Durch einen allzu sorglosen Umgang mit Pinnwänden oder Bild-Verlinkungen landen oft auch sehr private Informationen in der Öffentlichkeit des Netzes. Nutzer von Facebook und Co. sollten deshalb künftig für ihre Aktivitäten auch selbst datenschutzrechtlich haftbar gemacht werden können - die gesetzlichen Grundlagen existieren bereits. Von Florian Albrecht und Marc Maisch.
Das deutsche Datenschutzrecht gilt nicht nur für den Staat, sondern unter zwei Voraussetzungen auch für "nicht-öffentliche Stellen", § 1 Abs. 2 Nr. 3 Bundesdatenschutzgesetz (BDSG): Einerseits müssen diese Stellen personenbezogene Daten unter Einsatz von Datenverarbeitungsanlagen verarbeiten, nutzen oder dafür erheben; andererseits dürfen die relevanten Daten nicht aus automatisierten Dateien stammen.
Eine Ausnahme besteht dabei für den Umgang mit Daten, der ausschließlich für persönliche oder familiäre Tätigkeiten erfolgt. Hieraus wird allzu oft geschlossen, dass jegliche Form der privaten Betätigung im Internet der datenschutzrechtlichen Kontrolle entzogen ist. Allerdings hat der EuGH bereits im Jahr 2003 entschieden, dass die zugrunde liegende Richtlinie so zu verstehen ist, dass mit ihr nur Tätigkeiten gemeint sind, die zum Privat- oder Familienleben von Einzelpersonen gehören.
Dies ist nach Ansicht der Luxemburger Richter offensichtlich nicht der Fall, wenn personenbezogene Daten in der Art und Weise verarbeitet werden, dass sie mittels des Internets veröffentlicht und so einer unbegrenzte Zahl von Personen zugänglich gemacht werden.
Im Netz werden Privatpersonen zur verantwortlichen Stelle
Nun kann man kaum bezweifeln, dass es sich bei der Veröffentlichung personenbezogener Daten über Dritte in sozialen Netzwerken um einen grundsätzlich datenschutzrechtlich relevanten Vorgang handelt. Auch ist der Einwand abwegig, dass es sich bei den Nutzern nicht um solche Stellen handelt, die datenschutzrechtlich in Anspruch genommen werden können (§ 3 Abs. 7 BDSG ).
Tatsächlich trifft die datenschutzrechtliche Verantwortung nämlich "jede Person oder Stelle, die personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen lässt". Die Begriffsbestimmung stellt also nicht darauf ab, wo die Daten letztendlich gespeichert werden - im Fall der sozialen Netzwerke etwa auf dem Server von Facebook. Vielmehr sind diejenigen Träger von datenschutzrechtlichen Rechten und Pflichten, die irgendeinen Nutzen aus der Datenverarbeitung ziehen.
Ein solcher Nutzen spiegelt sich in soziale Netzwerken durch etliche Funktionen für Nutzer wider, die es diesem erlauben, personenbezogene Daten Dritter zu erheben und zu verarbeiten. So können Im Rahmen des so genannten Taggings beliebige Inhalte wie etwa Personenabbildungen regelmäßig ohne Einwilligung des Betroffenen mit diesem verlinkt werden.
Ebenso kann der Nutzer Facebook erlauben, umfangreiche Kontaktdaten Dritter aus seinen iPhone- und E-Mail-Adressbüchern auszulesen, um die Einladung neuer Mitglieder komfortabler zu gestalten. Ferner ermöglichen Kommentarfunktionen wie etwa der Like-Button, und personenbezogene "Pinnwände" dem Nutzer, zahlreiche Einzelangaben über persönliche und sachliche Verhältnisse einem Betroffenen zuzuordnen.
Soziale Netzwerke gehören zum Bereich der Netzöffentlichkeit
Unter Berücksichtigung der EuGH-Rechtsprechung muss das datenschutzrechtliche Schutzkonzept - richtig angewandt - bereits dann greifen, wenn personenbezogene Daten der individuellen Ebene enthoben und grundrechtliche Belange unbeteiligter Dritte berührt werden. Keine Rolle kann dabei spielen, ob Daten privat und beruflich genutzt werden; diese Differenzierung nehmen auch die Luxemburger Richter nicht vor. Ausreichend wäre, dass der Betreffende mit seiner datenschutzrechtlich relevanten Handlung den (engsten) Freundes- oder Bekanntenkreis verlässt.
Bei sozialen Netzwerken ist allerdings fraglich, ob die Veröffentlichung von Informationen in der Weise erfolgt, dass diese einer unbegrenzten Zahl von Personen zur Verfügung gestellt, also für jedermann zugänglich werden. Hierfür spricht zum einen, dass es sich bei solchen Diensten um Massenanwendungen handelt, die dem Bereich der Netzöffentlichkeit zugerechnet werden können.
Zum anderen ist der Zugang zu diesen Angeboten regelmäßig nicht so reglementiert. Anders als bei bestimmten geschlossenen Nutzergruppen bestehen damit keine echten Hürden, die ein Zugangshindernis zu den entsprechenden Informationen darstellen könnten.
Regelungsregime des Datenschutzrechts hätte erhebliche Auswirkungen
Überdies ist die alleinige Verortung der datenschutzrechtlichen Verantwortung bei den Betreibern sozialer Netzwerke nicht mehr mit der im Internet vorzufindenden Realität vereinbar, die oftmals von Sorglosigkeit und Rücksichtslosigkeit geprägt ist. Zu Recht wird daher von den Mitgliedern sozialer Netzwerke mehr Medienkompetenz sowie ein erhöhtes Bewusstsein für die Belange des Datenschutzrechts gefordert.
Allerdings hätte eine Geltung des Regelungsregimes des Datenschutzrechts für private Nutzer von sozialen Netzwerken erhebliche Auswirkungen: Für die Betreffenden gälte dann das datenschutzrechtliche Verbot mit Erlaubnisvorbehalt, das einen datenschutzrechtlichen Umgang mit personenbezogenen Daten grundsätzlich vom Vorliegen einer gesetzlichen Ermächtigung oder Einwilligung des Betroffenen abhängig macht. Weil einschlägige Erlaubnisnormen nicht exisitieren, dürfte so schon die Übermittlung personenbezogener Daten dritter Personen in ein soziales Netzwerk - etwa durch einen Pinnwand-Eintrag - zum datenschutzrechtlichen Problem werden.
Selbst wenn die Hürde des Verbots mit Erlaubnisvorbehalt genommen werden kann, müssten zudem umfangreiche Rechte des Betroffenen auf Berichtigung, Löschung und Sperrung ihrer personenbezogenen Daten berücksichtigt werden. Man muss kein Prophet sein, um vorauszusagen, dass das den "Otto-Normal-Nutzer" leicht überfordern würde - von einem möglichen Auskunftsverlangen eines Betroffenen über seine Daten ganz zu schweigen (§ 34 BDSG).
Florian Albrecht, M.A., ist Akademischer Rat a.Z. an der Universität Passau sowie Geschäftsführer der von Prof. Dr. Dirk Heckmann geleiteten Forschungsstelle für IT-Recht und Netzpolitik und Verfasser zahlreicher Publikationen zum Datenschutz- und Internetrecht.
Michael Marc Maisch ist wissenschaftlicher Mitarbeiter und Doktorand am Lehrstuhl für Öffentliches Recht, Sicherheitsrecht und Internetrecht (Prof. Dr. Dirk Heckmann) an der Universität Passau und Verfasser zahlreicher Publikationen zum Datenschutz- und Internetrecht.
Der Beitrag gibt ausschließlich die persönliche Meinung der Verfasser wieder.
Mehr auf LTO.de:
Like-Button von Facebook: Personenbezogene Daten – gefällt mir (nicht)!
Datenschutz bei Google Analytics: Kritik an digitalen Fährtenlesern
EU-Datenschutz: Digitaler Radiergummi für soziale Netzwerke
Marc Maisch und Florian Albrecht, Datenschutz in sozialen Netzwerken: . In: Legal Tribune Online, 05.07.2011 , https://www.lto.de/persistent/a_id/3661 (abgerufen am: 01.12.2024 )
Infos zum Zitiervorschlag