Datenverarbeitung in sozialen Netzwerken E-Book

Inauguraldissertation zur Erlangung des akademischen Grades eines Doktors der Rechte durch die Juristische Fakultät der Ruhr-Universität Bochum

Dekan: Prof. Dr. Stefan Huster Erstgutachter: Prof. Dr. Georg Borges Zweitgutachter: Jun.-Prof. Dr. Frank Rosenkranz Tag der mündlichen Prüfung: 16. Juli 2018

ISBN 978-3-8005-1682-7

© 2019 Deutscher Fachverlag GmbH, Fachmedien Recht und Wirtschaft, Frankfurt am MainDas Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Jede Verwertung außerhalb der engen Grenzen des Urheberrechtsgesetzes ist ohne Zustimmung des Verlages unzulässig und strafbar. Das gilt insbesondere für Vervielfältigungen, Bearbeitungen, Übersetzungen, Mikroverfilmungen und die Einspeicherung und Verarbeitung in elektronischen Systemen.

Druck: WIRmachenDRUCK GmbH, Backnang

Printed in Germany

Vorwort

Nie hat der Datenschutz die öffentliche Diskussion derart belebt wie im Jahr 2018. Obwohl die Datenschutz-Grundverordnung gegenüber der Datenschutzrichtlinie kaum bahnbrechende Neuerungen einführt, markiert ihr Geltungsbeginn zugleich den Zeitpunkt, in welchem Unternehmen und Behörden, Politik und Wissenschaft plötzlich in eine tiefe Auseinandersetzung mit grundlegenden Fragen der Schutzbedürftigkeit personenbezogener Daten gestürzt wurden. Diese Sensibilisierung für das Thema treibt auch irrwitzige Blüten: In Fotoalben eines Kindergartens wurden Gesichter geschwärzt, in Wien sollten 220.000 Mieter den Namen an ihrem Klingelschild verlieren, und die EU-Kommission schaltete sich bei der Frage ein, wie ein Wunschzettel am Weihnachtsbaum der fränkischen Stadt Roth auszusehen hat. Derlei Mythenbildung schadet dem öffentlichen Ansehen des Datenschutzes erheblich und scheint das Resultat jahrzehntelanger Ignoranz eines sich durch Vollzugsdefizite auszeichnenden Rechtsgebietes zu sein.

Soziale Netzwerke, inzwischen seit über einem Jahrzehnt aus dem Alltag nicht mehr wegzudenken, sind qua natura mit dem Themenkomplex „Privatsphäre & Datenschutz“ verknüpft. Es vergeht keine Sekunde, in der nicht abertausende Statusupdates, Kommentare und Nachrichten rund um den Globus abgesendet werden. Den Betreibern dieser Dienste vertrauen wir bereitwillig zahlreiche Informationen an, die häufig nicht einmal unsere engsten Freunde kennen. Zugleich sind wir aber auch selbst Verarbeiter, die Daten über unsere Erlebnisse, unsere Gedanken und anderes in sozialen Netzwerken publizieren. Die rechtspolitische Diskussion von sozialen Netzwerken ist geprägt von einem dichotomischen Weltbild: Auf der einen Seite die „bösen Datensammler“, auf der anderen Seite die harmlosen Internetnutzer. Dazwischen stand lange Zeit ein scheinbar anachronistisches Datenschutzrecht, welches mit der Datenschutz-Grundverordnung grundlegend reformiert wurde.

Die Nutzer werden in dieser Diskussion meist nicht in den Fokus genommen. Dabei sind sie es, die durch ihre – zum Teil unbewussten oder nicht hinterfragten – Handlungen dazu beitragen, dass die Daten von den Internetgiganten der heutigen Zeit überhaupt gesammelt werden können. Auch wenn das Datenschutzrecht eine Ausnahme für rein privates Handeln macht: Datenschutz beginnt nicht dort, wo das Kind längst in den Brunnen gefallen ist, sondern dort, wo ein Nutzer durch Eingabe fremder Daten erstmals in die informationelle Selbstbestimmung eines anderen eingreift. Das Erkennen der Reichweite des eigenen Handelns setzt freilich eine Datenumgangskompetenz voraus, die vielen Nutzern fehlt.

Die bisherige Diskussion gleicht jedoch, auch soweit explizit soziale Netzwerke beleuchtet werden, einem Stochern im Nebel: Welches Recht auf wen Anwendung findet, wer für welche Tätigkeiten der Verantwortliche ist, und unter welchen Bedingungen eine Verarbeitung rechtmäßig möglich ist, wird regelmäßig pauschal – mit unterschiedlichen Ergebnissen – beantwortet. Eine differenzierte Auseinandersetzung anhand von beteiligten Akteuren, Funktionen und typischen Einsatzszenarien fehlt bislang. Daneben stellen sich infolge der Datenschutzreform zahlreiche weitere, neue Fragen. Marktortprinzip, Kopplungsverbot, Joint Controllership, Privacy by Default, Data Portability: Dies sind einige Schlagworte, die im Zusammenhang mit der Datenschutz-Grundverordnung und sozialen Netzwerken häufig fallen. Die vorliegende Arbeit analysiert die Handlungen von Netzwerkbetreibern, Fansite-Betreibern und Nutzern in sozialen Netzwerken und versucht, gleichermaßen Voraussetzungen wie praxistaugliche Lösungen für eine rechtmäßige Verarbeitung unter Geltung der Datenschutz-Grundverordnung aufzuzeigen.

Im wesentlichen Schaffenszeitraum des vorliegenden Werkes existierte noch keine Gesetzeskommentierung zur Datenschutz-Grundverordnung. In der Zwischenzeit hat sich dies gewandelt; eine beinahe unüberschaubare Zahl an Kommentaren und Handbüchern zum neuen Datenschutzrecht füllen Universitäts- und Kanzleibibliotheken, und auch deutscher und europäischer Gesetzgeber arbeiten weiter am „Flickenteppich Datenschutz“, der in den kommenden Jahren weiter für intensive Diskussionen sorgen wird. Für die vorliegende Druckfassung konnte der Gesetzes- und Literaturstand zum Sommer 2018 Berücksichtigung finden.

Mein Dank gilt zunächst meinem Doktorvater, Herrn Prof. Dr. Georg Borges, der Anregungen zu dem Thema gab und durch seine konstruktiven Denkanstöße wesentlich zur Qualität dieser Arbeit beitrug. Auch danke ich Herrn Jun.-Prof. Dr. Frank Rosenkranz für die zügige Erstellung des Zweitgutachtens. Ferner bedanke ich mich bei meinen ehemaligen Arbeitskollegen aus GC 7/29, die durch zahlreiche juristische und nicht-juristische Diskussionen zur Vollendung dieser Arbeit beigetragen haben. Darüber hinaus möchte ich – ohne an dieser Stelle einzelne Personen hervorzuheben – alten und neuen Kontakten danken, welche mich in schwierigen Situationen der letzten Zeit in verschiedener Hinsicht unterstützten.

Besonderer Dank gilt schließlich meinen Eltern, Dagmar und Klaus Golland, die in jeder erdenklichen Art und Weise meine Ausbildung nachdrücklich gefördert haben, und ohne die ein solches Werk wie das Vorliegende nicht möglich gewesen wäre. Ihnen ist diese Arbeit gewidmet.

Düsseldorf, im November 2018

Alexander Golland

Inhaltsübersicht

Inhaltsverzeichnis

Abkürzungsverzeichnis

§ 1 Einleitung

Kap. 1 Grundlagen sozialer Netzwerke und rechtlicher Rahmen

§ 2 Die Nutzung sozialer Netzwerke

§ 3 Normative Grundlagen des Datenschutzrechts

Kap. 2 Schutzbereich der Datenschutz-Grundverordnung

§ 4 Die Verarbeitung personenbezogener Daten

§ 5 Territorialer Geltungsanspruch der DSGVO

Kap. 3 Verantwortlichkeit für den Datenumgang in sozialen Netzwerken

§ 6 Der „für die Verarbeitung Verantwortliche“ in der DSGVO

§ 7 Verantwortlichkeit für die durch den Nutzer initiierten Handlungen

§ 8 Verantwortlichkeit für die durch den Fansite-Betreiber initiierten Handlungen

§ 9 Verantwortlichkeit für die durch den Netzwerkbetreiber initiierten Handlungen

Kap. 4 Zulässigkeit des Datenumgangs in sozialen Netzwerken

§ 10 Grundlagen der Rechtmäßigkeit des Datenumgangs

§ 11 Verantwortungsbereich des Nutzers

§ 12 Verantwortungsbereich des Fansite-Betreibers

§ 13 Verantwortungsbereich des Netzwerkbetreibers

§ 14 Die Interessenabwägung nach Art. 6 Abs. 1 Satz 1 lit. f DSGVO. Versuch einer Entscheidungsmatrix

Kap. 5 Weitere Anforderungen mit spezifischer Relevanz für soziale Netzwerke

§ 15 Gebot der Datenminimierung

§ 16 Datenübertragbarkeit

§ 17 Datenlöschung

Kap. 6 Zusammenfassung der Ergebnisse und Ausblick

Literaturverzeichnis

Lebenslauf

Inhaltsverzeichnis

Deckblatt

Titel

Impressum

Vorwort

Inhaltsübersicht

Inhaltsverzeichnis

Abkürzungsverzeichnis

§ 1 Einleitung

I. Soziale Netzwerke – das Ende der Privatsphäre?

II. Gegenstand und Gang der Untersuchung

Kap. 1 Grundlagen sozialer Netzwerke und rechtlicher Rahmen

§ 2 Die Nutzung sozialer Netzwerke

I. Definition des sozialen Netzwerks

II. Arten sozialer Netzwerke

III. Beteiligte und Funktionen

1. Natürliche Person als Nutzer

a) Profilseite

b) Kontakte

c) Statusupdates und Verlinkungen

d) Kommentare, vereinfachte Nutzerreaktionen, Weiterverbreitung fremder Beiträge

e) Gruppen und Veranstaltungen

f) Nachrichten

2. Fansite-Betreiber

a) Grundlagen

b) Funktionen

c) Motivation

3. Netzwerk-Betreiber

a) Betrieb des sozialen Netzwerks

b) Wertschöpfungsmodelle

c) Datensammlung außerhalb des Netzwerks

IV. Motive und Risiken der privaten Nutzung sozialer Netzwerke

1. Nutzungsmotivation

2. Nutzungsrisiken

a) Preisgabe von Daten

b) Social Engineering, Angriffe und Data Breaches

c) Emotionales Befinden

§ 3 Normative Grundlagen des Datenschutzrechts

I. Verfassungsrechtliche Vorgaben

II. Bundesdatenschutzgesetz und Datenschutz-Grundverordnung

1. Geschichte des Bundesdatenschutzgesetzes

2. Die Europäische Datenschutz-Grundverordnung

3. Reformbedarf in Deutschland

III. Exkurs: Spezialgesetzlicher Datenschutz

1. Das dreistufige Schichtenmodell des deutschen Datenschutzrechts vor Geltung der DSGVO

2. Telekommunikationsrecht

a) Anwendbarkeit des TKG

b) Soziale Netzwerke als Kommunikationsdienste

c) Verbleibender Regelungsumfang der DSGVO

d) Ergebnis

3. Telemedienrecht

a) Problemstellung

b) Vorrang der DSGVO

c) Ergebnis

Kap. 2 Schutzbereich der Datenschutz-Grundverordnung

§ 4 Die Verarbeitung personenbezogener Daten

I. Verarbeitung

II. Der Begriff des „personenbezogenen Datums“

1. Informationen

2. Personenbezug

3. Identifizierbarkeit der Person

a) Identifiziert oder identifizierbar

b) Grenzen der abstrakten Identifizierbarkeit

aa) Problemstellung

bb) Stellungnahme

c) Perspektive der Identifizierbarkeit

aa) Ausgangspunkt: Wortlaut des Erwägungsgrunds 26

bb) Streitstand

cc) Stellungnahme

d) Berücksichtigungsfähigkeit weiterer Erkenntnismöglichkeiten

aa) Wissen Dritter

bb) Beschaffung von Zusatzwissen über das Internet

cc) Künftige Erkenntnismöglichkeiten

4. Zusammenfassung: Personenbezug von Daten

III. Personenbezug typischer in sozialen Netzwerken anfallenden Daten

1. Erfordernis der Gesamtbetrachtung

2. (Nutzer-)Name

a) Der bürgerliche Name

b) Virtuelle Identitäten als Schutzobjekt der DSGVO

aa) Mittelbarer Schutz von Nutzernamen

bb) Unmittelbarer Schutz von Nutzernamen

cc) Auswirkungen der Relativität des Personenbezugs

3. Statusupdates, Kommentare, Nachrichten, vereinfachte Kommunikation und Verlinkungen

a) Betrachtete Vorgänge

b) Personenbezug der Daten auf Interaktionsebene

c) Personenbezug der Daten auf semantischer Ebene

d) Personenbezug von Daten im Falle inkongruenter Kontaktkreise mit Schnittmengen

4. Kontakte, Gruppen und Veranstaltungen, Fansites

5. Lichtbilder

6. Verlinkungen

7. Geodaten

8. IP-Adressen

IV. Die Datenverarbeitung zu privaten und familiären Zwecken

1. Anwendbarkeit und der „für die Verarbeitung Verantwortliche“

2. Die private Datenverarbeitung durch den Nutzer

a) Die „Lindqvist“-Entscheidung des EuGH

b) Kriterien der Ausnahmeregelung

aa) Datenverarbeitung zu persönlich-familiären Zwecken

(1) Natürliche Personen

(2) Keine beruflich-kommerzielle Tätigkeit

(3) Weitere Ansichten in der Literatur

(a) Keine Anwendung in sozialen Netzwerken

(b) Differenzierung nach sensiblen/nicht-sensiblen Daten

(c) Differenzierung nach eigenen/fremden Daten

(d) Ausschluss von politischen Zwecken

bb) Datenverarbeitung im persönlich-familiären Umfeld

(1) Stand der Diskussion

(2) Bestimmung einer Obergrenze

(3) Schlussfolgerung

3. Privilegierte Datenverarbeitungsvorgänge

§ 5 Territorialer Geltungsanspruch der DSGVO

I. Das Regelungskonzept des Art. 3 DSGVO

1. Das Verhältnis von Abs. 1 zu Abs. 2

2. Die inkongruenten Anknüpfungspunkte der Niederlassung im Rahmen des Art. 3 DSGVO

3. Zwischenergebnis

II. Die datenschutzrechtlich relevante Niederlassung

1. Bestimmung der Niederlassung

a) Die „Weltimmo“-Entscheidung des EuGH

b) Dogmatische Verortung und Folgerungen

c) Zwischenergebnis

2. Das Betreiben der Datenverarbeitung

3. Niederlassungen der Beteiligten in sozialen Netzwerken

a) Netzwerkbetreiber

b) Nutzer und Fansite-Betreiber

III. Die Ausrichtung auf EU-Bürger

1. Betroffene in der Union

2. Adressierte Zwecke

a) Anbieten von Waren oder Dienstleistungen

b) Verhaltensbeobachtung

3. Die Ausrichtung bei sozialen Netzwerken

IV. Möglichkeit der Rechtswahl?

V. Zusammenfassung

Kap. 3 Verantwortlichkeit für den Datenumgang in sozialen Netzwerken

§ 6 Der „für die Verarbeitung Verantwortliche“ in der DSGVO

I. Bestimmung des für die Verarbeitung Verantwortlichen

1. Anknüpfungspunkt

2. Entscheidung über Zwecke und Mittel der Datenverarbeitung

3. Rechtsträgerprinzip

II. Das Konstrukt der „Gemeinsamen Verantwortlichkeit“

1. Getrennte Betrachtung der jeweiligen Datenverarbeitungsvorgänge

2. Gemeinsame Entscheidung über Zwecke und Mittel der Datenverarbeitung

a) Die Bedeutung des Art. 26 DSGVO

b) Anforderungen an die gemeinsame Entscheidung

aa) Entscheidung über Mittel

bb) Entscheidung über Zwecke

c) Parallelverantwortlichkeit

3. Stellungnahme

III. Keine Verantwortlichkeit des Auftragsverarbeiters

IV. Keine Begründung einer datenschutzrechtlichen Verantwortlichkeit durch „Störerhaftung“

§ 7 Verantwortlichkeit für die durch den Nutzer initiierten Handlungen

I. Registrierung

1. Maßgebliche Fallgruppe

2. Eingabe der Daten

a) Die Grenzziehung zwischen „Erhebung“ und „Offenlegung“

b) Fallgruppen der Dateneingabe

aa) Vorüberlegungen

bb) Parallele Verantwortlichkeit von Nutzer und Betreiber

cc) Eingabeszenarien

(1) Registrierung ohne personenbezogene Daten

(2) Registrierung mit eigenen Daten

(3) Registrierung mit fremden Daten („Identitätsmissbrauch“)

3. Speicherung der eingegebenen Daten

4. Anzeige der eingegebenen Daten

a) Unaufgeforderte Anzeige bei anderen Nutzern

b) Erhalt personenbezogener Daten auf Anfrage

c) Kein Erheben durch den Betroffenen oder Übermitteln an den Betroffenen

d) Zwischenergebnis

5. Zusammenfassung: Datenschutzrechtliche Verantwortlichkeit bei Registrierung in einem sozialen Netzwerk

II. Ausfüllen des Profils

1. Maßgebliche Fallgruppe

2. Eingabe der Daten

3. Speicherung der Profildaten

4. Offenlegung

5. Besonderheiten beim Identitätsmissbrauch

6. Zusammenfassung: Datenschutzrechtliche Verantwortlichkeit beim Ausfüllen des Profils

III. Statusupdates und Weiterverbreitung fremder Beiträge

1. Maßgebliche Fallgruppen

2. Eingabe der Daten

3. Speicherung

a) Verantwortlichkeit des Nutzers

b) Verantwortlichkeit des Netzwerkbetreibers

c) Geltendmachung von Betroffenenrechten bei paralleler Verantwortlichkeit

4. Offenlegung

5. Privilegierung des Nutzers

6. Zusammenfassung: Datenverarbeitungsvorgänge bei Statusupdates und Weiterverbreitung fremder Beiträge

IV. Kommentare, vereinfachte Nutzerreaktionen und Beiträge in Gruppen und Veranstaltungen

1. Maßgebliche Fallgruppen

2. Eingabe der Daten

a) Übermittlung des agierenden Nutzers

b) Erhebung des administrierenden Nutzers

aa) Grundsatz

bb) Ausnahme: Erfragen von Informationen

cc) Rückausnahme: Zusendung nicht erfragter Informationen über unbeteiligte Dritte

3. Speicherung

a) Verantwortlichkeit des Netzwerkbetreibers

b) Verantwortlichkeit des agierenden Nutzers

c) Verantwortlichkeit des administrierenden Nutzers

4. Offenlegung

a) Parallele Verantwortlichkeit von Netzwerkbetreiber und Nutzern

b) Anwendbarkeit des Haushaltsprivilegs

c) Problem der Änderung des Adressatenkreises

aa) Ausschluss des agierenden Nutzers

bb) Erweiterung durch den administrierenden Nutzer

5. Zusammenfassung: Datenschutzrechtliche Verantwortlichkeit für Kommentare und ähnliche Handlungen

V. Nachrichten

1. Maßgebliche Fallgruppe

2. Eingabe der Daten

3. Speichern

4. Offenlegung

VI. Übersicht: Die Verantwortlichkeit für die durch den Nutzer ausgelösten Datenverarbeitungsvorgänge

§ 8 Verantwortlichkeit für die durch den Fansite-Betreiber initiierten Handlungen

I. Aufruf der Fansite

1. Grundsatz

2. Erhebung und Speicherung von Nutzerdaten

II. Statusupdates

III. Beiträge anderer Nutzer auf der Fansite

IV. Nachrichten

V. Reichweitenanalyse

1. Zurverfügungstellung von Analysetools

a) Erheben und Speichern

b) Aggregieren als Datenverarbeitungsvorgang?

2. Nutzung des Tools durch Fansite-Betreiber

VI. Übersicht: Die Verantwortlichkeit für die Datenverarbeitung im Zusammenhang mit Fansites

§ 9 Verantwortlichkeit für die durch den Netzwerkbetreiber initiierten Handlungen

I. Personalisierte Werbung und Social-Media-Analysen

1. Profilbildung

2. Social-Media-Analysen

3. Verantwortungsverteilung

II. Empfehlungen des Netzwerkbetreibers

1. Vorschläge zu Gruppen, Veranstaltungen, Fansites

2. Kontaktvorschläge

III. Schattenprofile

1. Verarbeitungsvorgänge beim Einsatz von Social Plugins

2. Verarbeitungsvorgänge beim Auslesen von Adressbüchern

3. Weitere Verarbeitungsvorgänge

IV. Zusammenfassung: Die originären Verarbeitungsvorgänge des Netzwerkbetreibers

Kap. 4 Zulässigkeit des Datenumgangs in sozialen Netzwerken

§ 10 Grundlagen der Rechtmäßigkeit des Datenumgangs

I. Das Verbot mit Erlaubnisvorbehalt

II. Die Rechtfertigungstatbestände im Einzelnen

1. Einwilligung (Art. 6 Abs. 1 Satz 1 lit. a DSGVO)

a) Informiertheit

b) Freiwilligkeit

c) Einwilligungsfähigkeit

d) Form der Einwilligung

e) Widerruflichkeit

2. Verarbeitung im Rahmen eines Vertragsverhältnisses (Art. 6 Abs. 1 Satz 1 lit. b DSGVO)

3. Wahrnehmung eines berechtigten Interesses (Art. 6 Abs. 1 Satz 1 lit. f DSGVO)

a) Interessenabwägung

b) Prüfungsmaßstab

aa) Problemstellung

bb) Mögliche Lösungsansätze

(1) Subjektive Rechtmäßigkeitsprüfung

(2) Objektive Rechtmäßigkeitsprüfung

cc) Stellungnahme

c) Die Rechtfertigung aus Gründen der Meinungs- und Informationsfreiheit (Art. 17 Abs. 3 lit. a DSGVO)

4. Weitere Zulässigkeitstatbestände des Art. 6 DSGVO

III. Die Verarbeitung „besonderer Kategorien personenbezogener Daten“

1. Problemstellung

2. Lösungsansätze und Kritik

a) Lösungsansätze

b) Kritik

c) Stufenkonzept zur Bestimmung der Sensibilität von Daten

aa) Erste Stufe: unmittelbare Sensibilität

bb) Zweite Stufe: Verwendungskontext

cc) Dritte Stufe: Sensibilitätsprognose

d) Zusammenfassung: Sensibilität personenbezogener Daten

3. Die Zulässigkeit der Verarbeitung sensibler Daten

a) Anforderungen an die Einwilligung

b) Schutz lebenswichtiger Interessen

c) Offensichtliches Veröffentlichen durch den Betroffenen

aa) Das Merkmal der „Öffentlichkeit“

bb) Quelle der Informationen

cc) Öffentlich gemacht haben oder öffentlich machen

dd) Offensichtlichkeit

d) Weitere Zulässigkeitstatbestände

IV. Rechtsfolgen unrechtmäßiger Datenverarbeitung

§ 11 Verantwortungsbereich des Nutzers

I. Die Interessenabwägung nach Art. 6 Abs. 1 Satz 1 lit. f DSGVO als zentraler Rechtfertigungstatbestand im Nutzer-Betroffenen-Verhältnis

1. Beschränkung auf personenbezogene Daten Dritter

2. Fragliche Praxistauglichkeit der Einwilligung im Nutzer-Betroffenen-Verhältnis

a) Keine Rechtfertigung bei netzwerkfremden Betroffenen

b) Ausnahme bei Betroffenem als Nutzer desselben Netzwerks

3. Keine vertragsrechtliche Grundlage im Nutzer-Betroffenen-Verhältnis

4. Zwischenergebnis

II. Abruf von Daten anderer Nutzer

1. Konkludente Einwilligung in die Anzeige?

2. Interessenabwägung

a) Geschützte Interessen

aa) Interessen des datenerhebenden Nutzers

bb) Entgegenstehende Interessen des Betroffenen

(1) Art. 7 GRCh

(2) Art. 8 Abs. 1 GRCh

b) Abwägung

3. Zwischenergebnis

III. Registrierung und Ausfüllen des Profils

IV. Statusupdates und Weiterverbreiten fremder Beiträge

1. Kriterien ohne Wertungsmöglichkeit

2. Kriterien mit Wertungsmöglichkeit

a) Eingriffsintensität nach dem Sphärenmodell

b) Personen des öffentlichen Lebens

c) Adressaten der Veröffentlichung

d) Kontakt zwischen Nutzer und Betroffenem

e) „Versuch“ einer Einwilligung: Die schlichte Erlaubnis

f) Alter des Betroffenen

3. Zwischenergebnis

V. Kommentare, vereinfachte Nutzerreaktionen, Verfassen von Beiträgen in Gruppen o.ä.

1. Betrachtete Fallgruppen

2. Bestimmung der Rechtmäßigkeit der Verarbeitung des agierenden Nutzers

3. Bestimmung der Rechtmäßigkeit der Verarbeitung des administrierenden Nutzers

a) Personenbezogene Daten des agierenden oder administrierenden Nutzers

b) Personenbezogene Daten über Dritte

4. Zwischenergebnis

VI. Nachrichten

1. Die Kommunikation über Kommunikationsbeteiligte

2. Die Kommunikation über Dritte

3. Zwischenergebnis

VII. Zusammenfassung: Der Datenumgang durch den privaten Nutzer

§ 12 Verantwortungsbereich des Fansite-Betreibers

I. Statusupdates

II. Beiträge anderer Nutzer

III. Nachrichten

§ 13 Verantwortungsbereich des Netzwerkbetreibers

I. Registrierung des Nutzers

1. Erforderlichkeit zur Vertragsabwicklung

2. Weitere Zulässigkeitstatbestände

3. Zwischenergebnis

II. Ausfüllen des Profils

1. Einwilligung

a) Auswirkungen des Kopplungsverbots des Art. 7 Abs. 4 DSGVO

aa) Anwendbarkeit des Kopplungsverbots auf Netzwerkbetreiber

bb) Einschränkung bei Einwilligung im Rahmen der Leistungsbeschreibung?

cc) Einschränkung auf Monopolisten?

dd) Reichweite des Kopplungsverbots

b) Einwilligungserklärung

2. Vertragserfüllung

3. Interessenabwägung

4. Verarbeitung sensibler Daten

5. Zwischenergebnis

III. Statusupdates, Nutzerreaktionen, Beiträge in Gruppen/Veranstaltungen/Fansites, Nachrichten

1. Nutzer ist alleiniger Betroffener

2. Datenverarbeitung betrifft (auch) Dritte

IV. Besonderheiten bei der Verarbeitung von Daten Minderjähriger

1. Die Einwilligung des Minderjährigen

a) Angebot an Minderjährige

b) Feststellung des Alters

c) Einholung von Einwilligung oder Zustimmung des Trägers der elterlichen Sorge

d) Reichweite der Zustimmung des gesetzlichen Vertreters zur Datenverarbeitung eines Minderjährigen

e) Zwischenergebnis

2. Durchführung eines Vertrages mit einem Minderjährigen

a) Problemstellung

b) Lediglich rechtlich vorteilhaftes Geschäft?

c) Der „Taschengeldparagraph“: § 110 BGB

d) Zwischenergebnis

3. Die Interessenabwägung bei minderjährigen Nutzern

4. Zwischenergebnis

V. Empfehlungen

VI. Analysen des Netzwerkbetreibers und personenbezogene Werbung

1. Interessenprofile und Art. 22 DSGVO

2. Problemstellung

3. Ökonomische Implikationen dieses Problems

4. Alternativzugang als Lösung des Monetarisierungsdilemmas

5. Zwischenergebnis

VII. Schattenprofile

VIII. Zusammenfassung: Der Datenumgang durch den Betreiber des sozialen Netzwerks

§ 14 Die Interessenabwägung nach Art. 6 Abs. 1 Satz 1 lit. f DSGVO. Versuch einer Entscheidungsmatrix

I. Vorschlag eines Abwägungsmodells

II. Ausgewählte Anwendungsbeispiele

Kap. 5 Weitere Anforderungen mit spezifischer Relevanz für soziale Netzwerke

§ 15 Gebot der Datenminimierung

I. Klarnamenspflicht

II. Privacy by Default

1. Nudging als behavioristische Ausgangsthese

2. Privatsphäreeinstellungen in sozialen Netzwerken

3. Pflichten aus Art. 25 Abs. 2 DSGVO

III. Zwischenergebnis

§ 16 Datenübertragbarkeit

I. Umfang der zu übermittelnden Daten

II. Technische Realisierbarkeit

III. Zwischenergebnis

§ 17 Datenlöschung

I. Die Löschpflicht nach Art. 17 Abs. 1 DSGVO

II. Löschung bei mehreren Betroffenen

III. Informationspflicht des Verantwortlichen („Recht auf Vergessenwerden“)

1. Öffentlich gemachte Daten

2. Angemessenheit der Maßnahmen

3. Adressaten der Information

IV. Zwischenergebnis

Kap. 6 Zusammenfassung der Ergebnisse und Ausblick

Literaturverzeichnis

Lebenslauf

Abkürzungsverzeichnis

a.A.

andere Ansicht

a.E.

am Ende

a.F.

alte Fassung

Abb.

Abbildung

Abs.

Absatz

AEUV

Vertrag über die Arbeitsweise der Europäischen Union

AfP

Zeitschrift für Medien- und Kommunikationsrecht

AGB

Allgemeine Geschäftsbedingungen

Art.

Artikel

Aufl.

Auflage

BayLDA

Bayerisches Landesamt für Datenschutzaufsicht

BB

Betriebsberater (Zeitschrift)

BBK

NWB Rechnungswesen – BBK: Buchführung, Bilanzierung und Kostenrechnung (Zeitschrift)

BDSG

Bundesdatenschutzgesetz

Begr.

Begründer

Beschl.

Beschluss

BfDI

Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit

BGB

Bürgerliches Gesetzbuch

BGH

Bundesgerichtshof

BGHZ

Entscheidungen des Bundesgerichtshofs in Zivilsachen

BITKOM

Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e.V.

BKartA

Bundeskartellamt

BlnDSB

Berliner Beauftragte für Datenschutz und Informationsfreiheit

BMI

Bundesministerium des Innern

BRD

Bundesrepublik Deutschland

BRJ

Bonner Rechtsjournal (Zeitschrift)

BSI

Bundesamt für Sicherheit in der Informationstechnik

bspw.

beispielsweise

BT-Drucks.

Bundestags-Drucksache

BVerfG

Bundesverfassungsgericht

BVerfGE

Entscheidungen des Bundesverfassungsgerichts

bzw.

beziehungsweise

CCZ

Corporate Compliance Zeitschrift

CR

Computer und Recht (Zeitschrift)

CRi

Computer Law Review International (Zeitschrift)

DB

Der Betrieb

DJT

Deutscher Juristentag

Dok.

Dokument

DP

Deutsche Polizei (Zeitschrift)

Drucks.

Drucksache

DS-RL

Datenschutz-Richtlinie

DSB

Datenschutz-Berater (Zeitschrift)

DSGVO

Datenschutz-Grundverordnung

DSRITB

Deutsche Stiftung für Recht und Informatik – Tagungsband

DuD

Datenschutz und Datensicherheit (Zeitschrift)

DVBl

Deutsches Verwaltungsblatt (Zeitschrift)

EDV

Elektronische Datenverarbeitung

EG

Europäische Gemeinschaft

EGBGB

Einführungsgesetz zum Bürgerlichen Gesetzbuch

EL

Ergänzungslieferung

etc.

et cetera

ESR

European Sociological Review (Zeitschrift)

EU

Europäische Union

EuGH

Europäischer Gerichtshof

EuGRZ

Europäische Grundrechte-Zeitschrift

EuZW

Europäische Zeitschrift für Wirtschaftsrecht

EWR

Europäischer Wirtschaftsraum

e.V.

eingetragener Verein

f.

folgender/folgende

ff.

folgende

Fn.

Fußnote

gem.

gemäß

gen.

genannt

GG

Grundgesetz für die Bundesrepublik Deutschland

ggf.

gegebenenfalls

GRCh

Charta der Grundrechte der Europäischen Union

GRUR

Gewerblicher Rechtsschutz und Urheberrecht (Zeitschrift)

GRUR-Prax

Gewerblicher Rechtsschutz und Urheberrecht. Praxis im Immaterialgüter- und Wettbewerbsrecht (Zeitschrift)

h.M.

herrschende Meinung

HarvLRev

Harvard Law Review (Zeitschrift)

HGB

Handelsgesetzbuch

HmbBfDI

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit

Hrsg.

Herausgeber

hrsg.

herausgegeben

i.E.

im Ergebnis

i.d.F.

in der Fassung

i.S.d.

im Sinne des/der

i.S.v.

im Sinne von/vom

i.V.m.

in Verbindung mit

IP

Internet Protocol

IT

Informationstechnik

ITRB

Der IT-Rechtsberater (Zeitschrift)

J. Legal Stud.

The Journal of Legal Studies (Zeitschrift)

JA

Juristische Arbeitsblätter (Zeitschrift)

JCMC

Journal of Computer-Mediated Communication

JMStV

Jugendmedienschutzstaatsvertrag

JZ

JuristenZeitung

K&R

Kommunikation und Recht (Zeitschrift)

Kap.

Kapitel

KOM

Kommission

KritV

Kritische Vierteljahresschrift für Gesetzgebung und Rechtswissenschaft (Zeitschrift)

KUG

Kunsturhebergesetz

L&CP

Law and Contemporary Problems (Zeitschrift)

LDA

Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht

LAG

Landesarbeitsgericht

LG

Landgericht

MDStV

Mediendienstestaatsvertrag

MMR

Multimedia und Recht (Zeitschrift)

MR-Int

Medien und Recht International (Zeitschrift)

NJ

Neue Justiz (Zeitschrift)

NJOZ

Neue Juristische Online-Zeitschrift

NJW

Neue Juristische Wochenschrift

NJW-RR

Neue Juristische Wochenschrift – Rechtsprechungs-Report

Nr.

Nummer

NVwZ

Neue Zeitschrift für Verwaltungsrecht

NVwZ-Extra

Neue Zeitschrift für Verwaltungsrecht – Extra

NZA

Neue Zeitschrift für Arbeitsrecht

PAuswG

Gesetz über Personalausweise und den elektronischen Identitätsnachweis (Personalausweisgesetz)

PinG

Privacy in Germany (Zeitschrift)

PK

Praxiskommentar

PLOS ONE

Public Library of Science ONE (Online-Zeitschrift)

PM

Preventive Medicine (Zeitschrift)

PNAS

Proceedings of the National Academy of Sciences of the United States of America (Zeitschrift)

OLG

Oberlandesgericht

OVG

Oberverwaltungsgericht

RdA

Recht der Arbeit (Zeitschrift)

RDV

Recht der Datenverarbeitung (Zeitschrift)

RGZ

Entscheidungen des Reichsgerichts in Zivilsachen

RL

Richtlinie

Rn.

Randnummer

Rom I-VO

Verordnung über das auf vertragliche Schuldverhältnisse anzuwendende Recht

Rs.

Rechtssache

s.

siehe

S.

Seite

Slg.

Sammlung der Rechtsprechung des Gerichtshofes und des Gerichts Erster Instanz

sog.

sogenannte/sogenannter

TDDSG

Teledienstedatenschutzgesetz

TKG

Telekommunikationsgesetz

TMG

Telemediengesetz

u.a.

unter anderem

u.U.

unter Umständen

ULD

Unabhängiges Landesamt für Datenschutz Schleswig-Holstein

UrhG

Urheberrechtsgesetz

Urt.

Urteil

US

United States

USA

United States of America

UWG

Gesetz gegen den unlauteren Wettbewerb

v.

von/vom

v.a.

vor allem

VBlBW

Verwaltungsblätter für Baden-Württemberg (Zeitschrift)

VG

Verwaltungsgericht

vgl.

vergleiche

VO

Verordnung

VuR

Verbraucher und Recht (Zeitschrift)

WP

Working Paper

wrp

Wettbewerb in Recht und Praxis (Zeitschrift)

WuW

Wirtschaft und Wettbewerb (Zeitschrift)

z.B.

zum Beispiel

ZBB

Zeitschrift für Bankrecht und Bankwirtschaft

ZD

Zeitschrift für Datenschutz

zit.

zitiert

ZUM

Zeitschrift für Urheber- und Medienrecht

§ 1 Einleitung

„Was wir durch über unsere Gesellschaft, ja über die Welt, in der wir leben, wissen, wissen wir durch die Massenmedien.“1 – Diesen Satz stellte Niklas Luhmann, selbst Jurist, einer seiner zentralen Monographien voran. Als er dies Mitte der 1990er-Jahre schrieb, stand das Internet2 noch am Anfang seiner Entwicklung. Heute bilden soziale Netzwerke einen zentralen Bestandteil der Massenmedien. Die Generation der 14- bis 29-Jährigen – die sogenannten „Digital Natives“ – verbringt schon lange mehr Zeit mit dem Internet als mit Zeitungen, Büchern und dem Fernsehen zusammengenommen.3 Seit der Verbreitung des Internets und (mobiler) internetfähiger Endgeräte hat sich auch die Art zu kommunizieren, und mit ihr das gesellschaftliche Leben, grundlegend verändert.4 Es bedarf weder Geld noch Mühen, um auch die entferntesten Freunde virtuell zu treffen; nur wenige Tastendrücke und schon senkt sich an jedem beliebigen Ort der Schleier heimeliger Vertrautheit tief herab. Diese scheinbar positive Aussicht lockt seit über einem Jahrzehnt Nutzer gleichermaßen weltweit5 wie in Deutschland6 an. Bereits im Jahr 2013 waren zwei Drittel der Deutschen – generationsübergreifend – in sozialen Netzwerken aktiv; im Bereich der unter 30-Jährigen sind es über 90 %.7 Bis heute sind diese Zahlen stark gestiegen – inzwischen sind 87 % der Deutschen in sozialen Netzwerken aktiv; der durchschnittliche Internetnutzer nutzt gleich drei Netzwerke parallel.8

Hinzu kommt die ortsunabhängige Verfügbarkeit sozialer Netzwerke.9 Das Smartphone fungiert als Eintrittstor in eine virtuelle Welt, in welcher der gesamte Bekanntenkreis jederzeit nur einen Steinwurf entfernt scheint. In dieser virtuellen Welt ist das echte Leben abgeschottet, es entstehen persönliche Öffentlichkeiten.10 Um die Menschen zurück in die Realität zu holen, gibt es sogar Städte in Deutschland, die Fußgängerampeln in den Boden einlassen, weil die Nutzer ihre Augen zu keiner Sekunde vom Smartphone abwenden.11 Soziale Netzwerke sind im heutigen Alltag omnipräsent, und die Ablehnung der Nutzung solcher lässt sich leicht als anachronistisches Verhalten interpretieren.

Andererseits verwundert es nicht, dass zahlreiche Kritiker diesen Entwicklungen mit mannigfaltiger Skepsis begegnen.12 So kritisiert Bauman etwa, das soziale Leben habe sich in ein elektronisches verwandelt und spiele sich mehr zwischen Computern und Handys ab als zwischen Menschen.13 Die zunächst als Bereicherung wahrgenommene Kontaktmöglichkeit geriert sich als ein in Isolation uferndes Substitut, dessen Bedeutung sich mit jedem Nutzer und jeder Nutzung vergrößert. Kritikern zufolge ginge mit dem ständigen, virtuellen Kontakt mit „Freunden“ ein Verlust für die Privatsphäre einher – ein Wort, das Prantl zufolge aus einer Zeit stammt, in der die Telefone noch Tischfernsprecher hießen.14 Ist der Einzelne vielleicht am Ende von den Freunden abgeschotteter als er es sein will, und zugleich weniger abgeschottet von der Welt als es die empfundene Privatsphäre suggeriert?

I.Soziale Netzwerke – das Ende der Privatsphäre?

Die dargestellten Folgen im Lebensstil vieler Menschen mögen auch auf die unablässige Informationsflut zurückzuführen sein, die Nachteile für viele Bereiche des Lebens kolportiert.15 Die weltweite exponentiell steigende Datenmenge zeigt sich nicht nur in analogen Medien – so soll nach Einschätzung von Ramonet ein einziges Exemplar der Sonntagsausgabe der New York Times mehr Informationen enthalten, als ein gebildeter Mensch des 18. Jahrhunderts in seinem gesamten Leben konsumierte16 – sondern auch und vor allem an digitalen Datenflüssen.17 Während das Internet 1993 lediglich 1 % der weltweiten Informationsflüsse ausmachte, wird der Anteil für das Jahr 2007 auf 97 % beziffert.18 Diese Entwicklung wird begünstigt durch die sinkenden relativen Kosten für das Management der Daten.19

Ein Grund für das exponentielle Wachstum der im Internet verarbeiteten Datenmengen liegt auch im sogenannten „Web 2.0“. Dieses 2005 von O’Reilly geprägte Schlagwort20 bezeichnet den Umstand, dass inzwischen jeder Internetnutzer selbst ohne größeren Aufwand eigene Inhalte im Internet publizieren kann. Aus dem bloßen Konsumenten wird ein „Prosument“. Das sich aus „Konsument“ und „Produzent“ zusammengesetzte Kofferwort bezeichnet die das Web 2.0 kennzeichnende Wandlung zum Inhalte generierenden Nutzer.21 Dazu werden – neben sozialen Netzwerken – unter anderem Blogs, Podcasts und Wikis gezählt.22 Soziale Netzwerke gelten als das zentrale Element des Web 2.0.23 Sie geben den Nutzern die Möglichkeit, auf einfache Art und Weise ihre Inhalte, unabhängig davon, ob es sich um Bilder, Videos oder Texte handelt, global zu publizieren. Um Selbstdarstellung zu betreiben und sich mit Freunden zu vernetzen, die diese Inhalte wahrnehmen,24 werden eine ganze Reihe von Informationen dem Betreiber übermittelt, noch bevor die designierten Nutzer mit ihren Freunden über die Plattform interagieren.25 Auf Seiten der Betreiber werden die eingegebenen und aus der Nutzerinteraktion generierten Daten zur Monetarisierung des jeweiligen Diensts, etwa durch Platzierung von (personalisierter) Werbung, verwendet.26

Wie groß der Datenfundus ist, hängt maßgeblich von den jeweiligen Nutzern ab. Unter Inkaufnahme negativer Folgen oder schlicht aus Gedankenlosigkeit27 werden auch äußerst private Aspekte des eigenen Lebens ins Internet gestellt.28 Dies nicht nur von Erwachsenen, sondern auch von Jugendlichen und sogar Kindern.29 Der ehemalige Bundesbeauftragte für Datenschutz und Informationsfreiheit Schaar spricht von „elektronischem Exhibitionismus“.30 Zugleich stuft die große Mehrheit der Nutzer die Wahrung ihrer Privatsphäre durch Unternehmen als wichtig ein.31 Zahlreiche Nutzer, die sich vorgeblich um Privatsphäre sorgen, zeigen jedoch keine Unterschiede in ihrem Offenbarungsverhalten, sobald es um Handlungen in sozialen Netzwerken geht.32 Kritiker folgern hieraus, die heutige Gesellschaft beseitige die Grenzen zwischen Öffentlichem und Privatem und verkläre es zu Tugend und Pflicht, alles Private öffentlich zur Schau zu stellen.33 Gerade bei den Digital Natives, unter denen soziale Netzwerke die größte Verbreitung finden, herrscht ein geringeres Bewusstsein für Datenschutz und Datensicherheit.34 Angesichts dessen wird Datenschutz zum Teil als Bildungsaufgabe des digitalen Zeitalters begriffen und gefordert, dass das Verständnis von Begriffen wie Privatsphäre, Selbstbestimmung und Öffentlichkeit gelehrt und erlernt werden müsse.35 Fest steht jedoch: Mit der zunehmenden Verlagerung des Lebens in das Internet setzen sich die Nutzer neuen Gefahren aus.36 Phänomene wie Stalking, Cybergrooming und ein verringertes Wohlbefinden sind nur einige der Risiken, mit denen sich Nutzer sozialer Netzwerke heutzutage konfrontiert sehen.37

Das Datenschutzrecht wurde Jahrzehnte in der öffentlichen Diskussion vernachlässigt.38 Mit dem Aufkommen des Web 2.0, der umfassenden Datenverarbeitung durch Private und den dadurch entstehenden Gefahren für die informationelle Selbstbestimmung nahm die Diskussion jedoch Fahrt auf: Sorglosigkeit beim Umgang mit den eigenen Daten, Rücksichtslosigkeit beim Umgang mit fremden Daten39 – dies scheint für viele Internetnutzer eine probate Handlungsmaxime zu sein. Für einen Aufschrei in der breiten Gesellschaft dauerte es noch bis zum Jahre 2013. Die NSA-Enthüllungen von Edward Snowden40 beantworten einen Teil der zu Beginn aufgeworfenen Frage: Wenn wir uns im Internet bewegen, ist unser Verhalten alles andere als „privat“. Dies führte in den letzten Jahren – vor allem in dem von einem orwellschen Impetus getriebenen Europa – zu einer Schärfung des Bewusstseins für den Umgang mit eigenen Daten.41 Insbesondere das amerikanische Netzwerk „Facebook“ steht regelmäßig aufgrund datenschutzrechtlicher Bedenken in der Kritik. Manche entschließen sich sogar, gerichtlich gegen die „Datensammler“ vorzugehen. In Deutschland hat sich vor allem das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) durch seine Anstrengungen gegen die Facebook Inc. und ihre Tochterunternehmen hervorgetan.42 Auf europäischer Ebene fand die Initiative „Europe vs. Facebook“ um den Österreicher Max Schrems große Beachtung.43

Inzwischen wenden sich vereinzelt Nutzer aufgrund der Datenschutzverstöße von sozialen Netzwerken ab. Auch wegen zahlreicher öffentlichkeitswirksamer Vorfälle der letzten Jahre – als aktuelles Beispiel sei der Skandal um Facebook und Cambridge Analytica44 genannt – konnte Datenschutz zum Qualitätskriterium und Wettbewerbsvorteil gegenüber Konkurrenten45 avancieren. Soziale Netzwerke haben ihren Zenit jedoch längst nicht überschritten: Selbst nach den Snowden-Veröffentlichungen stieg entgegen einer Prognose46 die Zahl der Nutzer von sozialen Netzwerken sowohl weltweit als auch in Deutschland kontinuierlich an.47 Damit sind die Fragen, inwieweit die Datenschutz-Grundverordnung in der Lage ist, die datenschutzrechtlichen Herausforderungen sozialer Netzwerke zu lösen, welche Vorgaben für die verschiedenen Beteiligten gelten, insbesondere unter welchen Bedingungen die Datenverarbeitung rechtmäßig erfolgen kann, mehr denn je von hoher Relevanz.

II.Gegenstand und Gang der Untersuchung

In Bezug auf die Nutzung sozialer Netzwerke stellen sich zahlreiche Fragen im Bereich des Vertrags-48 und Arbeitsrechts,49 des Persönlichkeitsrechts,50 des Urheber-51 und Wettbewerbsrechts,52 des Strafrechts,53 sowie des Datenschutzrechts. Die vorliegende Untersuchung befasst sich mit letztgenanntem Rechtsgebiet. Bei der Nutzung sozialer Netzwerke werden, sowohl durch die rein privat agierenden Nutzer, wie auch durch Fansite- und Netzwerkbetreiber, in hohem Maße personenbezogene Daten verarbeitet. Dies betrifft nicht nur eigene Daten, sondern auch die Verarbeitung der Daten Dritter, die zum Teil selbst Nutzer, zum Teil jedoch völlig unbeteiligt sind. Die vorliegende Untersuchung gilt den zentralen datenschutzrechtlichen Fragen, die sich nach Inkrafttreten der Datenschutz-Grundverordnung (DSGVO)54 spezifisch im Bereich der Nutzung sozialer Netzwerke stellen.

Der auf der als Datenschutzrichtlinie (DS-RL)55 fußende rechtliche Rahmen war starker Kritik ausgesetzt, da er den Herausforderungen des Web 2.0 mit Big Data, sozialen Netzwerken und ähnlichen Herausforderungen nicht gewachsen sei.56 Dieser wurde jüngst durch die DSGVO umfassend reformiert, welche einige Passagen aufweist, die explizit auf die Herausforderungen sozialer Netzwerke Bezug nehmen.57 Von Kritikern wird vertreten, dass die Verarbeitung von Daten in sozialen Netzwerken unter der DSGVO nicht anders zu beurteilen sei als unter der DS-RL, auf der das Bundesdatenschutzgesetz (BDSG) seit seiner Reform von 2001 beruhte.58 Die vorliegende Arbeit befasst sich mit der zentralen Frage, wie sich soziale Netzwerke in das Regelungsregime der DSGVO einfügen und unter welchen Umständen die Verarbeitung personenbezogener Daten rechtmäßig erfolgen kann. Sie beleuchtet gleichermaßen Betreiber- wie Nutzerseite und soll auf die Interaktion der Beteiligten innerhalb zentraler sozialer Netzwerke im engeren Sinne59 beschränkt werden.

Die Untersuchung ist in fünf Kapitel gegliedert. Einleitend werden die Grundlagen sozialer Netzwerke, einschließlich der Nutzungsmotive und Risiken, vermittelt und die Regelungsmaterie der DSGVO skizziert.60 Dieses Kapitel widmet sich ferner den normativen Grundlagen des Datenschutzrechts. Es wird mit einer Untersuchung der Abgrenzung zu bereichsspezifischen nationalen Datenschutzvorschriften sowie deren Fortgeltung nach Inkrafttreten der DSGVO abgeschlossen.61

Das zweite Kapitel beleuchtet Fragen der Anwendbarkeit der DSGVO.62 Es ist in den Aspekt der sachlichen Anwendbarkeit und den der räumlichen Anwendbarkeit untergliedert. Zunächst stellt sich die Frage, welche Daten einen hinreichenden, die sachliche Anwendbarkeit des europäischen Datenschutzrechts auslösenden Personenbezug aufweisen. Darüber hinaus ist zu fragen, inwieweit private Nutzer bei der Nutzung sozialer Netzwerke dem Datenschutzrecht unterliegen. In weiten Teilen der Bevölkerung herrscht derzeit noch ein mangelndes Bewusstsein für Datenschutz; in sozialen Netzwerken werden in hohem Maße eigene und fremde Daten einem breiten Nutzerkreis zugänglich gemacht. Hier ist die Klärung der Reichweite des sogenannten Haushaltsprivilegs geboten. In räumlicher Hinsicht erstreckt sich die Untersuchung insbesondere auf die Problematik der Nutzung sozialer Netzwerke ausländischer Betreiber. Durch die Rechtsprechung des EuGH und die Einführung des Marktortprinzips hat der datenschutzrechtliche Rahmen hier einen beachtlichen Wandel vollzogen.

Ein Schwerpunkt der Untersuchung befasst sich mit der Frage, welche datenschutzrelevanten Handlungen bei der Interaktion über das soziale Netzwerk und mit dem Netzwerk stattfinden und wer für die entsprechenden Vorgänge datenschutzrechtlich verantwortlich ist.63 Gerade in komplexen Web 2.0-Strukturen wie sozialen Netzwerken, in deren Rahmen verschiedene Akteure auf unterschiedliche Weise miteinander interagieren, tendieren weite Teile der datenschutzrechtlichen Literatur dazu, die datenschutzrechtliche Verantwortlichkeit pauschal einem oder mehreren Beteiligten zuzuschreiben. Da die Verantwortlichkeit bestimmt, wer Adressat der Pflichten aus der DSGVO ist, handelt es sich um eine essentielle Fragestellung, die eine differenzierte Auseinandersetzung erforderlich macht. Daher wird hier geklärt, welche Verantwortlichkeiten welchen der Beteiligten treffen.

Im anschließenden Kapitel wird ausführlich die Rechtmäßigkeit der Verarbeitungsvorgänge behandelt.64 Diese knüpft unmittelbar an die Verantwortlichkeit an, da jeder Beteiligte innerhalb seines Verantwortungsbereichs die Rechtmäßigkeit der Verarbeitung zu gewährleistenden hat. Obwohl die Rechtfertigungstatbestände trotz Novellierung des europäischen Datenschutzrechts weitgehend identisch bleiben, bedürfen einige Neuregelungen genauerer Untersuchung. Bei der Rechtmäßigkeit ist danach zu differenzieren, welcher Beteiligte für die Verarbeitung verantwortlich ist und in welchem Verhältnis er zum Betroffenen steht. Dabei stellt sich die zentrale, jedoch kaum untersuchte Frage, unter welchen Bedingungen die Datenverarbeitung von Daten Dritter – sei es durch den Netzwerkbetreiber oder durch den Nutzer – zulässig ist. Besondere Bedeutung kommt hier den Abwägungstatbeständen zu, da im Wege der Datenschutznovelle die Praktikabilität der Einwilligung sinkt. Auch soweit dieser Aspekt unter der Geltung des damaligen BDSG beleuchtet wurde, erschöpft sich die Kasuistik in der bloßen Feststellung, dass bestimmte Interessen gegeneinander abzuwägen sind; eine differenzierte Auseinandersetzung fehlt bislang.

Die Beteiligten treffen jedoch nicht nur Anforderungen aus dem Rechtmäßigkeitsprinzip. Daher werden im darauffolgenden, vierten Kapitel weitere datenschutzrechtliche Grundsätze und Anforderungen, die spezifische Relevanz im Rahmen sozialer Netzwerke entfalten, dargestellt.65 Einige dieser Grundsätze, etwa das vieldiskutierte „Recht auf Vergessenwerden“, waren bereits in ähnlicher Form im BDSG geregelt und bedürfen nach der Datenschutzreform einer Würdigung im Lichte der DSGVO. Andere Pflichten – insbesondere die neuen Verpflichtungen zur Datenübertragbarkeit sowie zu Privacy by Default – wurden gerade im Hinblick auf soziale Netzwerke durch die DSGVO eingeführt.

Das letzte Kapitel fasst die untersuchungsgegenständlichen Anforderungen der DSGVO an die verschiedenen Akteure in sozialen Netzwerken zusammen, und schließt mit einem Fazit, welches die Datenschutzreform kritisch würdigt, ab.66

1

Luhmann,

Die Realität der Massenmedien, S. 9.

2

Zur Entwicklung des Internets und seiner Dienste

Borges,

Verträge im elektronischen Geschäftsverkehr, S. 9 ff.;

Sieber,

in: Hoeren/Sieber/Holznagel, Multimedia-Recht, Kap. 1 Rn. 1 ff.;

Tanenbaum/Wetherall,

Computer Networks, S. 1 ff.

3

van Eimeren/Frees,

Media Perspektiven 2013, 358, 371.

4

Im Jahr 2017 nutzten 81 % der Bundesbürger das Internet, bei den 18-24-Jährigen liegt der Anteil der Nutzer bei 99 %,

Statista,

Anteil der Internetnutzer in Deutschland in den Jahren 2001 bis 2017, abrufbar unter http://de.statista.com/statistik/daten/studie/13070/ (Stand: 9/2018). Fast die Hälfte aller Bundesbürger nutzte 2014 das Internet zur Interaktion mit Behörden,

OECD,

Government at a glance 2015, S. 155. Zum Einfluss sozialer Netzwerke auf die Meinungsbildung

Machill/Beiler/Krüger,

Das neue Gesicht der Öffentlichkeit, S. 72 ff.

5

Allein das amerikanische soziale Netzwerk „Facebook“ hatte im zweiten Quartal 2018 fast 2,3 Milliarden aktive Nutzer, d.h. solche, die das Netzwerk im letzten Monat nutzten,

Statista,

Anteil der aktiven Nutzer von Facebook, abrufbar unter http://de.statista.com/statistik/daten/studie/37545/ (Stand: 9/2018).

6

In Deutschland existieren 26 Mio. aktive Facebook-Nutzer,

Statista,

Anzahl der monatlich aktiven Facebook-Nutzer in Deutschland, abrufbar unter http://de.statista.com/statistik/daten/studie/370860/ (Stand: 9/2018).

7

BITKOM,

Soziale Netzwerke 2013, S. 7.

8

BITKOM,

Social-Media-Trends 2018, S. 2 f.

9

Rund 1,7 Milliarden Menschen nutzten Facebook im Jahr 2016 auf mobilen Endgeräten,

Statista,

Monatlich aktive mobile Nutzer von Facebook, abrufbar unter http://de.statista.com/statistik/daten/studie/223264/ (Stand: 9/2018), davon 20 Mio. Deutsche,

Statista,

Anzahl der mobilen Nutzer von Facebook in Deutschland, abrufbar unter http://de.statista.com/statistik/daten/studie/380630/ (Stand: 9/2018).

10

Vgl.

Schmidt

, in: Ziegler/Wälti, Wahl-Probleme der Demokratie, S. 140.

11

http://www.sueddeutsche.de/bayern/verkehrssicherheit-augsburg-fuehrt-boden-ampeln-fuerhandynutzer-ein-1.2958002 (Stand: 9/2018).

12

Bauman

, Leben als Konsum, S. 8 f., konstatiert, soziale Netzwerke würden „sich mit der Geschwindigkeit einer hochansteckenden Krankheit“ ausbreiten, was dazu führe, dass der Begriff des Netzes den der Gesellschaft ablöse; ähnlich

Eco,

der von einem „Krebsgeschwür am Leib der Gesellschaft“ spricht, zit. nach

Pötzl,

Spiegel Special 3/2007, 52, 55; siehe auch

Martini/Fritzsche,

NVwZ-Extra 2015, Nr. 21, 1, die von einer „Abrissbirne informationeller Selbstbestimmung“ sprechen.

13

Bauman,

Leben als Konsum, S. 9.

14

Prantl,

DuD 2016, 347, 348 f.

15

Eriksen,

Die Tyrannei des Augenblicks, S. 161 f.

16

Ramonet,

Die Kommunikationsfalle, S. 167.

17

Siehe

Statista,

Prognose zum weltweit generierten Datenvolumen, abrufbar unter http://de.statista.com/statistik/daten/studie/267974/ (Stand: 9/2018).

18

Hilbert/López

, Science 60 (2011), 60, 62.

19

IDC

, The Digital Universe Decade, S. 13. Ein Grund für die Kostensenkung liegt in der Virtualisierungstechnik des Cloud Computing, welche gegenüber einer eigenen IT-Infrastruktur die Möglichkeit bietet, bedarfsabhängig fremde IT-Ressourcen zu nutzen,

Konferenz der Datenschutzbeauftragten des Bundes und der Länder,

Orientierungshilfe Cloud Computing, S. 4;

Brennscheidt,

Cloud Computing und Datenschutz, S. 21;

Gaul/Koehler

, BB 2011, 2229;

Krcmar

, in: Borges/Meents, Rechtshandbuch Cloud Computing, § 1 Rn. 4, 25;

Niemann/Hennrich

, CR 2010, 686;

Niemann/Paul,

K&R 2009, 444;

Schulz/Rosenkranz,

ITRB 2009, 232, 233;

Weiss

, in: Hilber, Cloud Computing, Teil 1 A Rn. 2 f.

20

O’Reilly,

What Is Web 2.0, abrufbar unter http://www.oreilly.com/pub/a/web2/archive/what-is-web-20.html (Stand: 9/2018).

21

Nutzergenerierte Inhalte liegen vor, wenn die fraglichen Inhalte publiziert worden sind (1.), eine Schöpfungsleistung vorliegt (2.) und es sich nicht um eine professionell betriebene, profitorientierte Leistung handelt (3.),

OECD,

Participative web: user-created content, S. 8.

22

Klingebiel,

Rechtsprobleme des Web 2.0, S. 11 ff.

23

Karg/Fahl,

K&R 2011, 453.

24

Ausführlich zu den Nutzungsmotiven siehe unten Kap. 1 § 2 IV. 1.

25

ENISA,

Study on data collection and storage, S. 19 ff.

26

Zu den Geschäftsmodellen siehe unten Kap. 1 § 2 III. 3. b).

27

Ein bekanntes Beispiel ist das der Lehramtsanwärterin Stacy Snyder, der nach bestandener Prüfung die Erteilung der Lehrbefugnis seitens der Universität mit der Begründung verweigert wurde, ein Jahre zuvor bei MySpace hochgeladenes Foto mit der Beschreibung „Drunken Pirate“, welches sie mit einem Plastikbecher und einem Piratenhut zeigte, ermutige Schüler zum ungesetzlichen Alkoholkonsum, zit. nach

Mayer-Schönberger,

Delete, S. 1 f.

28

Ein Extrem stellt die Post-Privacy-Bewegung dar, die sich gegen Datenschutz wendet und das Ende jeglicher Privatsphäre proklamiert, grundlegend dazu

Heller,

Post-Privacy, S. 47 ff.; kritisch hierzu

Hoofnagle,

in: Dix/Franßen/Kloepfer/Schaar/Schoch/dgif, Informationsfreiheit und Informationsrecht 2011, S. 19 ff.;

Karg,

DuD 2013, 75, 76 f.

29

So wird allein Facebook von über der Hälfte der 12-14-Jährigen regelmäßig genutzt,

BITKOM,

Jung und vernetzt, S. 28;

Leven/Schneekloth,

in: Shell Deutschland, Jugend 2015, S. 134.

30

Zit. nach

Pötzl,

Einfallstor in die Privatsphäre, Spiegel Special 3/2007, 52, 55; ähnlich

Heckmann,

K&R 2010, 770, 773 („Exhibitionismus trifft Voyeurismus“).

31

ENISA,

Study on monetising privacy,

S.

34.

32

Dies wird als das „Privacy-Paradox“ bezeichnet, siehe dazu

Niemann/Schenk,

in: Schenk/Niemann/Reinmann/Roßnagel, Digitale Privatsphäre, S. 250 ff.

33

Bauman,

Leben als Konsum, S. 10; siehe auch

Mallmann,

Zielfunktionen des Datenschutzes, S. 34, der bereits 1977 konstatierte, die Bereitschaft zur Offenlegung privater Bereiche habe in den letzten Jahrzehnten zugenommen.

34

BITKOM,

Soziale Netzwerke 2013, S. 7, 40.

35

Wagner,

DuD 2012, 83, 84 f.;

Worms/Gusy,

DuD 2012, 92, 99.

36

Meyer

, Identität und virtuelle Identität, S. 20.

37

Ausführlich zu den Risiken der Nutzung siehe unten Kap. 1 § 2 IV. 2.

38

Von einem „Schattendasein“ sprechend

Erd,

DSRITB 2010, 253, 257.

39

Dies kritisierend

Heckmann,

K&R 2010, 770, 772.

40

Ein aufbereitetes Archiv der sog. „NSA-Files“ findet sich unter http://www.theguardian.com/us-news/the-nsa-files/ (Stand: 9/2018).

41

Lediglich 24 % der europäischen und 19 % der deutschen Internetnutzer vertrauen Anbietern von Internetportalen (Suchmaschinen, soziale Netzwerke, E-Mail-Dienste) hinsichtlich des Schutzes ihrer personenbezogenen Daten,

Eurobarometer,

Special Eurobarometer 431, Data Protection Report, S. 66.

42

Siehe den Überblick unter https://www.datenschutzzentrum.de/facebook/ (Stand: 9/2018).

43

Im Urteil zu der entsprechenden Rechtssache Rs. C-362/14 erklärte der EuGH die Safe-Harbor-Entscheidung der Kommission für ungültig, EuGH, NJW 2015, 3151.

44

Siehe https://www.theguardian.com/news/series/cambridge-analytica-files (Stand: 9/2018).

45

Vgl.

Bäumler,

in: Bäumler/v. Mutius, Datenschutz als Wettbewerbsvorteil, S. 11;

Müller,

in: Bäumler/v. Mutius, Datenschutz als Wettbewerbsvorteil, S. 25;

Golland,

DSB 2014, 213, 215;

Hoeren,

DuD 1996, 542, 544;

Schwenke,

Individualisierung und Datenschutz, S. 274.

46

BITKOM,

Soziale Netzwerke 2013, S. 44.

47

Siehe für das Netzwerk Facebook die Nachweise in Fn. 5 und Fn. 6.

48

Siehe etwa

Bräutigam/v. Sonnleithner,

in: Hornung/Müller-Terpitz, Rechtshandbuch Social Media, Kap. 3 Rn. 1 ff.

49

Bayreuther,

in: Hornung/Müller-Terpitz, Rechtshandbuch Social Media, Kap. 8 Rn. 1 ff.;

Fülbier/Wahlers,

in: Splittgerber, Rechtsfragen Social Media, Kap. 7 Rn. 1 ff.

50

Siehe etwa

Rockstroh,

in: Splittgerber, Rechtsfragen Social Media, Kap. 4 Rn. 248 ff.;

Müller-Terpitz,

in: Hornung/Müller-Terpitz, Rechtshandbuch Social Media, Kap. 6 Rn. 1 ff.

51

Siehe etwa

Rockstroh,

in: Splittgerber, Rechtsfragen Social Media, Kap. 4 Rn. 1 ff.

52

Siehe etwa

Katko/Kaiser,

in: Splittgerber, Rechtsfragen Social Media, Kap. 5 Rn. 1 ff.

53

Siehe etwa

Esser,

in: Hornung/Müller-Terpitz, Rechtshandbuch Social Media, Kap. 7 Rn. 1 ff.

54

Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Grundverordnung), Abl. EU Nr. L 119 vom 04.05.2016, S. 1.

55

Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr, Abl. EG Nr. L 281 vom 23.11.1995, S. 31.

56

Vgl. nur die Begründung zum Entwurf des Vorschlags der Europäischen Kommission der Datenschutz-Grundverordnung vom 25.01.2012, KOM(2012) 11 endgültig, 2012/0011 (COD) (im Folgenden: „Kommissionsentwurf“), S. 4, sowie Erwägungsgrund 7 der DSGVO. Kritik übten etwa

Albrecht/Jotzo,

Datenschutzrecht der EU, Teil 1 Rn. 5 (DS-RL schützt „nicht mehr ausreichend vor den Risiken des aktuellen digitalen Umfelds“);

Gennen/Kremer,

ITRB 2011, 59, 63 (weder Gesetz noch Rechtsprechung „spiegeln die Realität im Mitmachinternet wieder“);

Härting,

BB 2012, 459, 460 („Instrumentarien des Datenschutzrechts sind nicht internettauglich“);

Hornung,

in: Hornung/Müller-Terpitz, Rechtshandbuch Social Media, Kap. 4 Rn. 67 (Datenschutzrecht müsse „dringend an die Besonderheiten von Internet und Social Media angepasst werden“);

Jandt/Roßnagel

, ZD 2011, 160, 165 sowie

Jandt/Roßnagel,

in: Schenk/Niemann/Reinmann/Roßnagel, Digitale Privatsphäre, S. 375 („Regelungsdefizite“);

Kalabis/Selzer,

DuD 2012, 670 (Erfordernis einer „Grunderneuerung“);

Karg/Fahl,

K&R 2011, 453, 458 („wenig passende Regelungen“);

Konferenz der Datenschutzbeauftragten des Bundes und der Länder,

Datenschutzrecht für das 21. Jahrhundert, S. 24 („Datenschutzrecht muss internetfähig sein“);

Martini,

in: Paal/Pauly, DS-GVO/BDSG, Art. 26 Rn. 41 („wird dem arbeitsteiligen Zusammenwirken in sozialen Netzwerken […] kaum gerecht“);

Prantl,

DuD 2016, 34, 348 („Datenschutzgesetz [....] hat nie eine Transformation ins 21. Jahrhundert erfahren“);

Roßnagel,

in: Roßnagel/Sommerlatte/Winand, Digitale Visionen, S. 159 („Schutzprogramm läuft leer“);

Roßnagel/Nebel/Richter,

ZD 2015, 455, 460 („Unterkomplexität“ und „mangelnde Praxistauglichkeit“);

Schneider,

ITRB 2012, 180, 181 („größte Gefahrenkomplexe [kaum] in den Griff zu bekommen“);

Spiecker gen. Döhmann,

AnwBl 2011, 256, 257 („Vorschriften erfassen den Problembereich nur unzureichend“);

Weichert,

in: Däubler/Klebe/Wedde/Weichert, BDSG, Einl. Rn. 65 („bleibt hinter Technik und gesellschaftlicher Realität zurück“).

57

Erwägungsgrund 18 sowie Art. 26 DSGVO; siehe ferner Erwägungsgrund 55 des Kommissionsentwurfs sowie Erwägungsgrund 55 des Beschlusses des Europäischen Parlaments vom 12.03.2014 im Rahmen der ersten Lesung, 2012/0011 (COD), 7427/1/14, REV 1 (im Folgenden: „Parlamentsentwurf“).

58

So etwa

Keppeler,

MMR 2015, 779;

Leucker,

PinG 2015, 195, 198 f.;

Martini/Fritzsche,

NVwZ-Extra 2015, Nr. 21, 1, 16;

Roßnagel,

DuD 2016, 561, 564 f.;

Roßnagel/Nebel/Richter,

ZD 2015, 455, 460.

59

Zur Differenzierung zwischen den verschiedenen Arten sozialer Netzwerke siehe unten Kap. 1 § 2 II.

60

Siehe unten Kap. 1 § 2.

61

Siehe unten Kap. 1 § 3.

62

Siehe unten Kap. 2 § 4 und Kap. 2 § 5.

63

Siehe unten Kap. 3 § 6 bis Kap. 3 § 9.

64

Siehe unten Kap. 4 § 10 bis Kap. 4 § 14.

65

Siehe unten Kap. 5 § 15 bis Kap. 5 § 17.

66

Siehe unten Kap. 6.

Kap. 1 Grundlagen sozialer Netzwerke und rechtlicher Rahmen

§ 2 Die Nutzung sozialer Netzwerke

Als Teil des Web 2.0 ermöglichen soziale Netzwerke ihren Nutzern, miteinander in Kontakt zu treten. Den Grundstein sozialer Netzwerke legten die bereits Anfang der 1990er Jahre entstandenen und äußerst minimalistisch anmutenden Usenet-Groups. Mit der Verbreitung des Internets und der Vergrößerung der Übertragungskapazitäten entstanden Foren. Deren Funktionalität ist jedoch nicht mit der eines solchen Dienstes vergleichbar, der heutzutage als soziales Netzwerk bezeichnet wird. Als erste Plattform, welches die Funktionen aufweist, die der heutigen Definition der Social Networking Sites entspricht (dazu unten I.), gilt der 1997 gegründete und 2013 abgeschaltete Dienst SixDegrees.com.67 Einen großen Beliebtheitssprung erlebten soziale Netzwerke mehrere Jahre nach der Jahrtausendwende: Einige der größten und bis heute aktuellen Social Networking Sites wurden in den Jahren 2003 bis 2005 gegründet.68 Innerhalb dieser Social Networking Sites ist in technischer Hinsicht zwischen zentralen und dezentralen Netzwerken zu differenzieren (dazu unten II.). Sodann werden die maßgeblichen Akteure und ihre Möglichkeiten zur Nutzung von Social Networking Sites beleuchtet (dazu unten III.). Zuletzt wird der Blick auf die Motivation natürlicher Personen zur Nutzung sozialer Netzwerke sowie auf die mit der Nutzung verbundenen Risiken gerichtet (dazu unten IV.).

I.Definition des sozialen Netzwerks

Der Begriff des sozialen Netzwerks entstammt der Soziologie. Nach der soziologischen Standarddefinition ist dies ein Netzwerk, welches aus einem oder mehreren Akteuren besteht und den entsprechenden Verbindungen zwischen jenen Akteuren.69 Um diese weite Definition auf die sozialen Netzwerke im Kontext des Web 2.0, d.h. auf sog. Social Networking Sites70 zu beschränken, werden letztere als webbasierte Dienste definiert, die es dem Einzelnen erlauben, innerhalb eines geschlossenen Systems ein öffentliches oder halb-öffentliches Profil zu erstellen (1), eine Liste mit anderen Nutzern zu erzeugen, mit denen sie in Verbindung stehen (2) und die Liste ihrer Verbindungen sowie die von anderen Nutzern innerhalb desselben Systems erstellten Listen anzuzeigen (3).71 Als Kennzeichen von sozialen Netzwerken im engeren Sinne gelten gemeinhin die Möglichkeit zur Erstellung eines persönlichen Profils, das Führen und Verwalten einer Kontaktliste bzw. eines Adressbuchs sowie die Funktion, selbstgenerierte Inhalte wie Nachrichten, Bilder u.a. zu veröffentlichen.72

Neben diesen sozialen Netzwerken, bei denen die vorgenannten Charakteristika kumulativ vorliegen, gibt es Plattformen, die einzelne Funktionen sozialer Netzwerke aufweisen, aber einen Fokus auf spezifische nutzergenerierte Inhalte haben. Dazu zählen Blog-Plattformen (Blogger, Blogspot, Tumblr), Plattformen zum Austausch von Nachrichten (Snapchat, Twitter, WeChat), Videos (Dailymotion, Vimeo, YouTube), Bildern (Flickr, Instagram, Pinterest) oder Audioinhalten (last.fm, spotify).73 Ihr Funktionsumfang ist gegenüber demjenigen von Social Network Sites zum Teil deutlich beschränkt; datenschutzrechtliche Fragen stellen sich daher nur insoweit, wie die entsprechenden Funktionen in den jeweiligen Dienst technisch implementiert wurden. Ein Teil der in der vorliegenden Arbeit untersuchten Fragen kann daher auch auf die zuletzt genannten Plattformen übertragen werden.

II.Arten sozialer Netzwerke

Innerhalb der sozialen Netzwerke ist in technischer Hinsicht zwischen zentralen und dezentralen sozialen Netzwerken zu differenzieren. Zentrale soziale Netzwerke sind Netzwerke, die von einer einzelnen, zentralen Stelle, zumeist einem (ggf. konzernangehörigen) Unternehmen administriert werden. Bei den bekanntesten74 sozialen Netzwerken – etwa Facebook, Google+, QZone (vor allem in China verbreitet), MySpace, LinkedIn, Odnoklassniki (v.a. Russland), Stay-Friends (v.a. Deutschland), vk.com (v.a. Russland), Xing (v.a. Deutschland) und die inzwischen geschlossenen VZ-Netzwerke (v.a. Deutschland) – handelt es sich um zentrale soziale Netzwerke.

Das „Gegenmodell“ stellen dezentrale soziale Netzwerke dar. Die Grundlage für die Kommunikation mittels dezentraler Netze wurde durch das US-amerikanische Militär bereits in den 1960er Jahren geschaffen.75 Dezentrale soziale Netzwerke stellen ein relativ neues Phänomen dar, welches sich nicht in der Breite etablieren konnte. Sie haben, im Gegensatz zu zentralen sozialen Netzwerken, keinen einzelnen Betreiber. Jeder Nutzer ist mit einem Betreiber verbunden und kann auch selbst Betreiber sein, jedoch ist nicht jeder Nutzer auch Betreiber.76 Das bekannteste dezentrale soziale Netzwerk ist Mastodon;77 weitere Beispiele sind Diaspora, Friendica und identi.ca. Die mangelnde Durchsetzung dezentraler sozialer Netzwerke wird auf die mangelnde „soziale Gravitation“78 – die Anziehungskraft, die eine Plattform auf Nutzer ausübt – zurückgeführt, welche aus der fehlenden zentralen Suchfunktion resultiere.79 Diese soziale Gravitation macht sich auch in der Häufigkeit und Dauer der Nutzung vergleichbarer Netzwerke bemerkbar: In den Jahren 2010 bis 2012 verloren die VZ-Netzwerke sowohl an Häufigkeit wie an durchschnittlicher Verweildauer ihrer Nutzer, während der Konkurrent Facebook zulegte.80 Dezentrale soziale Netzwerke haben auf dem Markt der sozialen Netzwerke bis heute allenfalls geringe Relevanz.81

Ferner lassen sich soziale Netzwerke unterscheiden in berufsorientierte Netzwerke und eher freizeitorientierte Netzwerke.82 Dabei ist es nicht unüblich, in einem Netzwerk mit beruflichem Fokus rein private Kontakte, beispielsweise Familie oder Freunde, als Kontakte aufzunehmen; selbiges Phänomen gilt auch umgekehrt. Die Grenzen zwischen privat und beruflich verlaufen hierbei fließend.

III.Beteiligte und Funktionen

Im Rahmen sozialer Netzwerke werden zahlreiche datenschutzrelevante Vorgänge durch mehrere Beteiligte vollzogen. Unter datenschutzrechtlichen Gesichtspunkten ist es unerlässlich, zunächst die tatsächlichen Handlungen in sozialen Netzwerken den einzelnen Beteiligten zuzuordnen, da die Verantwortung an den jeweiligen datenschutzrelevanten Vorgang anknüpft und somit auch für die an eine unerlaubte Datenverarbeitung anknüpfenden Rechtsfolgen, etwa die Haftung gegenüber dem Betroffenen oder Sanktionen der Aufsichtsbehörden, entscheidend ist. Im Folgenden werden die wichtigsten Funktionen sozialer Netzwerke, aufgeschlüsselt nach dem unmittelbar Handelnden, dargestellt.83

1.Natürliche Person als Nutzer

Der Nutzer ist derjenige, der die Dienste des sozialen Netzwerks in Anspruch nimmt.84 Um die Funktionen des Netzwerks vollumfänglich nutzen zu können, ist es bei allen sozialen Netzwerken erforderlich, durch Registrierung ein Profil anzulegen.85 Hierbei werden in der Regel soziographische Daten wie Name, Geburtsdatum, Staatsangehörigkeit erfragt.86 Ferner wird eine E-Mail-Adresse benötigt. Der Netzwerkbetreiber verlangt außerdem regelmäßig die Angabe des Realnamens.87 Da eine Überprüfung der Angaben eines Nutzers bei der Anmeldung i.d.R. nicht stattfindet,88 bleibt eine Nutzung unter Angabe eines falschen oder fiktionalen Namens zunächst89 faktisch möglich. Nach der Registrierung erhält der Nutzer eine E-Mail, in der er dazu aufgefordert wird, einen Link anzuklicken, wodurch die Registrierung abgeschlossen wird.90 Nach der Registrierung ist es möglich, das Netzwerk zu nutzen.

a)Profilseite

Der Nutzer erhält mit der Registrierung eine Profilseite. Im Folgenden kann er dieses Profil ausfüllen. Dazu zählt, je nach Netzwerk etwa die Ergänzung eines Profilbilds, von Geburts- und Wohnort, Ausbildung und Arbeitsstelle, sexueller Orientierung, religiöser und politischer Überzeugung sowie Interessen.91 Abbildung 1 gibt anhand von vier untersuchten Netzwerken wieder, welche Daten angegeben werden müssen oder können. Einige Netzwerke stellen auch Freitextfelder zur Verfügung, in denen z.B. Lebensmotto, ein Zitat oder eine Selbstbeschreibung eingetragen werden kann.

Während die Sichtbarkeit von Name und Profilbild in der Regel nicht beschränkbar ist, können hinsichtlich der weiteren Angaben Einschränkungen durch entsprechende Privatsphäreeinstellungen erfolgen. Der Umfang der Privatsphäreeinstellungen divergiert stark.92 Im Wesentlichen lassen sich hier vier rechtlich relevante Einstellungen unterscheiden:

Die Sichtbarkeit der Daten wird nicht beschränkt, sodass sich die Daten für jede Person abrufen lassen (netzwerkübergreifende Sichtbarkeit), die Daten lassen sich nur durch andere Nutzer desselben Netzwerks abrufen (netzwerkinterne Sichtbarkeit), die Daten lassen sich nur für Kontakte oder einen Teil dieser abrufen (beschränkte Sichtbarkeit) sowie die Daten lassen sich durch keinen Nutzer außer der eigenen Person abrufen (Unsichtbarkeit). Diese Konfiguration bestimmt den Adressatenkreis und hat sowohl Einfluss auf der Ebene der Anwendbarkeit der DSGVO,93 als auch auf Rechtfertigungsebene.94

Anbieter

Facebook

Google+95

LinkedIn

Xing

Name

ja

ja

ja

ja

E-Mail-Adresse

ja

ja

ja

ja

Geburtsdatum

ja

ja

optional

optional

Geschlecht

ja

ja

nein

nein

Profilbild

optional

optional

optional

optional

Land

optional

optional

optional

optional

Wohnort

optional

optional

optional

optional

Adressdetails

optional

optional

optional

optional

Kontaktdaten (z.B. Telefon)

optional

optional

optional

optional

Namenstag

optional

nein

nein

nein

Sexuelle Orientierung

optional

nein

nein

nein

Beziehungsstatus

optional

optional

nein

nein

Sprachen

optional

nein

optional

optional

Religiöse Überzeugung

optional

nein

nein

nein

Politische Orientierung

optional

nein

nein

nein

Ausbildung

optional

optional

optional

optional

Arbeitgeber

optional

optional

optional

optional

Beruf

optional

optional

optional

optional

(Ehren-)Ämter/Organisationen

nein

nein

optional

optional

Veröffentlichungen

nein

nein

optional

optional

Abbildung 1: Profildaten in ausgewählten sozialen Netzwerken

b)Kontakte

Für den Nutzer ist es nach der Registrierung auch möglich, Kontakte hinzuzufügen.96 Dies kann über die zentrale Suchfunktion des Netzwerks geschehen. In den meisten sozialen Netzwerken werden den Nutzern auch auf Basis ihrer bisherigen Kontakte und/oder Angaben weitere Kontaktvorschläge unterbreitet. Werden neue Kontakte hinzugefügt, so wird dies, je nach Netzwerk und Privatsphäreeinstellungen der beteiligten Nutzer, anderen Nutzern angezeigt. Vereinzelt wird auch eine weitere Möglichkeit angeboten: Der Einsatz eines Tools, welches das eigene E-Mail-Adressbuch durchsucht und auf Basis der gefundenen E-Mail-Korrespondenz dem Nutzer Kontaktvorschläge unterbreitet.97 Dabei teilt der Nutzer dem Netzwerkbetreiber seine E-Mail-Adresse(n) samt zugehörigem Passwort mit. Im Anschluss werden dem Nutzer diejenigen Kontakte angezeigt, mit denen er in E-Mail-Korrespondenz steht und die bereits im Netzwerk registriert sind, sodass er sich mit diesen verbinden kann. Darüber hinaus wurden von einigen Netzwerken automatisch Einladungs-E-Mails an diejenigen Kontakte, die nicht im Netzwerk registriert sind, versendet. Die Bedeutung derartiger Tools schwindet jedoch: Nach Urteilen des Berliner Landgerichts und Kammergerichts,98 welche später höchstrichterlich bestätigt wurden,99 haben zahlreiche soziale Netzwerke diese Funktionalität eingestellt.

c)Statusupdates und Verlinkungen

Auf der Startseite des sozialen Netzwerks und/oder der Seite des eigenen Profils kann der Nutzer nun Beiträge – im Folgenden als Statusupdates bezeichnet – verfassen. Die eingestellten Statusupdates werden anschließend auf der eigenen Profilseite angezeigt und können ggf. durch andere Nutzer abgerufen werden.100 Inhaltlich sind derartigen Statusupdates keine Grenzen gesetzt; der Nutzer kann jegliche Information mitteilen: Es können sowohl reine Sachdaten, als auch Informationen über die eigene Person oder andere Personen des Netzwerks oder aber gänzlich unbeteiligte, außenstehende Personen, die nicht Teil des Netzwerks sind, mitgeteilt werden. Statusupdates ermöglichen es, größere Zahlen von Personen zu erreichen und bieten eine Möglichkeit zur Publikation selbstgenerierter Inhalte.101 Von dieser One-to-many-Kommunikation machen über 80 % der Nutzer wenigstens einmal in der Woche Gebrauch.102 Der Nutzer kann, je nach Netzwerk, seine Statusupdates mit Bildern ergänzen, andere Personen verlinken oder mit seinen Standortdaten versehen.103

Bei Statusupdates hat der Nutzer in der Regel entscheidenden Einfluss auf die Zahl der Adressaten: Je nach Größe des Kontaktkreises und der entsprechenden Privatsphäre-Einstellung des Nutzers kann er die Sichtbarkeit seiner Statusupdates niemandem oder nur wenigen Einzelpersonen zugänglich machen, seine gesamten Kontaktkreise oder Teile davon adressieren.104 Soweit der Nutzer seine Beiträge unbeschränkt veröffentlicht, kann jeder Nutzer des Netzwerks, unabhängig von der Nähe des Kontakts, diesen Beitrag wahrnehmen.

d)Kommentare, vereinfachte Nutzerreaktionen, Weiterverbreitung fremder Beiträge

Der Nutzer hat auch die Möglichkeit, auf fremde Statusupdates zu reagieren. Statusupdates bieten insofern mehrere Möglichkeiten der Reaktion. Zum einen die Bekundung des Wohlgefallens ohne eigene Stellungnahme (im Folgenden: „vereinfachte Nutzerreaktionen“),105 zweitens die Äußerung mit eigener Stellungnahme (im Folgenden: „Kommentar“) und drittens die Weiterverbreitung,106 bei der der ursprüngliche (fremde) Beitrag wie ein eigenes Statusupdate verbreitet wird.

Interagiert der Nutzer mit einem fremden Beitrag im Wege eines Kommentars oder einer vereinfachten Nutzerreaktion, so erbt diese Handlung die Privatsphäre-Einstellungen des Beitrags. Kommentiert etwa A den Beitrag des B, der auf dessen Kontakte beschränkt ist, so sehen lediglich die Kontakte des B, was A geschrieben hat. A selbst hat keinen Einfluss auf die Sichtbarkeit seines Kommentars. Endet dann die Verbindung zwischen A und B (z.B. durch Beenden der „Freundschaft“), so kann auch A seinen eigenen Kommentar nicht mehr einsehen. Im letztgenannten Fall, der Weiterverbreitung, kommt einschränkend die Privatsphäreeinstellung des Weiterverbreitenden hinzu. Ein durch A auf die Kontakte von A beschränkter Beitrag, der von B an die Kontakte von B weiterverbreitet wird, wird somit nur für A, B und die gemeinsamen Kontakte von A und B sichtbar. Dies bedeutet zugleich, dass die Zahl der adressierten Personen variabel ist, indem etwa komplett neue Kontakte hinzukommen oder – im Falle der Weiterverbreitung – neue Kontakte des jeweils anderen erschlossen werden.

e)Gruppen und Veranstaltungen

Innerhalb eines sozialen Netzwerks besteht die Möglichkeit, sich zu Interessengruppen und ähnlichen Verbindungen (im Folgenden: „Gruppen“) zusammenzuschließen. Einige Netzwerke bieten auch die Möglichkeit, Veranstaltungen zu erstellen. Letztere sind anlassbezogene Seiten mit Veranstaltungsteilnehmern; in der Funktionalität unterscheiden sie sich jedoch nicht wesentlich von den Gruppen mit ihren Mitgliedern. Innerhalb von Gruppen oder Veranstaltungen können Beiträge verfasst werden. Beiträge in Gruppen und Veranstaltungen sind vergleichbar mit Statusupdates, sodass die dortigen Ausführungen entsprechend gelten.

Im Gegensatz zu Statusupdates ist bei Beiträgen in Gruppen und Veranstaltungen die Sichtbarkeit der Beiträge nicht durch den einzelnen Nutzer konfigurierbar. Der Beitrag erbt die Sichtbarkeitseinstellungen der Gruppe bzw. der Veranstaltung. Jene wiederum werden festgelegt durch den jeweiligen Administrator, was i.d.R. der Gruppengründer bzw. der Veranstalter ist. Die Reichweite eines Beitrags richtet sich daher primär nach der Einstellung des Gruppen- oder Veranstaltungsadministrators, sekundär nach der Größe der Gruppe bzw. der Veranstaltung.

f)Nachrichten

Statusupdates und Beiträge sind nicht die einzigen Möglichkeiten mit anderen Nutzern zu kommunizieren. Sämtliche soziale Netzwerke verfügen auch über Möglichkeiten der bilateralen Kommunikation. Einzelne Nutzer können über diese Nachrichtenfunktion, vergleichbar mit einem privaten Chat, einzelnen anderen Nutzern Nachrichten zukommen lassen. Deren Inhalte sind stets nur durch den jeweiligen Adressaten einsehbar.

2.Fansite-Betreiber

a)Grundlagen

Fansites sind Seiten innerhalb eines sozialen Netzwerks, auf denen Informationen über Personen des öffentlichen Lebens, Unternehmen oder gemeinsame Interessen abrufbar sind.107 Diese Fansites können sowohl von natürlichen Personen als auch von juristischen Personen als professionelle Nutzer des Netzwerks administriert werden. Die derzeit beliebteste Fansite, mit weit über 100 Mio. Fans, ist die Facebook-Fanpage des Fußballers Christiano Ronaldo; unter den beliebtesten Produktmarken ist es die des zum Facebook-Konkurrenten Google gehörende Facebook-Fanpage des Online-Videoportals YouTube.108 Einer Studie zufolge wird mittelfristig nur jedes zehnte Großunternehmen auf Social-Media-Aktivitäten verzichten.109 Interessenbezogene Fansites werden, im Gegensatz zu den vorgenannten Fansites über Unternehmen oder Personen des öffentlichen Lebens, häufig von natürlichen Personen als Hobby betrieben.

b)Funktionen

Dem Fansite-Administrator werden prinzipiell die gleichen Funktionen zur Verfügung gestellt wie auch dem „normalen“ Nutzer: Es besteht die Möglichkeit, Nachrichten zu empfangen und zu schreiben sowie Statusupdates zu veröffentlichen und so mit den jeweiligen Interessenten in Interaktion zu treten.110 Die Beiträge werden dann auf der Fansite angezeigt. Nutzer, die ihr Interesse bekundet haben,111 können sich diese Statusupdates, ebenso wie Statusupdates ihrer Kontakte, auf ihrer individuellen Startseite anzeigen lassen. In der weit überwiegenden Mehrheit der Netzwerke stellt der Netzwerkbetreiber den Betreibern von Fansites Analysetools zur Verfügung, mit deren Nutzung diese Erkenntnisse über die Reichweite der eigenen Statusupdates erlangen und ähnliche Statistiken abrufen können.112 Des Weiteren lassen sich, je nach Netzwerk, auch Daten über die Herkunft, den Wohnort, die Sprache, das Geschlecht, das Alter und die Onlinezeiten der erreichten Nutzer anzeigen.

c)Motivation