Facebook und der Datenschutz – Rechtliche Einordnung von Inhalten in Sozialen Netzwerken

Facebook gerät in letzter Zeit nicht nur wegen diverser Datenschutzpannen, sondern auch wegen geänderter Privatsphäre-Einstellungen über die Veröffentlichgung bzw. Weitergabe der von den Nutzern eingestellten Informationen und Daten verstärkt unter Beschuss.

Zwischenzeitlich nehmen sich auch amerikanische Politiker dieses Themas an und drohen dem Unternehmen mehr oder weniger stark mit rechtlichen Sanktionen. Und tatsächlich: Facebook hat einige in Kürze wirksam werdende Änderungen geplant, die die Nutzung der auf der Plattform eingestellten Informationen weiter ausweiten.

Für Aufruhr hat insbesondere die Ankündigung gesorgt, Profilinformationen an bestimmte, “geprüfte” Webseiten und Anwendungen Dritter weiterzugeben.

Betrachtet man zudem die verzweigte Navigation mit über 50 Einstellungsmöglichkeiten und damit mehr als 170 alternativen Privacy Einstellungen bei Facebook (gut dargestellt im Artikel der New York Times), fällt einem neben der Komplexität auf, dass bei vielen datenschutzrelevanten Funktionen die Grundeinstellung zwar ein Opt-Out zulässt, aber bei dem Nutzer vor dem spezifischen Einsatz seiner Daten eben nicht die entsprechende Zustimmung (Im Sinne eines Opt-In) eingeholt wird. Vor diesem Hintergrund und dem Aufwand dem sich ein User stellen muss, wenn er die Einstellungen entsprechend vornehmen will, muss sich Facebook die Frage gefallen lassen, ob man den Nutzer tatsächlich die Kontrolle belassen will oder (aus wirtschaftlichen Gründen) die Entscheidungen über Dateneinsatz primär in der eigenen Hand behalten will.

Die letzten Änderungen bei Facebook zeigen deutlich die Zielrichtung des Unternehmens, nämlich die Daten ihrer Nutzer standardmäßig der Öffentlichkeit zugänglich zu machen bzw. nunmehr diese Daten auch an “überprüfte” (pre-approved) Websites und Anwendungen Dritter weiterzuleiten.

Da die Themen auch in Deutschland kontrovers diskutiert werden, lohnt ein genauerer Blick inwieweit die Grundeinstellungen und die Maßnahmen von Facebook mit den (datenschutz-)rechtlichen Grundlagen in Deutschland – insbesondere denen des Telemediengesetzes (TMG) und des Bundesdatenschutzgesetzes (BDSG) – überhaupt noch konform gehen.

Die deutschen Datenschutzgesetze statuieren – neben zahlreichen weiteren Details – vor allem folgende Grundlagen:

Das Prinzip der informierten Entscheidung sieht vor, dass der Nutzer vor der Datenerhebung, -speicherung und –verwertung über den jeweiligen Dateneinsatz umfassend aufgeklärt wird. Stimmt der Nutzer auf Grundlage einer entsprechenden Aufklärung (bei Sozialen Netzwerken oft über die Nutzungsbedingungen oder der Datenschutzerklärung) zu, ist der jeweilige Dateneinsatz auch grundsätzlich zulässig.

Weiterhin gilt der Grundsatz der jederzeitigen Widerrufsmöglichkeit. Danach muss der Nutzer zu jedem Zeitpunkt der Nutzung seiner personenbezogenen Daten widersprechen und deren Löschung verlangen können. Ohne entsprechende Aufklärung über dieses Löschungsrecht ist auch die Zustimmung zu einer Datenschutzerklärung unwirksam.

Als weitere übergeordnete datenschutzrechtliche Vorgaben sind der Transparenzgrundsatz und das Prinzip der Datensparsamkeit zu beachten.

Während der Gründer von Facebook Mark Zuckerberg immer wieder (s)eine veränderte Wahrnehmung der Privatsphäre und Sharing-Philosophie propagiert, ist bei den Nutzern – in Ansehung der Möglichkeiten aber auch Risiken des Internet – ein steigendes Bewusstsein für Datenschutz festzustellen.

Im nachfolgenden Beitrag sollen die rechtlichen Grundsätze für die Verwendung von Nutzerinhalten in Social Networks dargestellt werden, an denen sich gemäß § 1 Abs.5 BDSG auch Facebook zu orientieren hat. Dabei wird auch die in diesem Zusammenhang notwendige (in der Diskussion aber oft übersehene) Differenzierung zwischen datenschutzrechtlich relevanten und sonstigen Inhalten (wie Texte, Bilder, Videos etc.) erläutert. Im zweiten (morgen erscheinenden) Teil der Beitragsreihe “‘Datenschutzkonforme Ausgestaltung von Social Networks oder die Erosion der Privatsphäre bei Facebook” wird dargestellt werden, inwieweit Facebook gegen deutsches (Datenschutz-)recht verstößt und welche Rechte Nutzer insofern geltend machen können.I. Anwendbarkeit deutschen Datenschutzrechts

In diesem Zusammenhang ist zunächst einmal mit dem weit verbreiteten Missverständnis aufzuräumen, dass deutsches Datenschutzrecht im Verhältnis zu ausländischen Anbietern wie Facebook, Google & Co grundsätzlich nicht gilt.

Entscheidend ist nach dem sogenannten Sitzlandprinzip regelmässig, in welchem Land die „verantwortliche Stelle“ ihren Sitz hat. Nach § 1 Abs.5 BDSG findet das deutsche Datenschutzrecht aber auch Anwendung, wenn ein Unternehmen mit einem Sitz außerhalb der EU (sogenanntes Drittland) und dort auch die Datenverarbeitung vornimmt, aber eine Niederlassung in Deutschland hat. Mit der Eröffnung einer eigenen Niederlassung in Hamburg im Februar 2010, gilt dies also auch für Facebook. Rechtswahlklauseln in Nutzungsbedingungen haben in diesem Fall keinen Einfluss auf die Geltung nationaler Datenschutzstandards.

FAZIT: Deutsche Nutzer können sich auch gegenüber Unternehmen, mit Sitz außerhalb der EU, auf nationales Datenschutzrecht berufen, wenn das jeweilge Unternehmen eine Niederlassung in Deutschland hat.

II. Grundsätze

Bei der Diskussion um das Thema Datenschutz werden bisweilen zwei rechtlich getrennt zu beurteilende Kategorien durcheinander geworfen.

Bei all den Informationen, die Nutzer in die Sozialen Netzwerke einstellen, ist – wie in dem unten stehenden Schaubild dargestellt – zu differenzieren zwischen personenbezogenen Daten, die tatsächlich datenschutzrechtlich zu beurteilen sind und den „sonstigen“ Inhalten (wie Texte, Bilder, Videos etc.), die nicht als personenbezogene Daten zu qualifizieren sind und deren Nutzung durch Facebook sich damit an urheberrechtlichen Grundsätzen zu orientieren hat. Bei Bildern oder Videos kann als drittes, unabhängiges Rechtsgut noch das Recht am eigenen Bild betroffen sein. Alle drei Kategorien folgen in der Regel unterschiedlichen Grundsätzen.

Die deutschen Datenschutzgesetze schützen alle personenbezogenen Daten im Sinne des § 3 Abs.1 BDSG, also sämtliche Einzelangaben über persönliche od. sachliche Verhältnisse (wie Name, Adresse, Beruf etc.) einer bestimmten oder bestimmbaren natürlichen Person. Soweit keine andere Rechtfertigungstatbestände des BDSG oder TMG eingreifen, kann eine Verwendung solcher personenbezogener Daten nur mit Einwilligung des Betroffenen (§ 4a BDSG, § 13 TMG) erfolgen.

Dieser Themenkomplex soll bei Facebook über die Datenschutzbestimmungen geregelt werden. Ob die auf diesem Weg eingeholte Zustimmung die Verwendung der Daten durch Facebook auch wirklich im Einzelfall legitimiert, soll unter Betrachtung einiger (neuer) Funktionalitäten im nächsten Blogbeitrag geprüft werden.

Unabhängig davon ist die Verwendung von anderen Inhalten in Nr. 2 der Nutzungsbedingungen bei Facebook geregelt.

1. Für Inhalte, die unter die Rechte an geistigem Eigentum fallen, wie Fotos und Videos („IP-Inhalte“), erteilst du uns vorbehaltlich deiner Privatsphäre- und Anwendungseinstellungen die folgende Erlaubnis: Du erteilst uns eine einfache, übertragbare, unterlizenzierbare, unentgeltliche, weltweite Lizenz für die Nutzung aller IP-Inhalte, die du auf oder im Zusammenhang mit Facebook postest („IP-Lizenz“). Diese IP-Lizenz endet, wenn du deine IP-Inhalte oder dein Konto löscht, außer deine Inhalte wurden mit anderen Nutzern geteilt und diese haben sie nicht gelöscht.

2. Wenn du IP-Inhalte löscht, so werden sie auf eine Weise entfernt, die dem Leeren des Recyclingbehälters auf einem Computer gleichkommt. Allerdings sollte dir bewusst sein, dass entfernte Inhalte für eine angemessene Zeitspanne in Sicherheitskopien fortbestehen (für andere jedoch nicht zugänglich sind).

Daraus folgt also, dass Facebook über die Zustimmung zu den Nutzungsbedingungen für alle eingestellten Inhalte, sofern diese urheberrechtlich geschützt sind (wie z.B. Bilder, Videos) vom jeweiligen Nutzer eine Lizenz eingeräumt wird, diese kostenlos weltweit zu veröffentlichen, aber auch diese an Dritte weiter zu lizenzieren (Vgl. weiterführend „Rechtliche Voraussetzungen zur Verwendung von User Generated Content “). Diese Lizenz soll enden, sobald der jeweilige Inhalt oder das Nutzerkonto gelöscht wird, sofern die Inhalte nicht mit anderen Nutzern geteilt wurden. Die Klärung der Frage, was das heißt und ob eine solche Regelung überhaupt wirksam ist, würde hier den Rahmen sprengen.

FAZIT: Ob und unter welchen Voraussetzungen Informationen und Inhalte auf Facebook öffentlich zugänglich gemacht oder an Dritte weitergegeben werden dürfen, hängt davon ab, ob für die jeweiligen Inhalte daten- oder urheberrechtliche Regelungen eingreifen.

III. Resumee

Dass immer mehr Inhalte, die früher als „privat“ behandelt wurden, im Laufe der Zeit von Facebook standardmässig öffentlich gemacht werden, wenn der Nutzer dem über die komplexen Privacy Einstellungen nicht ausdrücklich widerspricht, lässt sich sehr gut der Visualisierung von Matt McKeon entnehmen . In eine ähnliche Richtung geht der Beitrag der Electronic Frontier Foundation (EFF), der die zeitlich voranschreitende Erosion der Privacy Policy von Facebook zeigt.

Höchst fraglich ist in diesem Zusammenhang, ob Facebook überhaupt ohne weitergehende Zustimmung der Nutzer einfach, die jeweiligen Nutzungsbedingungen oder Datenschutzbestimmungen ändern kann (weiterführend Facebook ändert seine Terms of Service – Zulässigkeit der nachträglichen Änderung von Allgemeinen Geschäftsbedingungen (AGB))

Bevor in dem morgen erscheinenden Blogpost “Datenschutzkonforme Ausgestaltung von Social Networks oder die Erosion der Privatsphäre bei Facebook” einzelne Regelungen von Facebook auf ihre Konformität mit deutschem Recht geprüft und die Handlungsoptionen betroffener Nutzer dargestellt werden, möchte ich hier mit einem Resumee schließen.

Das Datenschutzstandard in Deutschland hat – auch im Vergleich zu den meisten anderen Ländern – ein sehr hohes Niveau. Auch wenn sicher nicht alles gut zu heißen ist, was nationales und europäisches Datenschutzrecht vorschreibt (bzw. noch vorzuschreiben gedenkt) und einige Regeln auch die (nachvollziehbaren) Interessen der Internetwirtschaft unverhältnismäßig beeinträchtigen, so halte ich den Grundsatz des „informierten Nutzers“, der auf der Grundlage einer entsprechenden Aufklärung seine Zustimmung („Opt-In“) zur Nutzung personenbezogener Daten und insbesondere einer Weitergabe an Dritte erteilen muss, für richtig. Ist dies gewährleistet, kann die jeweilige Plattform die Daten entsprechend einsetzen und auch weitergeben. Damit kann – Im Einklang mit deutschem und europäischem Datenschutzrecht – sowohl den Interessen sowohl der Verfechtern der „Sharing-Philosophie“ Rechnung getragen werden, also auch denen die über die Verwendung „ihrer“ Daten selbst entscheiden können wollen.

Auch wenn gerade im datenschutzrechtlichen Bereich vieles noch nicht abschließend geklärt ist, kann ich als rechtlicher Berater zahlreicher Internetunternehmen nur an die betroffenen Plattformen appellieren, die Rechte der Nutzer zu achten und entsprechende Funktionalitäten – was in der Regel auch möglich ist – rechtskonform aufzusetzen, um die eigenen Möglichkeiten nicht wie Facebook zu überreizen.

Gerne stehen wir bei weitergehenden Fragen oder Interesse an einem entsprechenden Inhouse Workshop telefonisch unter +49 (0) 711 23 84 953 oder via E-Mail cu@bartsch-rechtsanwaelte.de zur Verfügung.

Comments

  1. Zum Thema passt sehr gut eine kürzlich entdeckte *Infografik zur Entwicklung der Privatspäre auf Facebook* in den letzten Jahren http://bit.ly/cgWWFt

  2. Weshalb wird § 12 TMG nicht erwähnt ? Müsste dieser nicht Ausgangspunkt der Prüfung sein?

  3. und diesen Satz finde ich auch sonderbar:
    “FAZIT: Deutsche Nutzer können sich auch gegenüber Unternehmen, mit Sitz außerhalb der EU, auf nationales Datenschutzrecht berufen, wenn das jeweilge Unternehmen eine Niederlassung in Deutschland hat.”
    Dabei sagt § 1 V, Satz 2 BDSG: “Dieses Gesetz findet Anwendung, sofern eine verantwortliche Stelle, die nicht in einem Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum belegen ist, personenbezogene Daten im Inland erhebt, verarbeitet oder nutzt. ”

    Von einer NIederlassung steht da nichts.

  4. Mich würde intereessieren, was es heißt “im Zusammenhang mit Facebook”. Wie ist das z.B. mit Bildern,Flyern,die direktverlinkt sind und nicht direkt bei FB hochgeladen wurden?
    Bleiben da die Rechte bei mir?
    danek für eine Antwort.

Speak Your Mind

*


× 4 = vier