Grundprinzipien des deutschen und europäischen Datenschutzrechts einzuhalten, die auch für den Umgang mit personenbezogenen Daten im Internet gelten. Diese Grundprinzipien haben ihren Niederschlag in einzelnen Vorschriften des BDSG und TMG gefunden und dienen darüber hinaus als Richtschnur in Auslegungsfragen.1207 Das deutsche und europäische Datenschutzrecht ist maßgeblich auf dem Konzept eines Verbots mit Erlaubnisvorbehalt aufgebaut. Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten ist danach nur zulässig, wenn ein gesetzlicher Erlaubnistatbestand erfüllt ist oder der Betroffene in den Vorgang eingewilligt hat, ← 221 | 222 → siehe § 4 BDSG als auch § 12 TMG.1208 Eines solchen Erlaubnisvorbehaltes bedarf es in jeder Phase der Datenverarbeitung.1209 Als Ausformung des verfassungsmäßigen Erforderlichkeitsgebots ist nach dem Grundsatz der Datensparsamkeit und Datenvermeidung gem. § 3a BDSG die Erhebung, Verarbeitung, Nutzung als auch die Dauer der Speicherung personenbezogener Daten auf ein erforderliches Mindestmaß zu reduzieren.1210 Die Vorschrift trägt dem Umstand Rechnung, dass die rasche technische Weiterentwicklung der zur Verfügung stehenden Datenverarbeitungstechniken eine Verarbeitung und Weitergabe der Daten quasi per „Knopfdruck“ ermöglicht.1211 Damit soll die Sammlung von Daten auf Vorrat verhindert und die Menge der zu verarbeitenden Daten reduziert werden.1212 Auf die Verarbeitung personenbezogener Daten soll danach soweit wie möglich verzichtet werden, bzw. sind diese soweit möglich, zu anonymisieren oder pseudonymisieren.1213 Als Ausprägung des Verhältnismäßigkeitsgrundsatzes dürfen Daten auch grundsätzlich nur für den rechtmäßigen Zweck verwendet werden, für den sie erhoben wurden, es sei denn, eine gesetzliche Ausnahme von diesem Zweckbindungsgrundsatz1214 greift ein oder der Nutzer willigt in die Zweckänderung ein, § 28 Abs. 1 Satz 2 und Abs. 2 BDSG, § 12 Abs. 2 TMG. Bevor Daten erhoben werden, muss der bestimmte Zweck für die Verarbeitung bereits festgelegt und dem Betroffenen mitgeteilt werden.1215 Aus dem Recht der informationellen Selbstbestimmung erwächst die Notwendigkeit, den Umgang mit personenbezogenen Daten transparent zu gestalten.1216 Das Transparenzgebot findet in zahlreichen Normen des BDSG und TMG seine ← 222 | 223 → Ausprägung.1217 Danach muss der Nutzer eines Sozialen Netzwerks stets darüber informiert werden, ob und ggf. welche Daten über ihn erhoben und wie und zu welchem Zweck diese Daten verwendet werden.1218 Die personenbezogenen Daten sollen nach diesem Grundsatz auch direkt bei den Betroffenen mit dessen Kenntnis und nicht über Dritte erhoben werden, sog. Direkterhebung.1219

IV.  Gesetzliche Erlaubnistatbestände

Im BDSG und TMG finden sich verschiedene Normen, die die Erhebung, Verarbeitung und Nutzung bzw. Verwendung von personenbezogenen Daten ohne Einwilligung des Nutzers erlauben. Für die Datenerhebung und Verarbeitung durch Social Media Anbieter sind die gesetzlichen Erlaubnistatbestände der §§ 14 und 15 TMG sowie §§ 28 und 29 BDSG relevant. Für das Auffinden der richtigen Rechtsgrundlage ist zunächst zwischen den verschiedenen Datenarten zu differenzieren: Für Bestands- und Nutzungsdaten bzw. Abrechnungsdaten sind die spezifischen Erlaubnistatbestände der §§ 14 und 15 TMG maßgeblich.1220 Sog. Inhaltsdaten unterfallen mangels Spezialregelungen im TMG den allgemeinen Vorschriften der §§ 28, 29 BDSG.1221

1.  Erhebung und Verwendung von Bestands- und Nutzungsdaten nach dem TMG

a)  Zulässigkeit der Erhebung und Verwendung von Bestandsdaten nach § 14 TMG

Gemäß dem Erlaubnistatbestand des § 14 Abs. 1 TMG ist die Erhebung und Verwendung von personenbezogenen Bestandsdaten durch den Diensteanbieter ohne die Einwilligung des Nutzers zulässig, soweit sie für die Begründung, inhaltliche Ausgestaltung oder Änderung eines Vertragsverhältnisses über die Nutzung von Telemedien erforderlich sind. Auch Anbieter kostenloser Social Media Plattformen haben Interesse an einem Vertragsschluss mit ihren Nutzern, um bestimmte Verhaltensregeln im Rahmen der Nutzungsbedingungen rechtsverbindlich zu vereinbaren, da durch die Inanspruchnahme des Dienstes Rechte Dritter beeinträchtigt ← 223 | 224 → werden können.1222 Die Nutzung eines Sozialen Netzwerks und die Entstehung eines Vertragsverhältnisses beginnen regelmäßig mit der Registrierung. Der Nutzer hat dabei typische Bestandsdaten wie Name, Geburtsdatum und E-Mail-Adresse, sowie Login-Daten (Nutzername und Passwort) anzugeben.1223 Auch die IP-Adresse kann ein Bestandsdatum sein.1224

Die Erhebung von Bestandsdaten über das Facebook Social Plugin ist allerdings nicht nach § 14 TMG gerechtfertigt. Dies begründet sich wie folgt: Nicht registrierte Nutzer stehen mit der Plattform Facebook schon gar nicht in einem Vertragsverhältnis, so dass der Erlaubnistatbestand des § 14 TMG für diese nicht in Betracht kommt.1225 Bestandsdaten registrierter Facebook-Nutzer erhebt das Social Plugin nicht im Rahmen der Begründung, inhaltlichen Ausgestaltung oder Änderung ihres Nutzungsvertrags. Vielmehr werden die Daten wie der Username und die IP-Adresse im Zusammenhang mit dem Surfverhalten während der Besuche fremder Websites außerhalb der Facebook-Plattform erhoben. Bestandsdaten dürfen darüber hinaus von Anbietern der Online-Dienste nur erhoben werden, wenn dies für den Telemedien-Nutzungsvertrag erforderlich ist.1226 Die über den Social Plugin erhobenen Daten sind für das Vertragsverhältnis mit dem Social Media Anbieter jedoch nicht ← 224 | 225 → erforderlich, da bereits die Erhebung der Bestandsdaten bei Registrierung zur Zweckerreichung ausreichend ist.1227

Werden die gesammelten Daten darüber hinaus zur Datenanalyse für spätere Werbezwecke verwendet und an Dritte übermittelt, steht dieser Nutzungszweck der Daten einer Zulässigkeit nach § 14 TMG entgegen.1228 Dieser erlaubt die Erhebung, Verarbeitung und Nutzung von Bestandsdaten ausschließlich zur Erfüllung des entsprechenden Telemedien-Nutzungsvertrags. Die Erhebung und Verwendung der Daten für andere als in § 14 Abs. 1 TMG genannte Zwecke ist ohne Einwilligung des Nutzers unzulässig.1229 Der Gesetzgeber verfolgt hierbei zum Schutz des informationellen Selbstbestimmungsrechts der Betroffenen bewusst einen restriktiven Ansatz.1230

b)  Zulässigkeit der Erhebung und Verwendung von Nutzungsdaten nach § 15 Abs. 1 TMG

Gem. § 15 Abs. 1 TMG ist die Erhebung und Verwendung von personenbezogenen Nutzungsdaten erlaubt, soweit dies erforderlich ist, um die Inanspruchnahme von Telemedien zu ermöglichen oder abzurechnen.1231 Nutzungsdaten entstehen im Gegensatz zu Bestandsdaten durch eine konkrete Inanspruchnahme des Telemediums.1232 § 15 Abs. 1 Satz 2 TMG enthält eine nicht abschließende Aufzählung typischer Nutzungsdaten, wie Merkmale zur Identifikation des Nutzers (Nr. 1), Angaben über Beginn, Ende und Umfang der Nutzung (Nr. 2) und Angaben über die vom Nutzer in Anspruch genommenen Telemedien (Nr. 3).1233 Bei Sozialen Netzwerken fallen als Merkmale zur Identifikation des Nutzers der Benutzername und das Passwort, sowie die IP-Adresse und sog. Clickstream-Daten1234 über das Nutzungs- und Kommunikationsverhalten des Users im Netzwerk an.1235 Bestimmte Daten wie der ← 225 | 226 → Nutzername, IP-Adresse etc. können demnach als Bestands- als auch als Nutzungsdaten eingestuft werden.

Der Diensteanbieter darf Nutzungsdaten nur erheben, soweit dies für die Inanspruchnahme des Dienstes erforderlich ist. Das Maß der Erforderlichkeit wird dabei durch das Vertragsverhältnis zwischen Diensteanbieter und Nutzer bestimmt, das mit der Anmeldung bei einem Sozialen Netzwerk zwischen dem Anbieter des Netzwerks und dem Nutzer zustande kommt.1236 Der Wortlaut der Norm eröffnet mit dem Begriff „erforderlich“ einen gewissen Gestaltungsspielraum für den Nutzungsvertrag, wonach nicht nur zwingend notwendige Daten des Nutzers, sondern auch solche, die der Sicherung der ordnungsgemäßen Vertragsdurchführung vernünftigerweise dienen können, erhoben und erarbeitet werden dürfen.1237 Grundsätzlich kann der Betreiber durch Gestaltung seiner Website selbst festlegen, unter welchen Voraussetzungen diese besucht und genutzt werden kann. Die detaillierte Ausgestaltung des Nutzungsvertrages durch genaue Beschreibung des Dienstes ist für den Anbieter damit ein wichtiges Element.

Facebook kann im Rahmen der Nutzungsbedingungen den „Gefällt-mir“-Button auf der eigenen Plattform als wesentliches Gestaltungselement festlegen, welcher der Interaktion der registrierten Mitglieder auf der Plattform dient. Klickt ein eingeloggter Facebook-Nutzer den Button auf der fremden Website an, werden Nutzungsdaten wie der Username und die IP-Adresse, sowie die besuchte Website und der gelikte Beitrag durch Facebook erhoben, um den Kontakten des Nutzers auf dessen Facebook-Profil anzuzeigen, dass dieser einen bestimmten Inhalt für gut befunden hat. Die Erhebung der Nutzungsdaten ist damit für die Inanspruchnahme des konkreten Dienstes erforderlich und durch § 15 Abs. 1 TMG legitimiert.

Aus dem Erforderlichkeitsprinzip und dem Zweckbindungsgrundsatz folgt allerdings, dass die erhobenen Daten unverzüglich zu löschen sind, wenn sie für die Inanspruchnahme des Telemediums nicht mehr erforderlich sind.1238 Die Speicherung der Nutzungsdaten zu Zwecken personalisierter Werbung ist für die Erfüllung des Vertragsverhältnisses nicht notwendig, sondern für den Diensteanbieter lediglich wirtschaftlich zweckmäßig. Eine bloße wirtschaftliche Erforderlichkeit zur finanziellen Ermöglichung des Dienstangebots ist jedoch nicht ausreichend.1239 Der Gesetzgeber hat die Erstellung von Nutzerprofilen zu Werbezwecken in § 15 Abs. 3 TMG geregelt (hierzu sogleich) und verfolgt daher im Rahmen des § 15 Abs. 1 TMG einen restriktiven Ansatz.1240 ← 226 | 227 →

Die Erhebung von Nutzungsdaten durch Facebook vor dem eigentlichen Klick auf den Like-Button durch ein (eingeloggtes) Mitglied ist durch den Erlaubnistatbestand des § 15 Abs. 1 TMG nicht legitimiert. Denn die Erhebung der IP-Adresse bzw. Nutzerkennung und schon gar nicht des Surfverhaltens auf fremden Websites, ist für die Inanspruchnahme der Plattform Facebook, noch der Funktion des Likens erforderlich. Es handelt sich vielmehr um Nutzungsdaten die während der Nutzung eines anderen Telemediums, mithin einer anderen Website, anfallen. Für nicht auf Facebook registrierte Internetnutzer, die den Button nicht anklicken, ist für eine einwilligungsfreie zulässige Erhebung und Verwendung ihrer Daten nach § 15 TMG erst Recht kein Raum.

c)  Zulässigkeit der Erstellung pseudonymisierter Nutzungsprofile nach § 15 Abs. 3 TMG

Der Erlaubnistatbestand des § 15 Abs. 3 TMG regelt die Zulässigkeit der Erstellung pseudonymisierter Nutzungsprofile basierend auf Nutzungsdaten i.S.d. § 15 Abs. 1 TMG durch den Diensteanbieter.1241 Der Gesetzgeber hatte das Recht des Nutzers auf informationelle Selbstbestimmung und das berechtigte wirtschaftliche Interesse der Diensteanbieter an der Auswertung in Einklang zu bringen und mit § 15 Abs. 3 TMG der Erstellung von Nutzungsprofilen ohne Einwilligung des Nutzers enge Grenzen gesetzt.1242 Danach dürfen Nutzungsprofile nur zu den bestimmten, abschließend aufgezählten Zwecken der Werbung, Marktforschung und bedarfsgerechten Gestaltung der Telemedien und insbesondere nur unter Verwendung von Pseudonymen erstellt werden, vgl. § 15 Abs. 3 Satz 1 TMG. Dies kann durch den Anbieter beispielsweise realisiert werden, indem der Name des Nutzers durch eine Zuordnungskennung ersetzt wird.1243 Der Nutzer darf zudem der Profilbildung nach entsprechendem Hinweis zu Beginn des Nutzungsvorgangs nicht widersprochen haben, § 15 Abs. 3 Satz 2 TMG.1244

Bei pseudonymisierten Daten bleibt die Zuordnung zu einer bestimmten Person mit Kenntnis der entsprechenden Verknüpfungsregel grundsätzlich möglich.1245 ← 227 | 228 → § 15 Abs. 3 Satz 3 TMG verbietet dem Dienstanbieter daher eine nachträgliche Identifizierung über die von ihm aufgestellte Zuordnungsregel für die pseudonymisierten Profile, sog. Zusammenführungsverbot1246. Eine Pseudonymisierung im Sinne des § 15 Abs. 3 TMG liegt ferner nicht vor, wenn dem Diensteanbieter die Zuordnung der Person gleichwohl möglich bleibt. Dies ist der Fall, wenn durch stetige Sammlung, Hinzufügen und Verknüpfung von Einzeldaten ein Personenbezug aus der Fülle der Daten und dem Umfang des Profils des Nutzers selbst erwächst.1247 Die Regelung in § 13 Abs. 4 Satz 1 Nr. 6 TMG flankiert das Zusammenführungsverbot des § 15 Abs. 3 Satz 3 TMG, wonach der Diensteanbieter technische und organisatorische Maßnahmen ergreifen muss, dass Nutzungsprofile nicht mit Angaben zur Identifikation des Nutzers, zusammengeführt werden dürfen.1248

Bei der Datenerhebung durch Social Plugins beruht das Geschäftsmodell gerade auf der Profilbildung unter der vollständigen bürgerlichen Identität ohne Pseudonymisierung. Im Rahmen des Online Behavioural Targeting erfolgt die Speicherung der IP-Adresse und der erhobenen Informationen, die sich explizit auf persönliche Merkmale oder das Verhalten einer Person beziehen, um für diese Person gezielt Werbung zu schalten.1249 Durch den Plattform-Betreiber Facebook wird das Zusammenführungsverbot des § 15 Abs. 3 Satz 3 TMG verletzt, wenn bei eingeloggten Usern im Rahmen der Auswertung neben der Nutzerkennung und dem Surfverhalten auch noch auf Daten aus dem Facebook Profil zugegriffen wird.

2.  Erhebung, Verarbeitung und Nutzung von Inhaltsdaten nach dem BDSG

Legt der Nutzer eines Sozialen Netzwerks ein Profil mit Informationen wie Beruf, Hobbys, Fotos etc. von sich an und veröffentlicht Beiträge innerhalb des Netzwerks, handelt es sich bei den anfallenden Daten um sog. Inhaltsdaten.1250 Dies gilt auch für die Daten, die durch „Klick“ auf den Like-Button erhoben und sodann auf der Plattform Facebook den anderen Nutzern angezeigt werden. Die Daten betreffen den Inhalt der Interaktion zwischen Nutzer und Anbieter, wobei der Telemediendienst ← 228 | 229 → die Interaktion ermöglicht.1251 Diese nutzergenerierten personenbezogenen Inhalte, die für andere Mitglieder des Netzwerks sichtbar sind, unterfallen mangels Spezialregelungen im TMG den allgemeinen Vorschriften der BDSG.1252 Sie ermöglichen gerade nicht die Inanspruchnahme des Telemediendienstes, sondern stellen die Inanspruchnahme des Dienstes selbst dar.1253 Die Zulässigkeit der Erhebung und Verarbeitung dieser Daten bemisst sich an den Erlaubnisnormen der §§ 28 und 29 BDSG. § 28 BDSG regelt die Datenerhebung und -Speicherung für eigene Geschäftszwecke; die Erlaubnisnorm des § 29 BDSG bestimmt dagegen die Zulässigkeit der geschäftsmäßigen Datenübermittlung und ist neben § 28 BDSG die für die Praxis bedeutendste Erlaubnisnorm.1254 Die Abgrenzung der beiden Normen und der Tatbestandsmerkmale „eigene Geschäftszwecke“ und „geschäftsmäßige Datenübermittlung“ erfolgt anhand des Merkmals der Zweckbestimmung: Im Gegensatz zu § 28 BDSG hat die verantwortliche Stelle im Rahmen des § 29 BDSG grundsätzlich kein eigenes inhaltliches Interesse an den Daten sondern das Erheben und Speichern dient dem Zweck, die Daten Dritten anzubieten.1255 Folglich sind für die verantwortliche Stelle nicht die in den Daten enthaltenen Informationen von Interesse, sondern der Wert der Daten für Dritte.1256

Stellen beispielsweise Facebook-Mitglieder im Laufe der Zeit auf einem Sozialen Netzwerk Daten ein, erhebt und speichert der Betreiber der Plattform diese Daten, um sie anderen Nutzern zum Abruf bereit zu halten. Ruft ein Nutzer das Profil des Betroffenen auf, werden die Informationen des Nutzerprofils an diesen übermittelt. Die Speicherung der Daten durch Facebook dient damit nicht der Erfüllung eigener ← 229 | 230 → Geschäftszwecke i.S.d. § 28 BDSG, sondern nach § 29 BDSG der Übermittlung an Dritte im Informationsinteresse der Nutzer und für den Meinungsaustausch.1257

a)  Zulässigkeit der Erhebung, Verarbeitung und Nutzung von Inhaltsdaten nach § 28 BDSG

(1)  Zulässigkeit nach § 28 Abs. 1 Satz 1 Nr. 1 BDSG

Das Erfordernis der Datenerhebung und -verwendung für eigene Geschäftszwecke meint beispielsweise die Datenverarbeitung zur Erfüllung eines bestehenden Schuldverhältnisses zwischen der verantwortlichen Stelle und dem Betroffenen und der sich daraus ergebenden Verpflichtungen, vgl. § 28 Abs. 1 Satz 1 Nr. 1 BDSG.1258 Inhaltlich entspricht § 28 Abs. 1 Satz 1 Nr. 1 BDSG damit der Regelung des § 14 Abs. 1 TMG.1259 Auch das Nutzungsverhältnis zwischen dem Betreiber eines Sozialen Netzwerkes und dem Nutzer wird als Schuldverhältnis i.S.d. § 28 Abs. 1 Satz 1 Nr. 1 BDSG angesehen.1260 Liegt ein Schuldverhältnis vor, muss die Datenverwendung zur Begründung, Durchführung oder Beendigung dieses Schuldverhältnisses objektiv erforderlich sein.1261 Anbieter Sozialer Netzwerke speichern Inhaltsdaten ihrer Mitglieder bei der Registrierung zunächst auf Grundlage des § 28 Abs. 1 Satz 1 Nr. 1 BDSG.1262

Das Social Plugin erhebt jedoch Inhaltsdaten, wie den Browser und das Betriebssystem des Nutzers und zudem die fremden Internetadressen, auf denen der Nutzer surft, ohne dass der Nutzer den Button überhaupt anklickt. Wie im Rahmen des § 14 TMG bereits erörtert, gehen diese Angaben über die Informationen hinaus, die Facebook zur Durchführung des Vertrages mit seinen Nutzern benötigt und sind auch nicht vom Vertragszweck umfasst, denn die Informationen sind für die Bereitstellung des Sozialen Netzwerks nicht relevant.1263 Facebook erhebt über den Like-Button darüber hinaus nicht nur Inhaltsdaten der Plattform-Mitglieder, sondern auch von denjenigen, die nicht bei dem Netzwerk registriert sind und mit denen folglich schon gar kein Nutzungsvertrag geschlossen wurde. Eine Zulässigkeit ergibt sich daher nicht aus dieser Norm. ← 230 | 231 →

(2)  Zulässigkeit nach § 28 Abs. 1 Satz 1 Nr. 2 BDSG

Nach der Zulässigkeitsvariante des § 28 Abs. 1 Satz 1 Nr. 2 BDSG ist die Erhebung und Verwendung von Inhaltsdaten für die Erfüllung eigener Geschäftszwecke erlaubt, soweit es zur Wahrung berechtigter Interessen der verantwortlichen Stelle erforderlich ist und kein Grund zu der Annahme besteht, dass schutzwürdige Interessen des Betroffenen überwiegen. Die Erlaubnisnorm stellt einen Auffang-tatbestand zu § 28 Abs. 1 Satz 1 Nr. 1 BDSG für den Fall dar, dass kein rechtsgeschäftliches Schuldverhältnis besteht, bzw. die Datenverwendung nicht im konkreten Zusammenhang mit der Begründung, Durchführung oder Beendigung des Schuldverhältnisses erfolgt.1264

Ein berechtigtes eigenes Interesse der verantwortlichen Stelle ist dabei jedes rechtlich zulässige, mithin auch wirtschaftliche Interesse, das bei vernünftiger Erwägung durch die Sachlage gerechtfertigt ist.1265 Unternehmen wie Facebook haben ein nachvollziehbares kommerzielles Interesse an der Analyse der Daten ihrer Nutzer, um u.a. das Angebot auf der Plattform zu optimieren und zur Finanzierung der Plattform gezielte und damit effektivere Werbung für ihre Nutzer zu schalten.1266 Diese Interessen der verantwortlichen Stelle sind jedoch mit den entgegenstehenden Interessen der Betroffenen abzuwägen, um deren informationelle Selbstbestimmung zu wahren.1267 Dabei ist die verantwortliche Stelle nicht angehalten, eine ausführliche Interessenabwägung für den Einzelfall durchzuführen, sondern ausreichend ist eine summarische, am typischen Sachverhalt orientierte, Abwägung.1268 Die verantwortliche Stelle hat dabei den selbst verfolgten Verarbeitungszweck zum Maß des Eingriffs in die Persönlichkeitsrechte des Betroffenen in Beziehung zu setzen.1269

Bei der vorliegenden Datenerhebung durch Social Plugins fallen am deutlichsten die entgegenstehenden Interessen der nicht bei Facebook registrierten Betroffenen aus. Die Internetnutzer stehen mit der Social Media Plattform in keinem Kontakt und haben daher ein berechtigtes Interesse daran, dass das Unternehmen keine personenbezogenen Daten über sie sammelt und auswertet. Demgegenüber ist kein schützenswertes Interesse der verantwortlichen Stelle Facebook erkennbar, auf Daten sämtlicher Internetnutzer zu zugreifen, die auf anderen Websites mit integriertem Social Plugin surfen. Auch sind die erhobenen Informationen über das Surfverhalten Dritter für die Durchsetzung der Ziele des Diensteanbieters, wie die Bereitstellung und Nutzung der Social Media Plattform, nicht erforderlich.1270 ← 231 | 232 → Zur Optimierung der Leistungsangebots und Schaltung zielgerichteter Werbung auf der Plattform sind die Interessen der bei Facebook nicht registrierten Internetnutzer nicht relevant.

Auch die Erhebung des Surfverhaltens der Facebook-Mitglieder hält einer Abwägung nicht stand. Die Zulässigkeitsvariante des § 28 Abs. 1 Satz 1 Nr. 2 ist grundsätzlich eng auszulegen, wenn, wie im Fall der Mitglieder Sozialer Netzwerke, eine vertragliche Beziehung durch Nutzungsbedingungen besteht, und sich aus diesen primär die Zulässigkeit der Datenverarbeitung bestimmt. Der Nutzer muss sich darauf verlassen können, dass seine Daten nur für den Zweck verwendet werden, zu dem er sie gegeben hat.1271 Bereits bei der Erstellung von konkreten Kundenprofilen aus Daten, die Mitglieder selbst auf der Facebook-Plattform hinterlassen haben, ist fraglich, ob die Interessen der verantwortlichen Stelle höher einzustufen sind als die Schutzbedürftigkeit des Betroffenen.1272 Die Erstellung von Kundenprofilen ist für die Wahrung der Geschäftsinteressen von Facebook, wie beispielsweise zur Optimierung des eigenen Leistungsangebots, schon nicht erforderlich, da objektiv zumutbare Alternativen vorliegen, wie beispielsweise die Verwendung anonymisierter oder pseudonymisierter Daten.1273

Die Interessen der Internetnutzer überwiegen erst Recht, wenn bei der Erstellung von konkreten Kundenprofilen Daten von fremden Websites verwendet werden. Im Vergleich zu Inhaltsdaten, die ein Facebook-Nutzer bewusst auf der Plattform in Form von Beiträgen, Profilangaben, Pinnwandeinträgen oder Kommentaren hinterlässt, ist sich der im Internet surfende Betroffene überhaupt nicht bewusst, dass und in welchem Umfang Facebook Daten über sein Surfverhalten auf fremden Websites erhebt. Insbesondere die Heimlichkeit der Erhebung und Verwendung der Daten auf fremden Websites führt zu einer unverhältnismäßigen Beeinträchtigung des Rechts auf informationelle Selbstbestimmung.1274 Das Unternehmen Facebook ist durch die Datenerhebung in der Lage, in Verbindung mit den Profilangaben auf der Facebook-Plattform selbst, umfassende Nutzerprofile über den Betroffenen zu erstellen. Der Nutzer hat jedoch ein berechtigtes und schützenswertes Interesse daran, sich unbeobachtet im Internet bewegen und informieren zu können, ohne dass Rückschlüsse auf seine Persönlichkeit gezogen werden können. Zu denken ist dabei nicht nur an den Fall, dass ein Nutzer auf Seiten politischer Parteien oder Websites mit medizinischem Inhalt, etc. surft. Soweit diese Websites einen Social Plugin verwenden, wird dieses Surfverhalten des Nutzers erfasst und an Facebook übermittelt. Die Speicherung und Verknüpfung dieser Daten zu einem Persönlichkeitsprofil steht einer freien Entfaltung der Persönlichkeit unter den Bedingungen moderner Informationstechnologien massiv entgegen. Dem Betroffenen wird die Befugnis entzogen, selbst über die Preisgabe und Verwendung seiner Daten zu ← 232 | 233 → entscheiden. Die heimliche Erhebung, Speicherung und Verwendung dieser Daten birgt die Gefahr, dass die Fähigkeit der Teilnahme an einem Informations- und Kommunikationsprozess als Subjekt verloren geht und der Nutzer zum Informationsobjekt degradiert würde.1275

Da die Voraussetzungen des § 28 Abs. 1 Satz 1 Nr. 2 BDSG für den Zweck der Erfüllung eigener Geschäftszwecke nicht vorliegen, dürfen die Daten auch nicht für andere Zwecke nach § 28 Abs. 2 Nr. 1 i.V.m. Abs. 1 Satz 1 Nr. 2 BDSG übermittelt und genutzt werden.1276 Für den Fall, dass die Erhebung der Daten und die Erstellung der Kundenprofile ausschließlich Werbezwecken dient, richtet sich die Zulässigkeit überdies nach § 28 Abs. 3 BDSG und setzt eine Einwilligung des Nutzers voraus.1277

b)  Zulässigkeit der der Erhebung, Verarbeitung und Nutzung von Inhaltsdaten nach § 29 BDSG

Im Rahmen des § 29 BDSG hat die verantwortliche Stelle kein eigenes Interesse an den Daten, sondern es werden die Voraussetzungen normiert, unter denen die Daten geschäftsmäßig erhoben und verarbeitet werden dürfen, um sie an Dritte zu übertragen. Geschäftsmäßig meint dabei, dass eine Website auf eine gewisse Dauer angelegt ist und auf wiederholte Datenerhebung und Übermittlung ausgerichtet ist.1278 Der erste Tatbestandskomplex des Abs. 1 regelt dabei, unter welchen Voraussetzungen die geschäftsmäßige Erhebung, Speicherung, Veränderung oder Nutzung ← 233 | 234 → von Daten als Vorstufe vor der Übermittlung zulässig ist; Abs. 2 regelt sodann die Zulässigkeit des Übermittlungsvorgangs selbst.

Facebook erhebt über Social Plugins Daten über den gelikten Inhalt und die entsprechende Website, sobald ein eingeloggtes Mitglied den Like-Button anklickt, um diese Informationen anderen Facebook-Nutzern auf der Plattform zur Verfügung zu stellen. Diese Informationen werden wie Daten, die von den Nutzern direkt auf der Plattform eingestellt werden, über das Profil des Nutzers an dessen Kontakte übermittelt. Dies ist von den aktiven Nutzern des Like-Buttons auch bewusst so gewollt. Die Daten werden damit zulässig im Informationsinteresse und für den Meinungsaustausch gemäß der Philosophie des Web 2.0 nach § 29 BDSG von Facebook erhoben und geschäftsmäßig an ihre Nutzer übermittelt.1279

Werden über das Social Plugin allerdings Daten über das Surfverhalten, Browser und Betriebssystem in Verbindung mit der IP-Adresse des Betroffenen erhoben, ohne dass dieser den Button anklickt, um diese Daten Dritten zu übermitteln, ist dies nur zulässig, wenn kein Grund zu der Annahme besteht, dass ein schutzwürdiges Interesse des Betroffenen entgegensteht, vgl. § 29 Abs. 1 Nr. 1 BDSG.1280 Auch im Rahmen des § 29 BDSG verlangt der ausfüllungsbedürftige Begriff des „schutzwürdigen Interesses“ eine Abwägung nach dem Verhältnismäßigkeitsgrundsatz zwischen den schutzwürdigen Interessen des Betroffenen und den berechtigten Interessen der verantwortlichen Stelle.1281 Möchte die verantwortliche Stelle die erhobenen Daten als Wirtschaftsgut gewinnbringend vermarkten, indem sie die Daten zu Werbezwecken an Dritte, wie Werbe- oder Marketingagenturen, verkauft, verweist § 29 Abs. 1 Satz 2 auf die Regelung des § 28 Abs. 3 Satz 1 BDSG, wonach für die rechtmäßige Nutzung der Daten eine Einwilligung des Nutzers erforderlich ist. Dies zeigt die hohe Hürde auf, die der Gesetzgeber an die Zulässigkeit einer derartigen Erhebung und Nutzung personenbezogener Daten aufgestellt hat.1282 Den wirtschaftlichen Interessen der verantwortlichen Stelle stehen wie bereits im Rahmen des § 28 BDSG erörtert, die schützenswerten Interessen der Betroffenen ← 234 | 235 → entgegen, deren Daten verdeckt erhoben werden.1283 Auch hier gewährt das Recht auf informationelle Selbstbestimmung die Entscheidungsfreiheit des Einzelnen darüber, wann und in welchen Grenzen er seine Daten preisgibt.1284 Insbesondere Nicht-Mitglieder haben ein schützenswertes entgegenstehendes Interesse daran, dass ihre Daten nicht von einem Unternehmen erhoben und gespeichert werden, mit dem sie (bewusst) nicht in Verbindung stehen. Auch Daten der Facebook-Mitglieder, die diese außerhalb des Sozialen Netzwerks hinterlassen, wie etwa die IP-Adresse oder das Surfverhalten auf fremden Websites, sind für den Betreiber des Sozialen Netzwerks nicht bestimmt und begründen daher kein schützenswertes Interesse des Plattform-Betreibers. Aus den genannten Gründen ist auch die Übermittlung der Daten nach § 29 Abs. 2 Satz 1 Nr. 1 und 2 BDSG nicht zulässig, da bereits der Erhebung, Speicherung, Veränderung oder Nutzung der Daten schutzwürdige Interessen des Betroffenen entgegenstehen.1285

V.  Einwilligung des Nutzers

Wenn die Voraussetzungen der Erlaubnistatbestände der §§ 14, 15 TMG oder §§ 28, 29 BDSG nicht vorliegen, ist die Datenerhebung, Verarbeitung oder Nutzung bzw. Verwendung unzulässig, es sei denn, es liegt eine formwirksame datenschutzrechtliche Einwilligung des Nutzers gem. § 4a BDSG für Inhaltsdaten bzw. nach § 12 Abs. 1 TMG für Bestands- bzw. Nutzungsdaten vor.

1.  Elektronische Einwilligung bei Social Media Plattformen

§ 4a Abs. 1 Satz 2 BDSG sieht grundsätzlich die Schriftform der Einwilligung vor, soweit nicht wegen besonderer Umstände eine andere Form angemessen ist. Der gegenüber § 4a BDSG speziellere § 13 Abs. 2 TMG gestattet im Geltungsbereich des TMG ausdrücklich die elektronische Erklärung der Einwilligung, soweit der Dienste­anbieter sicherstellt, dass der Nutzer eine eindeutige und bewusste Einwilligung erteilt (§ 13 Abs. 2 Nr. 1 TMG), die Einwilligung protokolliert wird (Abs. 2 Nr. 2), der Nutzer die Einwilligung jederzeit abrufen kann (Abs. 2 Nr. 3) und dass er sie jederzeit ex-nunc, mit Wirkung für die Zukunft, widerrufen kann (Abs. 2 Nr. 4).1286 Wird eine der Voraussetzungen nicht erfüllt, liegt keine wirksame elektronische Einwilligung vor.

Im Rahmen von Social Media Angeboten im Internet ist die Privilegierung der elektronischen Einwilligung auch für Inhaltsdaten i.S.d. BDSG angemessen, da sich die Social Media Angebote ausschließlich online abspielen und die Voraussetzungen des TMG an eine elektronische Einwilligung zusätzliche Regularien für ← 235 | 236 → die besondere Gefahrenlage im Internet aufstellen, mithin über die Anforderungen des BDSG hinaus gehen.1287.

a)  Einwilligung durch Opt-In

Zentrales Element der elektronischen Einwilligung ist das Erfordernis der eindeutigen und bewussten Erteilung, vgl. § 13 Abs. 2 Nr. 1 TMG. Eine bewusste Einwilligung liegt vor, wenn der durchschnittlich verständige Nutzer erkennen kann und muss, dass er rechtsverbindlich einer Verarbeitung seiner personenbezogenen Daten zustimmt.1288 Notwendig ist dazu eine eindeutige und bewusste Handlung, mithin eine aktive Zustimmungserklärung des Betroffenen.1289 In der Praxis wird bei Sozialen Netzwerken eine Einwilligungserklärung von den Anbietern vorformuliert, deren Bedingungen der Nutzer dann nur noch zustimmen muss.1290 Dies wird häufig so realisiert, dass der Nutzer durch Setzen eines Häkchens in einer Checkbox der Erklärung des Anbieters zur Datenerhebung und -verarbeitung zustimmt, sog. Opt-In1291. Teilweise wird darüber hinaus auch eine bestätigende Wiederholung des Übermittlungsbefehls, sog. Double-Opt-In-Verfahren, angewendet.1292 Der Einwilligende erhält bei diesem Verfahren nach dem Klick (Opt-In) eine Bestätigungsmail an seine E-Mail-Adresse mit der Aufforderung, einen Bestätigungslink anzuklicken. Erst durch die zweite Bestätigungshandlung wird der Einwilligungsprozess abgeschlossen. Reagiert der Empfänger nicht auf die Bestätigungsmail, ist dies als Versagung der Einwilligungserteilung anzusehen.1293 Der Nutzer soll auf diese Weise auf die Relevanz seiner Handlung hingewiesen werden.

b)  Einwilligung durch Opt-Out

Umstritten ist dagegen, ob die Möglichkeit eines sog. Opt-Outs für eine wirksame Einwilligungserklärung ausreichend ist. Die vorformulierte Einwilligung gilt in diesem Zusammenhang als erteilt, soweit der Betroffene nicht aktiv die Datenverarbeitung ← 236 | 237 → ausschließt. Dies kann durch die Deaktivierung eines bereits gesetzten Häkchens in einer Checkbox oder mittels einer Schaltfläche mit „hier klicken, falls die Einwilligung nicht erteilt wird“ realisiert werden.1294 Der BGH hatte im Rahmen der Einwilligung nach § 4a BDSG diese Möglichkeit für eine Offline-Einwilligung als rechtmäßig erachtet.1295 Begründet wurde dies damit, dass das Opt-Out Verfahren keine Hemmschwelle für den Verbraucher begründe, um diesen abzuhalten, von seiner Entscheidungsmöglichkeit Gebrauch zu machen. Die Einwilligungsklausel müsse dabei aber so hervorgehoben werden, dass dem Nutzer die Abwahlmöglichkeit hinreichend deutlich macht wird.1296 Ob dies auch für die elektronische Einwilligung nach dem TMG gilt, ist richterlich noch nicht geklärt. Moniert wird, dass es bei der Variante des Opt-Out an einer eindeutigen Handlung durch den Nutzer fehle.1297 Dem wird entgegen gehalten, dass § 13 Abs. 2 TMG gerade dazu diene, Telemedienanbietern eine erleichterte Form der Einholung der Einwilligung zu ermöglichen und daher eine einfache und deutlich gestaltete Abwahlmöglichkeit auch im Online-Bereich als ausreichend einzustufen wäre.1298 Allerdings tragen die durch den BGH aufgestellten Anforderungen im Offline-Bereich den Gefahren, die durch die Flüchtigkeit des Mediums Internet entstehen, nicht Rechnung, so dass an das Bewusstsein im Internet besonders hohe Anforderungen zu stellen sind.1299 Die Gestaltungsform des Opt-In ist folglich aus Gründen des Übereilungsschutzes vorzugswürdig.1300

2.  Freiwillige und informierte Einwilligung durch Transparenz

Die Einwilligung erfordert sowohl nach dem BDSG als auch dem TMG eine freie, informierte und spezifische Abgabe.1301 Der Nutzer muss hierfür die nötige Einsichtsfähigkeit hinsichtlich der Tragweite und der Risiken seiner Entscheidung besitzen.1302 Die Einwilligung muss ferner auf einer freien Entscheidung des ← 237 | 238 → Betroffenen beruhen und für den konkreten Fall und in Kenntnis der Sachlage abgegeben werden, um dem Betroffenen die Möglichkeit zu geben, sein informationelles Selbstbestimmungsrecht aktiv und autonom auszuüben.1303 Freiwilligkeit meint nach der Vorgabe der Datenschutzrichtlinie 95/46/EG eine Erklärung, die ohne äußeren Zwang aus eigenem Willen abgegeben wird.1304 Die Freiwilligkeit der Einwilligung soll dabei insbesondere durch das Kopplungsverbot und durch das Transparenzgebot gewährleistet werden.1305

a)  Kopplungsverbot

Der Anbieter Sozialer Netzwerke darf nach dem Kopplungsverbot die Datenpreisgabe nicht zur zwingenden Voraussetzung der Nutzung des Dienstes machen, sog. Take it or leave it-Vorgehen.1306 Außerdem ist erforderlich, dass der Zugang zu einer anderen vertraglichen Leistung nicht in zumutbarer Weise möglich ist.1307 Dies erfordert nach überwiegender Meinung das Ausnutzen einer Monopolstellung durch den Anbieter.1308 Sowohl an privaten als auch an beruflichen Sozialen Netzwerken existiert bereits jetzt eine Vielzahl unterschiedlichster Angebote, so dass eine Monopolstellung in einem bestimmten Bereich eher abzulehnen ist.1309 Allerdings sind im Hinblick auf die Nutzerzahlen und die internationale Verbreitung von Facebook klare Tendenzen einer Monopolstellung des Unternehmens zu erkennen. Die Gesetzgebung übt sich bei der Bejahung einer Monopolstellung grundsätzlich in Zurückhaltung. So hat beispielsweise das OLG Brandenburg eine Monopolstellung von Ebay trotz eines Marktanteils von 73% abgelehnt.1310

b)  Transparenzgebot

Das Transparenzgebot als Grundprinzip des europäischen und deutschen Datenschutzrechts betrifft grundsätzlich nicht nur die Einwilligung. Nach § 13 Abs. 1 TMG hat der Anbieter den Nutzer beispielsweise zu Beginn jedes ← 238 | 239 → Nutzungsvorgangs über Art, Umfang und Zweck der Erhebung und Verwendung personenbezogener Daten sowie über die Verarbeitung seiner Daten in Staaten außerhalb des Anwendungsbereichs der Richtlinie 95/46/EG in allgemein verständlicher Form zu unterrichten. Im Rahmen der Einwilligung verlangt das Transparenzgebot, dass der Nutzer vor der Abgabe der Einwilligung umfassend darüber unterrichtet werden muss, welche seiner Daten zu welchem Zweck verwendet werden, um Anlass, Ziel und Folgen der Verarbeitung abschätzen zu können.1311. Nur wenn der Nutzer eines Sozialen Netzwerks hinreichend informiert ist, kann er sein Verhalten entsprechend anpassen oder seine Rechte geltend machen.1312 Der Betroffene muss dabei erkennen können, worauf sich seine Einwilligung genau bezieht. Dazu gehören auch Informationen über den Einsatz von Analysetools wie Cookies oder Social Plugins, dass über diese Daten erhoben werden sowie die Information, welche Daten sodann an Dritte weitergegeben werden.1313 Zusätzlich muss der Hinweis auf Auskunfts- und Widerrufsrechte sowie Kontaktdaten für die Geltendmachung dieser Rechte erfolgen.1314

Der Text der Einwilligung muss genau und in einer für den Nutzer verständlichen Weise beschreiben, welche Datenverarbeitungsschritte auf Basis dieser Einwilligung vorgenommen werden sollen und zudem auf die Folgen einer Verweigerung der Einwilligung hinweisen.1315 Die Einwilligung darf zudem nur den Teil der Datenverarbeitung abdecken, für den sie erforderlich ist, weil kein Erlaubnistatbestand vorliegt. Dem Nutzer wird hierdurch seine Dispositionsbefugnis für einen bestimmten Bereich an Daten vor Augen gehalten.1316 Umfasst der Einwilligungstext auch Datenverarbeitungen, die ohne Einwilligung zulässig wären, darf der Plattformbetreiber selbst diese Daten nicht verarbeiten, für die eine Einwilligung gar nicht erforderlich ist, wenn der Nutzer die Einwilligung verweigert oder widerruft.1317 ← 239 | 240 →

3.  Einwilligung in die Datenerhebung und -Verwendung durch Social Plugins

Eine Legitimierung über eine Einwilligung kommt zunächst nur für Facebook-Mitglieder in Betracht, die diese gegenüber Facebook, als dem Datenerhebenden und -nutzenden Social Media Anbieter, abgeben können. Zu Beginn der Nutzung eines Sozialen Netzwerks verlangt Facebook von ihren Nutzern regelmäßig, mehrere Nutzungsbedingungen zu akzeptieren und auch einzuhalten.1318 Diese allgemeine und pauschale „Einwilligung“, die der Nutzer bei der Registrierung abgibt, ist für die Erhebung und Verarbeitung von personenbezogenen Daten durch Social Plugins nach den Anforderungen des BDSG bzw. TMG allerdings nicht ausreichend.1319 Dies begründet sich bereits durch die intransparente Gestaltung des Einwilligungstextes im Rahmen der Nutzungsbedingungen bzw. der Datenschutzerklärung. Bei Social Media Plattformen findet sich die Einwilligung oft innerhalb der umfassenden allgemeinen Nutzungsbedingungen im Rahmen einer Datenschutzerklärung (auch „Datenschutz-Policy“ bzw. „Privacy Policy“ genannt).1320 Soll eine Einwilligung mit anderen Erklärungen abgegeben werden, muss sie jedoch optisch hervorgehoben sein, um Transparenz zu gewährleisten.1321 Denn für die Einwilligung gelten im Gegensatz zur Datenschutzerklärung besonders strenge Vorgaben, da sie nicht nur der Information der Nutzer dient.1322

Ferner fehlt es an einer umfassenden Information und Aufklärung des Nutzers über die Art, den Umfang und den Zweck der Datenerhebung durch Social Plugins. Für eine wirksame Einwilligung nach deutschem Datenschutzrecht ist erforderlich, dass dem Nutzer die einzelnen Verarbeitungsprozesse transparent gemacht werden und zwischen den jeweils hierzu verwendeten Daten differenziert wird.1323 Bei den oft seitenlangen Ausführungen und Verweisen auf andere Subsites ist allein aufgrund des Umfangs der Datenschutzerklärung keine transparente Information des ← 240 | 241 → Nutzers gegeben.1324 Zudem enthalten die Datenschutzhinweise dehnbare Begriffe wie „gegebenenfalls“ oder „manchmal“ ohne die genaue Ausgestaltung der Datenverarbeitung zu erklären.1325 Ein Facebook-Nutzer würde über den Einsatz von Social Plugins und die Erhebung von Daten auch auf fremden Websites, wenn überhaupt, nur durch Lesen der äußerst umfangreichen, unübersichtlichen und schwer verständlichen Datenschutzvorschriften Kenntnis erlangen. Dem maßgeblichen Durchschnittsnutzer ist mangels deutlich hervorgehobenen Hinweises gar nicht bewusst, dass sein Surfverhalten auf fremden Websites durch Social Plugins nachvollzogen werden kann. Von Transparenz kann bei diesem Verfahren nicht gesprochen werden.

Es liegt auch keine Einwilligung des Nutzers durch das Opt-Out-Modell vor. Im Vergleich zu Cookies kann der Nutzer die Datenerhebung und -verwendung durch Social Plugins nicht durch entsprechende Browsereinstellungen vermeiden. Indem der Nutzer nicht aktiv das Setzen von Cookies verhindert, wird hierin teilweise eine Einwilligung in Form eines Opt-Out gesehen.1326 Wie erörtert, ist das Opt-Out-Modell im Online-Bereich mehr als fragwürdig. Bei Social Plugins besteht schon gar nicht die Möglichkeit der Deaktivierung durch entsprechende Browsereinstellungen.

Eine (konkludente) Einwilligung des Betroffenen kann auch nicht durch die Nutzung des Dienstes angenommen werden. Klickt ein eingeloggtes Facebook-Mitglied das Like-Plugin auf der fremden Website an, kann er zwar regelmäßig den Bezug zu der Social Media Plattform Facebook herstellen, denn der Nutzer beabsichtigt gerade die Weiterempfehlung des Website-Inhalts über sein Profil für seine Facebook-Kontakte. Allerdings stellt die elektronische Einwilligung nach § 13 Abs. 2 TMG, wie erläutert, gewisse Anforderungen an eine wirksame Einwilligung im Internet, der ← 241 | 242 → selbst ein Opt-Out nicht genügen kann. In der vorliegenden Konstellation ist den meisten Nutzern mangels ausdrücklichen Warnhinweises und entsprechender Aufklärung überhaupt nicht bewusst, dass bzw. welche Daten durch das Social Plugin erhoben und an Facebook übermittelt werden. Eine derartige Generalermächtigung durch Nutzung eines Dienstes wird dem Erfordernis einer Einwilligung weder für den vorliegenden konkreten Einzelfall des Social Plugin, noch allgemein im Datenschutzrecht gerecht.1327 Der Einsatz von Social Plugins kann daher nach Auslegung der gesetzlichen Vorgaben nicht durch eine konkludente Einwilligung legitimiert werden. Sofern ein Internetnutzer den Button überhaupt nicht betätig, besteht schon gar kein Raum für die Annahme einer konkludenten Einwilligung.

F.  Zusammenfassendes Ergebnis und kritische Betrachtung der datenschutzrechtlichen Anforderungen de lege lata

Wie die Untersuchung zeigt, ist die Erhebung personenbezogener Daten über Social Plugins und deren Verwendung, wie sie durch Anbieter wie Facebook praktiziert wird, nach der derzeitigen Rechtslage in Deutschland weder durch einen Erlaubnistatbestand des TMG oder BDSG noch durch eine datenschutzrechtliche Einwilligung der Nutzer legitimiert.1328 Regelmäßig überwiegen bei der Abwägung im Rahmen der Erlaubnistatbestände die schutzwürdigen Interessen der Betroffenen gegenüber den wirtschaftlichen Interessen der Anbieter. Die formalen und inhaltlichen Anforderungen an eine ausdrückliche und freiwillige Einwilligung sind hoch, so dass diese nicht in der Lage ist, die Reichweite des Verbotsprinzips zu relativeren.

Die strikte Regelung des Verbots mit Erlaubnisvorbehalts ist eine Besonderheit des europäischen Datenschutzrechts und bietet ein besonderes hohes Schutzniveau, das so in anderen Ländern wie den USA, China, Russland, Indien oder den afrikanischen Ländern nicht existiert.1329 In den USA basiert das Rechtsverständnis auf dem Gedanken, welche vernünftigen Erwartung ein Verbraucher bei der Nutzung der Neuen Medien hat („reasonable expectation of privacy“). Daten von Nutzern dürfen grundsätzlich erhoben und verarbeitet werden, solange diese dem ← 242 | 243 → nicht widersprechen (Opt-Out-Prinzip).1330 Die unterschiedlichen Ansätze führen zwangsläufig dazu, dass die zumeist in den USA entwickelten Social Media Plattformen die technischen Möglichkeiten ausschöpfen, um den Nutzerkomfort und damit auch den wirtschaftlichen Erfolg der Betreiber voranzutreiben, aber hierzulande gegen geltende Datenschutzgesetze verstoßen.1331

Aufgrund der rasanten Ausweitung der Datenverarbeitung im nicht-öffentlichen Bereich wird die Sinnhaftigkeit des Verbotsprinzips als oberstes Datenschutzprinzip hinterfragt.1332 Die gesellschaftliche Realität im Internetzeitalter steht dem Verbotsgrundsatz und dem Grundsatz auf Datensparsamkeit gegenüber: Datenverarbeitung ist Alltag und damit die Regel, nicht die Ausnahme. Viele der gesetzlichen Anforderungen an den Datenschutz sind unverständlich und zudem unter praktischen Gesichtspunkten kaum umsetzbar. So sind beispielsweise die Vorstellungen des Gesetzgebers zur Informationspflicht nach § 13 Abs. 1 TMG fern jeder Wirklichkeit und würden bedeuten, dass der Nutzer „zu Beginn jedes Nutzungsvorgangs“, mithin vor jedem Besuch eines Sozialen Netzwerks, durch eine Vorschaltseite mit einer Datenschutzerklärung begrüßt und darauf hingewiesen würde, welche Daten im Rahmen des Online-Angebots für welchen Zweck erhoben werden. Dies wäre für die Anbieter und Nutzer des Netzwerks gleichermaßen nicht praktikabel und untragbar.1333 Auch im Hinblick auf die gesetzlichen Anforderungen an die Transparenz der erforderlichen Datenschutzerklärung wird deutlich, dass diese durch Anbieter von Social Media Angeboten kaum rechtsicher zu erfüllen sind.1334 Informiert der Plattformbetreiber detailliert und umfassend über jede mögliche Datenerhebung und den Einsatz von Social Plugins, wie es die gesetzlichen Anforderungen vorsehen, steht dies allein aufgrund des immensen Umfangs der Erklärung einer verständlichen Nutzerinformation und Nützlichkeitserwägungen gegenüber. Greift ein Nutzer zudem über sein Smartphone mit wesentlich kleinerem Bildschirm auf Social Media Plattformen zu, hat der Einwilligungstext als auch die Datenschutzerklärung noch wesentlich kürzer auszufallen als bei einem Zugriff über den PC, um überhaupt in benutzerfreundlicher Weise wahrgenommen werden zu können.1335 Regelmäßig haben dabei die Nutzer selbst schon kein Interesse an der Lektüre dieser ← 243 | 244 → umfangreichen Texte zum Datenschutz, bevor sie den jeweiligen Dienst nutzen können. Auch das Einholen einer ausdrücklichen Einwilligung vor jeder Datenerhebung durch das Einblenden eines Popup Fensters mit einer Checkbox für die Erteilung der Einwilligung mit entsprechend umfangreichen Belehrungen, aufgrund derer der Nutzer seine Entscheidung treffen kann, würde den Nutzer im Ergebnis eher belästigen und abschrecken.1336

Eine Social Media Präsenz ohne Datenschutzverstöße scheint unter der derzeitigen Rechtslage kaum möglich.1337 So haben sich die Verstöße gegen Datenschutzvorschriften auch auf deutschen Websites in den letzten fünf Jahren verdoppelt.1338 Da die gesetzlichen Anforderungen die Gefahr bergen, dass eine Social Media Plattform erheblich an Benutzerfreundlichkeit und damit Nutzerakzeptanz und letztendlich den Erfolg der Plattform einbüßt, werden sie in der Praxis kaum umgesetzt.1339 Dies findet in den vergleichsweise milden gesetzlichen Sanktionen bei Datenschutzverstößen Widerklang.1340 Ist eine Datenverarbeitung unzulässig, kann dies nach § 43 BDSG bzw. § 16 TMG als Ordnungswidrigkeit mit einem Bußgeld von bis zu 50.000 Euro bzw. bis zu 300.000 Euro geahndet werden.1341 Für große Internetkonzerne wie Google oder Facebook mit Jahresumsätzen in Milliardenhöhe stellt dies ein verhältnismäßig geringes und kalkulierbares Risiko dar. Rufschädigung und Vertrauensverlust bei den Nutzern können dagegen weitreichendere und empfindlichere Folgen für die Unternehmen haben als rechtliche Konsequenzen.1342 Dabei hat sich in den letzten Jahren gezeigt, dass das Datenschutzrecht auch im Bewusstsein der Bevölkerung einen immer höheren Stellenwert einnimmt. Durch eine zunehmende Berichterstattung in den Medien über Themen wie Google Street View, Datenschutzbedingungen bei Facebook, Vorratsdatenspeicherung bis hin zu Entwicklungen wie Google Glass lässt sich eine deutliche Sensibilisierung für die bestehenden Gefahren für persönliche Daten im Internet feststellen.1343 Viele Social Media Nutzer hinterfragen grundsätzlich die ← 244 | 245 → „Erosion ihrer Privatsphäre“.1344 Doch trotz der weitgehend bekannten Datenpannen vermeldeten die Unternehmen Google und Facebook (bisher) keinen starken Rückgang ihrer Nutzer.1345 Dabei ist bei den Social Media Nutzern eine verblüffende Naivität festzustellen: Einerseits werden zunehmend Forderungen nach dem Schutz der eigenen Privatsphäre laut, andererseits werden die „kostenlosen“ Dienste mit einer Sorglosigkeit und Unbesonnenheit genutzt, ohne den Gedanken daran, wie teuer „kostenlos“ wirklich ist.1346 Die Nutzer tolerieren und unterstützen hierdurch Geschäftsmodelle, für die sie mit echtem Geld nicht bezahlen würden.1347 Doch kein Unternehmen stellt umfangreiche Dienste wie den Betrieb einer Website für Millionen aktive Nutzer, sowie Rechner und Speicherkapazitäten, die mit dem immensen Umfang an hochgeladenen Bildern oder Videos umgehen können, bereit, ohne sich einen monetären Vorteil zu erhoffen.1348 Um den Nutzern am eindrücklichsten zu verdeutlichen, dass in der heutigen digitalen Welt personenbezogene Daten als Währung dienen, wäre das Angebot einer gebührenpflichtige Variante neben der kostenlosen Möglichkeit der Nutzung eines Internetangebots wie Facebook zu überlegen. Entscheidet sich der Nutzer in diesem Fall für die kostenlose Nutzung, ginge dies mit der Verwertung seiner Daten einher, indem der Nutzer beispielsweise verpflichtet wird, bei der Wahl der kostenfreien Variante ein entsprechendes Häkchen für eine umfassende Datenverarbeitung zu setzen. Vielfach wird einer kostenpflichtigen Variante aber entgegengehalten, dass Bezahlinhalte kaum eine Chance hätten, gemäß dem Google Motto „you can’t compete with free“.1349

Es stellt sich die Frage, ob ein wirtschaftlich denkendes Internetunternehmen unter Beachtung der Datenschutzregularien überhaupt rechtskonform ausgestaltet sein kann. Stellen die hohen Datenschutzstandards nur eine gesetzliche „Bevormundung“ des Bürgers dar, der auf Grund seines extensiven Kommunikations- und Interaktionsbedürfnisses daran selbst kein Interesse und kein Schutzbedürfnis hat?1350 Dient der selbst gewählte exhibitionistische Umgang mit Informationen dem Individualrecht der freien Entfaltung der Persönlichkeit und stellt damit eine ← 245 | 246 → Ausübung von Grundfreiheiten dar, die der Gesetzgeber unzulässig einschränkt?1351 Oder verlieren Unternehmen wie Facebook wegen des Kommerzdrucks vielmehr die Balance zwischen ihren grundsätzlich nachvollziehbaren Unternehmensinteressen und den Interessen der Nutzer am Schutz ihrer Daten?

Die Verantwortung gänzlich auf den Internetnutzer unter dem Stichwort „Selbstdatenschutz“ abzuwälzen1352 oder die eindimensionale Wahrnehmung des um jeden Preis gewinnstrebenden Internetanbieters wären dabei zu kurz gefasst. Sicherlich ist ein gewisses Basiswissen und das Gespür der Nutzer für einen möglichst zurückhaltenden Umgang mit den Informationen über die eigene Person nötig, das nur durch entsprechende Aufklärung und die Vermittlung von Medienkompetenz erreicht werden kann.1353 Nichtsdestotrotz dürfen sich auch die Anbieter nicht ihrer Pflicht entziehen und die Uninformiertheit ihrer Nutzer maßlos ausnutzen. Im derzeitigen Graubereich des Rechts beschränken sich die Social Media Anbieter nicht auf Daten, die sie wirklich brauchen, sondern erheben alles, was technisch möglich ist, was das vorliegende Beispiel der Erhebung von Daten über Social Plugins eindrücklich zeigt.

Dabei gilt es vielmehr, Transparenz in einer komplexen IT-Umgebung zu schaffen und dem Social Media Nutzer die Reichweite der Datenverarbeitung vor Augen zu führen.1354 Dem Nutzer sollte die umfassende und einfache Möglichkeit gegeben werden, durch entsprechende Privatsphäre Einstellungen, sog. Privacy Settings, selbst darüber zu bestimmen, was mit seinen Daten geschieht. Die derzeit auf der Plattform Facebook vorzufindende verzweigte Navigation mit mehr als 170 komplexen und wenig transparenten Einstellungsvarianten mit der Grundeinstellung eines Opt-Out zielt vielmehr darauf ab, dass schlecht informierte Durchschnittsnutzer ihre Daten in größtmöglichem Umfang preisgeben.1355 Um dem Grundsatz der Datensparsamkeit gerecht zu werden, wäre bereits durch den Anbieter eine Voreinstellung der Privatsphäre Einstellungen auf „hoch“ zu gewährleisten, die ← 246 | 247 → der Nutzer aktiv verändern muss, um bestimmte Dienste zu nutzen, sog. Privacy bei Default.1356

In Zukunft immer wichtiger dürfte auch der technische Datenschutz, sog. Privacy by Design, werden, um eine gewisse Transparenz zu schaffen.1357 So hat zur vorliegend erörterten Problematik der Social Plugins die technische Vorkehrung der sog. 2-Klick-Lösung von Heise auch den Zuspruch der obersten Datenschutzaufsichtsbehörde, dem Düsseldorfer Kreis, erhalten.1358 Der Lösungsansatz basiert auf dem Prinzip, dass zunächst nur ein Platzhalter in Form einer Grafik für den Social Plugin, beispielsweise des Facebook Like-Button, auf der fremden Website eingeblendet wird, ohne die Plugins selbst schon zu aktivieren. Sobald der Nutzer mit dem Mauszeiger über die Platzhalter-Grafik fährt, wird ein Hinweistext einer Belehrung über die rechtlichen Folgen nach dem Anklicken der Grafiken eingeblendet. Klickt der Nutzer sodann die Grafik an, werden die Social Plugins und ihre Funktionen erst aktiviert. Mit einem weiteren Klick auf den aktivierten Button kann der Nutzer damit auf seiner Facebook-Seite posten, dass ihm der entsprechende Inhalt auf der jeweiligen Website gefällt.1359

Lösungsansätze und einen Mittelweg zwischen den hohen Datenschutzstandards und der aus Praktikabilitätsgründen notwendigen Flexibilität bieten derzeit auch Selbstregulierungskonzepte der Werbewirtschaft.1360 Ein Konzept ist der flächendeckende Einsatz von interaktiven Icons, die dem Nutzer die Wahlmöglichkeit eröffnen soll, ob er seine Daten für Online Behavioural Advertising Zwecke zur Verfügung stellen will oder nicht.1361 Indem das Icon im Kontext von Werbeanzeigen platziert wird, wird dem Nutzer verdeutlicht, dass sein Verhalten getrackt wird und die Werbeanzeige aufgrund einer entsprechenden Zielgruppenanalyse geschaltete wurde. Klickt der Nutzer auf das Icon, werden ihm weitere Informationen und die Möglichkeit eines Opt-Out angezeigt.1362 Das Icon soll so für Transparenz sorgen und dem Nutzer bestimmte Wahlmöglichkeiten eröffnen. ← 247 | 248 →

Grundlage des technischen Datenschutzes sowie Lösungen wie datenschutzfreundliche Voreinstellungen und Selbstregulierungsvorschläge der Werbewirtschaft müssen jedoch anwendbare und durchsetzbare gesetzliche Regularien sein, um der ausufernden Nutzerprofilbildung durch Datensammler wie Facebook oder Google entgegenzutreten. Das deutsche Datenschutzrecht in seiner jetzigen Fassung hält mit der rasanten technischen und sozialen Entwicklung nicht Schritt und stellt kaum passende Lösungsvorschläge bereit. Zudem mangelt es auf dem Gebiet des Online-Datenschutzes vielfach an klärender Rechtsprechung.1363 Folge ist eine Rechtsunsicherheit sowohl auf Seiten der Nutzer, die nicht mehr wissen, was mit „ihren“ Daten geschieht, als auch auf Seiten der Diensteanbieter, die den Datenschutz zunehmend als Hemmschwelle bei der Entwicklung neuer Geschäftsmodelle begreifen.1364 Bei US-amerikanischen Anbietern ist bereits die Frage, ob das strenge deutsche Datenschutzgesetz überhaupt Anwendung findet, nicht ohne weiteres zu beantworten. Die datenschutzrechtlichen Vorgaben und auch die Rechtsprechung können die bestehende Rechtsunsicherheit nicht ausräumen. Die Aufmerksamkeit richtet sich nun auf die geplante Datenschutzgrundverordnung, die ein (erster) Schritt in die richtige Richtung sein soll.

G.  Ausblick – Europäische Datenschutzreform

Die unterschiedliche Umsetzung der Vorgaben der europäischen Datenschutzrichtlinie hatte in den Mitgliedsstaaten zu einer vielfach kritisierten Fragmentierung des europäischen Datenschutzrechts geführt.1365 Die Forderungen nach einer Überarbeitung der bisherigen rechtlichen Instrumentarien und die Schaffung neuer Konzepte zur Durchsetzung des Datenschutzrechts wurden in den letzten Jahren immer lauter. Am 25. Januar 2012 stellte die Europäische Kommission einen Regelungsentwurf für eine EU-Datenschutzgrundverordnung zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (im folgenden DS-GVO-E) vor.1366 Der Entwurf soll die vollständige Harmonisierung des europäischen Datenschutzrechts, insbesondere die EU-weite Vereinheitlichung der Verarbeitung von personenbezogenen Daten durch private Unternehmen, ← 248 | 249 → erzielen.1367 Im Gegensatz zur bisherigen Datenschutzrichtlinie, die eine Umsetzung in das jeweilige nationale Recht erfordert, stellt die EU-Verordnung nach Art. 288 AEUV unmittelbar geltendes Recht für alle Mitgliedstaaten dar. Die Verordnung würde nicht nur die europäische Datenschutzrichtlinie 95/46/EG sondern auch das BDSG sowie die bereichsspezifischen Datenschutzvorschriften des TMG aufgrund ihrer unmittelbaren Geltung in weiten Teilen ersetzen. Der Entwurf sieht in Art. 3 DS-GVO-E zum territorialen Anwendungsbereich vor, dass die Verordnung für alle EU ansässigen Stellen gelten soll, sowie nach Art. 3 Nr. 2 für solche außerhalb der EU, die Waren und Dienstleistungen Betroffenen in der EU anbieten oder das Verhalten Betroffener in der EU überwachen. Damit hätten nun auch die US-amerikanischen Social Media Anbieter wie Facebook oder Google die Vorgaben der Verordnung einzuhalten, wenn sie ihr Angebot etwa durch eine deutschsprachig gestaltete Website an EU-Bürger ausrichten.1368

Obwohl der europäische Entwurf an vielen Stellen inhaltlich dem BDSG entspricht, sieht er auch einige neue Regelungsinstrumente vor.1369 Über die wesentlichen Neuerungen, die Soziale Medien im Internet betreffen, soll nachfolgend ein Überblick gegeben werden.

I.  Einwilligung nach dem DS-GVO-E

Der DS-GVO-E geht ebenso wie die europäische Datenschutzrichtlinie 95/46/EG und das deutsche BDSG und TMG, weiterhin von einem Verbotsprinzip mit Erlaubnisvorbehalt als zentralem Grundsatz aus, vgl. Art. 6 DS-GVO-E. Der Entwurf der Verordnung regelt die datenschutzrechtliche Einwilligung als eine Erlaubnistatbestandsalternative für die Zulässigkeit der Datenverarbeitung in Art. 6 Nr. 1a DS-GVO-E. Danach ist eine Datenverarbeitung nur dann rechtmäßig, wenn die betroffene Person

„ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere genau festgelegte Zwecke gegeben hat“.

Auch nach dem Verordnungsentwurf muss die Einwilligung „ohne Zwang, für den konkreten Fall und in Kenntnis der Sachlage“ erklärt werden, sog. Grundsatz der Informiertheit, siehe Art. 4 Abs. 8 und Art. 7 DS-GVO-E.1370 Diese Regelungen entsprechen insoweit dem jetzigen § 4a BDSG. Der DS-GVO-E sieht gegenüber § 4a ← 249 | 250 → Abs. 1 Satz 3 BDSG jedoch kein zwingendes Schriftformerfordernis mehr vor. Bisher besteht gem. § 13 Abs. 2 TMG nur für die Verwendung von Bestands- und Nutzungsdaten ausdrücklich die Möglichkeit der elektronischen Einwilligungserklärung. Auch für Inhaltdaten wird bisher vom Schriftformerfordernis des § 4a Abs. 1 Satz 3 BDSG abgewichen, so dass diese Reform in der Praxis unbeachtlich ist.1371 Der Entwurf verlangt darüber hinaus aber nun ausdrücklich eine Opt-In Zustimmung durch Anklicken des entsprechenden Kontrollkästchens, da gem. Art 4. Abs. 8 DS-GVO-E eine „explizite Willensbekundung“ verlangt wird.1372

Die Freiwilligkeit der Einwilligung konkretisiert sich bislang durch das sog. Kopplungsverbot, wonach der Abschluss eines Vertrages nicht von einer Einwilligungserklärung abhängig gemacht werden darf, wenn für den Betroffenen ohne diese Einwilligung kein anderer Zugang zu gleichwertigen vertraglichen Leistungen möglich ist.1373 Der DS-GVO-E enthält dagegen kein ausdrückliches Kopplungsverbot, sondern in Art. 7 Nr. 4 eine Ungleichgewichtsreglung zwischen der Position des Betroffenen und des für die Verarbeitung Verantwortlichen mit der Maßgabe, dass eine Einwilligungserklärung dann keine wirksame Rechtsgrundlage für eine Datenverarbeitung darstellt, wenn sie durch eine Zwangslage herbeigeführt wurde.1374 Auch im Rahmen der Ungleichgewichtsregelung stellt sich die Frage, ob man ein erhebliches Ungleichgewicht im Verhältnis zwischen Nutzer und Anbieter einer Social Media Plattform wie Facebook annehmen kann, wenn dem Nutzer ohne Einwilligungserklärung der Zutritt versagt bliebe. Argumentiert wird, dass die Vorteile der Nutzung der Sozialen Medien verzichtbar seien, da weder ein persönliches noch wirtschaftliches Abhängigkeitsverhältnis zum Plattformbetreiber bestehe.1375 Dies lässt sich durch den Vergleich mit anderen Konstellationen begründen, wie beispielsweise das Verhältnis zwischen Arbeitgeber und Arbeitnehmer, das ausdrücklich in den Erwägungsgründen des DS-GVO-E genannt wird, demgegenüber bei Sozialen Medien nur ein Ausschluss des Nutzers von Freizeitbeschäftigungen verwehrt bliebe.1376

II.  Recht auf Datenportabilität nach dem DS-GVO-E

Im Laufe einer Mitgliedschaft bei einem Sozialen Netzwerk wie Facebook häuft der Nutzer eine Menge an Beiträgen, Nachrichten, Kontaktdaten, Fotos oder Videos an, die sich nur schwerlich manuell auf ein neues Telemedium übertragen lassen. Obwohl dem Nutzer eine andere Social Media Plattform attraktiver erscheint, ← 250 | 251 → möchte er meist diese gesammelten Daten nicht verlieren und verzichtet daher auf einen Wechsel. Das Recht auf Datenübertragbarkeit nach Art. 18 DS-GVO-E soll dem Nutzer diesen Wechsel nunmehr erleichtern, indem dem Betroffenen das Recht eingeräumt wird, eine Kopie seiner verarbeiteten Daten in einem „weiter verwendbaren strukturierten gängigen elektronischen Format“ zu verlangen, Art. 18 Nr. 1 DS-GVO-E.1377 Zwar bieten die meisten Sozialen Netzwerke bereits jetzt prinzipiell die Möglichkeit des Datenexports an, allerdings werden hierzu elektronische Formate verwendet, die zur Übertragung der Daten nicht geeignet sind.1378 Bei der Überführung der Daten zu einem anderen Anbieter einer Social Media Plattform darf der ursprüngliche Datenverarbeiter den Nutzer zudem nicht behindern, Art. 18 Nr. 2 DS-GVO-E.1379 Das Recht auf Datenportabilität soll dabei auch greifen, wenn der Nutzer das ursprüngliche Netzwerk nicht endgültig verlassen will, sondern lediglich ein weiteres Nutzerkonto bei einem anderen Sozialen Netzwerk anlegen möchte und daher seine Daten auf dieses Konto kopiert.1380 Dem Nutzer wird damit die Möglichkeit eröffnet, seine im Internet erstellte digitale Identität auf verschiedene Social Media Angebote zu übertragen. Durch das Recht auf Datenportabilität soll der Wettbewerb zwischen den Anbietern der Social Media Plattformen gestärkt und die Verbraucherrechte der Nutzer mehr geschützt werden.1381

III.  Das Recht auf Vergessenwerden nach dem DS-GVO-E

Höchst kontrovers diskutiert wird das sog. Recht auf Vergessenwerden bzw. Right to be Forgotten nach Art. 17 DS-GVO-E. Das Konzept stellt eine wesentliche Änderung und einen Schwerpunkt des Reformentwurfs dar.1382 Für die Kommission soll das „Recht auf Vergessenwerden“ nicht nur die Rechte der Betroffenen im Zusammenhang mit der Löschung ihrer Daten stärken, sondern einer Person die volle Kontrolle über ihre Daten zurückgeben.1383 Kern der Bestimmung ist, dass jedem Nutzer das Recht gewährt wird, eine über seine Daten verfügende andere Person oder Einrichtung verbindlich zu veranlassen, alle ihn betreffenden Daten zu löschen ← 251 | 252 → sowie deren weitere Verbreitung zu verhindern, vgl. Art. 17 Nr. 1 DS-GVO-E.1384 Als Voraussetzung muss entweder der verfolgte Zweck der Datenspeicherung nicht mehr notwendig sein, die Einwilligung der verfügungsberechtigten Person widerrufen bzw. der Zeitraum, für den die Einwilligung erfolgte überschritten sein, gegen die Verarbeitung der Daten Widerspruch eingelegt worden sein oder die Verwendung der Daten aus anderen Gründen gegen die Bestimmungen der Verordnung verstoßen.1385 Dies soll ausdrücklich auch die Fälle betreffen, bei der der Betroffene Daten im Kindesalter öffentlich gemacht hat, vgl. Art. 17 Nr. 1 DS-GVO-E.

Art. 17 Nr. 2 DS-GVO-E des Entwurfs geht noch wesentlich weiter: Der für die Datenverarbeitung Verantwortliche hat danach auch alle vertretbaren (auch technischen) Schritte zu unternehmen, um dritte Stellen darüber zu informieren, dass der Betroffene auch von ihnen die Löschung aller Querverweise, Kopien oder Replikation dieser personenbezogenen Daten verlangt. Die Regelung des Art. 17 Nr. 2 DS-GVO-E ist besonders umstritten, da die verantwortliche Stelle auf Verlangen des Betroffenen nicht nur die Daten aus dem eigenen System löschen muss, sondern auch bei Dritten dafür zu sorgen hat, dass es zu keiner weiteren Datenverarbeitung kommt.1386 Fraglich ist hier bereits die technische Umsetzung in der Praxis.1387 Die Besonderheiten bei Social Media Plattformen bestehen gerade darin, dass die verantwortliche Stelle mit der Veröffentlichung von Daten im Internet regelmäßig die Kontrolle über diese verliert.1388 Inwieweit die erweiterte Löschungspflicht einem Social Media Anbieter wie Facebook bei Austritt eines Nutzers aus dem Netzwerk bei gelikten oder gesharten Inhalten noch zumutbar ist, bedarf jedenfalls weiterer Konkretisierung.1389

Kritische Stimmen halten das Konzept für ein juristisches Instrument, die Balance zwischen Meinungsfreiheit und Datenschutz empfindlich zu stören.1390 Andere sehen dieses Recht als Element einer digitalen Persönlichkeit bzw. als „digitales Persönlichkeitsrecht“.1391 Die Kontroverse entflammte erneut bei der ← 252 | 253 → EuGH-Entscheidung „Google Spain and Google“: Am 13. Mai 2014 bejahte der EuGH in seiner Aufsehen erregenden Entscheidung das umstrittene „Recht auf Vergessenwerden“ und verpflichtete, unter Abweichung von den Schlussanträgen des EU-Generalanwalts, den Suchmaschinenbetreiber, bestimmte Suchtreffer mit dem Vor- und Zunamen einer Person aus der Ergebnisliste zu entfernen.1392 Dem Urteil zu Grunde lag das Verfahren des spanischen Bürgers Mario Costeja González, der sich gegen eine katalanische Zeitung sowie Google Spain und Google Inc. mit der Begründung wandte, ein bei Eingabe seines Namens in die Suchmaschine erscheinender Link zu einem Bericht über seine finanziellen Schwierigkeiten aus dem Jahr 1998 stelle einen Verstoß gegen datenschutzrechtliche Vorgaben dar. Mithin ein Sachverhalt, der aufgrund der enormen Datenbestände im Internet mittlerweile alltäglich sein dürfte.1393 Das Gericht entschied unter Auslegung der Datenschutzrichtlinie 95/46/EG die erforderliche Interessenabwägung zugunsten des Betroffenen, dessen Grundrechte auf Achtung des Privatlebens und das Recht auf Schutz der personenbezogenen Daten höher zu gewichten seien als die Meinungs- und Informationsfreiheit der Internetnutzer. Der EuGH stellte in seinem Urteil klar, dass ein Anspruch auf Nichtanzeige bestimmter Suchergebnisse auch dann besteht, wenn eine ursprünglich rechtmäßige Verarbeitung sachlich richtiger Daten erst im Laufe der Zeit im Hinblick auf die Anforderungen der Datenschutzrichtlinie unrechtmäßig wird.1394 Das Gericht begründete seine Entscheidung damit, dass durch den Suchmaschinenanbieter ausgeführte Verarbeitung persönlicher Daten die Grundrechte auf Privatsphäre und Datenschutz „erheblich beeinträchtigen“ könne, da Namenssuchen einen „strukturierten Überblick“ über Informationen zu dieser Person ermöglichen und außerdem die gesellschaftliche Funktion des Internets den Suchergebnissen Ubiquität verleihen würde.1395 Zwar betrifft die vorliegende EuGH-Entscheidung nur Suchmaschinen-Anbieter, allerdings ist es nur eine Frage der Zeit, wann das Konzept des „Rechts auf Vergessenwerden“, spätestens im Zuge der Reformdebatte auf EU-Ebene, auch auf weitere Internetdienste wie Social Media Plattformen ausgedehnt wird.

IV.  Fazit

Mit der Datenschutzgrundverordnung verfolgt die EU Kommission einen modernen, stabilen, kohärenten und umfassenden Datenschutz-Rechtsrahmen für die Europäische Union.1396 Das rechtliche Umfeld für Unternehmen soll dabei ← 253 | 254 → „wesentlich vereinfacht“ werden.1397 Welche praktischen Auswirkungen die geplante Datenschutzgrundverordnung tatsächlich auf Soziale Medien im Internet haben wird, kann noch nicht abschließend bewertet werden. Zahlreiche kritische Stellungnahmen und Änderungen an den Erwägungsgründen und Artikeln des DS-GVO-E führten zu einem Verhandlungsdokument, das am 12. März 2014 vom LIBE-Ausschuss des Parlaments1398 beschlossen wurde.1399 Im Juni 2015 einigten sich auch die EU-Justizminister auf einen Entwurf der EU-Datenschutzgrundverordnung.1400 Damit kann der Trilog beginnen, in dem die endgültige Fassung zwischen Ministerrat, Kommission und EU-Parlament abgestimmt wird.1401 Nach EU-Justizkommissarin Vera Jourova soll eine abschließende Einigung bereits Ende des Jahres erzielt werden.1402 Obwohl noch keine endgültige Fassung der Datenschutzgrundverordnung vorliegt und noch intensive Diskussionen und zahlreiche Änderungen zu erwarten sind, lassen sich einige Grundgedanken bereits klar erkennen.

Begrüßenswert sind die klaren Regelungen zur territorialen Anwendbarkeit der Datenschutzgrundverordnung und die damit einhergehende Rechtssicherheit auch für ausländische Unternehmen. Ausdrücklich geregelt sind nun auch der Datenschutz durch Technik sowie datenschutzrechtliche Voreinstellungen, „Privacy by Design“ bzw. „Privacy by Default“.1403 Art. 23 Nr. 1 DS-GVO-E bestimmt, dass durch den für die Verarbeitung Verantwortlichen technische und organisatorische Maßnahmen und Verfahren unter Berücksichtigung des Stands der Technik und der Implementierungskosten zur Sicherung der Einhaltung der Verordnung und zur Wahrung der Rechte der Betroffenen durchzuführen sind. Gem. Art. 23 Nr. 2 DS-GVO-E soll sichergestellt werden, dass Soziale Netzwerke im Internet über ← 254 | 255 → datenschutzfreundliche Voreinstellungen zunächst nur für spezifische Zwecke der Datenverarbeitung erforderliche Daten erheben und verarbeiten und darüber hinaus nicht länger als unbedingt erforderlich gespeichert werden. Konkrete Anforderung an Technikgestaltung und Grundprinzipien des technischen Datenschutzes enthält die Norm jedoch nicht. Kritisiert wird, dass Art. 23 DS-GVO-E nicht mehr als ein bloßer Programmsatz sei.1404

Regelungsinstrumente wie das Recht auf Datenportabilität klingen vielversprechend und können den Schutz der personenbezogenen Daten der Internetnutzer stärken, wobei deren Praxistauglichkeit allerdings noch auf dem Prüfstand steht. Inwieweit sich das Recht auf Datenportabilität durch technische Umsetzung realisieren lässt, bleibt abzuwarten. Zumindest bei Anbietern mit ähnlichen Services und Aufbau, wie beispielsweise den rein beruflichen Netzwerken Xing und LinkedIn, erscheint eine technische Umsetzung jedoch möglich.

Ambivalent ist dagegen das geplante Recht auf Vergessenwerden und das Google-Urteil des EuGH zu den Löschungsverpflichtungen des Suchmaschinenanbieters zu betrachten. Die Möglichkeiten der automatisierten Archivierung im Internet führen zu neuen Formen der Recherche. Bei Sozialen Netzwerken wird häufig die dauerhafte Speicherung selbst nach Löschen des Accounts beklagt.1405 Grundsätzlich ist also zu befürworten, dass dem Einzelnen das Recht gegeben wird, bewusst oder unbewusst hinterlassene Datenspuren aus dem Internet entfernen zu können. Die individuelle Definition von Privat- und Intimsphäre kann sich im Laufe eines Lebens ändern, mit der Folge, dass beispielsweise im Jugendalter unbedacht veröffentlichte Informationen nun das Ansehen des Betroffenen erheblich beeinträchtigen können. Die Löschungsmöglichkeiten können dem Nutzer einen gewissen Grad an Einfluss und Bestimmbarkeit über den Umgang mit seinen Daten zurückgeben und damit die Rechte der Nutzer im Internetzeitalter maßgeblich stärken. Wie in einer ubiquitär und global vernetzten Welt die Datenherrschaft des Einzelnen tatsächlich zu realisieren ist, bleibt allerdings fraglich.1406 Eine absolute Verfügungsgewalt des Einzelnen über seine Daten kann es in einer digitalen Welt nicht geben, noch gibt es ein Recht, seine Identität oder das Bild von sich selbst ständig neu zu definieren.1407 Kritisch zu betrachten ist ferner, wie das vom EuGH geforderte Abwägungs- erfordernis der widerstreitenden Rechte und Interessen von den Suchmaschinenbetreibern, bzw. bald auch Social Media Anbietern, geleistet werden soll und kann. Einzelfallentscheidungen sind bei Internetsachverhalten kaum möglich, erfordert dies doch die Kenntnis des Anbieters über die Rechtmäßigkeit der im Internet veröffentlichten Informationen bzw. Anhaltspunkte darüber, ob eine zunächst rechtmäßige Veröffentlichung zwischenzeitlich unrechtmäßig geworden ist.1408 Parallelen ← 255 | 256 → bestehen hier zur Diskussion um die Haftung der Host Provider für rechtswidrige Inhalte. Für Meinungsäußerungen existiert wie erörtert bereits eine Grenze zur Schmähkritik, unabhängig von der Frage, ob personenbezogene Daten involviert sind oder nicht. Es stellt sich die Frage, ob die Interessenabwägung im Rahmen der Meinungsäußerung nicht durch die datenschutzrechtliche Interessenabwägung untergraben würde, wenn sich der Betroffene nur gegen die Datenverarbeitung wendet.1409

Die Meinungsvielfalt und Informationsfreiheit im Internet sieht sich aber vor allem dann bedroht, wenn Löschanträge von der verantwortlichen Stelle im Zweifel „durchgewunken“ werden.1410 Dies ist insbesondere im Hinblick auf die klare Linie der EU zu den geplanten Sanktionen zu befürchten: Nach Art. 79 Nr. 6 DS-GVO-E können künftig Höchststrafen von einer Million bzw. zwei Prozent des weltweiten Jahresumsatzes eines Unternehmens verhängt werden, je nachdem, welcher Betrag höher ausfällt. Der LIBE-Entwurf schlägt demgegenüber sogar Höchststrafen von 100 Millionen bzw. fünf Prozent des weltweiten Jahresumsatzes eines Unternehmens vor, vgl. Art. 79 Nr. 2a c) des LIBE-Entwurfs.1411 Auch in den Fällen marktstarker Unternehmen wie Google oder Facebook können diese möglichen Sanktionen nun einen erheblichen Abschreckungseffekt erzielen.1412 Als Folge dürfte zwar der Schutz der Nutzerdaten im Internet eine zunehmende Rolle spielen, allerdings darf dies nicht zu einem Ungleichgewicht zwischen dem Persönlichkeitsrecht des Betroffenen und der Kommunikations- bzw. Meinungsfreiheit der Internetnutzer führen.

V.  Anmerkung

Nach vierjähriger Verhandlung haben sich der Rat, das Europäische Parlament und die Europäische Kommission am 15. Dezember 2015 über den Inhalt der EU-Datenschutzgrundverordnung geeinigt. Am 25. Mai 2016 trat die „Verordnung (EU) ← 256 | 257 → 2016/679 des europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)“ in Kraft.1413 Nach einer zweijährigen Umsetzungsfrist wird die Verordnung am 25. Mai 2018 Geltung erlangen und die Datenschutzrichtlinie 95/46/EG ersetzen. Die Verordnung gestattet durch zahlreiche „Öffnungsklauseln“ weiterhin Spielraum für nationale Regelungen der Mitgliedsstaaten, die neben der DS-GVO relavant sein werden. ← 257 | 258 →


1087 Fritz, S. 64; Weigl, S. 23; Rohrlich, S. 83. Siehe hierzu auch Süddeutsche Zeitung vom 18.12.2014: „Daten für Milliarden“, abrufbar unter http://www.sueddeutsche.de/digtal/geschaeftsmodelle-von-google-und-facebook-daten-fuer-milliarden-1.2270247 (zuletzt aufgerufen am 20.07.2015).

1088 Moos-Baumgartner, Teil 3 III, Rn. 8.

1089 Algorithmen sind komplexe Formeln die Wahrscheinlichkeitsberechnungen vornehmen. Siehe hierzu Härting, CR 2014, 528, (529); Kurz/Rieger, S. 58.

1090 Ausführlich zum Behavioural Advertising Zeidler/Brüggemann, CR 2014, 248 ff.; Arning/Moos, ZD 2014, 126; Himmels, S. 40; Plath-Hullen/Roggenkamp, TMG, § 15, Rn. 18, 29; Steinhoff, KuR 2014, 86; Spindler, GRUR-Beil. 2014, 101(105).

1091 Himmels, S. 1. Zur Werbung in Sozialen Netzwerken siehe auch Lichtnecker, GRUR 2013, 135 f.; Arning/Moos, ZD 2014, 126.

1092 Fritz, S. 64; Arning/Moos, ZD 2014, 126 f.; Artikel 29-Datenschutzgruppe, Stellungnahme 5/2009 zur Nutzung Sozialer Online-Netzwerke vom 12.06.2009, S. 5. (abrufbar unter http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2009/wp163_de.pdf (zuletzt aufgerufen am 20.07.2015). Zur Artikel-29-Datenschutzgruppe sei auf die Ausführungen in Fn. 1134 verwiesen.

1093 Dittler/Hoyer, S. 15.

1094 Zur Verknüpfung von Daten bei Google siehe Voigt, MMR 2009, 377, (380).

1095 Hierzu Härting, CR 2014, 528, (531 f.).

1096 Härting, Internetrecht, Annex: Datenschutz im 21. Jahrhundert, Rn. 38 ff.; Plath-Hullen/Roggenkamp, TMG, § 15, Rn. 20.

1097 Lepperhoff/Petersdorf/Thursch, DuD 2013, 301, (306).

1098 So ursprünglich das BVerfG zur Vorratsdatenspeicherung mit Urteil vom 02.03.2010, Az. 1 BvR 256/08. Zur „diffusen Bedrohlichkeit“ bei Social Media Anbietern Härting, Internetrecht, Annex: Datenschutz im 21. Jahrhundert, Rn. 42; Ders., CR 2014, 528, (532); Zeidler/Brüggemann, CR 2014, 248.

1099 So bspw. Artikel-29-Datenschutzgruppe, Stellungnahme 5/2009 zur Nutzung Sozialer Online-Netzwerke, a.A.o., S. 3; Präsidiumsarbeitskreis „Datenschutz und IT-Sicherheit“ der Gesellschaft für Informatik (GI) warnt vor der Nutzung datenschutzfeindlicher Sozialer Netzwerke wie Facebook, in: DuD 2013, 193.

1100 Der Gründer von Facebook Marc Zuckerberg propagiert immer wieder ein Weniger an Privatsphäre und ein Mehr an „Sharing-Philosophie“. Siehe hierzu The Guardian am 11.01.2010: “Privacy no longer a social norm, says Facebook founder”, abrufbar unter http://www.theguardian.com/technology/2010/jan/11/facebook-privacy (zuletzt aufgerufen am 25.07.2015). Siehe hierzu Weichert, DuD 2012, 716, (718); Zur „Post-Privacy Ära“ siehe Luch/Schulz/Kuhlmann, EuR 2014, 698, (715); Schertz, NJW 2013, 721.

1101 Bull, S. 18 f. Zur Manipulation durch Internetunternehmen siehe Spiegel Online vom 30.06.2014, „Manipulierte Seiten: Facebook rechtfertigt Psycho-Experiment, abrufbar unter http://www.spiegel.de/netzwelt/web/facebook-rechtfertigt-psycho-experiment-auf-neuigkeitenseiten-a-978253.html (zuletzt aufgerufen am 20.07.2015).

1102 Härting, Internetrecht, Annex: Datenschutz im 21. Jahrhundert, Rn. 42; Ders., CR 2014, 528, (529).

1103 Siehe hierzu die Ausführungen in Kapitel A.

1104 Gesetz und Verordnungsblatt für das Land Hessen, Teil I, S. 625 ff.

1105 Siehe hierzu Taeger/Gabel-Taeger/Schmidt, BDSG, Einf., Rn. 5.

1106 In Deutschland sind die Datenschutzbeauftragten der Bundesländer und ihre Behörden für die Einhaltung des Datenschutzes zuständig und legen als Daten-schützer die Gesetze oft strenger aus als die Gerichte. Ihre Meinung ist jedoch nur eine Interpretation des Gesetzes und muss nicht unbedingt allgemeingültig sein. Siehe hierzu Schwenke, S. 375; Köhler/Arndt/Fetzer, Rn. 954.

1107 „Volkszählungsurteil“ des BVerfG vom 15.12.1983, Az. 1 BvR 209/83, in NJW 1984, 419 ff.; siehe hierzu auch Taeger/Gabel-Taeger/Schmidt, BDSG, Einf., Rn. 5; Kodde, ZD 2013, 115; Hoeren/Bensinger-Piltz/Trinkl, Kap. 13, Rn. 127.

1108 BVerfG vom 15.12.1983, Az. 1 BvR 209/83, in NJW 1984, 419 ff.; hierzu Solmecke/Wahlers, Recht im Social Web, S. 267.

1109 Taeger/Gabel-Taeger/Schmidt, BDSG, Einf., Rn. 33.

1110 Zum Begriff der personenbezogenen Daten siehe sogleich die Ausführungen in Kapitel C.

1111 Gola/Schomerus, BDSG, § 1, Rn. 16; Taeger/Gabel-Schmidt, BDSG, § 1, Rn. 16; Brennscheidt, S. 47; Simitis-Simitis, BDSG, § 1, Rn. 107 ff.

1112 Richtlinie des Europäischen Parlaments und des Rates vom 24.10.1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr, ABl. EG vom 23.11.1995, Nr. L 281/31.

1113 Taeger/Gabel-Taeger/Schmidt, BDSG, Einf., Rn. 54; Albrecht, ZD 2013, 587.

1114 Gesetz zur Änderung des Bundesdatenschutzgesetzes vom 19.07.2009, BGBl. I, Nr. 48, 2254. Siehe hierzu auch Taeger/Gabel-Taeger/Schmidt, BDSG, Einf., Rn. 11.

1115 Das TMG ist eine teilweise modernisierte Kombination aus dem früheren Teledienstegesetz (TDG) und dem Teledienstedatenschutzgesetz (TDDSG). Die wesentlichen Regelungen des TDDSG, das lange Zeit als Grundlage für die Entwicklungen des kommerziellen Internets galt, wurden im Jahr 2007 in das TMG übernommen. Siehe hierzu Plath-Hullen/Roggenkamp, TMG, Einl., Rn. 4.

1116 Telemedien sind nach § 1 Abs. 1 Satz 1 TMG „alle elektronischen Informations- und Kommunikationsdienste, soweit sie nicht Telekommunikationsgesetze nach § 3 Nr. 24 des Telekommunikationsgesetzes, die ganz in der Übertragung von Signalen über Telekommunikationsnetze bestehen, telekommunikationsgeschützte Dienste nach § 3 Nr. 25 des Telekommunikationsgesetzes oder Rundfunk nach § 2 des Rundfunkstaatsvertrages sind“. Zur Abgrenzung von Telekommunikation, Telemedien und Rundfunk siehe Köhler/Arndt/Fetzer, Rn. 898 ff.; Spindler/Schuster-Holznagel/Ricke, TMG, § 1, Rn. 9; Hoeren/ Sieber/Holznagel-Schmitz, Multimediarecht, Teil 16.2, Rn. 31 ff.

1117 Plath-Hullen/Roggenkamp, TMG, § 11, Rn. 6; Köhler/Arndt/Fetzer, Rn. 902.

1118 Plath-Hullen/Roggenkamp, TMG, § 11, Rn. 6; Taeger/Gabel-Taeger/Schmidt, TMG, Einf., Rn. 5; Moos-Krieg, Teil 7 II, Rn. 8.

1119 Taeger/Gabel-Schmidt, BDSG, § 1, Rn. 21.

1120 Brennscheidt, S. 61, 182; Hoeren/Bensinger-Piltz/Trinkl, Kap. 13, Rn. 129; Taeger/Gabel-Buchner, BDSG, § 3, Rn. 52.

1121 Konferenz der Datenschutzbeauftragten des Bundes und der Länder, Orientierungshilfe „Soziale Netzwerke“ vom 13./14.03.2013, S. 10, abrufbar unter http://www.baden-wuerttemberg.datenschutz.de/konferenzentschliesungen-2013-soziale-netzwerke-brauchen-leitplanken/ (zuletzt aufgerufen am 20.07.2015); Artikel-29-Datenschutzgruppe, Stellungnahme 5/2009 zur Nutzung sozialer Online-Netzwerke, a.A.o., S. 6; Plath-Plath, BDSG, § 29, Rn. 13; Hoeren/Bensinger-Piltz/Trinkl, Kap. 13, Rn. 131.

1122 Konferenz der Datenschutzbeauftragten des Bundes und der Länder, Orientierungshilfe „Soziale Netzwerke“, a.A.o., S. 4.

1123 Die vorliegende Untersuchung ist auf die Zulässigkeit der Verwendung von Nutzerdaten durch die Anbieter Sozialer Medien beschränkt. Zur datenschutz-rechtlichen Bewertung des Datenumgangs durch die Nutzer siehe vertiefend Jandt/Roßnagel, ZD 2011, 160 f.; Konferenz der Datenschutzbeauftragten des Bundes und der Länder, Orientierungshilfe „Soziale Netzwerke“, a.A.o., S. 12; hierzu auch Hoeren/Bensinger-Piltz/Trinkl, Kap. 13, Rn. 137.

1124 Konferenz der Datenschutzbeauftragten des Bundes und der Länder, Orientierungshilfe „Soziale Netzwerke“, a.A.o., S. 12.

1125 Siehe hierzu Jandt/Roßnagel, ZD 2011, 160, (162).

1126 Konferenz der Datenschutzbeauftragten des Bundes und der Länder, Orientierungshilfe „Soziale Netzwerke“, a.A.o., S. 12; Artikel-29-Datenschutzgruppe, Stellungnahme 5/2009 zur Nutzung sozialer Online-Netzwerke, a.A.o., S. 6; Jandt/Roßnagel, ZD 2011, 160, (162).

1127 Der Diensteanbieter muss dabei keinen eigenen Server betreiben; die technische Umsetzung des Angebots ist unerheblich.

1128 Splittgerber-Splittgerber, Kap. 3, Rn. 40; Himmels, S. 22; Taeger/Gabel-Moos, TMG, Einf., Rn. 5; Moos-Krieg, Teil 7 II, Rn. 8.

1129 LG Aschaffenburg, Urteil vom 19.08.2011, Az. 2 HK O 54/11, in: BeckRS 2011, 24110; Plath-Hullen/Roggenkamp, TMG, § 11, Rn. 7; Taeger/Gabel-Moos, TMG, Einf., Rn. 5.

1130 Plath-Hullen/Roggenkamp, TMG, § 11, Rn. 13; Gola/ Schomerus, BDSG, § 3, Rn. 3; Kühling/Seidel/Sivridis, S. 79; Himmels, S. 24.

1131 Hilgendorf/Valerius, Computer- und Internetstrafrecht, Rn. 738; Taeger/Gabel-Buchner, BDSG, § 3, Rn. 11.

1132 Taeger/Gabel-Buchner, BDSG, § 3, Rn. 11; Simitis-Dammann, BDSG, § 3, Rn. 20 ff.

1133 Kühling/Seidel/Sivridis, S. 79; Taeger/Gabel-Buchner, BDSG, § 3, Rn. 3.

1134 Plath-Hullen/Roggenkamp, TMG, § 12, Rn. 5; Schwenke, S. 378; Hilgendorf/ Valerius, Computer- und Internetstrafrecht, Rn. 738.

1135 Der Grad der Sensibilität ist lediglich insofern von Bedeutung als besondere personenbezogene Daten i.S.d. § 3 Abs. 9 BDSG, sog. sensitive bzw. sensible Daten, wie bspw. Angaben über die rassische oder ethnische Herkunft, politische Meinungen, religiöse Überzeugung, Gesundheit oder Sexualleben, grundsätzlich nur mit Einwilligung des Betroffenen verarbeitet werden dürfen, vgl. § 28 Abs. 6 ff. BDSG. Taeger/Gabel-Buchner, BDSG, § 3, Rn. 4. Vertiefend Splittgerber-Splittgerber, Kap. 3, Rn. 82 ff.; Rohrlich, S. 84; Simitis-Simitis, BDSG, § 3, Rn. 250 ff.

1136 Eine Ausnahme stellen nur vollständig verpixelte Aufnahmen dar. Siehe hierzu auch Splittgerber-Splittgerber, Kap. 3, Rn. 33 f.; Rohrlich, S. 84.

1137 Siehe hierzu Splittgerber-Splittgerber, Kap. 3, Rn. 33. Personenbezogene Daten sind nicht nur objektive, zutreffende oder bewiesene Informationen über eine Person, sondern auch Werturteile, vgl. Taeger/Gabel-Buchner, BDSG, § 3, Rn. 5.

1138 „IP“ steht für Internetprotokoll.

1139 Taeger/Gabel-Buchner, BDSG, § 3, Rn. 17. Zur Funktionsweise Schwenke, S. 378.

1140 Taeger/Gabel-Buchner, BDSG, § 3, Rn. 17; Simitis-Dammann, BDSG, § 3, Rn. 63; Moos-Jansen, Teil 7 I, Rn. 16; VG Wiesbaden, Beschluss vom 27.02.2009, Az. 6 K 1045/08, in: BeckRS 2009, 31788. Zur Unterscheidung zwischen dynamischer und statischer IP-Adresse ausführlich Venzke, ZD 2011, 114, (115).

1141 Zum Streitstand siehe vertiefend Specht/Müller-Riemenschneider, ZD 2014, 71 ff.; Schwenke, S. 379 f.; Taeger/Gabel-Buchner, BDSG, § 3, Rn. 17; Himmels, S. 25 ff.; Moos-Jansen, Teil 7 I, Rn. 16; Venzke, ZD 2011, 114, (115); Scheider/Härting, ZD 2011, 63, (65), Brink/Eckhardt, ZD 2015, 1 ff.; Härting, AnwBl. 2011, 246, (247); Selk, AnwBl. 2011, 244.

1142 Die sog. Artikel-29-Datenschutzgruppe wurde als unabhängige Beratungsgremium der Europäischen Union in Fragen des Datenschutzes durch Artikel 29 der Datenschutzrichtlinie 95/46/EG eingesetzt. Ihre amtliche Bezeichnung lautet „Gruppe für den Schutz von Personen bei der Verarbeitung personenbezogener Daten“. Siehe hierzu http://ec.europa.eu/justice/data-protection/article-29/index_de.htm (zuletzt aufgerufen am 23.06.2015).

1143 Der sog. Düsseldorfer Kreis dient seit 2013 als Gremium in der Konferenz der Datenschutzbeauftragten des Bundes und der Länder der Kommunikation, Kooperation und Koordinierung der Aufsichtsbehörden im nicht-öffentlichen Bereich. Siehe hierzu http://www.bfdi.bund.de/SharedDocs/Publikationen/Entschliessungssammlung/Functions/DKreis.html?cms_templateQueryString=d%C3%BCsseldorfer+kreis&cms_sortOrder=score+desc (zuletzt aufgerufen am 23.06.2015).

1144 Artikel 29-Datenschutzgruppe, Stellungnahme 1/2008 zu Datenschutzfragen im Zusammenhang mit Suchmaschinen vom 04.04.2008, S. 9, abrufbar unter http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2008/wp148_de.pdf (zuletzt aufgerufen am 20.07.2015); wohl auch Düsseldorfer Kreis, Orientierungsansätze zu den Datenschutzanforderung an App-Entwickler und App-Anbieter vom 16.06.2014, S. 5, abrufbar unter http://www.lda.bayern.de/lda/datenschutzaufsicht/lda_daten/Orientierungshilfe_Apps_2014.pdf (zuletzt aufgerufen am 30.06.2015). Für den Personenbezug einer (dynamischen) IP-Adresse auch EuGH, Urteil vom 24.11.2011, Az. C -70/10, in: GRUR 2012, 265, (268); AG Berlin-Mitte, Urteil vom 27.03.2007, Az. 5 C 314/06, in: BeckRS 2007, 18728; VG Wiesbaden, Beschluss vom 27.02.2009, Az. 6 K 1045/08, in BeckRS 2009, 3178; Venzke, ZD 2011, 114, (117); Splittgerber-Splittgerber, Kap. 3, Rn. 33; Köhler/Arndt/Fetzer, Rn. 907.

1145 Zum Theorienstreit Specht/Müller-Riemenschneider, ZD 2014, 71 ff.; Venzke, ZD 2011, 114, (115); Stiemerling/Lachenmann, ZD 2014, 133, (134); Brink/ Eckhardt, ZD 2015, 1 ff.; Voigt, MMR 2009, 377, (378); Moos-Krieg, Teil 7 II, Rn. 54 f.

1146 Härting, AnwBl. 2011, 246, (247); Selk, AnwBl. 2011, 244; Voigt, MMR 2009, 377, (379).

1147 So auch LG Berlin, Urteil vom 31.01.2013, Az. 57 S 87/08, in: ZD 2013, 618 ff.; Taeger/Gabel-Buchner, BDSG, § 3, Rn. 13; Simitis-Dammann, BDSG, § 3, Rn. 33; Gola/Schomerus, BDSG, § 3, Rn. 10; Voigt, MMR 2009, 377, (379).

1148 Mitteilung der Pressestelle des BGH Nr. 152/2014, abrufbar unter http://juris.bundesgerichtshof.de/cgi-bin/rechtsprechung/document.py?Gericht=bgh&Art=pm&pm_nummer=0152/14 (zuletzt aufgerufen am 04.01.2015).

1149 Siehe hierzu Taeger/Gabel-Buchner, BDSG, § 3, Rn. 17; Voigt, MMR 2009, 377, (379); Hoeren/Bensinger-Piltz/Trinkl, Kap. 13, Rn. 155; Härting, CR 2014, 528, (533); Voigt/Alich, NJW 2011, 3541; Katko/Babaei-Beigi, MMR 2014, 360, (361).

1150 Schwenke, S. 378; Köhler/Arndt/Fetzer, Rn. 907; Simitis-Dammann, BDSG, § 3, Rn. 196 ff. Kühling/Seidel/Sivridis, S. 86; Härting, Internetrecht, Rn. 212, Moos-Jansen, Teil 7 I, Rn. 17.

1151 Taeger/Gabel-Buchner, BDSG, § 3, Rn. 44.

1152 Splittgerber-Splittgerber, Kap. 3, Rn. 31.

1153 § 1 Abs. 5 BDSG basiert auf § 4 der europäischen Datenschutzrichtlinie und ist in diesem Lichte auszulegen. Siehe 18. Erwägungsgrund RL 95/46/EG; VG Schleswig, ZD 2013, 245, (246); Splittgerber-Splittgerber, Kap. 3, Rn. 8; Karg, ZD 2013, 371, (372); Beyvers/Herbrich, ZD 2014, 558.

1154 Abkommen über den Europäischen Wirtschaftsraum (EWR).

1155 Plath-Hullen/Roggenkamp, TMG, § 11, Rn. 20; Taeger/Gabel-Moos, TMG, Einf., Rn. 10.

1156 Nach § 3 Abs. 3 Nr. 4 TMG bleiben die Vorgaben des allgemeinen Datenschutzrechts unberührt. Siehe hierzu Taeger/Gabel-Moos, TMG, Einf., Rn. 11; Dietrich/Ziegelmayer, CR 2013, 104 (105); Karg, ZD 2013, 271, (273); Kremer, CR 2012, 438, (440).

1157 Siehe hierzu Plath-Hullen/Roggenkamp, TMG, § 11, Rn. 20; Karg, ZD 2013, 371, (372); Splittgerber-Splittgerber, Kap. 3, Rn. 17; Taeger/Gabel-Moos, TMG, Einf., Rn. 11; Voigt, DSRITB 2013, 157, (163); Rittweger/Dechamps, WDPR 2013, S. 3.

1158 Taeger/Gabel-Moos, TMG, Einf., Rn. 16; Dietrich/Ziegelmayer, CR 2013, 104 (105); Rittweger/Dechamps, WDPR 2013, S. 3.; Lejeune, CR 2013, 822.

1159 Taeger/Gabel-Moos, TMG, Einf., Rn. 12; Karg, ZD 2013, 371, (372); Kremer, CR 2012, 438, (439).

1160 Taeger/Gabel-Gabel, BDSG, § 1, Rn. 54; Simitis-Dammann, BDSG, § 1, Rn. 199; Gola/Schomerus, BDSG, § 1, Rn. 27; Brennscheidt, S. 182 f.; Hoeren/ Bensinger-Piltz/Trinkl, Kap. 13, Rn. 154; Ziebarth, ZD 2014, 394; Beyvers/Herbrich, ZD 2014, 558, (561).

1161 Diese Regelung folgt aus Art. 4 Abs. 1a) der Datenschutzrichtlinie; Brennscheidt, S. 183; Schwenke, S. 376; Splittgerber-Splittgerber, Kap. 3, Rn. 9; Rittweger/Dechamps, WDPR 2013, S. 2; Taeger/Gabel-Moos, TMG, Einf., Rn. 13; Hoeren/Bensinger-Piltz/Trinkl, Kap. 13, Rn. 155. Zu den Begriffen der Erhebung, Verarbeitung und Nutzung von Daten siehe sogleich die Ausführungen in Kapitel E II 3.

1162 Teilweise wird die Niederlassungseigenschaft eines Unternehmens verneint, wenn lediglich ein Server in Deutschland betrieben wird. So Artikel-29-Datenschutzgruppe, WP 56, S. 9; Taeger/Gabel-Moos, TMG, Einf., Rn. 13 f. Zum Meinungsstand siehe Brennscheidt, S. 184 ff.

1163 Brennscheidt, S. 183.

1164 Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein (ULD), Datenschutzrechtliche Bewertung der Reichweitenanalyse durch Facebook vom 19.08.2011, S. 19, abrufbar unter http://www.datenschutzzentrum.de/facebook/facebook-ap-20110819.pdf (zuletzt aufgerufen am 28.10.2015). Das ULD ist eine Dienststelle des Landes Schleswig-Holstein und nimmt staatliche Kontroll- und Beratungsfunktionen im Bereich des Datenschutzes sowie der Informationsfreiheit wahr. Siehe hierzu http://www.datenschutzzentrum.de/ldsh/index.htm (zuletzt aufgerufen am 23.06.2015). Plath-Hullen/Roggenkamp, TMG, § 11, Rn. 23; Taeger/Gabel-Moos, TMG, Einf., Rn. 15; Gola/Schomerus, BDSG, § 1, Rn. 28; Brennscheidt, S. 183; Karg, ZD 2013, 371, (372); Hoeren/Bensinger-Piltz/Trinkl, Kap. 13, Rn. 153; Ziebarth, ZD 2014, 394, (395). So auch EuGH, Urteil vom 13.05.2014, Az. C 131/12, in: ZD 2014, 350.

1165 Brennscheidt, S. 184; Splittgerber-Splittgerber, Kap. 3, Rn. 16.

1166 Taeger/Gabel-Moos, TMG, Einf., Rn. 15, BDSG, § 1, Rn. 58; Karg, ZD 2013, 371, (373); Ziebarth, ZD 2014, 394, (396). Zum Meinungsstand siehe Voigt, DSRITB 2013, 157, (163 f.).

1167 Ausführlich hierzu Ziebarth, ZD 2014, 394, (395 f.); Splittgerber-Splittgerber, Kap. 3, Rn. 13, 19; Simitis-Dammann, BDSG, § 1, Rn. 220; Taeger/Gabel-Moos, TMG, Einf., Rn. 15; Kremer, CR 2012, 438, (439); Brennscheidt, S. 184; Voigt, DSRITB 2013, 157, (163); Rittweger/Dechamps, WDPR 2013, S. 2. Zu den Anforderungen an eine Niederlassung siehe Karg, ZD 2013, 371, (373 f.); Dietrich/Ziegelmayer, CR 2013, 104 (105); Ernst, NJOZ 2010, 1917, (1918). Zu den Begriffen und Funktionsweisen von Cookies und Social Plugins siehe die Ausführungen in Kapitel E I.

1168 Karg, ZD 2013, 371, (374); Dietrich/Ziegelmayer, CR 2013, 104 (105 f.); Ziebarth, ZD 2014, 394 ff.

1169 Hierzu Karg, ZD 2013, 371.

1170 http://de-de.facebook.com/about/privacy (zuletzt aufgerufen am 28.10.2015). Hierzu auch Dietrich/Ziegelmayer, CR 2013, 104 (105); Splittgerber-Splittgerber, Kap. 3, Rn. 19; Weichert, DuD 2012, 716 (719); Lejeune, CR 2013, 822 (823).

1171 http://de-de.facebook.com/legal/terms (zuletzt aufgerufen am 28.10.2015).

1172 Siehe hierzu Dietrich/Ziegelmayer, CR 2013, 104 (106); Splittgerber-Splittgerber, Kap. 3, Rn. 19; Ziebarth, ZD 2014, 394, (395); Beyvers/Herbrich, ZD 2014, 558, (560).

1173 So jedenfalls OVG Schleswig, Beschluss vom 22.04.2013, Az. 4 MB 11/13, in: ZD 2013, 364 ff. Siehe hierzu Rittweger/Dechamps, WDPR 2013, S. 1 ff.; Karg, ZD 2013, 371, (372); Hoeren/Bensinger-Piltz/Trinkl, Kap. 13, Rn. 158; Beyvers/ Herbrich, ZD 2014, 558.

1174 Zur Auslegung des Niederlassungsbegriffs für Suchmaschinen EuGH, des Urteil vom 13.05.2014, Az. C 131/12, in: ZD 2014, 350 ff. Ausführlich Luch/Schulz/ Kuhlmann, EuR 2014, 698, (700). Kritisch hierzu Beyvers/Herbrich, ZD 2014, 558, (561 f.)

1175 Ulbricht, S. 126; Rittweger/Dechamps, WDPR 2013, S. 4; Lejeune, CR 2013, 822 (823).

1176 Siehe hierzu Rittweger/Dechamps, WDPR 2013, S. 4; Karg, ZD 2013, 371, (373); Beyvers/Herbrich, ZD 2014, 558, (561); Albrecht, ZD 2013, 587, (589).

1177 Dietrich/Ziegelmayer, CR 2013, 104 (105); Rittweger/Dechamps, WDPR 2013, S. 4; Lejeune, CR 2013, 822 (823).

1178 ULD, Datenschutzrechtliche Bewertung der Reichweitenanalyse durch Facebook, a.A.o., S. 19 f. Hierzu auch Karg, ZD 2013, 371, (373); Kremer, CR 2012, 438, (440); Ziebarth, ZD 2014, 394 ff.; Beyvers/Herbrich, ZD 2014, 558, (562).

1179 Plath-Plath, BDSG, § 28, Rn. 56, 101; Himmels, S. 40 f.; Splittgerber-Splittgerber, Kap. 3, Rn. 199; hierzu auch Rohrlich, S. 92.

1180 Die unbemerkte Überwachung erfolgt bspw. über IP-Adresse, Cookies, Webbugs und Spyware. Siehe hierzu Zeidler/Brüggemann, CR 2014, 251 f.; Rohrlich, S. 91; Spindler, GRUR-Beil. 2014, 101(105). Das bekannteste und wohl auch am meisten genutzte Analysetool ist Google Analytics, das kostenlos für jedermann nutzbar einen großen Funktionsumfang bietet. Siehe hierzu http://www.google.com/intl/de_de/analytics/ (zuletzt aufgerufen am 28.06.2015).

1181 Splittgerber-Splittgerber, Kap. 3, Rn. 185.

1182 Social Plugins werden durch kurze Fragmente von HTML- oder JavaScript-Anweisungen in die fremde Website eingebunden. Vgl. ULD, Datenschutzrechtliche Bewertung der Reichweitenanalyse durch Facebook, a.A.o., S. 7. Siehe hierzu auch Solmecke/Wahlers, Recht im Social Web, S. 282; Ulbricht, S. 127 f.

1183 Splittgerber-Splittgerber, Kap. 3, Rn. 187; Voigt/Alich, NJW 2011, 3541; Ernst, NJOZ 2010, 1917.

1184 Vgl. ULD, Datenschutzrechtliche Bewertung der Reichweitenanalyse durch Facebook, a.A.o. S. 8. So auch Solmecke/Wahlers, Recht im Social Web, S. 285; Splittgerber-Splittgerber, Kap. 3, Rn. 188; Rosenbaum/Tölle, MMR 2013, 209, (211).

1185 Rohrlich, S. 92; Ernst, NJOZ 2010, 1917.

1186 Siehe hierzu Solmecke/Wahlers, Recht im Social Web, S. 285; Ernst, NJOZ 2010, 1917.

1187 Welche Daten das Unternehmen genau erhebt und wie es diese Daten nutzt ist grundsätzlich Geschäftsgeheimnis der Social Media Plattform. Siehe aber die Einschätzung des ULD, Datenschutzrechtliche Bewertung der Reichweitenanalyse durch Facebook, a.A.o., S. 5, und die Bewertung der Stiftung Warentest vom 06.10.2011, „Soziale Netzwerke und Datenschutz: Was Facebook alles erfährt“, abrufbar unter http://www.test.de/Soziale-Netzwerke-und-Datenschutz-Was-Facebook-alles-erfaehrt-4271957-0/ (zuletzt aufgerufen am 28.10.2015). Hierzu auch Splittgerber-Splittgerber, Kap. 3, Rn. 189; Piltz, CR 2011, 657, (658); Ernst, NJOZ 2010, 1917; Ulbricht, S. 128.

1188 Ulbricht, S. 128; Voigt/Alich, NJW 2011, 3541; Himmels, S. 24 und 29; Moos-Krieg, Teil 7 II, Rn. 57 ff.; Zeidler/Brüggemann, CR 2014, 248, (250); Vgl. ULD, Datenschutzrechtliche Bewertung der Reichweitenanalyse durch Facebook, a.A.o., S. 8.

1189 Siehe hierzu Arning/Moos, ZD 2014, 126, (127); Voigt, MMR 2009, 377. Zu den verschiedenen Cookie-Arten ausführlich Stiemerling/Lachenmann, ZD 2014, 133, (135 f.); Zeidler/Brüggemann, CR 2014, 248, (250); Steinhoff, KuR 2014, 86.

1190 Arning/Moos, ZD 2014, 126, (127); Ulbricht, S. 128; Voigt/Alich, NJW 2011, 3541; Zeidler/Brüggemann, CR 2014, 248, (250).

1191 Das ULD sieht neben Facebook auch die Website-Betreiber als datenschutzrechtliche verantwortlich an. Vgl. ULD, Datenschutzrechtliche Bewertung der Reichweitenanalyse durch Facebook, a.A.o. S. 17; so auch Splittgerber-Splittgerber, Kap. 3, Rn. 193; Piltz, CR 2011, 657, (662); Ernst, NJOZ 2010, 1917, (1918). Kritsch hierzu Voigt/Alich, NJW 2011, 3541 ff.

1192 Bei der nachfolgenden Prüfung wird dazu die Anwendbarkeit deutschen Datenschutzrechts unterstellt.

1193 So auch Splittgerber-Splittgerber, Kap. 3, Rn. 189; Piltz, CR 2011, 657, (659); Ulbricht, S. 129; Ernst, NJOZ 2010, 1917, (1918).

1194 Siehe zum Meinungsstand der Personenbezogenheit einer IP-Adresse die Ausführungen in Kapitel C.

1195 Ulbricht, S. 128; Voigt/Alich, NJW 2011, 3541; Himmels, S. 24 und 29; Moos-Krieg, Teil 7 II, Rn. 57 ff.; Zeidler/Brüggemann, CR 2014, 248, (253). Die Cookie-ID selbst gilt als Pseudonym. Siehe hierzu Arning/Moos, ZD 2014, 126, (128).

1196 Simitis-Dammann, BDSG, § 3, Rn. 102; Taeger/Gabel-Buchner, BDSG, § 3, Rn. 25; Hoeren/Sieber/Holznagel-Schmitz, Multimediarecht, Teil 16.2, Rn. 144; Plath-Hullen/Roggenkamp, TMG, § 12, Rn. 3; BDSG, § 3, Rn. 30.

1197 Gola/Schomerus, BDSG, § 3, Rn. 24; Taeger/Gabel-Buchner, BDSG, § 3, Rn. 26; Kühling/Seidel/Sivridis, S. 89.

1198 Taeger/Gabel-Buchner, BDSG, § 3, Rn. 27 ff.; Siehe ausführlich und m.w.N. zu den einzelnen Begriffen Kühling/Seidel/Sivridis, S. 90 ff.

1199 Taeger/Gabel-Buchner, BDSG, § 3, Rn. 36.

1200 Gola/Schomerus, BDSG, § 3, Rn. 42; Kühling/Seidel/Sivridis, S. 95; Taeger/ Gabel-Buchner, BDSG, § 3, Rn. 41 f.

1201 Plath-Hullen/Roggenkamp, TMG, § 12, Rn. 3.

1202 Splittgerber-Splittgerber, Kap. 3, Rn. 118.

1203 Siehe hierzu Hoeren/Sieber/Holznagel-Schmitz, Multimediarecht, Teil 16.2, Rn. 144; Himmels, S. 29 f.

1204 Jandt/Roßnagel, MMR 2011, 637, (639); Himmels, S. 30.

1205 Gola/Schomerus, BDSG, § 3, Rn. 30; ausführlich Himmels, S. 30.

1206 Splittgerber-Splittgerber, Kap. 3, Rn. 119; Piltz, CR 2011, 657, (568).

1207 Kühling/Seidel/Sivridis, S. 105.

1208 Vgl. auch Art. 7 RL 95/46/EG. Zum Verbot mit Erlaubnisvorbehalt Gola/Schomerus, BDSG, § 4, Rn. 3; Plath-Hullen/Roggenkamp, TMG, § 12, Rn. 4; Taeger/Gabel-Taeger, BDSG, § 4, Rn. 15 f.; Hoeren/Sieber/Holznagel-Schmitz, Multimediarecht, Teil 16.2, Rn. 112; Splittgerber-Splittgerber, Kap. 3, Rn. 61; Rohrlich, S. 87; Köhler/Arndt/Fetzer, Rn. 914; Kühling/Seidel/Sivridis, S. 106; Härting, Internetrecht, Rn. 165; Moos-Krieg, Teil 7 II, Rn. 9.

1209 Gola/Schomerus, BDSG, § 4, Rn. 5; Brennscheidt, S. 63; Solmecke/Wahlers, Recht im Social Web, S. 268; Kühling/Seidel/Sivridis, S. 106.

1210 Taeger/Gabel-Zscherpe, BDSG, § 3a, Rn. 1 ff.; Simitis-Scholz, BDSG, § 3a, Rn. 30 ff.; Köhler/Arndt/Fetzer, Rn. 915; Rohrlich, S. 86.

1211 Taeger/Gabel-Zscherpe, BDSG, § 3a, Rn. 4.

1212 Splittgerber-Splittgerber, Kap. 3, Rn. 62; Schwenke, S. 381; Solmecke/Wahlers, Recht im Social Web, S. 269 f.

1213 Siehe hierzu Rohrlich, S. 86; Kühling/Seidel/Sivridis, S. 112.

1214 Zum Zweckbindungsgrundsatz siehe Hoeren/Sieber/Holznagel-Schmitz, Multimediarecht, Teil 16.2, Rn. 109; Schwenke, S. 381; Splittgerber-Splittgerber, Kap. 3, Rn. 64; Köhler/Arndt/Fetzer, Rn. 916; Rohrlich, S. 87; Kühling/Seidel/ Sivridis, S. 110; Taeger/Gabel-Moos, TMG, § 12, Rn. 25; Weichert, ZD 2013, 251, (255).

1215 Beispielsweise dürfen Daten, die im Rahmen der Durchführung eines Gewinnspiels verarbeitet werden, nicht ohne weiteres auch für Marketingzwecke verwendet werden. Vgl. Splittgerber-Splittgerber, Kap. 3, Rn. 64; Solmecke/ Wahlers, Recht im Social Web, S. 269.

1216 Kühling/Seidel/Sivridis, S. 111.

1217 Siehe nur §§ 4 Abs. 3, 33 Abs. 1, 34 BDSG, § 13 Abs. 1 TMG.

1218 Solmecke/Wahlers, Recht im Social Web, S. 268 f.; Splittgerber-Splittgerber, Kap. 3, Rn. 66, 101.

1219 Solmecke/Wahlers, Recht im Social Web, S. 269; Kühling/Seidel/Sivridis, S. 111.

1220 Andere Rechtsvorschriften können ebenfalls Erlaubnistatbestände enthalten. Diese Rechtsvorschriften müssen sich aber ausdrücklich auf Telemedien beziehen, sog. Zitiergebot. Siehe hierzu Hoeren/Sieber/Holznagel-Schmitz, Multimediarecht, Teil 16.2, Rn. 113.

1221 Siehe hierzu auch die nachfolgenden Ausführungen in Kapitel E IV 2. Inhaltsdaten werden nicht „zur Bereitstellung von Telemedien“ erhoben und verwendet. Somit greift die Subsidiaritätswirkung mangels echter Tatbestandskonkurrenz nicht ein.

1222 Vgl. Plath-Hullen/Roggenkamp, TMG, § 14, Rn. 4, 14; Taeger/Gabel-Zscherpe, TMG, § 14, Rn. 10. Von der Frage der Notwendigkeit der Identifikation gegenüber dem Diensteanbieter ist die Frage der Zumutbarkeit von Klarnamen auf der Nutzer-Nutzer-Ebene zu unterscheiden. Nach § 13 Abs. 6 TMG ist der Diensteanbieter verpflichtet, die Nutzung von Telemedien anonym oder unter Pseudonym zu ermöglichen, soweit dies technisch möglich und zumutbar ist. Umstritten ist, ob die Verpflichtung zur Verwendung des Klarnamens bei Sozialen Netzwerkdiensten mit vornehmlich privaten Charakter, wie dies bspw. bei Facebook der Fall ist, ohne weitere Begründung mit vermeintlicher Unzumutbarkeit einer anonymen oder pseudonymen Nutzung zu rechtfertigen ist, da gerade im Social Web mitunter das legitime Bedürfnis besteht, Äußerungen zumindest unter einem Pseudonym zu veröffentlichen. Jedenfalls wird eine Unzumutbarkeit der Zulassung von Pseudonymen in Betracht gezogen, wenn das gesamte Geschäftsmodell des Sozialen Netzwerks evident auf der Offenlegung der Identität beruht, wie bspw. im Fall von Sozialen Netzwerken mit ausschließlich berufsbezogener Prägung wie bspw. Xing oder LinkedIn. Zum Meinungsstand siehe vertiefend m.w.N. Plath-Hullen/Roggenkamp, TMG, § 13, Rn. 40 f.

1223 Plath-Hullen/Roggenkamp, TMG, § 14, Rn. 11; Hoeren/Bensinger-Piltz/Trinkl, Kap. 13, Rn. 162; Taeger/Gabel-Zscherpe, TMG, § 14, Rn. 36. Siehe hierzu auch die Ausführungen in Teil 1 E I. Die Diensteanbieter haben durch Gestaltung ihres Angebots teilweise in der Hand, was erforderlich ist und was nicht, indem sie den Zugang zur Online-Plattform bspw. vom Alter der Nutzer abhängig machen und daher bei Anmeldung ein Geburtsdatum anfordern. Siehe hierzu Schwenke, S. 381.

1224 Voigt, MMR 2009, 377, (380); Spindler/Schuster-Spindler/Nink, § 15, Rn. 2.

1225 Dies ergibt sich zwingend aus dem Erforderlichkeitsprinzip. Siehe hierzu Taeger/Gabel-Zscherpe, TMG, § 14, Rn. 32.

1226 Taeger/Gabel-Zscherpe, TMG, § 14, Rn. 28.

1227 So auch Karg/Fahl, KuR 2011, 453, (458); Piltz, CR 2011, 657, (659).

1228 Zeidler/Brüggemann, CR 2014, 248, (254); Taeger/Gabel-Zscherpe, TMG, § 14, Rn. 37.

1229 Plath-Hullen/Roggenkamp, TMG, § 14, Rn. 8; Taeger/Gabel-Zscherpe, TMG, § 14, Rn. 2.

1230 Taeger/Gabel-Zscherpe, TMG, § 14, Rn. 1; Plath-Hullen/Roggenkamp, TMG, § 14, Rn. 1.

1231 Für die zumeist kostenlosen Social Networks sind die Vorschriften für den Umgang mit Abrechnungsdaten nach den Abs. 2, 4, 5, 6 und 7 nicht relevant. Die Prüfung beschränkt sich daher auf die Abs. 1 und 3.

1232 Kühling/Seidel/Sivridis, S. 234; Taeger/Gabel-Zscherpe, TMG, § 15, Rn. 16.

1233 BT-Drs. 14/6098, S. 29; Plath-Hullen/Roggenkamp, TMG, § 15, Rn. 6; Kühling/ Seidel/Sivridis, S. 234; Härting, Internetrecht, Rn. 244; Moos-Jansen, Teil 7 I, Rn. 23; Steinhoff, KuR 2014, 86, (87).

1234 Der sog. Clickstream bezeichnet den aufgezeichneten Verlauf des Besuchs einer Website.

1235 Kipker/Voskamp, ZD 2013, 119, (120). Nutzungsdaten können gleichzeitig auch als Bestandsdaten eingestuft werden. Kühling/Seidel/Sivridis, S. 234. Auch in Cookies gespeicherte Daten können Nutzungsdaten sein. Plath-Hullen/ Roggenkamp, TMG, § 15, Rn. 5, 8; Voigt, MMR 2009, 377, (380).

1236 Siehe hierzu Kühling/Seidel/Sivridis, S. 234; Hoeren/Bensinger-Piltz/Trinkl, Kap. 13, Rn. 164.

1237 Plath-Hullen/Roggenkamp, TMG, § 14, Rn. 13.

1238 Taeger/Gabel-Zscherpe, TMG, § 15, Rn. 33, 40.

1239 Himmels, S. 36 f.; Voigt, DSRITB 2013, 157, (169).

1240 Taeger/Gabel-Zscherpe, TMG, § 15, Rn. 2.

1241 Vom Erlaubnistatbestand des § 15 Abs. 3 TMG sind lediglich Nutzungsdaten i.S.d. § 15 Abs. 1 TMG erfasst. Für die Erstellung von Nutzungsprofilen unter Verwendung von Inhaltsdaten muss dagegen ein Erlaubnistatbestand des BDSG oder die Einwilligung des Nutzers vorliegen. Siehe hierzu die Ausführungen in Kapitel E IV 2. Plath-Hullen/Roggenkamp, TMG, § 15, Rn. 22; Steinhoff, KuR 2014, 86, (88).

1242 BT-Drs. 13/7385, S. 24; Plath-Hullen/Roggenkamp, TMG, § 15, Rn. 21; Taeger/ Gabel-Zscherpe, TMG, § 15, Rn. 58; Kühling/Seidel/Sivridis, S. 235.

1243 Kühling/Seidel/Sivridis, S. 235.

1244 Plath-Hullen/Roggenkamp, TMG, § 15, Rn. 30; Kühling/Seidel/Sivridis, S. 235; Moos-Lang/Kamlah, Teil 3 IV, Rn. 17; Steinhoff, KuR 2014, 86, (88). Der Widerspruch wirkt ex-nunc und lässt damit die Rechtmäßigkeit der zuvor erstellten und verwendeten Profile nicht rückwirkend entfallen.

1245 Simitis-Scholz, BDSG, § 3, Rn. 215; Taeger/Gabel-Zscherpe, TMG, § 15, Rn. 68; Plath-Hullen/Roggenkamp, TMG, § 15, Rn. 24.

1246 Taeger/Gabel-Zscherpe, TMG, § 15, Rn. 68; Moos-Lang/Kamlah, Teil 3 IV, Rn. 18. Gemäß § 13 Abs. 4 Satz 1 Nr. 6 TMG hat der Diensteanbieter zudem mittels technischer und organisatorischer Vorkehrungen sicherzustellen, dass Nutzungsprofile nicht mit Angaben zur Identifikation des Trägers des Pseudonyms zusammengeführt werden können, sog. Grundsatz des Systemdatenschutzes bzw. „Privacy-by-Design“. Siehe hierzu BT-Drs. 14/6098, S. 28; Plath-Hullen/Roggenkamp, TMG, § 15, Rn. 26.

1247 Zeidler/Brüggemann, CR 2014, 248, (254); Himmels, S. 37.

1248 Taeger/Gabel-Zscherpe, TMG, § 15, Rn. 69, § 13, Rn. 43 ff.

1249 Himmels, S. 37.

1250 Plath-Hullen/Roggenkamp, TMG, § 15, Rn. 13; Spindler/Schuster-Spindler/Nink, TMG, § 15, Rn. 3, 5a; Moos-Jansen bzw. -Krieg, Teil 7 I, Rn. 14, Teil 7 II, Rn. 10, 42; Wintermeier, ZD 2012, 210, (211).

1251 Taeger/Gabel-Zscherpe, TMG, § 15, Rn. 20.

1252 Überwiegende Ansicht in der juristischen Literatur und der Aufsichtsbehörden vgl. Düsseldorfer Kreis, Beschluss vom 17./18.04.2008, Datenschutzkonforme Gestaltung Sozialer Netzwerke, abrufbar unter http://www.datenschutz.de/aufsicht_privat/ (zuletzt aufgerufen am 28.06.2015). Plath-Plath, BDSG, § 29, Rn. 26 f.; Taeger/Gabel-Zscherpe, TMG, § 14, Rn. 25; Wintermeier, ZD 2012, 210, (211); Moser-Knierim, ZD 2013, 263, (265); Arning/Moos, ZD 2014, 126, (127); Ernst, NJOZ 2010, 1917, (1918); Steinhoff, KuR 2014, 86, (87). a.A. Spindler/Schuster-Spindler/Nink, TMG, § 15, Rn. 5a; die Inhaltsdaten als Unterfall der Nutzungsdaten nach § 15 TMG sehen. Vertiefend hierzu Himmels, S. 39; Hoeren/Bensinger-Piltz/Trinkl, Kap. 13, Rn. 151; Moos-Krieg, Teil 7 II, Rn. 10.

1253 Plath-Hullen/Roggenkamp, TMG, § 15, Rn. 13; Himmels, S. 39 f.; Arning/Moos, ZD 2014, 126, (127); Ernst, NJOZ 2010, 1917, (1918).

1254 Plath-Plath, BDSG, § 29, Rn. 1.

1255 Taeger/Gabel-Taeger, BDSG, § 29, Rn. 13; Plath-Plath, BDSG, § 28, Rn. 4, § 29, Rn. 11; Gola/Schomerus, BDSG, § 28, Rn. 4. Zur Abgrenzung auch OLG Frankfurt, Urteil vom 08.03.2012, Az. 16 U 125/11, in: CR 2012, 399 f. Siehe hierzu auch Himmels, S. 40.

1256 BGH, Urteil vom 23.06.2009, Az. VI ZR 196/08, in: NJW 2009, 2888, (2891); Plath-Plath, BDSG, § 29, Rn. 11; Piltz, CR 2011, 657, (661); Hoeren/Bensinger-Piltz/Trinkl, Kap. 13, Rn. 174.

1257 Gola/Schomerus, BDSG, § 28, Rn. 5; Plath-Plath, BDSG, § 29, Rn. 25; Taeger/Gabel-Taeger, BDSG, § 28, Rn. 37, § 29, Rn. 13; Simitis-Eugen/ Ehmann, BDSG, § 29, Rn. 96. Hierzu auch OLG Frankfurt, Urteil vom 08.03.2012, Az. 16 U 125/11, in: CR 2012, 399, (400). Vgl. für Bewertungsplattformen BGH, Urteil vom 23.06.2009, Az. VI ZR 196/08, in: NJW 2009, 2888 ff.

1258 Taeger/Gabel-Taeger, BDSG, § 28, Rn. 33; Plath-Plath, BDSG, § 29, Rn. 28; Gola/Schomerus, BDSG, § 28, Rn. 4; Splittgerber-Splittgerber, Kap. 3, Rn. 71.

1259 Taeger/Gabel-Zscherpe, TMG, § 14, Rn. 7; Plath-Plath, TMG, § 14, Rn. 1; Moos-Jansen, Teil 7 I, Rn. 14.

1260 Plath-Plath, BDSG, § 29, Rn. 28.

1261 Taeger/Gabel-Taeger, BDSG, § 28, Rn. 47.

1262 Piltz, CR 2011, 657, (661).

1263 So auch Piltz, CR 2011, 657, (660).

1264 Plath-Plath, BDSG, § 28, Rn. 47; Taeger/Gabel-Taeger, BDSG, § 28, Rn. 54.

1265 Plath-Plath, BDSG, § 28, Rn. 47; Taeger/Gabel-Taeger, BDSG, § 28, Rn. 55; Gola/Schomerus, BDSG, § 28, Rn. 24; Simitis-Simitis, BDSG, § 28, Rn. 103 ff.; Splittgerber-Splittgerber, Kap. 3, Rn. 74.

1266 Arning/Moos, ZD 2014, 126, (132); Plath-Plath, BDSG, § 28, Rn. 55.

1267 Taeger/Gabel-Taeger, BDSG, § 28, Rn. 47; Plath-Plath, BDSG, § 28, Rn. 51.

1268 Plath-Plath, BDSG, § 28, Rn. 53; Taeger/Gabel-Taeger, BDSG, § 28, Rn. 61.

1269 Taeger/Gabel-Taeger, BDSG, § 28, Rn. 64.

1270 Siehe hierzu Piltz, CR 2011, 657, (661).

1271 Simitis-Simitis, BDSG, § 28, Rn. 55; Gola/Schomerus, BDSG, § 28, Rn. 9.

1272 Vgl. Plath-Plath, BDSG, § 28, Rn. 56.

1273 Plath-Plath, BDSG, § 28, Rn. 55.

1274 So auch Piltz, CR 2011, 657, (661).

1275 Zum Schutzbereich des Datenschutzrechts vgl. Simitis-Simitis, BDSG, § 1, Rn. 36; Taeger/Gabel-Taeger/Schmidt, BDSG, Einf., Rn. 28.

1276 Vgl. Taeger/Gabel-Taeger, BDSG, § 28, Rn. 120. Siehe hierzu auch Piltz, CR 2011, 657, (661). Die Zulässigkeitsvarianten des § 28 Abs. 2 Nr. 2 und 3 BDSG sind vorliegend nicht relevant, da es an berechtigten Interessen Dritter (§ 28 Abs. 2 Nr. 2a BDSG) oder Gefahren für die staatliche oder öffentliche Sicherheit oder der Verfolgung von Straftaten (§ 28 Abs. 2 Nr. 2b) BDSG) fehlt. Ferner ist keine Forschungseinrichtung gegeben (§ 28 Abs. 2 Nr. 3 BDSG). Auch Die Zulässigkeitsvariante des § 28 Abs. 2 Nr. 1 i.V.m. § 28 Abs. 1 Satz 1 Nr. 3 BDSG ist vorliegend nicht relevant, da die über Social Plugins erhobenen Daten keine allgemein zugänglichen Daten i.S.d. § 28 Abs. 1 Satz 1 Nr. 3 BDSG sind. Öffentlich verfügbar sind Daten, die im Internet über Suchmaschinen wie Google gefunden werden können oder auf Sozialen Netzwerken ohne weitere Voraussetzung, als der für jedermann möglichen Registrierung, frei einsehbar sind. Vgl. Weichert, ZD 2013, 251, (257); Moos-Baumgartner, Teil 3 III, Rn. 22. Siehe hierzu auch Piltz, CR 2011, 657, (661 f). Zur Erhebung und Verarbeitung allgemein öffentlich zugänglicher Daten siehe Splittgerber-Splittgerber, Kap. 3, Rn. 78; Plath-Plath, BDSG, § 28, Rn. 75 ff.; Gola/Schomerus, BDSG, § 28, Rn. 33a.

1277 So Plath-Plath, BDSG, § 28, Rn. 56, 101. Siehe hierzu auch Himmels, S. 41. Zur datenschutzrechtlichen Einwilligung siehe sogleich Kapitel E V.

1278 Gounalakis/Klein, NJW 2010, 566, (568); Simitis-Buchner, BDSG, § 29, Rn. 35 ff.; Gola/Schomerus, BDSG, § 29, Rn. 6.

1279 Vgl. BGH, Urteil vom 23.06.2009 für das Bewertungsportal „spickmich.de“, Az. VI ZR 196/08, in: NJW 2009, 2888, (2891 f.); OLG Düsseldorf, Urteil vom 06.10.2010, Az. 15 U 80/08, in: BeckRS 2011, 21696; Gounalakis/Klein, NJW 2010, 566, (568); Taeger/Gabel-Taeger, BDSG, § 29, Rn. 13.

1280 Gola/Schomerus, BDSG, § 29, Rn. 10; Plath-Plath, BDSG, § 29, Rn. 43. Eine besondere Schutzwürdigkeit des Betroffenen kann sich aus der Minderjährigkeit der Person ergeben oder aus der Natur der verwendeten Daten wie bspw. bei subjektiv, negativen Bewertungen oder falschen Daten.

1281 St. Rspr. des BGH mit Urteil vom 17.12.1985, Az. VI ZR 244/84, in: NJW 1986, 2505 (2506); BGH, Urteil vom 23.06.2009, Az. VI ZR 196/08, in: NJW 2009, 2888 ff.; OLG Frankfurt, Urteil vom 08.03.2012, Az. 16 U 125/11, in: NJW 2012, 2896; Plath-Plath, BDSG, § 29, Rn. 37; Gola/Schomerus, BDSG, § 29, Rn. 11, Gounalakis/Klein, NJW 2010, 566, (568).

1282 Vgl. Piltz, CE 2011, 657, (662).

1283 Taeger/Gabel-Taeger, BDSG, § 29, Rn. 30; Piltz, CE 2011, 657, (662).

1284 Gounalakis/Klein, NJW 2010, 566, (568).

1285 So auch Piltz, CR 2011, 65, (662).

1286 Zu den Anforderungen an den (elektronischen) Widerruf siehe Plath-Hullen/Roggenkamp, TMG, § 13, Rn. 27; Taeger/Gabel-Moos, TMG, § 13, Rn. 16 ff.

1287 Taeger/Gabel-Moos, TMG, § 13, Rn. 18; Splittgerber-Splittgerber, Kap. 3, Rn. 87, 91; Gennen/Kremer, ITRB 2011, 59, (62); Zeidler/Brüggemann, CR 2014, 248, (255); Himmels, S. 42; Simitis-Simitis, BDSG, § 4a, Rn. 36; Voigt, MMR 2009, 377, (381).

1288 Taeger/Gabel-Moos, BDSG, § 13 TMG, Rn. 20; Kartheuser/Klar, ZD 2014, 500, (504).

1289 Ulbricht, S. 119.

1290 Himmels, S. 45.

1291 Siehe hierzu Moos-Jansen, Teil 7 I, Rn. 4, Teil II, Rn. 23 f.; Himmels, S. 46.

1292 Vgl. OLG Brandenburg, Urteil vom 11.01.2006, Az. 7 U 52/05, in: MMR 2006, 405, (406). Da der Diensteanbieter für das Vorliegen einer Einwilligung die Darlegungs- und Beweislast trägt, wird die Bestätigung der Erklärung im Rahmen eines Double-Opt-in-Verfahrens aus Gründen der Beweisführungssicherung für sinnvoll erachtet. Hierzu auch Plath-Hullen/Roggenkamp, TMG, § 13, Rn. 22; Moos-Jansen, Teil 7 I, Rn. 4.

1293 Plath-Hullen/Roggenkamp, TMG, § 13, Rn. 28; Hoeren/Bensinger-Piltz/Trinkl, Kap. 13, Rn. 159.

1294 Taeger/Gabel-Moos, TMG, § 13, Rn. 21; Himmels, S. 45 f.

1295 Payback-Entscheidung“ des BGH, Urteil vom 16.07.2008, Az. VIII ZR 348/06, in: NJW 2008, 3055 ff.; „Happy-Digits-Entscheidung“ des BGH, Urteil vom 11.11.2009, Az. VIII ZR 12/08, in: NJW 2010, 864, (866).

1296 BGH, Urteil vom 16.07.2008, Az. VIII ZR 348/06, in: NJW 2008, 3055, (3056); hierzu auch Schneider/Härting, ZD 2011, 63, (66); Himmels, S. 46.

1297 Himmels, S. 47; Weichert, ZD 2013, 251, (255).

1298 Plath-Hullen/Roggenkamp, TMG, § 13, Rn. 23; Spindler/Schuster-Spindler/Nink, TMG, § 13, Rn. 6; a.A. Taeger/Gabel-Moos, BDSG, § 13 TMG, Rn. 21; Himmels, S. 47.

1299 Vgl. bei Himmels, S. 47 für die Datenerhebung durch Cookies. Siehe hierzu auch Hoeren/Bensinger-Piltz/Trinkl, Kap. 13, Rn. 159; Härting, AnwBl. 2011, 244, (248).

1300 Taeger/Gabel-Moos, TMG, § 13, Rn. 21.

1301 Artikel-29-Datenschutzgruppe, Stellungnahme 5/2009 zur Nutzung Sozialer Online-Netzwerke, a.A.o., S. 9, Fn. 16; Splittgerber-Splittgerber, Kap. 3, Rn. 85; Himmels, S. 42.

1302 Bei Abgabe von Einwilligungserklärungen bei Minderjährigen wird auf die Einsichtsfähigkeit im Einzelfall abgestellt. Zur datenschutzrechtlichen Einwilligung von Kindern und Jugendlichen siehe vertiefend m.w.N. Jandt/Roßnagel, MMR 2011, 637 ff.; Wintermeier, ZD 2012, 210 ff.; Taeger/ Gabel-Taeger, BDSG, § 4a, Rn. 29; Moos-Krieg, Teil 7 II, Rn. 27.

1303 Gola/Schomerus, BDSG, § 4a, Rn. 25; Splittgerber-Splittgerber, Kap. 3, Rn. 86; Himmels, S. 42.

1304 Vgl. Art. 7a der Datenschutzrecht-Richtlinie 95/46/EG; Simitis-Simitis, BDSG, § 4a, Rn. 62; BeckOK-BDSG/Kühling, § 4a, Rn. 24.

1305 Spindler/Schuster-Spindler/Nink, § 4a BDSG, Rn. 4; Simitis-Simitis, BDSG, § 4a, Rn. 63; Himmels, S. 42.

1306 Die Datenschutzrichtlinie 95/546/EG sieht kein ausdrückliches Kopplungsverbot vor. Dieses wurde im Rahmen des Handlungsspielraums vom nationalen Gesetzgeber eingeführt. Hierzu Himmels, S. 43.

1307 Spindler, GRUR-Beil. 2014, 101(102).

1308 Siehe hierzu vertiefend m.w.N. Himmels, S. 43; Bauer S., MMR 2008, 435, (436 f.).

1309 Siehe hierzu Hoeren/Bensinger-Piltz/Trinkl, Kap. 13, Rn. 171.

1310 OLG Brandenburg, Urteil vom 11.01.2006, Az. 7 U 52/05, in: MMR 2006, 405, (407.

1311 Simitis-Simitis, BDSG, § 4a, Rn. 70; Schwenke, S. 68; Gola/Schomerus, BDSG, § 4a, Rn. 12a.

1312 BeckOK-BDSG/Kühling, § 4a, Rn. 43; Splittgerber-Splittgerber, Kap. 3, Rn. 101; Gola/Schomerus, BDSG § 4a, Rn. 25; Katko/Babaei-Beigi, MMR 2014, 360, (362).

1313 Taeger/Gabel-Moos, TMG, § 13, Rn. 6; Zeidler/Brüggemann, CR 2014, 248, (251).

1314 Schwenke, S. 68.

1315 Splittgerber-Splittgerber, Kap. 3, Rn. 86; Taeger/Gabel-Moos, TMG, § 13, Rn. 4 ff.; Simitis-Simitis, BDSG, § 4a, Rn. 72; Stiemerling/Lachenmann, ZD 2014, 133, (134).

1316 Splittgerber-Splittgerber, Kap. 3, Rn. 89.

1317 Siehe hierzu das Urteil des LG Berlin vom 30.04.2013, Az. 15 O 92/12, in: ZD 2013, 451 ff. bzgl. der Datenschutzrichtlinien von Apple. In der Praxis wird daher textlich klar abgegrenzt die Information über ohne Einwilligung zulässige Datenverarbeitungen dem Einwilligungswortlaut vorangestellt. Hierzu auch Splittgerber-Splittgerber, Kap. 3, Rn. 88 f.

1318 Nutzungsbedingungen von Facebook unter www.facebook.com/legal/terms. Siehe auch allgemeine Geschäftsbedingungen von Twitter unter http://twitter.com/tos, oder Google Nutzungsbedingungen unter http://www.google.de/policies/terms (die Websites wurden zuletzt aufgerufen am 30.06.2015). Die verschiedenen Regelungen werden ständig bearbeitet und geändert. Siehe hierzu Solmecke/Wahlers, Recht im Social Web, S. 36.

1319 So auch LG Berlin, Urteil vom 06.03.2012, in: CR 2012, 270 ff.; Sieber, GRUR-Beil. 2014, 101, (102).

1320 Kartheuser/Klar, ZD 2014, 500, (504 f.); Plath-Hullen/Roggenkamp, TMG, § 13, Rn. 8; Taeger/Gabel-Moos, TMG, § 13, Rn. 9; Schwenke, S. 68. Himmels, S. 44; Ernst, NJOZ 2010, 1517 (1919); Splittgerber-Splittgerber, Kap. 3, Rn. 110; Moser-Knierim, ZD 2013, 263, (265); Ernst, NJOZ 2010, 1917, (1919). Zur Einwilligung bei Facebook siehe LG Berlin, Urteil vom 06.03.2012, in: CR 2012, 270, (272).

1321 Splittgerber-Splittgerber, Kap. 3, Rn. 86; Köhler/Arndt/Fetzer, Rn. 937; Moos-Krieg, Teil 7 II, Rn. 22; Schneider/Härting, ZD 2011, 63, (66).

1322 Siehe hierzu ausführlich Kartheuser/Klar, ZD 2014, 500, (505).

1323 Hierzu Kartheuser/Klar, ZD 2014, 500, (504).

1324 Sie bspw. die sich ständig ändernden Datenverwendungsrichtlinien von Facebook unter http://www.facebook.com/about/privacy/. Zu Social Plugins siehe u.a. http://www.facebook.com/about/privacy/your-info-on-other, http://www.facebook.com/help/443483272359009 (die Webseiten wurden zuletzt aufgerufen am 28.10.2015). Siehe hierzu Moser-Knierim, ZD 2013, 263, (265); Katko/Babaei-Beigi, MMR 2014, 360, (362); Ernst, NJOZ 2010, 1517 (1919); Himmels, S. 45.

1325 Siehe bspw. die Angaben von Facebook zu Social Plugins http://www.facebook.com/about/privacy/your-info-on-other unter „Über soziale Plug-ins“: „Webseiten, die soziale Plug-ins verwenden, können manchmal feststellen, dass du das soziale Plug-in verwendet hast. Beispielsweise können sie gegebenenfalls feststellen, dass du in einem sozialen Plug-in auf eine „Gefällt mir“-Schaltfläche geklickt hast.“ (zuletzt aufgerufen am 29.06.2015).

1326 Allerdings wird gegen diese Auslegung eingewendet, dass standardmäßige Browsereinstellungen schon keine Willenserklärung des Nutzers darstellen. Denn dabei fehle es bereits an einer deutlichen Hervorhebung des Hinweises auf die Abwahlmöglichkeit durch ein Opt-Out-Verfahren. Siehe hierzu vertiefend und m.w.N. Himmels, S. 46 f.; Zeidler/Brüggemann, CR 2014, 248, (250). Die bisher in Deutschland nicht umgesetzte E-Privacy-Richtlinie der Europäischen Union (RL 2009/136/EG) vom 25.11.2009 wird dahingehend ausgelegt, dass beim Einsatz von Cookies eine aktive Einwilligung des Nutzers (Opt-In) erforderlich ist. Siehe hierzu Steinhoff, KuR 2014, 86, (88 f.).

1327 Moser-Knierim, ZD 2013, 263, (265); Spindler/Schuster-Spindler/Nink, BDSG, § 4a, Rn. 6; Simitis-Simitis, BDSG, § 4a, Rn. 78; Taeger/Gabel-Moos, TMG, § 13, Rn. 21; Piltz, CR 2011, 657, (660); Voigt, MMR 2009, 377, (381).

1328 Anmerkung: Am 09.03.2016 bestätigte das LG Düsseldorf (AZ. 12 O 151/15, in: GRUR-RS 2016, 04916), dass ein Websitenbetreiber, der auf seiner Website den „Like-Button“ von Facebook integriert, grundsätzlich datenschutzwidrig handle. Das Gericht sah für die Datenübermittlung keine Rechtsgrundlage. Insbesondere sei diese nicht nach § 15 TMG gerechtfertigt, noch liege eine wirksame vorherige Einwilligung des Nutzers oder auch nur eine Unterrichtung vor.

1329 Siehe ausführlich Rohrlich, S. 87; Fritz, S. 63; Schwenke, S. 372.

1330 Zu den Anforderungen des US-amerikanischen Datenschutzrechts ausführlich Lejeune, CR 2013, 822, (826); Schwenke, S. 372.

1331 Schwenke, S. 372 f.

1332 Siehe hierzu Schneider, AnwBl. 2011, 233 ff.; Schneider/Härting, ZD 2011, 63, (64); Plath-Hullen/Roggenkamp, TMG, Einf., Rn. 9.

1333 In der Praxis wird daher nach h.M. als ausreichend erachtet, wenn diese Informationen in einer abrufbaren Datenschutzerklärung nach dem Betreten des Sozialen Netzwerks mittels direktem Link von jeder Webseite aus zur Verfügung gestellt werden. Höchstrichterlich ist die Frage allerdings noch nicht geklärt. Siehe hierzu Schwenke, S. 375; Moos-Jansen, Teil 7 I, Rn. 2; Stiemerling/ Lachenmann, ZD 2014, 133, (134).

1334 Siehe hierzu auch Himmels, S. 45; Splittgerber-Splittgerber, Kap. 3, Rn. 91 ff.

1335 Vgl. Splittgerber-Splittgerber, Kap. 3, Rn. 93.

1336 Hierzu auch Zeidler/Brüggemann, CR 2014, 248, (256); Härting, CR 2014, 528, (533); Spindler, GRUR-Beil. 2014, 101(103).

1337 Schwenke, S. 372; Lepperhoff/Petersdorf/Thursch, DuD 2013, 301, (306).

1338 Zu der Entwicklung von Datenschutzverstößen seit 2008 (Stand 2013) siehe Lepperhoff/Petersdorf/Thursch, DuD 2013, 301, (306).

1339 Siehe hierzu Schwenke, S. 67 f.

1340 Die Sanktionen werden zudem kaum umgesetzt. Siehe hierzu Weichert, DuD 2012, 716 (721).

1341 Siehe zu den Rechtsfolgen Plath-Hullen/Roggenkamp, TMG, § 14, Rn. 28; Köhler/Arndt/Fetzer, Rn. 951; Splittgerber-Splittgerber, Kap. 3, Rn. 161; Hoeren/Bensinger-Piltz/Trinkl, Kap. 13, Rn. 176 ff.; Moos-Krieg, Teil 7 II, Rn. 4.

1342 Splittgerber-Splittgerber, Kap. 3, Rn. 170; Reding, ZD 2012, 195, (197); Weichert, DuD 2012, 716, (721).

1343 Siehe hierzu BITKOM am 04.11.2014, „Neues Vertrauen in digitale Sicherheit“, abrufbar unter https://www.bitkom.org/Bitkom/Blog/Blog-Seiten_1753.html. Danach halten nur 16 % der Nutzer ihre Daten im Netz für sicher. Hierzu auch Spiegel Online am 05.06.2014, „Umfrage zum Datenschutz: Deutsche misstrauen dem Staat“, abrufbar unter http://www.spiegel.de/netzwelt/web/umfrage-deutsche-misstrauen-dem-staat-beim-\online-datenschutz-a-973522.html (Die Webseiten wurden zuletzt aufgerufen am 25.07.2015). Siehe hierzu Köhler/Arndt/Fetzer, Rn. 883; Ulbricht, S. 121; Klinkhammer/Müllejans, ArbR-Aktuell 2014, 503; Weichert, ZD 2013, 251, (254).

1344 Hierzu Beyvers/Herbrich, ZD 2014, 558.

1345 Fritz, S. 65.

1346 Luch/Schulz/Kuhlmann sprechen von einem synallagmatischen Austauschverhältnis in dem Daten als kommerzielles Gut die Gegenleistung der Nutzung Sozialer Netzwerke darstellen, siehe in EuR 2014, 698, (715). So auch Hoffmann/ Schulz/Borchers, MMR 2014, 89, (90).

1347 Kurz/Rieger, S. 272.

1348 Kurz/Rieger, S. 14.

1349 Huber, S. 19; Kurz/Rieger, S. 16.

1350 So Steinhoff, KuR 2014, 86, (90).

1351 Schneider/Härting, ZD 2012, 199, (201).

1352 Andrew Couts am 07.08.2012: “State of the Web: Who killed privacy? You did“, abrufbar unter http://www.digitaltrends.com/opinion/state-of-the-web-who-killed-privacy/#ixzz2PUwt5WIO (zuletzt aufgerufen am 28.06.2015).

1353 Rohrlich, S. 83; Hoffmann/Schulz/Borchers, MMR 2014, 89, (94).

1354 Härting, Internetrecht, Annex: Datenschutz im 21. Jahrhundert, Rn. 90 ff.

1355 Siehe hierzu The New York Times, Privacy: A Bewildering Tangle of Options: „To manage your privacy on Facebook, you will need to navigate through 50 settings with more than 170 options.” Abrufbar unter www.nytimes.com/interactive/2010/05/12/business/facebook-privacy.html?ref=personaltech (zuletzt aufgerufen am 30.06.2015). Auch die neuen Nutzungsbedingungen von Facebook sehen hier keine Verbesserung vor: Siehe hierzu Spiegel Online vom 30.01.2015: „Neue Nutzungsbedingungen: Was sich heute bei Facebook ändert“, abrufbar unter http://www.spiegel.de/netzwelt/web/facebook-agb-was-sich-jetzt-beim-netzwerk-aendert-a-1015660.html (zuletzt aufgerufen am 20.07.2015).

1356 Siehe hierzu Splittgerber-Splittgerber, Kap. 3, Rn. 63; Schneider, AnwBl. 2011, 233, (238); Spindler, GRUR-Beil. 2014, 101(103).

1357 Zum so. Smart Privacy Management siehe hierzu Heckmann, NJW 2012, 2634 f. Zu den technisch-organisatorischen Vorkehrungen Spindler, GRUR-Beil. 2014, 101 (107).

1358 Zur „Zwei-Klick-Lösung“ von Heise, siehe http://www.heise.de/ct/artikel/2-Klicks-fuer-mehr-Datenschutz-1333879.html (zuletzt aufgerufen am 30.06.2015). Zustimmend Düsseldorfer Kreis, siehe unter http://www.datenschutz-bayern.de/0/soziale-netzwerke-plugins.html (zuletzt aufgerufen am 30.06.2015).

1359 Siehe zu den technischen Vorkehrungen Rohrlich, S. 93.

1360 Ausführlich hierzu Zeidler/Brüggemann, CR 2014, 248, (256 f.); Steinhoff, KuR 2014, 86, (88).

1361 Leitfaden der European Advertising Standards Alliance (EASA) vom 14.04.2011: „Best Practice Recommendation on Online Behavioural Advertising“ abrufbar unter http://www.easa-alliance.org/page.aspx/386 (zuletzt aufgerufen am 25.07.2015).

1362 Leitfaden der EASA vom 14.04.2011, a.A.o., S. 12. Ausführlich hierzu Zeidler/ Brüggemann, CR 2014, 248, (257).

1363 Hierzu Solmecke/Wahlers, Recht im Social Web, S. 261.

1364 Siehe hierzu Plath-Hullen/Roggenkamp, TMG, Einf., Rn. 4.

1365 So die ehemalige EU-Justizkommissarin und Vizepräsidentin der Europäischen Kommission Viviane Reding, ZD 2011, 1; Artikel-29-Datenschutzgruppe, WP 168, S. 20; Rittweger/Molloy, WDPR 2012, S. 1; Brennscheidt, S. 48 f.; Albrecht, ZD 2013, 587, (588).

1366 „Vorschlag für Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogenen Daten und zum freien Datenverkehr (Datenschutzgrundverordnung)“ vom 25.12.2012, abrufbar unter http://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:52012PC0011&qid=1413209861769&from=DE (zuletzt aufgerufen am 30.06.2015).

1367 Siehe hierzu insbesondere die Erwägungsgründe (4) bis (8) des DS-GVO-E. Hierzu auch Rittweger/Dechamps, WDPR 2013, S. 4; Roßnagel/Kroschwald, ZD 2014, 495; Hoffmann/Schulz/Borchers, MMR 2014, 89; Reding, ZD 2012, 195 f.

1368 Simitis-Simitis, BDSG, § 1, Rn. 241, Rittweger/Molloy, WDPR 2012, S. 2; Rittweger/Dechamps, WDPR 2013, S. 5; Roßnagel/Kroschwald, ZD 2014, 495; Hornung, ZD 2012, 99, (102).

1369 Siehe hierzu Brennscheidt, S. 49; Albrecht, ZD 2013, 587, (589); Roßnagel/ Kroschwald, ZD 2014, 495, (497).

1370 Kipker/Voskamp, DuD 2012, 737; Ulbricht, S. 126.

1371 Vgl. Kapitel E V 1.

1372 Erwägungsgrund (25) des DS-GVO-E; Reding, ZD 2012, 195, (197).; BeckOK-BDSG/Kühling, § 4a, Rn. 27; Rittweger/Molloy, WDPR 02/2012, S. 5; Zeidler/Brüggemann, CR 2014, 248, (255); Kipker/Voskamp, DuD 2012, 737, (738); Hornung, ZD 2012, 99, (102).

1373 Vgl. Kapitel E V 2 a.

1374 Erwägungsgrund (35) des DS-GVO-E; Kipker/Voskamp, DuD 2012, 737, (738).

1375 Kipker/Voskamp, DuD 2012, 737, (739).

1376 Siehe hierzu Erwägungsgrund (34) des DS-GVO-E; Kipker/Voskamp, DuD 2012, 737, (738); Rittweger/Molloy, WDPR 02/2012, S. 5.

1377 Siehe hierzu Erwägungsgrund (55) des DS-GVO-E; Kipker/Voskamp, DuD 2012, 737, (740); Splittgerber-Splittgerber, Kap. 3, Rn. 149; Härting, Internetrecht, Annex: Datenschutz im 21. Jahrhundert, Rn. 65.

1378 Siehe etwa für Google+: http://www.dataliberation.org (zuletzt aufgerufen am 29.06.2015).

1379 Siehe hierzu auch Rittweger/Molloy, WDPR 02/2012, S. 5.

1380 Kipker/Voskamp, DuD 2012, 737, (740).

1381 Hornung, ZD 2012, 99, (102); Kipker/Voskamp, DuD 2012, 737, (740).

1382 Siehe hierzu Erwägungsgrund (54) des DS-GVO-E; Splittgerber-Splittgerber, Kap. 3, Rn. 149; Rittweger/Molloy, WDPR 2012, S. 5; Gstrein, ZD 2012, 424.

1383 Siehe hierzu Erwägungsgrund (54) des DS-GVO-E; Viviane Reding, Tagessschau am 25.01.2102, „EU-Kommission fordert Recht auf Vergessen“, abrufbar unter http://www.tagesschau.de/ausland/datenschutz284.html (zuletzt aufgerufen am 30.06.2015). Dies., ZD 2012, 195, (197); hierzu auch Splittgerber-Splittgerber, Kap. 3, Rn. 149; Rittweger/Molloy, WDPR 2012, S. 5; Gstrein, ZD 2012, 424.

1384 Siehe Erwägungsgrund (53) des DS-GVO-E- Gstrein, ZD 2012, 424, (425); Rittweger/Molloy, WDPR 2012, S. 5; Kodde, ZD 2013, 115, (116).

1385 Ein zumindest vergleichbarer Ansatz besteht bereits im deutschen Datenschutzrecht nach derzeitiger Rechtslage begründet § 35 BDSG Löschungsansprüche für Inhaltsdaten, Bestandsdaten sind nach § 14 Abs. 1 TMG mit Beendigung des Vertragsverhältnisses, mithin der Mitgliedschaft in dem Sozialen Netzwerk, Nutzungsdaten nach Ende des Nutzungszugangs nach § 15 Abs. 8 TMG zu löschen. Siehe hierzu Plath-Hullen/Roggenkamp, TMG, § 14, Rn. 15, § 15, Rn. 17; Spindler, GRUR-Beil. 2014, 101(105). Zu den Neuerungen nach dem DS-GVO-E Gstrein, ZD 2012, 424, (425); Rittweger/Molloy, WDPR 2012, S. 5; Kodde, ZD 2013, 115, (116).

1386 Siehe hierzu Gstrein, ZD 2012, 424, (425); Kipker/Voskamp, DuD 2012, 737, (741); Splittgerber-Splittgerber, Kap. 3, Rn. 149; Roßnagel/Kroschwald, ZD 2014, 495, (498); Kodde, ZD 2013, 115, (117).

1387 Roßnagel/Kroschwald, ZD 2014, 495, (498).

1388 Splittgerber-Splittgerber, Kap. 3, Rn. 67.

1389 Splittgerber-Splittgerber, Kap. 3, Rn. 149.

1390 Koreng/Feldmann, ZD 2012, 311 ff.

1391 Luch/Schulz/Kuhlmann, EuR 2014, 698, (699).

1392 EuGH, Urteil vom 13.05.2014, Az. C – 131/12. Hierzu Stoklas, ZD-Aktuell 2014, 04455; Luch/Schulz/Kuhlmann, EuR 2014, 698 ff.

1393 Luch/Schulz/Kuhlmann, EuR 2014, 698, (699).

1394 Abs. 93 der Urteilsbegründung, EuGH, Urteil vom 13.05.2014, Az. C – 131/12.

1395 Abs. 80 der Urteilsbegründung, EuGH, Urteil vom 13.05.2014, Az. C – 131/12.

1396 Siehe unter „Aktuelle Herausforderungen im Bereich des Datenschutzes“, „Vorschlag für Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogenen Daten und zum freien Datenverkehr (Datenschutzgrundverordnung)“ vom 25.12.2012. Hierzu auch Reding, ZD 2011, 1 f.

1397 Plath-Hullen/Roggenkamp, TMG, Einf., Rn. 12.

1398 Committee for Civil Liberties, Justice and Home Affairs.

1399 Legislative Entschließung des Europäischen Parlaments vom 12.03.2014, abrufbar unter http://www.europarl.europa.eu/sides/getDoc.do?pubRef=-//EP//TEXT+TA+P7-TA-2014-0212+0+DOC+XML+V0//DE (zuletzt aufgerufen am 24.06.2015). Siehe hierzu Roßnagel/Kroschwald, ZD 2014, 495.

1400 European Commission – Press release: „Commission proposal on new data protection rules to boost EU Digital Single Market supported by Justice Ministers” vom 15.06.2015, abrufbar unter http://europa.eu/rapid/press-release_IP-15-5176_en.htm (zuletzt aufgerufen am 24.06.2015).

1401 Siehe hierzu Haufe vom 12.03.2014, „EU-Datenschutzverordnung – Stand des Verfahrens“ unter http://www.haufe.de/compliance/eu-datenschutzverordnung/stand-des-verfahrens_230128_95630.html (zuletzt aufgerufen am 24.06.2015); hierzu auch Roßnagel/Kroschwald, ZD 2014, 495.

1402 Zeit Online vom 15.06.2015: „EU-Minister einigen sich auf Datenschutzreform“, abrufbar unter http://www.zeit.de/digital/datenschutz/2015-06/datenschutz-eu-reform-justizminister-luxemburg (zuletzt aufgerufen am 24.06.2015).

1403 Siehe hierzu Erwägungsgrund (61) des DS-GVO-E; Moos-Krieg, Teil 7 II, Rn. 47; Roßnagel/Kroschwald, ZD 2014, 495, (499); Hornung, ZD 2012, 99, (103).

1404 Hornung, ZD 2012, 99, (103); Roßnagel/Kroschwald, ZD 2014, 495, (499).

1405 Spindler, GRUR-Beil. 2014, 101(105).

1406 Roßnagel/Kroschwald, ZD 2014, 495, (498).

1407 So auch Reding, ZD 2012, 195, (197); Koreng/Feldmann, ZD 2012, 311, (314).

1408 Siehe hierzu ausführlich Luch/Schulz/Kuhlmann, EuR 2014, 698, (709).

1409 Luch/Schulz/Kuhlmann, EuR 2014, 698, (706). Glaser ist der Auffassung, dass die datenschutzrechtlichen Bestimmungen des Rechts auf Vergessenwerden die Ansprüche gegen ehrverletzende Äußerungen im Internet flankieren können. in: NVwZ 2012, 1432, (1438).

1410 So die Stellungnahme des Bundesverfassungsrichter Johannes Masing, „Vorläufige Einschätzung der “Google-Entscheidung“ des EuGH“ vom 14.08.2014, abrufbar unter http://www.verfassungsblog.de/ribverfg-masing-vorlaeufige-einschaetzung-der-google-entscheidung-des-eugh/. Siehe hierzu auch „Recht auf Vergessen – Bundesverfassungsrichter kritisiert EuGH-Urteil“, http://www.golem.de/news/recht-auf-vergessen-bundesverfassungsrichter-kritisiert-eugh-urteil-1408-108286.html (Die Webseiten wurden zuletzt aufgerufen am 13.07.2015). Auf das Urteil hin bewilligte der Suchmaschinenbetreiber Google den Internetnutzern entsprechende Löschanträge zu stellen, die nach Firmenangaben in 41 % der Fälle zu einer tatsächlichen Entfernung eines Suchtreffers führten. Stand 01.12.2014. Siehe hierzu Stoklas, ZD-Aktuell 2014, 04455.

1411 Siehe hierzu Härting, CR 2013, 715, (721).

1412 Solmecke/Kocatepe, ZD 2014, 22, (25); Albrecht, ZD 2013, 587, (590).

1413 Veröffentlichung der DS-GVO im Amtsblatt der EU am 04.05.2016, abrufbar unter http://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:32016R0679&from=de (zuletzt aufgerufen am 26. Mai 2016).