Show Less
Open access

Datenschutz in sozialen Netzwerken in Europa, Deutschland und Chile

Eine rechtsvergleichende Untersuchung zum europäischen, deutschen und chilenischen Recht

Series:

Pablo Palma Calderón

Der Autor untersucht, ob geltendes Recht in Europa, Deutschland und Chile personenbezogene Daten in sozialen Netzwerken hinreichend vor Missbrauch schützt. Hierbei widmet er sich vertieft dem Vergleich deutscher und europäischer Regelungen mit der Rechtslage in Chile, zwei sehr unterschiedlichen Rechtsordnungen und technologisch komplizierten Sachverhalten. Der Fokus des Buches liegt auf der Untersuchung des Datenschutzes speziell in sozialen Netzwerken und auf der Beleuchtung der internationalen Dimension dieses Phänomens. So leistet der Autor einen rechtswissenschaftlichen Beitrag mit grenzüberschreitendem Blickwinkel zu dem Thema Datenschutz.

Show Summary Details
Open access

Viertes Kapitel: Datenschutz in sozialen Netzwerken

← 110 | 111 →

Viertes Kapitel: Datenschutz in sozialen Netzwerken

Mit der wachsenden Nutzung sozialer Netzwerke geht auch eine massenhafte Verarbeitung von Nutzerdaten einher. Nutzer geben hierbei nicht nur Daten über sich selbst in hohem Maße frei, sondern auch über Dritte, die davon häufig keine Kenntnis haben. Diese neue Form des User-Generated-Content stellt den Datenschutz weltweit vor neue Herausforderungen. Die Gefahr von Persönlichkeitsrechtsverletzungen steigt durch die massenhafte Preisgabe von persönlichen Daten. Daten, die einmal online veröffentlicht sind, können noch lange Zeit, auch an anderer Stelle, abrufbar sein. Datenschützer appellieren an Nutzer immer wieder, mit der Preisgabe ihrer Daten umsichtiger und vorsichtiger zu sein.841 Wie bereits erörtert, sind personenbezogene Daten als Basis für personalisierte Werbung für die Betreiber sozialer Netzwerke meist Haupteinnahmequelle.842

Soziale Netzwerke bieten ihren Dienst weltweit an, es kann also grundsätzlich jeder Mensch auf der Welt über das Internet darauf zugreifen. Dabei haben die größten sozialen Netzwerke wie Facebook, Path und Google Plus ihren Sitz im außereuropäischen Ausland. Wie aufgeführt, existiert kein Datenschutzrecht, das international gültig ist. Hieraus erwächst die Frage, wann welches nationale Recht bei der rechtlichen Beurteilung datenschutzrelevanter Sachverhalte in sozialen Netzwerken Anwendung findet.

A.  Anwendbarkeit des europäischen Datenschutzrechts auf soziale Netzwerke

Wie in dieser Arbeit bereits aufgezeigt wurde, richtet sich das anwendbare Recht für den Verantwortlichen der Verarbeitung personenbezogener Daten nach dem Ort seiner Niederlassung. Für Verarbeitungen personenbezogener Daten außerhalb des EWR gilt der Ort, an dem die für die Verarbeitung verwendeten Mittel belegen sind.843 Um den richtigen Anhaltspunkt für die Anwendung nationalen Rechts zu finden, muss für jedes soziale Netzwerk genau geprüft werden, ob eine Niederlassung besteht, wo sich diese befindet und inwiefern sie an der Verarbeitung personenbezogener Daten beteiligt ist. Eine in der Rechtsprechung für Deutschland relevante Entscheidung bzgl. der Anwendbarkeit deutschen Datenschutzrechts auf ein soziales ← 111 | 112 → Netzwerk fiel in den Beschlüssen des Oberverwaltungsgerichts (OVG) Schleswig-Holstein vom 22. April 2013844 in der Verwaltungsrechtssache der Facebook Inc. gegen das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein.

Hier hat das OVG entschieden, dass das deutsche Datenschutzrecht nicht auf das soziale Netzwerk Facebook anwendbar ist. Das OVG bestätigte das vom VG Schleswig-Holstein in erster Instanz beschlossene Urteil845, dass die Facebook Ireland Ltd. mit Sitz in Irland eine Niederlassung der Facebook Inc. mit Sitz in den USA i.S.d. Erwägungsgrunds 19 der Datenschutzrichtlinie 95/46/EG ist.846 Keine Anwendung hingegen findet § 1 Abs. 5 S. 2 BDSG, da die Facebook Inc. selber keine Daten von außerhalb der EU erhebt. Auch bei der Facebook Germany GmbH mit Sitz in Hamburg, Deutschland, sieht das OVG keine Anwendbarkeit des BDSG aus § 1 Abs. 5 S. 1 BDSG i.V.m. Art. 4 Abs. 1 a) DSRL, da diese lediglich in den Bereichen Anzeigenakquise und Marketing tätig ist und zudem unter der Kontrolle von Facebook Ireland Ltd. operiert. Eine Verarbeitung personenbezogener Daten findet bei der Facebook Germany GmbH nicht statt, so dass diese i.S.d. § 1 Abs. 5 S. 1 BDSG auch keine Niederlassung ist. Ebenso führt auch die Existenz eines in Deutschland ansässigen Auftragsdatenverarbeiters nicht zur Anwendbarkeit des deutschen Datenschutzrechts, da dieser datenschutzrechtlich als Teil der Facebook Ireland Ltd. anzusehen ist.847

Die Beschlüsse des OVG könnten zur Folge haben, dass sich global agierende Unternehmen mit Sitz außerhalb des EWR, z. B. Google oder Facebook, durch die Gründung einer Niederlassung in einem EU-Mitgliedstaat der Befolgung sämtlicher nationaler Datenschutzregeln entziehen können, auch wenn sich deren Angebot an Nutzer anderer EU-Mitgliedstaaten richtet. Es bestünde damit für Unternehmen, die außerhalb der EU bzw. des EWR angesiedelt sind, die Möglichkeit, durch tatsächliche Einbeziehung eines EU-Tochterunternehmens das innerhalb der gesamten EU für sie anwendbare Recht der Datenverarbeitung personenbezogener Daten gezielt zu wählen.848

Eine konträre Entscheidung zum anwendbaren Datenschutzrecht geht aus einem Urteil des Kammergerichts (KG) vom 24. Januar 2014849 in dem Rechtsstreit der Facebook Ireland Limited gegen die Verbraucherzentrale Bundesverband hervor. In dem Berufungsverfahren ist die Frage des anwendbaren Datenschutzrechts nur eine ← 112 | 113 → zu prüfende Vorstufe zur Beurteilung der Rechtmäßigkeit des „Freunde-Finders“, eine Funktion von Facebook, die dem Nutzer ermöglicht, Kontakte, die noch nicht Mitglied des Netzwerks sind, zu importieren. Das KG bestätigt in seinem Urteil die Auffassung des Landgerichts Berlin850, wonach deutsches Datenschutzrecht Anwendung findet.

In seiner Entscheidung bezieht sich das KG auf § 1 Abs. 5 S. 2 BDSG und den zugrundliegenden Art. 4 der europäischen DSRL. Anknüpfungspunkte sind die Art. 4 Abs. 1 lit. a DSRL und Art. 4 Abs. 1 lit. c DSRL. Bei der Prüfung des Art. 4 Abs. 1 lit. c DSRL ist das KG, anders als das OVG, der Auffassung, dass die Facebook Muttergesellschaft mit Sitz in den USA und damit außerhalb des EWR für die Verarbeitung personenbezogener Daten verantwortlich ist.851 Das KG geht davon aus, dass die Muttergesellschaft auf „Mittel“ mit Hilfe von Cookies auf Computern von deutschen Nutzern zurückgreift und damit auch Daten i.S.d § 1 Abs. 5 S. 2 BDSG erhebt und verarbeitet. Es gelte daher deutsches Recht. Darüber hinaus sieht das KG den Auftragsdatenverarbeiter mit Niederlassung in Deutschland als ein „Mittel“ an, auf das die Muttergesellschaft zurückgreift. Auch aus diesem Grunde gelte deutsches Recht.852

Bei der Prüfung des Art. 4 Abs. 1 lit. a DSRL kommt das KG zu dem Entschluss, dass in der Facebook Niederlassung in Irland keine „eigene effektive und tatsächliche Datenverarbeitung“ stattfindet: „Es ist insbesondere nicht erkennbar, dass die Beklagte den Internetauftritt für Deutschland mit eigenem Personal programmiert und diese Programme und ihre Änderungen unmittelbar selbst auf Datenverarbeitungsanlagen (eigene oder auch nur solche der Muttergesellschaft in den USA) aufspielt. Letztlich bezieht sie sich insoweit auch nur auf die tatsächliche Datenverarbeitung durch ihre Muttergesellschaft. Weitergehendes hat die Beklagte auch nach Erörterung in der mündlichen Verhandlung vor dem Senat nicht geltend gemacht.“853 Entscheidend für die Prüfung ist, in wieweit die europäische Niederlassung als verantwortliche Stelle angesehen werden kann und welche tatsächlichen Einflussmöglichkeiten sie auf Verarbeitungsvorgänge hat. Facebook konnte das KG nicht davon überzeugen, dass die irische Niederlassung allein für die Verarbeitungsvorgänge personenbezogener Daten deutscher Nutzer verantwortlich ist.

Im Ergebnis gibt es nun in Deutschland zwei Obergerichte mit unterschiedlicher Auffassung zum anwendbaren Datenschutzrecht auf Facebook. Hier muss Facebook als Präzedenzfall betrachtet werden, denn die Rechtsentscheidungen sind für alle Anbieter sozialer Netzwerke relevant. Solange kein Beschluss auf höchstrichterlicher ← 113 | 114 → Ebene gefällt wird, besteht sowohl für Anbieter als auch Nutzer sozialer Netzwerke weiterhin Rechtsunsicherheit bzgl. des anwendbaren Rechts. Auch mit der in 2018 in Kraft tretenden DS-GVO bleibt unklar, wann die nationalen Datenschutzregelungen, die aufgrund der Öffnungsklauseln erlassen werden, bei grenzüberschreitenden Datenverarbeitungen zu beachten sind.854

Die Frage, wann welches nationale Datenschutzrecht Anwendung findet, kann derzeit nicht beantwortet werden und hängt stark von den zukünftig erlassenen nationalen Regelungen ab.

B.  Anwendbarkeit des nationalen Datenschutzrechts auf soziale Netzwerke

Die Abgrenzung der datenschutzrechtlichen Anwendungsbereiche des BDSG, TMG und auch TKG gestaltet sich bei sozialen Netzwerken mitunter schwierig, da sich soziale Netzwerke aus mehreren Teilangeboten zusammensetzen, für die jeweils unterschiedliche Regelungen gelten. Da sich die Teilangebote sozialer Netzwerke unterscheiden, ist eine einheitliche, für alle sozialen Netzwerke umfassende Einordnung nicht möglich. Es kann jedoch festgehalten werden, dass überwiegend bei allen sozialen Netzwerken eine offene Kommunikation stattfindet und damit die inhaltliche Leistung im Vordergrund steht. Grundsätzlich findet damit das TMG auf soziale Netzwerke in Deutschland Anwendung.855

I.  Leistungszuordnung sozialer Netzwerke

In Anlehnung an die in dieser Arbeit geltende Definition sozialer Netzwerke sollen die Funktionen der Profilseiten und Kontaktlisten als Teilangebote sozialer Netzwerke rechtlich eingeordnet werden. Darüber hinaus ist allen sozialen Netzwerken die Funktion der Kommunikation über ein Nachrichtensystem gemein, welches ebenfalls im Folgenden betrachtet wird.

1.  Profilseiten

Die Profilseiten der Nutzer beinhalten sowohl die für die Registrierung notwendigen Daten des Nutzers als auch darüber hinaus gehende Daten sowie Bilder. Damit ist die inhaltliche Leistung Mittelpunkt der Profilseiten, und es gelten die Vorschriften des TMG und BDSG.856 ← 114 | 115 →

2.  Kontaktlisten

Kontaktlisten der Nutzer sind für andere Nutzer des sozialen Netzwerks und auch teilweise öffentlich sichtbar. Sie stellen eine inhaltliche Leistung der Anbieter sozialer Netzwerke dar und fallen daher in den Anwendungsbereich des TMG bzw. BDSG.857

3.  Private Nachrichten

Über den Großteil sozialer Netzwerke können private Nachrichten versandt werden. Hierüber kommunizieren einzelne Mitglieder innerhalb des sozialen Netzwerks miteinander. Die Nachrichten sind ausschließlich für den Empfänger und Absender der Nachricht zugänglich, wobei hier keine inhaltliche Leistung im Vordergrund steht, sondern vielmehr der rein technische Transport von Daten, d.h., es findet eine Übertragung über Kommunikationsnetze statt.858 Es gilt daher sowohl das TKG als auch TMG mit der Einschränkung gem. § 11 Abs. 3 TMG.859

4.  Öffentliche Nachrichten

Öffentliche Nachrichten können sich Nutzer sozialer Netzwerke über z. B. Pinnwände oder Gästebücher senden. Hierbei können auch Bilder und Links hinterlassen werden. Dabei steht die inhaltliche Leistung im Vordergrund, und es gelten die Vorschriften des TMG bzw. BDSG.860

II.  Personenbezogene Daten in sozialen Netzwerken

Voraussetzung für die Anwendung datenschutzrechtlicher Regelungen des TMG und BDSG ist das Vorliegen personenbezogener Daten, welche in sozialen Netzwerken in einer Art und Weise und Menge öffentlich verfügbar sind, wie man sie vorher noch nie gekannt hat.861 Das TMG enthält keine Definition personenbezogener Daten, so dass auf § 3 Abs. 1 BDSG zurückgegriffen werden muss.862 Folglich sind viele der Informationen, die Nutzer in sozialen Netzwerken veröffentlichen, personenbezogene Daten. Dazu gehören u.a. Profilinformationen, wie z. B. Name, Familienstand, E-Mail-Adresse, Fotos und auch Freundeslisten oder Videos. Bei all diesen Daten kann ein Rückschluss auf den Nutzer erfolgen und damit seine Person ← 115 | 116 → bestimmt werden. An welchen Maßstäben dabei die Bestimmbarkeit einer Person zu messen ist, ist ein in der Literatur umstrittenes Thema.

Die Bestimmbarkeit kann objektiv mit allen theoretisch zur Verfügung stehenden Mitteln von jedem Dritten erfolgen oder relativ, d.h. mit Mitteln der verarbeitenden Stelle.863 Nach Ansicht der objektiven Theorie genügt demnach die theoretische Möglichkeit der Bestimmbarkeit einer Person, auch wenn diese mit Mitteln Dritter ohne die Weitergabe des notwendigen Zusatzwissens an die verarbeitende Stelle erfolgt. Dies hätte zur Folge, dass jedes Datum in sozialen Netzwerken, bei dem irgendein Dritter durch Zusatzwissen die dahinter stehende Person bestimmen könnte, ein personenbezogenes Datum darstellen würde, so dass letztendlich jedes Datum ein personenbezogenes wäre.864 Im Gegensatz dazu kommt es bei der relativen Bestimmbarkeit ausschließlich auf die Kenntnisse, Mittel und Möglichkeiten der verarbeitenden Stelle an, wobei diese den Personenbezug mit den ihr zur Verfügung stehenden Mitteln und ohne einen unverhältnismäßigen Aufwand (Zeit, Aufwand, Arbeitskraft) durchführen muss.865 Dementsprechend kann ein Datum zur gleichen Zeit personenbezogen als auch nichtpersonenbezogen sein, abhängig von der Stelle, die über das Datum verfügt.866

1.  IP-Adressen

Technische Grundlage der Kommunikation im Internet und damit auch in sozialen Netzwerken sind die sog. IP-Adressen. Sie identifizieren die mit dem Internet verbundenen Geräte bzw. Rechner und ermöglichen den Austausch von Datenpaketen zwischen diesen.867 Grundsätzlich wird zwischen statischen und dynamischen IP-Adressen unterschieden. Statische IP-Adressen sind einem bestimmten Rechner fest zugeordnet,868 dynamische IP-Adressen hingegen werden vom Access-Provider869 bei jeder neuen Einwahl in das Internet neu vergeben, d.h., sie sind nur für die Dauer einer Internetverbindung gültig.870 Für statische IP-Adressen ist ein Personenbezug im Sinne des § 3 Abs. 1 BDSG allgemein anerkannt,871 für dynamische IP-Adressen ← 116 | 117 → hingegen war dies bisher in Deutschland streitig872, vor allem die Frage, ob dynamische IP-Adressen einen relativen oder absoluten Personenbezug aufweisen, weshalb der BGH dem EuGH am 17. Dezember 2014 Fragen dazu vorgelegt hat.873

In sozialen Netzwerken ist es für die Bestimmung der Person jedoch gar nicht relevant, ob es sich um dynamische oder statische IP-Adressen handelt. Sobald sich ein Nutzer in einem sozialen Netzwerk anmeldet, wird seine IP-Adresse, ganz gleich ob statisch oder dynamisch, dem Anbieter übermittelt. Zudem ist jeder Nutzer bzw. jedes Nutzungsprofil dem Anbieter mittels einer einmaligen Nutzer-Kennnummer bekannt. Durch Verbindung der IP-Adresse mit der Nutzerkennung des Profils ist ein Personenbezug ohne Weiteres möglich. Dieser lässt sich auch über die übrigen Profildaten eines Nutzers herstellen.874 Folglich ist es bei einer dynamischen IP-Adresse für den Anbieter eines sozialen Netzwerks zumindest im Zeitraum der Anmeldung des Nutzers möglich, einen Personenbezug herzustellen.875 IP-Adressen unterfallen damit den Vorschriften des TMG und BDSG.

2.  Cookies

Auch im Hinblick auf Software-Prgogramme wie Cookies, welche Anbieter sozialer Netzwerke nutzen, um unter anderem Nutzungsprofile876 für die Schaltung personalisierter Werbung zu erstellen, stellt sich ebenso wie bei IP-Adressen die Frage nach ihrer Personenbezogenheit. Allgemein wird in der Literatur vertreten, dass mit Hilfe von Cookies das Verhalten eines Nutzers im Internet problemlos identifiziert werden kann.877

Entscheidend bei der Frage nach der Personenbezogenheit ist der Inhalt des Cookies, da ein Cookie an sich nur eine leere Datei darstellt. Nutzer haben auf den Inhalt der gespeicherten Daten im Cookie keinen Einfluss.878 Es können verschiedene Daten wie z. B. Benutzernamen, Passwörter, Profildaten, Uhrzeiten, IP-Adressen ← 117 | 118 → oder besuchte Webseiten in einem Cookie gespeichert werden.879 Inhalt und Nutzungsdauer unterliegen dabei keinen technischen Restriktionen.880 So können Cookies auch über die Abmeldung des Browsers bzw. das Ausschalten des Rechners hinaus gespeichert werden und beim nächsten Besuch des Nutzers auf der Anbieterwebseite von diesem erkannt, abgerufen, die darin enthaltenen Informationen ausgelesen und an den Anbieterserver übermittelt werden.881

Anbieter sozialer Netzwerke verfügen über das erforderliche Zusatzwissen über ihre Nutzer (z. B. Profildaten), das einen Personenbezug grundsätzlich auch bei Nichtvorhandensein personenbezogener Daten in einem Cookie ermöglicht. Genau genommen kann eine Zuordnung des nicht personenbezogenen Cookie-Inhaltes mit den Nutzerdaten wie z. B. Registrierungsdaten erfolgen.882

Folglich stellen Cookies für Anbieter sozialer Netzwerke immer personenbezogene Daten dar und unterliegen den Vorschriften des TMG und BDSG.883

Weiter gilt es zu klären, wann eine Verarbeitung personenbezogener Daten beim Einsatz von Cookies stattfindet. Cookies werden automatisiert und i.d.R. ohne das Wissen der Nutzer auf deren Festplatte abgelegt und können bei Bedarf abgerufen werden.884 Dieser Vorgang kann bereits als ein Erheben personenbezogener Daten gem. § 3 Abs. 3 BDSG885 betrachtet werden, wobei der Vorgang des „Cookie-Setzens“ eine aktive Handlung darstellt mit dem Zweck der zukünftigen Speicherung und Übermittlung der Daten.886 Auch kann das „Cookie-Setzen“ als ein Speichern gem. § 3 Abs. 4 S. 2 Nr. 1 BDSG887 angesehen werden.888 Beide Voraussetzungen dieser Vorschrift werden erfüllt, denn das Cookie dient zum Zwecke einer weiteren Verarbeitung und wird auf einem Datenträger (Festplatte des Nutzers) gespeichert.889

Spätestens jedoch bei der Übermittlung der Daten im Cookie an den Anbieter des sozialen Netzwerks findet eine datenschutzrechtlich relevante Datenverarbeitung i.S.d. § 3 Abs. 4 S. 2 BDSG statt.890 Durch Zuordnung dieser Daten mit bereits vorhandenen Nutzerdaten ist eine Bestimmbarkeit der Person theoretisch möglich. Für Nutzer sozialer Netzwerke kann diese Form der Datenerhebung eine Gefahr für ihre Persönlichkeitsrechte darstellen. ← 118 | 119 →

III.  Datenschutzrechtliche Verantwortlichkeit in sozialen Netzwerken

Eine pauschale Bestimmung des datenschutzrechtlichen Verantwortlichen in sozialen Netzwerken nach deutschem Datenschutzrecht ist aufgrund der Tatsache, dass Nutzer eigene Daten und auch personenbezogene Daten über Dritte preisgeben, nicht möglich. Es kommen sowohl Anbieter als auch Nutzer sozialer Netzwerke als datenschutzrechtliche Verantwortliche in Betracht, wobei die Normen des TMG oder des BDSG Anwendung finden könnten. Aufgrund der Unberührtheitsklausel in Art. 1 Abs. 5 ECRL i.V.m. Erwägungsgrund 14 ECRL, findet die ECRL keine Anwendung auf Fragen des Schutzes natürlicher Personen bei der Verarbeitung personenbezogener Daten, da diese ausschließlich von der DSRL und der RL 97/66/EG erfasst werden, so dass die datenschutzrechtliche Verantwortlichkeit folglich vom BDSG geregelt wird, welches die DSRL in Deutschland umsetzt.891

Wie bereits aufgeführt definiert das BDSG in § 3 Abs. 7 eine verantwortliche Stelle als „jede Person oder Stelle, die personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen lässt.“892 Aufgrund der im Vergleich zur DSRL engeren Definition muss der Begriff verantwortliche Stelle richtlinienkonform ausgelegt werden.893 Abgeleitet aus Art. 2 lit. d DSRL kommt es bei der Bestimmung eines Verantwortlichen darauf an, welche Person oder Stelle die Entscheidungsverantwortung über die Zwecke und Mittel der Verarbeitung trägt; dabei unerheblich ist die rechtliche Zuordnung der Entscheidung. Zweck ist das zu erwartende „Ergebnis, das beabsichtigt ist oder die geplanten Aktionen leitet“, und „Mittel“ sind die „Art und Weise, wie ein Ergebnis oder Ziel erreicht wird“, d.h., der Zweck bestimmt das „Warum“ und die Mittel bestimmen das „Wie“ der Datenverarbeitung.894 Die Entscheidung über die Mittel kann Dritten überlassen bzw. delegiert werden, so dass der Zweck die Einstufung des für die Verarbeitung Verantwortlichen bedingt.895 Den Zweck der Datenverarbeitung in sozialen Netzwerken, warum also welche Daten verarbeitet werden, kennen nur die Anbieter selbst. Sie entscheiden sowohl über die Mittel als auch den Zweck der Datenverarbeitungen.896

Im Regelfall sind Nutzer sozialer Netzwerke als Betroffene anzusehen,897 jedoch stellt sich die Frage, ob ihnen neben den Anbietern eine Verantwortlichkeit bzw. Mitverantwortlichkeit für die Verarbeitung von personenbezogenen Daten zukommt, ← 119 | 120 → da es die Nutzer sind, die zum Teil entscheiden, welche Daten sie über sich selbst und über Dritte preisgeben. § 3 Abs. 7 BDSG schließt nicht aus, dass eine betroffene Person zur gleichen Zeit auch eine verantwortliche Stelle darstellen kann. Art. 2 lit. d DSRL spricht sogar ausdrücklich von einer verantwortlichen Stelle, „die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.“898 Der Begriff „gemeinsam“ muss hierbei im Sinne von „zusammen mit“ oder „nicht alleine“ ausgelegt werden. Dabei ist es entscheidend, ob mehr als eine Partei über die Zwecke und Mittel entscheidet.899 Sobald ein Nutzer personenbezogene Daten über Dritte in einem sozialen Netzwerk veröffentlicht, z. B. durch die Nennung des Namens eines Dritten in einem beliebigen Zusammenhang über seine Pinnwand, findet eine Übermittlung personenbezogener Daten gem. § 3 Abs. 4 S. 2 Nr. 3 BDSG statt.900 Bestätigt wird diese Auffassung durch das Urteil des EuGH in Sachen „Lindqvist“ vom 06. November 2003, welches entschied, „dass die Handlung, die darin besteht, auf einer Internetseite auf verschiedene Personen hinzuweisen und diese entweder durch ihren Namen oder auf andere erkennbar zu machen, eine ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten darstelle.“901 Die Daten werden auf dem Server der Anbieter abgespeichert, und der Anbieter kann die Daten direkt abrufen. Der Anbieter hat keinen Einfluss auf die Art der Inhalte und die mit der Datenveröffentlichung verbundenen Absichten der Nutzer. Die Nutzer allein entscheiden hierbei über den Zweck der Datenveröffentlichung und Datenverarbeitung, womit sie für die Übermittlung personenbezogener Daten als verantwortliche Stelle anzusehen sein sollten.902

Wie bereits in dieser Arbeit aufgezeigt, ist eine Datenverarbeitung jedoch gem. Art. 3 Abs. 2 zweiter Spiegelstrich DSRL und § 1 Abs. 2 Nr. 3 BDSG ausschließlich für persönliche oder familiäre Tätigkeiten erlaubt, d.h., die private Datenverarbeitung ist weder vom deutschen noch vom europäischen Datenschutzrecht beschränkt. Für eine wirksame Anwendung dieser Ausnahmeregelung müssten die Datenverarbeitungen der Nutzer „ausschließlich“ im Rahmen familiärer, d.h. privater Zwecke stattfinden. Aufgrund der unterschiedlichen Funktionsweise sozialer Netzwerke ist eine pauschale Anwendung dieser Ausnahmeregelung auf alle sozialen Netzwerke nicht möglich. Es müssen vielmehr die konkreten Verarbeitungsvorgänge und der tatsächliche Zweck im Einzelnen untersucht werden.903 Bei Netzwerken zum Aufbau und zur Pflege von geschäftlichen Beziehungen ist eine rein persönliche oder familiäre Nutzung nicht möglich, auch wenn es sich bei den Nutzern um Privatpersonen handelt, die auf ihren Profilen evtl. auch persönliche Daten von sich preisgeben. ← 120 | 121 → Da diese Netzwerke öffentlich zugängliche Profile haben, also der Zugriff auf die Profildaten „voraussetzungslos und ohne technische Zugangsbarrieren“ möglich ist904, scheitert die Ausnahmeregelung. Folglich gilt die Ausnahme grundsätzlich nicht für öffentlich zugängliche Profile.905

Offene und unbestimmte Netzwerke wie Facebook oder Google Plus sind grundsätzlich für den privaten Gebrauch bestimmt, so dass eine Anwendung des § 1 Abs. 2 Nr. 3 BDSG in Betracht kommt. Eine klare Abgrenzung zwischen privater und beruflicher Nutzung ist hierbei nur schwer möglich und muss im Einzelfall betrachtet werden. Grundsätzlich ist der Zweck der Nutzung dieser sozialen Netzwerke jedoch der private Austausch mit anderen Mitgliedern, indem z. B. Statusmeldungen, Fotos oder Nachrichten geteilt und persönliche Informationen wie Beziehungsstatus, Hobbys oder Vorlieben veröffentlicht werden. Im Sinne einer restriktiven Auslegung ist § 1 Abs. 2 Nr. 3 BDSG anwendbar. Die Ausnahmeregelung findet jedoch keine Anwendung, wenn der Nutzer sein Profil in den Einstellungen des sozialen Netzwerks öffentlich zugänglich macht. In diesem Fall haben unbeteiligte Personen, die nicht in dem sozialen Netzwerk angemeldet sind, Zugang zu diesem Profil, womit die Ausnahmeregelung scheitert.906

Die Datenverarbeitung der Nutzer muss getrennt von der Datenverarbeitung durch den Anbieter betrachtet werden. Die Nutzer haben keinen Einfluss darauf, wie mit ihren Daten nach der Übermittlung an den Anbieter umgegangen wird, so dass diese Datenverarbeitung allein beim Anbieter liegt.907

Nutzer sozialer Netzwerke sind demnach nicht als verantwortliche Stelle anzusehen, wenn sie Daten an den Anbieter übermitteln und die Datenverarbeitung im Rahmen persönlicher Zwecke stattfindet. Hierbei ist es jedoch wichtig zu beachten, dass bei der Frage der Einstufung stets die konkreten Verarbeitungsvorgänge geprüft werden müssen und eine pauschale Aussage auf die Frage, wann eine Datenverarbeitung persönliche bzw. berufliche Aktivitäten betrifft, nicht getroffen werden kann. Nutzer sozialer Netzwerke müssen daher ebenso wie Anbieter den Schutz des informationellen Selbstbestimmungsrechts beachten, wenn sie personenbezogene Daten von Dritten veröffentlichen.908 Allein die Nutzung sozialer Netzwerke zu privaten Zwecken schützt Nutzer nicht vor einer möglichen Verantwortlichkeit.909

Die Verantwortlichkeit der Anbieter und Nutzer sozialer Netzwerke überschneidet sich dabei nicht, sondern besteht nebeneinander.910 ← 121 | 122 →

In einem Urteil vom 09. Oktober 2013911 hat das Schleswig-Holsteinische Verwaltungsgericht eine datenschutzrechtliche Verantwortlichkeit von sog. Facebook-Fanpage912-Betreibern für die Verarbeitung personenbezogener Daten von Nutzern der Fanpage durch Facebook verneint. Drei Unternehmen und Betreiber von Facebook-Fanpages hatten gegen das ULD geklagt, da dieses von den Betreibern eine Deaktivierung der Fanpages verlangte mit der Begründung, dass die Datenerhebung der Fanpage-Nutzer durch Facebook gegen das Datenschutzrecht verstoße, weil über die Datenerhebung zum einen vorab nicht ausreichend informiert werde und daher keine wirksame Einwilligung vorliege und zum anderen eine Widerspruchsmöglichkeit fehle. Die Betreiber einer Facebook-Fanpage seien hierfür mitverantwortlich.913

Das VG ist der Auffassung, dass Betreiber einer Facebook-Fanpage zwar Diensteanbieter i.S.d. § 2 S. 1 Nr. 1 TMG sind, die eigene oder fremde Telemedien zur Nutzung bereithalten oder den Zugang zur Nutzung vermitteln, jedoch eine datenschutzrechtliche Verantwortlichkeit bzw. Mitverantwortlichkeit für die durch den Besuch von Nutzern auf der Fanpage und die damit ausgelösten Datenverarbeitungen seitens Facebook nicht vorliegt.914 Das Gericht begründet seine Auffassung mit der Gegebenheit, dass allein der Anbieter Facebook über die Zwecke und Mittel der Datenverarbeitung entscheidet und die Betreiber der Fanpage weder einen rechtlichen noch tatsächlichen Einfluss auf die Verarbeitung personenbezogener Daten der Nutzer der Fanpage haben. Die Betreiber einer Fanpage verfügen allein durch die Annahme des Angebots zur Einrichtung einer Fanpage und zur Füllung dieser mit Inhalten über keine Entscheidungsmacht bzgl. Mitteln und Zwecken der Datenverarbeitung. Zudem begründet das VG seine Entscheidung mit der Gegebenheit, dass bei Aufruf einer Fanpage seitens eines Nutzers die personenbezogenen Daten direkt und ausschließlich vom Nutzer zu Facebook gelangen. Es finde keine Übermittlung915 seitens des Facebook-Betreibers statt, und die Betreiber kämen in keinen direkten Kontakt mit den Nutzerdaten. Auch dieser fehlende Kontakt schließe die datenschutzrechtliche Verantwortlichkeit gem. § 3 Abs. 7 BDSG und Art. 2 lit. d DSRL aus, zumal darüber hinaus von keiner Auftragsdatenverarbeitung ausgegangen werden könne.916

Das ULD hatte bereits am 19. August 2011 die datenschutzrechtliche Unzulässigkeit der Einbindung von Fanpages und sog. Social Plugins, insbesondere den „Facebook-Like-Button“, proklamiert.917 Social Plugins sind von Anbietern sozialer Netzwerke zur Verfügung gestellte Funktionen, die Webseitenbetreiber auf ihren ← 122 | 123 → Webseiten integrieren können, um Nutzern die Möglichkeit zu geben, mit dem sozialen Netzwerk zu interagieren. Dabei werden bereits teilweise schon allein nur durch den Aufruf der Seite, in die das Social Plugin integriert ist, Nutzerdaten seitens des Anbieters des sozialen Netzwerks erhoben und ggf. verarbeitet, indem u.a. die IP-Adresse des Nutzers übermittelt wird. Der Nutzer und der Webseitenbetreiber haben keinen Einfluss und keine Kenntnis über Art und Umfang der Datenverarbeitung durch den Anbieter des sozialen Netzwerks.918 Nur der Anbieter des sozialen Netzwerks selbst weiß, welche Daten explizit übertragen werden.

Das ULD ist der Auffassung, dass dem Webseitenbetreiber mit Einbindung eines Social Plugins, speziell des „Facebook-Like-Buttons“, auch eine datenschutzrechtliche Verantwortung zukommt.919 Nutzerdaten werden bei Aufruf der Seite an Facebook weitergeleitet,920 wonach gem. § 13 Abs. 5 TMG eine Anzeigepflicht des Anbieters, hier des Webseitenbetreibers, besteht. Der Nutzer muss genau wissen, in welchem Dienst er sich bewegt und wer ggf. über seine Daten verfügt. Als datenschutzrechtlich Verantwortlicher müsste der Webseitenbetreiber gem. § 13 Abs. 1 TMG die Nutzer vorab über die Datenverarbeitung hinreichend informieren und eine wirksame Einwilligung der Nutzer einholen. Technisch ist die Einholung einer wirksamen Einwilligung der Nutzer für Webseitenbetreiber schwer umsetzbar, da schon bei Aufruf der Seite Daten erhoben werden. Zudem ist es grundsätzlich fragwürdig, ob Webseitenbetreibern eine datenschutzrechtliche Verantwortung zuzuschreiben ist, da eine direkte Datenerhebung und – speicherung durch diesen nicht erfolgt, so dass der Webseitenbetreiber mangels eigener Speicherung der Daten auch keine Übermittlung i.S.d. § 3 Abs. 4 S. 2 Nr. 3 BDSG vornehmen kann.921 Die Daten werden direkt von Facebook erhoben und verarbeitet. Aus der Tatsache, dass die von Facebook erhobenen Daten später an den Webseitenbetreiber im Zuge der Reichweitenanalyse922, d.h. einer qualifizierten Rückmeldung an den Webseitenbetreiber hinsichtlich der Nutzung des Angebots, übermittelt werden, ist keine datenschutzrechtliche Verantwortlichkeit der Webseitenbetreiber abzuleiten, da die Daten für ← 123 | 124 → den Webseitenbetreiber nicht personenbezogen sind.923 Ein gerichtliches Urteil, das für Webseitenbetreiber Rechtssicherheit schaffen könnte, gibt es dazu bisher nicht.

Ob Anbieter sozialer Netzwerke für die Datenerhebung und – verarbeitung mittels Social Plugins eine wirksame Einwilligung ihrer Nutzer einholen, muss im Einzelfall geprüft werden. Nach Meinung des ULD liegt diese bei Facebook nicht vor.924

IV.  Zulässigkeit der Datenverarbeitung

Im deutschen Datenschutzrecht ist eine Erhebung und Verarbeitung personenbezogener Daten nur zulässig, wenn eine Rechtsvorschrift dies erlaubt oder der Nutzer darin einwilligt.925 Liegt keine Einwilligung des Nutzers vor, ist für die Frage der Zulässigkeit der Datenverarbeitung durch soziale Netzwerke zunächst die Einordnung der personenbezogenen Daten notwendig.

1.  Bestandsdaten

Im Sinne des in dieser Arbeit bereits ausführlich beschriebenen § 14 TMG926 gehören zu Bestandsdaten in sozialen Netzwerken die Daten, die für die Anmeldung erforderlich sind. Für kostenlose soziale Netzwerke gehören dazu i.d.R. der Benutzername, das Passwort, der Name und die E-Mail-Adresse. Im Rahmen kostenpflichtiger Netzwerke zählen auch die Bankdaten zu den Bestandsdaten, da diese für die Abwicklung von Zahlungen notwendig sind.927

Die Verarbeitung von Bestandsdaten in einem sozialen Netzwerk ist gem. § 14 Abs. 1 TMG zulässig, soweit sie für die Begründung, inhaltliche Ausgestaltung oder Änderung eines Vertragsverhältnisses zwischen dem Diensteanbieter und dem Nutzer über die Nutzung von Telemedien erforderlich sind. Folglich ist entscheidend, ob ein Vertragsverhältnis zwischen Anbieter des sozialen Netzwerks und Nutzer vorliegt. Dieses kommt mit Registrierung des Nutzers bei einem sozialen Netzwerk zustande. § 14 Abs. 1 TMG gilt für alle sozialen Netzwerke, für deren Nutzung eine Registrierung oder vergleichbare Anmeldung erforderlich ist.928

Der Erforderlichkeitsgrundsatz gilt als entscheidendes Kriterium der Anwendbarkeit des § 14 Abs. 1 TMG, wobei umstritten ist, wann eine Erhebung und Verarbeitung von Bestandsdaten erforderlich ist. Bei einer strengen Auslegung des ← 124 | 125 → Erforderlichkeitsbegriffs ist die Verwendung von Bestandsdaten nur zulässig, wenn diese für die Gestaltung eines Vertragsverhältnisses unerlässlich, d.h. zwingend notwendig sind.929 Eine weitere Auslegung bindet die Erforderlichkeit gem. § 14 Abs. 1 TMG an das konkrete Vertragsverhältnis, welches in jedem Einzelfall geprüft werden muss. Im Falle sozialer Netzwerke sind alle bereits genannten Daten erforderlich, die eine ordnungsgemäße Vertragsdurchführung sicherstellen. Der Diensteanbieter kann durch entsprechende Vertragsgestaltung festlegen, welche Daten der Nutzer zum Vertragsschluss angeben muss. Es können daher je nach Art des sozialen Netzwerks noch weitere Daten erforderlich sein, wie z. B. das Geburtsdatum bei Facebook zur Sicherstellung der Volljährigkeit des Nutzers.930

Der Zweckbindungsgrundsatz gem. § 12 Abs. 2 TMG verbietet eine über den für das Vertragsverhältnis erforderlichen Zweck hinausgehende Verwendung der Bestandsdaten. Sie müssen demnach auf das unverzichtbare Maß begrenzt werden.931 Für Verwendungszwecke, die über die Vorschrift des § 14 Abs. 1 TMG hinausgehen, benötigen Anbieter sozialer Netzwerke stets eine wirksame Einwilligung gem. § 13 Abs. 1 und Abs. 2 TMG. Es stellt sich daher die Frage, ob die Verwendung von Bestandsdaten zu Werbezwecken durch den Anbieter zulässig ist.

Wie bereits erläutert, finanziert sich ein Großteil der Anbieter sozialer Netzwerke über Werbeeinnahmen, speziell über personalisierte Werbung.932 Für eine zulässige Verwendung von Bestandsdaten zu Werbezwecken müsste diese für die Vertragsdurchführung erforderlich sein. Davon kann bei sozialen Netzwerken nicht ausgegangen werden, da Gegenstand des Vertragsverhältnisses die Bereitstellung aller technischen und organisatorischen Rahmenbedingungen zur Nutzung des sozialen Netzwerkes für die Nutzer ist. Die Verwendung von Bestandsdaten zu Werbezwecken ist daher nur mit der Einwilligung der Nutzer nach den § 13 Abs. 1 und Abs. 2 TMG möglich.

2.  Nutzungsdaten

Zu den Nutzungsdaten in sozialen Netzwerken gem. § 15 Abs. 1 TMG gehören alle Daten, die nach der Anmeldung für die Nutzung des Netzwerks erforderlich sind bzw. aufgrund des Kommunikations- und Nutzungsverhaltens entstehen, wie bspw. während der Kommunikation zwischen Anbieter und Nutzer. Dazu gehören z. B. Cookies, IP-Adresse, Session-ID, Nutzungsdauer, Benutzername und Passwort. Eine Überschneidung von Bestands- und Nutzungsdaten lässt sich nicht ausschließen, so stellen z. B. IP-Adresse, Benutzername und Passwort sowohl Bestands- als auch Nutzungsdaten dar, da sie sowohl für die Gestaltung des Vertragsverhältnisses als auch für die Inanspruchnahme des Netzwerks erforderlich sind.933 ← 125 | 126 →

Nach dem Erforderlichkeitsprinzip ist eine Erhebung und Verwendung von Nutzungsdaten ohne Einwilligung des Nutzers gem. § 15 Abs. 1 S. 1 TMG zulässig, wenn die Daten tatsächlich erforderlich sind, um die Inanspruchnahme von Telemedien zu ermöglichen oder abzurechnen. Ein Vertragsverhältnis ist dabei keine Zulässigkeitsvoraussetzung.934 Die Erforderlichkeit muss dabei, ebenso wie bei den Bestandsdaten, eng ausgelegt werden und richtet sich nach der Ausgestaltung des sozialen Netzwerks.935

Nutzungsdaten, die zur Ermöglichung der Inanspruchnahme erhoben und verwendet, aber für die Abrechnung nicht benötigt werden, müssen gem. § 15 Abs. 4 TMG nach Ende des Nutzungsvorgangs gelöscht oder gesperrt werden, falls keine anderweitige Berechtigung vorliegt.936 Für soziale Netzwerke wie Facebook oder Google Plus, die kostenlos angeboten werden, trifft dies für die Mehrheit personenbezogener Nutzungsdaten zu.937

Der Zweckbindungsgrundsatz gem. § 12 Abs. 2 TMG gilt auch für Nutzungsdaten. Für eine zulässige Verwendung von Nutzungsdaten, die über die Vorschriften des § 15 Abs. 1 S. 1 TMG hinausgehen, bedarf es einer wirksamen Einwilligung der Nutzer auf Grundlage des § 12 TMG.

Für eine zulässige Verwendung von Nutzungsdaten zu Werbezwecken müsste diese für die Inanspruchnahme des sozialen Netzwerks erforderlich sein. Dies ist nicht der Fall, so dass die Verwendung von Nutzungsdaten zu Werbezwecken daher nur mit einer datenschutzrechtlichen Einwilligung der Nutzer gem. den § 13 Abs. 1 und Abs. 2 TMG möglich ist.

3.  Inhaltsdaten

Personenbezogene Daten, die über das bloße Nutzungsverhältnis sozialer Netzwerke hinausgehen, werden als sog. Inhaltsdaten bezeichnet. Inhaltsdaten sind von Bestands- und Nutzungsdaten abzugrenzen, da sie mit Hilfe des jeweiligen Telemediums transportiert werden und nicht für die Vertragsabwicklung, Nutzung des Netzwerks oder für dessen Abrechnung erforderlich sind.938 Sie stehen in keinem funktionalen Zusammenhang mit der Nutzung sozialer Netzwerke.939 In sozialen Netzwerken zählen hierzu freiwillig angegebene personenbezogene Daten bzw. Profildaten der Nutzer wie z. B. Geschlecht, Familienstand, beruflicher Werdegang, ← 126 | 127 → Hobbys, etc. Auch eingestellte Inhalte wie Postings, Fotos und Kommentare zählen zu Inhaltsdaten.940 Die Einordnung dieser Daten ist im Datenschutzrecht allerdings sehr umstritten. Eine explizite Regelung von Inhaltsdaten findet im TMG im Gegensatz zu Bestands- und Nutzungsdaten nicht statt. Inhaltsdaten seien eben nicht erforderlich und werden bei der Nutzung sozialer Netzwerke lediglich übermittelt. Daher wird zum Teil die Meinung vertreten, dass Inhaltsdaten dem BDSG unterliegen.941

Nach einer weiteren Ansicht sind Inhaltsdaten in sozialen Netzwerken als Unterfall der Nutzungsdaten zu verstehen, so dass § 15 TMG Anwendung findet. Die Daten für die Nutzung des sozialen Netzwerks seien zwar nicht erforderlich, jedoch machten sie gerade den Zweck des sozialen Netzwerks aus, da dieser darin bestünde, Informationen auszutauschen, indem Daten im Netzwerk gespeichert und veröffentlicht werden. Die Daten stünden im unmittelbaren Zusammenhang mit der Erbringung des Telemediendienstes.942 In diesem Falle sei die Einordnung der Inhaltsdaten unter Nutzungsdaten erforderlich und ausschließlich das TMG anwendbar. Darüber hinaus wird von Vertretern dieser Ansicht die Anwendbarkeit des TMG damit begründet, dass die Vertragserfüllung „online“, d.h. auf der Ebene des Telemediendienstes stattfindet. Es würde demnach der abschließenden Natur des TMG widersprechen, wenn bestimmte online eingegebene und genutzte Daten, die nicht von dem engen Begriff der Bestands- oder Nutzungsdaten erfasst werden, den Bestimmungen des BDSG unterfielen.943

Für eine Anwendung des TMG sprechen die Regelungen des § 12 Abs. 1 und Abs. 2 TMG, die für eine Anwendbarkeit eines anderen Gesetzes oder einer anderen Rechtsvorschrift einen direkten Bezug auf Telemedien voraussetzen. Beim BDSG ist dies nicht der Fall.

Dagegen spricht die Tatsache, dass das TMG ausschließlich Regelungen zur Erhebung und Verwendung für Bestands- und Nutzungsdaten trifft und eine Regelung für Inhaltsdaten gänzlich fehlt. Hierbei ist von einer bewussten Trennung der Datenkategorien seitens des Gesetzgebers auszugehen. In einem Gesetzesentwurf zur Änderung des TMG ist er der Auffassung, dass im Rahmen von sog. Nutzerkonten in sozialen Netzwerken Daten „entweder im Rahmen des Anwendungsbereichs des TMG von dem in § 14 TMG geregelten Begriff der Bestandsdaten erfasst werden oder als Inhaltsdaten den Regelungen des BDSG unterfallen“944. Eine versehentliche Regelungslücke ist damit ebenfalls ausgeschlossen. Für den wesentlichen Zweck und die Nutzung sozialer Netzwerke sind die Grunddaten, die bei der Anmeldung angegeben werden, grundsätzlich ausreichend. Inhaltsdaten sind ← 127 | 128 → für die Inanspruchnahme des Netzwerkes nicht erforderlich. Für die Zulässigkeit der Verarbeitung von Inhaltsdaten in einem sozialen Netzwerk sind daher die Regelungen des BDSG, insbesondere § 28 und § 29 BDSG, anzuwenden.

§ 28 BDSG findet Anwendung bei Datenverarbeitungen für eigene Geschäftszwecke, wobei die Verarbeitung der Daten als Hilfsmittel zur Erfüllung eigener Geschäftszwecke dient.945 § 29 BDSG hingegen greift bei geschäftsmäßigen Datenverarbeitungen zum Zweck der Übermittlung. Hier bilden die Daten selbst den Geschäftsgegenstand.946 In dem Fall, dass eine verantwortliche Stelle sowohl Daten für eigene Zwecke als auch für Geschäftszwecke erhebt, finden beide Vorschriften Anwendung.947

Anbieter sozialer Netzwerke als verantwortliche Stelle unterliegen bei der Erhebung von Inhaltsdaten § 29 BDSG, da die Daten geschäftsmäßig erhoben werden und eine auf Wiederholung und eine gewisse Dauer gerichtete Tätigkeit vorliegt.948 Gestützt wird diese Auffassung durch ein Urteil des BGH, in dem es für ein Bewertungsportal als Anbieter entschied, dass dieses mit der Erhebung der Daten keinen eigenen Geschäftszweck, wie dies § 28 BDSG voraussetzt, verfolgt, sondern die Daten geschäftsmäßig i.S.d. § 29 Abs. 1 S. 1 BDSG zur Übermittlung an Dritte erhebt und speichert.949

Gerade im Hinblick auf Datenerhebungen sozialer Netzwerke zu Werbezwecken bzw. für Werbepartner ist es zutreffend, dass die Erhebung und Verarbeitung der Daten geschäftsmäßig i.S.d. § 29 Abs. 1 BDSG zum Zweck der Übermittlung und eben nicht nur zu eigenen Geschäftszwecken stattfindet.950

Eine zulässige Verwendung von Inhaltsdaten zu Werbezwecken ist gem. § 28 Abs. 3 S. 1 BDSG nur mit einer Einwilligung der Nutzer möglich. Voraussetzungen sind dabei die §§ 4, 4a BDSG und § 13 Abs. 2 TMG.

Wie bereits weiter oben aufgeführt, sind Nutzer sozialer Netzwerke aufgrund der Ausnahmeregelung des Art. 3 Abs. 2 zweiter Spiegelstrich DSRL und § 1 Abs. 2 Nr. 3 BDSG grundsätzlich nicht als verantwortliche Stelle anzusehen, es sei denn, sie nutzen ihr Profil im Internet zu beruflichen Zwecken. Nur für den Fall, dass der Nutzer sein Profil in den Einstellungen des sozialen Netzwerks öffentlich zugänglich macht, scheitert die Ausnahmeregelung, obwohl kein berufliches oder geschäftliches Interesse dahinter steht.951 Hier stellt sich die Frage, welcher Erlaubnistatbestand für diese Nutzer als verantwortliche Stelle Anwendung findet. Die Anwendung der §§ 28 ff. BDSG stellt sich für Nutzer problematisch dar, da diese einen eigenen Geschäftszweck oder die geschäftsmäßige Datenverarbeitung voraussetzen.952 Im ← 128 | 129 → Gegensatz zu Anbietern sozialer Netzwerke trifft dies auf Nutzer nicht zu, wenn sie ihr Profil öffentlich bereitstellen. Hier ist eine vergleichbare Anwendung der Erlaubnistatbestände notwendig, da der Gesetzgeber bisher nicht geregelt hat, dass natürliche Personen Daten in sozialen Netzwerken verarbeiten ohne geschäftsmäßig zu handeln. Dies kann man als Regelungslücke bezeichnen.953 Nach § 29 BDSG bilden die Daten selbst den Geschäftsgegenstand, wonach Nutzer sozialer Netzwerke an diesen Daten ein geschäftliches Interesse haben müssten. Es ist jedoch davon auszugehen, dass dies nicht der Fall ist, wenn Nutzer persönliche Daten in ihrem Profil in einem sozialen Netzwerk preisgeben – wenn auch offen im Internet, da sie das Netzwerk zu rein privaten Zwecken nutzen. Es kommt daher eher § 28 Abs. 1 S. 1 Nr. 2 BDSG als Erlaubnistatbestand in Betracht, wonach eine Verarbeitung „personenbezogener Daten oder ihre Nutzung als Mittel für die Erfüllung eigener Geschäftszwecke“954 zulässig ist, „soweit es zur Wahrung berechtigter Interessen der verantwortlichen Stelle erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Verarbeitung oder Nutzung überwiegt“955. Der Begriff „Geschäftszwecke“ müsste mit „Zwecke“ oder „private Zwecke“ ersetzt werden.956 Unter das „berechtigte Interesse“ fällt auch jedes ideelle, berechtigte Interesse,957 wobei hierzu insbesondere das Recht auf informationelle Selbstbestimmung als Ausprägung des allgemeinen Persönlichkeitsrechts gem. Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG sowie das Grundrecht auf Meinungsfreiheit gem. Art. 5 Abs. 1 GG zu zählen sind. Unsachliche Schmähkritik und Formalbeleidigungen fallen nicht unter ein berechtigtes Interesse958 und damit auch nicht in den Anwendungsbereich des § 28 Abs. 1 S. 1 Nr. 2 BDSG. Für eine gerechte Bewertung bei der Verwendung personenbezogener Daten seitens der Nutzer in sozialen Netzwerken muss eine Interessenabwägung immer im Einzelfall erfolgen.959 Für Nutzer, die ihr Profil im Internet öffentlich sichtbar machen, findet folglich § 28 Abs. 1 S. 1 Nr. 2 BDSG analog Anwendung.960

4.  Personalisierte Werbung

Wie bereits aufgeführt, finanziert sich ein Großteil der Anbieter sozialer Netzwerke durch Werbung, indem bspw. Werbeflächen auf der Plattform Drittanbietern, sog. Anbietern von Werbenetzwerken, zum Verkauf angeboten werden. Personalisierte ← 129 | 130 → Werbung ist dabei von besonderem Interesse, da sie effizienter ausgesteuert werden kann und damit für die Anbieter sozialer Netzwerke gewinnbringender ist. Daher nehmen Wert und Bedeutung personenbezogener Daten stetig zu.961

Technische Voraussetzung für den Einsatz personalisierter Werbung sind Cookies. Dabei können die mit Cookies gewonnenen Informationen vom Anbieter eines sozialen Netzwerks zu sog. Nutzungsprofilen zusammengeführt werden.

a)  Nutzungsprofile

Die durch Cookies erhobenen einzelnen Daten sind für soziale Netzwerke nicht besonders vielsagend. Erst mit der zielgerichteten Verknüpfung bzw. Zusammenführung der einzelnen Daten eines Nutzers erstellen sie sog. Nutzungsprofile, die ein Persönlichkeitsbild bzw. Teilabbild der Persönlichkeit ermöglichen.962

Erlaubnistatbestand für die Erstellung von Nutzungsprofilen ist § 15 Abs. 3 TMG, wonach Nutzungsprofile nur für bestimmte Zwecke unter Verwendung von Pseudonymen963 und nur dann erstellt werden dürfen, wenn der Nutzer nach entsprechendem Hinweis nicht widersprochen hat.964 Eine Zusammenführung der pseudonymisierten Daten mit den personenbezogenen Nutzerdaten ist nicht erlaubt.965

Voraussetzung für die Erstellung von Nutzungsprofilen ist die ausschließliche Nutzung von Nutzerdaten i.S.d. § 15 Abs. 1 TMG. Möchte ein Anbieter eines sozialen Netzwerks über den gesetzlichen Erlaubnistatbestand hinaus Bestands- und Inhaltsdaten verwenden, ist eine datenschutzrechtliche Einwilligung der Nutzer gem. den § 13 Abs. 1 und Abs. 2 TMG und §§ 4, 4 a BDSG notwendig.

Es ist davon auszugehen, dass soziale Netzwerke Nutzungsprofile in erster Linie dazu nutzen, um ihr Diensteangebot zu individualisieren und personalisierte Werbung ausspielen zu können.

b)  Einsatz von Cookies zu Werbezwecken

Wie bereits aufgeführt, findet spätestens mit der Übermittlung der Daten in einem Cookie an den Server des Anbieters eines sozialen Netzwerks eine datenschutzrechtlich relevante Datenverarbeitung i.S.d. § 3 Abs. 4 S. 2 BDSG statt. Da die Anbieter über das erforderliche Zusatzwissen über ihre Nutzer verfügen, handelt es sich bei diesen Daten um personenbezogene Daten, und es finden die Vorschriften des BDSG und TMG Anwendung.966 ← 130 | 131 →

Werden durch den Einsatz von Cookies personenbezogene Inhaltsdaten erhoben, die zu Zwecken der späteren Übermittlung, d.h. an Dritte für Werbezwecke, dienen, findet § 29 Abs. 1 und Abs. 2 BDSG Anwendung, wobei eine zulässige Verwendung von Inhaltsdaten zu Werbezwecken gem. § 28 Abs. 3 S. 1 BDSG nur mit einer Einwilligung der Nutzer möglich ist.967

Möchte der Anbieter Bestands- oder Nutzungsdaten für Werbezwecke erheben, benötigt er eine Einwilligung gem. § 13 Abs. 1 und Abs. 2 TMG.968 Der Anbieter hat dabei immer die Pflicht, die Nutzer gem. § 13 Abs. 1 TMG in klar verständlicher Form über den Zweck der Erhebung und Verwendung ihrer Daten zu unterrichten.969

Anbieter sozialer Netzwerke können die mithilfe von Cookies gesammelten Daten ihrer Nutzer verarbeiten und zu Nutzungsprofilen zusammenführen. Diese können dann an Anbieter von Werbenetzwerken weitergeleitet werden, die wiederum zielgerichtet Werbung aussteuern können.970 Hierbei stellt sich die Frage, inwiefern diese Datenverarbeitung und Übermittlung der Daten an den Werbetreibenden zulässig ist und welche Pflichten den Anbieter des sozialen Netzwerks treffen.

aa)  Verantwortlichkeit sozialer Netzwerke

Der Anbieter des sozialen Netzwerks setzt den Cookie und sendet die personenbezogenen Daten zurück an den eigenen Server, um dann ggf. Nutzungsprofile zu erstellen und diese anschließend an Werbetreibende weiterzuleiten. Er entscheidet damit auch über Mittel und Zweck der erhobenen Daten. In Folge dessen ist der Anbieter für die Datenverarbeitung mittels Cookies gem. § 3 Abs. 7 BDSG als verantwortliche Stelle anzusehen.971 Handelt es sich bei den Daten um personenbezogene Inhaltsdaten, ist gem. § 29 Abs. 1 S. 2 BDSG § 28 Abs. 1 S. 2 und Abs. 3 bis 3b BDSG anzuwenden. Folglich muss der Zweck der Datenverarbeitung bereits bei der Erhebung der Daten feststehen.972 Der BGH kommt in seiner Entscheidung im Fall eines Bewertungsportals zu dem Entschluss, dass die Erhebung der Daten im Informationsinteresse und für den Meinungsaustausch der Nutzer erfolgt und es nicht Zweck der Datenerhebung ist, dass zur Finanzierung der Website auch Werbeanzeigen verbreitet werden.973 In Folge dessen ist der Anbieter des sozialen Netzwerks an diesen Zweck gebunden und darf auch im nachfolgenden Umgang mit den Daten nicht von diesem Zweck abweichen. Eine Verwendung und Übermittlung der Daten wäre damit nicht zulässig, sofern keine Einwilligung der Nutzer gem. § 28 Abs. 3 S. 1, 3a S. 1 BDSG vorliegt. Für eine Erhebung der Daten ausschließlich zum Zwecke der Werbung würden die Vorschriften des § 28 Abs. 3 bis 3 b BDSG gelten. ← 131 | 132 →

Der Zweckbindungsgrundsatz gilt gem. den §§ 29 Abs. 4, 28 Abs. 5 BDSG auch für den Werbetreibenden, dem die Daten übermittelt werden. Nur unter den Voraussetzungen des § 28 Abs. 2 und Abs. 3 BDSG ist eine Verarbeitung zu anderen Zwecken möglich.974

Auch für die Erhebung und Verarbeitung von Nutzungsdaten ist der Anbieter des sozialen Netzwerks als Verantwortlicher, d.h. als Diensteanbieter i.S.d. § 2 S. 1 Nr. 1 TMG einzuordnen.975 Die Verwendung von Bestands- und Nutzungsdaten zu Werbezwecken ist nur mit einer datenschutzrechtlichen Einwilligung der Nutzer nach den § 13 Abs. 1 und Abs. 2 TMG möglich.

bb)  Einwilligung der Betroffenen

Grundsätzlich gelten für die Voraussetzungen einer Einwilligung in Bezug auf Inhaltsdaten die Vorschriften der §§ 4, 4a BDSG und für Bestands- und Nutzungsdaten die Vorschriften der §§ 12 Abs. 1 und 13 Abs. 2 TMG. Für die Verarbeitung und Übermittlung personenbezogener Inhalts- und Nutzungsdaten benötigen Anbieter sozialer Netzwerke wie erwähnt eine Einwilligung der Nutzer gem. § 28 Abs. 3 S. 1, Abs. 3a BDSG und den §§ 13 Abs. 1 und Abs. 2 TMG, wobei die Voraussetzungen der §§ 4 und 4a BDSG zu beachten sind. Die Einwilligung kann dabei elektronisch erfolgen.976 Die Erstellung von Nutzungsprofilen aus Nutzungsdaten unter Pseudonym ist geschützt durch § 15 Abs. 3 S. 1 TMG, so dass hier ein Hinweis auf das Widerrufsrecht des Nutzers ausreichen könnte. Wie bereits in dieser Arbeit aufgezeigt, sind jedoch pseudonymisierte Daten für die Stelle, die die Pseudonymisierung durchführt, personenbezogen,977 hier also für die Anbieter sozialer Netzwerke. Folglich ist § 15 Abs. 3 S. 1 TMG nicht anwendbar. Da im Rahmen sozialer Netzwerke zudem Nutzungsdaten allein für die Erstellung von Nutzungsprofilen nicht ausreichen, sondern vielmehr auch Bestands- und Inhaltsdaten verwendet werden, ist gem. § 13 Abs. 1 S. 1 TMG eine Einwilligung der Nutzer „zu Beginn des Nutzungsvorgangs“ einzuholen,978 d.h. bereits beim Setzen des Cookies.979 Die europäische Cookie Richtlinie, die sich gem. Art. 5 Abs. 3 RL 2002/58/EG auf Informationen bezieht, die in einem Endgerät eines Teilnehmers oder Nutzers gespeichert werden, gilt auch im Rahmen der Erstellung von Nutzungsprofilen durch Cookies. Ausnahmen gelten ausschließlich für Cookies, die für die „Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz“ erforderlich sind, oder wenn „damit der Anbieter eines Dienstes der Informationsgesellschaft einen vom Teilnehmer oder Nutzer ausdrücklich gewünschten Dienst zur Verfügung ← 132 | 133 → stellen kann“980; z. B. Warenkorb-Cookies, die erforderlich sind, um einen Dienst bereit zu stellen, oder Login-Cookies, um den Nutzer bei seiner Anmeldung zu erkennen.981 Nach Art. 5 Abs. 3 RL 2002/58/EG ist eine informierte und aktive Einwilligung auch dann erforderlich, wenn es sich um nicht personenbezogene Daten handelt,982 das bedeutet, dass auch bei einer Pseudonymisierung eine Einwilligung erforderlich ist.983 Eine analoge Umsetzung findet sich im deutschen Recht nicht. Da jedoch aufgrund der von der EU-Kommission akzeptierten Stellungnahme der Bundesregierung eine konforme Umsetzung der Cookie Richtlinie in Deutschland anzunehmen ist,984 gilt § 12 TMG, wonach eine Einwilligung nur für die Erhebung und Verwendung personenbezogener Daten erforderlich ist.

Um dem Gebot der Transparenz gerecht zu werden, ist eine bei der Einwilligung in klar verständlicher Form umfangreiche Unterrichtung der Nutzer bzw. die Bereitstellung bestimmter Informationen nach § 13 Abs. 1 TMG, § 4a Abs. 1 S. 2 BDSG notwendig.985 Der Nutzer soll abschätzen können, was mit seinen Daten weiter geschieht bzw. wer wann was über ihn weiß, und er soll dadurch die Möglichkeit erhalten, die Rechtmäßigkeit der Datenverarbeitung zu überprüfen.986 Die Unterrichtung muss vollständig, aktuell und inhaltlich richtig sein,987 also darüber informieren, wer für die Platzierung des Cookies und die Erhebung der entsprechenden Informationen zuständig ist, dass der Cookie für die Erstellung von Profilen genutzt wird, welche Art an Informationen gesammelt werden, um diese Profile zu erstellen, und dass die Profile an Werbetreibende zur Schaltung personalisierter Werbung übermittelt werden.988 Findet die Datenverarbeitung außerhalb der EU statt, muss darüber hinaus auch über den Ort der Datenverarbeitung informiert werden.989 Diese Unterrichtung findet in sozialen Netzwerken durch die Bereitstellung der Informationen in einer Datenschutzerklärung990 im Rahmen der Registrierung statt. Abhängig von der Ausgestaltung des sozialen Netzwerks muss immer im Einzelfall betrachtet werden, ob eine diesen Anforderungen hinreichend wirksame Einwilligung des Nutzers vorliegt.991 ← 133 | 134 →

Datenschutzerklärungen sozialer Netzwerke beinhalten i.d.R. sehr lange Texte, da sie die genaue Funktionsweise des jeweiligen Netzwerks erklären und sämtliche rechtlich relevanten Datenverarbeitungsvorgänge erfassen.992 Ob Nutzer diese umfangreichen Datenschutzerklärungen wirklich lesen, ist zu bezweifeln.993 Es ist daher fraglich, ob diese Form der Einwilligungserklärungen ihre rechtfertigende Wirkung entfalten kann.994 Für die Erfüllung der Unterrichtungspflicht ist jedoch die tatsächliche Kenntnisnahme der Datenschutzerklärung unerheblich. Für die Kenntniserlangung durch die Nutzer reicht ein bei der Registrierung deutlich hervorgehobener Hinweis mit Verlinkung zur Datenschutzerklärung, die sich in einem Pop-Up-Fenster oder einem neuen Browserfenster öffnen kann, aus.995

Die in § 13 Abs. 2 Nr. 1 TMG für eine elektronische Einwilligung geforderte „bewusste und eindeutige Handlung“996 kann in jedem Fall durch das aktive Setzen eines Häkchens in einer Checkbox erfolgen (Opt-in Modell).997 Aber auch ein Opt-out Modell in Form eines vorausgewählten Einwilligungskästchens ist durch das Payback-Urteil des BGH als datenschutzrechtlich wirksame Einwilligung akzeptiert.998 So ist der BGH bzgl. der Einwilligung in Form des Opt-out Modells in die Verarbeitung von Daten für Werbung per Post der Auffassung, dass die Notwendigkeit zur Versagung der Einwilligung das dafür vorbereitete Kästchen anzukreuzen, keine ins Gewicht fallende Hemmschwelle darstellt, die den Verbraucher davon abhalten könnte, von seiner Entscheidungsmöglichkeit Gebrauch zu machen.999 Zwar bezog sich der BGH in seiner Entscheidung auf § 4a BDSG, jedoch lassen sich die Ausführungen auf eine elektronische Einwilligung übertragen, da diese lediglich als eine erleichterte Form der Einholung der Einwilligung dient.1000 Folglich ist für eine wirksame Einwilligung nicht die „aktive“ Form der Erklärung erforderlich, vielmehr muss der Nutzer die Möglichkeit haben, seine Entscheidung frei zu treffen, d.h. auch keine Einwilligung abzugeben und im Falle eines Opt-out Modells das Häkchen entfernen zu können.1001 Wichtig ist, dass auch beim Opt-out Modell die nötigen Informationen gem. § 13 Abs. 1 TMG, § 4a Abs. 1 S. 2, die dem Nutzer vor Einwilligungsabgabe zu erteilen sind, zur Verfügung gestellt werden.

In dem Rechtsstreit der Facebook Ireland Limited gegen die Verbraucherzentrale Bundesverband zur Beurteilung der Rechtmäßigkeit des „Freund-Finders“ sehen ← 134 | 135 → sowohl das Kammergericht1002 als auch das Landgericht Berlin1003 im Hinblick auf die Einwilligung des Nutzers in die Verarbeitung seiner Daten durch Facebook einen Verstoß gegen § 4a Abs. 1 BDSG. Mit Hilfe der Funktion „Freunde-Finder“ kann der Nutzer sein persönliches E-Mail-Postfach von Facebook durchsuchen lassen und erfahren, welche seiner Kontakte bereits bei Facebook registriert sind und welche nicht. Mit Betätigung einer Schaltfläche kann der Nutzer die Kontakte, die nicht zum Facebook-Nutzerkreis gehören, importieren, indem diesen Kontakten eine Freundschaftseinladung per E-Mail gesendet wird. Beide Gerichte sind der Auffassung, dass der Nutzer vorab nicht hinreichend darüber informiert wird, dass auch auf Daten von außerhalb des Netzwerks Facebook stehenden Dritten zugegriffen wird, somit nicht ausreichend über den Zweck der Datenverwendung informiert wird und seine Einwilligung damit auf keiner freien Entscheidung beruht. Es fehlt daher an einer wirksamen Einwilligung gem. § 4a Abs. 1 BDSG und es liegt ein Verstoß gegen § 28 Abs. 3 S. 1 BDSG vor, wonach die Verarbeitung oder Nutzung personenbezogener Daten für Zwecke der Werbung zulässig ist, soweit der Betroffene eingewilligt hat.1004

In beiden Urteilen wird zudem die Unwirksamkeit der datenschutzrechtlichen Einwilligung in die Datenschutzrichtlinien des Netzwerks Facebook bekräftigt, die u.a. Klauseln für die Datenverwendung zu Werbezwecken und Übermittlung an Dritte beinhaltet.1005 Der Nutzer werde bei der Registrierung nicht ausreichend über die Art und Weise der Nutzung der Daten sowie über die Reichweite der Erklärung informiert, da jeder Hinweis darauf, dass überhaupt Daten erhoben und verwendet werden, geschweige denn zu welchem Zweck dies geschehen soll, fehlen.1006 Aufgrund der ungenügenden Informationen und mangelnden Transparenz ist keine wirksame Einwilligung gegeben.

Eine ausdrückliche Einwilligung fehlte auch im Fall der sog. Gesichtserkennung bei dem Anbieter Facebook. Im Juni 2011 stellte Facebook die Funktion der Gesichtserkennung seinen Nutzern standardmäßig zur Verfügung, die es den Nutzern ermöglichte, Freunde auf hochgeladenen Fotos zu markieren und identifizieren. Die auf den Fotos abgebildeten Personen wurden von dieser Funktion automatisch mit anderen Nutzerprofilbildern abgeglichen und ermöglichten bei Übereinstimmung dem hochladenden Nutzer eine Verlinkung mit dem entsprechenden Profil.1007 Europäische Datenschützer kritisierten u.a. die fehlende informierte Einwilligung der ← 135 | 136 → abgebildeten Personen, woraufhin Facebook die Gesichtserkennungsfunktion im September 2012 abschaltete.1008

(1)  Koppelungsverbot

Die Voraussetzung der in § 4a S. 1 BDSG normierten freiwilligen Erteilung einer wirksamen Einwilligung gilt ebenso für § 13 Abs. 2 TMG.1009 In diesem Zusammenhang stellt sich die Frage, ob in sozialen Netzwerken das in dieser Arbeit bereits erwähnte Koppelungsverbot gem. § 28 Abs. 3b BDSG, das dem Schutz der Nutzer für eine freiwillige Einwilligungserklärung dient, eingreift. Eine unzulässige Koppelung besteht, wenn alle Anbieter sozialer Netzwerke eine Einwilligung der Nutzer in die Verarbeitung personenbezogener Daten für Werbezwecke fordern würden. Die Unwirksamkeit der Einwilligung wäre dann die Folge.1010 Es stellt sich hierbei die zentrale Frage, ob dem Nutzer ein anderer Zugang zu gleichwertigen vertraglichen Leistungen ohne die Einwilligung nicht oder nicht in zumutbarer Weise möglich ist. Nach der Rechtsprechung ist für die Frage, ob dem Nutzer ein anderer Zugang zu diesen Telediensten in zumutbarer Weise möglich ist, darauf abzustellen, ob der Anbieter des sozialen Netzwerks eine Monopolstellung innehat und diese ausnutzt.1011 Entscheidend ist demnach die jeweilige Marktsituation und ob die Leistung auf dem Markt in vergleichbarer Form in Anspruch genommen werden kann.1012 Das OLG Brandenburg ist in seiner Entscheidung zum Online-Auktionshaus eBay der Auffassung, dass auch bei einem Marktanteil von mehr als 73 Prozent nicht von einer Monopolstellung auszugehen sei. Allein die Tatsache, dass andere Anbieter vergleichbare Leistungen anbieten, genügt für den Ausschluss des Koppelungsverbots.1013 Die Frage, ob eine Monopolstellung für ein soziales Netzwerk vorliegt, ist folglich eine Einzelfallentscheidung. Unter Berücksichtigung des Urteils des OLG Brandenburg ist eine Anwendung des Koppelungsverbots aus § 28 Abs. 3b BDSG auf soziale Netzwerke jedoch unwahrscheinlich.1014 ← 136 | 137 →

(2)  Registrierung als konkludente Einwilligung

Im Online-Bereich, also auch im Rahmen sozialer Netzwerke, ist das Risiko einer missverständlich abgegebenen Einwilligung grundsätzlich größer als im analogen Bereich, da die Voraussetzungen einer wirksamen Einwilligung „aufgrund der Schnelligkeit und Einfachheit der Funktionen dieses Mediums“1015 einfacher unterlaufen werden können.1016 Voraussetzung einer wirksamen Einwilligung ist, wie bereits erörtert, eine „Willensbekundung“ i.S.d Art. 2 lit. h DSRL bzw. eine „bewusste und eindeutige Handlung“ nach § 13 Abs. 2 Nr. 1 TMG. Erforderlich ist folglich das Vorliegen irgendeiner Art von Handlung, eine einfache Untätigkeit reicht nicht aus.1017 Die Willensbekundung muss dabei gem. Art. 7 lit a DSRL „ohne jeden Zweifel“ abgegeben werden, d.h., es darf kein Zweifel an der Absicht des Nutzers bei der Einwilligungsabgabe vorliegen. Diesen Anforderungen wird nach Meinung der Artikel 29-Datenschutzgruppe zum einen eine klare, ausdrückliche Einwilligung gerecht, zum anderen Verfahren, die eine eindeutige, konkludente Einwilligung der Person an den Empfänger übermitteln.1018 In der Literatur wird zwar auch vertreten, dass nur eine ausdrücklich erteilte Einwilligung wirksam ist, jedoch ist der Gesetzgeber selbst der Meinung, dass im Anwendungsbereich des BDSG eine konkludente Einwilligung möglich ist.1019 Dafür spricht auch die in Art. 2 lit. h DSRL gewählte Formulierung „jede Willensbekundung“. Grundsätzlich ist daher eine konkludente Einwilligung möglich. Entscheidend ist dabei die Frage, ob die Einwilligung „ohne jeden Zweifel“ abgegeben wird und die für eine Einwilligung notwendigen Informationen bereitgestellt werden.1020 Eine ausdrückliche Einwilligung wird, wie bereits erwähnt, beispielsweise durch das aktive Setzen eines Häkchens in einer Checkbox oder durch das Anklicken einer Schaltfläche erteilt, sofern dem Nutzer vorab die dafür benötigten Informationen bereitgestellt wurden.1021 Bei einer konkludenten Einwilligung muss aus der Handlung des Nutzers ohne jeden Zweifel die Einwilligungsabsicht in eine Datenverarbeitung abgeleitet werden können.1022 Auch hier müssen dem Nutzer die dafür benötigten Informationen zur Verfügung gestellt werden, aus denen sich Zweck, Umfang und Art der Datenverarbeitung ergeben.1023 Ob die Voraussetzungen einer konkludenten Einwilligung in sozialen Netzwerken vorliegen, muss immer im Einzelfall geprüft werden. Mit der DS-GVO ist eine ← 137 | 138 → konkludente Einwilligung gem. Art. 6 Abs. 1 lit. a DS-GVO nicht vorgesehen.1024 Die DS-GVO stellt erhöhte Anforderungen an die Wirksamkeit der Einwilligung, und es ist anzunehmen, dass zukünftig strengere Anforderungen, insbesondere an die konkreten Zweckangaben im Einwilligungstext, gestellt werden.

V.  Rechtsprechung

In der Rechtsprechung zeigt sich eine Tendenz zur restriktiven Auslegung des allgemeinen Persönlichkeitsrechts, sofern persönliche Daten vom Nutzer selbst ins Internet gestellt wurden. So wertet das LG Hamburg die Veröffentlichung eines Fotos der eigenen Person auf einer Internetseite als konkludente Erklärung für ein Einverständnis des Betroffenen mit der Wiedergabe bzw. dem Erscheinen dieses Fotos in Ergebnisanzeigen von Personen-Suchmaschinen1025. Die gem. § 22 KUG erforderliche Einwilligung ist hierbei nicht notwendig. Grundsätzlich ist es jedem Nutzer selbst überlassen, welche Daten er öffentlich preisgibt, jedoch bedeutet ein Veröffentlichen persönlicher Daten in sozialen Netzwerken für den Betroffenen eine Schwächung des Schutzes seines Persönlichkeitsrechts, d.h., der Schutz der Privatsphäre tritt bei Preisgeben persönlicher Informationen vor öffentlicher Kenntnisnahme zurück. Die Rechtssprechung orientiert sich hier an den bereits aus früheren für den Offline-Bereich entwickelten Grundsätzen1026. Wie bereits erwähnt ist vielen Nutzern die Folgen ihres Tuns bei der Nutzung sozialer Netzwerke nicht bekannt, jedoch umfasst Datenschutz nicht den Schutz des Menschen vor sich selbst.1027

C.  Selbstregulierung für soziale Netzwerke

Seit 2009 existiert in Deutschland unter dem Dach des Vereins der Freiwilligen Selbstkontrolle der Multimediaanbieter (FSM) ein Verhaltenskodex deutscher Anbieter sozialer Netzwerke.1028 Dieser Kodex soll den Jugendschutz, Datenschutz und Verbraucherschutz in den deutschen Angeboten deutlich verbessern.

Ein Versuch der Selbstverpflichtung im Bereich des deutschen Datenschutzrechts, zusammen mit international agierenden Anbietern sozialer Netzwerke (Facebook und Google Plus), wurde im Mai 2013 in einem „Closing Report“1029 als ← 138 | 139 → offiziell gescheitert erklärt. Das Projekt „Kodex für soziale Netzwerke“ wurde im November 2011 durch Initiative des Bundesministeriums des Innern (BMI) gestartet, wobei der FSM die inhaltlichen Verhandlungen mit acht Anbietern sozialer Netzwerke1030 übernahm. Für die deutschen Datenschützer war die Teilnahme der international agierenden Anbieter sozialer Netzwerke besonders bedeutend, da diese immer wieder in der Kritik stehen, gegen deutsches bzw. europäisches Datenschutzrecht zu verstoßen. Ziel dieses Projektes war es für den Bereich des Datenschutzes „zu einer Selbstregulierung zu kommen, die einen Mehrwert für den Verbraucher darstellt“.1031 Am Ende der Verhandlungen waren von insgesamt acht Anbietern sozialer Netzwerke nur drei bereit, die Ergebnisse anzuerkennen. Als Gründe für das Scheitern werden in dem abschließenden Bericht einerseits unzureichende gesetzliche Bestimmungen genannt, da der bestehende § 38a BDSG weder etwas über Verfahrensfragen, noch über eine Kompetenzzuweisung an die Selbstkontrolle aussage. Andererseits würden die Verhandlungen vor dem Hintergrund der DS-GVO, die mit Inkrafttreten die Bestimmungen des § 38a BDSG bedeutungslos werden lassen würde, noch komplexer. Darüber hinaus werden für das Scheitern die international agierenden Anbieter sozialer Netzwerke verantwortlich gemacht, da diese für ganz Europa einheitliche Vorgaben anstrebten.1032

Eine im November 2013 veröffentlichte Orientierungshilfe des Düsseldorfer Kreises1033 für den Umgang mit den Verhaltensregeln nach § 38a BDSG1034 soll für mehr Klarheit sorgen und das Thema der Selbstregulierung in der deutschen Wirtschaft attraktiver machen.1035

D.  Zwischenergebnis zum Datenschutz in sozialen Netzwerken

Wie aufgezeigt, stellen die im Rahmen sozialer Netzwerke erhobenen Daten für Anbieter sozialer Netzwerke personenbezogene Daten dar, da sie sich den einzelnen Nutzern genau zuordnen lassen. Damit muss nach dem europäischen und deutschen ← 139 | 140 → Datenschutzrecht für die zulässige Erhebung, Verarbeitung und Nutzung dieser Daten eine gesetzliche Erlaubnisvorschrift oder eine wirksame Einwilligung der Nutzer vorliegen. Der Einwilligung kommt dabei eine besonders große Bedeutung zu, da durch sie letztendlich jede Art der Datenverarbeitung ermöglicht werden kann, sofern dem kein gesetzliches Verbot entgegensteht. Es zeigt sich, dass sich Gefahren für das Persönlichkeitsrecht immer dann ergeben, wenn das Recht auf Einwilligung bei Verwendung der Daten des Nutzers nicht ausreichend berücksichtigt wird.1036

In vielen Datenschutzerklärungen sozialer Netzwerke sehen deutsche Verbraucherschützer eine Unvereinbarkeit mit dem deutschen Datenschutzrecht.1037 Es handelt sich hierbei häufig um Anbieter sozialer Netzwerke mit Sitz im außereuropäischen Ausland, vor allem in den USA, da das dortige Verständnis von Datenschutz ein grundlegend anderes als in Europa bzw. Deutschland ist. Europäische und deutsche Datenschützer sehen in dem Export von Nutzerdaten von europäischen Tochterfirmen an ihre amerikanischen Muttergesellschaften im Rahmen des PRISM Programms einen Verstoß gegen die europäische DSRL und damit eine Gefährdung des Rechts auf informationelle Selbstbestimmung. Auch Geheimdienste überwachen die Kommunikation im Internet, wie mit dem Überwachungssystem „Echelon“ bekannt wurde.1038

Die steigende Bedeutung von personenbezogenen Daten für die Werbeindustrie bedeutet eine weitere Gefährdung für das Persönlichkeitsrecht der Nutzer. Funktionen wie bspw. Social Plugins oder Cookies bieten sicherlich viele interessante Nutzungsmöglichkeiten sowohl für Nutzer als auch Anbieter, jedoch darf die Gefahr, die dabei für die Privatsphäre und das Recht auf informationelle Selbstbestimmung der Nutzer ausgeht, nicht verkannt werden. Neben Nutzerdaten werden zudem vermehrt Daten von Nichtnutzern erhoben.1039 Anbieter sozialer Netzwerke müssen, um das Persönlichkeitsrecht der Nutzer und Nichtnutzer nicht zu gefährden, gewissen datenschutzrechtlichen Pflichten nachkommen und insbesondere die Anforderungen an eine wirksame Einwilligung erfüllen. Das Grundrecht auf informationelle Selbstbestimmung gewährleistet „die Befugnis des Einzelnen, grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen“1040. Folglich muss dem Nutzer ein bedachter und verantwortungsvoller Umgang mit ← 140 | 141 → seinen Daten bei der Nutzung sozialer Netzwerke zugemutet werden.1041 Solange er die Folgen seines Handelns überschauen kann und er den Umgang mit seinen Daten bewusst selbst entscheiden kann, indem er hinreichend informiert wird, ist seine informationelle Selbstbestimmung gegeben.1042 Für den Nutzer ist eine wirkliche Kontrolle über jeglichen Umgang seiner Daten kaum möglich, da er häufig gar nicht erfährt, welche Daten wo und wie über ihn verarbeitet werden.1043 Darüber hinaus ist der Nutzer zunehmend bereit, die Kontrolle über seine privaten Daten aufzugeben, um neue technische Funktionen nutzen zu können, die der Bequemlichkeit oder dem Knüpfen sozialer Verbindungen dienen.1044 Er ist sich den Gefahren für seine Privatsphäre bei der Nutzung sozialer Netzwerke meist nicht bewusst und kann den Zweck der Datenerhebung, -verarbeitung und -nutzung häufig nicht erkennen und verstehen.1045 Hier zeigt sich die große Bedeutung eines transparenten Informationsflusses seitens der Anbieter.

Daneben besteht die Gefahr der Verwendung von Daten durch andere Nutzer. Hierbei können Persönlichkeitsrechte anderer Personen unbewusst verletzt werden, z. B. durch das Veröffentlichen eines Fotos von Freunden, deren wirksame Einwilligung dazu nicht vorliegt.1046 Gefahren entstehen jedoch auch durch den Missbrauch mit Daten z. B. Beleidigungen, Belästigungen oder andere Formen der Schmähkritik.

Vor dem Hintergrund der Entstehung der europäischen und deutschen Datenschutzgesetzgebung zum Schutz der Bürger vor Eingriffen in die Privatsphäre seitens des Staates bzw. der öffentlichen Verwaltung herrscht für Anbieter und Nutzer sozialer Netzwerke zum Teil große Rechtsunsicherheit, da die Praxis zeigt, wie wenig passend viele bestehende Regelungen sind.1047 Die Rechtsprechung hat bisher häufig schneller als der Gesetzgeber auf die neuen Herausforderungen, die mit der Nutzung sozialer Netzwerke einhergehen, reagiert. Weltweite, auch innerhalb der Europäischen Union, unterschiedliche Datenschutzniveaus führen zu Rechtsunsicherheiten und Wettbewerbsverzerrungen, die sich für Anbieter in Europa aufgrund der strengen Datenschutzregeln nachteilig auswirken.1048 Gerade jedoch im Hinblick auf das anwendbare Recht bei Anbietern sozialer Netzwerke mit außereuropäischen Sitz fehlen höchstrichterliche Entscheidungen, um sowohl für Diensteanbieter als auch Nutzer Rechtssicherheit zu schaffen. Konsequenz ist häufig, dass international ← 141 | 142 → agierende Unternehmen ihre Server im außereuropäischen Ausland platzieren, um den strengen europäischen bzw. deutschen Datenschutzregeln zu entgehen.1049

Es zeigt sich hier der eingangs erwähnte Konflikt zwischen dem Schutz der Privatsphäre und der rasanten technischen und sozialen Entwicklung im Internet, mit der die Gesetze nicht Schritt halten können.


841 International Working Group on Data Protection in Telecommunications, Bericht und Empfehlung zum Datenschutz in sozialen Netzwerkdiensten – Rom-Memorandum, 43. Sitzung, 2008, S. 8 f., abrufbar unter http://www.datenschutz.fu-berlin.de/dahlem/ressourcen/675_36_13-ROM-Memorandum.pdf (zuletzt abgerufen am 27.03.2017).

842 Vgl. Zweites Kapitel D.

843 Vgl. Drittes Kapitel C. II. 2. a) bb) und Drittes Kapitel D. II. 1. b).

844 OVG Schleswig-Holstein, Beschlüsse vom 22.04.2013, Az. 4 MB 10/13, 4 MB 11/13.

845 VG Schleswig-Holstein, Urteil vom 14.02.2013, Az. 8 B 60/12 = ZD 2013, S. 245 ff.

846 „Facebook Ireland Ltd. erfülle mit ihrem am Standort Dublin vorhandenen Personal (400 Personen) und den dortigen Einrichtungen die Voraussetzungen für die Annahme des Vorhandenseins einer Niederlassung in Irland. Es liege die effektive und tatsächliche Ausübung einer Tätigkeit mittels einer festen Einrichtung im Sinne des Erwägungsgrundes 19 RL 95/46/EG vor.“ Az. 4 MB 11/13 Punkt 4.

847 OVG Schleswig, Beschluss vom 22. 04.2013, Az. 4 MB 11/13 = ZD 2013, S. 365.

848 Karg, ZD 2013, S. 373.

849 KG Berlin, Urteil vom 24.01.2014, Az. 5 U 42/12 = ZD, 2014, S. 412.

850 LG Berlin, Urteil vom 06.03.2012, Az. 16 O 551/10 = ZD, 2012, S. 276.

851 „Ebenso werden die über den Internetauftritt der Beklagten erhobenen und weitergehend verwendeten Daten in tatsächlicher Hinsicht von dieser Muttergesellschaft verarbeitet.“, KG Berlin, Urteil vom 24.01.2014, Az. 5 U 42/12 = ZD, 2014, S. 414.

852 KG Berlin, Urteil vom 24.01.2014, Az. 5 U 42/12 = ZD, 2014, S. 415.

853 Ebd.

854 Siehe dazu Drittes Kapitel C. III.

855 Jotzo, 2013, S. 52; Karg/ Fahl, K&R 2011, S. 456; Pfeiffer/ Weller/ Nordmeier in Spindler/ Schuster, § 3 TMG, Rn. 3.

856 Karg/ Fahl, K&R 2011, S. 456.

857 Ebd.

858 Hawellek in Forgó/ Helfrich/ Schneider, 2014, Teil VII Kap. 2, Rn. 19; Karg/ Fahl, K&R 2011, S. 457.

859 Karg/ Fahl, K&R 2011, S. 456 f.

860 Ebd., S. 456.

861 Bericht und Empfehlung zum Datenschutz in sozialen Netzwerkdiensten, 2008, S. 2.

862 Siehe auch Drittes Kapitel D. II. 1. a) (aa).

863 Vgl. Forgó/ Helfrich/ Schneider, 2014, Teil VII Kap. 2, Rn. 31; Missling in Weitnauer, 2012, S. 376; Piltz, 2013, S. 62 f.; siehe auch Spindler/ Nink in Spindler/ Schuster, 2011, § 11 TMG, Rn. 5, 5a.

864 Spindler/ Nink in Spindler/ Schuster, 2011, § 11 TMG, Rn. 5b.

865 Forgó/ Helfrich/ Schneider, 2014, Teil VII Kap. 1, Rn. S. 12; Gola/ Schomerus, 2007, § 3 BDSG, Rn. 10; Missling in Weitnauer, 2012, S. 376.

866 Breyer, ZD 2014, S. 400.

867 Forgó/ Helfrich/ Schneider, 2014, Teil VII Kap. 1, Rn. 7; Schwenke, 2012, S. 378.

868 Bauer/ Greve/ Hopf, 2011, S. 101.

869 Anbieter für den Zugang zum Internet.

870 Missling in Weitnauer, 2012, S. 376; Spindler/ Nink in Spindler/ Schuster, 2011, § 11 TMG, Rn 8; Tinnefeld/ Buchner/ Petri, 2012, S. 224.

871 Dittmayer, DuD 2012, S. 528; Spindler/ Nink in Spindler/ Schuster, 2011, § 11 TMG, Rn 8.

872 Abrufbar unter http://www.cr-online.de/blog/2015/09/13/ip-adressen-eu-kommission-gibt-bgh-nachhilfe-in-sachen-grundrechte/ (zuletzt abgerufen am 27.03.2017).

873 BGH, Beschluss vom 28.10.2014, Az. VI ZR 135/13 abrufbar unter http://juris.bundesgerichtshof.de/cgi-bin/rechtsprechung/document.py?Gericht=bgh&Art=pm&Datum=2015&nr=69680&linked=bes&Blank=1&file=dokument.pdf (zuletzt abgerufen am 27.03.2017); Vorabentscheidungsersuchen des BGH vom 17.12.2014, Az. C-582/14, abrufbar unter http://curia.europa.eu/juris/document/document.jsf?text=&docid=162555&pageIndex=0&doclang=DE&mode=req&dir=&occ=first&part=1&cid=307356 (zuletzt abgerufen am 27.03.2017).

874 So auch das KG Berlin, Urteil vom 29.04.2011, Az. 5 W 88/11 = MIR 05/2011, S. 3.

875 Piltz, 2013, S. 64 f.

876 Siehe Viertes Kapitel B. IV. 2.

877 Artikel 29-Datenschutzgruppe, 2007, WP 136, S. 16; so auch der EuGH in seinem Urteil vom 6.11.2003, Az. C-101/01, Rn. 27.

878 Piltz, 2013, S. 168 f.; Schröder/ Hawxwell/ Münzing, Deutscher Bundestag WD 3 – 3000 – 306/11 neu, S. 7.

879 Piltz, 2013, S. 168.

880 Kühling/ Seidel/ Sivridis, 2011, S. 241.

881 Hoeren in Festschrift Heussen, 2009, S. 211.

882 Gola/ Reif, 2013, S. 159.

883 Piltz, 2013, S. 169 f.; im Ergebnis auch Spindler/ Nink in Spindler/ Schuster, 2011, § 11 TMG, Rn. 8b.

884 Determann, 1999, S. 92.

885 Vgl. Drittes Kapitel D. II. 1. a) bb) (1).

886 Piltz, 2013, S. 171.

887 Vgl. Drittes Kapitel D. II. 1. a) bb) (2) (2.1).

888 Hoeren in Festschrift Heussen, 2009, S. 211.

889 Vgl. Drittes Kapitel D. II. 1. a) bb) (2) (2.1).

890 Kühling/ Seidel/ Sivridis, 2011, S. 241.

891 Hoffmann in Spindler/ Schuster, 2011, §§ 7 ff. TMG, Rn. 10; Karg, ZD 2014, S. 55.

892 § 3 Abs. 7 BDSG.

893 Vgl. Drittes Kapitel D. II. 1. a) (cc).

894 Artikel 29-Datenschutzgruppe, 2010, WP 169, S. 11.

895 Artikel 29-Datenschutzgruppe, 2010, WP 169, S. 17, 39; Jandt/ Roßnagel, ZD 2011, S. 161.

896 Vgl. Artikel 29-Datenschutzgruppe, 2009, WP 163, S. 6; Jandt/ Roßnagel, ZD 2011, S. 160; Piltz, 2013, S. 91.

897 Artikel 29-Datenschutzgruppe, 2009, WP 163, S. 6.

898 Art. 2 lit. d DSRL.

899 Artikel 29-Datenschutzgruppe, 2010, WP 169, S. 22.

900 Vgl. Drittes Kapitel, D. II. 1. a) bb) (2) (2.3).

901 EuGH, Urteil vom 06.11.2003, Az. C-101/01 = MMR 2004, S. 95.

902 Piltz, 2013, S. 93.

903 Jandt/ Roßnagel, ZD 2011, S. 162.

904 Taeger in Taeger/ Gabel, 2010, § 28 BDSG, Rn. 80.

905 Artikel 29-Datenschutzgruppe, 2009, WP 163, S. 7; Hamburgischer Beauftragter für Datenschutz und Informationsfreiheit, 2013, S. 12; Hawellek in Forgó/ Helfrich/ Schneider, 2014, Teil VII Kap. 2, Rn. 52; Jandt/ Roßnagel, ZD 2011, S. 162.

906 Vgl. AG München, Urteil vom 15.06.2012, Az. 158 C 28716/11 = ZUM 2013, S. 159.

907 Jandt/ Roßnagel, ZD 2011, S. 160 f.

908 Ebd., S. 161 f.; Piltz, 2013, S. 96.

909 Artikel 29-Datenschutzgruppe, 2009, WP 163, S. 7; Jandt/ Roßnagel, ZD 2011, S. 162; Piltz, 2013, S. 94.

910 Jandt/ Roßnagel, ZD 2011, S. 161.

911 VG Schleswig, Urteil vom 09.10.2013, Az. 8 A 14/12.

912 Fanpages sind spezielle Nutzerprofile bei Facebook, die von Unternehmen, Organisationen, Instituten, öffentlichen Personen oder gemeinnützigen Gemeinschaften eingerichtet werden können. Es handelt sich also um Webseiten von Facebook.

913 VG Schleswig, Urteil vom 09.10.2013, Az. 8 A 14/12 = ZD 2014, S. 52.

914 Ebd.

915 Vgl. § 3 Abs. 4 S. 2 Nr. 3 BDSG.

916 VG Schleswig, Urteil vom 09.10.2013, Az. 8 A 14/12 = ZD 2014, S. 53 f.

917 Moos, K&R 2012, S. 153; Pressemitteilung des ULD Schleswig Holstein vom 19.08.2011, abrufbar unter https://www.datenschutzzentrum.de/presse/20110819-facebook.htm (zuletzt abgerufen am 27.03.2017); Weichert, DuD 2012, S. 719.

918 Dittmayer, DuD 2012, S. 529; Wintermeier, ZD 2013, S. 23.

919 Pressemitteilung des ULD Schleswig Holstein vom 19.08.2011, abrufbar unter https://www.datenschutzzentrum.de/presse/20110819-facebook.htm (zuletzt abgerufen am 27.03.2017); so auch KG Berlin, Urteil vom 29.04.2011, Az. 5 W 88/11 = MIR 05/2011, S. 3.

920 Jandt/ Schaar/ Schulz in Roßnagel, 2013, § 13 TMG, Rn. 117.

921 Moos, K&R 2012, S. 154; vgl. Drittes Kapitel D. II. 1. a) bb) (2) (2.3).

922 Die Reichweitenanalyse umfasst das Sammeln, Analysieren und Rapportieren der Nutzung einer oder mehrerer Websites und des Verhaltens ihrer Besucher, ULD, 08/2011, S. 15, abrufbar unter https://www.datenschutzzentrum.de/facebook/facebook-ap-20110819.pdf (zuetzt abgerufen am 27.03.2017).

923 Moos, K&R 2012, S. 154.

924 Pressemitteilung des ULD Schleswig Holstein vom 19.08.2011, abrufbar unter https://www.datenschutzzentrum.de/presse/20110819-facebook.htm (zuletzt abgerufen am 27.03.2017).

925 Vgl. § 4 Abs. 1 BDSG und § 12 Abs. 1 TMG.

926 Siehe Drittes Kapitel D. II. 2. b) bb) (1).

927 Karg/ Fahl, K&R 2011, S. 457; Tinnefeld/ Buchner/ Petri, 2012, S. 396.

928 Bartelt, 2012, S. 85; vgl. Spindler/ Nink in Spindler/ Schuster, 2011, § 14 TMG, Rn. 2.

929 Hullen/ Roggenkamp in Plath, 2012, § 14 TMG, Rn. 13; Roßnagel in Roßnagel, 2003, Kap. 7.9, Rn. 69.

930 Hullen/ Roggenkamp in Plath, 2012, § 15 TMG, Rn. 4, 7.

931 Dix in Roßnagel, 2013, § 14 TMG, Rn. 28.

932 Vgl. Zweites Kapitel D.

933 Spindler/ Nink in Spindler/ Schuster, 2011, § 15 TMG, Rn. 2.

934 Heckmann, 2009, Kap. 1.15, Rn. 3; Roßnagel in Roßnagel, 2003, Kap. 7.9, Rn. 73; Spindler/ Nink in Spindler/ Schuster, 2011, § 15 TMG, Rn. 2.

935 Heckmann, 2009, Kap. 1.15, Rn. 12; Nink, 2010, S. 246.

936 Vgl. Drittes Kapitel D. II. 2. b) bb) (2).

937 So auch Piltz, 2013, S, 175.

938 Heckmann, 2009, Kap. 1.14, Rn. 9; Hullen/ Roggenkamp in Plath, 2012, § 15 TMG, Rn. 12; Karg/ Fahl, K&R 2011, S. 458; Spindler/ Nink in Spindler/ Schuster, 2011, § 15 TMG, Rn. 3.

939 Krause/ Lerch/ Hotho/ Roßnagel/ Stumme, Informatik-Spektrum vol. 35 2012, S. 14 f.

940 Hawellek in Forgó/ Helfrich/ Schneider, 2014, Teil VII Kap. 2, Rn. 74.

941 Karg/ Fahl, K&R 2011, S. 458; Piltz, 2013, S. 67; Spindler/ Nink in Spindler/ Schuster, 2011, § 15 TMG, Rn. 3; Tinnefeld/ Buchner/ Petri, 2012, S. 395.

942 So Spindler/ Nink in Spindler/ Schuster, 2011, § 15 TMG, Rn. 3, 5a.

943 Bauer, MMR 2008, S. 435 f.

944 BT-Drs. 17/6765, S. 13.

945 Gola/ Schomerus, 2007, § 28 BDSG, Rn. 4.

946 Gola/ Schomerus, 2007, § 29 BDSG, Rn. 1 f.

947 Simitis in Simitis, 2011, BDSG § 28, Rn. 25.

948 Taeger in Taeger/ Gabel, 2010, § 28 BDSG, Rn. 37.

949 BGH, Urteil vom 23.06.2009, Az. VI ZR 196/08 = MIR 07/2009, Rn. 24, S. 5.

950 Piltz, 2013, S. 110.

951 Vgl. Viertes Kapitel B. III.

952 Jandt/ Roßnagel, ZD 2011, S. 163.

953 Jandt/ Roßnagel, ZD 2011, S. 163 f.

954 § 28 Abs. 1 BDSG.

955 § 28 Abs. 1 S. 1 Nr. 2 BDSG.

956 Piltz, 2013, S. 111.

957 Simitis in Simitis, 2011, § 28 BDSG, Rn. 104; Taeger in Taeger/ Gabel, 2010, § 28 BDSG, Rn. 55.

958 BGH, Urteil vom 23.06.2009, Az. VI ZR 196/08 = MIR 07/2009, Rn. 4, 34, 36, 43, S. 2, 7, 9; Jandt/ Roßnagel, ZD 2011, S. 163.

959 Jandt/ Roßnagel, ZD 2011, S. 163.

960 Piltz, 2013, S. 112.

961 Roßnagel in Roßnagel/ Banzhaf/ Grimm, 2003, S. 119.

962 Vgl. Hoeren, 2012, S. 394; Spindler/ Nink in Spindler/ Schuster, 2011, § 15 TMG, Rn. 7.

963 Vgl. Drittes Kapitel D. II. 1. a) aa) (2).

964 Hullen/ Roggenkamp in Plath, 2012, § 15 TMG, Rn. 21; siehe auch Drittes Kapitel D. II. 2. b) bb) (2).

965 § 15 Abs. 3 S. 2 TMG.

966 Vgl. Drittes Kapitel B. II. 2.

967 Vgl. Drittes Kapitel B. IV. 3.

968 Vgl. Drittes Kapitel B. IV. 1. und 2.

969 Vgl. Drittes Kapitel D. II. 2. b) dd).

970 Piltz, 2013, S. 169, 182.

971 Ebd., S. 184 f.; Artikel 29-Datenschutzgruppe, 2010, WP 171, S. 14 f.

972 Ebd., S. 174.

973 BGH, Urteil vom 23.06.2009, Az. VI ZR 196/08 = MIR 07/2009, Rn. 24.

974 Taeger in Taeger/ Gabel, 2010, § 28 BDSG, Rn. 217.

975 Piltz, 2013, S. 184.

976 § 4a Abs. 1 S. 3 BDSG i.V.m. § 28 Abs. 3a S. 1 BDSG; vgl. Drittes Kapitel D. II. 2. b) cc).

977 Gola/ Schomerus, 2007, § 3a BDSG, Rn 10; vgl. Drittes Kapitel D. II. 1. a) aa) (2).

978 §§ 13 Abs. 1 und 2 TMG und § 28 Abs. 3, 3a BDSG.

979 Artikel 29-Datenschutzgruppe, 2010, WP 171, S. 16; Piltz, 2013, S. 185.

980 Artikel 29-Datenschutzgruppe, 2011, WP 188, S. 10.

981 Ebd., S. 9 f.

982 Vgl. Drittes Kapitel C. II. 2. c).

983 Artikel 29-Datenschutzgruppe, 2011, WP 188, S. 9.

984 Vgl. Drittes Kapitel D. II. 2. b) aa).

985 Vgl. Drittes Kapitel D. II. 2. b) dd) und D. II. 1. c) aa).

986 Spindler/ Nink in Spindler/ Schuster, 2011, § 13 TMG, Rn. 3.

987 BT-Drs. 156/11, S. 2.

988 Artikel 29-Datenschutzgruppe, 2010, WP 171, S. 30.

989 Spindler/ Nink in Spindler/ Schuster, 2011, § 13 TMG, Rn. 2.

990 Es sind auch andere Begrifflichkeiten möglich, siehe dazu Drittes Kapitel D. II. 2. b) dd).

991 Piltz, 2013, S. 187. So liegt diese bei der Google Inc. laut Urteil des LG Berlin nicht vor: LG Berlin, Urteil vom 19.11.2013, Az. 15 O 402/12.

992 Hoeren in Festschrift Heussen, 2009, S. 209.

993 Vgl. Solmecke/ Damm, MMR 2012, S. 71.

994 Piltz, 2013, S. 119.

995 Hoeren in Festschrift Heussen, 2009, S. 208 f.

996 Vgl. Drittes Kapitel D. II. 2. b) cc).

997 Spindler/ Nink in Spindler/ Schuster, 2011, § 13 TMG, Rn. 6.

998 BGH, Urteil vom 16.07.2008, Az. VIII ZR 348/06.

999 BGH, Urteil vom 16.07.2008, Az. VIII ZR 348/06 = MMR 2008, Rn. 22.

1000 Spindler/ Nink in Spindler/ Schuster, 2011, § 13 TMG, Rn. 6.

1001 Piltz, 2013, S. 116.

1002 KG Berlin, Urteil vom 24.01.2014, Az. 5 U 42/12 = ZD, 2014, S. 412; vgl. Drittes Kapitel A.

1003 LG Berlin, Urteil vom 06.03.2012, Az. 16 O 551/10 = ZD, 2012, S. 276.

1004 LG Berlin, Urteil vom 06.03.2012, Az. 16 O 551/10 = ZD 2012, S. 277 f.; KG Berlin, Urteil vom 24.01.2014, Az. 5 U 42/12 = ZD, 2014, S. 416.

1005 LG Berlin, Urteil vom 06.03.2012, Az. 16 O 551/10 = ZD 2012, S. 277 f.; KG Berlin, Urteil vom 24.01.2014, Az. 5 U 42/12 = ZD, 2014, S. 419 f.

1006 LG Berlin, Urteil vom 06.03.2012, Az. 16 O 551/10 = ZD 2012, S. 279.

1007 Berliner Beauftragter für Datenschutz und Informationsfreiheit, Bericht 2011, S. 56; Poller/ Waldmann, 2013, S. 26; Schwartmann, RDV 2012, S. 5.

1008 Prüfbericht der irischen Datenschutzbehörde zur Beurteilung des sozialen Netzwerks Facebook, abrufbar unter http://dataprotection.ie/documents/press/Facebook_Ireland_Audit_Review_Report_21_Sept_2012.pdf (zuletzt abgerufen am 27.03.2017).

1009 Spindler/ Nink in Spindler/ Schuster, 2011, § 13 TMG, Rn. 6.

1010 Piltz, 2013, S. 121.

1011 OLG Brandenburg, Urteil vom 11.01.2006, Az. 7 U 52/05 = MIR 9/2006, S. 5.

1012 Ohst in Wandtke, 2011, S. 225; Spindler/ Nink in Spindler/ Schuster, 2011, § 13 TMG, Rn. 9; Scheja/ Haag in Leupold/ Glossner, 2011, Teil 4 E, Rn. 91.

1013 OLG Brandenburg, Urteil vom 11.01.2006, Az. 7 U 52/05 = MIR 9/2006, S. 6; Spindler/ Nink in Spindler/ Schuster, 2011, § 13 TMG, Rn. 9.

1014 Hawellek in Forgó/ Helfrich/ Schneider, 2014, Teil VII Kap. 2, Rn. 87 ff.; so Piltz, 2013, S. 121 ff.; anderer Auffassung ist Bräutigam, MMR 2012, S. 636.

1015 Piltz, 2013, S. 133.

1016 Artikel 29-Datenschutzgruppe, 2011, WP 187, S. 27.

1017 Ebd., S. 14.

1018 Ebd., S. 25, 42.

1019 BT-Drs. 11/4306, S. 41.

1020 So Holznagel/ Sonntag in Roßnagel, 2003, Kap. 4.8, Rn. 37, der ein Vorliegen von besonderen Umständen i.S.d. § 4a Abs.1 S. 3 BDSG voraussetzt; so auch Piltz, 2014, S. 134.

1021 Artikel 29-Datenschutzgruppe, 2011, WP 187, S. 26; siehe auch Drittes Kapitel B IV. 4. b) bb).

1022 Artikel 29-Datenschutzgruppe, 2011, WP 187, S. 29; Piltz, 2013, S. 136 f.

1023 Vgl. Holznagel/ Sonntag in Roßnagel, 2003, Kap. 4.8, Rn. 37.

1024 Siehe auch Erwägungsgrund 32 DS-GVO.

1025 LG Hamburg, Urteil vom 16.06.2010, Az. 325 0 448/09; so auch das OLG Köln, Urteil vom 09.02.2010, Az. 15 U 107/09.

1026 BVerfG, Urteil vom 15.12.1999, Az. 1 BvR 653/96, Rn. 1–120,abrufbar unter http://www.bverfg.de/e/rs19991215_1bvr065396.html (zuletzt abgerufen am 27.03.2017).

1027 Schwartmann, RDV 2012, S. 6 f.

1028 Abrufbar unter http://www.fsm.de/selbstverpflichtungen/VK_social_communities_final_09032009.pdf (zuletzt abgerufen am 27.03.2017).

1029 Closing Report der FSM vom 06.05.2013, abrufbar unter http://www.fsm.de/ueber-uns/veroeffentlichungen/FSM_Closing_Report_SocialCommunities.pdf (zuletzt abgerufen am 27.03.2017).

1030 Facebook Germany GmbH, Google Germany GmbH, LinkedIn Corporation, Lokalisten Media GmbH, Stay Friends GmbH, Poolworks (Germany) Ltd., wer-kennt-wen.de GmbH und Xing AG.

1031 Closing Report der FSM vom 06.05.2013, Punkt I., abrufbar unter http://www.fsm.de/ueber-uns/veroeffentlichungen/FSM_Closing_Report_SocialCommunities.pdf (zuletzt abgerufen am 27.03.2017).

1032 Piltz, Telemedicus, abrufbar unter https://www.telemedicus.info/article/2569-Kodex-zur-Selbstregulierung-fuer-soziale-Netzwerke-gescheitert.html (zuletzt abgerufen am 27.03.2017).

1033 Zusammenschluss der Datenschutzbeauftragten des Bundes und der Länder.

1034 Dokument abrufbar unter http://www.lda.bayern.de/lda/datenschutzaufsicht/lda_daten/Orientierungshilfe_Selbstregulierung.pdf (zuletzt abgerufen am 27.03.2017).

1035 Piltz, delegedata, abrufbar unter https://www.delegedata.de/2014/01/datenschuetzer-veroeffentlichen-orientierungshilfe-zur-selbstregulierung/ (zuletzt abgerufen am 27.03.2017).

1036 KG Berlin, Urteil vom 24.01.2014, Az. 5 U 42/12 = ZD, 2014, S. 412; LG Berlin, Urteil vom 06.03.2012, Az. 16 O 551/10 = ZD 2012, S. 276.

1037 LG Berlin, Urteil vom 06.03.2012, Az. 16 O 551/10 = ZD 2012, S. 279.

1038 Weltweites Spionagenetz, das von Nachrichtendiensten der USA, Großbritannien, Australien, Neuseeland und Kanada zur Überwachung von Telefon-, Fax- und Internetdaten betrieben wird.

1039 Karg/ Fahl, K&R 2011, S. 453.

1040 BVerfG, Urteil vom 15.12.1983, Az. 1 BvR 209/83, Leitsätze Nr. 1 = NJW 1984, S. 419, 422.

1041 Solmecke/ Baursch, ZD 2012, S. 281.

1042 Heckmann, 2009, Kap. 1.11, Rn. 6; Köhler/ Arndt/ Fetzer, 2011, Kap. IX, Rn. 887.

1043 Roßnagel in Roßnagel/ Banzhaf/ Grimm, 2003, S. 120.

1044 Schwenke, 2012, S. 374.

1045 BT-Drs. 156/11, S. 2.

1046 Vgl. LAG Berlin-Brandenburg, Urteil vom 11.4.2014, Az. 17 Sa 2200/13 = ZD 2014, S. 481.

1047 Hullen/ Roggenkamp in Plath, 2012, Einleitung TMG, Rn. 4; Karg/ Fahl, K&R 2011, S. 458; Schmitz in Schuster, 2001, Kap. 3, S. 133.

1048 Dietzel, acquisa 05/2012, S. 66; Ehrlich, acquisa 09/2011, S. 67.

1049 Determann, 1999, S. 92.