Internet-Law

Katharina Nocun von der Piratenpartei Niedersachsen hat bei der EU-Kommission Beschwerde gegen die Bundesregierung eingelegt, weil sie der Ansicht ist, dass der Bundesbeauftragte für den Datenschutz nicht die von der Rechtsprechung des EuGH verlangte Unabhängigkeit genießt.

In der Sache hat Nocun recht. Der EuGH hat zuletzt mit Urteil vom 16.10.2012 – in Bezug auf die österreichische Datenschutzaufsicht – entschieden, dass eine funktionale Unabhängigkeit der Datenschutzbehörde nicht ausreichend ist, sondern vielmehr die Leitung der Behörde keiner Dienstaufsicht unterliegen darf und der Datenschutzbeauftragte auch nicht dem Kanzleramt angegliedert sein darf.

Nach § 22 Abs. 4 und 5 BDSG untersteht der Bundesbeauftragte der Rechtsaufsicht der Bundesregierung, ist dem Bundesministerium des Innern angegliedert und untersteht der Dienstaufsicht des Innenministeriums.

Damit verstößt die derzeitige deutsche Regelung im Bundesdatenschutzgesetz in eindeutiger Art und Weise gegen die Vorgaben der Datenschutzrichtlinie.

Das Unabhängigen Landeszentrum Schleswig-Holstein (ULD) hat Facebook – nämlich die Facebook Inc. und die Facebook Ltd. – per Verwaltungsakt förmlich verpflichtet, für alle natürlichen Personen, die Facebook in Schleswig-Holstein nutzen möchten, sicherzustellen, dass sich die Nutzer anstelle über Eingabe von Echtdaten (Vorname, Nachname, E-Mail-Adresse, Geschlecht und Geburtsdatum) auch durch Eingabe eines Pseudonyms für Facebook registrieren können.

Facebook wird vom ULD ferner verpflichtet, registrierte Personen – aus Schleswig-Holstein – die allein wegen der Nichtangabe oder der nicht vollständigen Angabe ihrer Echtdaten bei der Registrierung gesperrt sind, zu entsperren. Dieser Teil der Verfügung wurde sogar für sofort vollziehbar erklärt.

Außerdem muss Facebook die Nutzer vor der Registrierung in einfacher, verständlicher und leicht zugänglicher Form sowie in deutscher Sprache über die Möglichkeit der Registrierung unter Angabe eines Pseudonyms informieren.

Das ULD hat ihre Verfügung im Wortlaut veröffentlicht.

Die Anordnung des ULD erscheint auf den ersten Blick kühn und man stellt sich die Frage, wie das wohl tatsächlich durchgesetzt werden soll. Andererseits nimmt das ULD nunmehr endlich Facebook direkt in Anspruch und wählt nicht wie beim Thema Like-Button den Umweg über die Nutzer.

Update:
Ob sich eine solche Verfügung tatsächlich auf § 13 Abs. 6 TMG stützen lässt, ist allerdings aus zwei Gründen zweifelhaft. § 13 Abs. 6 TMG verpflichtet die Diensteanbieter nur dazu, eine anonyme oder pseudonyme Nutzung zu ermöglichen. Eine pseudonyme Nutzung ist aber auch dann möglich, wenn man sich mit Klarnamen registrieren muss. Denn das Gesetz verlangt gerade keine anonyme Nutzungsmöglichkeit, sondern stellt es dem Diensteanbieter frei, ob er eine anonyme oder nur eine pseudonyme Nutzung ermöglicht.

Außerdem unterliegen möglicherweise auch Facebookprofile der Impressumspflicht des § 55 RStV oder des § 5 TMG weil sie selbst Telemedien sind. Es besteht dann das Problem, dass jemand gleichzeitig Nutzer und Anbieter eines Telemediums ist. Wer aber gesetzlich verpflichtet ist, Name und Anschrift zu nennen, kann ohnehin nicht anonym oder pseudonym nutzen.

Das OLG Hamm hat im Rahmen einer wettbewerbsrechtlichen Entscheidung (Urteil vom 20.09.2012, Az.: I-4 U 85/12) die Auffassung vertreten, es könne

nicht davon ausgegangen werden, dass Minderjährige ab dem 15. Lebensjahr grundsätzlich die nötige Reife haben, um die Tragweite der Einwilligungserklärung zur Datenspeicherung und Datenverwendung zu Werbezwecken abzusehen.

Diese Ansicht ist, zumindest wenn man die juristische Literatur betrachtet, keinesfalls abwegig. Insoweit hatte ich vor einiger Zeit bereits die Frage aufgeworfen, ob eine Nutzung von sozialen Netzen wie Facebook, angesichts der doch recht massiven Erhebung personenbezogener Daten, möglicherweise nach deutschem Recht erst ab einem Alter von 16 möglich sein könnte.

Eine solche Annahme widerspricht natürlich komplett der Lebenswirklichkeit, wenn man sieht wie viele Kinder und Jugendliche auf Facebook unterwegs sind und wie selbst die offizielle Altersgrenze Facebooks von 13 Jahren durchgehend unterlaufen wird.

Anhand einer beispielhaften Darstellung werde ich nachfolgend versuchen, einige fundamentale Defizite der geplanten EU-Datenschutzverordnung darzustellen, die bislang in der öffentlichen Diskussion wenig Beachtung gefunden haben, wobei mein Fokus hierbei auf dem Internet liegt.

In Deutschland gibt es seit Jahren eine kontroverse Diskussion darüber, ob IP-Adressen stets als personenbezogene Daten im datenschutzrechtlichen Sinne zu betrachten sind oder nur dann, wenn die speichernde Stelle den Personenbezug herstellen kann. Diese Streitfrage, die ich bereits früher ausfürlich dargestellt habe, ist für die Internetkommunikation von entscheidender Bedeutung. Wenn man IP-Adressen per se als personenbezogen betrachtet, dann dürfen diese Daten nach dem geltenden Prinzip eines Verbots mit Erlaubnisvorbehalt grundsätzlich nämlich gar nicht gespeichert werden, es sei denn, eine gesetzliche Vorschrift erlaubt die Speicherung ausdrücklich.

Man muss sich also die Frage stellen, ob die geplante EU-Datenschutzgrundverordnung diese Streitfrage rechtssicher auflöst. Ein Blick in den Text und die Erwägungsgründe zeigt, dass dies nicht der Fall ist, sondern die Rechtsunsicherheit vermutlich sogar noch verschärft wird.

Art. 4 Abs. 2 der DatenschutzgrundVO definiert als personenbezogene Daten „alle Informationen, die sich auf eine betroffene Person beziehen„. Das ist m.E. bereits deshalb schlecht, weil damit letztlich der Personenbezug über den Personenbezug definiert wird und es sich somit eher um eine Tautologie als um eine Legaldefinition handelt. Der Ansatz erscheint aber derart weit, dass man angesichts des Wortlauts wohl darauf schließen müsste, dass sich die Verordnung für den absoluten Personenbezug entschieden hat.

In Widerspruch hierzu steht dann allerdings Erwägungsgrund 24 der Verordnung, der lautet:

Bei der Inanspruchnahme von Online-Diensten werden dem Nutzer unter Umständen Online-Kennungen wie IP-Adressen oder Cookie-Kennungen, die sein Gerät oder Software-Anwendungen und -Tools oder Protokolle liefern, zugeordnet. Dies kann Spuren hinterlassen, die zusammen mit eindeutigen Kennungen und anderen beim Server eingehenden Informationen dazu benutzt werden können, um Profile der betroffenen Personen zu erstellen und sie zu identifizieren. Hieraus folgt, dass Kennnummern, Standortdaten, Online-Kennungen oder sonstige Elemente als solche nicht zwangsläufig und unter allen Umständen als personenbezogene Daten zu betrachten sind.

Danach sollen also IP-Adressen und auch Cookies nicht stets personenbezogene Daten darstellen. Darüber, unter welchen Voraussetzungen Personenbezug zu bejahen ist, schweigt sich die Verordnung insgesamt freilich aus. Neben der Fundamentalkritik an der geplanten Datenschutzgrundverodnung, sind es derartige handwerkliche und regelungstechnische Ungenauigkeiten, die diese Verordnung so gefährlich machen und die Befürchtung nähren, dass die Rechtsunsicherheit über Jahre hinweg sogar noch erhöht werden wird.

Man muss sich in diesem Zusammenhang auch vor Augen führen, dass sowohl das BDSG als auch die datenschutzrechtlichen Vorschriften des TMG komplett wegfallen müssen, wenn die Verordnung als unmittelbar geltendes Recht in Kraft tritt.

Da die Verordnung andererseits das Konzept des Verbots mit Erlaubnisvorbehalt fortsetzt, bedeutet dies auch weiterhin, dass eine Datenverarbeitung zunächst verboten ist, soweit sie nicht von der Verordnung ausdrücklich erlaubt wird. Es stellt sich also die Frage, ob die Verordnung hinreichende Erlaubnistatbestände enthält. Denn das Problem besteht natürlich darin, dass gerade die Internetkommunikation einen fortwährender Prozess der Verarbeitung personenbezogener Daten darstellt, zumal wenn man – was die deutschen Aufsichtsbehörden seit Jahren tun – den Begriff des Personenbezugs extensiv auslegt.

Folge des Wegfalls der TMG-Vorschriften ist es in jedem Fall, dass auch die Unterscheidung zwischen Bestands-, Nutzungs- und
Inhaltsdaten nicht mehr stattfindet, ebensowenig wie die Unterscheidung zwischen der Datenverarbeitung zu eigenen bzw. fremden Zwecken.

Da die Verordnung nicht in ausreichendem Maße Erlaubnistatbestände enthält – was auch der Kommission sehr wohl bewusst ist – kommt ein weiterer zentraler Aspekt hinzu. Die Kommission wird durch die Verordnung nämlich ermächtigt, sog. delegierte Rechtsakte zu erlassen, die insbesondere derartige Erlaubnistatbestände näher ausgestalten (Art. 5 Abs. 5, Art. 86). Das ist unter demokratischen Gesichtspunkten schlicht eine Katastrophe, denn damit wird eine wesentliche und grundrechtsintensive Gesetzgebungsbefugnis auf eine Institution verlagert, die über keinerlei demokratische Legitimation verfügt. Die Kommission hat sich damit quasi selbst für den Bereich des Datenschutzrechts eine weitreichende Rechtssetzungsbefugnis eingeräumt, die keine paralamentarische Basis hat. Die Datenschutzgrundverordnung verfestigt damit das auf EU-Ebene ohnehin bestehende erhebliche Demokratiedefizit.

Diese Datenschutzgrundverordnung ist somit gerade aus demokratischer und bügerrechtlicher Sicht untragbar. Dass sich speziell bei Bürgerrechtlern bislang wenig Widerstand regt, sondern vielmehr eher Zustimmung vorzuherrschen scheint, wird sich vermutlich noch als folgenschwere Fehleinschätzung erweisen.

24 der 27 nationalen Aufsichtsbehörden der EU-Mitgliedsstaaten für den Datenschutz haben nach Medienberichten Google schriftlich aufgefordert, seine vor einem halben Jahr eingeführte neue Datenschutzerklärung abzuändern. Die Datenschützer kritisieren primär die Zusammenführung der Daten aus den unterschiedlichen Diensten. Außerdem möchte offenbar auch die EU-Kommission die neuen Datenschutzregeln von Google beanstanden.

Eine aktuelle Pressemitteilung der französischen Datenschutzbehörde CNIL erläutert die Forderungen der europäischen Datenschützer etwas genauer.

Warum die neue Datenschutzerklärung von Google nicht mit deutschem und europäischem Datenschutzrecht vereinbar ist, habe ich vor einigen Monaten erläutert. Das Beispiel zeigt aber auch deutlich, dass das geltende Datenschutzrecht auf Geschäftsmodelle wie das von Google nicht ausgerichtet ist, weshalb es bei konsequenter Rechtsauslegung und -anwendung ohnehin schwierig werden wird, sämtliche Googledienste in ihrem aktuellen Funktionsumfang datenschutzkonform auszugestalten.

Laut einer Pressemitteilung des Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein (ULD) haben sich die deutschen Datenschutzaufsichtsbehörden im „Düsseldorfer Kreis“ darauf verständigt, dass die Behörden in den Ländern Bremen, Hamburg, Rheinland-Pfalz und Schleswig-Holstein stärker gegen Datenschutzverstöße von Facebook vorgehen. Beanstandet wird u.a. die Gesichtserkennung, die Facebook inzwischen standardmäßig durchführt.

Das ULD kündigt „direkte rechtliche Maßnahmen gegenüber der US-Zentrale“ von Facebook an.

Aktuell melden verschiedene Medien, dass Facebook die Gesichtserkennung in Europa stoppen wolle. Ob sich die deutschen Datenschützer damit schon zufrieden geben, wird sich zeigen.

Die öffentliche Entrüstung war groß, als der Bundestag, oder besser, das was von ihm während des EM-Halbfinales übrig war, eine  Neufassung des Meldegesetzes beschlossen hat, die die Möglichkeit der Datenweitergabe zu Zwecken der Werbung und des Adresshandels vorsah, wenn der Bürger nicht ausdrücklich widersprochen hat.

Mittlerweile liegt eine Ausschussempfehlung des Bundesrates zur Anrufung des Vermittlungsausschusses vor, der eine Änderung des maßgeblichen § 44 MeldeG in folgenden zentralen Punkten vorsieht:

Absatz 3 Nummer 2 ist wie folgt zu fassen:

„2. die Auskunft verlangende Person oder Stelle erklärt, die Daten nicht zu verwenden für Zwecke

a) der Werbung oder

b) des Adresshandels,

es sei denn, sie versichert, dass die betroffene Person ihr gegenüber in die Übermittlung für jeweils diesen Zweck eingewilligt hat. Auf Verlangen sind der Meldebehörde entsprechende Nachweise vorzulegen.“

cc) Absatz 4 ist wie folgt zu fassen:

„(4) Es ist verboten, Daten aus einer Melderegisterauskunft

1. für gewerbliche Zwecke zu verwenden, ohne dass ein solcher Zweck nach Absatz 1 Satz 2 bei der Anfrage angegeben wurde,

2. für Zwecke der Werbung oder des Adresshandels zu verwenden, es sei denn die betroffene Person hat im Zeitpunkt der Anfrage in die Übermittlung für jeweils diesen Zweck nach Absatz 3 Nummer 2 eingewilligt.“

Das bedeutet, das anfragende Unternehmen muss (nur) versichern, dass der Betroffene ihm gegenüber in die Datenübermittlung für Werbezecke eingewilligt hat. Wie soll man sich das bitte praktisch vorstellen? Ein Unternehmen der Werbebranche hat also angeblich eine wirksame Einwilligung des Betroffenen dahingehend eingeholt, dass Meldeämter seine Meldedaten an das Unternehmen weitergeben dürfen. Derartige Einwilligungen erteilt kein Mensch in datenschutzrechtlich wirksamer Art und Weise. Wenn eine solche Einwilligung demgegenüber irgendwo in AGB oder einem sonstigen Klauselwerk versteckt sind, genügen sie nicht den Anforderungen des § 4 a Abs. 1 BDSG und ist unwirksam.

Was der Vermittlungsausschuss da beschließen soll, ist nichts anderes als eine gesetzgeberische Einladung zum Missbrauch, der klar die Handschrift der Lobbyisten trägt. Andernfalls hätte man die Regelung nunmehr auch einfach so treffen können, dass den Meldebehörden eine Datenübermittlung zu Zwecken der Werbung und des Adresshandels generell untersagt ist. Dann kann es zwar immer noch zu Missbrauch kommen, aber der ist dann zumindest einfach nachzuvollziehen. Genau das ist aber offenbar nicht erwünscht.

Die Kollegen Härting und Schneider, die schon seit längerer Zeit eine weitreichende Reform des Datenschutzrechts fordern, haben nunmehr eine ausformulierte Alternative zum Entwurf einer Datenschutzgrundverordnung, den die EU-Kommission vor einigen Monaten vorgelegt hatte, vorgestellt.

Der Vorschlag von Härting und Schneider läuft auf einen Paradigmenwechsel hinaus, der mir zumindest im Grundsatz aber auch notwendig erscheint.

Wesentlich am Vorschlag von Härting/Schneider ist die Differenzierung zwischen personenbezogenen und sensiblen Informationen. Damit würde im Datenschutzrecht erstmals eine Abstufung nach dem Inhalt und der Bedeutung der Information für den Betroffenen vorgenommen. Das geltende Datenschutzrecht schützt alle personenbezogenen Daten gleichermaßen und zwar völlig unabhängig davon, wie schwer beispielsweise eine Weitergabe der konkreten Infomation für den Betroffenen tatsächlich wiegt. Als sensible Informationen sehen Härting/Schneider allerdings nur solche an, die der Intimsphäre des Betroffenen entstammen. Das ist meines Erachtens nicht sachgerecht, weil es eine ganze Reihe sensibler Daten gibt, die nicht aus der Intimsphäre stammen, an denen aber dennoch ein berechtigtes Geheimhaltungsinteresse des Betroffenen bestehen kann. Die Differenzierung von Härting/Schneider ist zwar grundsätzlich sinnvoll, die Gleichsetzung sensibler und intimer Daten erscheint allerdings zu eng.

Zweiter zentraler Aspekt des Entwurfs von Härting/Schneider ist eine Abkehr vom Verbotsprinzip. Das geltende Datenschutzrecht geht davon aus, dass eine Verarbeitung personenbezogener Daten zunächst grundsätzlich verboten ist, es sei denn, der Betroffene willigt ein oder eine gesetzliche Vorschrift erlaubt die Datenverarbeitung ausdrücklich (Verbot mit Erlaubnisvorbehalt). Schneider und Härting wollen demgegenüber als Grundsatz festschreiben, dass die Datenverarbeitung zunächst erlaubt sein soll. In ihrem § 5 Abs. 2 S. 1 heißt es deshalb:

Die Erhebung personenbezogener Informationen ist erlaubt.

Diese grundsätzliche gesetzliche Erlaubnis wird nach dem Konzept von Härting/Schneider dann dadurch eingeschränkt, dass der Datenverarbeiter verpflichtet ist, Rücksicht auf die Persönlichkeitsrechte der Betroffenen zu nehmen. Anstelle eines Verbots mit Erlaubnisvorbehalt tritt ein Abwägungsgebot.

Lediglich dann, wenn es sich um Angaben handelt, die Aussagen über die Privat- oder Intimsphäre des Betroffenen enthalten und – allein oder in Verbindung mit anderen Angaben – ein aussagekräftiges Bild der Persönlichkeit ermöglichen, sind die Betroffenen von der Erhebung der Informationen zu unterrichten, sofern keine eigenen, überwiegenden Interessen des Dritten einer Unterrichtung entgegenstehen. Der Betroffene ist dann berechtigt, der Verarbeitung, Übermittlung und Nutzung der Informationen zu widersprechen, sofern seine schutzwürdigen Interessen der Datenverarbeitung entgegenstehen.

Diese Widerspruchslösung für Daten, die aus der Privat- oder Intimsphäre des Betroffenen stammen, ist allerdings schwerlich mit der Rechtsprechung des Bundesverfassungsgerichts zum Schutz des Persönlichkeitsrechts vereinbar. Denn Informationen, die der Intimsphäre des Betroffenen entstammen genießen danach absoluten, solche der Privatsphäre zumindest noch überwiegenden Schutz. Das bedeutet, Informationen aus der Intimsphäre des Betroffenen dürfen überhaupt nicht weitergegeben oder veröffentlicht werden, solche aus der Privatsphäre nur dann, wenn ein besonders bedeutsames Interesse der Allgemeinheit gegeben ist. Vor diesem Hintergrund genügt die bloße Möglichkeit zu widersprechen, den verfassungsrechtlichen Anforderungen nicht.

Diese Problematik wird in dem Entwurf von Härting/Schneider aber letztlich dadurch wieder abgemildert, dass § 8 Abs.1 des Entwurfs für die Verabreitung sensibler Informationen eine vorheriger Zustimmung (Einwilligung) des Betroffenen oder eine gesetzliche Gestattung verlangt. Für diese sensiblen Daten, die allerdings wie gesagt auf Informationen aus der Intimsphäre beschränkt sind, kehren Härting/Schneider dann eben doch zum Prinzip des Verbots mit Erlaubnisvorbehalt zurück.

Die Erstellung von Bewegungsprofilen und Nutzerprofilen wollen Härting/Schneider übrigens nur dann von einer Einwilligung des Betroffenen abhängig machen, wenn die Auswertung Aussagen über die Intimsphäre enthalten kann.

Der Alternativentwurf von Härting/Schneider stimmt zwar von seiner Stoßrichtung her, bietet im Detail aber Anlass zur Kritik. Nachdem der Entwurf allerdings, wie eingangs gesagt, einen datenschutzrechtlichen Paradigmenwechsel bewirken würde, ist nicht damit zu rechnen, dass sich für diesen Ansatz in der (aktuellen) politischen Diskussion eine europaweite Mehrheit finden wird.

Wie die Verbraucherzentrale Bundesverband meldet, hat Facebook Berufung gegen ein Urteil des Landgerichts Berlin vom 06.03.2012 (Az.: 16 O 551/10) eingelegt, durch das der Facebook FreundeFinder als wettbewerbswidrig und verschiedene Bestimmungen der Nutzungs- und Datenschutzbedingungen als unwirksam qualifiziert wurden.

Zum Urteil des LG Berlin hatte ich bereits vor einer Weile gebloggt.

Im Zusammenhang mit dem Urteil des Landgerichts Berlin bin ich außerdem mehrfach gefragt worden, ob mein Blogbeitrag  „Gilt deutsches Datenschutzrecht für Facebook überhaupt?“ durch das Urteil hinfällig geworden sei. In meinem Beitrag hatte ich geschrieben, dass § 1 Abs. 5 BDSG nicht vertraglich abbedungen werden kann, während das Landgericht Berlin in seinem Urteil vom 06.03.2012 ausführt:

Deutsches Datenschutzrecht gilt aufgrund zulässiger Rechtswahl. § 1 Abs. 5 BDSG steht dem nicht entgegen.

Das Landgericht Berlin geht also davon aus, dass die Vorschrift des § 1 Abs. 5 BDSG vertraglich abbedungen werden kann und das Datenschutzrecht der Rechtswahl der Parteien unterliegt. Diese Rechtsmeinung des Landgerichts ist nach meiner Einschätzung juristisch nicht vertretbar.

Das LG Berlin stützt seine Ansicht auf Art 3 Abs. 1 der Rom-I-Verordnung, übersieht dabei aber Art. 9 der Rom-I-Verordnung. Datenschutzrechtliche Vorschriften gelten als Eingriffsnormen im Sinne von Art. 9, die gerade nicht der freien Rechtswahl unterliegen. Das LG Berlin verliert außerdem kein Wort über Art. 4 der Datenschutzrichtlinie, deren Umsetzung § 1 Abs. 5 BDSG dient. Danach hat jeder Mitgliedstaat die Vorschriften, die er zur Umsetzung der Richtlinie erlässt, auf alle Verarbeitungen personenbezogener Daten anzuwenden. § 1 Abs. 5 BDSG kann deshalb nicht dispositiv sein.

Vor diesem Hintergrund war es bislang auch einhellige Meinung in der juristischen Literatur, dass das Datenschutzrecht gerade nicht der Rechtswahl der Parteien unterliegt.

Bei Facebook ist davon auszugehen, dass es derzeit keine Niederlassung (im datenschutzrechtlichen Sinne) in Deutschland gibt und gleichzeitig aber Daten im Inland erhoben werden, während die maßgebliche Datenverarbeitung durch die verantwortliche Stelle aber dann außerhalb der EU – nämlich in den USA – stattfindet. Deutsches Datenschutzrecht gilt damit nicht aufgrund einer Rechtswahl, sondern nach § 1 Abs. 5 S. 2 BDSG.

Das Urteil des Landgerichts Berlin dürfte zwar im Ergebnis weitgehend zutreffend sein, ist aber teilweise unrichtig begründet worden.

SPON hat unter dem Titel „Facebooks dunkle Seiten“ gerade wieder einmal darauf aufmerksam gemacht, dass Facebook mit den Daten und Informationen ihrer Nutzer in einer Art und Weise umgeht, die jedenfalls mit deutschen und europäischen Rechtsstandards nicht vereinbar ist. Facebook beachtet insbesondere weder das Fernmeldegeheimnis noch die Vorgaben des Datenschutzrechts.

Facebook ist deshalb in besonderem Maße problematisch, wenn es von Kindern und Jugendlichen genutzt wird, denn die sind häufig noch weniger als Erwachsene in der Lage, die Risiken zu überblicken. Nach dem Nutzungsbedingungen von Facebook dürfen Kinder unter 13 Jahren kein Nutzerkonto eröffnen. Die Realität sieht freilich anders aus, zumal Facebook diese selbstgesetzte Altersgrenze nicht konsequent kontrolliert.

Ist diese Altersvorgabe seitens Facebook eigentlich verbindlich, oder ergeben sich aus dem deutschen Recht andere Anforderungen? Problematisch ist an dieser Stelle insbesondere das Datenschutzrecht. Facebook erhebt und verarbeitet nämlich in erheblichem Umfang personenbezogene Daten seiner Nutzer. Eine solche Datenverarbeitung erfordert nach deutschem Recht grundsätzliche eine Einwilligung des Nutzer, die während der Registrierung abgefragt wird. Ob jemand eine solche Einwilligung in die Verarbeitung personenbezogener Daten wirksam erteilen kann, hängt von seiner Einsichtsfähigkeit ab. Diesbezüglich existiert die weitverbreitete Rechtsansicht, dass diese Einsichtsfähigkeit bei Kindern unter 14 Jahren regelmäßig fehlt und sie auch im Alter zwischen 14 und 16 nicht ohne weiteres unterstellt werden kann, zumal vor dem Hintergrund der Unüberschaubarkeit der Datenverarbeitung durch Anbieter wie Facebook (Siehe z.B.: Spindler/Nink in: Recht der elektronischen Medien, BDSG, § 4a, Rn. 2a; Arlt, MMR 2007, 683, 684).

Wenn man diese wohl herschende Auslegung zum deutschen Datenschutzrecht zugrunde legt, muss man eine Nutzung von Facebook durch Jugendliche unter 16 zumindest als problematisch betrachten. Mit der Wirklichkeit steht diese Rechtsansicht freilich nicht in Einklang, denn gerade Jugendliche unter 16 nutzen Facebook massenhaft. Dass Facebook in diesen Fällen die Daten der Minderjährigen in rechtswidriger Art und Weise verarbeitet, dürfte den Anbieter aus Kalifornien außerdem kaum stören.