Datenschutzkonforme Ausgestaltung von Social Networks oder Die Erosion der Privatsphäre bei Facebook

Wie bereits im letzten Beitrag festgestellt, steht Facebook im Zusammenhang mit dem Schutz der Daten ihrer Nutzer stark in der Kritik. Tatsächlich hinterfragen immer mehr Nutzer die zunehmende „Erosion der Privatsphäre“ auf der Plattform oder treten sogar aus.

Während unter dem Titel „Facebook und der Datenschutz – Rechtliche Einordnung von Inhalten in Sozialen Netzwerken“ im Wesentlichen aufgezeigt werden sollte, dass sich die Zulässigkeit der Veröffentlichung oder Weitergabe von Nutzerdaten an der rechtlichen Einordnung (Datenschutzrecht oder Urheberrecht) der jeweiligen Inhalte und Informationen zu orientieren hat, sollen nachfolgend, die Grundsätze erläutert werden, die in Deutschland an die Datenschutzkonformität eines Sozialen Netzwerks zu stellen sind und inwieweit die Ausgestaltung von Facebook damit im Einklang steht.

Denn es stellt sich tatsächlich die Frage, ob Facebook nicht zwischenzeitlich den Bogen überspannt und unter Priorisierung der eigenen Kommerzialisierungbemühungen die Balance zwischen den (als solches nachvollziehbaren) Unternehmensinteressen und denen der eigenen Nutzer, auf die jedes Soziale Netzwerk zuvorderst angewiesen ist, verliert.

Dieser Beitrag soll aufzeigen, dass ein wirtschaftlich denkendes Social Network auch unter Beachtung deutscher Datenschutzregularien rechtskonform ausgestaltet werden kann und zugleich belegen, dass das deutsche Datenschutzrecht auch sinnvolle Regelungen enthält, die IMHO dem US-amerikanischen System deutlich überlegen sind. Dies zeigt sich nicht zuletzt dadurch, dass nun auch viele Nutzer und Politiker in den USA, wo das deutsche „Datenschutzbewusstsein“ bisher eher belächelt worden ist, nun nach stärkerer Regulierung der Sozialen Netzwerke rufen. I. Anforderungen an ein datenschutzkonformes Social Network

Nachfolgend werden unter Zugrundelegung deutschen Rechts die wesentlichen Anforderungen an eine Rechtskonformität eines Sozialen Netzwerkes dargestellt, um jeweils nachfolgend die Gestaltung von Facebook hieran zu messen. Dabei wird aufgrund der Tatsache, dass Facebook im Verhältnis zu deutschen Nutzern ausdrücklich deutsches Recht für abnwendbar erklärn und auch seit Februar 2010 eine Niederlassung in Deutschland hat, gemäß § 1 Abs.5 BDSG davon ausgegangen, dass insoweit auch deutsches Datenschutzrecht Anwendung findet.

a) Zunächst ist die Frage aufzuwerfen, ob und unter welchen Bedingungen Facebook überhaupt einseitig die Nutzungsbedingungen oder Datenschutzbestimmungen ändern kann bzw. eine Zustimmung der User durch eine entsprechende „Weiternutzung“ der Plattform fingieren kann.

Nach dem deutschem Recht ist eine einseitige Änderung von Nutzungsbedingungen (hier auch als AGB bezeichnet) nur möglich, wenn in den ursprünglichen Bedingungen ein wirksamer Änderungsvorbehalt vorgesehen ist, die geänderten Fassung unter Setzung einer angemessenen Reaktionsfrist mitgeteilt wird und ein entsprechender Hinweis darauf erfolgt ist, dass ohne Reaktion die Zustimmung zu den Änderungen angenommen wird. Sonst ist bei einer Änderung der AGB, als der vertraglichen Grundlage zwischen Plattform und Nutzer, jeweils eine entsprechende (aktive) Zustimmung einzuholen (weiterführend ‚Facebook ändert seine Terms of Service – Zulässigkeit der nachträglichen Änderung von Allgemeinen Geschäftsbedingungen (AGB)‘ .

Facebook regelt hierzu folgendes:

Your continued use of the Service or the Site after any such changes constitutes your acceptance of the new Terms of Use.

Unter Anwendung deutschen Rechts, wofür auch aufgrund verbraucherschutzrechtlicher Gründe einiges spricht, wäre eine einseitige Änderung der Nutzungsbedingungen oder Privay Policy von Facebook gegenüber deutschen Verbrauchern ohnehin unwirksam und es würden grundsätzlich die Bedingungen fortgelten, die bei der Anmeldung akzeptiert worden sind.

b) Für die Speicherung und Verarbeitung personenbezogener Daten gilt zudem der Grundsatz, dass entweder der jeweils Betroffene nach einer entsprechend umfassenden Aufklärung (in der Regel über die Datenschutzerklärung/Privacy Policy) über die Verwendung der Daten zugestimmt haben muss oder einer der gesetzlichen Erlaubnistatbestände erfüllt sein muss. In diesem Zusammenhang müssen die Plattformen ihre Nutzer auch über die jeweiligen Wahl- und Gestaltungsmöglichkeiten unterrichten. Das betrifft auch Risiken für die Privatsphäre, die mit der Veröffentlichung von Daten in Nutzerprofilen verbunden sind.

Es ist schon fraglich, ob diese Voraussetzung aktuell erfüllt sind, nachdem man zur Einstellung der Privatsphäre teilweise schon einen entsprechenden Leitfaden bracht. Zwar finden sich zahlreiche Regeln in der Privacy Policy von Facebook, diese sind auch im Hinblick auf die Komplexität der Einstellungsvarianten aber nur wenig transparent. Aufgrund des immensen Umfangs der Datenschutzerklärung (mit über 5000 Wörtern länger als die amerikanische Verfassung) muss wohl davon ausgegangen werden, dass hierüber keine wirksame Einwilligung eingeholt werden kann, weil eben die Bedeutung und Folge der Einwilligungserklärung nicht hinreichend erläutert worden ist. Diese Regularien verschärfen sich noch einmal, wenn Minderjährige sich anmelden.

c) Grundsätzlich erfordert die Verwendung personenbezogener Daten eine aktive Zustimmungserklärung des Betroffenen im Sinne eines „Opt-In“. Insofern ist zweifelhaft, ob die Gestaltung von Facebook standardmäßig eine Vielzahl von Informationen der Öffentlichkeit zugänglich zu machen, rechtlich haltbar ist. Die aktuell angedachte Weitergabe von Profilinformationen an Dritte ist ohne ausdrückliche und aktive Zustimmung der Nutzer in jedem Falle als Verstoß gegen deutsches Datenschutzrecht zu werten.

d) Das Datenschutzrecht schreibt vor, dass Nutzer die Möglichkeit erhalten müssen, sein Profil auf einfache Weise selbst zu löschen. Die derzeitige Gestaltung von Facebook, bei der die Seite zur Abmeldung nicht einfach zu finden ist, ist insoweit nicht datenschutzkonform.

e) § 13 Abs.6 TMG verpflichtet die Anbieter dazu, das Handeln in sozialen Netzwerken anonym oder unter Pseudonym zu ermöglichen, soweit dies technisch möglich und zumutbar ist. Es geht insoweit nur um die Möglichkeit, anonym im Sozialen Netzwerk auftreten zu können und nicht darum, ob sich Nutzer gegenüber dem Anbieter des sozialen Netzwerks mit Echtdaten identifizieren müssen. Facebook verbietet derzeit in seiner Erklärung der Rechte und Pflichten eine Anmeldung unter anderem Namen.

f) Gemäß § 9 BDSG verpflichtet, die Netzwerke die erforderlichen technisch-organisatorischen Maßnahmen zur Gewährleistung der Datensicherheit zu treffen. Die Maßnahmen sollen vor allem ein systematisches oder massenhaftes Auslesen von Profildaten aus dem sozialen Netzwerk und Zugriffe auf vertrauliche Informationen verhindern. Auch wenn Datenschutzpannen immer wieder vorkommen werden, haben entsprechende Plattformen die Informationen ihrer Nutzer dem technischen Standard entsprechend zu schützen. Ob diese jeweils gewährleistet ist, muss in jedem Einzelfall von technisch sachverständigen Spezialisten beurteilt werden. Wichtig in diesem Zusammenhang. Seit September letzten Jahres gibt es in Deutschland unter den Voraussetzungen des § 42a BDSG bei Datenpannen eine bussgeldbewährte Pflicht diese zu melden (weiterführend „Datenleck bei SchülerVZ und die datenschutzrechtliche Meldepflicht“).

Im Zusammenhang mit den oben stehenden Ausführungen sei darauf hingewiesen, dass aufgrund der rasenden Entwicklung im Datenschutzrecht einiges noch nicht abschließend geklärt ist und unter den Datenschutzrechtlern auch kontrovers diskutiert wird. Mangels einer gesicherten Rechtsprechung besteht bei einigen Thesen Argumentationsspielraum und es wird sich zeigen müssen, ob die Gerichte den hier vertretenen Thesen folgen.

II. Ansprüche betroffener Nutzer

Als ersten sinnvollen Schritt und insoweit wirksames Instrumentarium hat sich der Auskunftsanspruch nach § 34 BDSG herausgestellt.

Danach kann jeder persönlich Betroffene von Unternehmen Auskunft über

1.die zu seiner Person gespeicherten Daten, auch soweit sie sich auf die Herkunft dieser Daten beziehen,
2. den Empfänger oder die Kategorien von Empfängern, an die Daten weitergegeben werden, und
3. den Zweck der Speicherung.

verlangen. Wird ein entsprechendes Schreiben unter angemessener Fristsetzung nicht beantwortet, können für das Unternehmen weitergehende Kosten entstehen, eine Anzeige bei der zuständigen Datenschutzbehörde vorgenommen werden oder der Anspruch auch gerichtlich durchgesetzt werden.

Bei Verstößen gegen datenschutzrechtliche Vorschriften stehen Betroffenen außerdem folgende Rechte zu:

Werden erstmals personenbezogene Daten für eigene Zwecke ohne Kenntnis des Betroffenen gespeichert, ist der Betroffene nach § 33 BDSG von der Speicherung, der Art der Daten, der Zweckbestimmung der Erhebung, Verarbeitung oder Nutzung und der Identität der verantwortlichen Stelle zu benachrichtigen (sog. Auskunftsanspruch).

Nach § 35 BDSG hat der Betroffene zudem einen Anspruch auf Berichtigung, Löschung und Sperrung seiner Daten.

Bei unzulässiger oder unrichtiger Erhebung, Verarbeitung oder Nutzung personenbezogener Daten steht dem Betroffen schließlich ein Schadensersatzanspruch gem. §§ 7 BDSG zu.

III. Zusammenfassung

Die angemeldeten Nutzer und deren Aktivität sind das wesentliche Kapital jedes Sozialen Netzwerkes. Insoweit kann entsprechenden Plattformen nur geraten werden, mit Bedacht mit diesem „Kapital“ umzugehen. Gleichzeitig sind die meisten Social Networks Wirtschaftsunternehmen, deren legitimes Interesse es ist, Gewinne zu erwirtschaften. Es geht also darum, zwischen diesen zwei Polen eine angemessene Balance zu finden, was einigen Plattformen auch gelingt.

Meine Erfahrung zeigt, dass sich die Kommerzialisierungsinteressen auch durchaus mit dem Datenschutz vereinbaren lassen. Bei der Gestaltung von sozialen Netzwerken kommen insbesondere der Aufklärung der Nutzer und den Standardeinstellungen – hinsichtlich der Verfügbarkeit von Profildaten für Dritte – eine zentrale Bedeutung zu. Es wird sich zeigen, ob sich nicht sogar die sozialen Netzwerke langfristig durchsetzen, die nachvollziehbare Datenschutzinteressen ihrer Nutzer hinreichend berücksichtigen und deshalb so Standardeinstellungen wählen, durch die die Privatsphäre der Nutzer entsprechend geschützt wird. Dabei kann der beratende Jurist aber immer nur die Gestaltungsmöglichkeiten aufzeigen und die unternehmerische Entscheidung vorbereiten. Es bleibt daher erst einmal, die weitere Entwicklung der Datenschutzdiskussion um Facebook abzuwarten.

Spannend ist in diesem Zusammenhang auch das Projekt „Diaspora“, bei dem sich ein paar junge Entwickler die Querelen um Facebook zu Nutze gemacht haben und einen Fundraising-Aufruf gestartet haben, um eine datenschutzfreundlichere Alternative zu Facebook zu entwickeln. Das Ziel von 10.000 $ hatten die New Yorker Informatiker nach 12 Tagen erreicht. Zwischenzeitlich sind 170.000 $ gespendet worden. Auch wenn durchaus fraglich ist, ob hier eine ersthafte Alternative zu Facebook entsteht, zeigt diese Entwicklung doch, wie schnell der Markt reagiert und alternative Angebote aufkommen können.

Gerne stehen wir bei weitergehenden Fragen oder Interesse an einem entsprechenden Inhouse Workshop telefonisch unter +49 (0) 711 860 40 025 oder via E-Mail carsten.ulbricht@menoldbezler.de zur Verfügung.

Comments

  1. Spannend ! aber können bei nach der Berücksichtigung all dieser Punkte wirklich noch von einem Social Network sprechen?

    Sicher sind Gesetze wichtig, aber gerade in Deutschland sorgen sie meiner Meinung nach für die Stagnation in Sachen Online-Innovationen.

    • @Marco

      Tatsächlich gibt es gesetzliche Regeln, die Online Innovationen im Weg stehen.

      Die oben genannten gehören meiner Meinung aber nicht dazu. Insgesamt geht es darum, über die Nutzung personenbezogener Daten der Nutzer aufzuklären und gegebenenfalls auch deren Zustimmung einzuholen. Gegen den darin enthaltenen Transparenzgedanken ist aus meiner Sicht grundsätzlich nichts einzuwenden.

      Der Teufel liegt aber natürlich – wie so oft – im Detail. Diskussionswürdig ist z.B. was tatsächlich alles als personenbezogenes (und damit entsprechend schützwürdiges) Datum anzusehen ist.

      Da ich schon eine Vielzahl entsprechend innovativer Internetprojekte und Geschäftsmodelle beraten haben, die sich teilweise nur schwer unter den bestehenden rechtlichen Kategorien beurteilen liessen, kann ich sagen, dass sich solche Internetprojekte in der Regel auch unter Berücksichtigung der oben stehenden Datenschutzregeln realisieren lassen.

      • Ich bin da 100% bei Dir. Was ich aber meinte, ist dass so der Sinn und das eigentliche Verständnis für soziale Netzwerke flöten geht.

        Teilen, öffentlich machen … Sind das nicht die Keys für solche Plattformen?

        Dann haben wir noch den Betreiber. Dem wollen wir natürlich nichts von uns erzählen und kosten darf der Dienst natürlich auch nix.

        So funktioniert das leider nicht.

  2. Hallo Carsten,

    danke für diesen Artikel – wie der Teufel es so will, ein wunderbarer Einstieg in meine Seminararbeit, deren Thema „Datenschutz in sozialen Netzwerken“ ich gestern zugeteilt bekommen habe. Und schon sind die einschlägigen Gesetze benannt und ich weiss, wo ich einsteigen darf.

    Andere Beiträge von Dir habe ich via delicious.com bereits meinen Kommilitonen mit anderen passenden Themen empfohlen 😉

    Wir sehen uns – bis dahin les ich fleissig weiter mit 😉

    LG

    Hubert

Speak Your Mind

*

Sicherheitsfrage *