Die aktuelle Meldung des NDR, dass die SCHUFA nun auch Daten aus den Sozialen Medien sammeln wolle, um so zukünftig weitergehende Erkenntnisse über die Kreditwürdigkeit von Personen zu gewinnen, hat ein erhebliches Medienecho und einige Entrüstung ausgelöst.
Neben unterschiedlichen Stimmen aus der Politik oder von einzelnen Datenschützern hat sich auch im Internet (siehe etwa die Tweet Meme #twitternfürdieschufa) eine Welle der Entrüstung ausgebreitet. Wie kann es sein, dass privatwirtschaftliche Unternehmen wie die SCHUFA Informationen aus dem Internet „ausschlachten“, um diese wirtschaftlich zu verwerten ?
Doch die Meldung über eine mögliche Datensammelei der SCHUFA ist in Zeiten von Social Media und gigantischen Datenmengen, die in weiten Teilen von Nutzern und damit potentiellen Kunden eingestellt werden, erst der Anfang…
Selbstverständlich bedeuten all die Daten, die jeden Tag über Dienste wie Facebook, XING, Twitter & Co ins Netz gestellt werden erhebliche Werte, wenn es gelingt, diese Informationen zu filtern und so zu aggregieren oder zu systematisieren, dass daraus weitergehende Erkenntnisse gewonnen werden können, wie hier bezüglich der Kreditwürdigkeit von Personen. In den USA haben bereits zahlreiche Unternehmen die Chancen erkannt, die diese enormen Datenmengen (teilweise auch Big Data bezeichnet ) bieten. Alle möglichen Arten von Daten sind schon lange wertvolle Wirtschaftsgüter. Im Hinblick auf die Preisgabe von Daten in und über die Sozialen Medien sollte klar sein, dass aus Unmengen von Adressdaten, Aktivitäten, Kontakten und Berichten aus dem Alltag unterschiedlichste Erkenntnisse gewonnen werden können.
Aufgrund unserer Spezialisierung auf rechtliche Implikationen in den Sozialen Medien haben wir bereits zahlreiche Geschäftsmodelle mit vergleichbaren Ansätzen auf die (datenschutz-)rechtliche Zulässigkeit der Erhebung, Verarbeitung und Weitergabe entsprechender Daten geprüft. Insoweit war es aus unsere Sicht nicht nur absehbar, sondern fast schon zwingend, dass auch die SCHUFA sich den neuen Möglichkeiten irgendwann nähert.
A. Datenschutzrechtliche Zulässigkeit der Erhebung von Daten aus Facebook & Co
Wer sich unabhängig von der aktuellen Entrüstungswelle mit der bisherigen Datenerhebung der SCHUFA bzw. mit der datenschutzrechtlichen Bewertung beschäftigt, der wird erkennen müssen, dass eine Erhebung von Daten aus dem Internet gar nichts so Neues ist und in einigen Bereichen sich auch schon einige Zeit unter Beachtung der nachfolgenden rechtlichen Grundsätzen auch rechtskonform praktizieren lässt.
1. Datenschutzrechtliche Grundlagen
Nach § 4 Bundesdatenschutzgesetz (BDSG) ist die Erhebung, Verarbeitung und Nutzung personenbezogener Daten nur zulässig, wenn der Betroffene eingewilligt hat oder eine andere Rechtsvorschrift die jeweilige Datenverwendung auch ohne entsprechende Einwilligung legitimiert (sog. Verbot mit Erlaubnisvorbehalt).Personenbezogenen Daten im Sinne des § 3 Abs.1 BDSG sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener). Zahlreiche Daten,wie Adressen, Kontakte, vermögensrelevante Aussagen usw – die im Rahmen einer etwaigen Datensammlung der SCHUFA aus den Sozialen Medien erhoben würden, sind natürlich als entsprechend personenbezogene Date zu kategorisieren.Solche Daten dürfen nach dem Verbot mit Erlaubnisvorbehalt von der SCHUFA also nur erhoben werden, wenn der Betroffene eingewilligt hat oder ein spezifische Rechtsvorschrift dies legitimiert.Zahlreiche Informationen erhält die SCHUFA von Dritten (z.B. Banken), weil der jeweils Betroffene der Weitergabe z.B. bei Abschluss eines Darlehens- oder Ratenzahlungsvertrages über die jeweiligen Vertragsbedingungen zugestimmt hat.Da im Hinblick auf eine Erhebung personenbezogener Daten aus Sozialen Netzwerken natürlich keine Einwilligung angenommen werden kann, ist diese nur zulässig, wenn eine andere Vorschrift dies erlaubt
2. Legitimation gemäß § 29 Abs.1 Satz 1 Nr.2 BDSG
Nach § 29 Abs.1 Satz 1 Nr.2 BDSG dürfen öffentlich zugängliche Daten erhoben werden, wenn keine schutzwürdigen Interessen des Betroffenen an dem Ausschluss der Verarbeitung oder Nutzung gegenüber dem berechtigten Interesse der verantwortlichen Stelle offensichtlich überwiegt.
Öffentliche zugänglich sind alle Informationsquellen, „die sich sowohl ihrer technischen Ausgestaltung als auch ihrer Zielsetzung nach dazu eignen, einem individuell nicht bestimmbaren Personenkreis Informationen zu vermitteln“ (Simitis, BDSG, § 28 Rn. 189).
Damit sind Informationen aus dem Internet immer dann als öffentlich zugänglich zu qualifizieren, wenn diese zulässigerweise als für jedermann zugängliche Daten im World-Wide-Web verfügbar gemacht worden sind. Informationen, die nur unter gewissen Einschränkungen verfügbar sind, z.B. weil diese nur von angemeldeten Nutzern eines Sozialen Netzwerkes eingesehen werden können, sind hingegen wohl nicht als öffentlich zugänglich zu werten (siehe ergänzend dazu auch „Das hat gerade noch gefehlt – SCHUFA will Facebook Daten nutzen !?“ ).
Nach diesen Grundsätzen dürften den Plänen der SCHUFA aus datenschutzrechtlicher Sicht keine Bedenken entgegenstehen, wenn nur die Daten erhoben werden, die für jeden zugänglich über das Internet erreichbar sind und schutzwürdige Interessen des Betroffenen nicht offensichtlich überwiegen. Wer über die Datenschutzeinstellungen von Facebook seine Informationen allen zugänglich macht, wird sich später in aller Regel auch schwer darauf berufen können, dass seine berechtigten Interessen einer entsprechenden Datenerhebung entgegenstanden.
Anders dürfte die Rechtslage für die Informationen zu beurteilen sein, bei denen der Nutzer über seine individuellen Einstellungen nur den freigeschalteten Kontakten (bei Facebook den „Freunden“) Einblick gewährt. Würde die SCHUFA z.B. über Fake-Accounts versuchen, die Aufnahme in diesen Kontaktkreis zu erlangen oder anderweitig Zugang zu diesen Informationen bekommen, so wäre dies wohl unzulässig, weil eben keine öffentlich zugänglichen Daten im Sinne des § 29 Abs.1 S.2 BDSG „gesammelt“ werden.
Der Vollständigkeit halber sei hier noch darauf hingewiesen, dass auch jeder weitere „Verarbeitungsschritt“ sprich eine Verknüpfung, Verarbeitung oder Weitergabe der Daten ebenfalls entsprechend datenschutzrechlich legitimiert werden müsste. So wäre aber etwa die weitergehende Verarbeitung der Daten im Rahmen einer Bewertung der Kreditwürdigkeit (sogenanntes Scoring) gemäß § 28 b BDSG zulässig gestaltbar, wenn die Berechnung des Score-Wertes unter Zugrundelegung eines wissenschaftlich anerkannten mathematisch-statistischen Verfahrens erfolgt. Die über Social Media Dienste erlangten Daten müssten im Falle einer entsprechenden Einbeziehung in den Score Wert eben auch diese Voraussetzung erfüllen, was in abhängig von der jeweiigen Datenart durchaus denkbar ist.
B. Resumee
Damit ist festzustellen, dass eine etwaige Informationssammlung der SCHUFA aus Facebook & Co im Falle einer Beschränkung auf öffentlich zugängliche Daten sich durchaus datenschutzrechtlich konform gestalten lassen wird.
Eine Erhebung von Daten, die nur einem beschränkten Nutzerkreis zugänglich gemacht werden bzw. über einen Login geschützt sind, ist hingegen datenschutzrechtlich unzulässig. Deshalb sollten Nutzer sozialer Netzwerke aus den oben stehenden Ausführungen tatsächlich den Schluss ziehen, dass Informationen, die von Dritten nicht für eigene Zwecke erhoben und ausgewertet werden sollen, nicht gerade öffentlich zugänglich gemacht werden sollten. Stattdessen sollte hier über die entsprechenden Privatsphäreeinstellungen der Empfängerkreis (z-B. auf die Freunde) beschränkt werden. Auch wenn dies natürlich keine absolute Sicherheit bedeutet, so können Dritte neben der technischen Beschränkung des Zugangs in der Regel auch nicht ohne Verstoß gegen das Bundesdatenschutzgesetz darauf zugreifen und diese verwerten.
Unabhängig davon ist klar, dass wir in Zukunft noch zahlreiche Plattformen und geschäftliche Modelle sehen werden, die auf der Datenflut der Sozialen Medien aufsetzen , um die gewonnenen Daten zu filtern und auszuwerten. Neben datenschutzrechtlichen Implikationen können je nach Datenquelle und Art und Umfang der Datenerhebung auch urheber-, datenbank- und wettbewerbsrechtliche Fragen eine Rolle spielen (siehe dazu auch Screen Scraping & Recht – Wann ist das Auslesen und die Veröffentlichung fremder Daten zulässig ).
Weiterführend:
Social Media Monitoring & Datenschutz – Was Unternehmen beim „Durchsuchen“ des Social Web beachten sollten
Screen Scraping & Recht – Wann ist das Auslesen und die Veröffentlichung fremder Daten zulässig
FOLGEN SIE MIR AUF TWITTER 
Wie sieht es mit der Weitergabe derart gewonnener, öffentlich zugänglicher persönlicher Daten aus? Bedarf es dazu der Zustimmung der betreffenden Person? Oder was ist mit der Beweislast? Es lässt sich schließlich schnell behaupten, dass gewisse Daten online frei zugänglich waren.
Tatächlich muss auch jeder weitere „Verarbeitungsschritt“ (sprich Zusammenführung, Verarbeitung, Weitergabe etc.) durch einen entsprechenden gesetzlichen Erlaubnistatbestand legitimiert werden (siehe auch http://www.rechtzweinull.de/index.php?/archives/175-Social-Media-Monitoring-Datenschutz-Was-Unternehmen-beim-Durchsuchen-des-Social-Web-beachten-sollten.html )
Sollte es zum Streit kommen, ob die Daten tatsächlich öffentlich zugänglich im Sinne des Legitimationstatbestandes des § 29 Abs.1 S.2 BDSG waren, liegt die Beweislast natürlich beim Verwender der Daten. Kann er dies nicht beweisen, war die Erhebung natürlich unzulässig.
Wie gehen Sie mit der Problematik um, dass die Authentizität der Daten und damit die Zurechnung zur natürlichen Person nicht sichergestellt werden kann?
Um einem wenig geliebten Nachbarn Schaden zufügen zu wollen, könnte jemand unter seinem Namen Profile anlegen und entsprechend nachteilige Informationen veröffentlichen.
Gleiche Problematik gilt für die Auflösung von Namenskonflikten.
Wie kann sich ein Betroffener wehren, wenn falsche und/oder von ihm nicht veröffentlichte Daten zu einem der Profile der Datensammler hinzugefügt wurden? Eine Benachrichtigungspflicht gibt es ja in diesem Fall nicht.
Hier sehe ich folgende Situation, provokant formuliert:
Die Frage, ob die schutzwürdigen Interessen des Betroffenen verletzt werden oder nicht, lässt sich -ohne dass die Authentizität der hinzuzufügenden Daten festgestellt werden kann- garnicht prüfen!
Und ohne diese Prüfung keine Verneinung der Frage, und ohne ihre Verneinung keine Rechtsgrundlage für die Verarbeitung.
Ihre Argumente lassen sich durchaus hören.
Entscheidend ist jedenfalls bei § 29 Abs.1 S.1 Nr.2 BDSG aber, dass schutzwürdige Interessen des Betroffenen an dem Ausschluss der Verarbeitung oder Nutzung gegenüber dem berechtigten Interesse der verantwortlichen Stelle diese nicht OFFENSICHTLICH überwiegen.
Entscheidend ist also ob entsprechende Interessen offensichtlich überwiegen. Insofern müsste sich der Verdacht, dass die Daten nicht authentisch sind ein Stück weit “aufdrängen” oder sich aus den Umständen ergeben.
Zudem wird im Streitfalle die Darlegungs- und Beweislast für offensichtlich überwiegende Interessen wohl eher beim Betroffenen liegen.
Ob diese gegeben sind, z.B. weil die Daten nicht echt waren, wird damit stets eine Frage des Einzelfalles sein. IMHO dürfte dies aber nicht zu dem Ergebnis führen, dass ohne umfassende Prüfung der Authentizität eine Erhebung auf Grundlage von § 29 Abs. 1 S.1 Nr.2 BDSG stets ausgeschlossen ist.