Urteile zu Datenschutzanforderungen in sozialen Netzwerken

Neben dem Betrieb einer eigenen Firmenhomepage sind viele Unternehmen auch in sozialen Netzwerken aktiv, um Werbung zu betreiben und die angebotenen Leistungen bzw. Produkte bekannter zu machen. Aus Datenschutzsicht gibt es hier allerdings einige Stolpersteine, die Verantwortliche beachten müssen. Der Betrieb von Social Media Seiten wie Facebook-Fanpages ist datenschutzrechtlich kritisch zu betrachten, da die großen Anbieter häufig gegen die Vorgaben der DS-GVO verstoßen und einen datenschutzkonformen Betrieb damit quasi unmöglich machen.

Vor diesem Hintergrund ist es nicht verwunderlich, dass das Thema Social Media bereits mehrfach Gegenstand einer Gerichtsverhandlung war:

Die Betreiber einer Fanpage auf Facebook sind zusammen mit Facebook gemeinsame Verantwortliche für die Verarbeitung der personenbezogenen Daten. D. h., dass beide für die Einhaltung des Datenschutzes verantwortlich sind. Diese Ansicht hat die Datenschutzkonferenz (DSK) mit ihrem Beschluss vom 05.09.2018 bestätigt und festgestellt, dass es sich um eine gemeinsame Verantwortlichkeit gem. Art 26 DS-GVO handelt.

(Az.: C-210/16)

Fallbeschreibung

Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) ordnete im Jahr 2011 ein privates Bildungsunternehmen an, seine Facebook-Seite zu deaktivieren. Das ULD begründete die Anordnung damit, dass Datenverarbeitungen beim Aufruf der Fanpage gegen Vorgaben des TMG verstoßen würden. Zum einen findet nach Ansicht der Behörde eine unzulässige Zusammenführung von Daten statt und zum anderen wird dem Nutzer keine Widerspruchsmöglichkeit für die Datenverarbeitung zu Werbezwecken eingeräumt. Für diese Verstöße sei das Unternehmen als Seitenbetreiber mitverantwortlich. Nachdem ein Widerspruch gegen den Bescheid gescheitert war, erhob das Unternehmen Klage.

Entscheidung des OVG Schleswig

Die Klage des Unternehmens hatte im ersten Verfahren vor dem Verwaltungsgericht sowie in folgenden Berufungs- und Revisionsverfahren zunächst Erfolg und der Bescheid des ULD wurde aufgehoben. Nach einer Vorabentscheidung des Europäischen Gerichtshofes (EuGH) zur Verantwortlichkeit beim Betrieb von Facebook-Fanpages gab das Oberverwaltungsgericht Schleswig-Holstein (OVG Schleswig) allerdings dem ULD recht. Für die Verarbeitung von Nutzerdaten zur Erstellung der „Insight“-Statistik, der Zusammenführung der Daten und der Verwendung für Werbezwecke sowie die zweckändernde Verarbeitung von Bestandsdaten der Nutzer(innen) fehlte es an der erforderlichen Einwilligung. Eine Einwilligung hätte bereits deshalb nicht wirksam erteilt werden können, weil Facebook in den Datenschutzverwendungsrichtlinien keine ausreichend konkreten Informationen bereitstellt. Dies stelle zugleich einen Verstoß gegen das Transparenzgebot dar.

Für das Urteil wurde die Rechtslage des Jahres 2011 zugrunde gelegt, das heißt, vor Inkrafttreten der DS-GVO und des TTDSG. Ein Kurzgutachten der Task Force Facebook Fanpages der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK), das die neuen gesetzlichen Regelungen berücksichtigt, hat die Feststellungen des OVG allerdings bestätigt.

(OVG Schleswig, Urteil v. 25.11.2021, Az.: 4 LB 20/13)

Eine in Hamburg tätige Rechtsanwaltskanzlei, darf von sozialen Netzwerken verlangen, ihr personenbezogenes automatisch generiertes Firmenprofil zu löschen. Rechtsgrundlage des Unterlassungsanspruchs sind die §§ 823, 1004 BGB i.V.m. Art. 6 DS-GVO, denn durch die Profile seien schutzwürdige Interessen der Kanzleiinhaberin verletzt.

(Az.: 312 O 372/18)

Das Kammergericht gab dem klagenden Verbraucherverband in vielen von 26 Punkten recht und entschied, dass einige Voreinstellungen zur Privatsphäre in dem sozialen Netzwerk nicht datenschutzkonform sind. Hierzu gehörten eine standardmäßig aktivierte Ortungsfunktion sowie der Zugriff von Suchmaschinen auf Nutzerfeeds. Diese bedürfen der expliziten Einwilligung des Nutzers. Zudem sind einige Klauseln der Geschäftsbedingungen rechtswidrig. Hierzu gehören unter anderem der Vorbehalt, Namen und Profilbilder für kommerzielle Zwecke zu nutzen, die Klarnamenpflicht sowie das Einverständnis mit allen künftigen Datenrichtlinien.

(Az.: 5 U 9/18)

Das Kammergericht erklärte 25 Klauseln in den Nutzungsbedingungen und der Datenschutzerklärung von Google für unwirksam. Die Bestätigung eines Nutzers, die Datenschutzerklärung gelesen zu haben, ist keine Einwilligung. Darüber hinaus verletzten einige der verschachtelten Klauseln auch das Transparenzgebot, denn Datenschutzerklärungen müssen nach der DS-GVO so geschrieben werden, dass sie der durchschnittliche Leser verstehen kann.

(Az.: 23 U 286/13)