Datenschutz in sozialen Netzwerken

Beschluss des Düsseldorfer Kreises vom 08.12.2011.

In seinem Beschluss stellte der Düsseldorfer Kreis klar, dass Betreiber von sozialen Netzwerken das Datenschutzrecht in Deutschland beachten müssen. Dies gilt auch für Betreiber des europäischen Wirtschaftsraumes. Zumindest gilt dies hinsichtlich der Daten von Betroffenen in Deutschland gemäß § 1 Abs. 5 Satz 2 BDSG, soweit die Betreiber ihre Datenerhebungen durch Rückgriff auf Rechner von Nutzerinnen und Nutzern in Deutschland realisieren. Nach dem Beschluss des Düsseldorfer Kreises müssen Betreiber von sozialen Netzwerken folgende Rechtmäßigkeitsanforderungen erfüllen, wenn sie in Deutschland aktiv sind:

  1. Es muss eine leicht zugängliche und verständlichen Hinweis über die Information gegeben werden, welche Daten erhoben werden und für welchen Zweck diese erhoben und verarbeitet werden. Nur so kann das Recht auf informationelle Selbstbestimmung gewahrt werden. Grundsätzlich müssen die Voreinstellungen des Netzwerkes auf dem Einwilligungsprinzip beruhen.
  2. Es soll eine möglichst einfache Möglichkeit der Betroffenen geben, ihre Ansprüche auf Auskunft, Berichtigung und Löschung der Daten geltend zu machen. Insofern sind entsprechende Kontaktdaten leicht auffindbar und für die Betroffenen bereit zu halten.
  3. Die Verwertung von Fotos zu Zwecken der Gesichtserkennung bzw. das Speichern und Verwenden biometrischer Gesichtserkennungsmerkmale sind ohne ausdrückliche und bestätigte Einwilligung des Betroffenen unzulässig.
  4. Das Telemediengesetz erfordert jedenfalls pseudonyme Nutzungsmöglichkeiten in sozialen Netzwerken. Im Hinblick auf Nutzungsdaten enthält es, sofern keine diesbezügliche Einwilligung vorliegt, ein Verbot der personenbeziehbaren Profilbildung und die Verpflichtung, nach Beendigung der Mitgliedschaft sämtliche Daten zu löschen.
  5. Das direkte Einbinden von Social Plugins wie Facebook, Twitter etc. in Webseiten deutscher Anbieter, wodurch eine Datenübertragung den jeweiligen Anbieter der Social Plugins ausgelöst wird, ist ohne hinreichende Information der Internetnutzerinnen und Nutzer und ohne ihnen die Möglichkeit zu geben, die Datenübertragung zu unterbinden, unzulässig.
  6. Die großen Mengen teils auch sehr sensibler Daten, die in sozialen Netzwerken anfallen, sind durch geeignete technische-organisatorische Maßnahmen zu schützen. Der Nachweis, dass entsprechende Maßnahmen getroffen worden sind, obliegt den Anbietern.
  7. Daten von Minderjährigen sind insbesondere zu schützen. Informationen über die Verarbeitung von Daten müssen somit auch für Minderjährige leicht verständlich sein und auf dem Empfängerhorizont der Minderjährigen Rücksicht nehmen.
  8. Betreiber, die außerhalb des europäischen Wirtschaftsraumes ansässig sind, müssen gemäß § 1 Abs. 12 Satz 3 BDSG einen Inlandsvertreter bestellen, der Ansprechperson für die Datenschutzaufsicht ist.
  9. Darüber hinaus gilt für in Deutschland ansässige Unternehmen, welche für das Einbinden von Social Plugins eines Netzwerkes auf sich aufmerksam machen möchten oder sich mit entsprechenden Fanpages im Netzwerk präsentieren, dass dieses eine eigene Verantwortung hinsichtlich der Daten von Nutzern und Nuterzinnen haben. Zuvor müssen Erklärungen eingeholt werden, die eine Verarbeitung von Daten der Nutzerinnen und Nutzer durch den Betreiber des sozialen Netzwerkes rechtfertigen können. Nach Ansicht des Düsseldorfer Kreises sind solche Erklärungen lediglich dann rechtswirksam, wenn verlässliche Informationen über die von dem Netzwerkbetreiber zur Verfügung gestellten Daten und den Zweck der Erhebung der Daten durch den Netzbetreiber gegeben werden können.

Nach Ansicht des Düsseldorfer Kreises können Webseitenbetreiber, die in der Regel keinerlei Kenntnisse über die Datenverarbeitungsvorgänge haben, die beispielsweise durch Social Plugins ausgelöst werden, für eventuelle Rechtsverstöße haftbar gemacht werden. Zumindest laufen entsprechende Seitenbetreiber Gefahr, dass sie hier selbst Rechtsverstöße begehen, dadurch dass sie auf ihren eigenen Seiten entsprechend Social Plugins anbieten. Desweiteren dürfen die Anbieter deutscher Internetseiten, die nicht über den Überblick über die durch einen Plugin mögliche Datenverarbeitung haben, nicht ohne weiteres in ihr eigenes Angebot einbinden.