Internet-Law

Ein reißerischer Text von Carsten Scheibe im Südkurier und einer auf gulli.com suggerieren, dass bei der Abmahnung von privaten Facebook-Profilen bis zu EUR 15.000,- gefordert werden könnten bzw. dies naheliegend sei. Um es vorweg zu nehmen, dieser Betrag ist aus der Luft gegriffen und hat keine reelle Grundlage. Beide Texte plappern unreflektiert eine Veröffentlichung von Rechtsanwalt Solmecke nach, der im Rahmen eines Werbetexts für seine Kanzlei mit derartigen Beträgen hantiert.

Dass im Zuge einzelner Abmahnungen wegen Urheberrechtsverstößen Schadensersatz und Anwaltskosten in dieser Größenordnung gefordert wird, ist vielmehr äußerst unwahrscheinlich. Es ist eben nicht so, dass ein Anwalt beliebig abmahmen kann. Vielmehr vertritt er immer nur einen Mandanten, der behauptet, in seinen Rechten verletzt zu sein, also einen Urheber oder Rechteinhaber. Weil die verschiedenen Urheberrechte, die innerhalb eines Facebook-Profils eventuell verletzt werden, regelmäßig nicht in einer Hand liegen, sind Forderungen in der genannten Größenordnung eher abwegig.

Facebook-Nutzer müssen sich auch nicht, wie der Artikel ausführt, wie professionelle Journalisten verhalten, sondern sie müssen nur darauf achten, nicht die Rechte Dritter zu verletzen. Diese Pflicht trifft jederman und hat nichts mit journalistischer Sorgfalt zu tun. Wer Fotos, Grafiken, Videos oder Texte in sein Profil einstellt, die nicht von ihm selbst stammen, verletzt damit häufig das Urheberrecht eines anderen. Wer Fotos einstellt, auf denen neben ihm selbst auch andere Personen zu sehen sind, ist grundsätzlich gehalten, eine Einwilligung des Abgebildeten einzuholen (§ 22 KUG). Man sollte außerdem darauf achten, in Bezug auf andere Personen keine beleidigenden oder ehrverletzenden Aussagen zu treffen. Wer sich als Privatnutzer daran hält, dürfte wenig zu befürchten haben.

Das Landgericht Berlin (Beschluss vom 14.03.2011, Az. 91 O 25/11) musste sich mit der Frage beschäftigen, ob die Einbindung des Facebook Like-Buttons auf einer Website außerhalb von Facebook gegen die datenschutzrechtliche Vorschrift des § 13 TMG verstößt und ob dies wiederum einen Verstoß gegen das Wettbewerbsrecht darstellt.

Die datenschutzrechtliche Frage hat das Gericht erst gar nicht erörtert, weil es der Ansicht war, dass die Vorschrift des § 13 TMG keine sog. Marktverhaltensregelung im Sinne von § 4 Nr. 11 UWG darstellt und bereits deshalb ein wettbewerbsrechtlicher Verstoß nicht in Betracht kommt.

Dieses Begründung des Landgerichts Berlin ist allerdings wenig überzeugend. Das Gericht macht zunächst ganz allgemeine Ausführungen zur Frage des Vorliegens von Marktverhaltensregeln, um sich dann ohne nähere konkrete Argumentation auf ein Urteil des OLG Hamburg zu berufen, wonach die datenschutzrechtliche Vorschrift des § 28 Abs. 4 BDSG keine Marktverhaltensregelung darstellen soll, woraus das Landgericht schließt, dass dasselbe dann auch für § 13 TMG gelten müsse. An dieser Stelle versäumt das Gericht allerdings zu erwähnen, dass eine Verletzung von § 28 (und auch § 35) BDSG von mindestens zwei anderen Oberlandesgerichten (OLG Naumburg, Urteil vom 10. 10. 2003, Az.: 1 U 17/03 und OLG Stuttgart) durchaus als wettbewerbsrechtlich relevant eingestuft worden ist.

Darüber hinaus wird vom Landgericht Berlin in dieser Frage zu wenig beachtet, dass spätestens mit dem Inkrafttreten der letzten UWG-Novelle zum 30.12.2008 ein Paradigmenwechsel stattgefunden hat. Das deutsche Wettbewerbsrecht regelte bis zum Jahre 2004 ausschließlich das Verhältnis von Mitbewerbern zueinander und war ein echtes Wettbewerbsrecht. Unter dem Einfluss der EU entwickelte sich das Wettbewerbsrecht allerdings immer stärker zu einer Art  Verbraucherschutzrecht. Gerade die Richtlinie über unlautere Geschäftspraktiken, die mit der Neureglung vom 30.12.2008 umgesetzt wurde, betrifft ausschließlich unlautere Verhaltensweisen gegenüber Verbrauchern. Dieser Paradigmenwechsel zeigt sich auch daran, dass der alte Zentralbegriff der „Wettbewerbshandlung“ durch den der „geschäftlichen Handlung“ ersetzt worden ist (§ 2 Abs. 1 Nr. 1 UWG). Die geschäftliche Handlung ist deutlich weiter und umfasst alle Handlungen gegenüber Mitbewerbern und sonstigen Marktteilnehmern (z.B. Verbrauchern und potentiellen gewerblichen Kunden) vor, bei und nach Vertragsschluss. Bei der Bezugnahme auf ältere Urteile, die noch zur alten Rechtslage ergangen sind, ist daher stets Vorsicht geboten.

Vor dem skizzierten Hintergrund wird man datenschutzrechtliche Vorschriften in der Tendenz überwiegend als Marktverhaltensregeln qualifizieren müssen, zumindest dann, wenn eine Verarbeitung von Daten von Verbrauchern und/oder potentiellen Kunden erfolgt. Genau das ist aber bei der Vorschrift des § 13 TMG, die eine Datenerhebung (bei jedem beliebigen Nutzer) im Zusammenhang mit dem Betrieb von Telemedien, also insbesondere Websites, regelt, der Fall.

Man darf die Entscheidung des Landgerichts Berlin also nicht überbewerten, zumal Grund zu der Annahme besteht, dass andere Gerichte eine abweichende rechtliche Bewertung vornehmen werden.

Verschiedene Blogs und Medien berichten darüber, dass die Dating-Plattform „Lovely Faces“ Daten aus Millionen von Facebook Profilen – einschließlich von Fotos – übernommen und daraus Profile für eine Partnerbörse erstellt hat. Die Betreiber von Lovely Faces verfolgen aber keine kommerziellen Interessen, sondern bezeichnen ihr Vorgehen als „soziales Experiment“, das als Kritik an sozialen Medien wie Facebook gedacht ist und u.a. zeigen soll, wie einfach der Identitätsdiebstahl aus sozialen Netzwerken funktioniert.

Dieses „social hacking“ wirft nicht nur datenschutzrechtliche Fragen auf, sondern verstößt u.a. auch gegen das allgemeine Persönlichkeitsrecht und das Recht der betroffenen Nutzer am eigenen Bild.

Möglicherweise schafft dieses „Experiment“ aber auch das Bewusstsein dafür, dass Daten und Informationen die man selbst ins Netz gestellt hat, nur schwer wieder zu entfernen sind und jederzeit die Gefahr besteht, dass diese Informationen an anderen Stellen und in einem anderen Kontext wieder auftauchen. Man muss die Aktion daher auch als Akt einer aufklärenden Meinungsäußerung betrachten.

Habe gerade dem On3-Radio des Bayerischen Rundfunks ein Interview – das wohl erst nächste Woche gesendet wird – zu der Frage gegeben, ob die Strafverfolgungsbehörden in sozialen Netzwerken ermitteln dürfen.

Das dürfen Sie in einem gewissen Umfang in der Tat und praktizieren das meines Wissens auch. Das Bundesverfassungsgericht hat in der Entscheidung zur Onlineüberwachung u.a. auch zur Ermittlungstätigkeit im Netz Stellung genommen und dazu folgendes ausgeführt:

Eine Kenntnisnahme öffentlich zugänglicher Informationen ist dem Staat grundsätzlich nicht verwehrt. Dies gilt auch dann, wenn auf diese Weise im Einzelfall personenbezogene Informationen erhoben werden können (…). Daher liegt kein Eingriff in das allgemeine Persönlichkeitsrecht vor, wenn eine staatliche Stelle im Internet verfügbare Kommunikationsinhalte erhebt, die sich an jedermann oder zumindest an einen nicht weiter abgegrenzten Personenkreis richten. So liegt es etwa, wenn die Behörde eine allgemein zugängliche Webseite im World Wide Web aufruft, eine jedem Interessierten offen stehende Mailingliste abonniert oder einen offenen Chat beobachtet.

Ein Eingriff in das Recht auf informationelle Selbstbestimmung kann allerdings gegeben sein, wenn Informationen, die durch die Sichtung allgemein zugänglicher Inhalte gewonnen wurden, gezielt zusammengetragen, gespeichert und gegebenenfalls unter Hinzuziehung weiterer Daten ausgewertet werden und sich daraus eine besondere Gefahrenlage für die Persönlichkeit des Betroffenen ergibt. Hierfür bedarf es einer Ermächtigungsgrundlage.

Ein Eingriff in das Recht auf informationelle Selbstbestimmung liegt nicht schon dann vor, wenn eine staatliche Stelle sich unter einer Legende in eine Kommunikationsbeziehung zu einem Grundrechtsträger begibt, wohl aber, wenn sie dabei ein schutzwürdiges Vertrauen des Betroffenen in die Identität und die Motivation seines Kommunikationspartners ausnutzt, um persönliche Daten zu erheben, die sie ansonsten nicht erhalten würde (…). Danach wird die reine Internetaufklärung in aller Regel keinen Grundrechtseingriff bewirken. Die Kommunikationsdienste des Internet ermöglichen in weitem Umfang den Aufbau von Kommunikationsbeziehungen, in deren Rahmen das Vertrauen eines Kommunikationsteilnehmers in die Identität und Wahrhaftigkeit seiner Kommunikationspartner nicht schutzwürdig ist, da hierfür keinerlei Überprüfungsmechanismen bereitstehen. Dies gilt selbst dann, wenn bestimmte Personen – etwa im Rahmen eines Diskussionsforums – über einen längeren Zeitraum an der Kommunikation teilnehmen und sich auf diese Weise eine Art „elektronische Gemeinschaft“ gebildet hat. Auch im Rahmen einer solchen Kommunikationsbeziehung ist jedem Teilnehmer bewusst, dass er die Identität seiner Partner nicht kennt oder deren Angaben über sich jedenfalls nicht überprüfen kann. Sein Vertrauen darauf, dass er nicht mit einer staatlichen Stelle kommuniziert, ist in der Folge nicht schutzwürdig.

Polizeiliche Ermittlungen in sozialen Netzen wie Facebook sind somit erst dann problematisch, wenn ein Polizeibeamter unter einer Legende ermittelt, einen Kommunikationsprozess aufnimmt und sich eine gewisse Vertrauensstellung erschleicht um so an Informationen zu gelangen, die der Betroffene ansonsten nicht preisgegeben hätte.

Passend hierzu berichtet netzpolitik.org heute darüber, dass die US-Regierung eine eigene Abteilung „Social Networking Monitoring Center“ gegründet hat, die der Überwachung sozialer Netze dient.

Mit der Frage, ob der Like-Button von Facebook datenschutzkonform auf einer externen Website eingebunden werden kann, beschäftigt sich ein Aufsatz von Michael Marc Maisch (AnwZert ITR 19/2010, Anm. 2), den es gerade als kostenlose Leseprobe (vermutlich nur für kurze Zeit) gibt.

Maisch stellt klar, dass derjenige, der den Like-Button auf seine Website einbindet, verantwortliche Stelle im datenschutzrechtlichen Sinne des § 13 TMG ist. Weil, wie Maisch es ausdrückt, der Like-Button eine intransparente „Black-Box“ darstellt, kann der Betreiber der Website nicht über Art, Umfang und Zwecke der Datenverarbeitung aufklären oder gemäß § 13 Abs. 7 TMG i.V.m. § 34 BDSG Auskunft erteilen, weil die Datenübermittlung und Datenverarbeitung letztlich ja durch Facebook erfolgt. Maisch rät daher von der Einbindung des Like-Buttons ab. Das entspricht im Ergebnis auch meiner Einschätzung.

Facebook hat kürzlich Klage gegen das Onlineportal Teachbook beim California Northern District Court eingereicht. Facebook möchte offenbar die Verwendung des Zeichens „Teachbook“ für Online-Netzwerke untersagen, weil der Wortbestandteil „book“ eine Verwechslungsgefahr zur Marke „Facebook“ begründen soll. Teachbook ist ein Netzwerk für Lehrer.

Facebook versucht außerdem seit einiger Zeit in den USA die Marke „Face“ eintragen zu lassen.

Einige juristische Blogbeiträge, z.B. der Kollegen Thomas Helbing und Sebastian Kraska, gehen davon aus, dass Social Plugins von Facebook bei entsprechender Ausgestaltung datenschutzkonform eingesetzt werden können. Demgegenüber hat die Plattform „hamburg.de“ den „Like-Button“ wegen datenschutzrechtlicher Bedenken wieder aus seinem Angebot entfernt.

Hintergrund der Diskussion ist der Umstand, dass Facebook seit einigen Monaten die Möglichkeit bietet, den Button „gefällt mir“ auch auf externen Websites außerhalb der Facebookplattform einzubinden.

Die in diesem Zusammenhang häufig aufgeworfene Frage, ob deutsches Datenschutzrecht für einen Anbieter gilt, der seinen Sitz in den USA hat, stellt sich in dieser Form nicht. Wer einmal einen Blick in das Impressum des deutschen Facebooks geworfen hat, wird bemerkt haben, dass Anbieter die „Facebook Ireland Limited“ ist und nicht die amerikanische Mutter. Facebook unterliegt also in jedem Fall irischem Datenschutzrecht und damit auch der Datenschutzrichtlinie der EU. Nach § 2a Abs. 1 TMG und der E-Commerce-Richtlinie kommt man wohl sogar zu einer Anwendung des deutschen Rechts, weil der Schwerpunkt des deutschen Facebookangebots eben Deutschland ist.

Das ändert freilich nichts daran, dass Facebook Daten in die USA übermittelt, weil sich dort die technische Infrastruktur von Facebook befindet.

Der Webseitenbetreiber muss zunächst die Vorgaben von § 13 Abs. 1 TMG beachten. Danach hat der Diensteanbieter den Nutzer zu Beginn des Nutzungsvorgangs über Art, Umfang und Zweck der Erhebung und Verwendung personenbezogener Daten sowie über die Verarbeitung seiner Daten in Staaten außerhalb der EU zu informieren. Diese Information, die zu Beginn der Nutzung erteilt werden muss, kann meines Erachtens nicht allein dadurch geschehen, dass man irgendwo auf der Website eine sog. Datenschutzerklärung bereithält. Die Information müsste nach dem Gesetzeswortlaut vielmehr unmittelbar bei Aufruf der Site bzw. beim Anklicken des Like-Buttons erteilt werden.Das ist allerdings wenig praktikabel.

Darüber hinaus ist die entscheidende Frage aber die, ob für die stattfindende Verarbeitung personenbezogener Daten ein gesetzlicher Erlaubnistatbestand gegeben ist. Denn § 12 Abs. 1 TMG enthält ein sog. Verbot mit Erlaubnisvorbehalt. Eine Erhebung und Verwendung von personenbezogenen Daten ist danach nur zulässig, wenn ein Gesetz dies zulässt oder der Nutzer eingewilligt hat. Nachdem eine Einwilligung des Nutzers nicht vorliegt, kommt praktisch nur noch § 15 TMG als Gestattungstatbestand in Betracht. Diese Vorschrift verlangt, dass die Datenverwendung erforderlich ist, um die Inanspruchnahme von Telemedien zu ermöglichen. Bereits an dieser Stelle sind erhebliche Zweifel angebracht, denn der externe „gefällt mir“ Button auf beliebigen Websites ist wohl weder erforderlich, um die Website zu nutzen, noch um Facebook nutzen zu können.

Das zusätzliche Problem besteht darin, dass § 15 Abs. 1 TMG nur das Verhältnis des Betreibers der Website zu dem betreffenden Nutzer regelt. Das Verhältnis des Nutzers zu Facebook, an das ja die Daten übermittelt wird, erfasst die Vorschrift überhaupt nicht.  Die Norm ist auf diese Konstellation schlicht nicht zugeschnitten.  Eine Lösung könnte man hier allenfalls noch über die Regelungen der Auftragsdatenverarbeitung (§ 11 BDSG) suchen. Wer allerdings die diesbezüglichen, sehr hohen gesetzlichen Anforderungen kennt, der weiß, dass auch hieraus keine ausreichende Gestattung abzuleiten ist.

Die Verwendung des „Like-Buttons“ von Facebook auf einer Website ist daher nach derzeitiger Rechtslage datenschutzwidrig. Dieses nicht sonderlich befriedigende Ergebnis zeigt sehr deutlich, dass das deutsche und europäische Datenschutzrecht auf derartige Sachverhalte bislang überhaupt nicht vorbereitet ist.

Update vom 29.08.2011:
Die aktuelle Diskussion, die vom ULD losgetreten wurde, hat mich veranlasst diesen Beitrag zu ergänzen. Denn aus Sicht des Betreibers der Website, gibt es zwei Umstände, die Zweifel daran begründen, ob er tatsächlich der datenschutzrechtlich Verantwortliche ist. Deshalb möchte ich auch meine ursprüngliche Aussage, wonach der Betreiber der Website gegen das Datenschutzrecht verstößt, nicht aufrecht erhalten, sondern vielmehr zur Diskussion stellen.

Entscheidend ist meines Erachtens, ob der Webseitenbetreiber, der den Facebook Like-Button und mithin von Facebook stammenden Code in seine Website einbindet, damit zu einer verantwortlichen Stelle i.S.v. § 3 Abs. 7 BDSG wird und ob es sich aus seiner Sicht um personenbezogene Daten handelt.

Durch die Einbindung des Codes wirkt der Webseitenbetreiber natürlich an der Erhebung von Daten – die aus Sicht von Facebook auch personenbezogen sind – mit und er macht dies auch für eigene Zwecke, denn er möchte damit ja eine Empfehlung seines Angebots erreichen. Andererseits ist er nicht derjenige, der den Datenverarbeitungsvorgang steuert und kontrolliert.

Nach Art. 2 d) der Datenschutzrichtlinie ist Verantwortlicher die natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.

Wenn man das eng auslegt, wird man den Webseitenbetreiber nicht ohne weiteres als Verantwortlichen betrachten können, denn er entscheidet nicht (zusammen mit Facebook) über die Zwecke und Mittel der Datenverarbeitung. Er weiß im Zweifel noch nicht einmal genau, welche Daten Facebook erhebt. Andererseits leistet er zweifellos einen kausalen Beitrag für die Datenverabeitung durch Facebook, weshalb man ihn durchaus als eine Art Gehilfen von Facebook betrachten kann, der zudem auch ein gewisses Eigeninteresse an dem Vorgang der Datenverarbeitung hat.

Letztlich regelt das Gesetz diese Konstellation aber nicht. Darauf kann man nun mit einer erweiterten Auslegung reagieren, wie es das ULD tut oder man kann sich auf die Position zurückziehen, dass verantwortliche Stelle alleine Facebook ist und mithin auch nur Facebook Adressat von behördlichen Maßnahmen sein kann.

Der Hamburgische Datenschutzbeauftragte hat ein förmliches Bußgeldverfahren gegen Facebook eingeleitet.

Beanstandet wird die Praxis von Facebook die E-Mail- und Handy-Adressbücher seiner Nutzer auszuwerten und sich dadurch auch Daten von Nichtmitgliedern zu verschaffen, diese zu speichern und kommerziell zu nutzen.

Auf ein anderes Bonmot aus den Facebook-AGB weist Telemedicus heute hin:

„Du verstehst, dass wir bezahlte Dienstleistungen und Kommunikationen möglicherweise nicht immer als solche identifizieren.“

Eigentlich wäre es gerade auch die Aufgabe von Verbraucherschutzverbänden gegen derartige Klauseln vorzugehen.

Die Plattform „hamburg.de“ hat den Like-Button von Facebook wieder entfernt und dies damit begründet, dass diese Funktion nicht datenschutzkonform ausgestaltet sei, weil Facebook auch Daten von Nutzern sammeln würde, die den Button gar nicht anklicken.

In einer Anmerkung hierzu holt der Kollege Dr. Bahr etwas weiter aus und meint, dass beispielsweise auch der Flattr-Button nicht datenschutzkonform sei. Auch wenn ich dem Kollegen in der Tendenz beipflichten muss, wenn er meint, dass große Teile des Web (2.0) streng genommen mit deutschem Datenschutzrecht unvereinbar sind, ist mir bei den Buttons von Facebook oder Flattr schon die tatsächliche Situation nicht klar. Denn die zentrale Frage lautet zunächst, welche Daten von Facebook und/oder Flattr genau erhoben und gespeichert werden. Wenn z.B. bei Flattr nur die Daten derjenigen erhoben werden, die sich bei dem Dienst registriert haben, dann ist die datenschutzkonforme Ausgestaltung möglich und letztlich davon abhängig, welche Datenschutzerklärungen im Rahmen der Anmeldung verwendet werden.

Weiß denn überhaupt jemand genau, welche Nutzerdaten Facebook erhebt und speichert, wenn der Like-Button extern auf Blogs oder Websites eingebunden ist? Über Antworten würde ich mich freuen.

Facebook hat in letzter Zeit seine Nutzungsbedingungen einseitig geändert, ohne die Zustimmung der Nutzer einzuholen. Aber geht das tatsächlich so einfach, oder hätte Facebook vielmehr jeden einzelnen Nutzer fragen müssen? Zuletzt hatte Facebook eine Nutzerabstimmung durchgeführt, um der Kritik entgegenzutreten.

Die Nutzungsbedingungen von Facebook stellen nach deutschem Recht Allgemeine Geschäftsbedingungen (AGB) dar. Nach der Rechtsprechung sind Klauseln, die AGB ändern, bei sog. Dauerschuldverhältnissen in gewissem Umfang zulässig.  Die Änderung ist aber nach Ansicht des Bundesgerichtshofs nur dann zulässig, wenn eine nachträgliche Äqivalenzstörung (Störung des Verhältnisses von Leistung und Gegenleistung) vorliegt oder eine Anpassung an eine geänderte Rechtslage vorzunehmen ist. In jedem Fall muss ein gewichtiger sachlicher Grund vorliegen.  Aber auch dann müssen die Änderungsklauseln transparent gefasst sein. Das bedeutet, dass die Regelung so klar und verständlich formuliert sein muss, dass der Nutzer erkennen kann, unter welchen Umständen eine solche Änderung erfolgt.

Wenn man sich jetzt die Nutzungsbedingungen von Facebook ansieht, dann heißt es in Ziff. 13 dazu lapidar:

Wir können diese Erklärung ändern und werden dich über die Facebook Site Governance-Seite darüber informieren und dir eine Möglichkeit zur Reaktion auf die entsprechende(n) Änderung(en) geben.

Diese Klausel lässt jegliche Transparenz vermissen und erläutert noch nicht einmal ansatzweise, unter welchen Umständen und nach welchen Kriterien eine Änderung der Nutzungsbedingungen in Betracht kommt.

Die Klausel verstößt damit gegen das Transparenzgebot (§ 307 Abs. 1 S. 2 BGB) und ist unwirksam. Das bedeutet dann allerdings auch, dass eine einseitige Änderung der Nutzungsbedingungen durch Facebook den deutschen Nutzern gegenüber auf Basis dieser Klausel nicht möglich ist.

Das dürfte Facebook freilich wenig kümmern, solange man rein faktisch nach den neuen, selbst gesetzten Bedingungen agieren kann.

Es ist mehr als erstaunlich, dass sich dieDatenschützer derzeit primär über Google aufregen und dabei Vorgänge beanstanden, die noch nicht einmal eindeutig rechtswidrig sind, während der wesentlich bedenklichere Akteur Facebook kaum behelligt wird.

Es stellt sich auch die Frage, weshalb Verbraucherschutzverbände und Datenschutzbehörden nicht gegen die in mehreren Punkten rechtswidrigen Nutzungs- und Datenschutzbedingungen von Facebook vorgehen.