Der Start in das Jahr 2008 bescherte der Plattform „XING“ mit negativen Schlagzeilen eine unfreiwillige Rückkehr in den Blickpunkt der Öffentlichkeit. Grund hierfür war die Schaltung von Werbeanzeigen auf den Profilseiten ihrer Mitglieder. Um die zahlenden Premium-Mitglieder nicht mit der Einblendung solcher Werbeanzeigen „zu belästigen“, konnten nur die Basismitglieder entsprechende Werbeeinblendungen auf anderen Profilseiten – allerdings auch auf den Profilen der Premium-Mitglieder – sehen.
Eine unzureichende Informationspolitik hatte zu massivem Widerstand seitens der Mitglieder geführt, der XING zunächst veranlasst hat, eine Opt-Out Funktion zu schalten, über die die Einblendung von Werbeanwendungen auf dem eigenem Profil ausgeschaltet werden konnte. Nach anhaltender Kritik hat sich XING dann dazu entschlossen – zumindest bei den Premium-Mitgliedern – die Schaltung von Werbeeinblendungen zukünftig zu unterlassen.
In mehreren Foren und Blogs wurde die Frage aufgeworfen, inwieweit die konkrete Schaltung der Werbung auf den Profilseiten sich mit deutschem Datenschutzrecht bzw. den Datenschutzbestimmungen von XING vereinbaren lässt. Dieser Frage wird im Folgenden nachgegangen.
Im Rahmen des deutschen Datenschutzrechts gilt ein grundsätzliches Verbot mit Erlaubnisvorbehalt, das heißt, dass eine Verarbeitung personenbezogener Daten grundsätzlich verboten ist, so weit nicht eine ausdrückliche Erlaubnis vorliegt. Die Verarbeitung oder Nutzung personenbezogener Daten ist nach dem einschlägigen Bundesdatenschutzgesetz (BDSG) also immer verboten, sofern nicht durch das Bundesdatenschutzgesetz oder andere Rechtsvorschriften ausdrücklich erlaubt bzw. eine hinreichende Einwilligung des Betroffenen vorliegt.
Um also die Vereinbarkeit des Vorgehens von XING mit den datenschutzrechtlichen Bestimmungen zu prüfen, ist zunächst zu fragen, ob personenbezogene Daten verarbeitet worden sind, dann ob eine ausdrückliche Einwilligung des Betroffenen vorlag. Sollte diese Einwilligung des Betroffenen zu der konkreten Nutzung der personenbezogenen Daten nicht vorliegen, ist die vorgenommene Datenverarbeitung nur zulässig, wenn entweder die Daten vorher schon öffentlich zugänglich waren, oder eine ausdrückliche gesetzliche Ermächtigungsgrundlage existiert.
Das Prüfungsprozedere lässt sich demnach wie folgt darstellen:
Aufgrund der Tatsache, dass Datenschutzrecht eine etwas „schwer verdauliche“ Materie ist, die leider nicht ohne weiteres in zwei Sätzen erklärt werden kann, sind die nachfolgenden Ausführungen etwas länger geworden. Ich habe dennoch versucht, die auftretenden Probleme und die vorzunehmende Prüfung in möglichst auch noch Laien verständlicher Sprache darzustellen, bitte vor diesem Hintergrund dennoch schwer verständliche Formulierungen zu entschuldigen und werde weitergehende Fragen (auch in den Kommentaren) natürlich versuchen, entsprechend zu beantworten.
Für diejenigen, denen der Text zu lang ist, dem lege ich die Lektüre der dick und kursiv gedruckten Passagen am Ende eines jeden thematischen Abschnitts ans Herz, die die wesentlichen Schlüsse enthalten.
I. Nutzung personenbezogener Daten
Will man die Werbeschaltung bei XING anhand des oben skizzierten Prüfungsablaufes nachvollziehen, so ist zunächst zu prüfen, ob bei der Einblendung der Werbeanzeigen eine Targeting-Funktion verwandt worden ist. Werbe-Targeting ist die gezielte Auswertung von Daten zur Optimierung der Werbewirksamkeit.
Fraglich ist also zunächst, ob in dem Fall, in dem Basis-Mitglieder die Profilseiten der Premium-Mitglieder besucht haben, die geschalteten Werbeanzeigen in irgendeiner Form abhängig waren von einzelnen Profildaten des besuchenden Basis-Mitglieds oder des besuchten Premium-Mitglieds. Kontextbezogene Werbung bedeutet vorliegend also, dass man abhängig vom angegeben Beruf, dem Hobby etc. Werbung schaltet, die den jeweiligen Besucher interessiert (z.B. Marketing-Literatur für Mitglieder aus der entsprechenden Branche).
Leider ist von Seiten XING nicht genau kommuniziert worden, ob bzw. in welcher Form etwaiges Targeting eingesetzt worden ist. Zieht man allerdings die Pressemitteilung von XING vom 12.11.2007 heran, so spricht doch einiges dafür, dass Targeting in einem gewissen Umfang verwandt worden ist. Dort wird in Ankündigung der Öffnung der Plattform für Werbung nämlich mitgeteilt, dass „die Öffnung der Plattform für relevante und gezielte Werbebotschaften sowie –formate“ erfolgen soll. Der Hinweis, dass relevante und gezielte Werbebotschaften vermittelt werden, deutet darauf hin, dass es sich bei den eingeführten Werbemitteln doch um kontextbezogene Werbung gehandelt hat.
Ein weiteres Indiz für Targeting im Rahmen der Werbeeinblendung ist die Tatsache, dass der Exklusiv-Vermarkter von XING – die Firma adconion GmbH – insbesondere mit solchem „Behavioural Targeting“ wirbt (siehe entsprechender Auszug aus der Firmenhomepage ).
Darüber hinaus könnte auch ein Einzelfall dafür sprechen, bei dem auf einem Profil eines Mitarbeiters der deutschen Bank eine Werbeanzeige von comdirect zu sehen war (siehe screenshot via Werbeblogger). Mal abgesehen davon, dass dies sicher nicht im Sinne eines Mitglieds sein kann, dass auf seiner Seite Werbung der Konkurrenz zu sehen ist, könnte dies ein weiteres Indiz dafür sein, dass aufgrund der Info „Bank“ auf dem Profil des besuchten Mitglieds eben diese Werbung eingeblendet worden ist.
Auch wenn die Frage, ob XING im Rahmen der Werbeeinblendungen die Anzeige auf Profilinformationen des besuchten oder besuchenden Mitglieds abgestimmt hat, nicht abschließend geklärt werden kann (was übrigens ja auch für die mangelnde Information der eigenen Mitglieder spricht), wird im Rahmen der weiteren Prüfung davon ausgegangen, dass ein gewisses Targeting stattgefunden hat.
Nach dem juristischen Verständnis sind personenbezogene Daten jegliche Informationen, die einer bestimmten oder bestimmbaren natürlichen Person (dies gilt also nicht für Firmen) zuzuordnen sind. Dies gilt ohne weiteres für Namen, Adresse, eMail-Adresse aber eben auch für sonstige Einzelangaben über persönliche oder sachliche Verhältnisse, wie Beruf, Ausbildungsstätten, Hobbys etc..
Zur Beurteilung, ob es sich bei den zum Targeting herangezogenen Profildaten um personenbezogene Daten handelt, ist entscheidend, ob – gegebenenfalls unter Zuhilfenahme Dritter – diese einer natürlichen Person zugeordnet werden können. Da XING ohne weiteres die jeweiligen Merkmale einer natürliche Person zuordnen kann, sind diese bestimmbar und es handelt sich insgesamt um personenbezogene Daten.
Soweit also tatsächlich entweder die Daten der besuchenden Basis-Mitglieder oder die Daten der Premium-Mitglieder herangezogen werden, um entsprechende Werbung zu schalten, ist von einer Verarbeitung bzw. zumindest Nutzung personenbezogener Daten auszugehen.
II. Einwilligung des Betroffenen
Um zu ermitteln, ob diese Nutzung von personenbezogenen Daten zulässig war, ist – entsprechend unseres oben stehenden Schaubildes – zunächst zu prüfen, ob eine hinreichende Einwilligung des Betroffenen dafür vorliegt.
Bei der Anmeldung haben alle Mitglieder den Datenschutzbestimmungen von XING zugestimmt. Soweit also in den Datenschutzbestimmungen mitgeteilt würde, dass die personenbezogenen Daten eben auch für solche kontextbezogene Werbung genutzt würden, läge eine hinreichende Einwilligung vor.
In den Datenschutzbestimmungen von XING findet sich ein solcher Hinweis allerdings nicht. Es werden die üblichen Funktionalitäten geschildert und ansonsten mitgeteilt, dass XING die personenbezogenen Daten unter Einhaltung der Datenschutzgesetze der Bundesrepublik Deutschland und der Datenschutzbestimmungen der Europäischen Union erhebt, verarbeitet und nutzt.
Darüber hinaus wird mitgeteilt, dass XING die personenbezogenen Daten ausschließlich nutzt, um die Inanspruchnahme der registrierungspflichtigen Internetdienste von XING zu ermöglichen, in keinem Falle würden personenbezogene Daten zu Werbe- oder Marketingzwecken Dritten zur Kenntnis gegeben oder sonst wie an Dritte weitergegeben.
Selbst – wovon nachfolgend ausgegangen wird – personenbezogene Daten nicht von XING weitergegeben worden sind, sondern nur „inhouse“ genutzt wurden, um kontextbezogene Werbung zu schalten, kann nicht von einer hinreichenden Einwilligung des jeweils Betroffenen ausgegangen werden. An diese Einwilligung werden vom Gesetz sowohl hinsichtlich des Inhaltes als auch hinsichtlich des Einwilligungsvorganges bestimmte Mindestanforderungen gestellt. Der Betroffene muss grundsätzlich in Kenntnis der Sachlage einwilligen, dass heißt, über Zweck und Folgen der Erhebung und Verarbeitung umfassend aufgeklärt werden. Hierzu müssen alle entscheidungsrelevante Angaben, die erforderlich sind, damit der Betroffene die Datenverarbeitung beurteilen kann, angegeben werden. Dazu ist insbesondere der konkrete Zweck der speziellen Verarbeitung und Nutzung anzugeben oder eine etwaige geplante Übermittlung an Dritte, sowie der Umfang der Speicherung anzugeben.
Da sich in den Datenschutzbestimmungen von XING keine hinreichenden Hinweise auf die kontextbezogene Werbung finden, ist davon auszugehen, dass der betroffene Nutzer nicht hinreichend über die Tragweite der Eingabe seiner Daten informiert worden ist, und somit schon grundsätzlich keine wirksame Einwilligung für die Anwendung von Targeting erteilt werden konnte.
III. Daten aus allgemein zugänglichen Quellen (§ 28 Abs.1 Satz 1 Nr. 3 BDSG)
Entsprechend dem oben stehenden Prüfungsablauf, ist – da keine hinreichende Einwilligung des Betroffenen vorliegt – nun noch zu prüfen, ob sich die Verarbeitung der personenbezogenen Daten als zulässig darstellt, weil diese entweder öffentlich zugängliche Daten sind, oder eben eine gesetzliche Ermächtigungsgrundlage existiert.
Nach § 28 Abs.1 Satz 1 Nr. 3 BDSG soll eine Datenerhebung, Verarbeitung oder Nutzung personenbezogener Daten zulässig sein, wenn die Daten aus allgemein zugänglichen Quellen entnommen werden können oder die verantwortliche Stelle sie veröffentlichen durfte, sofern nicht ein entgegenstehendes Interesse des Betroffenen offensichtlich überwiegt. Als allgemein zugängliche Quellen werden insbesondere öffentliche Register, Zeitungen, Telefonbücher, Hörfunk und Fernsehen, aber auch Internetseiten gewertet, wenn ohne zusätzliche Kenntnis bestimmter Umstände auf die Daten zugegriffen werden kann.
An dieser Stelle ist eine weitere Differenzierung notwendig. Nämlich zwischen den Premium-Mitgliedern, die sich bei den Einstellungen „Meine Privatsphäre“, dafür entschieden haben, die Einsehbarkeit des eigenen Profils auch für Nicht-Mitglieder zuzulassen bzw. die Auffindbarkeit in Suchmaschinen und den Mitgliedern, die bei den entsprechenden Einstellungen gegen diese Möglichkeiten optiert haben.
1. Öffnung des Profils auch für Nichtmitglieder
Hinsichtlich der Mitglieder, die die entsprechende Öffnung ihres Profils erlaubt haben, ist zu fragen, ob die personenbezogenen Daten somit aus allgemein zugänglichen Quellen entnommen werden können im Sinne von § 28 Abs.1 Satz 1 Nr. 3 BDSG, und damit eine entsprechende Datenerhebung, Verarbeitung oder Nutzung personenbezogener Daten grundsätzlich zulässig sein soll.
Dieses konkrete Problem ist bisher nicht abschließend gerichtlich geklärt. Zum einen könnte man vertreten, dass mit der Veröffentlichung des eigenen Profils diese Daten eben auch allgemein zugänglichen Quellen entnommen werden können, und damit die Datenverarbeitung gem. § 28 Abs.1 Satz 1 Nr. 3 BDSG grundsätzlich zulässig sein soll. Andererseits widerstrebt die Vorstellung, dass das jeweilige Social-Network, dem die Erlaubnis zur Veröffentlichung der entsprechenden personenbezogenen Daten gegeben wird, damit diese Daten wieder über § 28 Abs.1 Satz 1 Nr. 3 BDSG die Erlaubnis erlangt, beliebig zu erheben, zu verarbeiten oder zu nutzen, nur weil § 28 Abs.1 Satz 1 Nr. 3 BDSG es für zulässig erklärt. Insofern neige ich der Auffassung zu, dass aufgrund des besonderen vertraglichen Verhältnisses – in dem ausdrücklich die Regelungen für Datenerhebung, Verarbeitung und Nutzung beschrieben werden – einzuhalten sind, und nicht allein wegen der Zulässigkeit der Veröffentlichung der personenbezogenen Daten der Erlaubnistatbestand des § 28 Abs.1 Satz 1 Nr. 3 BDSG eingreift. Nach dieser Argumentation würde also auch § 28 Abs.1 Satz 1 Nr.3 BDSG die kontextbezogene Werbung von XING vorliegend nicht rechtfertigen, nur weil die Mitglieder der Veröffentlichung der Profile zugestimmt haben.
2. Keine Öffnung des Profils für die Öffentlichkeit
§ 28 Abs.1 Satz 1 Nr. 3 BDSG kann keinesfalls die Schaltung der kontextbezogenen Werbung bei den Mitgliedern rechtfertigen, die in den entsprechenden Einstellungen bei XING die Abrufbarkeit des Profils für Nichtmitglieder bzw. die Auffindbarkeit für Suchmaschinen untersagt haben. Schließlich können diese Daten nicht aus allgemein zugänglichen Quellen erlangt werden.
In diesem Zusammenhang sollte auch die notwendige Sensibilität dafür geweckt werden, dass man mit der Zulassung der Veröffentlichung des Profils auch für Nichtmitglieder – das gilt natürlich für alle Social-Networks – möglicherweise bereits die personenbezogenen Daten zu solchen macht, die über allgemein zugängliche Quellen auffindbar sind, und damit gemäß § 28 I 1 Nr. 3 BDSG beliebig verarbeitet und genutzt werden dürfen. In diesem Zusammenhang aber noch einmal der Hinweis, dass sich insofern noch keine ausdifferenzierte Rechtsprechung findet.
Soweit also die kontextbezogene Werbung von XING nicht über § 28 Abs.1 Satz 1 Nr. 3 BDSG gerechtfertigt ist – was in jedem Fall für die Mitglieder gilt, die eben die Veröffentlichung des Eigenprofils nicht erlaubt haben – ist schließlich noch zu prüfen, ob ausnahmsweise eine gesetzliche Erlaubnistatbestand für die jeweilige Nutzung vorliegt.
IV. Vorliegen eines gesetzlichen Erlaubnistatbestandes
Für die Schaltung der kontextbezogenen Werbung ist allerdings kein Erlaubnistatbestand ersichtlich, der vorliegend greifen könnte.
In diesem Zusammenhang ist ergänzend auch der sogenannte Zweckbindungsgrundsatz zu berücksichtigen, der besagt, dass Daten grundsätzlich nur zu dem Zweck genutzt bzw. sonst wie verarbeitet werden dürfen, zu dem sie erhoben worden sind, es sei denn die Nutzung zu einem anderen Zweck ist gesetzlich zugelassen oder kann auf die Einwilligung des Betroffenen gestützt werden.
Nach den vorgehenden Ausführungen ist demnach festzustellen, dass soweit im Rahmen der kontextbezogenen Werbung personenbezogene Daten herangezogen worden sind, die Werbeschaltung von XING gegen Datenschutzrecht verstößt. Bereits die Tatsache, dass keinerlei Informationen seitens XING gegeben worden sind, ob bzw. inwieweit Profildaten zur Schaltung der Werbeanzeigen herangezogen worden sind, zeigt bereits die Intransparenz des Vorgehens.
In diesem Zusammenhang aber noch einmal der klare Hinweis, dass das gefundene Ergebnis nur gilt, wenn die geschaltete Werbung tatsächlich von einzelnen Profildaten des besuchenden oder des besuchten Mitglieds abhängig war. Soweit seitens XING keine personenbezogenen Daten in Form eines Targetings verwandt worden sind, können zumindest datenschutzrechtliche Bedenken wohl nicht hinreichend fundiert werden.
Die unzureichende Informationspolitik bzw. mögliche andere rechtliche Implikationen – wie die Möglichkeit einer Mitstörerhaftung – stehen auf einem anderen Blatt.
V. Zusammenfassung
Soweit also im Rahmen einer kontextbezogenen Werbeschaltung von XING auf entsprechende Profildaten zugegriffen worden ist, um eben die zielgenaue Ansprache des besuchenden Basis-Mitgliedes zu ermöglichen, so so lässt sich – auch wenn gerade im datenschutzrechtlichen Bereich noch einige Fragen nicht abschließend gerichtlich geklärt sind – mit guten Argumenten vertreten, dass darin mangels entsprechender Einwilligung ein Verstoß gegen das Datenschutzrecht vorliegt. Während eine Opt-In Regelung mit entsprechender Aufklärung noch als ausreichende Einwilligung hätte gewertet werden können, hätte auch die nachgereichte Opt-Out Funktion wohl nichts an der Rechtswidrigkeit kontextbezogener Werbung geändert.
Das Beispiel von XING bzw. die nachfolgende Diskussion zeigen auch für andere Social-Networks, dass bei den nachvollziehbaren Versuchen der Monetarisierung datenschutzrechtliche Belange der Mitglieder in hohen Maße berücksichtigt werden sollten. Nutzer erstellen auf den Netzwerken über sich freiwillig umfangreiche Persönlichkeitsprofile und offenbaren besondere Arten personenbezogener Daten. Auch auf den Foren hinterlassen diese dauerhafte Datenspuren. Im Gegensatz zu dem Businessnetzwerk XING bergen andere Social-Networks wie studiVZ, schülerVZ noch darüber hinausgehende Risiken. Nutzer hinterlassen umfangreiches Bildmaterial in Fotoalben und verzichten teilweise auf ihr Recht am eigenen Bild beim Verlinken von Fotos durch Dritte.
Allgemein ist gerade bei jungen Menschen eine gewisse Unbekümmertheit beim Datenschutz festzustellen. Nachdem zwischenzeitlich ein Großteil der Personaler bei entsprechenden Bewerbungen unter anderem bei Google oder bei anderen Suchmaschinen wie yasni recherchiert, können sich solche Daten gerade im Rahmen einer möglichen späteren Bewerbung rächen.
In diesem Sinne kann Nutzern nur geraten werden, solche sozialen Netzwerke im Internet, die sicherlich gerade zum Netzwerken einen hohen Mehrwert bieten, auch mit einem datenschutzrechtlichen Auge zu betrachten und in diesen Bereichen die notwendige Sensibilität an den Tag zu legen.
Betreiber solcher Plattformen sollten aus den aktuellen Geschichten von XING und studiVZ den Schluss ziehen, sich frühzeitig über entsprechende Monetarisierungsmodelle bzw. die konkrete Umsetzung Gedanken zu machen und ein transparentes Modell zu entwerfen, dass rechtlich sauber umgesetzt werden kann und darüber dann auch die Mitglieder rechtzeitig und umfassend zu informieren.
Hallo Herr Kollege!
Die Ausführungen sind inhaltlich IMHO gut vertretbar.
Um in den Anwendungsbereich des BDSG zu kommen, müsste man allerdings erst das TMG zu Ende geprüft haben, da es als bereichsspezifische Vorschrift vorrangig ist. Dies gilt umso mehr, da möglicherweise in § 15 Abs. 3 TMG eine abschließende Regelung getroffen wurde, mit der man sich dann auseinandersetzen muss. In der Praxis agiert man im Verhältnis Diensteanbieter-AdServer-Betreiber dann eben häufig auch mit der Auftragsdatenverarbeitung, um sich dieses Problem zu entledigen. Das Problem wird leider nicht angesprochen. Im Ergebnis müsste man dann nämlich § 11 BDSG prüfen. Für eine solche Prüfung fehlt es aber naturgemäß an hinreichenden Informationen von dem Verhältnis zwischen XING und Ad-Company.
Ob eine Auftragsdatenverarbeitung möglicherweise schon wegen des möglichen Vorliegens einer Funktionsübertragung in Betracht kommt, ist ebenfalls eine offene Frage.
Ich glaube nicht, dass man mit den derzeit öffentlich vorhandenen Informationen eine Prüfung wird durchführen können.
Die Ausführungen zu § 28 Abs. 1 Nr. 3 BDSG sind sicher vertretbar. Die Tendenz in der Rechtsprechung dürfte aber eine andere sein – das ist aber eine eher subjektive Empfindung meinerseits.
Interessanter Beitrag jedenfalls.
Hallo Herr Kollege,
vielen Dank für Ihren Kommentar.
Ich gebe Ihnen natürlich recht, dass man die Sache noch besser beurteilen könnte, wenn man die Details der Datenverarbeitung bei XING kennen würde.
Da die Frage der Zulässigkeit der Werbung auf den Profilseiten aber offensichtlich von allgemeinem Interesse zu sein scheint, habe ich mich auf Grundlage der verfügbaren Informationen der Sache angenommen und bin eben zu dem mitgeteilten Ergebnis gekommen, dass man meines Erachtens gut vertreten kann.
Den § 15 Abs.3 TMG habe ich im Rahmen der Prüfung natürlich berücksichtig, bin aber zu dem Ergebnis gekommen, dass diese Regelung vorliegend nicht eingreift.
MfG
Carsten Ulbricht
Absolut nachvollziehbar. Und ich halte das Ergebnis in Anbetracht der spärlichen Informationsbasis auch für vertretbar.
Ich glaube aber, dass der Teufel möglicherweise doch etwas mehr im Detail steckt. Insoweit sind wir uns aber wohl einig. Also kein Dissens 😉
Das Bild oben ist leider übelsverwschen. Bitte das nächste mal mit höherer Qualität speichern (auch im Web soll es lesbar sein) oder, falls Jpeg zu groß wird, bei so wenigen Farben .gif versuchen.
Liebe Mitmenschen
diese Seite ist gut gelungen und der Inhalt wuderbar verständlich. Nächstes Mal bitte eine größere Schrift da man sie kaum lesen kann. Die Schrift ist zu klein