Internet-Law

Seit vielen Jahren streiten Juristen über die Frage, ob IP-Adressen personenbezogene Daten im Sinne des Datenschutzrechts sind. Die Antwort auf diese Frage hat weitreichende Folgen beispielsweise für die Zulässigkeit von Tracking-Tools, die systematisch IP-Adressen aufzeichnen und auswerten. Den Streitstand habe ich hier im Blog mehrfach erläutert, u.a. hier, hier und hier.

Der BGH hat die Streitfrage heute (Beschluss vom 28.10.2014, Az.: VI ZR 135/13) dem Europäischen Gerichtshof (EuGH) vorgelegt und möchte von diesem wissen, ob Art. 2 Buchstabe a der EG-Datenschutz-Richtlinie dahin auszulegen ist, dass eine IP-Adresse, die ein Diensteanbieter im Zusammenhang mit einem Zugriff auf seine Internetseite speichert, für diesen schon dann ein personenbezogenes Datum darstellt, wenn lediglich ein Dritter – also der Zugangsprovider – über das zur Identifizierung der betroffenen Person erforderliche Zusatzwissen verfügt.

Für den Fall, dass der EuGH davon ausgeht, dass IP-Adressen (stets) Personenbezug aufweisen, möchte der BGH vom EuGH ferner die Frage geklärt haben, ob

die EG-Datenschutz-Richtlinie einer Vorschrift des nationalen Rechts mit dem Inhalt des § 15 Abs. 1 TMG entgegen steht, wonach der Diensteanbieter personenbezogene Daten eines Nutzers ohne dessen Einwilligung nur erheben und verwenden darf, soweit dies erforderlich ist, um die konkrete Inanspruchnahme des Telemediums durch den jeweiligen Nutzer zu ermöglichen und abzurechnen, und wonach der Zweck, die generelle Funktionsfähigkeit des Telemediums zu gewährleisten, die Verwendung nicht über das Ende des jeweiligen Nutzungsvorgangs hinaus rechtfertigen kann.

Bei dieser Frage geht es vor allem darum, ob die Datenschutzrichtlinie eine kurzzeitige Speicherung von IP-Adressen aus technischen Gründen (Systemsicherheit o.ä.) gestattet – was der Praxis großer deutscher Provider entspricht – oder ob eine Speicherung nur dann erlaubt ist, wenn dies zu Abrechungszwecken erforderlich ist, was dann freilich bedeuten würde, dass bei Flatrate-Tarifen keine Speicherung erfolgen darf.

Die zugrundeliegende Klage stammt übrigens von dem Piratenpolitiker Patrick Breyer.

(Quelle: Pressemitteilung des BGH)

Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder hat sich u.a. mit dem Google-Urteil des EuGH beschäftigt und diesbezüglich die bemerkenswerte Auffassung vertreten, dass Google den Content-Anbieter, dessen Inhalte ausgelistet werden, hierüber nicht informieren darf. Wörtlich heißt es in der aktuellen Entschließung der Datenschützer:

Eine Befugnis der Anbieter von Suchmaschinen, Inhaltsanbieter routinemäßig über die Sperrung von Suchergebnissen zu informieren, besteht nicht. Dies gilt auch dann, wenn die Benachrichtigung nicht ausdrücklich den Namen des Betroffenen enthält.

Woraus ein solches gesetzliches Verbot, den Inhaltsanbieter zu informieren, allerdings resultieren sollte, verschweigt das Papier. Insoweit sollte man zunächst berücksichtigen, dass die Entfernung eines möglicherweisen legalen Inhalts aus dem Index von Google einen erheblichen Rechtseingriff gegenüber dem Inhaltsanbieter darstellen kann. In grundrechtlicher hinsicht können sowohl die Meinungsfreiheit als auch die wirtschaftliche Betätigungsfreiheit betroffen sein. Auch das Informationsinteresse der Allgemeinheit wird beenträchtigt. Vor diesem Hintergrund muss es dem betroffenen Inhaltsanbieter ebenso wie dem datenschutzrechtlich Betroffenen möglich sein, sich (effektiv) gerichtlich gegen eine solche Auslistung durch Google oder eine andere Suchmaschine zu wehren. Allein deshalb ist ein Verbot einer Benachrichtung, entgegen der Ansicht der Datenschutzbehörden, nicht begründbar.

Speziell im Falle von Google kommt ein weiterer Aspekt hinzu. Google verfügt auf dem Suchmaschinenmarkt über eine marktbeherrschende Stellung. Das hat Auswirkungen auch im Bereich des Zivilrechts. Marktbeherrschende Unternehmen unterliegen gegenüber Unternehmen einem Abschlusszwang (Kontrahierungszwang), wenn die Ablehnung eines Vertragsschlusses gegen das kartellrechtliche Diskriminierungsverbot verstößt. Auch gegenüber Verbrauchern wird allgemein angenommen, dass ein Kontrahierungszwang besteht und ein Vertragsschluss nur aus sachlichen Gründen abgelehnt werden darf. Auch wenn es sich vorliegend nicht um einen klassischen Vertrag handelt, so liegt zumindest ein vertragsähnliches Nutzungsverhältnis vor.

Man muss also davon ausgehen, dass zumindest gegenüber dem marktberrschenden Unternehmen Google ein Anspruch auf Aufnahme in den Suchindex und auf Anzeige in der Trefferliste besteht. Ein sachlicher Grund für eine Auslistung oder Nichtaufnahme kann natürlich darin bestehen, dass das Persönlichkeitsrecht des datenschutzrechtlich Betroffenen verletzt wird. Ob das tatsächlich der Fall ist oder nicht, müssen aber letztlich die Gerichte entscheiden. Damit der betroffene Inhaltsanbieter seine Rechte aber überhaupt effektiv wahrnehmen kann, muss ihn Google von der Auslistung informieren.

Es wird ohnehin interessant sein zu sehen, ob sich auch betroffene Inhaltsanbieter gegen eine Entfernung aus dem Suchindex wehren werden. Google befindet sich letztlich in einer unangenehmen Sandwichposition. Es muss die Rechte beider Seiten gegeneinander abwägen und hat hierbei stets das Risiko zu tragen, dass eine Seite die Maßnahme von Google gerichtlich überprüfen lassen kann.

Die Haltung der Datenschutzbehörden erweist sich einmal mehr als äußerst einseitig auf den datenschutzrechtlich Betroffenen ausgerichtet. Die Datenschutzbehörden sind daher kaum als neutrale Sachwalter zu betrachten, denen man eine objektive und ausgewogene Abwägungsentscheidung zutrauen kann.

Ärzte können nicht verhindern, im Internet bewertet zu werden. Das Datenschutzrecht bietet keine Handhabe dafür, nicht in ein Bewertungsportal aufgenommen zu werden. Das hat der BGH heute entschieden (Urteil vom 23. September 2014, Az.: VI ZR 358/13).

In der Pressemitteilung des BGH ist folgender Satz besonders bemerkenswert:

Das Recht des Klägers auf informationelle Selbstbestimmung überwiegt das Recht der Beklagten auf Kommunikationsfreiheit nicht.

Der BGH sieht – anders als zuletzt der EuGH – keinen Vorrang datenschutzrechtlicher Vorschriften vor dem Recht auf Meinungs- und Informationsfreiheit. Auch andere zentrale Passagen der Pressemitteilung des BGH sind lesenswert:

Die Beklagte ist deshalb nach § 29 Abs. 1 Bundesdatenschutzgesetz (BDSG) zur Erhebung, Speicherung und Nutzung sowie nach § 29 Abs. 2 BDSG zur Übermittlung der Daten an die Portalnutzer berechtigt. Zwar wird ein Arzt durch seine Aufnahme in ein Bewertungsportal nicht unerheblich belastet. Abgegebene Bewertungen können – neben den Auswirkungen für den sozialen und beruflichen Geltungsanspruch des Arztes – die Arztwahl behandlungsbedürftiger Personen beeinflussen, so dass er im Falle negativer Bewertungen wirtschaftliche Nachteile zu gewärtigen hat. Auch besteht eine gewisse Gefahr des Missbrauchs des Portals.

Auf der anderen Seite war im Rahmen der Abwägung aber zu berücksichtigen, dass das Interesse der Öffentlichkeit an Informationen über ärztliche Leistungen vor dem Hintergrund der freien Arztwahl ganz erheblich ist und das von der Beklagten betriebene Portal dazu beitragen kann, einem Patienten die aus seiner Sicht erforderlichen Informationen zur Verfügung zu stellen. Zudem berühren die für den Betrieb des Portals erhobenen, gespeicherten und übermittelten Daten den Arzt nur in seiner sogenannten „Sozialsphäre“, also in einem Bereich, in dem sich die persönliche Entfaltung von vornherein im Kontakt mit anderen Personen vollzieht. Hier muss sich der Einzelne auf die Beobachtung seines Verhaltens durch eine breitere Öffentlichkeit sowie auf Kritik einstellen. Missbrauchsgefahren ist der betroffene Arzt nicht schutzlos ausgeliefert, da er von der Beklagten die Löschung unwahrer Tatsachenbehauptungen sowie beleidigender oder sonst unzulässiger Bewertungen verlangen kann. Dass Bewertungen anonym abgegeben werden können, führt zu keinem anderen Ergebnis. Denn die Möglichkeit zur anonymen Nutzung ist dem Internet immanent (vgl. § 13 Abs. 6 Satz 1 des Telemediengesetzes [TMG])

Quelle: PM des BGH vom 23.09.2014

Ob IP-Adressen als personenbezogene Daten im Sinne des Datenschutzrechts anzusehen sind, ist ein alter Streit, der seit Jahren geführt wird und der nunmehr auf Betreiben des Piratenpolitikers Patrick Breyer vor dem BGH gelandet ist. Und so wie es aussieht, könnte er von dort aus auch noch zum EuGH wandern. Auch wenn man diese Diskussion als Jurist für spannend halten kann, sollte man doch erkennen, dass sie ihre praktische Bedeutung in den letzten Jahren eingebüßt hat. Warum, das erklärt Alvar Freude in seinem Blog.

Aktuelle Tracking-Konzepte wie das Browser-Fingerprinting kommen ohne IP-Adressen aus. Für die gerne als Datenkraken verschrienen Unternehmen wie Google, Facebook oder Amazon spielen IP-Adressen keine wesentliche Rolle mehr, wenn es um die Ermittlung des Nutzerverhaltens geht.

Ganz anders sieht es allerdings im Bereich der Strafverfolgung oder bei der Ermittlung von Filesharern aus. Dort bildet die IP-Adresse, die im Zusammenhang mit einem bestimmten Nutzerverhalten zu einem bestimmten Zeitpunkt geloggt wurde, den zentrale Anknüpfungspunkt um mithilfe des Providers den dahinterstehenden User zu ermitteln. Insoweit ist es aber unerheblich, ob man die IP-Adresse als Datum mit absolutem oder nur relativem Personenbezug betrachtet. Denn das Gesetz sieht für diese Ermittlungsmaßnahmen ohnehin ausdrückliche Gestattungstatbestände vor.

Das höchste deutsche Zivilgericht wird also einen Streit entscheiden, der kaum mehr praktische Bedeutung hat, auch wenn ihn Juristen weiterhin eifrig führen.

Das Unabhängige Landeszentrum für Datenschutz (ULD) Schleswig-Holstein hatte von den Betreibern von Facebook-Fanpages verlangt, diese Seiten wegen datenschutzrechtlicher Verstöße zu deaktivieren.

Diese Anordnung des ULD hat das Verwaltungsgericht Schleswig aufgehoben. Das Oberverwaltungsgericht hat die Entscheidung des VG jetzt mit Urteil vom 05.09.2014 (Az.: 4 LB 20/13) bestätigt. Wegen der besonderen Bedeutung der Angelegenheit wurde die Revision zum Bundesverwaltungsgericht zugelassen. In der Pressemitteilung des OVG heißt es zur Begründung der Entscheidung u.a.:

Der Betreiber einer Facebook-Fanpage ist für die allein von Facebook vorgenommene Verarbeitung personenbezogener Daten von Besuchern der Fanpage datenschutzrechtlich nicht verantwortlich, denn er hat keinen Einfluss auf die technische und rechtliche Ausgestaltung der Datenverarbeitung durch Facebook. Dass er von Facebook anonyme Statistikdaten über Nutzer erhält, begründet keine datenschutzrechtliche Mitverantwortung. Das ULD als Datenschutzaufsichtsbehörde darf den Fanpagebetreiber deshalb nicht zur Deaktivierung seiner Fanpage verpflichten. (…)

Nach Auffassung des Oberverwaltungsgerichts war diese Anordnung des ULD auch bereits deshalb rechtswidrig, weil vor einer Untersagungsverfügung an einen datenschutzrechtlich Verantwortlichen erst ein abgestuftes Verfahren einzuhalten ist, in dem zunächst eine Umgestaltung der Datenverarbeitung angeordnet und ein Zwangsgeld verhängt werden muss. Eine rechtlich grundsätzlich denkbare Ausnahmesituation hiervon lag nicht vor.

Das geplante „Gesetz zur Verbesserung der zivilrechtlichen Durchsetzung von verbraucherschützenden Vorschriften des Datenschutzrechts“ sieht die Schaffung einer Verbandsklagebefugnis vor.  Danach sollen alle datenschutzrechtlichen Vorschriften, die für die Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten eines Verbrauchers durch einen Unternehmer gelten, als Verbraucherschutzgesetze im Sinne des § 2 Absatz 1 UKlaG gelten. Die Folge ist eine Klagebefugnis von Verbraucherschutzverbänden gegen Datenschutzverstöße von Unternehmen.

Die Deutsche Gesellschaft für Recht und Informatik (DGRI) kritisiert das Gesetzesvorhaben in einer Stellungnahme mit dem Argument, Datenschutz sei kein Verbraucherschutz, sondern vielmehr ein grundrechtsgleiches Recht, dessen Überwachung deshalb unabhängigen Kontrollstellen vorbehalten sein muss – also den bereits existenten Datenschutzaufsichtsbehörden – und  nicht Verbraucherschutzverbänden mit kommerziellen und/oder einseitig dem Verbraucherschutz untergeordneten Interessen überlassen werden darf.

Die Kritik erscheint mir zwar im Ansatz zutreffend, aber in ihrer Schlussfolgerung falsch zu sein. Datenschutz ist sicherlich kein Verbraucherschutz. Wenn man ihn allerdings wie die DGRI als grundrechtsgleiches Recht begreift, wofür nicht zuletzt die EU-Grundrechtecharta spricht, dann kann die Forderung eigentlich nur lauten, effektiven Individualrechtsschutz zugunsten der betroffenen Bürger zu schaffen. Vielleicht ist der Staat zum Schutz des Grundrechts geradezu gehalten, Individualrechtsschutz vorzusehen, der Unterlassungs- und Schadensersatzansprüche umfasst. Die Kontrolle durch unabhängige Aufsichtsbehörden – die es ja bereits gibt – stellt insoweit kein Surrogat dar.

Auch die weitere Aussage der DGRI, die vorhandenen Rechtsinstrumente zur Verfolgung datenschutzrechtlicher Verstöße seien ausreichend und einem behaupteten Vollzugsdefizit können allenfalls durch Verbesserung der Ausstattung der Aufsichtsbehörden begegnet werden, dürfte nicht nur wegen des fehlenden Individualrechtsschutzes diskutabel sein.

Denn die Aufsichtsbehörden haben derzeit (nur) die in § 38 BDSG festgelegten Befugnisse, die in der Praxis häufig keine effektiven Sanktionen ermöglichen. Speziell in diesem Punkt geht die geplante Datenschutzgrundverordnung deshalb zu recht über das bisherige Sanktionssystem hinaus.

Mein Fazit lautet daher, dass eine effektive zivilrechtliche Ahndung von Datenschutzverstößen voraussetzen würde, dass man konkrete Individualansprüche auf Unterlassung- und Schadensersatz schafft. Die Bundesregierung geht mit der Schaffung einer Verbandsklagebefugnis lediglich einen halbherzigen Mittelweg.

Das Landgericht Frankfurt überrascht mit einer interessanten Entscheidung. Es hat einen Webseitenbetreiber dazu verurteilt, die Nutzung des Trackingtool Piwik zu unterlassen, sofern zu Beginn des Nutzungsvorgangs nicht auf den Einsatz der Trackingsoftware hingewiesen wird. (Urteil vom 18.02.2014, Az 3-10 O 86-12).

Die Urteilsbegründung des Landgerichts ist inhaltlich allerdings nicht ganz stimmig. Das Landgericht geht davon aus, dass wegen einer Anonymisierung der IP-Adressen überhaupt keine personenbezogenen Daten betroffen sind. Wenn dem so ist, dann sind die datenschutzrechtlichen Vorschriften der §§ 11 ff. TMG erst gar nicht anwendbar, weshalb es auch zu keinem Verstoß gegen § 15 Abs. 3 TMG gekommen sein kann.

Das Gericht möchte anschließend aber offenbar Anonymisierung und Pseudonymisierung gleichsetzen und meint, § 15 Abs. 3 TMG würde – entgegen seines Wortlauts – auch für anonymisierte Daten gelten. Diese Argumentation ist nicht konsistent.

Interessant bleibt aber die weitere Schlussfolgerung des Gerichts, dass auch bei unvollständig anonymisierten IP-Adressen die Pflicht des § 13 Abs. 1 TMG besteht, den Nutzer zu Beginn des Nutzungsvorgangs über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten zu unterrichten. Eine Datenschutzerklärung, die in der Rubrik Kontakt zu finden ist, genügt hierfür nach Ansicht des Gerichts aber nicht.

Dieser Logik folgend wäre dann aber nicht nur jegliches Tracking oder der Einsatz von Cookies problematisch, sondern natürlich auch die Erstellung von Logfiles, die praktisch auf jedem Webserver stattfindet.

Man kann datenschutzrechtliche Vorschriften natürlich so auslegen, aber man kann die alltägliche Internetkommunikation, die jeder von uns betreibt, dann eben nicht mehr datenschutzkonform abbilden. Das aber dann nur den Gerichten, wie hier dem LG Frankfurt, anzulasten, wäre unfair. Das Problem als solches ist in der Konstruktion unseres Datenschutzrechts angelegt.

Während wir (Juristen) immer noch über IP-Adressen und Cookies diskutieren, ist die Karawane ohnehin längst weitergezogen. Technologien wie das Browser Fingerprinting werden den Einsatz von Cookies obsolet machen und die Fokussierung der Datenschützer auf die IP-Adressen lenkt nur von anderen, bedenklicheren Entwicklungen ab.

Dass das Gericht § 15 TMG als Markverhaltensregel im Sinne des UWG einordnet, ist am Ende wenig überraschend. Denn der Trend, Datenschutzverstöße als wettbewerbswidrig zu qualifizieren, verfestigt sich in der Rechtsprechung in letzter Zeit.

Das Urteil des BGH, wonach die Schufa zwar Auskunft darüber erteilen muss, welche personenbezogenen Daten in ein Scoring-Verfahren einfließen, allerdings nicht darüber, wie diese Daten gewichtet werden, ist kontrovers diskutiert worden. Jetzt liegt das Urteil im Volltext vor. Die von mir geäußerte Kritik halte ich auch nach Lektüre der Urteilsgründe aufrecht.

Nach der gesetzlichen Regelung des § 34 Abs. 4 Nr. 4 BDSG hat der Betroffene Anspruch darauf, dass ihm das Zustandekommen und die Bedeutung der Wahrscheinlichkeitswerte einzelfallbezogen und nachvollziehbar in allgemein verständlicher Form erläutert wird. Der BGH meint, dass es dafür ausreichend sei, wenn durch die Schufa dargestellt wird, welche Daten einfließen. Nicht erläutert werden muss, wie diese Daten genau gewichtet werden und wie der Scoringwert letztlich zustande kommt.

Man kann an dieser Stelle bereits die Frage stellen, ob der Betroffene damit tatsächlich in die Lage versetzt wird, wie vom Gesetz gefordert, die Bedeutung des Wahrscheinlichkeitswertes zu verstehen.

Der BGH berücksichtigt auch nicht hinreichend, dass die Vorschrift des § 34 Abs. 4 BDSG nichts anderes ist, als ein Ausfluss des Grundrechts auf informationelle Selbstbestimmung. Die Entscheidung des BGH führt letztlich dazu, dass man der Schufa und anderen Auskunfteien gestattet, personenbezogene Daten nach einer geheimen Formel zu verarbeiten und für ein Scoring zu gewichten, ohne, dass man dem Betroffenen eine transparente Auskunft darüber schuldet, wie der Scoringwert tatsächlich zustande kommt. In verfassungsrechtlicher Hinsicht räumt der BGH damit den wirtschaftlichen Interessen der Schufa Vorrang vor der informationellen Selbstbestimmung des Betroffenen ein. Ein Abwägungsergebnis, das man von Verfassungs wegen als problematisch betrachten muss.

Der BGH macht in seinem Urteil weitschweifige Ausführungen zur Intention des Gesetzgebers und stellt damit die historische Auslegung in den Vordergrund. Demgegenüber wird dem zugrundeliegenden Grundrechtskonflikt ersichtlich keine Bedeutung beigemessen.

Bezeichend für die Argumentation des BGH erscheint mir beispielsweise die Aussage, dass eine darüber hinausgehende Auskunft nicht hilfreich wäre, weil auf eine Änderung des Scorewerts selbst bei Zugrundelegung zutreffender Ausgangstatsachen ohnehin kein Anspruch besteht. Die Folge dieser Rechtsprechung des BGH ist es allerdings, dass der Betroffene noch nicht einmal nachprüfen kann, ob zutreffende Ausgangstatsachen zugrunde gelegt wurden, solange nicht dargestellt wird, wie diese Ausgangstatsachen im konkreten Einzelfall gewichtet worden sind. Genau dieser Aspekt spricht allerdings dafür, dass eine weitergehende Transparenz hergestellt werden muss, weil der Betroffene ansonsten gar nicht nachprüfen kann, ob das Ergebnis überhaupt auf einer nachvollziehbaren Gewichtung aller (angeblich) eingeflossenen Ausgangstatsachen beruht. Der Sinn und Zweck des Gesetzes wird damit nicht erreicht.

Auch die Ausführungen des BGH zur Auslegung der Datenschutzrichtline überzeugen nicht. Insoweit stellt sich zudem die Frage, ob nicht eine Vorlage an den EuGH geboten war.

Art. 12 a der Richtlinie gewährt den Betroffenen einen Anspruch auf Auskunft über den logischen Aufbau der automatisierten Verarbeitung der sie betreffenden Daten, zumindest im Fall automatisierter Entscheidungen im Sinne von Artikel 15 Absatz 1. Der BGH geht nun davon aus, dass der Scoringwert der Schufa keine automatisierte Einzelentscheidung ist, die rechtliche Folgen nach sich zieht und den Betroffenen erheblich beeinträchtigt. Zumindest seien solche Folgen im konkreten Fall nicht festgestellt worden. Der Sachverhalt könnte also anders zu beurteilen sein, wenn der Betroffene darlegen kann, dass er aufgrund des Schufa-Scorings beispielsweise einen Kredit nicht erhalten hat.

Ein Arzt ist vor dem Landgericht Kiel mit dem Versuch gescheitert, eine negative Bewertung seiner Praxis bzw. seiner ärztlichen Leistung, die nach Schulnoten erfolgte, in einem Onlineportal zur Bewertung von Ärzten, löschen zu lassen (Urteil vom 06.12.2013, Az.: 5 O 372/13).

Das Landgericht hat die Notenbewertung durchgehend als Werturteil und nicht als Tatsachenbehauptung betrachtet. Da sich die Bewertung auf die berufliche Betätigung des Arztes bezieht, ist lediglich die sog. Sozialsphäre betroffen. Das Gericht führt hierzu aus:

Zweifellos ist durch die streitgegenständliche Notenbewertung das allgemeine Persönlichkeitsrecht des Klägers betroffen. Die Bewertung bezieht sich auf die berufliche Tätigkeit des Klägers als Arzt und fällt damit in die sogenannte Sozialsphäre des Klägers, die im Verhältnis zur Intim- und Privatsphäre allerdings nicht gleichermaßen geschützt ist. Äußerungen im Rahmen der Sozialsphäre dürfen nur im Falle schwerwiegender Auswirkungen auf das Persönlichkeitsrecht mit negativen Sanktionen verknüpft werden, so etwa dann, wenn eine Stigmatisierung, soziale Ausgrenzung oder Prangerwirkung zu besorgen sind (BGH NJW 2009, 2888 ff.).
(…)
Erst wenn bei einer Äußerung nicht mehr die Auseinandersetzung in der Sache, sondern die Herabsetzung der Person im Vordergrund steht, die jenseits polemischer und überspitzter Kritik herabgesetzt und gleichsam an den Pranger gestellt werden soll, nimmt die Äußerung den Charakter einer unzulässigen Schmähung an (BGH NJW 2009, 3580 ff.). Eine reine Notenbewertung erfüllt den Charakter einer Schmähkritik jedoch nicht (BGH NJW 2009, 2888 ff.).

Die Entscheidung liegt auf der Linie der Rechtsprechung des BGH und des BVerfG, die ganz allgemein davon ausgeht, dass bei einer Beeinträchtigung der sog. Sozialsphäre negative Werturteile bis zur Grenze der sog. Schmähkritik hingenommen werden müssen, wobei eine Schmähkritik nur in sehr engen Grenzen angenommen werden kann.

Bereits vor einigen Wochen hatte ich über eine neue Entscheidung des Kammergerichts berichtet, die eine Entscheidung des Landgerichts Berlin bestätigt hatte, wonach der FriendFinder von Facebook sowie Teile der Nutzungs- und Datenschutzbedingungen des sozialen Netzwerks gegen deutsches Recht verstoßen (Urteil vom 24.01.2014, Az.: 5 U 42/12).

Mittlerweile liegt das Urteil im Volltext vor. Die Ausführungen des Gerichts sind vor allem deshalb interessant, weil es eine Anwendbarkeit des deutschen Datenschutzrechts auf Facebook ausdrücklich bejaht. Das OVG Schleswig geht demgegenüber davon aus, dass für Facebook irisches Datenschutzrecht gilt.

Das Kammergericht stellt maßgeblich darauf ab, dass die Datenverarbeitung bei Facebook faktisch nicht in Irland, sondern in den USA bzw. durch die amerikanische Muttergesellschaft erfolgt. Das KG geht insoweit zudem davon aus, dass Facebbook in Deutschland Daten erhebt, weil es inländische „Mittel“ im Sinne der Datenschutzrichtlinie verwendet, indem es Daten – u.a. Cookies – auf den Computern der Nutzer speichert.

Darüber hinaus weist das Kammergericht auch darauf hin, dass das deutsches Datenschutzrecht zudem aufgrund einer Rechtswahl zwischen Facebook und dem Nutzer gelten würde, weil die Nutzungsbedingungen von Facebook ausdrücklich die Geltung des deutschen Rechts vorsehen.

Die Auffassung, dass für Facebook deutsches Datenschutzrecht gilt, habe ich in einem älteren Blogbeitrag ebenfalls vertreten.