Urteile zu Datenschutzanforderungen in sozialen Netzwerken

Neben dem Betrieb einer eigenen Firmenhomepage sind viele Unternehmen auch in sozialen Netzwerken aktiv, um Werbung zu betreiben und die angebotenen Leistungen bzw. Produkte bekannter zu machen. Aus Datenschutzsicht gibt es hier allerdings einige Stolpersteine, die Verantwortliche beachten müssen. Der Betrieb von Social Media Seiten wie Facebook-Fanpages ist datenschutzrechtlich kritisch zu betrachten, da die großen Anbieter häufig gegen die Vorgaben der DS-GVO verstoßen und einen datenschutzkonformen Betrieb damit quasi unmöglich machen.

Vor diesem Hintergrund ist es nicht verwunderlich, dass das Thema Social Media bereits mehrfach Gegenstand einer Gerichtsverhandlung war:

Die Betreiber einer Fanpage auf Facebook sind zusammen mit Facebook gemeinsame Verantwortliche für die Verarbeitung der personenbezogenen Daten. D. h., dass beide für die Einhaltung des Datenschutzes verantwortlich sind. Diese Ansicht hat die Datenschutzkonferenz (DSK) mit ihrem Beschluss vom 05.09.2018 bestätigt und festgestellt, dass es sich um eine gemeinsame Verantwortlichkeit gem. Art 26 DS-GVO handelt.

Eine in Hamburg tätige Rechtsanwaltskanzlei, darf von sozialen Netzwerken verlangen, ihr personenbezogenes automatisch generiertes Firmenprofil zu löschen. Rechtsgrundlage des Unterlassungsanspruchs sind die §§ 823, 1004 BGB i.V.m. Art. 6 DS-GVO, denn durch die Profile seien schutzwürdige Interessen der Kanzleiinhaberin verletzt.

Das Kammergericht gab dem klagenden Verbraucherverband in vielen von 26 Punkten recht und entschied, dass einige Voreinstellungen zur Privatsphäre in dem sozialen Netzwerk nicht datenschutzkonform sind. Hierzu gehörten eine standardmäßig aktivierte Ortungsfunktion sowie der Zugriff von Suchmaschinen auf Nutzerfeeds. Diese bedürfen der expliziten Einwilligung des Nutzers. Zudem sind einige Klauseln der Geschäftsbedingungen rechtswidrig. Hierzu gehören unter anderem der Vorbehalt, Namen und Profilbilder für kommerzielle Zwecke zu nutzen, die Klarnamenpflicht sowie das Einverständnis mit allen künftigen Datenrichtlinien.

Das Kammergericht erklärte 25 Klauseln in den Nutzungsbedingungen und der Datenschutzerklärung von Google für unwirksam. Die Bestätigung eines Nutzers, die Datenschutzerklärung gelesen zu haben, ist keine Einwilligung. Darüber hinaus verletzten einige der verschachtelten Klauseln auch das Transparenzgebot, denn Datenschutzerklärungen müssen nach der DS-GVO so geschrieben werden, dass sie der durchschnittliche Leser verstehen kann.