Original Downloaden

Fachhochschule Köln
University of Applied Sciences Cologne
Fakultät für Wirtschafts- und Rechtswissenschaften
Bachelorarbeit
zur Erlangung
des akademischen Grades
Bachelor of Laws (LL.B)
im Studiengang Wirtschaftsrecht
„Das Geschäftsmodell von Facebook in datenschutzrechtlicher Sicht“
Erstprüfer
Prof. Dr. Bernd Eckardt
Zweitprüfer
Prof. Dr. Volker Mayer
vorgelegt am
03. Juni 2013
von cand.
Alina Kuzei
aus
50667 Köln
Salierring 3
Matrikel-Nr.
11 071 852
Telefon-Nr.
0176 / 613 657 38
E-Mail-Adresse
[email protected]
I
Inhaltsverzeichnis
Inhaltsverzeichnis ........................................................................................I
Abbildungsverzeichnis ............................................................................... III
Abkürzungsverzeichnis ............................................................................. IV
1.
2.
Einleitung ...........................................................................................1
1.1
Problemstellung und Relevanz .................................................2
1.2
Vorgehensweise der Arbeit .......................................................2
Das Geschäftsmodell von Facebook ..................................................3
2.1
Die Facebook Incorporated .......................................................3
2.1.1 Die Facebook Ireland Limited ........................................4
2.1.2 Die Facebook Germany GmbH .....................................4
2.2
Die Funktionen des sozialen Netzwerks....................................5
2.2.1 Nutzungs,- Schattenprofile und personalisierte
Werbung........................................................................6
2.2.2 Der Social Plugin „Like-Button“ .................................... 10
3.
4.
Datenschutzrechtliche Grundbegriffe ............................................... 13
3.1
Deutsches Datenschutzrecht .................................................. 13
3.2
Personenbezogene Daten ...................................................... 15
3.3
Automatisierte Verarbeitung.................................................... 16
3.4
Einwilligung ............................................................................. 18
Wo beginnt das Datenschutzproblem bei Social Plugins .................. 18
4.1
Übermittlung personenbezogener Daten in einen Drittstaat?
Welches Recht findet Anwendung .......................................... 19
4.2
Erhebung und Verarbeitung personenbezogener Daten ......... 22
4.2.1 Datenschutzrechtliche Verantwortlichkeit des
Webseitenbetreibers.................................................... 23
II
4.2.2 Datenschutzrechtliche Verantwortlichkeit Facebooks .. 26
4.3
Erstellen von Nutzungsprofilen ............................................... 28
4.3.1 Nutzungsprofil durch Like-Buttons ............................... 28
4.3.2 Nutzungsprofil durch Zustimmung von Dritten ............. 31
4.4
Löschungspflicht ..................................................................... 32
4.5
Lösungsvorschläge für datenschutzkonformes Verhalten ....... 32
4.5.1 Lösungsvorschläge für Facebook ................................ 33
4.5.2 Lösungsvorschläge für Facebook-Nutzer .................... 36
5.
Urteil des LG Berlin vom 30.04.2013................................................ 36
5.1
Anwendbares Recht................................................................ 37
5.2
Datenerhebung Dritter ohne deren Einwilligung ...................... 38
5.3
Datenweitergabe zu Werbezwecken ....................................... 38
5.4
Globale Einwilligung................................................................ 39
5.5
Zusammenführen von Nutzungsdaten mit anderen
Informationen .......................................................................... 39
6.
Fazit ................................................................................................. 40
Literaturverzeichnis ................................................................................... VI
Rechtsprechungsverzeichnis ................................................................... XV
Eidesstaatliche Erklärung ........................................................................ XVI
III
Abbildungsverzeichnis
Abbildung 1:
Abbildung 2:
Abbildung 3:
Abbildung 4:
Abbildung 5:
Abbildung 6:
Abbildung 7:
Abbildung 8:
Bsp. Nutzungsprofil………………………………........
Bsp. Schattenprofil……………………………………..
Schattenprofil von Max Schrems……………………..
Social Plugin von Facebook……….……………….....
Facebookprofil der FH Köln……………………………
Praxisbeispiel……………………………………………
Platzhalter statt Like-Button…………………………...
Platzhalter und datenschutzrechtliche Belehrung......
S.07
S.08
S.09
S.11
S.12
S.13
S.34
S.35
IV
Abkürzungsverzeichnis
a.a.O.
Abs.
AG
AGB
Art.
ASF
Az.
BDSG
BeckRS
BFDI
BGB
BMWI
CD
Co.
DANA
DDR
DuD
ebd.
EG
EU
EU-DSRL
et al.
e.V.
EWR
f.
ff.
FAZ
FDC
FH
gem.
GG
Hrsg.
HS.
Inc.
IP
IT
Kap.
KSt.
LDSG
Lfg.
LG
Ltd.
am angegebenen Ort
Absatz
Amtsgericht
Allgemeine Geschäftsbedingungen
Artikel
Aktion Sühnezeichen Friedendienste
Aktenzeichen
Bundesdatenschutzgesetz
Beck-Rechtsprechung
Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit
Bürgerliches Gesetzbuch
Bundesministerium für Wirtschaft und Technologie
Compact Disc
compagnie
Die Datenschutznachrichten
Deutsche Demokratische Republik
Datenschutz und Datensicherheit
ebenda
Europäische Gemeinschaft
Europäische Union
Europäische Datenschutzrichtlinie
et alia (aus dem lateinischen: und andere)
eingetragener Verein
Europäischer Wirtschaftsraum
folgende
die folgenden
Frankfurter Allgemeine Zeitung
Federal Trade Commission
Fachhochschule
gemäß
Grundgesetz
Herausgeber
Halbsatz
Incorporated
Internetprotokoll
Information Technology
Kapitel
Körperschaftssteuer
Landesdatenschutzgesetz
Lieferung
Landgericht
Limited
V
MMR
NJOZ
NJW
NVwZ
OVG
PC
RA
RDV
Rn.
S.
s.
TKG
TMG
ULD
USA
VG
vs.
VZBV
VZU
ZD
MultiMedia und Recht
Neue Juristische Online Zeitschrift
Neue Juristische Wochenschrift
Neue Zeitschrift für Verwaltungsrecht
Oberverwaltungsgericht
Personal Computer
Rechtsanwalt
Recht der Verarbeitung
Randnummer
Satz
siehe
Telekommunikationsgesetz
Telemediengesetz
Unabhängiges Landeszentrum für Datenschutz
United States of America
Verwaltungsgericht
versus
Verbraucherzentrale Bundesverband
Volkszählungsurteil
Zeitschrift für Datenschutz
1
1. Einleitung
“The question isn't, What do we want to know about people?, It's, What
do people want to tell about themselves?” 1
In der Bundesrepublik Deutschland besitzen 80% der deutschen Bevölkerung über dem 14ten Lebensjahr einen Internet-Zugang.2 Das Internet
hat sich bei den meisten Menschen zu einem erweiterten Lebensraum
entwickelt und es gibt kaum noch jemanden, der behaupten kann nicht
Mitglied eines sozialen Netzwerks zu sein.3 Das Teilen4 von privaten
Fotos, Videos, Musikclips, und anderen Vorlieben wird durch soziale
Netzwerke ermöglicht und unterstützt. Xing, Twitter, Google+, und verschiedene Kontaktbörsen sind nur wenige bekannte Beispiele. Aber das
auf der Welt am meisten genutzte soziale Netzwerk ist Facebook.5 Die
Nutzerzahlen liegen bei einer Milliarde weltweit und etwa 25 Mio. Nutzer
sind allein in Deutschland registriert worden.6 Bei einer Einwohnerzahl
von ca. 82 Mio.7, macht das 30% der Bevölkerung Deutschlands aus.
Viele Menschen nutzen dieses Netzwerk, wissen jedoch nicht, dass Facebook ihre Daten für immer speichert, ggf. an Dritte weiterleitet, oder
dafür nutzt, um daraus Nutzungsprofile zu generieren, um personalisierte Werbung zu schalten. Die Währung mit der man nämlich heutzutage
im Internet bezahlt, sind personenbezogene Daten.8 Demzufolge häufen
sich Negativmeldungen zum Thema Datenschutz und Wahrung des
Persönlichkeitsrechts der Bürger Deutschlands.
1
Übersetzt: Die Frage lautet nicht, Was wollen wir über die Menschen wissen,
sondern was wollen die Menschen uns über sich erzählen. v. Marc Zuckerberg, Marc Zuckerberg Quotes.
2 Vgl. Schmölz, Die DIVSI-Milieu-Studie, RDV, S. 290.
3 Vgl. Kurz,Rieger, Die Datenfresser, S. 77.
4 Teilen (von „to share“ aus dem Englischen) bedeutet auf der eigenen Profilseite veröffentlichen.
5 Vgl. Grabs/Bannour, Follow me!, S. 214.
6 Vgl. Buggisch, Social Media Nutzerzahlen in Deutschland – Update 2013.
7 Vgl. Tatsachen über Deutschland, Bevölkerung.
8 Vgl. Weichert, Datenschutzverstoß als Geschäftsmodell – der Fall Facebook,
DuD, S. 716.
2
1.1
Problemstellung und Relevanz
Das Datenschutzrecht ist im ständigen Wandel und muss mit den fortlaufenden Entwicklungen in der virtuellen Welt mithalten.9 Insbesondere
das europäische Datenschutzrecht ist zum derzeitigen Zeitpunkt, eines
der größten Diskussionsthemen. Am 13. und 14. März 2013 trafen sich
die deutschen Datenschutzbeauftragten des Bundes und der Länder zur
zum 85. Mal zu einer Konferenz, um sich mit dem oben genannten
Thema auseinanderzusetzen.10 Speziell die sozialen Netzwerke waren
Mittelpunkt der Debatte, denn es hieß, diese bräuchten „Leitplanken“ im
Umgang mit dem Datenschutz.11 In diesem Zusammenhang wurde vom
Gesetzgeber verlangt, die Gesetzeslücken, die es sozialen Netzwerken
erlauben gegen das Datenschutzrecht zu verstoßen, zu schließen. Besonders Facebook fällt im datenschutzrechtlichen Bereich besonders
negativ auf. Auch andere Verstöße standen in der Vergangenheit zur
Diskussion und tun es noch immer. Es reichte von möglichen Wettbewerbsverstößen12 über Urheberrechtverletzungen13, bis hin zu Datenschutzverstößen14, die entweder durch Facebook selbst, oder durch
dessen Nutzer vorgenommen wurden. Diese Arbeit wird sich mit dem
datenschutzrechtlichen Teil der Verstöße von Facebook befassen und in
diesem Zusammenhang untersuchen, ob nur Facebook allein, oder auch
die Nutzer eine Teilschuld bei den Verstößen tragen.
1.2
Vorgehensweise der Arbeit
Im Kapitel 2. wird das Geschäftsmodell Facebook vorgestellt und beschrieben. Zur Konkretisierung der Thematik beinhaltet Kapitel 3. die
datenschutzrechtlichen Grundbegriffe. Der in Kapitel 4. behandelte
Hauptteil wird sich mit der Frage auseinandersetzen, ob Facebook gegen deutsche Rechtsvorschriften verstößt und wo der Verstoß beginnen
könnte. Unterschieden wird zwischen der Übermittlung der Daten in ei9
Vgl. Schwenke, Social Media Marketing & Recht, S. 372.
Vgl. Pressemitteilung bfdi vom 14.03.2013.
11 Vgl. Pressemitteilung bfdi vom 14.03.2013.
12 Vgl. LG Berlin, Az. 16 O 551 /10, Telemedicus.
13 Vgl. AG München, 158 C 28716/11, BeckRS, 2012, 17813.
14 Vgl. VG Schleswig, 8 B 61/12, BeckRS 2013, 46930.; vgl. OVG Schleswig, 4
MB 11/13, BeckRS 2013, 49919.
10
3
nen Drittstaat und dem in diesem Zusammenhang anwendbaren Recht,
der Erhebung und Verarbeitung der Daten, dem Erstellen von Nutzungsund Schattenprofilen, und der Löschpflicht. Weiterhin werden Lösungsvorschläge für datenschutzkonformes Verhalten unterbreitet. Im Kapitel
5. wird das Verhalten von Facebook anhand eines aktuellen Urteils gegen den Konzern Apple.Inc analysiert und versucht Analogien zu Facebook zu ziehen.
2. Das Geschäftsmodell von Facebook
Facebook ist das erfolgreichste soziale Netzwerk der Welt.15 Im Folgenden wird näher auf das Geschäftsmodell eingegangen und die Funktion
des sozialen Netzwerks beschrieben.
2.1
Die Facebook Incorporated
Mark Zuckerberg und 3 weitere Studenten der Harvard University, Boston entwickelten im Jahre 2004 die soziale Plattform thefacebook.com,
welche zunächst nur für Studenten der Universität zugänglich war.16
Später wurde der Zutritt zum sozialen Netzwerk auf alle Universitäten in
den USA, sowie für Nichtstudenten und Nutzer außerhalb Amerikas erweitert.17 Ab diesem Moment konnte M. Zuckerberg den meisten Erfolg
mit dem sozialen Netzwerk verbuchen.18 Ein Jahr darauf verließ M. Zuckerberg die Universität und gründete Facebook Incorporated (Inc.), wie
wir es heute kennen, mit Hauptsitz im Stanford Research Park, Kalifornien.19 2008 wurde Facebook in deutscher Sprache eingeführt.20 Der
Name „Facebook“, übersetzt „Gesichtsbuch“, ist sinngemäß auf das
Jahrbuch21 zurückzuführen, welches für Schüler und Studenten in Amerika dazu dient, vergangene Schuljahre/Semester und damit einhergehenden Höhepunkte festzuhalten. Heutzutage steht Facebook in über
15
Vgl. Adamek,Die Facebook-Falle, S. 15.
Vgl. Grabs/Bannour, Follow me!, S. 216.
17 Vgl. Schwindt, Das Facebook-Buch, S. 21.
18 Vgl. Grabs/Bannour, a.a.O., S. 216.
19 Vgl. Kurz,Rieger, Die Datenfresser, S. 77.
20 Vgl. Schwindt, a.a.O., S. 21.
21 s. Juneco e.V., Jahrbücher.
16
4
80. verschiedenen Sprachen zur Verfügung.22 Im Jahr 2012 ging die
Plattform an die Börse und musste zum ersten Mal seine Bilanzen offenlegen.23 Es kam heraus, dass es im Jahre 2011 3,7 Milliarden US-Dollar,
umgerechnet ca. 2,8 Mrd. Euro erwirtschaftet und 1. Mrd. Dollar, umgerechnet ca. 750 Millionen Euro Gewinn gemacht hat.24 3,15 Mrd. Dollar,
demnach 82% des Umsatzes von Facebook wurden durch personalisierte Werbung eingenommen.25
2.1.1
Die Facebook Ireland Limited
Einen weiteren Sitz hat Facebook in Irland.26 Den Sitz hat es aus steuerlichen Gründen gewählt, mit dem Ziel Steuern zu vermeiden.27 Im Vergleich zu Deutschland, wo eine Körperschaftsteuer (KSt.), in Höhe von
(i.H.v.) ca. 35% anfallen würde, fallen dort lediglich 2-3 % KSt an.28 Die
dort betriebene Niederlassung wurde vom Oberverwaltungsgericht
Schleswig auch als solche anerkannt, da sie mit dem vorhandenen Personal und den dortigen Einrichtungen jegliche Voraussetzungen für eine
solche Niederlassung erfülle.29 Deutsche Datenschützer haben jedoch
Schwierigkeiten damit, den Sitz in Irland als eine feste Einrichtung30 zu
betrachten und sehen darin lediglich eine Beschwerdestelle31.
2.1.2
Die Facebook Germany GmbH
Seit dem 11. Februar 2010 betreibt Facebook eine weitere Niederlassung in Deutschland, in Form einer juristischen Person.32 Doch diesen
Sitz hat das OVG Schleswig nicht als eine zulässige Niederlassung in
22
Vgl. Grabs/Bannour, Follow me!, S. 216.
Vgl. Kleinz, Die Milliarden-Maschine c´t 12/2012, S. 82 f.
24 Vgl. ebd.
25 Vgl. Weichert, Datenschutzverstoß als Geschäftsmodell – der Fall Facebook,
S. 716.
26 Vgl. Facebook, Datenschutzerklärung unter: Impressum.
27 Vgl. Schrems, Universität Passau, Vortrag v. 18./19.0413, ab min. 7:10.
28 Vgl. ebd.
29 Vgl. VG Schleswig, 8 B 61/12, BeckRS 2013, 46930.
30 Vgl. Beschwerdebegründung des ULD zum Beschluss des VG Schleswig, v.
14.02.2012.
31 Vgl. Schwenke, Social Media Marketing & Recht, S. 377.
32 Vgl. ULD, Schreiben vom 18.01.13 an das an das Verwaltungsgericht
Schleswig in Verwaltungsrechtssachen gegen Facebook Inc und Facebook
Ireland Ltd.
23
5
dem Sinne anerkannt, da diese im Bereich der Anzeigenakquise und
des Marketings tätig ist und keine Datenverarbeitung betreibt.33
2.2
Die Funktionen des sozialen Netzwerks
Unter einem sozialen Netzwerk im Sinne dieser Arbeit ist eine Internetplattform zu verstehen, durch die Informationen über die eigene Person
nach außen getragen und mit seinen virtuellen Freunden geteilt werden
kann. Die meisten „Freunde“ kennt man im Normalfall bereits aus dem
wahren Leben, was Facebook nutzt, um dem Nutzer die Möglichkeit zu
geben, eine virtuelle Kopie seines sozialen Beziehungsumfeldes zu erschaffen.34 Dies erscheint sehr praktisch, da sich durch das Netzwerk oft
Menschen wiederfinden, die sich länger nicht gesehen oder gehört haben.35 Oft lernt man allerdings auch neue Menschen über Facebook
kennen.36 Auf einer einzigen Plattform wird die Möglichkeit geboten,
viele Empfänger zu erreichen.37 Stickiness38 wird der Zustand beschrieben, den Facebook bei seinen Usern schafft,39 da das Löschen des Kontos oder das Wechseln zur Konkurrenz stark erschwert wird, weil die
Nutzer in der Regel viel Mühe, Zeit und Informationen in ihr Profil investiert haben.40 Facebook hat sich eine monopolähnliche Stellung aufgebaut,41 was einen Wechsel zu einem anderen Netzwerk nicht nur erschwert, sondern auch nicht sonderlich sinnvoll macht, da dort kaum
jemand zu finden sein dürfte.42
33
Vgl. VG Schleswig, 8 B 61/12, BeckRS 2013, 46930; vgl. OVG Schleswig, 4
MB 11/13, BeckRS 2013, 49919.
34 Vgl. Grabs/Bannour, Follow me!, S. 216.
35 Vgl. Grabs/Bannour, a.a.O.
36 Eigene Erfahrung.
37 Vgl. Kurz/Rieger, Die Datenfresser, S. 75.
38 Aus dem englischen: Klebrigkeit.
39 Vgl. Kurz/Rieger, a.a.O.
40 Vgl. ebd.
41 Vgl. Schrems, Auf Facebook kannst du nichts löschen, FAZ.
42 Vgl. Schrems, Universität Passau, Vortrag v. 18./19.0413, ab min. 33:50.
6
2.2.1
Nutzungs,- Schattenprofile und personalisierte Werbung
Wie bereits erwähnt, hat Facebook alleine mit zielgerichteter Werbung
82% seines Umsatzes verbucht.43 Das Profil eines Nutzers ist ca. 100 €
für Facebook wert.44 Doch wie funktioniert die zielgerichtete Werbung
des sozialen Netzwerks: Durch das Sammeln der Daten, erstellt die
Plattform im Hintergrund mit dem Analysewerkzeug Insights45, Nutzungsprofile, zugeschnitten auf das Konsumverhalten jedes einzelnen
Users.46 Gefällt-Mir Angaben, Besuche auf anderen Webseiten, die mit
Facebook durch einen Social Plugin verbunden sind, Verweildauer auf
den jeweiligen Seiten, Likes von Fanpages und vieles mehr geben einen
Rückschluss auf das Konsumverhalten der Nutzer.47 Durch die Verknüpfung der Cookies, die Facebook bei den Nutzern setzt und den Daten
die der Nutzer bei der Registrierung eingegeben hat, sowie den oben
genannten Daten, wird zugeschnitten auf die Vorlieben der Nutzer, personalisierte Werbung auf der Facebookseite platziert.48 Nicht selten
wundern sich Nutzer in letzter Zeit, warum die eingeblendete Werbung
so gut auf die eigenen Interessen passt.49 Soziale Netzwerke werden
demnach als die Zukunft der Online-Werbung gesehen.50 Die Abbildung
1 soll die Erstellung eines Nutzungsprofils besser veranschaulichen:
Vgl. Weichert, Datenschutzverstoß als Geschäftsmodell – der Fall Facebook,
S. 716.
44 Vgl. Weichert, a.a.O.
45 Facebook Insights: Facebook stellt mit Hilfe des Werkzeugs „Insights“ detaillierte Statistikinformationen über Nutzerinnen und Nutzer zur Verfügung, die
von Betreibern von Facebook-Seiten (Administratoren von sog. Fanpages)
und Facebook-Plattform-Anwendungsentwicklern sowie Webseitenbetreibern, die Funktionen der Facebook-Plattform in ihrer Webseite per SocialPlugin wie dem Like-Button integrieren, abrufbar sind. Diese Statistiken beziehen sich auf authentifizierte Nutzende und die ihnen zugeordneten Facebook-Seiten, Anwendungen oder Webseiten. Sie sind von dafür eingetragenen Administratoren mit Facebook-Konto über https://facebook.com/insights/
abrufbar, ULD, Datenschutzrechtliche Bewertung der Reichweitenanalyse
durch Facebook , S. 12.
46 Vgl. Weichert, a.a.O.
47 Vgl. Bauer, Personalisierte Werbung auf Social Community-Websites
Datenschutzrechtliche Zulässigkeit der Verwendung von Bestandsdaten und
Nutzungsprofilen, MMR, S. 437.
48 Vgl. Niemann/Scholz, Privacy by Design und Privacy by Default – Wege zu
einem funktionierenden Datenschutz in Sozialen Netzwerken, in: Peters/Kersten/Wolfenstetter, Innovativer Datenschutz, S. 119; vgl. Tätigkeitsbericht 2013 des ULD, S. 115 f., 7.1.4.
49 Eigene Erfahrung.
50 Vgl. Alex, Marketing-Konzept 2.0, S. 20.
43
7
Abbildung 1: Bsp. Nutzungsprofil51
Bei der Ziffer 1 hat der Nutzer (User) die Macht über sein Profil und kann
selbst entscheiden, was er veröffentlicht, teilt oder löscht. Im zweiten
Schritt saugt Facebook die Daten des Users auf und erstellt ein weiteres
Profil, das analysiert und für personalisierte Werbung genutzt wird.52
Facebook sammelt angeblich selbst von Nichtnutzern Daten und erstellt
sogenannte Schattenprofile.53 Max Schrems, ein 25 jähriger Jurastudent
aus Wien hat als erster Interessent all seine Daten bei Facebook angefragt und eine CD mit 1222 Seiten Infomaterial zugesandt bekommen,
aus welcher sich herausstellte, dass Facebook selbst nach dem Löschen, Daten vorrätig hält.54 Der Student hat mittlerweile 22 Beschwerden gegen den Konzern eingereicht und plant ein Verfahren gegen das
Unternehmen einzuleiten.55 Eine der Beschwerden wurde wegen der
Erstellung von Schattenprofilen verfasst, in der es heißt, Facebook würde im Hintergrund Daten von Personen sammeln, ohne dass die Betroffenen dies bemerken, oder dem zugestimmt haben.56 Dies ist eine
recht neue Information über die Verhaltensweise von Facebook mit Da-
51
Schrems, Universität Passau, Präsentation v. 05.05.2013, S. 13.
Vgl. Schrems, Universität Passau, Vortrag v. 18./19.0413, ab min. 6:00.
53 s. Europe vs. Facebook, Anzeigen gegen Facebook, „Schattenprofile“.
54 Vgl. Fichter, Der junge Mann und der Multi, Zeit Online, S. 1.
55 Vgl. Fichter, a.a.O.
56 Vgl. Europe vs. Facebook, a.a.O.
52
8
ten,57 die Max Schrems im Rahmen seiner Untersuchungen zu seinen
eigenen Daten aufgefallen ist und betreffe vor allem Personen ohne ein
Profil bei Facebook.58 Die Abbildung 2 soll näher beschreiben wie das
funktioniert:
Abbildung 2: Bsp. Schattenprofil 59
Die folgende Beschreibung der Abbildung 2 entspricht dem Vortrag vom
Herrn Schrems auf einem Symposium der Universität Passau60: Die
Person in der Mitte besitzt kein Profil bei Facebook.61 Die Freunde der
Person sind jedoch Mitglieder von Facebook und haben über die Facebook-App62 ihre Kontakte mit Facebook synchronisieren lassen. Dies
funktioniert im Übrigen auch über den E-Mailaccount.63 Durch die Synchronisation mit den Kontakten erhält Facebook über alle Kontakte Informationen, wie den Namen, das Geburtsdatum, die E-Mail-Adresse
und vieles mehr. Hier kommt es darauf an, welche Angaben genau die
57
Vgl. Schrems, Universität Passau, Vortrag v. 18./19.0413, ab min. 22:10.
Vgl. Europe vs. Facebook, Anzeigen gegen Facebook, „Schattenprofile“ (zuletzt abgerufen am: 22.05.13); vgl. Niemann/Scholz, Privacy by Design und
Privacy by Default – Wege zu einem funktionierenden Datenschutz in Sozialen Netzwerken, in: Peters/Kersten/Wolfenstetter, Innovativer Datenschutz, S.
122.
59 Schrems, Universität Passau, Präsentation v. 05.05.2013., S. 48.
60 Vgl. Schrems, Universität Passau, Vortrag v. 18./19.0413, ab min. 22:10.
61 Der Ablauf wäre bei jemandem, der zwar bei Facebook ein Profil hätte, jedoch all diese Angaben nicht gemacht hätte der gleiche.
62 Die Facebook-App ist eine Applikation, die es Nutzern ermöglicht Facebook
über ein Smartphone zu nutzen.
63 Vgl. Horvát et al., One Plus One Makes Three (for Social Networks).
58
9
Freunde der o.g. Person in ihren Kontakten über diese gespeichert haben. Beispielsweise haben drei der Freunde bei Firma A gearbeitet, zwei
haben die Schule Y besucht und zwei weitere gehören der Partei X an.
Facebook rechnet somit aus, dass die Person höchstwahrscheinlich all
diese Aktivitäten mit den Personen geteilt hat. Herr Schrems hat diese
Analyse bei sich selbst angewendet und folgendes ist dabei herausgekommen:
Abbildung 3: Schattenprofil von Max Schrems64
Auf Abbildung 3 ist Herr Schrems mit dem gelben Punkt in der Mitte
dargestellt. Die Verbindungen zwischen den anderen kleinen Punkten
stellen die Freundschaften seiner Freunde bei Facebook dar. Die kleinen gelben Punkte stellen männliche und die blauen, weibliche Freunde
dar. Die Tatsache darüber, dass Herr Schrems an der Universität Wien
studiert oder bei ASF gearbeitet hat oder sich irgendwann in Malaysien
aufgehalten hat, hat er selbst nicht angegeben. Diese Angaben haben
seine Freunde bei Facebook in ihren eigenen Profilen veröffentlicht.
Durch deren Erlaubnis zur Synchronisation der Kontakte kann Facebook
ableiten, dass diese Angaben für Herrn Schrems auch stimmen könnten.
Forscher des Interdisziplinären Zentrums für Wissenschaftliches Rechnen der Universität Heidelberg, sind dem Phänomen Schattenprofile
auch nachgegangen und haben erforscht, dass bei einer Synchronisati64
Schrems, Universität Passau, Präsentation v. 05.05.2013, S. 49.
10
on des E-Mailaccounts eine 40-prozentig richtige Vorhersage über die
Bekanntschaft zwischen den Mitgliedern und der Person, die kein Mitglied eines sozialen Netzwerks ist, getroffen werden kann.65 Diese Angaben beruhen lediglich auf reinen Kontaktdaten, also Telefonnummer,
Name, Adresse und ähnlichem. Die Forscher behaupten, dass wenn
man dies auf weitere Informationen ausbreitet, noch genauere Angaben
gemacht werden können66, wie man im Beispiel von Max Schrems auch
erkennen kann.
2.2.2
Der Social Plugin „Like-Button“
Seit April 2010 hat Facebook seinen Nutzern sogenannte Social Plugins
zur Verfügung gestellt.67 Seitdem wurden sie täglich von ca. 10.000
Webseitenbetreibern in deren Websites integriert, wodurch bis 2012 ca.
2,5 Mio. Websites mit Facebook verbunden waren.68 Unter den Social
Plugins, ist eines der bekanntesten Beispiele der „Gefällt-mir“-Button
(auch Like-Button genannt). Daneben existieren auch andere Plugins,
wie “Comments”-Plugin, “Recommendations”-Plugin, “Activity Feed”,
„Like Box“, „Login Button“69 und andere, auf die hier nicht näher eingegangen werden soll. Der Like-Button wird von Telemedienanbietern auf
ihren Webseiten platziert, um damit zu gewährleisten, dass Besucher
durch das Anklicken dieser, ihre Sympathie für ihr Unternehmen innerhalb ihres Facebook-Accounts zum Ausdruck bringen können.70 Facebook führt näher aus: „Der Like-Button gibt dem Internet-Nutzer die
Möglichkeit, die von ihm besuchten Inhalte mit seinen Freunden bei Facebook zu teilen“.71 Doch das Teilen soll nicht ohne Grund geschehen.
Damit einhergehend wird im Hintergrund ein sogenanntes Nutzungsprofil des Users erstellt und personalisierte Werbung entwickelt, worauf im
vorherigen Kapitel bereits näher eingegangen wurde. Das Problem, was
diese Buttons rechtlich mit sich bringen, ist das Verarbeiten personen-
65
Vgl. Horvát et al., One Plus One Makes Three (for Social Networks).
Vgl. ebd.
67 Vgl. Schwindt, Das Facebook-Buch, S. 19.
68 Vgl. Schwindt, a.a.O.
69 Vgl. Schwenke, Social Media Marketing & Recht, Abbildung 8-14, S. 393.
70 Vgl. Ernst, Social Plugins: Der „Like-Button” als datenschutzrechtliches Problem, NJOZ, S. 1917.
71 S. Facebook Developers, Like Button.
66
11
bezogener Daten ohne angemessene Einwilligung des Betroffenen erhalten zu haben, sowie, ohne dem Nutzer die Möglichkeit geboten zu
haben, dem Vorgang zu wiedersprechen.72 Für Webseitenbetreiber stellt
der Button eine Art Empfehlungsmarketing dar, da sich die Werbung fast
nur an bedeutsame Zielgruppen richtet.73 Für Facebook stellt er eine Art
Analysewerkzeug zur Auswertung des Nutzerverhaltens dar.74 Auf den
Like-Button wurden Datenschützer insbesondere wegen eines Falles
aufmerksam. Die Stadt Hamburg installierte diesen im Jahre 2010 auf
ihrer Seite, wonach später nachgewiesen werden konnte, dass der Button die Daten aller Besucher der Webseite sammelt und an Facebook
übermittelt.75 Das Verwerfliche an der Sache ist jedoch, dass Facebook
auch Daten von Nichtmitgliedern Facebooks sammelte, sowie ihr sonstiges Surfverhalten nachvollziehen konnte und in diesem Zusammenhang
sogenannte Schattenprofile erstellte.76 Da die Stadt Hamburg einen großen Wert auf den Schutz der Daten seiner Besucher legt, schafften sie
den Button auf hamburg.de ab.77 In Abbildung 4 kann man einen Social
Plugin auf der Homepage der Fachhochschule Köln erkennen:
Abbildung 4: Social Plugin von Facebook78
Vgl. Ernst, Social Plugins: Der „Like-Button” als datenschutzrechtliches Problem, NJOZ, S. 1917.
73 Vgl. Schwenke, Social Media Marketing & Recht, S. 393.
74 Vgl. Schwenke, a.a.O.
75 Vgl. Ernst, a.a.O.
76 Vgl. ebd.
77 Vgl. ebd.
78 Startseite des Webauftritts der Fachhochschule Köln.
72
12
Wenn man nicht parallel auf Facebook eingeloggt ist, gelangt man nach
Anklicken des Buttons auf das Facebookprofil der Fachhochschule Köln:
Abbildung 5: Facebookprofil der FH Köln79
Rechts neben dem Namen des Profils kann man den Button erneut erkennen. Diesmal steht in dem Button „Gefällt-Mir“. Wäre der User angemeldet bei Facebook, hätte er nun die Möglichkeit, durch das Anklicken des Buttons, seine Sympathie für die Fachhochschule Köln auf
seiner eigenen Profilseite sichtbar zu machen. Dies würde dann auf seiner eigenen Profilseite auftauchen, sowie im Newsfeed seiner Freunde
(unter “Neuigkeiten”). Freunde des Users können folglich, nach dem
Besuchen dessen Seite, seine Sympathie für die Fachhochschule Köln
erkennen. Dies würde dann auf dem Profil des Users folgendermaßen
aussehen:
79
Facebookprofil der Fachhochschule Köln.
13
Abbildung 6: Praxisbeispiel80
Facebook kann via Cookies81 auf dem Rechner des Nutzers eindeutig
identifizieren, welche Bewertungen durch andere User abgegeben werden.82 Diese Bewertungen werden dann im eigenen Profil des Users
sichtbar und können parallel von Facebookgruppen, aber auch von
sonstigen Facebook-Applikationen, z.B. für zielgerichtetes Marketing,
verwendet werden, ohne den Nutzer nach einer Einwilligung zu fragen.83
3. Datenschutzrechtliche Grundbegriffe
Im Folgenden werden konkrete datenschutzrechtliche Begriffe näher
erläutert, um die Thematik besser zu veranschaulichen.
3.1
Deutsches Datenschutzrecht
Dem Datenschutzrecht wird in Deutschland grundsätzlich ganz besondere Aufmerksamkeit geschenkt. Dies beruht insbesondere auf der historischen Vorgeschichte des Nationalsozialismus, sowie den Zeiten in
der DDR.84 Der Datenschutz zählt insbesondere seit dem im Jahre 1983
gefällten Volkszählungsurteil (VZU), als „informationelles Selbstbestimmungsrecht“ zu den deutschen Grundrechten.85 Dieses Grundrecht fin-
80
Facebookprofil der Verfasserin.
Vgl. Köhler/Kirchmann, IT von A bis Z, Cookies: Mit Cookies lassen sich im
Internet Zustände speichern, um einen Benutzer bei einem späteren Besuch
wiederzuerkennen und ihn seine gewohnte Umgebung vorfinden zu lassen.
82 Vgl. Redaktion MMR Aktuell, "Social Plugins" als weiterer Eingriff in den Datenschutz von Internetnutzern, MMR-Aktuell, S. 303975.
83 Vgl. Redaktion MMR Aktuell, a.a.O.
84 Vgl. Masing, Herausforderungen des Datenschutzes, NJW, S. 2305.
85 Vgl. Witt, Datenschutz kompakt und verständlich, S. 47.
81
14
det seine Verankerung im allgemeinen Persönlichkeitsrecht.86 Grundsätzlich bieten Grundrechte Bürgern in der Bundesrepublik Deutschland
Schutz vor dem Staat.87 So verhält es sich mit der informationellen
Selbstbestimmung ebenfalls.88 Allerdings findet man im dritten Abschnitt
des Bundesdatenschutzgesetzes, sowie auf einfacher gesetzlicher Ebene etliche Datenschutzvorschriften, die bis in den privaten Bereich der
Nutzer vordringen.89 Die informationelle Selbstbestimmung räumt jedem
Bürger das Recht ein, selbst zu entscheiden, welche seiner Daten er zur
Verfügung stellen und offenbaren möchte.90 Datenschutzrechtliche Anwendungsregeln ergeben sich insbesondere aus dem deutschen Bundesdatenschutzgesetz
(BDSG),
den
Landesdatenschutzgesetzen
(LDSG), dem Telemediengesetz (TMG), dem Telekommunikationsgesetz (TKG) und in bestimmten Fällen aus der Europäischen Datenschutzrichtlinie (EU-DSRL).91 Das Ziel des Datenschutzrechts kann man
dem Wortlaut des §1 Abs.1 BDSG entnehmen: „Zweck dieses Gesetzes
ist es, den einzelnen davor zu schützen, dass er durch den Umgang mit
seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird.“ Durch die dynamische Entwicklung der virtuellen Welt,
fällt es den Gesetzgebern immer schwerer mitzuhalten und Regelungen
zu schaffen, die alles Rechtliche im virtuellen Bereich abdecken.92 Aus
diesem Grunde sind datenschutzrechtliche Gesetze relativ „abstrakt“
verfasst, was man an Formulierungen, wie „erforderlich“, „angemessen“,
oder „schützenswürdig“ erkennt.93 Eine klare Definition dieser Begriffe
wurde bisher nicht vorgenommen. In einem konkreten Fall legen Gerichte diese Begrifflichkeiten in Entscheidungen aus.94 Grundsätzlich ist die
unerlaubte Erhebung, Verarbeitung und Nutzung personenbezogener
Daten nicht mit dem Gesetz vereinbar und führt zu einer Persönlichkeitsrechtsverletzung.95
86
Vgl. Witt, Datenschutz kompakt und verständlich, S. 47.
Vgl. Di Fabio, in: Maunz/Düring, Grundgesetz-Kommentar, Art 2, Rn. 179.
88 Vgl. Di Fabio, a.a.O., Art 2, Rn. 132.
89 Vgl. Moos, Datenschutzrecht – schnell erfasst, S. 2.
90 Vgl. ebd.
91 Vgl. Baumgartner/Ewald, Apps und Recht, Rn. 193.
92 Vgl. Schwenke, Social Media Marketing & Recht, S. 372.
93 Vgl. Schwenke, a.a.O., S. 374.
94 Vgl. Schwenke, a.a.O.
95 Vgl. § 1 Abs. 1 BDSG.
87
15
3.2
Personenbezogene Daten
Nicht alle Daten sind vom BDSG und anderen Gesetzen geschützt.96
Geschützt ist nach § 1 Abs. 1 BDSG, der Einzelne vor der Verletzung
seines Persönlichkeitsrechts im Zusammenhang mit dem Umgang seiner personenbezogenen Daten.97 Was unter personenbezogenen Daten
zu verstehen ist, führt § 3 Abs. 1 BDSG genauer aus: „Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener)“98. Daten können verschiedene Angaben preisgeben, die zu
einer bestimmten Person zurückführen können.99 Beispiele wären: die
E-Mail-Adresse, Postadresse, Familienstand, oder berufliche Aktivität.100
Daten können auch Auskunft über den Namen oder über eine Handlungen geben, z.B. das Besuchen der Facebook-Seite.101 Zusammengefasst sind personenbezogene Daten solche, die den Zusammenhang zu
einer Person mit verhältnismäßigen Mitteln gewährleisten können.102
Neben den personenbezogenen Daten existieren pseudonymisierte und
anonymisierte Daten.103 § 3a BDSG spricht davon, im Zweifelsfalle von
der Möglichkeit einer „Pseudonymisierung“ oder einer „Anonymisierung“
Gebrauch zu machen. Daten sind dann anonym, wenn jeglicher persönlicher Bezug zum Betroffenen gelöscht wird oder nicht nachvollzogen
werden kann.104 Pseudonyme Daten sind jene, bei denen der Name des
Betroffenen durch ein anderes Identifikationsmerkmal, wie z.B. eine
Kundennummer ersetzt wird.105 Durch das Anwenden eines der beiden
Methoden wird die Möglichkeit geboten, so wenig personenbezogene
Daten wie möglich zu verarbeiten. Die Frage die sich seit geraumer Zeit
stellt ist, ob die Internetprotokoll (IP)-Adresse auch unter den Schutzbe-
96
Für die Erklärung personenbezogener Daten bezieht sich die Verfasserin
verstärkt auf den Wortlaut des BDSG.
97 Vgl. § 1 Abs. 1 BDSG.
98 § 3 Abs. 1 BDSG.
99 Vgl. Gola/Schomerus, BDSG Kommentar, § 3, Rn. 10.
100 Vgl. Gola/Schomerus, a.a.O., § 3, Rn. 2.
101 Vgl. Schwenke, Social Media Marketing & Recht, S. 377.
102 Vgl. Gola/Schomerus, a.a.O.
103 Vgl. Spindler/Nink, in: Spindler/Schuster, Anonyme und pseudonyme Nutzung, Recht der elektronischen Medien, § 13 TMG, Rn. 10.
104 Vgl. § 3 Abs. 6 BDSG.
105 Vgl. Moos, Datenschutzrecht – schnell erfasst, S. 59.
16
reich eines personenbezogenen Datums fällt.106 Durch die o.g. Adresse
können Geräte, die mit dem Internet verbunden sind mit einem Zahlencode identifiziert werden.107 Durch das Aufrufen einer beliebigen Webseite teilt man dem zuständigen Server108 seine IP-Adresse mit, welcher
im nächsten Schritt einen Befehl mit der Aufforderung an die Webseite
weiterleitet, das verlangte Datenpaket an die IP-Adresse zu senden.109
Es herrschen zwei Theorien die über den Personenbezug der IPAdresse diskutieren, die relative und absolute Theorie.110 Nach der relativen Theorie würde im Rahmen einer IP-Adresse ein Personenbezug
erst dann zu erkennen sein, wenn in der IP-Adresse persönliche Informationen verschlüsselt sind, die auf den Inhaber der IP-Adresse schließen lassen,111 denn grds. könnte man den Personenbezug eigentlich nur
im Rahmen einer Strafermittlung feststellen, indem man den Internetprovider dazu verpflichtet die dazugehörigen Daten über den Besitzer
der IP-Adresse herauszugeben.112 Nach der absoluten Theorie geht
man stets von einem Personenbezug in der IP-Adresse aus.113 Deutsche Datenschutzbeauftragte und ein Teil der Gerichte114 zählen die IPAdresse, nach der absoluten Theorie zu den personenbezogenen Daten.115
3.3
Automatisierte Verarbeitung
Bei der automatisierten Verarbeitung, hat der Gesetzgeber im § 3 Abs. 2
BDSG, mit Einbeziehung der Erhebung, Verarbeitung und Nutzung personenbezogener Daten praktisch jede Bewegung in Verbindung mit personenbezogenen Daten unter Schutz gestellt. Gemäß § 3 BDSG versteht man unter „Erheben“ das Beschaffen von Daten über den Be-
106Vgl.
Schwenke, Schwenke, Social Media Marketing & Recht, S. 378.
Vgl. ebd.
108 Server: Rechner, der Anwendungen, Programme und Dokumente bereithält,
auf die andere Rechner (Clients) zugreifen können, Köhler/Kirchmann, IT
von A bis Z, S. 208.
109 Vgl. Schwenke, a.a.O.
110 Vgl. Voigt/Alich, Facebook-Like-Button und Co. – Datenschutzrechtliche
Verantwortlichkeit der Webseitenbetreiber, NJW, S. 3542.
111 Vgl. ebd.
112 Vgl. Adamek, Die Facebook Falle, S. 331.
113 Vgl. Voigt/Alich, a.a.O.
114 Vgl. AG Berlin Mitte, Az. 5 C 314/0, Telemedicus.
115 Vgl. Schwenke, a.a.O., S. 379.
107
17
troffenen.116 Hierbei ist es nicht von großer Bedeutung, ob die Daten
schriftlich, oder mündlich beschafft werden, sowie ob sie über den Betroffenen oder einen Dritten beschafft werden, sondern das zielgerichtete Beschaffen der Daten.117 Unter der Verarbeitung werden mehrere
Vorgänge verstanden: das Speichern, Verändern, Übermitteln, Sperren
und Löschen von personenbezogenen Daten.118 Das „Speichern“ meint
das: „Erfassen, Aufnehmen oder Aufbewahren personenbezogener Daten auf einem Datenträger zum Zwecke ihrer weiteren Verarbeitung oder
Nutzung, […]“.119 Unter Erfassen wird in der Literatur das schriftliche
Fixieren und unter Aufnehmen, das Fixieren der Daten, allerdings mit
Hilfe von technischen Mitteln, wie Datenträgern, Ton- und Videobänden
und sonstigen Medien verstanden.120 Aufbewahren bedeutet, Vorhalten
der Daten.121 Mit „Löschen“ meint das Gesetz, das Unkenntlichmachen
gespeicherter personenbezogener Daten.122 Um Daten unkenntlich zu
machen, dürfen sie nicht mehr lesbar sein. Grundsätzlich kann man
sagen, dass Daten dann gelöscht sind, wenn man sie nicht mehr rekonstruieren kann.123 Mit „Nutzen“ wird jegliche Verwendung personenbezogener Daten gemeint, sofern es sich nicht um eine Verarbeitung handelt.124 Dieser weit gefasste Anwendungsbereich steht in Verbindung mit
Art. 2b der EU-DSRL, in der jeder Vorgang in Verbindung mit personenbezogenen Daten erfasst wird und dient als Auffangtatbestand, sofern
es sich bei dem jeweiligen Vorgang nicht um Verarbeitung nach § 3 Abs.
4 BDSG handelt. Festzuhalten ist, dass jede zweckmäßige Anwendung
personenbezogener Daten geschützt ist.125 Bürger haben grundsätzlich
jedoch das Recht, sich gegen eine uneingeschränkte Erhebung, Speicherung, Nutzung und Weitergabe ihrer Daten zu wehren126, denn aus
diesen Rechtsverstößen können als Reaktion, zivilrechtliche Ansprüche
116
Vgl. § 3 Abs. 3 BDSG.
Vgl. Moos, Datenschutzrecht – schnell erfasst, S. 25.
118 Vgl. § 3 Abs. 4 BDSG; Näheres zu den anderen Umgangsarten mit Daten, s.
§ 3 Abs. 4 Nr. 1-5.
119 § 3 Abs. 4 Nr. 1 BDSG.
120 Vgl. Moos, a.a.O., S. 26.
121 Vgl. ebd.
122 Vgl. § 3 Abs. 4 Nr. 5 BDSG.
123 Vgl. Moos, a.a.O., S. 29.
124 Vgl. § 3 Abs. 5 BDSG.
125 Vgl. Moos, a.a.O., S. 29.
126 Vgl. Bamberger, Beck'scher Online-Kommentar BGB, § 12, Rn. 161.
117
18
auf Unterlassung, Beseitigung, Auskunft und Ersatz des daraus entstandenen materiellen und immateriellen Schadens entstehen.127
3.4
Einwilligung
Gemäß § 4 Abs. 1 BDSG, § 12 Abs. 1 TMG, Art. 7a EU-DSRL ist eine
Datenverarbeitung erst dann zulässig, wenn vorher eine ausdrückliche
Einwilligung seitens der betroffenen Person stattgefunden hat. Die Einwilligung ist nach § 4a BDSG erst rechtswirksam, wenn der Betroffene
diese freiwillig abgibt und zuvor über die Erhebung und Verwendung der
zu erhebenden Daten in Kenntnis gesetzt wurde.128 Aus der Einwilligung
müssen die genaue Absicht, der Umfang der zu erhebenden Daten, sowie der Charakter dieser und die daraus resultierenden Folgen erkennbar sein.129 Pauschalisierte Erklärungen seitens eines Dienstanbieters
wären daher nicht wirksam. Für das Vorliegen der Einwilligung trägt der
verantwortliche Dienstanbieter die Beweislast.130 Weiterhin bedarf die
Einwilligung nach § 4a Abs. 1 S. 2 BDSG der Schriftform, soweit nicht
wegen bestimmter Umstände eine andere Form angemessen ist. § 13
Abs. 2 TMG erlaubt eine elektronische Form der Erklärung einer Einwilligung, wenn der Dienstanbieter sicherstellen kann, dass der Nutzer sich
bewusst über die Abgabe der Einwilligung war und diese eindeutig erteilt
hat. Weiterhin die Einwilligung protokolliert und die Möglichkeit erteilt
wurde, den Inhalt der Einwilligung jederzeit abzurufen, sowie dem User
die Option erteilt wurde, die Einwilligung jederzeit zu widerrufen.131
4. Wo beginnt das Datenschutzproblem bei Social
Plugins
Dieses Kapitel wird sich mit der Frage auseinandersetzen, gegen welche deutschen Rechtsvorschriften das soziale Netzwerk genau verstößt
127
Vgl. Bamberger, Beck'scher Online-Kommentar BGB, § 12, Rn. 161.
Vgl. § 4a BDSG.
129 Vgl. ULD, Datenschutzrechtliche Bewertung der Reichweitenanalyse durch
Facebook , S. 20.
130 Vgl. Moos, Datenschutzrecht – schnell erfasst, S. 47.
131 Vgl. § 13 Abs. 2 TMG.
128
19
und wo der Verstoß genau beginnen könnte. Beginnt der Verstoß beim
Übermitteln der Daten in einen Drittstaat, im Falle von Facebook in die
USA und welches Recht findet aus deutscher Sicht auf Facebook Anwendung. Weiterhin ob die Übermittlung nach dem anwendbaren Recht
stattfinden darf. Oder beginnt das Datenschutzproblem erst beim nächsten Schritt, der Erhebung bzw. der Verarbeitung der Daten. Eines der
hilfreichsten Tools, die Facebook dafür verwendet ist wie bereits in Kap.
2.5.1 erwähnt, der Like-Button, der das Surfverhalten des Webseitenbesuchers analysiert und die dadurch gewonnenen Daten an Facebook
weiterleitet. Die rechtliche Prüfung im Rahmen des Kap. 4.2 geht näher
auf die durch den Button gewonnenen Daten ein und prüft in diesem
Rahmen, ob die Erhebung und Verarbeitung dieser, rechtskonform abläuft. Die Prüfung unterscheidet zwischen Facebook selbst und dem
Webseitenbetreiber. Zu guter Letzt wird geprüft, ob das Erstellen von
Nutzungs- und Schattenprofilen rechtskonform abläuft.
4.1
Übermittlung personenbezogener Daten in einen Drittstaat? Welches Recht findet Anwendung
Facebook hat seinen Hauptsitz in den vereinigten Staaten, in Form einer
Incorporated.132 Zunächst muss geklärt werden, welches Recht in
Deutschland auf den Konzern Anwendung findet. In Frage käme grds.
das deutsche, europäische, irische oder amerikanische Recht, da Facebook seinen Hauptsitz in den USA betreibt und weitere Niederlassungen
in Irland und Deutschland hat.
In Amerika ist das sogenannte Opt-Out-Prinzip vertreten, welches amerikanischen Unternehmen durchweg das Verarbeiten von personenbezogenen Daten so lange erlaubt, bis die Nutzer dem aktiv wiedersprechen.133 In Europa sowie in Deutschland dagegen herrscht das Opt-InPrinzip, welches vor der Verarbeitung der Daten eine Einwilligung des
Nutzers verlangt.134 Das erstgenannte versucht Facebook auch in
132
S. Kap. 2.1.
Vgl. Schwenke, Social Media Marketing & Recht, S. 372.
134 Vgl. ebd.
133
20
Deutschland durchzusetzen, womit deutsche Datenschützer große Probleme haben.135
Als europäisches Recht ist grds. die Richtlinie 95/46/EG (EU-DSRL)
gemeint, die durch die Umsetzung in nationales Recht am 23. Mai 2001
zur Novellierung des BDSG geführt hat.136 § 1 Abs. 5 BDSG enthält aus
dem Art. 4 EU-DSRL übernommene Kollisionsregeln, die besagen, dass
wenn eine datenbeziehende Stelle ihren Sitz außerhalb des deutschen
Territoriums hat, insbesondere außerhalb der Europäischen Union (EU)
und dem Europäischen Wirtschaftsraum (EWR) und Daten im Inland,
also Deutschland erhebt, verarbeitet oder nutzt, deutsches Recht anzuwenden ist.137 Dies wird als das Territorial,- oder Sitzprinzip bezeichnet.138 Facebook.inc hat seinen Sitz in den USA, demnach außerhalb
der EU, sowie dem ERW. Weiterhin müsste eine Erhebung, Verarbeitung oder Nutzung der Daten stattfinden. Das Setzen von Cookies auf
Rechnern der deutschen Nutzer stellt grds. eine Erhebung dar139, da
durch die gesetzten Cookies die Möglichkeit geboten wird Nutzungsprofile zu generieren140. Abgesehen davon heißt es im Art. 4 Abs. 1 lit. c
EU-DSRL, dass Daten dann im Inland erhoben oder verarbeitet werden,
wenn auf Mittel zurückgegriffen wird, die im Inland belegen sind. Man
könnte es so auslegen, dass es deutschen Nutzern ohne ihren, in
Deutschland belegenen PC nicht möglich wäre, ihre Daten in Facebook.com einzugeben und dem Portal somit die Verarbeitung der Daten
zu ermöglichen. Somit greift Facebook auf Mittel, die im Inland belegen
sind. Im Zwischenergebnis würde auf Facebook.inc deutsches Recht
Anwendung finden.
Eine Ausnahme wäre, wenn das im Ausland belegene Unternehmen
seine unternehmerische Tätigkeit durch eine Filiale oder Niederlassung,
im EWR nachweisen kann. Facebook hat, wie in Kap. 2.1.1 erwähnt
135
Vgl. Schwenke, Social Media Marketing & Recht, S. 372.
Vgl. Moos, Datenschutzrecht – schnell erfasst, S. 13.
137 Vgl. § 1 Abs. 5 BDSG.
138 Vgl. Kühling/Seidel/Sivridis, Datenschutzrecht, 2. Kapitel, S. 104.
139 Vgl. Stadler, Gilt deutsches Datenschutzrecht für Facebook überhaupt?; vgl.
Beschwerdebegründung des ULD zum Beschluss des VG Schleswig, v.
14.02.2012.
140 Vgl. Schwartmann, Praxishandbuch Medien-, IT- und Urheberrecht, 18. Kap.
Datenschutzrecht, S. 611, Rn. 10.
136
21
einen weiteren Sitz in Irland, was die Anwendbarkeit des irischen Rechts
zulassen würde.141 Es sei denn, der Datenverarbeitungsvorgang erfolgte
gem. § 1 Abs. 5 S. 1 HS. 2 BDSG durch eine Niederlassung im Inland,
also in Deutschland. In diesem Fall würde nämlich wieder deutsches
Recht Anwendung finden. Facebook hat auch in Deutschland eine weitere Niederlassung.142 Die deutsche Niederlassung wurde jedoch, wie in
Kap. 2.1.2 bereits erwähnt, in zwei Beschlüssen des VG und des OVG
Schleswig als eine Niederlassung in dem Sinne nicht anerkannt. In der
Datenschutzerklärung von Facebook heißt es, dass der Vertrag, der
vom Nutzer eingegangen wird, eine Vereinbarung zwischen Facebook
Ireland Ltd. darstellt, sofern man seinen Wohnsitz nicht in den USA oder
Kanada hat.143 Deutsche Datenschützer haben wie bereits in Kap. 2.2
erwähnt, Schwierigkeiten damit, den Sitz in Irland letztendlich als eine
feste Einrichtung zu betrachten, was die Antwort bzgl. des anwendbaren
Rechts erschwert. Mithin würde § 1 Abs. 5 S. 1 BDSG letztendlich dann
gelten und in diesem Zusammenhang das deutsche Recht Anwendung
finden, wenn die Niederlassung des Mutterunternehmens personenbezogene Daten im Inland, also in Deutschland erhebt, verarbeitet oder
nutzt. Facebook.Ltd spricht sich durch seine Allgemeinen Geschäftsbedingungen (AGB) das Recht zu, die Daten der Nutzer in die USA zu
übermitteln, damit sie dort verarbeitet werden,144 was impliziert, dass
nicht Facebook.Ltd die Daten verarbeitet, sondern das Mutterunternehmen Facebook.Inc., welches in den USA ansässig ist. Demnach ist nicht
Facebook Ltd. die datenverarbeitende Stelle, sondern Facebook.Inc.
Schlussendlich wird die Meinung des Unabhängigen Landeszentrums
für Datenschutz (ULD)145 dahingehend unterstützt, dass Facebook sich
gem. § 1 Abs. 5 BDSG dem deutschen Datenschutzrecht anpassen
müsste, aus den oben genannten Gründen.
Die Übermittlung personenbezogener Daten an ein amerikanisches Unternehmen wäre grds. auch dann zulässig, wenn davon auszugehen ist,
141
Vgl. Schwenke, Social Media Marketing & Recht, S. 376 f.
s. 2.1.2.
143 Vgl. Facebook Nutzungsbedingungen, 19. Sonstiges.
144 Vgl. Facebook Nutzungsbedingungen, 17. Besondere Bestimmungen für
Nutzer außerhalb der USA.
145 Vgl. ULD, Datenschutzrechtliche Bewertung der Reichweitenanalyse durch
Facebook , S. 20.
142
22
dass die Daten den gleichen Datenschutzstandards wie in der EU unterfallen.146 Dies wäre der Fall, wenn Facebook dem Safe Harbour147 Abkommen beigetreten wäre. Dies ist zwar der Fall, jedoch kommt weder
Facebook, noch die US- Verbraucherschutzbehörde Federal Trade
Commission (FDC) ihren Pflichten in Bezug auf das Abkommen nach148,
somit dürfte nach § 4b Abs. 2 S. 2. BDSG eine Übermittlung in die USA
erst dann stattfinden, wenn der Betroffene kein schutzwürdiges Interesse am Ausschluss der Übermittlung hätte.149 Ein schutzwürdiges Interesse könnte bei fehlendem angemessenem Schutzniveau der zu übermittelnden Daten bestehen.150 Ausnahmen für eine rechtskonforme
Übermittlung, trotz nicht angemessenem Schutzniveau könnten die im §
4c Abs. 1 BDSG aufgeführten Regelungen darstellen. Diese Rechtsnorm gilt insbesondere für den Wirtschaftsverkehr mit den Drittstaaten.151 Eine der Ausnahmen könnte eine Einwilligung des Betroffenen
darstellen, die jedoch, wie die folgende Prüfung zeigen wird grds. nicht
gegeben ist.
4.2
Erhebung und Verarbeitung personenbezogener Daten
Wie bereits in Kap. 2.5.3 beschrieben, erstellt Facebook von seinen
Nutzern im Hintergrund Nutzungs- und Schattenprofile, um personalisiert zu werben, worüber weder die Nutzer, noch die Freunde der Nutzer, die nicht bei Facebook angemeldet sind, in Kenntnis gesetzt werden.152 Die Voraussetzung, um personalisierte Werbung erstellen zu
können, ist die Erhebung und Zusammenstellung von Daten in Nutzungsprofilen und schlussendlich die damit einhergehende Verwendung
146
Vgl. Dramburg/Schwenke, Rechtliche Stolperfallen beim Facebookmarketing, Kap. 14.5, S. 79.
147 Bei Safe Harbor (Sicherer Hafen) handelt es sich um eine zwischen der EU
und den USA im Jahre 2000 getroffene Vereinbarung, die gewährleistet,
dass personenbezogene Daten legal in die USA übermittelt werden können.
Ausgangspunkt für diese Vereinbarung bilden die Vorschriften der Art. 25
und 26 der Europäischen Datenschutzrichtlinie, nach denen ein Datentransfer in Drittstaaten verboten ist, die über kein dem EU-Recht vergleichbares
Datenschutzniveau verfügen, vgl. bfdi, Safe Harbour.
148 s. ULD Pressemitteilung v. 14.03.2013; vgl. ULD Tätigkeitsbericht 2013,
7.1.4., S. 115 f.
149 Vgl. Erbs/Kohlhaas, Strafrechtliche Nebengesetze, BDSG § 4b, Rn. 5.
150 Vgl. ebd.
151 Vgl. Erbs/Kohlhaas, a.a.O., BDSG § 4c, Rn. 2.
152 s. Kap. 2.5.3.
23
dieser Daten und Nutzungsprofile.153 Bei der Prüfung wird zwischen Facebook und dem Webseitenbetreiber, der den Like-Button auf seine Seite platziert und eine Verarbeitung der Daten ermöglicht, unterschieden.
Grundsätzlich hat das Bundesdatenschutzgesetz auf Bundesebene Vorrang, wenn es sich in einem Einzelfall um personenbezogene Daten
handelt. Es tritt jedoch hinter speziellere Regelungen, wenn der Sachverhalt in deren Anwendungsbereich fällt.154 Wenn z.B. im TMG etwas
Spezielles nicht geregelt wurde, bleibt das BDSG subsidiär anwendbar
und nimmt die Form einer Auffangregelung an.155 Bei FacebookFanpagebetreibern und Webseitenbetreibern mit Sitz in Deutschland
handelt es sich grundsätzlich um Dienstanbieter von Telemedien, auf die
das TMG anzuwenden ist.156 Im § 12 TMG157 ist geregelt, wann personenbezogene Daten erhoben und verwendet werden dürfen.
4.2.1
Datenschutzrechtliche Verantwortlichkeit des Webseitenbetreibers
Durch das Einbinden von Socal Plugins in seine Webseite, unterstützt
der Webseitenbetreiber Facebook dabei, Nutzungsprofile von den Besuchern der Site zu erstellen.158 Der Betreiber könnte nach § 11 Abs. 1
BDSG, als Auftraggeber in Betracht kommen und würde dann zur Verantwortung gezogen werden dürfen.159 Allerdings ist dies gleich zu verneinen, weil es insbesondere an einem Auftragsverhältnis zwischen den
beiden Parteien scheitert.160 Ein Datenschutzverstoß des Webseitenbetreibers, durch das Einbringen von Drittinhalten, in unserem Fall des
Plugins, würde gegen § 12 Abs. 2 TMG161 verstoßen, wenn personen153
Vgl. Bauer, Personalisierte Werbung auf Social Community-Websites
Datenschutzrechtliche Zulässigkeit der Verwendung von Bestandsdaten und
Nutzungsprofilen, MMR, S. 435.
154 Vgl. § 1 Abs. 3 BDSG.
155 Vgl. Bauer, Personalisierte Werbung auf Social Community-Websites
Datenschutzrechtliche Zulässigkeit der Verwendung von Bestandsdaten und
Nutzungsprofilen, MMR, S. 435.
156 Vgl. ULD, Datenschutzrechtliche Bewertung der Reichweitenanalyse durch
Facebook, S. 17; vgl. § 2 Nr. 1 TMG.
157 s. auch: § 4 Abs. 1 BDSG.
158 Vgl. ULD, a.a.O., S. 23.
159 Vgl. Ernst, Social Plugins: Der „Like-Button” als datenschutzrechtliches
Problem, NJOZ, S. 1918.
160 Vgl. ebd.
161 s. auch: § 4 Abs. 1 BDSG.
24
bezogene Daten, ohne eine gesetzliche oder andere Rechtsvorschrift,
die sich auf Telemedien bezieht, jedoch insbesondere ohne die Einwilligung des Betroffenen, für andere Zwecke verwendet werden würden.
Als personenbezogenes Datum würde im Falle des Like-Buttons die IPAdresse in Frage kommen.162 Nun müsste entschieden werden, nach
welcher Theorie man die o.g. Adresse betrachtet. Würde man sie nach
der absoluten Theorie betrachten, würde man grundsätzlich davon ausgehen, dass die IP-Adresse zu den personenbezogenen Daten zählt
und die Verarbeitung dieser würde dann zu einem Verstoß führen.163
Nach der relativen Theorie müsste man zunächst untersuchen, ob man
bei näherer Betrachtung der IP-Adresse einen Personenbezug zu dem
Betreffenden feststellen kann.164 Sollte die Untersuchung positiv ausfallen, würde ein personenbezogenes Datum vorliegen, andernfalls nicht.
Ferner dürfte keine gesetzliche oder andere Rechtsvorschrift, die sich
auf Telemedien bezieht, dem Webseitenbetreiber das Verarbeiten der
Daten legitimieren. Es gibt weder im TMG, noch im BDSG oder anderen
Rechtsvorschriften, sowie in der Literatur eine Legitimation für das Platzieren eines Social Plugins, welcher personenbezogene Daten erhebt
und verarbeitet.
Weiterhin müsste der Betroffene in den Nutzungsvorgang, nach §§ 12
Abs. 2, 13 TMG eingewilligt haben. Beim Anklicken des Buttons könnte
man eventuell von einer konkludenten Form der Einwilligung ausgehen.
Dies wäre nur dann zu bejahen, wenn der Betreffende über die Art, den
Zweck des Nutzungsvorgangs, sowie auf die Folgen der Verweigerung
der Einwilligungen und vieles mehr in Kenntnis gesetzt würde.165 Nach
eigener Erfahrung der Autorin gehen dem bisher nur wenige Webseitenbetreiber nach.166 Somit findet beim Anklicken, insbesondere jedoch
beim Nichtanklicken des Buttons, wo mittlerweile nachweislich perso162
Vgl. ULD, Datenschutzrechtliche Bewertung der Reichweitenanalyse durch
Facebook, S. 15.
163 Vgl. ebd.
164 Vgl. Voigt/Alich, Facebook-Like-Button und Co. – Datenschutzrechtliche
Verantwortlichkeit der Webseitenbetreiber, NJW, S. 3542 f.
165 Vgl. § 4a Abs. 1 BDSG.
166 Vgl. ULD, a.a.O., S. 14.
25
nenbezogene Daten der Webseitenbesucher an Facebook übermittelt
werden, in den meisten Fällen keine Einwilligung in dem Sinne statt.167
Der andere Zweck könnte das Übermitteln an einen Drittanbieter, hier
Facebook darstellen.168 Über die Frage, ob ein Webseitenbetreiber letztendlich dieselbe Schuld trifft, wie Facebook, wird stark diskutiert. Auf der
einen Seite wird die Meinung vertreten, dass eine Datenerhebung durch
Facebook, ohne das Bereitstellen des Werkzeugs gar nicht möglich wäre und demnach auch keine Datenverarbeitung stattfinden könnte.169 Auf
der anderen Seite wird mit der Tatsache argumentiert, dass nach § 3
Abs. 4, Nr. 3 BDSG aus der Sicht des Webseitenbetreibers keine Übermittlung in dem Sinne stattfindet.170 Man könnte jedoch behaupten, dass
der Webseitenbetreiber die Daten bereithält, was eine Übermittlung injizieren würde.171 In diesem Fall müsste lt. Gesetz, die Handlung vom
Datenempfänger in Form von „Einsehen“ oder „Abrufen“ ausgehen und
der Übermittler wäre dann im Grunde genommen derjenige, der die
Daten zum Einsehen oder Abrufen zur Verfügung stellt.172 In einem hypothetischen Fall, wo der Webseitenbetreiber einen HTML-Code173 für
die Erhebung von IP-Adressen für den Drittanbieter bereithalten würde,
könnte man das Bereithalten durchaus als die Übermittlung verstehen.174 Durch das Einsetzen eines Plugins auf einer Webseite, werden
die Daten von alleine an Facebook weitergeleitet. Somit ist von einem
Bereithalten dieser Daten aus der Sicht des Webseitenbetreibers abzusehen.175 Zusätzlich müssten die Daten vom Webseitenbetreiber vor der
Übermittlung „gespeichert“ oder durch Datenverarbeitung „gewonnen“
Vgl Ernst, Social Plugins: Der „Like-Button” als datenschutzrechtliches Problem, NJOZ, S. 1917.
168 Vgl. Ernst, a.a.O., S. 1918.
169 s. dazu: Ernst, Social Plugins: Der „Like-Button” als datenschutzrechtliches
Problem, NJOZ, S. 1918.
170 Vgl. Voigt/Alich, Facebook-Like-Button und Co. – Datenschutzrechtliche
Verantwortlichkeit der Webseitenbetreiber, NJW, S. 3542.
171 Vgl. ebd.; vgl. § 3 Abs. 4 Nr. 3 lit. b BDSG.
172 Vgl. Voigt/Alich, a.a.O.; vgl. § 3 Abs. 4, Nr. 3 lit. b BDSG.
173 HTML: Seitenbeschreibungssprache im World Wide Web, Vgl. Köhler/Kirchmann, IT von A bis Z, S. 110; Code: Eine Zeichenkette, die als abgekürztes Mittel zum Zweck der Aufzeichnung und Identifizierung von Informationen dient, Köhler/Kirchmann, a.a.O., S. 47.
174 Vgl. Voigt/Alich, a.a.O., S. 3542 f.
175 Vgl. ebd.
167
26
sein, was ebenfalls nicht zutrifft und die gesamte Sachlage verneint
werden kann.176
Im Ergebnis würde der Webseitenbetreiber nach dem § 12 TMG rechtlich nicht beanstandet werden können, da aus der Sicht des Betreibers
keine Übermittlung im Sinne des TMG stattfindet. Trotzdem verfolgt die
Autorin die Meinung des ULD177, sowie der Datenschutzgruppe178, dass
der Webseitenbetreiber eine Art Teilschuld nach § 3 Abs. 7 BDSG innehat,179 da ohne Platzieren des Buttons auf seiner Webseite ebendiese
Verarbeitung der Daten durch Facebook nicht durchgeführt werden
könnte.
4.2.2
Datenschutzrechtliche Verantwortlichkeit Facebooks
Facebook bietet ebenfalls Telemedien an, somit findet auch im Falle des
sozialen Netzwerks das TMG und im Rahmen der Erhebung und Verarbeitung personenbezogener Daten, der § 12 Abs. 1 TMG Anwendung.
Gem. § 12 Abs. 1 TMG müssten erneut personenbezogene Daten vorliegen. Im Falle des Like-Buttons bekommt Facebook die IP-Adresse
des Besuchers, mit welcher man feststellen kann, dass die Person die
Webseite besucht hat und wie lange sie darauf verweilt hat.180 Es kommt
grds. darauf an, welche Meinung man vertritt. Vertritt man die Meinung,
dass die IP-Adresse zu den personenbezogenen Daten zählt, dann ist
der Fall nicht weiter schwierig und das Vorliegen von personenbezogenen Daten, die verarbeitet würden, wäre gegeben. Im anderen Fall würden keine personenbezogenen Daten vorliegen und Facebook würde
dementsprechend auch keine personenbezogenen Daten, sondern
Vgl. Vgl. Voigt/Alich, Facebook-Like-Button und Co. – Datenschutzrechtliche Verantwortlichkeit der Webseitenbetreiber, NJW, S. 3542.
177 S. ULD, Datenschutzrechtliche Bewertung der Reichweitenanalyse durch
Facebook ,S. 17.
178 S. WP 169, Art 29 Datenschutzgruppe, Stellungnahme 1/2010 zu den Begriffen „für die Verarbeitung Verantwortlicher“ und „Auftragsverarbeiter“, S. 22.
179 Vgl. Schwenke, Social Media Marketing & Recht, S. 397.
180 Vgl. Bauer, Personalisierte Werbung auf Social Community-Websites
Datenschutzrechtliche Zulässigkeit der Verwendung von Bestandsdaten und
Nutzungsprofilen, MMR, S. 437.
176
27
pseudonyme oder anonyme Daten181 des Besuchers verarbeiten, was
bedeutet, dass es bei der Prüfung bereits am ersten Tatbestand scheitern würde, da das TMG, sowie das BDSG nur die personenbezogene
Daten schützt.182 Die Autorin schließt sich erneut der Meinung an, dass
die IP-Adresse spätestens bei der Verknüpfung zum Profil des Besuchers einen Personenbezug darstellt.183
Weiterhin dürfte keine gesetzliche oder andere Rechtsvorschrift, die sich
auf Telemedien bezieht, Facebook das Verarbeiten der Daten legitimieren. Durch den Like-Button kommt Facebook an die IP-Adresse des
Nutzers und erstellt in diesem Zusammenhang Nutzungsprofile, um dem
Nutzer personalisierte Werbung schicken zu können. Der § 15 Abs. 3
TMG wird in der Literatur als eventueller Rechtfertigungsgrund für die
Einwilligung nach § 13 TMG, für das Verarbeiten personenbezogener
Daten angesehen.184 Diese Meinung ist stark umstritten.185 Nach § 15
Abs. 1 TMG ist die Übermittlung der Daten grundsätzlich nicht erforderlich ist, um die Inanspruchnahme von Telemedien zu gewährleisten.186
Ferner müsste eine Einwilligung seitens des Betroffenen im Sinne der
(i.S.d.) §§ 12 Abs. 1, 13 Abs. 2,3 TMG vorliegen. Rechtlich betrachtet
behauptet Facebook, die Einwilligung in die Verarbeitung der Daten im
Rahmen der Nutzungsbedingungen bei Registrierung, vom Nutzer erhalten zu haben187, was eine Art globale Einwilligung188 darstellen würde.
Dies entspricht jedoch nicht den gesetzlichen Regelungen des § 13 Abs.
1 TMG, der besagt, dass der Nutzer zu Beginn des Nutzungsvorgangs
über Art, Umfang und Zweck der Erhebung personenbezogener Daten
zu unterrichten ist. Die von Facebook angewandte Methode entspricht
181
Das müsste dann näher untersucht werden, um welche Daten es sich genau
handelt.
182 Vgl. § 12 TMG, § 1 BDSG.
183 Vgl. Voigt/Alich, Facebook-Like-Button und Co. – Datenschutzrechtliche
Verantwortlichkeit der Webseitenbetreiber, NJW, S. 3542 f.
184 Vgl. z.B. Bauer, Personalisierte Werbung auf Social Community-Websites
Datenschutzrechtliche Zulässigkeit der Verwendung von Bestandsdaten und
Nutzungsprofilen, MMR, S. 435 ff.; vgl. Schwenke, Social Media Marketing &
Recht, S. 386; vgl. Solmecke, in: Hoeren/Sieber/Holznagel, 21.1 Rn. 29.
185 Vgl. z.B. Bauer, a.a.O.; Schwenke, a.a.O.; Solmecke, a.a.O.
186 s. dazu: Solmecke, a.a.O.
187 Vgl. Solmecke, a.a.O., 21.1, Rn. 28.
188 s. LG Berlin, 15 O 92/12, BeckRS 2013, 08005.
28
demnach nicht den datenschutzrechtlichen Ansprüchen, da weder Art,
noch Umfang der Weitergabe der Daten in den Nutzungsbedingungen,
die der Nutzer bei Registrierung bestätigt, geregelt ist.189 Im Konkreten
würde der Verstoß gegen die §§ 12, 13 Abs. 2,3 TMG190 vorliegen191,
der nach § 16 Abs. 2 Nr. 2, Abs. 3 TMG mit einer Geldbuße von bis zu
50.000 € geahndet werden kann.192
4.3
Erstellen von Nutzungsprofilen
Um die Erstellung von Nutzungsprofilen für das Platzieren von personenbezogener Werbung zu legitimieren, tritt in der Literatur oft die Meinung auf, dass statt der Einwilligung des Betroffenen gemäß (gem.) §§
12, 13 TMG die gesetzliche Vorschrift des § 15 Abs. 3 als Rechtfertigungsgrund greifen könnte.193 Es gilt jedoch auch bei den Nutzungsprofilen zu unterscheiden zwischen denen, in welchen Facebook mit den
Daten arbeitet, die der Nutzer freiwillig auf seinem Profil zur Verfügung
stellt und Schattenprofilen, für welche Daten durch Dritte bereitgestellt
werden, wovon Nutzer, sowie Nichtnutzer nicht in Kenntnis gesetzt werden. Die Folgende Prüfung geht von einem Facebooknutzer aus, der
eine Webseite mit einem installierten Like-Button besucht. Der Button
leitet im nächsten Schritt seinen Besuch an das Analysewerkzeug Facebook Insights weiter. Insights hält diesen Besuch fest und verarbeitet die
gewonnenen Informationen zu einem Nutzungsprofil.194
4.3.1
Nutzungsprofil durch Like-Buttons
In diesem Rahmen muss zunächst eine Unterscheidung der personenbezogenen Datenarten vorgenommen werden. Unterschieden wird zwischen Bestandsdaten nach § 14 TMG und Nutzungsdaten nach § 15
TMG. Nach § 14 TMG ist es erlaubt, Bestandsdaten zu verarbeiten,
189
Vgl. Solmecke, in: Hoeren/Sieber/Holznagel, 21.1 Rn. 28.
Verstoß liegt auch gegen § 4a BDSG vor.
191 Vgl. Weichert, Datenschutzverstoß als Geschäftsmodell – der Fall Facebook, DuD, S. 717.
192 Vgl. Solmecke, in: Hoeren/Sieber/Holznagel, 21.1, Rn. 31.
193 Vgl. Voigt/Alich, Facebook-Like-Button und Co. – Datenschutzrechtliche
Verantwortlichkeit der Webseitenbetreiber, NJW, S. 3543.
194 Vgl. Tätigkeitsbericht 2013 des ULD, 7.1.1, S. 111.
190
29
sofern es als erforderlich für die Vertragsgestaltung erscheint. Die Vorschrift listet keinen Datenkatalog von möglichen Datenarten auf, sondern
macht es letztendlich von der Erforderlichkeit abhängig.195 Jedoch könnten Angaben wie Name, E-Mail-Adresse, Postadresse oder Geburtsdatum, also sogenannte (sog.) Bestandsdaten verstanden werden.196 Unter
Nutzungsdaten werden nach § 15 Abs. 1 TMG diejenigen Daten verstanden, die erforderlich sind, die Inanspruchnahme der Telemediendienste zu ermöglichen und abzurechnen. Im Vergleich zu den Bestandsdaten listet der § 15 Abs. 1 TMG in seinem Anwendungsbereich
einen Katalog von Nutzungsdaten auf.197 Dieser Datenkatalog steht
ebenfalls im Einzelfall in Abhängigkeit von der Erforderlichkeit und führt
daher in der Praxis eher zu Verwirrungen, als dass er hilfreich ist.198 Unter Nutzungsdaten können im konkreten die IP-Adresse, Nutzername,
Passwort, die allerdings auch gleichzeitig Bestandsdaten darstellen,
fallen.199 Wie man unschwer erkennen kann, ist eine Trennung der jeweiligen Datenarten schwer vorzunehmen.200 Ferner können von Nutzern in sozialen Netzwerken freiwillig weitere Daten, wie Hobbies, Beziehungsstatus, Anzahl der Kinder, Namen der Familienmitglieder usw.
angegeben werden, die als Inhaltsdaten bezeichnet werden.201 Ein Teil
der Literatur sieht diese als eine Unterkategorie der Nutzerdaten nach §
15 TMG an und der andere Teil ist der gegensätzlichen Meinung und
teilt diese den §§ 27 ff. BDSG zu.202
Festzuhalten ist, dass die Verarbeitung der Daten für Werbung auf sozialen Netzwerken weder in § 14 TMG, noch in § 15 TMG zugelassen wird
und die Verarbeitung von Bestands-, Nutzungs-, und Inhaltsdaten daher
nur mit Einwilligung des Nutzers gem. § 12 Abs. 1 und 2 TMG vorge195
Vgl. Schmitz, in: Hoeren/Sieber/Holznagel,16.2 Rn. 170.
Vgl. Bauer, Personalisierte Werbung auf Social Community-Websites
Datenschutzrechtliche Zulässigkeit der Verwendung von Bestandsdaten und
Nutzungsprofilen, MMR, S. 436.
197 S. § 15 Abs. 1 TMG.
198 Vgl. Schmitz, in: Hoeren/Sieber/Holznagel, 16.2, Rn. 198.
199 Vgl. Bauer, Personalisierte Werbung auf Social Community-Websites
Datenschutzrechtliche Zulässigkeit der Verwendung von Bestandsdaten und
Nutzungsprofilen, MMR, S. 436.
200 Vgl. Niemann/Scholz, Privacy by Design und Privacy by Default – Wege zu
einem funktionierenden Datenschutz in Sozialen Netzwerken, in: Peters/Kersten/Wolfenstetter, Innovativer Datenschutz, S. 121.
201 Vgl. Bauer, a.a.O.
202 S. ebd.
196
30
nommen werden kann. Webseitenbetreiber argumentieren zwar damit,
dass die Profile kostenlos zur Verfügung stehen und dies weiterhin von
den Einnahmen durch die Werbung gewährleistet werden kann, gesetzlich jedoch stellt die Werbung keine Voraussetzung für die Vertragsschließung, sondern eher eine sekundäre Komponente dar.203 Die Norm
§15 Abs. 3 TMG erlaubt jedoch das Erstellen eines Nutzungsprofils, bei
Verwendung von Pseudonymen, ohne die Einholung einer Einwilligung
des Nutzers. Auf die Pseudonymisierung wurde bereits in Kap. 3.2 eingegangen. Es dürfen demnach alle Nutzungsdaten, nicht jedoch Bestands-, oder Inhaltsdaten des Nutzers für diesen Zweck verwendet
werden204, sofern der Nutzer dem nicht widerspricht, was impliziert, dass
dem Nutzer zu Beginn des Vorgangs ein Widerspruchsrecht eingeräumt
werden müsste. An diesem Tatbestand scheitert es grundsätzlich, da bei
dem Besuch einer Webseite, ausgestattet mit einem Like-Button, dem
Besucher kein Widerspruchsrecht eingeräumt wird und von Facebook
keine technische Möglichkeit eingeräumt wird dies zu verwirklichen.205
Facebook könnte jedoch solch eine Widerspruchsmöglichkeit einräumen, hatte bis dato jedoch, laut
kein Interesse daran.206 Weiterhin
herrscht ein sogenanntes „Verbot der nachträglichen Zusammenführung“207, welches eine Zusammenführung von Pseudonymen mit personenbezogenen Daten verbietet. Spätestens bei der Verknüpfung mit
dem Facebookprofil findet auch hier eine solche Zusammenführung
statt, da die Nutzer meistens mit ihren richtigen Namen dort registriert
sind.208 Weiterhin müsste geklärt werden, ob personalisierte Werbung in
den Anwendungsbereich des § 15 Abs. 3 TMG fällt. Personalisierte
Werbung würde dann unter dem Begriff der Werbung gefasst werden
können und die Rechtsnorm könnte datenschutzrechtlich als zulässig
erklärt werden209, würde es nicht an dem Tatbestand der fehlenden Wi-
203
Vgl. Bauer, Personalisierte Werbung auf Social Community-Websites
Datenschutzrechtliche Zulässigkeit der Verwendung von Bestandsdaten und
Nutzungsprofilen, MMR, S. 437; vgl. §§ 14, 15 TMG.
204 Vgl. Bauer, a.a.O.
205 Vgl. ULD, Tätigkeitsbericht 2013, 7.1.1, S. 111.
206 Vgl. ebd.
207 Schmitz, in: Hoeren/Sieber/Holznagel, 16.2, Rn. 220.
208 Vgl. Bauer, a.a.O., S. 438.
209 Vgl. Niemann/Scholz, Privacy by Design und Privacy by Default – Wege zu
einem funktionierenden Datenschutz in Sozialen Netzwerken, in: Peters/Kersten/Wolfenstetter, Innovativer Datenschutz, S. 120.
31
derspruchsmöglichkeit und der Zusammenführung von pseudonymen
und personenbezogenen Daten scheitern.
4.3.2
Nutzungsprofil durch Zustimmung von Dritten
Bei der Bildung von Nutzungsprofilen durch die Zustimmung von Dritten
geht es um das Erheben und Hinzuspeichern von Daten, die der Betroffene nicht selbst preisgegeben hat, bzw. bei Schattenprofilen um das
Erheben und Speichern von Daten ganz ohne Wissen des Betroffenen.
Für beide Fälle müsste eine Rechtsgrundlage existieren, die diesen
Vorgang erlaubt. § 15 TMG könnte eine solche Rechtsgrundlage darstellen. Doch diese scheitert insbesondere am Tatbestandsmerkmal der
Einwilligung, dem Widerspruchsrecht, sowie an der Zusammenführung
von pseudonymen und anonymen Daten mit personenbezogenen Daten, weil bei der Bildung der Nutzungsprofile durch Zustimmung von
Dritten eben ein Personenbezug beabsichtigt wird, da dieser nachweislich zu mindestens 40%, wenn nicht sogar noch genauer festgestellt
werden kann.210 Bei Facebooknutzern könnte man in den Nutzungsbedingungen nach einem Erlaubnistatbestand suchen, der diesen Vorgang
erlauben könnte. Unter dem Punkt „Von Dritten bereitgestellte Informationen über dich“211 findet man tatsächlich eine Passage, die als ein Erlaubnistatbestand verstanden werden könnte: „Wir erhalten Informationen über dich von deinen Freunden sowie anderen Personen, z. B.
wenn sie deine Kontaktinformationen hochladen, ein Foto von dir posten, dich auf einem Foto, in einer Statusmeldung oder an einem Ort
markieren bzw. dich zu einer Gruppe hinzufügen. Wenn Nutzer Facebook nutzen, können sie Informationen, die sie über dich und andere
Personen haben, speichern und teilen, z. B. wenn sie ihre Einladungen
und Kontakte hochladen und verwalten.“212 Diese Art der Zustimmung
kann nicht Wille des deutschen Datenschutzrechtssystems sein, demnach ist der Charakter eines solchen Erlaubnistatbestandes gleichweg
abzulehnen und als Verstoß gegen das Recht der freien Einwilligung
des Betroffenen selbst, sowie gegen das Grundrecht der informationel210
Vgl. Horvát et al., One Plus One Makes Three (for Social Networks).
Datenverwendungsrichtlinien Facebook, unter dem Punkt Von Dritten bereitgestellte Informationen über dich.
212 ebd.
211
32
len Selbstbestimmung nach Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG anzusehen, insbesondere, weil der Betroffene in diesem Fall selbst nicht bestimmen kann, was mit seinen Daten geschieht.
4.4
Löschungspflicht
Wie bereits herausgearbeitet, verstößt Facebook nicht nur im Rahmen
der Erhebung, Verarbeitung und Übermittlung personenbezogener Daten, es verstößt auch gegen die Löschungspflicht nach §§ 13 Abs. 4 S.
2,15 Abs. 8 TMG213. Daten, die zwar von den Nutzern gelöscht werden,
tauchen an anderen Stellen wieder auf.214 Bei Wegfall der Erforderlichkeit der Verwendung der Daten, sind diese nach den o.g. Normen zu
löschen, es sei denn, es existiert ein erlaubter Verwendungszweck nach
§ 15 TMG oder anderen Vorschriften.215 Einen Wegfall der Erforderlichkeit könnte ein Ende der Nutzung des sozialen Netzwerks darstellen.216
In diesem Zusammenhang entfällt die Erforderlichkeit der Nutzung der
Daten und der Dienstanbieter hat diese zu löschen.217 Jedoch, wenn die
Datenerhebung nach den §§ 12 Abs. 1; 15 Abs. 1 TMG gar nicht erst
erforderlich war für die Nutzung, greift die Löschpflicht erst recht.218 Die
Daten, die Facebook im Rahmen der Besuche der Webseiten mit installierten Social Plugins erhebt, sind bestimmt nicht notwendig für die Nutzung des sozialen Netzwerks.
4.5
Lösungsvorschläge für datenschutzkonformes Verhalten
Wie in den bereits behandelten Kapitel konnte man unschwer erkennen,
dass Facebook sich weder für den deutschen Datenschutz interessiert,
noch für den europäischen. Sollte Facebook jedoch irgendwann Interesse entwickeln, oder Regelungen vorgeschrieben bekommen, z.B. durch
ein Verfahren mit Herrn Schrems, das während diese Abschlussarbeit
213
Der Verstoß liegt auch in den §§ 34, 35 Abs. 2 BDSG zugrunde.
Vgl. Erd, Datenschutzrechtliche Probleme sozialer Netzwerke, NVwZ, S. 20.
215 Vgl. Schmitz, in: Hoeren/Sieber/Holznagel, 16.2, Rn. 202.
216 Vgl. Schmitz, a.a.O., 16.2, Rn. 201.
217 Vgl. ebd.
218 Vgl. Schmitz, a.a.O., 16.2, Rn. 205.
214
33
verfasst wird, geplant wird, dann wären dies die möglichen Lösungsvorschläge für Facebook, sowie für die Nutzer von Facebook.
4.5.1
Lösungsvorschläge für Facebook
Um sich dem deutschen, sowie dem europäischen Recht anzupassen
könnte Facebook bei seinen Datenschutzrichtlinien und den Nutzungsbedingungen beginnen. Es ist weder erkenntlich, wer genau für Facebook verantwortlich ist, noch welche Daten für welche Zwecke verwendet werden und welches Recht Anwendung findet.219 Richard Allan, Facebooks Oberlobbyist konnte Max Schrems in einem Interview auf die
Frage, wer denn nun für Facebook verantwortlich sei, keine deutliche
Antwort geben.220 Dies ist auch einer der Gründe, warum Herr Rößler,
Deutschlands Bundesminister für Wirtschaft und Technologie, im Mai
2013 nach Kalifornien reiste.221 Neben Absprachen über gesetzeskonforme Verhaltensweisen in Bezug auf den Datenschutz, regte er den
Konzern an, einen einheitlichen Ansprechpartner für den Datenschutz in
Europa einzuführen.222 Weiterhin ist nicht klar, welche Daten oder Informationen Facebook von den Nutzern verarbeitet und speichert. In dessen Datenverwendungsrichtlinien, heißt es: „Bestimmte Informationen
sind erforderlich, um dir Dienste anzubieten. Deshalb löschen wir solche
Informationen erst, nachdem du dein Konto gelöscht hast.“223 Welche
Informationen gemeint sind, ist dem Nutzer ebenfalls nicht klar. Ferner
heißt es in den AGB: „Wir verwenden die uns bereitgestellten Informationen über dich im Zusammenhang mit den Dienstleistungen und Funktionen, die wir dir und anderen Nutzern (wie zum Beispiel deinen Freunden, unseren Partnern, den Werbetreibenden, die Werbeanzeigen auf
Facebook buchen, sowie den Entwicklern der von dir genutzten Spiele,
Anwendungen und Webseiten) anbieten.“ Auch hier sehr ungenau, da
Facebook sich praktisch selbst die Erlaubnis erteilt, personenbezogene
Daten im Rahmen aller Dienste, die es in Verbindung mit dem Profilin219
Vgl. Schrems, Universität Passau, Vortrag v. 18./19.0413, ab min. 03:18.
Vgl. Schrems, Universität Passau, Vortrag v. 18./19.0413, ab min. 03:48.
221 Vgl. bmwi, Rösler im Silicon Valley: Werben um Investitionen für IT-Standort
Deutschland.
222 Vgl. Behrens, Wie Facebook ein deutsches Ministerium vorführt, S. 2,
Focus-Online.
223 Datenverwendungsrichtlinien Facebook, unter dem Punkt Löschung.
220
34
haber und anderen Nutzern anwendet, zu verarbeiten. Dies sind nur
wenige von sehr vielen Beispielen, wo Facebook Verbesserungen vornehmen sollte, um den Umgang mit den Daten transparenter zu gestalten. Weiterhin ist es essenziell, Webseitenbetreibern, die gerne einen
Like-Button auf ihrer Seite installieren möchten, die Möglichkeit zu geben, den Besucher eine Unterrichtung im Rahmen des Widerspruchsrechts nach § 13 Abs. 1 TMG durchzuführen.224 In diesem Rahmen sollten jedoch auch die Webseitenbetreiber mitarbeiten und eine Datenschutzerklärung auf ihrer Webseite einrichten, an welcher das Widerspruchsrecht gekoppelt sein könnte.225 Neben dem Widerspruchsrecht
sollte der Nutzer in die Datenverarbeitung, die mit dem Button einhergeht, einverstanden sein und seine Einwilligung dazu abgeben, was wie
bereits untersucht, im Falle des Like-Buttons grds. nicht geschieht. Dafür
wird in der Literatur eine sogenannte 2-Klick-Lösung vorgeschlagen.226
In diesem Fall ersetzen sogenannte Platzhalter den Button. Ein Beispiel
soll dies veranschaulichen:
Abbildung 7: Platzhalter statt Like-Button.227
Beim Kontakt der Maus mit dem Platzhalter erscheint ein Text, der den
Besucher über die datenschutzrechtliche Situation aufklärt. Somit liegt
die Entscheidung und die Macht über die Datenverwendung letztendlich
beim Nutzer.228 Die Hochschule für Medien, Stuttgart hat diesen Vorschlag beherzigt und umgesetzt:229
224
Vgl. ULD, Datenschutzrechtliche Bewertung der Reichweitenanalyse durch
Facebook ,S. 22.
225 Vgl. ebd.
226 Vgl. Schwenke, Social Media Marketing & Recht, S. 395; vgl. Voigt/Alich,
Facebook-Like-Button und Co. – Datenschutzrechtliche Verantwortlichkeit
der Webseitenbetreiber, NJW, S. 3544; vgl. Solmecke, in: Hoeren/Sieber/Holznagel, 21.1 Rn. 30.
227 Startseite der Hochschule für Medien, Stuttgart.
228 Vgl. Solmecke, in: Hoeren/Sieber/Holznagel, 21.1 Rn. 30.
229 S. Abb. 8.
35
Abbildung 8: Platzhalter und datenschutzrechtliche Belehrung 230
Wie bereits in früheren Kapiteln erwähnt, weist Facebook Ähnlichkeiten
mit einer Monopolstellung auf. Dies ist vermutlich auch der Grund, warum der Konzern eher desinteressiert auf Kritik vom ULD, oder auf Anzeigen vom Jurastudenten Max Schrems reagiert.231 Eine Lösung, die
Gesetzgeber grds. anstreben könnten, wären Schnittstellen, die es ermöglichen, Daten und Informationen, die man bis dato über sich in seinem Profil veröffentlicht hat, in ein anderes Profil, von einem anderen
Anbieter zu übertragen. Facebook könnte sich jedoch auch zu einer Art
offenem Netzwerk entwickeln, indem es eine Schnittstelle einbaut, über
die eine Option geschaffen wird, mit anderen Netzwerken übergreifend
zu kommunizieren.232 Man könnte sich das ähnlich wie bei den vier Telefontarifanbietern, die zurzeit auf dem Markt angeboten werden, vorstellen: Durch die Verknüpfung der Netze ist es möglich von einem in das
andere Netz telefonieren zu können.233 So sollte es in der Zukunft auch
zwischen sozialen Netzwerken möglich sein. Dies wäre ein möglicher
Lösungsansatz für die Zukunft der sozialen Netzwerke, insbesondere für
Facebook. Dafür müssten jedoch die
Gesetze überarbeitet werden,
sodass diese Entscheidung von der Legislative ausgeht, da Facebook
höchstwahrscheinlich nicht freiwillig bereit wäre, seine Monopolstellung
aufzugeben und sich an alle Regeln und Regelungen zu halten. Ferner
sollte Facebook beim Erstellen von Nutzungsprofilen nur noch Nutzungsdaten nach § 15 TMG verarbeiten und somit pseudonyme, oder
anonyme Profile erstellen, wie vom Gesetz gewollt234 und von perso230
Startseite der Hochschule für Medien, Stuttgart.
Vgl. Schrems, Universität Passau, Vortrag v. 18./19.0413, ab min. 33:30.
232 Vgl. Schrems, Universität Passau, Vortrag v. 18./19.0413, ab min. 34:10.
233 Vgl. ebd.
234 s. dazu: § 15 Abs. 3 TMG; § 3 BDSG.
231
36
nenbezogenen Daten absehen. Die Erstellung von Schattenprofilen wäre ein weiterer Punkt, den das soziale Netzwerk einstellen muss, denn
es kann wirklich nicht sein, dass selbst Nichtnutzer unter dem Datenmissbrauch leiden. Doch auch das wird Facebook sicherlich nicht freiwillig tun und müsste von der Legislative angeordnet werden.
4.5.2
Lösungsvorschläge für Facebook-Nutzer
Der Datenschutz zählt, wie bereits erwähnt als informationelles Selbstbestimmungsrecht zu den deutschen Grundrechten.235 Das Selbstbestimmungsrecht sollte jeder Nutzer ernst nehmen und sich bewusst darüber sein, welche Daten er von sich preisgibt, da diese mittlerweile
nachweislich236 nicht mehr gelöscht werden. Dies bedeutet, dass jegliche Konversationen, die via Facebook stattfinden, jedes Foto, was Nutzer von sich hochladen, alle Interessen, sowie politische Einstellungen,
für unbestimmte Zeit gespeichert werden. Was Facebook mit den Daten
tut oder vor hat, das verrät es nicht.237 Eine Möglichkeit wäre eine verpflichtende Einbindung eines Videos mit einer Rechtsbelehrung über
den Datenschutz. Weiterhin könnte eine Art Anleitung für die recht unübersichtlichen Einstellungen Facebooks eingegliedert werden. Dieses
Video sollte so platziert werden, dass eine Registrierung ohne das Anschauen des Videos nicht möglich wäre. In diesem Rahmen wäre der
Nutzer besser informiert, beziehungsweise überhaupt über sein Grundrecht zur informationellen Selbstbestimmung informiert und könnte seine
Einstellungen danach anpassen.
5. Urteil des LG Berlin vom 30.04.2013
Während diese Abschlussarbeit verfasst wird, wurde ein Urteil des LG
Berlin gegen Apple.Inc gefällt.238 Geklagt hat die Verbraucherzentrale
Bundesverband gegen das US-amerikanische Unternehmen Apple we-
235
s. Kap. 3.1.
Vgl. Schrems, Auf Facebook kannst du nichts löschen, FAZ, (18.04.13).
237 Vgl. Schrems, Universität Passau, Vortrag v. 18./19.0413, ab min. 14:10; vgl.
ULD, Datenschutzrechtliche Bewertung der Reichweitenanalyse durch Facebook, S. 5.
238 s. LG Berlin, 15 O 92/12, BeckRS 2013, 08005.
236
37
gen unwirksamer AGB-Klauseln, die Verbraucher unangemessen benachteiligen würden. Das Interessante dabei ist, dass Apple genau wie
Facebook einen Hauptsitz in den USA und eine Niederlassung in Irland
betreibt, jedoch für diesen Fall, im Gegensatz zu den Beschlüssen des
VG und OVG Schleswig, das deutsche Recht als anwendbares erklärt
wurde. Jegliche Klauseln wurden für unzulässig erklärt, die insbesondere die folgenden Regelungen als Inhalt hatten:239

Die Datenerhebung Dritter ohne deren Einwilligung

Datenweitergabe zu Werbezwecken

Globale Einwilligungen

Zusammenführen von Nutzungsdaten mit anderen Informationen
Die Verfasserin prüft im Folgenden, ob der Fall mit dem von Facebook
verglichen werden könnte und ob eventuell im Falle von Facebook ein
ähnliches Urteil hätte gefällt werden können.
5.1
Anwendbares Recht
Bei der Prüfung des anwendbaren Rechts hat das LG Berlin mit Art. 6
ROM-I-VO argumentiert. Dort heißt es, dass bei Verträgen die ein Verbraucher mit einem Unternehmen schließt, das Recht Anwendung findet, in dem der Verbraucher seinen gewöhnlichen Aufenthalt hat. Folglich würde bei Verbrauchern aus Deutschland, deutsches Recht gelten.
Die ROM-I-VO enthält Kollisionsregelungen für vertragliche Schuldverhältnisse in Zivil- und Handelssachen, die eine Verbindung zum Recht
verschiedener Staaten aufweisen.240 Nun ist die Frage, ob das Gericht
den Eingriffsnormcharakter des Art. 9 ROM-I-VO i.V.m. § 1 Abs. 5
BDSG hätte beachten und die § 1 Abs. 5 BDSG demnach anwenden
müssen.241 Dies sei erstmals so dahingestellt. Hätte das Gericht nach §
1 Abs. 5 BDSG entscheiden müssen, müsste die Prüfung ähnlich, wie in
Kap. 4.1 ablaufen. Die essentielle Frage die sich dann stellen würde,
wäre erneut, ob die Niederlassung in Irland für die Verarbeitung der Da239
Vgl. LG Berlin, 15 O 92/12, BeckRS 2013, 08005.
Vgl. Art. 1 Abs. 1 ROM-I-VO.
241 Vgl. Piltz, VZBV gegen Apple – leider nicht super für das Datenschutzrecht.
240
38
ten zuständig ist, oder ob die Daten ähnlich wie bei Facebook, vom
Hauptsitz in den USA verarbeitet werden. Eine Passage aus den Nutzungsbedingungen von Apple bestätigt, dass auch in diesem Fall der
Mutterkonzern die Daten in den USA verarbeitet: „Persönliche Daten
von Personen mit Wohnsitz in einem Mitgliedsstaat des Europäischen
Wirtschaftsraums (EWR) werden von Apple Distribution International in
Cork, Irland überwacht und in dessen Namen von Apple Inc. verarbeitet.“242 Apple.Inc wäre mithin die entscheidende verarbeitende Stelle
nach § 1 Abs. 5 BDSG. Würde man diese Situation mit der von Facebook vergleichen, würde für das soziale Netzwerk ebenfalls das deutsche Recht einschlägig sein.
5.2
Datenerhebung Dritter ohne deren Einwilligung
In Klausel 4 der Nutzungsbedingungen von Apple behält sich das Unternehmen das Recht vor, Daten wie Name, Adresse, E-Mailadresse und
Telefonnummer von Kontakten des jeweiligen Kunden zu erheben.243
Diese Klausel wurde vom Gericht als unzulässig erklärt, da den betroffenen Dritten keine Möglichkeit eingeräumt wurde, eine Einwilligung
abzugeben. Ergo könnte diese Entscheidung deckungsgleich auf die
Erstellung von Nutzungs- und Schattenprofilen in dem Fall von Facebook angewendet werden und auch dort eine Unzulässigkeit mit sich
bringen.
5.3
Datenweitergabe zu Werbezwecken
Der IT-Konzern nahm sich in Klausel 8 das Recht heraus, personenbezogene Daten an strategische Partner weiterzugeben, ohne den Betroffenen darüber zu informieren, um wen es sich dabei genau handelt.244 Das Gericht urteilte, dass die Klausel eindeutig über den Bereich
der Vertragserfüllung nach § 28 Absatz 1 Nr. 1 BDSG hinausgeht.245
Der Bereich der Weitergabe von personenbezogenen Daten bei dem
Unternehmen Facebook.Inc, wurde in dieser Arbeit nicht untersucht.
242
Nutzungsbedingungen von Apple, Internationale Nutzer.
Vgl. LG Berlin, 15 O 92/12, BeckRS 2013, 08005.
244 Vgl. ebd.
245 Vgl. ebd.
243
39
Doch sollte auch dabei herauskommen, dass das soziale Netzwerk dies
ähnlich praktiziert, wäre auch in diesem Fall von einer unzulässigen
Handlung auszugehen.
5.4
Globale Einwilligung
In den Klauseln 1 und 5 wurden globale Einwilligungen vom Gericht als
unwirksam erklärt. Globale Einwilligungen entstehen laut dem LG dann,
wenn der Umfang der Einwilligung dem Betroffenen gem. § 4a BDSG
nicht hinreichend transparent dargelegt wurde.246 Facebook argumentiert, wie bereits herausgearbeitet, in seinen Nutzungsbedingungen
ebenfalls mit globalen Einwilligungen. Demnach wäre auch dieses Verhalten rechtlich nicht tragbar.
5.5
Zusammenführen von Nutzungsdaten mit anderen Informationen
In Klausel 3 erklärte Apple, dass es personenbezogene Daten mit anderen Informationen verbinden würde, um Produkte, Dienstleistungen, Inhalte und Werbung des Unternehmens zu verbessern. Das Gericht entschied, dass dies gegen die §§ 4, 4a BDSG und §§ 12, 13 TMG verstoße. Dieser Umgang mit Daten würde auch gegen § 15 TMG im Rahmen
des Verbotes der nachträglichen Zusammenführung von Nutzungsdaten
mit personenbezogenen Daten verstoßen und demnach auch auf die
von Facebook erstellten Nutzungs- und Schattenprofile Anwendung finden.
Abschließend ist festzuhalten, dass wenn Facebook in diesem Urteil
angeklagt worden wäre, würde in den o.g. Punkten ein ähnliches Urteil
gefällt werden.247
246
247
Vgl. ebd.
S. Umfassende Meinungen zu dem Urteil im Internet: Dr. Carlo Piltz; Prof.
Niko Härting; RA Thomas Stadler; RA Sebastian Dosch.
40
6. Fazit
Der Richter des Bundesverfassungsgerichts Johannes Masing behauptet, dass die Schwächung der Ordnungsfunktion des demokratischen
Rechtsstaats sich nirgends so deutlich zeigt, wie in der Internetkommunikation und damit auch beim Datenschutz.248 Nach datenschutzrechtlicher Untersuchung des erfolgreichsten sozialen Netzwerks der Welt,
kann ist sich der Meinung des Richters nur anschließen. Das Fazit dieser Arbeit ist, dass bei Facebook große Lücken insbesondere im Bereich
der Informationspflichten herrschen, die diverse Persönlichkeits- und
damit einhergehend Datenschutzrechtsverletzungen nach sich ziehen.
Die Datenschutzrechtsverletzungen resultieren insbesondere aus der
Einbindung des Like-Buttons in externe Webseiten, der Bildung von
Nutzungsprofilen von Nutzern sowie Schattenprofilen bei Nichtnutzern,
als auch der Speicherung von Daten auf unbestimmte Zeit und das alles, ohne den Nutzer nach seiner Einwilligung zu fragen. Das auf Datenschutzverstöße basierende Geschäftsmodell von Facebook stellt ein
Beispiel für internationale Unternehmen dar, wie man trotz Rechtsverstößen profitabel auf dem Markt existieren kann. Facebook nutzt seine
monopolähnliche Stellung aus und verhält sich nicht gerade gastfreundlich in Deutschland sowie der EU. Demnach muss der Gesetzgeber sehr
bald auf Unternehmen wie Facebook reagieren. Eine möglichst zügige
Einführung der EU-Datenschutzreform ist daher zu begrüßen. Die aktuell geltenden europäischen Datenschutzregelungen stammen aus dem
Jahre 1995 und müssen dringend an das Zeitalter der Smartphones, der
sozialen Netzwerke und des Online-Handels angepasst werden. Dann
hört vielleicht auch die Verwirrung über das geltende Recht auf, die zurzeit offensichtlich in deutschen Gerichten herrscht. Zu guter Letzt ist
eine Sensibilisierung der Internetnutzer für den Datenschutz unabdingbar. User müssen über den Datenschutz besser informiert werden, um
in Zukunft bewusster mit ihren Informationen umgehen zu können und
sich über eventuelle Konsequenzen Gedanken zu machen. Das Internet
vergisst ja bekanntlich nichts und Facebook scheinbar auch nicht. Man
will sich nicht vorstellen, was mit den Daten aller Nutzer passiert, sollte
248
Vgl. Masing, Herausforderungen des Datenschutzes, NJW, S. 2309.
41
jemals ein ernst zu nehmender Hackangriff oder eine Insolvenz von Facebook eintreten.
VI
Literaturverzeichnis
Adamek, Sascha: Die Facebook-Falle – Wie das soziale Netzwerk unser
Leben verkauft, 3. Auflage, München: Wilhelm Heyne Verlag, 2011.
Alex, Werner Gustav: Marketing Konzept 2.0 – Marketing im WEB 2.0Zeitalter, 2. Auflage, Norderstedt: Books on Demand GmbH Verlag,
2012.
Ambs, Friedrich: BDSG § 4 Zulässigkeit der Datenerhebung, verarbeitung und –nutzung, in: Erbs, Georg; Kohlhaas, Max: Strafrechtliche Nebengesetze, Stand November 2012 (192. Lfg.), München: C.H. Beck Verlag, 2012, Rn. 1-20.
Bamberger, Heinz Georg (Hrsg.); Roth, Herbert (Hrsg.): Beck’scher Online- Kommentar BGB, München: C.H. Beck Verlag, Stand Februar
2013, Edition: 26, § 12 Datenschutz, Rn. 161-165.
Baumgartner, Ulrich; Ewald, Konstantin: Apps und Recht, München:
C.H. Beck Verlag, 2013.
Di Fabio, Udo, in: Maunz, Theodor; Dürig Günter: GrundgesetzKommentar, Stand November 2012 (67. Lfg.), München: C.H. Beck
Verlag, 2012.
Dramburg, Sebastian; Schwenke, Thomas: Rechtliche Stolperfallen
beim Facebookmarketing, 2011.
Gola, Peter; Schomerus, Rudolf: BDSG Bundesdatenschutzgesetz
Kommentar, 11. Auflage, München: C.H. Beck, 2012.
Grabs, Anne; Bannour, Karim-Patrick: Follow me! – Erfolgreiches Social
Media Marketing mit Facebook, Twitter & Co., Bonn: Galileo Computing Verlag, 2011.
Kania, Thomas: A. Arbeitsrecht, in: Röller, Jürgen (Hrsg.): Personalbuch, Stand März 2013, München: C.H. Beck Verlag, 2013, Rn. 1-16.
Köhler, Thomas R.; Kirchmann, Walter: IT von a bis Z – Das schnelle
und kompakte Nachschlagewerk, Frankfurt: Frankfurter Allgemeine
Buch Verlag, 2007.
Köhler, Thomas R.: Die Internetfalle, Frankfurt: Frankfurter Allgemeine
Buch Verlag, 2012.
VII
Kurz, Constanze; Rieger, Frank: Die Datenfresser – Wie Internetfirmen
und Staat sich unsere persönlichen Daten einverleiben und wie wir
die Kontrolle darüber zurückerlangen, Frankfurt am Main: Fischer taschenbuch Verlag, 2012.
Kühling, Jürgen; Seidel, Christian; Sivridis, Anastasios: Datenschutzrecht, 2. Auflage, Heidelberg: C.F. Müller Verlag, 2011.
Moos, Flemming: Datenschutzrecht – schnell erfasst, Berlin Heidelberg:
Springer-Verlag, 2012.
Niemann, Fabian; Scholz, Philip: Privacy by Design und Privacy by
Default – Wege zu einem funktionierenden Datenschutz in sozialen
Netzwerken: Peters, Falk (Hrsg.); Kersten, Heinrich (Hrsg.); Wolfenstetter, Klaus – Dieter: Innovativer Datenschutz, Berlin: Duncker &
Humblot, 2012.
Schmitz, Peter: Verarbeitung von Bestandsdaten, in: Hoeren, Thomas
(Hrsg.); Sieber, Ulrich (Hrsg.); Holznagel, Bernd (Hrsg.): Handbuch
Multimedia-Recht, Stand Dezember 2012 (33. Lfg.), München: C.H.
Beck Verlag, 2012, 16.2, Rn. 167-187.
Schmitz, Peter: Verarbeitung von Nutzungsdaten, in: Hoeren, Thomas
(Hrsg.); Sieber, Ulrich (Hrsg.); Holznagel, Bernd (Hrsg.): Handbuch
Multimedia-Recht, Stand Dezember 2012 (33. Lfg.), München: C.H.
Beck Verlag, 2012, 16.2, Rn. 197-207.
Schwartmann, Rolf: Praxishandbuch Medien-, IT- und Urheberrecht, 2.
Auflage, Heidelberg: C.F. Müller Verlag, 2011.
Schwenke, Thomas: Social Media Marketing & Recht, Köln: O’Reilly
Verlag, 2012.
Schwindt, Annette: Das Facebook-Buch, 3. Auflage, Köln: O’Reilly Verlag, 2012.
Solmecke, Christian: Datenschutz und der Facebook-Like-Button, in:
Hoeren, Thomas (Hrsg.); Sieber, Ulrich (Hrsg.); Holznagel, Bernd
(Hrsg.): Handbuch Multimedia-Recht, Stand Dezember 2012 (33.
Lfg.), München: C.H. Beck Verlag, 2012, 21.1, Rn. 28-31.
Spindler, Gerald; Nink, Judith: Anonyme und pseudonyme Nutzung, in:
Spindler, Gerald (Hrsg.); Schuster, Fabian (Hrsg.): Recht der elektronischen Medien, 2. Auflage, 2011, § 13 TMG, Rn. 10.
Witt, Bernhard C.: Datenschutz kompakt und verständlich, 2. Auflage,
Wiesbaden: Viewegt Teubner Verlag, 2010.
VIII
WP 169, Art. 29, Datenschutzgruppe, Stellungnahme 1/2010 zu den
Begriffen „für die Verarbeitung Verantwortlicher“ und „Auftragsverarbeiter“, angenommen am 16. Februar 2010, 00264/10/DE.
Zeitschriftenbeiträge:
Bauer, Stephan: Personalisierte Werbung auf Social Community Websites – Datenschutzrechtliche Zulässigkeit der Verwendung von
Bestandsdaten und Nutzungsprofilen, in: MMR, 2008, Heft 7., S. 435438.
Erd, Rainer: Datenschutzrechtliche Probleme sozialer Netzwerke, in:
NVwZ, 2011, Heft 1., S. 19-22.
Ernst, Stefan: Social Plugins: Der „Like-Button“ als datenschutzrechtliches Problem, in: NJOZ, 2010, Heft 36., S. 1917-1919.
Kleinz, Thorsten, o. Datum: „Die Milliarden – Maschine – Wie Facebook
mit Ihren Daten Geld verdient, in: c’t 12/2012, S. 82f.
Masing, Johannes: Herausforderungen des Datenschutzes, in: NJW,
2012, Heft 32., S. 2305-2384.
Redaktion MMR – Aktuell: „Social Plugins“ als weiterer Eingriff in den
Datenschutz von Internetnutzern, in: MMR-Aktuell, 2010, Ausgabe
09., S. 303975.
Redaktion MMR – Aktuell: LG – Berlin: Facebook unterliegt in Wettbewerbsprozess, in: MMR-Aktuell, 2012, Ausgabe 06., S. 329977.
Roßnagel, Alexander: 20 Jahre Volkszählungsurteil, in: MMR, 2003, Heft
11., S. V-760, Rn. 693-694.
Schmölz, Joanna: Die DIVSI-Milieu-Studie zu Vertrauen und Sicherheit
im Internet: Sicherheit und Datenschutz – nicht nur eine Frage des
richtigen Häckchens, in: RDV, 2012, Heft 6., S 290.
Voigt, Paul; Alich, Stefan: Facebook-Like-Button und Co.- Datenschutzrechtliche Verantwortlichkeit der Webseitenbetreiber, in: NJW, 2011,
Heft 49., S. 3541-3544.
IX
Weichert, Thilo: Datenschutzverstoß als Geschäftsmodell – der Fall Facebook, in: DuD, 2012, Ausgabe 10, S. 716-721.
ZD – Aktuell: VG – Schleswig: Klarnamenpflicht bei Facebook unterliegt
irischem Datenschutzrecht, in: ZD-Aktuell, 2013, Heft 3., S. 03459.
Internetquellen:
Apple Nutzungsbedingungen, Internationale Nutzer:
<http://www.apple.com/de/privacy/>
(zuletzt abgerufen am: 02.06.2013)
Behrens, Christoph, v. 23.05.2013: „Wie Facebook ein deutsches Ministerium vorführt“:
<http://www.focus.de/finanzen/news/unternehmen/tid-31379/philipproesler-im-silicon-valley-wie-Facebook-ein-deutsches-ministeriumvorfuehrt_aid_996934.html> (zuletzt abgerufen am: 02.06.2013)
Bethge, Philip u.a., 05.12.2011: „Die fantastischen vier“, in: Der Spiegel,
29/2011:
<http://www.spiegel.de/spiegel/print/d-82612679.html> (zuletzt abgerufen am: 02.06.2013)
Brainy Quote, Marc Zuckerberg Quotes:
<http://www.brainyquote.com/quotes/authors/m/mark_zuckerberg.html>
(zuletzt abgerufen am: 02.06.2013)
Buggisch, Christian, v. 02.01.2013: „Social Media Nutzerzahlen in
Deutschland – Update 2013“:
<http://buggisch.wordpress.com/2013/01/02/social-media-nutzerzahlenin-deutschland-update-2013/> (zuletzt abgerufen am: 02.06.2013)
X
Bundesministerium für Wirtschaft und Technologie, v. 25.03.2013: „Rösler im Silicon Valley: Werben um Investitionen für IT-Standort Deutschland“
<http://www.bmwi.de/DE/Themen/mittelstand,did=577392.html>
(zuletzt abgerufen am: 02.06.2013)
Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit:
Pressemitteilung, 14.03.2013: „Datenschutz in Europa stärken“:
<http://www.bfdi.bund.de/DE/Oeffentlichkeitsarbeit/Pressemitteilunge
n/2013/85DSK_PressemeldungLDBremen.html?nn=408920>
(zuletzt abgerufen am: 02.06.2013)
Küter, Carolin, 13.03.2013: „Zu wenig Ehrgeiz gezeigt – Datenschutzbeauftragter Peter Schaar fordert von der Politik mehr Engagement“:
<http://www.bfdi.bund.de/DE/Oeffentlichkeitsarbeit/RedenUndIntervie
ws/2013/WeserKurier13032013.html?nn=408922>
(zuletzt abgerufen am: 02.06.2013)
Beitrag zum „Safe Harbour“ Abkommen:
<http://www.bfdi.bund.de/DE/EuropaUndInternationales/Art29Gruppe/
Artikel/SafeHarbor.html?nn=409532>
(zuletzt abgerufen am: 02.06.2013)
Dosch, Sebastian, 07.05.2013: „Kurzer Prozess mit Apples Datenschutzrichtlinien“:
<http://klawtext.blogspot.de/2013/05/kurzer-prozess-mit-apples.html>
(zuletzt abgerufen am: 02.06.2013)
Europe vs.Facebook, Anzeige gegen Facebook wegen „Schattenprofilen“:
<http://www.europe-v-Facebook.org/DE/Anzeigen/anzeigen.html>
(zuletzt abgerufen am: 02.06.2013)
Facebook:
XI
Facebook Datenschutzerklärung:
<https://www.Facebook.com/legal/terms>
(zuletzt abgerufen am: 02.06.2013)
Facebook Developers, „Like-Button“:
<https://developers.Facebook.com/docs/reference/plugins/like/>
(zuletzt abgerufen am: 02.06.2013)
Facebook Datenverwendungsrichtlinien:
<https://de-de.Facebook.com/about/privacy/your-info>
(zuletzt abgerufen am: 02.06.2013)
Facebookprofil der Fachhochschule Köln:
<https://www.Facebook.com/fhkoeln>
(zuletzt abgerufen am: 02.06.2013)
Fichter, Alina, 24.01.2013: „Der junge Mann und der Multi“, in: Zeit Online
<http://www.zeit.de/2013/05/Max-Schrems-Facebook-Datenschutz>
(zuletzt abgerufen am: 02.06.2013)
Horvat, Emöke – Agnes u.a., 06.04.2012, “One Plus One Makes Three
(for Social Networks”, in: Universität Heidelberg, 30.04.2012, “Was soziale Netzwerke im Internet auch über Nichtmitglieder wissen können.”:
Originalpublikation:
<http://www.plosone.org/article/info%3Adoi%2F10.1371%2Fjournal.pon
e.0034740> (zuletzt abgerufen am: 02.06.2013)
Publikation der Uni Heidelberg:
<http://www.uniheidelberg.de/presse/news2012/pm20120430_netzwerk
e.html> (zuletzt abgerufen am: 02.06.2013)
Juneco e.V.: „Jahrbücher“:
<http://www.juneco.de/jahrbuecher.php>
(zuletzt abgerufen am: 02.06.2013)
XII
Niko, Härting, 07.05.2013: „Nicht überzeugend: LG Berlin zu Apple –
Datenschutzbedingungen“:
<http://www.cr-online.de/blog/2013/05/07/nicht-uberzeugend-lg-berlinzu-apple-datenschutzbedingungen/> (zuletzt abgerufen am: 02.06.2013)
Piltz, Carlo, 07.05.2013: „VZBV gegen Apple – leider nicht super für das
Datenschutzrecht“:
<http://www.delegedata.de/2013/05/vzbv-gegen-apple-leider-nichtsuper-fur-das-datenschutzrecht/> (zuletzt abgerufen am: 02.06.2013)
Schrems, Max:
26.10.2011: „Auf Facebook kannst du nichts löschen“, in: FAZ.NET:
<http://www.faz.net/aktuell/feuilleton/debatten/soziale-netzwerke-aufFacebook-kannst-du-nichts-loeschen-11504650.html>
(zuletzt abgerufen am: 02.06.2013)
Vortrag v. 05.05.2013: „Europe vs. Facebook: Stand und Perspektiven –
Max Schrems“, in: Social Media als Geschäftsmodell, 8. Internationales
For..Net Symposium, Universität Passau:
<http://video.uni-passau.de/video/Europe-vs-Facebook%253A-Standund-Perspektiven---MaxSchrems/34fecd24664eed739076d684f044cdfd> (zuletzt abgerufen am:
02.06.2013)
Präsentation v. Vortrag v. 05.05.2013: „Europe vs. Facebook: Stand und
Perspektiven – Max Schrems“, in: Social Media als Geschäftsmodell, 8.
Internationales For..Net Symposium:
<http://europe-v-Facebook.org/passau.pdf> (zuletzt abgerufen am:
02.06.2013)
Stadler, Thomas:
XIII
18.08.2011: „Gilt deutsches Datenschutzrecht für Facebook überhaupt?“
<http://www.internet-law.de/2011/08/gilt-deutsches-datenschutzrechtfur-Facebook-uberhaupt.html> (zuletzt abgerufen am: 02.06.2013)
07.05.2013: „Zentrale Datenschutzklauseln von Apple sind rechtswidrig“:
<http://www.internet-law.de/2013/05/verschiedenedatenschutzklauseln-von-apple-sind-rechtswidrig.html>
(zuletzt abgerufen am: 02.06.2013)
Startseite der Hochschule für Medien, Stuttgart:
<http://www.hdm-stuttgart.de/> (zuletzt abgerufen am: 02.06.2013)
Startseite der Fachhochschule Köln:
<http://www.fh-koeln.de/> (zuletzt abgerufen am: 02.06.2013)
Tatsachen über Deutschland: „Bevölkerung“:
<http://www.tatsachen-ueber-deutschland.de/de/inhaltsseitenhome/zahlen-fakten/bevoelkerung.html>
(zuletzt abgerufen am: 02.06.2013)
Telekom, Was ist Facebook eigentlich?, o. Datum:
<http://www.t-online.de/computer/internet/Facebook/id_45084978/wasist-Facebook-eigentlich-.html> (zuletzt abgerufen am: 02.06.2013)
Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein:
Beiträge zu Facebook:
XIV
<https://www.datenschutzzentrum.de/Facebook/> (zuletzt abgerufen
am: 02.06.2013)
Tätigkeitsbericht 2013, 19.03.2013: Datenschutz als globale Herausforderung:
<https://www.datenschutzzentrum.de/material/tb/tb34/kap07.htm#71>
(zuletzt abgerufen am: 02.06.2013)
Pressemitteilung, 21.09.2012: Konzentrierte Aktion von datenschützern gegen Facebook“:
<https://www.datenschutzzentrum.de/presse/20120921datenschuetzer-gegen-Facebook.htm>
(zuletzt abgerufen am: 02.06.2013)
Beschwerdebegründung zum Beschluss des VG Schleswig v.
14.02.2013, Az.: 8 B 61/12:
<https://www.datenschutzzentrum.de/Facebook/20130312beschwerdebegruendung-Facebook-inc.html>
(zuletzt abgerufen am: 02.06.2013)
Schreiben vom 18.01.13, an das Verwaltungsgericht Schleswig:
<https://www.datenschutzzentrum.de/Facebook/20130204-Facebookklarnamen.html> (zuletzt abgerufen am: 02.06.2013)
XV
Rechtsprechungsverzeichnis
AG Berlin Mitte, Urteil v. 27.03.2007, Az. 5 C 314/0, Telemedicus.
<http://tlmd.in/u/133>
AG München, Urteil v. 15.06.2012, 158 C 28716/11, BeckRS, 2012,
17813.
LG Berlin, Urteil v. 06.03.2012, Az. 16 O 551 /10, Telemedicus.
<http://tlmd.in/u/1354>
LG Berlin, Urteil v. 30.04.2013, 15 O 92/12, BeckRS 2013, 08005.
VG Schleswig, Beschluss vom 14.02.2013 - 8 B 61/12, BeckRS 2013,
46930.
OVG Schleswig, Beschluss vom 22.04.2013 - 4 MB 11/13,
2013, 49919.
BeckRS
XVI
Eidesstaatliche Erklärung
Ich versichere, die von mir vorgelegte Arbeit selbständig verfasst zu haben. Alle Stellen, die wörtlich oder sinngemäß aus veröffentlichten oder
nicht veröffentlichten Arbeiten anderer entnommen sind, habe ich als
entnommen kenntlich gemacht. Sämtliche Quellen und Hilfsmittel, die
ich für die Arbeit benutzt habe, sind angegeben.
Die Arbeit hat mit gleichem Inhalt bzw. in wesentlichen Teilen noch keiner anderen Prüfungsbehörde vorgelegen.
Köln, den
_______________________________